Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek vám pomůže pochopit aktuální známé problémy a omezení ve službě Azure Firewall. Tyto informace aktualizujeme, protože se řeší problémy, proto pravidelně kontrolujte nejnovější stav.
Než nasadíte Azure Firewall nebo začnete řešit potíže již nasazených služeb, projděte si známé problémy, abyste se vyhnuli běžným problémům a naplánovali vhodná alternativní řešení.
Informace o omezeních služby Azure Firewall najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.
Aktuální omezení kapacity
U následujících zón aktuálně dochází k omezením kapacity:
| Oblast/zóny | skladová jednotka (SKU) | Omezení | Doporučení |
|---|---|---|---|
| Fyzická zóna 1 a zóna 4 v USA – Východ 2 EUAP | Basic, Standard a Premium | – Novou bránu Azure Firewall nemůžete nasadit v zóně 1 a 4. | Doporučujeme nasadit nový Azure Firewall do zbývajících zón dostupnosti nebo použít jiný region. Chcete-li konfigurovat existující firewall, podívejte se na Jak mohu konfigurovat zóny dostupnosti po nasazení? |
|
-
Fyzická zóna 2 v Severní Evropě - Fyzická zóna 3 v Jihovýchodní Asii |
Standard a Premium | - Nemůžete nasadit nový Azure Firewall do zóny 3 v jihovýchodní Asii nebo do zóny 2 v Severní Evropě.
- Pokud zastavíte existující Azure Firewall, který je nasazen v této zóně, nelze jej znovu spustit. Pro více informací viz Fyzické a logické zóny dostupnosti. |
Doporučujeme nasadit nový Azure Firewall do zbývajících zón dostupnosti nebo použít jiný region. Chcete-li konfigurovat existující firewall, podívejte se na Jak mohu konfigurovat zóny dostupnosti po nasazení? |
| Fyzická zóna 3 v Jižní centrální USA | Basic, Standard a Premium | – V zóně 3 nemůžete nasadit novou bránu Azure Firewall.
Odhadované datum, kdy je k dispozici: 31. března 2026 |
Doporučujeme nasadit nový Azure Firewall do zbývajících zón dostupnosti nebo použít jiný region. Chcete-li konfigurovat existující firewall, podívejte se na Jak mohu konfigurovat zóny dostupnosti po nasazení? |
| Fyzická zóna 2 ve Španělsku – střed | Basic, Standard a Premium | – V zóně 2 nemůžete nasadit novou bránu Azure Firewall.
Odhadované datum, kdy je k dispozici: 31. prosince 2026 |
Doporučujeme nasadit nový Azure Firewall do zbývajících zón dostupnosti nebo použít jiný region. Chcete-li konfigurovat existující firewall, podívejte se na Jak mohu konfigurovat zóny dostupnosti po nasazení? |
| US Gov – Virginie | Premium | – Pro SKU Azure Firewall Premium v US Gov Virginia je nulová kapacita, a proto jsou blokována jak zónová, tak nezónová nasazení. | Nasaďte skladovou položku Azure Firewall Standard nebo nasaďte skladovou položku Premium do jiné oblasti. |
| Fyzická zóna 3 v US Gov – Virginie | Basic a Standard | – Zónová nasazení jsou blokovaná ve fyzické zóně 3 v US Gov Virginia.
– Pro úspěšné nasazení musíte ručně vybrat dostupné zóny, což vytváří méně optimální zkušenost s nasazením. |
Vyberte zóny 1 a 2 pro zónová nasazení nebo použijte jinou oblast. |
| Fyzická zóna 2 v oblasti USA – západ 2 | Basic, Standard a Premium | – V zóně 2 nemůžete nasadit novou bránu Azure Firewall. | Doporučujeme nasadit nový Azure Firewall do zbývajících zón dostupnosti nebo použít jiný region. Chcete-li konfigurovat existující firewall, podívejte se na Jak mohu konfigurovat zóny dostupnosti po nasazení? |
Výstraha
Pokud zastavíte stávající nasazení služby Azure Firewall v některé z těchto oblastí s omezeným přístupem na kapacitu, možná ho nebudete moct znovu spustit kvůli průběžným omezením kapacity. Naplánujte si to vhodně před zastavením instancí brány firewall v těchto oblastech.
Známé problémy se službou Azure Firewall úrovně Standard
Azure Firewall Standard má následující známé problémy:
| Problém | Popis | Zmírnění |
|---|---|---|
| Podpora DNAT pro soukromé IP adresy je omezena na verze Standard a Premium. | Podpora DNAT na privátní IP adrese služby Azure Firewall je dostupná jenom ve verzích brány firewall úrovně Standard a Premium, ne ve verzi Basic. | Žádné |
| Při konfiguraci pravidel DNAT privátní IP adresy se nepodporuje zrušení a přidělování služby Azure Firewall. | Proces přidělování služby Azure Firewall selže při konfiguraci privátních pravidel DNAT. | 1. Uvolněte Azure Firewall 2. Odstraňte všechna pravidla DNAT pro privátní IP adresy 3. Přidělte bránu Azure Firewall a počkejte, až se privátní IP adresa naplní 4. Překonfigurovat pravidla DNAT pro privátní IP adresu s odpovídající privátní IP adresou |
| Síťová filtrační pravidla pro protokoly jiné než TCP/UDP (například ICMP) nefungují pro provoz směrem na Internet. | Pravidla filtrování sítí pro protokoly jiné než TCP/UDP nefungují se SNAT vůči vaší veřejné IP adrese. Ne-TCP/UDP protokoly jsou podporovány mezi hovory podsítí a virtuálními sítěmi (VNets). | Azure Firewall používá Load Balancer úrovně Standard, který dnes nepodporuje SNAT pro protokoly IP. Zkoumáme možnosti podpory protokolů jiných než TCP/UDP pro internetový provoz v budoucí verzi. |
| Když je Azure Firewall uvolňován a je pak znovu přidělen, může mu být přiřazena nová privátní IP adresa. | Po uvolnění a přidělování služby Azure Firewall se privátní IP adresa přiřadí dynamicky z podsítě služby Azure Firewall. Když se přiřadí nová privátní IP adresa, která se liší od předchozí ip adresy, způsobí problémy se směrováním. | Je potřeba překonfigurovat stávající trasy definované uživatelem s novou privátní IP adresou. Probíhá šetření opravy, aby se po procesu přidělování zachovala privátní IP adresa. |
| Podřízené zásady brány firewall nedědí nastavení DNS z nadřazených zásad. | Když změníte nastavení DNS v nadřazené zásadě brány firewall, podřízené zásady, které jsou s ní propojeny, možná nebudou schopny přeložit názvy domén ve svých pravidlech. | Nakonfigurujte nastavení DNS přímo pro každou podřízenou zásadu místo toho, abyste se spoléhali na nadřazenou zásadu. Pracujeme na opravě, která umožňuje dědičnost nastavení DNS. |
| Chybí podpora PowerShell a CLI pro ICMP | Azure PowerShell a CLI nepodporují ICMP jako platný protokol v pravidlech sítě. | Protokol ICMP je stále možné použít prostřednictvím portálu a rozhraní REST API. Pracujeme na tom, abychom brzy přidali ICMP do PowerShellu a CLI. |
| Štítky FQDN vyžadují nastavení protokolu: portu. | Pravidla aplikace s FQDN značkami vyžadují definici portu: protokolu. | Můžete použít https jako hodnotu portu: protokolu. Pracujeme na tom, aby bylo pole portu: protokol volitelné, když se použijí značky FQDN. |
| Přesun firewallu do jiné skupiny prostředků nebo předplatného není podporován. | Přesun firewallu do jiné skupiny prostředků nebo předplatného není podporován. | Podpora této funkce je v našem plánu. Aby bylo možné přesunout firewall do jiné skupiny prostředků nebo předplatného, musíte odstranit aktuální instance a vytvořit ji znovu v nové skupině prostředků nebo předplatném. |
| Upozornění z oblasti bezpečnostní inteligence mohou být zamaskována. | Síťová pravidla s cílovým portem 80/443 pro odchozí filtrování maskují upozornění na hrozby zpravodajství, když jsou nakonfigurována pouze v režimu upozornění. | Vytvořte filtrování pro odchozí komunikaci na portech 80/443 pomocí pravidel aplikace. Nebo změňte režim vyhodnocování hrozeb na Upozornit a Zamítnout. |
| U zabezpečených virtuálních rozbočovačů lze zóny dostupnosti konfigurovat pouze během nasazování. | Po nasazení firewallu s zabezpečenými virtuálními uzly nelze nakonfigurovat zóny dostupnosti. | Podle návrhu. |
| SNAT u příchozích připojení | Příchozí pravidla DNAT vždy mění zdrojovou IP adresu pro návratový provoz. | Pokud chcete sledovat původní IP adresu klienta pro webový provoz, nakonfigurujte klienty nebo proxy servery tak, aby zahrnovaly původní IP adresu do hlaviček XFF . Azure Firewall zachovává tyto IP adresy v hlavičce XFF a při zpracování pravidel webového provozu přidá ip adresu brány firewall do hlavičky XFF. |
| Podpora filtrování FQDN SQL pouze v proxy režimu (port 1433) | Pro Azure SQL Database, Azure Synapse Analytics a Azure SQL Managed Instance následujte tyto kroky: Filtrování SQL FQDN je podporováno pouze v režimu proxy (port 1433). Pro Azure SQL IaaS: Pokud používáte nestandardní porty, můžete tyto porty specifikovat v pravidlech aplikace. |
Pro SQL v režimu přesměrování (výchozí, pokud se připojujete z prostředí Azure) můžete místo toho filtrovat přístup pomocí SQL service tagu jako součásti pravidel sítě Azure Firewall. |
| Odchozí SMTP provoz na TCP portu 25 je blokován | Platforma Azure blokuje odchozí e-mailové zprávy odesílané přímo na externí domény (jako outlook.com a gmail.com) na portu TCP 25. Blokování odchozího provozu SMTP na portu 25 je výchozím chováním platformy v Azure. Azure Firewall nezavádí žádná další specifická omezení. |
Použijte autentizované služby SMTP relé, které se obvykle připojují prostřednictvím TCP portu 587, ale podporují i další porty. Pro více informací si přečtěte Troubleshoot outbound SMTP connectivity problems in Azure. Další možností je nasadit Azure Firewall v rámci standardního předplatného Enterprise Agreement (EA). Firewall Azure ve službě EA může komunikovat s veřejnými IP adresami pomocí výstupního TCP portu 25. Může fungovat v jiných typech předplatného, ale není zaručeno. Pro soukromé IP adresy, jako jsou virtuální sítě, VPN a Azure ExpressRoute, Azure Firewall podporuje odchozí připojení na TCP portu 25. |
| Vyčerpání portů SNAT | Azure Firewall v současnosti podporuje 2 496 portů na veřejnou IP adresu pro každou instanci škálovatelné sady virtuálních počítačů v backendu. Ve výchozím nastavení existují dvě instance škálovací sady virtuálních počítačů. Takže, na jeden tok připadá 4 992 portů (cílová IP, cílový port a protokol (TCP nebo UDP)). Firewall může být rozšířen na maximálně 20 instancí. | Vyčerpání portů SNAT je omezení platformy. Chcete-li obejít omezení, můžete nakonfigurovat nasazení Azure Firewallu s minimálně pěti veřejnými IP adresami pro nasazení náchylná k vyčerpání SNAT. Přidání dalších veřejných IP adres zvýší počet dostupných portů SNAT o pětkrát. Přidělte z předpony IP adresy, abyste zjednodušili oprávnění směrem dolů. Pokud chcete trvalejší řešení, můžete nasadit bránu NAT, která přesáhla limity portů SNAT. Nasazení služby NAT Gateway se podporuje pro nasazení virtuální sítě. Další informace najdete v tématu Škálování portů SNAT pomocí služby Azure Virtual Network NAT. |
| DNAT není podporován, pokud je povoleno nucené tunelování. | Brány firewall nasazené s povoleným vynuceným tunelováním nemohou podporovat příchozí přístup z internetu kvůli asymetrickému směrování. | Nepřítomnost podpory DNAT při použití vynuceného tunelování je záměrně navržena kvůli asymetrickému směrování. Návratová cesta pro příchozí připojení prochází přes místní firewall, který nevidí, že bylo připojení navázáno. |
| Odchozí pasivní FTP nemusí správně fungovat u firewallů s více veřejnými IP adresami, v závislosti na nastavení vašeho FTP serveru. | Protokol pasivní FTP navazuje různé spojení pro ovládací a datové kanály. Když firewall s více veřejnými IP adresami odesílá data ven, náhodně vybere jednu ze svých veřejných IP adres jako zdrojovou IP adresu. Ftp může selhat, když datové a řídicí kanály používají různé zdrojové IP adresy v závislosti na konfiguraci serveru FTP. | Plánuje se explicitní konfigurace SNAT. Mezitím můžete nakonfigurovat svůj FTP server tak, aby přijímal datové a řídicí kanály z různých zdrojových IP adres (viz příklad pro IIS). Případně zvažte použití jedné IP adresy, pokud dochází k problémům s připojením FTP. |
| Příchozí pasivní FTP nemusí fungovat v závislosti na konfiguraci vašeho FTP serveru. | Protokol pasivní FTP navazuje různé spojení pro ovládací a datové kanály. Příchozí připojení na Azure Firewall jsou SNATována na jednu z soukromých IP adres firewallu, aby bylo zajištěno symetrické směrování. Ftp může selhat, když datové a řídicí kanály používají různé zdrojové IP adresy v závislosti na konfiguraci serveru FTP. | Zkoumá se zachování původní zdrojové IP adresy. Do té doby můžete server FTP nakonfigurovat tak, aby přijímal datové a řídicí kanály z různých zdrojových IP adres. |
| Aktivní FTP nefunguje, když se FTP klient musí připojit na FTP server přes internet. | Aktivní FTP využívá příkaz PORT z FTP klienta, který určuje FTP serveru, jakou IP adresu a port použít pro datový kanál. Příkaz PORT využívá privátní IP adresu klienta, kterou nejde změnit. Klientská komunikace procházející přes Azure Firewall je NATována pro internetové komunikace, což způsobuje, že příkaz PORT je FTP serverem považován za neplatný. | Selhání aktivního FTP je obecné omezení, když je aktivní FTP používáno s překladem adres (NAT) na straně klienta. |
| Metrice NetworkRuleHit chybí dimenze protokolu | Metrika ApplicationRuleHit umožňuje filtrování podle protokolu, ale tato možnost chybí v odpovídající metrice NetworkRuleHit. | Probíhá zkoumání řešení. |
| Pravidla NAT s porty mezi 64000 a 65535 nejsou podporována. | Azure Firewall umožňuje použití libovolných portů v rozsahu 1-65535 v pravidlech pro sítě a aplikace, avšak pravidla NAT podporují pouze porty v rozsahu 1-63999. | Omezení portů pravidla překladu adres (NAT) je aktuálním omezením. |
| Aktualizace konfigurace mohou trvat v průměru pět minut. | Aktualizace konfigurace Azure Firewall může průměrně trvat tři až pět minut a paralelní aktualizace nejsou podporovány. | Probíhá zkoumání řešení. |
| Azure Firewall používá záhlaví SNI TLS k filtrování provozu HTTPS a MSSQL. | Pokud prohlížeč nebo serverový software nepodporuje rozšíření SNI (Server Name Indicator), nemůžete se připojit přes Azure Firewall. | Pokud prohlížeč nebo serverový software nepodporuje SNI, možná budete moct řídit připojení pomocí pravidla sítě místo pravidla aplikace. Podívejte se na Server Name Indication pro software, který podporuje SNI. |
| Nelze přidat značky zásad firewallu pomocí portálu nebo šablon Azure Resource Manager (ARM) | Azure Firewall Policy má omezení podpory oprav, které vám znemožňuje přidat značku pomocí Azure portálu nebo ARM šablon. Je vygenerovaná následující chyba: Nepodařilo se uložit značky pro zdroj. | Probíhá zkoumání řešení. Nebo můžete použít cmdlet Azure PowerShell Set-AzFirewallPolicy k aktualizaci značek. |
| IPv6 není v současné době podporováno | Pokud k pravidlu přidáte adresu IPv6, firewall selže. | Používejte pouze adresy IPv4. Podpora IPv6 je ve fázi zkoumání. |
| Odebrání RuleCollectionGroups pomocí šablon ARM se nepodporuje. | Odebrání RuleCollectionGroup pomocí šablon ARM není podporováno a vede k chybě. | Odebrání RuleCollectionGroups pomocí šablon ARM není podporovaná operace. |
| Pravidlo DNAT pro povolení jakéhokoli (*) provozu SNAT. | Pokud pravidlo DNAT povoluje jakoukoliv (*) jako zdrojovou IP adresu, odpovídá implicitní síťové pravidlo provozu VNet-VNet a vždy bude SNATovat provoz. | Automatické chování SNAT pro pravidla DNAT s jakýmkoli zdrojem je aktuálním omezením. |
| Přidání pravidla DNAT do zabezpečeného virtuálního hubu s poskytovatelem zabezpečení není podporováno. | Když přidáte pravidlo DNAT do zabezpečeného virtuálního centra s poskytovatelem bezpečnostních služeb, vede to k asynchronní trase pro vracející se DNAT provoz, který směřuje k poskytovateli bezpečnostních služeb. | Není podporováno. |
| Při vytváření více než 2 000 kolekcí pravidel došlo k chybě. | Maximální počet kolekcí nat/aplikací nebo pravidel sítě je 2000 (limit Resource Manageru). | Současným omezením je limit sady pravidel na 2 000. |
| Nelze nasadit firewall sítě dostupnosti s nově vytvořenou veřejnou IP adresou. | Při nasazení firewallu s dostupnostními zónami nemůžete použít nově vytvořenou veřejnou IP adresu. | Nejprve vytvořte novou zónově redundantní veřejnou IP adresu a poté tuto dříve vytvořenou IP adresu přiřaďte během nasazení firewallu. |
| Přidružení veřejné IP adresy ke službě Azure Firewall se ve scénáři mezi tenanty nepodporuje. | Pokud vytvoříte veřejnou IP adresu v tenantovi A, nemůžete ji přidružit k bráně firewall nasazené v tenantovi B. | Žádné. |
| Virtuální počítače za Azure Firewall se nemohou připojit k cílům pravidla DNAT prostřednictvím veřejné IP adresy firewallu. | Když virtuální počítače směrují provoz přes Azure Firewall a pokusí se připojit k prostředkům nakonfigurovaným s pravidly DNAT pomocí veřejné IP adresy brány firewall, připojení selže. K selhání připojení dochází, protože Azure Firewall nepodporuje hairpinning síťového provozu z interních virtuálních počítačů na vlastní veřejnou IP adresu brány firewall jako cíl DNAT pravidel. | Řešení tohoto omezení je v současné době ve vývoji. |
Známé problémy se službou Azure Firewall Premium
Poznámka:
Jakýkoli problém, který se vztahuje na Standard, se také vztahuje na Premium.
Azure Firewall Premium má následující známé problémy:
| Problém | Popis | Zmírnění |
|---|---|---|
| Podpora ESNI pro rozlišení FQDN v HTTPS | Šifrované SNI není podporováno v HTTPS handshake. | Dnes pouze Firefox podporuje ESNI prostřednictvím vlastní konfigurace. Navrhované alternativní řešení je zakázat funkci ESNI. |
| Ověřování klientské certifikace není podporováno | Klientské certifikáty se používají k vytvoření vzájemné důvěry v identitu mezi klientem a serverem. Klientské certifikáty jsou používány během vyjednávání TLS. Azure firewall znovu sjednává připojení se serverem a nemá přístup k privátnímu klíči klientských certifikátů. | Žádné |
| QUIC/HTTP3 | QUIC je nová hlavní verze HTTP. Jedná se o protokol založený na UDP s porty 80 (PLAN) a 443 (SSL). Kontrola FQDN/URL/TLS není podporována. | Nakonfigurujte průchod UDP 80/443 jako síťová pravidla. |
| Nedůvěryhodné certifikáty podepsané zákazníkem | Brána firewall nedůvěřuje certifikátům podepsaným zákazníkem, které obdrží z intranetového webového serveru. | Probíhá zkoumání řešení. |
| IdPS zobrazí nesprávnou zdrojovou IP adresu pro výstrahy HTTP bez kontroly protokolu TLS. | Když IDPS generuje výstrahy pro provoz HTTP ve formátu prostého textu na veřejné IP adresy, zobrazí se interní IP adresa místo původní zdrojové IP adresy. | Probíhá zkoumání řešení. |
| Šíření certifikátů | Po použití certifikátu certifikační autority na bráně firewall může trvat 5 až 10 minut, než certifikát nabude platnosti. | Probíhá zkoumání řešení. |
| Podpora protokolu TLS 1.3 | TLS 1.3 je částečně podporován. Tunel TLS od klienta k firewallu je založen na TLS 1.2, a od firewallu k externímu webovému serveru je založen na TLS 1.3. | Prověřují se aktualizace. |
| Vypršení platnosti mezilehlého certifikátu CA TLSi | V některých výjimečných případech může zprostředkující certifikát CA vypršet dva měsíce před původním datem vypršení platnosti. | Obnovte certifikát zprostředkující certifikační autority dva měsíce před původním datem vypršení platnosti. Probíhá zkoumání řešení. |