Vad är Azure Firewall?What is Azure Firewall?

Azure Firewall är en hanterad, molnbaserad tjänst för nätverkssäkerhet som skyddar dina Azure Virtual Network-resurser.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. Det är en fullständigt tillstånds känslig brand vägg som en tjänst med inbyggd hög tillgänglighet och obegränsad moln skalbarhet.It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

Översikt över brandväggar

Du kan centralt skapa, framtvinga och logga principer för tillämpning och nätverksanslutning över prenumerationer och virtuella nätverk.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Azure Firewall använder en statisk offentlig IP-adress för din virtuella nätverksresurser som tillåter att externa brandväggar identifierar trafik som kommer från ditt virtuella nätverk.Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. Tjänsten är helt integrerad med Azure Monitor för loggning och analys.The service is fully integrated with Azure Monitor for logging and analytics.

Azure Firewall erbjuder följande funktioner:Azure Firewall offers the following features:

Inbyggd hög tillgänglighetBuilt-in high availability

Hög tillgänglighet är inbyggt, så inga ytterligare belastnings utjämning krävs och det finns inget behov av att konfigurera.High availability is built in, so no additional load balancers are required and there's nothing you need to configure.

TillgänglighetszonerAvailability Zones

Azure-brandväggen kan konfigureras under distributionen för att omfatta flera Tillgänglighetszoner för ökad tillgänglighet.Azure Firewall can be configured during deployment to span multiple Availability Zones for increased availability. Med Tillgänglighetszoner ökar din tillgänglighet till 99,99% drift tid.With Availability Zones, your availability increases to 99.99% uptime. Mer information finns i Azure Firewall serviceavtal (SLA).For more information, see the Azure Firewall Service Level Agreement (SLA). SLA för 99,99% drift tid erbjuds när två eller fler Tillgänglighetszoner har valts.The 99.99% uptime SLA is offered when two or more Availability Zones are selected.

Du kan också associera Azure-brandväggen till en speciell zon, precis för närhets skäl, med service standard service avtalet för 99,95%.You can also associate Azure Firewall to a specific zone just for proximity reasons, using the service standard 99.95% SLA.

Det kostar inget extra att distribuera en brand vägg i en tillgänglighets zon.There's no additional cost for a firewall deployed in an Availability Zone. Det finns dock ytterligare kostnader för inkommande och utgående data överföringar som är kopplade till Tillgänglighetszoner.However, there are additional costs for inbound and outbound data transfers associated with Availability Zones. Mer information finns i pris information om bandbredd.For more information, see Bandwidth pricing details.

Azure Firewall-Tillgänglighetszoner är tillgängliga i regioner som stöder Tillgänglighetszoner.Azure Firewall Availability Zones are available in regions that support Availability Zones. Mer information finns i Vad är Tillgänglighetszoner i Azure?For more information, see What are Availability Zones in Azure?

Anteckning

Tillgänglighetszoner kan bara konfigureras under distributionen.Availability Zones can only be configured during deployment. Du kan inte konfigurera en befintlig brand vägg att inkludera Tillgänglighetszoner.You can't configure an existing firewall to include Availability Zones.

Mer information om Tillgänglighetszoner finns i vad är Tillgänglighetszoner i Azure?For more information about Availability Zones, see What are Availability Zones in Azure?

Obegränsad molnskalbarhetUnrestricted cloud scalability

Azure Firewall kan skala upp så mycket du behöver för att hantera föränderliga nätverkstrafikflöden, så du behöver inte budgetera för hög trafikbelastning.Azure Firewall can scale up as much as you need to accommodate changing network traffic flows, so you don't need to budget for your peak traffic.

Programmets FQDN-filtreringsreglerApplication FQDN filtering rules

Du kan begränsa utgående HTTP/S-trafik eller Azure SQL-trafik (för hands version) till en angiven lista med fullständigt kvalificerade domän namn (FQDN), inklusive jokertecken.You can limit outbound HTTP/S traffic or Azure SQL traffic (preview) to a specified list of fully qualified domain names (FQDN) including wild cards. Den här funktionen kräver inte SSL-avslutning.This feature doesn't require SSL termination.

Regler för filtrering av nätverkstrafikNetwork traffic filtering rules

Du kan centralt skapa nätverksfiltreringsreglerna tillåt eller neka efter källans och målets IP-adress, port och protokoll.You can centrally create allow or deny network filtering rules by source and destination IP address, port, and protocol. Azure Firewall är helt tillståndskänslig så att den kan identifiera legitima paket för olika typer av anslutningar.Azure Firewall is fully stateful, so it can distinguish legitimate packets for different types of connections. Regler tillämpas och loggas i flera prenumerationer och virtuella nätverk.Rules are enforced and logged across multiple subscriptions and virtual networks.

FQDN-taggarFQDN tags

FQDN-taggar gör det enkelt att tillåta välkänd Azure-tjänstnätverkstrafik via brandväggen.FQDN tags make it easy for you to allow well known Azure service network traffic through your firewall. Anta exempelvis att du vill tillåta Windows Update-nätverkstrafik via brandväggen.For example, say you want to allow Windows Update network traffic through your firewall. Du skapar en programregel och inkluderar Windows Update-taggen.You create an application rule and include the Windows Update tag. Nätverkstrafik från Windows Update kan nu flöda genom brandväggen.Now network traffic from Windows Update can flow through your firewall.

TjänsttaggarService tags

En tjänsttagg representerar en grupp IP-adressprefix och används i syfte att minska komplexiteten vid skapande av säkerhetsregler.A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. Du kan inte skapa en egen service tag eller ange vilka IP-adresser som ska ingå i en tagg.You can't create your own service tag, nor specify which IP addresses are included within a tag. Microsoft hanterar adressprefix som omfattas av tjänsttaggen och uppdaterar automatiskt tjänsttaggen när adresserna ändras.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change.

HotinformationThreat intelligence

Hotinformationsbaserad filtrering kan aktiveras för brandväggen för att avisera och avvisa trafik från/till kända skadliga IP-adresser och domäner.Threat intelligence-based filtering can be enabled for your firewall to alert and deny traffic from/to known malicious IP addresses and domains. IP-adresserna och domänerna hämtas från Microsoft Threat Intelligence-feeden.The IP addresses and domains are sourced from the Microsoft Threat Intelligence feed.

Stöd för utgående SNATOutbound SNAT support

Alla IP-adresser för utgående trafik över virtuellt nätverk översätts till den offentliga Azure Firewall-IP-adressen (Source Network Address Translation).All outbound virtual network traffic IP addresses are translated to the Azure Firewall public IP (Source Network Address Translation). Du kan identifiera och tillåta trafik som kommer från ditt virtuella nätverk till fjärranslutna Internetmål.You can identify and allow traffic originating from your virtual network to remote Internet destinations. Azure-brandväggen är inte SNAT när målets IP-adress är ett privat IP-intervall per IANA RFC 1918.Azure Firewall doesn’t SNAT when the destination IP is a private IP range per IANA RFC 1918. Om din organisation använder ett offentligt IP-adressintervall för privata nätverk, kommer Azure-brandväggen att besvara trafiken till någon av de privata IP-adresserna för brand väggen i AzureFirewallSubnet.If your organization uses a public IP address range for private networks, Azure Firewall will SNAT the traffic to one of the firewall private IP addresses in AzureFirewallSubnet.

Stöd för inkommande DNATInbound DNAT support

Inkommande nätverkstrafik till din brandväggs offentliga IP-adress översätts (Destination Network Address Translation) och filtreras till de privata IP-adresserna på dina virtuella nätverk.Inbound network traffic to your firewall public IP address is translated (Destination Network Address Translation) and filtered to the private IP addresses on your virtual networks.

Flera offentliga IP-adresserMultiple public IP addresses

Viktigt

Azure-brandväggen med flera offentliga IP-adresser är tillgänglig via Azure Portal, Azure PowerShell, Azure CLI, REST och mallar.Azure Firewall with multiple public IP addresses is available via the Azure portal, Azure PowerShell, Azure CLI, REST, and templates.

Du kan associera flera offentliga IP-adresser (upp till 100) med brand väggen.You can associate multiple public IP addresses (up to 100) with your firewall.

Detta möjliggör följande scenarier:This enables the following scenarios:

  • DNAt – du kan översätta flera standard port instanser till backend-servrarna.DNAT - You can translate multiple standard port instances to your backend servers. Om du till exempel har två offentliga IP-adresser kan du översätta TCP-port 3389 (RDP) för båda IP-adresserna.For example, if you have two public IP addresses, you can translate TCP port 3389 (RDP) for both IP addresses.
  • SNAT -ytterligare portar är tillgängliga för utgående SNAT-anslutningar, vilket minskar risken för SNAT-port överbelastning.SNAT - Additional ports are available for outbound SNAT connections, reducing the potential for SNAT port exhaustion. För tillfället väljer Azure Firewall slumpmässigt den offentliga IP-adress som ska användas för en anslutning.At this time, Azure Firewall randomly selects the source public IP address to use for a connection. Om du har filtrering av underordnade i nätverket måste du tillåta alla offentliga IP-adresser som är kopplade till din brand vägg.If you have any downstream filtering on your network, you need to allow all public IP addresses associated with your firewall.

Azure Monitor-loggningAzure Monitor logging

Alla händelser är integrerade med Azure Monitor, vilket gör att du kan arkivera loggar till ett lagringskonto, strömma händelser till din händelsehubb eller skicka dem till Azure Monitor-loggar.All events are integrated with Azure Monitor, allowing you to archive logs to a storage account, stream events to your Event Hub, or send them to Azure Monitor logs.

Kända problemKnown issues

Azure Firewall har följande kända problem:Azure Firewall has the following known issues:

ProblemIssue BeskrivningDescription ÅtgärdMitigation
Nätverksfiltreringsregler för icke-TCP-/UDP-protokoll (till exempel ICMP) fungerar inte för Internetbunden trafikNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic Nätverksfiltreringsregler för icke-TCP-/UDP-protokoll fungerar inte med SNAT till din offentliga IP-adress.Network filtering rules for non-TCP/UDP protocols don’t work with SNAT to your public IP address. Icke-TCP-/UDP-protokoll stöds mellan ekerundernät och virtuella nätverk.Non-TCP/UDP protocols are supported between spoke subnets and VNets. Azure Firewall använder Standard Load Balancer, som för närvarande inte stöder SNAT för IP-protokoll.Azure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Vi ska utforska alternativ för att stödja det här scenariot i en framtida version.We're exploring options to support this scenario in a future release.
Saknat PowerShell- och CLI-stöd för ICMPMissing PowerShell and CLI support for ICMP Azure PowerShell och CLI stöder inte ICMP som ett giltigt protokoll i nätverksregler.Azure PowerShell and CLI don’t support ICMP as a valid protocol in network rules. Det går fortfarande att använda ICMP som protokoll via portalen och REST API.It's still possible to use ICMP as a protocol via the portal and the REST API. Vi arbetar snart med att lägga till ICMP i PowerShell och CLI.We're working to add ICMP in PowerShell and CLI soon.
FQDN-taggar kräver att protokoll: port angesFQDN tags require a protocol: port to be set Program regler med FQDN-Taggar kräver port: protokoll definition.Application rules with FQDN tags require port: protocol definition. Du kan använda https som port: protokoll-värde.You can use https as the port: protocol value. Vi arbetar för att göra det här fältet valfritt när FQDN-Taggar används.We're working to make this field optional when FQDN tags are used.
Det finns inte stöd för att flytta en brand vägg till en annan resurs grupp eller prenumerationMoving a firewall to a different resource group or subscription isn't supported Det finns inte stöd för att flytta en brand vägg till en annan resurs grupp eller prenumeration.Moving a firewall to a different resource group or subscription isn't supported. Stöd för den här funktionen finns i vår planering.Supporting this functionality is on our road map. För att kunna flytta en brandvägg till en annan resursgrupp eller prenumeration måste du ta bort den aktuella instansen och återskapa den i den nya resursgruppen eller prenumerationen.To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
Portintervall i nätverk och reglerPort range in network and application rules Portar som är begränsade till 64 000 eftersom höga portar är reserverade för hantering och diagnostiska sökningar.Ports are limited to 64,000 as high ports are reserved for management and health probes. Vi arbetar för att minska den här begränsningen.We're working to relax this limitation.
Hot informations aviseringar kan komma att maskerasThreat intelligence alerts may get masked Nätverks regler med destination 80/443 för utgående filtrering maskar hot informations aviseringar när de är konfigurerade för enbart aviserings läge.Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. Skapa utgående filtrering för 80/443 med hjälp av program regler.Create outbound filtering for 80/443 using application rules. Eller så kan du ändra hot informations läge till varning och neka.Or, change the threat intelligence mode to Alert and Deny.
Azure-brandväggen använder Azure DNS endast för namn matchningAzure Firewall uses Azure DNS only for name resolution Azure-brandväggen löser FQDN: er med endast Azure DNS.Azure Firewall resolves FQDNs using Azure DNS only. En anpassad DNS-Server stöds inte.A custom DNS server isn't supported. Det finns ingen inverkan på DNS-matchning på andra undernät.There's no impact on DNS resolution on other subnets. Vi arbetar för att minska den här begränsningen.We're working to relax this limitation.
Azure Firewall SNAT/DNAT fungerar inte för privata IP-målAzure Firewall SNAT/DNAT doesn't work for private IP destinations Azure Firewall SNAT/DNAT-supporten är begränsad till utgående/ingångar från Internet.Azure Firewall SNAT/DNAT support is limited to Internet egress/ingress. SNAT/DNAT fungerar för närvarande inte för privata IP-mål.SNAT/DNAT doesn't currently work for private IP destinations. Till exempel eker till ekrar.For example, spoke to spoke. Detta är en aktuell begränsning.This is a current limitation.
Det går inte att ta bort den första offentliga IP-konfigurationenCan't remove first public IP configuration Varje offentlig IP-adress för Azure Firewall tilldelas en IP-konfiguration.Each Azure Firewall public IP address is assigned to an IP configuration. Den första IP-konfigurationen tilldelas under brand Väggs distributionen och innehåller vanligt vis en referens till brand Väggs under nätet (om den inte uttryckligen har kon figurer ATS på annat sätt via en mall distribution).The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). Du kan inte ta bort den här IP-konfigurationen eftersom den inte skulle allokera brand väggen.You can't delete this IP configuration because it would de-allocate the firewall. Du kan fortfarande ändra eller ta bort den offentliga IP-adressen som är associerad med den här IP-konfigurationen om brand väggen har minst en offentlig IP-adress som är tillgänglig för användning.You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. Det här är avsiktligt.This is by design.
Tillgänglighets zoner kan bara konfigureras under distributionen.Availability zones can only be configured during deployment. Tillgänglighets zoner kan bara konfigureras under distributionen.Availability zones can only be configured during deployment. Du kan inte konfigurera Tillgänglighetszoner när en brand vägg har distribuerats.You can't configure Availability Zones after a firewall has been deployed. Det här är avsiktligt.This is by design.
SNAT på inkommande anslutningarSNAT on inbound connections Förutom DNAT är anslutningar via den offentliga brand Väggs adressen (inkommande) SNATed till en av brand väggens privata IP-adresser.In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. Detta krav idag (även för aktiva/aktiva NVA) för att säkerställa symmetrisk routning.This requirement today (also for Active/Active NVAs) to ensure symmetric routing. Överväg att använda XFF -rubriker för att bevara den ursprungliga källan för http/S.To preserve the original source for HTTP/S, consider using XFF headers. Du kan till exempel använda en tjänst som till exempel Azure-frontend framför brand väggen.For example, use a service such as Azure Front Door in front of the firewall. Du kan också lägga till WAF som en del av Azures frontend-dörr och-kedja i brand väggen.You can also add WAF as part of Azure Front Door and chain to the firewall.
Stöd för SQL-FQDN-filtrering i proxyläge (port 1433)SQL FQDN filtering support only in proxy mode (port 1433) För Azure SQL Database, Azure SQL Data Warehouse och Azure SQL-hanterad instans:For Azure SQL Database, Azure SQL Data Warehouse, and Azure SQL Managed Instance:

Under förhands granskningen stöds SQL-FQDN-filtrering endast i proxy-läge (port 1433).During the preview, SQL FQDN filtering is supported in proxy-mode only (port 1433).

För Azure SQL-IaaS:For Azure SQL IaaS:

Om du använder portar som inte är standard kan du ange dessa portar i program reglerna.If you are using non-standard ports, you can specify those ports in the application rules.
För SQL i omdirigeringsläge, som är standard om du ansluter inifrån Azure, kan du i stället Filtrera åtkomst med SQL-tjänstprogrammet som en del av nätverks reglerna i Azure Firewall.For SQL in redirect mode, which is the default if connecting from within Azure, you can instead filter access using the SQL service tag as part of Azure Firewall network rules.

Nästa stegNext steps