FAQ Azure Firewall

Apa itu Azure Firewall?

Azure Firewall adalah layanan keamanan jaringan berbasis cloud terkelola yang melindungi sumber daya Azure Virtual Network Anda. Ini adalah firewall sebagai layanan status penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Anda dapat membuat, menerapkan, dan mencatat kebijakan konektivitas jaringan dan aplikasi secara terpusat di seluruh langganan dan jaringan virtual.

Kapabilitas apakah yang didukung di Azure Firewall?

Untuk mempelajari tentang fitur Azure Firewall, lihat Fitur Azure Firewall.

Apakah model penyebaran yang umum untuk Azure Firewall?

Anda dapat menyebarkan Azure Firewall di jaringan virtual apa pun, tetapi pelanggan biasanya menyebarkannya di jaringan virtual pusat dan melakukan peering jaringan virtual lainnya dengan Azure Firewall dalam model hub-dan-spoke. Anda kemudian dapat mengatur rute default dari jaringan virtual yang di-peering untuk menunjuk ke jaringan virtual firewall pusat ini. Peering VNET global memang didukung, namun tidak disarankan dikarenakan adanya potensi masalah performa dan latensi di seluruh wilayah. Untuk mendapatkan performa terbaik, sebarkan satu firewall per wilayah.

Keuntungan dari model ini adalah kemampuannya untuk secara terpusat mengerahkan kontrol pada beberapa spoke VNET di berbagai langganan. Biaya juga bisa dihemat karena Anda tidak perlu menyebarkan firewall di tiap VNET secara terpisah. Penghematan biaya harus diukur dengan biaya peering terkait berdasarkan pola lalu lintas pelanggan.

Bagaimana cara menginstal Azure Firewall?

Anda dapat mengatur Azure Firewall dengan menggunakan portal Microsoft Azure, PowerShell, REST API, atau dengan menggunakan template. Lihat Tutorial: Menerapkan dan mengonfigurasi Azure Firewall menggunakan portal Microsoft Azure untuk instruksi langkah demi langkah.

Apa saja konsep Azure Firewall?

Azure Firewall mendukung aturan dan kumpulan aturan. Pengumpulan aturan merupakan sekumpulan aturan yang memiliki urutan dan prioritas yang sama. Pengumpulan aturan dilaksanakan menurut urutan prioritasnya. Pengumpulan aturan jaringan memiliki prioritas yang lebih besar daripada pengumpulan aturan aplikasi, dan semua aturan bersifat mengakhiri.

Terdapat tiga jenis pengumpulan aturan:

  • Aturan aplikasi: Mengonfigurasi nama domain (FQDN) yang sepenuhnya memenuhi syarat dan dapat diakses dari subjaringan.
  • Aturan jaringan: Mengonfigurasi aturan yang berisi alamat sumber, protokol, port tujuan, serta alamat tujuan.
  • Aturan NAT: Mengonfigurasi aturan DNAT untuk memperbolehkan koneksi Internet masuk.

Apakah Azure Firewall mendukung pemfilteran lalu lintas yang masuk?

Azure Firewall mendukung pemfilteran masuk serta keluar. Perlindungan masuk biasanya digunakan untuk protokol non-HTTP seperti protokol RDP, SSH, dan FTP. Untuk perlindungan HTTP dan HTTPS masuk, gunakan firewall aplikasi web seperti Azure Web Application Firewall (WAF) atau offload TLS dan kemampuan inspeksi paket mendalam Azure Firewall Premium.

Layanan pencatatan serta analitik mana yang didukung oleh Azure Firewall?

Azure Firewall terintegrasi dengan Azure Monitor untuk melihat dan menganalisis log firewall. Log dapat dikirim ke Analitik Log, Microsoft Azure Storage, atau Event Hubs. Mereka dapat dianalisis di Analitik Log atau dengan alat yang berbeda seperti Excel dan Power BI. Untuk informasi selengkapnya, lihat Tutorial: Memantau log serta metrik Azure Firewall.

Bagaimana cara kerja Azure Firewall secara berbeda dari layanan yang ada seperti NVA di pasar?

Azure Firewall adalah layanan keamanan jaringan berbasis cloud terkelola yang melindungi sumber daya jaringan virtual Anda. Ini adalah layanan firewall stateful penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Hal ini terintegrasi dengan penyedia keamanan pihak ketiga sebagai layanan (SECaaS) untuk memberikan keamanan tingkat lanjut untuk jaringan virtual Anda dan koneksi Internet cabang Anda.

Apakah perbedaan antara Application Gateway WAF dan Azure Firewall?

Web Application Firewall (WAF) adalah fitur Azure Application Gateway yang menyediakan perlindungan masuk terpusat dari aplikasi web Anda dari eksploitasi dan kerentanan umum. Azure Firewall menyediakan perlindungan masuk bagi protokol non-HTTP/S (misalnya, RDP, SSH, FTP), perlindungan tingkat jaringan keluar untuk semua port dan protokol, serta perlindungan tingkat aplikasi untuk HTTP/S keluar.

Apakah perbedaan antara Network Security Groups (NSG) dan Azure Firewall?

Layanan Azure Firewall melengkapi fungsionalitas bagi grup keamanan jaringan. Secara bersama-sama, keduanya memberikan keamanan jaringan pertahanan yang lebih baik. Kelompok keamanan jaringan menyediakan pemfilteran lalu lintas lapisan jaringan yang terdistribusi untuk membatasi lalu lintas ke sumber daya dalam jaringan virtual di setiap langganan. Azure Firewall merupakan firewall jaringan terpusat yang canggih serta menyediakan perlindungan tingkat jaringan dan aplikasi di berbagai langganan dan jaringan virtual.

Apakah Network Security Group (NSG) didukung di AzureFirewallSubnet?

Azure Firewall merupakan layanan terkelola dengan beberapa lapisan perlindungan, termasuk perlindungan platform dengan NSG tingkat NIC (tidak dapat dilihat). NSG tingkat subjaringan tidak dibutuhkan di AzureFirewallSubnet, dan dinonaktifkan untuk memastikan tidak ada gangguan layanan.

Bagaimana cara menyiapkan Azure Firewall dengan titik akhir layanan saya?

Untuk akses yang aman ke layanan PaaS, kami merekomendasikan titik akhir layanan. Anda dapat memilih untuk mengaktifkan titik akhir layanan di subjaringan Azure Firewall dan menonaktifkannya di jaringan virtual ujaran yang tersambung. Dengan cara ini, Anda mendapatkan manfaat dari kedua fitur: keamanan titik akhir layanan serta pencatatan yang terpusat untuk semua lalu lintas.

Berapa harga Azure Firewall?

Bagaimana cara menghentikan serta memulai Azure Firewall?

Anda dapat menggunakan metode hentikan alokasi dan alokasikan Azure PowerShell. Untuk firewall yang dikonfigurasi untuk penerowongan paksa, prosedurnya sedikit berbeda.

Misalnya, untuk firewall yang TIDAK dikonfigurasi untuk penerowongan paksa:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))

Set-AzFirewall -AzureFirewall $azfw

Untuk firewall yang dikonfigurasi untuk penerowongan paksa, penghentiannya sama. Tetapi untuk memulai, IP publik manajemen perlu dikaitkan kembali ke firewall:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall

Ketika Anda mengalokasikan dan menangani, penagihan firewall berhenti dan dimulai sesuai.

Catatan

Anda harus mengalokasikan kembali firewall dan IP publik ke grup sumber daya serta langganan asli.

Apakah batas layanan yang diketahui?

Untuk memperoleh informasi tentang batas layanan Azure Firewall, lihat Batas, kuota, serta pembatasan layanan dan langganan Azure.

Dapatkah Azure Firewall dalam jaringan hub virtual maju dan memfilter lalu lintas jaringan antara dua jaringan virtual yang berbicara?

Ya, Anda dapat menggunakan Azure Firewall di jaringan virtual hub untuk merutekan dan memfilter lalu lintas di antara dua jaringan virtual yang berbicara. Subnet di setiap jaringan virtual bicara harus memiliki UDR yang mengarah ke Azure Firewall sebagai gateway default agar skenario ini berfungsi dengan baik.

Dapatkah Azure Firewall meneruskan dan memfilter lalu lintas jaringan antar subjaringan dalam jaringan virtual yang sama atau jaringan virtual yang di-peering?

Ya. Namun, mengonfigurasi UDR untuk mengalihkan lalu lintas antar subjaringan di VNET yang sama memerlukan perhatian tambahan. Saat menggunakan rentang alamat VNET sebagai awalan target untuk UDR sudah memadai, hal ini juga merutekan semua lalu lintas dari satu mesin ke mesin lain dalam subjaringan yang sama melalui instans Azure Firewall. Untuk menghindari hal ini, sertakan rute untuk subjaringan di UDR dengan jenis hop VNET berikutnya. Mengelola rute ini mungkin akan menjadi rumit dan rentan terhadap kesalahan. Metode yang direkomendasikan untuk segmentasi jaringan internal adalah menggunakan Network Security Group, yang tidak memerlukan UDR.

Apakah jaringan Azure Firewall keluar melakukan SNAT antara jaringan pribadi?

Azure Firewall tidak melakukan SNAT ketika alamat IP tujuan adalah rentang IP pribadi per IANA RFC 1918. Jika organisasi Anda menggunakan rentang alamat IP publik untuk jaringan pribadi, Azure Firewall mengirimkan lalu lintas ke salah satu alamat IP pribadi firewall di AzureFirewallSubnet. Anda dapat mengonfigurasi Azure Firewall untuk tidak melakukan SNAT pada rentang alamat IP Anda. Untuk informasi selengkapnya, lihat rentang alamat IP privat Azure Firewall SNAT.

Selain itu, lalu lintas yang diproses oleh aturan aplikasi selalu mengalami SNAT. Apabila Anda ingin melihat alamat IP sumber asli di log Anda untuk lalu lintas FQDN, Anda dapat menggunakan aturan jaringan dengan tujuan FQDN.

Apakah penerowongan/perantaian paksa ke Network Virtual Appliance didukung?

Penerowongan paksa didukung saat Anda membuat firewall baru. Anda tidak dapat mengonfigurasi firewall yang ada untuk penerowongan paksa. Untuk informasi selengkapnya, lihat Penerowongan paksa Azure Firewall.

Azure Firewall harus memiliki konektivitas Internet langsung. Jika AzureFirewallSubnet Anda mengetahui rute default ke jaringan lokal Anda melalui BGP, Anda harus mengambil alih dengan UDR 0.0.0.0/0 dengan nilai NextHopType yang ditetapkan sebagai Internet untuk mempertahankan konektivitas Internet langsung.

Jika konfigurasi Anda memerlukan penerowongan paksa ke jaringan lokal dan Anda dapat menentukan awalan IP target untuk tujuan Internet Anda, Anda dapat mengonfigurasi rentang ini dengan jaringan lokal sebagai hop berikutnya melalui rute yang ditentukan pengguna di AzureFirewallSubnet. Atau, Anda bisa menggunakan BGP untuk menentukan rute tersebut.

Apakah terdapat batasan untuk grup sumber daya firewall?

Ya. Firewall, VNet, serta alamat IP publik semuanya harus berada dalam grup sumber daya yang sama.

Saat mengonfigurasi DNAT untuk lalu lintas jaringan Internet masuk, apakah saya juga harus mengonfigurasi aturan jaringan yang sesuai untuk memungkinkan lalu lintas tersebut?

Nomor. Aturan DNAT secara implisit menambahkan aturan jaringan yang sesuai dengan tujuan membuka lalu lintas yang diterjemahkan. Anda dapat mengambil alih perilaku ini dengan menambahkan koleksi aturan jaringan secara eksplisit dengan aturan tolak yang cocok dengan lalu lintas yang diterjemahkan. Untuk mempelajari selengkapnya tentang logika pemrosesan aturan Azure Firewall, lihat logika pemrosesan aturan Azure Firewall.

Bagaimana wildcard bekerja di URL target dan FQDN target dalam aturan aplikasi?

  • URL - Tanda bintang berfungsi bila ditempatkan di sisi paling kanan atau paling kiri. Jika tanda bintang berada di sebelah kiri, ia tidak dapat menjadi bagian dari FQDN.
  • FQDN - Tanda bintang akan berfungsi ketika ditempatkan di sisi paling kiri.
  • UMUM - Tanda bintang di sisi paling kiri berarti secara harfiah apa pun di sebelah kiri akan cocok, yang berarti beberapa subdomain dan/atau variasi nama domain yang berpotensi tidak diinginkan akan dicocokkan - lihat contoh di bawah ini.

Contoh:

Jenis Aturan Didukung? Contoh yang positif
URLTarget www.contoso.com Ya www.contoso.com
www.contoso.com/
URLTarget *.contoso.com Ya any.contoso.com/
sub1.any.contoso.com
URLTarget *contoso.com Ya example.anycontoso.com
sub1.example.contoso.com
contoso.com
Peringatan: penggunaan wildcard ini juga akan memungkinkan variasi yang berpotensi tidak diinginkan/berisiko seperti th3re4lcontoso.com - gunakan dengan hati-hati.
URLTarget www.contoso.com/test Ya www.contoso.com/test
www.contoso.com/test/
www.contoso.com/test?with_query=1
URLTarget www.contoso.com/test/* Ya www.contoso.com/test/anything
Catatan: www.contoso.com/testtidak akan cocok (garis miring terakhir)
URLTarget www.contoso.*/test/* Tidak
URLTarget www.contoso.com/test?example=1 Tidak
URLTarget www.contoso.* Tidak
URLTarget www.*contoso.com Tidak
URLTarget www.contoso.com:8080 Tidak
URLTarget *.contoso.* Tidak
FQDNTarget www.contoso.com Ya www.contoso.com
FQDNTarget *.contoso.com Ya any.contoso.com

Catatan: Jika ingin mengizinkan contoso.com secara khusus, Anda harus menyertakan contoso.com dalam aturan. Jika tidak, koneksi akan dihilangkan secara default karena permintaan tidak akan sesuai dengan aturan apa pun.
FQDNTarget *contoso.com Ya example.anycontoso.com
contoso.com
FQDNTarget www.contoso.* Tidak
FQDNTarget *.contoso.* Tidak

Apa yang dimaksud dengan *Status penyediaan: Gagal*?

Setiap kali perubahan konfigurasi diterapkan, Azure Firewall mencoba memperbarui semua instans backend yang mendasarinya. Dalam kasus yang jarang terjadi, salah satu instans backend ini mungkin gagal diperbarui dengan konfigurasi baru dan proses pembaruan berhenti dengan status penyediaan yang gagal. Azure Firewall Anda mungkin masih beroperasi, tetapi konfigurasi yang diterapkan mungkin dalam keadaan tidak konsisten, saat beberapa instans memiliki konfigurasi sebelumnya sedangkan yang lain set aturan yang diperbarui. Jika ini terjadi, coba perbarui konfigurasi Anda sekali lagi sampai operasi berhasil dan Firewall Anda dalam status penyediaan Berhasil.

Bagaimana Azure Firewall menangani pemeliharaan yang direncanakan serta kegagalan yang tidak direncanakan?

Azure Firewall terdiri dari beberapa simpul backend dalam konfigurasi aktif-aktif. Untuk pemeliharaan yang direncanakan, kami memiliki koneksi yang menguras logika dengan memperbarui simpul dengan elegan. Pembaruan direncanakan selama non-jam kerja untuk setiap wilayah Azure dengan tujuan membatasi risiko gangguan lebih lanjut. Untuk masalah yang tidak direncanakan, kami membuat simpul baru untuk menggantikan simpul yang gagal. Konektivitas ke simpul baru biasanya pulih dalam 10 detik sejak kegagalan.

Bagaimana cara kerja dari pengurasan koneksi?

Untuk pemeliharaan yang direncanakan, koneksi yang menguras logika akan memperbarui simpul backend dengan elegan. Azure Firewall akan menunggu 90 detik untuk menutup koneksi yang sudah ada. Jika diperlukan, klien dapat secara otomatis membangun kembali konektivitas ke simpul backend yang lain.

Apakah terdapat batas karakter untuk nama firewall?

Ya. Terdapat batas 50 karakter untuk nama firewall.

Mengapa Azure Firewall membutuhkan ukuran subjaringan /26?

Azure Firewall harus menyediakan lebih banyak instans mesin virtual saat diskalakan. Ruang alamat /26 memastikan bahwa firewall memiliki alamat IP yang memadai untuk mengakomodasi penskalaan.

Apakah ukuran subjaringan firewall perlu diubah sebagai skala layanan?

Nomor. Azure Firewall tidak memerlukan subjaringan yang lebih besar dari /26.

Bagaimana cara meningkatkan throughput untuk firewall saya?

Kapasitas throughput awal Azure Firewall adalah 2,5 - 3 Gbps dan menskalakan hingga 30 Gbps untuk SKU Standar dan 100 Gbps untuk SKU Premium. Kapasitas tersebut diskalakan secara otomatis berdasarkan penggunaan dan throughput CPU.

Berapa lama waktu yang dibutuhkan Azure Firewall untuk meningkatkan skala?

Azure Firewall akan menskalakan secara bertahap ketika throughput rata-rata atau konsumsi CPU berada di 60%. Throughput maksimum penyebaran default adalah sekitar 2,5 - 3 Gbps serta mulai menskalakan ketika mencapai 60% dari jumlah tersebut. Penskalaan naik membutuhkan waktu lima hingga tujuh menit.

Saat pengujian kinerja, pastikan Anda menguji setidaknya 10 hingga 15 menit, dan mulai koneksi baru untuk memanfaatkan simpul Firewall yang baru dibuat.

Bagaimana Azure Firewall menangani batas waktu yang tidak terpakai?

Ketika koneksi memiliki batas waktu yang tidak terpakai (empat menit tanpa aktivitas), Azure Firewall akan memutus koneksi dengan elegan melalui pengiriman paket RST TCP.

Bagaimana Azure Firewall menangani penonaktifan instans VM selama skala Virtual Machine Scale Set dalam (menurunkan skala) atau peningkatan perangkat lunak armada?

Penonaktifan instans VM Azure Firewall dapat terjadi selama skala Set Skala Komputer Virtual dalam (menurunkan skala) atau selama peningkatan perangkat lunak armada. Dalam kasus ini, koneksi masuk baru diseimbangkan dengan instans firewall yang tersisa serta tidak diteruskan ke instans firewall bagian bawah. Setelah 45 detik, firewall akan mulai menolak koneksi yang ada dengan mengirimkan paket RST TCP. Setelah 45 detik tersebut, VM firewall akan dinonaktifkan. Untuk informasi selengkapnya, lihat Pengaturan Ulang TCP Azure Load Balancer dan Waktu Tunggu Tak Terpakai.

Apakah Azure Firewall mengizinkan akses ke Direktori Aktif secara default?

Nomor. Azure Firewall akan memblokir akses Direktori Aktif secara default. Untuk mengizinkan akses, silakan konfigurasikan tag layanan AzureActiveDirectory. Untuk informasi selengkapnya, lihat tag layanan Azure Firewall.

Dapatkah saya mengecualikan FQDN atau alamat IP dari pemfilteran berbasis Azure Firewall Threat Intelligence?

Ya, Anda dapat menggunakan Azure PowerShell untuk melakukannya:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Mengapa ping TCP serta alat serupa berhasil terhubung ke target FQDN, bahkan ketika tidak terdapat aturan di Azure Firewall yang memungkinkan lalu lintas tersebut?

Ping TCP sebenarnya tidak terhubung ke FQDN target. Azure Firewall tidak mengizinkan koneksi ke alamat IP target/FQDN apa pun kecuali ada aturan eksplisit yang mengizinkannya.

Ping TCP adalah kasus penggunaan unik di mana jika tidak ada aturan yang diizinkan, Firewall sendiri akan merespons permintaan ping TCP klien meskipun ping TCP tidak mencapai alamat IP target/FQDN. Dalam hal ini, peristiwa tidak dicatat. Jika ada aturan jaringan yang mengizinkan akses ke alamat IP target/FQDN, maka permintaan ping mencapai server target dan responsnya diteruskan kembali ke klien. Peristiwa ini dicatat dalam log aturan Jaringan.

Apakah terdapat batasan untuk jumlah alamat IP yang didukung oleh Grup IP?

Ya. Untuk informasi selengkapnya, lihat Batas, kuota, dan batasan layanan dan langganan Azure

Dapatkah saya memindahkan Grup IP ke grup sumber daya lain?

Tidak, pemindahan Grup IP ke grup sumber daya lain tidak didukung saat ini.

Berapa Batas Waktu TCP Tak Terpakai untuk Azure Firewall?

Perilaku standar untuk firewall jaringan adalah memastikan bahwa koneksi TCP tetap hidup dan segera menutupnya jika tidak terdapat aktivitas. Batas Waktu TCP Tak Terpakai Azure Firewall adalah empat menit. Pengaturan ini tidak dapat dikonfigurasi oleh pengguna, tetapi Anda dapat menghubungi Azure Support untuk meningkatkan waktu habis tak terpakai hingga 30 menit.

Jika periode nonaktif lebih lama dari nilai waktu habis, tidak terdapat jaminan bahwa sesi TCP atau HTTP akan dipertahankan. Praktik umum adalah menggunakan TCP tetap-hidup. Praktik ini membuat koneksi tetap aktif untuk jangka waktu yang lebih lama. Untuk informasi selengkapnya, lihat contoh .NET.

Dapatkah saya menggunakan Azure Firewall tanpa alamat IP publik?

Tidak, saat ini Anda diwajibkan menggunakan Azure Firewall dengan alamat IP publik.

Di mana Azure Firewall menyimpan data pelanggan?

Azure Firewall tidak memindahkan atau menyimpan data pelanggan keluar dari wilayah yang digunakan.

Apakah ada cara untuk mencadangkan Azure Firewall dan kebijakan secara otomatis?

Apakah Azure Firewall di hub virtual aman (vWAN) didukung di Qatar?

Tidak, saat ini Azure Firewall di hub virtual aman (vWAN) tidak didukung di Qatar.