Mi az Azure Firewall?

Azure Firewall egy natív felhőbeli és intelligens hálózati tűzfalbiztonsági szolgáltatás, amely a legjobb fenyegetésvédelmet nyújtja az Azure-ban futó felhőbeli számítási feladatokhoz. Ez egy teljesen állapotalapú, szolgáltatásként nyújtott tűzfal beépített magas rendelkezésre állással és korlátlan felhőméretezhetőséggel. Kelet-nyugati és észak-déli forgalomvizsgálatot is biztosít.

Azure Firewall három termékváltozatban érhető el: Standard, Premium és Basic.

Azure Firewall Standard

Azure Firewall Standard L3-L7 szűrési és fenyegetésfelderítési hírcsatornákat biztosít közvetlenül a Microsoft Cyber Securityből. A fenyegetésintelligencia-alapú szűrés riasztást küld és megtagadja a valós időben frissített ismert rosszindulatú IP-címekről és tartományokról érkező vagy onnan érkező forgalmat az új és újonnan felmerülő támadások elleni védelem érdekében.

A Tűzfal standard áttekintése

A Tűzfal standard funkcióiról további információt a Azure Firewall Standard funkciók című témakörben talál.

Azure Firewall Premium

Azure Firewall Premium speciális képességeket biztosít, például az aláírásalapú IDPS-t, amely lehetővé teszi a támadások gyors észlelését adott minták keresésével. Ezek a minták tartalmazhatnak bájtsorozatokat a hálózati forgalomban, vagy a kártevők által használt ismert rosszindulatú utasításütemezéseket. Több mint 58 000 aláírás található több mint 50 kategóriában, amelyek valós időben frissülnek az új és újonnan felmerülő biztonsági rések elleni védelem érdekében. A biztonsági rés kiaknázása kategóriába tartoznak a kártevők, az adathalászat, az érmebányászat és a trójai támadások.

A Premium tűzfal áttekintése

A Prémium szintű tűzfalfunkciókkal kapcsolatos további információkért lásd: Azure Firewall Premium-funkciók.

Azure Firewall Basic (előzetes verzió)

Fontos

Azure Firewall Basic jelenleg előzetes verzióban érhető el. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Azure Firewall Basic kis- és közepes méretű (SMB) ügyfelek számára készült az Azure-felhőkörnyezetek biztonságossá tételéhez. Megfizethető áron biztosítja az SMB-ügyfelek számára szükséges alapvető védelmet.

Az Alapszintű tűzfalat bemutató ábra.

Azure Firewall Basic hasonló a Firewall Standardhoz, de a következő korlátozásokkal rendelkezik:

  • Csak az Intel fenyegetésalapú riasztási módját támogatja.
  • Kijavítottuk a skálázási egységet a szolgáltatás két virtuálisgép-háttérpéldányon való futtatásához.
  • 250 Mbps maximális átviteli sebességgel rendelkező környezetekhez ajánlott. Az átviteli sebesség növekedhet a funkciók általános rendelkezésre állása (GA) esetében.

Támogatott régiók

Azure Firewall Alapszintű verzió az alábbi régiókban érhető el az előzetes verzióban:

  • USA keleti régiója
  • USA 2. keleti régiója
  • USA nyugati régiója
  • USA 2. nyugati régiója
  • USA 3. nyugati régiója
  • Az USA középső régiója
  • USA északi középső régiója
  • USA déli középső régiója
  • USA nyugati középső régiója
  • USA 2. keleti régiója – EUAP
  • USA középső régiója – EUAP
  • Észak-Európa
  • Nyugat-Európa
  • Kelet-Ázsia
  • Délkelet-Ázsia
  • Kelet-Japán
  • Nyugat-Japán
  • Kelet-Ausztrália
  • Délkelet-Ausztrália
  • Ausztrália középső régiója
  • Dél-Brazília
  • Dél-India
  • Közép-India
  • Nyugat-India
  • Közép-Kanada
  • Kelet-Kanada
  • Az Egyesült Királyság déli régiója
  • Az Egyesült Királyság nyugati régiója
  • Dél-Korea középső régiója
  • Dél-Korea déli régiója
  • Közép-Franciaország
  • Dél-Afrika északi régiója
  • Egyesült Arab Emírségek északi régiója
  • Észak-Svájc
  • Középnyugat-Németország
  • Kelet-Norvégia
  • Jio Nyugat-India
  • Közép-Svédország
  • Katar középső régiója

Alapszintű tűzfal üzembe helyezéséről lásd: Azure Firewall Alapszintű (előzetes verzió) és szabályzat üzembe helyezése és konfigurálása a Azure Portal használatával.

Azure Firewall Manager

A Azure Firewall Managerrel központilag kezelheti az Azure Firewallokat több előfizetésben. A Tűzfalkezelő tűzfalszabályzattal alkalmazza a hálózati/alkalmazásszabályok és -konfigurációk közös készletét a bérlőben lévő tűzfalakra.

A Tűzfalkezelő támogatja a tűzfalakat mind a virtuális hálózatok, mind a virtuális WAN-ek (Biztonságos virtuális központ) környezetekben. A Biztonságos virtuális központok a Virtual WAN útvonal-automatizálási megoldással leegyszerűsítik a tűzfal felé történő útválasztást mindössze néhány lépéssel.

A Azure Firewall Managerrel kapcsolatos további információkért lásd: Azure Firewall Manager.

Díjszabás és SLA

A Azure Firewall díjszabással kapcsolatos információkért lásd: Azure Firewall díjszabás.

Azure Firewall SLA-val kapcsolatos információkért lásd: Azure Firewall SLA.

Támogatott régiók

A Azure Firewall támogatott régióiért lásd: Régiónként elérhető Azure-termékek.

Újdonságok

A Azure Firewall újdonságaiért lásd: Azure-frissítések.

Ismert problémák

Azure Firewall Standard

Azure Firewall Standard a következő ismert problémákat tapasztalja:

Megjegyzés

A Standardra vonatkozó problémák a Prémium verzióra is vonatkoznak.

Probléma Description Kockázatcsökkentés
A nem TCP/UDP-protokollokra (például ICMP) vonatkozó hálózati szűrési szabályok nem működnek az internetre irányuló forgalom esetében A nem TCP/UDP protokollok hálózati szűrési szabályai nem működnek az SNAT-vel a nyilvános IP-címére. A nem TCP/UDP-protokollok a küllők alhálózatai és a virtuális hálózatok között támogatottak. Az Azure Firewall a Standard Load Balancert használja, amely jelenleg nem támogatja a forráshálózati címfordítást az IP-protokollokon. Egy későbbi kiadásban dolgozunk a forgatókönyv támogatásának lehetőségein.
A PowerShell és a CLI nem támogatja az ICMP-t Azure PowerShell és a parancssori felület nem támogatja az ICMP-t érvényes protokollként a hálózati szabályokban. Az ICMP protokollként továbbra is használható a portálon és a REST API-on keresztül. Dolgozunk azon, hogy hamarosan hozzáadjuk az ICMP-t a PowerShellben és a parancssori felülethez.
Az FQDN-címkék protokoll: port megadását igénylik Az FQDN-címkékkel rendelkező alkalmazásszabályokhoz port: protokolldefiníció szükséges. A port:protokoll értékként használhat https-t. Dolgozunk azon, hogy ez a mező nem kötelező legyen FQDN-címkék használata esetén.
A tűzfal áthelyezése másik erőforráscsoportba vagy előfizetésbe nem támogatott A tűzfal áthelyezése egy másik erőforráscsoportba vagy előfizetésbe nem támogatott. Ennek a funkciónak a támogatása az ütemtervünkben található. Ahhoz, hogy egy tűzfalat áthelyezzen másik erőforráscsoportba vagy előfizetésbe, először törölnie kell az aktuális példányt, és újra létre kell hoznia az új erőforráscsoportban vagy előfizetésben.
A fenyegetésfelderítési riasztások maszkolt állapotba kerülhetnek Hálózati szabályok a 80/443-at célhelyen a kimenő szűrési maszkok fenyegetésintelligencia-riasztásaihoz, ha csak riasztási módra vannak konfigurálva. Hozzon létre kimenő szűrést a 80/443-hoz alkalmazásszabályok használatával. Másik lehetőségként módosítsa a fenyegetésfelderítési módot Riasztás és megtagadás értékre.
Azure Firewall DNST nem működik magánhálózati IP-címek esetén Azure Firewall DNST-támogatás az internetes kimenő/bejövő forgalomra korlátozódik. A DNST jelenleg nem működik magánhálózati IP-címekhez. Például küllős. Ez egy jelenlegi korlátozás.
Nem lehet eltávolítani az első nyilvános IP-konfigurációt Minden Azure Firewall nyilvános IP-cím ip-konfigurációhoz van rendelve. Az első IP-konfiguráció a tűzfal üzembe helyezése során van hozzárendelve, és általában a tűzfal alhálózatára mutató hivatkozást is tartalmaz (kivéve, ha explicit módon másként van konfigurálva egy sablontelepítésen keresztül). Ezt az IP-konfigurációt nem törölheti, mert az megszüntetné a tűzfal lefoglalását. Az IP-konfigurációhoz társított nyilvános IP-címet akkor is módosíthatja vagy távolíthatja el, ha a tűzfalon legalább egy másik nyilvános IP-cím használható. Ez az elvárt működés.
A rendelkezésre állási zónák csak az üzembe helyezés során konfigurálhatók. A rendelkezésre állási zónák csak az üzembe helyezés során konfigurálhatók. A tűzfal üzembe helyezése után nem konfigurálható Availability Zones. Ez az elvárt működés.
SNAT bejövő kapcsolatokon A DNST mellett a tűzfal nyilvános IP-címén (bejövő) keresztüli kapcsolatok az egyik tűzfal privát IP-címére vannak SNATedve. Ez a követelmény ma (az aktív/aktív NVA-k esetében is) a szimmetrikus útválasztás biztosítása érdekében. A HTTP/S eredeti forrásának megőrzése érdekében fontolja meg az XFF-fejlécek használatát. Használjon például olyan szolgáltatást, mint az Azure Front Door vagy Azure Application Gateway a tűzfal előtt. A WAF-et az Azure Front Door és a lánc részeként is hozzáadhatja a tűzfalhoz.
Az SQL FQDN-szűrés csak proxy módban támogatott (1433-es port) Azure SQL Database, Azure Synapse Analytics és Azure SQL Managed Instance esetén:

Az SQL FQDN-szűrés csak proxy módban támogatott (1433-es port).

Azure SQL IaaS esetén:

Ha nem szabványos portokat használ, ezeket a portokat megadhatja az alkalmazásszabályokban.
Átirányítási módban lévő SQL esetén (ha az Azure-ból csatlakozik az alapértelmezett) ehelyett szűrheti a hozzáférést az SQL-szolgáltatáscímkével Azure Firewall hálózati szabályok részeként.
A kimenő SMTP-forgalom le van tiltva a 25-ös TCP-porton A 25-ös TCP-porton közvetlenül a külső tartományokba (például outlook.com és gmail.com) küldött kimenő e-mail üzeneteket az Azure platform letilthatja. Ez az azure-beli platform alapértelmezett viselkedése, Azure Firewall nem vezet be további korlátozásokat. Használjon hitelesített SMTP-továbbító szolgáltatásokat, amelyek általában az 587-ös TCP-porton keresztül csatlakoznak, de más portokat is támogatnak. További információ: Kimenő SMTP-kapcsolati problémák elhárítása az Azure-ban. Jelenleg előfordulhat, hogy Azure Firewall képes kommunikálni a nyilvános IP-címekkel kimenő TCP 25 használatával, de ez nem garantáltan működik, és nem minden előfizetés-típus esetében támogatott. Magánhálózati IP-címek, például virtuális hálózatok, VPN-ek és Azure ExpressRoute esetén Azure Firewall támogatja a 25-ös TCP-port kimenő kapcsolatát.
SNAT-portok elfogyása Azure Firewall jelenleg 2496 portot támogat nyilvános IP-címenként háttérbeli virtuálisgép-méretezési csoportpéldányonként. Alapértelmezés szerint két virtuálisgép-méretezési csoportpéldány létezik. Tehát folyamatonként 4992 port van (cél IP-cím, célport és protokoll (TCP vagy UDP). A tűzfal legfeljebb 20 példányra skálázható. Ez egy platformkorlátozás. A korlátok megkerüléséhez konfigurálhat legalább öt nyilvános IP-címmel rendelkező Azure Firewall üzemelő példányokat az SNAT-kimerülésre érzékeny üzemelő példányokhoz. Ez ötszörösére növeli a rendelkezésre álló SNAT-portokat. Leosztás IP-címelőtagból az alsóbb rétegbeli engedélyek egyszerűsítése érdekében. Állandóbb megoldásként üzembe helyezhet egy NAT Gatewayt az SNAT-port korlátainak leküzdéséhez. Ez a megközelítés támogatott a virtuális hálózatok üzemelő példányai esetében.

További információ: SNAT-portok méretezése az Azure Virtual Network NAT használatával.
A DNAT nem támogatott, ha engedélyezve van a kényszerített bújtatás A kényszerített bújtatással üzembe helyezett tűzfalak az aszimmetrikus útválasztás miatt nem támogatják az internetről érkező bejövő hozzáférést. Ezt az aszimmetrikus útválasztás miatt tervezem. A bejövő kapcsolatok visszatérési útvonala a helyszíni tűzfalon keresztül halad, amely nem látta a kapcsolat létrejöttét.
Előfordulhat, hogy a kimenő passzív FTP nem működik több nyilvános IP-címmel rendelkező tűzfalak esetében az FTP-kiszolgáló konfigurációjától függően. A passzív FTP különböző kapcsolatokat hoz létre a vezérléshez és az adatcsatornákhoz. Amikor egy tűzfal több nyilvános IP-címmel küld kimenő adatokat, véletlenszerűen kiválasztja az egyik nyilvános IP-címét a forrás IP-címhez. Az FTP sikertelen lehet, ha az adat- és vezérlőcsatornák eltérő forrás IP-címeket használnak az FTP-kiszolgáló konfigurációjától függően. Explicit SNAT-konfigurációt tervezünk. Addig is konfigurálhatja az FTP-kiszolgálót úgy, hogy különböző forrás IP-címekről fogadjon el adatokat és vezérlő csatornákat (lásd egy IIS-példát). Másik lehetőségként fontolja meg egyetlen IP-cím használatát ebben a helyzetben.
Előfordulhat, hogy a bejövő passzív FTP nem működik az FTP-kiszolgáló konfigurációjától függően A passzív FTP különböző kapcsolatokat hoz létre a vezérléshez és az adatcsatornákhoz. A Azure Firewall bejövő kapcsolatait a rendszer az egyik tűzfal privát IP-címére irányítja a szimmetrikus útválasztás biztosítása érdekében. Az FTP sikertelen lehet, ha az adat- és vezérlőcsatornák eltérő forrás IP-címeket használnak az FTP-kiszolgáló konfigurációjától függően. Az eredeti forrás IP-cím megőrzése folyamatban van. Addig is konfigurálhatja az FTP-kiszolgálót úgy, hogy fogadja a különböző forrás IP-címekről származó adatokat és csatornákat.
Az aktív FTP nem működik, ha az FTP-ügyfélnek el kell érnie egy FTP-kiszolgálót az interneten keresztül. Az Active FTP az FTP-ügyfél portparancsát használja, amely az FTP-kiszolgálónak az adatcsatornához használni kívánt IP-címet és portot irányítja. Ez a PORT parancs az ügyfél privát IP-címét használja, amelyet nem lehet módosítani. Az Azure Firewall áthaladó ügyféloldali forgalom nat lesz az internetes kommunikációhoz, így a PORT parancs érvénytelennek minősül az FTP-kiszolgáló számára. Ez az aktív FTP általános korlátozása, ha ügyféloldali NAT-tal használják.
A NetworkRuleHit metrika hiányzik egy protokolldimenzióból Az ApplicationRuleHit metrika lehetővé teszi a szűrésen alapuló protokoll használatát, de ez a képesség hiányzik a megfelelő NetworkRuleHit-metrikából. A javítás kivizsgálása folyamatban van.
A 64000 és 65535 közötti portokkal rendelkező NAT-szabályok nem támogatottak Azure Firewall engedélyezi az 1–65535 tartományba tartozó portokat a hálózati és alkalmazásszabályokban, a NAT-szabályok azonban csak az 1–63999 tartományban lévő portokat támogatják. Ez egy jelenlegi korlátozás.
A konfigurációfrissítések átlagosan öt percet is igénybe vehetnek Egy Azure Firewall konfigurációs frissítés átlagosan három-öt percet is igénybe vehet, és a párhuzamos frissítések nem támogatottak. A javítás kivizsgálása folyamatban van.
Azure Firewall SNI TLS-fejléceket használ a HTTPS- és MSSQL-forgalom szűréséhez Ha a böngésző- vagy kiszolgálószoftver nem támogatja a Kiszolgálónévmutató (SNI) bővítményt, nem tud csatlakozni Azure Firewall. Ha a böngésző- vagy kiszolgálószoftver nem támogatja az SNI-t, akkor előfordulhat, hogy egy alkalmazásszabály helyett hálózati szabály használatával tudja vezérelni a kapcsolatot. Lásd: Az SNI-t támogató szoftverek kiszolgálónév-jelzése .
Nem lehet tűzfalszabályzat-címkéket hozzáadni a portál vagy az Azure Resource Manager (ARM) sablonjaival Azure Firewall szabályzat olyan javítástámogatási korlátozással rendelkezik, amely megakadályozza, hogy címkét adjon hozzá a Azure Portal vagy ARM-sablonokkal. A következő hiba jön létre: Az erőforrás címkéi nem menthetők. A javítás kivizsgálása folyamatban van. Vagy használhatja a Azure PowerShell parancsmagot Set-AzFirewallPolicy a címkék frissítéséhez.
Az IPv6 jelenleg nem támogatott Ha IPv6-címet ad hozzá egy szabályhoz, a tűzfal meghibásodik. Csak IPv4-címeket használjon. Az IPv6-támogatás vizsgálata folyamatban van.
Több IP-csoport frissítése ütközési hibával meghiúsul. Ha két vagy több, ugyanahhoz a tűzfalhoz csatolt IP-csoportot frissít, az egyik erőforrás meghibásodott állapotba kerül. Ez egy ismert probléma/korlátozás.

Amikor frissít egy IP-csoportot, az aktivál egy frissítést minden olyan tűzfalon, amelyhez az IPGroup csatlakozik. Ha egy második IP-csoport frissítését akkor indítják el, amikor a tűzfal még frissítési állapotban van, az IPGroup frissítése meghiúsul.

A hiba elkerülése érdekében az ugyanahhoz a tűzfalhoz csatolt IP-csoportokat egyenként frissíteni kell. A frissítések között elegendő időt hagyhat, hogy a tűzfal kikerüljön a Frissítés állapotból.
A RuleCollectionGroups arm-sablonokkal való eltávolítása nem támogatott. A RuleCollectionGroup ARM-sablonokkal való eltávolítása nem támogatott, és sikertelenséget eredményez. Ez nem támogatott művelet.
A (*) engedélyezésére vonatkozó DNST-szabály az SNAT-forgalmat fogja használni. Ha egy DNST-szabály engedélyezi a forrás IP-címként bármelyik (*) értéket, akkor az implicit hálózati szabály megfelel VNet-VNet forgalomnak, és mindig SNAT-ként kezeli a forgalmat. Ez egy jelenlegi korlátozás.
A DNST-szabály biztonsági szolgáltatóval rendelkező biztonságos virtuális központhoz való hozzáadása nem támogatott. Ez egy aszinkron útvonalat eredményez a visszaadott DNST-forgalomhoz, amely a biztonsági szolgáltatóhoz kerül. Nem támogatott.
Hiba történt több mint 2000 szabálygyűjtemény létrehozásakor. A NAT-/alkalmazás- vagy hálózatiszabály-gyűjtemények maximális száma 2000 (Resource Manager korlát). Ez egy jelenlegi korlátozás.
Nem látható a hálózati szabály neve Azure Firewall naplókban Azure Firewall hálózati szabály naplóadatai nem jelenítik meg a hálózati forgalom szabálynevét. A hálózati szabálynév naplózása előzetes verzióban érhető el. További információ: Azure Firewall előzetes verziójú funkciók.
XFF-fejléc HTTP/S-ben Az XFF-fejlécek felülíródnak a tűzfal által látott eredeti forrás IP-címmel. Ez a következő használati esetekben alkalmazható:
- HTTP-kérések
– HTTPS-kérések TLS-leállítással
A javítás kivizsgálása folyamatban van.
Nem lehet prémium verzióra frissíteni a délkelet-ázsiai régióban Availability Zones Jelenleg nem frissíthet Azure Firewall Prémium verzióra a délkelet-ázsiai régióban Availability Zones. Helyezzen üzembe egy új Prémium szintű tűzfalat Délkelet-Ázsiában Availability Zones nélkül, vagy helyezzen üzembe egy olyan régióban, amely támogatja a Availability Zones.
Nem lehet újonnan létrehozott nyilvános IP-címmel rendelkező Availability Zones tűzfalat telepíteni Ha tűzfalat helyez üzembe Availability Zones, nem használhat újonnan létrehozott nyilvános IP-címet. Először hozzon létre egy új zónaredundáns nyilvános IP-címet, majd rendelje hozzá a korábban létrehozott IP-címet a tűzfal üzembe helyezése során.
Az Azure privát DNS-zónája nem támogatott a Azure Firewall Az Azure privát DNS-zónája Azure Firewall DNS-beállításoktól függetlenül nem működik Azure Firewall. A privát DNS-kiszolgáló kívánt állapotának eléréséhez használjon Azure Firewall DNS-proxyt azure-beli privát DNS-zóna helyett.

Azure Firewall Premium

Azure Firewall Premium a következő ismert problémákat tapasztalja:

Probléma Description Kockázatcsökkentés
AZ FQDN-feloldás ESNI-támogatása HTTPS-ben A titkosított SNI nem támogatott a HTTPS-kézfogásban. Jelenleg csak a Firefox támogatja az ESNI-t egyéni konfigurációval. Javasolt megkerülő megoldás a funkció letiltása.
Az ügyféltanúsítvány-hitelesítés nem támogatott Az ügyféltanúsítványokkal kölcsönös identitásmegbízhatóságot hozhat létre az ügyfél és a kiszolgáló között. Az ügyféltanúsítványok TLS-egyeztetés során használatosak. Az Azure Firewall újratárgyalja a kapcsolatot a kiszolgálóval, és nem fér hozzá az ügyféltanúsítványok titkos kulcsához. None
QUIC/HTTP3 A QUIC a HTTP új főverziója. Ez egy UDP-alapú protokoll 80-nál (PLAN) és 443-nál (SSL). Az FQDN/URL/TLS-vizsgálat nem támogatott. Konfigurálja az UDP 80/443 átadását hálózati szabályként.
Nem megbízható ügyfél által aláírt tanúsítványok Az ügyfél által aláírt tanúsítványokat a tűzfal nem megbízhatónak tartja, ha egy intranetes webkiszolgálótól kapott. A javítás kivizsgálása folyamatban van.
Helytelen forrás IP-cím a HTTP-hez készült IDPS-sel rendelkező riasztásokban (TLS-vizsgálat nélkül). Ha egyszerű szöveges HTTP-forgalom van használatban, és az IDPS új riasztást ad ki, és a cél egy nyilvános IP-cím, a megjelenített forrás IP-címe helytelen (a belső IP-cím jelenik meg az eredeti IP-cím helyett). A javítás kivizsgálása folyamatban van.
Tanúsítványpropagálás A hitelesítésszolgáltatói tanúsítvány tűzfalon való alkalmazása után a tanúsítvány érvénybe lépése 5–10 percet vehet igénybe. A javítás kivizsgálása folyamatban van.
TLS 1.3-támogatás A TLS 1.3 részben támogatott. Az ügyfél és a tűzfal közötti TLS-alagút a TLS 1.2-n alapul, a tűzfalról a külső webkiszolgálóra pedig a TLS 1.3-on alapul. Frissítések vizsgálat alatt áll.
Availability Zones a Firewall Premiumhoz a délkelet-ázsiai régióban Jelenleg nem helyezhet üzembe Azure Firewall Premiumot Availability Zones a délkelet-ázsiai régióban. Telepítse a tűzfalat Délkelet-Ázsiában Availability Zones nélkül, vagy olyan régióban, amely támogatja a Availability Zones.

Következő lépések