Wat is Azure Firewall?
Azure Firewall is een cloudeigen en intelligente netwerkfirewallbeveiligingsservice die het beste bescherming tegen bedreigingen biedt voor uw cloudworkloads die in Azure worden uitgevoerd. Het is een volledig stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. Het biedt verkeerscontroles van zowel oost-west als noord-zuid.
Azure Firewall wordt aangeboden in twee SKU's: Standard en Premium.
Azure Firewall Standard
Azure Firewall Standard biedt L3 L7-filtering en bedreigingsinformatie rechtstreeks vanuit Microsoft Cyber Security. Filteren op basis van bedreigingsinformatie kan verkeer van/naar bekende schadelijke IP-adressen en domeinen die in realtime worden bijgewerkt, waarschuwen en weigeren om zich te beschermen tegen nieuwe en opkomende aanvallen.
Zie Standaardfuncties voor meer informatie Azure Firewall Standaardfunctiesvan Firewall.
Azure Firewall Premium
Azure Firewall Premium biedt geavanceerde mogelijkheden, zoals IDPS op basis van handtekeningen om snelle detectie van aanvallen mogelijk te maken door te zoeken naar specifieke patronen. Deze patronen kunnen bytereeksen in het netwerkverkeer bevatten, of bekende schadelijke instructiereeksen die door malware worden gebruikt. Er zijn meer dan 58.000 handtekeningen in meer dan 50 categorieën die in realtime worden bijgewerkt om u te beschermen tegen nieuwe en opkomende aanvallen. De exploit-categorieën zijn malware, phishing, coin mining en Trojaans aanvallen.
Zie voor meer informatie Premium Firewall-functies Azure Firewall Premium functies.
Azure Firewall Manager
U kunt azure firewalls Azure Firewall Manager meerdere abonnementen centraal beheren. Firewall Manager maakt gebruik van firewallbeleid om een gemeenschappelijke set netwerk-/toepassingsregels en -configuratie toe te passen op de firewalls in uw tenant.
Firewall Manager ondersteunt firewalls in zowel VNet- als virtuele VPN-omgevingen (Secure Virtual Hub). Beveiligde virtuele hubs gebruiken de Virtual WAN oplossing voor routeautomatisering om het routeren van verkeer naar de firewall met een paar klikken te vereenvoudigen.
Zie voor meer informatie Azure Firewall Manager over Azure Firewall Manager.
Prijzen en SLA
Zie Azure Firewall-prijzen voor informatie over Azure Firewall-prijzen.
Zie SLA voor Azure Firewall voor informatie over de SLA voor Azure Firewall.
Nieuwe functies
Zie Azure-updates om te ontdekken wat er nieuw is in Azure Firewall.
Bekende problemen
Azure Firewall heeft de volgende bekende problemen:
| Probleem | Beschrijving | Oplossing |
|---|---|---|
| Netwerkfilterregels voor niet-TCP/UDP-protocollen (bijvoorbeeld ICMP) werken niet voor internetverkeer | Netwerkfilterregels voor niet-TCP/UDP-protocollen werken niet met SNAT naar uw openbare IP-adres. Niet-TCP/UDP-protocollen worden ondersteund tussen spoke-subnetten en VNets. | Azure Firewall maakt gebruik van de standaardversie van Standard Load Balancer, die momenteel geen ondersteuning biedt voor SNAT voor IP-protocollen. We onderzoeken mogelijkheden om dit scenario in een toekomstige release te ondersteunen. |
| Ontbrekende PowerShell- en CLI-ondersteuning voor ICMP | Azure PowerShell en CLI bieden geen ondersteuning voor ICMP als een geldig protocol in netwerkregels. | Het is nog steeds mogelijk om ICMP als een protocol te gebruiken via de portal en de REST-API. Er wordt aan gewerkt om ICMP binnenkort toe te voegen in PowerShell en CLI. |
| FQDN-tags vereisen instelling van een protocol: poort | Voor toepassingsregels met FQDN-tags is definitie van poort: protocol vereist. | U kunt https gebruiken als de waarde voor poort:protocol. Er wordt aan gewerkt om dit veld optioneel te maken wanneer FQDN-tags worden gebruikt. |
| Het verplaatsen van een firewall naar een andere resourcegroep of een ander abonnement wordt niet ondersteund | Het verplaatsen van een firewall naar een andere resourcegroep of een ander abonnement wordt niet ondersteund. | Ondersteuning van deze functionaliteit staat op de planning. Om een firewall naar een andere resourcegroep of ander abonnement verplaatsen, moet u het huidige exemplaar verwijderen en deze vervolgens opnieuw maken in de nieuwe resourcegroep of het nieuwe abonnement. |
| Waarschuwingen met betrekking tot bedreigingsinformatie worden mogelijk gemaskeerd | Netwerkregels met bestemming 80/443 voor uitgaande filtering maskeren bedreigingsinformatiewaarschuwingen wanneer deze zijn geconfigureerd voor de modus alleen-waarschuwingen. | Maak uitgaande filters voor 80/443 met behulp van toepassingsregels. U kunt ook de modus voor bedreigingsinformatie wijzigen in Waarschuwen en weigeren. |
| Azure Firewall DNAT werkt niet voor privé-IP-doelen | DNAT-ondersteuning van Azure Firewall is beperkt tot inkomend/uitgaand internetverkeer. DNAT werkt momenteel niet voor privé-IP-doelen. Bijvoorbeeld, spoke naar spoke. | Dit is een huidige beperking. |
| Kan de eerste openbare IP-configuratie niet verwijderen | Elk openbaar IP-adres van Azure Firewall wordt toegewezen aan een IP-configuratie. De eerste IP-configuratie wordt toegewezen tijdens de implementatie van de firewall en bevat doorgaans een verwijzing naar het subnet van de firewall (tenzij expliciet anders is geconfigureerd via een sjabloonimplementatie). U kunt deze IP-configuratie niet verwijderen omdat hiermee de toewijzing van de firewall ongedaan wordt gemaakt. U kunt het openbare IP-adres dat is gekoppeld aan deze IP-configuratie nog steeds wijzigen of verwijderen als de firewall over ten minste één ander openbaar IP-adres beschikt. | Dit is standaard. |
| Beschikbaarheidszones kunnen alleen worden geconfigureerd tijdens de implementatie. | Beschikbaarheidszones kunnen alleen worden geconfigureerd tijdens de implementatie. U kunt Beschikbaarheidszones niet configureren nadat er een firewall is geïmplementeerd. | Dit is standaard. |
| SNAT op inkomende verbindingen | Naast DNAT worden verbindingen via het openbare IP-adres van de firewall (inkomend) met SNAT omgezet naar een van de privé-IP's van de firewall. Deze vereiste is (ook voor Actieve/Actieve NVA's) om symmetrische routering te garanderen. | Als u de oorspronkelijke bron voor HTTP/S wilt behouden, kunt u XFF-headers gebruiken. Gebruik bijvoorbeeld een service als Azure Front Door of Azure Application Gateway vóór de firewall. U kunt ook WAF toevoegen als onderdeel van Azure Front Door en ketenen aan de firewall. |
| Ondersteuning voor SQL FQDN-filtering alleen in proxymodus (poort 1433) | Voor Azure SQL Database, Azure Synapse Analytics en Azure SQL Managed Instance: Filteren met SQL FQDN wordt alleen ondersteund in de proxymodus (poort 1433). Voor Azure SQL IaaS: Als u werkt met niet-standaard poorten, kunt u die poorten opgeven in de toepassingsregels. |
Voor SQL in de omleidingsmodus (de standaardinstelling als u verbinding maakt vanuit Azure), kunt u in plaats daarvan de toegang filteren met behulp van de SQL-servicetag als onderdeel van Azure Firewall-netwerkregels. |
| Uitgaand SMTP-verkeer op TCP-poort 25 wordt geblokkeerd | Uitgaande e-mailberichten die rechtstreeks naar externe domeinen (zoals en ) op outlook.com TCP-poort 25 worden verzonden, worden geblokkeerd door gmail.com Azure Firewall. Dit is het standaardplatformgedrag in Azure. |
Gebruik geverifieerde SMTP-relayservices, die doorgaans verbinding maken via TCP-poort 587, maar ook andere poorten ondersteunen. Zie Troubleshoot outbound SMTP connectivity problems in Azure (Problemen met uitgaande SMTP-connectiviteit in Azure oplossen) voor meer informatie. Momenteel kunnen Azure Firewall communiceren met openbare IP's met behulp van uitgaande TCP 25, maar het werkt niet gegarandeerd en wordt niet ondersteund voor alle abonnementstypen. Voor privé-IP's zoals virtuele netwerken, VPN's en Azure ExpressRoute ondersteunt Azure Firewall een uitgaande verbinding van TCP-poort 25. |
| SNAT-poortuitputting | Azure Firewall ondersteunt momenteel 1024 poorten per openbaar IP-adres per exemplaar van de virtuele-machineschaalset van de back-en-machine. Standaard zijn er twee exemplaren van virtuele-machineschaalsets. | Dit is een SLB-beperking en we zijn voortdurend op zoek naar mogelijkheden om de limieten te verhogen. In de tussentijd wordt het aanbevolen om Azure Firewall te configureren met minimaal vijf openbare IP-adressen voor implementaties die vatbaar zijn voor SNAT-uitputting. Hierdoor worden de beschikbare SNAT-poorten vijf keer verhoogd. Wijs toe vanuit een IP-adres voorvoegsel om downstreammachtigingen te vereenvoudigen. |
| DNAT wordt niet ondersteund als geforceerde tunneling is ingeschakeld | Firewalls die zijn geïmplementeerd met geforceerde tunneling, bieden geen ondersteuning voor inkomende toegang via internet vanwege asymmetrische routering. | Dit is standaard vanwege asymmetrische routering. Het retourtraject voor binnenkomende verbindingen gaat via de on-premises firewall, waarvoor geen verbinding is gemaakt. |
| Uitgaande passieve FTP werkt mogelijk niet voor firewalls met meerdere openbare IP-adressen, afhankelijk van de configuratie van uw FTP-server. | Passieve FTP brengt verschillende verbindingen tot stand voor controle- en gegevenskanalen. Wanneer een firewall met meerdere openbare IP-adressen gegevens uitgaand verzendt, wordt willekeurig een van de openbare IP-adressen geselecteerd voor het bron-IP-adres. FTP kan mislukken wanneer gegevens- en besturingskanalen gebruikmaken van verschillende bron-IP-adressen, afhankelijk van de configuratie van uw FTP-server. | Er wordt een expliciete SNAT-configuratie gepland. In de tussentijd kunt u uw FTP-server zo configureren dat gegevens- en besturingskanalen van verschillende bron-IP-adressen worden geaccepteerd (bekijk een voorbeeld voor IIS). U kunt in deze situatie ook één IP-adres gebruiken. |
| Inkomende passieve FTP werkt mogelijk niet, afhankelijk van de configuratie van uw FTP-server | Passieve FTP brengt verschillende verbindingen tot stand voor controle- en gegevenskanalen. Binnenkomende verbindingen op Azure Firewall worden via SNAT verbonden met een van de privé-IP-adressen van de firewall om symmetrische routering te garanderen. FTP kan mislukken wanneer gegevens- en besturingskanalen gebruikmaken van verschillende bron-IP-adressen, afhankelijk van de configuratie van uw FTP-server. | Behoud van het oorspronkelijke bron-IP-adres wordt onderzocht. In de tussentijd kunt u uw FTP-server zo configureren dat gegevens- en besturingskanalen van verschillende bron-IP-adressen worden geaccepteerd. |
| Actieve FTP werkt niet wanneer de FTP-client een FTP-server via internet moet bereiken. | Actieve FTP maakt gebruik van een PORT-opdracht van de FTP-client die de FTP-server doorspoort welke IP en poort moeten worden gebruikt voor het gegevenskanaal. Deze poort opdracht maakt gebruik van het privé-IP-adres van de client die niet kan worden gewijzigd. Verkeer aan de clientzijde dat de Azure Firewall wordt NAT voor communicatie via internet, waardoor de opdracht PORT door de FTP-server als ongeldig wordt beschouwd. | Dit is een algemene beperking van Actieve FTP wanneer deze wordt gebruikt in combinatie met NAT aan de clientzijde. |
| Er ontbreekt een protocoldimensie in de metrische gegevens voor NetworkRuleHit | Met de metrische waarde ApplicationRuleHit kunt u filteren op basis van een protocol, maar deze mogelijkheid ontbreekt in de bijbehorende metrische gegevens voor NetworkRuleHit. | Er wordt een oplossing onderzocht. |
| NAT-regels met poorten tussen 64000 en 65535 worden niet ondersteund | Azure Firewall staat elke poort toe in het bereik 1-65535 toe in netwerk- en toepassingsregels, maar NAT-regels ondersteunen alleen poorten in het bereik van 1-63999. | Dit is een huidige beperking. |
| Configuratie-updates kunnen gemiddeld vijf minuten duren | Een Azure Firewall-configuratie-update kan gemiddeld drie tot vijf minuten duren en parallelle updates worden niet ondersteund. | Er wordt een oplossing onderzocht. |
| Azure Firewall gebruikt SNI TLS-headers om HTTPS- en MSSQL-verkeer te filteren | Als browser- of serversoftware de SNI-extensie (Server Name Indicator) niet ondersteunt, kunt u geen verbinding maken via Azure Firewall. | Als browser- of serversoftware geen ondersteuning biedt voor SNI, kunt u de verbinding mogelijk beheren met behulp van een netwerkregel in plaats van een toepassingsregel. Raadpleeg Servernaamindicatie voor software die SNI ondersteunt. |
| Aangepaste DNS werkt niet met geforceerde tunneling | Als geforceerde tunneling is ingeschakeld, werkt aangepaste DNS niet. | Er wordt een oplossing onderzocht. |
| Starten/stoppen werkt niet met een firewall die is geconfigureerd in de modus geforceerde tunnel | Starten/stoppen werkt niet met een Azure-firewall die is geconfigureerd in de modus geforceerde tunnel. Eem poging om Azure Firewall te starten met geconfigureerde geforceerde tunneling resulteert in de volgende fout: Set-AzFirewall: De IP-configuratie van AzureFirewall FW-xx-beheer kan niet worden toegevoegd aan een bestaande firewall. Implementeer opnieuw met een beheer-IP-configuratie als u ondersteuning voor geforceerde tunneling wilt gebruiken. Statuscode: 400 ReasonPhrase: Onjuiste aanvraag |
Wordt onderzocht. Als tijdelijke oplossing kunt u de bestaande firewall verwijderen en een nieuwe maken met dezelfde parameters. |
| Kan geen firewallbeleidstags toevoegen met behulp van de portal of Azure Resource Manager (ARM)-sjablonen | Azure Firewall-beleid heeft een beperking voor patchondersteuning die voorkomt dat u een tag toevoegt met behulp van de Azure Portal of ARM-sjablonen. De volgende fout wordt gegenereerd: Kan de tags voor de resource niet opslaan. | Er wordt een oplossing onderzocht. U kunt ook de cmdlet Azure PowerShell gebruiken om Set-AzFirewallPolicy tags bij te werken. |
| IPv6 wordt momenteel niet ondersteund | Als u een IPv6-adres toevoegt aan een regel, mislukt de firewall. | Gebruik alleen iPv4-adressen. Ondersteuning voor IPv6 wordt onderzocht. |
| Het bijwerken van meerdere IP-groepen mislukt met een conflictfout. | Wanneer u twee of meer IP-groepen bij te werken die zijn gekoppeld aan dezelfde firewall, krijgt een van de resources de status Mislukt. | Dit is een bekend probleem/beperking. Wanneer u een IP-groep bijwerkt, wordt er een update uitgevoerd op alle firewalls waar de IPGroup aan is gekoppeld. Als er een update voor een tweede IP-groep wordt gestart terwijl de firewall nog steeds de status Bijwerken heeft, mislukt de IPGroup-update. Om de fout te voorkomen, moeten IP-groepen die zijn gekoppeld aan dezelfde firewall één voor één worden bijgewerkt. Geef voldoende tijd tussen updates zodat de firewall uit de status Bijwerken kan komen. |
| Het verwijderen van RuleCollectionGroups met BEHULP van ARM-sjablonen wordt niet ondersteund. | Het verwijderen van een RuleCollectionGroup met BEHULP van ARM-sjablonen wordt niet ondersteund en resulteert in een fout. | Dit is geen ondersteunde bewerking. |
| Met de DNAT-regel voor toestaan (*) wordt SNAT-verkeer toegestaan. | Als een DNAT-regel ()* als bron-IP-adres toestaat, komt een impliciete netwerkregel overeen met VNet-VNet verkeer en wordt het verkeer altijd geSNAT. | Dit is een huidige beperking. |
| Het toevoegen van een DNAT-regel aan een beveiligde virtuele hub met een beveiligingsprovider wordt niet ondersteund. | Dit resulteert in een asynchrone route voor het terugkerende DNAT-verkeer, dat naar de beveiligingsprovider gaat. | Wordt niet ondersteund. |
| Er is een fout opgetreden bij het maken van meer dan 2000 regelverzamelingen. | Het maximale aantal NAT-/toepassings- of netwerkregelverzamelingen is 2000 (Resource Manager limiet). | Dit is een huidige beperking. |
| Kan de naam van de netwerkregel niet zien in Azure Firewall logboeken | Azure Firewall netwerkregellogboekgegevens bevat niet de regelnaam voor netwerkverkeer. | Er wordt een functie onderzocht om dit te ondersteunen. |