Mi az Azure Firewall?

Azure Firewall egy natív felhőbeli és intelligens hálózati tűzfalbiztonsági szolgáltatás, amely a legjobb fenyegetésvédelmet nyújtja az Azure-ban futó felhőalapú számítási feladatokhoz. Ez egy teljes mértékben állapotalapú, szolgáltatásként nyújtott tűzfal, beépített magas rendelkezésre állással és korlátlan felhőméretezhetőséggel. Kelet-nyugati és észak-déli közlekedési ellenőrzést is biztosít.

Azure Firewall két termékváltozatban érhető el: Standard és Prémium.

Azure Firewall Standard

Azure Firewall Standard L3-L7 szűrési és fenyegetésfelderítési hírcsatornákat biztosít közvetlenül a Microsoft Cyber Securityből. A fenyegetésintelligencia-alapú szűrés riasztást küld és megtagadja az ismert rosszindulatú IP-címekről és tartományokról érkező vagy azokra irányuló forgalmat, amelyek valós időben frissülnek az új és újonnan felmerülő támadások elleni védelem érdekében.

A Tűzfal standard áttekintése

A Tűzfal standard funkcióiról további információt Azure Firewall Standard funkciók című témakörben talál.

Azure Firewall Premium

Azure Firewall Premium speciális képességeket biztosít, például az aláírásalapú IDPS-t, amely lehetővé teszi a támadások gyors észlelését adott minták keresésével. Ezek a minták tartalmazhatnak bájtsorozatokat a hálózati forgalomban, vagy a kártevők által használt ismert rosszindulatú utasításütemezéseket. Több mint 58 000 aláírás van több mint 50 kategóriában, amelyek valós időben frissülnek az új és a kialakulóban lévő biztonsági rések elleni védelem érdekében. A kihasználási kategóriák közé tartoznak a kártevők, az adathalászat, az érmebányászat és a trójai támadások.

A tűzfal prémium szintű áttekintése

A Prémium szintű tűzfalfunkciókról további információt Azure Firewall Premium-funkciókban talál.

Azure Firewall Manager

A Azure Firewall Managerrel központilag kezelheti az Azure Firewallokat több előfizetésben. A Firewall Manager tűzfalszabályzatot használ a hálózati/alkalmazásszabályok és konfigurációk közös halmazának a bérlőben lévő tűzfalakra való alkalmazásához.

A Firewall Manager támogatja a tűzfalakat a virtuális hálózatok és a virtuális WAN-környezetek (Secure Virtual Hub) környezeteiben is. A Secure Virtual Hubs a Virtual WAN útvonalautomatizálási megoldással néhány kattintással leegyszerűsíti a tűzfal felé történő útválasztást.

A Azure Firewall Managerrel kapcsolatos további információkért lásd: Azure Firewall Manager.

Díjszabás és SLA

A Azure Firewall díjszabással kapcsolatos információkért lásd Azure Firewall díjszabást.

Azure Firewall SLA-val kapcsolatos információkért lásd Azure Firewall SLA-t.

Támogatott régiók

A Azure Firewall támogatott régióiért tekintse meg a régiónként elérhető Azure-termékeket.

Újdonságok

A Azure Firewall újdonságaiért tekintse meg az Azure-frissítéseket.

Ismert problémák

Azure Firewall Standard

Azure Firewall Standard az alábbi ismert problémákkal rendelkezik:

Megjegyzés

A Standardra vonatkozó problémák a Prémiumra is vonatkoznak.

Probléma Description Kockázatcsökkentés
A nem TCP/UDP-protokollokra (például ICMP) vonatkozó hálózati szűrési szabályok nem működnek az internetre irányuló forgalom esetében A nem TCP/UDP protokollok hálózati szűrési szabályai nem működnek az SNAT-val a nyilvános IP-címhez. A nem TCP/UDP-protokollok a küllők alhálózatai és a virtuális hálózatok között támogatottak. Az Azure Firewall a Standard Load Balancert használja, amely jelenleg nem támogatja a forráshálózati címfordítást az IP-protokollokon. Egy későbbi kiadásban dolgozunk a forgatókönyv támogatásának lehetőségein.
A PowerShell és a CLI nem támogatja az ICMP-t Azure PowerShell és a parancssori felület nem támogatja az ICMP-t érvényes protokollként a hálózati szabályokban. Az ICMP protokollként továbbra is használható a portálon és a REST API-val. Dolgozunk az ICMP hozzáadásán a PowerShellben és a parancssori felületen.
Az FQDN-címkék protokoll: port megadását igénylik Az FQDN-címkékkel rendelkező alkalmazásszabályoknak port: protokolldefinícióra van szükségük. A port:protokoll értékként használhat https-t. Dolgozunk azon, hogy ez a mező választható legyen FQDN-címkék használata esetén.
Tűzfal áthelyezése másik erőforráscsoportba vagy előfizetésbe nem támogatott A tűzfal áthelyezése egy másik erőforráscsoportba vagy előfizetésbe nem támogatott. Ennek a funkciónak a támogatása az ütemtervünkön található. Ahhoz, hogy egy tűzfalat áthelyezzen másik erőforráscsoportba vagy előfizetésbe, először törölnie kell az aktuális példányt, és újra létre kell hoznia az új erőforráscsoportban vagy előfizetésben.
A fenyegetésfelderítési riasztások maszkolást kaphatnak A 80/443-at célként szolgáló hálózati szabályok a kimenő szűréshez maszkolja a fenyegetésfelderítési riasztásokat, ha csak riasztási módra vannak konfigurálva. Hozzon létre kimenő szűrést a 80/443-hoz alkalmazásszabályok használatával. Másik lehetőségként módosítsa a fenyegetésfelderítési módot riasztásra és elutasításra.
Azure Firewall DNST nem működik magánhálózati IP-címek esetén Azure Firewall DNAT támogatása az internetes kimenő/bejövő forgalomra korlátozódik. A DNAT jelenleg nem működik magánhálózati IP-célhelyeken. Például küllős. Ez egy jelenlegi korlátozás.
Nem távolítható el az első nyilvános IP-konfiguráció Minden Azure Firewall nyilvános IP-cím ip-konfigurációhoz van rendelve. Az első IP-konfiguráció a tűzfal üzembe helyezése során van hozzárendelve, és általában a tűzfal alhálózatára mutató hivatkozást is tartalmaz (kivéve, ha explicit módon másként van konfigurálva egy sablontelepítésen keresztül). Ez az IP-konfiguráció nem törölhető, mert az megszüntetné a tűzfal lefoglalását. Továbbra is módosíthatja vagy eltávolíthatja az IP-konfigurációhoz társított nyilvános IP-címet, ha a tűzfal legalább egy másik nyilvános IP-címmel rendelkezik. Ez az elvárt működés.
A rendelkezésre állási zónák csak az üzembe helyezés során konfigurálhatók. A rendelkezésre állási zónák csak az üzembe helyezés során konfigurálhatók. A tűzfal üzembe helyezése után nem konfigurálható Availability Zones. Ez az elvárt működés.
SNAT bejövő kapcsolatokon A DNAT mellett a tűzfal nyilvános IP-címén (bejövő) keresztüli kapcsolatok az egyik tűzfal privát IP-címére vannak SNAT-ként adva. Ez a követelmény (az aktív/aktív NVA-k esetében is) a szimmetrikus útválasztás biztosításához. A HTTP/S eredeti forrásának megőrzéséhez fontolja meg az XFF-fejlécek használatát. Használjon például egy olyan szolgáltatást, mint az Azure Front Door vagy Azure Application Gateway a tűzfal előtt. A WAF-ot az Azure Front Door részeként és a tűzfalhoz láncként is hozzáadhatja.
Az SQL teljes tartománynév szűrése csak proxy módban támogatott (1433-es port) Azure SQL Database, Azure Synapse Analytics és Azure SQL Managed Instance esetén:

Az SQL teljes tartománynév szűrése csak proxy módban támogatott (1433-es port).

Azure SQL IaaS esetén:

Ha nem szabványos portokat használ, ezeket a portokat megadhatja az alkalmazásszabályokban.
Átirányítási módban (ha az Azure-ból csatlakozik) az SQL szolgáltatáscímkéje helyett szűrheti a hozzáférést Azure Firewall hálózati szabályok részeként.
A kimenő SMTP-forgalom le van tiltva a 25-ös TCP-porton A 25-ös TCP-porton közvetlenül külső tartományokba (például outlook.com és gmail.com) küldött kimenő e-maileket az Azure platform blokkolhatja. Ez a platform alapértelmezett viselkedése az Azure-ban, Azure Firewall nem vezet be további konkrét korlátozásokat. Használjon hitelesített SMTP-továbbító szolgáltatásokat, amelyek általában az 587-ös TCP-porton keresztül csatlakoznak, de más portokat is támogatnak. További információ: Kimenő SMTP-kapcsolati problémák elhárítása az Azure-ban. Jelenleg előfordulhat, hogy Azure Firewall képes kommunikálni a nyilvános IP-címekkel a kimenő TCP 25 használatával, de ez nem garantált, és nem minden előfizetés-típus esetében támogatott. Magánhálózati IP-címek, például virtuális hálózatok, VPN-ek és Azure ExpressRoute esetén Azure Firewall támogatja a 25-ös TCP-port kimenő kapcsolatát.
SNAT-portok elfogyása Azure Firewall jelenleg 2496 portot támogat nyilvános IP-címenként háttérbeli virtuálisgép-méretezési csoportpéldányonként. Alapértelmezés szerint két virtuálisgép-méretezési csoportpéldány van. Tehát folyamatonként 4992 port van (cél IP-cím, célport és protokoll (TCP vagy UDP). A tűzfal legfeljebb 20 példányra méretezhető. Ez egy platformkorlátozás. A korlátok megkerüléséhez konfiguráljon legalább öt nyilvános IP-címmel rendelkező Azure Firewall üzemelő példányokat az SNAT-kimerültségnek kitett üzemelő példányokhoz. Ez ötszörösére növeli a rendelkezésre álló SNAT-portokat. Leosztás IP-címelőtagból az alsóbb rétegbeli engedélyek egyszerűsítése érdekében. Állandóbb megoldásként üzembe helyezhet egy NAT-átjárót az SNAT-port korlátainak leküzdése érdekében. Ez a megközelítés a VNET-környezetek esetében támogatott.

További információ: SNAT-portok méretezése az Azure Virtual Network NAT használatával.
A DNAT nem támogatott, ha engedélyezve van a kényszerített bújtatás A kényszerített bújtatással üzembe helyezett tűzfalak az aszimmetrikus útválasztás miatt nem támogatják az internetről érkező bejövő hozzáférést. Ezt az aszimmetrikus útválasztás miatt tervezem. A bejövő kapcsolatok visszatérési útvonala a helyszíni tűzfalon keresztül halad, amely nem látta a kapcsolat létrejöttét.
Előfordulhat, hogy a kimenő passzív FTP nem működik több nyilvános IP-címmel rendelkező tűzfalak esetében, az FTP-kiszolgáló konfigurációjától függően. A passzív FTP különböző kapcsolatokat hoz létre a vezérléshez és az adatcsatornákhoz. Amikor egy több nyilvános IP-címmel rendelkező tűzfal kimenő adatokat küld, véletlenszerűen kiválasztja a forrás IP-cím egyik nyilvános IP-címét. Az FTP sikertelen lehet, ha az adatok és a vezérlőcsatornák eltérő forrás IP-címeket használnak az FTP-kiszolgáló konfigurációjától függően. Explicit SNAT-konfigurációt tervezünk. Addig is konfigurálhatja az FTP-kiszolgálót úgy, hogy fogadja a különböző forrás IP-címekről származó adatokat és csatornákat (lásd egy IIS-példát). Másik lehetőségként érdemes lehet egyetlen IP-címet használni ebben a helyzetben.
Előfordulhat, hogy a bejövő passzív FTP nem működik az FTP-kiszolgáló konfigurációjától függően A passzív FTP különböző kapcsolatokat hoz létre a vezérléshez és az adatcsatornákhoz. A Azure Firewall bejövő kapcsolatait a rendszer az egyik tűzfal privát IP-címére irányítja a szimmetrikus útválasztás biztosítása érdekében. Az FTP sikertelen lehet, ha az adatok és a vezérlőcsatornák eltérő forrás IP-címeket használnak az FTP-kiszolgáló konfigurációjától függően. Az eredeti forrás IP-címének megőrzése folyamatban van. Addig is konfigurálhatja az FTP-kiszolgálót úgy, hogy különböző forrás IP-címekről fogadjon el adatokat és vezérlő csatornákat.
Az aktív FTP nem működik, ha az FTP-ügyfélnek el kell érnie egy FTP-kiszolgálót az interneten keresztül. Az Active FTP az FTP-ügyfél PORT parancsát használja, amely az FTP-kiszolgálónak az adatcsatornához használni kívánt IP-címet és portot irányítja. Ez a PORT parancs az ügyfél privát IP-címét használja, amely nem módosítható. A Azure Firewall áthaladó ügyféloldali forgalom NAT lesz az internetes kommunikációhoz, így a PORT parancs érvénytelennek minősül az FTP-kiszolgáló számára. Ez az Aktív FTP általános korlátozása, ha ügyféloldali NAT-tal együtt használják.
A NetworkRuleHit metrika hiányzik egy protokolldimenzióból Az ApplicationRuleHit metrika lehetővé teszi a szűrésen alapuló protokoll használatát, de ez a képesség hiányzik a megfelelő NetworkRuleHit-metrikából. Folyamatban van a javítás kivizsgálása.
A 64000 és 65535 közötti portokkal rendelkező NAT-szabályok nem támogatottak Azure Firewall engedélyezi az 1–65535 tartományban lévő portokat a hálózati és alkalmazásszabályokban, a NAT-szabályok azonban csak az 1–63999 tartományban lévő portokat támogatják. Ez egy jelenlegi korlátozás.
A konfigurációfrissítések átlagosan öt percet is igénybe vehetnek Egy Azure Firewall konfigurációs frissítés átlagosan 3–5 percet vehet igénybe, és a párhuzamos frissítések nem támogatottak. Folyamatban van a javítás kivizsgálása.
Azure Firewall SNI TLS-fejléceket használ a HTTPS- és MSSQL-forgalom szűréséhez Ha a böngésző- vagy kiszolgálószoftver nem támogatja a Kiszolgálónév-jelző (SNI) bővítményt, nem tud csatlakozni Azure Firewall keresztül. Ha a böngésző- vagy kiszolgálószoftver nem támogatja az SNI-t, akkor lehetséges, hogy egy alkalmazásszabály helyett egy hálózati szabály használatával szabályozhatja a kapcsolatot. Lásd az SNI-t támogató szoftverek kiszolgálónév-jelzését .
Nem lehet tűzfalszabályzat-címkéket hozzáadni a portál vagy az Azure Resource Manager (ARM) sablonjaival Azure Firewall Szabályzat olyan javítástámogatási korlátozással rendelkezik, amely megakadályozza, hogy címkét adjon hozzá az Azure Portal vagy ARM-sablonok használatával. A következő hiba jön létre: Az erőforrás címkéi nem menthetők. Folyamatban van a javítás kivizsgálása. Vagy a Azure PowerShell parancsmaggal Set-AzFirewallPolicy frissítheti a címkéket.
Az IPv6 jelenleg nem támogatott Ha IPv6-címet ad hozzá egy szabályhoz, a tűzfal meghibásodik. Csak IPv4-címeket használjon. Folyamatban van az IPv6-támogatás vizsgálata.
Több IP-csoport frissítése ütközési hibával meghiúsul. Ha két vagy több, ugyanahhoz a tűzfalhoz csatolt IP-csoportot frissít, az egyik erőforrás meghibásodik. Ez egy ismert probléma/korlátozás.

Amikor frissít egy IP-csoportot, az aktivál egy frissítést minden olyan tűzfalon, amelyhez az IPGroup csatlakozik. Ha egy második IP-csoport frissítése akkor indul el, amikor a tűzfal még frissítési állapotban van, az IPGroup frissítése sikertelen lesz.

A hiba elkerülése érdekében az ugyanahhoz a tűzfalhoz csatolt IP-csoportokat egyenként frissíteni kell. A frissítések között elegendő időt hagyhat, hogy a tűzfal kikerüljön a frissítési állapotból.
A RuleCollectionGroups arm-sablonokkal való eltávolítása nem támogatott. A RuleCollectionGroup ARM-sablonokkal való eltávolítása nem támogatott, és sikertelenséget eredményez. Ez nem támogatott művelet.
A (*) engedélyezésére vonatkozó DNAT-szabály az SNAT-forgalmat fogja használni. Ha egy DNAT-szabály a forrás IP-címeként bármelyiket (*) engedélyezi, akkor az implicit hálózati szabály megfelel VNet-VNet forgalomnak, és mindig SNAT-ként kezeli a forgalmat. Ez egy jelenlegi korlátozás.
A DNAT-szabály biztonsági szolgáltatóval rendelkező biztonságos virtuális központhoz való hozzáadása nem támogatott. Ez a visszaadott DNST-forgalom aszinkron útvonalát eredményezi, amely a biztonsági szolgáltatóhoz kerül. Nem támogatott.
Hiba történt több mint 2000 szabálygyűjtemény létrehozásakor. A NAT-/alkalmazás- vagy hálózatiszabály-gyűjtemények maximális száma 2000 (Resource Manager korlát). Ez egy jelenlegi korlátozás.
A hálózati szabály neve nem látható Azure Firewall naplókban Azure Firewall hálózati szabály naplóadatai nem jelenítik meg a hálózati forgalom szabálynevét. A hálózati szabálynév naplózása előzetes verzióban érhető el. További információ: Azure Firewall előzetes verziójú funkciók.
XFF-fejléc a HTTP/S-ben Az XFF-fejlécek felülíródnak a tűzfal által látott eredeti forrás IP-címmel. Ez a következő használati esetekben alkalmazható:
- HTTP-kérések
- HTTPS-kérések TLS-leállítással
Folyamatban van a javítás kivizsgálása.
Nem lehet prémium verzióra frissíteni a délkelet-ázsiai régióban Availability Zones Jelenleg nem frissíthet a délkelet-ázsiai régióban Availability Zones Azure Firewall Premiumra. Helyezzen üzembe egy új prémium szintű tűzfalat Délkelet-Ázsiában Availability Zones nélkül, vagy helyezzen üzembe egy olyan régióban, amely támogatja a Availability Zones.
Nem lehet tűzfalat telepíteni Availability Zones újonnan létrehozott nyilvános IP-címmel Ha Availability Zones tűzfalat helyez üzembe, nem használhat újonnan létrehozott nyilvános IP-címet. Először hozzon létre egy új zónaredundáns nyilvános IP-címet, majd rendelje hozzá a korábban létrehozott IP-címet a tűzfal üzembe helyezése során.

Azure Firewall Premium

Azure Firewall Premium a következő ismert problémákat tartalmazza:

Probléma Description Kockázatcsökkentés
AZ FQDN-feloldás ESNI-támogatása HTTPS-ben A https-kézfogás nem támogatja a titkosított SNI-t. Jelenleg csak a Firefox támogatja az ESNI-t egyéni konfiguráción keresztül. Javasolt megkerülő megoldás a funkció letiltása.
Az ügyféltanúsítvány-hitelesítés nem támogatott Az ügyféltanúsítványok az ügyfél és a kiszolgáló közötti kölcsönös identitásmegbízhatóság kiépítésére szolgálnak. Az ügyféltanúsítványok a TLS-egyeztetés során használatosak. Az Azure Firewall újratárgyalja a kapcsolatot a kiszolgálóval, és nem fér hozzá az ügyféltanúsítványok titkos kulcsához. None
QUIC/HTTP3 A QUIC a HTTP új főverziója. Ez egy UDP-alapú protokoll 80(PLAN) és 443 (SSL) felett. Az FQDN/URL/TLS-vizsgálat nem támogatott. Konfigurálja az UDP 80/443 átadását hálózati szabályként.
Nem megbízható ügyfél által aláírt tanúsítványok Az ügyfél által aláírt tanúsítványokat a tűzfal nem megbízhatónak minősíti, miután megkapta az intranetes webkiszolgálótól. A javítás kivizsgálása folyamatban van.
Helytelen forrás IP-cím a HTTP-vel kapcsolatos IDPS-riasztásokban (TLS-vizsgálat nélkül). Ha egyszerű szöveges HTTP-forgalom van használatban, és az IDPS új riasztást ad ki, és a cél egy nyilvános IP-cím, a megjelenített forrás IP-cím helytelen (az eredeti IP-cím helyett a belső IP-cím jelenik meg). A javítás kivizsgálása folyamatban van.
Tanúsítványterjesztés Miután a hitelesítésszolgáltatói tanúsítványt alkalmazta a tűzfalra, a tanúsítvány érvénybe lépése 5–10 percet vehet igénybe. A javítás kivizsgálása folyamatban van.
TLS 1.3-támogatás A TLS 1.3 részben támogatott. Az ügyfél és a tűzfal közötti TLS-alagút a TLS 1.2-n alapul, a tűzfalról a külső webkiszolgálóra pedig a TLS 1.3-on alapul. Frissítések vizsgálata folyamatban van.
KeyVault privát végpont A KeyVault támogatja a privát végpontok hozzáférését a hálózati kitettség korlátozásához. A megbízható Azure-szolgáltatások megkerülhetik ezt a korlátozást, ha egy kivétel a KeyVault dokumentációjában leírtak szerint van konfigurálva. Azure Firewall jelenleg nem szerepel megbízható szolgáltatásként, és nem fér hozzá a Key Vault. A javítás kivizsgálása folyamatban van.
Availability Zones a Firewall Premiumhoz a délkelet-ázsiai régióban Jelenleg nem helyezhet üzembe Azure Firewall Premiumot a délkelet-ázsiai régióban Availability Zones. Telepítse a tűzfalat Délkelet-Ázsiában Availability Zones nélkül, vagy olyan régióban, amely támogatja a Availability Zones.

Következő lépések