Co je brána Azure Firewall?
Azure Firewall je služba zabezpečení brány firewall sítě nativní pro cloud, která poskytuje nejlepší ochranu před hrozbami pro cloudové úlohy běžící v Azure. Jedná se o plně stavovou bránu firewall jako službu s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Zajišťuje jak dopravní kontrolu východ-západ, tak i sever-jih.
Azure Firewall se nabízí ve třech cenových úrovních: Standard, Premium a Basic.
Azure Firewall Standard
Azure Firewall Standard poskytuje filtry L3-L7 a informační kanály analýzy hrozeb přímo z Microsoft Cyber Security. Filtrování na základě analýzy hrozeb může upozorňovat a odepřít provoz ze známých škodlivých IP adres a domén, které se aktualizují v reálném čase, aby chránily před novými a vznikajícími útoky.
Informace o funkcích brány firewall úrovně Standard najdete v tématu funkce Azure Firewall Standard.
Azure Firewall Premium
Azure Firewall Premium poskytuje pokročilé funkce, mezi které patří IDPS založené na signaturách, které umožňují rychle detekovat útoky hledáním konkrétních vzorů. Tyto vzory můžou zahrnovat sekvence bajtů v síťovém provozu nebo známé škodlivé sekvence instrukcí používané malwarem. Existuje více než 58 000 podpisů ve více než 50 kategoriích, které se aktualizují v reálném čase, aby byly chráněny před novými a vznikajícími zneužitími. Mezi kategorie zneužití patří malware, phishing, dolování mincí a trojské útoky.
Informace o funkcích brány firewall Premium najdete v tématu funkce Azure Firewall Premium.
Azure Firewall Basic (Preview)
Důležité
Azure Firewall Basic je aktuálně ve verzi PREVIEW. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.
Azure Firewall Basic je určen pro zákazníky s malými a středními velikostmi (SMB) k zabezpečení svých cloudových prostředí Azure. Poskytuje základní ochranu, kterou zákazníci smb potřebují za dostupnou cenu.
Azure Firewall Basic se podobá bráně firewall Standard, ale má následující omezení:
- Podporuje pouze režim upozornění Intel na hrozby.
- Pevná jednotka škálování pro spuštění služby na dvou back-endových instancích virtuálních počítačů
- Doporučeno pro prostředí s maximální propustností 250 Mb/s. Propustnost se může zvýšit v případě obecné dostupnosti funkcí (GA).
Podporované oblasti
Azure Firewall Basic je ve verzi Preview k dispozici v následujících oblastech:
- East US
- USA – východ 2
- USA – západ
- Západní USA 2
- USA – západ 3
- USA – střed
- USA – středosever
- Středojižní USA
- USA – středozápad
- USA – východ 2 (EUAP)
- USA – střed – EUAP
- Severní Evropa
- West Europe
- Východní Asie
- Southeast Asia
- Japonsko – východ
- Japonsko – západ
- Austrálie – východ
- Austrálie – jihovýchod
- Austrálie – střed
- Brazílie – jih
- Indie – jih
- Indie – střed
- Západní Indie
- Střední Kanada
- Kanada – východ
- Spojené království – jih
- Spojené království – západ
- Jižní Korea – střed
- Jižní Korea – jih
- Francie – střed
- Jižní Afrika – sever
- Spojené arabské emiráty – sever
- Švýcarsko – sever
- Německo – středozápad
- Norsko – východ
- Jio Indie – západ
- Švédsko – střed
- Katar – střed
Pokud chcete nasadit základní bránu firewall, přečtěte si téma Nasazení a konfigurace Azure Firewall Basic (Preview) a zásad pomocí Azure Portal.
Azure Firewall Manager
Pomocí Azure Firewall Manageru můžete centrálně spravovat brány Azure Firewall napříč několika předplatnými. Firewall Manager využívá zásady brány firewall k použití společné sady pravidel sítě nebo aplikací a konfigurace pro brány firewall ve vašem tenantovi.
Firewall Manager podporuje brány firewall ve virtuálních sítích i virtuálních sítích WAN (Zabezpečené virtuální centrum). Zabezpečená virtuální centra používají řešení automatizace směrování Virtual WAN ke zjednodušení směrování provozu do brány firewall několika kliknutími.
Další informace o Azure Firewall Manageru najdete v tématu Azure Firewall Manager.
Ceny a smlouva SLA
Informace o cenách Azure Firewall najdete v tématu ceny Azure Firewall.
Informace o Azure Firewall sla najdete v tématu Azure Firewall SLA.
Podporované oblasti
Podporované oblasti pro Azure Firewall najdete v tématu Dostupné produkty Azure podle oblastí.
Novinky
Informace o novinkách v Azure Firewall najdete v tématu Aktualizace Azure.
Známé problémy
Azure Firewall Standard
Azure Firewall Standard má následující známé problémy:
Poznámka
Všechny problémy, které se týkají standardu Standard, platí také pro Premium.
| Problém | Description | Omezení rizik |
|---|---|---|
| Pravidla síťového filtrování pro jiné protokoly než TCP/UDP (třeba ICMP) nebudou fungovat pro provoz do internetu. | Pravidla filtrování sítě pro jiné protokoly než TCP/UDP nefungují se službou SNAT na vaší veřejné IP adrese. Jiné protokoly než TCP/UDP jsou ale podporované mezi koncovými podsítěmi a virtuálními sítěmi. | Azure Firewall používá vyvažování zatížení úrovně Standard, které v současnosti nepodporuje SNAT pro protokol IP. Zkoumáme možnosti podpory tohoto scénáře v budoucí verzi. |
| Chybějící podpora PowerShellu a rozhraní příkazového řádku pro protokol ICMP | Azure PowerShell a rozhraní příkazového řádku nepodporují PROTOKOL ICMP jako platný protokol v pravidlech sítě. | IcMP je stále možné použít jako protokol prostřednictvím portálu a rozhraní REST API. Pracujeme na brzkém přidání protokolu ICMP do PowerShellu a rozhraní příkazového řádku. |
| Značky plně kvalifikovaného názvu domény vyžadují, aby byl nastavený protokol: port | Pravidla aplikací se značkami plně kvalifikovaného názvu domény vyžadují definici protokolu port:. | Jako hodnotu port: protokol můžete použít https. Pracujeme na tom, aby při použití značek plně kvalifikovaného názvu domény bylo toto pole volitelné. |
| Přesun brány firewall do jiné skupiny prostředků nebo jiného předplatného se nepodporuje. | Přesun brány firewall do jiné skupiny prostředků nebo jiného předplatného se nepodporuje. | Podpora této funkce je na naší roadmapě. Pokud chcete bránu firewall přesunout do jiné skupiny prostředků nebo předplatného, musíte odstranit aktuální instanci a znovu ji vytvořit v nové skupině prostředků nebo předplatném. |
| Upozornění analýzy hrozeb se můžou maskovat | Pravidla sítě s cílem 80/443 pro filtrování odchozích přenosů maskují upozornění analýzy hrozeb, pokud jsou nakonfigurovaná na režim pouze upozornění. | Vytvoření filtrování odchozích přenosů pro 80/443 pomocí pravidel aplikace Nebo změňte režim analýzy hrozeb na Upozorňovat a odepřít. |
| Azure Firewall DNAT nefunguje pro privátní cíle IP | Azure Firewall podpora DNAT je omezená na internetový výchozí přenos dat a příchozí přenos dat. DNAT v současné době nefunguje pro privátní cíle IP adres. Například od paprsku k paprsku. | Jedná se o aktuální omezení. |
| Nejde odebrat první konfiguraci veřejné IP adresy | Každá Azure Firewall veřejná IP adresa se přiřadí ke konfiguraci IP adresy. První konfigurace IP adresy se přiřadí během nasazení brány firewall a obvykle také obsahuje odkaz na podsíť brány firewall (pokud není explicitně nakonfigurovaná jinak prostřednictvím nasazení šablony). Tuto konfiguraci IP adresy nemůžete odstranit, protože by se tím odečítá brána firewall. Veřejnou IP adresu přidruženou k této konfiguraci IP adresy můžete přesto změnit nebo odebrat, pokud má brána firewall k dispozici alespoň jednu další veřejnou IP adresu, kterou lze použít. | Toto chování je úmyslné. |
| Zóny dostupnosti je možné konfigurovat pouze během nasazování. | Zóny dostupnosti je možné konfigurovat pouze během nasazování. Po nasazení brány firewall nemůžete nakonfigurovat Zóny dostupnosti. | Toto chování je úmyslné. |
| SNAT u příchozích připojení | Kromě DNAT jsou připojení přes veřejnou IP adresu brány firewall (příchozí) SNAT na jednu z privátních IP adres brány firewall. Tento požadavek (také pro aktivní/aktivní síťová virtuální zařízení) v současné době zajišťuje symetrické směrování. | Pokud chcete zachovat původní zdroj pro HTTP/S, zvažte použití hlaviček XFF . Můžete například použít službu, jako je Azure Front Door, nebo Azure Application Gateway před bránou firewall. WaF můžete také přidat jako součást služby Azure Front Door a připojit se k bráně firewall. |
| Filtrování plně kvalifikovaných názvů domén SQL podporuje pouze v režimu proxy serveru (port 1433) | Pro Azure SQL Database, Azure Synapse Analytics a Azure SQL Managed Instance: Filtrování plně kvalifikovaných názvů domén SQL se podporuje pouze v režimu proxy serveru (port 1433). Pro Azure SQL IaaS: Pokud používáte nestandardní porty, můžete je zadat v pravidlech aplikace. |
V případě SQL v režimu přesměrování (výchozí nastavení při připojování z Azure) můžete místo toho filtrovat přístup pomocí značky služby SQL jako součást pravidel sítě Azure Firewall. |
| Odchozí provoz SMTP na portu TCP 25 je blokovaný | Platforma Azure může blokovat odchozí e-mailové zprávy, které se odesílají přímo do externích domén (například outlook.com a gmail.com) na portu TCP 25. Toto je výchozí chování platformy v Azure, Azure Firewall nezavádí žádná další specifická omezení. |
Použijte ověřené služby přenosu SMTP, které se obvykle připojují přes port TCP 587, ale podporují i jiné porty. Další informace najdete v tématu Řešení potíží s odchozím připojením SMTP v Azure. V současné době Azure Firewall můžou komunikovat s veřejnými IP adresami pomocí odchozího protokolu TCP 25, ale není zaručeno, že bude fungovat a nepodporuje se pro všechny typy předplatného. U privátních IP adres, jako jsou virtuální sítě, sítě VPN a Azure ExpressRoute, Azure Firewall podporuje odchozí připojení s portem TCP 25. |
| Problém s vyčerpáním portů SNAT | Azure Firewall aktuálně podporuje 2496 portů na veřejnou IP adresu na instanci škálovací sady back-endového virtuálního počítače. Ve výchozím nastavení existují dvě instance škálovací sady virtuálních počítačů. Pro každý tok tedy existuje 4992 portů (cílová IP adresa, cílový port a protokol (TCP nebo UDP). Brána firewall se škáluje až na maximálně 20 instancí. | Jedná se o omezení platformy. Limity můžete obejít konfigurací nasazení Azure Firewall s minimálně pěti veřejnými IP adresami pro nasazení náchylná k vyčerpání SNAT. Tím se pětinásobně zvýší počet dostupných portů SNAT. Přidělení z předpony IP adresy pro zjednodušení podřízených oprávnění Pokud chcete trvalejší řešení, můžete nasadit službu NAT Gateway a překonat tak limity portů SNAT. Tento přístup se podporuje pro nasazení virtuální sítě. Další informace najdete v tématu Škálování portů SNAT pomocí Překladu adres (NAT) Azure Virtual Network. |
| S povoleným vynuceným tunelováním se nepodporuje DNAT. | Brány firewall nasazené s povoleným vynuceným tunelováním nemůžou kvůli asymetrickému směrování podporovat příchozí přístup z internetu. | To je záměrně kvůli asymetrickému směrování. Návratová cesta pro příchozí připojení prochází přes místní bránu firewall, u které se nenavazovalo připojení. |
| Odchozí pasivní ftp nemusí fungovat pro brány firewall s více veřejnými IP adresami v závislosti na konfiguraci serveru FTP. | Pasivní ftp vytváří různá připojení pro řídicí a datové kanály. Když brána firewall s několika veřejnými IP adresami odesílá odchozí data, náhodně vybere jednu ze svých veřejných IP adres pro zdrojovou IP adresu. Protokol FTP může selhat, když datové a řídicí kanály používají různé zdrojové IP adresy v závislosti na konfiguraci serveru FTP. | Plánuje se explicitní konfigurace SNAT. Mezitím můžete server FTP nakonfigurovat tak, aby přijímal data a řídí kanály z různých zdrojových IP adres ( podívejte se na příklad pro službu IIS). Případně v této situaci zvažte použití jedné IP adresy. |
| V závislosti na konfiguraci serveru FTP nemusí fungovat příchozí pasivní ftp | Pasivní ftp vytváří různá připojení pro řídicí a datové kanály. Příchozí připojení na Azure Firewall jsou SNAT na jednu z privátních IP adres brány firewall, aby se zajistilo symetrické směrování. Protokol FTP může selhat, když datové a řídicí kanály používají různé zdrojové IP adresy v závislosti na konfiguraci serveru FTP. | Zachování původní zdrojové IP adresy se prověřuje. Mezitím můžete server FTP nakonfigurovat tak, aby přijímal data a řídicí kanály z různých zdrojových IP adres. |
| Aktivní ftp nebude fungovat, když se klient FTP musí připojit k serveru FTP přes internet. | Aktivní FTP využívá příkaz PORT z klienta FTP, který serveru FTP nasměruje, jakou IP adresu a port má použít pro datový kanál. Tento příkaz PORT využívá privátní IP adresu klienta, kterou nelze změnit. Provoz na straně klienta procházející Azure Firewall bude pro internetovou komunikaci překladem adres (NAT), takže server FTP bude považovat příkaz PORT za neplatný. | Jedná se o obecné omezení aktivního ftp při použití ve spojení s překladem adres na straně klienta. |
| V metrice NetworkRuleHit chybí dimenze protokolu | Metrika ApplicationRuleHit umožňuje filtrování na základě protokolu, ale tato funkce chybí v odpovídající metrice NetworkRuleHit. | Probíhá šetření opravy. |
| Pravidla PŘEKLADU ADRES s porty mezi 64000 a 65535 se nepodporují. | Azure Firewall povoluje jakýkoli port v rozsahu 1–65535 v pravidlech sítě a aplikací, ale pravidla PŘEKLADU ADRES podporují pouze porty v rozsahu 1–63999. | Jedná se o aktuální omezení. |
| Aktualizace konfigurace můžou v průměru trvat pět minut. | Aktualizace konfigurace Azure Firewall může v průměru trvat tři až pět minut a paralelní aktualizace se nepodporují. | Probíhá šetření opravy. |
| Azure Firewall používá hlavičky SNI TLS k filtrování provozu HTTPS a MSSQL. | Pokud prohlížeč nebo serverový software nepodporuje rozšíření SNI (Server Name Indicator), nemůžete se připojit přes Azure Firewall. | Pokud prohlížeč nebo serverový software SNI nepodporuje, možná budete moct řídit připojení pomocí síťového pravidla místo pravidla aplikace. Informace o softwaru, který podporuje SNI, najdete v tématu Indikace názvu serveru . |
| Značky zásad brány firewall nejde přidat pomocí portálu nebo šablon Azure Resource Manager (ARM) | Azure Firewall Policy mají omezení podpory oprav, které brání v přidání značky pomocí Azure Portal nebo šablon ARM. Vygeneruje se následující chyba: Nepodařilo se uložit značky prostředku. | Probíhá šetření opravy. Nebo můžete k aktualizaci značek použít rutinu Set-AzFirewallPolicy Azure PowerShellu. |
| Protokol IPv6 se v současné době nepodporuje. | Pokud do pravidla přidáte adresu IPv6, brána firewall selže. | Používejte jenom adresy IPv4. Podpora protokolu IPv6 se prošetruje. |
| Aktualizace více skupin IP adres selže s chybou konfliktu. | Když aktualizujete dvě nebo více skupin IP adres připojených ke stejné bráně firewall, jeden z prostředků přejde do stavu selhání. | Jedná se o známý problém nebo omezení. Když aktualizujete skupinu IP adres, aktivuje se aktualizace všech bran firewall, ke kterým je skupina IPGroup připojená. Pokud se spustí aktualizace druhé skupiny IP adres v době, kdy je brána firewall stále ve stavu Aktualizace , aktualizace skupiny IPGroup selže. Aby se zabránilo selhání, musí se skupiny IP adres připojené ke stejné bráně firewall aktualizovat po jednom. Mezi aktualizacemi povolte dostatek času, aby se brána firewall dostala ze stavu Aktualizace . |
| Odebrání skupin RuleCollectionGroup pomocí šablon ARM se nepodporuje. | Odebrání rulecollectionGroup pomocí šablon ARM se nepodporuje a má za následek selhání. | Tato operace se nepodporuje. |
| Pravidlo DNAT pro povolení jakéhokoli (*) provozu SNAT. | Pokud pravidlo DNAT povolí jako zdrojovou IP adresu libovolnou (*), implicitní pravidlo sítě bude odpovídat VNet-VNet provozu a bude vždy SNAT provoz. | Jedná se o aktuální omezení. |
| Přidání pravidla DNAT do zabezpečeného virtuálního centra pomocí poskytovatele zabezpečení se nepodporuje. | Výsledkem je asynchronní trasa pro vracející se provoz DNAT, který směřuje k poskytovateli zabezpečení. | Nepodporováno |
| Při vytváření více než 2000 kolekcí pravidel došlo k chybě. | Maximální počet kolekcí natů / pravidel aplikace nebo sítě je 2000 (limit Resource Manageru). | Jedná se o aktuální omezení. |
| V protokolech služby Azure Firewall se nezobrazuje název pravidla sítě | V datech protokolu pravidel sítě služby Azure Firewall se nezobrazuje název pravidla pro síťový provoz. | Protokolování názvu pravidla sítě je ve verzi Preview. Informace najdete v tématu Funkce služby Azure Firewall ve verzi Preview. |
| Hlavička XFF v HTTP/S | Hlavičky XFF se přepíšou původní zdrojovou IP adresou, kterou vidí brána firewall. To platí pro následující případy použití: – Požadavky HTTP – Požadavky HTTPS s ukončením protokolu TLS |
Probíhá šetření opravy. |
| Nejde upgradovat na premium se zónami dostupnosti v oblasti Jihovýchodní Asie | V současné době není možné upgradovat na službu Azure Firewall Premium se zónami dostupnosti v oblasti Jihovýchodní Asie. | Nasaďte novou bránu firewall úrovně Premium v jihovýchodní Asii bez zón dostupnosti nebo ji nasaďte v oblasti, která podporuje zóny dostupnosti. |
| Nejde nasadit bránu firewall se zónami dostupnosti s nově vytvořenou veřejnou IP adresou | Když nasadíte bránu firewall se zónami dostupnosti, nemůžete použít nově vytvořenou veřejnou IP adresu. | Nejprve vytvořte novou zónově redundantní veřejnou IP adresu a pak přiřaďte tuto dříve vytvořenou IP adresu během nasazení brány firewall. |
| Azure Firewall nepodporuje zónu privátního DNS Azure. | Zóna privátního DNS Azure nebude fungovat se službou Azure Firewall bez ohledu na nastavení DNS služby Azure Firewall. | Pokud chcete dosáhnout požadovaného stavu používání privátního serveru DNS, použijte místo zóny privátního DNS azure proxy dns službu Azure Firewall. |
Azure Firewall Premium
Azure Firewall Premium má následující známé problémy:
| Problém | Description | Omezení rizik |
|---|---|---|
| Podpora ESNI pro překlad plně kvalifikovaných názvů domén v HTTPS | Šifrovaný SNI není podporován metodou handshake PROTOKOLU HTTPS. | V současné době podporuje ESNI prostřednictvím vlastní konfigurace pouze Firefox. Navrhované alternativní řešení je tuto funkci zakázat. |
| Ověřování klientských certifikátů se nepodporuje. | Klientské certifikáty se používají k vytvoření vzájemného vztahu důvěryhodnosti identity mezi klientem a serverem. Klientské certifikáty se používají při vyjednávání protokolu TLS. Azure Firewall znovu vyjedná připojení k serveru a nemá přístup k privátnímu klíči klientských certifikátů. | Žádné |
| QUIC/HTTP3 | QUIC je nová hlavní verze http. Jedná se o protokol založený na protokolu UDP s více než 80 (PLAN) a 443 (SSL). Kontrola plně kvalifikovaného názvu domény, adresy URL nebo TLS se nepodporuje. | Nakonfigurujte předávání UDP 80/443 jako pravidel sítě. |
| Nedůvěryhodné certifikáty podepsané zákazníkem | Certifikáty podepsané zákazníkem nejsou bránou firewall po přijetí z intranetového webového serveru důvěryhodné. | Probíhá šetření opravy. |
| Nesprávná zdrojová IP adresa v upozorněních s IDPS pro HTTP (bez kontroly protokolu TLS) | Pokud se používá přenos HTTP ve formátu prostého textu a IDPS vydá nové upozornění a cíl je veřejná IP adresa, zobrazená zdrojová IP adresa je nesprávná (interní IP adresa se zobrazí místo původní IP adresy). | Probíhá šetření opravy. |
| Šíření certifikátu | Po použití certifikátu certifikační autority v bráně firewall může trvat 5 až 10 minut, než se certifikát projeví. | Probíhá šetření opravy. |
| Podpora protokolu TLS 1.3 | Protokol TLS 1.3 se podporuje částečně. Tunel TLS z klienta do brány firewall je založený na protokolu TLS 1.2 a z brány firewall do externího webového serveru je založený na protokolu TLS 1.3. | Aktualizace se prošetřují. |
| Zóny dostupnosti pro bránu Firewall Premium v oblasti Jihovýchodní Asie | V současné době nemůžete nasadit Azure Firewall Premium se zónami dostupnosti v oblasti Jihovýchodní Asie. | Nasaďte bránu firewall v jihovýchodní Asii bez zón dostupnosti nebo ji nasaďte v oblasti, která podporuje zóny dostupnosti. |