Apa itu Azure Firewall?

Azure Firewall adalah layanan keamanan firewall jaringan cerdas dan jaringan cloud-native yang memberikan perlindungan ancaman terbaik untuk beban kerja cloud Anda yang berjalan di Azure. Azure Firewall ini merupakan firewall yang sepenuhnya berstatus penuh sebagai layanan dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Firewall ini menyediakan inspeksi lalu lintas timur-barat dan utara-selatan.

Azure Firewall ditawarkan dalam dua SKU: Standar dan Premium.

Azure Firewall Standar

Azure Firewall Standard menyediakan pemfilteran L3-L7 dan inteligensi ancaman langsung dari Microsoft Cyber ​​Security. Pemfilteran berbasis inteligensi ancaman dapat memberitahukan dan menolak lalu lintas dari/ke alamat IP beserta domain berbahaya yang diketahui dan diperbarui secara real time untuk melindungi dari serangan baru dan serangan yang telah muncul.

Gambaran umum Firewall Standar

Untuk mempelajari tentang fitur Firewall Standar, lihat fitur Azure Firewall Standar.

Azure Firewall Premium

Azure Firewall Premium menyediakan kemampuan canggih termasuk IDPS berbasis tanda tangan untuk memungkinkan deteksi cepat terkait serangan dengan mencari pola tertentu. Pola ini dapat mencakup urutan byte dalam lalu lintas jaringan, atau urutan instruksi berbahaya yang diketahui dan digunakan oleh malware. Ada lebih dari 58.000 tanda tangan di lebih dari 50 kategori yang diperbarui secara real time untuk melindungi eksploitasi baru dan yang muncul. Kategori eksploitasi termasuk malware, phishing, penambangan koin, dan serangan Trojan.

Gambaran umum Firewall Premium

Untuk mempelajari fitur Firewall Premium, lihat fitur Azure Firewall Premium.

Azure Firewall Manager

Anda dapat menggunakan Azure Firewall Manager untuk mengelola Azure Firewall secara terpusat di beberapa langganan. Firewall Manager memanfaatkan kebijakan firewall untuk menerapkan seperangkat aturan dan konfigurasi jaringan/aplikasi yang umum ke firewall di penyewa Anda.

Firewall Manager mendukung firewall di lingkungan VNet dan Virtual WAN (Secure Virtual Hubs). Secure Virtual Hubs menggunakan solusi otomatisasi rute Virtual WAN untuk menyederhanakan lalu lintas perutean ke firewall dengan beberapa klik.

Untuk mempelajari lebih lanjut tentang Azure Firewall Manager, lihat Azure Firewall Manager.

Harga dan SLA

Untuk informasi harga Azure Firewall, lihat Harga Azure Firewall.

Untuk informasi SLA Azure Firewall, lihat SLA Azure Firewall.

Apa yang baru

Untuk mempelajari apa yang baru dalam Azure Firewall, lihat Pembaruan Azure.

Masalah yang diketahui

Azure Firewall memiliki masalah umum berikut:

Masalah Deskripsi Mitigasi
Aturan pemfilteran jaringan untuk protokol non-TCP/UDP (misalnya ICMP) tidak berfungsi untuk lalu lintas terikat Internet Aturan pemfilteran jaringan untuk protokol non-TCP/UDP tidak berfungsi dengan SNAT ke alamat IP publik Anda. Protokol non-TCP/UDP didukung antara subnet spoke dan VNet. Azure Firewall menggunakan Standard Load Balancer, yang tidak mendukung SNAT untuk protokol IP hari ini. Kami sedang mengeksplorasi opsi untuk mendukung skenario ini dalam rilis mendatang.
Dukungan PowerShell dan CLI untuk ICMP tidak ada Azure PowerShell dan CLI tidak mendukung ICMP sebagai protokol yang valid dalam aturan jaringan. Masih dimungkinkan untuk menggunakan ICMP sebagai protokol melalui portal dan REST API. Kami berupaya untuk menambahkan ICMP di PowerShell dan CLI segera.
Tag FQDN memerlukan protokol: port yang akan diatur Aturan aplikasi dengan tag FQDN memerlukan port: definisi protokol. Anda dapat menggunakan https sebagai port: nilai protokol. Kami berupaya menjadikan bidang ini opsional saat tag FQDN digunakan.
Memindahkan firewall ke grup sumber daya atau langganan yang berbeda tidak didukung Memindahkan firewall ke grup sumber daya atau langganan yang berbeda tidak didukung. Mendukung fungsi ini ada di peta jalan kami. Untuk memindahkan firewall ke grup sumber daya atau langganan yang berbeda, Anda harus menghapus instans saat ini dan membuatnya kembali di grup sumber daya atau langganan baru.
Pemberitahuan inteligensi ancaman mungkin tersembunyi Aturan jaringan dengan tujuan 80/443 untuk pemfilteran keluar menyembunyikan pemberitahuan inteligensi ancaman saat dikonfigurasi ke mode hanya peringatan. Buat pemfilteran keluar untuk 80/443 menggunakan aturan aplikasi. Atau, ubah mode inteligensi ancaman menjadi Waspada dan Tolak.
DNAT Azure Firewall tidak berfungsi untuk tujuan IP privat Dukungan DNAT Azure Firewall terbatas pada egress/ingress Internet. DNAT saat ini tidak berfungsi untuk tujuan IP privat. Misalnya, spoke ke spoke. Ini adalah batasan saat ini.
Tidak dapat menghapus konfigurasi IP publik pertama Setiap alamat IP publik Azure Firewall ditetapkan ke konfigurasi IP. Konfigurasi IP pertama ditetapkan selama penyebaran firewall, dan biasanya juga berisi referensi ke subnet firewall (kecuali dikonfigurasi berbeda secara eksplisit melalui penyebaran templat). Anda tidak dapat menghapus konfigurasi IP ini karena akan membatalkan alokasi firewall. Anda masih dapat mengubah atau menghapus alamat IP publik yang terkait dengan konfigurasi IP ini jika firewall memiliki setidaknya satu alamat IP publik lain yang tersedia untuk digunakan. Ini memang disengaja.
Zona ketersediaan hanya dapat dikonfigurasi selama penyebaran. Zona ketersediaan hanya dapat dikonfigurasi selama penyebaran. Anda tidak dapat mengonfigurasi Zona Ketersediaan setelah firewall disebarkan. Ini memang disengaja.
SNAT pada koneksi masuk Selain DNAT, koneksi melalui alamat IP publik firewall (masuk) di-SNAT ke salah satu IP privat firewall. Persyaratan ini hari ini (juga untuk NVA Aktif/Aktif) untuk memastikan perutean simetris. Untuk mempertahankan sumber asli untuk HTTP/S, pertimbangkan untuk menggunakan header XFF. Misalnya, gunakan layanan seperti Azure Front Door atau Azure Application Gateway di depan firewall. Anda juga dapat menambahkan WAF sebagai bagian dari Azure Front Door dan rantai ke firewall.
Dukungan pemfilteran SQL FQDN hanya dalam mode proksi (port 1433) Untuk Instans Terkelola Azure SQL Database, Azure Synapse Analytics, dan Azure SQL:

Pemfilteran SQL FQDN didukung hanya dalam mode proksi (port 1433).

Untuk IaaS Azure SQL:

Jika Anda menggunakan port non-standar, Anda dapat menentukan port tersebut dalam aturan aplikasi.
Untuk SQL dalam mode pengalihan (default jika menghubungkan dari dalam Azure), Anda dapat memfilter akses menggunakan tag layanan SQL sebagai bagian dari aturan jaringan Azure Firewall.
Lalu lintas SMTP keluar pada port 25 TCP diblokir Pesan email keluar yang dikirim langsung ke domain eksternal (seperti outlook.com dan gmail.com) pada port 25 TCP diblokir oleh Azure Firewall. Ini adalah perilaku platform default di Azure. Gunakan layanan relay SMTP terautentikasi yang biasanya tersambung melalui port 587 TCP, tetapi juga mendukung port lainnya. Untuk informasi lebih lanjut, lihat Memecahkan masalah konektivitas SMTP keluar di Azure. Saat ini, mungkin Azure Firewall dapat berkomunikasi dengan IP publik dengan menggunakan TCP 25 keluar, tetapi tidak dijamin dapat bekerja, dan juga tidak didukung untuk semua jenis langganan. Untuk IP pribadi seperti jaringan virtual, VPN, dan Azure ExpressRoute, Azure Firewall mendukung koneksi keluar dari port 25 TCP.
Kehabisan port SNAT Azure Firewall saat ini mendukung 1024 port per alamat IP Publik per instans set skala mesin virtual backend. Secara default, ada dua instans set skala komputer virtual. Ini adalah batasan SLB dan kami terus mencari peluang untuk meningkatkan batas. Sementara itu, disarankan untuk mengonfigurasi penyebaran Azure Firewall dengan minimal lima alamat IP publik untuk penyebaran yang rentan terhadap kehabisan SNAT. Ini meningkatkan port SNAT yang tersedia sebanyak lima kali. Alokasikan dari awalan alamat IP untuk menyederhanakan izin downstream.
DNAT tidak didukung dengan mengaktifkan Penerowongan Paksa Firewall yang disebarkan dengan mengaktifkan Penerowongan Paksa tidak dapat mendukung akses masuk dari Internet karena perutean asimetris. Ini dirancang karena perutean asimetris. Jalur pengembalian untuk koneksi masuk melalui firewall lokal, yang belum melihat koneksi yang dibuat.
FTP Pasif Keluar mungkin tidak berfungsi untuk Firewall dengan beberapa alamat IP publik, tergantung pada konfigurasi server FTP Anda. FTP Pasif membuat koneksi yang berbeda untuk kontrol dan saluran data. Saat Firewall dengan beberapa alamat IP publik mengirim data keluar, Firewall secara acak memilih salah satu alamat IP publik untuk alamat IP sumber. FTP mungkin gagal saat saluran data dan kontrol menggunakan alamat IP sumber yang berbeda, tergantung pada konfigurasi server FTP Anda. Konfigurasi SNAT eksplisit direncanakan. Sementara itu, Anda dapat mengonfigurasi server FTP untuk menerima data dan mengontrol saluran dari alamat IP sumber yang berbeda (lihat contoh untuk IIS). Atau, pertimbangkan untuk menggunakan satu alamat IP dalam situasi ini.
FTP Pasif Masuk mungkin tidak berfungsi tergantung pada konfigurasi server FTP Anda FTP Pasif membuat koneksi yang berbeda untuk kontrol dan saluran data. Koneksi masuk di Azure Firewall di-SNAT ke salah satu alamat IP privat firewall untuk memastikan perutean simetris. FTP mungkin gagal saat saluran data dan kontrol menggunakan alamat IP sumber yang berbeda, tergantung pada konfigurasi server FTP Anda. Mempertahankan alamat IP sumber asli sedang diselidiki. Sementara itu, Anda dapat mengonfigurasi server FTP untuk menerima saluran data dan kontrol dari alamat IP sumber yang berbeda.
FTP aktif tidak akan bekerja ketika klien FTP harus mencapai server FTP di internet. FTP aktif menggunakan perintah PORT dari klien FTP yang memberi tahu server FTP alamat IP dan port yang digunakan untuk saluran data. Perintah PORT ini menggunakan alamat IP privat klien yang tidak dapat diubah. Lalu lintas sisi klien yang melintasi Azure Firewall akan menjadi NAT untuk komunikasi berbasis Internet, sehingga membuat perintah PORT dianggap tidak valid oleh server FTP. Ini adalah batasan umum FTP Aktif bila digunakan bersama dengan NAT sisi klien.
Metrik NetworkRuleHit kehilangan dimensi protokol Metrik ApplicationRuleHit memungkinkan protokol berbasis pemfilteran, tetapi kemampuan ini hilang dalam metrik NetworkRuleHit yang sesuai. Hal ini sedang diselidiki.
Aturan NAT dengan port antara 64000 dan 65535 tidak didukung Azure Firewall memungkinkan port apa pun dalam rentang 1-65535 dalam aturan jaringan dan aplikasi, namun aturan NAT hanya mendukung port dalam rentang 1-63999. Ini adalah batasan saat ini.
Pembaruan konfigurasi mungkin memakan waktu rata-rata lima menit Pembaruan konfigurasi Azure Firewall rata-rata dapat memakan waktu tiga hingga lima menit, dan pembaruan paralel tidak didukung. Hal ini sedang diselidiki.
Azure Firewall menggunakan header SNI TLS untuk memfilter lalu lintas HTTPS dan MSSQL Jika browser atau perangkat lunak server tidak mendukung ekstensi Indikator Nama Server (SNI), Anda tidak dapat terhubung melalui Azure Firewall. Jika perangkat lunak browser atau server tidak mendukung SNI, Anda mungkin dapat mengontrol koneksi menggunakan aturan jaringan alih-alih aturan aplikasi. Lihat Indikasi Nama Server untuk perangkat lunak yang mendukung SNI.
DNS kustom tidak berfungsi dengan penerowongan paksa Jika penerowongan paksa diaktifkan, DNS kustom tidak berfungsi. Hal ini sedang diselidiki.
Mulai/Hentikan tidak berfungsi dengan firewall yang dikonfigurasi dalam mode terowongan paksa Mulai/hentikan tidak berfungsi dengan firewall Azure yang dikonfigurasi dalam mode terowongan paksa. Mencoba memulai Azure Firewall dengan penerowongan paksa yang dikonfigurasi menghasilkan kesalahan berikut:

Set-AzFirewall: Konfigurasi IP pengelolaan AzureFirewall FW-xx tidak dapat ditambahkan ke firewall yang ada. Sebarkan ulang dengan konfigurasi IP pengelolaan jika Anda ingin menggunakan dukungan penerowongan paksa.
StatusCode: 400
ReasonPhrase: Permintaan Buruk
Sedang diselidiki.

Sebagai solusinya, Anda dapat menghapus firewall yang ada dan membuat firewall baru dengan parameter yang sama.
Tidak dapat menambahkan tag kebijakan firewall menggunakan portal atau templat Azure Resource Manager (ARM) Kebijakan Azure Firewall memiliki batasan dukungan patch yang mencegah Anda agar tidak menambahkan tag menggunakan portal Azure atau templat ARM. Kesalahan berikut dibuat: Tidak dapat menyimpan tag untuk sumber daya. Hal ini sedang diselidiki. Atau, Anda dapat menggunakan cmdlet Azure PowerShell Set-AzFirewallPolicy untuk memperbarui tag.
IPv6 saat ini tidak didukung Jika Anda menambahkan alamat IPv6 ke aturan, firewall gagal. Gunakan hanya alamat IPv4. Dukungan IPv6 sedang diselidiki.
Memperbarui beberapa Grup IP gagal dengan kesalahan konflik. Saat Anda memperbarui dua atau beberapa IP Group yang dipasang ke firewall yang sama, salah satu resource berada dalam status gagal. Ini adalah batasan/masalah umum.

Saat Anda memperbarui IP Group, pembaruan dipicu pada semua firewall tempat IP Group dipasang. Jika pembaruan ke IPGroup kedua dimulai saat firewall masih dalam status Memperbarui, pembaruan IPGroup gagal.

Untuk menghindari kegagalan tersebut, IPGroups yang terpasang ke firewall yang sama harus diperbarui satu per satu. Berikan waktu yang cukup antara pembaruan untuk mengizinkan firewall keluar dari status Memperbarui.
Menghapus RuleCollectionGroups menggunakan templat ARM tidak didukung. Menghapus RuleCollectionGroup menggunakan templat ARM tidak didukung dan mengakibatkan kegagalan. Operasi ini tidak didukung.
Aturan DNAT untuk mengizinkan berbagai (*) lalu lintas SNAT. Jika aturan DNAT memungkinkan berbagai (*) sebagai alamat IP Sumber, maka aturan Jaringan implisit akan cocok dengan lalu lintas VNet-VNet dan akan selalu SNAT lalu lintas. Ini adalah batasan saat ini.
Tambahkan aturan DNAT ke hub virtual aman dengan penyedia keamanan tidak didukung. Ini menghasilkan rute asinkron untuk lalu lintas DNAT yang kembali, yang masuk ke penyedia keamanan. Tidak didukung.
Kesalahan ditemukan saat membuat lebih dari 2000 koleksi aturan. Jumlah maksimal pengumpulan aturan NAT/Aplikasi atau Jaringan adalah 2000 (Batas Resource Manager). Ini adalah batasan saat ini.
Tidak bisa melihat Nama Aturan Jaringan di Log Azure Firewall Data log aturan jaringan Azure Firewall tidak menampilkan nama Aturan untuk lalu lintas jaringan. Sebuah fitur sedang diselidiki untuk mendukung hal ini.

Langkah berikutnya