O que é o Firewall do Azure?What is Azure Firewall?

Certificação ICSA

Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos de Rede Virtual do Azure.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita.It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

Visão geral do firewall

É possível criar, impor e registrar centralmente políticas de conectividade de rede e de aplicativo em assinaturas e redes virtuais.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. O Firewall do Azure usa um endereço IP público estático para seus recursos de rede virtual, permitindo que firewalls externos identifiquem o tráfego originário de sua rede virtual.Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. O serviço é totalmente integrado ao Azure Monitor para registro em log e análise.The service is fully integrated with Azure Monitor for logging and analytics.

RecursosFeatures

Para saber mais sobre os recursos do Firewall do Azure, confira Recursos do Firewall do Azure.To learn about Azure Firewall features, see Azure Firewall features.

Problemas conhecidosKnown issues

O Firewall do Azure tem os seguintes problemas conhecidos:Azure Firewall has the following known issues:

ProblemaIssue DescriçãoDescription AtenuaçãoMitigation
As regras de filtragem de rede para protocolos não TCP/UDP (por exemplo, ICMP) não funcionam para o tráfego vinculado à InternetNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic As regras de filtragem de rede para protocolos não TCP/UDP não funcionam com o SNAT para seu endereço IP público.Network filtering rules for non-TCP/UDP protocols don't work with SNAT to your public IP address. Protocolos não TCP/UDP têm suporte entre VNets e sub-redes spoke.Non-TCP/UDP protocols are supported between spoke subnets and VNets. O Firewall do Azure usa o Standard Load Balancer que não dá suporte a SNAT para protocolos IP.Azure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Estamos explorando as opções para dar suporte a esse cenário em uma versão futura.We're exploring options to support this scenario in a future release.
Suporte do PowerShell e da CLI ausente para ICMPMissing PowerShell and CLI support for ICMP O Azure PowerShell e a CLI não dão suporte ao ICMP como um protocolo válido nas regras de rede.Azure PowerShell and CLI don't support ICMP as a valid protocol in network rules. Ainda é possível usar o ICMP como protocolo por meio do portal e da API REST.It's still possible to use ICMP as a protocol via the portal and the REST API. Estamos trabalhando para adicionar o ICMP no PowerShell e na CLI em breve.We're working to add ICMP in PowerShell and CLI soon.
As marcas de FQDN requerem que um protocolo:porta seja definidoFQDN tags require a protocol: port to be set As regras de aplicativo com marcas de FQDN exigem a definição de um protocolo:porta.Application rules with FQDN tags require port: protocol definition. Você pode usar HTTPS como o valor de porta:protocolo.You can use https as the port: protocol value. Estamos trabalhando para tornar esse campo opcional quando marcas de FQDN são usadas.We're working to make this field optional when FQDN tags are used.
Não há suporte para a movimentação de um firewall para um grupo de recursos ou uma assinatura diferenteMoving a firewall to a different resource group or subscription isn't supported Não há suporte para a movimentação de um firewall para um grupo de recursos ou uma assinatura diferente.Moving a firewall to a different resource group or subscription isn't supported. O suporte a essa funcionalidade está em nosso roteiro.Supporting this functionality is on our road map. Para mover um firewall para um grupo de recursos ou uma assinatura diferente, você precisa excluir a instância atual e recriá-la no novo grupo de recursos ou na nova assinatura.To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
Alertas de inteligência de ameaças podem ser mascaradosThreat intelligence alerts may get masked As regras de rede com destino 80/443 para filtragem de saída mascaram os alertas de inteligência de ameaças quando configuradas para o modo somente alerta.Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. Crie a filtragem de saída para 80/443 usando regras de aplicativo.Create outbound filtering for 80/443 using application rules. Ou, alterar o modo de inteligência contra ameaças para Alertar e negar.Or, change the threat intelligence mode to Alert and Deny.
O Firewall do Azure usa apenas DNS do Azure para resolução de nomeAzure Firewall uses Azure DNS only for name resolution O Firewall do Azure resolve FQDNs usando apenas o DNS do Azure.Azure Firewall resolves FQDNs using Azure DNS only. Não há suporte para um servidor DNS personalizado.A custom DNS server isn't supported. Não há nenhum impacto à resolução de DNS em outras sub-redes.There's no impact on DNS resolution on other subnets. Estamos trabalhando para afrouxar essa limitação.We're working to relax this limitation.
O DNAT de Firewall do Azure não funciona para destinos de IP privadosAzure Firewall DNAT doesn't work for private IP destinations O suporte para DNAT do Firewall do Azure é limitado à saída/entrada da Internet.Azure Firewall DNAT support is limited to Internet egress/ingress. No momento, o DNAT não funciona para destinos de IP privados.DNAT doesn't currently work for private IP destinations. Por exemplo, spoke para spoke.For example, spoke to spoke. Esta é uma limitação atual.This is a current limitation.
Não é possível remover a primeira configuração de IP públicoCan't remove first public IP configuration Cada endereço IP público do Firewall do Azure é atribuído a uma configuração de IP.Each Azure Firewall public IP address is assigned to an IP configuration. A primeira configuração de IP é atribuída durante a implantação do firewall e geralmente também contém uma referência à sub-rede do firewall (a menos que configurado de maneira explicitamente diferente por meio de uma implantação de modelo).The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). Não é possível excluir essa configuração de IP, pois ele desalocaria o firewall.You can't delete this IP configuration because it would de-allocate the firewall. Você ainda poderá alterar ou remover o endereço IP público associado a essa configuração de IP se o firewall tiver pelo menos um outro endereço IP público disponível para uso.You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. Isso ocorre por design.This is by design.
As Zonas de disponibilidade só podem ser configuradas durante a implantação.Availability zones can only be configured during deployment. As Zonas de disponibilidade só podem ser configuradas durante a implantação.Availability zones can only be configured during deployment. Você não pode configurar Zonas de Disponibilidade após a implantação de um firewall.You can't configure Availability Zones after a firewall has been deployed. Isso ocorre por design.This is by design.
SNAT em conexões de entradaSNAT on inbound connections Além de DNAT, as conexões via o endereço IP público do firewall (entrada) estão no modo SNAT para um dos IPs privados do firewall.In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. Esse requisito hoje (e também para NVAs ativa/ativa) garante o roteamento simétrico.This requirement today (also for Active/Active NVAs) to ensure symmetric routing. Para preservar a fonte original para HTTP/S, use os cabeçalhos XFF.To preserve the original source for HTTP/S, consider using XFF headers. Por exemplo, use um serviço como o Azure Front Door ou o Gateway de Aplicativo do Azure na frente do firewall.For example, use a service such as Azure Front Door or Azure Application Gateway in front of the firewall. Você também pode adicionar o WAF como parte Porta da frente do Azure e encadear ao firewall.You can also add WAF as part of Azure Front Door and chain to the firewall.
Suporte para filtragem de FQDN do SQL apenas no modo de proxy (porta 1433)SQL FQDN filtering support only in proxy mode (port 1433) Para o Banco de Dados SQL do Azure, o SQL Data Warehouse do Azure e a Instância Gerenciada do SQL do Azure:For Azure SQL Database, Azure SQL Data Warehouse, and Azure SQL Managed Instance:

Durante a versão prévia, a filtragem de FQDN do SQL tem suporte apenas no modo de proxy (a porta 1433).During the preview, SQL FQDN filtering is supported in proxy-mode only (port 1433).

Para IaaS do SQL do Azure:For Azure SQL IaaS:

Se estiver usando portas não padrão, você poderá especificar essas portas nas regras do aplicativo.If you're using non-standard ports, you can specify those ports in the application rules.
Para o SQL no modo de redirecionamento (o padrão ao se conectar de dentro do Azure), você pode filtrar o acesso usando a tag de serviço do SQL como parte das regras de rede do Firewall do Azure.For SQL in redirect mode (the default if connecting from within Azure), you can instead filter access using the SQL service tag as part of Azure Firewall network rules.
O tráfego de saída na porta TCP 25 não é permitidoOutbound traffic on TCP port 25 isn't allowed As conexões SMTP de saída que usam a porta TCP 25 foram bloqueadas.Outbound SMTP connections that use TCP port 25 are blocked. A porta 25 é usada principalmente para entrega de email não autenticado.Port 25 is primarily used for unauthenticated email delivery. Esse é o comportamento de plataforma padrão para máquinas virtuais.This is the default platform behavior for virtual machines. Para saber mais, confira Solucionar problemas de conectividade de SMTP de saída no Azure.For more information, see more Troubleshoot outbound SMTP connectivity issues in Azure. No entanto, ao contrário de máquinas virtuais, no momento, não é possível habilitar essa funcionalidade no Firewall do Azure.However, unlike virtual machines, it isn't currently possible to enable this functionality on Azure Firewall. Observação: para permitir o SMTP autenticado (porta 587) ou o SMTP por uma porta diferente de 25, configure uma regra de rede e não uma regra de aplicativo, porque não há suporte para a inspeção de SMTP no momento.Note: to allow authenticated SMTP (port 587) or SMTP over a port other than 25, please make sure you configure a network rule and not an application rule as SMTP inspection is not supported at this time. Siga o método recomendado para enviar email conforme documentado no artigo de solução de problemas de SMTP.Follow the recommended method to send email, as documented in the SMTP troubleshooting article. Ou exclua a máquina virtual que precisa de acesso SMTP de saída da rota padrão para o firewall.Or, exclude the virtual machine that needs outbound SMTP access from your default route to the firewall. Em vez disso, configure o acesso de saída diretamente para a Internet.Instead, configure outbound access directly to the internet.
Não há suporte para FTP AtivoActive FTP isn't supported O FTP Ativo é desabilitado no Firewall do Azure para se proteger contra ataques de retorno de FTP usando o comando FTP PORT.Active FTP is disabled on Azure Firewall to protect against FTP bounce attacks using the FTP PORT command. Em vez disso, você pode usar o FTP Passivo.You can use Passive FTP instead. Você ainda deve abrir explicitamente as portas TCP 20 e 21 no firewall.You must still explicitly open TCP ports 20 and 21 on the firewall.
A métrica de utilização da porta SNAT mostra 0%SNAT port utilization metric shows 0% A métrica de utilização da porta SNAT do Firewall do Azure pode mostrar o uso de 0% mesmo quando as portas SNAT são usadas.The Azure Firewall SNAT port utilization metric may show 0% usage even when SNAT ports are used. Nesse caso, o uso da métrica como parte da métrica de integridade do firewall fornece um resultado incorreto.In this case, using the metric as part of the firewall health metric provides an incorrect result. Esse problema foi corrigido e a distribuição para produção é destinada a maio de 2020.This issue has been fixed and rollout to production is targeted for May 2020. Em alguns casos, a reimplantação do firewall resolve o problema, mas não é consistente.In some cases, firewall redeployment resolves the issue, but it's not consistent. Como uma solução alternativa intermediária, use apenas o estado de integridade do firewall para procurar status = degradado, não para status = não íntegro.As an intermediate workaround, only use the firewall health state to look for status=degraded, not for status=unhealthy. O esgotamento de porta será exibido como degradado.Port exhaustion will show as degraded. Não íntegro é reservado para uso futuro quando mais métricas afetam a integridade do firewall.Not healthy is reserved for future use when the are more metrics to impact the firewall health.
O DNAT não é compatível com o Túnel Forçado habilitadoDNAT isn't supported with Forced Tunneling enabled Os firewalls implantados com o Túnel Forçado habilitado não são compatíveis com acesso de entrada proveniente da Internet devido ao roteamento assimétrico.Firewalls deployed with Forced Tunneling enabled can't support inbound access from the Internet because of asymmetric routing. Isso ocorre por design devido ao roteamento assimétrico.This is by design because of asymmetric routing. O caminho de retorno para conexões de entrada passa pelo firewall local, que não viu a conexão estabelecida.The return path for inbound connections goes via the on-premises firewall, which hasn't seen the connection established.
O FTP Passivo de Saída não funciona para Firewalls com vários endereços IP públicosOutbound Passive FTP doesn't work for Firewalls with multiple public IP addresses O FTP Passivo estabelece conexões diferentes para canais de controle e de dados.Passive FTP establishes different connections for control and data channels. Quando um Firewall com vários endereços IP públicos envia dados de saída, ele seleciona aleatoriamente um de seus endereços IP públicos para o endereço IP de origem.When a Firewall with multiple public IP addresses sends data outbound, it randomly selects one of its public IP addresses for the source IP address. O FTP falha quando os canais de controle e de dados usam endereços IP de origem diferentes.FTP fails when data and control channels use different source IP addresses. Uma configuração SNAT explícita está em planejamento.An explicit SNAT configuration is planned. Enquanto isso, considere o uso de um só endereço IP nessa situação.In the meantime, consider using a single IP address in this situation.
A métrica NetworkRuleHit não tem uma dimensão de protocoloNetworkRuleHit metric is missing a protocol dimension A métrica ApplicationRuleHit permite o protocolo baseado em filtragem, mas essa funcionalidade está ausente na métrica NetworkRuleHit correspondente.The ApplicationRuleHit metric allows filtering based protocol, but this capability is missing in the corresponding NetworkRuleHit metric. Uma correção está sendo investigada.A fix is being investigated.
Não há suporte para regras NAT com portas entre 64000 e 65535NAT rules with ports between 64000 and 65535 are unsupported O Firewall do Azure permite qualquer porta no intervalo de 1 a 65535 nas regras de rede e de aplicativo, no entanto, as regras de NAT dão suporte apenas a portas no intervalo de 1 a 63999.Azure Firewall allows any port in the 1-65535 range in network and application rules, however NAT rules only support ports in the 1-63999 range. Esta é uma limitação atual.This is a current limitation.
As atualizações de configuração podem levar cinco minutos em médiaConfiguration updates may take five minutes on average Uma atualização de configuração do Firewall do Azure pode levar de três a cinco minutos em média e não há suporte para atualizações paralelas.An Azure Firewall configuration update can take three to five minutes on average, and parallel updates aren't supported. Uma correção está sendo investigada.A fix is being investigated.
O Firewall do Azure usa cabeçalhos de TLS SNI para filtrar tráfego HTTPS e MSSQLAzure Firewall uses SNI TLS headers to filter HTTPS and MSSQL traffic Se o software do navegador ou para servidores não for compatível com a extensão SNI (Indicação de Nome do Servidor), você não poderá se conectar por meio do Firewall do Azure.If browser or server software does not support the Server Name Indicator (SNI) extension, you won't be able to connect through Azure Firewall. Se o software do navegador ou para servidores não for compatível com a SNI, você poderá controlar a conexão usando uma regra de rede em vez de uma regra de aplicativo.If browser or server software does not support SNI, then you may be able to control the connection using a network rule instead of an application rule. Consulte Indicação de Nome de Servidor para conhecer software que seja compatível com a SNI.See Server Name Indication for software that supports SNI.

Próximas etapasNext steps