Veelgestelde vragen over Azure Firewall

Algemeen

Wat is Azure Firewall?

Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw Azure Virtual Network-resources beschermt. Het is een volledig stateful firewall-as-a-service met ingebouwde hoge beschikbaarheid en onbeperkte schaalbaarheid van de cloud. U kunt beleid voor toepassings- en netwerkconnectiviteit centraal maken, afdwingen en registreren voor abonnementen en virtuele netwerken.

Welke mogelijkheden ondersteunt Azure Firewall?

Zie Azure Firewall-functies voor een gedetailleerde lijst met Azure Firewall-functies.

Wat is het gebruikelijke implementatiemodel voor Azure Firewall?

Azure Firewall kan worden geïmplementeerd in elk virtueel netwerk. Het wordt echter meestal geïmplementeerd in een centraal virtueel netwerk in een hub-and-spoke-model, waarbij andere virtuele netwerken eraan zijn gekoppeld. De standaardroute van de gekoppelde virtuele netwerken is ingesteld om te verwijzen naar dit virtuele netwerk van de centrale firewall. Hoewel wereldwijde peering van virtuele netwerken wordt ondersteund, wordt dit niet aanbevolen vanwege mogelijke prestatie- en latentieproblemen in verschillende regio's. Implementeer één firewall per regio voor optimale prestaties.

Dit model biedt gecentraliseerde controle over meerdere spoke-VNets in verschillende abonnementen en biedt kostenbesparingen door te voorkomen dat een firewall in elk virtueel netwerk hoeft te worden geïmplementeerd. Kostenbesparingen moeten worden geëvalueerd op basis van de bijbehorende peeringkosten op basis van verkeerspatronen.

Hoe kan ik Azure Firewall implementeren?

Azure Firewall kan worden geïmplementeerd met behulp van Azure Portal, PowerShell, REST API of sjablonen. Zie zelfstudie: Azure Firewall implementeren en configureren met behulp van Azure Portal voor stapsgewijze instructies.

Wat zijn enkele belangrijke Concepten van Azure Firewall?

Azure Firewall maakt gebruik van regels en regelverzamelingen. Een regelverzameling is een set regels met dezelfde volgorde en prioriteit. Regelverzamelingen worden uitgevoerd in volgorde van prioriteit. DNAT-regelverzamelingen hebben een hogere prioriteit dan netwerkregelverzamelingen, die op hun beurt een hogere prioriteit hebben dan toepassingsregelverzamelingen. Alle regels worden beëindigd.

Er zijn drie typen regelverzamelingen:

• Toepassingsregels: FQDN's (Fully Qualified Domain Names) configureren die toegankelijk zijn vanuit een virtueel netwerk.
• Netwerkregels: regels configureren met bronadressen, protocollen, doelpoorten en doeladressen.
• NAT-regels: DNAT-regels configureren om binnenkomende internet- of intranetverbindingen (preview) toe te staan.

Zie Azure Firewall-regels configureren voor meer informatie.

Welke logboek- en analyseservices worden door Azure Firewall ondersteund?

Azure Firewall kan worden geïntegreerd met Azure Monitor voor het weergeven en analyseren van logboeken. Logboeken kunnen worden verzonden naar Log Analytics, Azure Storage of Event Hubs en worden geanalyseerd met behulp van hulpprogramma's zoals Log Analytics, Excel of Power BI. Zie Zelfstudie: Azure Firewall-logboeken bewaken voor meer informatie.

Hoe verschilt Azure Firewall van NVA's in de marketplace?

Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die virtuele netwerkresources beveiligt. Het is een volledig stateful firewall-as-a-service met ingebouwde hoge beschikbaarheid en onbeperkte schaalbaarheid van de cloud. Het is vooraf geïntegreerd met externe SECaaS-providers (security-as-a-service) om de beveiliging voor virtuele netwerken en vertakkingsinternetverbindingen te verbeteren. Zie Azure-netwerkbeveiliging voor meer informatie.

Wat is het verschil tussen Application Gateway WAF en Azure Firewall?

Application Gateway WAF biedt gecentraliseerde binnenkomende beveiliging voor webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen. Azure Firewall biedt binnenkomende beveiliging voor niet-HTTP/S-protocollen (bijvoorbeeld RDP, SSH, FTP), beveiliging op uitgaand netwerkniveau voor alle poorten en protocollen en beveiliging op toepassingsniveau voor uitgaande HTTP/S.

Wat is het verschil tussen netwerkbeveiligingsgroepen (NSG's) en Azure Firewall?

Azure Firewall vormt een aanvulling op NSG's om een betere 'diepgaande verdediging' netwerkbeveiliging te bieden. NSG's bieden gedistribueerde netwerklaagverkeer filteren om verkeer binnen virtuele netwerken in elk abonnement te beperken. Azure Firewall biedt gecentraliseerde, volledig stateful netwerk- en toepassingsniveaubeveiliging voor abonnementen en virtuele netwerken.

Worden netwerkbeveiligingsgroepen (NSG's) ondersteund in het AzureFirewallSubnet?

Azure Firewall is een beheerde service met meerdere beveiligingslagen, waaronder platformbeveiliging met NSG's op NIC-niveau (niet zichtbaar). NSG's op subnetniveau zijn niet vereist in het AzureFirewallSubnet en zijn uitgeschakeld om serviceonderbrekingen te voorkomen.

Wat is de toegevoegde waarde van Azure Firewall met privé-eindpunten?

Privé-eindpunten zijn een onderdeel van Private Link, een technologie waarmee u kunt communiceren met Azure PaaS-services met behulp van privé-IP-adressen in plaats van openbare. Azure Firewall kan worden gebruikt om toegang tot openbare IP-adressen te voorkomen, waardoor gegevensexfiltratie voor Azure-services niet gebruikmaken van Private Link, en om beleid zonder vertrouwen te implementeren door te definiëren wie in uw organisatie toegang nodig heeft tot deze Azure PaaS-services, omdat Private Link per standaard netwerktoegang voor uw hele bedrijfsnetwerk opent.

Het juiste ontwerp voor het controleren van verkeer naar privé-eindpunten met Azure Firewall is afhankelijk van uw netwerkarchitectuur. Meer informatie vindt u in het artikel Azure Firewall-scenario's om verkeer te controleren dat is bestemd voor een privé-eindpunt.

Wat is de toegevoegde waarde van Azure Firewall met service-eindpunten voor virtuele netwerken?

Service-eindpunten voor virtuele netwerken zijn een alternatief voor Private Link om netwerktoegang tot Azure PaaS-services te beheren. Zelfs als de client nog steeds openbare IP-adressen gebruikt voor toegang tot de PaaS-service, wordt het bronsubnet zichtbaar gemaakt, zodat de doel-PaaS-service filterregels kan implementeren en de toegang per subnet kan beperken. U vindt een gedetailleerde vergelijking tussen beide mechanismen in Privé-eindpunten vergelijken en Service-eindpunten.

Azure Firewall-toepassingsregels kunnen worden gebruikt om ervoor te zorgen dat er geen gegevensexfiltratie voor rogue services plaatsvindt en om toegangsbeleid te implementeren met een verhoogde granulariteit buiten het subnetniveau. Meestal moeten service-eindpunten voor virtuele netwerken worden ingeschakeld in het subnet van de client die verbinding maakt met een Azure-service. Wanneer u echter verkeer naar service-eindpunten inspecteert met Azure Firewall, moet u in plaats daarvan het bijbehorende service-eindpunt inschakelen in het Azure Firewall-subnet en deze uitschakelen op het subnet van de werkelijke client (meestal een virtueel spoke-netwerk). Op deze manier kunt u toepassingsregels in Azure Firewall gebruiken om te bepalen tot welke Azure-services uw Azure-workloads toegang hebben.

Wat zijn de prijzen voor Azure Firewall?

Zie Prijzen van Azure Firewall voor meer informatie over prijzen.

Wat zijn de bekende servicelimieten voor Azure Firewall?

Zie Azure-abonnements- en servicelimieten, quota en beperkingen voor services voor servicelimieten.

Waar worden klantgegevens opgeslagen in Azure Firewall?

Azure Firewall verplaatst of slaat geen klantgegevens op buiten de regio waar deze is geïmplementeerd.

Wordt Azure Firewall ondersteund in beveiligde virtuele hubs (vWAN) in Qatar?

Nee, Azure Firewall in beveiligde virtuele hubs (vWAN) wordt momenteel niet ondersteund in Qatar.

Ondersteunde mogelijkheden en functies

Biedt Azure Firewall ondersteuning voor het filteren van inkomend verkeer?

Ja, Azure Firewall ondersteunt zowel binnenkomend als uitgaand verkeer filteren. Inkomende filtering wordt doorgaans gebruikt voor niet-HTTP-protocollen, zoals RDP, SSH en FTP. Voor binnenkomend HTTP- en HTTPS-verkeer kunt u overwegen om een webtoepassingsfirewall zoals Azure Web Application Firewall (WAF) of de TLS-offload- en deep packet inspection-functies van Azure Firewall Premium te gebruiken.

Biedt Azure Firewall Basic ondersteuning voor geforceerde tunneling?

Ja, Azure Firewall Basic biedt ondersteuning voor geforceerde tunneling.

Waarom lijkt een TCP-ping of vergelijkbaar hulpprogramma verbinding te maken met een doel-FQDN, zelfs als er geen regel verkeer toestaat?

Een TCP-ping maakt geen verbinding met de doel-FQDN. Azure Firewall blokkeert verbindingen met een doel-IP-adres of FQDN, tenzij dit expliciet is toegestaan door een regel.

In het geval van een TCP-ping, als er geen regel het verkeer toestaat, reageert de firewall zelf op de TCP-pingaanvraag van de client. Dit antwoord bereikt het doel-IP-adres of de FQDN niet en wordt niet geregistreerd. Als een netwerkregel expliciet toegang toestaat tot het doel-IP-adres of de FQDN, bereikt de pingaanvraag de doelserver en wordt het antwoord teruggegeven aan de client. Deze gebeurtenis wordt vastgelegd in het logboek netwerkregels.

Biedt Azure Firewall ondersteuning voor BGP-peering?

Nee, Azure Firewall biedt geen systeemeigen ondersteuning voor BGP-peering. De functie Autolearn SNAT-routes maakt echter indirect gebruik van BGP via Azure Route Server.

Beheer en configuratie

Hoe kan ik Azure Firewall stoppen en starten?

U kunt Azure PowerShell gebruiken om de toewijzing van azure-firewall ongedaan te maken en toe te wijzen. Het proces varieert afhankelijk van de configuratie.

Voor een firewall zonder een beheer-NIC:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Voor een firewall met een beheer-NIC:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Voor een firewall in een beveiligde virtuele hub:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Notitie

Wanneer u de firewall stopt en start, stopt de facturering en wordt deze dienovereenkomstig gestart. Het privé-IP-adres kan echter veranderen, wat van invloed kan zijn op de connectiviteit als routetabellen zijn geconfigureerd.

Hoe kan ik beschikbaarheidszones configureren na de implementatie?

Het is raadzaam om beschikbaarheidszones te configureren tijdens de eerste implementatie. U kunt ze na de implementatie echter opnieuw configureren als:

• De firewall wordt geïmplementeerd in een virtueel netwerk (niet ondersteund in beveiligde virtuele hubs).
• De regio ondersteunt beschikbaarheidszones.
• Alle gekoppelde openbare IP-adressen worden geconfigureerd met dezelfde zones.

Beschikbaarheidszones opnieuw configureren:

1. De toewijzing van de firewall ongedaan maken:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Werk de zoneconfiguratie bij en wijs de firewall toe:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Zijn er beperkingen voor Azure Firewall-resourcegroepen?

Ja:

• De Azure Firewall en het virtuele netwerk moeten zich in dezelfde resourcegroep bevinden.
• Het openbare IP-adres kan zich in een andere resourcegroep bevinden.
• Alle resources (Azure Firewall, virtueel netwerk, openbaar IP-adres) moeten zich in hetzelfde abonnement bevinden.

Wat betekent de inrichtingsstatus **Mislukt**?

De inrichtingsstatus Mislukt geeft aan dat een configuratie-update is mislukt op een of meer back-endexemplaren. De Azure Firewall blijft operationeel, maar de configuratie kan inconsistent zijn. Voer de update opnieuw uit totdat de inrichtingsstatus is gewijzigd in Geslaagd.

Hoe verwerkt Azure Firewall gepland onderhoud en ongeplande fouten?

Azure Firewall maakt gebruik van een actief-actief-configuratie met meerdere back-endknooppunten. Tijdens gepland onderhoud zorgt het leegmaken van verbindingen voor een goede updates. Bij niet-geplande fouten vervangt een nieuw knooppunt het mislukte knooppunt en wordt de connectiviteit doorgaans binnen 10 seconden hersteld.

Is er een tekenlimiet voor een firewallnaam?

Ja, firewallnamen zijn beperkt tot 50 tekens.

Waarom heeft Azure Firewall een /26-subnetgrootte nodig?

Een /26-subnet zorgt voor voldoende IP-adressen voor schalen naarmate de Azure Firewall extra exemplaren van virtuele machines in richt.

Moet de grootte van het firewallsubnet worden gewijzigd wanneer de service wordt geschaald?

Nee, een /26-subnet is voldoende voor alle schaalscenario's.

Hoe kan ik mijn firewalldoorvoer verhogen?

Azure Firewall wordt automatisch geschaald op basis van het CPU-gebruik, de doorvoer en het aantal verbindingen. De doorvoercapaciteit varieert van 2,5 tot 3 Gbps in eerste instantie tot 30 Gbps (Standard SKU) of 100 Gbps (Premium SKU).

Zijn er limieten voor het aantal IP-adressen dat wordt ondersteund door IP-groepen?

Ja. Zie azure-abonnements- en servicelimieten, quota en beperkingen voor meer informatie.

Kan ik een IP-groep verplaatsen naar een andere resourcegroep?

Nee, het verplaatsen van een IP-groep naar een andere resourcegroep wordt momenteel niet ondersteund.

Wat is de tcp-time-out voor inactiviteit voor Azure Firewall?

Een standaardgedrag van een netwerkfirewall is ervoor te zorgen dat TCP-verbindingen actief blijven en deze onmiddellijk sluiten als er geen activiteit is. Time-out voor inactiviteit van Azure Firewall is vier minuten. Deze instelling kan niet door de gebruiker worden geconfigureerd, maar u kunt wel contact opnemen met De ondersteuning van Azure om de time-out voor inactiviteit voor binnenkomende en uitgaande verbindingen tot 15 minuten te verhogen. Time-out voor inactiviteit voor oost-west-verkeer kan niet worden gewijzigd.

Als een periode van inactiviteit langer is dan de time-outwaarde, is er geen garantie dat de TCP- of HTTP-sessie wordt gehandhaafd. Een veelvoorkomende procedure is het gebruik van een TCP-keep-alive. Deze procedure houdt de verbinding gedurende een langere periode actief. Zie de .NET-voorbeelden voor meer informatie.

Kan ik Azure Firewall implementeren zonder een openbaar IP-adres?

Ja, maar u moet de firewall configureren in de modus Geforceerde tunneling. Met deze configuratie maakt u een beheerinterface met een openbaar IP-adres dat door Azure Firewall wordt gebruikt voor de bewerkingen. Dit openbare IP-adres is bedoeld voor beheerverkeer. Het wordt uitsluitend gebruikt door het Azure-platform en kan niet worden gebruikt voor enig ander doel. Het netwerk van het tenantgegevenspad kan worden geconfigureerd zonder een openbaar IP-adres en internetverkeer kan worden geforceerd getunneld naar een andere firewall of volledig geblokkeerd.

Is er een manier om automatisch een back-up te maken van Azure Firewall en beleid?

Ja. Zie Backup Azure Firewall en Azure Firewall Policy met Logic Apps voor meer informatie.

Connectiviteit en routering

Hoe kan ik Azure Firewall instellen met mijn service-eindpunten?

Voor veilige toegang tot PaaS-services raden we service-eindpunten aan. U kunt ervoor kiezen om service-eindpunten in te schakelen in het Azure Firewall-subnet en deze uitschakelen op de verbonden virtuele spoke-netwerken. Op deze manier profiteert u van beide functies: beveiliging van service-eindpunten en centrale logboekregistratie voor al het verkeer.

Kan Azure Firewall in een virtueel hubnetwerk doorsturen en netwerkverkeer filteren tussen meerdere virtuele spoke-netwerken?

Ja, u kunt Azure Firewall in een virtueel hubnetwerk gebruiken om verkeer tussen een virtueel spoke-netwerk te routeren en te filteren. Subnetten in elk van de virtuele spoke-netwerken moeten een UDR hebben die verwijst naar De Azure Firewall als een standaardgateway voor dit scenario.

Kan Azure Firewall netwerkverkeer doorsturen en filteren tussen subnetten in hetzelfde virtuele netwerk of gekoppelde virtuele netwerken?

Ja. Het configureren van de UDR's voor het omleiden van verkeer tussen subnetten in hetzelfde virtuele netwerk vereist echter meer aandacht. Hoewel het adresbereik van het virtuele netwerk als doelvoorvoegsel voor de UDR voldoende is, wordt hiermee ook al het verkeer van de ene machine naar een andere machine in hetzelfde subnet gerouteerd via het Azure Firewall-exemplaar. Om dit te voorkomen, moet u een route voor het subnet in de UDR opnemen met een volgend hoptype van het virtuele netwerk. Het beheren van deze routes kan omslachtig en gevoelig zijn voor fouten. De aanbevolen methode voor interne netwerksegmentatie is het gebruik van netwerkbeveiligingsgroepen, waarvoor u geen UDR's nodig hebt.

Wordt uitgaande SNAT van Azure Firewall tussen privénetwerken uitgevoerd?

Azure Firewall biedt geen SNAT wanneer het doel-IP-adres een privé-IP-bereik is per IANA RFC 1918 of IANA RFC 6598 voor privénetwerken. Als uw organisatie een openbaar IP-adresbereik gebruikt voor privénetwerken, wordt het verkeer door Azure Firewall-SNATs naar een van de privé-IP-adressen van de firewall in AzureFirewallSubnet gebruikt. U kunt Azure Firewall configureren om SNAT niet in te schakelen voor uw openbare IP-adresbereik. Raadpleeg Azure Firewall SNAT voor privé-IP-adresbereiken voor meer informatie.

Bovendien is verkeer dat door toepassingsregels wordt verwerkt, altijd SNAT-ed. Als u het oorspronkelijke bron-IP-adres in uw logboeken voor FQDN-verkeer wilt zien, kunt u netwerkregels gebruiken met de doel-FQDN.

Wordt geforceerde tunneling/ketening naar een virtueel netwerkapparaat ondersteund?

Geforceerde tunneling wordt ondersteund wanneer u een nieuwe firewall maakt. U kunt geen bestaande firewall configureren voor geforceerde tunneling. Zie Geforceerde tunneling van Azure Firewall voor meer informatie.

Azure Firewall moet een directe verbinding met internet hebben. Als uw AzureFirewallSubnet een standaardroute naar uw on-premises netwerk via BGP leert, moet u deze overschrijven met een UDR van 0.0.0.0/0 met de waarde NextHopType ingesteld op Internet om directe verbinding met internet te houden.

Als voor uw configuratie geforceerde tunneling naar een on-premises netwerk is vereist en u de ip-voorvoegsels van het doel voor uw internetbestemmingen kunt bepalen, kunt u deze bereiken configureren met het on-premises netwerk als de volgende hop via een door de gebruiker gedefinieerde route op het AzureFirewallSubnet. U kunt ook BGP gebruiken om deze routes te definiëren.

Hoe werken jokertekens in doel-URL's en doel-FQDN's in toepassingsregels?

• URL : sterretjes werken wanneer ze aan de meest rechtse of meest linkse zijde worden geplaatst. Als deze zich aan de linkerkant bevindt, kan het geen deel uitmaken van de FQDN.
• FQDN : sterretjes werken wanneer ze aan de linkerkant worden geplaatst.
• ALGEMEEN : sterretjes aan de linkerkant betekenen letterlijk alles aan de linkerovereenkomsten, wat betekent dat meerdere subdomeinen en/of mogelijk ongewenste domeinnaamvariaties overeenkomen. Zie de volgende voorbeelden.

Voorbeelden:

Typologie	Regel	Ondersteund?	Positieve voorbeelden
Doel-URL	www.contoso.com	Ja	www.contoso.com www.contoso.com/
Doel-URL	*.contoso.com	Ja	any.contoso.com/ sub1.any.contoso.com
Doel-URL	*contoso.com	Ja	example.anycontoso.com sub1.example.contoso.com contoso.com Waarschuwing: dit gebruik van jokertekens maakt mogelijk ook ongewenste/riskante variaties mogelijk, zoals th3re4lcontoso.com - gebruik voorzichtig.
Doel-URL	www.contoso.com/test	Ja	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
Doel-URL	www.contoso.com/test/*	Ja	www.contoso.com/test/anything Opmerking: www.contoso.com/testkomt niet overeen (laatste slash)
Doel-URL	www.contoso.*/test/*	Nee
Doel-URL	www.contoso.com/test?example=1	Nee
Doel-URL	www.contoso.*	Nee
Doel-URL	www.*contoso.com	Nee
Doel-URL	www.contoso.com:8080	Nee
Doel-URL	*.contoso.*	Nee
DoelFQDN	www.contoso.com	Ja	www.contoso.com
DoelFQDN	*.contoso.com	Ja	any.contoso.com Opmerking: Als u specifiek wilt toestaan contoso.com, moet u contoso.com opnemen in de regel. Anders wordt de verbinding standaard verbroken omdat de aanvraag niet overeenkomt met een regel.
DoelFQDN	*contoso.com	Ja	example.anycontoso.com contoso.com
DoelFQDN	www.contoso.*	Nee
DoelFQDN	*.contoso.*	Nee

Staat Azure Firewall standaard toegang tot Active Directory toe?

Nee Azure Firewall blokkeert standaard Active Directory-toegang. Als u toegang wilt toestaan, configureert u de servicetag AzureActiveDirectory. Zie Azure Firewall-servicetags voor meer informatie.

Kan ik een FQDN of een IP-adres uitsluiten van filteren op basis van Bedreigingsinformatie van Azure Firewall?

Ja, u kunt Azure PowerShell gebruiken om dit te doen:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Waarom kan een TCP-ping en vergelijkbare hulpprogramma's verbinding maken met een doel-FQDN, zelfs wanneer er geen regel in Azure Firewall dat verkeer toestaat?

Een TCP-ping maakt geen verbinding met de doel-FQDN. Azure Firewall staat geen verbinding toe met een doel-IP-adres/FQDN, tenzij er een expliciete regel is die dit toestaat.

TCP-ping is een unieke use-case waarbij als er geen toegestane regel is, de firewall zelf reageert op de TCP-pingaanvraag van de client, zelfs als de TCP-ping het doel-IP-adres/de FQDN niet bereikt. In dit geval wordt de gebeurtenis niet geregistreerd. Als er een netwerkregel is die toegang tot het IP-doel-IP-adres/de FQDN toestaat, bereikt de pingaanvraag de doelserver en wordt het antwoord teruggegeven aan de client. Deze gebeurtenis wordt vastgelegd in het logboek netwerkregels.

Zijn er limieten voor het aantal IP-adressen dat wordt ondersteund door IP-groepen?

Ja. Zie Azure-abonnement en servicelimieten, quota en beperkingen voor meer informatie

Kan ik een IP-groep verplaatsen naar een andere resourcegroep?

Nee, het verplaatsen van een IP-groep naar een andere resourcegroep wordt momenteel niet ondersteund.

Wat is de tcp-time-out voor inactiviteit voor Azure Firewall?

Een standaardgedrag van een netwerkfirewall is ervoor te zorgen dat TCP-verbindingen actief blijven en deze onmiddellijk sluiten als er geen activiteit is. Time-out voor inactiviteit van Azure Firewall is vier minuten. Deze instelling kan niet door de gebruiker worden geconfigureerd, maar u kunt wel contact opnemen met De ondersteuning van Azure om de time-out voor inactiviteit voor binnenkomende en uitgaande verbindingen tot 15 minuten te verhogen. Time-out voor inactiviteit voor oost-west-verkeer kan niet worden gewijzigd.

Als een periode van inactiviteit langer is dan de time-outwaarde, is er geen garantie dat de TCP- of HTTP-sessie wordt gehandhaafd. Een veelvoorkomende procedure is het gebruik van een TCP-keep-alive. Deze procedure houdt de verbinding gedurende een langere periode actief. Zie de .NET-voorbeelden voor meer informatie.

Kan ik Azure Firewall implementeren zonder een openbaar IP-adres?

Ja, maar u moet de firewall configureren in de modus Geforceerde tunneling. Met deze configuratie maakt u een beheerinterface met een openbaar IP-adres dat door Azure Firewall wordt gebruikt voor de bewerkingen. Dit openbare IP-adres is bedoeld voor beheerverkeer. Het wordt uitsluitend gebruikt door het Azure-platform en kan niet worden gebruikt voor enig ander doel. Het netwerk van het tenantgegevenspad kan worden geconfigureerd zonder een openbaar IP-adres en internetverkeer kan worden geforceerd getunneld naar een andere firewall of volledig geblokkeerd.

Waar worden klantgegevens opgeslagen in Azure Firewall?

Azure Firewall verplaatst of slaat geen klantgegevens op uit de regio waarin deze is geïmplementeerd.

Is er een manier om automatisch een back-up te maken van Azure Firewall en beleid?

Ja. Zie Backup Azure Firewall en Azure Firewall Policy met Logic Apps voor meer informatie.

Wordt Azure Firewall ondersteund in beveiligde virtuele hubs (vWAN) in Qatar?

Nee, momenteel wordt Azure Firewall in beveiligde virtuele hubs (vWAN) niet ondersteund in Qatar.

Hoeveel parallelle verbindingen kan Azure Firewall ondersteunen?

Azure Firewall maakt gebruik van virtuele Azure-machines onder die een vaste limiet hebben voor het aantal verbindingen. Het totale aantal actieve verbindingen per virtuele machine is 250.000.

De totale limiet per firewall is de verbindingslimiet voor virtuele machines (250k) x het aantal virtuele machines in de back-endpool van de firewall. Azure Firewall begint met twee virtuele machines en schaalt uit op basis van CPU-gebruik en doorvoer.

Wat is het gedrag voor het hergebruik van SNAT TCP/UDP-poorten in Azure Firewall?

Azure Firewall maakt momenteel gebruik van TCP/UDP-bronpoorten voor uitgaand SNAT-verkeer, zonder inactieve wachttijd. Wanneer een TCP/UDP-verbinding wordt gesloten, wordt de gebruikte TCP-poort onmiddellijk gezien als beschikbaar voor toekomstige verbindingen.

Als tijdelijke oplossing voor bepaalde architecturen kunt u met NAT Gateway implementeren en schalen met Azure Firewall om een grotere groep SNAT-poorten te bieden voor variabiliteit en beschikbaarheid.

Wat zijn NAT-gedrag in Azure Firewall?

Specifiek NAT-gedrag is afhankelijk van de configuratie van de firewall en het type NAT dat is geconfigureerd. De firewall heeft bijvoorbeeld DNAT-regels voor inkomend verkeer en netwerkregels en toepassingsregels voor uitgaand verkeer via de firewall.

Zie Azure Firewall NAT-gedrag voor meer informatie.

Time-outs en schalen

Hoe werkt het leegmaken van de verbinding?

Voor gepland onderhoud werkt de logica voor het leegmaken van verbindingen back-endknooppunten correct bij. Azure Firewall wacht 90 seconden tot bestaande verbindingen zijn gesloten. In de eerste 45 seconden accepteert het back-endknooppunt geen nieuwe verbindingen en in de resterende tijd reageert het met RST alle binnenkomende pakketten. Clients kunnen zo nodig automatisch opnieuw verbinding maken met een ander back-endknooppunt.

Hoe verwerkt Azure Firewall het afsluiten van VM-exemplaren tijdens het inschalen van virtuele-machineschaalsets (omlaag schalen) of vlootsoftware-upgrades?

Het afsluiten van een VM-exemplaar van Azure Firewall kan optreden tijdens het inschalen van virtuele-machineschaalsets (omlaag schalen) of tijdens de upgrade van de vlootsoftware. In deze gevallen worden nieuwe binnenkomende verbindingen verdeeld over de resterende firewallexemplaren en worden ze niet doorgestuurd naar het offline-firewallexemplaren. Na 45 seconden wordt de firewall gestart met het weigeren van bestaande verbindingen door TCP RST-pakketten te verzenden. Na nog eens 45 seconden wordt de firewall-VM afgesloten. Zie Voor meer informatie load balancer TCP reset en time-out voor inactiviteit.

Hoe lang duurt het voordat Azure Firewall is uitgeschaald?

Azure Firewall schaalt geleidelijk op wanneer het gemiddelde doorvoer- of CPU-verbruik 60% bedraagt of het aantal verbindingen dat wordt gebruikt, 80%. Het begint bijvoorbeeld uit te schalen wanneer deze 60% van de maximale doorvoer bereikt. Maximumdoorvoeraantallen variëren op basis van de Azure Firewall-SKU en ingeschakelde functies. Zie voor meer informatie Azure Firewall-prestaties.

Uitschalen duurt vijf tot zeven minuten. Wanneer u prestatietests uitvoert, moet u minimaal 10 tot 15 minuten testen en nieuwe verbindingen starten om te profiteren van nieuw gemaakte Azure Firewall-knooppunten.

Hoe verwerkt Azure Firewall niet-actieve time-outs?

Wanneer een verbinding een time-out voor inactiviteit heeft (vier minuten zonder activiteit), beëindigt Azure Firewall de verbinding zonder problemen door een TCP RST-pakket te verzenden.

Door de klant beheerd onderhoud

Welk type onderhoud ondersteunt door de klant beheerd onderhoud?

Azure-services ondergaan regelmatig onderhoudsupdates om de functionaliteit, betrouwbaarheid, prestaties en beveiliging te verbeteren. Met een geconfigureerde onderhoudsperiode worden onderhoud van gastbesturingssystemen en serviceonderhoud uitgevoerd tijdens dat venster. Door de klant beheerd onderhoud bevat echter geen hostupdates of essentiële beveiligingsupdates.

Kan ik geavanceerde meldingen ontvangen van de onderhoudsbeurtenis?

Geavanceerde meldingen voor Azure Firewall-onderhoud zijn niet beschikbaar.

Kan ik een onderhoudsvenster korter dan vijf uur configureren?

Nee, een onderhoudsvenster van minimaal vijf uur is vereist.

Kan ik een ander onderhoudsvenster dan een dagelijkse planning configureren?

Nee, onderhoudsvensters worden momenteel geconfigureerd om dagelijks opnieuw te worden uitgevoerd.

Zijn er gevallen waarin ik bepaalde updates niet kan beheren?

Door de klant beheerd onderhoud ondersteunt gastbesturingssysteem- en service-updates, die rekening houden met de meeste onderhoudsitems van belang voor klanten. Sommige updates, zoals hostupdates, vallen echter buiten het bereik van door de klant beheerd onderhoud. In zeldzame gevallen kunnen we uw controle over het onderhoudsvenster overschrijven om beveiligingsproblemen met hoge ernst op te lossen.

Moeten de onderhoudsconfiguratiebronnen zich in dezelfde regio bevinden als de Azure Firewall?

Ja.

Kunnen we meer dan één onderhoudsconfiguratie maken voor één Azure Firewall?

Nee Op dit moment kan slechts één onderhoudsconfiguratie worden gekoppeld aan een Azure Firewall.

Welke Azure Firewall-SKU's kan ik configureren voor het gebruik van door de klant beheerd onderhoud?

Alle Azure Firewall-SKU's: Basic, Standard en Premium ondersteunen door de klant beheerd onderhoud.

Hoe lang duurt het voordat een configuratiebeleid voor onderhoud van kracht wordt nadat het is toegewezen aan de Azure Firewall?

Het kan tot 24 uur duren voordat de Azure Firewall het onderhoudsschema volgt nadat het onderhoudsbeleid is gekoppeld.

Ik heb een onderhoudsvenster gepland voor een toekomstige datum voor een van mijn Azure Firewall-resources. Worden de onderhoudsactiviteiten tot die tijd onderbroken voor deze bron?

Onderhoudsactiviteiten in uw Azure Firewall worden niet onderbroken tijdens de periode voorafgaand aan het geplande onderhoudsvenster. Voor dagen die niet zijn opgenomen in uw onderhoudsplanning, worden normale onderhoudsbewerkingen zoals gebruikelijk op de resource voortgezet.

Hoe kom ik meer te vinden over door de klant beheerd onderhoud op de Azure Firewall?

Zie Het door de klant beheerde onderhoud configureren voor meer informatie.

Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw Azure Virtual Network-resources beschermt. Het is een volledig stateful firewall-as-a-service met ingebouwde hoge beschikbaarheid en onbeperkte schaalbaarheid van de cloud. U kunt beleid voor toepassings- en netwerkconnectiviteit centraal maken, afdwingen en registreren voor abonnementen en virtuele netwerken.

Zie Azure Firewall-functies voor een gedetailleerde lijst met Azure Firewall-functies.

Azure Firewall kan worden geïmplementeerd in elk virtueel netwerk. Het wordt echter meestal geïmplementeerd in een centraal virtueel netwerk in een hub-and-spoke-model, waarbij andere virtuele netwerken eraan zijn gekoppeld. De standaardroute van de gekoppelde virtuele netwerken is ingesteld om te verwijzen naar dit virtuele netwerk van de centrale firewall. Hoewel wereldwijde peering van virtuele netwerken wordt ondersteund, wordt dit niet aanbevolen vanwege mogelijke prestatie- en latentieproblemen in verschillende regio's. Implementeer één firewall per regio voor optimale prestaties.

Dit model biedt gecentraliseerde controle over meerdere spoke-VNets in verschillende abonnementen en biedt kostenbesparingen door te voorkomen dat een firewall in elk virtueel netwerk hoeft te worden geïmplementeerd. Kostenbesparingen moeten worden geëvalueerd op basis van de bijbehorende peeringkosten op basis van verkeerspatronen.

Azure Firewall kan worden geïmplementeerd met behulp van Azure Portal, PowerShell, REST API of sjablonen. Zie zelfstudie: Azure Firewall implementeren en configureren met behulp van Azure Portal voor stapsgewijze instructies.

Azure Firewall maakt gebruik van regels en regelverzamelingen. Een regelverzameling is een set regels met dezelfde volgorde en prioriteit. Regelverzamelingen worden uitgevoerd in volgorde van prioriteit. DNAT-regelverzamelingen hebben een hogere prioriteit dan netwerkregelverzamelingen, die op hun beurt een hogere prioriteit hebben dan toepassingsregelverzamelingen. Alle regels worden beëindigd.

Er zijn drie typen regelverzamelingen:

• Toepassingsregels: FQDN's (Fully Qualified Domain Names) configureren die toegankelijk zijn vanuit een virtueel netwerk.
• Netwerkregels: regels configureren met bronadressen, protocollen, doelpoorten en doeladressen.
• NAT-regels: DNAT-regels configureren om binnenkomende internet- of intranetverbindingen (preview) toe te staan.

Zie Azure Firewall-regels configureren voor meer informatie.

Azure Firewall kan worden geïntegreerd met Azure Monitor voor het weergeven en analyseren van logboeken. Logboeken kunnen worden verzonden naar Log Analytics, Azure Storage of Event Hubs en worden geanalyseerd met behulp van hulpprogramma's zoals Log Analytics, Excel of Power BI. Zie Zelfstudie: Azure Firewall-logboeken bewaken voor meer informatie.

Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die virtuele netwerkresources beveiligt. Het is een volledig stateful firewall-as-a-service met ingebouwde hoge beschikbaarheid en onbeperkte schaalbaarheid van de cloud. Het is vooraf geïntegreerd met externe SECaaS-providers (security-as-a-service) om de beveiliging voor virtuele netwerken en vertakkingsinternetverbindingen te verbeteren. Zie Azure-netwerkbeveiliging voor meer informatie.

Application Gateway WAF biedt gecentraliseerde binnenkomende beveiliging voor webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen. Azure Firewall biedt binnenkomende beveiliging voor niet-HTTP/S-protocollen (bijvoorbeeld RDP, SSH, FTP), beveiliging op uitgaand netwerkniveau voor alle poorten en protocollen en beveiliging op toepassingsniveau voor uitgaande HTTP/S.

Azure Firewall vormt een aanvulling op NSG's om een betere 'diepgaande verdediging' netwerkbeveiliging te bieden. NSG's bieden gedistribueerde netwerklaagverkeer filteren om verkeer binnen virtuele netwerken in elk abonnement te beperken. Azure Firewall biedt gecentraliseerde, volledig stateful netwerk- en toepassingsniveaubeveiliging voor abonnementen en virtuele netwerken.

Azure Firewall is een beheerde service met meerdere beveiligingslagen, waaronder platformbeveiliging met NSG's op NIC-niveau (niet zichtbaar). NSG's op subnetniveau zijn niet vereist in het AzureFirewallSubnet en zijn uitgeschakeld om serviceonderbrekingen te voorkomen.

Privé-eindpunten zijn een onderdeel van Private Link, een technologie waarmee u kunt communiceren met Azure PaaS-services met behulp van privé-IP-adressen in plaats van openbare. Azure Firewall kan worden gebruikt om toegang tot openbare IP-adressen te voorkomen, waardoor gegevensexfiltratie voor Azure-services niet gebruikmaken van Private Link, en om beleid zonder vertrouwen te implementeren door te definiëren wie in uw organisatie toegang nodig heeft tot deze Azure PaaS-services, omdat Private Link per standaard netwerktoegang voor uw hele bedrijfsnetwerk opent.

Het juiste ontwerp voor het controleren van verkeer naar privé-eindpunten met Azure Firewall is afhankelijk van uw netwerkarchitectuur. Meer informatie vindt u in het artikel Azure Firewall-scenario's om verkeer te controleren dat is bestemd voor een privé-eindpunt.

Service-eindpunten voor virtuele netwerken zijn een alternatief voor Private Link om netwerktoegang tot Azure PaaS-services te beheren. Zelfs als de client nog steeds openbare IP-adressen gebruikt voor toegang tot de PaaS-service, wordt het bronsubnet zichtbaar gemaakt, zodat de doel-PaaS-service filterregels kan implementeren en de toegang per subnet kan beperken. U vindt een gedetailleerde vergelijking tussen beide mechanismen in Privé-eindpunten vergelijken en Service-eindpunten.

Azure Firewall-toepassingsregels kunnen worden gebruikt om ervoor te zorgen dat er geen gegevensexfiltratie voor rogue services plaatsvindt en om toegangsbeleid te implementeren met een verhoogde granulariteit buiten het subnetniveau. Meestal moeten service-eindpunten voor virtuele netwerken worden ingeschakeld in het subnet van de client die verbinding maakt met een Azure-service. Wanneer u echter verkeer naar service-eindpunten inspecteert met Azure Firewall, moet u in plaats daarvan het bijbehorende service-eindpunt inschakelen in het Azure Firewall-subnet en deze uitschakelen op het subnet van de werkelijke client (meestal een virtueel spoke-netwerk). Op deze manier kunt u toepassingsregels in Azure Firewall gebruiken om te bepalen tot welke Azure-services uw Azure-workloads toegang hebben.

Zie Prijzen van Azure Firewall voor meer informatie over prijzen.

Zie Azure-abonnements- en servicelimieten, quota en beperkingen voor services voor servicelimieten.

Azure Firewall verplaatst of slaat geen klantgegevens op buiten de regio waar deze is geïmplementeerd.

Nee, Azure Firewall in beveiligde virtuele hubs (vWAN) wordt momenteel niet ondersteund in Qatar.

Ja, Azure Firewall ondersteunt zowel binnenkomend als uitgaand verkeer filteren. Inkomende filtering wordt doorgaans gebruikt voor niet-HTTP-protocollen, zoals RDP, SSH en FTP. Voor binnenkomend HTTP- en HTTPS-verkeer kunt u overwegen om een webtoepassingsfirewall zoals Azure Web Application Firewall (WAF) of de TLS-offload- en deep packet inspection-functies van Azure Firewall Premium te gebruiken.

Ja, Azure Firewall Basic biedt ondersteuning voor geforceerde tunneling.

Een TCP-ping maakt geen verbinding met de doel-FQDN. Azure Firewall blokkeert verbindingen met een doel-IP-adres of FQDN, tenzij dit expliciet is toegestaan door een regel.

In het geval van een TCP-ping, als er geen regel het verkeer toestaat, reageert de firewall zelf op de TCP-pingaanvraag van de client. Dit antwoord bereikt het doel-IP-adres of de FQDN niet en wordt niet geregistreerd. Als een netwerkregel expliciet toegang toestaat tot het doel-IP-adres of de FQDN, bereikt de pingaanvraag de doelserver en wordt het antwoord teruggegeven aan de client. Deze gebeurtenis wordt vastgelegd in het logboek netwerkregels.

Nee, Azure Firewall biedt geen systeemeigen ondersteuning voor BGP-peering. De functie Autolearn SNAT-routes maakt echter indirect gebruik van BGP via Azure Route Server.

U kunt Azure PowerShell gebruiken om de toewijzing van azure-firewall ongedaan te maken en toe te wijzen. Het proces varieert afhankelijk van de configuratie.

Voor een firewall zonder een beheer-NIC:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Voor een firewall met een beheer-NIC:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Voor een firewall in een beveiligde virtuele hub:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Notitie

Wanneer u de firewall stopt en start, stopt de facturering en wordt deze dienovereenkomstig gestart. Het privé-IP-adres kan echter veranderen, wat van invloed kan zijn op de connectiviteit als routetabellen zijn geconfigureerd.

Het is raadzaam om beschikbaarheidszones te configureren tijdens de eerste implementatie. U kunt ze na de implementatie echter opnieuw configureren als:

• De firewall wordt geïmplementeerd in een virtueel netwerk (niet ondersteund in beveiligde virtuele hubs).
• De regio ondersteunt beschikbaarheidszones.
• Alle gekoppelde openbare IP-adressen worden geconfigureerd met dezelfde zones.

Beschikbaarheidszones opnieuw configureren:

1. De toewijzing van de firewall ongedaan maken:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Werk de zoneconfiguratie bij en wijs de firewall toe:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Ja:

• De Azure Firewall en het virtuele netwerk moeten zich in dezelfde resourcegroep bevinden.
• Het openbare IP-adres kan zich in een andere resourcegroep bevinden.
• Alle resources (Azure Firewall, virtueel netwerk, openbaar IP-adres) moeten zich in hetzelfde abonnement bevinden.

De inrichtingsstatus Mislukt geeft aan dat een configuratie-update is mislukt op een of meer back-endexemplaren. De Azure Firewall blijft operationeel, maar de configuratie kan inconsistent zijn. Voer de update opnieuw uit totdat de inrichtingsstatus is gewijzigd in Geslaagd.

Azure Firewall maakt gebruik van een actief-actief-configuratie met meerdere back-endknooppunten. Tijdens gepland onderhoud zorgt het leegmaken van verbindingen voor een goede updates. Bij niet-geplande fouten vervangt een nieuw knooppunt het mislukte knooppunt en wordt de connectiviteit doorgaans binnen 10 seconden hersteld.

Ja, firewallnamen zijn beperkt tot 50 tekens.

Een /26-subnet zorgt voor voldoende IP-adressen voor schalen naarmate de Azure Firewall extra exemplaren van virtuele machines in richt.

Nee, een /26-subnet is voldoende voor alle schaalscenario's.

Azure Firewall wordt automatisch geschaald op basis van het CPU-gebruik, de doorvoer en het aantal verbindingen. De doorvoercapaciteit varieert van 2,5 tot 3 Gbps in eerste instantie tot 30 Gbps (Standard SKU) of 100 Gbps (Premium SKU).

Ja. Zie azure-abonnements- en servicelimieten, quota en beperkingen voor meer informatie.

Nee, het verplaatsen van een IP-groep naar een andere resourcegroep wordt momenteel niet ondersteund.

Een standaardgedrag van een netwerkfirewall is ervoor te zorgen dat TCP-verbindingen actief blijven en deze onmiddellijk sluiten als er geen activiteit is. Time-out voor inactiviteit van Azure Firewall is vier minuten. Deze instelling kan niet door de gebruiker worden geconfigureerd, maar u kunt wel contact opnemen met De ondersteuning van Azure om de time-out voor inactiviteit voor binnenkomende en uitgaande verbindingen tot 15 minuten te verhogen. Time-out voor inactiviteit voor oost-west-verkeer kan niet worden gewijzigd.

Als een periode van inactiviteit langer is dan de time-outwaarde, is er geen garantie dat de TCP- of HTTP-sessie wordt gehandhaafd. Een veelvoorkomende procedure is het gebruik van een TCP-keep-alive. Deze procedure houdt de verbinding gedurende een langere periode actief. Zie de .NET-voorbeelden voor meer informatie.

Ja, maar u moet de firewall configureren in de modus Geforceerde tunneling. Met deze configuratie maakt u een beheerinterface met een openbaar IP-adres dat door Azure Firewall wordt gebruikt voor de bewerkingen. Dit openbare IP-adres is bedoeld voor beheerverkeer. Het wordt uitsluitend gebruikt door het Azure-platform en kan niet worden gebruikt voor enig ander doel. Het netwerk van het tenantgegevenspad kan worden geconfigureerd zonder een openbaar IP-adres en internetverkeer kan worden geforceerd getunneld naar een andere firewall of volledig geblokkeerd.

Ja. Zie Backup Azure Firewall en Azure Firewall Policy met Logic Apps voor meer informatie.

Voor veilige toegang tot PaaS-services raden we service-eindpunten aan. U kunt ervoor kiezen om service-eindpunten in te schakelen in het Azure Firewall-subnet en deze uitschakelen op de verbonden virtuele spoke-netwerken. Op deze manier profiteert u van beide functies: beveiliging van service-eindpunten en centrale logboekregistratie voor al het verkeer.

Ja, u kunt Azure Firewall in een virtueel hubnetwerk gebruiken om verkeer tussen een virtueel spoke-netwerk te routeren en te filteren. Subnetten in elk van de virtuele spoke-netwerken moeten een UDR hebben die verwijst naar De Azure Firewall als een standaardgateway voor dit scenario.

Ja. Het configureren van de UDR's voor het omleiden van verkeer tussen subnetten in hetzelfde virtuele netwerk vereist echter meer aandacht. Hoewel het adresbereik van het virtuele netwerk als doelvoorvoegsel voor de UDR voldoende is, wordt hiermee ook al het verkeer van de ene machine naar een andere machine in hetzelfde subnet gerouteerd via het Azure Firewall-exemplaar. Om dit te voorkomen, moet u een route voor het subnet in de UDR opnemen met een volgend hoptype van het virtuele netwerk. Het beheren van deze routes kan omslachtig en gevoelig zijn voor fouten. De aanbevolen methode voor interne netwerksegmentatie is het gebruik van netwerkbeveiligingsgroepen, waarvoor u geen UDR's nodig hebt.

Azure Firewall biedt geen SNAT wanneer het doel-IP-adres een privé-IP-bereik is per IANA RFC 1918 of IANA RFC 6598 voor privénetwerken. Als uw organisatie een openbaar IP-adresbereik gebruikt voor privénetwerken, wordt het verkeer door Azure Firewall-SNATs naar een van de privé-IP-adressen van de firewall in AzureFirewallSubnet gebruikt. U kunt Azure Firewall configureren om SNAT niet in te schakelen voor uw openbare IP-adresbereik. Raadpleeg Azure Firewall SNAT voor privé-IP-adresbereiken voor meer informatie.

Bovendien is verkeer dat door toepassingsregels wordt verwerkt, altijd SNAT-ed. Als u het oorspronkelijke bron-IP-adres in uw logboeken voor FQDN-verkeer wilt zien, kunt u netwerkregels gebruiken met de doel-FQDN.

Geforceerde tunneling wordt ondersteund wanneer u een nieuwe firewall maakt. U kunt geen bestaande firewall configureren voor geforceerde tunneling. Zie Geforceerde tunneling van Azure Firewall voor meer informatie.

Azure Firewall moet een directe verbinding met internet hebben. Als uw AzureFirewallSubnet een standaardroute naar uw on-premises netwerk via BGP leert, moet u deze overschrijven met een UDR van 0.0.0.0/0 met de waarde NextHopType ingesteld op Internet om directe verbinding met internet te houden.

Als voor uw configuratie geforceerde tunneling naar een on-premises netwerk is vereist en u de ip-voorvoegsels van het doel voor uw internetbestemmingen kunt bepalen, kunt u deze bereiken configureren met het on-premises netwerk als de volgende hop via een door de gebruiker gedefinieerde route op het AzureFirewallSubnet. U kunt ook BGP gebruiken om deze routes te definiëren.

• URL : sterretjes werken wanneer ze aan de meest rechtse of meest linkse zijde worden geplaatst. Als deze zich aan de linkerkant bevindt, kan het geen deel uitmaken van de FQDN.
• FQDN : sterretjes werken wanneer ze aan de linkerkant worden geplaatst.
• ALGEMEEN : sterretjes aan de linkerkant betekenen letterlijk alles aan de linkerovereenkomsten, wat betekent dat meerdere subdomeinen en/of mogelijk ongewenste domeinnaamvariaties overeenkomen. Zie de volgende voorbeelden.

Voorbeelden:

Typologie	Regel	Ondersteund?	Positieve voorbeelden
Doel-URL	www.contoso.com	Ja	www.contoso.com www.contoso.com/
Doel-URL	*.contoso.com	Ja	any.contoso.com/ sub1.any.contoso.com
Doel-URL	*contoso.com	Ja	example.anycontoso.com sub1.example.contoso.com contoso.com Waarschuwing: dit gebruik van jokertekens maakt mogelijk ook ongewenste/riskante variaties mogelijk, zoals th3re4lcontoso.com - gebruik voorzichtig.
Doel-URL	www.contoso.com/test	Ja	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
Doel-URL	www.contoso.com/test/*	Ja	www.contoso.com/test/anything Opmerking: www.contoso.com/testkomt niet overeen (laatste slash)
Doel-URL	www.contoso.*/test/*	Nee
Doel-URL	www.contoso.com/test?example=1	Nee
Doel-URL	www.contoso.*	Nee
Doel-URL	www.*contoso.com	Nee
Doel-URL	www.contoso.com:8080	Nee
Doel-URL	*.contoso.*	Nee
DoelFQDN	www.contoso.com	Ja	www.contoso.com
DoelFQDN	*.contoso.com	Ja	any.contoso.com Opmerking: Als u specifiek wilt toestaan contoso.com, moet u contoso.com opnemen in de regel. Anders wordt de verbinding standaard verbroken omdat de aanvraag niet overeenkomt met een regel.
DoelFQDN	*contoso.com	Ja	example.anycontoso.com contoso.com
DoelFQDN	www.contoso.*	Nee
DoelFQDN	*.contoso.*	Nee

Nee Azure Firewall blokkeert standaard Active Directory-toegang. Als u toegang wilt toestaan, configureert u de servicetag AzureActiveDirectory. Zie Azure Firewall-servicetags voor meer informatie.

Ja, u kunt Azure PowerShell gebruiken om dit te doen:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Een TCP-ping maakt geen verbinding met de doel-FQDN. Azure Firewall staat geen verbinding toe met een doel-IP-adres/FQDN, tenzij er een expliciete regel is die dit toestaat.

TCP-ping is een unieke use-case waarbij als er geen toegestane regel is, de firewall zelf reageert op de TCP-pingaanvraag van de client, zelfs als de TCP-ping het doel-IP-adres/de FQDN niet bereikt. In dit geval wordt de gebeurtenis niet geregistreerd. Als er een netwerkregel is die toegang tot het IP-doel-IP-adres/de FQDN toestaat, bereikt de pingaanvraag de doelserver en wordt het antwoord teruggegeven aan de client. Deze gebeurtenis wordt vastgelegd in het logboek netwerkregels.

Ja. Zie Azure-abonnement en servicelimieten, quota en beperkingen voor meer informatie

Nee, het verplaatsen van een IP-groep naar een andere resourcegroep wordt momenteel niet ondersteund.

Een standaardgedrag van een netwerkfirewall is ervoor te zorgen dat TCP-verbindingen actief blijven en deze onmiddellijk sluiten als er geen activiteit is. Time-out voor inactiviteit van Azure Firewall is vier minuten. Deze instelling kan niet door de gebruiker worden geconfigureerd, maar u kunt wel contact opnemen met De ondersteuning van Azure om de time-out voor inactiviteit voor binnenkomende en uitgaande verbindingen tot 15 minuten te verhogen. Time-out voor inactiviteit voor oost-west-verkeer kan niet worden gewijzigd.

Als een periode van inactiviteit langer is dan de time-outwaarde, is er geen garantie dat de TCP- of HTTP-sessie wordt gehandhaafd. Een veelvoorkomende procedure is het gebruik van een TCP-keep-alive. Deze procedure houdt de verbinding gedurende een langere periode actief. Zie de .NET-voorbeelden voor meer informatie.

Ja, maar u moet de firewall configureren in de modus Geforceerde tunneling. Met deze configuratie maakt u een beheerinterface met een openbaar IP-adres dat door Azure Firewall wordt gebruikt voor de bewerkingen. Dit openbare IP-adres is bedoeld voor beheerverkeer. Het wordt uitsluitend gebruikt door het Azure-platform en kan niet worden gebruikt voor enig ander doel. Het netwerk van het tenantgegevenspad kan worden geconfigureerd zonder een openbaar IP-adres en internetverkeer kan worden geforceerd getunneld naar een andere firewall of volledig geblokkeerd.

Azure Firewall verplaatst of slaat geen klantgegevens op uit de regio waarin deze is geïmplementeerd.

Ja. Zie Backup Azure Firewall en Azure Firewall Policy met Logic Apps voor meer informatie.

Nee, momenteel wordt Azure Firewall in beveiligde virtuele hubs (vWAN) niet ondersteund in Qatar.

Azure Firewall maakt gebruik van virtuele Azure-machines onder die een vaste limiet hebben voor het aantal verbindingen. Het totale aantal actieve verbindingen per virtuele machine is 250.000.

De totale limiet per firewall is de verbindingslimiet voor virtuele machines (250k) x het aantal virtuele machines in de back-endpool van de firewall. Azure Firewall begint met twee virtuele machines en schaalt uit op basis van CPU-gebruik en doorvoer.

Azure Firewall maakt momenteel gebruik van TCP/UDP-bronpoorten voor uitgaand SNAT-verkeer, zonder inactieve wachttijd. Wanneer een TCP/UDP-verbinding wordt gesloten, wordt de gebruikte TCP-poort onmiddellijk gezien als beschikbaar voor toekomstige verbindingen.

Als tijdelijke oplossing voor bepaalde architecturen kunt u met NAT Gateway implementeren en schalen met Azure Firewall om een grotere groep SNAT-poorten te bieden voor variabiliteit en beschikbaarheid.

Specifiek NAT-gedrag is afhankelijk van de configuratie van de firewall en het type NAT dat is geconfigureerd. De firewall heeft bijvoorbeeld DNAT-regels voor inkomend verkeer en netwerkregels en toepassingsregels voor uitgaand verkeer via de firewall.

Zie Azure Firewall NAT-gedrag voor meer informatie.

Voor gepland onderhoud werkt de logica voor het leegmaken van verbindingen back-endknooppunten correct bij. Azure Firewall wacht 90 seconden tot bestaande verbindingen zijn gesloten. In de eerste 45 seconden accepteert het back-endknooppunt geen nieuwe verbindingen en in de resterende tijd reageert het met RST alle binnenkomende pakketten. Clients kunnen zo nodig automatisch opnieuw verbinding maken met een ander back-endknooppunt.

Het afsluiten van een VM-exemplaar van Azure Firewall kan optreden tijdens het inschalen van virtuele-machineschaalsets (omlaag schalen) of tijdens de upgrade van de vlootsoftware. In deze gevallen worden nieuwe binnenkomende verbindingen verdeeld over de resterende firewallexemplaren en worden ze niet doorgestuurd naar het offline-firewallexemplaren. Na 45 seconden wordt de firewall gestart met het weigeren van bestaande verbindingen door TCP RST-pakketten te verzenden. Na nog eens 45 seconden wordt de firewall-VM afgesloten. Zie Voor meer informatie load balancer TCP reset en time-out voor inactiviteit.

Azure Firewall schaalt geleidelijk op wanneer het gemiddelde doorvoer- of CPU-verbruik 60% bedraagt of het aantal verbindingen dat wordt gebruikt, 80%. Het begint bijvoorbeeld uit te schalen wanneer deze 60% van de maximale doorvoer bereikt. Maximumdoorvoeraantallen variëren op basis van de Azure Firewall-SKU en ingeschakelde functies. Zie voor meer informatie Azure Firewall-prestaties.

Uitschalen duurt vijf tot zeven minuten. Wanneer u prestatietests uitvoert, moet u minimaal 10 tot 15 minuten testen en nieuwe verbindingen starten om te profiteren van nieuw gemaakte Azure Firewall-knooppunten.

Wanneer een verbinding een time-out voor inactiviteit heeft (vier minuten zonder activiteit), beëindigt Azure Firewall de verbinding zonder problemen door een TCP RST-pakket te verzenden.

Azure-services ondergaan regelmatig onderhoudsupdates om de functionaliteit, betrouwbaarheid, prestaties en beveiliging te verbeteren. Met een geconfigureerde onderhoudsperiode worden onderhoud van gastbesturingssystemen en serviceonderhoud uitgevoerd tijdens dat venster. Door de klant beheerd onderhoud bevat echter geen hostupdates of essentiële beveiligingsupdates.

Geavanceerde meldingen voor Azure Firewall-onderhoud zijn niet beschikbaar.

Nee, een onderhoudsvenster van minimaal vijf uur is vereist.

Nee, onderhoudsvensters worden momenteel geconfigureerd om dagelijks opnieuw te worden uitgevoerd.

Door de klant beheerd onderhoud ondersteunt gastbesturingssysteem- en service-updates, die rekening houden met de meeste onderhoudsitems van belang voor klanten. Sommige updates, zoals hostupdates, vallen echter buiten het bereik van door de klant beheerd onderhoud. In zeldzame gevallen kunnen we uw controle over het onderhoudsvenster overschrijven om beveiligingsproblemen met hoge ernst op te lossen.

Ja.

Nee Op dit moment kan slechts één onderhoudsconfiguratie worden gekoppeld aan een Azure Firewall.

Alle Azure Firewall-SKU's: Basic, Standard en Premium ondersteunen door de klant beheerd onderhoud.

Het kan tot 24 uur duren voordat de Azure Firewall het onderhoudsschema volgt nadat het onderhoudsbeleid is gekoppeld.

Onderhoudsactiviteiten in uw Azure Firewall worden niet onderbroken tijdens de periode voorafgaand aan het geplande onderhoudsvenster. Voor dagen die niet zijn opgenomen in uw onderhoudsplanning, worden normale onderhoudsbewerkingen zoals gebruikelijk op de resource voortgezet.

Zie Het door de klant beheerde onderhoud configureren voor meer informatie.