Azure Firewall – gyakori kérdések

Mi az Azure Firewall?

Az Azure Firewall egy felügyelt, felhőalapú hálózatbiztonsági szolgáltatás, amely Azure Virtual Network-erőforrásait védi. Ez egy teljes körű állapotalapú tűzfal, amely beépített magas rendelkezésre állással és korlátlan felhőmérettel rendelkezik. Központilag hozhatja létre, érvényesítheti és naplózhatja az alkalmazás- és hálózatelérési szabályzatokat az előfizetésekre és a virtuális hálózatokra vonatkozóan.

Milyen képességek támogatottak az Azure Firewallban?

Az Azure Firewall funkcióiról az Azure Firewall funkcióit ismertető cikkben olvashat.

Mi az Azure Firewall tipikus üzemi modellje?

Az Azure Firewall bármely virtuális hálózaton üzembe helyezhető, de az ügyfelek jellemzően központi virtuális hálózaton helyezik üzembe, és más virtuális hálózatokat társítanak hozzá küllős modellben. Ezután beállíthatja, hogy a társhálózatok alapértelmezett útvonala erre a központi tűzfal virtuális hálózatra mutasson. A globális virtuális hálózatok közötti társviszony-létesítés támogatott, de a régiók közötti lehetséges teljesítmény- és késési problémák miatt nem ajánlott. A legjobb teljesítmény érdekében régiónként egy tűzfalat helyezzen üzembe.

Ennek a modellnek az előnye, hogy a különböző előfizetésekben található többküllős virtuális hálózatok esetében központilag gyakorolható a vezérlés. Költségmegtakarítást is jelentenek, mivel nem kell külön telepítenie a tűzfalat az egyes virtuális hálózatokon. A költségmegtakarítást az ügyfélforgalmi mintázatok alapján kell mérni a kapcsolódó társítási költséghez viszonyítva.

Hogyan telepíthetem az Azure Firewallt?

Az Azure Firewallt az Azure Portal, a PowerShell, a REST API vagy a sablonok használatával állíthatja be. Részletes útmutatásért tekintse meg az Azure Firewall üzembe helyezését és konfigurálását az Azure Portal használatával.

Mik az Azure Firewall egyes fogalmai?

Az Azure Firewall támogatja a szabályok és szabálygyűjtemények használatát. A szabálygyűjtemények olyan szabályok, amelyek azonos sorrendben és prioritásban osztoznak. A szabálygyűjtemények végrehajtása prioritásuk szerint történik. A DNST-szabálygyűjtemények magasabb prioritású hálózati szabálygyűjtemények, amelyek magasabb prioritást élveznek, mint az alkalmazásszabály-gyűjtemények, és minden szabály megszűnik.

A szabálygyűjteményeknek három típusa van:

  • Alkalmazásszabályok: Konfigurálja a virtuális hálózatról elérhető teljes tartományneveket (FQDN-eket).
  • Hálózati szabályok: A forráscímeket, protokollokat, célportokat és célcímeket tartalmazó szabályok konfigurálása.
  • NAT-szabályok: Konfigurálja a DNST-szabályokat a bejövő internetkapcsolat engedélyezéséhez.

További információ: Azure Firewall-szabályok konfigurálása.

Támogatja az Azure Firewall a bejövő forgalom szűrését?

Az Azure Firewall támogatja a bejövő és kimenő szűrést is. A bejövő védelmet általában nem HTTP-protokollok, például RDP, SSH és FTP protokollok esetén használják. Bejövő HTTP- és HTTPS-védelemhez használjon webalkalmazási tűzfalat, például az Azure Web Application Firewallt (WAF), vagy az Azure Firewall Premium TLS-kiszervezési és mélycsomag-ellenőrzési képességeit.

Támogatja az Azure Firewall Alapszintű a kényszerített bújtatást?

Igen, az Azure Firewall Basic támogatja a kényszerített bújtatást.

Mely naplózási és elemzési szolgáltatásokat támogatja az Azure Firewall?

Az Azure Firewall integrálva van az Azure Monitorral a tűzfalnaplók megtekintése és elemzése érdekében. A naplók elküldhetők a Log Analyticsnek, az Azure Storage-nak és az Event Hubsnak is. Ezek elemezhetők a Log Analyticsben vagy másféle eszközökkel is, például az Excellel vagy a Power BI-jal. További információ: Oktatóanyag: Azure Firewall-naplók monitorozása.

Miben különbözik az Azure Firewall a meglévő szolgáltatásoktól, például a piactéren elérhető NVA-któl?

Az Azure Firewall egy felügyelt, felhőalapú hálózati biztonsági szolgáltatás, amely védi a virtuális hálózati erőforrásokat. Ez egy szolgáltatott, teljesen állapotalapú tűzfal, beépített magas rendelkezésre állással és korlátlan felhőalapú skálázhatósággal. Előre integrálva van harmadik féltől származó biztonsági szolgáltatásokkal (Standard kiadás CaaS) a virtuális hálózat és a fiók internetkapcsolatának fokozott biztonsága érdekében. Az Azure hálózati biztonságáról további információt az Azure hálózati biztonságáról talál.

Mi a különbség az Application Gateway WAF és az Azure Firewall között?

A webalkalmazási tűzfal (WAF) az Application Gateway egyik funkciója, amely központosított bejövő védelmet biztosít a webalkalmazásoknak a gyakori biztonsági résekkel és biztonsági résekkel szembeni ellen. Az Azure Firewall bejövő védelmet biztosít a nem HTTP/S protokollok (például RDP, SSH, FTP), az összes port és protokoll kimenő hálózati szintű védelme, valamint a kimenő HTTP/S alkalmazásszintű védelme érdekében.

Mi a különbség a hálózati biztonsági csoportok (NSG-k) és az Azure Firewall között?

Az Azure Firewall szolgáltatás kiegészíti a hálózati biztonsági csoportok funkcióit. Együtt jobb "részletes védelmet" biztosítanak a hálózat számára. A hálózati biztonsági csoportok elosztott hálózati rétegbeli forgalomszűrést biztosítanak az egyes előfizetésekben található virtuális hálózatok erőforrásaira irányuló forgalom korlátozására. Az Azure Firewall egy teljes mértékben állapotalapú, központosított hálózati tűzfal szolgáltatásként, amely hálózati és alkalmazásszintű védelmet biztosít a különböző előfizetések és virtuális hálózatok között.

Támogatottak a hálózati biztonsági csoportok (NSG-k) az AzureFirewallSubneten?

Az Azure Firewall több védelmi réteggel rendelkező felügyelt szolgáltatás, beleértve a hálózati adapterszintű NSG-k platformvédelmet (nem tekinthető meg). Az alhálózati szintű NSG-k nem szükségesek az AzureFirewallSubneten, és le vannak tiltva a szolgáltatás megszakításának elkerülése érdekében.

Hogyan állítható be az Azure Firewall a szolgáltatásvégpontokkal?

A PaaS-szolgáltatásokhoz való biztonságos hozzáférés érdekében a szolgáltatásvégpontokat javasoljuk. A szolgáltatásvégpontokat engedélyezheti az Azure Firewall alhálózatán, és letilthatja őket a csatlakoztatott küllős virtuális hálózatokon. Így mindkét szolgáltatás előnyeit élvezheti: a szolgáltatásvégpont biztonságát és a központi naplózást az összes forgalomhoz.

Mi az Azure Firewall díjszabása?

Hogyan állíthatom le és indíthatom el az Azure Firewallt?

Az Azure PowerShell felszabadítási és lefoglalási módszereit használhatja. A kényszerített bújtatáshoz konfigurált tűzfal esetében az eljárás kissé eltérő.

Például a kényszerített bújtatáshoz NEM konfigurált tűzfal esetében:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))

Set-AzFirewall -AzureFirewall $azfw

A kényszerített bújtatáshoz konfigurált tűzfal esetében a leállítás ugyanaz. A kezdéshez azonban a felügyeleti nyilvános IP-címet újra kell társítani a tűzfalhoz:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall

Egy biztonságos virtuális központ architektúrájában lévő tűzfal esetében a leállítás ugyanaz, de az indításnak a virtuális központ azonosítóját kell használnia:

# Stop and existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$virtualhub = get-azvirtualhub -ResourceGroupName "RG name of vHUB" -name "vHUB name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Azfw RG Name"
$azfw.Allocate($virtualhub.Id)
$azfw | Set-AzFirewall

A kiosztáskor és felszabadításkor a tűzfal számlázása leáll, és ennek megfelelően indul el.

Feljegyzés

Át kell helyeznie egy tűzfalat és egy nyilvános IP-címet az eredeti erőforráscsoportba és előfizetésbe.

Hogyan konfigurálhatom a rendelkezésre állási zónákat az üzembe helyezés után?

A javaslat a rendelkezésre állási zónák konfigurálása a kezdeti tűzfal üzembe helyezése során. Bizonyos esetekben azonban lehetséges a rendelkezésre állási zónák módosítása az üzembe helyezés után. Az előfeltételek:

  • A tűzfal egy virtuális hálózaton van üzembe helyezve. Biztonságos virtuális központban telepített tűzfalak nem támogatják.
  • A tűzfal régiója támogatja a rendelkezésre állási zónákat.
  • Minden csatolt nyilvános IP-cím rendelkezésre állási zónákkal van üzembe helyezve. Az egyes nyilvános IP-címek tulajdonságok lapján győződjön meg arról, hogy a rendelkezésre állási zónák mező létezik, és ugyanazokkal a zónákkal van konfigurálva, amelyek a tűzfalhoz vannak konfigurálva.

A rendelkezésre állási zónák újrakonfigurálása csak a tűzfal újraindításakor végezhető el. Miután lefoglalta a tűzfalat, és közvetlenül a tűzfal Set-AzFirewallelindítása előtt az alábbi Azure PowerShell-lel módosíthatja a tűzfal Zones tulajdonságát:

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azFw.Zones=1,2,3
$azfw | Set-AzFirewall

Mik az ismert szolgáltatási korlátok?

Az Azure Firewall szolgáltatáskorlátjaiért tekintse meg az Azure-előfizetések és -szolgáltatások korlátait, kvótáit és korlátozásait.

Továbbíthatja és szűrheti a két küllős virtuális hálózat közötti hálózati forgalmat az Azure Firewall egy központi virtuális hálózatban?

Igen, a központi virtuális hálózaton az Azure Firewall használatával irányíthatja és szűrheti a két küllős virtuális hálózat közötti forgalmat. A küllős virtuális hálózatok alhálózatainak rendelkezniük kell egy UDR-sel, amely az Azure Firewallra mutat alapértelmezett átjáróként a forgatókönyv megfelelő működéséhez.

Az Azure Firewall továbbíthatja és szűrheti a hálózati forgalmat az azonos virtuális hálózaton vagy társhálózaton lévő virtuális hálózatok alhálózatai között?

Igen. Ha azonban az UDR-eket úgy konfigurálja, hogy átirányítsák a forgalmat az azonos virtuális hálózat alhálózatai között, nagyobb figyelmet igényel. Ha a VNET-címtartományt használja az UDR célelőtagjaként, az azure firewall-példányon keresztül az egyik gépről egy másik gépre irányítja a forgalmat. Ennek elkerülése érdekében adjon meg egy útvonalat az alhálózathoz az UDR-ben egy következő ugrástípusú virtuális hálózattal. Előfordulhat, hogy az útvonalak kezelése nehézkes és hibára hajlamos. A belső hálózati szegmentálás ajánlott módszere a hálózati biztonsági csoportok használata, amelyek nem igényelnek UDR-t.

Az Azure Firewall kimenő SNAT-t használ a magánhálózatok között?

Az Azure Firewall nem SNAT, ha a cél IP-cím egy privát IP-cím az IANA RFC 1918-ban. Ha a szervezet nyilvános IP-címtartományt használ a magánhálózatokhoz, az Azure Firewall SNATs a forgalmat az AzureFirewallSubnet egyik magánhálózati tűzfal IP-címére irányítja. Az Azure Firewall konfigurálható úgy, hogy ne SNAT-t állítsunk be a nyilvános IP-címtartományba. További információért tekintse meg az Azure Firewall SNAT magánhálózati IP-címtartományairól szóló részt.

Emellett az alkalmazásszabályok által feldolgozott forgalom mindig SNAT-ed. Ha meg szeretné tekinteni az eredeti forrás IP-címet a teljes tartománynév forgalmának naplóiban, használhat hálózati szabályokat a cél teljes tartománynévvel.

Támogatott a kényszerített bújtatás/hálózati virtuális berendezéshez való láncolás?

Új tűzfal létrehozásakor a kényszerített bújtatás támogatott. A kényszerített bújtatáshoz nem konfigurálhat meglévő tűzfalat. További információ: Kényszerített Azure Firewall-bújtatás.

Az Azure Firewallnak közvetlen internetkapcsolatra van szüksége. Ha az AzureFirewallSubnet a BGP-n keresztül tanulja meg a helyszíni hálózathoz vezető alapértelmezett útvonalat, ezt felül kell bírálnia egy 0.0.0.0/0 UDR-vel, és a NextHopType értéket internetként kell beállítani a közvetlen internetkapcsolat fenntartásához.

Ha a konfiguráció kényszerített bújtatást igényel egy helyszíni hálózathoz, és meghatározhatja az internetes célhelyek cél IP-előtagjait, ezeket a tartományokat a helyszíni hálózattal konfigurálhatja következő ugrásként az AzureFirewallSubnet felhasználó által megadott útvonalán keresztül. Vagy a BGP használatával definiálhatja ezeket az útvonalakat.

Vannak tűzfalerőforrás-korlátozások?

Igen. A tűzfalnak, a virtuális hálózatnak és a nyilvános IP-címnek ugyanabban az erőforráscsoportban kell lennie.

Hogyan működnek a helyettesítő karakterek a cél URL-címekben és a cél teljes tartománynevekben az alkalmazásszabályokban?

  • URL – A csillag a jobb vagy a bal szélső oldalra helyezve működik. Ha a bal oldalon van, nem lehet része a teljes tartománynévnek.
  • FQDN – A csillagok a bal szélső oldalon működnek.
  • ÁLTALÁNOS – A bal oldali csillag szó szerint a bal oldali egyezéseket jelenti, ami azt jelenti, hogy több altartomány és/vagy esetleg nem kívánt tartománynév-variáció egyezik – lásd az alábbi példákat.

Példák:

Típus Szabály Támogatott? Pozitív példák
TargetURL www.contoso.com Igen www.contoso.com
www.contoso.com/
TargetURL *.contoso.com Igen any.contoso.com/
sub1.any.contoso.com
TargetURL *contoso.com Igen example.anycontoso.com
sub1.example.contoso.com
contoso.com
Figyelmeztetés: a helyettesítő karakterek használata szintén lehetővé teszi a potenciálisan nem kívánt/kockázatos változatokat, például th3re4lcontoso.com - körültekintő használatot.
TargetURL www.contoso.com/test Igen www.contoso.com/test
www.contoso.com/test/
www.contoso.com/test?with_query=1
TargetURL www.contoso.com/test/* Igen www.contoso.com/test/anything
Megjegyzés: www.contoso.com/testnem egyezik (utolsó perjel)
TargetURL www.contoso.*/test/* Nem
TargetURL www.contoso.com/test?example=1 Nem
TargetURL www.contoso.* Nem
TargetURL www.*contoso.com Nem
TargetURL www.contoso.com:8080 Nem
TargetURL *.contoso.* Nem
TargetFQDN www.contoso.com Igen www.contoso.com
TargetFQDN *.contoso.com Igen any.contoso.com

Megjegyzés: Ha kifejezetten engedélyezni contoso.comszeretné, contoso.com kell szerepeltetnie a szabályban. Ellenkező esetben a rendszer alapértelmezés szerint megszakítja a kapcsolatot, mert a kérés nem felel meg egy szabálynak.
TargetFQDN *contoso.com Igen example.anycontoso.com
contoso.com
TargetFQDN www.contoso.* Nem
TargetFQDN *.contoso.* Nem

Mit jelent a *Kiépítési állapot: Sikertelen* kifejezés?

Az Azure Firewall minden konfigurációs változás alkalmazásakor megkísérli frissíteni az összes alapul szolgáló háttérpéldányt. Ritkán előfordulhat, hogy az egyik háttérpéldány nem frissül az új konfigurációval, és a frissítési folyamat sikertelen kiépítési állapottal leáll. Az Azure Firewall továbbra is működik, de előfordulhat, hogy az alkalmazott konfiguráció inkonzisztens állapotban van, ahol egyes példányok korábbi konfigurációval rendelkeznek, ahol mások a frissített szabálykészlettel rendelkeznek. Ha ez történik, próbálja meg még egyszer frissíteni a konfigurációt, amíg a művelet sikeres nem lesz, és a tűzfal sikeresen kiépítési állapotban van.

Hogyan kezeli az Azure Firewall a tervezett karbantartást és a nem tervezett hibákat?

Az Azure Firewall több háttércsomópontból áll egy aktív-aktív konfigurációban. Bármilyen tervezett karbantartás esetén rendelkezünk kapcsolatelvezető logikával a csomópontok kecses frissítéséhez. Frissítések az egyes Azure-régiók üzemszüneti időszakában tervezik, hogy tovább korlátozzák a fennakadás kockázatát. Nem tervezett problémák esetén egy új csomópont példányosításával lecseréljük a sikertelen csomópontot. Csatlakozás az új csomóponthoz való csatlakozás általában a hiba időpontjától számított 10 másodpercen belül újra létrejön.

Hogyan működik a kapcsolat ürítése?

Bármilyen tervezett karbantartás esetén a kapcsolatelvezetési logika kecsesen frissíti a háttércsomópontokat. Az Azure Firewall 90 másodpercet vár a meglévő kapcsolatok bezárásáig. Az első 45 másodpercben a háttércsomópont nem fogad új kapcsolatokat, és a fennmaradó időben az összes bejövő csomagra RST válaszol. Szükség esetén az ügyfelek automatikusan újra létesíthetik a kapcsolatot egy másik háttércsomóponttal.

Van egy tűzfalnév karakterkorlátja?

Igen. A tűzfalnév 50 karakterből áll.

Miért van szükség az Azure Firewall /26-os alhálózati méretre?

Az Azure Firewallnak skálázáskor több virtuálisgép-példányt kell kiépnie. A /26 címtér biztosítja, hogy a tűzfal elegendő IP-címmel rendelkezik a skálázáshoz.

Módosítani kell a tűzfal alhálózatának méretét a szolgáltatás méretezése során?

Szám Az Azure Firewallnak nincs szüksége /26-nál nagyobb alhálózatra.

Hogyan növelhetem a tűzfal átviteli sebességét?

Az Azure Firewall kezdeti átviteli sebessége 2,5 – 3 Gb/s, a standard termékváltozat esetében pedig 30 Gbps, prémium termékváltozat esetén pedig 100 Gb/s. A processzorhasználat, az átviteli sebesség és a kapcsolatok száma alapján automatikusan felskálázódik.

Mennyi ideig tart az Azure Firewall vertikális felskálázása?

Az Azure Firewall fokozatosan skálázódik, ha az átlagos átviteli sebesség vagy a processzorhasználat 60%, vagy a kapcsolatok kihasználtsága 80%. Például akkor kezd felskálázni, amikor eléri a maximális átviteli sebesség 60%-át. A maximális átviteli sebesség a tűzfal termékváltozatától és az engedélyezett funkcióktól függően változik. További információkért tekintse meg az Azure Firewall teljesítményét.

A felskálázás öt-hét percet vesz igénybe.

A teljesítménytesztelés során győződjön meg arról, hogy legalább 10–15 percig tesztel, és új kapcsolatokat indít el az újonnan létrehozott tűzfalcsomópontok előnyeinek kihasználásához.

Hogyan kezeli az Azure Firewall az inaktív időtúllépéseket?

Ha egy kapcsolat tétlen időtúllépést (négy perc semmilyen tevékenységet nem végez), az Azure Firewall egy TCP RST-csomag elküldésével kecsesen leállítja a kapcsolatot.

Hogyan kezeli az Azure Firewall a virtuálisgép-példányok leállításait a virtuálisgép-méretezési csoport méretezése (vertikális leskálázása) vagy a flottaszoftver-frissítések során?

Az Azure Firewall virtuálisgép-példány leállítása a virtuálisgép-méretezési csoport méretezése során (vertikális leskálázás) vagy a flottaszoftver frissítése során fordulhat elő. Ezekben az esetekben az új bejövő kapcsolatok terhelése a fennmaradó tűzfalpéldányokkal van elosztva, és a rendszer nem továbbítja őket a lemenő tűzfalpéldánynak. 45 másodperc elteltével a tűzfal TCP RST-csomagok küldésével elkezdi elutasítani a meglévő kapcsolatokat. További 45 másodperc elteltével a tűzfal virtuális gépe leáll. További információ: Load Balancer TCP Reset és Tétlen időtúllépés.

Az Azure Firewall alapértelmezés szerint engedélyezi az Active Directory elérését?

Szám Az Azure Firewall alapértelmezés szerint letiltja az Active Directory-hozzáférést. A hozzáférés engedélyezéséhez konfigurálja az AzureActiveDirectory szolgáltatáscímkét. További információ: Azure Firewall szolgáltatáscímkék.

Kizárhatok egy teljes tartománynevet vagy egy IP-címet az Azure Firewall Threat Intelligence-alapú szűrésből?

Igen, az Azure PowerShellt használhatja a következő műveletekhez:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Miért tud egy TCP-ping és hasonló eszköz sikeresen csatlakozni a cél teljes tartománynévhez akkor is, ha az Azure Firewall egyik szabálya sem engedélyezi ezt a forgalmat?

A TCP-ping valójában nem csatlakozik a cél teljes tartománynévhez. Az Azure Firewall csak akkor engedélyezi a kapcsolatot a cél IP-címmel/teljes tartománynévvel, ha explicit szabály engedélyezi azt.

A TCP-ping egy egyedi használati eset, ahol ha nincs engedélyezett szabály, a tűzfal maga válaszol az ügyfél TCP-pingelési kérésére, annak ellenére, hogy a TCP-ping nem éri el a cél IP-címet/teljes tartománynevet. Ebben az esetben az esemény nincs naplózva. Ha van egy hálózati szabály, amely lehetővé teszi a cél IP-címhez/teljes tartománynévhez való hozzáférést, akkor a pingelési kérelem eléri a célkiszolgálót, és a rendszer visszaküldi a választ az ügyfélnek. Ezt az eseményt a hálózati szabályok naplójában naplózza a rendszer.

Vannak korlátozások az IP-csoportok által támogatott IP-címek számára?

Igen. További információkért tekintse meg az Azure-előfizetések és -szolgáltatások korlátozásait, kvótáit és megkötéseit ismertető témakört.

Áthelyezhetek egy IP-csoportot egy másik erőforráscsoportba?

Nem, az IP-csoport áthelyezése egy másik erőforráscsoportba jelenleg nem támogatott.

Mi az Azure Firewall TCP-üresjárati időtúllépése?

A hálózati tűzfal szokásos viselkedése, hogy a TCP-kapcsolatok életben maradnak, és ha nincs tevékenység, azonnal zárja be őket. Az Azure Firewall TCP üresjárati időtúllépése négy perc. Ez a beállítás nem konfigurálható felhasználóként, de kapcsolatba léphet az Azure ügyfélszolgálatával, hogy a bejövő és kimenő kapcsolatok üresjárati időtúllépése akár 30 percig is nőjön. A kelet-nyugati forgalom tétlen időtúllépése nem módosítható.

Ha egy inaktivitási időszak hosszabb az időtúllépési értéknél, nincs garancia arra, hogy a TCP- vagy HTTP-munkamenet megmarad. Gyakori eljárás a TCP életben tartása. Ez a gyakorlat hosszabb ideig tartja aktívnak a kapcsolatot. További információkért lásd a .NET-példákat.

Üzembe helyezhetem az Azure Firewallt nyilvános IP-cím nélkül?

Igen, de konfigurálnia kell a tűzfalat kényszerített bújtatási módban. Ez a konfiguráció létrehoz egy felügyeleti felületet egy nyilvános IP-címmel, amelyet az Azure Firewall használ a műveleteihez. Ez a nyilvános IP-cím felügyeleti forgalomhoz készült. Kizárólag az Azure platform használja, és semmilyen más célra nem használható. A bérlői adatelérési út hálózata konfigurálható nyilvános IP-cím nélkül, és az internetes forgalom egy másik tűzfalra bújtatható, vagy teljesen blokkolható.

Hol tárolja az Azure Firewall az ügyféladatokat?

Az Azure Firewall nem helyezi át vagy tárolja az ügyféladatokat a telepített régióból.

Van mód az Azure Firewall és szabályzatok automatikus biztonsági mentésére?

Támogatott az Azure Firewall a biztonságos virtuális központokban (vWAN) Katarban?

Nem, a biztonságos virtuális központokban (vWAN) lévő Azure Firewall jelenleg nem támogatott Katarban.

Hány párhuzamos kapcsolatot támogat az Azure Firewall?

Az Azure Firewall olyan Azure-beli virtuális gépeket használ, amelyeknél a kapcsolatok száma korlátozott. Az aktív kapcsolatok virtuális gépenkénti teljes száma 250 ezer.

A tűzfalenkénti teljes korlát a virtuális gépek kapcsolati korlátja (250k) x a tűzfal háttérkészletében lévő virtuális gépek száma. Az Azure Firewall két virtuális géppel kezdődik, és a processzorhasználat és az átviteli sebesség alapján skálázható fel.

Mi az SNAT TCP/UDP-port újrafelhasználási viselkedése az Azure Firewallban?

Az Azure Firewall jelenleg TCP/UDP forrásportokat használ a kimenő SNAT-forgalomhoz, tétlen várakozási idő nélkül. Ha egy TCP/UDP-kapcsolat bezárul, a használt TCP-port azonnal elérhetőként lesz látható a közelgő kapcsolatokhoz.

Bizonyos architektúrák megkerülő megoldásaként üzembe helyezheti és skálázhatja a NAT Gatewayt az Azure Firewall használatával, hogy szélesebb SNAT-portkészletet biztosítson a variálhatósághoz és a rendelkezésre álláshoz.

Mik azok a NAT-viselkedések az Azure Firewallban?

Az egyes NAT-viselkedések a tűzfal konfigurációjától és a konfigurált NAT típusától függnek. A tűzfal például DNST-szabályokkal rendelkezik a bejövő forgalomra, valamint a tűzfalon keresztüli kimenő forgalomra vonatkozó hálózati és alkalmazásszabályokkal.

További információ: Azure Firewall NAT-viselkedések.