Vad är Azure Firewall Manager?
Azure Firewall Manager är en säkerhetshanteringstjänst som tillhandahåller central säkerhetsprincip och väghantering för molnbaserade säkerhets perimeterer.
Firewall Manager kan tillhandahålla säkerhetshantering för två typer av nätverksarkitekturer:
Skyddad virtuell hubb
En Azure Virtual WAN Hub är en Microsoft-hanterad resurs som gör att du enkelt kan skapa nav- och ekerarkitekturer. När säkerhet och routningsprinciper är associerade med en sådan hubb kallas det för en skyddad virtuell hubb.
Virtuellt hub-nätverk
Det här är ett virtuellt Azure-standardnätverk som du skapar och hanterar själv. När säkerhetsprinciper är associerade med en sådan hubb kallas det för ett virtuellt hubbnätverk. För närvarande stöds Azure Firewall princip. Du kan peer-använda virtuella ekernätverk som innehåller dina arbetsbelastningsservrar och tjänster. Du kan också hantera brandväggar i fristående virtuella nätverk som inte är peer-ade till någon eker.
En detaljerad jämförelse av säkra arkitekturer för virtuella hubbar och virtuella hubbnätverk finns i Vad är Azure Firewall Manager för arkitektur?.
Azure Firewall Manager funktioner
Azure Firewall Manager erbjuder följande funktioner:
Central Azure Firewall distribution och konfiguration
Du kan centralt distribuera och konfigurera flera Azure Firewall instanser som sträcker sig över olika Azure-regioner och prenumerationer.
Hierarkiska principer (globala och lokala)
Du kan använda Azure Firewall Manager för att centralt hantera Azure Firewall över flera säkra virtuella hubbar. Dina centrala IT-team kan skapa globala brandväggsprinciper för att framtvinga brandväggsprinciper för hela organisationen mellan team. Lokalt redigerade brandväggsprinciper tillåter en DevOps-självbetjäningsmodell för bättre flexibilitet.
Integrerad med säkerhet som en tjänst från tredje part för avancerad säkerhet
Förutom att Azure Firewall kan du integrera TREDJEPARTSLEVERANTÖRER av säkerhet som en tjänst (SECaaS) för att ge ytterligare nätverksskydd för dina VNet- och gren-Internetanslutningar.
Den här funktionen är endast tillgänglig med säkra distributioner av virtuella hubbar.
VNet-till-Internet-trafikfiltrering (V2I)
- Filtrera utgående virtuell nätverkstrafik med önskad säkerhetsprovider från tredje part.
- Använd avancerat användarmedvetet Internetskydd för dina molnarbetsbelastningar som körs i Azure.
Trafikfiltrering för gren till Internet (B2I)
Utnyttja din Azure-anslutning och global distribution för att enkelt lägga till filtrering från tredje part för scenarier för gren till Internet.
Mer information om säkerhetspartnerproviders finns i Vad är Azure Firewall Manager säkerhetspartnerproviders?
Centraliserad väghantering
Dirigera enkelt trafik till den skyddade hubben för filtrering och loggning utan att behöva konfigurera användardefinierade vägar (UDR) manuellt i virtuella ekernätverk.
Den här funktionen är endast tillgänglig med säkra distributioner av virtuella hubbar.
Du kan använda tredjepartsleverantörer för B2I-trafikfiltrering (Branch to Internet), sida vid sida med Azure Firewall for Branch to VNet (B2V), VNet till VNet (V2V) och VNet till Internet (V2I).
Regional tillgänglighet
Azure Firewall principer kan användas i olika regioner. Du kan till exempel skapa en princip i USA, västra och använda den i USA, östra.
Kända problem
Azure Firewall Manager har följande kända problem:
| Problem | Beskrivning | Åtgärd |
|---|---|---|
| Trafikdelning | Microsoft 365 och Azure Public PaaS-trafikdelning stöds inte för närvarande. Om du väljer en tredjepartsleverantör för V2I eller B2I skickas även all azure-offentlig PaaS- och Microsoft 365-trafik via partnertjänsten. | Undersöka trafikdelning vid hubben. |
| En skyddad virtuell hubb per region | Du kan inte ha fler än en skyddad virtuell hubb per region. | Skapa flera virtuella WAN i en region. |
| Basprinciper måste finnas i samma region som den lokala principen | Skapa alla dina lokala principer i samma region som basprincipen. Du kan fortfarande tillämpa en princip som har skapats i en region på en skyddad hubb från en annan region. | Undersöker |
| Filtrera trafik mellan hubbar i säkra distributioner av virtuella hubbar | Säker filtrering av kommunikation mellan virtuella hubbar och säkrade virtuella hubbar stöds inte ännu. Hubb-till-hubb-kommunikation fungerar dock fortfarande om privat trafikfiltrering via Azure Firewall inte är aktiverat. | Undersöker |
| Gren-till-gren-trafik med privat trafikfiltrering aktiverat | Branch-till-gren-trafik stöds inte när filtrering av privat trafik är aktiverat. | Undersöka. Skydda inte privat trafik om gren-till-gren-anslutning är kritisk. |
| Alla skyddade virtuella hubbar som delar samma virtuella WAN måste finnas i samma resursgrupp. | Det här beteendet är justerat med Virtual WAN Hubs i dag. | Skapa flera virtuella WAN-nätverk så att skyddade virtuella hubbar kan skapas i olika resursgrupper. |
| Massutskick av IP-adresser misslyckas | Brandväggen för den säkra hubben hamnar i ett misslyckat tillstånd om du lägger till flera offentliga IP-adresser. | Lägg till mindre ökningar av offentliga IP-adresser. Lägg till exempel till 10 i taget. |
| DDoS Protection Standard stöds inte med skyddade virtuella hubbar | DDoS Protection Standard är inte integrerat med vWAN-nätverk. | Undersöker |
| Aktivitetsloggar stöds inte fullt ut | Brandväggsprincipen stöder för närvarande inte aktivitetsloggar. | Undersöker |
| Beskrivning av regler som inte stöds fullt ut | Brandväggsprincipen visar inte beskrivningen av regler i en ARM-export. | Undersöker |
| Azure Firewall Manager skriver över statiska och anpassade vägar som orsakar driftstopp i den virtuella WAN-hubben. | Du bör inte använda Azure Firewall Manager för att hantera dina inställningar i distributioner som konfigurerats med anpassade eller statiska vägar. Uppdateringar från Firewall Manager kan eventuellt skriva över statiska eller anpassade väginställningar. | Om du använder statiska eller anpassade vägar använder du Virtual WAN för att hantera säkerhetsinställningar och undvika konfiguration via Azure Firewall Manager. Mer information finns i Scenario: Azure Firewall – anpassad. |