Azure Firewall gyakori kérdések

Általános

Mi az a Azure Firewall?

Azure Firewall egy felügyelt, felhőalapú hálózati biztonsági szolgáltatás, amely védi a Azure Virtual Network-erőforrásokat. Ez egy teljes körű állapotalapú tűzfal, amely beépített magas rendelkezésre állással és korlátlan felhőmérettel rendelkezik. Központilag hozhatja létre, érvényesítheti és naplózhatja az alkalmazás- és hálózatelérési szabályzatokat az előfizetésekre és a virtuális hálózatokra vonatkozóan.

Milyen képességeket támogat Azure Firewall?

A Azure Firewall funkciók részletes listáját a Azure Firewall funkciók című témakörben találja.

Mi az Azure Firewall tipikus üzemi modellje?

Azure Firewall bármilyen virtuális hálózaton üzembe helyezhetők. Ez azonban általában központi virtuális hálózaton, küllős modellben van üzembe helyezve, más virtuális hálózatok társviszonyban vannak vele. A társviszonyban lévő virtuális hálózatok alapértelmezett útvonala erre a központi tűzfal virtuális hálózatra van állítva. Bár a globális virtuális hálózatok közötti társviszony-létesítés támogatott, a régiók közötti lehetséges teljesítmény- és késési problémák miatt nem ajánlott. Az optimális teljesítmény érdekében telepítsen régiónként egy tűzfalat.

Ez a modell lehetővé teszi a küllős virtuális hálózatok központosított irányítását különböző előfizetések között, és költségeket takarít meg azáltal, hogy nem szükséges tűzfalat telepíteni minden egyes virtuális hálózatba. A költségmegtakarítást a forgalmi minták alapján kapcsolódó peering költségekkel kell összevetni.

Hogyan helyezhetek üzembe Azure Firewall?

Azure Firewall üzembe helyezhető a Azure portál, a PowerShell, a REST API vagy a sablonok használatával. Részletes útmutatásért lásd: Tutorial: Azure Firewall üzembe helyezése és konfigurálása a Azure portál használatával.

Mik a legfontosabb Azure Firewall fogalmak?

Azure Firewall szabályokat és szabálygyűjteményeket használ. A szabálygyűjtemények egy azonos sorrendű és prioritású szabálykészletek. A szabálygyűjtemények végrehajtása prioritási sorrendben történik. A DNST-szabálygyűjtemények magasabb prioritással rendelkeznek, mint a hálózati szabálygyűjtemények, amelyek viszont magasabb prioritással rendelkeznek, mint az alkalmazásszabály-gyűjtemények. Minden szabály megszűnik.

A szabálygyűjteményeknek három típusa van:

• Alkalmazásszabályok: Konfigurálja a virtuális hálózatról elérhető teljes tartományneveket (FQDN-eket).
• Hálózati szabályok: Szabályok konfigurálása forráscímekkel, protokollokkal, célportokkal és célcímekkel.
• NAT-szabályok: Konfigurálja a DNST-szabályokat a bejövő internetes vagy intranetes (előzetes verziójú) kapcsolatok engedélyezéséhez.

További információ: Konfigurálás Azure Firewall szabályok.

Mely naplózási és elemzési szolgáltatásokat támogatja Azure Firewall?

Azure Firewall az Azure Monitorral integrálódik a naplók megtekintéséhez és elemzéséhez. A naplók elküldhetők Log Analytics, Azure Storage vagy Event Hubsba, és elemezhetők olyan eszközökkel, mint Log Analytics, Excel vagy Power BI. További információ: Tutorial: Monitor Azure Firewall logs.

Miben különbözik Azure Firewall az NVA-któl a piactéren?

Azure Firewall egy felügyelt, felhőalapú hálózati biztonsági szolgáltatás, amely védi a virtuális hálózati erőforrásokat. Ez egy teljes körű állapotalapú tűzfal, amely beépített magas rendelkezésre állással és korlátlan felhőmérettel rendelkezik. Előre integrált harmadik fél biztonsági-szolgáltatásként (SECaaS) működő szolgáltatásokkal a virtuális hálózati és fióki internetkapcsolatok biztonságának növelése érdekében. További információ: Azure hálózati biztonság.

Mi a különbség az Application Gateway WAF és a Azure Firewall között?

Az Application Gateway WAF központi bejövő védelmet biztosít a webalkalmazások számára a gyakori visszaélések és biztonsági rések ellen. Azure Firewall biztosítja a nem HTTP/S protokollok (például RDP, SSH, FTP) bejövő védelmét, az összes port és protokoll kimenő hálózati szintű védelmét, valamint a kimenő HTTP/S alkalmazásszintű védelmét.

Mi a különbség a hálózati biztonsági csoportok (NSG-k) és a Azure Firewall között?

Azure Firewall kiegészíti az NSG-ket a jobb "mélységi védelem" érdekében. Az NSG-k elosztott hálózati rétegbeli forgalomszűrést kínálnak az egyes előfizetésekben lévő virtuális hálózatokon belüli forgalom korlátozásához. Azure Firewall központosított, teljes körű hálózati és alkalmazásszintű védelmet biztosít az előfizetések és virtuális hálózatok között.

Támogatottak a hálózati biztonsági csoportok (NSG-k) az AzureFirewallSubnet alhálózatban?

Azure Firewall egy felügyelt szolgáltatás, amely több védelmi réteggel rendelkezik, beleértve a platformvédelmet az NIC-ek (hálózati interfészkártyák) szintjén nem látható NSG-kkel. Az Alhálózati szintű NSG-k nem szükségesek az AzureFirewallSubneten, és le vannak tiltva a szolgáltatáskimaradások elkerülése érdekében.

Mi a privát végpontokkal rendelkező Azure Firewall hozzáadott értéke?

A privát végpontok a Private Link összetevői, amely lehetővé teszi Azure PaaS-szolgáltatásokkal való interakciót a nyilvános IP-címek helyett. Azure Firewall használható a nyilvános IP-címekhez való hozzáférés megakadályozására, ezáltal elkerülve a Private Link nem használó Azure szolgáltatások adatkiszivárgását, valamint a zéró megbízhatósági szabályzatok megvalósítását azáltal, hogy meghatározza, hogy a szervezetnek kinek kell hozzáférnie ezekhez a Azure PaaS-szolgáltatásokhoz, mivel Private Link alapértelmezés szerint megnyitja a teljes vállalati hálózat hálózati hozzáférését.

A privát végpontok felé irányuló forgalom Azure Firewall való vizsgálatának megfelelő kialakítása a hálózati architektúrától függ. További részleteket a Azure Firewall a privát végpont felé irányuló forgalom vizsgálatához című cikkben talál.

Mi a virtuális hálózati szolgáltatásvégpontokkal rendelkező Azure Firewall hozzáadott értéke?

Virtual Network szolgáltatásvégpontok alternatívát jelentenek a Private Link Azure PaaS-szolgáltatásokhoz való hálózati hozzáférés szabályozására. Még ha az ügyfél továbbra is nyilvános IP-címeket használ a PaaS-szolgáltatás eléréséhez, a forrás alhálózat láthatóvá válik, hogy a cél PaaS-szolgáltatás szűrőszabályokat implementáljon, és alhálózatonként korlátozza a hozzáférést. A privát végpontok és a szolgáltatásvégpontok összehasonlítása mindkét mechanizmus részletes összehasonlítását találja.

Azure Firewall alkalmazásszabályok segítségével biztosítható, hogy ne kerüljön sor adatkiszivárgásra a rendszertelen szolgáltatásokra, és hogy az alhálózat szintjén túli részletességű hozzáférési szabályzatokat implementáljon. A virtuális hálózati szolgáltatásvégpontokat általában engedélyezni kell annak az ügyfélnek az alhálózatán, amely egy Azure szolgáltatáshoz csatlakozik. A szolgáltatásvégpontok felé irányuló forgalom Azure Firewall történő vizsgálatakor azonban engedélyeznie kell a megfelelő szolgáltatásvégpontot a Azure Firewall alhálózatban, és le kell tiltania őket a tényleges ügyfél alhálózatán (általában küllős virtuális hálózaton). Így az alkalmazásszabályok használatával szabályozhatja Azure Firewall, hogy mely Azure szolgáltatásokhoz férhetnek hozzá a Azure számítási feladatai.

Mi a Azure Firewall díjszabása?

A díjszabás részleteiért lásd: Azure Firewall Díjszabás.

Mik a Azure Firewall ismert szolgáltatási korlátai?

A szolgáltatási korlátokat lásd: Azure előfizetési és szolgáltatási korlátok, kvóták és korlátozások.

Hol tárolja Azure Firewall az ügyféladatokat?

Azure Firewall nem helyezi át vagy tárolja az ügyféladatokat azon a régión kívül, ahol az üzembe lett helyezve.

Támogatja az Azure Firewall a biztonságos virtuális központokat (vWAN) Katarban?

Nem, a biztonságos virtuális központokban (vWAN) az Azure Firewall jelenleg nincs támogatva Katarban.

Támogatott képességek és funkciók

Támogatja Azure Firewall a bejövő forgalom szűrését?

Igen, Azure Firewall támogatja a bejövő és a kimenő forgalom szűrését is. A bejövő szűrést általában nem HTTP-protokollokhoz, például RDP-hez, SSH-hoz és FTP-hez használják. Bejövő HTTP- és HTTPS-forgalom esetén érdemes lehet olyan webalkalmazási tűzfalat használni, mint a Azure Web Application Firewall (WAF) vagy a Azure Firewall Premium TLS kiszervezési és mélycsomag-ellenőrzési funkcióit.

Támogatja Azure Firewall alapszintű bújtatást?

Igen, Azure Firewall Basic támogatja a kényszerített bújtatást.

Miért tűnik úgy, hogy egy TCP ping vagy hasonló eszközök akkor is csatlakoznak a cél teljes tartománynévhez, ha egyetlen szabály sem engedélyezi a forgalmat?

A TCP-ping valójában nem csatlakozik a cél teljes tartománynévhez. Azure Firewall letiltja a cél IP-címhez vagy teljes tartománynévhez való csatlakozást, kivéve, ha egy szabály kifejezetten engedélyezi.

TCP-ping esetén, ha egy szabály sem engedélyezi a forgalmat, maga a tűzfal válaszol az ügyfél TCP-pingelési kérésére. Ez a válasz nem éri el a cél IP-címét vagy teljes tartománynevét, és nincs naplózva. Ha egy hálózati szabály kifejezetten engedélyezi a cél IP-címhez vagy teljes tartománynévhez való hozzáférést, a pingelési kérelem eléri a célkiszolgálót, és a rendszer visszaküldi a választ az ügyfélnek. Ezt az eseményt a hálózati szabályok naplójában naplózza a rendszer.

Támogatja Azure Firewall a BGP-társviszony-létesítést?

Nem, Azure Firewall nem támogatja natív módon a BGP-társviszony-létesítést. A Autolearn SNAT-útvonalak funkció azonban közvetetten a BGP-t használja Azure Route Server keresztül.

Át tudja adni az Azure Firewall az ESP-csomagokat (IPSec VPN)?

Azure Firewall nem támogatja natív módon az ESP-t (a biztonsági hasznos adatok beágyazását), de a hálózati szabály konfigurálásával engedélyezheti az ESP-forgalmat az alábbiak szerint:

Azure Firewall konfiguráció (hálózati szabály):

• Protokoll: bármely
• Forrásport: * (bármely)
• Célport: * (bármely)
• Forrás/cél: Ip-címek megadása szükség szerint

Ez a konfiguráció lehetővé teszi az ESP-csomagok (50-es IP-protokollszám) és más nem TCP/UDP-forgalom számára, hogy megfeleljenek a szabálynak. Azonban vegye észre, hogy az Azure Firewall nem vizsgálja az ESP hasznos adatait.

Reference: Ha az NSG-t (hálózati biztonsági csoportot) használja a Azure Firewall: az NSG nem biztosít közvetlen lehetőséget az ESP megadására (50-es IP-protokollszám), de az ESP-csomagok a következő beállításokkal engedélyezhetők:

• Protokoll: bármely
• Port: * (bármely)
• Forrás/cél: Ip-címek megadása szükség szerint

Ajánlások:

• Az IPsec VPN-konfigurációk esetében a Azure VPN Gateway használata ajánlott.
• A követelményektől függően érdemes lehet NVA-mintát (hálózati virtuális berendezést) használni.

Felügyelet és konfigurálás

Hogyan állíthatom le és indíthatom el az Azure Firewall?

Az Azure PowerShell használatával feloldhatja és lefoglalhatja az Azure Firewall erőforrást. A folyamat a konfigurációtól függően változik.

Felügyeleti hálózati adapter nélküli tűzfal esetén:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Felügyeleti NIC-kel rendelkező tűzfal esetén:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Biztonságos virtuális központban lévő tűzfal esetén:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Megjegyzés

A tűzfal leállítása és indításakor a számlázás leáll, és ennek megfelelően indul el. A magánhálózati IP-cím azonban megváltozhat, ami hatással lehet a kapcsolatra, ha az útvonaltáblák vannak konfigurálva.

Hogyan konfigurálhatom a rendelkezésre állási zónákat az üzembe helyezés után?

Javasoljuk, hogy a kezdeti üzembe helyezés során konfigurálja a rendelkezésre állási zónákat. Az üzembe helyezés után azonban újrakonfigurálhatja őket, ha:

• A tűzfal virtuális hálózaton van üzembe helyezve (védett virtuális központokban nem támogatott).
• A régió támogatja a rendelkezésre állási zónákat.
• Minden csatolt nyilvános IP-cím ugyanazokkal a zónákkal van konfigurálva.

A rendelkezésre állási zónák újrakonfigurálásához:

1. A tűzfal felszabadítása:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Frissítse a zónakonfigurációt, és ossza ki a tűzfalat.

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Vannak Azure tűzfalerőforrás-csoportokra vonatkozó korlátozások?

Igen:

• A Azure Firewall és a virtuális hálózatnak ugyanabban az erőforráscsoportban kell lennie.
• A nyilvános IP-cím egy másik erőforráscsoportban is lehet.
• Minden erőforrásnak (Azure tűzfalnak, virtuális hálózatnak, nyilvános IP-címnek) ugyanabban az előfizetésben kell lennie.

Mit jelent az **Sikertelen** erőforrás-elosztási állapot?

A sikertelen kiépítési állapot azt jelzi, hogy egy konfigurációs frissítés meghiúsult egy vagy több háttérpéldányon. A Azure Firewall továbbra is működőképes marad, de a konfiguráció inkonzisztens lehet. Próbálkozzon újra a frissítés végrehajtásával, amíg a kiépítési állapot sikeresre nem változik.

Hogyan kezeli Azure Firewall a tervezett karbantartást és a nem tervezett hibákat?

Azure Firewall több háttércsomóponttal rendelkező aktív-aktív konfigurációt használ. A tervezett karbantartás során a kapcsolat ürítése biztosítja a megfelelő frissítéseket. Nem tervezett hibák esetén egy új csomópont helyettesíti a sikertelent, és a kapcsolat általában 10 másodpercen belül helyreáll.

Van egy tűzfalnév karakterkorlátja?

Igen, a tűzfalnevek legfeljebb 50 karakter hosszúságúak.

Miért van szükség Azure Firewall /26 alhálózat méretére?

A /26 alhálózat biztosítja a méretezéshez szükséges IP-címeket, mivel a Azure Firewall további virtuálisgép-példányokat helyez üzembe.

Módosítani kell a tűzfal alhálózatának méretét a szolgáltatás méretezése során?

Nem, a /26 alhálózat minden skálázási forgatókönyvhöz elegendő.

Hogyan növelhetem a tűzfal átviteli sebességét?

Azure Firewall a processzorhasználat, az átviteli sebesség és a kapcsolatszám alapján automatikusan skáláz. Az átviteli kapacitás kezdetben 2,5–3 Gbps és 30 Gb/s (Standard termékváltozat) vagy 100 Gb/s (prémium termékváltozat) között mozog.

Vannak korlátozások az IP-csoportok által támogatott IP-címek számára?

Igen. További információ: Azure előfizetési és szolgáltatási korlátok, kvóták és korlátozások.

Áthelyezhetek egy IP-csoportot egy másik erőforráscsoportba?

Nem, az IP-csoport áthelyezése egy másik erőforráscsoportba jelenleg nem támogatott.

Mi az Azure Firewall TCP tétlenségi időkorlátja?

A hálózati tűzfal szokásos viselkedése, hogy a TCP-kapcsolatok életben maradnak, és ha nincs tevékenység, azonnal zárja be őket. Azure Firewall TCP inaktív időkorlátja négy perc. Ez a beállítás nem konfigurálható felhasználóként, de kapcsolatba léphet Azure ügyfélszolgálatával, hogy a bejövő és kimenő kapcsolatok tétlen időtúllépése akár 15 percig is nőjön. A kelet-nyugati forgalom tétlen időkorlátja nem módosítható.

Ha egy inaktivitási időszak hosszabb az időtúllépési értéknél, nincs garancia arra, hogy a TCP- vagy HTTP-munkamenet megmarad. Gyakori gyakorlat a TCP "keep-alive" használata. Ez a gyakorlat hosszabb ideig tartja aktívnak a kapcsolatot. További információ: .NET példák.

Üzembe helyezhetek Azure Firewall nyilvános IP-cím nélkül?

Igen, de konfigurálnia kell a tűzfalat kényszerített bújtatási módban. Ez a konfiguráció létrehoz egy felügyeleti felületet egy nyilvános IP-címmel, amelyet a Azure Firewall használ a műveleteihez. Ez a nyilvános IP-cím felügyeleti forgalomhoz készült. Kizárólag a Azure platform használja, és semmilyen más célra nem használható. A bérlői adatelérési út hálózata konfigurálható nyilvános IP-cím nélkül, és az internetes forgalom egy másik tűzfalra bújtatható, vagy teljesen blokkolható.

Van mód a Azure Firewall és szabályzatok automatikus biztonsági mentésére?

Igen. További információ: Az Azure Firewall és Azure Firewall Szabályzat biztonsági mentése a Logic Apps használatával.

Kapcsolat és útválasztás

Hogyan állíthatok be Azure Firewall a szolgáltatásvégpontokkal?

A PaaS-szolgáltatásokhoz való biztonságos hozzáférés érdekében a szolgáltatásvégpontokat javasoljuk. Engedélyezheti a szolgáltatásvégpontokat a Azure Firewall alhálózatban, és letilthatja őket a csatlakoztatott küllős virtuális hálózatokon. Így mindkét szolgáltatás előnyeit élvezheti: a szolgáltatásvégpont biztonságát és a központi naplózást az összes forgalomhoz.

Egy központi virtuális hálózatban Azure Firewall továbbíthatja és szűrheti a hálózati forgalmat több küllős virtuális hálózat között?

Igen, a Azure Firewall egy központi virtuális hálózaton keresztül irányíthatja és szűrheti a több küllős virtuális hálózat közötti forgalmat. A küllős virtuális hálózatok alhálózatainak rendelkezniük kell egy UDR-rel, amely az Azure Firewallra mutat alapértelmezett átjáróként a szcenárió megfelelő működéséhez.

Továbbíthatja és szűrheti az Azure Firewall a hálózati forgalmat azonos virtuális hálózat alhálózatai vagy társhálózatos virtuális hálózatok között?

Igen. Ha azonban az UDR-eket úgy konfigurálja, hogy átirányítsák a forgalmat az azonos virtuális hálózat alhálózatai között, nagyobb figyelmet igényel. Ha a virtuális hálózati címtartományt használja az UDR célelőtagjaként, ez az egyik gépről egy másik, ugyanazon alhálózaton lévő gépre irányuló összes forgalmat is átirányítja a Azure Firewall-példányon keresztül. Ennek elkerülése érdekében adjon meg egy útvonalat az alhálózathoz az UDR-ben, amelynek a következő ugráspontja egy virtuális hálózat. Előfordulhat, hogy az útvonalak kezelése nehézkes és hibára hajlamos. A belső hálózati szegmentálás ajánlott módszere a hálózati biztonsági csoportok használata, amelyek nem igényelnek UDR-t.

Végrehajtja az Azure Firewall a kimenő SNAT-ot a privát hálózatok között?

Azure Firewall nem végez SNAT-ot, ha a cél IP-cím a magánhálózatokhoz tartozó IANA RFC 1918 vagy IANA RFC 6598 privát IP-tartományba esik. Ha a szervezet nyilvános IP-címtartományt használ a magánhálózatokhoz, Azure Firewall az AzureFirewallSubnet egyik privát IP-címére irányítja a forgalmat. Az Azure Firewallt úgy konfigurálhatja, hogy ne SNAT-elje a nyilvános IP-címtartományát. További információ: Azure Firewall SNAT privát IP-címtartományok.

Emellett az alkalmazásszabályok által feldolgozott forgalom mindig SNAT-olva van. Ha meg szeretné tekinteni az eredeti forrás IP-címet az FQDN-forgalom naplóiban, használhat hálózati szabályokat a cél FQDN-nel.

Támogatott a kényszerített bújtatás/hálózati virtuális berendezéshez való láncolás?

A kényszerített bújtatás új tűzfal létrehozásakor támogatott, és a meglévő tűzfalak esetében is támogatott, ha hozzáad egy felügyeleti hálózati adaptert a kényszerített bújtatáshoz. Az új üzembe helyezésekkel kapcsolatos további részletekért lásd: Azure Firewall kényszerített bújtatás. Meglévő tűzfalak kezeléséhez lásd az Azure Firewall Management NIC-et.

Azure Firewall közvetlen internetkapcsolattal kell rendelkeznie. Ha az AzureFirewallSubnet a BGP-n keresztül tanulja meg a helyszíni hálózathoz vezető alapértelmezett útvonalat, ezt felül kell bírálnia egy 0.0.0.0/0 UDR-vel, és a NextHopType értéket internetként kell beállítani a közvetlen internetkapcsolat fenntartásához.

Ha a konfiguráció kényszerített bújtatást igényel egy helyszíni hálózathoz, és meghatározhatja az internetes célhelyek cél IP-előtagjait, ezeket a tartományokat a helyszíni hálózattal konfigurálhatja következő ugrásként az AzureFirewallSubnet felhasználó által megadott útvonalán keresztül. Vagy a BGP használatával definiálhatja ezeket az útvonalakat.

Hogyan működnek a helyettesítő karakterek a cél URL-címekben és a cél teljes tartománynevekben az alkalmazásszabályokban?

• URL – A csillagok akkor működnek, ha a jobb vagy bal szélső oldalra vannak helyezve. Ha a bal oldalon van, nem lehet része az FQDN-nek.
• FQDN – A csillagjelek a bal legszélső pozícióban működnek.
• ÁLTALÁNOS – A bal oldalon található csillagok szó szerint bármit jelenthetnek, ami azt jelenti, hogy több aldomain és/vagy esetleg nem kívánt tartománynév-változatok is egyezhetnek – lásd az alábbi példákat.

Példák:

Típus	Szabály	Támogatott?	Pozitív példák
Cél-URL	www.contoso.com	Igen	www.contoso.com www.contoso.com/
Cél-URL	*.contoso.com	Igen	any.contoso.com/ sub1.any.contoso.com
Cél-URL	*contoso.com	Igen	example.anycontoso.com sub1.example.contoso.com contoso.com Figyelmeztetés: a helyettesítő karakterek használata szintén lehetővé teszi a potenciálisan nem kívánt/kockázatos változatokat, például th3re4lcontoso.com - körültekintő használatot.
Cél-URL	www.contoso.com/test	Igen	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
Cél-URL	www.contoso.com/test/*	Igen	www.contoso.com/test/anything Megjegyzés: www.contoso.com/testnem egyezik (utolsó perjel)
Cél-URL	www.contoso.*/test/*	Nem
Cél-URL	www.contoso.com/test?example=1	Nem
Cél-URL	www.contoso.*	Nem
Cél-URL	www.*contoso.com	Nem
Cél-URL	www.contoso.com:8080	Nem
Cél-URL	*.contoso.*	Nem
CélFQDN	www.contoso.com	Igen	www.contoso.com
CélFQDN	*.contoso.com	Igen	any.contoso.com Megjegyzés: Ha kifejezetten engedélyezni szeretné contoso.com, a contoso.com webhelyet szerepeltetnie kell a szabályban. Ellenkező esetben a rendszer alapértelmezés szerint megszakítja a kapcsolatot, mert a kérés nem felel meg egy szabálynak.
CélFQDN	*contoso.com	Igen	example.anycontoso.com contoso.com
CélFQDN	www.contoso.*	Nem
CélFQDN	*.contoso.*	Nem

Alapértelmezés szerint engedélyezi Azure Firewall a Active Directory elérését?

Nem Azure Firewall alapértelmezés szerint letiltja Active Directory hozzáférést. A hozzáférés engedélyezéséhez konfigurálja az AzureActiveDirectory szolgáltatáscímkét. További információ: Azure Firewall szolgáltatáscímkék.

Kizárhatok egy teljes tartománynevet vagy egy IP-címet Azure Firewall fenyegetésintelligencia-alapú szűrésből?

Igen, a Azure PowerShell használatával teheti meg:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Miért tud egy TCP-ping és hasonló eszköz sikeresen csatlakozni a cél teljes tartománynévhez akkor is, ha a Azure Firewall egyetlen szabály sem engedélyezi ezt a forgalmat?

A TCP-ping valójában nem csatlakozik a cél FQDN-hez. Azure Firewall nem engedélyezi a kapcsolatot egyetlen cél IP-címmel/teljes tartománynévvel sem, hacsak nincs explicit szabály, amely engedélyezi azt.

A TCP-ping egy egyedi használati eset, ahol ha nincs engedélyezett szabály, a tűzfal maga válaszol az ügyfél TCP-pingelési kérésére, annak ellenére, hogy a TCP-ping nem éri el a cél IP-címet/teljes tartománynevet. Ebben az esetben az esemény nincs naplózva. Ha van egy hálózati szabály, amely lehetővé teszi a cél IP-címhez/teljes tartománynévhez való hozzáférést, akkor a pingelési kérelem eléri a célkiszolgálót, és a rendszer visszaküldi a választ az ügyfélnek. Ezt az eseményt a hálózati szabályok naplójában naplózza a rendszer.

Miért csatlakoznak a TCP pingelési és hasonló eszközök a cél teljes tartománynévhez/IP-címhez a 80-es, 443-es és 1433-es porton, de nem figyelhetők meg a Azure Firewall naplókban?

Azure Firewall a 80-as, 443-as és 1433-as portok passzív figyelője. Azure Firewall csak akkor naplózza a TCP SYN-csomagokat ezeken a portokon, ha nincs alkalmazásforgalom. Az HTTP GET kérés és a TLS ügyfél Hello naplózva van az Azure tűzfalban.

Vannak korlátozások az IP-csoportok által támogatott IP-címek számára?

Igen. További információ: Azure előfizetési és szolgáltatási korlátok, kvóták és korlátozások

Áthelyezhetek egy IP-csoportot egy másik erőforráscsoportba?

Nem, az IP-csoport áthelyezése egy másik erőforráscsoportba jelenleg nem támogatott.

Mi az Azure Firewall TCP tétlenségi időkorlátja?

A hálózati tűzfal szokásos viselkedése, hogy a TCP-kapcsolatok életben maradnak, és ha nincs tevékenység, azonnal zárja be őket. Azure Firewall TCP inaktív időkorlátja négy perc. Ez a beállítás nem konfigurálható felhasználóként, de kapcsolatba léphet Azure ügyfélszolgálatával, hogy a bejövő és kimenő kapcsolatok tétlen időtúllépése akár 15 percig is nőjön. A kelet-nyugati forgalom tétlen időkorlátja nem módosítható.

Ha egy inaktivitási időszak hosszabb az időtúllépési értéknél, nincs garancia arra, hogy a TCP- vagy HTTP-munkamenet megmarad. Gyakori gyakorlat a TCP "keep-alive" használata. Ez a gyakorlat hosszabb ideig tartja aktívnak a kapcsolatot. További információ: .NET példák.

Üzembe helyezhetek Azure Firewall nyilvános IP-cím nélkül?

Igen, de konfigurálnia kell a tűzfalat kényszerített bújtatási módban. Ez a konfiguráció létrehoz egy felügyeleti felületet egy nyilvános IP-címmel, amelyet a Azure Firewall használ a műveleteihez. Ez a nyilvános IP-cím felügyeleti forgalomhoz készült. Kizárólag a Azure platform használja, és semmilyen más célra nem használható. A bérlői adatelérési út hálózata konfigurálható nyilvános IP-cím nélkül, és az internetes forgalom egy másik tűzfalra bújtatható, vagy teljesen blokkolható.

Hol tárolja Azure Firewall az ügyféladatokat?

Azure Firewall nem helyezi át vagy tárolja az ügyféladatokat a telepített régióból.

Van mód a Azure Firewall és szabályzatok automatikus biztonsági mentésére?

Igen. További információ: Az Azure Firewall és Azure Firewall Szabályzat biztonsági mentése a Logic Apps használatával.

Támogatja az Azure Firewall a biztonságos virtuális központokat (vWAN) Katarban?

Nem, jelenleg a biztonságos virtuális központokban (vWAN) az Azure Firewall támogatása nincs Katarban.

Hány párhuzamos kapcsolat támogathatja Azure Firewall?

Azure Firewall olyan Azure Virtual Machines-t használ, amelyek szigorú kapcsolatkorláttal működnek. Az aktív kapcsolatok virtuális gépenkénti teljes száma 250 ezer.

A tűzfalenkénti teljes korlát a virtuális gépek kapcsolati korlátja (250k) x a tűzfal háttérkészletében lévő virtuális gépek száma. Azure Firewall két virtuális géppel kezdődik, és a processzorhasználat és az átviteli sebesség alapján skálázható fel.

Mi az SNAT TCP/UDP-port újrafelhasználási viselkedése a Azure Firewall?

Azure Firewall jelenleg TCP/UDP forrásportokat használ a kimenő SNAT-forgalomhoz, tétlen várakozási idő nélkül. Ha egy TCP/UDP-kapcsolat bezárul, a használt TCP-port azonnal elérhetőként lesz látható a közelgő kapcsolatokhoz.

Bizonyos architektúrák esetében megkerülő megoldásként üzembe helyezhet és méretezhet NAT Gateway és Azure tűzfal használatával, hogy szélesebb SNAT-port készletet biztosítson a variabilitás és a rendelkezésre állás érdekében.

Mik az NAT-viselkedések az Azure Firewall esetében?

Az egyes NAT-viselkedések a tűzfal konfigurációjától és a konfigurált NAT típusától függnek. A tűzfal például DNST-szabályokkal rendelkezik a bejövő forgalomra, valamint a tűzfalon keresztüli kimenő forgalomra vonatkozó hálózati és alkalmazásszabályokkal.

További információ: Azure Firewall NAT-viselkedések.

Időtúllépések és skálázás

Hogyan működik a kapcsolat lekapcsolása?

Bármilyen tervezett karbantartás esetén a kapcsolatelvezetési logika kecsesen frissíti a háttércsomópontokat. Azure Firewall 90 másodpercet vár a meglévő kapcsolatok bezárására. Az első 45 másodpercben a háttércsomópont nem fogad új kapcsolatokat, és a fennmaradó időben az összes bejövő csomagra RST válaszol. Szükség esetén az ügyfelek automatikusan újra létesíthetik a kapcsolatot egy másik háttércsomóponttal.

Hogyan kezeli az Azure Firewall a virtuális géppéldányok leállításait a Virtual Machine Scale Set lekicsinyítése vagy a flotta szoftverfrissítései során?

A virtuálisgép-példányok Azure Firewall leállítása történhet a virtuálisgép-méretezési csoport méretezése során (vertikális leskálázás) vagy a flottaszoftver frissítése során. Ezekben az esetekben az új bejövő kapcsolatok terhelése a fennmaradó tűzfalpéldányokkal van elosztva, és a rendszer nem továbbítja őket a lemenő tűzfalpéldánynak. 45 másodperc elteltével a tűzfal TCP RST-csomagok küldésével elkezdi elutasítani a meglévő kapcsolatokat. További 45 másodperc elteltével a tűzfal virtuális gépe leáll. További információ: Load Balancer TCP visszaállítás és tétlen időtúllépés kezelése.

Mennyi ideig tart Azure Firewall felskálázása?

Azure Firewall fokozatosan skálázódik, ha az átlagos átviteli sebesség vagy a processzorhasználat 60%, vagy a kapcsolatok kihasználtsága 80%. Például akkor kezd felskálázásba, amikor eléri a maximális átviteli kapacitás 60%-át. A maximális átviteli sebesség a Azure Firewall termékváltozattól és az engedélyezett funkcióktól függően változik. További információ: Azure Firewall teljesítmény.

A felskálázás öt-hét percet vesz igénybe. A teljesítménytesztelés során győződjön meg arról, hogy legalább 10–15 percig tesztel, és új kapcsolatokat indít el, hogy kihasználhassa az újonnan létrehozott Azure Firewall csomópontokat.

Hogyan kezeli Azure Firewall tétlen időtúllépéseket?

Ha egy kapcsolat tétlen időtúllépéssel rendelkezik (négy perc semmilyen tevékenység nélkül), Azure Firewall egy TCP RST-csomag elküldésével kecsesen leállítja a kapcsolatot.

Ügyfél által vezérelt karbantartás

Milyen típusú karbantartást támogat az ügyfél által ellenőrzött karbantartás?

Azure szolgáltatások rendszeres karbantartási frissítéseken mennek keresztül a funkciók, a megbízhatóság, a teljesítmény és a biztonság javítása érdekében. Konfigurált karbantartási időszak esetén a vendég operációs rendszer karbantartása és a szolgáltatás karbantartása az adott időszakban történik. Az ügyfél által felügyelt karbantartás azonban nem tartalmazza a gazdagépfrissítéseket és a kritikus biztonsági frissítéseket.

Kaphatok speciális értesítést a karbantartási eseményről?

A Azure Firewall karbantartásával kapcsolatos speciális értesítések nem érhetők el.

Öt óránál rövidebb karbantartási időszakot konfigurálhatok?

Nem, legalább öt órás karbantartási időszak szükséges.

A napi ütemezéstől eltérő karbantartási időszakot is konfigurálhatok?

Nem, a karbantartási időszakok jelenleg napi rendszerességre vannak konfigurálva.

Vannak olyan esetek, amikor nem tudok bizonyos frissítéseket szabályozni?

Az ügyfél által felügyelt karbantartás támogatja a vendég operációs rendszer és a szolgáltatás frissítéseit, amelyek a legtöbb, az ügyfelek számára fontos karbantartási elemet tartalmazzák. Egyes frissítések, például a gazdagépfrissítések azonban nem tartoznak az ügyfél által ellenőrzött karbantartás hatókörébe. Ritkán előfordulhat, hogy felülbíráljuk a karbantartási ablak vezérlését a súlyos biztonsági problémák kezelése érdekében.

A karbantartási konfigurációs erőforrásoknak ugyanabban a régióban kell lenniük, mint a Azure Firewall?

Igen.

Létrehozhatunk-e több karbantartási konfigurációt egyetlen Azure Firewallhoz?

Nem Jelenleg csak egy karbantartási konfiguráció társítható egy Azure Firewall.

Mely Azure Firewall termékváltozatok konfigurálhatók ügyfél által vezérelt karbantartás használatára?

Minden Azure Firewall termékváltozat – alapszintű, standard és prémium szintű – támogatja az ügyfél által ellenőrzött karbantartást.

Mennyi időbe telik, amíg egy konfigurációs karbantartási szabályzat hatályba lép, miután az az Azure Firewallhoz lesz hozzárendelve?

Miután a karbantartási szabályzat hozzá van rendelve, az Azure Firewall akár 24 órát is igénybe vehet a karbantartási időterv követésére.

Ütemeztem egy karbantartási időszakot az egyik Azure Firewall erőforrásom jövőbeli dátumára. A karbantartási tevékenységek addig szüneteltetve vannak ezen az erőforráson?

A Azure Firewall karbantartási tevékenységei nem szünetelnek az ütemezett karbantartási időszak előtti időszakban. A karbantartási ütemtervben nem szereplő napok esetében a rendszeres karbantartási műveletek az erőforrás szokásos módon folytatódnak.

Hogyan tudhatok meg többet az ügyfél által irányított karbantartásról az Azure Firewall kapcsán?

További információ: Ügyfél által vezérelt karbantartás konfigurálása.

Azure Firewall egy felügyelt, felhőalapú hálózati biztonsági szolgáltatás, amely védi a Azure Virtual Network-erőforrásokat. Ez egy teljes körű állapotalapú tűzfal, amely beépített magas rendelkezésre állással és korlátlan felhőmérettel rendelkezik. Központilag hozhatja létre, érvényesítheti és naplózhatja az alkalmazás- és hálózatelérési szabályzatokat az előfizetésekre és a virtuális hálózatokra vonatkozóan.

A Azure Firewall funkciók részletes listáját a Azure Firewall funkciók című témakörben találja.

Azure Firewall bármilyen virtuális hálózaton üzembe helyezhetők. Ez azonban általában központi virtuális hálózaton, küllős modellben van üzembe helyezve, más virtuális hálózatok társviszonyban vannak vele. A társviszonyban lévő virtuális hálózatok alapértelmezett útvonala erre a központi tűzfal virtuális hálózatra van állítva. Bár a globális virtuális hálózatok közötti társviszony-létesítés támogatott, a régiók közötti lehetséges teljesítmény- és késési problémák miatt nem ajánlott. Az optimális teljesítmény érdekében telepítsen régiónként egy tűzfalat.

Ez a modell lehetővé teszi a küllős virtuális hálózatok központosított irányítását különböző előfizetések között, és költségeket takarít meg azáltal, hogy nem szükséges tűzfalat telepíteni minden egyes virtuális hálózatba. A költségmegtakarítást a forgalmi minták alapján kapcsolódó peering költségekkel kell összevetni.

Azure Firewall üzembe helyezhető a Azure portál, a PowerShell, a REST API vagy a sablonok használatával. Részletes útmutatásért lásd: Tutorial: Azure Firewall üzembe helyezése és konfigurálása a Azure portál használatával.

Azure Firewall szabályokat és szabálygyűjteményeket használ. A szabálygyűjtemények egy azonos sorrendű és prioritású szabálykészletek. A szabálygyűjtemények végrehajtása prioritási sorrendben történik. A DNST-szabálygyűjtemények magasabb prioritással rendelkeznek, mint a hálózati szabálygyűjtemények, amelyek viszont magasabb prioritással rendelkeznek, mint az alkalmazásszabály-gyűjtemények. Minden szabály megszűnik.

A szabálygyűjteményeknek három típusa van:

• Alkalmazásszabályok: Konfigurálja a virtuális hálózatról elérhető teljes tartományneveket (FQDN-eket).
• Hálózati szabályok: Szabályok konfigurálása forráscímekkel, protokollokkal, célportokkal és célcímekkel.
• NAT-szabályok: Konfigurálja a DNST-szabályokat a bejövő internetes vagy intranetes (előzetes verziójú) kapcsolatok engedélyezéséhez.

További információ: Konfigurálás Azure Firewall szabályok.

Azure Firewall az Azure Monitorral integrálódik a naplók megtekintéséhez és elemzéséhez. A naplók elküldhetők Log Analytics, Azure Storage vagy Event Hubsba, és elemezhetők olyan eszközökkel, mint Log Analytics, Excel vagy Power BI. További információ: Tutorial: Monitor Azure Firewall logs.

Azure Firewall egy felügyelt, felhőalapú hálózati biztonsági szolgáltatás, amely védi a virtuális hálózati erőforrásokat. Ez egy teljes körű állapotalapú tűzfal, amely beépített magas rendelkezésre állással és korlátlan felhőmérettel rendelkezik. Előre integrált harmadik fél biztonsági-szolgáltatásként (SECaaS) működő szolgáltatásokkal a virtuális hálózati és fióki internetkapcsolatok biztonságának növelése érdekében. További információ: Azure hálózati biztonság.

Az Application Gateway WAF központi bejövő védelmet biztosít a webalkalmazások számára a gyakori visszaélések és biztonsági rések ellen. Azure Firewall biztosítja a nem HTTP/S protokollok (például RDP, SSH, FTP) bejövő védelmét, az összes port és protokoll kimenő hálózati szintű védelmét, valamint a kimenő HTTP/S alkalmazásszintű védelmét.

Azure Firewall kiegészíti az NSG-ket a jobb "mélységi védelem" érdekében. Az NSG-k elosztott hálózati rétegbeli forgalomszűrést kínálnak az egyes előfizetésekben lévő virtuális hálózatokon belüli forgalom korlátozásához. Azure Firewall központosított, teljes körű hálózati és alkalmazásszintű védelmet biztosít az előfizetések és virtuális hálózatok között.

Azure Firewall egy felügyelt szolgáltatás, amely több védelmi réteggel rendelkezik, beleértve a platformvédelmet az NIC-ek (hálózati interfészkártyák) szintjén nem látható NSG-kkel. Az Alhálózati szintű NSG-k nem szükségesek az AzureFirewallSubneten, és le vannak tiltva a szolgáltatáskimaradások elkerülése érdekében.

A privát végpontok a Private Link összetevői, amely lehetővé teszi Azure PaaS-szolgáltatásokkal való interakciót a nyilvános IP-címek helyett. Azure Firewall használható a nyilvános IP-címekhez való hozzáférés megakadályozására, ezáltal elkerülve a Private Link nem használó Azure szolgáltatások adatkiszivárgását, valamint a zéró megbízhatósági szabályzatok megvalósítását azáltal, hogy meghatározza, hogy a szervezetnek kinek kell hozzáférnie ezekhez a Azure PaaS-szolgáltatásokhoz, mivel Private Link alapértelmezés szerint megnyitja a teljes vállalati hálózat hálózati hozzáférését.

A privát végpontok felé irányuló forgalom Azure Firewall való vizsgálatának megfelelő kialakítása a hálózati architektúrától függ. További részleteket a Azure Firewall a privát végpont felé irányuló forgalom vizsgálatához című cikkben talál.

Virtual Network szolgáltatásvégpontok alternatívát jelentenek a Private Link Azure PaaS-szolgáltatásokhoz való hálózati hozzáférés szabályozására. Még ha az ügyfél továbbra is nyilvános IP-címeket használ a PaaS-szolgáltatás eléréséhez, a forrás alhálózat láthatóvá válik, hogy a cél PaaS-szolgáltatás szűrőszabályokat implementáljon, és alhálózatonként korlátozza a hozzáférést. A privát végpontok és a szolgáltatásvégpontok összehasonlítása mindkét mechanizmus részletes összehasonlítását találja.

Azure Firewall alkalmazásszabályok segítségével biztosítható, hogy ne kerüljön sor adatkiszivárgásra a rendszertelen szolgáltatásokra, és hogy az alhálózat szintjén túli részletességű hozzáférési szabályzatokat implementáljon. A virtuális hálózati szolgáltatásvégpontokat általában engedélyezni kell annak az ügyfélnek az alhálózatán, amely egy Azure szolgáltatáshoz csatlakozik. A szolgáltatásvégpontok felé irányuló forgalom Azure Firewall történő vizsgálatakor azonban engedélyeznie kell a megfelelő szolgáltatásvégpontot a Azure Firewall alhálózatban, és le kell tiltania őket a tényleges ügyfél alhálózatán (általában küllős virtuális hálózaton). Így az alkalmazásszabályok használatával szabályozhatja Azure Firewall, hogy mely Azure szolgáltatásokhoz férhetnek hozzá a Azure számítási feladatai.

A díjszabás részleteiért lásd: Azure Firewall Díjszabás.

A szolgáltatási korlátokat lásd: Azure előfizetési és szolgáltatási korlátok, kvóták és korlátozások.

Azure Firewall nem helyezi át vagy tárolja az ügyféladatokat azon a régión kívül, ahol az üzembe lett helyezve.

Nem, a biztonságos virtuális központokban (vWAN) az Azure Firewall jelenleg nincs támogatva Katarban.

Igen, Azure Firewall támogatja a bejövő és a kimenő forgalom szűrését is. A bejövő szűrést általában nem HTTP-protokollokhoz, például RDP-hez, SSH-hoz és FTP-hez használják. Bejövő HTTP- és HTTPS-forgalom esetén érdemes lehet olyan webalkalmazási tűzfalat használni, mint a Azure Web Application Firewall (WAF) vagy a Azure Firewall Premium TLS kiszervezési és mélycsomag-ellenőrzési funkcióit.

Igen, Azure Firewall Basic támogatja a kényszerített bújtatást.

A TCP-ping valójában nem csatlakozik a cél teljes tartománynévhez. Azure Firewall letiltja a cél IP-címhez vagy teljes tartománynévhez való csatlakozást, kivéve, ha egy szabály kifejezetten engedélyezi.

TCP-ping esetén, ha egy szabály sem engedélyezi a forgalmat, maga a tűzfal válaszol az ügyfél TCP-pingelési kérésére. Ez a válasz nem éri el a cél IP-címét vagy teljes tartománynevét, és nincs naplózva. Ha egy hálózati szabály kifejezetten engedélyezi a cél IP-címhez vagy teljes tartománynévhez való hozzáférést, a pingelési kérelem eléri a célkiszolgálót, és a rendszer visszaküldi a választ az ügyfélnek. Ezt az eseményt a hálózati szabályok naplójában naplózza a rendszer.

Nem, Azure Firewall nem támogatja natív módon a BGP-társviszony-létesítést. A Autolearn SNAT-útvonalak funkció azonban közvetetten a BGP-t használja Azure Route Server keresztül.

Azure Firewall nem támogatja natív módon az ESP-t (a biztonsági hasznos adatok beágyazását), de a hálózati szabály konfigurálásával engedélyezheti az ESP-forgalmat az alábbiak szerint:

Azure Firewall konfiguráció (hálózati szabály):

• Protokoll: bármely
• Forrásport: * (bármely)
• Célport: * (bármely)
• Forrás/cél: Ip-címek megadása szükség szerint

Ez a konfiguráció lehetővé teszi az ESP-csomagok (50-es IP-protokollszám) és más nem TCP/UDP-forgalom számára, hogy megfeleljenek a szabálynak. Azonban vegye észre, hogy az Azure Firewall nem vizsgálja az ESP hasznos adatait.

Reference: Ha az NSG-t (hálózati biztonsági csoportot) használja a Azure Firewall: az NSG nem biztosít közvetlen lehetőséget az ESP megadására (50-es IP-protokollszám), de az ESP-csomagok a következő beállításokkal engedélyezhetők:

• Protokoll: bármely
• Port: * (bármely)
• Forrás/cél: Ip-címek megadása szükség szerint

Ajánlások:

• Az IPsec VPN-konfigurációk esetében a Azure VPN Gateway használata ajánlott.
• A követelményektől függően érdemes lehet NVA-mintát (hálózati virtuális berendezést) használni.

Az Azure PowerShell használatával feloldhatja és lefoglalhatja az Azure Firewall erőforrást. A folyamat a konfigurációtól függően változik.

Felügyeleti hálózati adapter nélküli tűzfal esetén:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Felügyeleti NIC-kel rendelkező tűzfal esetén:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Biztonságos virtuális központban lévő tűzfal esetén:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Megjegyzés

A tűzfal leállítása és indításakor a számlázás leáll, és ennek megfelelően indul el. A magánhálózati IP-cím azonban megváltozhat, ami hatással lehet a kapcsolatra, ha az útvonaltáblák vannak konfigurálva.

Javasoljuk, hogy a kezdeti üzembe helyezés során konfigurálja a rendelkezésre állási zónákat. Az üzembe helyezés után azonban újrakonfigurálhatja őket, ha:

• A tűzfal virtuális hálózaton van üzembe helyezve (védett virtuális központokban nem támogatott).
• A régió támogatja a rendelkezésre állási zónákat.
• Minden csatolt nyilvános IP-cím ugyanazokkal a zónákkal van konfigurálva.

A rendelkezésre állási zónák újrakonfigurálásához:

1. A tűzfal felszabadítása:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Frissítse a zónakonfigurációt, és ossza ki a tűzfalat.

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Igen:

• A Azure Firewall és a virtuális hálózatnak ugyanabban az erőforráscsoportban kell lennie.
• A nyilvános IP-cím egy másik erőforráscsoportban is lehet.
• Minden erőforrásnak (Azure tűzfalnak, virtuális hálózatnak, nyilvános IP-címnek) ugyanabban az előfizetésben kell lennie.

A sikertelen kiépítési állapot azt jelzi, hogy egy konfigurációs frissítés meghiúsult egy vagy több háttérpéldányon. A Azure Firewall továbbra is működőképes marad, de a konfiguráció inkonzisztens lehet. Próbálkozzon újra a frissítés végrehajtásával, amíg a kiépítési állapot sikeresre nem változik.

Azure Firewall több háttércsomóponttal rendelkező aktív-aktív konfigurációt használ. A tervezett karbantartás során a kapcsolat ürítése biztosítja a megfelelő frissítéseket. Nem tervezett hibák esetén egy új csomópont helyettesíti a sikertelent, és a kapcsolat általában 10 másodpercen belül helyreáll.

Igen, a tűzfalnevek legfeljebb 50 karakter hosszúságúak.

A /26 alhálózat biztosítja a méretezéshez szükséges IP-címeket, mivel a Azure Firewall további virtuálisgép-példányokat helyez üzembe.

Nem, a /26 alhálózat minden skálázási forgatókönyvhöz elegendő.

Azure Firewall a processzorhasználat, az átviteli sebesség és a kapcsolatszám alapján automatikusan skáláz. Az átviteli kapacitás kezdetben 2,5–3 Gbps és 30 Gb/s (Standard termékváltozat) vagy 100 Gb/s (prémium termékváltozat) között mozog.

Igen. További információ: Azure előfizetési és szolgáltatási korlátok, kvóták és korlátozások.

Nem, az IP-csoport áthelyezése egy másik erőforráscsoportba jelenleg nem támogatott.

A hálózati tűzfal szokásos viselkedése, hogy a TCP-kapcsolatok életben maradnak, és ha nincs tevékenység, azonnal zárja be őket. Azure Firewall TCP inaktív időkorlátja négy perc. Ez a beállítás nem konfigurálható felhasználóként, de kapcsolatba léphet Azure ügyfélszolgálatával, hogy a bejövő és kimenő kapcsolatok tétlen időtúllépése akár 15 percig is nőjön. A kelet-nyugati forgalom tétlen időkorlátja nem módosítható.

Ha egy inaktivitási időszak hosszabb az időtúllépési értéknél, nincs garancia arra, hogy a TCP- vagy HTTP-munkamenet megmarad. Gyakori gyakorlat a TCP "keep-alive" használata. Ez a gyakorlat hosszabb ideig tartja aktívnak a kapcsolatot. További információ: .NET példák.

Igen, de konfigurálnia kell a tűzfalat kényszerített bújtatási módban. Ez a konfiguráció létrehoz egy felügyeleti felületet egy nyilvános IP-címmel, amelyet a Azure Firewall használ a műveleteihez. Ez a nyilvános IP-cím felügyeleti forgalomhoz készült. Kizárólag a Azure platform használja, és semmilyen más célra nem használható. A bérlői adatelérési út hálózata konfigurálható nyilvános IP-cím nélkül, és az internetes forgalom egy másik tűzfalra bújtatható, vagy teljesen blokkolható.

Igen. További információ: Az Azure Firewall és Azure Firewall Szabályzat biztonsági mentése a Logic Apps használatával.

A PaaS-szolgáltatásokhoz való biztonságos hozzáférés érdekében a szolgáltatásvégpontokat javasoljuk. Engedélyezheti a szolgáltatásvégpontokat a Azure Firewall alhálózatban, és letilthatja őket a csatlakoztatott küllős virtuális hálózatokon. Így mindkét szolgáltatás előnyeit élvezheti: a szolgáltatásvégpont biztonságát és a központi naplózást az összes forgalomhoz.

Igen, a Azure Firewall egy központi virtuális hálózaton keresztül irányíthatja és szűrheti a több küllős virtuális hálózat közötti forgalmat. A küllős virtuális hálózatok alhálózatainak rendelkezniük kell egy UDR-rel, amely az Azure Firewallra mutat alapértelmezett átjáróként a szcenárió megfelelő működéséhez.

Igen. Ha azonban az UDR-eket úgy konfigurálja, hogy átirányítsák a forgalmat az azonos virtuális hálózat alhálózatai között, nagyobb figyelmet igényel. Ha a virtuális hálózati címtartományt használja az UDR célelőtagjaként, ez az egyik gépről egy másik, ugyanazon alhálózaton lévő gépre irányuló összes forgalmat is átirányítja a Azure Firewall-példányon keresztül. Ennek elkerülése érdekében adjon meg egy útvonalat az alhálózathoz az UDR-ben, amelynek a következő ugráspontja egy virtuális hálózat. Előfordulhat, hogy az útvonalak kezelése nehézkes és hibára hajlamos. A belső hálózati szegmentálás ajánlott módszere a hálózati biztonsági csoportok használata, amelyek nem igényelnek UDR-t.

Azure Firewall nem végez SNAT-ot, ha a cél IP-cím a magánhálózatokhoz tartozó IANA RFC 1918 vagy IANA RFC 6598 privát IP-tartományba esik. Ha a szervezet nyilvános IP-címtartományt használ a magánhálózatokhoz, Azure Firewall az AzureFirewallSubnet egyik privát IP-címére irányítja a forgalmat. Az Azure Firewallt úgy konfigurálhatja, hogy ne SNAT-elje a nyilvános IP-címtartományát. További információ: Azure Firewall SNAT privát IP-címtartományok.

Emellett az alkalmazásszabályok által feldolgozott forgalom mindig SNAT-olva van. Ha meg szeretné tekinteni az eredeti forrás IP-címet az FQDN-forgalom naplóiban, használhat hálózati szabályokat a cél FQDN-nel.

A kényszerített bújtatás új tűzfal létrehozásakor támogatott, és a meglévő tűzfalak esetében is támogatott, ha hozzáad egy felügyeleti hálózati adaptert a kényszerített bújtatáshoz. Az új üzembe helyezésekkel kapcsolatos további részletekért lásd: Azure Firewall kényszerített bújtatás. Meglévő tűzfalak kezeléséhez lásd az Azure Firewall Management NIC-et.

Azure Firewall közvetlen internetkapcsolattal kell rendelkeznie. Ha az AzureFirewallSubnet a BGP-n keresztül tanulja meg a helyszíni hálózathoz vezető alapértelmezett útvonalat, ezt felül kell bírálnia egy 0.0.0.0/0 UDR-vel, és a NextHopType értéket internetként kell beállítani a közvetlen internetkapcsolat fenntartásához.

Ha a konfiguráció kényszerített bújtatást igényel egy helyszíni hálózathoz, és meghatározhatja az internetes célhelyek cél IP-előtagjait, ezeket a tartományokat a helyszíni hálózattal konfigurálhatja következő ugrásként az AzureFirewallSubnet felhasználó által megadott útvonalán keresztül. Vagy a BGP használatával definiálhatja ezeket az útvonalakat.

• URL – A csillagok akkor működnek, ha a jobb vagy bal szélső oldalra vannak helyezve. Ha a bal oldalon van, nem lehet része az FQDN-nek.
• FQDN – A csillagjelek a bal legszélső pozícióban működnek.
• ÁLTALÁNOS – A bal oldalon található csillagok szó szerint bármit jelenthetnek, ami azt jelenti, hogy több aldomain és/vagy esetleg nem kívánt tartománynév-változatok is egyezhetnek – lásd az alábbi példákat.

Példák:

Típus	Szabály	Támogatott?	Pozitív példák
Cél-URL	www.contoso.com	Igen	www.contoso.com www.contoso.com/
Cél-URL	*.contoso.com	Igen	any.contoso.com/ sub1.any.contoso.com
Cél-URL	*contoso.com	Igen	example.anycontoso.com sub1.example.contoso.com contoso.com Figyelmeztetés: a helyettesítő karakterek használata szintén lehetővé teszi a potenciálisan nem kívánt/kockázatos változatokat, például th3re4lcontoso.com - körültekintő használatot.
Cél-URL	www.contoso.com/test	Igen	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
Cél-URL	www.contoso.com/test/*	Igen	www.contoso.com/test/anything Megjegyzés: www.contoso.com/testnem egyezik (utolsó perjel)
Cél-URL	www.contoso.*/test/*	Nem
Cél-URL	www.contoso.com/test?example=1	Nem
Cél-URL	www.contoso.*	Nem
Cél-URL	www.*contoso.com	Nem
Cél-URL	www.contoso.com:8080	Nem
Cél-URL	*.contoso.*	Nem
CélFQDN	www.contoso.com	Igen	www.contoso.com
CélFQDN	*.contoso.com	Igen	any.contoso.com Megjegyzés: Ha kifejezetten engedélyezni szeretné contoso.com, a contoso.com webhelyet szerepeltetnie kell a szabályban. Ellenkező esetben a rendszer alapértelmezés szerint megszakítja a kapcsolatot, mert a kérés nem felel meg egy szabálynak.
CélFQDN	*contoso.com	Igen	example.anycontoso.com contoso.com
CélFQDN	www.contoso.*	Nem
CélFQDN	*.contoso.*	Nem

Nem Azure Firewall alapértelmezés szerint letiltja Active Directory hozzáférést. A hozzáférés engedélyezéséhez konfigurálja az AzureActiveDirectory szolgáltatáscímkét. További információ: Azure Firewall szolgáltatáscímkék.

Igen, a Azure PowerShell használatával teheti meg:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

A TCP-ping valójában nem csatlakozik a cél FQDN-hez. Azure Firewall nem engedélyezi a kapcsolatot egyetlen cél IP-címmel/teljes tartománynévvel sem, hacsak nincs explicit szabály, amely engedélyezi azt.

A TCP-ping egy egyedi használati eset, ahol ha nincs engedélyezett szabály, a tűzfal maga válaszol az ügyfél TCP-pingelési kérésére, annak ellenére, hogy a TCP-ping nem éri el a cél IP-címet/teljes tartománynevet. Ebben az esetben az esemény nincs naplózva. Ha van egy hálózati szabály, amely lehetővé teszi a cél IP-címhez/teljes tartománynévhez való hozzáférést, akkor a pingelési kérelem eléri a célkiszolgálót, és a rendszer visszaküldi a választ az ügyfélnek. Ezt az eseményt a hálózati szabályok naplójában naplózza a rendszer.

Azure Firewall a 80-as, 443-as és 1433-as portok passzív figyelője. Azure Firewall csak akkor naplózza a TCP SYN-csomagokat ezeken a portokon, ha nincs alkalmazásforgalom. Az HTTP GET kérés és a TLS ügyfél Hello naplózva van az Azure tűzfalban.

Igen. További információ: Azure előfizetési és szolgáltatási korlátok, kvóták és korlátozások

Nem, az IP-csoport áthelyezése egy másik erőforráscsoportba jelenleg nem támogatott.

A hálózati tűzfal szokásos viselkedése, hogy a TCP-kapcsolatok életben maradnak, és ha nincs tevékenység, azonnal zárja be őket. Azure Firewall TCP inaktív időkorlátja négy perc. Ez a beállítás nem konfigurálható felhasználóként, de kapcsolatba léphet Azure ügyfélszolgálatával, hogy a bejövő és kimenő kapcsolatok tétlen időtúllépése akár 15 percig is nőjön. A kelet-nyugati forgalom tétlen időkorlátja nem módosítható.

Ha egy inaktivitási időszak hosszabb az időtúllépési értéknél, nincs garancia arra, hogy a TCP- vagy HTTP-munkamenet megmarad. Gyakori gyakorlat a TCP "keep-alive" használata. Ez a gyakorlat hosszabb ideig tartja aktívnak a kapcsolatot. További információ: .NET példák.

Igen, de konfigurálnia kell a tűzfalat kényszerített bújtatási módban. Ez a konfiguráció létrehoz egy felügyeleti felületet egy nyilvános IP-címmel, amelyet a Azure Firewall használ a műveleteihez. Ez a nyilvános IP-cím felügyeleti forgalomhoz készült. Kizárólag a Azure platform használja, és semmilyen más célra nem használható. A bérlői adatelérési út hálózata konfigurálható nyilvános IP-cím nélkül, és az internetes forgalom egy másik tűzfalra bújtatható, vagy teljesen blokkolható.

Azure Firewall nem helyezi át vagy tárolja az ügyféladatokat a telepített régióból.

Igen. További információ: Az Azure Firewall és Azure Firewall Szabályzat biztonsági mentése a Logic Apps használatával.

Nem, jelenleg a biztonságos virtuális központokban (vWAN) az Azure Firewall támogatása nincs Katarban.

Azure Firewall olyan Azure Virtual Machines-t használ, amelyek szigorú kapcsolatkorláttal működnek. Az aktív kapcsolatok virtuális gépenkénti teljes száma 250 ezer.

A tűzfalenkénti teljes korlát a virtuális gépek kapcsolati korlátja (250k) x a tűzfal háttérkészletében lévő virtuális gépek száma. Azure Firewall két virtuális géppel kezdődik, és a processzorhasználat és az átviteli sebesség alapján skálázható fel.

Azure Firewall jelenleg TCP/UDP forrásportokat használ a kimenő SNAT-forgalomhoz, tétlen várakozási idő nélkül. Ha egy TCP/UDP-kapcsolat bezárul, a használt TCP-port azonnal elérhetőként lesz látható a közelgő kapcsolatokhoz.

Bizonyos architektúrák esetében megkerülő megoldásként üzembe helyezhet és méretezhet NAT Gateway és Azure tűzfal használatával, hogy szélesebb SNAT-port készletet biztosítson a variabilitás és a rendelkezésre állás érdekében.

Az egyes NAT-viselkedések a tűzfal konfigurációjától és a konfigurált NAT típusától függnek. A tűzfal például DNST-szabályokkal rendelkezik a bejövő forgalomra, valamint a tűzfalon keresztüli kimenő forgalomra vonatkozó hálózati és alkalmazásszabályokkal.

További információ: Azure Firewall NAT-viselkedések.

Bármilyen tervezett karbantartás esetén a kapcsolatelvezetési logika kecsesen frissíti a háttércsomópontokat. Azure Firewall 90 másodpercet vár a meglévő kapcsolatok bezárására. Az első 45 másodpercben a háttércsomópont nem fogad új kapcsolatokat, és a fennmaradó időben az összes bejövő csomagra RST válaszol. Szükség esetén az ügyfelek automatikusan újra létesíthetik a kapcsolatot egy másik háttércsomóponttal.

A virtuálisgép-példányok Azure Firewall leállítása történhet a virtuálisgép-méretezési csoport méretezése során (vertikális leskálázás) vagy a flottaszoftver frissítése során. Ezekben az esetekben az új bejövő kapcsolatok terhelése a fennmaradó tűzfalpéldányokkal van elosztva, és a rendszer nem továbbítja őket a lemenő tűzfalpéldánynak. 45 másodperc elteltével a tűzfal TCP RST-csomagok küldésével elkezdi elutasítani a meglévő kapcsolatokat. További 45 másodperc elteltével a tűzfal virtuális gépe leáll. További információ: Load Balancer TCP visszaállítás és tétlen időtúllépés kezelése.

Azure Firewall fokozatosan skálázódik, ha az átlagos átviteli sebesség vagy a processzorhasználat 60%, vagy a kapcsolatok kihasználtsága 80%. Például akkor kezd felskálázásba, amikor eléri a maximális átviteli kapacitás 60%-át. A maximális átviteli sebesség a Azure Firewall termékváltozattól és az engedélyezett funkcióktól függően változik. További információ: Azure Firewall teljesítmény.

A felskálázás öt-hét percet vesz igénybe. A teljesítménytesztelés során győződjön meg arról, hogy legalább 10–15 percig tesztel, és új kapcsolatokat indít el, hogy kihasználhassa az újonnan létrehozott Azure Firewall csomópontokat.

Ha egy kapcsolat tétlen időtúllépéssel rendelkezik (négy perc semmilyen tevékenység nélkül), Azure Firewall egy TCP RST-csomag elküldésével kecsesen leállítja a kapcsolatot.

Azure szolgáltatások rendszeres karbantartási frissítéseken mennek keresztül a funkciók, a megbízhatóság, a teljesítmény és a biztonság javítása érdekében. Konfigurált karbantartási időszak esetén a vendég operációs rendszer karbantartása és a szolgáltatás karbantartása az adott időszakban történik. Az ügyfél által felügyelt karbantartás azonban nem tartalmazza a gazdagépfrissítéseket és a kritikus biztonsági frissítéseket.

A Azure Firewall karbantartásával kapcsolatos speciális értesítések nem érhetők el.

Nem, legalább öt órás karbantartási időszak szükséges.

Nem, a karbantartási időszakok jelenleg napi rendszerességre vannak konfigurálva.

Az ügyfél által felügyelt karbantartás támogatja a vendég operációs rendszer és a szolgáltatás frissítéseit, amelyek a legtöbb, az ügyfelek számára fontos karbantartási elemet tartalmazzák. Egyes frissítések, például a gazdagépfrissítések azonban nem tartoznak az ügyfél által ellenőrzött karbantartás hatókörébe. Ritkán előfordulhat, hogy felülbíráljuk a karbantartási ablak vezérlését a súlyos biztonsági problémák kezelése érdekében.

Igen.

Nem Jelenleg csak egy karbantartási konfiguráció társítható egy Azure Firewall.

Minden Azure Firewall termékváltozat – alapszintű, standard és prémium szintű – támogatja az ügyfél által ellenőrzött karbantartást.

Miután a karbantartási szabályzat hozzá van rendelve, az Azure Firewall akár 24 órát is igénybe vehet a karbantartási időterv követésére.

A Azure Firewall karbantartási tevékenységei nem szünetelnek az ütemezett karbantartási időszak előtti időszakban. A karbantartási ütemtervben nem szereplő napok esetében a rendszeres karbantartási műveletek az erőforrás szokásos módon folytatódnak.

További információ: Ügyfél által vezérelt karbantartás konfigurálása.