Perguntas frequentes do Firewall do Azure

Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos de Rede Virtual do Azure. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. É possível criar, impor e registrar centralmente políticas de conectividade de rede e de aplicativo em assinaturas e redes virtuais.

Para saber mais sobre os recursos do Firewall do Azure, confira Recursos do Firewall do Azure.

É possível implantar o Firewall do Azure em qualquer rede virtual, mas os clientes normalmente o implantam em uma rede virtual central e emparelham outras redes virtuais a ele em um modelo de hub e spoke. Você pode definir a rota padrão de redes virtuais emparelhadas para apontar a essa rede virtual de firewall central. O emparelhamento VNet global é compatível, mas não é recomendado devido a possíveis problemas de desempenho e latência entre regiões. Para obter o melhor desempenho, implante um firewall por região.

A vantagem desse modelo é a capacidade de exercer controle central sobre várias VNETs spoke entre assinaturas diferentes. Também há economia de custo, pois você não precisa implantar um firewall em cada VNET separadamente. A economia de custo deve ser medida em comparação com o custo de emparelhamento associado com base nos padrões de tráfego do cliente.

O Firewall do Azure pode ser configurado usando o portal do Azure, PowerShell, API REST ou usando modelos. Confira o Tutorial: Implantar e configurar o Firewall do Azure usando o portal do Azure para obter instruções passo a passo.

O Firewall do Azure é compatível com regras e coleções de regras. Uma coleção de regras é um conjunto de regras que compartilham a mesma ordem e a mesma prioridade. Coleções de regras são executadas na ordem de prioridade. Coleções de regras DNAT são coleções de regras de rede de prioridade mais alta, que são mais prioritárias do que as coleções de regras de aplicativo, e todas as regras estão sendo encerradas.

Há três tipos de coleções de regras:

• Regras do aplicativo : configurar os nomes de domínio totalmente qualificados (FQDNs) que podem ser acessados de uma rede virtual.
• Regras de rede: configuram regras que contenham os endereços de origem, protocolos, portas de destino e os endereços de destino.
• Regras de NAT: configuram regras de DNAT para permitir conexões de entrada na Internet.

Para obter mais informações, consulte Configurar regras do Firewall do Azure.

O Firewall do Azure dá suporte à filtragem de entrada e saída. A proteção de entrada normalmente é usada para protocolos não HTTP, como protocolos RDP, SSH e FTP. Para proteção HTTP e HTTPS de entrada, use um firewall de aplicativo Web, como WAF (Firewall de Aplicativo Web do Azure) ou os recursos de descarregamento de TLS e inspeção profunda de pacotes do Firewall do Azure Premium.

Sim, o Azure Firewall Basic dá suporte ao túnel forçado.

O Firewall do Azure é integrado ao Azure Monitor para exibir e analisar logs de firewall. Os logs podem ser enviados para o Log Analytics, Armazenamento do Azure ou para Hubs de Eventos. Eles podem ser analisados no Log Analytics ou por diferentes ferramentas, como Excel e Power BI. Para saber mais, confira Tutorial: Monitorar os logs do Firewall do Azure.

O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos da Rede Virtual. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. Ele é pré-integrado com provedores de segurança como serviço (SECaaS) de terceiros para fornecer segurança avançada para sua rede virtual e conexões de Internet de branch. Para saber mais sobre a segurança de rede do Azure, confira Segurança de rede do Azure.

O WAF (Firewall de Aplicativo Web) é um recurso do Gateway de Aplicativo que fornece proteção de entrada centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns. O Firewall do Azure fornece proteção de entrada para protocolos não HTTP / S (por exemplo, RDP, SSH, FTP), proteção de nível de rede de saída para todas as portas e protocolos e proteção no nível do aplicativo para HTTP / S de saída.

O serviço de Firewall do Azure complementa a funcionalidade de grupo de segurança de rede. Juntos, eles fornecem uma melhor segurança de rede de "defesa em profundidade". Os grupo de segurança de rede fornecem filtragem de tráfego de camada de rede distribuída para limitar o tráfego para recursos dentro de redes virtuais em cada assinatura. O Firewall do Azure é um firewall como serviço de rede centralizado totalmente com estado, que fornece proteção no nível de rede e de aplicativo em diferentes assinaturas e redes virtuais.

O Firewall do Azure é um serviço gerenciado com várias camadas de proteção, incluindo a proteção da plataforma com NSGs na NIC (não visível). Os NSGs de sub-rede não são necessários no AzureFirewallSubnet e estão desabilitados para garantir que não haja interrupção do serviço.

Para obter acesso seguro aos serviços de PaaS, recomendamos ponto de extremidade de serviço. Você pode optar por habilitar pontos de extremidade de serviço na sub-rede de Firewall do Azure e desabilitá-los nas redes virtuais spoke conectadas. Dessa forma você aproveita ambos os recursos: segurança do ponto de extremidade do serviço e registro em log central para todo o tráfego.

Confira Preços do Firewall do Azure.

Use os métodos deallocate e allocate do Azure PowerShell. Para um firewall configurado para túnel forçado, o procedimento é ligeiramente diferente.

Por exemplo, para um firewall NÃO configurado para túnel forçado:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))

Set-AzFirewall -AzureFirewall $azfw

Para um firewall configurado para túnel forçado, a interrupção é a mesma. Mas a inicialização exige que o IP público de gerenciamento seja reassociado de volta ao firewall:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall

Para um firewall em uma arquitetura de hub virtual seguro, a interrupção é a mesma, mas o início deve usar a ID do hub virtual:

# Stop and existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$virtualhub = get-azvirtualhub -ResourceGroupName "RG name of vHUB" -name "vHUB name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Azfw RG Name"
$azfw.Allocate($virtualhub.Id)
$azfw | Set-AzFirewall

Quando você aloca e desaloca, a cobrança do firewall é interrompida e iniciada, respectivamente.

A recomendação é configurar zonas de disponibilidade durante a implantação inicial do firewall. No entanto, em alguns casos, é possível alterar as zonas de disponibilidade após a implantação. Os pré-requisitos são:

• O firewall é implantado em uma VNet. Não há suporte para firewalls implantados em um hub virtual seguro.
• A região do firewall dá suporte às zonas de disponibilidade.
• Todos os endereços IP públicos anexados são implantados com zonas de disponibilidade. Na página de propriedades de cada endereço IP público, verifique se o campo zonas de disponibilidade existe e está configurado com as mesmas zonas configuradas para o firewall.

A reconfiguração das zonas de disponibilidade só pode ser feita ao reiniciar o firewall. Depois de alocar o firewall e antes de iniciá-lo com Set-AzFirewall, use o seguinte Azure PowerShell para modificar a propriedade Zonas do firewall:

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azFw.Zones=1,2,3
$azfw | Set-AzFirewall

Para limites de serviço do Firewall do Azure, consulte Limites, cotas e restrições de assinatura e serviço do Azure.

Sim, você pode usar o Firewall do Azure em uma rede virtual de hub para encaminhar e filtrar o tráfego de rede entre duas redes virtuais de spoke. As sub-redes em cada uma das redes virtuais de spoke devem ter uma UDR apontando para o Firewall do Azure como um gateway padrão para que este cenário funcione corretamente.

Sim. No entanto, configurar as UDRs para redirecionar o tráfego entre sub-redes na mesma VNet requer mais atenção. Embora o uso do intervalo de endereços de VNET como um prefixo de destino para a UDR seja suficiente, isso também roteia todo o tráfego de um computador para outro na mesma sub-rede por meio da instância do Firewall do Azure. Para evitar isso, inclua uma rota para a sub-rede na UDR com um tipo VNET de próximo salto. O gerenciamento dessas rotas pode ser complicado e passível de erros. O método recomendado para segmentação de rede interna é usar Grupos de Segurança de Rede, o que não exige UDRs.

O Firewall do Azure não realiza SNAT (conversão de endereço de rede seguro) quando o endereço IP de destino é um intervalo de endereços IP privados de acordo com o IANA RFC 1918. Se a sua organização usa um intervalo de endereços IP públicos para redes privadas, o Firewall do Azure realiza SNAT do tráfego para um dos endereços IP privados do firewall no AzureFirewallSubnet. Você pode configurar o Firewall do Azure para não realizar SNAT de seu intervalo de endereços IP públicos. Para obter mais informações, confira Intervalos de endereços IP privados do SNAT do Firewall do Azure.

Além disso, sempre é realizado SNAT do tráfego processado por regras de aplicativo. Se você quiser ver o endereço IP de origem inicial nos seus logs para tráfego FQDN, poderá usar regras de rede com o FQDN de destino.

O túnel forçado é compatível quando se cria um novo firewall. Não é possível configurar um firewall existente para túnel forçado. Para obter mais informações, confira Túnel forçado do Firewall do Azure.

O Firewall do Azure deve ter conectividade direta com a Internet. Se seu AzureFirewallSubnet aprender uma rota padrão para sua rede local via BGP, você deve substituir isso por um UDR 0.0.0.0/0 com o valor NextHopType definido como Internet para manter a conectividade direta com a Internet.

Se a configuração exigir o túnel forçado para uma rede local e você puder determinar os prefixos de IP de destino para os destinos da Internet, você poderá configurar esses intervalos com a rede local como o próximo salto por meio de uma rota definida pelo usuário no AzureFirewallSubnet. Ou você pode usar o BGP para definir essas rotas.

Sim. O firewall, a rede virtual (VNet) e o endereço IP público devem estar todos no mesmo grupo de recursos.

• URL – Os asteriscos funcionam quando colocados no lado mais à direita ou mais à esquerda. Se ele estiver à esquerda, ele não poderá fazer parte do FQDN.
• FQDN – Os asteriscos funcionam quando colocados no lado mais à esquerda.
• GERAL: os asteriscos mais à esquerda significam literalmente qualquer coisa para as correspondências à esquerda, o que significa que vários subdomínios e/ou variações de nome de domínio possivelmente indesejados terão correspondências — veja os exemplos abaixo.

Exemplos:

Sempre que uma alteração de configuração é aplicada, o Firewall do Azure tenta atualizar todas as suas instâncias de back-end subjacentes. Em casos raros, uma dessas instâncias de back-end pode falhar ao atualizar com a nova configuração, e o processo de atualização pode ser interrompido com um estado de provisionamento com falha. O Firewall do Azure ainda está operacional, mas a configuração aplicada pode estar em um estado inconsistente, em que algumas instâncias têm a configuração anterior e outras têm o conjunto de regras atualizado. Se isso acontecer, tente atualizar sua configuração mais uma vez até que a operação seja bem-sucedida e o firewall esteja em um estado de provisionamento Com êxito.

O Firewall do Azure consiste em vários nós de back-end em uma configuração ativo-ativo. Em qualquer manutenção planejada, temos a lógica de esvaziamento de conexão para atualizar os nós normalmente. As atualizações são planejadas para serem executadas fora do horário comercial para cada uma das regiões do Azure, de modo a limitar ainda mais o risco de interrupção. Para problemas não planejados, criamos uma instância de um novo nó para substituir o nó com falha. A conectividade com o novo nó é normalmente restabelecida dentro de 10 segundos a partir do momento da falha.

Em qualquer manutenção planejada, a lógica de esvaziamento da conexão atualiza os nós do back-end normalmente. O Firewall do Azure aguarda 90 segundos para que as conexões existentes sejam fechadas. Nos primeiros 45 segundos, o nó de back-end não aceita novas conexões e, no tempo restante, ele responde com RST a todos os pacotes de entrada. Se necessário, os clientes podem restabelecer automaticamente a conectividade com outro nó do back-end.

Sim. Há um limite de 50 caracteres para um nome de firewall.

O Firewall do Azure deve provisionar mais instâncias de máquina virtual conforme sua escala aumenta. Um espaço de endereço /26 garante que o firewall tenha endereços IP suficientes disponíveis para acomodar o aumento de escala.

Não. O Firewall do Azure não precisa de uma sub-rede maior que /26.

A capacidade de taxa de transferência inicial do Firewall do Azure é de 2,5 a 3 Gbps e é dimensionada para 30 Gbps para o SKU Standard e 100 Gbps para o SKU Premium. Ele é dimensionado automaticamente com base no uso da CPU, na taxa de transferência e no número de conexões.

O Firewall do Azure é escalado gradualmente quando a taxa de transferência média ou o consumo de CPU está em 60%, ou o número de uso de conexões é de 80%. Por exemplo, ele começa a escalar horizontalmente quando atinge 60% da taxa de transferência máxima. Os números máximos de taxa de transferência variam com base no SKU do Firewall e nas funcionalidades habilitadas. Para obter mais informações, consulte Desempenho do Firewall do Azure.

O aumento de escala horizontal leva de cinco a sete minutos.

Ao fazer o teste de desempenho, faça-o por no mínimo 10 a 15 minutos e inicie novas conexões para aproveitar os nós do Firewall recém-criados.

Quando uma conexão tem um tempo limite ocioso (quatro minutos sem nenhuma atividade), o Firewall do Azure encerra normalmente a conexão enviando um pacote TCP RST.

Um desligamento da instância de VM do Firewall do Azure pode ocorrer durante a redução horizontal/vertical do Conjunto de Dimensionamento de Máquinas Virtuais ou durante a atualização de software da frota. Nesses casos, novas conexões de entrada são balanceadas por carga para as instâncias de firewall restantes e não são encaminhadas para a instância de firewall inoperante. Após 45 segundos, o firewall começa a rejeitar as conexões existentes enviando pacotes de TCP RST. Após mais 45 segundos, a VM do firewall será desligada. Para obter mais informações, confira Redefinição do TCP do Load Balancer e tempo limite ocioso.

Não. O Firewall do Azure bloqueia o acesso ao Active Directory por padrão. Para permitir o acesso, configure a marca de serviço AzureActiveDirectory. Para obter mais informações, confira Marcas de serviço do Firewall do Azure.

Sim, você pode usar o Azure PowerShell para fazer isso:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Um ping de TCP não está realmente se conectando ao FQDN de destino. O Firewall do Azure não permite uma conexão com nenhum endereço IP de destino/FQDN, a menos que haja uma regra explícita que permita isso.

O ping TCP é um caso de uso exclusivo em que, se não houver nenhuma regra permitida, o próprio Firewall responderá à solicitação de ping TCP do cliente, mesmo que o ping TCP não atinja o endereço IP de destino/FQDN. Nesse caso, o evento não é registrado. Se houver uma regra de rede que permita o acesso ao endereço IP de destino/FQDN, a solicitação de ping atingirá o servidor de destino e sua resposta será retransmitida para o cliente. Esse evento é registrado no log de regras de rede.

Sim. Para saber mais, confira Assinatura e limites de serviço, cotas e restrições do Azure

Não, não há suporte para mover um grupo de IP para outro grupo de recursos no momento.

Um comportamento padrão de um firewall de rede é garantir que as conexões TCP sejam mantidas no estado keep alive e sejam fechadas imediatamente se não houver nenhuma atividade. O tempo limite ocioso do TCP do Firewall do Azure é de quatro minutos. Essa configuração não é configurável pelo usuário, mas você pode contatar o Suporte do Azure para aumentar o tempo limite ocioso das conexões de entrada e saída em até 15 minutos. O tempo limite ocioso para o tráfego leste-oeste não pode ser alterado.

Se um período de inatividade for maior do que o valor de tempo limite, não haverá nenhuma garantia de que a sessão TCP ou HTTP será mantida. Uma prática comum é usar um TCP keep alive. Essa prática mantém a conexão ativa por um período maior. Para obter mais informações, confira estes exemplos do .NET.

Sim, mas você deve configurar o firewall no Modo de Túnel Forçado. Essa configuração cria uma interface de gerenciamento com um endereço IP público que é usado pelo Firewall do Azure para suas operações. Esse endereço IP público é para o tráfego de gerenciamento. Ele é usado exclusivamente pela plataforma do Azure e não pode ser usado para nenhuma outra finalidade. A rede de caminho de dados do locatário pode ser configurada sem um endereço IP público e o tráfego da Internet pode ser forçado por túnel para outro Firewall ou completamente bloqueado.

O Firewall do Azure não move nem armazena dados do cliente fora da região em que ele está implantado.

Sim. Para obter mais informações, confira Fazer backup do Firewall do Azure e do Firewall do Azure Policy com Aplicativos Lógicos.

Não, atualmente, o Firewall do Azure em hubs virtuais seguros (vWAN) não tem suporte no Catar.

O Firewall do Azure usa Máquinas Virtuais do Azure que têm um número limite rígido de conexões. O número total de conexões ativas por máquina virtual é de 250 mil.

O limite total por firewall é o limite de conexão da máquina virtual (250 mil) x o número de máquinas virtuais no pool de back-end do firewall. O Firewall do Azure começa com duas máquinas virtuais e escala horizontalmente com base no uso e na taxa de transferência da CPU.

Atualmente, o Firewall do Azure usa portas de origem TCP/UDP para tráfego SNAT de saída, sem tempo de espera ocioso. Quando uma conexão TCP/UDP é fechada, a porta TCP usada é imediatamente vista como disponível para conexões futuras.

Como uma solução alternativa para determinadas arquiteturas, você pode implantar e dimensionar com o Gateway da NAT com o Firewall do Azure para fornecer um pool mais amplo de portas SNAT para ter mais variabilidade e disponibilidade.

Comportamentos específicos da NAT dependem da configuração do firewall e do tipo de NAT configurado. Por exemplo, o firewall tem regras DNAT para tráfego de entrada, e regras de rede e regras de aplicativo para tráfego de saída por meio do firewall.

Para obter mais informações, confira Comportamentos da NAT do Firewall do Azure.