Was ist Azure Firewall?
Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst, der Ihre Azure Virtual Network-Ressourcen schützt. Es ist eine vollständig zustandsbehaftete Firewall als ein Dienst mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Sie können Richtlinien zur Anwendungs- und Netzwerkkonnektivität übergreifend für Abonnements und virtuelle Netzwerke zentral erstellen, erzwingen und protokollieren.
Welche Funktionen werden in Azure Firewall unterstützt?
Informationen zu Features von Azure Firewall finden Sie unter Azure Firewall-Features.
Was ist das typische Bereitstellungsmodell für Azure Firewall?
Sie können Azure Firewall in einem virtuellen Netzwerk bereitstellen, Kunden stellen Azure Firewall jedoch in der Regel in einem zentralen virtuellen Netzwerk bereit und verbinden andere virtuelle Netzwerke in einem Hub-and-Spoke-Modell damit. Sie können die Standardroute von den verbundenen virtuellen Netzwerken anschließend so festlegen, dass sie auf dieses zentrale virtuelle Firewall-Netzwerk verweist. Globales VNET-Peering wird unterstützt, aber aufgrund von potenziellen Leistungs- und Latenzproblemen in den Regionen nicht empfohlen. Für optimale Leistungen stellen Sie eine Firewall pro Region bereit.
Der Vorteil dieses Modells ist die Möglichkeit, die Kontrolle über mehrere Spoke-VNETs über verschiedene Abonnements hinweg zentral auszuüben. Es ergeben sich zudem Kosteneinsparungen, da Sie nicht in jedem VNet separat eine Firewall bereitstellen müssen. Die Kosteneinsparungen sollten anhand der zugeordneten Peeringkosten auf der Grundlage der Datenverkehrsmuster der Kunden gemessen werden.
Wie kann ich Azure Firewall installieren?
Sie können Azure Firewall über das Azure-Portal, PowerShell, die REST-API oder Vorlagen einrichten. Siehe Tutorial: Bereitstellen und Konfigurieren von Azure Firewall über das Azure-Portal.
Wie lauten einige der Azure Firewall-Konzepte?
Azure Firewall unterstützt-Regeln und Regelsammlungen. Eine Regelsammlung ist eine Liste von Regeln mit gleicher Reihenfolge und Priorität. Regelsammlungen werden in der Reihenfolge ihrer Priorität ausgeführt. DNAT-Regelsammlungen sind Netzwerkregelsammlungen mit höherer Priorität, die höhere Priorität haben als Anwendungsregelsammlungen, und alle Regeln werden beendet.
Es gibt drei Arten von Regelsammlungen:
- Anwendungsregeln: Konfigurieren vollqualifizierter Domänennamen (Fully Qualified Domain Names, FQDNs), auf die von einem virtuellen Netzwerk aus zugegriffen werden kann.
- Netzwerkregeln: Konfigurieren von Regeln mit Quelladressen, Protokollen, Zielports und Zieladressen.
- NAT-Regeln: Konfigurieren Sie DNAT-Regeln, um eingehende Internet- oder Intranetverbindungen (Vorschau) zuzulassen.
Weitere Informationen finden Sie unter Konfigurieren der Firewall.
Unterstützt Azure Firewall das Filtern des eingehenden Datenverkehrs?
Azure Firewall unterstützt Filter für eingehenden und ausgehenden Datenverkehr. Der eingehende Schutz wird in der Regel für Nicht-HTTP-Protokolle wie RDP-, SSH- und FTP-Protokolle verwendet. Verwenden Sie für den eingehenden HTTP- und HTTPS-Schutz eine Webanwendungsfirewall wie Azure Web Application Firewall (WAF) oder die TLS-Auslagerungs- und Tiefenpaketüberprüfungsfunktionen von Azure Firewall Premium.
Unterstützt Azure Firewall Basic erzwungenes Tunneln?
Ja, Azure Firewall Basic unterstützt erzwungenes Tunneln.
Welche Protokollierungs- und Analysedienste unterstützt Azure Firewall?
Azure Firewall ist zum Anzeigen und Analysieren von Firewallprotokollen in Azure Monitor integriert. Protokolle können an Log Analytics, Azure Storage oder Event Hubs gesendet werden. Sie können in Log Analytics oder von anderen Tools, wie Excel und Power BI, analysiert werden. Weitere Informationen finden Sie im Tutorial: Überwachen von Azure Firewall-Protokollen.
Wie unterscheidet sich die Funktionsweise von Azure Firewall von vorhandenen Diensten wie NVAs im Marketplace?
Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst zum Schutz Ihrer VNet-Ressourcen. Es ist eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Es ist bereits in SECaaS-Anbieter (Security-as-a-Service) von Drittanbietern integriert, um erweiterte Sicherheit für Ihr virtuelles Netzwerk und Ihre Internetverbindungen von Zweigstellen bereitzustellen. Weitere Informationen zur Netzwerksicherheit in Azure finden Sie unter Azure-Netzwerksicherheit.
Was ist der Unterschied zwischen Application Gateway-WAF und Azure Firewall?
Die Web Application Firewall (WAF) ist ein Feature von Application Gateway, das zentralisierten Schutz des eingehenden Datenverkehrs für Ihre Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken bietet. Azure Firewall bietet Schutz für eingehenden Datenverkehr für Nicht-HTTP/S-Protokolle (z.B. RDP, SSH, FTP), Schutz auf Netzwerkebene für eingehenden Datenverkehr für alle Ports und Protokolle sowie Schutz auf Anwendungsebene für ausgehenden HTTP/S-Datenverkehr.
Was ist der Unterschied zwischen Netzwerksicherheitsgruppen (Network Security Groups, NSGs) und Azure Firewall?
Der Azure Firewall-Dienst ergänzt die Funktionen der Netzwerksicherheitsgruppen. Zusammen bieten sie eine bessere „Defense-in-Depth“-Netzwerksicherheit. Netzwerksicherheitsgruppen bieten verteilte Datenverkehrsfilterung auf Netzwerkebene, um den Datenverkehr auf Ressourcen in virtuellen Netzwerken in jedem Abonnement zu beschränken. Azure Firewall ist eine vollständig zustandsbehaftete, zentrale Netzwerkfirewall als Dienst, die Schutz auf Netzwerk- und Anwendungsebene für verschiedene Abonnements und virtuelle Netzwerke bietet.
Werden Netzwerksicherheitsgruppen (NSGs) in AzureFirewallSubnet unterstützt?
Azure Firewall ist ein verwalteter Dienst mit mehreren Schutzebenen, z. B. Plattformschutz mit NSGs auf NIC-Ebene (nicht sichtbar). NSGs auf Subnetzebene sind in AzureFirewallSubnet nicht erforderlich und deaktiviert, um zu verhindern, dass es zu Dienstunterbrechungen kommt.
Wie richte ich Azure Firewall für meine Dienstendpunkte ein?
Für den sicheren Zugriff auf PaaS-Dienste werden Dienstendpunkte empfohlen. Sie können Dienstendpunkte im Azure Firewall-Subnetz aktivieren und diese im verbundenen virtuellen Spoke-Netzwerk deaktivieren. Auf diese Weise profitieren Sie von beiden Features: von der Dienstendpunktsicherheit und der zentralen Protokollierung des gesamten Datenverkehrs.
Wie sieht das Preismodell für Azure Firewall aus?
Informationen hierzu finden Sie unter Azure Firewall – Preise.
Wie kann ich Azure Firewall beenden und starten?
Sie können Azure PowerShell verwenden, um Methoden zuzuordnen und die Zuordnung dafür aufzuheben (Zuordnen und Zuordnung aufheben). Bei einer Firewall, die für die Tunnelerzwingung konfiguriert ist, muss etwas anders vorgegangen werden.
Beispiel für eine NICHT für die Tunnelerzwingung konfigurierte Firewall:
# Stop an existing firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))
Set-AzFirewall -AzureFirewall $azfw
Bei einer für die Tunnelerzwingung konfigurierten Firewall ist der Prozess zum Anhalten der gleiche. Für den Start muss der Firewall jedoch die öffentliche IP-Adresse für die Verwaltung erneut zugewiesen werden:
# Stop an existing firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall
Für eine Firewall in einer Architektur mit einem geschützten virtuellen Hub ist die Vorgehensweise zum Beenden identisch, aber zum Starten muss die ID des virtuellen Hubs verwendet werden:
# Stop and existing firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$virtualhub = get-azvirtualhub -ResourceGroupName "RG name of vHUB" -name "vHUB name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Azfw RG Name"
$azfw.Allocate($virtualhub.Id)
$azfw | Set-AzFirewall
Wenn Sie Zuordnungen erteilen und aufheben, wird die Firewall-Abrechnung entsprechend gestartet oder pausiert.
Hinweis
Sie müssen der ursprünglichen Ressourcengruppe und dem Abonnement eine Firewall und eine öffentliche IP-Adresse neu zuordnen. Wenn „Stopp/Start“ ausgeführt wird, kann sich die private IP-Adresse der Firewall in eine andere IP-Adresse innerhalb des Subnetzes ändern. Dies kann sich auf die Konnektivität zuvor konfigurierter Routingtabellen auswirken.
Wie kann ich Verfügbarkeitszonen nach der Bereitstellung konfigurieren?
Es wird empfohlen, Verfügbarkeitszonen während der anfänglichen Firewallbereitstellung zu konfigurieren. In einigen Fällen ist es jedoch möglich, Verfügbarkeitszonen nach der Bereitstellung zu ändern. Folgende Voraussetzungen müssen erfüllt sein:
- Die Firewall wird in einem VNet bereitgestellt. Dies wird bei Firewalls, die in einem geschützten virtuellen Hub bereitgestellt werden, nicht unterstützt.
- Die Region der Firewall unterstützt Verfügbarkeitszonen.
- Alle angefügten öffentlichen IP-Adressen werden mit Verfügbarkeitszonen bereitgestellt. Stellen Sie auf der Eigenschaftenseite der einzelnen öffentlichen IP-Adressen sicher, dass das Feld Verfügbarkeitszonen vorhanden ist und mit denselben Zonen konfiguriert ist, die Sie für die Firewall konfiguriert haben.
Die Neukonfiguration von Verfügbarkeitszonen kann nur durchgeführt werden, wenn Sie die Firewall neu starten. Nachdem Sie die Firewall zugeordnet haben, verwenden Sie direkt vor dem Starten der Firewall mit Set-AzFirewall
den folgenden Azure PowerShell-Befehl, um die Eigenschaft Zones der Firewall zu ändern:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azFw.Zones=1,2,3
$azfw | Set-AzFirewall
Welche Dienstgrenzwerte sind bekannt?
Die Einschränkungen des Azure Firewall-Diensts finden Sie unter Einschränkungen für Azure-Abonnements und Dienste, Kontingente und Einschränkungen.
Kann Azure Firewall in einem virtuellen Hubnetzwerk den Netzwerkdatenverkehr zwischen mehreren virtuellen Spoke-Netzwerken weiterleiten und filtern?
Ja, Sie können Azure Firewall in einem virtuellen Hubnetzwerk verwenden, um den Datenverkehr zwischen mehreren virtuellen Spoke-Netzwerken weiterzuleiten und zu filtern. Subnetze in jedem der virtuellen Spoke-Netzwerke müssen über eine UDR verfügen, die auf die Azure Firewall als Standardgateway verweist, damit dieses Szenario ordnungsgemäß funktioniert.
Kann Azure Firewall den Netzwerkdatenverkehr zwischen Subnetzen im selben virtuellen Netzwerk oder über mittels Peering verknüpfte virtuelle Netzwerke weiterleiten und filtern?
Ja. Die Konfiguration der UDRs zur Umleitung des Datenverkehrs zwischen Subnetzen im gleichen VNET erfordert jedoch zusätzliche Anstrengungen. Während die Verwendung des VNET-Adressbereichs als Zielpräfix für den UDR ausreicht, wird auch der gesamte Datenverkehr von einem Computer zu einem anderen Computer im gleichen Subnetz über die Azure Firewall-Instanz geleitet. Um dies zu vermeiden, fügen Sie eine Route für das Subnetz in den UDR mit dem Typ VNET für den nächsten Hop ein. Das Verwalten dieser Routen kann umständlich und fehleranfällig sein. Die empfohlene Methode für die interne Netzwerksegmentierung ist die Verwendung von Netzwerksicherheitsgruppen, die keine UDRs erfordern.
Übermittelt Azure Firewall SNAT bei privaten Netzwerken?
Azure Firewall bietet kein SNAT, wenn die Ziel-IP-Adresse ein privater IP-Adressbereich gemäß IANA RFC 1918 oder IANA RFC 6598 für private Netzwerke ist. Wenn Ihre Organisation einen öffentlichen IP-Adressbereich für private Netzwerke verwendet, leitet Azure Firewall den Datenverkehr per SNAT an eine der privaten IP-Adressen der Firewall in AzureFirewallSubnet weiter. Sie können Azure Firewall so konfigurieren, dass Ihr öffentlicher IP-Adressbereich nicht per SNAT weitergeleitet wird. Weitere Informationen finden Sie unter Azure Firewall SNAT – private Adressbereiche.
Darüber hinaus wird von Anwendungsregeln verarbeiteter Datenverkehr immer durch SNAT übersetzt. Wenn Sie die ursprüngliche Quell-IP-Adresse in Ihren Protokollen für FQDN-Datenverkehr anzeigen möchten, können Sie Netzwerkregeln mit dem Ziel-FQDN verwenden.
Wird erzwungenes Tunneling bzw. die erzwungene Verkettung mit einem virtuellen Netzwerkgerät unterstützt?
Tunnelerzwingung wird beim Erstellen einer neuen Firewall unterstützt. Sie können eine vorhandene Firewall nicht für die Tunnelerzwingung konfigurieren. Weitere Informationen finden Sie unter Azure Firewall-Tunnelerzwingung.
Azure Firewall muss über eine direkte Internetverbindung verfügen. Wenn Ihr Subnetz „AzureFirewallSubnet“ eine Standardroute zu Ihrem lokalen Netzwerk über BGP erfasst, müssen Sie diese mit der benutzerdefinierten Route 0.0.0.0/0 überschreiben. Legen Sie dabei den Wert NextHopType auf Internet fest, um die direkte Internetkonnektivität beizubehalten.
Wenn für Ihre Konfiguration die Erzwingung eines Tunnels zu einem lokalen Netzwerk erforderlich ist und Sie die Ziel-IP-Präfixe für Ihre Internetziele ermitteln können, können Sie diese Bereiche mit dem lokalen Netzwerk als nächsten Hop über eine benutzerdefinierte Route im Subnetz „AzureFirewallSubnet“ konfigurieren. Oder Sie können BGP verwenden, um diese Routen zu definieren.
Gibt es Einschränkungen bei Ressourcengruppen?
Ja.
- Die Firewall und das VNet müssen sich in derselben Ressourcengruppe befinden.
- Die öffentliche IP-Adresse kann sich in einer beliebigen Ressourcengruppe befinden.
- Die Firewall, das VNet und die öffentliche IP-Adresse müssen sich im gleichen Abonnement befinden.
Wie funktionieren Platzhalter in Ziel-URLs und Ziel-FQDNs in Anwendungsregeln?
- URL: Sternchen funktionieren, wenn sie ganz rechts oder ganz links platziert werden. Wenn sie sich auf der linken Seite befinden, können sie nicht Teil des FQDN sein.
- FQDN: Sternchen funktionieren, wenn sie ganz links platziert werden.
- ALLGEMEIN: Die Sternchen auf der linken Seite bedeuten, dass buchstäblich alles, was links davon steht, übereinstimmt, d. h. mehrere Subdomänen und/oder potenziell unerwünschte Domänennamenvariationen gelten als übereinstimmend (siehe folgende Beispiele).
Beispiele:
type | Regel | Unterstützt? | Positive Beispiele |
---|---|---|---|
TargetURL | www.contoso.com |
Ja | www.contoso.com www.contoso.com/ |
TargetURL | *.contoso.com |
Ja | any.contoso.com/ sub1.any.contoso.com |
TargetURL | *contoso.com |
Ja | example.anycontoso.com sub1.example.contoso.com contoso.com Warnung: Diese Verwendung von Platzhaltern ermöglicht auch potenziell unerwünschte/riskante Variationen wie th3re4lcontoso.com . Verwenden Sie sie daher mit Vorsicht. |
TargetURL | www.contoso.com/test |
Ja | www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1 |
TargetURL | www.contoso.com/test/* |
Ja | www.contoso.com/test/anything Hinweis: www.contoso.com/test stimmt nicht überein (letzter Schrägstrich) |
TargetURL | www.contoso.*/test/* |
Nein | |
TargetURL | www.contoso.com/test?example=1 |
Nein | |
TargetURL | www.contoso.* |
Nein | |
TargetURL | www.*contoso.com |
Nein | |
TargetURL | www.contoso.com:8080 |
Nein | |
TargetURL | *.contoso.* |
Nein | |
TargetFQDN | www.contoso.com |
Ja | www.contoso.com |
TargetFQDN | *.contoso.com |
Ja | any.contoso.com Hinweis: Wenn Sie contoso.com explizit zulassen möchten, müssen Sie „contoso.com“ in die Regel aufnehmen. Andernfalls wird die Verbindung standardmäßig gelöscht, da die Anforderung mit keiner Regel übereinstimmt. |
TargetFQDN | *contoso.com |
Ja | example.anycontoso.com contoso.com |
TargetFQDN | www.contoso.* |
Nein | |
TargetFQDN | *.contoso.* |
Nein |
Was bedeutet *Provisioning state: Failed*?
Wenn eine Konfigurationsänderung angewendet wird, versucht Azure Firewall alle zugrunde liegenden Back-End-Instanzen zu aktualisieren. In seltenen Fällen kann bei der Aktualisierung einer dieser Back-End-Instanzen mit der neuen Konfiguration ein Fehler auftreten und der Aktualisierungsvorgang mit dem Bereitstellungsstatus „Fehler“ angehalten werden. Azure Firewall ist noch funktionsfähig, die angewendete Konfiguration befindet sich jedoch unter Umständen in einem inkonsistenten Zustand, in dem einige Instanzen die vorherige Konfiguration und andere den aktualisierten Regelsatz verwenden. Versuchen Sie in diesem Fall, die Konfiguration noch einmal zu aktualisieren, bis der Vorgang erfolgreich war und für Ihre Firewall der Bereitstellungsstatus Erfolgreich angezeigt wird.
Wie verarbeitet Azure Firewall geplante Wartungsarbeiten und nicht geplante Fehler?
Azure Firewall besteht aus mehreren Back-End-Knoten in einer aktiv/aktiv-Konfiguration. Für jede geplante Wartung gibt es Verbindungsausgleichslogik zum ordnungsgemäßen Aktualisieren von Knoten. Updates sind für jede Azure-Region außerhalb der Geschäftszeiten geplant, um das Risiko einer Unterbrechung weiter einzuschränken. Bei nicht geplanten Problemen wird ein neuer Knoten instanziiert, um den fehlerhaften Knoten zu ersetzen. Die Konnektivität zum neuen Knoten wird in der Regel innerhalb von 10 Sekunden nach dem Zeitpunkt des Fehlers wieder hergestellt.
Wie funktioniert ein Verbindungsausgleich?
Für jede geplante Wartung gibt es Verbindungsausgleichslogik zum ordnungsgemäßen Aktualisieren von Back-End-Knoten. Azure Firewall wartet 90 Sekunden lang darauf, dass bestehende Verbindungen geschlossen werden. In den ersten 45 Sekunden akzeptiert der Back-End-Knoten keine neuen Verbindungen, und in der verbleibenden Zeit reagiert er mit RST
auf alle eingehenden Pakete. Bei Bedarf können Clients automatisch eine neue Verbindung mit einem anderen Back-End-Knoten herstellen.
Gibt es eine Beschränkung der Zeichenzahl für einen Firewallnamen?
Ja. Ein Firewallname ist auf 50 Zeichen beschränkt.
Warum benötigt Azure Firewall die Subnetzgröße /26?
Der Azure Firewall-Dienst muss mehr VM-Instanzen bereitstellen, als er skaliert. Ein /26-Adressraum stellt sicher, dass für die Firewall genügend IP-Adressen vorhanden sind, um der Skalierung gerecht zu werden.
Muss die Größe des Firewallsubnetzes geändert werden, wenn der Dienst eine Skalierung ausführt?
Nein. Azure Firewall benötigt kein Subnetz, das größer als /26 ist.
Wie kann ich meinen Firewalldurchsatz erhöhen?
Die anfängliche Durchsatzkapazität von Azure Firewall beträgt 2,5–3 GBit/s, und sie skaliert auf 30 GBit/s für Standard-SKU und 100 GBit/s für Premium-SKU. Es wird automatisch basierend auf CPU-Auslastung, Durchsatz und Anzahl der Verbindungen skaliert.
Wie lange dauert es, bis Azure Firewall aufskaliert wird?
Azure Firewall skaliert schrittweise, wenn der durchschnittliche Durchsatz oder die CPU-Auslastung bei 60 % oder die Anzahl der Verbindungen bei 80 % liegt. Zum Beispiel beginnt der Dienst mit dem Aufskalieren, wenn er 60 % des maximalen Durchsatzes erreicht. Die maximalen Durchsatzzahlen variieren je nach Firewall-SKU und aktivierten Features. Weitere Informationen finden Sie unter Azure Firewall-Leistung.
Das Aufskalieren dauert zwischen fünf und sieben Minuten.
Sorgen Sie bei Leistungstests dafür, mindestens 10 bis 15 Minuten zu testen, und richten Sie neue Verbindungen ein, um neu erstellte Firewallknoten nutzen zu können.
Wie behandelt Azure Firewall Leerlauftimeouts?
Wenn für eine Verbindung ein Leerlauftimeout (vier Minuten lang keine Aktivität) vorliegt, beendet Azure Firewall die Verbindung ordnungsgemäß, indem ein TCP-RST-Paket gesendet wird.
Wie behandelt Azure Firewall das Herunterfahren von VM-Instanzen während des Abskalierens (Herunterskalierens) von VM-Skalierungsgruppen oder bei Flottensoftwareupgrades?
Während des Abskalierens (Herunterskalierens) von VM-Skalierungsgruppen oder bei Flottensoftwareupgrades kann es zum Herunterfahren einer Azure Firewall-VM-Instanz kommen. In diesen Fällen werden neue eingehende Verbindungen per Lastenausgleich zu den verbleibenden Firewallinstanzen und nicht zur heruntergefahrenen Firewallinstanz weitergeleitet. Nach 45 Sekunden beginnt die Firewall, vorhandene Verbindungen durch Senden von TCP-RST-Paketen abzulehnen. Nach weiteren 45 Sekunden wird die Firewall-VM heruntergefahren. Weitere Informationen finden Sie unter TCP-Zurücksetzung und Leerlauftimeout für Load Balancer.
Lässt Azure Firewall standardmäßig den Zugriff auf Active Directory zu?
Nein. Standardmäßig blockiert Azure Firewall den Zugriff auf Active Directory. Konfigurieren Sie das Diensttag „AzureActiveDirectory“, um den Zugriff zuzulassen. Weitere Informationen finden Sie unter Azure Firewall-Diensttags.
Kann ich einen FQDN oder eine IP-Adresse von der auf Azure Firewall Threat Intelligence basierenden Filterung ausschließen?
Ja, Sie können dafür Azure PowerShell verwenden:
# Add a Threat Intelligence allowlist to an Existing Azure Firewall.
# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
-FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)
# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)
Set-AzFirewall -AzureFirewall $fw
Warum kann ein TCP-Ping und können ähnliche Tools eine Verbindung mit einem Ziel-FQDN erfolgreich herstellen, auch wenn keine Regel von Azure Firewall diesen Datenverkehr zulässt?
Ein TCP-Ping stellt tatsächlich keine Verbindung mit dem Ziel-FQDN her. Azure Firewall lässt keine Verbindung mit einer Ziel-IP-Adresse/einem FQDN zu, es sei denn, es gibt eine explizite Regel, die diese zulässt.
TCP-Ping ist ein besonderer Anwendungsfall: Wenn keine Zulassungsregel vorhanden ist und der TCP-Ping die IP-Zieladresse/den FQDN nicht erreichen kann, wird die TCP-Pinganforderung von der Firewall selbst beantwortet. In diesem Fall wird das Ereignis nicht protokolliert. Wenn eine Netzwerkregel vorhanden ist, die den Zugriff auf die IP-Zieladresse bzw. den FQDN zulässt, erreicht die Pinganforderung den Zielserver, und die Antwort wird an den Client zurückgeleitet. Dieses Ereignis wird im Protokoll für Netzwerkregeln protokolliert.
Gibt es Beschränkungen bei der Anzahl von IP-Adressen, die von IP-Gruppen unterstützt werden?
Ja. Weitere Informationen finden Sie unter Grenzwerte für Azure-Abonnements, -Dienste und -Kontingente sowie allgemeine Beschränkungen.
Kann ich eine IP-Gruppe in eine andere Ressourcengruppe verschieben?
Nein, das Verschieben einer IP-Gruppe in eine andere Ressourcengruppe wird zurzeit nicht unterstützt.
Was ist das TCP-Leerlauftimeout für Azure Firewall?
Das Standardverhalten einer Netzwerkfirewall besteht darin, TCP-Verbindungen aufrechtzuerhalten und sie sofort zu schließen, wenn es keine Aktivität gibt. Das TCP-Leerlauftimeout von Azure Firewall beträgt vier Minuten. Diese Einstellung kann nicht benutzerseitig konfiguriert werden. Sie können sich jedoch an den Azure-Support wenden, um das Leerlauftimeout für eingehende und ausgehende Verbindungen auf bis zu 15 Minuten zu erhöhen. Das Leerlauftimeout für Ost-West-Datenverkehr kann nicht geändert werden.
Wenn die Dauer einer Inaktivitätsperiode den Timeoutwert überschreitet, gibt es keine Garantie dafür, dass die TCP- oder HTTP-Sitzung aufrechterhalten wird. Eine gängige Methode zur Aufrechterhaltung von Verbindungen ist TCP-Keep-Alive. Dadurch bleibt die Verbindung länger aktiv. Weitere Informationen finden Sie in den .NET-Beispielen.
Kann ich die Azure Firewall ohne eine öffentliche IP-Adresse bereitstellen?
Ja, aber Sie müssen die Firewall im Modus „Tunnelerzwingung“ konfigurieren. Diese Konfiguration erstellt eine Verwaltungsschnittstelle mit einer öffentlichen IP-Adresse, die von Azure Firewall für ihre Vorgänge verwendet wird. Diese öffentliche IP-Adresse ist für Verwaltungsdatenverkehr vorgesehen. Sie wird ausschließlich von der Azure-Plattform verwendet und kann nicht für andere Zwecke verwendet werden. Das Tenant Datapath-Netzwerk kann ohne öffentliche IP-Adresse konfiguriert werden, und der Internet-Datenverkehr kann zu einer anderen Firewall getunnelt oder vollständig blockiert werden.
Wo speichert Azure Firewall Kundendaten?
Azure Firewall speichert Kundendaten in der Region, in der sie bereitgestellt werden, und verschiebt sie nicht aus dieser Region.
Gibt es eine Möglichkeit, Azure Firewall und Richtlinien automatisch zu sichern?
Ja. Weitere Informationen finden Sie unter Sichern von Azure Firewall und der Azure Firewall-Richtlinie mit Logic Apps.
Wird Azure Firewall in geschützten virtuellen Hubs (vWAN) in Katar unterstützt?
Nein, derzeit wird Azure Firewall in geschützten virtuellen Hubs (vWAN) in Katar nicht unterstützt.
Wie viele parallele Verbindungen kann Azure Firewall unterstützen?
Azure Firewall verwendet Azure Virtual Machines als Basis, die eine feste Begrenzung der Anzahl von Verbindungen aufweisen. Die Gesamtzahl der aktiven Verbindungen pro virtuellen Computer beträgt 250k.
Das Gesamtlimit pro Firewall ist das VM-Verbindungslimit (250 000) x die Anzahl der VMs im Back-End-Pool der Firewall. Azure Firewall beginnt mit zwei VMs und wird basierend auf der CPU-Auslastung und dem Durchsatz aufskaliert.
Wie verhält sich die SNAT TCP/UDP-Port-Wiederverwendung in Azure Firewall?
Azure Firewall verwendet derzeit TCP/UDP-Quellports für ausgehenden SNAT-Datenverkehr ohne Leerlaufzeit. Wenn eine TCP/UDP-Verbindung geschlossen wird, wird der verwendete TCP-Port sofort als verfügbar für anstehende Verbindungen angesehen.
Als Problemumgehung für bestimmte Architekturen können Sie NAT-Gateway mit Azure Firewall bereitstellen und skalieren, um einen breiteren Pool von SNAT-Ports für Variabilität und Verfügbarkeit bereitzustellen.
Was sind NAT-Verhaltensweisen in Azure Firewall?
Das spezifische NAT-Verhalten hängt von der Konfiguration der Firewall und der Art von NAT ab, die konfiguriert ist. Die Firewall verfügt beispielsweise über DNAT-Regeln für den eingehenden Datenverkehr und über Netzwerkregeln und Anwendungsregeln für den ausgehenden Datenverkehr durch die Firewall.
Weitere Informationen finden Sie unter Azure Firewall NAT-Verhalten.