Что такое Брандмауэр Azure?

Брандмауэр Azure — это ориентированная на облако интеллектуальная служба сетевого брандмауэра, обеспечивающая лучшую защиту от угроз для облачных рабочих нагрузок в Azure. Это высокодоступная служба с полным отслеживанием состояния и неограниченными возможностями облачного масштабирования. Она обеспечивает анализ внутреннего и внешнего трафика.

Брандмауэр Azure предлагается в двух SKU: "Стандартный" и "Премиум".

Брандмауэр Azure уровня "Стандартный"

Брандмауэра Azure уровня "Стандартный" обеспечивает фильтрацию уровней L3–L7 и интеллектуальный анализ угроз, реализованные специалистами по кибербезопасности Майкрософт. Фильтрация на основе аналитики угроз может отправлять оповещения и отклонять трафик известных вредоносных IP-адресов и доменов, сведения о которых обновляются в реальном времени для защиты от новых и меняющихся атак.

Общие сведения о Брандмауэре уровня "Стандартный"

Дополнительные сведения о Брандмауэре уровня "Стандартный" см. в статье Функции Брандмауэра Azure уровня "Стандартный".

Брандмауэр Azure уровня "Премиум"

Брандмауэр Azure уровня "Премиум" предлагает расширенные возможности, в том числе IDPS на основе подписи для быстрого обнаружения атак путем определения особых паттернов. Такие паттерны могут включать последовательности байтов в сетевом трафике или известные последовательности инструкций вредоносных программ. Доступно более 58 000 подписей в более чем 50 категориях, которые обновляются в реальном времени для защиты от новых и меняющихся эксплойтов. К категориям эксплойтов относятся вредоносные программы, фишинг, майнинг криптовалют и троянские атаки.

Общие сведения о Брандмауэре уровня "Премиум"

Дополнительные сведения о Брандмауэре уровня "Премиум" см. в статье Функции Брандмауэра Azure уровня "Премиум".

Диспетчер брандмауэра Azure

Диспетчер брандмауэра Azure можно использовать для централизованного управления Брандмауэром Azure в нескольких подписках. Диспетчер брандмауэра использует политику брандмауэра для применения общего набора правил сети или приложений и конфигурации к брандмауэрам в арендаторе.

Диспетчер брандмауэра поддерживает брандмауэры в средах с виртуальными сетями и Виртуальными глобальными сетями (защищенный виртуальный концентратор). Защищенные виртуальные концентраторы используют решение для автоматизации маршрутов Виртуальной глобальной сети, чтобы упростить маршрутизацию трафика в брандмауэре.

Дополнительные сведения о Диспетчере брандмауэра Azure см. в этой статье.

Цены и соглашение об уровне обслуживания

См. дополнительные сведения о ценах на Брандмауэр Azure.

См. дополнительные сведения о Соглашении об уровне обслуживания для Брандмауэра Azure.

Новые возможности

О новых возможностях Брандмауэра Azure можно узнать на странице Обновления Azure.

Известные проблемы

В брандмауэре Azure существуют следующие известные проблемы.

Проблема Описание Меры по снижению риска
Правила сетевой фильтрации для протоколов, которые отличаются от TCP или UDP (например, ICMP), не работают для трафика, связанного с Интернетом Правила сетевой фильтрации для протоколов, которые отличаются от TCP или UDP, не работают со SNAT для общедоступных IP-адресов. Протоколы, которые отличаются от TCP или UDP, поддерживаются между периферийными зонами подсетей и виртуальной сетью. Брандмауэр Azure использует Load Balancer (цен. категория "Стандартный"), который сейчас не поддерживает SNAT для IP-протоколов. Изучаются варианты поддержки этого сценария в будущем выпуске.
В PowerShell и CLI отсутствует поддержка протокола ICMP Azure PowerShell и CLI не поддерживают ICMP как допустимый протокол в правилах сети. Протокол ICMP по-прежнему можно использовать с помощью портала и REST API. Мы добавим поддержку ICMP в PowerShell и CLI в ближайшее время.
Для тегов FQDN требуется указать протокол порта Для правила приложения с тегами FQDN требуется указать определение протокола порта. В качестве значения протокола порта можно использовать HTTPS. Мы планируем сделать это поле необязательным при использовании тегов FQDN.
Не поддерживается перемещение брандмауэра в другую группу ресурсов или подписку Не поддерживается перемещение брандмауэра в другую группу ресурсов или подписку. Мы планируем реализовать эту функцию. Чтобы переместить брандмауэр в другую группу ресурсов или подписку, нужно удалить текущий экземпляр и повторно создать его в новой группе ресурсов или подписке.
Оповещения Threat Intelligence могут быть замаскированы. Правила сети, настроенные на режим только предупреждения и назначенные на порт 80/443 для исходящей фильтрации, маскируют предупреждения аналитики угроз. С помощью правил приложения создайте фильтрацию исходящего трафика для порта 80/443. Или измените режим аналитики угроз на Alert and Deny (Оповещение и отказ).
Функция DNAT Брандмауэра Azure не поддерживает целевые частные IP-адреса Поддержка DNAT в Брандмауэре Azure предоставляется только для входящего и исходящего трафика Интернета. Сейчас функция DNAT не поддерживает целевые частные IP-адреса. Например, при передаче из луча в луч в сети типа "звезда". Это текущее ограничение.
Не удается удалить первую конфигурацию общедоступных IP-адресов Каждый общедоступный IP-адрес Брандмауэра Azure присваивается конфигурации IP-адресов. Первая конфигурация IP-адресов присваивается во время развертывания брандмауэра и обычно также содержит ссылку на подсеть брандмауэра (за исключением случаев, когда она настраивается явно иначе через развертывание шаблона). Эту конфигурацию IP-адресов удалить нельзя, так как это приведет к отмене распределения брандмауэра. Но вы можете изменить или удалить общедоступный IP-адрес, связанный с этой конфигурацией IP-адресов, если в брандмауэре есть еще хотя бы один общедоступный IP-адрес, который можно использовать. Это сделано намеренно.
Зоны доступности можно настроить только во время развертывания. Зоны доступности можно настроить только во время развертывания. После развертывания брандмауэра невозможно настроить зоны доступности. Это сделано намеренно.
SNAT на входящих соединениях В дополнении к DNAT подключения через общедоступный IP-адрес брандмауэра (входящий трафик) используют механизм SNAT для одного из частных IP-адресов брандмауэра. На сегодняшний день это требование (также для активно-активных NVA) обеспечивает симметричность маршрутизации. Чтобы сохранить исходный источник для HTTP/S, следует задуматься об использовании заголовков XFF. Например, перед брандмауэром следует использовать такую службу, как Azure Front Door или Шлюз приложений Azure. Также WAF можно добавить в качестве части службы Azure Front Door и привязать ее к брандмауэру.
Поддержка фильтрации SQL FQDN только в режиме прокси-сервера (порт 1433) Для Базы данных SQL Azure, Azure Synapse Analytics и Управляемого экземпляра SQL Azure:

Фильтрация полных доменных имен SQL поддерживается только в прокси-режиме (порт 1433).

Для Azure SQL IaaS:

если вы используете нестандартные порты, их можно указать в правилах приложения.
Для SQL в режиме перенаправления (по умолчанию используется для подключения из Azure) можно фильтровать доступ с помощью тега службы SQL в правилах сети Брандмауэра Azure.
Исходящий трафик через TCP-порт 25 блокируется Исходящие сообщения электронной почты, которые отправляются непосредственно во внешние домены (например, outlook.com и gmail.com) через TCP-порт 25, блокируются брандмауэром Azure. Это поведение платформы по умолчанию в Azure. Используйте прошедшие проверку подлинности службы ретрансляции, которые обычно подключаются через TCP-порт 587, но также поддерживают и другие порты. Подробные сведения см. в статье Устранение проблем с исходящими SMTP-подключениями в Azure. В настоящее время брандмауэр Azure может обмениваться данными с общедоступными IP-адресами с помощью исходящего TCP-порта 25, но эффективность такого метода не гарантируется и не поддерживается для всех типов подписки. Для частных IP-адресов, таких как виртуальные сети, VPN и Azure ExpressRoute, брандмауэр Azure поддерживает исходящее подключение через TCP-порт 25.
Нехватка портов SNAT Сейчас Брандмауэр Azure поддерживает 1024 порта на каждый общедоступный IP-адрес для каждого внутреннего экземпляра масштабируемого набора виртуальных машин. По умолчанию существует два экземпляра масштабируемого набора виртуальных машин. Это ограничение SLB, и мы постоянно ищем возможности увеличить его. Пока рекомендуется настроить развертывание Брандмауэра Azure, указав минимум пять общедоступных IP-адресов для развертываний, в которых может возникнуть проблема нехватки SNAT. Это позволит увеличить число доступных портов SNAT в пять раз. Чтобы упростить разрешения для подчиненных компонентов, используйте префикс IP-адреса для выделения ресурсов.
DNAT не поддерживается при включенном принудительном туннелировании Брандмауэры, развернутые с включенным принудительным туннелированием, не поддерживают входящий трафик из Интернета из-за асимметричной маршрутизации. Это обусловлено схемой работы асимметричной маршрутизации. Обратный путь входящих подключений проходит через локальный брандмауэр, в котором нет данных об установленном соединении.
Исходящий пассивный FTP может не работать для брандмауэров с несколькими общедоступными IP-адресами в зависимости от конфигурации FTP-сервера. Пассивный FTP устанавливает разные подключения для каналов управления и данных. Когда брандмауэр с несколькими общедоступными IP-адресами отправляет данные для исходящего трафика, он случайным образом выбирает один из общедоступных IP-адресов в качестве исходного. В FTP может произойти ошибка, если каналы данных и управления используют разные исходные IP-адреса в зависимости от конфигурации FTP-сервера. Планирование явной конфигурации SNAT. Тем временем можно настроить FTP-сервер так, чтобы он принимал каналы данных и управления с разных исходных IP-адресов (см. пример для IIS). Как вариант, рассмотрите использование одного IP-адреса в такой ситуации.
Входящий пассивный FTP может не работать в зависимости от конфигурации FTP-сервера. Пассивный FTP устанавливает разные подключения для каналов управления и данных. Входящие подключения в Брандмауэре Azure используют механизм SNAT для одного из частных IP-адресов брандмауэра, чтобы обеспечить симметричную маршрутизацию. В FTP может произойти ошибка, если каналы данных и управления используют разные исходные IP-адреса в зависимости от конфигурации FTP-сервера. Сохранение исходного IP-адреса источника изучается. Тем временем можно настроить FTP-сервер так, чтобы он принимал каналы данных и управления с разных исходных IP-адресов.
Активный FTP не будет работать, если FTP-клиент должен связаться с FTP-сервером через Интернет. Активный FTP использует команду PORT из FTP-клиента, который указывает FTP-серверу, какой IP и порт использовать для канала передачи данных. Эта команда PORT использует частный IP-адрес клиента, который не может быть изменен. К трафику на стороне клиента, проходящему через Брандмауэр Azure, применяется преобразование сетевых адресов (NAT) для интернет-соединений, в результате чего команда PORT станет восприниматься FTP-сервером как недопустимая. Это общее ограничение активного FTP при использовании в сочетании с NAT на стороне клиента.
В метрике NetworkRuleHit отсутствует измерение протокола Метрика ApplicationRuleHit разрешает протокол на основе фильтрации, но этот компонент отсутствует в соответствующей метрике NetworkRuleHit. Соответствующее исправление рассматривается.
Правила NAT с портами в диапазоне от 64000 до 65535 не поддерживаются Брандмауэр Azure разрешает порты в диапазоне 1–65535 в правилах сети и приложений, но правила NAT поддерживают порты только в диапазоне 1–63999. Это текущее ограничение.
Среднее время обновления конфигурации может занять пять минут Для обновления конфигурации брандмауэра Azure в среднем может потребоваться 3–5 минут. Параллельные обновления не поддерживаются. Соответствующее исправление рассматривается.
Брандмауэр Azure использует заголовки TLS на основе SNI для фильтрации трафика HTTPS и MSSQL Если программное обеспечение браузера или сервера не поддерживает расширение указания имени сервера (SNI), вы не сможете подключиться через Брандмауэр Azure. В таком случае вы можете управлять подключением с помощью правила сети, а не правила приложения. Сведения о программном обеспечении, поддерживающем SNI, см. в этой статье.
Пользовательская служба DNS не работает c принудительным туннелированием. Если включено принудительное туннелирование, пользовательская служба DNS не работает. Соответствующее исправление рассматривается.
Запуск и остановка не работает с брандмауэром, настроенным в режиме принудительного туннелирования. Запуск и остановка не работает с брандмауэром Azure, настроенным в режиме принудительного туннелирования. Попытка запустить Брандмауэр Azure с настроенным принудительным туннелированием приводит к следующей ошибке:

Set-AzFirewall: Конфигурацию IP-адресов управления AzureFirewall FW-xx невозможно добавить в имеющийся брандмауэр. Повторно разверните с помощью конфигурации IP-адресов управления, если необходимо использовать принудительное туннелирование.
StatusCode: 400
ReasonPhrase: ошибка запроса
Исследуется.

В качестве обходного решения можно удалить имеющийся брандмауэр и создать новый, используя те же параметры.
Не удается добавить теги политики брандмауэра с помощью портала или шаблонов Azure Resource Manager (ARM) Для политики Брандмауэра Azure действует ограничение на поддержку исправлений, которое не позволяет добавить тег с помощью портала Azure или шаблонов ARM. Поступает следующее сообщение об ошибке: Could not save the tags for the resource (Не удалось сохранить теги для ресурса). Соответствующее исправление рассматривается. Либо можно использовать командлет Azure PowerShell Set-AzFirewallPolicy для обновления тегов.
IPv6 в настоящее время не поддерживается При добавлении IPv6-адреса к правилу происходит сбой брандмауэра. Используйте только IPv4-адреса. Поддержка IPv6 находится на стадии изучения.
При обновлении нескольких групп IP-адресов возникает ошибка о конфликте. При обновлении двух групп IP-адресов или более, подключенных к одному и тому же брандмауэру, для одного из ресурсов возникает сбой. Это известная проблема/ограничение.

При обновлении группы IP-адресов запускается обновление всех брандмауэров, к которым она подключена. Если обновление для второй группы IP-адресов запускается, когда брандмауэр по-прежнему находится в состоянии обновления, обновление группы завершается сбоем.

Во избежание сбоя группы, подключенные к одному брандмауэру, нужно обновлять по одной за раз. Подождите достаточное время между обновлениями, чтобы брандмауэр успел выйти из состояния обновления.
Удаление групп RuleCollectionGroup с использованием шаблонов ARM не поддерживается. Удаление RuleCollectionGroup с помощью шаблонов ARM приводит к сбою. Данная операция не поддерживается.
Правило DNAT, разрешающее любой (*) трафик SNAT. Если в правиле DNAT в качестве исходного IP-адреса разрешен любой (*) адрес, то неявное сетевое правило будет применяться к трафику между виртуальными сетями и будет всегда применять к нему SNAT. Это текущее ограничение.
Добавление правила DNAT на защищенный виртуальный концентратор с поставщиком безопасности не поддерживается. Это ведет к возникновению асинхронного маршрута для возвращаемого трафика DNAT, который передается поставщику безопасности. Не поддерживается.
Произошла ошибка при создании более 2000 коллекций правил. Максимальное число коллекций сетевых правил или правил NAT/приложений составляет 2000 (ограничение Resource Manager). Это текущее ограничение.
Не удается просмотреть имя сетевого правила в журналах Брандмауэра Azure В данных журнала сетевых правил Брандмауэра Azure не отображается имя правила для сетевого трафика. Мы планируем реализовать возможность поддержки этой функции.

Дальнейшие действия