Nejčastější dotazy ke službě Azure Firewall

Obecné

Co je brána Azure Firewall?

Azure Firewall je spravovaná cloudová služba síťového zabezpečení, která chrání vaše prostředky ve virtuálních sítích Azure. Jedná se o plně stavovou bránu firewall jako službu s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení k aplikacím a sítím napříč různými předplatnými a virtuálními sítěmi.

Jaké funkce Azure Firewall podporuje?

Podrobný seznam funkcí služby Azure Firewall najdete v tématu Funkce služby Azure Firewall.

Jaký je typický model nasazení pro Azure Firewall?

Azure Firewall je možné nasadit v libovolné virtuální síti. Obvykle se ale nasadí do centrální virtuální sítě v hvězdicovém modelu s dalšími virtuálními sítěmi, které jsou s ním v partnerském vztahu. Výchozí trasa z partnerských virtuálních sítí je nastavená tak, aby odkazovala na tuto centrální virtuální síť brány firewall. Globální partnerský vztah virtuálních sítí se sice podporuje, ale nedoporučuje se kvůli potenciálním problémům s výkonem a latencí napříč oblastmi. Pro zajištění optimálního výkonu nasaďte jednu bránu firewall pro každou oblast.

Tento model umožňuje centralizovanou kontrolu nad více paprskovými virtuálními sítěmi napříč různými předplatnými a nabízí úspory nákladů tím, že se vyhnete nutnosti nasazovat bránu firewall v každé virtuální síti. Úspory nákladů by se měly vyhodnotit oproti souvisejícím nákladům na partnerský vztah na základě vzorů provozu.

Jak můžu nasadit Azure Firewall?

Azure Firewall je možné nasadit pomocí webu Azure Portal, PowerShellu, rozhraní REST API nebo šablon. Podrobné pokyny najdete v tématu Kurz: Nasazení a konfigurace služby Azure Firewall pomocí webu Azure Portal.

Jaké jsou některé klíčové koncepty služby Azure Firewall?

Azure Firewall používá pravidla a kolekce pravidel. Kolekce pravidel je sada pravidel se stejným pořadím a prioritou. Kolekce pravidel se spouštějí v pořadí priority. Kolekce pravidel DNAT mají vyšší prioritu než kolekce pravidel sítě, které mají zase vyšší prioritu než kolekce pravidel aplikace. Všechna pravidla se ukončují.

Existují tři typy kolekcí pravidel:

• Pravidla aplikace: Nakonfigurujte plně kvalifikované názvy domén (FQDN), ke kterým je možné přistupovat z virtuální sítě.
• Pravidla sítě: Nakonfigurujte pravidla se zdrojovými adresami, protokoly, cílovými porty a cílovými adresami.
• Pravidla překladu adres (NAT): Nakonfigurujte pravidla DNAT tak, aby umožňovala příchozí připojení k internetu nebo intranetu (Preview).

Další informace najdete v tématu Konfigurace pravidel brány Azure Firewall.

Které služby protokolování a analýzy Azure Firewall podporuje?

Azure Firewall se integruje se službou Azure Monitor pro zobrazení a analýzu protokolů. Protokoly je možné odesílat do Log Analytics, Azure Storage nebo Event Hubs a analyzovat je pomocí nástrojů, jako jsou Log Analytics, Excel nebo Power BI. Další informace najdete v tématu Kurz: Monitorování protokolů brány Azure Firewall.

Jak se Azure Firewall liší od síťových virtuálních zařízení na marketplace?

Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání prostředky virtuální sítě. Jedná se o plně stavovou bránu firewall jako službu s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Je předem integrovaný s poskytovateli zabezpečení jako služby (SECaaS) třetích stran, aby se zlepšilo zabezpečení virtuální sítě a připojení k internetu větví. Další informace najdete v tématu Zabezpečení sítě Azure.

Jaký je rozdíl mezi WAF služby Application Gateway a službou Azure Firewall?

WaF služby Application Gateway poskytuje centralizovanou příchozí ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Azure Firewall poskytuje příchozí ochranu pro protokoly jiné než HTTP/S (například RDP, SSH, FTP), odchozí ochranu na úrovni sítě pro všechny porty a protokoly a ochranu na úrovni aplikace pro odchozí http/S.

Jaký je rozdíl mezi skupinami zabezpečení sítě (NSG) a službou Azure Firewall?

Azure Firewall doplňuje skupiny zabezpečení sítě, aby poskytovaly lepší zabezpečení sítě v "hloubkové ochraně". Skupiny zabezpečení sítě nabízejí filtrování provozu distribuované síťové vrstvy pro omezení provozu v rámci virtuálních sítí v každém předplatném. Azure Firewall poskytuje centralizovanou, plně stavovou síť a ochranu na úrovni aplikací napříč předplatnými a virtuálními sítěmi.

Podporují se skupiny zabezpečení sítě (NSG) ve službě AzureFirewallSubnet?

Azure Firewall je spravovaná služba s několika vrstvami ochrany, včetně ochrany platformy se skupinami zabezpečení sítě na úrovni síťových adaptérů (není možné je zobrazit). Skupiny zabezpečení sítě na úrovni podsítě se v AzureFirewallSubnet nevyžadují a jsou zakázané, aby se zabránilo přerušení služeb.

Jaká je přidaná hodnota služby Azure Firewall s privátními koncovými body?

Privátní koncové body jsou součástí služby Private Link, technologie, která umožňuje interakci se službami Azure PaaS pomocí privátních IP adres místo veřejných IP adres. Azure Firewall se dá použít k zabránění přístupu k veřejným IP adresám, a proto se vyhnete exfiltraci dat službám Azure, které nevyužívá Private Link, a také k implementaci zásad nulové důvěryhodnosti tím, že definujete, kdo ve vaší organizaci potřebuje přístup k těmto službám Azure PaaS, protože private Link ve výchozím nastavení otevírá síťový přístup pro celou podnikovou síť.

Správný návrh pro kontrolu provozu do privátních koncových bodů pomocí služby Azure Firewall bude záviset na vaší síťové architektuře. Další podrobnosti najdete v článku Scénáře služby Azure Firewall pro kontrolu provozu směřujícího do privátního koncového bodu.

Jaká je přidaná hodnota služby Azure Firewall s koncovými body služby pro virtuální síť?

Koncové body služeb virtuální sítě představují alternativu k privátnímu propojení, která řídí síťový přístup ke službám Azure PaaS. I když klient stále používá veřejné IP adresy pro přístup ke službě PaaS, zdrojová podsíť je viditelná, aby cílová služba PaaS mohl implementovat pravidla filtru a omezit přístup na základě podsítě. Podrobné porovnání oboumechanismůch

Pravidla aplikací služby Azure Firewall je možné použít k zajištění, aby nedošlo k exfiltraci dat na neautorní služby a k implementaci zásad přístupu se zvýšenou členitostí nad rámec úrovně podsítě. Koncové body služby virtuální sítě je obvykle potřeba povolit v podsíti klienta, který se připojí ke službě Azure. Při kontrole provozu do koncových bodů služby pomocí služby Azure Firewall ale musíte místo toho povolit odpovídající koncový bod služby v podsíti brány Azure Firewall a zakázat je v podsíti skutečného klienta (obvykle paprskové virtuální sítě). Tímto způsobem můžete pomocí pravidel aplikací ve službě Azure Firewall řídit, ke kterým službám Azure budou mít vaše úlohy Azure přístup.

Jaké jsou ceny služby Azure Firewall?

Podrobnosti o cenách najdete v tématu Ceny služby Azure Firewall.

Jaké jsou známé limity služby pro Azure Firewall?

Informace o omezeních služeb najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.

Kde Azure Firewall ukládá zákaznická data?

Azure Firewall nepřesunuje ani neukládá zákaznická data mimo oblast, ve které je nasazená.

Podporuje azure Firewall v zabezpečených virtuálních centrech (vWAN) v Kataru?

Ne, Azure Firewall v zabezpečených virtuálních centrech (vWAN) se v současné době nepodporuje v Kataru.

Podporované funkce a funkce

Podporuje Azure Firewall filtrování příchozího provozu?

Ano, Azure Firewall podporuje filtrování příchozího i odchozího provozu. Příchozí filtrování se obvykle používá pro protokoly jiné než HTTP, jako jsou RDP, SSH a FTP. U příchozího provozu HTTP a HTTPS zvažte použití brány firewall webových aplikací, jako je Azure Web Application Firewall (WAF) nebo přesměrování zpracování protokolu TLS a hloubkové kontroly paketů služby Azure Firewall Premium.

Podporuje Azure Firewall Basic vynucené tunelování?

Ano, Azure Firewall Basic podporuje vynucené tunelování.

Proč se zdá, že se tcp ping nebo podobný nástroj připojuje k cílovému plně kvalifikovanému názvu domény, i když to pravidlo neumožňuje?

Příkaz ping protokolu TCP se ve skutečnosti nepřipojuje k cílovému plně kvalifikovanému názvu domény. Azure Firewall blokuje připojení k jakékoli cílové IP adrese nebo plně kvalifikovanému názvu domény, pokud to pravidlo explicitně nepovoluje.

V případě příkazu ping tcp, pokud žádné pravidlo nepožaduje provoz, brána firewall sama odpoví na požadavek tcp ping klienta. Tato odpověď se nedosahuje cílové IP adresy ani plně kvalifikovaného názvu domény a není zaprotokolovaná. Pokud síťové pravidlo explicitně povoluje přístup k cílové IP adrese nebo plně kvalifikovanému názvu domény, požadavek ping dosáhne cílového serveru a jeho odpověď se předá zpět klientovi. Tato událost se protokoluje v protokolu pravidel sítě.

Podporuje Azure Firewall partnerský vztah protokolu BGP?

Ne, Azure Firewall nativně nepodporuje partnerský vztah protokolu BGP. Funkce tras SNAT autolearn však nepřímo využívá protokol BGP prostřednictvím Azure Route Serveru.

Správa a konfigurace

Jak můžu zastavit a spustit Službu Azure Firewall?

K uvolnění a přidělení služby Azure Firewall můžete použít Azure PowerShell. Proces se liší v závislosti na konfiguraci.

Pro bránu firewall bez síťové karty pro správu:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Pro bránu firewall se síťovým rozhraním pro správu:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Pro bránu firewall v zabezpečeném virtuálním centru:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Poznámka:

Při zastavení a spuštění brány firewall se fakturace zastaví a spustí odpovídajícím způsobem. Privátní IP adresa se ale může změnit, což může mít vliv na připojení, pokud jsou nakonfigurované směrovací tabulky.

Jak můžu nakonfigurovat zóny dostupnosti po nasazení?

Doporučuje se nakonfigurovat zóny dostupnosti během počátečního nasazení. Po nasazení je ale můžete po nasazení znovu nakonfigurovat, pokud:

• Brána firewall se nasadí ve virtuální síti (nepodporuje se v zabezpečených virtuálních centrech).
• Oblast podporuje zóny dostupnosti.
• Všechny připojené veřejné IP adresy jsou nakonfigurované se stejnými zónami.

Změna konfigurace zón dostupnosti:

1. Uvolněte bránu firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Aktualizujte konfiguraci zóny a přidělte bránu firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Existují nějaká omezení skupin prostředků brány Azure Firewall?

Ano:

• Brána Azure Firewall a virtuální síť musí být ve stejné skupině prostředků.
• Veřejná IP adresa může být v jiné skupině prostředků.
• Všechny prostředky (azure firewall, virtuální síť, veřejná IP adresa) musí být ve stejném předplatném.

Co znamená stav zřizování **Selhání***?

Stav neúspěšného zřizování značí, že aktualizace konfigurace selhala v jedné nebo více back-endových instancích. Azure Firewall zůstává funkční, ale konfigurace může být nekonzistentní. Opakujte aktualizaci, dokud se stav zřizování nezmění na Úspěch.

Jak Azure Firewall zpracovává plánovanou údržbu a neplánovaná selhání?

Azure Firewall používá konfiguraci aktivní-aktivní s několika back-endovými uzly. Během plánované údržby zajišťuje vyprazdňování připojení řádné aktualizace. V případě neplánovaných selhání nahradí nový uzel neúspěšný uzel a připojení se obvykle obnoví během 10 sekund.

Existuje pro název brány firewall limit znaků?

Ano, názvy bran firewall jsou omezené na 50 znaků.

Proč azure Firewall potřebuje velikost podsítě /26?

Podsíť /26 zajišťuje dostatečné IP adresy pro škálování, protože Azure Firewall zřídí další instance virtuálních počítačů.

Je potřeba změnit velikost podsítě brány firewall při škálování služby?

Ne, pro všechny scénáře škálování stačí podsíť /26.

Jak můžu zvýšit propustnost brány firewall?

Azure Firewall se automaticky škáluje na základě využití procesoru, propustnosti a počtu připojení. Kapacita propustnosti je od 2,5 do 3 Gb/s zpočátku až 30 Gb/s (skladová položka Úrovně Standard) nebo 100 Gb/s (SKU Premium).

Platí omezení počtu IP adres podporovaných skupinami IP adres?

Ano. Podrobnosti najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.

Můžu přesunout skupinu IP adres do jiné skupiny prostředků?

Ne, přesun skupiny IP adres do jiné skupiny prostředků se v současné době nepodporuje.

Jaký je časový limit nečinnosti protokolu TCP pro bránu Azure Firewall?

Standardním chováním síťové brány firewall je zajistit, aby byla připojení TCP stále aktivní, a aby je v případě, že nedošlo k žádné aktivitě, okamžitě je zavřete. Časový limit nečinnosti protokolu TCP služby Azure Firewall je čtyři minuty. Toto nastavení není konfigurovatelné uživatelem, ale můžete kontaktovat podporu Azure a zvýšit časový limit nečinnosti pro příchozí a odchozí připojení až o 15 minut. Časový limit nečinnosti pro provoz východ-západ nejde změnit.

Pokud je doba nečinnosti delší než hodnota časového limitu, není zaručeno, že se udržuje relace TCP nebo HTTP. Běžným postupem je použití protokolu TCP s udržováním naživu. Tento postup udržuje připojení aktivní po delší dobu. Další informace najdete v příkladech .NET.

Můžu nasadit službu Azure Firewall bez veřejné IP adresy?

Ano, ale bránu firewall musíte nakonfigurovat v režimu vynuceného tunelování. Tato konfigurace vytvoří rozhraní pro správu s veřejnou IP adresou, kterou azure Firewall používá pro své operace. Tato veřejná IP adresa je určená pro provoz správy. Používá se výhradně platformou Azure a nedá se použít k žádnému jinému účelu. Síť datových cest tenanta je možné nakonfigurovat bez veřejné IP adresy a internetový provoz je možné vynutit tunelování do jiné brány firewall nebo úplně zablokované.

Existuje způsob, jak automaticky zálohovat službu Azure Firewall a zásady?

Ano. Další informace najdete v tématu Zálohování služby Azure Firewall a zásad služby Azure Firewall pomocí Logic Apps.

Připojení a směrování

Jak nastavím Azure Firewall s koncovými body služby?

Pro zabezpečený přístup ke službám PaaS doporučujeme koncové body služby. Můžete povolit koncové body služeb v podsíti služby Azure Firewall a zakázat je v připojených hvězdicových virtuálních sítích. Díky tomu můžete využívat obě funkce: zabezpečení koncového bodu služby a centrální protokolování pro veškerý provoz.

Může Azure Firewall v centrální virtuální síti předávat a filtrovat síťový provoz mezi více paprskovými virtuálními sítěmi?

Ano, k směrování a filtrování provozu mezi více paprskovými virtuálními sítěmi můžete použít službu Azure Firewall v centrální virtuální síti. Podsítě v každé paprskové virtuální síti musí mít trasu definovanou uživatelem odkazující na azure Firewall jako výchozí bránu, aby tento scénář fungoval správně.

Může Azure Firewall předávat a filtrovat síťový provoz mezi podsítěmi ve stejné virtuální síti nebo partnerskými virtuálními sítěmi?

Ano. Konfigurace trasy definované uživatelem pro přesměrování provozu mezi podsítěmi ve stejné virtuální síti ale vyžaduje větší pozornost. Při použití rozsahu adres virtuální sítě jako cílové předpony trasy definované uživatelem je dostačující, ale také směruje veškerý provoz z jednoho počítače do jiného počítače ve stejné podsíti prostřednictvím instance služby Azure Firewall. Abyste tomu předešli, zahrňte trasu pro podsíť v trasy definované uživatelem s typem dalšího segmentu směrování virtuální sítě. Správa těchto tras může být těžkopádná a náchylná k chybám. Doporučeným způsobem pro segmentaci interní sítě je použití skupin zabezpečení sítě, které nevyžadují trasy definované uživatelem.

Provádí Azure Firewall odchozí SNAT mezi privátními sítěmi?

Azure Firewall se nenachází v případě, že cílová IP adresa je privátní rozsah IP adres na IANA RFC 1918 nebo IANA RFC 6598 pro privátní sítě. Pokud vaše organizace používá rozsah veřejných IP adres pro privátní sítě, Azure Firewall SNAT provoz na jednu z privátních IP adres brány firewall v AzureFirewallSubnetu. Službu Azure Firewall můžete nakonfigurovat tak, aby neobsála rozsah veřejných IP adres. Další informace najdete v tématu Rozsahy privátních IP adres pro SNAT služby Azure Firewall.

Kromě toho se provoz zpracovávaný pravidly aplikace vždy používá SNAT. Pokud chcete zobrazit původní zdrojovou IP adresu v protokolech pro provoz plně kvalifikovaného názvu domény, můžete použít pravidla sítě s cílovým plně kvalifikovaným názvem domény.

Podporuje se vynucené tunelování nebo řetězení síťového virtuálního zařízení?

Vynucené tunelování se podporuje při vytváření nové brány firewall. Pro vynucené tunelování nemůžete nakonfigurovat existující bránu firewall. Další informace najdete v části Vynucené tunelování Azure Firewall.

Služba Azure Firewall musí mít přímé připojení k internetu. Pokud vaše služba AzureFirewallSubnet zjistí výchozí trasu do vaší místní sítě prostřednictvím protokolu BGP, musíte ji přepsat hodnotou 0.0.0.0.0/0 s hodnotou NextHopType nastavenou jako internet , aby se zachovalo přímé připojení k internetu.

Pokud vaše konfigurace vyžaduje vynucené tunelování do místní sítě a můžete určit předpony cílových IP adres pro vaše cíle internetu, můžete tyto rozsahy nakonfigurovat s místní sítí jako další segment směrování přes trasu definovanou uživatelem v podsítě AzureFirewallSubnet. Nebo můžete tyto trasy definovat pomocí protokolu BGP.

Jak fungují zástupné cardy v cílových adresách URL a cílových plně kvalifikovaných názvů domén v pravidlech aplikace?

• URL – Hvězdičky fungují při umístění na pravé nebo levé straně. Pokud je na levé straně, nemůže být součástí plně kvalifikovaného názvu domény.
• Plně kvalifikovaný název domény – hvězdičky fungují při umístění na levé straně.
• GENERAL - Hvězdičky na levé straně znamenají doslova cokoli na levé straně, což znamená, že několik subdomén a/nebo potenciálně nežádoucí varianty názvu domény se shodují – podívejte se na následující příklady.

Příklady:

Typ	Pravidlo	Podporováno?	Pozitivní příklady
Cílová adresa URL	www.contoso.com	Ano	www.contoso.com www.contoso.com/
Cílová adresa URL	*.contoso.com	Ano	any.contoso.com/ sub1.any.contoso.com
Cílová adresa URL	*contoso.com	Ano	example.anycontoso.com sub1.example.contoso.com contoso.com Upozornění: Toto použití zástupných znaků také umožňuje potenciálně nežádoucí/rizikové varianty, jako th3re4lcontoso.com je – používejte s opatrností.
Cílová adresa URL	www.contoso.com/test	Ano	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
Cílová adresa URL	www.contoso.com/test/*	Ano	www.contoso.com/test/anything Poznámka: www.contoso.com/testneodpovídá (poslední lomítko)
Cílová adresa URL	www.contoso.*/test/*	Ne
Cílová adresa URL	www.contoso.com/test?example=1	Ne
Cílová adresa URL	www.contoso.*	Ne
Cílová adresa URL	www.*contoso.com	Ne
Cílová adresa URL	www.contoso.com:8080	Ne
Cílová adresa URL	*.contoso.*	Ne
CílovýFQDN	www.contoso.com	Ano	www.contoso.com
CílovýFQDN	*.contoso.com	Ano	any.contoso.com Poznámka: Pokud chcete výslovně povolit contoso.com, musíte do pravidla zahrnout contoso.com. Jinak se připojení ve výchozím nastavení zahodí, protože požadavek neodpovídá žádnému pravidlu.
CílovýFQDN	*contoso.com	Ano	example.anycontoso.com contoso.com
CílovýFQDN	www.contoso.*	Ne
CílovýFQDN	*.contoso.*	Ne

Povoluje služba Azure Firewall ve výchozím nastavení přístup ke službě Active Directory?

Ne. Azure Firewall standardně blokuje přístup ke službě Active Directory. Pokud chcete povolit přístup, nakonfigurujte značku služby AzureActiveDirectory. Další informace najdete v tématu Značky služeb Azure Firewall.

Můžu vyloučit plně kvalifikovaný název domény nebo IP adresu z filtrování založeného na službě Azure Firewall Threat Intelligence?

Ano, k tomu můžete použít Azure PowerShell:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Proč se může příkaz ping TCP a podobné nástroje úspěšně připojit k cílovému plně kvalifikovanému názvu domény i v případě, že žádné pravidlo ve službě Azure Firewall tento provoz neumožňuje?

Příkaz ping tcp se ve skutečnosti nepřipojuje k cílovému plně kvalifikovanému názvu domény. Azure Firewall neumožňuje připojení k žádné cílové IP adrese nebo plně kvalifikovanému názvu domény, pokud neexistuje explicitní pravidlo, které to povoluje.

Tcp ping je jedinečný případ použití, kdy pokud neexistuje žádné povolené pravidlo, brána firewall sama reaguje na požadavek tcp ping klienta, i když příkaz ping tcp nedosahuje cílové IP adresy nebo plně kvalifikovaného názvu domény. V takovém případě se událost nezaprotokoluje. Pokud existuje pravidlo sítě, které povoluje přístup k cílové IP adrese nebo plně kvalifikovanému názvu domény, požadavek ping dosáhne cílového serveru a jeho odpověď se předá zpět klientovi. Tato událost se protokoluje v protokolu pravidel sítě.

Platí omezení počtu IP adres podporovaných skupinami IP adres?

Ano. Další informace najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.

Můžu přesunout skupinu IP adres do jiné skupiny prostředků?

Ne, přesun skupiny IP adres do jiné skupiny prostředků se v současné době nepodporuje.

Jaký je časový limit nečinnosti protokolu TCP pro bránu Azure Firewall?

Standardním chováním síťové brány firewall je zajistit, aby byla připojení TCP stále aktivní, a aby je v případě, že nedošlo k žádné aktivitě, okamžitě je zavřete. Časový limit nečinnosti protokolu TCP služby Azure Firewall je čtyři minuty. Toto nastavení není konfigurovatelné uživatelem, ale můžete kontaktovat podporu Azure a zvýšit časový limit nečinnosti pro příchozí a odchozí připojení až o 15 minut. Časový limit nečinnosti pro provoz východ-západ nejde změnit.

Pokud je doba nečinnosti delší než hodnota časového limitu, není zaručeno, že se udržuje relace TCP nebo HTTP. Běžným postupem je použití protokolu TCP s udržováním naživu. Tento postup udržuje připojení aktivní po delší dobu. Další informace najdete v příkladech .NET.

Můžu nasadit službu Azure Firewall bez veřejné IP adresy?

Ano, ale bránu firewall musíte nakonfigurovat v režimu vynuceného tunelování. Tato konfigurace vytvoří rozhraní pro správu s veřejnou IP adresou, kterou azure Firewall používá pro své operace. Tato veřejná IP adresa je určená pro provoz správy. Používá se výhradně platformou Azure a nedá se použít k žádnému jinému účelu. Síť datových cest tenanta je možné nakonfigurovat bez veřejné IP adresy a internetový provoz je možné vynutit tunelování do jiné brány firewall nebo úplně zablokované.

Kde Azure Firewall ukládá zákaznická data?

Azure Firewall nepřesouvají ani neukládají zákaznická data z oblasti, ve které jsou nasazená.

Existuje způsob, jak automaticky zálohovat službu Azure Firewall a zásady?

Ano. Další informace najdete v tématu Zálohování služby Azure Firewall a zásad služby Azure Firewall pomocí Logic Apps.

Podporuje azure Firewall v zabezpečených virtuálních centrech (vWAN) v Kataru?

Ne, azure Firewall v zabezpečených virtuálních centrech (vWAN) se v Kataru v současné době nepodporuje.

Kolik paralelních připojení podporuje Azure Firewall?

Azure Firewall používá virtuální počítače Azure, pod kterými je omezený počet připojení. Celkový počet aktivních připojení na virtuální počítač je 250 tisíc.

Celkový limit na bránu firewall je limit připojení virtuálního počítače (250 tisíc) × počet virtuálních počítačů v back-endovém fondu brány firewall. Azure Firewall začíná dvěma virtuálními počítači a škáluje kapacitu na základě využití a propustnosti procesoru.

Jaké je chování opakovaného použití portu SNAT TCP/UDP ve službě Azure Firewall?

Azure Firewall aktuálně používá zdrojové porty TCP/UDP pro odchozí provoz SNAT bez doby čekání na nečinnost. Po zavření připojení TCP/UDP se použitý port TCP okamžitě zobrazí jako dostupný pro nadcházející připojení.

Jako alternativní řešení pro určité architektury můžete nasadit a škálovat pomocí služby NAT Gateway se službou Azure Firewall , abyste zajistili širší fond portů SNAT pro proměnlivost a dostupnost.

Co jsou chování překladu adres (NAT) ve službě Azure Firewall?

Konkrétní chování překladu adres (NAT) závisí na konfiguraci brány firewall a typu nakonfigurovaného překladu adres (NAT). Brána firewall má například pravidla DNAT pro příchozí provoz a pravidla sítě a pravidla aplikací pro odchozí provoz přes bránu firewall.

Další informace najdete v tématu Chování překladu adres (NAT) služby Azure Firewall.

Časové limity a škálování

Jak funguje vyprazdňování připojení?

V případě jakékoli plánované údržby logika vyprázdnění připojení řádně aktualizuje back-endové uzly. Azure Firewall čeká 90 sekund, než se stávající připojení zavře. Během prvních 45 sekund back-endový uzel nepřijímá nová připojení a ve zbývající době reaguje RST na všechny příchozí pakety. V případě potřeby můžou klienti automaticky znovu navázat připojení k jinému back-endovému uzlu.

Jak Azure Firewall zpracovává vypnutí instancí virtuálních počítačů během škálování škálovací sady virtuálních počítačů ve (vertikálním snížení kapacity) nebo upgradech softwaru pro flotilu?

K vypnutí instance virtuálního počítače azure Firewall může dojít během škálování škálovací sady virtuálních počítačů (vertikální snížení kapacity) nebo během upgradu softwaru pro flotilu. V těchto případech jsou nová příchozí připojení vyvážená do zbývajících instancí brány firewall a nepřesměrovávají se do instance brány firewall. Po 45 sekundách začne brána firewall odmítat stávající připojení odesláním paketů TCP RST. Po dalších 45 sekundách se virtuální počítač brány firewall vypne. Další informace naleznete v tématu Load Balancer TCP Reset and Idle Timeout.

Jak dlouho trvá horizontální navýšení kapacity služby Azure Firewall?

Azure Firewall postupně škáluje v případě, že průměrná propustnost nebo spotřeba procesoru je na 60 % nebo využití připojení je na 80 %. Například začne škálovat na více instancí, když dosáhne 60 % maximální propustnosti. Maximální počet propustnosti se liší podle skladové položky a povolených funkcí služby Azure Firewall. Další informace najdete v části Výkon služby Azure Firewall.

Horizontální navýšení kapacity trvá pět až sedm minut. Při testování výkonu se ujistěte, že testujete alespoň 10 až 15 minut a spustíte nová připojení, abyste mohli využívat nově vytvořených uzlů služby Azure Firewall.

Jak Azure Firewall zpracovává časové limity nečinnosti?

Pokud má připojení časový limit nečinnosti (čtyři minuty bez aktivity), Služba Azure Firewall připojení řádně ukončí odesláním paketu TCP RST.

Údržba řízená zákazníkem

Jaký typ údržby podporuje údržba řízená zákazníkem?

Služby Azure procházejí pravidelnými aktualizacemi údržby za účelem vylepšení funkčnosti, spolehlivosti, výkonu a zabezpečení. Při nakonfigurované době údržby se během tohoto časového období provádí údržba hostovaného operačního systému a údržba služeb. Údržba řízená zákazníkem ale nezahrnuje aktualizace hostitele ani důležité aktualizace zabezpečení.

Můžu upřesňující oznámení o události údržby?

Rozšířená oznámení o údržbě služby Azure Firewall nejsou dostupná.

Můžu nakonfigurovat časové období údržby kratší než pět hodin?

Ne, vyžaduje se minimální pětihodinová doba údržby.

Můžu nakonfigurovat jiné časové období údržby než denní plán?

Ne, časové intervaly údržby se momentálně konfigurují tak, aby se opakovaly každý den.

Existují případy, kdy nemůžu řídit určité aktualizace?

Údržba řízená zákazníkem podporuje aktualizace hostovaného operačního systému a služeb, které jsou pro zákazníky nejdůležitější. Některé aktualizace, jako jsou aktualizace hostitelů, jsou však mimo rozsah údržby řízené zákazníkem. Ve výjimečných případech můžeme vaši kontrolu nad časovým obdobím údržby přepsat, abychom vyřešili problémy se zabezpečením s vysokou závažností.

Musí být prostředky konfigurace údržby ve stejné oblasti jako Azure Firewall?

Ano.

Můžeme pro jednu bránu Azure Firewall vytvořit více než jednu konfiguraci údržby?

Ne. V současné době je možné ke službě Azure Firewall přidružit pouze jednu konfiguraci údržby.

Které skladové položky služby Azure Firewall můžu nakonfigurovat tak, aby používaly údržbu řízenou zákazníkem?

Všechny skladové položky služby Azure Firewall – Basic, Standard a Premium podporují údržbu řízenou zákazníky.

Jak dlouho trvá, než se zásady konfigurace údržby projeví po přiřazení ke službě Azure Firewall?

Po přidružení zásad údržby může trvat až 24 hodin, než azure Firewall bude postupovat podle plánu údržby.

Naplánoval(a) jsem časové období údržby pro budoucí datum pro některý z prostředků služby Azure Firewall. Jsou aktivity údržby u tohoto prostředku pozastavené do té doby?

Aktivity údržby ve službě Azure Firewall se během období před časovým obdobím plánované údržby pozastaví. V případě dnů, které nejsou součástí plánu údržby, budou pravidelné operace údržby pokračovat obvyklým způsobem u prostředku.

Jak zjistím další informace o údržbě řízené zákazníkem ve službě Azure Firewall?

Další informace najdete v tématu Konfigurace údržby řízené zákazníkem.

Azure Firewall je spravovaná cloudová služba síťového zabezpečení, která chrání vaše prostředky ve virtuálních sítích Azure. Jedná se o plně stavovou bránu firewall jako službu s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení k aplikacím a sítím napříč různými předplatnými a virtuálními sítěmi.

Podrobný seznam funkcí služby Azure Firewall najdete v tématu Funkce služby Azure Firewall.

Azure Firewall je možné nasadit v libovolné virtuální síti. Obvykle se ale nasadí do centrální virtuální sítě v hvězdicovém modelu s dalšími virtuálními sítěmi, které jsou s ním v partnerském vztahu. Výchozí trasa z partnerských virtuálních sítí je nastavená tak, aby odkazovala na tuto centrální virtuální síť brány firewall. Globální partnerský vztah virtuálních sítí se sice podporuje, ale nedoporučuje se kvůli potenciálním problémům s výkonem a latencí napříč oblastmi. Pro zajištění optimálního výkonu nasaďte jednu bránu firewall pro každou oblast.

Tento model umožňuje centralizovanou kontrolu nad více paprskovými virtuálními sítěmi napříč různými předplatnými a nabízí úspory nákladů tím, že se vyhnete nutnosti nasazovat bránu firewall v každé virtuální síti. Úspory nákladů by se měly vyhodnotit oproti souvisejícím nákladům na partnerský vztah na základě vzorů provozu.

Azure Firewall je možné nasadit pomocí webu Azure Portal, PowerShellu, rozhraní REST API nebo šablon. Podrobné pokyny najdete v tématu Kurz: Nasazení a konfigurace služby Azure Firewall pomocí webu Azure Portal.

Azure Firewall používá pravidla a kolekce pravidel. Kolekce pravidel je sada pravidel se stejným pořadím a prioritou. Kolekce pravidel se spouštějí v pořadí priority. Kolekce pravidel DNAT mají vyšší prioritu než kolekce pravidel sítě, které mají zase vyšší prioritu než kolekce pravidel aplikace. Všechna pravidla se ukončují.

Existují tři typy kolekcí pravidel:

• Pravidla aplikace: Nakonfigurujte plně kvalifikované názvy domén (FQDN), ke kterým je možné přistupovat z virtuální sítě.
• Pravidla sítě: Nakonfigurujte pravidla se zdrojovými adresami, protokoly, cílovými porty a cílovými adresami.
• Pravidla překladu adres (NAT): Nakonfigurujte pravidla DNAT tak, aby umožňovala příchozí připojení k internetu nebo intranetu (Preview).

Další informace najdete v tématu Konfigurace pravidel brány Azure Firewall.

Azure Firewall se integruje se službou Azure Monitor pro zobrazení a analýzu protokolů. Protokoly je možné odesílat do Log Analytics, Azure Storage nebo Event Hubs a analyzovat je pomocí nástrojů, jako jsou Log Analytics, Excel nebo Power BI. Další informace najdete v tématu Kurz: Monitorování protokolů brány Azure Firewall.

Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání prostředky virtuální sítě. Jedná se o plně stavovou bránu firewall jako službu s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Je předem integrovaný s poskytovateli zabezpečení jako služby (SECaaS) třetích stran, aby se zlepšilo zabezpečení virtuální sítě a připojení k internetu větví. Další informace najdete v tématu Zabezpečení sítě Azure.

WaF služby Application Gateway poskytuje centralizovanou příchozí ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Azure Firewall poskytuje příchozí ochranu pro protokoly jiné než HTTP/S (například RDP, SSH, FTP), odchozí ochranu na úrovni sítě pro všechny porty a protokoly a ochranu na úrovni aplikace pro odchozí http/S.

Azure Firewall doplňuje skupiny zabezpečení sítě, aby poskytovaly lepší zabezpečení sítě v "hloubkové ochraně". Skupiny zabezpečení sítě nabízejí filtrování provozu distribuované síťové vrstvy pro omezení provozu v rámci virtuálních sítí v každém předplatném. Azure Firewall poskytuje centralizovanou, plně stavovou síť a ochranu na úrovni aplikací napříč předplatnými a virtuálními sítěmi.

Azure Firewall je spravovaná služba s několika vrstvami ochrany, včetně ochrany platformy se skupinami zabezpečení sítě na úrovni síťových adaptérů (není možné je zobrazit). Skupiny zabezpečení sítě na úrovni podsítě se v AzureFirewallSubnet nevyžadují a jsou zakázané, aby se zabránilo přerušení služeb.

Privátní koncové body jsou součástí služby Private Link, technologie, která umožňuje interakci se službami Azure PaaS pomocí privátních IP adres místo veřejných IP adres. Azure Firewall se dá použít k zabránění přístupu k veřejným IP adresám, a proto se vyhnete exfiltraci dat službám Azure, které nevyužívá Private Link, a také k implementaci zásad nulové důvěryhodnosti tím, že definujete, kdo ve vaší organizaci potřebuje přístup k těmto službám Azure PaaS, protože private Link ve výchozím nastavení otevírá síťový přístup pro celou podnikovou síť.

Správný návrh pro kontrolu provozu do privátních koncových bodů pomocí služby Azure Firewall bude záviset na vaší síťové architektuře. Další podrobnosti najdete v článku Scénáře služby Azure Firewall pro kontrolu provozu směřujícího do privátního koncového bodu.

Koncové body služeb virtuální sítě představují alternativu k privátnímu propojení, která řídí síťový přístup ke službám Azure PaaS. I když klient stále používá veřejné IP adresy pro přístup ke službě PaaS, zdrojová podsíť je viditelná, aby cílová služba PaaS mohl implementovat pravidla filtru a omezit přístup na základě podsítě. Podrobné porovnání oboumechanismůch

Pravidla aplikací služby Azure Firewall je možné použít k zajištění, aby nedošlo k exfiltraci dat na neautorní služby a k implementaci zásad přístupu se zvýšenou členitostí nad rámec úrovně podsítě. Koncové body služby virtuální sítě je obvykle potřeba povolit v podsíti klienta, který se připojí ke službě Azure. Při kontrole provozu do koncových bodů služby pomocí služby Azure Firewall ale musíte místo toho povolit odpovídající koncový bod služby v podsíti brány Azure Firewall a zakázat je v podsíti skutečného klienta (obvykle paprskové virtuální sítě). Tímto způsobem můžete pomocí pravidel aplikací ve službě Azure Firewall řídit, ke kterým službám Azure budou mít vaše úlohy Azure přístup.

Podrobnosti o cenách najdete v tématu Ceny služby Azure Firewall.

Informace o omezeních služeb najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.

Azure Firewall nepřesunuje ani neukládá zákaznická data mimo oblast, ve které je nasazená.

Ne, Azure Firewall v zabezpečených virtuálních centrech (vWAN) se v současné době nepodporuje v Kataru.

Ano, Azure Firewall podporuje filtrování příchozího i odchozího provozu. Příchozí filtrování se obvykle používá pro protokoly jiné než HTTP, jako jsou RDP, SSH a FTP. U příchozího provozu HTTP a HTTPS zvažte použití brány firewall webových aplikací, jako je Azure Web Application Firewall (WAF) nebo přesměrování zpracování protokolu TLS a hloubkové kontroly paketů služby Azure Firewall Premium.

Ano, Azure Firewall Basic podporuje vynucené tunelování.

Příkaz ping protokolu TCP se ve skutečnosti nepřipojuje k cílovému plně kvalifikovanému názvu domény. Azure Firewall blokuje připojení k jakékoli cílové IP adrese nebo plně kvalifikovanému názvu domény, pokud to pravidlo explicitně nepovoluje.

V případě příkazu ping tcp, pokud žádné pravidlo nepožaduje provoz, brána firewall sama odpoví na požadavek tcp ping klienta. Tato odpověď se nedosahuje cílové IP adresy ani plně kvalifikovaného názvu domény a není zaprotokolovaná. Pokud síťové pravidlo explicitně povoluje přístup k cílové IP adrese nebo plně kvalifikovanému názvu domény, požadavek ping dosáhne cílového serveru a jeho odpověď se předá zpět klientovi. Tato událost se protokoluje v protokolu pravidel sítě.

Ne, Azure Firewall nativně nepodporuje partnerský vztah protokolu BGP. Funkce tras SNAT autolearn však nepřímo využívá protokol BGP prostřednictvím Azure Route Serveru.

K uvolnění a přidělení služby Azure Firewall můžete použít Azure PowerShell. Proces se liší v závislosti na konfiguraci.

Pro bránu firewall bez síťové karty pro správu:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Pro bránu firewall se síťovým rozhraním pro správu:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Pro bránu firewall v zabezpečeném virtuálním centru:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Poznámka:

Při zastavení a spuštění brány firewall se fakturace zastaví a spustí odpovídajícím způsobem. Privátní IP adresa se ale může změnit, což může mít vliv na připojení, pokud jsou nakonfigurované směrovací tabulky.

Doporučuje se nakonfigurovat zóny dostupnosti během počátečního nasazení. Po nasazení je ale můžete po nasazení znovu nakonfigurovat, pokud:

• Brána firewall se nasadí ve virtuální síti (nepodporuje se v zabezpečených virtuálních centrech).
• Oblast podporuje zóny dostupnosti.
• Všechny připojené veřejné IP adresy jsou nakonfigurované se stejnými zónami.

Změna konfigurace zón dostupnosti:

1. Uvolněte bránu firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Aktualizujte konfiguraci zóny a přidělte bránu firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Ano:

• Brána Azure Firewall a virtuální síť musí být ve stejné skupině prostředků.
• Veřejná IP adresa může být v jiné skupině prostředků.
• Všechny prostředky (azure firewall, virtuální síť, veřejná IP adresa) musí být ve stejném předplatném.

Stav neúspěšného zřizování značí, že aktualizace konfigurace selhala v jedné nebo více back-endových instancích. Azure Firewall zůstává funkční, ale konfigurace může být nekonzistentní. Opakujte aktualizaci, dokud se stav zřizování nezmění na Úspěch.

Azure Firewall používá konfiguraci aktivní-aktivní s několika back-endovými uzly. Během plánované údržby zajišťuje vyprazdňování připojení řádné aktualizace. V případě neplánovaných selhání nahradí nový uzel neúspěšný uzel a připojení se obvykle obnoví během 10 sekund.

Ano, názvy bran firewall jsou omezené na 50 znaků.

Podsíť /26 zajišťuje dostatečné IP adresy pro škálování, protože Azure Firewall zřídí další instance virtuálních počítačů.

Ne, pro všechny scénáře škálování stačí podsíť /26.

Azure Firewall se automaticky škáluje na základě využití procesoru, propustnosti a počtu připojení. Kapacita propustnosti je od 2,5 do 3 Gb/s zpočátku až 30 Gb/s (skladová položka Úrovně Standard) nebo 100 Gb/s (SKU Premium).

Ano. Podrobnosti najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.

Ne, přesun skupiny IP adres do jiné skupiny prostředků se v současné době nepodporuje.

Standardním chováním síťové brány firewall je zajistit, aby byla připojení TCP stále aktivní, a aby je v případě, že nedošlo k žádné aktivitě, okamžitě je zavřete. Časový limit nečinnosti protokolu TCP služby Azure Firewall je čtyři minuty. Toto nastavení není konfigurovatelné uživatelem, ale můžete kontaktovat podporu Azure a zvýšit časový limit nečinnosti pro příchozí a odchozí připojení až o 15 minut. Časový limit nečinnosti pro provoz východ-západ nejde změnit.

Pokud je doba nečinnosti delší než hodnota časového limitu, není zaručeno, že se udržuje relace TCP nebo HTTP. Běžným postupem je použití protokolu TCP s udržováním naživu. Tento postup udržuje připojení aktivní po delší dobu. Další informace najdete v příkladech .NET.

Ano, ale bránu firewall musíte nakonfigurovat v režimu vynuceného tunelování. Tato konfigurace vytvoří rozhraní pro správu s veřejnou IP adresou, kterou azure Firewall používá pro své operace. Tato veřejná IP adresa je určená pro provoz správy. Používá se výhradně platformou Azure a nedá se použít k žádnému jinému účelu. Síť datových cest tenanta je možné nakonfigurovat bez veřejné IP adresy a internetový provoz je možné vynutit tunelování do jiné brány firewall nebo úplně zablokované.

Ano. Další informace najdete v tématu Zálohování služby Azure Firewall a zásad služby Azure Firewall pomocí Logic Apps.

Pro zabezpečený přístup ke službám PaaS doporučujeme koncové body služby. Můžete povolit koncové body služeb v podsíti služby Azure Firewall a zakázat je v připojených hvězdicových virtuálních sítích. Díky tomu můžete využívat obě funkce: zabezpečení koncového bodu služby a centrální protokolování pro veškerý provoz.

Ano, k směrování a filtrování provozu mezi více paprskovými virtuálními sítěmi můžete použít službu Azure Firewall v centrální virtuální síti. Podsítě v každé paprskové virtuální síti musí mít trasu definovanou uživatelem odkazující na azure Firewall jako výchozí bránu, aby tento scénář fungoval správně.

Ano. Konfigurace trasy definované uživatelem pro přesměrování provozu mezi podsítěmi ve stejné virtuální síti ale vyžaduje větší pozornost. Při použití rozsahu adres virtuální sítě jako cílové předpony trasy definované uživatelem je dostačující, ale také směruje veškerý provoz z jednoho počítače do jiného počítače ve stejné podsíti prostřednictvím instance služby Azure Firewall. Abyste tomu předešli, zahrňte trasu pro podsíť v trasy definované uživatelem s typem dalšího segmentu směrování virtuální sítě. Správa těchto tras může být těžkopádná a náchylná k chybám. Doporučeným způsobem pro segmentaci interní sítě je použití skupin zabezpečení sítě, které nevyžadují trasy definované uživatelem.

Azure Firewall se nenachází v případě, že cílová IP adresa je privátní rozsah IP adres na IANA RFC 1918 nebo IANA RFC 6598 pro privátní sítě. Pokud vaše organizace používá rozsah veřejných IP adres pro privátní sítě, Azure Firewall SNAT provoz na jednu z privátních IP adres brány firewall v AzureFirewallSubnetu. Službu Azure Firewall můžete nakonfigurovat tak, aby neobsála rozsah veřejných IP adres. Další informace najdete v tématu Rozsahy privátních IP adres pro SNAT služby Azure Firewall.

Kromě toho se provoz zpracovávaný pravidly aplikace vždy používá SNAT. Pokud chcete zobrazit původní zdrojovou IP adresu v protokolech pro provoz plně kvalifikovaného názvu domény, můžete použít pravidla sítě s cílovým plně kvalifikovaným názvem domény.

Vynucené tunelování se podporuje při vytváření nové brány firewall. Pro vynucené tunelování nemůžete nakonfigurovat existující bránu firewall. Další informace najdete v části Vynucené tunelování Azure Firewall.

Služba Azure Firewall musí mít přímé připojení k internetu. Pokud vaše služba AzureFirewallSubnet zjistí výchozí trasu do vaší místní sítě prostřednictvím protokolu BGP, musíte ji přepsat hodnotou 0.0.0.0.0/0 s hodnotou NextHopType nastavenou jako internet , aby se zachovalo přímé připojení k internetu.

Pokud vaše konfigurace vyžaduje vynucené tunelování do místní sítě a můžete určit předpony cílových IP adres pro vaše cíle internetu, můžete tyto rozsahy nakonfigurovat s místní sítí jako další segment směrování přes trasu definovanou uživatelem v podsítě AzureFirewallSubnet. Nebo můžete tyto trasy definovat pomocí protokolu BGP.

• URL – Hvězdičky fungují při umístění na pravé nebo levé straně. Pokud je na levé straně, nemůže být součástí plně kvalifikovaného názvu domény.
• Plně kvalifikovaný název domény – hvězdičky fungují při umístění na levé straně.
• GENERAL - Hvězdičky na levé straně znamenají doslova cokoli na levé straně, což znamená, že několik subdomén a/nebo potenciálně nežádoucí varianty názvu domény se shodují – podívejte se na následující příklady.

Příklady:

Typ	Pravidlo	Podporováno?	Pozitivní příklady
Cílová adresa URL	www.contoso.com	Ano	www.contoso.com www.contoso.com/
Cílová adresa URL	*.contoso.com	Ano	any.contoso.com/ sub1.any.contoso.com
Cílová adresa URL	*contoso.com	Ano	example.anycontoso.com sub1.example.contoso.com contoso.com Upozornění: Toto použití zástupných znaků také umožňuje potenciálně nežádoucí/rizikové varianty, jako th3re4lcontoso.com je – používejte s opatrností.
Cílová adresa URL	www.contoso.com/test	Ano	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
Cílová adresa URL	www.contoso.com/test/*	Ano	www.contoso.com/test/anything Poznámka: www.contoso.com/testneodpovídá (poslední lomítko)
Cílová adresa URL	www.contoso.*/test/*	Ne
Cílová adresa URL	www.contoso.com/test?example=1	Ne
Cílová adresa URL	www.contoso.*	Ne
Cílová adresa URL	www.*contoso.com	Ne
Cílová adresa URL	www.contoso.com:8080	Ne
Cílová adresa URL	*.contoso.*	Ne
CílovýFQDN	www.contoso.com	Ano	www.contoso.com
CílovýFQDN	*.contoso.com	Ano	any.contoso.com Poznámka: Pokud chcete výslovně povolit contoso.com, musíte do pravidla zahrnout contoso.com. Jinak se připojení ve výchozím nastavení zahodí, protože požadavek neodpovídá žádnému pravidlu.
CílovýFQDN	*contoso.com	Ano	example.anycontoso.com contoso.com
CílovýFQDN	www.contoso.*	Ne
CílovýFQDN	*.contoso.*	Ne

Ne. Azure Firewall standardně blokuje přístup ke službě Active Directory. Pokud chcete povolit přístup, nakonfigurujte značku služby AzureActiveDirectory. Další informace najdete v tématu Značky služeb Azure Firewall.

Ano, k tomu můžete použít Azure PowerShell:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Příkaz ping tcp se ve skutečnosti nepřipojuje k cílovému plně kvalifikovanému názvu domény. Azure Firewall neumožňuje připojení k žádné cílové IP adrese nebo plně kvalifikovanému názvu domény, pokud neexistuje explicitní pravidlo, které to povoluje.

Tcp ping je jedinečný případ použití, kdy pokud neexistuje žádné povolené pravidlo, brána firewall sama reaguje na požadavek tcp ping klienta, i když příkaz ping tcp nedosahuje cílové IP adresy nebo plně kvalifikovaného názvu domény. V takovém případě se událost nezaprotokoluje. Pokud existuje pravidlo sítě, které povoluje přístup k cílové IP adrese nebo plně kvalifikovanému názvu domény, požadavek ping dosáhne cílového serveru a jeho odpověď se předá zpět klientovi. Tato událost se protokoluje v protokolu pravidel sítě.

Ano. Další informace najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.

Ne, přesun skupiny IP adres do jiné skupiny prostředků se v současné době nepodporuje.

Standardním chováním síťové brány firewall je zajistit, aby byla připojení TCP stále aktivní, a aby je v případě, že nedošlo k žádné aktivitě, okamžitě je zavřete. Časový limit nečinnosti protokolu TCP služby Azure Firewall je čtyři minuty. Toto nastavení není konfigurovatelné uživatelem, ale můžete kontaktovat podporu Azure a zvýšit časový limit nečinnosti pro příchozí a odchozí připojení až o 15 minut. Časový limit nečinnosti pro provoz východ-západ nejde změnit.

Pokud je doba nečinnosti delší než hodnota časového limitu, není zaručeno, že se udržuje relace TCP nebo HTTP. Běžným postupem je použití protokolu TCP s udržováním naživu. Tento postup udržuje připojení aktivní po delší dobu. Další informace najdete v příkladech .NET.

Ano, ale bránu firewall musíte nakonfigurovat v režimu vynuceného tunelování. Tato konfigurace vytvoří rozhraní pro správu s veřejnou IP adresou, kterou azure Firewall používá pro své operace. Tato veřejná IP adresa je určená pro provoz správy. Používá se výhradně platformou Azure a nedá se použít k žádnému jinému účelu. Síť datových cest tenanta je možné nakonfigurovat bez veřejné IP adresy a internetový provoz je možné vynutit tunelování do jiné brány firewall nebo úplně zablokované.

Azure Firewall nepřesouvají ani neukládají zákaznická data z oblasti, ve které jsou nasazená.

Ano. Další informace najdete v tématu Zálohování služby Azure Firewall a zásad služby Azure Firewall pomocí Logic Apps.

Ne, azure Firewall v zabezpečených virtuálních centrech (vWAN) se v Kataru v současné době nepodporuje.

Azure Firewall používá virtuální počítače Azure, pod kterými je omezený počet připojení. Celkový počet aktivních připojení na virtuální počítač je 250 tisíc.

Celkový limit na bránu firewall je limit připojení virtuálního počítače (250 tisíc) × počet virtuálních počítačů v back-endovém fondu brány firewall. Azure Firewall začíná dvěma virtuálními počítači a škáluje kapacitu na základě využití a propustnosti procesoru.

Azure Firewall aktuálně používá zdrojové porty TCP/UDP pro odchozí provoz SNAT bez doby čekání na nečinnost. Po zavření připojení TCP/UDP se použitý port TCP okamžitě zobrazí jako dostupný pro nadcházející připojení.

Jako alternativní řešení pro určité architektury můžete nasadit a škálovat pomocí služby NAT Gateway se službou Azure Firewall , abyste zajistili širší fond portů SNAT pro proměnlivost a dostupnost.

Konkrétní chování překladu adres (NAT) závisí na konfiguraci brány firewall a typu nakonfigurovaného překladu adres (NAT). Brána firewall má například pravidla DNAT pro příchozí provoz a pravidla sítě a pravidla aplikací pro odchozí provoz přes bránu firewall.

Další informace najdete v tématu Chování překladu adres (NAT) služby Azure Firewall.

V případě jakékoli plánované údržby logika vyprázdnění připojení řádně aktualizuje back-endové uzly. Azure Firewall čeká 90 sekund, než se stávající připojení zavře. Během prvních 45 sekund back-endový uzel nepřijímá nová připojení a ve zbývající době reaguje RST na všechny příchozí pakety. V případě potřeby můžou klienti automaticky znovu navázat připojení k jinému back-endovému uzlu.

K vypnutí instance virtuálního počítače azure Firewall může dojít během škálování škálovací sady virtuálních počítačů (vertikální snížení kapacity) nebo během upgradu softwaru pro flotilu. V těchto případech jsou nová příchozí připojení vyvážená do zbývajících instancí brány firewall a nepřesměrovávají se do instance brány firewall. Po 45 sekundách začne brána firewall odmítat stávající připojení odesláním paketů TCP RST. Po dalších 45 sekundách se virtuální počítač brány firewall vypne. Další informace naleznete v tématu Load Balancer TCP Reset and Idle Timeout.

Azure Firewall postupně škáluje v případě, že průměrná propustnost nebo spotřeba procesoru je na 60 % nebo využití připojení je na 80 %. Například začne škálovat na více instancí, když dosáhne 60 % maximální propustnosti. Maximální počet propustnosti se liší podle skladové položky a povolených funkcí služby Azure Firewall. Další informace najdete v části Výkon služby Azure Firewall.

Horizontální navýšení kapacity trvá pět až sedm minut. Při testování výkonu se ujistěte, že testujete alespoň 10 až 15 minut a spustíte nová připojení, abyste mohli využívat nově vytvořených uzlů služby Azure Firewall.

Pokud má připojení časový limit nečinnosti (čtyři minuty bez aktivity), Služba Azure Firewall připojení řádně ukončí odesláním paketu TCP RST.

Služby Azure procházejí pravidelnými aktualizacemi údržby za účelem vylepšení funkčnosti, spolehlivosti, výkonu a zabezpečení. Při nakonfigurované době údržby se během tohoto časového období provádí údržba hostovaného operačního systému a údržba služeb. Údržba řízená zákazníkem ale nezahrnuje aktualizace hostitele ani důležité aktualizace zabezpečení.

Rozšířená oznámení o údržbě služby Azure Firewall nejsou dostupná.

Ne, vyžaduje se minimální pětihodinová doba údržby.

Ne, časové intervaly údržby se momentálně konfigurují tak, aby se opakovaly každý den.

Údržba řízená zákazníkem podporuje aktualizace hostovaného operačního systému a služeb, které jsou pro zákazníky nejdůležitější. Některé aktualizace, jako jsou aktualizace hostitelů, jsou však mimo rozsah údržby řízené zákazníkem. Ve výjimečných případech můžeme vaši kontrolu nad časovým obdobím údržby přepsat, abychom vyřešili problémy se zabezpečením s vysokou závažností.

Ano.

Ne. V současné době je možné ke službě Azure Firewall přidružit pouze jednu konfiguraci údržby.

Všechny skladové položky služby Azure Firewall – Basic, Standard a Premium podporují údržbu řízenou zákazníky.

Po přidružení zásad údržby může trvat až 24 hodin, než azure Firewall bude postupovat podle plánu údržby.

Aktivity údržby ve službě Azure Firewall se během období před časovým obdobím plánované údržby pozastaví. V případě dnů, které nejsou součástí plánu údržby, budou pravidelné operace údržby pokračovat obvyklým způsobem u prostředku.

Další informace najdete v tématu Konfigurace údržby řízené zákazníkem.