Azure Güvenlik Duvarı nedir?
Azure Güvenlik Duvarı, Azure'da çalışan bulut iş yükleriniz için en iyi tür tehdit koruması sağlayan, bulutta yerel ve akıllı bir ağ güvenlik duvarı güvenlik hizmetidir. Yerleşik yüksek kullanılabilirlik ve sınırsız bulut ölçeklenebilirliği ile tam durum bilgili, hizmet olarak güvenlik duvarıdır. Hem doğu-batı hem de kuzey-güney trafik denetimi sağlar.
Azure Güvenlik Duvarı iki SKUS ile sunulur: Standart ve Premium.
Azure Güvenlik Duvarı Standard
Azure Güvenlik Duvarı Standard, doğrudan Microsoft Cyber Security'den L3-L7 filtreleme ve tehdit zekası akışları sağlar. Tehdit bilgileri tabanlı filtreleme, yeni ve gelişmekte olan saldırılara karşı korumak için gerçek zamanlı olarak güncelleştirilen bilinen kötü amaçlı IP adreslerinden ve etki alanlarından gelen/gelen trafiği uyarıp reddedebilir.
Güvenlik Duvarı Standart özellikleri hakkında bilgi edinmek için bkz. Azure Güvenlik Duvarı Özellikleri.
Azure Güvenlik Duvarı Premium
Azure Güvenlik Duvarı Premium gelişmiş özellikler sağlarken belirli desenlere bakarak saldırıların hızlı bir şekilde algılanmasına olanak sağlayan imza tabanlı IDPS'ler de vardır. Bu desenler ağ trafiğinde bayt dizilerini veya kötü amaçlı yazılım tarafından kullanılan bilinen kötü amaçlı yönerge dizilerini içerir. 50'den fazla kategoride 58.000'den fazla imza vardır ve bu imzalar yeni ve yeni ortaya çıkan açıklara karşı koruma için gerçek zamanlı olarak güncelleştirilir. Açıklardan yararlanma kategorileri kötü amaçlı yazılım, kimlik avı, bozuk para madenciliği ve Truva atı saldırılarıdır.
Güvenlik duvarı özellikleri hakkında Premium için bkz. Azure Güvenlik Duvarı Premium..
Azure Güvenlik Duvarı Yöneticisi
Birden çok Azure Güvenlik Duvarı Yöneticisi Azure Güvenlik Duvarlarını merkezi olarak yönetmek için azure güvenlik duvarlarını kullanabilirsiniz. Güvenlik Duvarı Yöneticisi, kiracınız içinde güvenlik duvarlarında ortak bir ağ/uygulama kuralları ve yapılandırma kümesi uygulamak için güvenlik duvarı ilkesi kullanır.
Güvenlik Duvarı Yöneticisi hem sanal ağ hem de Sanal WAN 'ler (Güvenli Sanal Merkez) ortamlarında güvenlik duvarlarını destekler. Güvenli Sanal Hub'lar, trafiği birkaç tıklamayla güvenlik duvarına yönlendirmeyi basitleştirmek için Sanal WAN rota otomasyonu çözümünü kullanır.
Daha fazla bilgi edinmek Azure Güvenlik Duvarı Yöneticisi bkz. Azure Güvenlik Duvarı Yöneticisi.
Fiyatlandırma ve SLA
Fiyatlandırma Azure Güvenlik Duvarı için bkz. Azure Güvenlik Duvarı fiyatlandırması.
SLA Azure Güvenlik Duvarı için bkz. SLA Azure Güvenlik Duvarı.
Yenilikler
Uygulama güncelleştirmeleriyle ilgili Azure Güvenlik Duvarı için bkz. Azure güncelleştirmeleri.
Bilinen sorunlar
Azure Güvenlik Duvarındaki bilinen sorunlar şunlardır:
| Sorun | Description | Risk azaltma |
|---|---|---|
| TCP/UDP dışı protokollere (örneğin ICMP) yönelik ağ filtreleme kuralları İnternet'e bağlı trafik için çalışmaz | TCP/UDP olmayan protokoller için ağ filtreleme kuralları, genel IP adresiniz için SNAT ile birlikte çalışmaz. TCP/UDP dışı protokoller, uç alt ağlarla sanal ağlar arasında desteklenir. | Azure Güvenlik Duvarı, bugün IP protokolleri için SNAT desteği olmayan Standart Load Balancer kullanır. Gelecek sürümlerde bu senaryoyu destekleme seçeneklerini keşfedeceğiz. |
| ICMP için eksik PowerShell ve CLI desteği | Azure PowerShell ve CLI, ağ kurallarında geçerli bir protokol olarak ICMP'i desteklemez. | IcMP'nin portal ve güvenlik portalı aracılığıyla protokol olarak REST API. Yakında PowerShell ve CLI'ye ICMP eklemeye çalışıyoruz. |
| FQDN etiketleri bir protokol: bağlantı noktası ayarlamayı gerektirir | FQDN etiketlerine sahip uygulama kuralları için bağlantı noktası: protokol tanımı gerekir. | Bağlantı noktası:protokol değeri olarak https kullanabilirsiniz. FQDN etiketleri kullanılırken bu alanı isteğe bağlı hale eklemek için çalışıyoruz. |
| Güvenlik duvarını farklı bir kaynak grubuna veya aboneliğe taşıma desteklenmiyor | Güvenlik duvarını farklı bir kaynak grubuna veya aboneliğe taşıma desteklenmiyor. | Bu işlevi desteklemek yol haritamızdadır. Bir güvenlik duvarını başka bir kaynak grubuna veya aboneliğe taşımak için geçerli örneği silmeniz ve yeni kaynak grubunda veya abonelikte yeniden oluşturmanız gerekir. |
| Tehdit zekası uyarıları maskelenmiş olabilir | Giden filtreleme için hedef 80/443'e sahip ağ kuralları, yalnızca uyarı moduna yapılandırıldığında tehdit zekası uyarılarını maskeler. | Uygulama kurallarını kullanarak 80/443 için giden filtreleme oluşturun. Veya tehdit zekası modunu Uyarı ve Reddet olarak değiştirebilirsiniz. |
| Azure Güvenlik Duvarı DNAT özel IP hedefleri için çalışmıyor | Azure Güvenlik Duvarı DNAT desteği İnternet çıkış/giriş ile sınırlıdır. DNAT şu anda özel IP hedefleri için çalışmıyor. Örneğin, 1-2. | Bu geçerli bir sınırlamadır. |
| İlk genel IP yapılandırması kaldırılamay | Her Azure Güvenlik Duvarı ip adresi bir IP yapılandırmasına atanır. İlk IP yapılandırması güvenlik duvarı dağıtımı sırasında atanır ve genellikle güvenlik duvarı alt ağın başvurularını da içerir (şablon dağıtımı aracılığıyla açıkça farklı yapılandırılmadığı sürece). Güvenlik duvarını ayırması nedeniyle bu IP yapılandırmasını silemezsiniz. Güvenlik duvarının kullanabileceği en az bir genel IP adresi daha varsa, bu IP yapılandırmasıyla ilişkili genel IP adresini değiştirebilir veya kaldırabilirsiniz. | Bu tasarım gereğidir. |
| Kullanılabilirlik alanları yalnızca dağıtım sırasında yalıtabilirsiniz. | Kullanılabilirlik alanları yalnızca dağıtım sırasında yalıtabilirsiniz. Güvenlik duvarı dağıtıldıktan Kullanılabilirlik Alanları yapılandırmayı yapılandıramazsanız. | Bu tasarım gereğidir. |
| Gelen bağlantılarda SNAT | DNAT'ye ek olarak, güvenlik duvarı genel IP adresi (gelen) üzerinden bağlantılar güvenlik duvarı özel IP'lerinden biri ile SNAT'tır. Simetrik yönlendirmeyi sağlamak için bu gereksinim bugün (etkin/etkin NVA'lar için de) sağlandı. | HTTP/S için özgün kaynağı korumak için XFF üst bilgilerini kullanmayı göz önünde bulundurabilirsiniz. Örneğin, güvenlik duvarının önünde Azure Front Door veya Azure Application Gateway gibi bir hizmet kullanın. WaF'yi güvenlik duvarına güvenlik duvarının Azure Front Door ve zincirinin bir parçası olarak da ekabilirsiniz. |
| SQL FQDN filtreleme desteği yalnızca ara sunucu modunda (bağlantı noktası 1433) | Azure SQL Veritabanı, Azure Synapse Analytics ve Azure SQL Yönetilen Örneği için: SQL FQDN filtrelemesi yalnızca ara sunucu modunda (bağlantı noktası 1433) de kullanılabilir. Azure SQL IaaS için: Standart olmayan bağlantı noktaları kullanıyorsanız, bu bağlantı noktalarını uygulama kurallarında belirtebilirsiniz. |
Yeniden SQL modunda kullanmak için (Azure'dan bağlanıyorsanız varsayılan), bunun yerine SQL ağ kurallarının bir parçası olarak Azure Güvenlik Duvarı filtresini kullanabilirsiniz. |
| TCP bağlantı noktası 25'te giden SMTP trafiği engellendi | TCP bağlantı noktası 25'te doğrudan dış etki alanlarına (ve gibi) gönderilen giden e-posta iletileri, outlook.com gmail.com Azure Güvenlik Duvarı. Bu, Azure'daki varsayılan platform davranışıdır. |
Normalde TCP bağlantı noktası 587 üzerinden bağlanan, ancak diğer bağlantı noktalarını da destekleyen kimliği doğrulanmış SMTP geçiş hizmetlerini kullanın. Daha fazla bilgi için bkz. Azure'da giden SMTP bağlantı sorunlarını giderme. Şu Azure Güvenlik Duvarı giden TCP 25 kullanarak genel IP'lerle iletişim kurabilirsiniz, ancak çalışması garanti edilemez ve tüm abonelik türleri için desteklanmaz. Sanal ağlar, VPN'ler ve vpn gibi özel IP'ler Azure ExpressRoute Azure Güvenlik Duvarı TCP bağlantı noktası 25'in giden bağlantısını destekler. |
| SNAT bağlantı noktası tükenmesi | Azure Güvenlik Duvarı arka uç sanal makine ölçek kümesi örneği başına Genel IP adresi başına 1024 bağlantı noktasını desteklemektedir. Varsayılan olarak, iki sanal makine ölçek kümesi örneği vardır. | Bu bir SLB sınırlamasıdır ve sınırları artırmak için sürekli fırsatlar arıyoruz. Bu arada, SNAT tükenmesi Azure Güvenlik Duvarı dağıtımlar için en az beş genel IP adresi ile dağıtımların yapılandırılması önerilir. Bu, kullanılabilir SNAT bağlantı noktalarını beş kez artırır. Aşağı akış izinlerini basitleştirmek için ip adresi ön eklerinden ayırma. |
| Zorlamalı Tünel etkinken DNAT desteklenmiyor | Zorlamalı Tünel etkinleştirilmiş olarak dağıtılan güvenlik duvarları, asimetrik yönlendirme nedeniyle İnternet'den gelen erişimi destekleyemez. | Bunun nedeni asimetrik yönlendirmedir. Gelen bağlantılar için dönüş yolu, kurulan bağlantıyı görmeyen şirket içi güvenlik duvarı aracılığıyla geçer. |
| Giden Pasif FTP, FTP sunucunuzun yapılandırmasına bağlı olarak birden çok genel IP adresi ile güvenlik duvarları için çalışmayabilir. | Pasif FTP, denetim ve veri kanalları için farklı bağlantılar oluşturur. Birden çok genel IP adresine sahip bir güvenlik duvarı giden verileri gönderdiğinde, kaynak IP adresi için genel IP adreslerinden birini rastgele seçer. Veriler ve denetim kanalları, FTP sunucunuzun yapılandırmasına bağlı olarak farklı kaynak IP adresleri kullandıklarında, FTP başarısız olabilir. | Açık bir SNAT yapılandırması planlanmaktadır. Bu sırada, FTP sunucunuzu verileri kabul edecek şekilde yapılandırabilir ve farklı kaynak IP adreslerinden kanalları kontrol edebilirsiniz (bkz. IIS için bir örnek). Alternatif olarak, bu durumda tek bir IP adresi kullanmayı göz önünde bulundurun. |
| Gelen Pasif FTP, FTP sunucusu yapılandırmanıza bağlı olarak çalışmayabilir | Pasif FTP, denetim ve veri kanalları için farklı bağlantılar oluşturur. Azure Güvenlik duvarında gelen bağlantılar, simetrik yönlendirmeyi sağlamak için güvenlik duvarı özel IP adreslerinden birine yöneliktir. Veriler ve denetim kanalları, FTP sunucunuzun yapılandırmasına bağlı olarak farklı kaynak IP adresleri kullandıklarında, FTP başarısız olabilir. | Özgün kaynak IP adresinin korunması araştırılır. Bu sırada, FTP sunucunuzu verileri kabul edecek şekilde yapılandırabilir ve farklı kaynak IP adreslerinden kanalları kontrol edebilirsiniz. |
| FTP istemcisinin Internet üzerinden bir FTP sunucusuna ulaşması gerektiğinde etkin FTP çalışmaz. | Etkin FTP FTP istemcisinden, veri kanalı için kullanılacak IP ve bağlantı noktasını yönlendiren bir bağlantı noktası komutu kullanır. Bu bağlantı noktası komutu, istemcisinin değiştirilemeyen özel IP 'sini kullanır. Azure Güvenlik Duvarı 'Ndan geçen istemci tarafı trafik, Internet tabanlı iletişimler için NAT olur ve bu bağlantı noktası komutu FTP sunucusu tarafından geçersiz olarak görüldü. | Bu, istemci tarafı NAT ile birlikte kullanıldığında etkin FTP 'nin Genel sınırlamasıdır. |
| NetworkRuleHit ölçümünde protokol boyutu eksik | ApplicationRuleHit metrik, filtreleme tabanlı protokole izin veriyor, ancak ilgili NetworkRuleHit ölçümünde bu yetenek yok. | Bir düzelme araştırılır. |
| 64000 ve 65535 arasındaki bağlantı noktalarıyla NAT kuralları desteklenmez | Azure Güvenlik Duvarı, ağ ve uygulama kurallarında 1-65535 aralığında bulunan tüm bağlantı noktalarına izin verir, ancak NAT kuralları yalnızca 1-63999 aralığındaki bağlantı noktalarını destekler. | Bu geçerli bir kısıtlamadır. |
| Yapılandırma güncelleştirmeleri ortalama beş dakika sürebilir | Bir Azure Güvenlik Duvarı yapılandırma güncelleştirmesi ortalama üç ila beş dakika sürebilir ve paralel güncelleştirmeler desteklenmez. | Bir düzelme araştırılır. |
| Azure Güvenlik Duvarı, HTTPS ve MSSQL trafiğini filtrelemek için SNı TLS üst bilgilerini kullanır | Tarayıcı veya sunucu yazılımı sunucu adı göstergesi (SNı) uzantısını desteklemiyorsa, Azure Güvenlik Duvarı üzerinden bağlanamazsınız. | Tarayıcı veya sunucu yazılımı SNı desteklemiyorsa, bağlantıyı bir uygulama kuralı yerine bir ağ kuralı kullanarak kontrol edebilirsiniz. SNı 'yi destekleyen yazılımlar için bkz. sunucu adı belirtme . |
| Özel DNS zorlamalı tünelleme ile çalışmıyor | Zorlamalı tünel etkinleştirilirse, özel DNS çalışmaz. | Bir düzelme araştırılır. |
| Başlat/Durdur, Zorlamalı tünel modunda yapılandırılmış bir güvenlik duvarı ile çalışmıyor | Başlat/Durdur, Zorlamalı tünel modunda yapılandırılmış Azure Güvenlik Duvarı ile çalışmıyor. Zorlamalı tünel yapılandırılmış olarak Azure Güvenlik Duvarı 'Nı başlatma girişimi şu hata ile sonuçlanır: Set-AzFirewall: AzureFirewall FW-xx yönetim IP yapılandırması mevcut bir güvenlik duvarına eklenemiyor. Zorlamalı tünel desteğini kullanmak istiyorsanız bir yönetim IP yapılandırması ile yeniden dağıtın. StatusCode: 400 ReasonPhrase: Hatalı istek |
İnceleme altında. Geçici bir çözüm olarak, mevcut güvenlik duvarını silebilir ve aynı parametrelerle yeni bir tane oluşturabilirsiniz. |
| Portal veya Azure Resource Manager (ARM) şablonları kullanılarak güvenlik duvarı ilkesi etiketleri eklenemiyor | Azure Güvenlik Duvarı Ilkesinde, Azure portal veya ARM şablonlarını kullanarak etiket eklemelerini önleyen bir yama destek sınırlaması vardır. Şu hata oluşturuldu: kaynak için Etiketler kaydedilemedi. | Bir düzelme araştırılır. veya, etiketleri güncelleştirmek için Azure PowerShell cmdlet 'ini kullanabilirsiniz Set-AzFirewallPolicy . |
| IPv6 Şu anda desteklenmiyor | Bir kurala bir IPv6 adresi eklerseniz güvenlik duvarı başarısız olur. | Yalnızca IPv4 adreslerini kullanın. IPv6 desteği araştırma aşamasındadır. |
| Birden çok IP grubunu güncelleştirme, çakışma hatasıyla başarısız oluyor. | Aynı güvenlik duvarına bağlı iki veya daha fazla IP grubunu güncelleştirdiğinizde, kaynaklardan biri başarısız durumuna geçer. | Bu bilinen bir sorundur/kısıtlamadır. Bir IP grubunu güncelleştirdiğinizde, ıpgroup 'un eklendiği tüm güvenlik duvarlarındaki bir güncelleştirmeyi tetikler. Güvenlik duvarı hala güncelleştirme durumunda olduğu sürece ıkıncı bir IP grubuna yönelik bir güncelleştirme başlatılırsa, ıpgroup güncelleştirmesi başarısız olur. Bu hatadan kaçınmak için aynı güvenlik duvarındaki IP gruplarının tek seferde güncelleştirilmeleri gerekir. Güvenlik duvarının güncelleştirme durumundan çıkmasına izin vermek için güncelleştirmeler arasında yeterli zamana izin verin. |
| ARM şablonlarını kullanarak RuleCollectionGroups kaldırma desteklenmiyor. | ARM şablonlarını kullanarak bir RuleCollectionGroup 'un kaldırılması desteklenmez ve hata ile sonuçlanır. | Bu, desteklenen bir işlem değil. |
| İzin ver (*) IÇIN DNAT KURALı, SNAT trafiğine izin verir. | Bir DNAT kuralı kaynak IP adresi olarak herhangi bir (*) izin veriyorsa, bir örtük ağ kuralı VNet-VNet trafiğiyle eşleşir ve her zaman trafiği SNAT olur. | Bu geçerli bir kısıtlamadır. |
| Güvenlik sağlayıcısına sahip güvenli bir sanal hub 'a DNAT kuralı eklenmesi desteklenmez. | Bunun sonucunda, güvenlik sağlayıcısına giden döndürülen DNAT trafiği için zaman uyumsuz bir yol oluşur. | Desteklenmez. |
| 2000 taneden fazla kural koleksiyonu oluşturulurken hatayla karşılaşıldı. | NAT/uygulama veya ağ kuralı koleksiyonlarının maxhayvan numarası 2000 ' dir (Kaynak Yöneticisi limiti). | Bu geçerli bir kısıtlamadır. |
| Azure Güvenlik Duvarı günlüklerinde ağ kuralı adı denetlenemiyor | Azure Güvenlik Duvarı ağ kuralı günlük verileri, ağ trafiği için kural adını göstermez. | Bunu desteklemek için bir özellik araştırılır. |
Sonraki adımlar
- Hızlı başlangıç: Azure Güvenlik Duvarı ve güvenlik duvarı ilkesi oluşturma-ARM şablonu
- Hızlı başlangıç: Kullanılabilirlik Alanları ARM şablonuyla Azure Güvenlik duvarını dağıtma
- Öğretici: Azure portalını kullanarak Azure Güvenlik Duvarı'nı dağıtma ve yapılandırma
- Modül öğren: Azure Güvenlik Duvarı 'na giriş