Co je brána Azure Firewall?

Azure Firewall je cloudová a inteligentní služba zabezpečení brány firewall sítě, která poskytuje nejlepší ochranu před hrozbami pro vaše cloudové úlohy běžící v Azure. Jedná se o plně stavovou bránu firewall jako službu s integrovanou vysokou dostupností a neomezenou škálovatelností cloudu. Poskytuje kontrolu provozu na východě i na sever– jih.

Azure Firewall nabízí tři skladové položky: Standard, Premium a Basic.

Azure Firewall Standard

Azure Firewall Standard poskytuje filtrování L3-L7 a informační kanály analýzy hrozeb přímo z Microsoft Cyber Security. Filtrování na základě analýzy hrozeb může upozorňovat a odepřít provoz ze známých škodlivých IP adres a domén, které se aktualizují v reálném čase, aby se chránily před novými a vznikajícími útoky.

Přehled služby Firewall Standard

Informace o standardních funkcích brány firewall najdete v tématu Azure Firewall standardních funkcích.

Azure Firewall Premium

Azure Firewall Premium poskytuje pokročilé funkce, včetně IDPS založeného na podpisu, které umožňují rychlou detekci útoků vyhledáním konkrétních vzorů. Tyto vzory můžou zahrnovat sekvence bajtů v síťovém provozu nebo známé škodlivé instrukční sekvence používané malwarem. Více než 58 000 podpisů ve více než 50 kategoriích, které se aktualizují v reálném čase, aby se chránily před novými a vznikajícími zneužitími. Kategorie zneužití zahrnují malware, phishing, dolování mincí a trojské útoky.

Přehled brány firewall Premium

Další informace o funkcích brány firewall Premium najdete v tématu Azure Firewall funkce Premium.

Azure Firewall Basic (Preview)

Důležité

Azure Firewall Basic je aktuálně ve verzi PREVIEW. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Azure Firewall Basic je určený pro zákazníky s malou a střední velikostí (SMB) k zabezpečení cloudových prostředí Azure. Poskytuje základní ochranu, kterou zákazníci SMB potřebují v cenově dostupném cenovém bodu.

Diagram znázorňující základní bránu firewall

Azure Firewall Basic je podobný standardu firewallu, ale má následující omezení:

  • Podporuje pouze režim upozornění Intel pro hrozby .
  • Jednotka s pevným škálováním pro spuštění služby na dvou back-endových instancích virtuálního počítače
  • Doporučuje se pro prostředí s maximální propustností 250 Mb/s. Propustnost se může zvýšit pro obecnou dostupnost funkcí (GA).

Pokud chcete nasadit základní bránu firewall, přečtěte si téma Nasazení a konfigurace Azure Firewall Basic (Preview) a zásad pomocí Azure Portal.

Azure Firewall Manager

Pomocí Azure Firewall Manageru můžete centrálně spravovat brány Azure Firewall napříč několika předplatnými. Správce brány firewall využívá zásady brány firewall k použití společné sady pravidel sítě nebo aplikací a konfigurace pro brány firewall ve vašem tenantovi.

Firewall Manager podporuje brány firewall v prostředích virtuální sítě i virtuálních sítí WAN (Secure Virtual Hub). Zabezpečené virtuální centra používají řešení automatizace Virtual WAN ke zjednodušení směrování provozu do brány firewall několika kliknutími.

Další informace o Azure Firewall Manageru najdete v tématu Azure Firewall Manager.

Ceny a smlouva SLA

Informace o cenách Azure Firewall najdete v tématu Azure Firewall cenách.

Informace o Azure Firewall SLA najdete v tématu Azure Firewall SLA.

Podporované oblasti

Podporované oblasti pro Azure Firewall najdete v produktech Azure dostupných podle oblastí.

Novinky

Informace o novinkách Azure Firewall najdete v aktualizacích Azure.

Známé problémy

Azure Firewall Standard

Azure Firewall Standard má následující známé problémy:

Poznámka

Všechny problémy, které platí pro Standard, platí také pro Premium.

Problém Description Omezení rizik
Pravidla síťového filtrování pro jiné protokoly než TCP/UDP (třeba ICMP) nebudou fungovat pro provoz do internetu. Pravidla filtrování sítě pro jiné protokoly než TCP/UDP nefungují s SNAT na vaši veřejnou IP adresu. Jiné protokoly než TCP/UDP jsou ale podporované mezi koncovými podsítěmi a virtuálními sítěmi. Azure Firewall používá vyvažování zatížení úrovně Standard, které v současnosti nepodporuje SNAT pro protokol IP. Zkoumáme možnosti podpory tohoto scénáře v budoucí verzi.
Chybějící podpora PowerShellu a rozhraní příkazového řádku pro protokol ICMP Azure PowerShell a rozhraní příkazového řádku nepodporují protokol ICMP jako platný protokol v pravidlech sítě. Protokol ICMP je stále možné používat jako protokol prostřednictvím portálu a rozhraní REST API. Brzy pracujeme na přidání ICMP v PowerShellu a rozhraní příkazového řádku.
Značky plně kvalifikovaného názvu domény vyžadují, aby byl nastavený protokol: port Pravidla aplikací se značkami plně kvalifikovaného názvu domény vyžadují port: definici protokolu. Jako hodnotu port: protokol můžete použít https. Pracujeme na tom, aby toto pole bylo volitelné, když se použijí značky plně kvalifikovaného názvu domény.
Přesunutí brány firewall do jiné skupiny prostředků nebo předplatného se nepodporuje Přesunutí brány firewall do jiné skupiny prostředků nebo předplatného se nepodporuje. Podpora této funkce je na naší mapě. Pokud chcete bránu firewall přesunout do jiné skupiny prostředků nebo předplatného, musíte odstranit aktuální instanci a znovu ji vytvořit v nové skupině prostředků nebo předplatném.
Výstrahy analýzy hrozeb se můžou maskovat Pravidla sítě s cílem 80/443 pro odchozí filtrování maskuje výstrahy analýzy hrozeb při konfiguraci pouze režimu upozornění. Vytvořte odchozí filtrování pro 80/443 pomocí pravidel aplikace. Nebo změňte režim analýzy hrozeb na upozornění a odepřít.
Azure Firewall DNAT nefunguje pro privátní cíle IP adres Azure Firewall podpora DNAT je omezena na výchozí a příchozí přenos dat z internetu. DNAT v současné době nefunguje pro privátní cíle IP adres. Například paprsky na paprsky. Toto je aktuální omezení.
Nejde odebrat první konfiguraci veřejné IP adresy Každá Azure Firewall veřejná IP adresa se přiřadí konfiguraci PROTOKOLU IP. První konfigurace PROTOKOLU IP se přiřadí během nasazení brány firewall a obvykle obsahuje odkaz na podsíť brány firewall (pokud není nakonfigurovaná explicitně jinak prostřednictvím nasazení šablony). Tuto konfiguraci PROTOKOLU IP nelze odstranit, protože by se přidělila brána firewall. Veřejnou IP adresu přidruženou k této konfiguraci IP adresy můžete přesto změnit nebo odebrat, pokud má brána firewall k dispozici aspoň jednu jinou veřejnou IP adresu. Toto chování je úmyslné.
Zóny dostupnosti je možné nakonfigurovat pouze během nasazování. Zóny dostupnosti je možné nakonfigurovat pouze během nasazování. Po nasazení brány firewall nemůžete nakonfigurovat Zóny dostupnosti. Toto chování je úmyslné.
SNAT u příchozích připojení Kromě DNAT jsou připojení přes veřejnou IP adresu brány firewall (příchozí) SNAT na jednu z privátních IP adres brány firewall. Tento požadavek je dnes (také pro síťové virtuální zařízení Active/Active) k zajištění symetrického směrování. Pokud chcete zachovat původní zdroj pro HTTP/S, zvažte použití hlaviček XFF . Použijte například službu, jako je Azure Front Door nebo Azure Application Gateway před bránou firewall. WaF můžete také přidat jako součást služby Azure Front Door a zřetězíte ji do brány firewall.
Filtrování plně kvalifikovaného názvu domény SQL podporuje pouze v režimu proxy serveru (port 1433) Pro Azure SQL Database, Azure Synapse Analytics a Azure SQL Managed Instance:

Filtrování plně kvalifikovaného názvu domény SQL se podporuje jenom v režimu proxy (port 1433).

Pro Azure SQL IaaS:

Pokud používáte nestandardní porty, můžete tyto porty zadat v pravidlech aplikace.
Pro SQL v režimu přesměrování (výchozí nastavení při připojování z Azure) můžete místo toho filtrovat přístup pomocí značky služby SQL jako součást pravidel sítě Azure Firewall.
Odchozí provoz SMTP na portu TCP 25 je blokovaný Odchozí e-mailové zprávy odeslané přímo do externích domén (například outlook.com a gmail.com) na portu TCP 25 je možné zablokovat platformou Azure. Toto je výchozí chování platformy v Azure, Azure Firewall nepředstavuje žádné další konkrétní omezení. Používejte ověřené předávací služby SMTP, které se obvykle připojují přes port TCP 587, ale také podporují další porty. Další informace najdete v tématu Řešení potíží s odchozím připojením SMTP v Azure. V současné době Azure Firewall může být možné komunikovat s veřejnými IP adresami pomocí odchozího protokolu TCP 25, ale není zaručeno, že funguje a nepodporuje se pro všechny typy předplatného. U privátních IP adres, jako jsou virtuální sítě, sítě VPN a Azure ExpressRoute, Azure Firewall podporuje odchozí připojení portu TCP 25.
Problém s vyčerpáním portů SNAT Azure Firewall aktuálně podporuje 2496 portů na veřejnou IP adresu na instanci škálovací sady back-endových virtuálních počítačů. Ve výchozím nastavení existují dvě instance škálovací sady virtuálních počítačů. Existuje tedy 4992 portů na tok (cílová IP adresa, cílový port a protokol (TCP nebo UDP). Brána firewall se škáluje na maximálně 20 instancí. Toto je omezení platformy. Limity můžete obejít konfigurací nasazení Azure Firewall s minimálně pěti veřejnými IP adresami pro nasazení náchylná k vyčerpání SNAT. Tím se zvýší počet portů SNAT, které jsou k dispozici pětkrát. Přidělení z předpony IP adresy za účelem zjednodušení podřízených oprávnění V případě trvalejšího řešení můžete nasadit bránu NAT, abyste překonali limity portů SNAT. Tento přístup je podporovaný pro nasazení virtuální sítě.

Další informace najdete v tématu Škálování portů SNAT pomocí Azure Virtual Network NAT.
DnaT se nepodporuje s povoleným vynuceným tunelováním Brány firewall nasazené s povoleným vynuceným tunelováním nemůžou podporovat příchozí přístup z internetu kvůli asymetrického směrování. To je návrh z důvodu asymetrického směrování. Návratová cesta pro příchozí připojení prochází přes místní bránu firewall, která nenavazovala připojení.
Odchozí pasivní FTP nemusí fungovat pro brány firewall s více veřejnými IP adresami v závislosti na konfiguraci serveru FTP. Pasivní FTP vytváří různá připojení pro řídicí a datové kanály. Když brána firewall s více veřejnými IP adresami odesílá odchozí data, náhodně vybere jednu z jejích veřejných IP adres pro zdrojovou IP adresu. Ftp může selhat, když kanály dat a řízení používají různé zdrojové IP adresy v závislosti na konfiguraci serveru FTP. Plánuje se explicitní konfigurace SNAT. Mezitím můžete server FTP nakonfigurovat tak, aby přijímal kanály dat a řízení z různých zdrojových IP adres (viz příklad služby IIS). Případně zvažte použití jedné IP adresy v této situaci.
Příchozí pasivní FTP nemusí fungovat v závislosti na konfiguraci serveru FTP Pasivní FTP vytváří různá připojení pro řídicí a datové kanály. Příchozí připojení na Azure Firewall jsou SNAT na jednu z privátních IP adres brány firewall, aby se zajistilo symetrické směrování. Ftp může selhat, když kanály dat a řízení používají různé zdrojové IP adresy v závislosti na konfiguraci serveru FTP. Zachování původní zdrojové IP adresy se prošetřuje. Mezitím můžete server FTP nakonfigurovat tak, aby přijímal kanály dat a řízení z různých zdrojových IP adres.
Aktivní FTP nebude fungovat, když se klient FTP musí připojit k serveru FTP přes internet. Aktivní FTP využívá příkaz PORT z klienta FTP, který směruje server FTP, jakou IP adresu a port použije pro datový kanál. Tento příkaz PORT využívá privátní IP adresu klienta, kterou nelze změnit. Provoz na straně klienta, který prochází Azure Firewall bude překlad adres (NAT) pro internetovou komunikaci, takže příkaz PORT, který je považován za neplatný server FTP. Toto je obecné omezení aktivního FTP při použití ve spojení s překladem adres (NAT) na straně klienta.
Metrika NetworkRuleHit chybí dimenze protokolu. Metrika ApplicationRuleHit umožňuje filtrovat založený protokol, ale tato schopnost chybí v odpovídající metrice NetworkRuleHit. Probíhá šetření opravy.
Pravidla překladu adres (NAT) s porty mezi 64000 a 65535 nejsou podporována. Azure Firewall umožňuje libovolný port v rozsahu 1-65535 v pravidlech sítě a aplikací, ale pravidla PŘEKLADU adres podporují pouze porty v rozsahu 1–63999. Toto je aktuální omezení.
Průměrné využití aktualizací konfigurace může trvat pět minut. Průměrná aktualizace konfigurace Azure Firewall může trvat tři až pět minut a paralelní aktualizace se nepodporují. Probíhá šetření opravy.
Azure Firewall používá hlavičky protokolu TLS SNI k filtrování provozu HTTPS a MSSQL. Pokud prohlížeč nebo serverový software nepodporuje rozšíření Indikátor názvu serveru (SNI), nemůžete se připojit přes Azure Firewall. Pokud prohlížeč nebo serverový software nepodporuje SNI, možná budete moct řídit připojení pomocí pravidla sítě místo pravidla aplikace. Viz Označení názvu serveru pro software, který podporuje SNI.
Pomocí portálu nebo šablon Azure Resource Manager (ARM) nejde přidat značky zásad brány firewall. Azure Firewall Zásady mají omezení podpory oprav, které brání přidání značky pomocí šablon Azure Portal nebo ARM. Vygeneruje se následující chyba: Značky prostředku nelze uložit. Probíhá šetření opravy. Nebo můžete pomocí rutiny Set-AzFirewallPolicy Azure PowerShell aktualizovat značky.
Protokol IPv6 se v současné době nepodporuje. Pokud do pravidla přidáte adresu IPv6, brána firewall selže. Používejte jenom adresy IPv4. Probíhá šetření podpory protokolu IPv6.
Aktualizace více skupin IP adres selže s chybou konfliktu. Když aktualizujete dvě nebo více skupin IP připojených ke stejné bráně firewall, jeden z prostředků přejde do stavu selhání. Jedná se o známý problém nebo omezení.

Když aktualizujete skupinu IP adres, aktivuje aktualizaci ve všech branách firewall, ke kterým je ip skupina připojena. Pokud se spustí aktualizace druhé skupiny IP adres, zatímco brána firewall je stále ve stavu Aktualizace , aktualizace IPGroup selže.

Aby se zabránilo selhání, musí se skupiny IP adres připojené ke stejné bráně firewall aktualizovat najednou. Povolte dostatek času mezi aktualizacemi, aby se brána firewall mohla dostat ze stavu aktualizace .
Odebrání RuleCollectionGroups pomocí šablon ARM se nepodporuje. Odebrání ruleCollectionGroup pomocí šablon ARM se nepodporuje a vede k selhání. Toto není podporovaná operace.
Pravidlo DNAT pro povolení jakéhokoli provozu (*) bude SNAT. Pokud pravidlo DNAT povolí jako zdrojovou IP adresu libovolnou (*), bude implicitní pravidlo sítě odpovídat VNet-VNet provozu a bude vždy SNAT provoz. Toto je aktuální omezení.
Přidání pravidla DNAT do zabezpečeného virtuálního centra s poskytovatelem zabezpečení se nepodporuje. Výsledkem je asynchronní trasa pro návratový provoz DNAT, který přejde k poskytovateli zabezpečení. Nepodporováno
Při vytváření více než 2000 kolekcí pravidel došlo k chybě. Maximální počet kolekcí pravidel nat/aplikace nebo sítě je 2000 (limit Resource Manager). Toto je aktuální omezení.
V protokolech Azure Firewall se nezobrazuje název pravidla sítě Azure Firewall data protokolu pravidel sítě nezobrazují název pravidla pro síťový provoz. Protokolování názvu pravidla sítě je ve verzi Preview. Informace najdete v tématu Azure Firewall funkce preview.
Hlavička XFF v HTTP/S Hlavičky XFF se přepíšou původní zdrojovou IP adresou, jak je vidět v bráně firewall. To platí pro následující případy použití:
– Požadavky HTTP
– Požadavky HTTPS s ukončením protokolu TLS
Probíhá šetření opravy.
Nejde upgradovat na Premium s Zóny dostupnosti v oblasti Jihovýchodní Asie V současné době nemůžete upgradovat na Azure Firewall Premium s Zóny dostupnosti v oblasti Jihovýchodní Asie. Nasaďte novou bránu firewall Premium v jihovýchodní Asii bez Zóny dostupnosti nebo nasaďte v oblasti, která podporuje Zóny dostupnosti.
Bránu firewall nejde nasadit s Zóny dostupnosti s nově vytvořenou veřejnou IP adresou Když nasadíte bránu firewall s Zóny dostupnosti, nemůžete použít nově vytvořenou veřejnou IP adresu. Nejprve vytvořte novou zónově redundantní veřejnou IP adresu a pak tuto dříve vytvořenou IP adresu při nasazení brány firewall přiřaďte.
Privátní zóna DNS Azure se nepodporuje u Azure Firewall Privátní zóna DNS Azure nebude fungovat s Azure Firewall bez ohledu na Azure Firewall nastavení DNS. Chcete-li dosáhnout požadovaného stavu použití privátního serveru DNS, použijte místo zóny privátního DNS Azure Firewall proxy DNS Azure.

Azure Firewall Premium

Azure Firewall Premium má následující známé problémy:

Problém Description Omezení rizik
Podpora ESNI pro překlad plně kvalifikovaných názvů domén v https Šifrované SNI se nepodporuje v handshake HTTPS. V současné době podporuje esNI pouze Firefox prostřednictvím vlastní konfigurace. Navrhované alternativní řešení je zakázat tuto funkci.
Ověřování certifikace klienta se nepodporuje. Klientské certifikáty slouží k vytvoření vzájemného vztahu důvěryhodnosti identity mezi klientem a serverem. Klientské certifikáty se používají během vyjednávání protokolu TLS. Azure Firewall znovu projedná připojení k serveru a nemá přístup k privátnímu klíči klientských certifikátů. Žádné
QUIC/HTTP3 QUIC je nová hlavní verze HTTP. Jedná se o protokol založený na protokolu UDP přes 80 (PLAN) a 443 (SSL). Plně kvalifikovaný název domény nebo adresa URL nebo kontrola protokolu TLS se nepodporuje. Nakonfigurujte předávání UDP 80/443 jako pravidla sítě.
Nedůvěryhodné certifikáty podepsané zákazníkem Certifikáty podepsané zákazníkem nejsou bránou firewall po přijetí z intranetového webového serveru důvěryhodné. Probíhá šetření opravy.
Nesprávná zdrojová IP adresa v upozorněních s IDPS pro PROTOKOL HTTP (bez kontroly protokolu TLS) Pokud se používá provoz HTTP ve formátu prostého textu a IDPS vydá nové upozornění a cíl je veřejná IP adresa, zobrazená zdrojová IP adresa je nesprávná (interní IP adresa se zobrazí místo původní IP adresy). Probíhá šetření opravy.
Šíření certifikátu Po použití certifikátu certifikační autority na bráně firewall může trvat 5 až 10 minut, než se certifikát projeví. Probíhá šetření opravy.
Podpora protokolu TLS 1.3 Protokol TLS 1.3 je částečně podporovaný. Tunel TLS z klienta do brány firewall je založený na protokolu TLS 1.2 a z brány firewall na externí webový server je založený na protokolu TLS 1.3. Aktualizace se prošetřuje.
Privátní koncový bod KeyVault KeyVault podporuje přístup privátního koncového bodu k omezení ohrožení sítě. Důvěryhodné služby Azure můžou toto omezení obejít, pokud je výjimka nakonfigurovaná podle popisu v dokumentaci ke službě KeyVault. Azure Firewall není aktuálně uvedená jako důvěryhodná služba a nemůže přistupovat k Key Vault. Probíhá šetření opravy.
Zóny dostupnosti pro bránu Firewall Premium v oblasti Jihovýchodní Asie V současné době nemůžete nasadit Azure Firewall Premium s Zóny dostupnosti v oblasti Jihovýchodní Asie. Nasaďte bránu firewall v jihovýchodní Asii bez Zóny dostupnosti nebo nasaďte v oblasti, která podporuje Zóny dostupnosti.

Další kroky