Что такое Брандмауэр Azure?What is Azure Firewall?

Сертификация ICSA

Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. Это высокодоступная служба с полным отслеживанием состояния и неограниченными возможностями облачного масштабирования.It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

Общие сведения о брандмауэре

Вы можете централизованно создавать, применять и регистрировать политики приложений и сетевых подключений в подписках и виртуальных сетях.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Брандмауэр Azure использует статический общедоступный IP-адрес для виртуальных сетевых ресурсов, позволяя внешним брандмауэрам идентифицировать трафик, исходящий из виртуальной сети.Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. Служба полностью интегрирована с Azure Monitor для ведения журналов и аналитики.The service is fully integrated with Azure Monitor for logging and analytics.

КомпонентыFeatures

Дополнительные сведения о функциях брандмауэра Azure см. в статье Функции службы "Брандмауэр Azure".To learn about Azure Firewall features, see Azure Firewall features.

Известные проблемыKnown issues

В брандмауэре Azure существуют следующие известные проблемы.Azure Firewall has the following known issues:

ПроблемаIssue ОписаниеDescription Меры по снижению рискаMitigation
Правила сетевой фильтрации для протоколов, которые отличаются от TCP или UDP (например, ICMP), не работают для трафика, связанного с ИнтернетомNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic Правила сетевой фильтрации для протоколов, которые отличаются от TCP или UDP, не работают со SNAT для общедоступных IP-адресов.Network filtering rules for non-TCP/UDP protocols don't work with SNAT to your public IP address. Протоколы, которые отличаются от TCP или UDP, поддерживаются между периферийными зонами подсетей и виртуальной сетью.Non-TCP/UDP protocols are supported between spoke subnets and VNets. Брандмауэр Azure использует Load Balancer (цен. категория "Стандартный"), который сейчас не поддерживает SNAT для IP-протоколов.Azure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Изучаются варианты поддержки этого сценария в будущем выпуске.We're exploring options to support this scenario in a future release.
В PowerShell и CLI отсутствует поддержка протокола ICMPMissing PowerShell and CLI support for ICMP Azure PowerShell и CLI не поддерживают ICMP как допустимый протокол в правилах сети.Azure PowerShell and CLI don't support ICMP as a valid protocol in network rules. Протокол ICMP по-прежнему можно использовать с помощью портала и REST API.It's still possible to use ICMP as a protocol via the portal and the REST API. Мы добавим поддержку ICMP в PowerShell и CLI в ближайшее время.We're working to add ICMP in PowerShell and CLI soon.
Для тегов FQDN требуется указать протокол портаFQDN tags require a protocol: port to be set Для правила приложения с тегами FQDN требуется указать определение протокола порта.Application rules with FQDN tags require port: protocol definition. В качестве значения протокола порта можно использовать HTTPS.You can use https as the port: protocol value. Мы планируем сделать это поле необязательным при использовании тегов FQDN.We're working to make this field optional when FQDN tags are used.
Не поддерживается перемещение брандмауэра в другую группу ресурсов или подпискуMoving a firewall to a different resource group or subscription isn't supported Не поддерживается перемещение брандмауэра в другую группу ресурсов или подписку.Moving a firewall to a different resource group or subscription isn't supported. Мы планируем реализовать эту функцию.Supporting this functionality is on our road map. Чтобы переместить брандмауэр в другую группу ресурсов или подписку, нужно удалить текущий экземпляр и повторно создать его в новой группе ресурсов или подписке.To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
Оповещения Threat Intelligence могут быть замаскированы.Threat intelligence alerts may get masked Правила сети, настроенные на режим только предупреждения и назначенные на порт 80/443 для исходящей фильтрации, маскируют предупреждения аналитики угроз.Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. С помощью правил приложения создайте фильтрацию исходящего трафика для порта 80/443.Create outbound filtering for 80/443 using application rules. Или измените режим аналитики угроз на Alert and Deny (Оповещение и отказ).Or, change the threat intelligence mode to Alert and Deny.
Функция DNAT Брандмауэра Azure не поддерживает целевые частные IP-адресаAzure Firewall DNAT doesn't work for private IP destinations Поддержка DNAT в Брандмауэре Azure предоставляется только для входящего и исходящего трафика Интернета.Azure Firewall DNAT support is limited to Internet egress/ingress. Сейчас функция DNAT не поддерживает целевые частные IP-адреса.DNAT doesn't currently work for private IP destinations. Например, при передаче из луча в луч в сети типа "звезда".For example, spoke to spoke. Это текущее ограничение.This is a current limitation.
Не удается удалить первую конфигурацию общедоступных IP-адресовCan't remove first public IP configuration Каждый общедоступный IP-адрес Брандмауэра Azure присваивается конфигурации IP-адресов.Each Azure Firewall public IP address is assigned to an IP configuration. Первая конфигурация IP-адресов присваивается во время развертывания брандмауэра и обычно также содержит ссылку на подсеть брандмауэра (за исключением случаев, когда она настраивается явно иначе через развертывание шаблона).The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). Эту конфигурацию IP-адресов удалить нельзя, так как это приведет к отмене распределения брандмауэра.You can't delete this IP configuration because it would de-allocate the firewall. Но вы можете изменить или удалить общедоступный IP-адрес, связанный с этой конфигурацией IP-адресов, если в брандмауэре есть еще хотя бы один общедоступный IP-адрес, который можно использовать.You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. Это сделано намеренно.This is by design.
Зоны доступности можно настроить только во время развертывания.Availability zones can only be configured during deployment. Зоны доступности можно настроить только во время развертывания.Availability zones can only be configured during deployment. После развертывания брандмауэра невозможно настроить зоны доступности.You can't configure Availability Zones after a firewall has been deployed. Это сделано намеренно.This is by design.
SNAT на входящих соединенияхSNAT on inbound connections В дополнении к DNAT подключения через общедоступный IP-адрес брандмауэра (входящий трафик) используют механизм SNAT для одного из частных IP-адресов брандмауэра.In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. На сегодняшний день это требование (также для активно-активных NVA) обеспечивает симметричность маршрутизации.This requirement today (also for Active/Active NVAs) to ensure symmetric routing. Чтобы сохранить исходный источник для HTTP/S, следует задуматься об использовании заголовков XFF.To preserve the original source for HTTP/S, consider using XFF headers. Например, перед брандмауэром следует использовать такую службу, как Azure Front Door или Шлюз приложений Azure.For example, use a service such as Azure Front Door or Azure Application Gateway in front of the firewall. Также WAF можно добавить в качестве части службы Azure Front Door и привязать ее к брандмауэру.You can also add WAF as part of Azure Front Door and chain to the firewall.
Поддержка фильтрации SQL FQDN только в режиме прокси-сервера (порт 1433)SQL FQDN filtering support only in proxy mode (port 1433) Для Базы данных SQL Azure, Azure Synapse Analytics и Управляемого экземпляра SQL Azure:For Azure SQL Database, Azure Synapse Analytics, and Azure SQL Managed Instance:

в предварительной версии фильтрация SQL FQDN поддерживается только в режиме прокси-сервера (порт 1433).During the preview, SQL FQDN filtering is supported in proxy-mode only (port 1433).

Для Azure SQL IaaS:For Azure SQL IaaS:

если вы используете нестандартные порты, их можно указать в правилах приложения.If you're using non-standard ports, you can specify those ports in the application rules.
Для SQL в режиме перенаправления (по умолчанию используется для подключения из Azure) можно фильтровать доступ с помощью тега службы SQL в правилах сети Брандмауэра Azure.For SQL in redirect mode (the default if connecting from within Azure), you can instead filter access using the SQL service tag as part of Azure Firewall network rules.
Исходящий трафик через TCP-порт 25 запрещен.Outbound traffic on TCP port 25 isn't allowed Заблокированы исходящие SMTP-подключения, в которых используется TCP-порт 25Outbound SMTP connections that use TCP port 25 are blocked. (порт 25 в основном используется для доставки электронной почты, не прошедшей аутентификацию).Port 25 is primarily used for unauthenticated email delivery. Это поведение платформы по умолчанию для виртуальных машин.This is the default platform behavior for virtual machines. Подробные сведения см. в статье Troubleshoot outbound SMTP connectivity issues in Azure (Устранение проблем с исходящими SMTP-подключениями в Azure).For more information, see more Troubleshoot outbound SMTP connectivity issues in Azure. Но, в отличие от виртуальных машин, в настоящее время эту функцию невозможно включить на Брандмауэре Azure.However, unlike virtual machines, it isn't currently possible to enable this functionality on Azure Firewall. Примечание. Чтобы разрешить SMTP с аутентификацией (порт 587) или SMTP с использованием порта, отличного от 25, убедитесь, что вы настроили правило сети, а не правило приложения, так как проверка SMTP в настоящее время не поддерживается.Note: to allow authenticated SMTP (port 587) or SMTP over a port other than 25, please make sure you configure a network rule and not an application rule as SMTP inspection is not supported at this time. Следуйте рекомендациям по отправке электронной почты, которые приведены в статье об устранении проблем с SMTP.Follow the recommended method to send email, as documented in the SMTP troubleshooting article. Вы также можете исключить виртуальную машину, для которой требуется исходящий доступ по протоколу SMTP, из маршрута по умолчанию к брандмауэру.Or, exclude the virtual machine that needs outbound SMTP access from your default route to the firewall. Вместо этого настройте исходящий доступ напрямую в Интернет.Instead, configure outbound access directly to the internet.
Активное FTP-подключение не поддерживаетсяActive FTP isn't supported Активный FTP отключен в Брандмауэре Azure для защиты от атак через FTP с помощью команды FTP PORT.Active FTP is disabled on Azure Firewall to protect against FTP bounce attacks using the FTP PORT command. Вместо этого можно использовать пассивный FTP.You can use Passive FTP instead. Вам по прежнему необходимо открыть TCP-порты 20 и 21 на брандмауэре.You must still explicitly open TCP ports 20 and 21 on the firewall.
Метрика использования порта SNAT показывает 0 %SNAT port utilization metric shows 0% Метрика использования порта SNAT службы "Брандмауэр Azure" может показывать 0 %, даже если порты SNAT используются.The Azure Firewall SNAT port utilization metric may show 0% usage even when SNAT ports are used. В этом случае использование метрики в качестве компонента метрики работоспособности брандмауэра приводит к неправильному результату.In this case, using the metric as part of the firewall health metric provides an incorrect result. Эта проблема исправлена, а развертывание в рабочую среду предназначено на май 2020 г.This issue has been fixed and rollout to production is targeted for May 2020. В некоторых случаях повторное развертывание брандмауэра решает проблему, но она не последовательна.In some cases, firewall redeployment resolves the issue, but it's not consistent. В качестве промежуточного обходного пути используйте только состояние работоспособности брандмауэра, чтобы найти случаи, когда состояние=снижение работоспособности, а не состояние=неработоспособное.As an intermediate workaround, only use the firewall health state to look for status=degraded, not for status=unhealthy. Нехватка портов будет отображаться статусом снижение работоспособности.Port exhaustion will show as degraded. Состояние неисправные зарезервировано для использования в будущем, когда количество метрик, влияющих на работоспособность брандмауэра, увеличится.Not healthy is reserved for future use when the are more metrics to impact the firewall health.
DNAT не поддерживается при включенном принудительном туннелированииDNAT isn't supported with Forced Tunneling enabled Брандмауэры, развернутые с включенным принудительным туннелированием, не поддерживают входящий трафик из Интернета из-за асимметричной маршрутизации.Firewalls deployed with Forced Tunneling enabled can't support inbound access from the Internet because of asymmetric routing. Это обусловлено схемой работы асимметричной маршрутизации.This is by design because of asymmetric routing. Обратный путь входящих подключений проходит через локальный брандмауэр, в котором нет данных об установленном соединении.The return path for inbound connections goes via the on-premises firewall, which hasn't seen the connection established.
Исходящий пассивный FTP не работает для брандмауэров с несколькими общедоступными IP-адресамиOutbound Passive FTP doesn't work for Firewalls with multiple public IP addresses Пассивный FTP устанавливает разные подключения для каналов управления и данных.Passive FTP establishes different connections for control and data channels. Когда брандмауэр с несколькими общедоступными IP-адресами отправляет данные для исходящего трафика, он случайным образом выбирает один из общедоступных IP-адресов в качестве исходного.When a Firewall with multiple public IP addresses sends data outbound, it randomly selects one of its public IP addresses for the source IP address. На FTP происходит сбой, когда каналы данных и управления используют разные исходные IP-адреса.FTP fails when data and control channels use different source IP addresses. Планирование явной конфигурации SNAT.An explicit SNAT configuration is planned. Тем временем рассмотрите использование одного IP-адреса в такой ситуации.In the meantime, consider using a single IP address in this situation.
В метрике NetworkRuleHit отсутствует измерение протоколаNetworkRuleHit metric is missing a protocol dimension Метрика ApplicationRuleHit разрешает протокол на основе фильтрации, но этот компонент отсутствует в соответствующей метрике NetworkRuleHit.The ApplicationRuleHit metric allows filtering based protocol, but this capability is missing in the corresponding NetworkRuleHit metric. Соответствующее исправление рассматривается.A fix is being investigated.
Правила NAT с портами в диапазоне от 64000 до 65535 не поддерживаютсяNAT rules with ports between 64000 and 65535 are unsupported Брандмауэр Azure разрешает порты в диапазоне 1–65535 в правилах сети и приложений, но правила NAT поддерживают порты только в диапазоне 1–63999.Azure Firewall allows any port in the 1-65535 range in network and application rules, however NAT rules only support ports in the 1-63999 range. Это текущее ограничение.This is a current limitation.
Среднее время обновления конфигурации может занять пять минутConfiguration updates may take five minutes on average Для обновления конфигурации брандмауэра Azure в среднем может потребоваться 3–5 минут. Параллельные обновления не поддерживаются.An Azure Firewall configuration update can take three to five minutes on average, and parallel updates aren't supported. Соответствующее исправление рассматривается.A fix is being investigated.
Брандмауэр Azure использует заголовки TLS на основе SNI для фильтрации трафика HTTPS и MSSQLAzure Firewall uses SNI TLS headers to filter HTTPS and MSSQL traffic Если программное обеспечение браузера или сервера не поддерживает расширение индикатора имени сервера, вы не сможете подключиться через Брандмауэр Azure.If browser or server software does not support the Server Name Indicator (SNI) extension, you won't be able to connect through Azure Firewall. Если программное обеспечение браузера или сервера не поддерживает SNI, вы можете управлять подключением с помощью правила сети, а не правила приложения.If browser or server software does not support SNI, then you may be able to control the connection using a network rule instead of an application rule. Сведения о программном обеспечении, поддерживающем SNI, см. в этой статье.See Server Name Indication for software that supports SNI.
Пользовательская служба DNS (предварительная версия) не работает c принудительным туннелированием.Custom DNS (preview) doesn't work with forced tunneling Если включено принудительное туннелирование, пользовательская служба DNS (предварительная версия) не работает.If force tunneling is enabled, custom DNS (preview) doesn't work. Соответствующее исправление рассматривается.A fix is being investigated.
Поддержка новых общедоступных IP-адресов для нескольких Зон доступностиNew public IP address support for multiple Availability Zones Вы не можете добавить новый общедоступный IP-адрес при развертывании брандмауэра с двумя зонами доступности (доступны варианты 1 и 2, 2 и 3 или 1 и 3).You can't add a new public IP address when you deploy a firewall with two availability zones (either 1 and 2, 2 and 3, or 1 and 3) Это ограничение ресурса общедоступного IP-адреса.This is a public IP address resource limitation.

Дальнейшие действияNext steps