Azure Güvenlik Duvarı nedir?What is Azure Firewall?

Azure Güvenlik Duvarı, Azure Sanal Ağ kaynaklarınızı koruyan yönetilen, bulut tabanlı bir güvenlik hizmetidir.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. Yerleşik yüksek kullanılabilirliğe sahip ve Kısıtlanmamış bulut ölçeklenebilirliğine sahip bir hizmet olarak tam durum bilgisi olmayan bir güvenlik duvarıdır.It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

Güvenlik duvarına genel bakış

Aboneliklerle sanal ağlarda uygulama ve ağ bağlantısı ilkelerini merkezi olarak oluşturabilir, zorlayabilir ve günlüğe alabilirsiniz.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Azure Güvenlik Duvarı, dış güvenlik duvarlarının sanal ağınızdan kaynaklanan trafiği tanımlamasına olanak tanımak amacıyla sanal ağ kaynaklarınız için statik genel bir IP adresi kullanır.Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. Hizmet, günlük ve analiz için Azure İzleyici ile tamamen tümleşik çalışır.The service is fully integrated with Azure Monitor for logging and analytics.

Azure Güvenlik Duvarı şu özellikleri sunar:Azure Firewall offers the following features:

Yerleşik yüksek kullanılabilirlikBuilt-in high availability

Yüksek kullanılabilirlik yerleşik olarak bulunur, bu nedenle ek yük dengeleyiciler gerekli değildir ve yapılandırmanız gereken bir şey yoktur.High availability is built in, so no additional load balancers are required and there's nothing you need to configure.

Kullanılabilirlik AlanlarıAvailability Zones

Azure Güvenlik Duvarı, daha fazla kullanılabilirlik için dağıtım sırasında birden fazla Kullanılabilirlik Alanları yayılarak yapılandırılabilir.Azure Firewall can be configured during deployment to span multiple Availability Zones for increased availability. Kullanılabilirlik Alanları, kullanılabilirliği% 99,99 çalışma süresine kadar artar.With Availability Zones, your availability increases to 99.99% uptime. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı hizmet düzeyi sözleşmesi (SLA).For more information, see the Azure Firewall Service Level Agreement (SLA). İki veya daha fazla Kullanılabilirlik Alanları seçildiğinde% 99,99 çalışma süresi SLA 'Sı sunulur.The 99.99% uptime SLA is offered when two or more Availability Zones are selected.

Ayrıca, Azure Güvenlik duvarını belirli bir bölgeye yalnızca yakınlık nedenleriyle, hizmet standardı% 99,95 SLA ile ilişkilendirebilirsiniz.You can also associate Azure Firewall to a specific zone just for proximity reasons, using the service standard 99.95% SLA.

Bir kullanılabilirlik alanında dağıtılan bir güvenlik duvarı için ek maliyet yoktur.There's no additional cost for a firewall deployed in an Availability Zone. Ancak, Kullanılabilirlik Alanları ilişkili gelen ve giden veri aktarımları için ek maliyetler de mevcuttur.However, there are additional costs for inbound and outbound data transfers associated with Availability Zones. Daha fazla bilgi için bkz. bant genişliği fiyatlandırma ayrıntıları.For more information, see Bandwidth pricing details.

Azure Güvenlik Duvarı Kullanılabilirlik Alanları, Kullanılabilirlik Alanları destekleyen bölgelerde kullanılabilir.Azure Firewall Availability Zones are available in regions that support Availability Zones. Daha fazla bilgi için bkz. Azure 'da kullanılabilirlik alanları nedir?For more information, see What are Availability Zones in Azure?

Not

Kullanılabilirlik Alanları, yalnızca dağıtım sırasında yapılandırılabilir.Availability Zones can only be configured during deployment. Mevcut bir güvenlik duvarını Kullanılabilirlik Alanları içerecek şekilde yapılandıramazsınız.You can't configure an existing firewall to include Availability Zones.

Kullanılabilirlik Alanları hakkında daha fazla bilgi için bkz. Azure 'da kullanılabilirlik alanları nedir?For more information about Availability Zones, see What are Availability Zones in Azure?

Kısıtlamasız bulut ölçeklenebilirliğiUnrestricted cloud scalability

Azure Güvenlik Duvarı, değişen ağ trafiği akışlarıyla başa çıkmak için gerek duyduğunuz kadar ölçeklenebilir, bu sayede trafiğinizin en yoğun olduğu durum için bütçe yapmak zorunda kalmazsınız.Azure Firewall can scale up as much as you need to accommodate changing network traffic flows, so you don't need to budget for your peak traffic.

Uygulama FQDN filtreleme kurallarıApplication FQDN filtering rules

Giden HTTP/S trafiğini veya Azure SQL trafiğini (Önizleme) joker karakterler dahil olmak üzere, tam etki alanı adları (FQDN) listesiyle sınırlayabilirsiniz.You can limit outbound HTTP/S traffic or Azure SQL traffic (preview) to a specified list of fully qualified domain names (FQDN) including wild cards. Bu özellik SSL sonlandırması gerektirmez.This feature doesn't require SSL termination.

Ağ trafiği filtreleme kurallarıNetwork traffic filtering rules

Ağ filtreleme kurallarını kaynak ve hedef IP adresine, bağlantı noktasına ve protokole göre merkezi olarak oluşturabilir, izin verebilir veya reddedebilirsiniz.You can centrally create allow or deny network filtering rules by source and destination IP address, port, and protocol. Azure Güvenlik Duvarı tamamen durum bilgisine sahiptir; bu nedenle, farklı türden bağlantıların geçerli paketlerini tanıyabilir.Azure Firewall is fully stateful, so it can distinguish legitimate packets for different types of connections. Kurallar, birden çok abonelik ve sanal ağda zorlanır ve günlüğe kaydedilir.Rules are enforced and logged across multiple subscriptions and virtual networks.

FQDN etiketleriFQDN tags

FQDN etiketleri, tanınan Azure hizmeti ağ trafiğine güvenlik duvarınızda izin vermenizi kolaylaştırır.FQDN tags make it easy for you to allow well known Azure service network traffic through your firewall. Örneğin Windows Update ağ trafiğine güvenlik duvarınızda izin vermek istediğiniz varsayalım.For example, say you want to allow Windows Update network traffic through your firewall. Bir uygulama kuralı oluşturup Windows Update etiketini eklersiniz.You create an application rule and include the Windows Update tag. Artık Windows Update’in ağ trafiği, güvenlik duvarınızdan geçebilir.Now network traffic from Windows Update can flow through your firewall.

Hizmet etiketleriService tags

Hizmet etiketi, güvenlik kuralı oluşturma sırasındaki karmaşıklığı en aza indirmeye yardımcı olmak için bir IP adresi ön eki grubunu temsil eder.A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. Kendi hizmet etiketinizi oluşturamaz ve bir etiket içinde hangi IP adreslerinin ekleneceğini belirtebilirsiniz.You can't create your own service tag, nor specify which IP addresses are included within a tag. Hizmet etiketine dahil olan adres ön ekleri Microsoft tarafından yönetilir ve hizmet etiketi adresler değiştikçe otomatik olarak güncelleştirilir.Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change.

Tehdit bilgileriThreat intelligence

Güvenlik duvarınız için tehdit bilgileri tabanlı filtrelemeyi etkinleştirerek, kötü amaçlı olduğu bilinen IP adresleri ve etki alanları ile trafik yaşanması durumunda uyarı alabilir ve trafiği reddedebilirsiniz.Threat intelligence-based filtering can be enabled for your firewall to alert and deny traffic from/to known malicious IP addresses and domains. IP adresleri ve etki alanları, Microsoft Tehdit Bilgileri akışından alınır.The IP addresses and domains are sourced from the Microsoft Threat Intelligence feed.

Giden SNAT desteğiOutbound SNAT support

Tüm giden sanal ağ trafiği IP adresleri Azure Güvenlik Duvarı genel IP’sine çevrilir (Kaynak Ağ Adresi Çevirisi).All outbound virtual network traffic IP addresses are translated to the Azure Firewall public IP (Source Network Address Translation). Sanal ağınızdan kaynaklanan uzak İnternet hedeflerine yönelik trafiği tanımlayabilir ve buna izin verebilirsiniz.You can identify and allow traffic originating from your virtual network to remote Internet destinations. Hedef IP, ıANA RFC 1918başına özel bir IP aralığı olduğunda Azure GÜVENLIK duvarı SNAT değildir.Azure Firewall doesn’t SNAT when the destination IP is a private IP range per IANA RFC 1918. Kuruluşunuz özel ağlar için genel bir IP adresi aralığı kullanıyorsa, Azure Güvenlik Duvarı, trafiği AzureFirewallSubnet içindeki güvenlik duvarı özel IP adreslerinden birine karşı bir şekilde SNAT olarak kullanır.If your organization uses a public IP address range for private networks, Azure Firewall will SNAT the traffic to one of the firewall private IP addresses in AzureFirewallSubnet.

Gelen DNAT desteğiInbound DNAT support

Güvenlik duvarınızın genel IP adresine gelen trafik çevrilir (Hedef Ağ Adresi Çevirisi) ve sanal ağınızdaki özel IP adreslerine filtrelenir.Inbound network traffic to your firewall public IP address is translated (Destination Network Address Translation) and filtered to the private IP addresses on your virtual networks.

Birden çok genel IP adresiMultiple public IP addresses

Önemli

Birden çok genel IP adresine sahip Azure Güvenlik Duvarı Azure portal, Azure PowerShell, Azure CLı, REST ve şablonlar aracılığıyla kullanılabilir.Azure Firewall with multiple public IP addresses is available via the Azure portal, Azure PowerShell, Azure CLI, REST, and templates.

Güvenlik duvarınızla birden çok genel IP adresini (100 'e kadar) ilişkilendirebilirsiniz.You can associate multiple public IP addresses (up to 100) with your firewall.

Bu, aşağıdaki senaryolara izin vermez:This enables the following scenarios:

  • DNAT -birden çok standart bağlantı noktası örneğini arka uç sunucularınıza çevirebilirsiniz.DNAT - You can translate multiple standard port instances to your backend servers. Örneğin, iki genel IP adresiniz varsa, TCP bağlantı noktası 3389 ' ü (RDP) her iki IP adresi için de çevirebilirsiniz.For example, if you have two public IP addresses, you can translate TCP port 3389 (RDP) for both IP addresses.
  • SNAT -giden SNAT bağlantıları için ek bağlantı noktaları kullanılabilir ve bu, SNAT bağlantı noktası tükenmesi potansiyelini azaltır.SNAT - Additional ports are available for outbound SNAT connections, reducing the potential for SNAT port exhaustion. Azure Güvenlik Duvarı şu anda bir bağlantı için kullanılacak kaynak genel IP adresini rastgele seçer.At this time, Azure Firewall randomly selects the source public IP address to use for a connection. Ağınızda herhangi bir aşağı akış filtresi varsa, güvenlik duvarınızdan ilişkili tüm genel IP adreslerine izin vermeniz gerekir.If you have any downstream filtering on your network, you need to allow all public IP addresses associated with your firewall.

Azure İzleyici günlükleriAzure Monitor logging

Tüm olaylar Azure Izleyici ile tümleşiktir ve günlükleri bir depolama hesabında arşivlemenize, Olay Hub 'ınıza olayları akışlarınıza veya Azure Izleyici günlüklerine gönderebilmenizi sağlar.All events are integrated with Azure Monitor, allowing you to archive logs to a storage account, stream events to your Event Hub, or send them to Azure Monitor logs.

Bilinen sorunlarKnown issues

Azure Güvenlik Duvarındaki bilinen sorunlar şunlardır:Azure Firewall has the following known issues:

SorunIssue AçıklamaDescription Risk azaltmaMitigation
TCP/UDP dışı protokollere (örneğin ICMP) yönelik ağ filtreleme kuralları İnternet'e bağlı trafik için çalışmazNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic TCP/UDP dışı protokollere yönelik ağ filtreleme kuralları genel IP adresinize SNAT ile çalışmaz.Network filtering rules for non-TCP/UDP protocols don’t work with SNAT to your public IP address. TCP/UDP dışı protokoller, uç alt ağlarla sanal ağlar arasında desteklenir.Non-TCP/UDP protocols are supported between spoke subnets and VNets. Azure Güvenlik Duvarı, bugün IP protokolleri için SNAT desteği olmayan Standart Load Balancer kullanır.Azure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Gelecekteki bir sürümde bu senaryoyu desteklemeye yönelik seçenekleri araştırıyoruz.We're exploring options to support this scenario in a future release.
ICMP için eksik PowerShell ve CLI desteğiMissing PowerShell and CLI support for ICMP Azure PowerShell ve CLI ağ kurallarında geçerli bir protokol olarak ICMP'yi desteklemez.Azure PowerShell and CLI don’t support ICMP as a valid protocol in network rules. Portal ve REST API aracılığıyla bir protokol olarak ıCMP kullanmak yine de mümkündür.It's still possible to use ICMP as a protocol via the portal and the REST API. PowerShell ve CLı için yakında ıCMP eklemek üzere çalışıyoruz.We're working to add ICMP in PowerShell and CLI soon.
FQDN etiketleri bir protokol: bağlantı noktası ayarlamayı gerektirirFQDN tags require a protocol: port to be set FQDN etiketleriyle uygulama kuralları için bağlantı noktası: protokol tanımı gerekir.Application rules with FQDN tags require port: protocol definition. Bağlantı noktası:protokol değeri olarak https kullanabilirsiniz.You can use https as the port: protocol value. FQDN etiketleri kullanıldığında bu alanı isteğe bağlı hale getirmek için çalışıyoruz.We're working to make this field optional when FQDN tags are used.
Bir güvenlik duvarını farklı bir kaynak grubuna veya aboneliğe taşıma desteklenmiyorMoving a firewall to a different resource group or subscription isn't supported Bir güvenlik duvarının farklı bir kaynak grubuna veya aboneliğe taşınması desteklenmez.Moving a firewall to a different resource group or subscription isn't supported. Bu işlevi desteklemek, yol haritamız üzerinde.Supporting this functionality is on our road map. Bir güvenlik duvarını başka bir kaynak grubuna veya aboneliğe taşımak için geçerli örneği silmeniz ve yeni kaynak grubunda veya abonelikte yeniden oluşturmanız gerekir.To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
Ağ ve uygulama kurallarında bağlantı noktası aralığıPort range in network and application rules Bağlantı noktaları, yönetim ve sistem durumu araştırmaları için ayrıldığından yüksek bağlantı noktaları 64.000 ile sınırlıdır.Ports are limited to 64,000 as high ports are reserved for management and health probes. Bu sınırlamayı rahat hale getiriyoruz.We're working to relax this limitation.
Tehdit bilgileri uyarıları maskeli olabilirThreat intelligence alerts may get masked Giden filtreleme maskeleri için hedef 80/443 olan ağ kuralları yalnızca uyarı moduna yapılandırıldığında tehdit bilgileri uyarılarını arar.Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. Uygulama kurallarını kullanarak 80/443 için giden filtreleme oluşturun.Create outbound filtering for 80/443 using application rules. Ya da tehdit zekası modunu uyarı ve reddetmeolarak değiştirin.Or, change the threat intelligence mode to Alert and Deny.
Azure Güvenlik Duvarı yalnızca ad çözümlemesi için Azure DNS kullanırAzure Firewall uses Azure DNS only for name resolution Azure Güvenlik Duvarı yalnızca Azure DNS kullanarak FQDN 'leri çözer.Azure Firewall resolves FQDNs using Azure DNS only. Özel bir DNS sunucusu desteklenmez.A custom DNS server isn't supported. Diğer alt ağlarda DNS çözümlemesi üzerinde hiçbir etkisi yoktur.There's no impact on DNS resolution on other subnets. Bu sınırlamayı rahat hale getiriyoruz.We're working to relax this limitation.
Azure Güvenlik Duvarı SNAT/DNAT özel IP hedefleri için çalışmıyorAzure Firewall SNAT/DNAT doesn't work for private IP destinations Azure Güvenlik Duvarı SNAT/DNAT desteği Internet çıkış/giriş ile sınırlıdır.Azure Firewall SNAT/DNAT support is limited to Internet egress/ingress. SNAT/DNAT Şu anda özel IP hedefleri için çalışmıyor.SNAT/DNAT doesn't currently work for private IP destinations. Örneğin, bağlı bileşene bağlı olarak.For example, spoke to spoke. Bu geçerli bir kısıtlamadır.This is a current limitation.
İlk genel IP yapılandırması kaldırılamıyorCan't remove first public IP configuration Her bir Azure Güvenlik Duvarı genel IP adresi bir IP yapılandırmasınaatanır.Each Azure Firewall public IP address is assigned to an IP configuration. İlk IP yapılandırması, güvenlik duvarı dağıtımı sırasında atanır ve genellikle güvenlik duvarı alt ağına (bir şablon dağıtımı aracılığıyla açıkça farklı şekilde yapılandırılmamışsa) bir başvuru içerir.The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). Güvenlik duvarını serbest bırakacağından bu IP yapılandırmasını silemezsiniz.You can't delete this IP configuration because it would de-allocate the firewall. Güvenlik duvarının kullanılabilir en az bir genel IP adresi varsa, bu IP yapılandırmasıyla ilişkili genel IP adresini değiştirmeye veya kaldırmaya devam edebilirsiniz.You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. Bu tasarım gereğidir.This is by design.
Kullanılabilirlik alanları yalnızca dağıtım sırasında yapılandırılabilir.Availability zones can only be configured during deployment. Kullanılabilirlik alanları yalnızca dağıtım sırasında yapılandırılabilir.Availability zones can only be configured during deployment. Bir güvenlik duvarı dağıtıldıktan sonra Kullanılabilirlik Alanları yapılandıramazsınız.You can't configure Availability Zones after a firewall has been deployed. Bu tasarım gereğidir.This is by design.
Gelen bağlantılarda SNATSNAT on inbound connections DNAT 'nin yanı sıra, güvenlik duvarı genel IP adresi (gelen) ile kurulan bağlantılar, güvenlik duvarı özel IP 'lerinden birine karşı denetlenir.In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. Simetrik yönlendirmeyi sağlamak için bugün bu gereksinim (etkin/etkin NVA 'lar için de).This requirement today (also for Active/Active NVAs) to ensure symmetric routing. HTTP/S için özgün kaynağı korumak üzere XFF üst bilgilerini kullanmayı göz önünde bulundurun.To preserve the original source for HTTP/S, consider using XFF headers. Örneğin, güvenlik duvarının önünde Azure ön kapısı gibi bir hizmet kullanın.For example, use a service such as Azure Front Door in front of the firewall. Ayrıca, Azure ön kapısının parçası olarak WAF 'yi ve güvenlik duvarını de zincirde ekleyebilirsiniz.You can also add WAF as part of Azure Front Door and chain to the firewall.
SQL FQDN filtrelemesi yalnızca Proxy modunda desteklenir (bağlantı noktası 1433)SQL FQDN filtering support only in proxy mode (port 1433) Azure SQL veritabanı, Azure SQL veri ambarı ve Azure SQL yönetilen örneği için:For Azure SQL Database, Azure SQL Data Warehouse, and Azure SQL Managed Instance:

Önizleme sırasında SQL FQDN filtrelemesi yalnızca Proxy modunda desteklenir (bağlantı noktası 1433).During the preview, SQL FQDN filtering is supported in proxy-mode only (port 1433).

Azure SQL IaaS için:For Azure SQL IaaS:

Standart olmayan bağlantı noktaları kullanıyorsanız, bu bağlantı noktalarını uygulama kurallarında belirtebilirsiniz.If you are using non-standard ports, you can specify those ports in the application rules.
Azure içinden bağlanılıyorsa varsayılan olan yeniden yönlendirme modunda SQL için, Azure Güvenlik Duvarı ağ kurallarının bir parçası olarak SQL hizmeti etiketini kullanarak erişimi filtreleyebilirsiniz.For SQL in redirect mode, which is the default if connecting from within Azure, you can instead filter access using the SQL service tag as part of Azure Firewall network rules.

Sonraki adımlarNext steps