Часто задаваемые вопросы о службе «Брандмауэр Azure»

Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure. Брандмауэр разработан как служба с полным отслеживанием состояния со встроенной высокой доступностью и неограниченной облачной масштабируемостью. Вы можете централизованно создавать, применять и регистрировать политики приложений и сетевых подключений в подписках и виртуальных сетях.

Дополнительные сведения о функциях брандмауэра Azure см. в статье Функции службы "Брандмауэр Azure".

Хотя службу "Брандмауэр Azure" можно развернуть в любой виртуальной сети, клиенты обычно развертывают ее в центральной виртуальной сети и устанавливать пиринг к ней в звездообразной модели. Затем вы можете установить маршрут по умолчанию из пиринговых виртуальных сетей, чтобы указать на эту центральную виртуальную сеть брандмауэра. Пиринг глобальной виртуальной сети поддерживается, но не рекомендуется из-за потенциальных проблем с производительностью и задержками в разных регионах. Для достижения максимальной производительности разверните один брандмауэр для каждого региона.

Преимуществом этой модели является возможность централизованно влиять на несколько периферийных виртуальных сетей, находящихся в разных подписках. Она также помогает сократить затраты, так как вам не нужно развертывать брандмауэр в каждой виртуальной сети отдельно. Экономию и соответствующие затраты на пиринг следует сравнивать на основе шаблонов трафика клиента.

Службу "Брандмауэр Azure" можно настроить с помощью портала Azure, PowerShell, REST API или шаблонов. Пошаговые инструкции см. в статье Руководство по развертыванию и настройке службы "Брандмауэр Azure" с помощью портала Azure.

Служба "Брандмауэр Azure" поддерживает правила и коллекции правил. Коллекция правил — это набор правил с одинаковым порядком и приоритетом. Коллекции правил выполняются в порядке их важности. Коллекции правил DNAT являются более приоритетными коллекциями правил сети, которые являются более высоким приоритетом, чем коллекции правил приложения, и все правила завершаются.

Есть три типа коллекций правил:

• Правила приложения: настройте полные доменные имена (FQDN), к которым можно получить доступ из виртуальная сеть.
• Сетевые правила: настройте правила, содержащие исходные адреса, протоколы, порты назначения и адреса назначения.
• Правила NAT: настройте правила DNAT для разрешения входящих подключений к Интернету.

Дополнительные сведения см. в разделе "Настройка правил Брандмауэр Azure".

Брандмауэр Azure поддерживает фильтрацию входящего и исходящего трафика. Защита от входящего трафика обычно используется для протоколов, отличных от HTTP, таких как протоколы RDP, SSH и FTP. Для защиты входящего трафика HTTP и HTTPS используйте брандмауэр веб-приложения, например Azure Брандмауэр веб-приложений (WAF) или разгрузку TLS и возможности глубокой проверки пакетов Брандмауэр Azure Premium.

Да, Брандмауэр Azure Basic поддерживает принудительное туннелирование.

Служба "Брандмауэр Azure" интегрирована с Azure Monitor для возможности просмотра и анализа журналов брандмауэра. Журналы могут отправляться в Log Analytics, службу хранилища Azure или Центры событий. Их можно анализировать в Log Analytics или с помощью различных инструментов, таких как Excel и Power BI. Дополнительные сведения см. в статье Руководство. Журналы мониторинга Брандмауэра Azure.

Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети. Это высокодоступная служба с полным отслеживанием состояния и неограниченными возможностями облачного масштабирования. Он предварительно интегрирован с сторонними поставщиками безопасности как услуга (SECaaS), чтобы обеспечить расширенную безопасность для виртуальной сети и подключений к Интернету филиала. Дополнительные сведения о сетевой безопасности Azure см. в статье "Безопасность сети Azure".

Брандмауэр веб-приложения (WAF) — это компонент шлюза приложений, обеспечивающий централизованную входящую защиту веб-приложений от распространенных эксплойтов и уязвимостей. Брандмауэр Azure обеспечивает защиту входящего трафика для протоколов, отличных от HTTP/S (таких как RDP, SSH, FTP), защиту исходящего трафика сетевого уровня для всех портов и протоколов и защиту уровня приложения для исходящего трафика HTTP/S.

Служба "Брандмауэр Azure" дополняет функции группы безопасности сети. Вместе эти два компонента обеспечивают эшелонированную защиту сети. Группы безопасности сети обеспечивают фильтрацию распределенного трафика на уровне сети для ограничения трафика между ресурсами внутри виртуальных сетей в каждой подписке. Служба "Брандмауэр Azure" — это полностью автономный, централизованный сетевой брандмауэр как услуга, обеспечивающий защиту на уровне сети и приложений в различных подписках и виртуальных сетях.

Брандмауэр Azure — это управляемая служба с несколькими уровнями защиты, которая включает защиту платформы с помощью групп NSG уровня NIC (недоступно для просмотра). Группы NSG уровня подсети не требуются в AzureFirewallSubnet, поэтому они отключены, чтобы не прерывать работу службы.

Для обеспечения безопасного доступа к службам PaaS рекомендуем использовать конечные точки. Вы можете включить конечные точки служб в подсети Брандмауэра Azure и отключить их в подключенных периферийных виртуальных сетях. Таким образом, вы получаете преимущества обеих функций: безопасность конечной точки службы и централизованное ведение журналов всего трафика.

См. статью Цены на Брандмауэр Azure.

Вы можете использовать методы Azure PowerShell deallocate и allocate. Для брандмауэра, настроенного для принудительного туннелирования, процедура будет немного отличаться.

Например, для брандмауэра, НЕ настроенного для принудительного туннелирования:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))

Set-AzFirewall -AzureFirewall $azfw

Для брандмауэра, настроенного для принудительного туннелирования, остановка выполняется так же. Однако для запуска требуется повторно связать общедоступный IP-адрес управления с брандмауэром:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall

Для брандмауэра в защищенной архитектуре виртуального концентратора остановка одинакова, но при запуске необходимо использовать идентификатор виртуального концентратора:

# Stop and existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$virtualhub = get-azvirtualhub -ResourceGroupName "RG name of vHUB" -name "vHUB name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Azfw RG Name"
$azfw.Allocate($virtualhub.Id)
$azfw | Set-AzFirewall

При выделении и отмене выставление счетов за брандмауэр запускается и останавливается соответственно.

Рекомендуется настроить зоны доступности во время первоначального развертывания брандмауэра. Однако в некоторых случаях можно изменить зоны доступности после развертывания. Вот эти предварительные требования:

• Брандмауэр развертывается в виртуальной сети. Он не поддерживается с брандмауэрами, развернутыми в защищенном виртуальном концентраторе.
• Регион брандмауэра поддерживает зоны доступности.
• Все присоединенные общедоступные IP-адреса развертываются с зонами доступности. На странице свойств каждого общедоступного IP-адреса убедитесь, что поле зон доступности существует и настроено с теми же зонами, которые настроены для брандмауэра.

Перенастройка зон доступности может выполняться только при перезапуске брандмауэра. После выделения брандмауэра и непосредственно перед запуском брандмауэра Set-AzFirewallиспользуйте следующую команду Azure PowerShell для изменения свойства зон брандмауэра:

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azFw.Zones=1,2,3
$azfw | Set-AzFirewall

Сведения об ограничениях службы "Брандмауэр Azure" см. в статье Подписка Azure, границы, квоты и ограничения службы.

Да, подключенный к концентратору виртуальной сети Брандмауэр Azure может маршрутизировать и фильтровать трафик, которым обмениваются две периферийные зоны виртуальной сети. Чтобы такой сценарий был работоспособным, пользователю нужно задать маршруты к Брандмауэру Azure в качестве шлюза по умолчанию для подсетей каждой из периферийных виртуальных сетей.

Да. Однако при настройке определяемых пользователем пользователей трафика между подсетями в одной виртуальной сети требуется больше внимания. Хотя для определяемого пользователем маршрута достаточно использовать диапазон адресов виртуальной сети в качестве целевого префикса, при этом весь трафик с одного компьютера на другой также передается в одной и той же подсети через экземпляр Брандмауэра Azure. Чтобы избежать этого, добавьте маршрут для подсети в определяемый пользователем маршрут с типом следующего прыжка — виртуальная сеть. Управление этими маршрутами может быть весьма трудоемким и подвержено ошибкам. Для сегментации внутренней сети рекомендуется использовать группы безопасности сети, для которых не требуются определяемые пользователем маршруты.

Брандмауэр Azure не использует SNAT, в то время когда назначенный IP-адрес является IP-адресом частного диапазона согласно IANA RFC 1918. Если для частных сетей в организации используются общедоступные IP-адреса, брандмауэр Azure использует SNAT трафика для одного из своих частных IP-адресов AzureFirewallSubnet. В настройках Брандмауэра Azure можно указать, что не нужно использовать SNAT для диапазона общедоступный IP-адресов. Дополнительные сведения см. в статье об использовании SNAT для диапазонов частных IP-адресов в Брандмауэре Azure.

Кроме того, для трафика, обрабатываемого правилами приложения, всегда будет использоваться SNAT. Если вы хотите увидеть исходный IP-адрес в журналах для трафика FQDN, можно использовать правила сети с полным доменным именем назначения.

Принудительное туннелирование поддерживается при создании брандмауэра. Вы не можете настроить имеющийся брандмауэр для принудительного туннелирования. Дополнительные сведения см. в статье Azure Firewall forced tunneling (Принудительное туннелирование в Брандмауэре Azure).

Брандмауэр Azure должен быть напрямую подключен к Интернету. Если сеть AzureFirewallSubnet использует стандартный маршрут к локальной сети через BGP, установите пользовательский маршрут 0.0.0.0/0 и задайте для параметра NextHopType значение Интернет, чтобы обеспечить прямое подключение к Интернету.

Если для вашей конфигурации требуется принудительное туннелирование в локальной сети и вы можете определить префиксы целевых IP-адресов для назначений в Интернете, эти диапазоны можно настроить с помощью локальной сети в качестве следующего прыжка через определяемый пользователем маршрут в AzureFirewallSubnet. Для определения этих маршрутов можно также использовать BGP.

Да. Брандмауэр, виртуальная сеть и общедоступный IP-адрес должны относиться к одной группе ресурсов.

• URL-адрес — можно разместить звездочки с правого или левого края. Если звездочки размещены слева, он не может быть частью полного доменного имени.
• FQDN — звездочки можно разместить с левого края.
• GENERAL - Звездочки на левой стороне означают буквально все, что соответствует левому совпадению, то есть несколько поддоменов и /или потенциально нежелательные варианты доменных имен совпадают. См. следующие примеры.

Примеры:

Каждый раз, когда применяется изменение конфигурации, Брандмауэр Azure пытается обновить все базовые серверные экземпляры. В редких случаях один из этих внутренних экземпляров может не обновиться с новой конфигурацией, а процесс обновления останавливается с состоянием подготовки сбоем. Брандмауэр Azure по-прежнему работает, но примененная конфигурация может находиться в несогласованном состоянии, где некоторые экземпляры имеют предыдущую конфигурацию, где другие имеют обновленный набор правил. В таких ситуациях попробуйте обновить конфигурацию еще раз, пока операция не будет выполнена успешно и состояние подготовки брандмауэра не изменится на Успешно.

Брандмауэр Azure состоит из нескольких узлов серверной части с конфигурацией "активный — активный". Для любого планового обслуживания у нас есть логика фильтрации подключений для постепенного обновления узлов. Обновления планируется в нерабочее время для каждого региона Azure, чтобы ограничить риск нарушения. При обработке незапланированных сбоев мы создаем узел для замены неисправного узла. Подключение к новому узлу обычно восстанавливается в течение 10 секунд с момента сбоя.

Для любого планового обслуживания логика фильтрации подключений постепенно обновляет узлы серверной части. Брандмауэр Azure ожидает закрытия имеющихся подключений в течение 90 секунд. В течение первых 45 секунд внутренний узел не принимает новые подключения, и в оставшееся время он отвечает на RST все входящие пакеты. При необходимости клиенты могут автоматически восстановить подключение с другим узлом серверной части.

Да. Для имени брандмауэра существует ограничение в 50 символов.

Брандмауэр Azure должен предоставлять больше экземпляров виртуальных машин по мере их масштабирования. Диапазон IP-адресов /26 гарантирует, что в брандмауэре достаточно IP-адресов, доступных для масштабирования.

№ Для Брандмауэра Azure не нужна подсеть больше /26.

начальная пропускная способность Брандмауэр Azure составляет 2,5 – 3 Гбит/с, и она масштабируется до 30 Гбит/с для номера SKU уровня "Стандартный" и 100 Гбит/с для номера SKU уровня "Премиум". Она автоматически масштабируется на основе использования ЦП, пропускной способности и количества подключений.

Брандмауэр Azure постепенно масштабируется, если средняя пропускная способность или потребление ЦП составляет 60 %, или количество подключений составляет 80 %. Например, она начинает масштабироваться, когда она достигает 60 % максимальной пропускной способности. Максимальное число пропускной способности зависит от номера SKU брандмауэра и включенных функций. Дополнительные сведения см. в статье со сравнением Производительность Брандмауэра Azure.

Процесс масштабирования занимает от пяти до семи минут.

При тестировании производительности убедитесь, что тестирование проводится в течение не менее 10–15 минут, и запускайте новые подключения, чтобы воспользоваться преимуществами вновь созданных узлов Брандмауэра.

Если подключение имеет время ожидания простоя (четыре минуты без действия), Брандмауэр Azure корректно завершает подключение путем отправки пакета TCP RST.

Завершение работы экземпляра виртуальной машины Брандмауэр Azure во время масштабирования масштабируемого набора виртуальных машин (масштабирование) или во время обновления программного обеспечения парка. В этих случаях новые входящие подключения балансируют нагрузку на остальные экземпляры брандмауэра и не перенаправляются в экземпляр брандмауэра вниз. Через 45 секунд брандмауэр начинает отклонять существующие подключения, отправляя пакеты TCP RST. Через 45 секунд виртуальная машина брандмауэра завершает работу. Дополнительные сведения см. в разделе Сброс TCP Load Balancer и тайм-аут простоя.

№ Брандмауэр Azure блокирует доступ к Active Directory по умолчанию. Чтобы разрешить доступ, настройте тег службы AzureActiveDirectory. Дополнительные сведения см. в статье Теги службы Брандмауэра Azure.

Да, для этого вы можете использовать Azure PowerShell:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Проверка связи по протоколу TCP фактически не подключается к целевому FQDN. Брандмауэр Azure не разрешает подключение к любому целевому IP-адресу или полному домену, если только это не разрешено явным правилом.

Tcp ping — это уникальный вариант использования, когда если не разрешено правило, брандмауэр сам отвечает на запрос TCP-подключения клиента, даже если TCP-связь не достигает целевого IP-адреса или полного доменного имени. В этом случае событие не регистрируется. Если существует сетевое правило, позволяющее получить доступ к целевому IP-адресу или полному доменному имени, запрос связи достигает целевого сервера, а его ответ передается клиенту. Это событие заносится в журнал сетевых правил.

Да. Дополнительные сведения см. в статье Подписка Azure, границы, квоты и ограничения службы.

Нет, в настоящее время перемещение IP-группы в другую группу ресурсов не поддерживается.

Стандартное поведение сетевого брандмауэра заключается в том, чтобы обеспечивать активность TCP-подключений и быстро закрывать их в случае простоя. Тайм-аут простоя TCP Брандмауэра Azure составляет четыре минуты. Этот параметр не настраивается пользователем, но вы можете обратиться в службу поддержки Azure, чтобы увеличить время ожидания простоя для входящих и исходящих подключений до 30 минут. Не удается изменить время ожидания простоя для трафика на востоке запада.

Если период бездействия превышает значение тайм-аута, нет гарантии, что сеанс TCP или HTTP сохранится. Распространенной практикой является проверка активности TCP. Такой подход позволяет поддерживать подключения активными в течение более длительного периода. Дополнительные сведения см. в следующих примерах для .NET.

Да, но необходимо настроить брандмауэр в режиме принудительного туннелирования. Эта конфигурация создает интерфейс управления с общедоступным IP-адресом, используемым Брандмауэр Azure для его операций. Этот общедоступный IP-адрес предназначен для трафика управления. Она используется исключительно платформой Azure и не может использоваться для других целей. Сеть пути к данным клиента может быть настроена без общедоступного IP-адреса, а интернет-трафик может быть принудительно туннелирован в другой брандмауэр или полностью заблокирован.

Брандмауэр Azure не перемещает и не хранит данные клиента за пределами региона, в котором он развернут.

Да. Дополнительные сведения см. в статье Резервное копирование Брандмауэра Azure и политики Брандмауэра Azure с помощью Logic Apps.

Нет, в настоящее время Брандмауэр Azure в защищенных виртуальных центрах (vWAN) не поддерживается в Катаре.

Брандмауэр Azure использует Azure Виртуальные машины в нижней части с жестким ограничением количества подключений. Общее количество активных подключений на каждую виртуальную машину составляет 250 кб.

Общее ограничение на брандмауэр — это ограничение подключения к виртуальной машине (250k) x количество виртуальных машин в серверном пуле брандмауэра. Брандмауэр Azure начинается с двух виртуальных машин и масштабируется на основе использования ЦП и пропускной способности.

Брандмауэр Azure в настоящее время использует порты источника TCP/UDP для исходящего трафика SNAT без простоя. При закрытии подключения TCP/UDP используется TCP-порт сразу же, как доступный для предстоящих подключений.

В качестве обходного решения для определенных архитектур можно развертывать и масштабировать с помощью шлюза NAT с Брандмауэр Azure, чтобы обеспечить более широкий пул портов SNAT для изменчивости и доступности.

Конкретное поведение NAT зависит от конфигурации брандмауэра и типа NAT, настроенного. Например, брандмауэр имеет правила DNAT для входящего трафика, а правила сети и правила приложений для исходящего трафика через брандмауэр.

Дополнительные сведения см. в Брандмауэр Azure поведении NAT.