Sdílet prostřednictvím

Změna skladové položky služby Azure Firewall

V tomto článku se dozvíte, jak změnit skladovou položku služby Azure Firewall mezi standardem a premium. Pokud už tyto funkce nepotřebujete, můžete upgradovat z úrovně Standard na Premium na Premium, abyste mohli využívat vylepšené možnosti zabezpečení nebo downgradovat z úrovně Premium na Standard. Azure Firewall Premium poskytuje pokročilé funkce ochrany před hrozbami, včetně IDPS, kontroly protokolu TLS a filtrování adres URL.

Skladovou položku brány firewall můžete změnit pomocí jedné ze dvou metod:

  • Metoda snadné změny skladové položky (doporučeno): Upgrade nebo downgrade s nulovými výpadky pomocí webu Azure Portal, PowerShellu nebo Terraformu
  • Metoda ruční migrace: Podrobná migrace pro složité scénáře nebo pokud není k dispozici snadná změna skladové položky

Další informace o funkcích služby Azure Firewall Premium najdete v tématu Funkce služby Azure Firewall Premium.

Požadavky

Dříve začnete, ujistěte se, že máte:

  • Předplatné Azure s existujícím nasazením služby Azure Firewall
  • Odpovídající oprávnění k úpravě prostředků brány firewall (role Správce sítě nebo vyšší)
  • Modul Azure PowerShell verze 6.5.0 nebo novější (pro metody PowerShellu)
  • Časové období plánované údržby (pro metodu ruční migrace)

Důležité

Tento článek se týká pouze skladových položek služby Azure Firewall Úrovně Standard a Premium. Skladová položka Azure Firewall Basic nepodporuje změny skladové položky a před upgradem na Premium je nutné ji nejprve migrovat na skladovou položku Standard. Vždy proveďte operace změny skladové položky během naplánované doby údržby a nejprve proces důkladně otestujte v neprodukčním prostředí.

Nejjednodušší způsob, jak změnit skladovou položku služby Azure Firewall s nulovým výpadkem, je použít funkci Změnit skladovou položku. Tato metoda podporuje upgrade z úrovně Standard na Premium i downgrading z úrovně Premium na Standard.

Kdy použít jednoduchou změnu skladové položky

Metodu snadné změny skladové položky použijte v následujících případech:

  • Máte bránu Azure Firewall se zásadami brány firewall (ne klasická pravidla).
  • Vaše brána firewall je nasazena v podporovaném regionu.
  • Chcete minimalizovat výpadky (nulový výpadek s touto metodou)
  • Máte standardní nasazení bez složitých vlastních konfigurací.
  • Pro downgrade: Vaše zásady Premium nepoužívají exkluzivní funkce Premium, které nejsou kompatibilní se Standardem

Důležité informace o zásadách pro změny skladové položky

Přechod na Prémiový

Během procesu upgradu zvolte, jak naložit se zásadami brány firewall.

  • Existující zásady Premium: Vyberte existující zásadu Premium, která se má připojit k upgradované bráně firewall.
  • Existující standardní zásady: Použijte aktuální standardní zásadu. Systém automaticky duplikuje a povýší ji na politiku Premium.
  • Vytvoření nové zásady Premium: Nechte systém vytvořit novou zásadu Premium na základě vaší aktuální konfigurace.

Přepnout na nižší úroveň Standard

Při downgradu z úrovně Premium na Standard zvažte následující požadavky zásad:

Důležité

Před downgradem na skladovou položku Standard je nutné odebrat nebo zakázat exkluzivní funkce úrovně Premium.

Prémiové funkce, které se mají řešit před downgradem:

  • Kontrola protokolu TLS: Zakázání pravidel kontroly protokolu TLS a odebrání přidružených certifikátů
  • IDPS (detekce a prevence neoprávněných vniknutí): změna režimu IDPS z výstrahy a zamítnutí na pouze výstrahu nebo vypnuto
  • Filtrování adres URL: Pokud je to možné, nahraďte pravidla filtrování adres URL filtrováním plně kvalifikovaného názvu domény.
  • Webové kategorie: Odebrání nebo nahrazení pravidel webových kategorií určitými pravidly plně kvalifikovaného názvu domény

Možnosti zpracování politiky:

  • Použít existující zásadu Standard: Vyberte existující zásadu Standard, která neobsahuje funkce Premium.
  • Vytvoření nové standardní zásady: Systém může vytvořit novou zásadu Standard a automaticky odebírat funkce specifické pro Premium.
  • Úprava aktuálních zásad: Ruční odebrání funkcí Premium z aktuální zásady před downgradem

Změna skladové položky pomocí webu Azure Portal

Chcete-li změnit SKU brány firewall pomocí Azure portálu:

Přechod na Prémiový

  1. Přihlaste se do Azure Portalu.
  2. Přejděte k prostředku Azure Firewall.
  3. Na stránce Přehled vyberte Změnit skladovou položku.
  4. V dialogovém okně Změnit skladovou položku vyberte Premium jako cílovou skladovou položku.
  5. Zvolte možnost zásad:
    • Vyberte existující politiku Premium nebo
    • Povolit systému povýšit vaši současnou politiku Standard na úroveň Premium
  6. Výběrem možnosti Uložit zahájíte upgrade.

Přepnout na nižší úroveň Standard

  1. Přihlaste se do Azure Portalu.
  2. Přejděte k prostředku Azure Firewall Premium.
  3. Před downgradem: Ujistěte se, že vaše zásady brány firewall neobsahují exkluzivní funkce úrovně Premium (kontrola protokolu TLS, upozornění IDPS a režim zamítnutí, filtrování adres URL, webové kategorie).
  4. Na stránce Přehled vyberte Změnit skladovou položku.
  5. V dialogovém okně Změna skladové položky vyberte jako cílovou skladovou položku Standard .
  6. Zvolte možnost zásad:
    • Vyberte existující standardní zásadu nebo
    • Povolit systému vytvořit novou zásadu Standard (funkce Premium se odeberou automaticky)
  7. Pro zahájení downgrade vyberte Uložit.

Proces změny skladové položky se obvykle dokončí během několika minut s nulovým výpadkem.

Snímek obrazovky znázorňující upgrade skladové položky

Změna skladové položky PowerShellu a Terraformu

Změny skladové položky můžete provádět také pomocí:

  • PowerShell: Změna sku_tier vlastnosti na Premium nebo Standard
  • Terraform: Aktualizace atributu sku_tier v konfiguraci na požadovanou skladovou položku

Omezení

Metoda snadné změny skladové položky má následující omezení:

Obecná omezení:

  • Nepodporuje skladovou položku Azure Firewall Basic – Uživatelé skladové položky Basic musí nejprve migrovat na úroveň Standard.
  • Není k dispozici pro firewally s komplexními konfiguracemi.
  • Omezená dostupnost v některých oblastech
  • Vyžaduje existující politiku brány firewall (nejsou k dispozici pro klasická pravidla).

Omezení specifická pro downgrade:

  • Před downgradem je potřeba odebrat prémiové funkce (kontrola protokolu TLS, režim upozornění a odepření, filtrování adres URL, webové kategorie)
  • Pokud vaše zásady Premium obsahují nekompatibilní funkce, musíte zásadu upravit nebo vytvořit novou zásadu Standard.
  • Některé konfigurace pravidel můžou po downgradu potřebovat ruční úpravu.

Pokud není pro váš scénář dostupná metoda snadné změny skladové položky, použijte metodu ruční migrace popsanou v další části.

Metoda ruční migrace

Pokud není metoda snadného upgradu dostupná nebo vhodná pro vaše nasazení, můžete použít metodu ruční migrace. Tento přístup poskytuje větší kontrolu, ale vyžaduje prostoje.

Kdy použít ruční migraci

Ruční migraci použijte, když:

  • Pro váš scénář není k dispozici snadný upgrade
  • Máte klasická pravidla brány firewall, která potřebují migraci.
  • Máte složité uživatelské konfigurace.
  • Potřebujete úplnou kontrolu nad procesem migrace.
  • Firewall je nasazen v jihovýchodní Asii v dostupnostních zónách.

Důležité informace o výkonu

Při migraci ze skladové položky Standard je potřeba zvážit výkon. Kontrola ZPS a TLS jsou výpočetní operace náročné na výpočetní výkon. SKU Premium používá výkonnější SKU virtuálního počítače, která se škáluje na vyšší úroveň propustnosti srovnatelnou se SKU Standard. Další informace o výkonu služby Azure Firewall najdete v tématu Výkon brány Azure Firewall.

Microsoft doporučuje zákazníkům provádět kompletní testování v nasazení Azure, aby zajistil, že výkon služby firewall splňuje vaše očekávání.

Důležité informace o výpadku

Při použití metody ruční migrace naplánujte časové období údržby, protože během procesu zastavení a spuštění dochází k výpadkům (obvykle 20 až 30 minut).

Přehled kroků migrace

Pro úspěšnou ruční migraci se vyžadují následující obecné kroky:

  1. Vytvoření nových zásad Premium na základě stávajících standardních zásad nebo klasických pravidel
  2. Migrace služby Azure Firewall ze standardu na Premium s využitím zastavení a spuštění
  3. Připojení zásad Premium k bráně Firewall úrovně Premium

Krok 1: Migrace klasických pravidel na zásady Standard

Pokud máte klasická pravidla brány firewall, nejprve je pomocí webu Azure Portal migrujte do standardních zásad:

  1. Na webu Azure Portal vyberte standardní bránu firewall.
  2. Na stránce Přehled vyberte Možnost Migrovat na zásady brány firewall.
  3. Na stránce Migrovat na zásadu brány firewall vyberte Zkontrolovat a vytvořit.
  4. Vyberte Vytvořit.

Dokončení nasazení trvá několik minut.

Existující pravidla Classic můžete migrovat také pomocí Azure PowerShellu. Další informace najdete v tématu Migrace konfigurací služby Azure Firewall do zásad služby Azure Firewall pomocí PowerShellu.

Krok 2: Vytvoření zásad Premium pomocí PowerShellu

Pomocí následujícího skriptu PowerShellu vytvořte novou zásadu Premium z existující zásady Standard:

Důležité

Skript nemigruje nastavení analýzy hrozeb a privátních rozsahů SNAT. Než budete pokračovat, musíte si tato nastavení poznamenat a migrovat je ručně.

<#
    .SYNOPSIS
        Given an Azure firewall policy id the script will transform it to a Premium Azure firewall policy.
        The script will first pull the policy, transform/add various parameters and then upload a new premium policy.
        The created policy will be named <previous_policy_name>_premium if no new name provided else new policy will be named as the parameter passed.
    .Example
        Transform-Policy -PolicyId /subscriptions/XXXXX-XXXXXX-XXXXX/resourceGroups/some-resource-group/providers/Microsoft.Network/firewallPolicies/policy-name -NewPolicyName <optional param for the new policy name>
#>

param (
    #Resource id of the azure firewall policy.
    [Parameter(Mandatory=$true)]
    [string]
    $PolicyId,

    #new filewallpolicy name, if not specified will be the previous name with the '_premium' suffix
    [Parameter(Mandatory=$false)]
    [string]
    $NewPolicyName = ""
)
$ErrorActionPreference = "Stop"
$script:PolicyId = $PolicyId
$script:PolicyName = $NewPolicyName

function ValidatePolicy {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Object]
        $Policy
    )

    Write-Host "Validating resource is as expected"

    if ($null -eq $Policy) {
        Write-Error "Received null policy"
        exit(1)
    }
    if ($Policy.GetType().Name -ne "PSAzureFirewallPolicy") {
        Write-Error "Resource must be of type Microsoft.Network/firewallPolicies"
        exit(1)
    }

    if ($Policy.Sku.Tier -eq "Premium") {
        Write-Host "Policy is already premium" -ForegroundColor Green
        exit(1)
    }
}

function GetPolicyNewName {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Microsoft.Azure.Commands.Network.Models.PSAzureFirewallPolicy]
        $Policy
    )

    if (-not [string]::IsNullOrEmpty($script:PolicyName)) {
        return $script:PolicyName
    }

    return $Policy.Name + "_premium"
}

function TransformPolicyToPremium {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Microsoft.Azure.Commands.Network.Models.PSAzureFirewallPolicy]
        $Policy
    )
    $NewPolicyParameters = @{
                        Name = (GetPolicyNewName -Policy $Policy)
                        ResourceGroupName = $Policy.ResourceGroupName
                        Location = $Policy.Location
                        BasePolicy = $Policy.BasePolicy.Id
                        ThreatIntelMode = $Policy.ThreatIntelMode
                        ThreatIntelWhitelist = $Policy.ThreatIntelWhitelist
                        PrivateRange = $Policy.PrivateRange
                        DnsSetting = $Policy.DnsSettings
                        SqlSetting = $Policy.SqlSetting
                        ExplicitProxy  = $Policy.ExplicitProxy
                        DefaultProfile  = $Policy.DefaultProfile
                        Tag = $Policy.Tag
                        SkuTier = "Premium"
    }

    Write-Host "Creating new policy"
    $premiumPolicy = New-AzFirewallPolicy @NewPolicyParameters

    Write-Host "Populating rules in new policy"
    foreach ($ruleCollectionGroup in $Policy.RuleCollectionGroups) {
        $ruleResource = Get-AzResource -ResourceId $ruleCollectionGroup.Id
        $ruleToTransform = Get-AzFirewallPolicyRuleCollectionGroup -AzureFirewallPolicy $Policy -Name $ruleResource.Name
        $ruleCollectionGroup = @{
            FirewallPolicyObject = $premiumPolicy
            Priority = $ruleToTransform.Properties.Priority
            Name = $ruleToTransform.Name
        }

        if ($ruleToTransform.Properties.RuleCollection.Count) {
            $ruleCollectionGroup["RuleCollection"] = $ruleToTransform.Properties.RuleCollection
        }

        Set-AzFirewallPolicyRuleCollectionGroup @ruleCollectionGroup
    }
}

function ValidateAzNetworkModuleExists {
    Write-Host "Validating needed module exists"
    $networkModule = Get-InstalledModule -Name "Az.Network" -MinimumVersion 4.5 -ErrorAction SilentlyContinue
    if ($null -eq $networkModule) {
        Write-Host "Please install Az.Network module version 4.5.0 or higher, see instructions: https://github.com/Azure/azure-powershell#installation"
        exit(1)
    }
    $resourceModule = Get-InstalledModule -Name "Az.Resources" -MinimumVersion 4.2 -ErrorAction SilentlyContinue
    if ($null -eq $resourceModule) {
        Write-Host "Please install Az.Resources module version 4.2.0 or higher, see instructions: https://github.com/Azure/azure-powershell#installation"
        exit(1)
    }
    Import-Module Az.Network -MinimumVersion 4.5.0
    Import-Module Az.Resources -MinimumVersion 4.2.0
}

ValidateAzNetworkModuleExists
$policy = Get-AzFirewallPolicy -ResourceId $script:PolicyId
ValidatePolicy -Policy $policy
TransformPolicyToPremium -Policy $policy

Příklad použití:

Transform-Policy -PolicyId /subscriptions/XXXXX-XXXXXX-XXXXX/resourceGroups/some-resource-group/providers/Microsoft.Network/firewallPolicies/policy-name

Krok 3: Migrace služby Azure Firewall pomocí zastavení/spuštění

Pokud používáte Azure Firewall Standard SKU se zásadami brány firewall, můžete pomocí metody přidělit/zrušit přidělení migrovat váš Azure Firewall SKU na verzi Premium. Tento přístup k migraci je podporován jak u virtuálních síťových hubů, tak u firewallů zabezpečených hubů.

Poznámka:

Minimální požadavek na verzi Azure PowerShellu je 6.5.0. Další informace najdete v tématu Az 6.5.0.

Migrace brány firewall centra virtuální sítě

Zrušení přidělení standardní brány firewall:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

Přidělit Premium Firewall (jedna veřejná IP adresa):

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "<resource-group-name>" -Name "<Virtual-Network-Name>"
$publicip = Get-AzPublicIpAddress -Name "<Firewall-PublicIP-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Allocate($vnet,$publicip)
Set-AzFirewall -AzureFirewall $azfw

Přidělení brány firewall Premium (několik veřejných IP adres):

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))
Set-AzFirewall -AzureFirewall $azfw

Přidělit Firewall Premium v režimu vynuceného tunelu:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "<resource-group-name>" -Name "<Virtual-Network-Name>"
$publicip = Get-AzPublicIpAddress -Name "<Firewall-PublicIP-name>" -ResourceGroupName "<resource-group-name>"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "<resource-group-name>"-Name "<Management-PublicIP-name>"
$azfw.Allocate($vnet,$publicip,$mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Migrace brány firewall zabezpečeného centra

Zrušení přidělení standardní brány firewall:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

Přidat Premium Firewall:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$hub = get-azvirtualhub -ResourceGroupName "<resource-group-name>" -name "<vWANhub-name>"
$azfw.Sku.Tier="Premium"
$azfw.Allocate($hub.id)
Set-AzFirewall -AzureFirewall $azfw

Krok 4: Připojení zásad Premium

Po upgradu brány firewall na Premium připojte zásady Premium pomocí webu Azure Portal:

  1. Na webu Azure Portal přejděte na bránu firewall úrovně Premium.
  2. Na stránce Přehled vyberte politiku firewallu.
  3. Vyberte nově vytvořenou zásadu Premium.
  4. Vyberte Uložit.

Snímek obrazovky zobrazující zásady brány firewall

Migrace Terraformu

Pokud k nasazení služby Azure Firewall použijete Terraform, můžete k migraci na Azure Firewall Premium použít Terraform. Další informace najdete v tématu Migrace služby Azure Firewall Standard na Premium pomocí Terraformu.

Řešení potíží se změnou skladové položky

Běžné problémy a řešení

  • Snadná změna skladové položky není dostupná: Použijte metodu ruční migrace popsanou v tomto článku.
  • Chyby migrace zásad: Ujistěte se, že máte nainstalované správné verze modulu PowerShellu.
  • Výpadky delší, než se čekalo: Kontrola připojení k síti a dostupnosti prostředků
  • Problémy s výkonem po upgradu: Zkontrolujte aspekty výkonu a proveďte důkladné testování.
  • Downgrade blokované funkcemi Premium: Odebrání nebo zakázání exkluzivních funkcí Premium před pokusem o downgrade

Řešení potíží s downgradem

Pokud nemůžete downgradovat z úrovně Premium na Standard:

  1. Zkontrolujte prémiové funkce: Zkontrolujte, zda vaše zásady brány firewall neobsahují:

    • Pravidla kontroly protokolu TLS
    • IDPS v režimu upozornění a zamítnutí
    • Pravidla filtrování adres URL
    • Pravidla webových kategorií

  2. Možnosti úprav zásad:

    • Vytvoření nové zásady úrovně Standard bez funkcí Premium
    • Úprava stávajících zásad pro odebrání funkcí Premium
    • Identifikace a odebrání nekompatibilních pravidel pomocí Azure PowerShellu

  3. Postup ověření:

    # Check current firewall policy for Premium features
$policy = Get-AzFirewallPolicy -ResourceGroupName "myResourceGroup" -Name "myPolicy"

# Review policy settings for Premium features
$policy.ThreatIntelMode
$policy.IntrusionDetection
$policy.TransportSecurity

Známá omezení

  • Aktualizace standardní brány firewall nasazené v jihovýchodní Asii, která používá zóny dostupnosti, není v současné době podporována pro ruční migraci.
  • Snadná změna SKU nepodporuje firewally s Basic SKU – uživatelé s Basic SKU musí nejprve migrovat na Standard SKU, než provedou upgrade na Premium SKU.
  • Některé vlastní konfigurace mohou vyžadovat ruční přístup k migraci.
  • Snížení úrovně s aktivními funkcemi Premium nebude úspěšné, dokud nebudou tyto funkce odebrány.

Další kroky

  • Last updated on