Azure Güvenlik Duvarı nedir?What is Azure Firewall?

ICSA sertifikası

Azure Güvenlik Duvarı, Azure Sanal Ağ kaynaklarınızı koruyan yönetilen, bulut tabanlı bir güvenlik hizmetidir.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. Yerleşik yüksek kullanılabilirliğe ve sınırsız bulut ölçeklenebilirliğine sahip, tam durum bilgisi olan bir hizmet olarak güvenlik duvarıdır.It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

Güvenlik duvarına genel bakış

Aboneliklerle sanal ağlarda uygulama ve ağ bağlantısı ilkelerini merkezi olarak oluşturabilir, zorlayabilir ve günlüğe alabilirsiniz.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Azure Güvenlik Duvarı, dış güvenlik duvarlarının sanal ağınızdan kaynaklanan trafiği tanımlamasına olanak tanımak amacıyla sanal ağ kaynaklarınız için statik genel bir IP adresi kullanır.Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. Hizmet, günlük ve analiz için Azure İzleyici ile tamamen tümleşik çalışır.The service is fully integrated with Azure Monitor for logging and analytics.

ÖzelliklerFeatures

Azure Güvenlik duvarı özellikleri hakkında bilgi edinmek için bkz. Azure Güvenlik Duvarı Özellikleri.To learn about Azure Firewall features, see Azure Firewall features.

Bilinen sorunlarKnown issues

Azure Güvenlik Duvarındaki bilinen sorunlar şunlardır:Azure Firewall has the following known issues:

SorunIssue DescriptionDescription Risk azaltmaMitigation
TCP/UDP dışı protokollere (örneğin ICMP) yönelik ağ filtreleme kuralları İnternet'e bağlı trafik için çalışmazNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic TCP/UDP olmayan protokoller için ağ filtreleme kuralları, SNAT ile genel IP adresiniz arasında çalışmaz.Network filtering rules for non-TCP/UDP protocols don't work with SNAT to your public IP address. TCP/UDP dışı protokoller, uç alt ağlarla sanal ağlar arasında desteklenir.Non-TCP/UDP protocols are supported between spoke subnets and VNets. Azure Güvenlik Duvarı, bugün IP protokolleri için SNAT desteği olmayan Standart Load Balancer kullanır.Azure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Gelecekteki bir sürümde bu senaryoyu desteklemeye yönelik seçenekleri araştırıyoruz.We're exploring options to support this scenario in a future release.
ICMP için eksik PowerShell ve CLI desteğiMissing PowerShell and CLI support for ICMP Azure PowerShell ve CLı, ağ kurallarında geçerli bir protokol olarak ıCMP 'yi desteklemez.Azure PowerShell and CLI don't support ICMP as a valid protocol in network rules. Portal ve REST API aracılığıyla bir protokol olarak ıCMP kullanmak yine de mümkündür.It's still possible to use ICMP as a protocol via the portal and the REST API. PowerShell ve CLı için yakında ıCMP eklemek üzere çalışıyoruz.We're working to add ICMP in PowerShell and CLI soon.
FQDN etiketleri bir protokol: bağlantı noktası ayarlamayı gerektirirFQDN tags require a protocol: port to be set FQDN etiketleriyle uygulama kuralları için bağlantı noktası: protokol tanımı gerekir.Application rules with FQDN tags require port: protocol definition. Bağlantı noktası:protokol değeri olarak https kullanabilirsiniz.You can use https as the port: protocol value. FQDN etiketleri kullanıldığında bu alanı isteğe bağlı hale getirmek için çalışıyoruz.We're working to make this field optional when FQDN tags are used.
Bir güvenlik duvarını farklı bir kaynak grubuna veya aboneliğe taşıma desteklenmiyorMoving a firewall to a different resource group or subscription isn't supported Bir güvenlik duvarının farklı bir kaynak grubuna veya aboneliğe taşınması desteklenmez.Moving a firewall to a different resource group or subscription isn't supported. Bu işlevi desteklemek, yol haritamız üzerinde.Supporting this functionality is on our road map. Bir güvenlik duvarını başka bir kaynak grubuna veya aboneliğe taşımak için geçerli örneği silmeniz ve yeni kaynak grubunda veya abonelikte yeniden oluşturmanız gerekir.To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
Tehdit bilgileri uyarıları maskeli olabilirThreat intelligence alerts may get masked Giden filtreleme maskeleri için hedef 80/443 olan ağ kuralları yalnızca uyarı moduna yapılandırıldığında tehdit bilgileri uyarılarını arar.Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. Uygulama kurallarını kullanarak 80/443 için giden filtreleme oluşturun.Create outbound filtering for 80/443 using application rules. Ya da tehdit zekası modunu uyarı ve reddetmeolarak değiştirin.Or, change the threat intelligence mode to Alert and Deny.
Azure Güvenlik Duvarı DNAT, özel IP hedefleri için çalışmıyorAzure Firewall DNAT doesn't work for private IP destinations Azure Güvenlik Duvarı DNAT desteği Internet çıkış/giriş ile sınırlıdır.Azure Firewall DNAT support is limited to Internet egress/ingress. DNAT Şu anda özel IP hedefleri için çalışmıyor.DNAT doesn't currently work for private IP destinations. Örneğin, bağlı bileşene bağlı olarak.For example, spoke to spoke. Bu geçerli bir kısıtlamadır.This is a current limitation.
İlk genel IP yapılandırması kaldırılamıyorCan't remove first public IP configuration Her bir Azure Güvenlik Duvarı genel IP adresi bir IP yapılandırmasınaatanır.Each Azure Firewall public IP address is assigned to an IP configuration. İlk IP yapılandırması, güvenlik duvarı dağıtımı sırasında atanır ve genellikle güvenlik duvarı alt ağına (bir şablon dağıtımı aracılığıyla açıkça farklı şekilde yapılandırılmamışsa) bir başvuru içerir.The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). Güvenlik duvarını serbest bırakacağından bu IP yapılandırmasını silemezsiniz.You can't delete this IP configuration because it would de-allocate the firewall. Güvenlik duvarının kullanılabilir en az bir genel IP adresi varsa, bu IP yapılandırmasıyla ilişkili genel IP adresini değiştirmeye veya kaldırmaya devam edebilirsiniz.You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. Bu tasarım gereğidir.This is by design.
Kullanılabilirlik alanları yalnızca dağıtım sırasında yapılandırılabilir.Availability zones can only be configured during deployment. Kullanılabilirlik alanları yalnızca dağıtım sırasında yapılandırılabilir.Availability zones can only be configured during deployment. Bir güvenlik duvarı dağıtıldıktan sonra Kullanılabilirlik Alanları yapılandıramazsınız.You can't configure Availability Zones after a firewall has been deployed. Bu tasarım gereğidir.This is by design.
Gelen bağlantılarda SNATSNAT on inbound connections DNAT 'nin yanı sıra, güvenlik duvarı genel IP adresi (gelen) ile kurulan bağlantılar, güvenlik duvarı özel IP 'lerinden birine karşı denetlenir.In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. Simetrik yönlendirmeyi sağlamak için bugün bu gereksinim (etkin/etkin NVA 'lar için de).This requirement today (also for Active/Active NVAs) to ensure symmetric routing. HTTP/S için özgün kaynağı korumak üzere XFF üst bilgilerini kullanmayı göz önünde bulundurun.To preserve the original source for HTTP/S, consider using XFF headers. Örneğin, Azure ön kapısı veya Azure Application Gateway gibi bir hizmeti güvenlik duvarının önünde kullanın.For example, use a service such as Azure Front Door or Azure Application Gateway in front of the firewall. Ayrıca, Azure ön kapısının parçası olarak WAF 'yi ve güvenlik duvarını de zincirde ekleyebilirsiniz.You can also add WAF as part of Azure Front Door and chain to the firewall.
SQL FQDN filtrelemesi yalnızca Proxy modunda desteklenir (bağlantı noktası 1433)SQL FQDN filtering support only in proxy mode (port 1433) Azure SQL veritabanı, Azure SYNAPSE Analytics ve Azure SQL yönetilen örneği için:For Azure SQL Database, Azure Synapse Analytics, and Azure SQL Managed Instance:

Önizleme sırasında SQL FQDN filtrelemesi yalnızca Proxy modunda desteklenir (bağlantı noktası 1433).During the preview, SQL FQDN filtering is supported in proxy-mode only (port 1433).

Azure SQL IaaS için:For Azure SQL IaaS:

Standart olmayan bağlantı noktaları kullanıyorsanız, bu bağlantı noktalarını uygulama kurallarında belirtebilirsiniz.If you're using non-standard ports, you can specify those ports in the application rules.
SQL yeniden yönlendirme modunda (Azure içinden bağlanıyorsanız varsayılan), Azure Güvenlik Duvarı ağ kurallarının bir parçası olarak SQL hizmeti etiketini kullanarak erişimi filtreleyebilirsiniz.For SQL in redirect mode (the default if connecting from within Azure), you can instead filter access using the SQL service tag as part of Azure Firewall network rules.
TCP bağlantı noktası 25 ' i giden trafiğe izin verilmezOutbound traffic on TCP port 25 isn't allowed TCP bağlantı noktası 25 kullanan giden SMTP bağlantıları engellenir.Outbound SMTP connections that use TCP port 25 are blocked. Bağlantı noktası 25 öncelikle kimliği doğrulanmamış e-posta teslimi için kullanılır.Port 25 is primarily used for unauthenticated email delivery. Bu, sanal makineler için varsayılan platform davranışıdır.This is the default platform behavior for virtual machines. Daha fazla bilgi için bkz. Azure 'da gıden SMTP bağlantısı sorunlarını giderme.For more information, see more Troubleshoot outbound SMTP connectivity issues in Azure. Ancak, sanal makinelerden farklı olarak, Azure Güvenlik duvarında bu işlevselliği etkinleştirmek mümkün değildir.However, unlike virtual machines, it isn't currently possible to enable this functionality on Azure Firewall. Not: kimliği doğrulanmış SMTP (bağlantı noktası 587) veya SMTP 'yi 25 dışında bir bağlantı noktası üzerinden izin vermek için, SMTP incelemesi Şu anda desteklenmediğinden bir ağ kuralı ve uygulama kuralı yapılandırmadığınızdan emin olun.Note: to allow authenticated SMTP (port 587) or SMTP over a port other than 25, please make sure you configure a network rule and not an application rule as SMTP inspection is not supported at this time. SMTP sorun giderme makalesinde belirtildiği gibi, e-posta göndermek için önerilen yöntemi izleyin.Follow the recommended method to send email, as documented in the SMTP troubleshooting article. Ya da, giden SMTP erişimine gereken sanal makineyi varsayılan yönlendirinizden güvenlik duvarına dışlayın.Or, exclude the virtual machine that needs outbound SMTP access from your default route to the firewall. Bunun yerine, giden erişimi doğrudan internet 'e yapılandırın.Instead, configure outbound access directly to the internet.
Etkin FTP desteklenmiyorActive FTP isn't supported Etkin FTP FTP bağlantı noktası komutu kullanılarak FTP sıçrama saldırılarına karşı korumak için Azure Güvenlik duvarında devre dışı bırakılmıştır.Active FTP is disabled on Azure Firewall to protect against FTP bounce attacks using the FTP PORT command. Bunun yerine Pasif FTP kullanabilirsiniz.You can use Passive FTP instead. Hala güvenlik duvarında 20 ve 21 numaralı TCP bağlantı noktalarını açık bir şekilde açmanız gerekir.You must still explicitly open TCP ports 20 and 21 on the firewall.
SNAT bağlantı noktası kullanım ölçümü %0 gösterirSNAT port utilization metric shows 0% Azure Güvenlik Duvarı SNAT bağlantı noktası kullanım ölçümü, SNAT bağlantı noktaları kullanıldığında bile %0 kullanım gösterebilir.The Azure Firewall SNAT port utilization metric may show 0% usage even when SNAT ports are used. Bu durumda, güvenlik duvarı sistem durumu ölçümünün bir parçası olarak ölçüm kullanılması yanlış bir sonuç verir.In this case, using the metric as part of the firewall health metric provides an incorrect result. Bu sorun düzeltildi ve üretime dağıtımı 2020 Mayıs ' e yöneliktir.This issue has been fixed and rollout to production is targeted for May 2020. Bazı durumlarda, güvenlik duvarı yeniden dağıtımı sorunu çözer, ancak tutarlı değildir.In some cases, firewall redeployment resolves the issue, but it's not consistent. Ara geçici çözüm olarak, durum = düşürülmüşdurumunu aramak için yalnızca güvenlik duvarı sistem durumunu kullanın, durum = sağlıksıziçin değildir.As an intermediate workaround, only use the firewall health state to look for status=degraded, not for status=unhealthy. Bağlantı noktası tükenmesi düşürüldüolarak görünür.Port exhaustion will show as degraded. Sağlıklı değil , güvenlik duvarı sistem durumunu etkilemek için daha fazla ölçüm olduğunda gelecekte kullanılmak üzere ayrılmıştır.Not healthy is reserved for future use when the are more metrics to impact the firewall health.
Zorunlu tünelleme etkinken DNAT desteklenmezDNAT isn't supported with Forced Tunneling enabled Zorlamalı tünelleme etkinken dağıtılan güvenlik duvarları, asimetrik yönlendirme nedeniyle Internet 'ten gelen erişimi destekleyemez.Firewalls deployed with Forced Tunneling enabled can't support inbound access from the Internet because of asymmetric routing. Asimetrik yönlendirme nedeniyle bu tasarıma sahiptir.This is by design because of asymmetric routing. Gelen bağlantılar için dönüş yolu, kurulan bağlantıyı görmeyen şirket içi güvenlik duvarı aracılığıyla geçer.The return path for inbound connections goes via the on-premises firewall, which hasn't seen the connection established.
Giden Pasif FTP, FTP sunucunuzun yapılandırmasına bağlı olarak birden çok genel IP adresi ile güvenlik duvarları için çalışmayabilir.Outbound Passive FTP may not work for Firewalls with multiple public IP addresses, depending on your FTP server configuration. Pasif FTP, denetim ve veri kanalları için farklı bağlantılar oluşturur.Passive FTP establishes different connections for control and data channels. Birden çok genel IP adresine sahip bir güvenlik duvarı giden verileri gönderdiğinde, kaynak IP adresi için genel IP adreslerinden birini rastgele seçer.When a Firewall with multiple public IP addresses sends data outbound, it randomly selects one of its public IP addresses for the source IP address. Veriler ve denetim kanalları, FTP sunucunuzun yapılandırmasına bağlı olarak farklı kaynak IP adresleri kullandıklarında, FTP başarısız olabilir.FTP may fail when data and control channels use different source IP addresses, depending on your FTP server configuration. Açık bir SNAT yapılandırması planlanmaktadır.An explicit SNAT configuration is planned. Bu sırada, FTP sunucunuzu verileri kabul edecek şekilde yapılandırabilir ve farklı kaynak IP adreslerinden kanalları kontrol edebilirsiniz (bkz. IIS için bir örnek).In the meantime, you can configure your FTP server to accept data and control channels from different source IP addresses (see an example for IIS). Alternatif olarak, bu durumda tek bir IP adresi kullanmayı göz önünde bulundurun.Alternatively, consider using a single IP address in this situation.
Gelen Pasif FTP, FTP sunucusu yapılandırmanıza bağlı olarak çalışmayabilirInbound Passive FTP may not work depending on your FTP server configuration Pasif FTP, denetim ve veri kanalları için farklı bağlantılar oluşturur.Passive FTP establishes different connections for control and data channels. Azure Güvenlik duvarında gelen bağlantılar, simetrik yönlendirmeyi sağlamak için güvenlik duvarı özel IP adresinden birine karşı yeniden yapılır.Inbound connections on Azure Firewall are SNATed to one of the firewall private IP address to ensure symmetric routing. Veriler ve denetim kanalları, FTP sunucunuzun yapılandırmasına bağlı olarak farklı kaynak IP adresleri kullandıklarında, FTP başarısız olabilir.FTP may fail when data and control channels use different source IP addresses, depending on your FTP server configuration. Özgün kaynak IP adresinin korunması araştırılır.Preserving the original source IP address is being investigated. Bu sırada, FTP sunucunuzu verileri kabul edecek şekilde yapılandırabilir ve farklı kaynak IP adreslerinden kanalları kontrol edebilirsiniz.In the meantime, you can configure your FTP server to accept data and control channels from different source IP addresses.
NetworkRuleHit ölçümünde protokol boyutu eksikNetworkRuleHit metric is missing a protocol dimension ApplicationRuleHit metrik, filtreleme tabanlı protokole izin veriyor, ancak ilgili NetworkRuleHit ölçümünde bu yetenek yok.The ApplicationRuleHit metric allows filtering based protocol, but this capability is missing in the corresponding NetworkRuleHit metric. Bir düzelme araştırılır.A fix is being investigated.
64000 ve 65535 arasındaki bağlantı noktalarıyla NAT kuralları desteklenmezNAT rules with ports between 64000 and 65535 are unsupported Azure Güvenlik Duvarı, ağ ve uygulama kurallarında 1-65535 aralığında bulunan tüm bağlantı noktalarına izin verir, ancak NAT kuralları yalnızca 1-63999 aralığındaki bağlantı noktalarını destekler.Azure Firewall allows any port in the 1-65535 range in network and application rules, however NAT rules only support ports in the 1-63999 range. Bu geçerli bir kısıtlamadır.This is a current limitation.
Yapılandırma güncelleştirmeleri ortalama beş dakika sürebilirConfiguration updates may take five minutes on average Bir Azure Güvenlik Duvarı yapılandırma güncelleştirmesi ortalama üç ila beş dakika sürebilir ve paralel güncelleştirmeler desteklenmez.An Azure Firewall configuration update can take three to five minutes on average, and parallel updates aren't supported. Bir düzelme araştırılır.A fix is being investigated.
Azure Güvenlik Duvarı, HTTPS ve MSSQL trafiğini filtrelemek için SNı TLS üst bilgilerini kullanırAzure Firewall uses SNI TLS headers to filter HTTPS and MSSQL traffic Tarayıcı veya sunucu yazılımı sunucu adı göstergesi (SNı) uzantısını desteklemiyorsa, Azure Güvenlik Duvarı üzerinden bağlanamazsınız.If browser or server software does not support the Server Name Indicator (SNI) extension, you won't be able to connect through Azure Firewall. Tarayıcı veya sunucu yazılımı SNı desteklemiyorsa, bağlantıyı bir uygulama kuralı yerine bir ağ kuralı kullanarak kontrol edebilirsiniz.If browser or server software does not support SNI, then you may be able to control the connection using a network rule instead of an application rule. SNı 'yi destekleyen yazılımlar için bkz. sunucu adı belirtme .See Server Name Indication for software that supports SNI.
Özel DNS (Önizleme) zorlamalı tünelleme ile çalışmıyorCustom DNS (preview) doesn't work with forced tunneling Zorlamalı tünel etkinleştirilirse, özel DNS (Önizleme) çalışmaz.If force tunneling is enabled, custom DNS (preview) doesn't work. Bir düzelme araştırılır.A fix is being investigated.
Birden çok Kullanılabilirlik Alanları için yeni genel IP adresi desteğiNew public IP address support for multiple Availability Zones İki kullanılabilirlik alanıyla bir güvenlik duvarı dağıtırken yeni bir genel IP adresi ekleyemezsiniz (1 ve 2, 2 ve 3 veya 1 ve 3)You can't add a new public IP address when you deploy a firewall with two availability zones (either 1 and 2, 2 and 3, or 1 and 3) Bu, genel bir IP adresi kaynak sınırlamasıdır.This is a public IP address resource limitation.
Başlat/Durdur, Zorlamalı tünel modunda yapılandırılmış bir güvenlik duvarı ile çalışmıyorStart/Stop doesn’t work with a firewall configured in forced-tunnel mode Başlat/Durdur, Zorlamalı tünel modunda yapılandırılmış Azure Güvenlik Duvarı ile çalışmıyor.Start/stop doesn’t work with Azure firewall configured in forced-tunnel mode. Zorlamalı tünel yapılandırılmış olarak Azure Güvenlik Duvarı 'Nı başlatma girişimi şu hata ile sonuçlanır:Attempting to start Azure Firewall with forced tunneling configured results in the following error:

Set-AzFirewall: AzureFirewall FW-xx yönetim IP yapılandırması mevcut bir güvenlik duvarına eklenemiyor. Zorlamalı tünel desteğini kullanmak istiyorsanız bir yönetim IP yapılandırması ile yeniden dağıtın.
StatusCode: 400
ReasonPhrase: Hatalı istek
Set-AzFirewall: AzureFirewall FW-xx management IP configuration cannot be added to an existing firewall. Redeploy with a management IP configuration if you want to use forced tunneling support.
StatusCode: 400
ReasonPhrase: Bad Request
İnceleme altında.Under investigation.

Geçici bir çözüm olarak, mevcut güvenlik duvarını silebilir ve aynı parametrelerle yeni bir tane oluşturabilirsiniz.As a workaround, you can delete the existing firewall and create a new one with the same parameters.

Sonraki adımlarNext steps