Azure Güvenlik Duvarı nedir?

Azure Güvenlik Duvarı, Azure Sanal Ağ kaynaklarınızı koruyan yönetilen, bulut tabanlı bir güvenlik hizmetidir. Yerleşik yüksek kullanılabilirliğe ve sınırsız bulut ölçeklenebilirliğine sahip, tam durum bilgisi olan bir hizmet olarak güvenlik duvarıdır.

Güvenlik duvarına genel bakış

Aboneliklerle sanal ağlarda uygulama ve ağ bağlantısı ilkelerini merkezi olarak oluşturabilir, zorlayabilir ve günlüğe alabilirsiniz. Azure Güvenlik Duvarı, dış güvenlik duvarlarının sanal ağınızdan kaynaklanan trafiği tanımlamasına olanak tanımak amacıyla sanal ağ kaynaklarınız için statik genel bir IP adresi kullanır. Hizmet, günlük ve analiz için Azure İzleyici ile tamamen tümleşik çalışır.

Yeni özellikler hakkında Azure Güvenlik Duvarı için bkz. Azure Güvenlik Duvarı..

Azure Güvenlik Duvarı Premium

Azure Güvenlik Duvarı Premium, son derece hassas ve düzenlenen ortamlar için gerekli özelliklere sahip yeni nesil bir güvenlik duvarıdır. Bu özellikler TLS denetimi, IDPS, URL filtreleme ve Web kategorilerini içerir.

Yeni özellikler hakkında Azure Güvenlik Duvarı Premium için bkz. Azure Güvenlik Duvarı Premium..

Güvenlik Duvarı güvenlik duvarının Premium yapılandırıldığından emin olmak Azure portal için Azure Güvenlik Duvarı Premium'de Azure portal.

Fiyatlandırma ve SLA

Fiyatlandırma Azure Güvenlik Duvarı için bkz. Azure Güvenlik Duvarı fiyatlandırması.

SLA Azure Güvenlik Duvarı için bkz. SLA Azure Güvenlik Duvarı.

Yenilikler

Uygulama güncelleştirmeleriyle ilgili Azure Güvenlik Duvarı için bkz. Azure güncelleştirmeleri.

Bilinen sorunlar

Azure Güvenlik Duvarındaki bilinen sorunlar şunlardır:

Sorun Description Risk azaltma
TCP/UDP dışı protokollere (örneğin ICMP) yönelik ağ filtreleme kuralları İnternet'e bağlı trafik için çalışmaz TCP/UDP olmayan protokoller için ağ filtreleme kuralları, genel IP adresiniz için SNAT ile birlikte çalışmaz. TCP/UDP dışı protokoller, uç alt ağlarla sanal ağlar arasında desteklenir. Azure Güvenlik Duvarı, bugün IP protokolleri için SNAT desteği olmayan Standart Load Balancer kullanır. Gelecek sürümlerde bu senaryoyu destekleme seçeneklerini keşfedeceğiz.
ICMP için eksik PowerShell ve CLI desteği Azure PowerShell ve CLI, ağ kurallarında geçerli bir protokol olarak ICMP'i desteklemez. IcMP'nin portal ve güvenlik portalı üzerinden protokol olarak REST API. Yakında PowerShell ve CLI'ye ICMP eklemeye çalışıyoruz.
FQDN etiketleri bir protokol: bağlantı noktası ayarlamayı gerektirir FQDN etiketlerine sahip uygulama kuralları için bağlantı noktası: protokol tanımı gerekir. Bağlantı noktası:protokol değeri olarak https kullanabilirsiniz. FQDN etiketleri kullanılırken bu alanı isteğe bağlı hale eklemek için çalışıyoruz.
Güvenlik duvarını farklı bir kaynak grubuna veya aboneliğe taşıma desteklenmiyor Güvenlik duvarını farklı bir kaynak grubuna veya aboneliğe taşıma desteklenmiyor. Bu işlevi desteklemek yol haritamızdadır. Bir güvenlik duvarını başka bir kaynak grubuna veya aboneliğe taşımak için geçerli örneği silmeniz ve yeni kaynak grubunda veya abonelikte yeniden oluşturmanız gerekir.
Tehdit zekası uyarıları maskelenmiş olabilir Giden filtreleme için hedef 80/443'e sahip ağ kuralları, yalnızca uyarı moduna yapılandırıldığında tehdit zekası uyarılarını maskeler. Uygulama kurallarını kullanarak 80/443 için giden filtreleme oluşturun. Veya tehdit zekası modunu Uyarı ve Reddet olarak değiştirebilirsiniz.
Azure Güvenlik Duvarı DNAT özel IP hedefleri için çalışmıyor Azure Güvenlik Duvarı DNAT desteği İnternet çıkış/giriş ile sınırlıdır. DNAT şu anda özel IP hedefleri için çalışmıyor. Örneğin, 1-2. Bu geçerli bir sınırlamadır.
İlk genel IP yapılandırması kaldırılamay Her Azure Güvenlik Duvarı genel IP adresi bir IP yapılandırmasına atanır. İlk IP yapılandırması güvenlik duvarı dağıtımı sırasında atanır ve genellikle güvenlik duvarı alt ağın başvurularını içerir (şablon dağıtımı aracılığıyla açıkça farklı yapılandırılmadığı sürece). Güvenlik duvarını ayırması nedeniyle bu IP yapılandırmasını silemezsiniz. Güvenlik duvarının kullanabileceği en az bir genel IP adresi daha varsa, bu IP yapılandırmasıyla ilişkili genel IP adresini değiştirebilir veya kaldırabilirsiniz. Bu tasarım gereğidir.
Kullanılabilirlik alanları yalnızca dağıtım sırasında yalıtabilirsiniz. Kullanılabilirlik alanları yalnızca dağıtım sırasında yalıtabilirsiniz. Güvenlik duvarı dağıtıldıktan Kullanılabilirlik Alanları yapılandırmayı yapılandıramazsanız. Bu tasarım gereğidir.
Gelen bağlantılarda SNAT DNAT'ye ek olarak, güvenlik duvarı genel IP adresi (gelen) üzerinden bağlantılar güvenlik duvarı özel IP'lerinden biri ile SNAT'ye sahiptir. Bu gereksinim bugün simetrik yönlendirmeyi sağlamak için (Etkin/Etkin NVA'lar için de) sağlandı. HTTP/S için özgün kaynağı korumak için XFF üst bilgilerini kullanmayı göz önünde bulundurabilirsiniz. Örneğin, güvenlik duvarının önünde Azure Front Door veya Azure Application Gateway gibi bir hizmet kullanın. WaF'yi güvenlik duvarına güvenlik duvarının Azure Front Door ve zincirinin bir parçası olarak da ekabilirsiniz.
SQL FQDN filtreleme desteği yalnızca ara sunucu modunda (bağlantı noktası 1433) Azure SQL Veritabanı, Azure Synapse Analytics ve Azure SQL Yönetilen Örneği için:

SQL FQDN filtrelemesi yalnızca ara sunucu modunda (bağlantı noktası 1433) de kullanılabilir.

Azure SQL IaaS için:

Standart olmayan bağlantı noktaları kullanıyorsanız, bu bağlantı noktalarını uygulama kurallarında belirtebilirsiniz.
Yeniden SQL modunda kullanmak için (Azure'dan bağlanıyorsanız varsayılan), bunun yerine SQL hizmet etiketini kullanarak erişimi Azure Güvenlik Duvarı filtreleyebilirsiniz.
TCP bağlantı noktası 25'te giden SMTP trafiği engellendi TCP bağlantı noktası 25'te doğrudan dış etki alanlarına (ve gibi) gönderilen giden e-posta iletileri, outlook.com gmail.com Azure Güvenlik Duvarı. Bu, Azure'daki varsayılan platform davranışıdır. Normalde TCP bağlantı noktası 587 üzerinden bağlanan, ancak diğer bağlantı noktalarını da destekleyen kimliği doğrulanmış SMTP geçiş hizmetlerini kullanın. Daha fazla bilgi için bkz. Azure'da giden SMTP bağlantı sorunlarını giderme. Şu Azure Güvenlik Duvarı giden TCP 25 kullanarak genel IP'lerle iletişim kurabilirsiniz, ancak çalışması garanti edilemez ve tüm abonelik türleri için desteklanmaz. Sanal ağlar, VPN'ler ve vpn gibi özel IP'ler Azure ExpressRoute Azure Güvenlik Duvarı 25 bağlantı noktası üzerinden giden bağlantıyı destekler.
SNAT bağlantı noktası tükenmesi Azure Güvenlik Duvarı arka uç sanal makine ölçek kümesi örneği başına Genel IP adresi başına 1024 bağlantı noktasını desteklemektedir. Varsayılan olarak, iki sanal makine ölçek kümesi örneği vardır. Bu bir SLB sınırlamasıdır ve sınırları artırmak için sürekli fırsatlar arıyoruz. Bu arada, SNAT tükenmesi Azure Güvenlik Duvarı dağıtımlar için en az beş genel IP adresi ile dağıtımları yapılandırmanız önerilir. Bu, kullanılabilir SNAT bağlantı noktalarını beş kez artırır. Aşağı akış izinlerini basitleştirmek için ip adresi ön eklerinden ayırma.
Zorlamalı Tünel etkinken DNAT desteklenmiyor Zorlamalı Tünel etkinleştirilmiş olarak dağıtılan güvenlik duvarları, asimetrik yönlendirme nedeniyle İnternet'den gelen erişimi destekleyemez. Bunun nedeni asimetrik yönlendirmedir. Gelen bağlantıların dönüş yolu, bağlantının kurulmamış olduğu şirket içi güvenlik duvarı üzerinden gider.
Giden Pasif FTP, FTP sunucusu yapılandırmanıza bağlı olarak birden çok genel IP adresine sahip Güvenlik Duvarları için çalışmayabilirsiniz. Pasif FTP, denetim ve veri kanalları için farklı bağlantılar sağlar. Birden çok genel IP adresine sahip bir Güvenlik Duvarı giden veri gönderdiği zaman, kaynak IP adresi için genel IP adreslerinden birini rastgele seçer. FTP sunucusu yapılandırmanıza bağlı olarak, veri ve denetim kanalları farklı kaynak IP adresleri kullanıyorsa FTP başarısız olabilir. Açık bir SNAT yapılandırması planlanmaktadır. Bu arada, FTP sunucuyu farklı kaynak IP adreslerinden veri ve denetim kanallarını kabul edecek şekilde yapılandırabilirsiniz (bkz. IIS örneği). Alternatif olarak, bu durumda tek bir IP adresi kullanmayı göz önünde bulundurabilirsiniz.
Gelen Pasif FTP, FTP sunucusu yapılandırmanıza bağlı olarak çalışmayabilirsiniz Pasif FTP, denetim ve veri kanalları için farklı bağlantılar sağlar. Ağ bağlantılarında Azure Güvenlik Duvarı, simetrik yönlendirme sağlamak için güvenlik duvarı özel IP adreslerinden biri ile SNAT kullanılır. FTP sunucusu yapılandırmanıza bağlı olarak, veri ve denetim kanalları farklı kaynak IP adresleri kullanıyorsa FTP başarısız olabilir. Özgün kaynak IP adresini koruma araştırılıyor. Bu arada, FTP sunucuyu farklı kaynak IP adreslerinden veri ve denetim kanallarını kabul etmek üzere yapılandırabilirsiniz.
NetworkRuleHit ölçümü bir protokol boyutu eksik ApplicationRuleHit ölçümü filtreleme tabanlı protokole izin verir, ancak bu özellik ilgili NetworkRuleHit ölçümünde eksiktir. Bir düzeltme araştırılıyor.
64000 ile 65535 arasında bağlantı noktaları olan NAT kuralları desteklenmiyor Azure Güvenlik Duvarı ağ ve uygulama kurallarında 1-65535 aralığındaki herhangi bir bağlantı noktasına izin verir, ancak NAT kuralları yalnızca 1-63999 aralığındaki bağlantı noktalarını destekler. Bu geçerli bir sınırlamadır.
Yapılandırma güncelleştirmeleri ortalama beş dakika sürebilir Bir Azure Güvenlik Duvarı güncelleştirmesi ortalama olarak üç ile beş dakika arasında sürebilir ve paralel güncelleştirmeler desteklenmiyor. Bir düzeltme araştırılıyor.
Azure Güvenlik Duvarı HTTPS ve MSSQL trafiğini filtrelemek için SNI TLS üst bilgilerini kullanır Tarayıcı veya sunucu yazılımı Sunucu Adı Göstergesi (SNI) uzantısını desteklemezse, Sunucu Adı Göstergesi (SNI) uzantısını Azure Güvenlik Duvarı. Tarayıcı veya sunucu yazılımı SNI'yi desteklemezse, bir uygulama kuralı yerine ağ kuralı kullanarak bağlantıyı kontrolleyebilirsiniz. Bkz Sunucu Adı Belirtme SNI'yi destekleyen yazılımlar için bkz.
Özel DNS zorlamalı tünel ile çalışmıyor Zorlamalı tünel etkinse özel DNS çalışmıyor. Bir düzeltme araştırılıyor.
Başlatma/Durdurma zorlamalı tünel modunda yapılandırılmış bir güvenlik duvarıyla çalışmıyor Başlatma/durdurma, zorlamalı tünel modunda yapılandırılmış Azure güvenlik duvarıyla birlikte çalışmıyor. Zorlamalı tünel Azure Güvenlik Duvarı başlatma girişimi aşağıdaki hatayla sonuç verir:

Set-AzFirewall: AzureFirewall FW-xx yönetim IP yapılandırması mevcut bir güvenlik duvarına ek olamaz. Zorlamalı tünel desteği kullanmak için yönetim IP yapılandırmasıyla yeniden başvurun.
StatusCode: 400
ReasonPhrase: Hatalı İstek
Araştırma kapsamında.

Geçici bir çözüm olarak, mevcut güvenlik duvarını silebilir ve aynı parametrelerle yeni bir güvenlik duvarı oluşturabilirsiniz.
Portal veya Azure Resource Manager (ARM) şablonlarını kullanarak güvenlik duvarı ilkesi etiketleri ekley bilmiyorum Azure Güvenlik Duvarı İlkesi'nin, Azure portal veya ARM şablonlarını kullanarak etiket Azure portal sınırlaması vardır. Aşağıdaki hata oluşturulur: kaynağı için etiketler kaydedileemedi. Bir düzeltme araştırılıyor. Veya etiketleri güncelleştirmek için Azure PowerShell cmdlet'ini Set-AzFirewallPolicy kullanabilirsiniz.
IPv6 şu anda desteklenmiyor Bir kurala IPv6 adresi eklersiniz, güvenlik duvarı başarısız olur. Yalnızca IPv4 adreslerini kullanın. IPv6 desteği araştırma altında.
Birden çok IP Grubu güncelleştiriliyor, çakışma hatasıyla başarısız oluyor. Aynı güvenlik duvarına bağlı iki veya daha fazla IP Grubu güncelleştirin, kaynaklardan biri başarısız durumuna gider. Bu bilinen bir sorun/sınırlamadır.

Bir IP Grubunu güncelleştirin, IPGroup'ların bağlı olduğu tüm güvenlik duvarlarını güncelleştiren bir güncelleştirme tetikler. Güvenlik duvarı hala Güncelleştiriliyor durumundayken ikinci bir IP Grubuna güncelleştirme başlatlanırsa, IPGroup güncelleştirmesi başarısız olur.

Hatadan kaçınmak için, aynı güvenlik duvarına bağlı IP Gruplarının aynı anda bir güncelleştirilmiş olması gerekir. Güvenlik duvarının Güncelleştirme durumunun dışında olmasına izin vermek için güncelleştirmeler arasında yeterli süreye izin ver.
ARM şablonlarını kullanarak RuleCollectionGroups'ın kaldırılması desteklenmiyor. ARM şablonlarını kullanarak RuleCollectionGroup kaldırma desteklenmiyor ve hatayla sonuçlanıyor. Bu desteklenen bir işlem değildir.
Herhangi bir (*) izin vermek için DNAT kuralı SNAT trafiğine neden olacak. DnaT kuralı Kaynak IP adresi olarak herhangi bir (*) işaretine izin verirse, bir örtülü Ağ kuralı VNet-VNet ve trafiği her zaman SNAT ile eşler. Bu geçerli bir sınırlamadır.
Bir güvenlik sağlayıcısı ile güvenli bir sanal hub'a DNAT kuralı ekleme desteklenmiyor. Bunun sonucunda, dönen DNAT trafiği için güvenlik sağlayıcısına giden zaman uyumsuz bir yol elde edersiniz. Desteklenmez.
2000'den fazla kural koleksiyonu oluşturulurken hatayla karşılaşıldı. EN fazla NAT/Uygulama veya Ağ kuralı koleksiyonu sayısı 2000'tir (Resource Manager sınırı). Bu geçerli bir sınırlamadır.

Sonraki adımlar