Tanya Jawab Umum Azure Firewall

Umum

Apa itu Azure Firewall?

Azure Firewall adalah layanan keamanan jaringan berbasis cloud terkelola yang melindungi sumber daya Azure Virtual Network Anda. Ini adalah firewall sebagai layanan status penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Anda dapat membuat, menerapkan, dan mencatat kebijakan konektivitas jaringan dan aplikasi secara terpusat di seluruh langganan dan jaringan virtual.

Kemampuan apa yang didukung Azure Firewall?

Untuk daftar terperinci fitur Azure Firewall, lihat fitur Azure Firewall.

Apa model penyebaran umum untuk Azure Firewall?

Azure Firewall dapat disebarkan di jaringan virtual apa pun. Namun, biasanya diterapkan pada jaringan virtual pusat dalam model hub-and-spoke, dengan jaringan virtual lainnya dipasangkan ke jaringan virtual tersebut. Rute default dari jaringan virtual yang di-peering diatur untuk menunjuk ke jaringan virtual firewall pusat ini. Meskipun peering jaringan virtual global didukung, hal itu tidak disarankan karena potensi masalah performa dan latensi antar wilayah. Untuk performa optimal, sebarkan satu firewall per wilayah.

Model ini memungkinkan kontrol terpusat atas beberapa VNet spoke di berbagai langganan dan menawarkan penghematan biaya dengan menghindari kebutuhan untuk menyebarkan firewall di setiap jaringan virtual. Penghematan biaya harus dievaluasi terhadap biaya peering terkait berdasarkan pola lalu lintas.

Bagaimana cara menyebarkan Azure Firewall?

Azure Firewall dapat disebarkan menggunakan portal Azure, PowerShell, REST API, atau templat. Untuk instruksi langkah demi langkah, lihat Tutorial: Menyebarkan dan mengonfigurasi Azure Firewall menggunakan portal Azure.

Apa saja konsep Azure Firewall utama?

Azure Firewall menggunakan aturan dan kumpulan aturan. Kumpulan aturan adalah sekumpulan aturan dengan urutan dan prioritas yang sama. Kumpulan aturan dijalankan dalam urutan prioritas. Kumpulan aturan DNAT memiliki prioritas lebih tinggi daripada kumpulan aturan jaringan, yang pada gilirannya memiliki prioritas lebih tinggi daripada kumpulan aturan aplikasi. Semua aturan dihentikan.

Terdapat tiga jenis pengumpulan aturan:

• Aturan aplikasi: Mengonfigurasi nama domain yang sepenuhnya memenuhi syarat (FQDN) yang dapat diakses dari jaringan virtual.
• Aturan jaringan: Mengonfigurasi aturan dengan alamat sumber, protokol, port tujuan, dan alamat tujuan.
• Aturan NAT: Mengonfigurasi aturan DNAT untuk mengizinkan koneksi Internet atau intranet (pratinjau) masuk.

Untuk informasi selengkapnya, lihat Konfigurasi aturan Azure Firewall.

Layanan pengelogan dan analitik mana yang didukung Azure Firewall?

Azure Firewall terintegrasi dengan Azure Monitor untuk melihat dan menganalisis log. Log dapat dikirim ke Log Analytics, Azure Storage, atau Azure Event Hubs dan dianalisis menggunakan alat seperti Log Analytics, Excel, atau Power BI. Untuk informasi selengkapnya, lihat Tutorial: Memantau log Azure Firewall.

Bagaimana Azure Firewall berbeda dari NVA di pasar?

Azure Firewall adalah layanan keamanan jaringan berbasis cloud terkelola yang melindungi sumber daya jaringan virtual. Ini adalah firewall sebagai layanan status penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Ini sudah diintegrasikan sebelumnya dengan penyedia security-as-a-service (SECaaS) pihak ketiga guna meningkatkan keamanan bagi jaringan virtual dan koneksi Internet cabang. Untuk informasi selengkapnya, lihat keamanan jaringan Azure.

Apa perbedaan antara Application Gateway WAF dan Azure Firewall?

Application Gateway WAF memberikan perlindungan masuk terpusat untuk aplikasi web terhadap eksploitasi dan kerentanan umum. Azure Firewall memberikan perlindungan masuk untuk protokol non-HTTP/S (misalnya, RDP, SSH, FTP), perlindungan tingkat jaringan keluar untuk semua port dan protokol, dan perlindungan tingkat aplikasi untuk HTTP/S keluar.

Apa perbedaan antara Network Security Groups (NSG) dan Azure Firewall?

Azure Firewall melengkapi NSG untuk memberikan keamanan jaringan "pertahanan mendalam" yang lebih baik. NSG menawarkan pemfilteran lalu lintas lapisan jaringan terdistribusi untuk membatasi lalu lintas dalam jaringan virtual di setiap langganan. Azure Firewall menyediakan perlindungan terpusat dengan status penuh pada tingkat jaringan dan aplikasi di seluruh langganan dan jaringan virtual.

Apakah Network Security Group (NSG) didukung di AzureFirewallSubnet?

Azure Firewall adalah layanan terkelola dengan beberapa lapisan perlindungan, termasuk perlindungan platform dengan NSG tingkat NIC (tidak dapat dilihat). NSG tingkat subnet tidak diperlukan di AzureFirewallSubnet dan dinonaktifkan untuk mencegah gangguan layanan.

Apa nilai tambah Azure Firewall dengan titik akhir privat?

Titik akhir privat adalah komponen Private Link, teknologi yang memungkinkan untuk berinteraksi dengan layanan PaaS Azure menggunakan alamat IP privat, bukan yang publik. Azure Firewall dapat digunakan untuk mencegah akses ke alamat IP publik, oleh karena itu menghindari eksfiltrasi data ke layanan Azure tidak memanfaatkan Private Link, serta untuk menerapkan kebijakan tanpa kepercayaan dengan menentukan siapa di organisasi Anda yang perlu mengakses layanan PaaS Azure tersebut, karena Private Link per default membuka akses jaringan untuk seluruh jaringan perusahaan Anda.

Desain yang tepat untuk memeriksa lalu lintas ke titik akhir privat dengan Azure Firewall akan bergantung pada arsitektur jaringan Anda, Anda dapat menemukan detail selengkapnya dalam artikel Azure Firewall skenario untuk memeriksa lalu lintas yang ditujukan ke titik akhir privat.

Apa nilai tambah Azure Firewall dengan titik akhir layanan jaringan virtual?

Titik akhir layanan Jaringan Virtual adalah alternatif untuk Private Link untuk mengontrol akses jaringan ke layanan PaaS Azure. Bahkan jika klien masih menggunakan alamat IP publik untuk mengakses layanan PaaS, subnet sumber dibuat terlihat sehingga layanan PaaS tujuan dapat menerapkan aturan filter dan membatasi akses berdasarkan per subnet. Anda dapat menemukan perbandingan terperinci antara kedua mekanisme di Membandingkan Titik Akhir Privat dan Titik Akhir Layanan.

Azure Firewall aturan aplikasi dapat digunakan untuk memastikan bahwa tidak ada penyelundupan data ke layanan nakal yang terjadi, dan untuk menerapkan kebijakan akses dengan granularitas yang meningkat di luar tingkat subnet. Biasanya, titik akhir layanan jaringan virtual perlu diaktifkan di subnet klien yang akan terhubung ke layanan Azure. Namun, saat memeriksa lalu lintas ke titik akhir layanan dengan Azure Firewall, Anda perlu mengaktifkan titik akhir layanan yang sesuai di subnet Azure Firewall sebagai gantinya dan menonaktifkannya di subnet klien aktual (biasanya jaringan virtual spoke). Dengan cara ini Anda dapat menggunakan Aturan Aplikasi di Azure Firewall untuk mengontrol layanan Azure mana yang akan dapat diakses oleh beban kerja Azure Anda.

Berapa harga untuk Azure Firewall?

Untuk detail harga, lihat harga Azure Firewall.

Apa batas layanan yang diketahui untuk Azure Firewall?

Untuk batas layanan, lihat Azure batas langganan dan layanan, kuota, dan batasan.

Di mana Azure Firewall menyimpan data pelanggan?

Azure Firewall tidak memindahkan atau menyimpan data pelanggan di luar wilayah tempat data tersebut disebarkan.

Apakah Azure Firewall di hub virtual aman (vWAN) didukung di Qatar?

Tidak, Azure Firewall di hub virtual aman (vWAN) saat ini tidak didukung di Qatar.

Kemampuan dan fitur yang didukung

Apakah Azure Firewall mendukung pemfilteran lalu lintas masuk?

Ya, Azure Firewall mendukung pemfilteran lalu lintas masuk dan keluar. Pemfilteran masuk biasanya digunakan untuk protokol non-HTTP seperti RDP, SSH, dan FTP. Untuk lalu lintas HTTP dan HTTPS masuk, pertimbangkan untuk menggunakan firewall aplikasi web seperti Azure Web Application Firewall (WAF) atau offload TLS dan fitur inspeksi paket mendalam Azure Firewall Premium.

Apakah Azure Firewall Dasar mendukung penerowongan paksa?

Ya, Azure Firewall Basic mendukung penerowongan paksa.

Mengapa ping TCP atau alat serupa tampaknya terhubung ke FQDN target bahkan ketika tidak ada aturan yang mengizinkan lalu lintas?

Ping TCP sebenarnya tidak tersambung ke FQDN target. Azure Firewall memblokir koneksi ke alamat IP target atau FQDN kecuali diizinkan secara eksplisit oleh aturan.

Dalam kasus ping TCP, jika tidak ada aturan yang mengizinkan lalu lintas, Firewall itu sendiri merespons permintaan ping TCP klien. Respons ini tidak mencapai alamat IP target atau FQDN dan tidak dicatat. Jika aturan jaringan secara eksplisit mengizinkan akses ke alamat IP target atau FQDN, permintaan ping mencapai server target, dan responsnya disampaikan kembali ke klien. Peristiwa ini dicatat dalam log aturan Jaringan.

Apakah Azure Firewall mendukung peering BGP?

Tidak, Azure Firewall tidak secara asli mendukung peering BGP. Namun, fitur rute SNAT Autolearn secara tidak langsung menggunakan BGP melalui Azure Route Server.

Dapatkah Azure Firewall meneruskan paket ESP (IPSec VPN)?

Azure Firewall tidak secara asli mendukung ESP (Merangkum Payload Keamanan), tetapi Anda dapat mengizinkan lalu lintas ESP dengan mengonfigurasi aturan jaringan sebagai berikut:

Konfigurasi Azure Firewall (aturan jaringan):

• Protokol: Semua
• Port sumber: * (Apa pun)
• Port tujuan: * (Apa pun)
• Sumber/Tujuan: Tentukan alamat IP sesuai kebutuhan

Konfigurasi ini memungkinkan paket ESP (protokol IP nomor 50) dan lalu lintas non-TCP/UDP lainnya agar sesuai dengan aturan. Namun, perhatikan bahwa Azure Firewall tidak memeriksa payload ESP.

Reference : Jika menggunakan NSG (Kelompok Keamanan Jaringan) alih-alih Azure Firewall: NSG tidak menyediakan opsi langsung untuk menentukan ESP (nomor protokol IP 50), tetapi paket ESP dapat diizinkan dengan menggunakan pengaturan berikut:

• Protokol: Semua
• Port: * (Apa pun)
• Sumber/Tujuan: Tentukan alamat IP sesuai kebutuhan

Recommendations:

• Untuk konfigurasi VPN IPsec, sebaiknya gunakan Azure VPN Gateway.
• Pertimbangkan untuk menggunakan pola NVA (Network Virtual Appliance) tergantung pada kebutuhan Anda.

Manajemen dan konfigurasi

Bagaimana cara menghentikan dan memulai Azure Firewall?

Anda dapat menggunakan Azure PowerShell untuk membatalkan alokasi dan mengalokasikan Azure Firewall. Prosesnya bervariasi tergantung pada konfigurasinya.

Untuk firewall tanpa NIC Manajemen:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Untuk firewall dengan NIC Manajemen:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Untuk firewall di hub virtual yang aman:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Catatan

Saat menghentikan dan memulai firewall, penagihan berhenti dan dimulai dengan sesuai. Namun, alamat IP privat mungkin berubah, yang dapat memengaruhi konektivitas jika tabel rute dikonfigurasi.

Bagaimana cara mengonfigurasi zona ketersediaan setelah penyebaran?

Disarankan untuk mengonfigurasi zona ketersediaan selama penyebaran awal. Namun, Anda dapat mengonfigurasi ulang setelah penyebaran jika:

• Firewall disebarkan dalam jaringan virtual (tidak didukung di hub virtual aman).
• Wilayah ini mendukung zona ketersediaan.
• Semua alamat IP publik terlampir dikonfigurasi dengan zona yang sama.

Untuk mengonfigurasi ulang zona ketersediaan:

1. Batalkan alokasi firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Perbarui konfigurasi zona dan alokasikan firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Apakah ada batasan grup sumber daya firewall Azure?

Ya:

• Azure Firewall dan jaringan virtual harus berada dalam grup sumber daya yang sama.
• Alamat IP publik dapat berada dalam grup sumber daya yang berbeda.
• Semua sumber daya (Azure firewall, jaringan virtual, IP publik) harus berada dalam langganan yang sama.

Apa artinya status provisi **Gagal**?

Status penyediaan Gagal menunjukkan bahwa pembaruan konfigurasi gagal pada satu atau beberapa instans backend. Azure Firewall tetap beroperasi, tetapi konfigurasinya mungkin tidak konsisten. Coba lagi pembaruan hingga status provisi berubah menjadi Berhasil.

Bagaimana Azure Firewall menangani pemeliharaan terencana dan kegagalan yang tidak direncanakan?

Azure Firewall menggunakan konfigurasi aktif-aktif dengan menggunakan beberapa node backend. Selama pemeliharaan terencana, pembuangan koneksi memastikan pembaruan yang mulus. Untuk kegagalan yang tidak diencana, simpul baru menggantikan yang gagal, dan konektivitas biasanya dipulihkan dalam waktu 10 detik.

Apakah terdapat batas karakter untuk nama firewall?

Ya, nama firewall dibatasi hingga 50 karakter.

Mengapa Azure Firewall memerlukan ukuran subnet /26?

Subnet /26 memastikan alamat IP yang memadai untuk penskalaan karena Azure Firewall menyediakan instans komputer virtual tambahan.

Apakah ukuran subnet firewall perlu diubah ketika layanan meningkat skala?

Tidak, subnet /26 cukup untuk semua skenario penskalaan.

Bagaimana cara meningkatkan throughput untuk firewall saya?

Azure Firewall menskalakan secara otomatis berdasarkan penggunaan CPU, throughput, dan jumlah koneksi. Kapasitas throughput berkisar antara 2,5–3 Gbps awalnya hingga 30 Gbps (SKU Standar) atau 100 Gbps (SKU Premium).

Apakah terdapat batasan untuk jumlah alamat IP yang didukung oleh Grup IP?

Ya. Untuk detailnya, lihat Azure batas langganan dan layanan, kuota, dan batasan.

Dapatkah saya memindahkan Grup IP ke grup sumber daya lain?

Tidak, pemindahan Grup IP ke grup sumber daya lain tidak didukung saat ini.

Berapa Batas Waktu Diam TCP untuk Azure Firewall?

Perilaku standar untuk firewall jaringan adalah memastikan bahwa koneksi TCP tetap hidup dan segera menutupnya jika tidak terdapat aktivitas. Azure Firewall Batas Waktu Diam TCP adalah empat menit. Pengaturan ini tidak dapat dikonfigurasi pengguna, tetapi Anda dapat menghubungi Dukungan Azure untuk meningkatkan Batas Waktu Diam untuk koneksi masuk dan keluar hingga 15 menit. Batas Waktu Diam untuk lalu lintas timur-barat tidak dapat diubah.

Jika periode nonaktif lebih lama dari nilai waktu habis, tidak terdapat jaminan bahwa sesi TCP atau HTTP akan dipertahankan. Praktik umum adalah menggunakan TCP keep-alive. Praktik ini membuat koneksi tetap aktif untuk jangka waktu yang lebih lama. Untuk informasi selengkapnya, lihat contoh .NET.

Dapatkah saya menyebarkan Azure Firewall tanpa alamat IP publik?

Ya, tetapi Anda harus mengonfigurasi firewall dalam Mode Penerowongan Paksa. Konfigurasi ini membuat antarmuka manajemen dengan alamat IP publik yang digunakan oleh Azure Firewall untuk operasinya. Alamat IP publik ini untuk lalu lintas manajemen. Ini digunakan secara eksklusif oleh platform Azure dan tidak dapat digunakan untuk tujuan lain. Jaringan jalur data penyewa dapat dikonfigurasi tanpa alamat IP publik, dan lalu lintas Internet dapat dipaksa untuk diarahkan ke Firewall lain atau sepenuhnya diblokir.

Apakah ada cara untuk secara otomatis mencadangkan Azure Firewall dan aturan?

Ya. Untuk informasi selengkapnya, lihat Backup Azure Firewall dan Kebijakan Azure Firewall dengan Logic Apps.

Konektivitas dan perutean

Bagaimana cara menyiapkan Azure Firewall dengan titik akhir layanan saya?

Untuk akses yang aman ke layanan PaaS, kami merekomendasikan titik akhir layanan. Anda dapat memilih untuk mengaktifkan titik akhir layanan di subnet Azure Firewall dan menonaktifkannya di jaringan virtual spoke yang terhubung. Dengan cara ini, Anda mendapatkan manfaat dari kedua fitur: keamanan titik akhir layanan serta pencatatan yang terpusat untuk semua lalu lintas.

Dapatkah Azure Firewall di jaringan virtual hub meneruskan dan memfilter lalu lintas jaringan antara beberapa jaringan virtual spoke?

Ya, Anda dapat menggunakan Azure Firewall di jaringan virtual hub untuk merutekan dan memfilter lalu lintas antara beberapa jaringan virtual spoke. Subnet di setiap jaringan virtual spoke harus memiliki UDR yang menunjuk ke Azure Firewall sebagai gateway default agar skenario ini berfungsi dengan baik.

Dapatkah Azure Firewall meneruskan dan memfilter lalu lintas jaringan antar subnet di jaringan virtual yang sama atau jaringan virtual yang di-peering?

Ya. Namun, mengonfigurasi UDR untuk mengalihkan lalu lintas antar subnet di jaringan virtual yang sama membutuhkan perhatian lebih. Saat menggunakan rentang alamat jaringan virtual sebagai awalan target untuk UDR cukup, ini juga merutekan semua lalu lintas dari satu komputer ke komputer lain di subnet yang sama melalui instans Azure Firewall. Untuk menghindari hal ini, sertakan rute untuk subnet di UDR dengan tipe lompatan berikutnya jaringan virtual. Mengelola rute ini mungkin akan menjadi rumit dan rentan terhadap kesalahan. Metode yang direkomendasikan untuk segmentasi jaringan internal adalah menggunakan Network Security Group, yang tidak memerlukan UDR.

Apakah Azure Firewall melakukan SNAT keluar di antara jaringan privat?

Azure Firewall tidak SNAT ketika alamat IP tujuan adalah rentang IP privat per IANA RFC 1918 atau IANA RFC 6598 untuk jaringan privat. Jika organisasi Anda menggunakan rentang alamat IP publik untuk jaringan privat, Azure Firewall SNAT lalu lintas ke salah satu alamat IP privat firewall di AzureFirewallSubnet. Anda dapat mengonfigurasi Azure Firewall agar tidak melakukan SNAT pada rentang alamat IP publik Anda. Untuk informasi selengkapnya, lihat rentang alamat IP privat Azure Firewall SNAT.

Selain itu, lalu lintas yang diproses oleh aturan aplikasi selalu di-SNAT (Source Network Address Translation). Apabila Anda ingin melihat alamat IP sumber asli di log Anda untuk lalu lintas FQDN, Anda dapat menggunakan aturan jaringan dengan tujuan FQDN.

Apakah penerowongan/perantaian paksa ke Network Virtual Appliance didukung?

Penerowongan paksa didukung saat membuat firewall baru, dan juga didukung untuk firewall yang ada dengan menambahkan NIC manajemen untuk penerowongan paksa. Untuk rincian lebih lanjut mengenai penempatan baru, lihat Azure Firewall tunneling paksa. Untuk firewall yang ada, lihat Azure Firewall Management NIC.

Azure Firewall harus memiliki konektivitas Internet langsung. Jika AzureFirewallSubnet mengetahui rute default ke jaringan lokal Anda melalui BGP, Anda harus mengambil alih dengan 0.0.0.0/0 UDR dengan nilai NextHopType yang ditetapkan sebagai Internet untuk mempertahankan konektivitas Internet langsung.

Jika konfigurasi Anda memerlukan penerowongan paksa ke jaringan lokal dan Anda dapat menentukan awalan IP target untuk tujuan Internet Anda, Anda dapat mengonfigurasi rentang ini dengan jaringan lokal sebagai hop berikutnya melalui rute yang ditentukan pengguna di AzureFirewallSubnet. Atau, Anda bisa menggunakan BGP untuk menentukan rute tersebut.

Bagaimana wildcard bekerja di URL target dan FQDN target dalam aturan aplikasi?

• URL - Tanda bintang berfungsi saat ditempatkan di sisi paling kanan atau paling kiri. Jika ada di sebelah kiri, itu tidak dapat menjadi bagian dari FQDN.
• FQDN - Tanda bintang berfungsi saat ditempatkan di sisi paling kiri.
• UMUM - Tanda bintang di sisi paling kiri secara harfiah berarti bahwa apa pun di sebelah kiri akan cocok, yang berarti beberapa subdomain dan/atau variasi nama domain yang kemungkinan tidak diinginkan dapat cocok - lihat contoh berikut.

Contoh:

Jenis	Aturan	Apakah didukung?	Contoh yang positif
TargetURL	www.contoso.com	Ya	www.contoso.com www.contoso.com/
TargetURL	*.contoso.com	Ya	any.contoso.com/ sub1.any.contoso.com
TargetURL	*contoso.com	Ya	example.anycontoso.com sub1.example.contoso.com contoso.com Peringatan: penggunaan kartubebas ini juga memungkinkan variasi yang berpotensi tidak diinginkan/berisiko seperti th3re4lcontoso.com - gunakan dengan hati-hati.
TargetURL	www.contoso.com/test	Ya	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
TargetURL	www.contoso.com/test/*	Ya	www.contoso.com/test/anything Catatan: www.contoso.com/testtidak cocok (garis miring terakhir)
TargetURL	www.contoso.*/test/*	Tidak.
TargetURL	www.contoso.com/test?example=1	Tidak.
TargetURL	www.contoso.*	Tidak.
TargetURL	www.*contoso.com	Tidak.
TargetURL	www.contoso.com:8080	Tidak.
TargetURL	*.contoso.*	Tidak.
TargetFQDN	www.contoso.com	Ya	www.contoso.com
TargetFQDN	*.contoso.com	Ya	any.contoso.com Catatan: Jika Anda ingin secara khusus mengizinkan contoso.com, Anda harus menyertakan contoso.com dalam aturan. Jika tidak, koneksi dihilangkan secara default karena permintaan tidak cocok dengan aturan apa pun.
TargetFQDN	*contoso.com	Ya	example.anycontoso.com contoso.com
TargetFQDN	www.contoso.*	Tidak.
TargetFQDN	*.contoso.*	Tidak.

Apakah Azure Firewall mengizinkan akses ke Active Directory secara default?

Tidak. Azure Firewall memblokir akses Active Directory secara default. Untuk mengizinkan akses, silakan konfigurasikan tag layanan AzureActiveDirectory. Untuk informasi selengkapnya, lihat tag layanan Azure Firewall.

Dapatkah saya mengecualikan FQDN atau alamat IP dari pemfilteran berbasis Inteligensi Ancaman Azure Firewall?

Ya, Anda dapat menggunakan Azure PowerShell untuk melakukannya:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Mengapa ping TCP dan alat serupa berhasil terhubung ke FQDN target bahkan ketika tidak ada aturan pada Azure Firewall memungkinkan lalu lintas tersebut?

Ping TCP sebenarnya tidak terhubung ke FQDN target. Azure Firewall tidak mengizinkan koneksi ke alamat IP target/FQDN kecuali ada aturan eksplisit yang memungkinkannya.

Ping TCP adalah kasus penggunaan unik di mana jika tidak ada aturan yang diizinkan, Firewall itu sendiri merespons permintaan ping TCP klien meskipun ping TCP tidak mencapai alamat IP target/FQDN. Dalam hal ini, peristiwa tidak dicatat. Jika ada aturan jaringan yang memungkinkan akses ke alamat IP target/FQDN, permintaan ping mencapai server target dan responsnya disampaikan kembali ke klien. Peristiwa ini dicatat dalam log aturan Jaringan.

Mengapa ping TCP dan alat serupa berhasil terhubung ke alamat FQDN/IP target pada port 80, 443, dan 1433 tetapi tidak diamati di log Azure Firewall?

Azure Firewall bertindak sebagai pendengar pasif untuk port 80, 443, dan 1433. Azure Firewall tidak mencatat paket TCP SYN pada port ini kecuali ada lalu lintas aplikasi. Permintaan HTTP GET dan halo client TLS dicatat dalam Azure Firewall.

Apakah terdapat batasan untuk jumlah alamat IP yang didukung oleh Grup IP?

Ya. Untuk informasi selengkapnya, lihat Azure batas langganan dan layanan, kuota, dan batasan

Dapatkah saya memindahkan Grup IP ke grup sumber daya lain?

Tidak, pemindahan Grup IP ke grup sumber daya lain tidak didukung saat ini.

Berapa Batas Waktu Diam TCP untuk Azure Firewall?

Perilaku standar untuk firewall jaringan adalah memastikan bahwa koneksi TCP tetap hidup dan segera menutupnya jika tidak terdapat aktivitas. Azure Firewall Batas Waktu Diam TCP adalah empat menit. Pengaturan ini tidak dapat dikonfigurasi pengguna, tetapi Anda dapat menghubungi Dukungan Azure untuk meningkatkan Batas Waktu Diam untuk koneksi masuk dan keluar hingga 15 menit. Batas Waktu Diam untuk lalu lintas timur-barat tidak dapat diubah.

Jika periode nonaktif lebih lama dari nilai waktu habis, tidak terdapat jaminan bahwa sesi TCP atau HTTP akan dipertahankan. Praktik umum adalah menggunakan TCP keep-alive. Praktik ini membuat koneksi tetap aktif untuk jangka waktu yang lebih lama. Untuk informasi selengkapnya, lihat contoh .NET.

Dapatkah saya menyebarkan Azure Firewall tanpa alamat IP publik?

Ya, tetapi Anda harus mengonfigurasi firewall dalam Mode Penerowongan Paksa. Konfigurasi ini membuat antarmuka manajemen dengan alamat IP publik yang digunakan oleh Azure Firewall untuk operasinya. Alamat IP publik ini untuk lalu lintas manajemen. Ini digunakan secara eksklusif oleh platform Azure dan tidak dapat digunakan untuk tujuan lain. Jaringan jalur data penyewa dapat dikonfigurasi tanpa alamat IP publik, dan lalu lintas Internet dapat dipaksa untuk diarahkan ke Firewall lain atau sepenuhnya diblokir.

Di mana Azure Firewall menyimpan data pelanggan?

Azure Firewall tidak memindahkan atau menyimpan data pelanggan keluar dari wilayah tempat data disebarkan.

Apakah ada cara untuk secara otomatis mencadangkan Azure Firewall dan aturan?

Ya. Untuk informasi selengkapnya, lihat Backup Azure Firewall dan Kebijakan Azure Firewall dengan Logic Apps.

Apakah Azure Firewall di hub virtual aman (vWAN) didukung di Qatar?

Tidak, saat ini Azure Firewall di hub virtual aman (vWAN) tidak didukung di Qatar.

Berapa banyak koneksi paralel yang dapat Azure Firewall dukungan?

Azure Firewall menggunakan Azure Virtual Machines di bawahnya yang memiliki jumlah koneksi dengan batas keras. Jumlah total koneksi aktif per komputer virtual adalah 250k.

Batas total per firewall adalah batas koneksi komputer virtual (250k) x jumlah komputer virtual di kumpulan backend firewall. Azure Firewall dimulai dengan dua komputer virtual dan menyesuaikan skalanya berdasarkan penggunaan CPU dan throughput.

Apa perilaku penggunaan kembali port SNAT TCP/UDP dalam Azure Firewall?

Azure Firewall saat ini menggunakan port sumber TCP/UDP untuk lalu lintas SNAT keluar, tanpa waktu tunggu diam. Ketika koneksi TCP/UDP ditutup, port TCP yang digunakan segera terlihat tersedia untuk koneksi mendatang.

Sebagai solusi untuk arsitektur tertentu, Anda dapat menyebarkan dan menskalakan dengan NAT Gateway dengan Azure Firewall untuk menyediakan kumpulan port SNAT yang lebih luas untuk varianbilitas dan ketersediaan.

Apa itu perilaku NAT dalam Azure Firewall?

Perilaku NAT tertentu bergantung pada konfigurasi firewall dan jenis NAT yang dikonfigurasi. Misalnya, firewall memiliki aturan DNAT untuk lalu lintas masuk, serta aturan jaringan dan aturan aplikasi untuk lalu lintas keluar melalui firewall.

Untuk informasi selengkapnya, lihat Perilaku NAT Azure Firewall.

Waktu habis dan penskalakan

Bagaimana cara kerja pengurasan koneksi?

Untuk pemeliharaan yang direncanakan, logika pengurasan koneksi akan memperbarui node backend dengan elegan. Azure Firewall menunggu 90 detik hingga koneksi yang ada ditutup. Dalam 45 detik pertama, simpul backend tidak menerima koneksi baru, dan dalam waktu yang tersisa merespons dengan RST semua paket masuk. Jika diperlukan, klien dapat secara otomatis membangun kembali konektivitas ke simpul backend yang lain.

Bagaimana Azure Firewall menangani penonaktifan instans VM selama skala dalam Sekumpulan Skala Mesin Virtual (menurunkan skala) atau peningkatan perangkat lunak armada?

Pemadaman instans VM Azure Firewall bisa terjadi selama pengurangan skala Set Mesin Virtual atau selama pembaruan perangkat lunak armada. Dalam kasus ini, koneksi masuk baru seimbang dengan instans firewall yang tersisa dan tidak diteruskan ke instans firewall yang tidak berfungsi. Setelah 45 detik, firewall mulai menolak koneksi yang ada dengan mengirim paket RST TCP. Setelah 45 detik lagi, VM firewall dimatikan. Untuk informasi selengkapnya, lihat Load Balancer Reset TCP dan Batas Waktu Diam.

Berapa lama waktu yang dibutuhkan Azure Firewall untuk meluaskan skala?

Azure Firewall secara bertahap menskalakan ketika throughput rata-rata atau konsumsi CPU berada di 60%, atau jumlah penggunaan koneksi berada di 80%. Misalnya, ia mulai meluaskan skala ketika mencapai 60% dari throughput maksimumnya. Angka throughput maksimum bervariasi berdasarkan SKU Azure Firewall dan fitur yang diaktifkan. Untuk informasi selengkapnya, lihat performa Azure Firewall.

Skala keluar memerlukan sekitar lima hingga tujuh menit. Saat pengujian performa, pastikan Anda menguji setidaknya selama 10 hingga 15 menit, dan memulai koneksi baru untuk memanfaatkan simpul Azure Firewall yang baru dibuat.

Bagaimana Azure Firewall menangani waktu tunda saat idle?

Ketika koneksi memiliki Batas Waktu Diam (empat menit tanpa aktivitas), Azure Firewall menghentikan koneksi dengan lancar dengan mengirim paket RST TCP.

Pemeliharaan yang dikontrol pelanggan

Jenis pemeliharaan apa yang didukung pemeliharaan yang dikontrol pelanggan?

layanan Azure menjalani pembaruan pemeliharaan rutin untuk meningkatkan fungsionalitas, keandalan, performa, dan keamanan. Dengan periode pemeliharaan yang dikonfigurasi, pemeliharaan OS tamu dan pemeliharaan layanan dilakukan selama jendela tersebut. Namun, pemeliharaan yang dikontrol pelanggan tidak menyertakan pembaruan host atau pembaruan keamanan penting.

Bisakah saya mendapatkan pemberitahuan lanjutan tentang peristiwa pemeliharaan?

Pemberitahuan tingkat lanjut untuk pemeliharaan Azure Firewall tidak tersedia.

Dapatkah saya mengonfigurasi jendela pemeliharaan lebih pendek dari lima jam?

Tidak, diperlukan waktu pemeliharaan minimal lima jam.

Dapatkah saya mengonfigurasi jendela pemeliharaan selain jadwal harian?

Tidak, jendela pemeliharaan saat ini dikonfigurasi untuk berulang setiap hari.

Apakah ada kasus di mana saya tidak dapat mengontrol pembaruan tertentu?

Pemeliharaan yang dikontrol pelanggan mendukung pembaruan OS tamu dan layanan, yang mencakup sebagian besar item pemeliharaan yang menjadi perhatian pelanggan. Namun, beberapa pembaruan, seperti pembaruan host, berada di luar cakupan pemeliharaan yang dikontrol pelanggan. Dalam kasus yang jarang terjadi, kami mungkin mengambil alih kontrol Anda atas jendela pemeliharaan untuk mengatasi masalah keamanan dengan tingkat keparahan tinggi.

Apakah sumber daya konfigurasi pemeliharaan harus berada di wilayah yang sama dengan Azure Firewall?

Ya.

Dapatkah kita membuat lebih dari satu konfigurasi pemeliharaan untuk satu Azure Firewall?

Tidak. Saat ini, hanya satu konfigurasi pemeliharaan yang dapat dikaitkan dengan Azure Firewall.

SKU Azure Firewall mana yang dapat saya konfigurasi untuk menggunakan pemeliharaan yang dikontrol pelanggan?

Semua SKU Azure Firewall - Dasar, Standar, dan Premium mendukung pemeliharaan yang dikontrol pelanggan.

Berapa lama waktu yang diperlukan agar kebijakan konfigurasi pemeliharaan menjadi efektif setelah ditetapkan ke Azure Firewall?

Mungkin dibutuhkan waktu hingga 24 jam bagi Azure Firewall untuk mengikuti jadwal pemeliharaan setelah kebijakan pemeliharaan dihubungkan.

Saya menjadwalkan jendela pemeliharaan untuk tanggal mendatang untuk salah satu sumber daya Azure Firewall saya. Apakah aktivitas pemeliharaan dijeda pada sumber daya ini hingga waktu tersebut?

Aktivitas pemeliharaan pada Azure Firewall Anda tidak dijeda selama periode sebelum jendela pemeliharaan terjadwal. Selama hari-hari yang tidak termasuk dalam jadwal pemeliharaan Anda, operasi pemeliharaan rutin berlanjut seperti biasa pada sumber daya.

Bagaimana cara mengetahui lebih lanjut tentang pemeliharaan yang dikontrol pelanggan pada Azure Firewall?

Untuk informasi selengkapnya, lihat Mengonfigurasi pemeliharaan yang dikontrol pelanggan.

Azure Firewall adalah layanan keamanan jaringan berbasis cloud terkelola yang melindungi sumber daya Azure Virtual Network Anda. Ini adalah firewall sebagai layanan status penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Anda dapat membuat, menerapkan, dan mencatat kebijakan konektivitas jaringan dan aplikasi secara terpusat di seluruh langganan dan jaringan virtual.

Untuk daftar terperinci fitur Azure Firewall, lihat fitur Azure Firewall.

Azure Firewall dapat disebarkan di jaringan virtual apa pun. Namun, biasanya diterapkan pada jaringan virtual pusat dalam model hub-and-spoke, dengan jaringan virtual lainnya dipasangkan ke jaringan virtual tersebut. Rute default dari jaringan virtual yang di-peering diatur untuk menunjuk ke jaringan virtual firewall pusat ini. Meskipun peering jaringan virtual global didukung, hal itu tidak disarankan karena potensi masalah performa dan latensi antar wilayah. Untuk performa optimal, sebarkan satu firewall per wilayah.

Model ini memungkinkan kontrol terpusat atas beberapa VNet spoke di berbagai langganan dan menawarkan penghematan biaya dengan menghindari kebutuhan untuk menyebarkan firewall di setiap jaringan virtual. Penghematan biaya harus dievaluasi terhadap biaya peering terkait berdasarkan pola lalu lintas.

Azure Firewall dapat disebarkan menggunakan portal Azure, PowerShell, REST API, atau templat. Untuk instruksi langkah demi langkah, lihat Tutorial: Menyebarkan dan mengonfigurasi Azure Firewall menggunakan portal Azure.

Azure Firewall menggunakan aturan dan kumpulan aturan. Kumpulan aturan adalah sekumpulan aturan dengan urutan dan prioritas yang sama. Kumpulan aturan dijalankan dalam urutan prioritas. Kumpulan aturan DNAT memiliki prioritas lebih tinggi daripada kumpulan aturan jaringan, yang pada gilirannya memiliki prioritas lebih tinggi daripada kumpulan aturan aplikasi. Semua aturan dihentikan.

Terdapat tiga jenis pengumpulan aturan:

• Aturan aplikasi: Mengonfigurasi nama domain yang sepenuhnya memenuhi syarat (FQDN) yang dapat diakses dari jaringan virtual.
• Aturan jaringan: Mengonfigurasi aturan dengan alamat sumber, protokol, port tujuan, dan alamat tujuan.
• Aturan NAT: Mengonfigurasi aturan DNAT untuk mengizinkan koneksi Internet atau intranet (pratinjau) masuk.

Untuk informasi selengkapnya, lihat Konfigurasi aturan Azure Firewall.

Azure Firewall terintegrasi dengan Azure Monitor untuk melihat dan menganalisis log. Log dapat dikirim ke Log Analytics, Azure Storage, atau Azure Event Hubs dan dianalisis menggunakan alat seperti Log Analytics, Excel, atau Power BI. Untuk informasi selengkapnya, lihat Tutorial: Memantau log Azure Firewall.

Azure Firewall adalah layanan keamanan jaringan berbasis cloud terkelola yang melindungi sumber daya jaringan virtual. Ini adalah firewall sebagai layanan status penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Ini sudah diintegrasikan sebelumnya dengan penyedia security-as-a-service (SECaaS) pihak ketiga guna meningkatkan keamanan bagi jaringan virtual dan koneksi Internet cabang. Untuk informasi selengkapnya, lihat keamanan jaringan Azure.

Application Gateway WAF memberikan perlindungan masuk terpusat untuk aplikasi web terhadap eksploitasi dan kerentanan umum. Azure Firewall memberikan perlindungan masuk untuk protokol non-HTTP/S (misalnya, RDP, SSH, FTP), perlindungan tingkat jaringan keluar untuk semua port dan protokol, dan perlindungan tingkat aplikasi untuk HTTP/S keluar.

Azure Firewall melengkapi NSG untuk memberikan keamanan jaringan "pertahanan mendalam" yang lebih baik. NSG menawarkan pemfilteran lalu lintas lapisan jaringan terdistribusi untuk membatasi lalu lintas dalam jaringan virtual di setiap langganan. Azure Firewall menyediakan perlindungan terpusat dengan status penuh pada tingkat jaringan dan aplikasi di seluruh langganan dan jaringan virtual.

Azure Firewall adalah layanan terkelola dengan beberapa lapisan perlindungan, termasuk perlindungan platform dengan NSG tingkat NIC (tidak dapat dilihat). NSG tingkat subnet tidak diperlukan di AzureFirewallSubnet dan dinonaktifkan untuk mencegah gangguan layanan.

Titik akhir privat adalah komponen Private Link, teknologi yang memungkinkan untuk berinteraksi dengan layanan PaaS Azure menggunakan alamat IP privat, bukan yang publik. Azure Firewall dapat digunakan untuk mencegah akses ke alamat IP publik, oleh karena itu menghindari eksfiltrasi data ke layanan Azure tidak memanfaatkan Private Link, serta untuk menerapkan kebijakan tanpa kepercayaan dengan menentukan siapa di organisasi Anda yang perlu mengakses layanan PaaS Azure tersebut, karena Private Link per default membuka akses jaringan untuk seluruh jaringan perusahaan Anda.

Desain yang tepat untuk memeriksa lalu lintas ke titik akhir privat dengan Azure Firewall akan bergantung pada arsitektur jaringan Anda, Anda dapat menemukan detail selengkapnya dalam artikel Azure Firewall skenario untuk memeriksa lalu lintas yang ditujukan ke titik akhir privat.

Titik akhir layanan Jaringan Virtual adalah alternatif untuk Private Link untuk mengontrol akses jaringan ke layanan PaaS Azure. Bahkan jika klien masih menggunakan alamat IP publik untuk mengakses layanan PaaS, subnet sumber dibuat terlihat sehingga layanan PaaS tujuan dapat menerapkan aturan filter dan membatasi akses berdasarkan per subnet. Anda dapat menemukan perbandingan terperinci antara kedua mekanisme di Membandingkan Titik Akhir Privat dan Titik Akhir Layanan.

Azure Firewall aturan aplikasi dapat digunakan untuk memastikan bahwa tidak ada penyelundupan data ke layanan nakal yang terjadi, dan untuk menerapkan kebijakan akses dengan granularitas yang meningkat di luar tingkat subnet. Biasanya, titik akhir layanan jaringan virtual perlu diaktifkan di subnet klien yang akan terhubung ke layanan Azure. Namun, saat memeriksa lalu lintas ke titik akhir layanan dengan Azure Firewall, Anda perlu mengaktifkan titik akhir layanan yang sesuai di subnet Azure Firewall sebagai gantinya dan menonaktifkannya di subnet klien aktual (biasanya jaringan virtual spoke). Dengan cara ini Anda dapat menggunakan Aturan Aplikasi di Azure Firewall untuk mengontrol layanan Azure mana yang akan dapat diakses oleh beban kerja Azure Anda.

Untuk detail harga, lihat harga Azure Firewall.

Untuk batas layanan, lihat Azure batas langganan dan layanan, kuota, dan batasan.

Azure Firewall tidak memindahkan atau menyimpan data pelanggan di luar wilayah tempat data tersebut disebarkan.

Tidak, Azure Firewall di hub virtual aman (vWAN) saat ini tidak didukung di Qatar.

Ya, Azure Firewall mendukung pemfilteran lalu lintas masuk dan keluar. Pemfilteran masuk biasanya digunakan untuk protokol non-HTTP seperti RDP, SSH, dan FTP. Untuk lalu lintas HTTP dan HTTPS masuk, pertimbangkan untuk menggunakan firewall aplikasi web seperti Azure Web Application Firewall (WAF) atau offload TLS dan fitur inspeksi paket mendalam Azure Firewall Premium.

Ya, Azure Firewall Basic mendukung penerowongan paksa.

Ping TCP sebenarnya tidak tersambung ke FQDN target. Azure Firewall memblokir koneksi ke alamat IP target atau FQDN kecuali diizinkan secara eksplisit oleh aturan.

Dalam kasus ping TCP, jika tidak ada aturan yang mengizinkan lalu lintas, Firewall itu sendiri merespons permintaan ping TCP klien. Respons ini tidak mencapai alamat IP target atau FQDN dan tidak dicatat. Jika aturan jaringan secara eksplisit mengizinkan akses ke alamat IP target atau FQDN, permintaan ping mencapai server target, dan responsnya disampaikan kembali ke klien. Peristiwa ini dicatat dalam log aturan Jaringan.

Tidak, Azure Firewall tidak secara asli mendukung peering BGP. Namun, fitur rute SNAT Autolearn secara tidak langsung menggunakan BGP melalui Azure Route Server.

Azure Firewall tidak secara asli mendukung ESP (Merangkum Payload Keamanan), tetapi Anda dapat mengizinkan lalu lintas ESP dengan mengonfigurasi aturan jaringan sebagai berikut:

Konfigurasi Azure Firewall (aturan jaringan):

• Protokol: Semua
• Port sumber: * (Apa pun)
• Port tujuan: * (Apa pun)
• Sumber/Tujuan: Tentukan alamat IP sesuai kebutuhan

Konfigurasi ini memungkinkan paket ESP (protokol IP nomor 50) dan lalu lintas non-TCP/UDP lainnya agar sesuai dengan aturan. Namun, perhatikan bahwa Azure Firewall tidak memeriksa payload ESP.

Reference : Jika menggunakan NSG (Kelompok Keamanan Jaringan) alih-alih Azure Firewall: NSG tidak menyediakan opsi langsung untuk menentukan ESP (nomor protokol IP 50), tetapi paket ESP dapat diizinkan dengan menggunakan pengaturan berikut:

• Protokol: Semua
• Port: * (Apa pun)
• Sumber/Tujuan: Tentukan alamat IP sesuai kebutuhan

Recommendations:

• Untuk konfigurasi VPN IPsec, sebaiknya gunakan Azure VPN Gateway.
• Pertimbangkan untuk menggunakan pola NVA (Network Virtual Appliance) tergantung pada kebutuhan Anda.

Anda dapat menggunakan Azure PowerShell untuk membatalkan alokasi dan mengalokasikan Azure Firewall. Prosesnya bervariasi tergantung pada konfigurasinya.

Untuk firewall tanpa NIC Manajemen:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Untuk firewall dengan NIC Manajemen:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Untuk firewall di hub virtual yang aman:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Catatan

Saat menghentikan dan memulai firewall, penagihan berhenti dan dimulai dengan sesuai. Namun, alamat IP privat mungkin berubah, yang dapat memengaruhi konektivitas jika tabel rute dikonfigurasi.

Disarankan untuk mengonfigurasi zona ketersediaan selama penyebaran awal. Namun, Anda dapat mengonfigurasi ulang setelah penyebaran jika:

• Firewall disebarkan dalam jaringan virtual (tidak didukung di hub virtual aman).
• Wilayah ini mendukung zona ketersediaan.
• Semua alamat IP publik terlampir dikonfigurasi dengan zona yang sama.

Untuk mengonfigurasi ulang zona ketersediaan:

1. Batalkan alokasi firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Perbarui konfigurasi zona dan alokasikan firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Ya:

• Azure Firewall dan jaringan virtual harus berada dalam grup sumber daya yang sama.
• Alamat IP publik dapat berada dalam grup sumber daya yang berbeda.
• Semua sumber daya (Azure firewall, jaringan virtual, IP publik) harus berada dalam langganan yang sama.

Status penyediaan Gagal menunjukkan bahwa pembaruan konfigurasi gagal pada satu atau beberapa instans backend. Azure Firewall tetap beroperasi, tetapi konfigurasinya mungkin tidak konsisten. Coba lagi pembaruan hingga status provisi berubah menjadi Berhasil.

Azure Firewall menggunakan konfigurasi aktif-aktif dengan menggunakan beberapa node backend. Selama pemeliharaan terencana, pembuangan koneksi memastikan pembaruan yang mulus. Untuk kegagalan yang tidak diencana, simpul baru menggantikan yang gagal, dan konektivitas biasanya dipulihkan dalam waktu 10 detik.

Ya, nama firewall dibatasi hingga 50 karakter.

Subnet /26 memastikan alamat IP yang memadai untuk penskalaan karena Azure Firewall menyediakan instans komputer virtual tambahan.

Tidak, subnet /26 cukup untuk semua skenario penskalaan.

Azure Firewall menskalakan secara otomatis berdasarkan penggunaan CPU, throughput, dan jumlah koneksi. Kapasitas throughput berkisar antara 2,5–3 Gbps awalnya hingga 30 Gbps (SKU Standar) atau 100 Gbps (SKU Premium).

Ya. Untuk detailnya, lihat Azure batas langganan dan layanan, kuota, dan batasan.

Tidak, pemindahan Grup IP ke grup sumber daya lain tidak didukung saat ini.

Perilaku standar untuk firewall jaringan adalah memastikan bahwa koneksi TCP tetap hidup dan segera menutupnya jika tidak terdapat aktivitas. Azure Firewall Batas Waktu Diam TCP adalah empat menit. Pengaturan ini tidak dapat dikonfigurasi pengguna, tetapi Anda dapat menghubungi Dukungan Azure untuk meningkatkan Batas Waktu Diam untuk koneksi masuk dan keluar hingga 15 menit. Batas Waktu Diam untuk lalu lintas timur-barat tidak dapat diubah.

Jika periode nonaktif lebih lama dari nilai waktu habis, tidak terdapat jaminan bahwa sesi TCP atau HTTP akan dipertahankan. Praktik umum adalah menggunakan TCP keep-alive. Praktik ini membuat koneksi tetap aktif untuk jangka waktu yang lebih lama. Untuk informasi selengkapnya, lihat contoh .NET.

Ya, tetapi Anda harus mengonfigurasi firewall dalam Mode Penerowongan Paksa. Konfigurasi ini membuat antarmuka manajemen dengan alamat IP publik yang digunakan oleh Azure Firewall untuk operasinya. Alamat IP publik ini untuk lalu lintas manajemen. Ini digunakan secara eksklusif oleh platform Azure dan tidak dapat digunakan untuk tujuan lain. Jaringan jalur data penyewa dapat dikonfigurasi tanpa alamat IP publik, dan lalu lintas Internet dapat dipaksa untuk diarahkan ke Firewall lain atau sepenuhnya diblokir.

Ya. Untuk informasi selengkapnya, lihat Backup Azure Firewall dan Kebijakan Azure Firewall dengan Logic Apps.

Untuk akses yang aman ke layanan PaaS, kami merekomendasikan titik akhir layanan. Anda dapat memilih untuk mengaktifkan titik akhir layanan di subnet Azure Firewall dan menonaktifkannya di jaringan virtual spoke yang terhubung. Dengan cara ini, Anda mendapatkan manfaat dari kedua fitur: keamanan titik akhir layanan serta pencatatan yang terpusat untuk semua lalu lintas.

Ya, Anda dapat menggunakan Azure Firewall di jaringan virtual hub untuk merutekan dan memfilter lalu lintas antara beberapa jaringan virtual spoke. Subnet di setiap jaringan virtual spoke harus memiliki UDR yang menunjuk ke Azure Firewall sebagai gateway default agar skenario ini berfungsi dengan baik.

Ya. Namun, mengonfigurasi UDR untuk mengalihkan lalu lintas antar subnet di jaringan virtual yang sama membutuhkan perhatian lebih. Saat menggunakan rentang alamat jaringan virtual sebagai awalan target untuk UDR cukup, ini juga merutekan semua lalu lintas dari satu komputer ke komputer lain di subnet yang sama melalui instans Azure Firewall. Untuk menghindari hal ini, sertakan rute untuk subnet di UDR dengan tipe lompatan berikutnya jaringan virtual. Mengelola rute ini mungkin akan menjadi rumit dan rentan terhadap kesalahan. Metode yang direkomendasikan untuk segmentasi jaringan internal adalah menggunakan Network Security Group, yang tidak memerlukan UDR.

Azure Firewall tidak SNAT ketika alamat IP tujuan adalah rentang IP privat per IANA RFC 1918 atau IANA RFC 6598 untuk jaringan privat. Jika organisasi Anda menggunakan rentang alamat IP publik untuk jaringan privat, Azure Firewall SNAT lalu lintas ke salah satu alamat IP privat firewall di AzureFirewallSubnet. Anda dapat mengonfigurasi Azure Firewall agar tidak melakukan SNAT pada rentang alamat IP publik Anda. Untuk informasi selengkapnya, lihat rentang alamat IP privat Azure Firewall SNAT.

Selain itu, lalu lintas yang diproses oleh aturan aplikasi selalu di-SNAT (Source Network Address Translation). Apabila Anda ingin melihat alamat IP sumber asli di log Anda untuk lalu lintas FQDN, Anda dapat menggunakan aturan jaringan dengan tujuan FQDN.

Penerowongan paksa didukung saat membuat firewall baru, dan juga didukung untuk firewall yang ada dengan menambahkan NIC manajemen untuk penerowongan paksa. Untuk rincian lebih lanjut mengenai penempatan baru, lihat Azure Firewall tunneling paksa. Untuk firewall yang ada, lihat Azure Firewall Management NIC.

Azure Firewall harus memiliki konektivitas Internet langsung. Jika AzureFirewallSubnet mengetahui rute default ke jaringan lokal Anda melalui BGP, Anda harus mengambil alih dengan 0.0.0.0/0 UDR dengan nilai NextHopType yang ditetapkan sebagai Internet untuk mempertahankan konektivitas Internet langsung.

Jika konfigurasi Anda memerlukan penerowongan paksa ke jaringan lokal dan Anda dapat menentukan awalan IP target untuk tujuan Internet Anda, Anda dapat mengonfigurasi rentang ini dengan jaringan lokal sebagai hop berikutnya melalui rute yang ditentukan pengguna di AzureFirewallSubnet. Atau, Anda bisa menggunakan BGP untuk menentukan rute tersebut.

• URL - Tanda bintang berfungsi saat ditempatkan di sisi paling kanan atau paling kiri. Jika ada di sebelah kiri, itu tidak dapat menjadi bagian dari FQDN.
• FQDN - Tanda bintang berfungsi saat ditempatkan di sisi paling kiri.
• UMUM - Tanda bintang di sisi paling kiri secara harfiah berarti bahwa apa pun di sebelah kiri akan cocok, yang berarti beberapa subdomain dan/atau variasi nama domain yang kemungkinan tidak diinginkan dapat cocok - lihat contoh berikut.

Contoh:

Jenis	Aturan	Apakah didukung?	Contoh yang positif
TargetURL	www.contoso.com	Ya	www.contoso.com www.contoso.com/
TargetURL	*.contoso.com	Ya	any.contoso.com/ sub1.any.contoso.com
TargetURL	*contoso.com	Ya	example.anycontoso.com sub1.example.contoso.com contoso.com Peringatan: penggunaan kartubebas ini juga memungkinkan variasi yang berpotensi tidak diinginkan/berisiko seperti th3re4lcontoso.com - gunakan dengan hati-hati.
TargetURL	www.contoso.com/test	Ya	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
TargetURL	www.contoso.com/test/*	Ya	www.contoso.com/test/anything Catatan: www.contoso.com/testtidak cocok (garis miring terakhir)
TargetURL	www.contoso.*/test/*	Tidak.
TargetURL	www.contoso.com/test?example=1	Tidak.
TargetURL	www.contoso.*	Tidak.
TargetURL	www.*contoso.com	Tidak.
TargetURL	www.contoso.com:8080	Tidak.
TargetURL	*.contoso.*	Tidak.
TargetFQDN	www.contoso.com	Ya	www.contoso.com
TargetFQDN	*.contoso.com	Ya	any.contoso.com Catatan: Jika Anda ingin secara khusus mengizinkan contoso.com, Anda harus menyertakan contoso.com dalam aturan. Jika tidak, koneksi dihilangkan secara default karena permintaan tidak cocok dengan aturan apa pun.
TargetFQDN	*contoso.com	Ya	example.anycontoso.com contoso.com
TargetFQDN	www.contoso.*	Tidak.
TargetFQDN	*.contoso.*	Tidak.

Tidak. Azure Firewall memblokir akses Active Directory secara default. Untuk mengizinkan akses, silakan konfigurasikan tag layanan AzureActiveDirectory. Untuk informasi selengkapnya, lihat tag layanan Azure Firewall.

Ya, Anda dapat menggunakan Azure PowerShell untuk melakukannya:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Ping TCP sebenarnya tidak terhubung ke FQDN target. Azure Firewall tidak mengizinkan koneksi ke alamat IP target/FQDN kecuali ada aturan eksplisit yang memungkinkannya.

Ping TCP adalah kasus penggunaan unik di mana jika tidak ada aturan yang diizinkan, Firewall itu sendiri merespons permintaan ping TCP klien meskipun ping TCP tidak mencapai alamat IP target/FQDN. Dalam hal ini, peristiwa tidak dicatat. Jika ada aturan jaringan yang memungkinkan akses ke alamat IP target/FQDN, permintaan ping mencapai server target dan responsnya disampaikan kembali ke klien. Peristiwa ini dicatat dalam log aturan Jaringan.

Azure Firewall bertindak sebagai pendengar pasif untuk port 80, 443, dan 1433. Azure Firewall tidak mencatat paket TCP SYN pada port ini kecuali ada lalu lintas aplikasi. Permintaan HTTP GET dan halo client TLS dicatat dalam Azure Firewall.

Ya. Untuk informasi selengkapnya, lihat Azure batas langganan dan layanan, kuota, dan batasan

Tidak, pemindahan Grup IP ke grup sumber daya lain tidak didukung saat ini.

Perilaku standar untuk firewall jaringan adalah memastikan bahwa koneksi TCP tetap hidup dan segera menutupnya jika tidak terdapat aktivitas. Azure Firewall Batas Waktu Diam TCP adalah empat menit. Pengaturan ini tidak dapat dikonfigurasi pengguna, tetapi Anda dapat menghubungi Dukungan Azure untuk meningkatkan Batas Waktu Diam untuk koneksi masuk dan keluar hingga 15 menit. Batas Waktu Diam untuk lalu lintas timur-barat tidak dapat diubah.

Jika periode nonaktif lebih lama dari nilai waktu habis, tidak terdapat jaminan bahwa sesi TCP atau HTTP akan dipertahankan. Praktik umum adalah menggunakan TCP keep-alive. Praktik ini membuat koneksi tetap aktif untuk jangka waktu yang lebih lama. Untuk informasi selengkapnya, lihat contoh .NET.

Ya, tetapi Anda harus mengonfigurasi firewall dalam Mode Penerowongan Paksa. Konfigurasi ini membuat antarmuka manajemen dengan alamat IP publik yang digunakan oleh Azure Firewall untuk operasinya. Alamat IP publik ini untuk lalu lintas manajemen. Ini digunakan secara eksklusif oleh platform Azure dan tidak dapat digunakan untuk tujuan lain. Jaringan jalur data penyewa dapat dikonfigurasi tanpa alamat IP publik, dan lalu lintas Internet dapat dipaksa untuk diarahkan ke Firewall lain atau sepenuhnya diblokir.

Azure Firewall tidak memindahkan atau menyimpan data pelanggan keluar dari wilayah tempat data disebarkan.

Ya. Untuk informasi selengkapnya, lihat Backup Azure Firewall dan Kebijakan Azure Firewall dengan Logic Apps.

Tidak, saat ini Azure Firewall di hub virtual aman (vWAN) tidak didukung di Qatar.

Azure Firewall menggunakan Azure Virtual Machines di bawahnya yang memiliki jumlah koneksi dengan batas keras. Jumlah total koneksi aktif per komputer virtual adalah 250k.

Batas total per firewall adalah batas koneksi komputer virtual (250k) x jumlah komputer virtual di kumpulan backend firewall. Azure Firewall dimulai dengan dua komputer virtual dan menyesuaikan skalanya berdasarkan penggunaan CPU dan throughput.

Azure Firewall saat ini menggunakan port sumber TCP/UDP untuk lalu lintas SNAT keluar, tanpa waktu tunggu diam. Ketika koneksi TCP/UDP ditutup, port TCP yang digunakan segera terlihat tersedia untuk koneksi mendatang.

Sebagai solusi untuk arsitektur tertentu, Anda dapat menyebarkan dan menskalakan dengan NAT Gateway dengan Azure Firewall untuk menyediakan kumpulan port SNAT yang lebih luas untuk varianbilitas dan ketersediaan.

Perilaku NAT tertentu bergantung pada konfigurasi firewall dan jenis NAT yang dikonfigurasi. Misalnya, firewall memiliki aturan DNAT untuk lalu lintas masuk, serta aturan jaringan dan aturan aplikasi untuk lalu lintas keluar melalui firewall.

Untuk informasi selengkapnya, lihat Perilaku NAT Azure Firewall.

Untuk pemeliharaan yang direncanakan, logika pengurasan koneksi akan memperbarui node backend dengan elegan. Azure Firewall menunggu 90 detik hingga koneksi yang ada ditutup. Dalam 45 detik pertama, simpul backend tidak menerima koneksi baru, dan dalam waktu yang tersisa merespons dengan RST semua paket masuk. Jika diperlukan, klien dapat secara otomatis membangun kembali konektivitas ke simpul backend yang lain.

Pemadaman instans VM Azure Firewall bisa terjadi selama pengurangan skala Set Mesin Virtual atau selama pembaruan perangkat lunak armada. Dalam kasus ini, koneksi masuk baru seimbang dengan instans firewall yang tersisa dan tidak diteruskan ke instans firewall yang tidak berfungsi. Setelah 45 detik, firewall mulai menolak koneksi yang ada dengan mengirim paket RST TCP. Setelah 45 detik lagi, VM firewall dimatikan. Untuk informasi selengkapnya, lihat Load Balancer Reset TCP dan Batas Waktu Diam.

Azure Firewall secara bertahap menskalakan ketika throughput rata-rata atau konsumsi CPU berada di 60%, atau jumlah penggunaan koneksi berada di 80%. Misalnya, ia mulai meluaskan skala ketika mencapai 60% dari throughput maksimumnya. Angka throughput maksimum bervariasi berdasarkan SKU Azure Firewall dan fitur yang diaktifkan. Untuk informasi selengkapnya, lihat performa Azure Firewall.

Skala keluar memerlukan sekitar lima hingga tujuh menit. Saat pengujian performa, pastikan Anda menguji setidaknya selama 10 hingga 15 menit, dan memulai koneksi baru untuk memanfaatkan simpul Azure Firewall yang baru dibuat.

Ketika koneksi memiliki Batas Waktu Diam (empat menit tanpa aktivitas), Azure Firewall menghentikan koneksi dengan lancar dengan mengirim paket RST TCP.

layanan Azure menjalani pembaruan pemeliharaan rutin untuk meningkatkan fungsionalitas, keandalan, performa, dan keamanan. Dengan periode pemeliharaan yang dikonfigurasi, pemeliharaan OS tamu dan pemeliharaan layanan dilakukan selama jendela tersebut. Namun, pemeliharaan yang dikontrol pelanggan tidak menyertakan pembaruan host atau pembaruan keamanan penting.

Pemberitahuan tingkat lanjut untuk pemeliharaan Azure Firewall tidak tersedia.

Tidak, diperlukan waktu pemeliharaan minimal lima jam.

Tidak, jendela pemeliharaan saat ini dikonfigurasi untuk berulang setiap hari.

Pemeliharaan yang dikontrol pelanggan mendukung pembaruan OS tamu dan layanan, yang mencakup sebagian besar item pemeliharaan yang menjadi perhatian pelanggan. Namun, beberapa pembaruan, seperti pembaruan host, berada di luar cakupan pemeliharaan yang dikontrol pelanggan. Dalam kasus yang jarang terjadi, kami mungkin mengambil alih kontrol Anda atas jendela pemeliharaan untuk mengatasi masalah keamanan dengan tingkat keparahan tinggi.

Ya.

Tidak. Saat ini, hanya satu konfigurasi pemeliharaan yang dapat dikaitkan dengan Azure Firewall.

Semua SKU Azure Firewall - Dasar, Standar, dan Premium mendukung pemeliharaan yang dikontrol pelanggan.

Mungkin dibutuhkan waktu hingga 24 jam bagi Azure Firewall untuk mengikuti jadwal pemeliharaan setelah kebijakan pemeliharaan dihubungkan.

Aktivitas pemeliharaan pada Azure Firewall Anda tidak dijeda selama periode sebelum jendela pemeliharaan terjadwal. Selama hari-hari yang tidak termasuk dalam jadwal pemeliharaan Anda, operasi pemeliharaan rutin berlanjut seperti biasa pada sumber daya.

Untuk informasi selengkapnya, lihat Mengonfigurasi pemeliharaan yang dikontrol pelanggan.