O que é o Azure Firewall?What is Azure Firewall?

Certificação ICSA

O Azure Firewall é um serviço de segurança de rede gerido e com base na cloud que protege os recursos da Rede Virtual do Azure.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. É uma firewall como um serviço com monitorização de estado com alta disponibilidade integrada e escalabilidade da cloud irrestrita.It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

Descrição geral das firewalls

Pode criar, impor e registar centralmente políticas de conectividade de rede e aplicações entre subscrições e redes virtuais.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. O Azure Firewall utiliza um endereço IP público estático para os recursos de rede virtual que permite às firewalls externas identificar o tráfego com origem na sua rede virtual.Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. O serviço está totalmente integrado no Azure Monitor para fins de registo e análise.The service is fully integrated with Azure Monitor for logging and analytics.

FuncionalidadesFeatures

Para saber mais sobre as funcionalidades do Azure Firewall, consulte as funcionalidades do Azure Firewall.To learn about Azure Firewall features, see Azure Firewall features.

Preços e SLAPricing and SLA

Para obter informações sobre preços do Azure Firewall, consulte os preços do Azure Firewall.For Azure Firewall pricing information, see Azure Firewall pricing.

Para obter informações sobre o SLA do Azure Firewall, consulte o Azure Firewall SLA.For Azure Firewall SLA information, see Azure Firewall SLA.

NovidadesWhat's new

Para saber as novidades com o Azure Firewall, consulte as atualizações do Azure.To learn what's new with Azure Firewall, see Azure updates.

Problemas conhecidosKnown issues

O Azure Firewall tem os seguintes problemas conhecidos:Azure Firewall has the following known issues:

ProblemaIssue DescriçãoDescription MitigaçãoMitigation
As regras de filtragem de rede para protocolos não TCP/UDP (por exemplo, ICMP) não funcionam para o tráfego vinculado à InternetNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic As regras de filtragem da rede para protocolos não-TCP/UDP não funcionam com o SNAT no seu endereço IP público.Network filtering rules for non-TCP/UDP protocols don't work with SNAT to your public IP address. Os protocolos não TCP/UDP são suportados entre VNets e sub-redes spoke.Non-TCP/UDP protocols are supported between spoke subnets and VNets. O Azure Firewall utiliza o Balanceador de Carga Standard que não suporta atualmente SNAT para protocolos IP.Azure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Estamos a explorar opções para apoiar este cenário num futuro lançamento.We're exploring options to support this scenario in a future release.
Suporte do PowerShell e CLI em falta para ICMPMissing PowerShell and CLI support for ICMP A Azure PowerShell e CLI não suportam o ICMP como um protocolo válido nas regras de rede.Azure PowerShell and CLI don't support ICMP as a valid protocol in network rules. Ainda é possível utilizar o ICMP como protocolo através do portal e da API REST.It's still possible to use ICMP as a protocol via the portal and the REST API. Estamos a trabalhar para adicionar ICMP na PowerShell e na CLI em breve.We're working to add ICMP in PowerShell and CLI soon.
As etiquetas FQDN requerem um protocolo: porta a definirFQDN tags require a protocol: port to be set As regras de aplicação com tags FQDN requerem porta: definição de protocolo.Application rules with FQDN tags require port: protocol definition. Pode utilizar https como a porta: valor de protocolo.You can use https as the port: protocol value. Estamos a trabalhar para tornar este campo opcional quando as etiquetas FQDN são usadas.We're working to make this field optional when FQDN tags are used.
Mover uma firewall para um grupo de recursos diferente ou subscrição não é suportadoMoving a firewall to a different resource group or subscription isn't supported Mover uma firewall para um grupo de recursos diferente ou subscrição não é suportado.Moving a firewall to a different resource group or subscription isn't supported. O suporte desta funcionalidade está no nosso roteiro.Supporting this functionality is on our road map. Para mover uma firewall para um grupo de recursos ou uma subscrição diferente, tem de eliminar a instância atual e recriá-la no novo grupo de recursos ou subscrição.To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
Alertas de inteligência de ameaça podem ficar mascaradosThreat intelligence alerts may get masked As regras de rede com o destino 80/443 para filtrar máscaras de saída alertam para ameaças de inteligência quando configuradas apenas para o modo de alerta.Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. Crie filtragem de saída para 80/443 utilizando as regras de aplicação.Create outbound filtering for 80/443 using application rules. Ou, mude o modo de inteligência de ameaça para Alerta e Negação.Or, change the threat intelligence mode to Alert and Deny.
O DNAT do Azure Firewall não funciona para destinos IP privadosAzure Firewall DNAT doesn't work for private IP destinations O suporte de ADN da Azure Firewall está limitado a saídas/entradas de Internet.Azure Firewall DNAT support is limited to Internet egress/ingress. O DNAT não funciona atualmente para destinos IP privados.DNAT doesn't currently work for private IP destinations. Por exemplo, falou com a fala.For example, spoke to spoke. Esta é uma limitação atual.This is a current limitation.
Não é possível remover a primeira configuração ip públicaCan't remove first public IP configuration Cada endereço IP público do Azure Firewall é atribuído a uma configuração IP.Each Azure Firewall public IP address is assigned to an IP configuration. A primeira configuração IP é atribuída durante a implementação da firewall, e normalmente também contém uma referência à sub-rede de firewall (a menos que configurada explicitamente de forma diferente através de uma implementação do modelo).The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). Não é possível eliminar esta configuração IP porque desafetaria a firewall.You can't delete this IP configuration because it would de-allocate the firewall. Ainda pode alterar ou remover o endereço IP público associado a esta configuração IP se a firewall tiver pelo menos um outro endereço IP público disponível para usar.You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. Esta ação é propositada.This is by design.
As zonas de disponibilidade só podem ser configuradas durante a implantação.Availability zones can only be configured during deployment. As zonas de disponibilidade só podem ser configuradas durante a implantação.Availability zones can only be configured during deployment. Não é possível configurar zonas de disponibilidade depois de uma firewall ter sido implantada.You can't configure Availability Zones after a firewall has been deployed. Esta ação é propositada.This is by design.
SNAT em ligações de entradaSNAT on inbound connections Além do DNAT, as ligações através do endereço IP público de firewall (entrada) são SNATed a um dos IPs privados de firewall.In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. Este requisito hoje (também para NVAs ativos/ativos) para garantir o encaminhamento simétrico.This requirement today (also for Active/Active NVAs) to ensure symmetric routing. Para preservar a fonte original para HTTP/S, considere a utilização de cabeçalhos XFF.To preserve the original source for HTTP/S, consider using XFF headers. Por exemplo, utilize um serviço como Azure Front Door ou Azure Application Gateway em frente à firewall.For example, use a service such as Azure Front Door or Azure Application Gateway in front of the firewall. Também pode adicionar WAF como parte da Porta frontal Azure e corrente à firewall.You can also add WAF as part of Azure Front Door and chain to the firewall.
Suporte de filtragem SQL FQDN apenas no modo proxy (porta 1433)SQL FQDN filtering support only in proxy mode (port 1433) Para a base de dados Azure SQL, Azure Synapse Analytics e Azure SQL Gerenciado Instância:For Azure SQL Database, Azure Synapse Analytics, and Azure SQL Managed Instance:

A filtragem SQL FQDN é suportada apenas em modo proxy (porta 1433).SQL FQDN filtering is supported in proxy-mode only (port 1433).

Para Azure SQL IaaS:For Azure SQL IaaS:

Se estiver a utilizar portas não standard, pode especificar essas portas nas regras de aplicação.If you're using non-standard ports, you can specify those ports in the application rules.
Para o SQL no modo de redireccionamento (o padrão se ligar a partir de Azure), pode, em vez disso, filtrar o acesso utilizando a etiqueta de serviço SQL como parte das regras da rede Azure Firewall.For SQL in redirect mode (the default if connecting from within Azure), you can instead filter access using the SQL service tag as part of Azure Firewall network rules.
Não é permitido tráfego de saída na porta TCP 25Outbound traffic on TCP port 25 isn't allowed As ligações SMTP de saída que utilizam a porta TCP 25 estão bloqueadas.Outbound SMTP connections that use TCP port 25 are blocked. O Porto 25 é usado principalmente para a entrega de e-mail não autenticado.Port 25 is primarily used for unauthenticated email delivery. Este é o comportamento padrão da plataforma para máquinas virtuais.This is the default platform behavior for virtual machines. Para obter mais informações, consulte mais problemas de conectividade SMTP de saída de resolução de problemas em Azure.For more information, see more Troubleshoot outbound SMTP connectivity issues in Azure. No entanto, ao contrário das máquinas virtuais, não é atualmente possível ativar esta funcionalidade no Azure Firewall.However, unlike virtual machines, it isn't currently possible to enable this functionality on Azure Firewall. Nota: para permitir que o SMTP autenticado (porta 587) ou SMTP sobre uma porta com outra de 25, certifique-se de que configura uma regra de rede e não uma regra de aplicação, uma vez que a inspeção SMTP não é suportada neste momento.Note: to allow authenticated SMTP (port 587) or SMTP over a port other than 25, please make sure you configure a network rule and not an application rule as SMTP inspection is not supported at this time. Siga o método recomendado para enviar e-mail, conforme documentado no artigo de resolução de problemas do SMTP.Follow the recommended method to send email, as documented in the SMTP troubleshooting article. Ou, exclua a máquina virtual que necessita de acesso SMTP de saída da sua rota padrão para a firewall.Or, exclude the virtual machine that needs outbound SMTP access from your default route to the firewall. Em vez disso, configurar o acesso de saída diretamente para a internet.Instead, configure outbound access directly to the internet.
FTP ativo não é suportadoActive FTP isn't supported O FTP ativo é desativado no Azure Firewall para proteger contra ataques de ressalto FTP utilizando o comando FTP PORT.Active FTP is disabled on Azure Firewall to protect against FTP bounce attacks using the FTP PORT command. Em vez disso, pode utilizar FTP passivo.You can use Passive FTP instead. Deve ainda abrir explicitamente as portas TCP 20 e 21 na firewall.You must still explicitly open TCP ports 20 and 21 on the firewall.
Métrica de utilização do porto SNAT mostra 0%SNAT port utilization metric shows 0% A métrica de utilização da porta Azure Firewall SNAT pode mostrar uma utilização de 0% mesmo quando as portas SNAT são utilizadas.The Azure Firewall SNAT port utilization metric may show 0% usage even when SNAT ports are used. Neste caso, a utilização da métrica como parte da métrica de saúde da firewall proporciona um resultado incorreto.In this case, using the metric as part of the firewall health metric provides an incorrect result. Esta questão foi corrigida e a produção está prevista para maio de 2020.This issue has been fixed and rollout to production is targeted for May 2020. Em alguns casos, a redistribuição de firewall resolve o problema, mas não é consistente.In some cases, firewall redeployment resolves the issue, but it's not consistent. Como uma solução intermédia, utilize apenas o estado de saúde da firewall para procurar o estado=degradado, não para o status=insalubre.As an intermediate workaround, only use the firewall health state to look for status=degraded, not for status=unhealthy. A exaustão portuária mostrar-se-á degradada.Port exhaustion will show as degraded. Não é saudável para uso futuro quando são mais métricas para impactar a saúde da firewall.Not healthy is reserved for future use when the are more metrics to impact the firewall health.
Dnat não é suportado com túnel forçado habilitadoDNAT isn't supported with Forced Tunneling enabled As firewalls implantadas com túneis forçados ativados não podem suportar o acesso à entrada da Internet por causa do encaminhamento assimétrico.Firewalls deployed with Forced Tunneling enabled can't support inbound access from the Internet because of asymmetric routing. Isto é por design devido ao encaminhamento assimétrico.This is by design because of asymmetric routing. O caminho de retorno para as ligações de entrada passa pela firewall no local, que não viu a ligação estabelecida.The return path for inbound connections goes via the on-premises firewall, which hasn't seen the connection established.
FtP passivo de saída pode não funcionar para Firewalls com vários endereços IP públicos, dependendo da configuração do servidor FTP.Outbound Passive FTP may not work for Firewalls with multiple public IP addresses, depending on your FTP server configuration. A FTP passiva estabelece diferentes ligações para canais de controlo e dados.Passive FTP establishes different connections for control and data channels. Quando uma Firewall com vários endereços IP públicos envia dados para fora, seleciona aleatoriamente um dos seus endereços IP públicos para o endereço IP de origem.When a Firewall with multiple public IP addresses sends data outbound, it randomly selects one of its public IP addresses for the source IP address. O FTP pode falhar quando os canais de dados e de controlo utilizam diferentes endereços IP de origem, dependendo da configuração do servidor FTP.FTP may fail when data and control channels use different source IP addresses, depending on your FTP server configuration. Está prevista uma configuração SNAT explícita.An explicit SNAT configuration is planned. Entretanto, pode configurar o seu servidor FTP para aceitar canais de dados e de controlo de diferentes endereços IP de origem (ver exemplo para IIS).In the meantime, you can configure your FTP server to accept data and control channels from different source IP addresses (see an example for IIS). Em alternativa, considere utilizar um único endereço IP nesta situação.Alternatively, consider using a single IP address in this situation.
FTP passivo de entrada pode não funcionar dependendo da configuração do servidor FTPInbound Passive FTP may not work depending on your FTP server configuration A FTP passiva estabelece diferentes ligações para canais de controlo e dados.Passive FTP establishes different connections for control and data channels. As ligações de entrada no Azure Firewall são SNATed para um dos endereços IP privados de firewall para garantir o encaminhamento simétrico.Inbound connections on Azure Firewall are SNATed to one of the firewall private IP address to ensure symmetric routing. O FTP pode falhar quando os canais de dados e de controlo utilizam diferentes endereços IP de origem, dependendo da configuração do servidor FTP.FTP may fail when data and control channels use different source IP addresses, depending on your FTP server configuration. A preservação do endereço IP de origem original está a ser investigada.Preserving the original source IP address is being investigated. Entretanto, pode configurar o seu servidor FTP para aceitar canais de dados e controlo de diferentes endereços IP de origem.In the meantime, you can configure your FTP server to accept data and control channels from different source IP addresses.
A métrica NetworkRuleHit está a perder uma dimensão de protocoloNetworkRuleHit metric is missing a protocol dimension A métrica ApplicationRuleHit permite filtrar o protocolo baseado na filtragem, mas esta capacidade está em falta na métrica correspondente do NetworkRuleHit.The ApplicationRuleHit metric allows filtering based protocol, but this capability is missing in the corresponding NetworkRuleHit metric. Uma correção está a ser investigada.A fix is being investigated.
As regras da NAT com portas entre 64000 e 65535 não são apoiadasNAT rules with ports between 64000 and 65535 are unsupported O Azure Firewall permite que qualquer porta na gama 1-65535 nas regras de rede e aplicação, no entanto as regras DA APENAS suportam portas na gama 1-63999.Azure Firewall allows any port in the 1-65535 range in network and application rules, however NAT rules only support ports in the 1-63999 range. Esta é uma limitação atual.This is a current limitation.
As atualizações de configuração podem demorar cinco minutos, em média,Configuration updates may take five minutes on average Uma atualização de configuração do Azure Firewall pode demorar entre 3 a 5 minutos, em média, e as atualizações paralelas não são suportadas.An Azure Firewall configuration update can take three to five minutes on average, and parallel updates aren't supported. Uma correção está a ser investigada.A fix is being investigated.
Azure Firewall usa cabeçalhos SNI TLS para filtrar tráfego HTTPS e MSSQLAzure Firewall uses SNI TLS headers to filter HTTPS and MSSQL traffic Se o software do navegador ou do servidor não suportar a extensão do Indicador de Nome do Servidor (SNI), não será capaz de se ligar através do Azure Firewall.If browser or server software does not support the Server Name Indicator (SNI) extension, you won't be able to connect through Azure Firewall. Se o software do navegador ou do servidor não suportar SNI, então poderá ser capaz de controlar a ligação usando uma regra de rede em vez de uma regra de aplicação.If browser or server software does not support SNI, then you may be able to control the connection using a network rule instead of an application rule. Consulte a indicação do nome do servidor para software que suporta sNI.See Server Name Indication for software that supports SNI.
DNS personalizado não funciona com túneis forçadosCustom DNS doesn't work with forced tunneling Se o túnel de força estiver ativado, o DNS personalizado não funciona.If force tunneling is enabled, custom DNS doesn't work. Uma correção está a ser investigada.A fix is being investigated.
Start/Stop não funciona com uma firewall configurada em modo de túnel forçadoStart/Stop doesn’t work with a firewall configured in forced-tunnel mode O arranque/paragem não funciona com firewall Azure configurado em modo de túnel forçado.Start/stop doesn’t work with Azure firewall configured in forced-tunnel mode. Tentar iniciar a Firewall do Azure com túneis forçados configurados resulta no seguinte erro:Attempting to start Azure Firewall with forced tunneling configured results in the following error:

Set-AzFirewall: AzureFirewall FW-xx management IP configuração IP não pode ser adicionada a uma firewall existente. Reimplantar com uma configuração IP de gestão se quiser utilizar suporte de túneis forçado.
StatusCode: 400
ReasonPhrase: Mau pedido
Set-AzFirewall: AzureFirewall FW-xx management IP configuration cannot be added to an existing firewall. Redeploy with a management IP configuration if you want to use forced tunneling support.
StatusCode: 400
ReasonPhrase: Bad Request
Sob investigação.Under investigation.

Como uma solução alternativa, pode eliminar a firewall existente e criar uma nova com os mesmos parâmetros.As a workaround, you can delete the existing firewall and create a new one with the same parameters.
Não é possível adicionar tags de política de firewall usando o portalCan't add firewall policy tags using the portal A Azure Firewall Policy tem uma limitação de suporte de patch que o impede de adicionar uma etiqueta usando o portal Azure.Azure Firewall Policy has a patch support limitation that prevents you from adding a tag using the Azure portal. O seguinte erro é gerado: Não foi possível guardar as etiquetas para o recurso.The following error is generated: Could not save the tags for the resource. Uma correção está a ser investigada.A fix is being investigated. Em alternativa, pode utilizar o cmdlet Azure PowerShell Set-AzFirewallPolicy para atualizar as tags.Alternatively, you can use the Azure PowerShell cmdlet Set-AzFirewallPolicy to update tags.
IPv6 ainda não apoiadoIPv6 not yet supported Se adicionar um endereço IPv6 a uma regra, a firewall falha.If you add an IPv6 address to a rule, the firewall fails. Utilize apenas endereços IPv4.Use only IPv4 addresses. O apoio do IPv6 está sob investigação.IPv6 support is under investigation.

Passos seguintesNext steps