Wat is Azure Firewall?
Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw Azure Virtual Network-resources beschermt. Het is een volledig stateful firewall-as-a-service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. U kunt beleid voor toepassings- en netwerkconnectiviteit centraal maken, afdwingen en registreren voor abonnementen en virtuele netwerken.
Welke mogelijkheden worden ondersteund in Azure Firewall?
Zie Azure Firewall-functies voor meer informatie over Azure Firewall-functies.
Wat is het typische implementatiemodel voor Azure Firewall?
U kunt Azure Firewall op elk virtueel netwerk implementeren, maar klanten implementeren dit doorgaans op een centraal virtueel netwerk en peeren er andere virtuele netwerken op in een hub-en-spoke-model. Vervolgens kunt u de standaardroute van de virtuele netwerken met peering zo instellen dat deze naar dit centrale virtuele netwerk van de firewall wijzen. Wereldwijde VNet-peering wordt ondersteund, maar wordt niet aanbevolen vanwege mogelijke prestatie- en latentieproblemen tussen regio's. Implementeer één firewall per regio voor de beste prestaties.
Het voordeel van dit model is de mogelijkheid om centraal controle te uitoefenen op meerdere spoke-VNET's in verschillende abonnementen. Er zijn ook kostenbesparingen omdat u niet in elk VNet afzonderlijk een firewall hoeft te implementeren. De kostenbesparingen moeten worden berekend ten opzichte van de bijbehorende peeringkosten op basis van de verkeerspatronen van de klant.
Hoe kan ik de Azure Firewall?
U kunt uw Azure Firewall instellen met behulp van Azure Portal, PowerShell, REST API of met behulp van sjablonen. Zie Zelfstudie: Implementatie en configuratie Azure Firewall met behulp van Azure Portal voor stapsgewijs instructies.
Wat zijn enkele Azure Firewall concepten?
Azure Firewall ondersteunt regels en regelverzamelingen. Een regelverzameling is een set regels die dezelfde volgorde en prioriteit delen. Regelverzamelingen worden uitgevoerd op volgorde van prioriteit. Netwerkregelverzamelingen hebben een hogere prioriteit dan toepassingsregelverzamelingen en alle regels worden af sluiten.
Er zijn drie soorten regelverzamelingen:
- Toepassingsregels: configureer FQDN's (Fully Qualified Domain Names) die toegankelijk zijn vanuit een subnet.
- Netwerkregels: configureer regels die bronadressen, protocollen, doelpoorten en doeladressen bevatten.
- NAT-regels: configureer DNAT-regels om binnenkomende internetverbinding toe te staan.
Biedt Azure Firewall ondersteuning voor het filteren van inkomende verkeer?
Azure Firewall biedt ondersteuning voor inkomende en uitgaande filtering. Binnenkomende beveiliging wordt doorgaans gebruikt voor niet-HTTP/S-protocollen. Bijvoorbeeld RDP-, SSH- en FTP-protocollen. Gebruik voor de beste inkomende HTTP/S-beveiliging een webtoepassingsfirewall zoals Azure Web Application Firewall (WAF).
Welke logboek- en analyseservices worden ondersteund door de Azure Firewall?
Azure Firewall is geïntegreerd met Azure Monitor voor het weergeven en analyseren van firewalllogboeken. Logboeken kunnen worden verzonden naar Log Analytics, Azure Storage of Event Hubs. Ze kunnen worden geanalyseerd in Log Analytics of door verschillende hulpprogramma's zoals Excel en Power BI. Zie Zelfstudie: Logboeken controleren Azure Firewall meer informatie.
Hoe werkt Azure Firewall anders dan bestaande services zoals N NVA's in de marketplace?
Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw virtuele netwerkbronnen beveiligt. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. Het is vooraf geïntegreerd met SECaaS-providers (Security as a Service) van derden om geavanceerde beveiliging te bieden voor uw virtuele netwerk en vertakkingsinternetverbindingen.
Wat is het verschil tussen Application Gateway WAF en Azure Firewall?
De Web Application Firewall (WAF) is een functie van Application Gateway die gecentraliseerde inkomende beveiliging van uw webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen biedt. Azure Firewall biedt inkomende beveiliging voor niet-HTTP/S-protocollen (bijvoorbeeld RDP, SSH, FTP), beveiliging op uitgaand netwerkniveau voor alle poorten en protocollen en beveiliging op toepassingsniveau voor uitgaande HTTP/S.
Wat is het verschil tussen netwerkbeveiligingsgroepen (NSG's) en Azure Firewall?
De Azure Firewall-service vormt een aanvulling op de functionaliteit van netwerkbeveiligingsgroep. Samen bieden ze een betere 'diepgaande verdediging' netwerkbeveiliging. Netwerkbeveiligingsgroepen bieden gedistribueerde filtering voor netwerklagen om het verkeer te beperken tot resources in virtuele netwerken in elk abonnement. Azure Firewall is een volledig stateful, gecentraliseerde netwerkfirewall als een service, die beveiliging op netwerk- en toepassingsniveau biedt voor verschillende abonnementen en virtuele netwerken.
Worden netwerkbeveiligingsgroepen (NSG's) ondersteund op het AzureFirewallSubnet?
Azure Firewall is een beheerde service met meerdere beveiligingslagen, waaronder platformbeveiliging met NSG's op NIC-niveau (niet te bekijken). NSG's op subnetniveau zijn niet vereist op het AzureFirewallSubnet en zijn uitgeschakeld om ervoor te zorgen dat de service niet wordt onderbroken.
Hoe kan ik uw Azure Firewall met mijn service-eindpunten?
Voor beveiligde toegang tot PaaS-services raden we service-eindpunten aan. U kunt ervoor kiezen om service-eindpunten in te schakelen in Azure Firewall subnet en deze uit te schakelen op de verbonden virtuele spoke-netwerken. Op deze manier profiteert u van beide functies: service-eindpuntbeveiliging en centrale logboekregistratie voor al het verkeer.
Wat zijn de prijzen voor Azure Firewall?
Hoe kan ik de Azure Firewall?
U kunt de Azure PowerShell toewijzingsmethoden te herstellen en toe te wijzen. Voor een firewall die is geconfigureerd voor geforceerd tunnelen, is de procedure iets anders.
Bijvoorbeeld voor een firewall DIE NIET is geconfigureerd voor geforceerd tunnelen:
# Stop an existing firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))
Set-AzFirewall -AzureFirewall $azfw
Voor een firewall die is geconfigureerd voor geforceerd tunnelen, is stoppen hetzelfde. Voor het starten moet het openbare IP-adres van het beheer echter opnieuw worden gekoppeld aan de firewall:
# Stop an existing firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall
Wanneer u de toewijzing en toewijzing van de toewijzing ingetrokken, wordt de firewallfacturering gestopt en dienovereenkomstig gestart.
Notitie
U moet een firewall en een openbaar IP-adres opnieuw aan de oorspronkelijke resourcegroep en het oorspronkelijke abonnement toe te eigenen.
Wat zijn de bekende servicelimieten?
Zie Azure Firewall, quota en beperkingen voor meer Azure Firewall servicelimieten.
Kan Azure Firewall in een virtueel hubnetwerk netwerkverkeer tussen twee virtuele spoke-netwerken doorsturen en filteren?
Ja, u kunt een Azure Firewall in een virtueel hubnetwerk gebruiken om verkeer tussen virtuele spoke-netwerken te routeer en filteren. Subnetten in elk van de virtuele spoke-netwerken moeten een UDR hebben die verwijst naar de Azure Firewall als standaardgateway om dit scenario goed te laten werken.
Kan Azure Firewall netwerkverkeer doorsturen en filteren tussen subnetten in hetzelfde virtuele netwerk of virtuele peernetwerken?
Ja. Het configureren van de UDR's voor het omleiden van verkeer tussen subnetten in hetzelfde VNET vereist echter extra aandacht. Hoewel het gebruik van het VNET-adresbereik als doelvoorvoegsel voor de UDR voldoende is, wordt hiermee ook al het verkeer van de ene computer naar een andere computer in hetzelfde subnet gerouteerd via het Azure Firewall-exemplaar. Neem een route op voor het subnet in de UDR met een volgend hoptype van VNET om dit te voorkomen. Het beheren van deze routes kan omslachtig en foutgevoelig zijn. De aanbevolen methode voor interne netwerksegmentatie is het gebruik van netwerkbeveiligingsgroepen, waarvoor geen UDR's zijn vereist.
Is Azure Firewall uitgaande SNAT tussen particuliere netwerken?
Azure Firewall gebruikt geen SNAT wanneer het doel-IP-adres een privé-IP-bereik is per IANA RFC 1918. Als uw organisatie gebruikmaakt van een openbaar IP-adresbereik voor particuliere netwerken, Azure Firewall SNATs het verkeer naar een van de privé-IP-adressen van de firewall in AzureFirewallSubnet. U kunt Azure Firewall configureren om SNAT niet in te schakelen voor uw openbare IP-adresbereik. Raadpleeg Azure Firewall SNAT voor privé-IP-adresbereiken voor meer informatie.
Bovendien wordt verkeer dat wordt verwerkt door toepassingsregels altijd met SNAT-ed verwerkt. Als u het oorspronkelijke BRON-IP-adres in uw logboeken voor FQDN-verkeer wilt zien, kunt u netwerkregels gebruiken met de doel-FQDN.
Wordt geforceerd tunnelen/ketenen naar een virtueel netwerkapparaat ondersteund?
Geforceerd tunnelen wordt ondersteund wanneer u een nieuwe firewall maakt. U kunt geen bestaande firewall configureren voor geforceerd tunnelen. Zie Geforceerde tunneling van Azure Firewall voor meer informatie.
Azure Firewall moet een directe verbinding met internet hebben. Als uw AzureFirewallSubnet een standaardroute naar uw on-premises netwerk via BGP leert, moet u deze overschrijven met een UDR van 0.0.0.0/0 met de waarde NextHopType ingesteld op Internet om directe verbinding met internet te houden.
Als uw configuratie geforceerd tunnelen naar een on-premises netwerk vereist en u de doel-IP-voorvoegsels voor uw internetbestemmingen kunt bepalen, kunt u deze bereiken configureren met het on-premises netwerk als de volgende hop via een door de gebruiker gedefinieerde route op het AzureFirewallSubnet. U kunt ook BGP gebruiken om deze routes te definiëren.
Zijn er beperkingen voor firewallresourcegroep?
Ja. De firewall, het VNet en het openbare IP-adres moeten zich allemaal in dezelfde resourcegroep bevinden.
Moet ik bij het configureren van DNAT voor inkomende internetnetwerkverkeer ook een bijbehorende netwerkregel configureren om dat verkeer toe te staan?
Nee. NAT-regels voegen impliciet een bijbehorende netwerkregel toe om het vertaalde verkeer toe te staan. U kunt dit gedrag overschrijven door expliciet een verzameling netwerkregels toe te voegen met regels voor weigeren die overeenkomen met het omgezette verkeer. Zie Verwerkingslogica voor Azure Firewall-regels voor meer informatie over de verwerkingslogica voor Azure Firewall-regels.
Hoe werken jokertekens in doel-URL's en doel-FQDN's in toepassingsregels?
- URL: sterretjes werken wanneer ze aan de meest rechtse of linkse kant worden geplaatst. Als de FQDN aan de linkerkant staat, kan deze geen deel uitmaken van de FQDN.
- FQDN: sterretjes werken wanneer ze aan de meest linkse zijde worden geplaatst.
Voorbeelden:
| Type | Regel | Ondersteund? | Positieve voorbeelden |
|---|---|---|---|
| TargetURL | www.contoso.com |
Yes | www.contoso.comwww.contoso.com/ |
| TargetURL | *.contoso.com |
Yes | any.contoso.com/ |
| TargetURL | *contoso.com |
Yes | example.anycontoso.comcontoso.com |
| TargetURL | www.contoso.com/test |
Yes | www.contoso.com/testwww.contoso.com/test/www.contoso.com/test?with_query=1 |
| TargetURL | www.contoso.com/test/* |
Yes | www.contoso.com/test/anythingOpmerking: www.contoso.com/test komt niet overeen met (laatste slash) |
| TargetURL | www.contoso.*/test/* |
No | |
| TargetURL | www.contoso.com/test?example=1 |
No | |
| TargetURL | www.contoso.* |
No | |
| TargetURL | www.*contoso.com |
No | |
| TargetURL | www.contoso.com:8080 |
No | |
| TargetURL | *.contoso.* |
No | |
| TargetFQDN | www.contoso.com |
Yes | www.contoso.com |
| TargetFQDN | *.contoso.com |
Yes | any.contoso.comOpmerking: als u specifiek wilt toestaan, moet u contoso.com contoso.com opnemen in de regel. Anders wordt de verbinding standaard gemaakt omdat de aanvraag niet met een regel overeen komt. |
| TargetFQDN | *contoso.com |
Yes | example.anycontoso.comcontoso.com |
| TargetFQDN | www.contoso.* |
No | |
| TargetFQDN | *.contoso.* |
No |
Wat betekent *inrichtingstoestand: Mislukt?*
Wanneer er een configuratiewijziging wordt toegepast, probeert Azure Firewall alle onderliggende back-endexemplaren bij te werken. In zeldzame gevallen kan een van deze back-end-exemplaren niet worden bijgewerkt met de nieuwe configuratie en stopt het updateproces met een mislukte inrichtingstoestand. Uw Azure Firewall is nog steeds operationeel, maar de toegepaste configuratie kan inconsistent zijn, waarbij sommige exemplaren de vorige configuratie hebben en andere de bijgewerkte regelset hebben. Als dit het geval is, probeert u de configuratie nog één keer bij te werken totdat de bewerking is geslaagd en uw firewall de inrichtingstoestand Geslaagd heeft.
Hoe gaat Azure Firewall om met gepland onderhoud en niet-geplande fouten?
Azure Firewall bestaat uit verschillende back-endknooppunten in een actief-actief-configuratie. Voor gepland onderhoud hebben we logica voor het leeglaten van verbindingen om knooppunten op een goede manier bij te werken. Updates worden gepland tijdens niet-bedrijfsuren voor elk van de Azure-regio's om het risico op onderbrekingen verder te beperken. Voor niet-geplande problemen maken we een nieuw knooppunt ter vervanging van het mislukte knooppunt. De verbinding met het nieuwe knooppunt wordt doorgaans binnen 10 seconden na het tijdstip van de fout opnieuw tot leven gepubliceerd.
Hoe werkt de verbindingsafvoer?
Bij gepland onderhoud worden back-endknooppunten op een goede manier bijgewerkt met de logica voor het verwijderen van verbindingen. Azure Firewall wacht 90 seconden totdat bestaande verbindingen worden gesloten. Indien nodig kunnen clients de verbinding met een ander back-knooppunt automatisch opnieuw tot stand brengen.
Is er een tekenlimiet voor een firewallnaam?
Ja. Er geldt een limiet van 50 tekens voor de naam van een firewall.
Waarom heeft Azure Firewall subnetgrootte /26 nodig?
Azure Firewall moeten meer exemplaren van virtuele machines inrichten wanneer deze wordt geschaald. Een /26-adresruimte zorgt ervoor dat de firewall voldoende IP-adressen beschikbaar heeft voor het schalen.
Moet de grootte van het subnet van de firewall worden gewijzigd wanneer de service wordt geschaald?
Nee. Azure Firewall hebt geen subnet nodig dat groter is dan /26.
Hoe kan ik de doorvoer van mijn firewall verhogen?
Azure Firewall de initiële doorvoercapaciteit is 2,5 - 3 Gbps en wordt opgeschaald naar 30 Gbps. Het wordt automatisch geschaald op basis van CPU-gebruik en doorvoer.
Hoe lang duurt het voordat Azure Firewall uitschaalt?
Azure Firewall schaalt geleidelijk wanneer de gemiddelde doorvoer of het CPU-verbruik 60% bedraagt. Een standaardimplementatie maximale doorvoer is ongeveer 2,5 - 3 Gbps en begint uit te schalen wanneer 60% van dat aantal wordt bereikt. Uitschalen duurt vijf tot zeven minuten.
Bij het testen van de prestaties moet u ten minste 10 tot 15 minuten testen en nieuwe verbindingen starten om te profiteren van nieuw gemaakte firewallknooppunten.
Hoe gaat Azure Firewall om met time-outs voor inactieve tijd?
Wanneer een verbinding een time-out voor inactiviteit heeft (vier minuten zonder activiteit), wordt Azure Firewall verbinding zonder probleem beëindigd door een TCP RST-pakket te verzenden.
Hoe verwerkt Azure Firewall het afsluiten van VM-exemplaren tijdens het inschalen van virtuele-machineschaalsets (omlaag schalen) of software-upgrades voor de vloot?
Er Azure Firewall VM-exemplaar worden afgesloten tijdens het inschalen van de virtuele-machineschaalset (omlaag schalen) of tijdens de software-upgrade van de vloot. In dergelijke gevallen worden nieuwe binnenkomende verbindingen verdeeld over de resterende firewall-exemplaren en niet doorgestuurd naar het firewall-down-exemplaar. Na 45 seconden worden bestaande verbindingen door de firewall afgewezen door TCP RST-pakketten te verzenden. Na nog eens 45 seconden wordt de firewall-VM afgesloten. Zie TCP reset Load Balancer Idle Timeout (TCP opnieuw instellen en Time-out voor inactieve tijd) voor meer informatie.
Staat Azure Firewall standaard toegang tot Active Directory toe?
Nee. Azure Firewall blokkeert standaard de toegang tot Active Directory. Configureer de servicetag AzureActiveDirectory om toegang toe te staan. Zie servicetags voor Azure Firewall meer informatie.
Kan ik een FQDN of een IP-adres uitsluiten van Azure Firewall op basis van bedreigingsinformatie?
Ja, u kunt Azure PowerShell gebruiken om dit te doen:
# Add a Threat Intelligence allowlist to an Existing Azure Firewall
# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
-FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)
# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)
Set-AzFirewall -AzureFirewall $fw
Waarom kunnen een TCP-ping en vergelijkbare hulpprogramma's verbinding maken met een doel-FQDN, zelfs als er geen regel op Azure Firewall dat verkeer toestaat?
Een TCP-ping maakt niet daadwerkelijk verbinding met de doel-FQDN. Dit gebeurt omdat Azure Firewall transparante proxy op poort 80/443 luistert naar uitgaand verkeer. De TCP-ping brengt een verbinding tot stand met de firewall, waarna het pakket wordt uitvalt. Dit gedrag heeft geen beveiligingsimpact. Om verwarring te voorkomen, onderzoeken we echter mogelijke wijzigingen in dit gedrag.
Op dezelfde manier kunnen TCP-verbindingen tot stand worden gebracht voor Azure Firewall listener van Azure Firewall op poort 80/443. De firewall daalt het pakket echter per ontwerp en weert dit, tenzij dit expliciet is toegestaan in regels.
Zijn er limieten voor het aantal IP-adressen dat wordt ondersteund door IP-groepen?
Ja. Zie Limieten, quota's en beperkingen voor Azure-abonnementen en -service voor meer informatie
Kan ik een IP-groep verplaatsen naar een andere resourcegroep?
Nee, het verplaatsen van een IP-groep naar een andere resourcegroep wordt momenteel niet ondersteund.
Wat is de time-out voor TCP-inactieve Azure Firewall?
Een standaardgedrag van een netwerkfirewall is ervoor te zorgen dat TCP-verbindingen actief blijven en deze onmiddellijk te sluiten als er geen activiteit is. Azure Firewall time-out voor TCP-inactieve tijd is vier minuten. Deze instelling kan niet door de gebruiker worden geconfigureerd, maar u kunt wel contact opnemen Ondersteuning voor Azure de time-out voor inactieve gegevens te verhogen tot 30 minuten.
Als een periode van inactiviteit langer is dan de time-outwaarde, is er geen garantie dat de TCP- of HTTP-sessie wordt gehandhaafd. Een veelvoorkomende praktijk is het gebruik van een TCP-keep-alive. Met deze oefening blijft de verbinding langer actief. Zie de .NET-voorbeelden voor meer informatie.
Kan ik een Azure Firewall zonder openbaar IP-adres implementeren?
Nee, momenteel moet u een Azure Firewall met een openbaar IP-adres implementeren.
Waar worden Azure Firewall opgeslagen?
Azure Firewall verplaatst of opgeslagen klantgegevens niet uit de regio waarin deze is geïmplementeerd.