nejčastější dotazy k Azure Firewall

Obecné

Co je Azure Firewall?

Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání vaše Azure Virtual Network prostředky. Jedná se o plně stavový firewall jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení k aplikacím a sítím napříč různými předplatnými a virtuálními sítěmi.

Jaké možnosti Azure Firewall podporuje?

Podrobný seznam funkcí Azure Firewall najdete v tématu Azure Firewall funkce.

Jaký je typický model nasazení pro Azure Firewall?

Azure Firewall je možné nasadit do libovolné virtuální sítě. Obvykle se ale nasadí do centrální virtuální sítě v hub-and-spoke modelu, přičemž další virtuální sítě jsou s ní propojeny prostřednictvím peeringu. Výchozí trasa z propojených virtuálních sítí je nastavena tak, aby směřovala na tuto centrální virtuální síť firewallu. Globální propojování virtuálních sítí se sice podporuje, ale nedoporučuje se kvůli potenciálním problémům s výkonem a latencí mezi oblastmi. Pro zajištění optimálního výkonu nasaďte jednu bránu firewall pro každou oblast.

Tento model umožňuje centralizovanou kontrolu nad více paprskovými virtuálními sítěmi napříč různými předplatnými a nabízí úspory nákladů tím, že se vyhnete nutnosti nasazovat bránu firewall v každé virtuální síti. Úspory nákladů by se měly vyhodnotit oproti souvisejícím nákladům na peering na základě vzorů provozu.

Jak můžu nasadit Azure Firewall?

Azure Firewall je možné nasadit pomocí portálu Azure, PowerShellu, rozhraní REST API nebo šablon. Podrobné pokyny najdete v tématu Tutorial: Nasazení a konfigurace Azure Firewall pomocí portálu Azure.

Jaké jsou některé klíčové koncepty Azure Firewall?

Azure Firewall používá pravidla a kolekce pravidel. Kolekce pravidel je sada pravidel se stejným pořadím a prioritou. Kolekce pravidel se spouštějí podle priority. Kolekce pravidel DNAT mají vyšší prioritu než kolekce pravidel sítě, které mají zase vyšší prioritu než kolekce pravidel aplikace. Všechna pravidla se ukončují.

Existují tři typy kolekcí pravidel:

• Pravidla aplikace: Nakonfigurujte plně kvalifikované názvy domén (FQDN), ke kterým je možné přistupovat z virtuální sítě.
• Pravidla sítě: Nakonfigurujte pravidla se zdrojovými adresami, protokoly, cílovými porty a cílovými adresami.
• Pravidla překladu adres (NAT): Nakonfigurujte pravidla DNAT tak, aby umožňovala příchozí připojení z internetu nebo intranetu (náhled).

Další informace najdete v tématu Konfigurování pravidel Azure Firewall.

Které služby protokolování a analýzy Azure Firewall podporují?

Azure Firewall se integruje s Azure Monitor pro zobrazení a analýzu protokolů. Protokoly je možné odesílat do služby Log Analytics, Azure Storage nebo Event Hubs a analyzovat je pomocí nástrojů, jako jsou Log Analytics, Excel nebo Power BI. Další informace najdete v tématu Tutorial: Monitorování protokolů Azure Firewall.

Jak se Azure Firewall liší od síťových virtuálních zařízení na trhu?

Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání prostředky virtuální sítě. Jedná se o plně stavový firewall jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Je předintegrovaný s poskytovateli zabezpečení jako služby (SECaaS) třetích stran, aby se zlepšilo zabezpečení pro virtuální sítě a intranetová připojení poboček. Další informace najdete v tématu Azure zabezpečení sítě.

Jaký je rozdíl mezi Application Gateway WAF a Azure Firewall?

WaF služby Application Gateway poskytuje centralizovanou příchozí ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Azure Firewall poskytuje příchozí ochranu pro jiné protokoly než HTTP/S (například RDP, SSH, FTP), ochranu na úrovni odchozí sítě pro všechny porty a protokoly a ochranu na úrovni aplikace pro odchozí http/S.

Jaký je rozdíl mezi skupinami zabezpečení sítě (NSG) a Azure Firewall?

Azure Firewall doplňuje skupiny zabezpečení sítě (NSG) k zajištění lepší obrany sítě pomocí obrany v hloubce. Sítě skupin zabezpečení (NSG) nabízejí filtrování provozu na síťové vrstvě pro omezení provozu v rámci virtuálních sítí v každém předplatném. Azure Firewall poskytuje centralizovanou, plně stavovou síť a ochranu na úrovni aplikace napříč předplatnými a virtuálními sítěmi.

Podporují se skupiny zabezpečení sítě (NSG) ve službě AzureFirewallSubnet?

Azure Firewall je spravovaná služba s více vrstvami ochrany, včetně ochrany platformy se skupinami zabezpečení sítě (NSGs) na úrovni síťového rozhraní (NIC), které nelze zobrazit. Skupiny zabezpečení sítě na úrovni podsítě se v AzureFirewallSubnet nevyžadují a jsou zakázané, aby se zabránilo přerušení služeb.

Jaká je přidaná hodnota Azure Firewall s privátními koncovými body?

Privátní koncové body jsou součástí Private Link, technologie, která umožňuje interakci se službami Azure PaaS pomocí privátních IP adres místo veřejných IP adres. Azure Firewall je možné použít k zabránění přístupu k veřejným IP adresám, a vyhnout se tak exfiltraci dat Azure službám, které nevyužívá Private Link, a také k implementaci zásad nulové důvěryhodnosti tím, že definujete, kdo ve vaší organizaci potřebuje přístup k těmto Azure službám PaaS, protože Private Link Ve výchozím nastavení se otevře síťový přístup pro celou podnikovou síť.

Správný návrh kontroly provozu do privátních koncových bodů s Azure Firewall bude záviset na vaší síťové architektuře. Další podrobnosti najdete v článku Azure Firewall scénáře kontroly provozu určeného k privátnímu koncovému bodu.

Jaká je přidaná hodnota Azure Firewall s koncovými body služby virtuální sítě?

Koncové body služby virtuální sítě jsou alternativou k Private Link pro řízení přístupu k Azure PaaS službám. I když klient stále používá veřejné IP adresy pro přístup ke službě PaaS, zdrojová podsíť je viditelná, aby cílová služba PaaS mohl implementovat pravidla filtru a omezit přístup na základě podsítě. Podrobné porovnání obou mechanismů najdete v Porovnání privátních koncových bodů a koncových bodů služeb.

Pravidla aplikací Azure Firewall lze použít k zajištění, že nedojde k exfiltraci dat k podvodným službám, a k zavedení přístupových zásad s větší podrobností, než je úroveň podsítě. Koncové body služby virtuální sítě je obvykle potřeba povolit v podsíti klienta, který se připojí ke službě Azure. Při kontrole provozu do koncových bodů služby pomocí Azure Firewall ale musíte místo toho povolit odpovídající koncový bod služby v podsíti Azure Firewall a zakázat je v podsíti skutečného klienta (obvykle paprskové virtuální sítě). Tímto způsobem můžete pomocí pravidel aplikace v Azure Firewall řídit, k nimž Azure službám budou mít vaše pracovní úlohy Azure přístup.

Jaké jsou ceny Azure Firewall?

Podrobnosti o cenách najdete v části Azure Firewall Ceník.

Jaké jsou známé limity služby pro Azure Firewall?

Informace o omezeních služeb najdete v tématu Azure limity, kvóty a omezení předplatného a služeb.

Kde Azure Firewall ukládat zákaznická data?

Azure Firewall nepřesouvají ani neukládají zákaznická data mimo oblast, ve které je nasazená.

Podporuje se Azure Firewall v zabezpečených virtuálních centrech (vWAN) v Kataru?

Ne, Azure Firewall v zabezpečených virtuálních centrech (vWAN) se v současné době nepodporuje v Kataru.

Podporované funkce a vlastnosti

Podporuje Azure Firewall filtrování příchozího provozu?

Ano, Azure Firewall podporuje filtrování příchozího i odchozího provozu. Příchozí filtrování se obvykle používá pro protokoly jiné než HTTP, jako jsou RDP, SSH a FTP. U příchozích přenosů HTTP a HTTPS zvažte použití firewallu webových aplikací, jako je Azure Web Application Firewall (WAF) nebo odlehčení zpracování protokolu TLS a funkce pro hloubkovou kontrolu paketů Azure Firewall Premium.

Podporuje Azure Firewall Basic vynucené tunelování?

Ano, Azure Firewall Basic podporuje vynucené tunelování.

Proč se zdá, že se TCP ping nebo podobný nástroj připojuje k cílovému plně kvalifikovanému názvu domény (FQDN), i když to žádné pravidlo neumožňuje?

Příkaz ping protokolu TCP se ve skutečnosti nepřipojuje k cílovému FQDN. Azure Firewall blokuje připojení k jakékoli cílové IP adrese nebo plně kvalifikovanému názvu domény, pokud to pravidlo explicitně nepovoluje.

V případě TCP pingu, pokud žádné pravidlo nepovoluje provoz, firewall sám odpoví na klientovu TCP ping žádost. Tato odpověď nedosáhne cílové IP adresy nebo FQDN a není zalogována. Pokud síťové pravidlo explicitně povoluje přístup k cílové IP adrese nebo plně kvalifikovanému názvu domény, požadavek ping dosáhne cílového serveru a jeho odpověď se předá zpět klientovi. Tato událost se protokoluje v protokolu pravidel sítě.

Podporuje Azure Firewall peerování protokolu BGP?

Ne, Azure Firewall nativně nepodporuje partnerský vztah protokolu BGP. Funkce tras Autolearn SNAT ale nepřímo využívá protokol BGP prostřednictvím Azure Route Server.

Může Azure Firewall předávat pakety ESP (IPSec VPN)?

Azure Firewall nativně nepodporuje ESP (zapouzdření datové části zabezpečení), ale přenosy ESP můžete povolit tak, že nakonfigurujete pravidlo sítě takto:

konfigurace Azure Firewall (pravidlo sítě):

• Protokol: Libovolný
• Zdrojový port: * (libovolný)
• Cílový port: * (libovolný)
• Zdroj/cíl: Podle potřeby zadejte IP adresy.

Tato konfigurace umožňuje, aby pakety ESP (IP protokol 50) a jiné přenosy mimo TCP/UDP odpovídaly pravidlu. Mějte však na paměti, že Azure Firewall nezkontroluje datové části ESP.

Reference: Pokud používáte skupinu zabezpečení sítě (NSG) místo Azure Firewall: NSG neposkytuje přímou možnost zadat ESP (IP protokol číslo 50), ale pakety ESP je možné povolit pomocí následujících nastavení:

• Protokol: Libovolný
• Port: * (libovolný)
• Zdroj/cíl: Podle potřeby zadejte IP adresy.

Doporučení:

• Pro konfigurace IPsec VPN se doporučuje použít Azure VPN Gateway.
• Zvažte použití vzoru síťového virtuálního zařízení (NVA) v závislosti na vašich požadavcích.

Správa a konfigurace

Jak můžu zastavit a spustit Azure Firewall?

K uvolnění a přidělení Azure Firewall můžete použít Azure PowerShell. Proces se liší v závislosti na konfiguraci.

Pro bránu firewall bez síťové karty pro správu:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Pro bránu firewall s managementovým NIC:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Pro bránu firewall v zabezpečeném virtuálním centru:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Poznámka:

Při zastavení a spuštění brány firewall se fakturace odpovídajícím způsobem zastaví a opět spustí. Privátní IP adresa se ale může změnit, což může mít vliv na připojení, pokud jsou nakonfigurované směrovací tabulky.

Jak můžu nakonfigurovat zóny dostupnosti po nasazení?

Doporučuje se nakonfigurovat zóny dostupnosti během počátečního nasazení. Po nasazení je ale můžete po nasazení znovu nakonfigurovat, pokud:

• Brána firewall je nasazena ve virtuální síti (není podporováno v zabezpečeném virtuálním centru).
• Oblast podporuje zóny dostupnosti.
• Všechny připojené veřejné IP adresy jsou nakonfigurované se stejnými zónami.

Změna konfigurace zón dostupnosti:

1. Uvolněte bránu firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Aktualizujte konfiguraci zóny a přiřaďte firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Existují nějaká omezení pro skupiny prostředků Azure brány firewall?

Ano:

• Azure Firewall a virtuální síť musí být ve stejné skupině prostředků.
• Veřejná IP adresa může být umístěna v jiné skupině prostředků.
• Všechny prostředky (Azure firewall, virtuální síť, veřejná IP adresa) musí být ve stejném předplatném.

Co znamená stav zřizování: **Selhání**?

Stav neúspěšného zřizování značí, že aktualizace konfigurace selhala v jedné či více backendových instancích. Azure Firewall zůstává funkční, ale konfigurace může být nekonzistentní. Opakujte aktualizaci, dokud se stav zřizování nezmění na Dokončeno.

Jak Azure Firewall zpracovává plánovanou údržbu a neplánovaná selhání?

Azure Firewall používá konfiguraci aktivní–aktivní s několika zázemními uzly. Během plánované údržby zajišťuje odvod spojení plynulé aktualizace. V případě neplánovaných selhání nahradí nový uzel neúspěšný uzel a připojení se obvykle obnoví během 10 sekund.

Existuje pro název brány firewall limit znaků?

Ano, názvy firewallů jsou omezené na 50 znaků.

Proč Azure Firewall potřebovat velikost podsítě /26?

Podsíť /26 zajišťuje dostatečné IP adresy pro škálování, protože Azure Firewall zřídí další instance virtuálních počítačů.

Je potřeba změnit velikost podsítě brány firewall při škálování služby?

Ne, pro všechny scénáře škálování stačí podsíť /26.

Jak můžu zvýšit propustnost brány firewall?

Azure Firewall automaticky škáluje na základě využití procesoru, propustnosti a počtu připojení. Kapacita propustnosti se pohybuje zpočátku v rozmezí od 2,5 do 3 Gb/s až na 30 Gb/s (Standard SKU) nebo 100 Gb/s (Premium SKU).

Platí omezení počtu IP adres podporovaných skupinami IP adres?

Ano. Podrobnosti najdete v tématu Azure limity, kvóty a omezení předplatného a služeb.

Můžu přesunout skupinu IP adres do jiné skupiny prostředků?

Ne, přesun skupiny IP adres do jiné skupiny prostředků se v současné době nepodporuje.

Jaký je časový limit nečinnosti protokolu TCP pro Azure Firewall?

Standardním chováním síťové brány firewall je udržovat připojení TCP aktivní; pokud není zaznamenána žádná aktivita, okamžitě je zavřít. Časový limit nečinnosti pro TCP v Azure Firewall je čtyři minuty. Toto nastavení není konfigurovatelné uživatelem, ale můžete kontaktovat podporu Azure a zvýšit časový limit nečinnosti pro příchozí a odchozí připojení až o 15 minut. Časový limit nečinnosti pro provoz východ-západ nejde změnit.

Pokud je doba nečinnosti delší než hodnota časového limitu, není zaručeno, že se udržuje relace TCP nebo HTTP. Běžným postupem je použití protokolu TCP s udržováním spojení. Tento postup udržuje připojení aktivní po delší dobu. Další informace najdete v příkladech .NET.

Můžu nasadit Azure Firewall bez veřejné IP adresy?

Ano, ale bránu firewall musíte nakonfigurovat v režimu vynuceného tunelování. Tato konfigurace vytvoří rozhraní pro správu s veřejnou IP adresou, kterou používá Azure Firewall pro své operace. Tato veřejná IP adresa je určená pro správu a řízení provozu. Používá se výhradně platformou Azure a nedá se použít k žádnému jinému účelu. Síť datových kanálů nájemce je možné nakonfigurovat bez veřejné IP adresy a internetový provoz může být nuceně směrován tunelem do jiné brány firewall nebo úplně zablokován.

Existuje způsob, jak automaticky zálohovat Azure Firewall a zásady?

Ano. Další informace najdete v tématu Backup Azure Firewall a Azure Firewall Policy with Logic Apps.

Připojení a směrování

Jak nastavím Azure Firewall s koncovými body služby?

Pro zabezpečený přístup ke službám PaaS doporučujeme koncové body služby. Můžete povolit koncové body služby v podsíti Azure Firewall a zakázat je na připojených podřízených virtuálních sítích. Díky tomu můžete využívat obě funkce: zabezpečení koncového bodu služby a centrální protokolování pro veškerý provoz.

Může Azure Firewall v centrální virtuální síti předávat a filtrovat síťový provoz mezi více paprskovými virtuálními sítěmi?

Ano, k směrování a filtrování provozu mezi více paprskovými virtuálními sítěmi můžete použít Azure Firewall v centrální virtuální síti. Podsítě v každé z paprskových virtuálních sítí musí mít uživatelsky definovanou trasu směrující na Azure Firewall jako výchozí bránu, aby tento scénář správně fungoval.

Může Azure Firewall předávat a filtrovat síťový provoz mezi podsítěmi ve stejné virtuální síti nebo partnerskými virtuálními sítěmi?

Ano. Při konfiguraci uživatelsky definovaných tras (UDRs) pro přesměrování provozu mezi podsítěmi ve stejné virtuální síti je však třeba více pozornosti. Přestože je použití rozsahu adres virtuální sítě jako cílové předpony pro trasy definované uživatelem (UDR) dostačující, veškerý provoz mezi počítači ve stejné podsíti je také směrován prostřednictvím instance Azure Firewall. Abyste tomu předešli, zahrňte trasu pro podsíť v uživatelských definicích tras s typem dalšího skoku virtuální síť. Správa těchto tras může být těžkopádná a náchylná k chybám. Doporučeným způsobem pro segmentaci interní sítě je použití síťových bezpečnostních skupin, které nevyžadují uživatelem definované trasy (UDR).

Provádí Azure Firewall odchozí SNAT mezi privátními sítěmi?

Azure Firewall nemá SNAT, pokud je cílovou IP adresou privátní rozsah IP adres na IANA RFC 1918 nebo IANA RFC 6598 pro privátní sítě. Pokud vaše organizace používá rozsah veřejných IP adres pro privátní sítě, Azure Firewall provádí SNAT na provoz na jednu z privátních IP adres brány Azure Firewall v AzureFirewallSubnetu. Můžete nakonfigurovat Azure Firewall tak, aby neprováděl SNAT pro váš rozsah veřejných IP adres. Další informace najdete v tématu Azure Firewall rozsahy privátních IP adres SNAT.

Kromě toho je provoz zpracovávaný pravidly aplikace vždy podroben procesu SNAT (Source Network Address Translation). Pokud chcete zobrazit původní zdrojovou IP adresu v protokolech pro FQDN provoz, můžete použít síťová pravidla s cílovým FQDN.

Podporuje se vynucené tunelování/řetězení na síťové virtuální zařízení?

Vynucené tunelování se podporuje při vytváření nové brány firewall a podporuje se také pro stávající brány firewall přidáním síťové karty pro správu pro vynucené tunelování. Další informace o nových nasazeních najdete v tématu Azure Firewall vynucené tunelování. Informace o existujících branách firewall najdete v Azure Firewall Management NIC.

Azure Firewall musí mít přímé připojení k internetu. Pokud vaše služba AzureFirewallSubnet zjistí výchozí trasu do vaší místní sítě prostřednictvím protokolu BGP, musíte ji přepsat hodnotou 0.0.0.0.0/0 s hodnotou NextHopType nastavenou jako internet , aby se zachovalo přímé připojení k internetu.

Pokud vaše konfigurace vyžaduje vynucené tunelování do místní sítě a můžete určit cílové IP předpony pro internetové destinace, můžete tyto rozsahy nakonfigurovat s místní sítí jako další skok prostřednictvím uživatelsky definované trasy v podsíti AzureFirewallSubnet. Nebo můžete tyto trasy definovat pomocí protokolu BGP.

Jak fungují zástupné znaky v cílových URL adresách a cílových plně kvalifikovaných doménových názvech v pravidlech aplikace?

• URL – Hvězdičky fungují při umístění na nejpravější nebo nejlevější stranu. Pokud je na levé straně, nemůže být součástí plně kvalifikovaného názvu domény.
• Plně kvalifikovaný název domény – hvězdičky fungují při umístění na nejlevější straně.
• GENERAL - Hvězdičky na levé straně znamenají doslova cokoli na levé straně, což znamená, že několik subdomén a/nebo potenciálně nežádoucí varianty názvu domény se shodují – podívejte se na následující příklady.

Příklady:

Typ	Pravidlo	Podporováno?	Pozitivní příklady
Cílová adresa URL	www.contoso.com	Ano	www.contoso.com www.contoso.com/
Cílová adresa URL	*.contoso.com	Ano	any.contoso.com/ sub1.any.contoso.com
Cílová adresa URL	*contoso.com	Ano	example.anycontoso.com sub1.example.contoso.com contoso.com Upozornění: Toto použití zástupných znaků také umožňuje potenciálně nežádoucí/rizikové odchylky, jako th3re4lcontoso.com – používejte s opatrností.
Cílová adresa URL	www.contoso.com/test	Ano	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
Cílová adresa URL	www.contoso.com/test/*	Ano	www.contoso.com/test/anything Poznámka: www.contoso.com/testneodpovídá (poslední lomítko)
Cílová adresa URL	www.contoso.*/test/*	Ne
Cílová adresa URL	www.contoso.com/test?example=1	Ne
Cílová adresa URL	www.contoso.*	Ne
Cílová adresa URL	www.*contoso.com	Ne
Cílová adresa URL	www.contoso.com:8080	Ne
Cílová adresa URL	*.contoso.*	Ne
Cílový FQDN	www.contoso.com	Ano	www.contoso.com
Cílový FQDN	*.contoso.com	Ano	any.contoso.com Poznámka: Pokud chcete výslovně povolit contoso.com, musíte do pravidla zahrnout contoso.com. Jinak se připojení ve výchozím nastavení zahodí, protože požadavek neodpovídá žádnému pravidlu.
Cílový FQDN	*contoso.com	Ano	example.anycontoso.com contoso.com
Cílový FQDN	www.contoso.*	Ne
Cílový FQDN	*.contoso.*	Ne

Povoluje Azure Firewall ve výchozím nastavení přístup k Active Directory?

Ne. Azure Firewall ve výchozím nastavení blokuje přístup Active Directory. Pokud chcete povolit přístup, nakonfigurujte značku služby AzureActiveDirectory. Další informace najdete v tématu Azure Firewall service tags.

Můžu vyloučit plně kvalifikovaný název domény nebo IP adresu z filtrování založeného na analýze inteligence hrozeb Azure Firewall?

Ano, můžete k tomu použít Azure PowerShell:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Proč se může příkaz ping tcp a podobné nástroje úspěšně připojit k cílovému plně kvalifikovanému názvu domény i v případě, že žádné pravidlo na Azure Firewall tento provoz neumožňuje?

Příkaz ping tcp se ve skutečnosti nepřipojuje k cílovému plně kvalifikovanému názvu domény. Azure Firewall neumožňuje připojení k žádné cílové IP adrese nebo plně kvalifikovanému názvu domény, pokud neexistuje explicitní pravidlo, které to povoluje.

TCP ping je jedinečný případ použití, kdy pokud neexistuje žádné povolené pravidlo, Firewall sám reaguje na TCP ping požadavek klienta, i když TCP ping nedosahuje cílové IP adresy nebo plně kvalifikovaného názvu domény. V takovém případě se událost nezaprotokoluje. Pokud existuje pravidlo sítě, které povoluje přístup k cílové IP adrese nebo plně kvalifikovanému názvu domény, požadavek ping dosáhne cílového serveru a jeho odpověď se předá zpět klientovi. Tato událost se protokoluje v protokolu pravidel sítě.

Proč se TCP ping a podobné nástroje úspěšně připojují k cílovému plně kvalifikovanému názvu domény (FQDN) nebo IP adrese na portech 80, 443 a 1433, ale v protokolech Azure Firewall nejsou zaznamenány?

Azure Firewall působí jako pasivní posluchač pro porty 80, 443 a 1433. Azure Firewall neprotokoluje pakety TCP SYN na těchto portech, pokud zde není přenos aplikace. Požadavek HTTP GET a TLS client hello se zaznamenávají v Azure Firewall.

Platí omezení počtu IP adres podporovaných skupinami IP adres?

Ano. Další informace najdete v tématu Azure limity, kvóty a omezení předplatného a služeb

Můžu přesunout skupinu IP adres do jiné skupiny prostředků?

Ne, přesun skupiny IP adres do jiné skupiny prostředků se v současné době nepodporuje.

Jaký je časový limit nečinnosti protokolu TCP pro Azure Firewall?

Standardním chováním síťové brány firewall je udržovat připojení TCP aktivní; pokud není zaznamenána žádná aktivita, okamžitě je zavřít. Časový limit nečinnosti pro TCP v Azure Firewall je čtyři minuty. Toto nastavení není konfigurovatelné uživatelem, ale můžete kontaktovat podporu Azure a zvýšit časový limit nečinnosti pro příchozí a odchozí připojení až o 15 minut. Časový limit nečinnosti pro provoz východ-západ nejde změnit.

Pokud je doba nečinnosti delší než hodnota časového limitu, není zaručeno, že se udržuje relace TCP nebo HTTP. Běžným postupem je použití protokolu TCP s udržováním spojení. Tento postup udržuje připojení aktivní po delší dobu. Další informace najdete v příkladech .NET.

Můžu nasadit Azure Firewall bez veřejné IP adresy?

Ano, ale bránu firewall musíte nakonfigurovat v režimu vynuceného tunelování. Tato konfigurace vytvoří rozhraní pro správu s veřejnou IP adresou, kterou používá Azure Firewall pro své operace. Tato veřejná IP adresa je určená pro správu a řízení provozu. Používá se výhradně platformou Azure a nedá se použít k žádnému jinému účelu. Síť datových kanálů nájemce je možné nakonfigurovat bez veřejné IP adresy a internetový provoz může být nuceně směrován tunelem do jiné brány firewall nebo úplně zablokován.

Kde Azure Firewall ukládat zákaznická data?

Azure Firewall nepřesouvají ani neukládají zákaznická data z oblasti, ve které jsou nasazená.

Existuje způsob, jak automaticky zálohovat Azure Firewall a zásady?

Ano. Další informace najdete v tématu Backup Azure Firewall a Azure Firewall Policy with Logic Apps.

Podporuje se Azure Firewall v zabezpečených virtuálních centrech (vWAN) v Kataru?

Ne, aktuálně Azure Firewall v zabezpečených virtuálních centrech (vWAN) se v Kataru nepodporuje.

Kolik paralelních připojení může Azure Firewall podporovat?

Azure Firewall používá Azure Virtual Machines na bázi, které mají striktní limit počtu připojení. Celkový počet aktivních připojení na virtuální počítač je 250 tisíc.

Celkový limit pro firewall je limit připojení na virtuální počítač (250 tisíc) × počet virtuálních počítačů v back-endovém poolu brány firewall. Azure Firewall začíná dvěma virtuálními počítači a škáluje kapacitu na základě využití a propustnosti procesoru.

Jaké je chování opakovaného použití portu SNAT tcp/UDP v Azure Firewall?

Azure Firewall aktuálně používá zdrojové porty TCP/UDP pro odchozí provoz SNAT bez doby nečinnosti. Po zavření připojení TCP/UDP se použitý port TCP okamžitě zobrazí jako dostupný pro nadcházející připojení.

Jako alternativní řešení pro určité architektury můžete nasadit a škálovat pomocí služby NAT Gateway s Azure Firewall zajistit širší fond portů SNAT pro proměnlivost a dostupnost.

Co jsou chování překladu síťových adres (NAT) v Azure Firewall?

Konkrétní chování NAT závisí na konfiguraci brány firewall a na typu NAT, který byl nakonfigurován. Brána firewall má například pravidla DNAT pro příchozí provoz a pravidla sítě a pravidla aplikací pro odchozí provoz přes bránu firewall.

Další informace najdete v tématu Azure Firewall Chování NAT.

Časové limity a škálování

Jak funguje vyprazdňování připojení?

V případě jakékoli plánované údržby logika vyprázdnění připojení řádně aktualizuje back-endové uzly. Azure Firewall počká 90 sekund, než se stávající připojení ukončí. Během prvních 45 sekund back-endový uzel nepřijímá nová připojení a ve zbývající době reaguje RST na všechny příchozí pakety. V případě potřeby můžou klienti automaticky znovu navázat připojení k jinému back-endovému uzlu.

Jak Azure Firewall zvládnout vypnutí instancí virtuálních počítačů během škálování škálovací sady virtuálních počítačů (vertikální snížení kapacity) nebo upgradů softwaru pro vozový park?

Během škálování škálovací sady virtuálních počítačů (vertikální snížení kapacity) nebo během upgradu softwaru pro flotilu může dojít k vypnutí instance virtuálního počítače Azure Firewall. V těchto případech jsou nová příchozí připojení vyvážená na zbývající instance brány firewall a nejsou přesměrována na nefunkční instanci brány firewall. Po 45 sekundách začne brána firewall odmítat stávající připojení odesláním paketů TCP RST. Po dalších 45 sekundách se virtuální počítač brány firewall vypne. Další informace najdete na stránce Resetování TCP a nečinný časový limit vyrovnávače zatížení.

Jak dlouho trvá, než se Azure Firewall rozšíří?

Azure Firewall se postupně škáluje v případě, že průměrná propustnost nebo spotřeba procesoru je 60%nebo je využití připojení 80%. Například začne škálovat horizontálně, když dosáhne 60 % své maximální propustnosti. Maximální počet propustností se liší v závislosti na Azure Firewall SKU a povolených funkcích. Další informace najdete v článku výkon služby Azure Firewall.

Horizontální navýšení kapacity trvá pět až sedm minut. Při testování výkonu se ujistěte, že testujete alespoň 10 až 15 minut a spustíte nová připojení, abyste mohli využívat nově vytvořené Azure Firewall uzly.

Jak Azure Firewall zpracovává časové limity nečinnosti?

Pokud má připojení časový limit nečinnosti (čtyři minuty bez aktivity), Azure Firewall ukončuje připojení hladce odesláním paketu TCP RST.

Údržba řízená zákazníkem

Jaký typ údržby podporuje údržba řízená zákazníkem?

Azure služby procházejí pravidelnými aktualizacemi údržby za účelem vylepšení funkčnosti, spolehlivosti, výkonu a zabezpečení. Při nakonfigurované době údržby se během tohoto časového období provádí údržba hostovaného operačního systému a údržba služeb. Údržba řízená zákazníkem ale nezahrnuje aktualizace hostitele ani důležité aktualizace zabezpečení.

Mohu dostat předběžné oznámení o události údržby?

Rozšířená oznámení o údržbě Azure Firewall nejsou dostupná.

Můžu nakonfigurovat časové období údržby kratší než pět hodin?

Ne, vyžaduje se minimální pětihodinová doba údržby.

Můžu nakonfigurovat jiné časové období údržby než denní plán?

Ne, časové intervaly údržby se momentálně konfigurují tak, aby se opakovaly každý den.

Existují případy, kdy nemůžu řídit určité aktualizace?

Údržba řízená zákazníkem podporuje aktualizace hostovaného operačního systému a služeb, které jsou pro zákazníky nejdůležitější. Některé aktualizace, jako jsou aktualizace hostitelů, jsou však mimo rozsah údržby řízené zákazníkem. Ve výjimečných případech můžeme vaši kontrolu nad časovým obdobím údržby přepsat, abychom vyřešili problémy se zabezpečením s vysokou závažností.

Musí být prostředky konfigurace údržby ve stejné oblasti jako Azure Firewall?

Ano.

Můžeme pro jeden Azure Firewall vytvořit více než jednu konfiguraci údržby?

Ne. V současné době může být k Azure Firewall přidružena pouze jedna konfigurace údržby.

Které Azure Firewall skladové položky můžu nakonfigurovat tak, aby používaly údržbu řízenou zákazníkem?

Všechny skladové položky Azure Firewall – Basic, Standard a Premium podporují údržbu řízenou zákazníky.

Jak dlouho trvá, než se zásady konfigurace údržby projeví po přiřazení ke Azure Firewall?

Po přidružení zásad údržby může trvat až 24 hodin, než Azure Firewall začne dodržovat plán údržby.

Naplánoval(a) jsem údržbové okno na budoucí datum pro jeden z mých prostředků Azure Firewall. Jsou aktivity údržby u tohoto prostředku pozastavené do té doby?

Aktivity údržby na vašem Azure Firewall nejsou během období před plánovaným časovým intervalem údržby pozastaveny. V případě dnů, které nejsou součástí časového plánu údržby, budou pravidelné operace údržby u prostředku pokračovat obvyklým způsobem.

Jak zjistím další informace o údržbě řízené zákazníkem na Azure Firewall?

Další informace najdete v tématu Konfigurace údržby řízené zákazníkem.

Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání vaše Azure Virtual Network prostředky. Jedná se o plně stavový firewall jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení k aplikacím a sítím napříč různými předplatnými a virtuálními sítěmi.

Podrobný seznam funkcí Azure Firewall najdete v tématu Azure Firewall funkce.

Azure Firewall je možné nasadit do libovolné virtuální sítě. Obvykle se ale nasadí do centrální virtuální sítě v hub-and-spoke modelu, přičemž další virtuální sítě jsou s ní propojeny prostřednictvím peeringu. Výchozí trasa z propojených virtuálních sítí je nastavena tak, aby směřovala na tuto centrální virtuální síť firewallu. Globální propojování virtuálních sítí se sice podporuje, ale nedoporučuje se kvůli potenciálním problémům s výkonem a latencí mezi oblastmi. Pro zajištění optimálního výkonu nasaďte jednu bránu firewall pro každou oblast.

Tento model umožňuje centralizovanou kontrolu nad více paprskovými virtuálními sítěmi napříč různými předplatnými a nabízí úspory nákladů tím, že se vyhnete nutnosti nasazovat bránu firewall v každé virtuální síti. Úspory nákladů by se měly vyhodnotit oproti souvisejícím nákladům na peering na základě vzorů provozu.

Azure Firewall je možné nasadit pomocí portálu Azure, PowerShellu, rozhraní REST API nebo šablon. Podrobné pokyny najdete v tématu Tutorial: Nasazení a konfigurace Azure Firewall pomocí portálu Azure.

Azure Firewall používá pravidla a kolekce pravidel. Kolekce pravidel je sada pravidel se stejným pořadím a prioritou. Kolekce pravidel se spouštějí podle priority. Kolekce pravidel DNAT mají vyšší prioritu než kolekce pravidel sítě, které mají zase vyšší prioritu než kolekce pravidel aplikace. Všechna pravidla se ukončují.

Existují tři typy kolekcí pravidel:

• Pravidla aplikace: Nakonfigurujte plně kvalifikované názvy domén (FQDN), ke kterým je možné přistupovat z virtuální sítě.
• Pravidla sítě: Nakonfigurujte pravidla se zdrojovými adresami, protokoly, cílovými porty a cílovými adresami.
• Pravidla překladu adres (NAT): Nakonfigurujte pravidla DNAT tak, aby umožňovala příchozí připojení z internetu nebo intranetu (náhled).

Další informace najdete v tématu Konfigurování pravidel Azure Firewall.

Azure Firewall se integruje s Azure Monitor pro zobrazení a analýzu protokolů. Protokoly je možné odesílat do služby Log Analytics, Azure Storage nebo Event Hubs a analyzovat je pomocí nástrojů, jako jsou Log Analytics, Excel nebo Power BI. Další informace najdete v tématu Tutorial: Monitorování protokolů Azure Firewall.

Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání prostředky virtuální sítě. Jedná se o plně stavový firewall jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Je předintegrovaný s poskytovateli zabezpečení jako služby (SECaaS) třetích stran, aby se zlepšilo zabezpečení pro virtuální sítě a intranetová připojení poboček. Další informace najdete v tématu Azure zabezpečení sítě.

WaF služby Application Gateway poskytuje centralizovanou příchozí ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Azure Firewall poskytuje příchozí ochranu pro jiné protokoly než HTTP/S (například RDP, SSH, FTP), ochranu na úrovni odchozí sítě pro všechny porty a protokoly a ochranu na úrovni aplikace pro odchozí http/S.

Azure Firewall doplňuje skupiny zabezpečení sítě (NSG) k zajištění lepší obrany sítě pomocí obrany v hloubce. Sítě skupin zabezpečení (NSG) nabízejí filtrování provozu na síťové vrstvě pro omezení provozu v rámci virtuálních sítí v každém předplatném. Azure Firewall poskytuje centralizovanou, plně stavovou síť a ochranu na úrovni aplikace napříč předplatnými a virtuálními sítěmi.

Azure Firewall je spravovaná služba s více vrstvami ochrany, včetně ochrany platformy se skupinami zabezpečení sítě (NSGs) na úrovni síťového rozhraní (NIC), které nelze zobrazit. Skupiny zabezpečení sítě na úrovni podsítě se v AzureFirewallSubnet nevyžadují a jsou zakázané, aby se zabránilo přerušení služeb.

Privátní koncové body jsou součástí Private Link, technologie, která umožňuje interakci se službami Azure PaaS pomocí privátních IP adres místo veřejných IP adres. Azure Firewall je možné použít k zabránění přístupu k veřejným IP adresám, a vyhnout se tak exfiltraci dat Azure službám, které nevyužívá Private Link, a také k implementaci zásad nulové důvěryhodnosti tím, že definujete, kdo ve vaší organizaci potřebuje přístup k těmto Azure službám PaaS, protože Private Link Ve výchozím nastavení se otevře síťový přístup pro celou podnikovou síť.

Správný návrh kontroly provozu do privátních koncových bodů s Azure Firewall bude záviset na vaší síťové architektuře. Další podrobnosti najdete v článku Azure Firewall scénáře kontroly provozu určeného k privátnímu koncovému bodu.

Koncové body služby virtuální sítě jsou alternativou k Private Link pro řízení přístupu k Azure PaaS službám. I když klient stále používá veřejné IP adresy pro přístup ke službě PaaS, zdrojová podsíť je viditelná, aby cílová služba PaaS mohl implementovat pravidla filtru a omezit přístup na základě podsítě. Podrobné porovnání obou mechanismů najdete v Porovnání privátních koncových bodů a koncových bodů služeb.

Pravidla aplikací Azure Firewall lze použít k zajištění, že nedojde k exfiltraci dat k podvodným službám, a k zavedení přístupových zásad s větší podrobností, než je úroveň podsítě. Koncové body služby virtuální sítě je obvykle potřeba povolit v podsíti klienta, který se připojí ke službě Azure. Při kontrole provozu do koncových bodů služby pomocí Azure Firewall ale musíte místo toho povolit odpovídající koncový bod služby v podsíti Azure Firewall a zakázat je v podsíti skutečného klienta (obvykle paprskové virtuální sítě). Tímto způsobem můžete pomocí pravidel aplikace v Azure Firewall řídit, k nimž Azure službám budou mít vaše pracovní úlohy Azure přístup.

Podrobnosti o cenách najdete v části Azure Firewall Ceník.

Informace o omezeních služeb najdete v tématu Azure limity, kvóty a omezení předplatného a služeb.

Azure Firewall nepřesouvají ani neukládají zákaznická data mimo oblast, ve které je nasazená.

Ne, Azure Firewall v zabezpečených virtuálních centrech (vWAN) se v současné době nepodporuje v Kataru.

Ano, Azure Firewall podporuje filtrování příchozího i odchozího provozu. Příchozí filtrování se obvykle používá pro protokoly jiné než HTTP, jako jsou RDP, SSH a FTP. U příchozích přenosů HTTP a HTTPS zvažte použití firewallu webových aplikací, jako je Azure Web Application Firewall (WAF) nebo odlehčení zpracování protokolu TLS a funkce pro hloubkovou kontrolu paketů Azure Firewall Premium.

Ano, Azure Firewall Basic podporuje vynucené tunelování.

Příkaz ping protokolu TCP se ve skutečnosti nepřipojuje k cílovému FQDN. Azure Firewall blokuje připojení k jakékoli cílové IP adrese nebo plně kvalifikovanému názvu domény, pokud to pravidlo explicitně nepovoluje.

V případě TCP pingu, pokud žádné pravidlo nepovoluje provoz, firewall sám odpoví na klientovu TCP ping žádost. Tato odpověď nedosáhne cílové IP adresy nebo FQDN a není zalogována. Pokud síťové pravidlo explicitně povoluje přístup k cílové IP adrese nebo plně kvalifikovanému názvu domény, požadavek ping dosáhne cílového serveru a jeho odpověď se předá zpět klientovi. Tato událost se protokoluje v protokolu pravidel sítě.

Ne, Azure Firewall nativně nepodporuje partnerský vztah protokolu BGP. Funkce tras Autolearn SNAT ale nepřímo využívá protokol BGP prostřednictvím Azure Route Server.

Azure Firewall nativně nepodporuje ESP (zapouzdření datové části zabezpečení), ale přenosy ESP můžete povolit tak, že nakonfigurujete pravidlo sítě takto:

konfigurace Azure Firewall (pravidlo sítě):

• Protokol: Libovolný
• Zdrojový port: * (libovolný)
• Cílový port: * (libovolný)
• Zdroj/cíl: Podle potřeby zadejte IP adresy.

Tato konfigurace umožňuje, aby pakety ESP (IP protokol 50) a jiné přenosy mimo TCP/UDP odpovídaly pravidlu. Mějte však na paměti, že Azure Firewall nezkontroluje datové části ESP.

Reference: Pokud používáte skupinu zabezpečení sítě (NSG) místo Azure Firewall: NSG neposkytuje přímou možnost zadat ESP (IP protokol číslo 50), ale pakety ESP je možné povolit pomocí následujících nastavení:

• Protokol: Libovolný
• Port: * (libovolný)
• Zdroj/cíl: Podle potřeby zadejte IP adresy.

Doporučení:

• Pro konfigurace IPsec VPN se doporučuje použít Azure VPN Gateway.
• Zvažte použití vzoru síťového virtuálního zařízení (NVA) v závislosti na vašich požadavcích.

K uvolnění a přidělení Azure Firewall můžete použít Azure PowerShell. Proces se liší v závislosti na konfiguraci.

Pro bránu firewall bez síťové karty pro správu:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Pro bránu firewall s managementovým NIC:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Pro bránu firewall v zabezpečeném virtuálním centru:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Poznámka:

Při zastavení a spuštění brány firewall se fakturace odpovídajícím způsobem zastaví a opět spustí. Privátní IP adresa se ale může změnit, což může mít vliv na připojení, pokud jsou nakonfigurované směrovací tabulky.

Doporučuje se nakonfigurovat zóny dostupnosti během počátečního nasazení. Po nasazení je ale můžete po nasazení znovu nakonfigurovat, pokud:

• Brána firewall je nasazena ve virtuální síti (není podporováno v zabezpečeném virtuálním centru).
• Oblast podporuje zóny dostupnosti.
• Všechny připojené veřejné IP adresy jsou nakonfigurované se stejnými zónami.

Změna konfigurace zón dostupnosti:

1. Uvolněte bránu firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Aktualizujte konfiguraci zóny a přiřaďte firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Ano:

• Azure Firewall a virtuální síť musí být ve stejné skupině prostředků.
• Veřejná IP adresa může být umístěna v jiné skupině prostředků.
• Všechny prostředky (Azure firewall, virtuální síť, veřejná IP adresa) musí být ve stejném předplatném.

Stav neúspěšného zřizování značí, že aktualizace konfigurace selhala v jedné či více backendových instancích. Azure Firewall zůstává funkční, ale konfigurace může být nekonzistentní. Opakujte aktualizaci, dokud se stav zřizování nezmění na Dokončeno.

Azure Firewall používá konfiguraci aktivní–aktivní s několika zázemními uzly. Během plánované údržby zajišťuje odvod spojení plynulé aktualizace. V případě neplánovaných selhání nahradí nový uzel neúspěšný uzel a připojení se obvykle obnoví během 10 sekund.

Ano, názvy firewallů jsou omezené na 50 znaků.

Podsíť /26 zajišťuje dostatečné IP adresy pro škálování, protože Azure Firewall zřídí další instance virtuálních počítačů.

Ne, pro všechny scénáře škálování stačí podsíť /26.

Azure Firewall automaticky škáluje na základě využití procesoru, propustnosti a počtu připojení. Kapacita propustnosti se pohybuje zpočátku v rozmezí od 2,5 do 3 Gb/s až na 30 Gb/s (Standard SKU) nebo 100 Gb/s (Premium SKU).

Ano. Podrobnosti najdete v tématu Azure limity, kvóty a omezení předplatného a služeb.

Ne, přesun skupiny IP adres do jiné skupiny prostředků se v současné době nepodporuje.

Standardním chováním síťové brány firewall je udržovat připojení TCP aktivní; pokud není zaznamenána žádná aktivita, okamžitě je zavřít. Časový limit nečinnosti pro TCP v Azure Firewall je čtyři minuty. Toto nastavení není konfigurovatelné uživatelem, ale můžete kontaktovat podporu Azure a zvýšit časový limit nečinnosti pro příchozí a odchozí připojení až o 15 minut. Časový limit nečinnosti pro provoz východ-západ nejde změnit.

Pokud je doba nečinnosti delší než hodnota časového limitu, není zaručeno, že se udržuje relace TCP nebo HTTP. Běžným postupem je použití protokolu TCP s udržováním spojení. Tento postup udržuje připojení aktivní po delší dobu. Další informace najdete v příkladech .NET.

Ano, ale bránu firewall musíte nakonfigurovat v režimu vynuceného tunelování. Tato konfigurace vytvoří rozhraní pro správu s veřejnou IP adresou, kterou používá Azure Firewall pro své operace. Tato veřejná IP adresa je určená pro správu a řízení provozu. Používá se výhradně platformou Azure a nedá se použít k žádnému jinému účelu. Síť datových kanálů nájemce je možné nakonfigurovat bez veřejné IP adresy a internetový provoz může být nuceně směrován tunelem do jiné brány firewall nebo úplně zablokován.

Ano. Další informace najdete v tématu Backup Azure Firewall a Azure Firewall Policy with Logic Apps.

Pro zabezpečený přístup ke službám PaaS doporučujeme koncové body služby. Můžete povolit koncové body služby v podsíti Azure Firewall a zakázat je na připojených podřízených virtuálních sítích. Díky tomu můžete využívat obě funkce: zabezpečení koncového bodu služby a centrální protokolování pro veškerý provoz.

Ano, k směrování a filtrování provozu mezi více paprskovými virtuálními sítěmi můžete použít Azure Firewall v centrální virtuální síti. Podsítě v každé z paprskových virtuálních sítí musí mít uživatelsky definovanou trasu směrující na Azure Firewall jako výchozí bránu, aby tento scénář správně fungoval.

Ano. Při konfiguraci uživatelsky definovaných tras (UDRs) pro přesměrování provozu mezi podsítěmi ve stejné virtuální síti je však třeba více pozornosti. Přestože je použití rozsahu adres virtuální sítě jako cílové předpony pro trasy definované uživatelem (UDR) dostačující, veškerý provoz mezi počítači ve stejné podsíti je také směrován prostřednictvím instance Azure Firewall. Abyste tomu předešli, zahrňte trasu pro podsíť v uživatelských definicích tras s typem dalšího skoku virtuální síť. Správa těchto tras může být těžkopádná a náchylná k chybám. Doporučeným způsobem pro segmentaci interní sítě je použití síťových bezpečnostních skupin, které nevyžadují uživatelem definované trasy (UDR).

Azure Firewall nemá SNAT, pokud je cílovou IP adresou privátní rozsah IP adres na IANA RFC 1918 nebo IANA RFC 6598 pro privátní sítě. Pokud vaše organizace používá rozsah veřejných IP adres pro privátní sítě, Azure Firewall provádí SNAT na provoz na jednu z privátních IP adres brány Azure Firewall v AzureFirewallSubnetu. Můžete nakonfigurovat Azure Firewall tak, aby neprováděl SNAT pro váš rozsah veřejných IP adres. Další informace najdete v tématu Azure Firewall rozsahy privátních IP adres SNAT.

Kromě toho je provoz zpracovávaný pravidly aplikace vždy podroben procesu SNAT (Source Network Address Translation). Pokud chcete zobrazit původní zdrojovou IP adresu v protokolech pro FQDN provoz, můžete použít síťová pravidla s cílovým FQDN.

Vynucené tunelování se podporuje při vytváření nové brány firewall a podporuje se také pro stávající brány firewall přidáním síťové karty pro správu pro vynucené tunelování. Další informace o nových nasazeních najdete v tématu Azure Firewall vynucené tunelování. Informace o existujících branách firewall najdete v Azure Firewall Management NIC.

Azure Firewall musí mít přímé připojení k internetu. Pokud vaše služba AzureFirewallSubnet zjistí výchozí trasu do vaší místní sítě prostřednictvím protokolu BGP, musíte ji přepsat hodnotou 0.0.0.0.0/0 s hodnotou NextHopType nastavenou jako internet , aby se zachovalo přímé připojení k internetu.

Pokud vaše konfigurace vyžaduje vynucené tunelování do místní sítě a můžete určit cílové IP předpony pro internetové destinace, můžete tyto rozsahy nakonfigurovat s místní sítí jako další skok prostřednictvím uživatelsky definované trasy v podsíti AzureFirewallSubnet. Nebo můžete tyto trasy definovat pomocí protokolu BGP.

• URL – Hvězdičky fungují při umístění na nejpravější nebo nejlevější stranu. Pokud je na levé straně, nemůže být součástí plně kvalifikovaného názvu domény.
• Plně kvalifikovaný název domény – hvězdičky fungují při umístění na nejlevější straně.
• GENERAL - Hvězdičky na levé straně znamenají doslova cokoli na levé straně, což znamená, že několik subdomén a/nebo potenciálně nežádoucí varianty názvu domény se shodují – podívejte se na následující příklady.

Příklady:

Typ	Pravidlo	Podporováno?	Pozitivní příklady
Cílová adresa URL	www.contoso.com	Ano	www.contoso.com www.contoso.com/
Cílová adresa URL	*.contoso.com	Ano	any.contoso.com/ sub1.any.contoso.com
Cílová adresa URL	*contoso.com	Ano	example.anycontoso.com sub1.example.contoso.com contoso.com Upozornění: Toto použití zástupných znaků také umožňuje potenciálně nežádoucí/rizikové odchylky, jako th3re4lcontoso.com – používejte s opatrností.
Cílová adresa URL	www.contoso.com/test	Ano	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
Cílová adresa URL	www.contoso.com/test/*	Ano	www.contoso.com/test/anything Poznámka: www.contoso.com/testneodpovídá (poslední lomítko)
Cílová adresa URL	www.contoso.*/test/*	Ne
Cílová adresa URL	www.contoso.com/test?example=1	Ne
Cílová adresa URL	www.contoso.*	Ne
Cílová adresa URL	www.*contoso.com	Ne
Cílová adresa URL	www.contoso.com:8080	Ne
Cílová adresa URL	*.contoso.*	Ne
Cílový FQDN	www.contoso.com	Ano	www.contoso.com
Cílový FQDN	*.contoso.com	Ano	any.contoso.com Poznámka: Pokud chcete výslovně povolit contoso.com, musíte do pravidla zahrnout contoso.com. Jinak se připojení ve výchozím nastavení zahodí, protože požadavek neodpovídá žádnému pravidlu.
Cílový FQDN	*contoso.com	Ano	example.anycontoso.com contoso.com
Cílový FQDN	www.contoso.*	Ne
Cílový FQDN	*.contoso.*	Ne

Ne. Azure Firewall ve výchozím nastavení blokuje přístup Active Directory. Pokud chcete povolit přístup, nakonfigurujte značku služby AzureActiveDirectory. Další informace najdete v tématu Azure Firewall service tags.

Ano, můžete k tomu použít Azure PowerShell:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Příkaz ping tcp se ve skutečnosti nepřipojuje k cílovému plně kvalifikovanému názvu domény. Azure Firewall neumožňuje připojení k žádné cílové IP adrese nebo plně kvalifikovanému názvu domény, pokud neexistuje explicitní pravidlo, které to povoluje.

TCP ping je jedinečný případ použití, kdy pokud neexistuje žádné povolené pravidlo, Firewall sám reaguje na TCP ping požadavek klienta, i když TCP ping nedosahuje cílové IP adresy nebo plně kvalifikovaného názvu domény. V takovém případě se událost nezaprotokoluje. Pokud existuje pravidlo sítě, které povoluje přístup k cílové IP adrese nebo plně kvalifikovanému názvu domény, požadavek ping dosáhne cílového serveru a jeho odpověď se předá zpět klientovi. Tato událost se protokoluje v protokolu pravidel sítě.

Azure Firewall působí jako pasivní posluchač pro porty 80, 443 a 1433. Azure Firewall neprotokoluje pakety TCP SYN na těchto portech, pokud zde není přenos aplikace. Požadavek HTTP GET a TLS client hello se zaznamenávají v Azure Firewall.

Ano. Další informace najdete v tématu Azure limity, kvóty a omezení předplatného a služeb

Ne, přesun skupiny IP adres do jiné skupiny prostředků se v současné době nepodporuje.

Standardním chováním síťové brány firewall je udržovat připojení TCP aktivní; pokud není zaznamenána žádná aktivita, okamžitě je zavřít. Časový limit nečinnosti pro TCP v Azure Firewall je čtyři minuty. Toto nastavení není konfigurovatelné uživatelem, ale můžete kontaktovat podporu Azure a zvýšit časový limit nečinnosti pro příchozí a odchozí připojení až o 15 minut. Časový limit nečinnosti pro provoz východ-západ nejde změnit.

Pokud je doba nečinnosti delší než hodnota časového limitu, není zaručeno, že se udržuje relace TCP nebo HTTP. Běžným postupem je použití protokolu TCP s udržováním spojení. Tento postup udržuje připojení aktivní po delší dobu. Další informace najdete v příkladech .NET.

Ano, ale bránu firewall musíte nakonfigurovat v režimu vynuceného tunelování. Tato konfigurace vytvoří rozhraní pro správu s veřejnou IP adresou, kterou používá Azure Firewall pro své operace. Tato veřejná IP adresa je určená pro správu a řízení provozu. Používá se výhradně platformou Azure a nedá se použít k žádnému jinému účelu. Síť datových kanálů nájemce je možné nakonfigurovat bez veřejné IP adresy a internetový provoz může být nuceně směrován tunelem do jiné brány firewall nebo úplně zablokován.

Azure Firewall nepřesouvají ani neukládají zákaznická data z oblasti, ve které jsou nasazená.

Ano. Další informace najdete v tématu Backup Azure Firewall a Azure Firewall Policy with Logic Apps.

Ne, aktuálně Azure Firewall v zabezpečených virtuálních centrech (vWAN) se v Kataru nepodporuje.

Azure Firewall používá Azure Virtual Machines na bázi, které mají striktní limit počtu připojení. Celkový počet aktivních připojení na virtuální počítač je 250 tisíc.

Celkový limit pro firewall je limit připojení na virtuální počítač (250 tisíc) × počet virtuálních počítačů v back-endovém poolu brány firewall. Azure Firewall začíná dvěma virtuálními počítači a škáluje kapacitu na základě využití a propustnosti procesoru.

Azure Firewall aktuálně používá zdrojové porty TCP/UDP pro odchozí provoz SNAT bez doby nečinnosti. Po zavření připojení TCP/UDP se použitý port TCP okamžitě zobrazí jako dostupný pro nadcházející připojení.

Jako alternativní řešení pro určité architektury můžete nasadit a škálovat pomocí služby NAT Gateway s Azure Firewall zajistit širší fond portů SNAT pro proměnlivost a dostupnost.

Konkrétní chování NAT závisí na konfiguraci brány firewall a na typu NAT, který byl nakonfigurován. Brána firewall má například pravidla DNAT pro příchozí provoz a pravidla sítě a pravidla aplikací pro odchozí provoz přes bránu firewall.

Další informace najdete v tématu Azure Firewall Chování NAT.

V případě jakékoli plánované údržby logika vyprázdnění připojení řádně aktualizuje back-endové uzly. Azure Firewall počká 90 sekund, než se stávající připojení ukončí. Během prvních 45 sekund back-endový uzel nepřijímá nová připojení a ve zbývající době reaguje RST na všechny příchozí pakety. V případě potřeby můžou klienti automaticky znovu navázat připojení k jinému back-endovému uzlu.

Během škálování škálovací sady virtuálních počítačů (vertikální snížení kapacity) nebo během upgradu softwaru pro flotilu může dojít k vypnutí instance virtuálního počítače Azure Firewall. V těchto případech jsou nová příchozí připojení vyvážená na zbývající instance brány firewall a nejsou přesměrována na nefunkční instanci brány firewall. Po 45 sekundách začne brána firewall odmítat stávající připojení odesláním paketů TCP RST. Po dalších 45 sekundách se virtuální počítač brány firewall vypne. Další informace najdete na stránce Resetování TCP a nečinný časový limit vyrovnávače zatížení.

Azure Firewall se postupně škáluje v případě, že průměrná propustnost nebo spotřeba procesoru je 60%nebo je využití připojení 80%. Například začne škálovat horizontálně, když dosáhne 60 % své maximální propustnosti. Maximální počet propustností se liší v závislosti na Azure Firewall SKU a povolených funkcích. Další informace najdete v článku výkon služby Azure Firewall.

Horizontální navýšení kapacity trvá pět až sedm minut. Při testování výkonu se ujistěte, že testujete alespoň 10 až 15 minut a spustíte nová připojení, abyste mohli využívat nově vytvořené Azure Firewall uzly.

Pokud má připojení časový limit nečinnosti (čtyři minuty bez aktivity), Azure Firewall ukončuje připojení hladce odesláním paketu TCP RST.

Azure služby procházejí pravidelnými aktualizacemi údržby za účelem vylepšení funkčnosti, spolehlivosti, výkonu a zabezpečení. Při nakonfigurované době údržby se během tohoto časového období provádí údržba hostovaného operačního systému a údržba služeb. Údržba řízená zákazníkem ale nezahrnuje aktualizace hostitele ani důležité aktualizace zabezpečení.

Rozšířená oznámení o údržbě Azure Firewall nejsou dostupná.

Ne, vyžaduje se minimální pětihodinová doba údržby.

Ne, časové intervaly údržby se momentálně konfigurují tak, aby se opakovaly každý den.

Údržba řízená zákazníkem podporuje aktualizace hostovaného operačního systému a služeb, které jsou pro zákazníky nejdůležitější. Některé aktualizace, jako jsou aktualizace hostitelů, jsou však mimo rozsah údržby řízené zákazníkem. Ve výjimečných případech můžeme vaši kontrolu nad časovým obdobím údržby přepsat, abychom vyřešili problémy se zabezpečením s vysokou závažností.

Ano.

Ne. V současné době může být k Azure Firewall přidružena pouze jedna konfigurace údržby.

Všechny skladové položky Azure Firewall – Basic, Standard a Premium podporují údržbu řízenou zákazníky.

Po přidružení zásad údržby může trvat až 24 hodin, než Azure Firewall začne dodržovat plán údržby.

Aktivity údržby na vašem Azure Firewall nejsou během období před plánovaným časovým intervalem údržby pozastaveny. V případě dnů, které nejsou součástí časového plánu údržby, budou pravidelné operace údržby u prostředku pokračovat obvyklým způsobem.

Další informace najdete v tématu Konfigurace údržby řízené zákazníkem.