Veelgestelde vragen over Azure Firewall

Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw Azure Virtual Network-resources beschermt. Het is een volledig stateful firewall-as-a-service met ingebouwde hoge beschikbaarheid en onbeperkte schaalbaarheid van de cloud. U kunt beleid voor toepassings- en netwerkconnectiviteit centraal maken, afdwingen en registreren voor abonnementen en virtuele netwerken.

Zie Azure Firewall-functies voor meer informatie over Azure Firewall-functies.

U kunt Azure Firewall op elk virtueel netwerk implementeren, maar klanten implementeren dit doorgaans op een centraal virtueel netwerk en peeren er andere virtuele netwerken op in een hub-en-spoke-model. Vervolgens kunt u de standaardroute van de gekoppelde virtuele netwerken zo instellen dat deze verwijst naar dit virtuele netwerk van de centrale firewall. Wereldwijde VNet-peering wordt ondersteund, maar wordt niet aanbevolen vanwege mogelijke prestatie- en latentieproblemen in verschillende regio's. Implementeer één firewall per regio voor de beste prestaties.

Het voordeel van dit model is de mogelijkheid om centraal controle te uitoefenen op meerdere spoke-VNET's in verschillende abonnementen. Er zijn ook kostenbesparingen omdat u geen firewall in elk VNet afzonderlijk hoeft te implementeren. De kostenbesparingen moeten worden berekend ten opzichte van de bijbehorende peeringkosten op basis van de verkeerspatronen van de klant.

U kunt Azure Firewall instellen met behulp van Azure Portal, PowerShell, REST API of met behulp van sjablonen. Zie zelfstudie: Azure Firewall implementeren en configureren met behulp van Azure Portal voor stapsgewijze instructies.

Azure Firewall ondersteunt regels en regelverzamelingen. Een regelverzameling is een set regels die dezelfde volgorde en prioriteit delen. Regelverzamelingen worden uitgevoerd in volgorde van hun prioriteit. DNAT-regelverzamelingen zijn verzamelingen met een hogere prioriteit voor netwerkregels, die een hogere prioriteit hebben dan toepassingsregelverzamelingen en alle regels worden beëindigd.

Er zijn drie typen regelverzamelingen:

• Toepassingsregels: FQDN's (Fully Qualified Domain Names) configureren die toegankelijk zijn vanuit een virtueel netwerk.
• Netwerkregels: regels configureren die bronadressen, protocollen, doelpoorten en doeladressen bevatten.
• NAT-regels: DNAT-regels configureren om binnenkomende internetverbinding toe te staan.

Zie Azure Firewall-regels configureren voor meer informatie.

Azure Firewall biedt ondersteuning voor het filteren van inkomend en uitgaand verkeer. Binnenkomende beveiliging wordt doorgaans gebruikt voor niet-HTTP-protocollen, zoals RDP-, SSH- en FTP-protocollen. Gebruik voor binnenkomende HTTP- en HTTPS-beveiliging een webtoepassingsfirewall zoals Azure Web Application Firewall (WAF) of de TLS-offload- en deep packet inspection-mogelijkheden van Azure Firewall Premium.

Ja, Azure Firewall Basic biedt ondersteuning voor geforceerde tunneling.

Azure Firewall is geïntegreerd met Azure Monitor voor het weergeven en analyseren van firewalllogboeken. Logboeken kunnen worden verzonden naar Log Analytics, Azure Storage of Event Hubs. Ze kunnen in Log Analytics of door verschillende hulpprogramma's zoals Excel en Power BI worden geanalyseerd. Zie Zelfstudie: Azure Firewall-logboeken bewaken voor meer informatie.

Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw virtuele netwerkresources beveiligt. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. Het is vooraf geïntegreerd met seCaaS-providers (security as a service) van derden om geavanceerde beveiliging te bieden voor uw virtuele netwerk en vertakkingsinternetverbindingen. Zie Azure-netwerkbeveiliging voor meer informatie over Azure-netwerkbeveiliging.

Web Application Firewall (WAF) is een functie van Application Gateway die gecentraliseerde inkomende beveiliging van uw webtoepassingen biedt tegen veelvoorkomende aanvallen en beveiligingsproblemen. Azure Firewall biedt binnenkomende beveiliging voor niet-HTTP/S-protocollen (bijvoorbeeld RDP, SSH, FTP), beveiliging op uitgaand netwerkniveau voor alle poorten en protocollen en beveiliging op toepassingsniveau voor uitgaande HTTP/S.

De Azure Firewall-service vormt een aanvulling op de functionaliteit van de netwerkbeveiligingsgroep. Samen bieden ze betere 'diepgaande' netwerkbeveiliging. Netwerkbeveiligingsgroepen bieden gedistribueerde filtering voor netwerklagen om het verkeer te beperken tot resources in virtuele netwerken in elk abonnement. Azure Firewall is een volledig stateful, gecentraliseerde netwerkfirewall als een service, die beveiliging op netwerk- en toepassingsniveau biedt voor verschillende abonnementen en virtuele netwerken.

Azure Firewall is een beheerde service met meerdere beveiligingslagen, waaronder platformbeveiliging met NSG's op NIC-niveau (niet zichtbaar). NSG's op subnetniveau zijn niet vereist in het AzureFirewallSubnet en zijn uitgeschakeld om ervoor te zorgen dat er geen serviceonderbreking wordt onderbroken.

Voor veilige toegang tot PaaS-services raden we service-eindpunten aan. U kunt ervoor kiezen om service-eindpunten in te schakelen in het Azure Firewall-subnet en deze uitschakelen op de verbonden virtuele spoke-netwerken. Op deze manier profiteert u van beide functies: beveiliging van service-eindpunten en centrale logboekregistratie voor al het verkeer.

Zie prijzen voor Azure Firewall.

U kunt de toewijzing van Azure PowerShell ongedaan maken en methoden toewijzen . Voor een firewall die is geconfigureerd voor geforceerde tunneling, is de procedure iets anders.

Bijvoorbeeld voor een firewall die NIET is geconfigureerd voor geforceerde tunneling:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))

Set-AzFirewall -AzureFirewall $azfw

Voor een firewall die is geconfigureerd voor geforceerde tunneling, is stoppen hetzelfde. Maar om te beginnen moet het openbare IP-adres van het beheer opnieuw worden gekoppeld aan de firewall:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall

Voor een firewall in een beveiligde architectuur van een virtuele hub is stoppen hetzelfde, maar moet u de id van de virtuele hub gebruiken:

# Stop and existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$virtualhub = get-azvirtualhub -ResourceGroupName "RG name of vHUB" -name "vHUB name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Azfw RG Name"
$azfw.Allocate($virtualhub.Id)
$azfw | Set-AzFirewall

Wanneer u de toewijzing toewijst en de toewijzing ongedaan maakt, stopt de firewallfacturering en wordt deze dienovereenkomstig gestart.

Het wordt aanbevolen om beschikbaarheidszones te configureren tijdens de eerste firewallimplementatie. In sommige gevallen is het echter mogelijk om na de implementatie beschikbaarheidszones te wijzigen. De vereisten zijn:

• De firewall wordt geïmplementeerd in een VNet. Het wordt niet ondersteund met firewalls die zijn geïmplementeerd in een beveiligde virtuele hub.
• De regio van de firewall ondersteunt beschikbaarheidszones.
• Alle gekoppelde openbare IP-adressen worden geïmplementeerd met beschikbaarheidszones. Controleer op de eigenschappenpagina van elk openbaar IP-adres of het veld beschikbaarheidszones bestaat en is geconfigureerd met dezelfde zones die u voor de firewall hebt geconfigureerd.

Het opnieuw configureren van beschikbaarheidszones kan alleen worden uitgevoerd wanneer u de firewall opnieuw start. Nadat u de firewall hebt toegewezen en direct voordat u de firewall start metSet-AzFirewall, gebruikt u de volgende Azure PowerShell om de eigenschap Zones van de firewall te wijzigen:

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azFw.Zones=1,2,3
$azfw | Set-AzFirewall

Zie Azure-abonnements- en servicelimieten, quota en beperkingen voor Azure Firewall-services.

Ja, u kunt Azure Firewall in een virtueel hubnetwerk gebruiken om verkeer tussen twee spoke-virtuele netwerken te routeren en te filteren. Subnetten in elk van de virtuele spoke-netwerken moeten een UDR hebben die verwijst naar De Azure Firewall als een standaardgateway voor dit scenario.

Ja. Het configureren van de UDR's voor het omleiden van verkeer tussen subnetten in hetzelfde VNET vereist echter meer aandacht. Hoewel het VNET-adresbereik als doelvoorvoegsel voor de UDR voldoende is, wordt hiermee ook al het verkeer van de ene computer naar een andere machine in hetzelfde subnet gerouteerd via het Azure Firewall-exemplaar. Om dit te voorkomen, moet u een route voor het subnet in de UDR opnemen met een volgend hoptype VNET. Het beheren van deze routes kan omslachtig en gevoelig zijn voor fouten. De aanbevolen methode voor interne netwerksegmentatie is het gebruik van netwerkbeveiligingsgroepen, waarvoor u geen UDR's nodig hebt.

Azure Firewall biedt geen SNAT wanneer het doel-IP-adres een privé-IP-bereik is per IANA RFC 1918. Als uw organisatie een openbaar IP-adresbereik gebruikt voor privénetwerken, wordt het verkeer door Azure Firewall-SNATs naar een van de privé-IP-adressen van de firewall in AzureFirewallSubnet gebruikt. U kunt Azure Firewall configureren om SNAT niet in te schakelen voor uw openbare IP-adresbereik. Raadpleeg Azure Firewall SNAT voor privé-IP-adresbereiken voor meer informatie.

Bovendien is verkeer dat door toepassingsregels wordt verwerkt, altijd SNAT-ed. Als u het oorspronkelijke bron-IP-adres in uw logboeken voor FQDN-verkeer wilt zien, kunt u netwerkregels gebruiken met de doel-FQDN.

Geforceerde tunneling wordt ondersteund wanneer u een nieuwe firewall maakt. U kunt geen bestaande firewall configureren voor geforceerde tunneling. Zie Geforceerde tunneling van Azure Firewall voor meer informatie.

Azure Firewall moet een directe verbinding met internet hebben. Als uw AzureFirewallSubnet een standaardroute naar uw on-premises netwerk via BGP leert, moet u deze overschrijven met een UDR van 0.0.0.0/0 met de waarde NextHopType ingesteld op Internet om directe verbinding met internet te houden.

Als voor uw configuratie geforceerde tunneling naar een on-premises netwerk is vereist en u de ip-voorvoegsels van het doel voor uw internetbestemmingen kunt bepalen, kunt u deze bereiken configureren met het on-premises netwerk als de volgende hop via een door de gebruiker gedefinieerde route op het AzureFirewallSubnet. U kunt ook BGP gebruiken om deze routes te definiëren.

Ja. De firewall, het VNet en het openbare IP-adres moeten zich allemaal in dezelfde resourcegroep bevinden.

• URL : sterretjes werken wanneer ze aan de meest rechtse of meest linkse zijde worden geplaatst. Als deze zich aan de linkerkant bevindt, kan het geen deel uitmaken van de FQDN.
• FQDN : sterretjes werken wanneer ze aan de linkerkant worden geplaatst.
• ALGEMEEN : sterretjes aan de linkerkant betekenen letterlijk alles aan de linkerovereenkomsten, wat betekent dat meerdere subdomeinen en/of mogelijk ongewenste domeinnaamvariaties overeenkomen. Zie de volgende voorbeelden.

Voorbeelden:

Wanneer er een configuratiewijziging wordt toegepast, probeert Azure Firewall alle onderliggende back-endexemplaren bij te werken. In zeldzame gevallen kan een van deze back-endinstanties niet worden bijgewerkt met de nieuwe configuratie en stopt het updateproces met een mislukte inrichtingsstatus. Uw Azure Firewall is nog steeds operationeel, maar de toegepaste configuratie heeft mogelijk een inconsistente status, waarbij sommige exemplaren de vorige configuratie hebben waarbij anderen de bijgewerkte regelset hebben. Als dit gebeurt, werkt u de configuratie nog één keer bij totdat de bewerking is geslaagd en de firewall de inrichtingsstatus Geslaagd heeft.

Azure Firewall bestaat uit verschillende back-endknooppunten in een actief-actief-configuratie. Voor gepland onderhoud hebben we verbindingsafvoerlogica om knooppunten correct bij te werken. Updates worden gepland tijdens niet-bedrijfsuren voor elk van de Azure-regio's om het risico op onderbrekingen verder te beperken. Voor niet-geplande problemen instantiëren we een nieuw knooppunt om het mislukte knooppunt te vervangen. Verbinding maken iviteit van het nieuwe knooppunt wordt doorgaans binnen 10 seconden na de fout hersteld.

Voor gepland onderhoud werkt de logica voor het leegmaken van verbindingen back-endknooppunten correct bij. Azure Firewall wacht 90 seconden tot bestaande verbindingen zijn gesloten. In de eerste 45 seconden accepteert het back-endknooppunt geen nieuwe verbindingen en in de resterende tijd reageert het met RST alle binnenkomende pakketten. Clients kunnen zo nodig automatisch opnieuw verbinding maken met een ander back-endknooppunt.

Ja. Er is een limiet van 50 tekens voor een firewallnaam.

Azure Firewall moet meer exemplaren van virtuele machines inrichten wanneer deze worden geschaald. Een /26-adresruimte zorgt ervoor dat de firewall voldoende IP-adressen heeft die beschikbaar zijn voor de schaalaanpassing.

Nee Azure Firewall heeft geen subnet nodig dat groter is dan /26.

De initiële doorvoercapaciteit van Azure Firewall is 2,5 - 3 Gbps en wordt uitgeschaald naar 30 Gbps voor Standard SKU en 100 Gbps voor Premium SKU. De schaal wordt automatisch uitgeschaald op basis van het CPU-gebruik, de doorvoer en het aantal verbindingen.

Azure Firewall schaalt geleidelijk op wanneer het gemiddelde doorvoer- of CPU-verbruik 60% bedraagt of het aantal verbindingen dat wordt gebruikt, 80%. Het begint bijvoorbeeld uit te schalen wanneer deze 60% van de maximale doorvoer bereikt. De maximale doorvoeraantallen variëren op basis van firewall-SKU en ingeschakelde functies. Zie De prestaties van Azure Firewall voor meer informatie.

Uitschalen duurt vijf tot zeven minuten.

Zorg er bij het testen van prestaties voor dat u ten minste 10 tot 15 minuten test en nieuwe verbindingen start om te profiteren van nieuw gemaakte Firewall-knooppunten.

Wanneer een verbinding een time-out voor inactiviteit heeft (vier minuten zonder activiteit), beëindigt Azure Firewall de verbinding zonder problemen door een TCP RST-pakket te verzenden.

Het afsluiten van een VM-exemplaar van Azure Firewall kan optreden tijdens het inschalen van virtuele-machineschaalsets (omlaag schalen) of tijdens de upgrade van de vlootsoftware. In deze gevallen worden nieuwe binnenkomende verbindingen verdeeld over de resterende firewallexemplaren en worden ze niet doorgestuurd naar het offline-firewallexemplaren. Na 45 seconden wordt de firewall gestart met het weigeren van bestaande verbindingen door TCP RST-pakketten te verzenden. Na nog eens 45 seconden wordt de firewall-VM afgesloten. Zie Voor meer informatie load balancer TCP reset en time-out voor inactiviteit.

Nee Azure Firewall blokkeert standaard Active Directory-toegang. Als u toegang wilt toestaan, configureert u de servicetag AzureActiveDirectory. Zie Azure Firewall-servicetags voor meer informatie.

Ja, u kunt Azure PowerShell gebruiken om dit te doen:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Een TCP-ping maakt geen verbinding met de doel-FQDN. Azure Firewall staat geen verbinding toe met een doel-IP-adres/FQDN, tenzij er een expliciete regel is die dit toestaat.

TCP-ping is een unieke use-case waarbij als er geen toegestane regel is, de firewall zelf reageert op de TCP-pingaanvraag van de client, zelfs als de TCP-ping het doel-IP-adres/de FQDN niet bereikt. In dit geval wordt de gebeurtenis niet geregistreerd. Als er een netwerkregel is die toegang tot het IP-doel-IP-adres/de FQDN toestaat, bereikt de pingaanvraag de doelserver en wordt het antwoord teruggegeven aan de client. Deze gebeurtenis wordt vastgelegd in het logboek netwerkregels.

Ja. Zie Azure-abonnement en servicelimieten, quota en beperkingen voor meer informatie

Nee, het verplaatsen van een IP-groep naar een andere resourcegroep wordt momenteel niet ondersteund.

Een standaardgedrag van een netwerkfirewall is ervoor te zorgen dat TCP-verbindingen actief blijven en deze onmiddellijk sluiten als er geen activiteit is. Time-out voor inactiviteit van Azure Firewall is vier minuten. Deze instelling kan niet door de gebruiker worden geconfigureerd, maar u kunt wel contact opnemen met De ondersteuning van Azure om de time-out voor inactiviteit voor binnenkomende en uitgaande verbindingen tot 30 minuten te verhogen. Time-out voor inactiviteit voor oost-west-verkeer kan niet worden gewijzigd.

Als een periode van inactiviteit langer is dan de time-outwaarde, is er geen garantie dat de TCP- of HTTP-sessie wordt gehandhaafd. Een veelvoorkomende procedure is het gebruik van een TCP-keep-alive. Deze procedure houdt de verbinding gedurende een langere periode actief. Zie de .NET-voorbeelden voor meer informatie.

Ja, maar u moet de firewall configureren in de modus Geforceerde tunneling. Met deze configuratie maakt u een beheerinterface met een openbaar IP-adres dat door Azure Firewall wordt gebruikt voor de bewerkingen. Dit openbare IP-adres is bedoeld voor beheerverkeer. Het wordt uitsluitend gebruikt door het Azure-platform en kan niet worden gebruikt voor enig ander doel. Het netwerk van het tenantgegevenspad kan worden geconfigureerd zonder een openbaar IP-adres en internetverkeer kan worden geforceerd getunneld naar een andere firewall of volledig geblokkeerd.

Azure Firewall verplaatst of slaat geen klantgegevens op uit de regio waarin deze is geïmplementeerd.

Ja. Zie Backup Azure Firewall en Azure Firewall Policy met Logic Apps voor meer informatie.

Nee, momenteel wordt Azure Firewall in beveiligde virtuele hubs (vWAN) niet ondersteund in Qatar.

Azure Firewall maakt gebruik van virtuele Azure-machines onder die een vaste limiet hebben voor het aantal verbindingen. Het totale aantal actieve verbindingen per virtuele machine is 250.000.

De totale limiet per firewall is de verbindingslimiet voor virtuele machines (250k) x het aantal virtuele machines in de back-endpool van de firewall. Azure Firewall begint met twee virtuele machines en schaalt uit op basis van CPU-gebruik en doorvoer.

Azure Firewall maakt momenteel gebruik van TCP/UDP-bronpoorten voor uitgaand SNAT-verkeer, zonder inactieve wachttijd. Wanneer een TCP/UDP-verbinding wordt gesloten, wordt de gebruikte TCP-poort onmiddellijk gezien als beschikbaar voor toekomstige verbindingen.

Als tijdelijke oplossing voor bepaalde architecturen kunt u met NAT Gateway implementeren en schalen met Azure Firewall om een grotere groep SNAT-poorten te bieden voor variabiliteit en beschikbaarheid.

Specifiek NAT-gedrag is afhankelijk van de configuratie van de firewall en het type NAT dat is geconfigureerd. De firewall heeft bijvoorbeeld DNAT-regels voor inkomend verkeer en netwerkregels en toepassingsregels voor uitgaand verkeer via de firewall.

Zie Azure Firewall NAT-gedrag voor meer informatie.