Informazioni sul firewall di AzureWhat is Azure Firewall?

Certificazione ICSA

Firewall di Azure è un servizio di sicurezza di rete gestito basato sul cloud che consente di proteggere le risorse della rete virtuale di Azure.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. È un firewall con stato completo distribuito come servizio con disponibilità elevata e scalabilità cloud senza limiti.It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

Panoramica del firewall

È possibile creare, applicare e registrare criteri di connettività di applicazione e di rete in modo centralizzato tra le sottoscrizioni e le reti virtuali.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Firewall di Azure usa un indirizzo IP pubblico statico per le risorse della rete virtuale consentendo ai firewall esterni di identificare il traffico proveniente dalla rete virtuale.Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. Il servizio è completamente integrato con Monitoraggio di Azure per la registrazione e l'analisi.The service is fully integrated with Azure Monitor for logging and analytics.

Per informazioni sulle funzionalità di Firewall di Azure, vedere Funzionalità di Firewall di Azure.To learn about Azure Firewall features, see Azure Firewall features.

Anteprima di Azure Firewall PremiumAzure Firewall Premium Preview

Azure Firewall Premium Preview è un firewall di nuova generazione con funzionalità necessarie per ambienti altamente sensibili e regolamentati.Azure Firewall Premium Preview is a next generation firewall with capabilities that are required for highly sensitive and regulated environments. Queste funzionalità includono ispezione TLS, IDP, filtro URL e categorie Web.These capabilities include TLS inspection, IDPS, URL filtering, and Web categories.

Per informazioni sulle funzionalità di anteprima di Azure Firewall Premium, vedere funzionalità di anteprima di Azure Firewall Premium.To learn about Azure Firewall Premium Preview features, see Azure Firewall Premium Preview features.

Per informazioni sul modo in cui l'anteprima di Firewall Premium è configurata nel portale di Azure, vedere Anteprima di Azure Firewall Premium nel portale di Azure.To see how the Firewall Premium Preview is configured in the Azure portal, see Azure Firewall Premium Preview in the Azure portal.

Prezzi e contratto di servizioPricing and SLA

Per informazioni sui prezzi di Firewall di Azure, vedere Prezzi di Firewall di Azure.For Azure Firewall pricing information, see Azure Firewall pricing.

Per informazioni sul contratto di servizio di Firewall di Azure, vedere Contratto di servizio di Firewall di Azure.For Azure Firewall SLA information, see Azure Firewall SLA.

NovitàWhat's new

Per informazioni sulle novità di Firewall di Azure, vedere Aggiornamenti di Azure.To learn what's new with Azure Firewall, see Azure updates.

Problemi notiKnown issues

Il Firewall di Azure presenta i problemi noti seguenti:Azure Firewall has the following known issues:

ProblemaIssue DescrizioneDescription Strategia di riduzione del rischioMitigation
Le regole di filtro di rete per i protocolli non TCP/UDP (ad esempio ICMP) non funzionano per il traffico associato a InternetNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic Le regole di filtro di rete per i protocolli non TCP/UDP non funzionano con SNAT per l'indirizzo IP pubblico.Network filtering rules for non-TCP/UDP protocols don't work with SNAT to your public IP address. I protocolli non TCP/UDP sono supportati tra le subnet spoke e le reti virtuali.Non-TCP/UDP protocols are supported between spoke subnets and VNets. Firewall di Azure usa Load Balancer Standard, che attualmente non supporta SNAT per i protocolli IP.Azure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Sono in fase di studio opzioni per supportare questo scenario in una versione futura.We're exploring options to support this scenario in a future release.
Supporto di PowerShell e CLI mancante per ICMPMissing PowerShell and CLI support for ICMP Azure PowerShell e l'interfaccia della riga di comando non supportano ICMP come protocollo valido nelle regole di rete.Azure PowerShell and CLI don't support ICMP as a valid protocol in network rules. È comunque possibile usare ICMP come protocollo tramite il portale e l'API REST.It's still possible to use ICMP as a protocol via the portal and the REST API. A breve ICMP sarà aggiunto anche in PowerShell e nell'interfaccia della riga di comando.We're working to add ICMP in PowerShell and CLI soon.
I tag FQDN richiedono l'impostazione di protocol:portFQDN tags require a protocol: port to be set Le regole di applicazione con tag FQDN richiedono la definizione port:protocol.Application rules with FQDN tags require port: protocol definition. È possibile usare https come valore port:protocol.You can use https as the port: protocol value. A breve questo campo sarà reso facoltativo quando vengono usati i tag FQDN.We're working to make this field optional when FQDN tags are used.
Lo spostamento di un firewall in un altro gruppo di risorse o un'altra sottoscrizione non è supportatoMoving a firewall to a different resource group or subscription isn't supported Lo spostamento di un firewall in un altro gruppo di risorse o un'altra sottoscrizione non è supportato.Moving a firewall to a different resource group or subscription isn't supported. Il supporto di questa funzionalità è previsto per il futuro.Supporting this functionality is on our road map. Per spostare un firewall in un altro gruppo di risorse o sottoscrizione, è necessario eliminare l'istanza corrente e ricrearla nel nuovo gruppo di risorse o sottoscrizione.To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
Gli avvisi dell'intelligence per le minacce possono essere mascheratiThreat intelligence alerts may get masked Le regole di rete con destinazione 80/443 per i filtri in uscita mascherano gli avvisi di intelligence quando sono configurati in modalità di solo avviso.Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. Creare filtri in uscita per 80/443 usando le regole dell'applicazione.Create outbound filtering for 80/443 using application rules. Oppure impostare la modalità di intelligence per le minacce su Alert and Deny (Avviso e rifiuto).Or, change the threat intelligence mode to Alert and Deny.
La modalità DNAT del Firewall di Azure non funziona per le destinazioni IP privateAzure Firewall DNAT doesn't work for private IP destinations Il supporto di DNAT del Firewall di Azure è limitato al traffico Internet in uscita/in ingresso.Azure Firewall DNAT support is limited to Internet egress/ingress. La modalità DNAT attualmente non funziona per le destinazioni IP private,DNAT doesn't currently work for private IP destinations. ad esempio da spoke a spoke.For example, spoke to spoke. Si tratta di una limitazione corrente.This is a current limitation.
Non è possibile rimuovere la configurazione del primo indirizzo IP pubblicoCan't remove first public IP configuration Ogni indirizzo IP pubblico di Firewall di Azure è assegnato a una configurazione IP.Each Azure Firewall public IP address is assigned to an IP configuration. La prima configurazione IP viene assegnata durante la distribuzione del firewall e contiene in genere anche un riferimento alla subnet del firewall (a meno che non sia configurata diversamente in modo esplicito tramite una distribuzione modello).The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). Non è possibile eliminare questa configurazione IP perché l'eliminazione comporterebbe la deallocazione del firewall.You can't delete this IP configuration because it would de-allocate the firewall. È comunque possibile modificare o rimuovere l'indirizzo IP pubblico associato a questa configurazione IP se per il firewall esiste almeno un altro indirizzo IP pubblico disponibile per l'uso.You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. Questo si verifica per motivi strutturali.This is by design.
Le zone di disponibilità possono essere configurate solo durante la distribuzione.Availability zones can only be configured during deployment. Le zone di disponibilità possono essere configurate solo durante la distribuzione.Availability zones can only be configured during deployment. Non è possibile configurare le zone di disponibilità dopo aver distribuito un firewall.You can't configure Availability Zones after a firewall has been deployed. Questo si verifica per motivi strutturali.This is by design.
SNAT sulle connessioni in ingressoSNAT on inbound connections Oltre a DNAT, le connessioni tramite l'indirizzo IP pubblico del firewall (in ingresso) sono inviate tramite SNAT a uno degli indirizzi IP privati del firewall.In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. Questo requisito è attualmente previsto (anche per le appliance virtuali di rete in modalità attivo/attivo) per consentire il routing simmetrico.This requirement today (also for Active/Active NVAs) to ensure symmetric routing. Per mantenere l'origine iniziale per HTTP/S, prendere in considerazione l'uso delle intestazioni XFF.To preserve the original source for HTTP/S, consider using XFF headers. Usare ad esempio un servizio come Frontdoor di Azure o Gateway applicazione di Azure prima del firewall.For example, use a service such as Azure Front Door or Azure Application Gateway in front of the firewall. È anche possibile aggiungere WAF come parte di Frontdoor di Azure e concatenarlo al firewall.You can also add WAF as part of Azure Front Door and chain to the firewall.
Supporto per il filtro FQDN di SQL disponibile solo in modalità proxy (porta 1433)SQL FQDN filtering support only in proxy mode (port 1433) Per Database SQL di Azure, Azure Synapse Analytics e Istanza gestita di SQL di Azure:For Azure SQL Database, Azure Synapse Analytics, and Azure SQL Managed Instance:

Il filtro FQDN di SQL è supportato solo in modalità proxy (porta 1433).SQL FQDN filtering is supported in proxy-mode only (port 1433).

Per SQL IaaS di Azure:For Azure SQL IaaS:

Se si usano porte non standard, è possibile specificarle nelle regole dell'applicazione.If you're using non-standard ports, you can specify those ports in the application rules.
Per SQL in modalità di reindirizzamento, che è l'impostazione predefinita se la connessione viene effettuata dall'interno di Azure, è invece possibile filtrare l'accesso usando il tag di servizio SQL nell'ambito delle regole di rete di Firewall di Azure.For SQL in redirect mode (the default if connecting from within Azure), you can instead filter access using the SQL service tag as part of Azure Firewall network rules.
Il traffico in uscita dalla porta TCP 25 non è consentitoOutbound traffic on TCP port 25 isn't allowed Le connessioni SMTP in uscita che usano la porta TCP 25 vengono bloccate.Outbound SMTP connections that use TCP port 25 are blocked. La porta 25 viene usata principalmente per il recapito di posta elettronica non autenticata.Port 25 is primarily used for unauthenticated email delivery. Si tratta del comportamento predefinito della piattaforma per le macchine virtuali.This is the default platform behavior for virtual machines. Per altre informazioni, vedere Risolvere i problemi di connettività SMTP in uscita in Azure.For more information, see more Troubleshoot outbound SMTP connectivity issues in Azure. Tuttavia, a differenza delle macchine virtuali, non è attualmente possibile abilitare questa funzionalità nel firewall di Azure.However, unlike virtual machines, it isn't currently possible to enable this functionality on Azure Firewall. Nota: per consentire SMTP autenticato (porta 587) o SMTP su una porta diversa da 25, assicurarsi di configurare una regola di rete e non una regola dell'applicazione perché l'ispezione SMTP non è al momento supportata.Note: to allow authenticated SMTP (port 587) or SMTP over a port other than 25, make sure you configure a network rule and not an application rule as SMTP inspection isn't supported at this time. Seguire il metodo consigliato per inviare messaggi di posta elettronica come illustrato nell'articolo sulla risoluzione dei problemi di SMTP.Follow the recommended method to send email, as documented in the SMTP troubleshooting article. In alternativa, escludere la macchina virtuale che necessita dell'accesso SMTP in uscita dalla route predefinita al firewallOr, exclude the virtual machine that needs outbound SMTP access from your default route to the firewall. e configurare invece l'accesso in uscita direttamente in Internet.Instead, configure outbound access directly to the internet.
Il valore visualizzato dalla metrica di utilizzo delle porte SNAT è 0%SNAT port utilization metric shows 0% La metrica di utilizzo delle porte SNAT di Firewall di Azure può mostrare un utilizzo dello 0% anche quando vengono usate porte SNAT.The Azure Firewall SNAT port utilization metric may show 0% usage even when SNAT ports are used. In questo caso, l'uso della metrica come parte della metrica di integrità del firewall fornisce un risultato non corretto.In this case, using the metric as part of the firewall health metric provides an incorrect result. Questo problema è stato risolto e l'implementazione nell'ambiente di produzione è prevista nel mese di maggio 2020.This issue has been fixed and rollout to production is targeted for May 2020. La ridistribuzione del firewall risolve il problema in alcuni casi, ma non in modo coerente.In some cases, firewall redeployment resolves the issue, but it's not consistent. Come soluzione alternativa intermedia, usare lo stato di integrità del firewall per cercare solo lo stato degradato e non lo stato non integro.As an intermediate workaround, only use the firewall health state to look for status=degraded, not for status=unhealthy. L'esaurimento delle porte viene visualizzato come stato degradato.Port exhaustion will show as degraded. Non integro è riservato per un uso futuro quando sono più metriche per influire sull'integrità del firewall.Not healthy is reserved for future use when the are more metrics to affect the firewall health.
DNAT non è supportato con il tunneling forzato abilitatoDNAT isn't supported with Forced Tunneling enabled I firewall distribuiti con il tunneling forzato abilitato non supportano l'accesso in ingresso da Internet a causa del routing simmetrico.Firewalls deployed with Forced Tunneling enabled can't support inbound access from the Internet because of asymmetric routing. Si tratta di una scelta per progettazione.This is by design because of asymmetric routing. Il percorso di ritorno per le connessioni in ingresso passa attraverso il firewall locale, che non ha visto la connessione stabilita.The return path for inbound connections goes via the on-premises firewall, which hasn't seen the connection established.
FTP passivo in uscita potrebbe non funzionare per i firewall con più indirizzi IP pubblici, a seconda della configurazione del server FTP.Outbound Passive FTP may not work for Firewalls with multiple public IP addresses, depending on your FTP server configuration. FTP passivo stabilisce connessioni diverse per canali di controllo e dei dati.Passive FTP establishes different connections for control and data channels. Quando un firewall con più indirizzi IP pubblici invia dati in uscita, seleziona in modo casuale uno degli indirizzi IP pubblici come indirizzo IP di origine.When a Firewall with multiple public IP addresses sends data outbound, it randomly selects one of its public IP addresses for the source IP address. Potrebbe verificarsi un errore FTP quando i canali di controllo e dei dati usano indirizzi IP di origine diversi, a seconda della configurazione del server FTP.FTP may fail when data and control channels use different source IP addresses, depending on your FTP server configuration. È stata pianificata una configurazione SNAT esplicita.An explicit SNAT configuration is planned. Nell'attesa, è possibile configurare il server FTP in modo che accetti i canali di dati e di controllo da indirizzi IP di origine diversi (vedere un esempio per IIS).In the meantime, you can configure your FTP server to accept data and control channels from different source IP addresses (see an example for IIS). In alternativa, è consigliabile usare un solo indirizzo IP in questa situazione.Alternatively, consider using a single IP address in this situation.
FTP passivo in entrata potrebbe non funzionare a seconda della configurazione del server FTP.Inbound Passive FTP may not work depending on your FTP server configuration FTP passivo stabilisce connessioni diverse per canali di controllo e dei dati.Passive FTP establishes different connections for control and data channels. Le connessioni in ingresso nel firewall di Azure sono inviato tramite SNAT a uno degli indirizzi IP privati del firewall per garantire il routing simmetrico.Inbound connections on Azure Firewall are SNATed to one of the firewall private IP addresses to ensure symmetric routing. Potrebbe verificarsi un errore FTP quando i canali di controllo e dei dati usano indirizzi IP di origine diversi, a seconda della configurazione del server FTP.FTP may fail when data and control channels use different source IP addresses, depending on your FTP server configuration. La possibilità di mantenere l'indirizzo IP di origine originale è in fase di analisi.Preserving the original source IP address is being investigated. Nel frattempo, è possibile configurare il server FTP in modo che accetti i canali di dati e di controllo da indirizzi IP di origine diversi.In the meantime, you can configure your FTP server to accept data and control channels from different source IP addresses.
Per la metrica NetworkRuleHit manca una dimensione del protocolloNetworkRuleHit metric is missing a protocol dimension La metrica ApplicationRuleHit consente il protocollo basato su filtro, ma questa funzionalità non è presente nella metrica NetworkRuleHit corrispondente.The ApplicationRuleHit metric allows filtering based protocol, but this capability is missing in the corresponding NetworkRuleHit metric. È in corso la ricerca di una correzione.A fix is being investigated.
Le regole NAT con porte comprese tra 64000 e 65535 non sono supportateNAT rules with ports between 64000 and 65535 are unsupported Firewall di Azure consente l'uso di qualsiasi porta compresa nell'intervallo 1-65535 nelle regole di rete e dell'applicazione, tuttavia le regole NAT supportano solo le porte comprese nell'intervallo 1-63999.Azure Firewall allows any port in the 1-65535 range in network and application rules, however NAT rules only support ports in the 1-63999 range. Si tratta di una limitazione corrente.This is a current limitation.
Gli aggiornamenti della configurazione possono richiedere in media cinque minutiConfiguration updates may take five minutes on average Un aggiornamento della configurazione di Firewall di Azure può richiedere in media da tre a cinque minuti e gli aggiornamenti paralleli non sono supportati.An Azure Firewall configuration update can take three to five minutes on average, and parallel updates aren't supported. È in corso la ricerca di una correzione.A fix is being investigated.
Firewall di Azure usa le intestazioni TLS di SNI per filtrare il traffico HTTPS e MSSQLAzure Firewall uses SNI TLS headers to filter HTTPS and MSSQL traffic Se il browser o il software server non supporta l'estensione SNI (Server Name Indicator), non è possibile connettersi tramite il firewall di Azure.If browser or server software doesn't support the Server Name Indicator (SNI) extension, you can't connect through Azure Firewall. Se il software browser o server non supporta SNI, potrebbe essere possibile controllare la connessione utilizzando una regola di rete anziché una regola dell'applicazione.If browser or server software doesn't support SNI, then you may be able to control the connection using a network rule instead of an application rule. Vedere Indicazione nome server per il software che supporta SNI.See Server Name Indication for software that supports SNI.
Il DNS personalizzato non supporta il tunneling forzatoCustom DNS doesn't work with forced tunneling Se il tunneling forzato è abilitato, il DNS personalizzato non funziona.If force tunneling is enabled, custom DNS doesn't work. È in corso la ricerca di una correzione.A fix is being investigated.
L'avvio/arresto non funziona con un firewall configurato in modalità di tunneling forzatoStart/Stop doesn’t work with a firewall configured in forced-tunnel mode L'avvio/arresto non funziona con Firewall di Azure configurato in modalità di tunneling forzato.Start/stop doesn’t work with Azure firewall configured in forced-tunnel mode. Se si tenta di avviare Firewall di Azure con il tunneling forzato configurato, si verifica l'errore seguente:Attempting to start Azure Firewall with forced tunneling configured results in the following error:

Set-AzFirewall: Non è possibile aggiungere la configurazione IP di gestione del Firewall di Azure FW-xx a un firewall esistente. Per usare il supporto del tunneling forzato, ridistribuire con una configurazione IP di gestione.
StatusCode: 400
ReasonPhrase: Richiesta non valida
Set-AzFirewall: AzureFirewall FW-xx management IP configuration cannot be added to an existing firewall. Redeploy with a management IP configuration if you want to use forced tunneling support.
StatusCode: 400
ReasonPhrase: Bad Request
In fase di analisi.Under investigation.

Come soluzione alternativa, è possibile eliminare il firewall esistente e crearne uno nuovo con gli stessi parametri.As a workaround, you can delete the existing firewall and create a new one with the same parameters.
Non è possibile aggiungere tag dei criteri firewall usando il portaleCan't add firewall policy tags using the portal I criteri di Firewall di Azure hanno una limitazione del supporto delle patch che impedisce di aggiungere un tag usando il portale di Azure.Azure Firewall Policy has a patch support limitation that prevents you from adding a tag using the Azure portal. Viene generato l'errore seguente: Non è stato possibile salvare i tag per la risorsa.The following error is generated: Could not save the tags for the resource. È in corso la ricerca di una correzione.A fix is being investigated. In alternativa, è possibile usare il cmdlet Azure PowerShell Set-AzFirewallPolicy per aggiornare i tag.Or, you can use the Azure PowerShell cmdlet Set-AzFirewallPolicy to update tags.
IPv6 non ancora supportatoIPv6 not yet supported Se si aggiunge un indirizzo IPv6 a una regola, si verifica un errore del firewall.If you add an IPv6 address to a rule, the firewall fails. Usare solo indirizzi IPv4.Use only IPv4 addresses. Il supporto di IPv6 è in fase di analisi.IPv6 support is under investigation.
L'aggiornamento di più gruppi IP ha esito negativo con errore di conflitto.Updating multiple IP Groups fails with conflict error. Quando si aggiornano due o più IPGroups collegati allo stesso firewall, una delle risorse entra in uno stato di errore.When you update two or more IPGroups attached to the same firewall, one of the resource goes into a failed state. Si tratta di un problema noto o di una limitazione.This is a known issue/limitation.

Quando si aggiorna un IPGroup, viene attivato un aggiornamento su tutti i firewall a cui è collegato IPGroup.When you update an IPGroup, it triggers an update on all firewalls that the IPGroup is attached to. Se viene avviato un aggiornamento a un secondo IPGroup mentre il firewall è ancora in stato di aggiornamento , l'aggiornamento di IPGroup non riesce.If an update to a second IPGroup is started while the firewall is still in the Updating state, then the IPGroup update fails.

Per evitare l'errore, è necessario che IPGroups collegato allo stesso firewall venga aggiornato uno alla volta.To avoid the failure, IPGroups attached to the same firewall must be updated one at a time. Consenti tempo sufficiente tra gli aggiornamenti per consentire al firewall di uscire dallo stato di aggiornamento .Allow enough time between updates to allow the firewall to get out of the Updating state.

Passaggi successiviNext steps