Tanya Jawab Umum Azure Firewall

Azure Firewall adalah layanan keamanan jaringan berbasis cloud terkelola yang melindungi sumber daya Azure Virtual Network Anda. Ini adalah firewall sebagai layanan status penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Anda dapat membuat, menerapkan, dan mencatat kebijakan konektivitas jaringan dan aplikasi secara terpusat di seluruh langganan dan jaringan virtual.

Untuk mempelajari tentang fitur Azure Firewall, lihat Fitur Azure Firewall.

Anda dapat menyebarkan Azure Firewall di jaringan virtual apa pun, tetapi pelanggan biasanya menyebarkannya di jaringan virtual pusat dan melakukan peering jaringan virtual lainnya dengan Azure Firewall dalam model hub-dan-spoke. Anda kemudian dapat mengatur rute default dari jaringan virtual yang di-peering untuk menunjuk ke jaringan virtual firewall pusat ini. Peering VNET global memang didukung, namun tidak disarankan dikarenakan adanya potensi masalah performa dan latensi di seluruh wilayah. Untuk mendapatkan performa terbaik, sebarkan satu firewall per wilayah.

Keuntungan dari model ini adalah kemampuannya untuk secara terpusat mengerahkan kontrol pada beberapa spoke VNET di berbagai langganan. Biaya juga bisa dihemat karena Anda tidak perlu menyebarkan firewall di tiap VNET secara terpisah. Penghematan biaya harus diukur dengan biaya peering terkait berdasarkan pola lalu lintas pelanggan.

Anda dapat mengatur Azure Firewall dengan menggunakan portal Microsoft Azure, PowerShell, REST API, atau dengan menggunakan template. Lihat Tutorial: Menerapkan dan mengonfigurasi Azure Firewall menggunakan portal Microsoft Azure untuk instruksi langkah demi langkah.

Azure Firewall mendukung aturan dan kumpulan aturan. Pengumpulan aturan merupakan sekumpulan aturan yang memiliki urutan dan prioritas yang sama. Pengumpulan aturan dilaksanakan menurut urutan prioritasnya. Kumpulan aturan DNAT adalah kumpulan aturan jaringan prioritas yang lebih tinggi, yang prioritasnya lebih tinggi daripada kumpulan aturan aplikasi, dan semua aturan dihentikan.

Terdapat tiga jenis pengumpulan aturan:

• Aturan aplikasi: Mengonfigurasi nama domain yang sepenuhnya memenuhi syarat (FQDN) yang dapat diakses dari Virtual Network.
• Aturan jaringan: Mengonfigurasi aturan yang berisi alamat sumber, protokol, port tujuan, serta alamat tujuan.
• Aturan NAT: Mengonfigurasi aturan DNAT untuk memperbolehkan koneksi Internet masuk.

Untuk informasi selengkapnya, lihat Mengonfigurasi aturan Azure Firewall.

Azure Firewall mendukung pemfilteran masuk serta keluar. Perlindungan masuk biasanya digunakan untuk protokol non-HTTP seperti protokol RDP, SSH, dan FTP. Untuk perlindungan HTTP dan HTTPS masuk, gunakan firewall aplikasi web seperti Azure Web Application Firewall (WAF) atau offload TLS dan kemampuan inspeksi paket mendalam Azure Firewall Premium.

Ya, Azure Firewall Basic mendukung penerowongan paksa.

Azure Firewall terintegrasi dengan Azure Monitor untuk melihat dan menganalisis log firewall. Log dapat dikirim ke Analitik Log, Microsoft Azure Storage, atau Event Hubs. Mereka dapat dianalisis di Analitik Log atau dengan alat yang berbeda seperti Excel dan Power BI. Untuk informasi selengkapnya, lihat Tutorial: Memantau log serta metrik Azure Firewall.

Azure Firewall adalah layanan keamanan jaringan berbasis cloud terkelola yang melindungi sumber daya jaringan virtual Anda. Ini adalah layanan firewall stateful penuh yang dilengkapi dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Ini telah terintegrasi sebelumnya dengan penyedia keamanan sebagai layanan (SECaaS) pihak ketiga untuk memberikan keamanan tingkat lanjut untuk jaringan virtual dan koneksi Internet cabang Anda. Untuk mempelajari selengkapnya tentang keamanan jaringan Azure, lihat Keamanan jaringan Azure.

Web Application Firewall (WAF) adalah fitur Azure Application Gateway yang menyediakan perlindungan masuk terpusat dari aplikasi web Anda dari eksploitasi dan kerentanan umum. Azure Firewall menyediakan perlindungan masuk bagi protokol non-HTTP/S (misalnya, RDP, SSH, FTP), perlindungan tingkat jaringan keluar untuk semua port dan protokol, serta perlindungan tingkat aplikasi untuk HTTP/S keluar.

Layanan Azure Firewall melengkapi fungsionalitas bagi grup keamanan jaringan. Secara bersama-sama, keduanya memberikan “pertahanan secara mendalam” yang lebih baik bagi keamanan jaringan. Grup keamanan jaringan menyediakan pemfilteran lalu lintas lapisan jaringan terdistribusi untuk membatasi lalu lintas ke sumber daya dalam jaringan virtual di setiap langganan. Azure Firewall merupakan firewall jaringan terpusat yang canggih serta menyediakan perlindungan tingkat jaringan dan aplikasi di berbagai langganan dan jaringan virtual.

Azure Firewall merupakan layanan terkelola dengan beberapa lapisan perlindungan, termasuk perlindungan platform dengan NSG tingkat NIC (tidak dapat dilihat). NSG tingkat subjaringan tidak dibutuhkan di AzureFirewallSubnet, dan dinonaktifkan untuk memastikan tidak ada gangguan layanan.

Untuk akses yang aman ke layanan PaaS, kami merekomendasikan titik akhir layanan. Anda dapat memilih untuk mengaktifkan titik akhir layanan di subjaringan Azure Firewall dan menonaktifkannya di jaringan virtual ujaran yang tersambung. Dengan cara ini, Anda mendapatkan manfaat dari kedua fitur: keamanan titik akhir layanan serta pencatatan yang terpusat untuk semua lalu lintas.

Lihat Harga untuk Azure Firewall.

Anda dapat menggunakan metode hentikan alokasi dan alokasikan Azure PowerShell. Untuk firewall yang dikonfigurasi untuk penerowongan paksa, prosedurnya sedikit berbeda.

Misalnya, untuk firewall yang TIDAK dikonfigurasi untuk penerowongan paksa:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))

Set-AzFirewall -AzureFirewall $azfw

Untuk firewall yang dikonfigurasi untuk penerowongan paksa, penghentiannya sama. Tetapi untuk memulai, IP publik manajemen perlu dikaitkan kembali ke firewall:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall

Untuk firewall dalam arsitektur hub virtual yang aman, berhenti sama tetapi memulai harus menggunakan ID hub virtual:

# Stop and existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$virtualhub = get-azvirtualhub -ResourceGroupName "RG name of vHUB" -name "vHUB name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Azfw RG Name"
$azfw.Allocate($virtualhub.Id)
$azfw | Set-AzFirewall

Ketika Anda mengalokasikan dan menangani, penagihan firewall berhenti dan dimulai sesuai.

Rekomendasinya adalah mengonfigurasi zona ketersediaan selama penyebaran firewall awal. Namun, dalam beberapa kasus dimungkinkan untuk mengubah zona ketersediaan setelah penyebaran. Prasyaratnya adalah:

• Firewall disebarkan di VNet. Ini tidak didukung dengan firewall yang disebarkan di hub virtual yang aman.
• Wilayah firewall mendukung zona ketersediaan.
• Semua alamat IP publik terlampir disebarkan dengan zona ketersediaan. Di halaman properti setiap alamat IP publik, pastikan bidang zona ketersediaan ada dan dikonfigurasi dengan zona yang sama dengan yang Anda konfigurasi untuk firewall.

Mengonfigurasi ulang zona ketersediaan hanya dapat dilakukan saat Anda memulai ulang firewall. Setelah Anda mengalokasikan firewall, dan tepat sebelum memulai firewall dengan Set-AzFirewall, gunakan Azure PowerShell berikut untuk mengubah properti Zona firewall:

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azFw.Zones=1,2,3
$azfw | Set-AzFirewall

Untuk memperoleh informasi tentang batas layanan Azure Firewall, lihat Batas, kuota, serta pembatasan layanan dan langganan Azure.

Ya, Anda dapat menggunakan Azure Firewall di jaringan virtual hub untuk merutekan dan memfilter lalu lintas di antara dua jaringan virtual yang berbicara. Subnet di setiap jaringan virtual bicara harus memiliki UDR yang mengarah ke Azure Firewall sebagai gateway default agar skenario ini berfungsi dengan baik.

Ya. Namun, mengonfigurasi UDR untuk mengalihkan lalu lintas antar subnet di VNET yang sama membutuhkan perhatian lebih. Saat menggunakan rentang alamat VNET sebagai awalan target untuk UDR sudah memadai, hal ini juga merutekan semua lalu lintas dari satu mesin ke mesin lain dalam subjaringan yang sama melalui instans Azure Firewall. Untuk menghindari hal ini, sertakan rute untuk subjaringan di UDR dengan jenis hop VNET berikutnya. Mengelola rute ini mungkin akan menjadi rumit dan rentan terhadap kesalahan. Metode yang direkomendasikan untuk segmentasi jaringan internal adalah menggunakan Network Security Group, yang tidak memerlukan UDR.

Azure Firewall tidak melakukan SNAT ketika alamat IP tujuan adalah rentang IP pribadi per IANA RFC 1918. Jika organisasi Anda menggunakan rentang alamat IP publik untuk jaringan pribadi, Azure Firewall mengirimkan lalu lintas ke salah satu alamat IP pribadi firewall di AzureFirewallSubnet. Anda dapat mengonfigurasi Azure Firewall untuk tidak melakukan SNAT pada rentang alamat IP Anda. Untuk informasi selengkapnya, lihat rentang alamat IP privat Azure Firewall SNAT.

Selain itu, lalu lintas yang diproses oleh aturan aplikasi selalu mengalami SNAT. Apabila Anda ingin melihat alamat IP sumber asli di log Anda untuk lalu lintas FQDN, Anda dapat menggunakan aturan jaringan dengan tujuan FQDN.

Penerowongan paksa didukung saat Anda membuat firewall baru. Anda tidak dapat mengonfigurasi firewall yang ada untuk penerowongan paksa. Untuk informasi selengkapnya, lihat Azure Firewall memaksa penerowongan.

Azure Firewall harus memiliki konektivitas Internet langsung. Jika AzureFirewallSubnet mengetahui rute default ke jaringan lokal Anda melalui BGP, Anda harus mengambil alih dengan 0.0.0.0/0 UDR dengan nilai NextHopType yang ditetapkan sebagai Internet untuk mempertahankan konektivitas Internet langsung.

Jika konfigurasi Anda memerlukan penerowongan paksa ke jaringan lokal dan Anda dapat menentukan awalan IP target untuk tujuan Internet Anda, Anda dapat mengonfigurasi rentang ini dengan jaringan lokal sebagai hop berikutnya melalui rute yang ditentukan pengguna di AzureFirewallSubnet. Atau, Anda bisa menggunakan BGP untuk menentukan rute tersebut.

Ya. Firewall, VNet, serta alamat IP publik semuanya harus berada dalam grup sumber daya yang sama.

• URL - Tanda bintang berfungsi bila ditempatkan di sisi paling kanan atau paling kiri. Jika tanda bintang berada di sebelah kiri, ia tidak dapat menjadi bagian dari FQDN.
• FQDN - Tanda bintang akan berfungsi ketika ditempatkan di sisi paling kiri.
• UMUM - Tanda bintang di sisi paling kiri berarti secara harfiah apa pun di sebelah kiri kecocokan, yang berarti beberapa subdomain dan/atau variasi nama domain yang kemungkinan tidak diinginkan cocok - lihat contoh berikut.

Contoh:

Setiap kali perubahan konfigurasi diterapkan, Azure Firewall mencoba memperbarui semua instans backend yang mendasarinya. Dalam kasus yang jarang terjadi, salah satu instans backend ini mungkin gagal diperbarui dengan konfigurasi baru dan proses pembaruan berhenti dengan status provisi yang gagal. Azure Firewall Anda masih beroperasi, tetapi konfigurasi yang diterapkan mungkin dalam keadaan tidak konsisten, di mana beberapa instans memiliki konfigurasi sebelumnya di mana yang lain memiliki seperangkat aturan yang diperbarui. Jika ini terjadi, coba perbarui konfigurasi Anda sekali lagi sampai operasi berhasil dan Firewall Anda dalam status penyediaan Berhasil.

Azure Firewall terdiri dari beberapa simpul backend dalam konfigurasi aktif-aktif. Untuk pemeliharaan yang direncanakan, kami memiliki koneksi yang menguras logika dengan memperbarui simpul dengan elegan. Pembaruan direncanakan selama jam nonbusiness untuk setiap wilayah Azure untuk membatasi risiko gangguan lebih lanjut. Untuk masalah yang tidak direncanakan, kami membuat simpul baru untuk menggantikan simpul yang gagal. Konektivitas ke simpul baru biasanya pulih dalam 10 detik sejak kegagalan.

Untuk pemeliharaan yang direncanakan, koneksi yang menguras logika akan memperbarui simpul backend dengan elegan. Azure Firewall akan menunggu 90 detik untuk menutup koneksi yang sudah ada. Dalam 45 detik pertama, simpul backend tidak menerima koneksi baru, dan dalam waktu yang tersisa merespons dengan RST semua paket masuk. Jika diperlukan, klien dapat secara otomatis membangun kembali konektivitas ke simpul backend yang lain.

Ya. Terdapat batas 50 karakter untuk nama firewall.

Azure Firewall harus menyediakan lebih banyak instans mesin virtual saat diskalakan. Ruang alamat /26 memastikan bahwa firewall memiliki alamat IP yang memadai untuk mengakomodasi penskalaan.

Tidak. Azure Firewall tidak memerlukan subjaringan yang lebih besar dari /26.

Kapasitas throughput awal Azure Firewall adalah 2,5 - 3 Gbps dan menskalakan hingga 30 Gbps untuk SKU Standar dan 100 Gbps untuk SKU Premium. Ini diskalakan secara otomatis berdasarkan penggunaan CPU, throughput, dan jumlah koneksi.

Azure Firewall secara bertahap menskalakan ketika throughput rata-rata atau konsumsi CPU berada di 60%, atau jumlah penggunaan koneksi berada di 80%. Misalnya, ia mulai meluaskan skala ketika mencapai 60% dari throughput maksimumnya. Angka throughput maksimum bervariasi berdasarkan Firewall SKU dan fitur yang diaktifkan. Untuk informasi selengkapnya, lihat Performa Azure Firewall.

Penskalaan naik membutuhkan waktu lima hingga tujuh menit.

Saat pengujian kinerja, pastikan Anda menguji setidaknya 10 hingga 15 menit, dan mulai koneksi baru untuk memanfaatkan simpul Firewall yang baru dibuat.

Ketika koneksi memiliki Batas Waktu Diam (empat menit tanpa aktivitas), Azure Firewall dengan anggun mengakhiri koneksi dengan mengirim paket RST TCP.

Penonaktifan instans VM Azure Firewall mungkin terjadi selama skala Set Skala Komputer Virtual dalam (penurunan skala) atau selama peningkatan perangkat lunak armada. Dalam kasus ini, koneksi masuk baru seimbang dengan instans firewall yang tersisa dan tidak diteruskan ke instans firewall yang tidak berfungsi. Setelah 45 detik, firewall mulai menolak koneksi yang ada dengan mengirim paket RST TCP. Setelah 45 detik lagi, VM firewall dimatikan. Untuk informasi selengkapnya, lihat Pengaturan Ulang TCP Azure Load Balancer dan Waktu Tunggu Tak Terpakai.

Tidak. Azure Firewall akan memblokir akses Direktori Aktif secara default. Untuk mengizinkan akses, silakan konfigurasikan tag layanan AzureActiveDirectory. Untuk informasi selengkapnya, lihat tag layanan Azure Firewall.

Ya, Anda dapat menggunakan Azure PowerShell untuk melakukannya:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Ping TCP sebenarnya tidak terhubung ke FQDN target. Azure Firewall tidak mengizinkan koneksi ke alamat IP target/FQDN kecuali ada aturan eksplisit yang memungkinkannya.

Ping TCP adalah kasus penggunaan unik di mana jika tidak ada aturan yang diizinkan, Firewall itu sendiri merespons permintaan ping TCP klien meskipun ping TCP tidak mencapai alamat IP target/FQDN. Dalam hal ini, peristiwa tidak dicatat. Jika ada aturan jaringan yang memungkinkan akses ke alamat IP target/FQDN, permintaan ping mencapai server target dan responsnya disampaikan kembali ke klien. Peristiwa ini dicatat dalam log aturan Jaringan.

Ya. Untuk informasi selengkapnya, lihat Batas, kuota, dan batasan layanan dan langganan Azure

Tidak, pemindahan Grup IP ke grup sumber daya lain tidak didukung saat ini.

Perilaku standar untuk firewall jaringan adalah memastikan bahwa koneksi TCP tetap hidup dan segera menutupnya jika tidak terdapat aktivitas. Batas Waktu TCP Tak Terpakai Azure Firewall adalah empat menit. Pengaturan ini tidak dapat dikonfigurasi pengguna, tetapi Anda dapat menghubungi Dukungan Azure untuk meningkatkan Batas Waktu Diam untuk koneksi masuk dan keluar hingga 30 menit. Batas Waktu Diam untuk lalu lintas timur-barat tidak dapat diubah.

Jika periode nonaktif lebih lama dari nilai waktu habis, tidak terdapat jaminan bahwa sesi TCP atau HTTP akan dipertahankan. Praktik umum adalah menggunakan TCP tetap-hidup. Praktik ini membuat koneksi tetap aktif untuk jangka waktu yang lebih lama. Untuk informasi selengkapnya, lihat contoh .NET.

Ya, tetapi Anda harus mengonfigurasi firewall dalam Mode Penerowongan Paksa. Konfigurasi ini membuat antarmuka manajemen dengan alamat IP publik yang digunakan oleh Azure Firewall untuk operasinya. Alamat IP publik ini untuk lalu lintas manajemen. Ini digunakan secara eksklusif oleh platform Azure dan tidak dapat digunakan untuk tujuan lain. Jaringan jalur data penyewa dapat dikonfigurasi tanpa alamat IP publik, dan lalu lintas Internet dapat dipaksa terowongan ke Firewall lain atau sepenuhnya diblokir.

Azure Firewall tidak memindahkan atau menyimpan data pelanggan keluar dari wilayah yang digunakan.

Ya. Untuk informasi selengkapnya, lihat Pencadangan Azure Firewall dan Kebijakan Azure Firewall dengan Logic Apps.

Tidak, saat ini Azure Firewall di hub virtual aman (vWAN) tidak didukung di Qatar.

Azure Firewall menggunakan Azure Virtual Machines di bawahnya yang memiliki jumlah koneksi batas keras. Jumlah total koneksi aktif per komputer virtual adalah 250k.

Batas total per firewall adalah batas koneksi komputer virtual (250k) x jumlah komputer virtual di kumpulan backend firewall. Azure Firewall dimulai dengan dua komputer virtual dan peluasan skala berdasarkan penggunaan dan throughput CPU.

Azure Firewall saat ini menggunakan port sumber TCP/UDP untuk lalu lintas SNAT keluar, tanpa waktu tunggu diam. Ketika koneksi TCP/UDP ditutup, port TCP yang digunakan segera terlihat tersedia untuk koneksi mendatang.

Sebagai solusi untuk arsitektur tertentu, Anda dapat menyebarkan dan menskalakan dengan NAT Gateway dengan Azure Firewall untuk menyediakan kumpulan port SNAT yang lebih luas untuk varianbilitas dan ketersediaan.

Perilaku NAT tertentu bergantung pada konfigurasi firewall dan jenis NAT yang dikonfigurasi. Misalnya, firewall memiliki aturan DNAT untuk lalu lintas masuk, serta aturan jaringan dan aturan aplikasi untuk lalu lintas keluar melalui firewall.

Untuk informasi selengkapnya, lihat Perilaku NAT Azure Firewall.