Mi az Azure Firewall?
Azure Firewall egy natív felhőbeli és intelligens hálózati tűzfalbiztonsági szolgáltatás, amely a legjobb fenyegetésvédelmet nyújtja az Azure-ban futó felhőbeli számítási feladatokhoz. Ez egy teljesen állapotalapú, szolgáltatásként nyújtott tűzfal beépített magas rendelkezésre állással és korlátlan felhőméretezhetőséggel. Kelet-nyugati és észak-déli forgalomvizsgálatot is biztosít.
Azure Firewall három termékváltozatban érhető el: Standard, Premium és Basic.
Azure Firewall Standard
Azure Firewall Standard L3-L7 szűrési és fenyegetésfelderítési hírcsatornákat biztosít közvetlenül a Microsoft Cyber Securityből. A fenyegetésintelligencia-alapú szűrés riasztást küld és megtagadja a valós időben frissített ismert rosszindulatú IP-címekről és tartományokról érkező vagy onnan érkező forgalmat az új és újonnan felmerülő támadások elleni védelem érdekében.
A Tűzfal standard funkcióiról további információt a Azure Firewall Standard funkciók című témakörben talál.
Azure Firewall Premium
Azure Firewall Premium speciális képességeket biztosít, például az aláírásalapú IDPS-t, amely lehetővé teszi a támadások gyors észlelését adott minták keresésével. Ezek a minták tartalmazhatnak bájtsorozatokat a hálózati forgalomban, vagy a kártevők által használt ismert rosszindulatú utasításütemezéseket. Több mint 58 000 aláírás található több mint 50 kategóriában, amelyek valós időben frissülnek az új és újonnan felmerülő biztonsági rések elleni védelem érdekében. A biztonsági rés kiaknázása kategóriába tartoznak a kártevők, az adathalászat, az érmebányászat és a trójai támadások.
A Prémium szintű tűzfalfunkciókkal kapcsolatos további információkért lásd: Azure Firewall Premium-funkciók.
Azure Firewall Basic (előzetes verzió)
Fontos
Azure Firewall Basic jelenleg előzetes verzióban érhető el. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Azure Firewall Basic kis- és közepes méretű (SMB) ügyfelek számára készült az Azure-felhőkörnyezetek biztonságossá tételéhez. Megfizethető áron biztosítja az SMB-ügyfelek számára szükséges alapvető védelmet.
Azure Firewall Basic hasonló a Firewall Standardhoz, de a következő korlátozásokkal rendelkezik:
- Csak az Intel fenyegetésalapú riasztási módját támogatja.
- Kijavítottuk a skálázási egységet a szolgáltatás két virtuálisgép-háttérpéldányon való futtatásához.
- 250 Mbps maximális átviteli sebességgel rendelkező környezetekhez ajánlott. Az átviteli sebesség növekedhet a funkciók általános rendelkezésre állása (GA) esetében.
Támogatott régiók
Azure Firewall Alapszintű verzió az alábbi régiókban érhető el az előzetes verzióban:
- USA keleti régiója
- USA 2. keleti régiója
- USA nyugati régiója
- USA 2. nyugati régiója
- USA 3. nyugati régiója
- Az USA középső régiója
- USA északi középső régiója
- USA déli középső régiója
- USA nyugati középső régiója
- USA 2. keleti régiója – EUAP
- USA középső régiója – EUAP
- Észak-Európa
- Nyugat-Európa
- Kelet-Ázsia
- Délkelet-Ázsia
- Kelet-Japán
- Nyugat-Japán
- Kelet-Ausztrália
- Délkelet-Ausztrália
- Ausztrália középső régiója
- Dél-Brazília
- Dél-India
- Közép-India
- Nyugat-India
- Közép-Kanada
- Kelet-Kanada
- Az Egyesült Királyság déli régiója
- Az Egyesült Királyság nyugati régiója
- Dél-Korea középső régiója
- Dél-Korea déli régiója
- Közép-Franciaország
- Dél-Afrika északi régiója
- Egyesült Arab Emírségek északi régiója
- Észak-Svájc
- Középnyugat-Németország
- Kelet-Norvégia
- Jio Nyugat-India
- Közép-Svédország
- Katar középső régiója
Alapszintű tűzfal üzembe helyezéséről lásd: Azure Firewall Alapszintű (előzetes verzió) és szabályzat üzembe helyezése és konfigurálása a Azure Portal használatával.
Azure Firewall Manager
A Azure Firewall Managerrel központilag kezelheti az Azure Firewallokat több előfizetésben. A Tűzfalkezelő tűzfalszabályzattal alkalmazza a hálózati/alkalmazásszabályok és -konfigurációk közös készletét a bérlőben lévő tűzfalakra.
A Tűzfalkezelő támogatja a tűzfalakat mind a virtuális hálózatok, mind a virtuális WAN-ek (Biztonságos virtuális központ) környezetekben. A Biztonságos virtuális központok a Virtual WAN útvonal-automatizálási megoldással leegyszerűsítik a tűzfal felé történő útválasztást mindössze néhány lépéssel.
A Azure Firewall Managerrel kapcsolatos további információkért lásd: Azure Firewall Manager.
Díjszabás és SLA
A Azure Firewall díjszabással kapcsolatos információkért lásd: Azure Firewall díjszabás.
Azure Firewall SLA-val kapcsolatos információkért lásd: Azure Firewall SLA.
Támogatott régiók
A Azure Firewall támogatott régióiért lásd: Régiónként elérhető Azure-termékek.
Újdonságok
A Azure Firewall újdonságaiért lásd: Azure-frissítések.
Ismert problémák
Azure Firewall Standard
Azure Firewall Standard a következő ismert problémákat tapasztalja:
Megjegyzés
A Standardra vonatkozó problémák a Prémium verzióra is vonatkoznak.
| Probléma | Description | Kockázatcsökkentés |
|---|---|---|
| A nem TCP/UDP-protokollokra (például ICMP) vonatkozó hálózati szűrési szabályok nem működnek az internetre irányuló forgalom esetében | A nem TCP/UDP protokollok hálózati szűrési szabályai nem működnek az SNAT-vel a nyilvános IP-címére. A nem TCP/UDP-protokollok a küllők alhálózatai és a virtuális hálózatok között támogatottak. | Az Azure Firewall a Standard Load Balancert használja, amely jelenleg nem támogatja a forráshálózati címfordítást az IP-protokollokon. Egy későbbi kiadásban dolgozunk a forgatókönyv támogatásának lehetőségein. |
| A PowerShell és a CLI nem támogatja az ICMP-t | Azure PowerShell és a parancssori felület nem támogatja az ICMP-t érvényes protokollként a hálózati szabályokban. | Az ICMP protokollként továbbra is használható a portálon és a REST API-on keresztül. Dolgozunk azon, hogy hamarosan hozzáadjuk az ICMP-t a PowerShellben és a parancssori felülethez. |
| Az FQDN-címkék protokoll: port megadását igénylik | Az FQDN-címkékkel rendelkező alkalmazásszabályokhoz port: protokolldefiníció szükséges. | A port:protokoll értékként használhat https-t. Dolgozunk azon, hogy ez a mező nem kötelező legyen FQDN-címkék használata esetén. |
| A tűzfal áthelyezése másik erőforráscsoportba vagy előfizetésbe nem támogatott | A tűzfal áthelyezése egy másik erőforráscsoportba vagy előfizetésbe nem támogatott. | Ennek a funkciónak a támogatása az ütemtervünkben található. Ahhoz, hogy egy tűzfalat áthelyezzen másik erőforráscsoportba vagy előfizetésbe, először törölnie kell az aktuális példányt, és újra létre kell hoznia az új erőforráscsoportban vagy előfizetésben. |
| A fenyegetésfelderítési riasztások maszkolt állapotba kerülhetnek | Hálózati szabályok a 80/443-at célhelyen a kimenő szűrési maszkok fenyegetésintelligencia-riasztásaihoz, ha csak riasztási módra vannak konfigurálva. | Hozzon létre kimenő szűrést a 80/443-hoz alkalmazásszabályok használatával. Másik lehetőségként módosítsa a fenyegetésfelderítési módot Riasztás és megtagadás értékre. |
| Azure Firewall DNST nem működik magánhálózati IP-címek esetén | Azure Firewall DNST-támogatás az internetes kimenő/bejövő forgalomra korlátozódik. A DNST jelenleg nem működik magánhálózati IP-címekhez. Például küllős. | Ez egy jelenlegi korlátozás. |
| Nem lehet eltávolítani az első nyilvános IP-konfigurációt | Minden Azure Firewall nyilvános IP-cím ip-konfigurációhoz van rendelve. Az első IP-konfiguráció a tűzfal üzembe helyezése során van hozzárendelve, és általában a tűzfal alhálózatára mutató hivatkozást is tartalmaz (kivéve, ha explicit módon másként van konfigurálva egy sablontelepítésen keresztül). Ezt az IP-konfigurációt nem törölheti, mert az megszüntetné a tűzfal lefoglalását. Az IP-konfigurációhoz társított nyilvános IP-címet akkor is módosíthatja vagy távolíthatja el, ha a tűzfalon legalább egy másik nyilvános IP-cím használható. | Ez az elvárt működés. |
| A rendelkezésre állási zónák csak az üzembe helyezés során konfigurálhatók. | A rendelkezésre állási zónák csak az üzembe helyezés során konfigurálhatók. A tűzfal üzembe helyezése után nem konfigurálható Availability Zones. | Ez az elvárt működés. |
| SNAT bejövő kapcsolatokon | A DNST mellett a tűzfal nyilvános IP-címén (bejövő) keresztüli kapcsolatok az egyik tűzfal privát IP-címére vannak SNATedve. Ez a követelmény ma (az aktív/aktív NVA-k esetében is) a szimmetrikus útválasztás biztosítása érdekében. | A HTTP/S eredeti forrásának megőrzése érdekében fontolja meg az XFF-fejlécek használatát. Használjon például olyan szolgáltatást, mint az Azure Front Door vagy Azure Application Gateway a tűzfal előtt. A WAF-et az Azure Front Door és a lánc részeként is hozzáadhatja a tűzfalhoz. |
| Az SQL FQDN-szűrés csak proxy módban támogatott (1433-es port) | Azure SQL Database, Azure Synapse Analytics és Azure SQL Managed Instance esetén: Az SQL FQDN-szűrés csak proxy módban támogatott (1433-es port). Azure SQL IaaS esetén: Ha nem szabványos portokat használ, ezeket a portokat megadhatja az alkalmazásszabályokban. |
Átirányítási módban lévő SQL esetén (ha az Azure-ból csatlakozik az alapértelmezett) ehelyett szűrheti a hozzáférést az SQL-szolgáltatáscímkével Azure Firewall hálózati szabályok részeként. |
| A kimenő SMTP-forgalom le van tiltva a 25-ös TCP-porton | A 25-ös TCP-porton közvetlenül a külső tartományokba (például outlook.com és gmail.com) küldött kimenő e-mail üzeneteket az Azure platform letilthatja. Ez az azure-beli platform alapértelmezett viselkedése, Azure Firewall nem vezet be további korlátozásokat. |
Használjon hitelesített SMTP-továbbító szolgáltatásokat, amelyek általában az 587-ös TCP-porton keresztül csatlakoznak, de más portokat is támogatnak. További információ: Kimenő SMTP-kapcsolati problémák elhárítása az Azure-ban. Jelenleg előfordulhat, hogy Azure Firewall képes kommunikálni a nyilvános IP-címekkel kimenő TCP 25 használatával, de ez nem garantáltan működik, és nem minden előfizetés-típus esetében támogatott. Magánhálózati IP-címek, például virtuális hálózatok, VPN-ek és Azure ExpressRoute esetén Azure Firewall támogatja a 25-ös TCP-port kimenő kapcsolatát. |
| SNAT-portok elfogyása | Azure Firewall jelenleg 2496 portot támogat nyilvános IP-címenként háttérbeli virtuálisgép-méretezési csoportpéldányonként. Alapértelmezés szerint két virtuálisgép-méretezési csoportpéldány létezik. Tehát folyamatonként 4992 port van (cél IP-cím, célport és protokoll (TCP vagy UDP). A tűzfal legfeljebb 20 példányra skálázható. | Ez egy platformkorlátozás. A korlátok megkerüléséhez konfigurálhat legalább öt nyilvános IP-címmel rendelkező Azure Firewall üzemelő példányokat az SNAT-kimerülésre érzékeny üzemelő példányokhoz. Ez ötszörösére növeli a rendelkezésre álló SNAT-portokat. Leosztás IP-címelőtagból az alsóbb rétegbeli engedélyek egyszerűsítése érdekében. Állandóbb megoldásként üzembe helyezhet egy NAT Gatewayt az SNAT-port korlátainak leküzdéséhez. Ez a megközelítés támogatott a virtuális hálózatok üzemelő példányai esetében. További információ: SNAT-portok méretezése az Azure Virtual Network NAT használatával. |
| A DNAT nem támogatott, ha engedélyezve van a kényszerített bújtatás | A kényszerített bújtatással üzembe helyezett tűzfalak az aszimmetrikus útválasztás miatt nem támogatják az internetről érkező bejövő hozzáférést. | Ezt az aszimmetrikus útválasztás miatt tervezem. A bejövő kapcsolatok visszatérési útvonala a helyszíni tűzfalon keresztül halad, amely nem látta a kapcsolat létrejöttét. |
| Előfordulhat, hogy a kimenő passzív FTP nem működik több nyilvános IP-címmel rendelkező tűzfalak esetében az FTP-kiszolgáló konfigurációjától függően. | A passzív FTP különböző kapcsolatokat hoz létre a vezérléshez és az adatcsatornákhoz. Amikor egy tűzfal több nyilvános IP-címmel küld kimenő adatokat, véletlenszerűen kiválasztja az egyik nyilvános IP-címét a forrás IP-címhez. Az FTP sikertelen lehet, ha az adat- és vezérlőcsatornák eltérő forrás IP-címeket használnak az FTP-kiszolgáló konfigurációjától függően. | Explicit SNAT-konfigurációt tervezünk. Addig is konfigurálhatja az FTP-kiszolgálót úgy, hogy különböző forrás IP-címekről fogadjon el adatokat és vezérlő csatornákat (lásd egy IIS-példát). Másik lehetőségként fontolja meg egyetlen IP-cím használatát ebben a helyzetben. |
| Előfordulhat, hogy a bejövő passzív FTP nem működik az FTP-kiszolgáló konfigurációjától függően | A passzív FTP különböző kapcsolatokat hoz létre a vezérléshez és az adatcsatornákhoz. A Azure Firewall bejövő kapcsolatait a rendszer az egyik tűzfal privát IP-címére irányítja a szimmetrikus útválasztás biztosítása érdekében. Az FTP sikertelen lehet, ha az adat- és vezérlőcsatornák eltérő forrás IP-címeket használnak az FTP-kiszolgáló konfigurációjától függően. | Az eredeti forrás IP-cím megőrzése folyamatban van. Addig is konfigurálhatja az FTP-kiszolgálót úgy, hogy fogadja a különböző forrás IP-címekről származó adatokat és csatornákat. |
| Az aktív FTP nem működik, ha az FTP-ügyfélnek el kell érnie egy FTP-kiszolgálót az interneten keresztül. | Az Active FTP az FTP-ügyfél portparancsát használja, amely az FTP-kiszolgálónak az adatcsatornához használni kívánt IP-címet és portot irányítja. Ez a PORT parancs az ügyfél privát IP-címét használja, amelyet nem lehet módosítani. Az Azure Firewall áthaladó ügyféloldali forgalom nat lesz az internetes kommunikációhoz, így a PORT parancs érvénytelennek minősül az FTP-kiszolgáló számára. | Ez az aktív FTP általános korlátozása, ha ügyféloldali NAT-tal használják. |
| A NetworkRuleHit metrika hiányzik egy protokolldimenzióból | Az ApplicationRuleHit metrika lehetővé teszi a szűrésen alapuló protokoll használatát, de ez a képesség hiányzik a megfelelő NetworkRuleHit-metrikából. | A javítás kivizsgálása folyamatban van. |
| A 64000 és 65535 közötti portokkal rendelkező NAT-szabályok nem támogatottak | Azure Firewall engedélyezi az 1–65535 tartományba tartozó portokat a hálózati és alkalmazásszabályokban, a NAT-szabályok azonban csak az 1–63999 tartományban lévő portokat támogatják. | Ez egy jelenlegi korlátozás. |
| A konfigurációfrissítések átlagosan öt percet is igénybe vehetnek | Egy Azure Firewall konfigurációs frissítés átlagosan három-öt percet is igénybe vehet, és a párhuzamos frissítések nem támogatottak. | A javítás kivizsgálása folyamatban van. |
| Azure Firewall SNI TLS-fejléceket használ a HTTPS- és MSSQL-forgalom szűréséhez | Ha a böngésző- vagy kiszolgálószoftver nem támogatja a Kiszolgálónévmutató (SNI) bővítményt, nem tud csatlakozni Azure Firewall. | Ha a böngésző- vagy kiszolgálószoftver nem támogatja az SNI-t, akkor előfordulhat, hogy egy alkalmazásszabály helyett hálózati szabály használatával tudja vezérelni a kapcsolatot. Lásd: Az SNI-t támogató szoftverek kiszolgálónév-jelzése . |
| Nem lehet tűzfalszabályzat-címkéket hozzáadni a portál vagy az Azure Resource Manager (ARM) sablonjaival | Azure Firewall szabályzat olyan javítástámogatási korlátozással rendelkezik, amely megakadályozza, hogy címkét adjon hozzá a Azure Portal vagy ARM-sablonokkal. A következő hiba jön létre: Az erőforrás címkéi nem menthetők. | A javítás kivizsgálása folyamatban van. Vagy használhatja a Azure PowerShell parancsmagot Set-AzFirewallPolicy a címkék frissítéséhez. |
| Az IPv6 jelenleg nem támogatott | Ha IPv6-címet ad hozzá egy szabályhoz, a tűzfal meghibásodik. | Csak IPv4-címeket használjon. Az IPv6-támogatás vizsgálata folyamatban van. |
| Több IP-csoport frissítése ütközési hibával meghiúsul. | Ha két vagy több, ugyanahhoz a tűzfalhoz csatolt IP-csoportot frissít, az egyik erőforrás meghibásodott állapotba kerül. | Ez egy ismert probléma/korlátozás. Amikor frissít egy IP-csoportot, az aktivál egy frissítést minden olyan tűzfalon, amelyhez az IPGroup csatlakozik. Ha egy második IP-csoport frissítését akkor indítják el, amikor a tűzfal még frissítési állapotban van, az IPGroup frissítése meghiúsul. A hiba elkerülése érdekében az ugyanahhoz a tűzfalhoz csatolt IP-csoportokat egyenként frissíteni kell. A frissítések között elegendő időt hagyhat, hogy a tűzfal kikerüljön a Frissítés állapotból. |
| A RuleCollectionGroups arm-sablonokkal való eltávolítása nem támogatott. | A RuleCollectionGroup ARM-sablonokkal való eltávolítása nem támogatott, és sikertelenséget eredményez. | Ez nem támogatott művelet. |
| A (*) engedélyezésére vonatkozó DNST-szabály az SNAT-forgalmat fogja használni. | Ha egy DNST-szabály engedélyezi a forrás IP-címként bármelyik (*) értéket, akkor az implicit hálózati szabály megfelel VNet-VNet forgalomnak, és mindig SNAT-ként kezeli a forgalmat. | Ez egy jelenlegi korlátozás. |
| A DNST-szabály biztonsági szolgáltatóval rendelkező biztonságos virtuális központhoz való hozzáadása nem támogatott. | Ez egy aszinkron útvonalat eredményez a visszaadott DNST-forgalomhoz, amely a biztonsági szolgáltatóhoz kerül. | Nem támogatott. |
| Hiba történt több mint 2000 szabálygyűjtemény létrehozásakor. | A NAT-/alkalmazás- vagy hálózatiszabály-gyűjtemények maximális száma 2000 (Resource Manager korlát). | Ez egy jelenlegi korlátozás. |
| Nem látható a hálózati szabály neve Azure Firewall naplókban | Azure Firewall hálózati szabály naplóadatai nem jelenítik meg a hálózati forgalom szabálynevét. | A hálózati szabálynév naplózása előzetes verzióban érhető el. További információ: Azure Firewall előzetes verziójú funkciók. |
| XFF-fejléc HTTP/S-ben | Az XFF-fejlécek felülíródnak a tűzfal által látott eredeti forrás IP-címmel. Ez a következő használati esetekben alkalmazható: - HTTP-kérések – HTTPS-kérések TLS-leállítással |
A javítás kivizsgálása folyamatban van. |
| Nem lehet prémium verzióra frissíteni a délkelet-ázsiai régióban Availability Zones | Jelenleg nem frissíthet Azure Firewall Prémium verzióra a délkelet-ázsiai régióban Availability Zones. | Helyezzen üzembe egy új Prémium szintű tűzfalat Délkelet-Ázsiában Availability Zones nélkül, vagy helyezzen üzembe egy olyan régióban, amely támogatja a Availability Zones. |
| Nem lehet újonnan létrehozott nyilvános IP-címmel rendelkező Availability Zones tűzfalat telepíteni | Ha tűzfalat helyez üzembe Availability Zones, nem használhat újonnan létrehozott nyilvános IP-címet. | Először hozzon létre egy új zónaredundáns nyilvános IP-címet, majd rendelje hozzá a korábban létrehozott IP-címet a tűzfal üzembe helyezése során. |
| Az Azure privát DNS-zónája nem támogatott a Azure Firewall | Az Azure privát DNS-zónája Azure Firewall DNS-beállításoktól függetlenül nem működik Azure Firewall. | A privát DNS-kiszolgáló kívánt állapotának eléréséhez használjon Azure Firewall DNS-proxyt azure-beli privát DNS-zóna helyett. |
Azure Firewall Premium
Azure Firewall Premium a következő ismert problémákat tapasztalja:
| Probléma | Description | Kockázatcsökkentés |
|---|---|---|
| AZ FQDN-feloldás ESNI-támogatása HTTPS-ben | A titkosított SNI nem támogatott a HTTPS-kézfogásban. | Jelenleg csak a Firefox támogatja az ESNI-t egyéni konfigurációval. Javasolt megkerülő megoldás a funkció letiltása. |
| Az ügyféltanúsítvány-hitelesítés nem támogatott | Az ügyféltanúsítványokkal kölcsönös identitásmegbízhatóságot hozhat létre az ügyfél és a kiszolgáló között. Az ügyféltanúsítványok TLS-egyeztetés során használatosak. Az Azure Firewall újratárgyalja a kapcsolatot a kiszolgálóval, és nem fér hozzá az ügyféltanúsítványok titkos kulcsához. | None |
| QUIC/HTTP3 | A QUIC a HTTP új főverziója. Ez egy UDP-alapú protokoll 80-nál (PLAN) és 443-nál (SSL). Az FQDN/URL/TLS-vizsgálat nem támogatott. | Konfigurálja az UDP 80/443 átadását hálózati szabályként. |
| Nem megbízható ügyfél által aláírt tanúsítványok | Az ügyfél által aláírt tanúsítványokat a tűzfal nem megbízhatónak tartja, ha egy intranetes webkiszolgálótól kapott. | A javítás kivizsgálása folyamatban van. |
| Helytelen forrás IP-cím a HTTP-hez készült IDPS-sel rendelkező riasztásokban (TLS-vizsgálat nélkül). | Ha egyszerű szöveges HTTP-forgalom van használatban, és az IDPS új riasztást ad ki, és a cél egy nyilvános IP-cím, a megjelenített forrás IP-címe helytelen (a belső IP-cím jelenik meg az eredeti IP-cím helyett). | A javítás kivizsgálása folyamatban van. |
| Tanúsítványpropagálás | A hitelesítésszolgáltatói tanúsítvány tűzfalon való alkalmazása után a tanúsítvány érvénybe lépése 5–10 percet vehet igénybe. | A javítás kivizsgálása folyamatban van. |
| TLS 1.3-támogatás | A TLS 1.3 részben támogatott. Az ügyfél és a tűzfal közötti TLS-alagút a TLS 1.2-n alapul, a tűzfalról a külső webkiszolgálóra pedig a TLS 1.3-on alapul. | Frissítések vizsgálat alatt áll. |
| Availability Zones a Firewall Premiumhoz a délkelet-ázsiai régióban | Jelenleg nem helyezhet üzembe Azure Firewall Premiumot Availability Zones a délkelet-ázsiai régióban. | Telepítse a tűzfalat Délkelet-Ázsiában Availability Zones nélkül, vagy olyan régióban, amely támogatja a Availability Zones. |