Mi az Azure Firewall?
Azure Firewall egy natív felhőbeli és intelligens hálózati tűzfalbiztonsági szolgáltatás, amely a legjobb fenyegetésvédelmet nyújtja az Azure-ban futó felhőalapú számítási feladatokhoz. Ez egy teljes mértékben állapotalapú, szolgáltatásként nyújtott tűzfal, beépített magas rendelkezésre állással és korlátlan felhőméretezhetőséggel. Kelet-nyugati és észak-déli közlekedési ellenőrzést is biztosít.
Azure Firewall két termékváltozatban érhető el: Standard és Prémium.
Azure Firewall Standard
Azure Firewall Standard L3-L7 szűrési és fenyegetésfelderítési hírcsatornákat biztosít közvetlenül a Microsoft Cyber Securityből. A fenyegetésintelligencia-alapú szűrés riasztást küld és megtagadja az ismert rosszindulatú IP-címekről és tartományokról érkező vagy azokra irányuló forgalmat, amelyek valós időben frissülnek az új és újonnan felmerülő támadások elleni védelem érdekében.
A Tűzfal standard funkcióiról további információt Azure Firewall Standard funkciók című témakörben talál.
Azure Firewall Premium
Azure Firewall Premium speciális képességeket biztosít, például az aláírásalapú IDPS-t, amely lehetővé teszi a támadások gyors észlelését adott minták keresésével. Ezek a minták tartalmazhatnak bájtsorozatokat a hálózati forgalomban, vagy a kártevők által használt ismert rosszindulatú utasításütemezéseket. Több mint 58 000 aláírás van több mint 50 kategóriában, amelyek valós időben frissülnek az új és a kialakulóban lévő biztonsági rések elleni védelem érdekében. A kihasználási kategóriák közé tartoznak a kártevők, az adathalászat, az érmebányászat és a trójai támadások.
A Prémium szintű tűzfalfunkciókról további információt Azure Firewall Premium-funkciókban talál.
Azure Firewall Manager
A Azure Firewall Managerrel központilag kezelheti az Azure Firewallokat több előfizetésben. A Firewall Manager tűzfalszabályzatot használ a hálózati/alkalmazásszabályok és konfigurációk közös halmazának a bérlőben lévő tűzfalakra való alkalmazásához.
A Firewall Manager támogatja a tűzfalakat a virtuális hálózatok és a virtuális WAN-környezetek (Secure Virtual Hub) környezeteiben is. A Secure Virtual Hubs a Virtual WAN útvonalautomatizálási megoldással néhány kattintással leegyszerűsíti a tűzfal felé történő útválasztást.
A Azure Firewall Managerrel kapcsolatos további információkért lásd: Azure Firewall Manager.
Díjszabás és SLA
A Azure Firewall díjszabással kapcsolatos információkért lásd Azure Firewall díjszabást.
Azure Firewall SLA-val kapcsolatos információkért lásd Azure Firewall SLA-t.
Támogatott régiók
A Azure Firewall támogatott régióiért tekintse meg a régiónként elérhető Azure-termékeket.
Újdonságok
A Azure Firewall újdonságaiért tekintse meg az Azure-frissítéseket.
Ismert problémák
Azure Firewall Standard
Azure Firewall Standard az alábbi ismert problémákkal rendelkezik:
Megjegyzés
A Standardra vonatkozó problémák a Prémiumra is vonatkoznak.
| Probléma | Description | Kockázatcsökkentés |
|---|---|---|
| A nem TCP/UDP-protokollokra (például ICMP) vonatkozó hálózati szűrési szabályok nem működnek az internetre irányuló forgalom esetében | A nem TCP/UDP protokollok hálózati szűrési szabályai nem működnek az SNAT-val a nyilvános IP-címhez. A nem TCP/UDP-protokollok a küllők alhálózatai és a virtuális hálózatok között támogatottak. | Az Azure Firewall a Standard Load Balancert használja, amely jelenleg nem támogatja a forráshálózati címfordítást az IP-protokollokon. Egy későbbi kiadásban dolgozunk a forgatókönyv támogatásának lehetőségein. |
| A PowerShell és a CLI nem támogatja az ICMP-t | Azure PowerShell és a parancssori felület nem támogatja az ICMP-t érvényes protokollként a hálózati szabályokban. | Az ICMP protokollként továbbra is használható a portálon és a REST API-val. Dolgozunk az ICMP hozzáadásán a PowerShellben és a parancssori felületen. |
| Az FQDN-címkék protokoll: port megadását igénylik | Az FQDN-címkékkel rendelkező alkalmazásszabályoknak port: protokolldefinícióra van szükségük. | A port:protokoll értékként használhat https-t. Dolgozunk azon, hogy ez a mező választható legyen FQDN-címkék használata esetén. |
| Tűzfal áthelyezése másik erőforráscsoportba vagy előfizetésbe nem támogatott | A tűzfal áthelyezése egy másik erőforráscsoportba vagy előfizetésbe nem támogatott. | Ennek a funkciónak a támogatása az ütemtervünkön található. Ahhoz, hogy egy tűzfalat áthelyezzen másik erőforráscsoportba vagy előfizetésbe, először törölnie kell az aktuális példányt, és újra létre kell hoznia az új erőforráscsoportban vagy előfizetésben. |
| A fenyegetésfelderítési riasztások maszkolást kaphatnak | A 80/443-at célként szolgáló hálózati szabályok a kimenő szűréshez maszkolja a fenyegetésfelderítési riasztásokat, ha csak riasztási módra vannak konfigurálva. | Hozzon létre kimenő szűrést a 80/443-hoz alkalmazásszabályok használatával. Másik lehetőségként módosítsa a fenyegetésfelderítési módot riasztásra és elutasításra. |
| Azure Firewall DNST nem működik magánhálózati IP-címek esetén | Azure Firewall DNAT támogatása az internetes kimenő/bejövő forgalomra korlátozódik. A DNAT jelenleg nem működik magánhálózati IP-célhelyeken. Például küllős. | Ez egy jelenlegi korlátozás. |
| Nem távolítható el az első nyilvános IP-konfiguráció | Minden Azure Firewall nyilvános IP-cím ip-konfigurációhoz van rendelve. Az első IP-konfiguráció a tűzfal üzembe helyezése során van hozzárendelve, és általában a tűzfal alhálózatára mutató hivatkozást is tartalmaz (kivéve, ha explicit módon másként van konfigurálva egy sablontelepítésen keresztül). Ez az IP-konfiguráció nem törölhető, mert az megszüntetné a tűzfal lefoglalását. Továbbra is módosíthatja vagy eltávolíthatja az IP-konfigurációhoz társított nyilvános IP-címet, ha a tűzfal legalább egy másik nyilvános IP-címmel rendelkezik. | Ez az elvárt működés. |
| A rendelkezésre állási zónák csak az üzembe helyezés során konfigurálhatók. | A rendelkezésre állási zónák csak az üzembe helyezés során konfigurálhatók. A tűzfal üzembe helyezése után nem konfigurálható Availability Zones. | Ez az elvárt működés. |
| SNAT bejövő kapcsolatokon | A DNAT mellett a tűzfal nyilvános IP-címén (bejövő) keresztüli kapcsolatok az egyik tűzfal privát IP-címére vannak SNAT-ként adva. Ez a követelmény (az aktív/aktív NVA-k esetében is) a szimmetrikus útválasztás biztosításához. | A HTTP/S eredeti forrásának megőrzéséhez fontolja meg az XFF-fejlécek használatát. Használjon például egy olyan szolgáltatást, mint az Azure Front Door vagy Azure Application Gateway a tűzfal előtt. A WAF-ot az Azure Front Door részeként és a tűzfalhoz láncként is hozzáadhatja. |
| Az SQL teljes tartománynév szűrése csak proxy módban támogatott (1433-es port) | Azure SQL Database, Azure Synapse Analytics és Azure SQL Managed Instance esetén: Az SQL teljes tartománynév szűrése csak proxy módban támogatott (1433-es port). Azure SQL IaaS esetén: Ha nem szabványos portokat használ, ezeket a portokat megadhatja az alkalmazásszabályokban. |
Átirányítási módban (ha az Azure-ból csatlakozik) az SQL szolgáltatáscímkéje helyett szűrheti a hozzáférést Azure Firewall hálózati szabályok részeként. |
| A kimenő SMTP-forgalom le van tiltva a 25-ös TCP-porton | A 25-ös TCP-porton közvetlenül külső tartományokba (például outlook.com és gmail.com) küldött kimenő e-maileket az Azure platform blokkolhatja. Ez a platform alapértelmezett viselkedése az Azure-ban, Azure Firewall nem vezet be további konkrét korlátozásokat. |
Használjon hitelesített SMTP-továbbító szolgáltatásokat, amelyek általában az 587-ös TCP-porton keresztül csatlakoznak, de más portokat is támogatnak. További információ: Kimenő SMTP-kapcsolati problémák elhárítása az Azure-ban. Jelenleg előfordulhat, hogy Azure Firewall képes kommunikálni a nyilvános IP-címekkel a kimenő TCP 25 használatával, de ez nem garantált, és nem minden előfizetés-típus esetében támogatott. Magánhálózati IP-címek, például virtuális hálózatok, VPN-ek és Azure ExpressRoute esetén Azure Firewall támogatja a 25-ös TCP-port kimenő kapcsolatát. |
| SNAT-portok elfogyása | Azure Firewall jelenleg 2496 portot támogat nyilvános IP-címenként háttérbeli virtuálisgép-méretezési csoportpéldányonként. Alapértelmezés szerint két virtuálisgép-méretezési csoportpéldány van. Tehát folyamatonként 4992 port van (cél IP-cím, célport és protokoll (TCP vagy UDP). A tűzfal legfeljebb 20 példányra méretezhető. | Ez egy platformkorlátozás. A korlátok megkerüléséhez konfiguráljon legalább öt nyilvános IP-címmel rendelkező Azure Firewall üzemelő példányokat az SNAT-kimerültségnek kitett üzemelő példányokhoz. Ez ötszörösére növeli a rendelkezésre álló SNAT-portokat. Leosztás IP-címelőtagból az alsóbb rétegbeli engedélyek egyszerűsítése érdekében. Állandóbb megoldásként üzembe helyezhet egy NAT-átjárót az SNAT-port korlátainak leküzdése érdekében. Ez a megközelítés a VNET-környezetek esetében támogatott. További információ: SNAT-portok méretezése az Azure Virtual Network NAT használatával. |
| A DNAT nem támogatott, ha engedélyezve van a kényszerített bújtatás | A kényszerített bújtatással üzembe helyezett tűzfalak az aszimmetrikus útválasztás miatt nem támogatják az internetről érkező bejövő hozzáférést. | Ezt az aszimmetrikus útválasztás miatt tervezem. A bejövő kapcsolatok visszatérési útvonala a helyszíni tűzfalon keresztül halad, amely nem látta a kapcsolat létrejöttét. |
| Előfordulhat, hogy a kimenő passzív FTP nem működik több nyilvános IP-címmel rendelkező tűzfalak esetében, az FTP-kiszolgáló konfigurációjától függően. | A passzív FTP különböző kapcsolatokat hoz létre a vezérléshez és az adatcsatornákhoz. Amikor egy több nyilvános IP-címmel rendelkező tűzfal kimenő adatokat küld, véletlenszerűen kiválasztja a forrás IP-cím egyik nyilvános IP-címét. Az FTP sikertelen lehet, ha az adatok és a vezérlőcsatornák eltérő forrás IP-címeket használnak az FTP-kiszolgáló konfigurációjától függően. | Explicit SNAT-konfigurációt tervezünk. Addig is konfigurálhatja az FTP-kiszolgálót úgy, hogy fogadja a különböző forrás IP-címekről származó adatokat és csatornákat (lásd egy IIS-példát). Másik lehetőségként érdemes lehet egyetlen IP-címet használni ebben a helyzetben. |
| Előfordulhat, hogy a bejövő passzív FTP nem működik az FTP-kiszolgáló konfigurációjától függően | A passzív FTP különböző kapcsolatokat hoz létre a vezérléshez és az adatcsatornákhoz. A Azure Firewall bejövő kapcsolatait a rendszer az egyik tűzfal privát IP-címére irányítja a szimmetrikus útválasztás biztosítása érdekében. Az FTP sikertelen lehet, ha az adatok és a vezérlőcsatornák eltérő forrás IP-címeket használnak az FTP-kiszolgáló konfigurációjától függően. | Az eredeti forrás IP-címének megőrzése folyamatban van. Addig is konfigurálhatja az FTP-kiszolgálót úgy, hogy különböző forrás IP-címekről fogadjon el adatokat és vezérlő csatornákat. |
| Az aktív FTP nem működik, ha az FTP-ügyfélnek el kell érnie egy FTP-kiszolgálót az interneten keresztül. | Az Active FTP az FTP-ügyfél PORT parancsát használja, amely az FTP-kiszolgálónak az adatcsatornához használni kívánt IP-címet és portot irányítja. Ez a PORT parancs az ügyfél privát IP-címét használja, amely nem módosítható. A Azure Firewall áthaladó ügyféloldali forgalom NAT lesz az internetes kommunikációhoz, így a PORT parancs érvénytelennek minősül az FTP-kiszolgáló számára. | Ez az Aktív FTP általános korlátozása, ha ügyféloldali NAT-tal együtt használják. |
| A NetworkRuleHit metrika hiányzik egy protokolldimenzióból | Az ApplicationRuleHit metrika lehetővé teszi a szűrésen alapuló protokoll használatát, de ez a képesség hiányzik a megfelelő NetworkRuleHit-metrikából. | Folyamatban van a javítás kivizsgálása. |
| A 64000 és 65535 közötti portokkal rendelkező NAT-szabályok nem támogatottak | Azure Firewall engedélyezi az 1–65535 tartományban lévő portokat a hálózati és alkalmazásszabályokban, a NAT-szabályok azonban csak az 1–63999 tartományban lévő portokat támogatják. | Ez egy jelenlegi korlátozás. |
| A konfigurációfrissítések átlagosan öt percet is igénybe vehetnek | Egy Azure Firewall konfigurációs frissítés átlagosan 3–5 percet vehet igénybe, és a párhuzamos frissítések nem támogatottak. | Folyamatban van a javítás kivizsgálása. |
| Azure Firewall SNI TLS-fejléceket használ a HTTPS- és MSSQL-forgalom szűréséhez | Ha a böngésző- vagy kiszolgálószoftver nem támogatja a Kiszolgálónév-jelző (SNI) bővítményt, nem tud csatlakozni Azure Firewall keresztül. | Ha a böngésző- vagy kiszolgálószoftver nem támogatja az SNI-t, akkor lehetséges, hogy egy alkalmazásszabály helyett egy hálózati szabály használatával szabályozhatja a kapcsolatot. Lásd az SNI-t támogató szoftverek kiszolgálónév-jelzését . |
| Nem lehet tűzfalszabályzat-címkéket hozzáadni a portál vagy az Azure Resource Manager (ARM) sablonjaival | Azure Firewall Szabályzat olyan javítástámogatási korlátozással rendelkezik, amely megakadályozza, hogy címkét adjon hozzá az Azure Portal vagy ARM-sablonok használatával. A következő hiba jön létre: Az erőforrás címkéi nem menthetők. | Folyamatban van a javítás kivizsgálása. Vagy a Azure PowerShell parancsmaggal Set-AzFirewallPolicy frissítheti a címkéket. |
| Az IPv6 jelenleg nem támogatott | Ha IPv6-címet ad hozzá egy szabályhoz, a tűzfal meghibásodik. | Csak IPv4-címeket használjon. Folyamatban van az IPv6-támogatás vizsgálata. |
| Több IP-csoport frissítése ütközési hibával meghiúsul. | Ha két vagy több, ugyanahhoz a tűzfalhoz csatolt IP-csoportot frissít, az egyik erőforrás meghibásodik. | Ez egy ismert probléma/korlátozás. Amikor frissít egy IP-csoportot, az aktivál egy frissítést minden olyan tűzfalon, amelyhez az IPGroup csatlakozik. Ha egy második IP-csoport frissítése akkor indul el, amikor a tűzfal még frissítési állapotban van, az IPGroup frissítése sikertelen lesz. A hiba elkerülése érdekében az ugyanahhoz a tűzfalhoz csatolt IP-csoportokat egyenként frissíteni kell. A frissítések között elegendő időt hagyhat, hogy a tűzfal kikerüljön a frissítési állapotból. |
| A RuleCollectionGroups arm-sablonokkal való eltávolítása nem támogatott. | A RuleCollectionGroup ARM-sablonokkal való eltávolítása nem támogatott, és sikertelenséget eredményez. | Ez nem támogatott művelet. |
| A (*) engedélyezésére vonatkozó DNAT-szabály az SNAT-forgalmat fogja használni. | Ha egy DNAT-szabály a forrás IP-címeként bármelyiket (*) engedélyezi, akkor az implicit hálózati szabály megfelel VNet-VNet forgalomnak, és mindig SNAT-ként kezeli a forgalmat. | Ez egy jelenlegi korlátozás. |
| A DNAT-szabály biztonsági szolgáltatóval rendelkező biztonságos virtuális központhoz való hozzáadása nem támogatott. | Ez a visszaadott DNST-forgalom aszinkron útvonalát eredményezi, amely a biztonsági szolgáltatóhoz kerül. | Nem támogatott. |
| Hiba történt több mint 2000 szabálygyűjtemény létrehozásakor. | A NAT-/alkalmazás- vagy hálózatiszabály-gyűjtemények maximális száma 2000 (Resource Manager korlát). | Ez egy jelenlegi korlátozás. |
| A hálózati szabály neve nem látható Azure Firewall naplókban | Azure Firewall hálózati szabály naplóadatai nem jelenítik meg a hálózati forgalom szabálynevét. | A hálózati szabálynév naplózása előzetes verzióban érhető el. További információ: Azure Firewall előzetes verziójú funkciók. |
| XFF-fejléc a HTTP/S-ben | Az XFF-fejlécek felülíródnak a tűzfal által látott eredeti forrás IP-címmel. Ez a következő használati esetekben alkalmazható: - HTTP-kérések - HTTPS-kérések TLS-leállítással |
Folyamatban van a javítás kivizsgálása. |
| Nem lehet prémium verzióra frissíteni a délkelet-ázsiai régióban Availability Zones | Jelenleg nem frissíthet a délkelet-ázsiai régióban Availability Zones Azure Firewall Premiumra. | Helyezzen üzembe egy új prémium szintű tűzfalat Délkelet-Ázsiában Availability Zones nélkül, vagy helyezzen üzembe egy olyan régióban, amely támogatja a Availability Zones. |
| Nem lehet tűzfalat telepíteni Availability Zones újonnan létrehozott nyilvános IP-címmel | Ha Availability Zones tűzfalat helyez üzembe, nem használhat újonnan létrehozott nyilvános IP-címet. | Először hozzon létre egy új zónaredundáns nyilvános IP-címet, majd rendelje hozzá a korábban létrehozott IP-címet a tűzfal üzembe helyezése során. |
Azure Firewall Premium
Azure Firewall Premium a következő ismert problémákat tartalmazza:
| Probléma | Description | Kockázatcsökkentés |
|---|---|---|
| AZ FQDN-feloldás ESNI-támogatása HTTPS-ben | A https-kézfogás nem támogatja a titkosított SNI-t. | Jelenleg csak a Firefox támogatja az ESNI-t egyéni konfiguráción keresztül. Javasolt megkerülő megoldás a funkció letiltása. |
| Az ügyféltanúsítvány-hitelesítés nem támogatott | Az ügyféltanúsítványok az ügyfél és a kiszolgáló közötti kölcsönös identitásmegbízhatóság kiépítésére szolgálnak. Az ügyféltanúsítványok a TLS-egyeztetés során használatosak. Az Azure Firewall újratárgyalja a kapcsolatot a kiszolgálóval, és nem fér hozzá az ügyféltanúsítványok titkos kulcsához. | None |
| QUIC/HTTP3 | A QUIC a HTTP új főverziója. Ez egy UDP-alapú protokoll 80(PLAN) és 443 (SSL) felett. Az FQDN/URL/TLS-vizsgálat nem támogatott. | Konfigurálja az UDP 80/443 átadását hálózati szabályként. |
| Nem megbízható ügyfél által aláírt tanúsítványok | Az ügyfél által aláírt tanúsítványokat a tűzfal nem megbízhatónak minősíti, miután megkapta az intranetes webkiszolgálótól. | A javítás kivizsgálása folyamatban van. |
| Helytelen forrás IP-cím a HTTP-vel kapcsolatos IDPS-riasztásokban (TLS-vizsgálat nélkül). | Ha egyszerű szöveges HTTP-forgalom van használatban, és az IDPS új riasztást ad ki, és a cél egy nyilvános IP-cím, a megjelenített forrás IP-cím helytelen (az eredeti IP-cím helyett a belső IP-cím jelenik meg). | A javítás kivizsgálása folyamatban van. |
| Tanúsítványterjesztés | Miután a hitelesítésszolgáltatói tanúsítványt alkalmazta a tűzfalra, a tanúsítvány érvénybe lépése 5–10 percet vehet igénybe. | A javítás kivizsgálása folyamatban van. |
| TLS 1.3-támogatás | A TLS 1.3 részben támogatott. Az ügyfél és a tűzfal közötti TLS-alagút a TLS 1.2-n alapul, a tűzfalról a külső webkiszolgálóra pedig a TLS 1.3-on alapul. | Frissítések vizsgálata folyamatban van. |
| KeyVault privát végpont | A KeyVault támogatja a privát végpontok hozzáférését a hálózati kitettség korlátozásához. A megbízható Azure-szolgáltatások megkerülhetik ezt a korlátozást, ha egy kivétel a KeyVault dokumentációjában leírtak szerint van konfigurálva. Azure Firewall jelenleg nem szerepel megbízható szolgáltatásként, és nem fér hozzá a Key Vault. | A javítás kivizsgálása folyamatban van. |
| Availability Zones a Firewall Premiumhoz a délkelet-ázsiai régióban | Jelenleg nem helyezhet üzembe Azure Firewall Premiumot a délkelet-ázsiai régióban Availability Zones. | Telepítse a tűzfalat Délkelet-Ázsiában Availability Zones nélkül, vagy olyan régióban, amely támogatja a Availability Zones. |