Apa itu Azure Firewall?

Azure Firewall adalah layanan keamanan firewall jaringan cerdas dan jaringan cloud-native yang memberikan perlindungan ancaman terbaik untuk beban kerja cloud Anda yang berjalan di Azure. Azure Firewall ini merupakan firewall yang sepenuhnya berstatus penuh sebagai layanan dengan ketersediaan tinggi bawaan dan skalabilitas cloud tanpa batas. Firewall ini menyediakan inspeksi lalu lintas timur-barat dan utara-selatan.

Azure Firewall ditawarkan dalam tiga SKU: Standar, Premium, dan Dasar.

Azure Firewall Standar

Azure Firewall Standard menyediakan pemfilteran L3-L7 dan inteligensi ancaman langsung dari Microsoft Cyber ​​Security. Pemfilteran berbasis inteligensi ancaman dapat memberitahukan dan menolak lalu lintas dari/ke alamat IP beserta domain berbahaya yang diketahui dan diperbarui secara real time untuk melindungi dari serangan baru dan serangan yang telah muncul.

Gambaran umum Firewall Standar

Untuk mempelajari tentang fitur Firewall Standar, lihat fitur Azure Firewall Standar.

Azure Firewall Premium

Azure Firewall Premium menyediakan kemampuan canggih termasuk IDPS berbasis tanda tangan untuk memungkinkan deteksi cepat terkait serangan dengan mencari pola tertentu. Pola ini dapat mencakup urutan byte dalam lalu lintas jaringan, atau urutan petunjuk berbahaya yang diketahui dan digunakan oleh malware. Ada lebih dari 58.000 tanda tangan di lebih dari 50 kategori yang diperbarui secara real time untuk melindungi eksploitasi baru dan yang muncul. Kategori eksploitasi termasuk malware, phishing, penambangan koin, dan serangan Trojan.

Gambaran umum Firewall Premium

Untuk mempelajari fitur Firewall Premium, lihat fitur Azure Firewall Premium.

Azure Firewall Basic (pratinjau)

Penting

Azure Firewall Basic saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.

Azure Firewall Basic ditujukan bagi pelanggan berukuran kecil dan menengah (SMB) untuk mengamankan lingkungan cloud Azure mereka. Ini memberikan perlindungan penting yang dibutuhkan pelanggan SMB pada titik harga yang terjangkau.

Diagram memperlihatkan Firewall Basic.

Azure Firewall Basic mirip dengan Firewall Standard, tetapi memiliki batasan berikut:

  • Hanya mendukung mode pemberitahuan Intel Ancaman.
  • Memperbaiki unit skala untuk menjalankan layanan pada dua instans backend komputer virtual.
  • Direkomendasikan untuk lingkungan dengan throughput maksimum 250 Mbps. Throughput dapat meningkat untuk ketersediaan umum fitur (GA).

Wilayah yang didukung

Azure Firewall Basic tersedia di wilayah berikut selama pratinjau:

  • AS Timur
  • US Timur 2
  • AS Barat
  • US Barat 2
  • AS Barat 3
  • US Tengah
  • AS Utara Tengah
  • AS Tengah Bagian Selatan
  • Barat Sentral AS
  • US Timur 2 EUAP
  • US Tengah EUAP
  • Eropa Utara
  • Eropa Barat
  • Asia Timur
  • Asia Tenggara
  • Jepang Timur
  • Jepang Barat
  • Australia Timur
  • Australia Tenggara
  • Australia Tengah
  • Brasil Selatan
  • India Selatan
  • India Pusat
  • India Barat
  • Kanada Tengah
  • Kanada Timur
  • UK Selatan
  • UK Barat
  • Korea Tengah
  • Korea Selatan
  • Prancis Tengah
  • Afrika Selatan Utara
  • Arab Saudi Utara
  • Swiss Utara
  • Jerman Barat Tengah
  • Norwegia Timur
  • JIO India Barat
  • Swedia Tengah
  • Qatar Tengah

Untuk menyebarkan Firewall Dasar, lihat Menyebarkan dan mengonfigurasi Azure Firewall Basic (pratinjau) dan kebijakan menggunakan portal Azure.

Azure Firewall Manager

Anda dapat menggunakan Azure Firewall Manager untuk mengelola Azure Firewall secara terpusat di beberapa langganan. Firewall Manager memanfaatkan kebijakan firewall untuk menerapkan seperangkat aturan dan konfigurasi jaringan/aplikasi yang umum ke firewall di penyewa Anda.

Firewall Manager mendukung firewall di lingkungan VNet dan Virtual WAN (Secure Virtual Hubs). Secure Virtual Hubs menggunakan solusi otomatisasi rute Virtual WAN untuk menyederhanakan lalu lintas perutean ke firewall dengan beberapa klik.

Untuk mempelajari lebih lanjut tentang Azure Firewall Manager, lihat Azure Firewall Manager.

Harga dan SLA

Untuk informasi harga Azure Firewall, lihat Harga Azure Firewall.

Untuk informasi SLA Azure Firewall, lihat SLA Azure Firewall.

Wilayah yang didukung

Untuk wilayah yang didukung bagi Azure Firewall, lihat Produk Azure yang tersedia berdasarkan wilayah.

Apa yang baru

Untuk mempelajari apa yang baru dalam Azure Firewall, lihat Pembaruan Azure.

Masalah yang diketahui

Azure Firewall Standar

Azure Firewall Standard memiliki masalah umum berikut:

Catatan

Masalah apa pun yang berlaku untuk Standar juga berlaku untuk Premium.

Masalah Deskripsi Mitigasi
Aturan pemfilteran jaringan untuk protokol non-TCP/UDP (misalnya ICMP) tidak berfungsi untuk lalu lintas terikat Internet Aturan pemfilteran jaringan untuk protokol non-TCP/UDP tidak berfungsi dengan SNAT ke alamat IP publik Anda. Protokol non-TCP/UDP didukung antara subnet spoke dan VNet. Azure Firewall menggunakan Standard Load Balancer, yang tidak mendukung SNAT untuk protokol IP hari ini. Kami sedang mengeksplorasi opsi untuk mendukung skenario ini dalam rilis mendatang.
Dukungan PowerShell dan CLI untuk ICMP tidak ada Azure PowerShell dan CLI tidak mendukung ICMP sebagai protokol yang valid dalam aturan jaringan. Masih dimungkinkan untuk menggunakan ICMP sebagai protokol melalui portal dan REST API. Kami berupaya untuk menambahkan ICMP di PowerShell dan CLI segera.
Tag FQDN memerlukan protokol: port yang akan diatur Aturan aplikasi dengan tag FQDN memerlukan port: definisi protokol. Anda dapat menggunakan https sebagai port: nilai protokol. Kami berupaya menjadikan bidang ini opsional saat tag FQDN digunakan.
Memindahkan firewall ke grup sumber daya atau langganan yang berbeda tidak didukung Memindahkan firewall ke grup sumber daya atau langganan yang berbeda tidak didukung. Mendukung fungsi ini ada di peta jalan kami. Untuk memindahkan firewall ke grup sumber daya atau langganan yang berbeda, Anda harus menghapus instans saat ini dan membuatnya kembali di grup sumber daya atau langganan baru.
Pemberitahuan inteligensi ancaman mungkin tersembunyi Aturan jaringan dengan tujuan 80/443 untuk pemfilteran keluar menyembunyikan pemberitahuan inteligensi ancaman saat dikonfigurasi ke mode hanya peringatan. Buat pemfilteran keluar untuk 80/443 menggunakan aturan aplikasi. Atau, ubah mode inteligensi ancaman menjadi Waspada dan Tolak.
DNAT Azure Firewall tidak berfungsi untuk tujuan IP privat Dukungan DNAT Azure Firewall terbatas pada egress/ingress Internet. DNAT saat ini tidak berfungsi untuk tujuan IP privat. Misalnya, spoke ke spoke. Ini adalah batasan saat ini.
Tidak dapat menghapus konfigurasi IP publik pertama Setiap alamat IP publik Azure Firewall ditetapkan ke konfigurasi IP. Konfigurasi IP pertama ditetapkan selama penyebaran firewall, dan biasanya juga berisi referensi ke subnet firewall (kecuali dikonfigurasi berbeda secara eksplisit melalui penyebaran templat). Anda tidak dapat menghapus konfigurasi IP ini karena akan membatalkan alokasi firewall. Anda masih dapat mengubah atau menghapus alamat IP publik yang terkait dengan konfigurasi IP ini jika firewall memiliki setidaknya satu alamat IP publik lain yang tersedia untuk digunakan. Ini memang disengaja.
Zona ketersediaan hanya dapat dikonfigurasi selama penyebaran. Zona ketersediaan hanya dapat dikonfigurasi selama penyebaran. Anda tidak dapat mengonfigurasi Zona Ketersediaan setelah firewall disebarkan. Ini memang disengaja.
SNAT pada koneksi masuk Selain DNAT, koneksi melalui alamat IP publik firewall (masuk) di-SNAT ke salah satu IP privat firewall. Persyaratan ini hari ini (juga untuk NVA Aktif/Aktif) untuk memastikan perutean simetris. Untuk mempertahankan sumber asli untuk HTTP/S, pertimbangkan untuk menggunakan header XFF. Misalnya, gunakan layanan seperti Azure Front Door atau Azure Application Gateway di depan firewall. Anda juga dapat menambahkan WAF sebagai bagian dari Azure Front Door dan rantai ke firewall.
Dukungan pemfilteran SQL FQDN hanya dalam mode proksi (port 1433) Untuk Instans Terkelola Azure SQL Database, Azure Synapse Analytics, dan Azure SQL:

Pemfilteran SQL FQDN didukung hanya dalam mode proksi (port 1433).

Untuk IaaS Azure SQL:

Jika Anda menggunakan port non-standar, Anda dapat menentukan port tersebut dalam aturan aplikasi.
Untuk SQL dalam mode pengalihan (default jika menghubungkan dari dalam Azure), Anda dapat memfilter akses menggunakan tag layanan SQL sebagai bagian dari aturan jaringan Azure Firewall.
Lalu lintas SMTP keluar pada port 25 TCP diblokir Pesan email keluar yang dikirim langsung ke domain eksternal (seperti outlook.com dan gmail.com) pada port 25 TCP diblokir oleh platform Azure. Ini adalah perilaku platform default di Azure, Azure Firewall tidak memperkenalkan batasan spesifik tambahan. Gunakan layanan relay SMTP terautentikasi yang biasanya tersambung melalui port 587 TCP, tetapi juga mendukung port lainnya. Untuk informasi lebih lanjut, lihat Memecahkan masalah konektivitas SMTP keluar di Azure. Saat ini, mungkin Azure Firewall dapat berkomunikasi dengan IP publik dengan menggunakan TCP 25 keluar, tetapi tidak dijamin dapat bekerja, dan juga tidak didukung untuk semua jenis langganan. Untuk IP pribadi seperti jaringan virtual, VPN, dan Azure ExpressRoute, Azure Firewall mendukung koneksi keluar dari port 25 TCP.
Kehabisan port SNAT Azure Firewall saat ini mendukung 2496 port per alamat IP Publik per instans set skala mesin virtual backend. Secara default, ada dua instans set skala komputer virtual. Jadi, ada 4992 port per aliran (IP tujuan, port tujuan dan protokol (TCP atau UDP). Firewall menskalakan hingga maksimum 20 instans. Ini adalah batasan platform. Anda dapat mengatasi batasan ini dengan mengonfigurasi penyebaran Azure Firewall dengan minimal lima alamat IP publik untuk penyebaran yang rentan terhadap kehabisan SNAT. Ini meningkatkan port SNAT yang tersedia sebanyak lima kali. Alokasikan dari awalan alamat IP untuk menyederhanakan izin downstream. Untuk solusi yang lebih permanen, Anda dapat menyebarkan gateway NAT untuk mengatasi batasan port SNAT. Pendekatan ini didukung untuk penyebaran VNET.

Untuk informasi selengkapnya, lihat Menskalakan port SNAT dengan NAT Azure Virtual Network.
DNAT tidak didukung dengan mengaktifkan Penerowongan Paksa Firewall yang disebarkan dengan mengaktifkan Penerowongan Paksa tidak dapat mendukung akses masuk dari Internet karena perutean asimetris. Ini dirancang karena perutean asimetris. Jalur pengembalian untuk koneksi masuk melalui firewall lokal, yang belum melihat koneksi yang dibuat.
FTP Pasif Keluar mungkin tidak berfungsi untuk Firewall dengan beberapa alamat IP publik, tergantung pada konfigurasi server FTP Anda. FTP Pasif membuat koneksi yang berbeda untuk kontrol dan saluran data. Saat Firewall dengan beberapa alamat IP publik mengirim data keluar, Firewall secara acak memilih salah satu alamat IP publik untuk alamat IP sumber. FTP mungkin gagal saat saluran data dan kontrol menggunakan alamat IP sumber yang berbeda, tergantung pada konfigurasi server FTP Anda. Konfigurasi SNAT eksplisit direncanakan. Sementara itu, Anda dapat mengonfigurasi server FTP untuk menerima data dan mengontrol saluran dari alamat IP sumber yang berbeda (lihat contoh untuk IIS). Atau, pertimbangkan untuk menggunakan satu alamat IP dalam situasi ini.
FTP Pasif Masuk mungkin tidak berfungsi tergantung pada konfigurasi server FTP Anda FTP Pasif membuat koneksi yang berbeda untuk kontrol dan saluran data. Koneksi masuk di Azure Firewall di-SNAT ke salah satu alamat IP privat firewall untuk memastikan perutean simetris. FTP mungkin gagal saat saluran data dan kontrol menggunakan alamat IP sumber yang berbeda, tergantung pada konfigurasi server FTP Anda. Mempertahankan alamat IP sumber asli sedang diselidiki. Sementara itu, Anda dapat mengonfigurasi server FTP untuk menerima saluran data dan kontrol dari alamat IP sumber yang berbeda.
FTP aktif tidak akan bekerja ketika klien FTP harus mencapai server FTP di internet. FTP aktif menggunakan perintah PORT dari klien FTP yang memberi tahu server FTP alamat IP dan port yang digunakan untuk saluran data. Perintah PORT ini menggunakan alamat IP privat klien yang tidak dapat diubah. Lalu lintas sisi klien yang melintasi Azure Firewall akan menjadi NAT untuk komunikasi berbasis Internet, sehingga membuat perintah PORT dianggap tidak valid oleh server FTP. Ini adalah batasan umum FTP Aktif bila digunakan bersama dengan NAT sisi klien.
Metrik NetworkRuleHit kehilangan dimensi protokol Metrik ApplicationRuleHit memungkinkan protokol berbasis pemfilteran, tetapi kemampuan ini hilang dalam metrik NetworkRuleHit yang sesuai. Hal ini sedang diselidiki.
Aturan NAT dengan port antara 64000 dan 65535 tidak didukung Azure Firewall memungkinkan port apa pun dalam rentang 1-65535 dalam aturan jaringan dan aplikasi, namun aturan NAT hanya mendukung port dalam rentang 1-63999. Ini adalah batasan saat ini.
Pembaruan konfigurasi mungkin memakan waktu rata-rata lima menit Pembaruan konfigurasi Azure Firewall rata-rata dapat memakan waktu tiga hingga lima menit, dan pembaruan paralel tidak didukung. Hal ini sedang diselidiki.
Azure Firewall menggunakan header SNI TLS untuk memfilter lalu lintas HTTPS dan MSSQL Jika browser atau perangkat lunak server tidak mendukung ekstensi Indikator Nama Server (SNI), Anda tidak dapat terhubung melalui Azure Firewall. Jika perangkat lunak browser atau server tidak mendukung SNI, Anda mungkin dapat mengontrol koneksi menggunakan aturan jaringan alih-alih aturan aplikasi. Lihat Indikasi Nama Server untuk perangkat lunak yang mendukung SNI.
Tidak dapat menambahkan tag kebijakan firewall menggunakan portal atau templat Azure Resource Manager (ARM) Kebijakan Azure Firewall memiliki batasan dukungan patch yang mencegah Anda agar tidak menambahkan tag menggunakan portal Azure atau templat ARM. Kesalahan berikut dibuat: Tidak dapat menyimpan tag untuk sumber daya. Hal ini sedang diselidiki. Atau, Anda dapat menggunakan cmdlet Azure PowerShell Set-AzFirewallPolicy untuk memperbarui tag.
IPv6 saat ini tidak didukung Jika Anda menambahkan alamat IPv6 ke aturan, firewall gagal. Gunakan hanya alamat IPv4. Dukungan IPv6 sedang diselidiki.
Memperbarui beberapa Grup IP gagal dengan kesalahan konflik. Saat Anda memperbarui dua atau beberapa IP Group yang dipasang ke firewall yang sama, salah satu resource berada dalam status gagal. Ini adalah batasan/masalah umum.

Saat Anda memperbarui IP Group, pembaruan dipicu pada semua firewall tempat IP Group dipasang. Jika pembaruan ke IPGroup kedua dimulai saat firewall masih dalam status Memperbarui, pembaruan IPGroup gagal.

Untuk menghindari kegagalan tersebut, IPGroups yang terpasang ke firewall yang sama harus diperbarui satu per satu. Berikan waktu yang cukup antara pembaruan untuk mengizinkan firewall keluar dari status Memperbarui.
Menghapus RuleCollectionGroups menggunakan templat ARM tidak didukung. Menghapus RuleCollectionGroup menggunakan templat ARM tidak didukung dan mengakibatkan kegagalan. Operasi ini tidak didukung.
Aturan DNAT untuk mengizinkan berbagai (*) lalu lintas SNAT. Jika aturan DNAT memungkinkan berbagai (*) sebagai alamat IP Sumber, maka aturan Jaringan implisit akan cocok dengan lalu lintas VNet-VNet dan akan selalu SNAT lalu lintas. Ini adalah batasan saat ini.
Tambahkan aturan DNAT ke hub virtual aman dengan penyedia keamanan tidak didukung. Ini menghasilkan rute asinkron untuk lalu lintas DNAT yang kembali, yang masuk ke penyedia keamanan. Tidak didukung.
Kesalahan ditemukan saat membuat lebih dari 2000 koleksi aturan. Jumlah maksimal pengumpulan aturan NAT/Aplikasi atau Jaringan adalah 2000 (Batas Resource Manager). Ini adalah batasan saat ini.
Tidak bisa melihat Nama Aturan Jaringan di Log Azure Firewall Data log aturan jaringan Azure Firewall tidak menampilkan nama Aturan untuk lalu lintas jaringan. Pengelogan nama aturan jaringan sedang dalam pratinjau. Untuk informasi, lihat fitur pratinjau Azure Firewall.
Header XFF di HTTP/S Header XFF ditimpa dengan alamat IP sumber asli seperti yang terlihat oleh firewall. Ini berlaku untuk kasus penggunaan berikut:
- Permintaan HTTP
- Permintaan HTTPS dengan penghentian TLS
Hal ini sedang diselidiki.
Tidak dapat meningkatkan ke Premium dengan Zona Ketersediaan di kawasan Asia Tenggara Saat ini Anda tidak dapat meningkatkan ke Azure Firewall Premium dengan Zona Ketersediaan di wilayah Asia Tenggara. Sebarkan firewall Premium baru di Asia Tenggara tanpa Zona Ketersediaan, atau sebarkan di wilayah yang mendukung Zona Ketersediaan.
Tidak dapat menyebarkan Firewall dengan Zona Ketersediaan dengan alamat IP Publik yang baru dibuat Saat menyebarkan Firewall dengan Zona Ketersediaan, Anda tidak dapat menggunakan alamat IP Publik yang baru dibuat. Pertama-tama, buat alamat IP Publik redundan zona baru, lalu tetapkan alamat IP yang dibuat sebelumnya ini selama penyebaran Firewall.
Zona DNS privat Azure tidak didukung dengan Azure Firewall Zona DNS privat Azure tidak akan berfungsi dengan Azure Firewall terlepas dari pengaturan DNS Azure Firewall. Untuk mencapai status keinginan menggunakan server DNS privat, gunakan proxy DNS Azure Firewall, bukan zona DNS privat Azure.

Azure Firewall Premium

Azure Firewall Premium memiliki masalah umum berikut ini:

Masalah Deskripsi Mitigasi
Dukungan ESNI untuk resolusi FQDN di HTTPS SNI terenkripsi tidak didukung dalam jabat tangan HTTPS. Saat ini hanya Firefox yang mendukung ESNI melalui konfigurasi kustom. Solusi yang disarankan adalah menonaktifkan fitur ini.
Autentikasi Sertifikasi Klien tidak didukung Sertifikat klien digunakan untuk membangun kepercayaan identitas bersama antara klien dan server. Sertifikat klien digunakan selama negosiasi TLS. Azure Firewall menegosiasikan kembali koneksi dengan server dan tidak memiliki akses ke kunci pribadi sertifikat klien. Tidak ada
QUIC/HTTP3 QUIC adalah versi utama yang baru dari HTTP. Ini adalah protokol berbasis UDP lebih dari 80 (RENCANA) dan 443 (SSL). Inspeksi FQDN/URL/TLS tidak akan didukung. Mengonfigurasi pengesahan UDP 80/443 sebagai aturan jaringan.
Sertifikat yang ditandatangani pelanggan yang tidak tepercaya Sertifikat yang ditandatangani pelanggan tidak dipercaya oleh firewall yang pernah diterima dari server web berbasis intranet. Hal ini sedang diselidiki.
Alamat IP sumber yang salah di Pemberitahuan dengan IDPS untuk HTTP (tanpa inspeksi TLS). Ketika lalu lintas HTTP teks biasa sedang digunakan, dan IDPS mengeluarkan pemberitahuan baru, dan tujuannya adalah alamat IP publik, alamat IP sumber yang ditampilkan salah (alamat IP internal ditampilkan alih-alih alamat IP asli). Hal ini sedang diselidiki.
Penyebaran Sertifikat Setelah sertifikat CA diterapkan pada firewall, mungkin diperlukan waktu antara 5-10 menit agar sertifikat berlaku. Hal ini sedang diselidiki.
Dukungan TLS 1.3 TLS 1.3 didukung sebagian. Jalur TLS dari klien ke firewall didasarkan pada TLS 1.2, dan dari firewall ke server Web eksternal didasarkan pada TLS 1.3. Pembaruan sedang diselidiki.
Zona Ketersediaan untuk Firewall Premium di wilayah Asia Tenggara Saat ini Anda tidak dapat menyebarkan Azure Firewall Premium dengan Zona Ketersediaan di wilayah Asia Tenggara. Sebarkan firewall di Asia Tenggara tanpa Zona Ketersediaan, atau sebarkan di wilayah yang mendukung Zona Ketersediaan.

Langkah berikutnya