Wat is Azure Firewall?
Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw Azure Virtual Network-resources beschermt. Het is een volledig stateful firewall-as-a-service met ingebouwde hoge beschikbaarheid en onbeperkte schaalbaarheid van de cloud. U kunt beleid voor toepassings- en netwerkconnectiviteit centraal maken, afdwingen en registreren voor abonnementen en virtuele netwerken.
Welke mogelijkheden worden ondersteund in Azure Firewall?
Zie Azure Firewall-functies voor meer informatie over Azure Firewall-functies.
Wat is het gebruikelijke implementatiemodel voor Azure Firewall?
U kunt Azure Firewall op elk virtueel netwerk implementeren, maar klanten implementeren dit doorgaans op een centraal virtueel netwerk en peeren er andere virtuele netwerken op in een hub-en-spoke-model. Vervolgens kunt u de standaardroute van de gekoppelde virtuele netwerken zo instellen dat deze verwijst naar dit virtuele netwerk van de centrale firewall. Wereldwijde VNet-peering wordt ondersteund, maar wordt niet aanbevolen vanwege mogelijke prestatie- en latentieproblemen in verschillende regio's. Implementeer één firewall per regio voor de beste prestaties.
Het voordeel van dit model is de mogelijkheid om centraal controle te uitoefenen op meerdere spoke-VNET's in verschillende abonnementen. Er zijn ook kostenbesparingen omdat u geen firewall in elk VNet afzonderlijk hoeft te implementeren. De kostenbesparingen moeten worden berekend ten opzichte van de bijbehorende peeringkosten op basis van de verkeerspatronen van de klant.
Hoe kan ik de Azure Firewall installeren?
U kunt Azure Firewall instellen met behulp van Azure Portal, PowerShell, REST API of met behulp van sjablonen. Zie zelfstudie: Azure Firewall implementeren en configureren met behulp van Azure Portal voor stapsgewijze instructies.
Wat zijn enkele Concepten van Azure Firewall?
Azure Firewall ondersteunt regels en regelverzamelingen. Een regelverzameling is een set regels die dezelfde volgorde en prioriteit delen. Regelverzamelingen worden uitgevoerd in volgorde van hun prioriteit. DNAT-regelverzamelingen zijn verzamelingen met een hogere prioriteit voor netwerkregels, die een hogere prioriteit hebben dan toepassingsregelverzamelingen en alle regels worden beëindigd.
Er zijn drie typen regelverzamelingen:
- Toepassingsregels: FQDN's (Fully Qualified Domain Names) configureren die toegankelijk zijn vanuit een virtueel netwerk.
- Netwerkregels: regels configureren die bronadressen, protocollen, doelpoorten en doeladressen bevatten.
- NAT-regels: DNAT-regels configureren om binnenkomende internet- of intranetverbindingen (preview) toe te staan.
Zie Azure Firewall-regels configureren voor meer informatie.
Biedt Azure Firewall ondersteuning voor het filteren van inkomend verkeer?
Azure Firewall biedt ondersteuning voor het filteren van inkomend en uitgaand verkeer. Binnenkomende beveiliging wordt doorgaans gebruikt voor niet-HTTP-protocollen, zoals RDP-, SSH- en FTP-protocollen. Gebruik voor binnenkomende HTTP- en HTTPS-beveiliging een webtoepassingsfirewall zoals Azure Web Application Firewall (WAF) of de TLS-offload- en deep packet inspection-mogelijkheden van Azure Firewall Premium.
Biedt Azure Firewall Basic ondersteuning voor geforceerde tunneling?
Ja, Azure Firewall Basic biedt ondersteuning voor geforceerde tunneling.
Welke logboek- en analyseservices worden door Azure Firewall ondersteund?
Azure Firewall is geïntegreerd met Azure Monitor voor het weergeven en analyseren van firewalllogboeken. Logboeken kunnen worden verzonden naar Log Analytics, Azure Storage of Event Hubs. Ze kunnen in Log Analytics of door verschillende hulpprogramma's zoals Excel en Power BI worden geanalyseerd. Zie Zelfstudie: Azure Firewall-logboeken bewaken voor meer informatie.
Wat is het verschil tussen Azure Firewall en bestaande services zoals NVA's in de marketplace?
Azure Firewall is een beheerde, cloudgebaseerde netwerkbeveiligingsservice die uw virtuele netwerkresources beveiligt. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. Het is vooraf geïntegreerd met seCaaS-providers (security as a service) van derden om geavanceerde beveiliging te bieden voor uw virtuele netwerk en vertakkingsinternetverbindingen. Zie Azure-netwerkbeveiliging voor meer informatie over Azure-netwerkbeveiliging.
Wat is het verschil tussen Application Gateway WAF en Azure Firewall?
Web Application Firewall (WAF) is een functie van Application Gateway die gecentraliseerde inkomende beveiliging van uw webtoepassingen biedt tegen veelvoorkomende aanvallen en beveiligingsproblemen. Azure Firewall biedt binnenkomende beveiliging voor niet-HTTP/S-protocollen (bijvoorbeeld RDP, SSH, FTP), beveiliging op uitgaand netwerkniveau voor alle poorten en protocollen en beveiliging op toepassingsniveau voor uitgaande HTTP/S.
Wat is het verschil tussen netwerkbeveiligingsgroepen (NSG's) en Azure Firewall?
De Azure Firewall-service vormt een aanvulling op de functionaliteit van de netwerkbeveiligingsgroep. Samen bieden ze betere 'diepgaande' netwerkbeveiliging. Netwerkbeveiligingsgroepen bieden gedistribueerde filtering voor netwerklagen om het verkeer te beperken tot resources in virtuele netwerken in elk abonnement. Azure Firewall is een volledig stateful, gecentraliseerde netwerkfirewall als een service, die beveiliging op netwerk- en toepassingsniveau biedt voor verschillende abonnementen en virtuele netwerken.
Worden netwerkbeveiligingsgroepen (NSG's) ondersteund in het AzureFirewallSubnet?
Azure Firewall is een beheerde service met meerdere beveiligingslagen, waaronder platformbeveiliging met NSG's op NIC-niveau (niet zichtbaar). NSG's op subnetniveau zijn niet vereist in het AzureFirewallSubnet en zijn uitgeschakeld om ervoor te zorgen dat er geen serviceonderbreking wordt onderbroken.
Hoe kan ik Azure Firewall instellen met mijn service-eindpunten?
Voor veilige toegang tot PaaS-services raden we service-eindpunten aan. U kunt ervoor kiezen om service-eindpunten in te schakelen in het Azure Firewall-subnet en deze uitschakelen op de verbonden virtuele spoke-netwerken. Op deze manier profiteert u van beide functies: beveiliging van service-eindpunten en centrale logboekregistratie voor al het verkeer.
Wat zijn de prijzen voor Azure Firewall?
Zie prijzen voor Azure Firewall.
Hoe kan ik Azure Firewall stoppen en starten?
U kunt de toewijzing van Azure PowerShell ongedaan maken en methoden toewijzen . Voor een firewall die is geconfigureerd voor geforceerde tunneling, is de procedure iets anders.
Bijvoorbeeld voor een firewall die NIET is geconfigureerd voor geforceerde tunneling:
# Stop an existing firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))
Set-AzFirewall -AzureFirewall $azfw
Voor een firewall die is geconfigureerd voor geforceerde tunneling, is stoppen hetzelfde. Maar om te beginnen moet het openbare IP-adres van het beheer opnieuw worden gekoppeld aan de firewall:
# Stop an existing firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall
Voor een firewall in een beveiligde architectuur van een virtuele hub is stoppen hetzelfde, maar moet u de id van de virtuele hub gebruiken:
# Stop and existing firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$virtualhub = get-azvirtualhub -ResourceGroupName "RG name of vHUB" -name "vHUB name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Azfw RG Name"
$azfw.Allocate($virtualhub.Id)
$azfw | Set-AzFirewall
Wanneer u de toewijzing toewijst en de toewijzing ongedaan maakt, stopt de firewallfacturering en wordt deze dienovereenkomstig gestart.
Notitie
U moet een firewall en een openbaar IP-adres opnieuw toewijzen aan de oorspronkelijke resourcegroep en het oorspronkelijke abonnement. Wanneer stoppen/starten wordt uitgevoerd, kan het privé-IP-adres van de firewall worden gewijzigd in een ander IP-adres binnen het subnet. Dit kan van invloed zijn op de connectiviteit van eerder geconfigureerde routetabellen.
Hoe kan ik beschikbaarheidszones configureren na de implementatie?
Het wordt aanbevolen om beschikbaarheidszones te configureren tijdens de eerste firewallimplementatie. In sommige gevallen is het echter mogelijk om na de implementatie beschikbaarheidszones te wijzigen. De vereisten zijn:
- De firewall wordt geïmplementeerd in een VNet. Het wordt niet ondersteund met firewalls die zijn geïmplementeerd in een beveiligde virtuele hub.
- De regio van de firewall ondersteunt beschikbaarheidszones.
- Alle gekoppelde openbare IP-adressen worden geïmplementeerd met beschikbaarheidszones. Controleer op de eigenschappenpagina van elk openbaar IP-adres of het veld beschikbaarheidszones bestaat en is geconfigureerd met dezelfde zones die u voor de firewall hebt geconfigureerd.
Het opnieuw configureren van beschikbaarheidszones kan alleen worden uitgevoerd wanneer u de firewall opnieuw start. Nadat u de firewall hebt toegewezen en direct voordat u de firewall start metSet-AzFirewall
, gebruikt u de volgende Azure PowerShell om de eigenschap Zones van de firewall te wijzigen:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azFw.Zones=1,2,3
$azfw | Set-AzFirewall
Wat zijn de bekende servicelimieten?
Zie Azure-abonnements- en servicelimieten, quota en beperkingen voor Azure Firewall-services.
Kan Azure Firewall in een virtueel hubnetwerk doorsturen en netwerkverkeer filteren tussen meerdere virtuele spoke-netwerken?
Ja, u kunt Azure Firewall in een virtueel hubnetwerk gebruiken om verkeer tussen een virtueel spoke-netwerk te routeren en te filteren. Subnetten in elk van de virtuele spoke-netwerken moeten een UDR hebben die verwijst naar De Azure Firewall als een standaardgateway voor dit scenario.
Kan Azure Firewall netwerkverkeer doorsturen en filteren tussen subnetten in hetzelfde virtuele netwerk of gekoppelde virtuele netwerken?
Ja. Het configureren van de UDR's voor het omleiden van verkeer tussen subnetten in hetzelfde VNET vereist echter meer aandacht. Hoewel het VNET-adresbereik als doelvoorvoegsel voor de UDR voldoende is, wordt hiermee ook al het verkeer van de ene computer naar een andere machine in hetzelfde subnet gerouteerd via het Azure Firewall-exemplaar. Om dit te voorkomen, moet u een route voor het subnet in de UDR opnemen met een volgend hoptype VNET. Het beheren van deze routes kan omslachtig en gevoelig zijn voor fouten. De aanbevolen methode voor interne netwerksegmentatie is het gebruik van netwerkbeveiligingsgroepen, waarvoor u geen UDR's nodig hebt.
Wordt uitgaande SNAT van Azure Firewall tussen privénetwerken uitgevoerd?
Azure Firewall biedt geen SNAT wanneer het doel-IP-adres een privé-IP-bereik is per IANA RFC 1918. Als uw organisatie een openbaar IP-adresbereik gebruikt voor privénetwerken, wordt het verkeer door Azure Firewall-SNATs naar een van de privé-IP-adressen van de firewall in AzureFirewallSubnet gebruikt. U kunt Azure Firewall configureren om SNAT niet in te schakelen voor uw openbare IP-adresbereik. Raadpleeg Azure Firewall SNAT voor privé-IP-adresbereiken voor meer informatie.
Bovendien is verkeer dat door toepassingsregels wordt verwerkt, altijd SNAT-ed. Als u het oorspronkelijke bron-IP-adres in uw logboeken voor FQDN-verkeer wilt zien, kunt u netwerkregels gebruiken met de doel-FQDN.
Wordt geforceerde tunneling/ketening naar een virtueel netwerkapparaat ondersteund?
Geforceerde tunneling wordt ondersteund wanneer u een nieuwe firewall maakt. U kunt geen bestaande firewall configureren voor geforceerde tunneling. Zie Geforceerde tunneling van Azure Firewall voor meer informatie.
Azure Firewall moet een directe verbinding met internet hebben. Als uw AzureFirewallSubnet een standaardroute naar uw on-premises netwerk via BGP leert, moet u deze overschrijven met een UDR van 0.0.0.0/0 met de waarde NextHopType ingesteld op Internet om directe verbinding met internet te houden.
Als voor uw configuratie geforceerde tunneling naar een on-premises netwerk is vereist en u de ip-voorvoegsels van het doel voor uw internetbestemmingen kunt bepalen, kunt u deze bereiken configureren met het on-premises netwerk als de volgende hop via een door de gebruiker gedefinieerde route op het AzureFirewallSubnet. U kunt ook BGP gebruiken om deze routes te definiëren.
Zijn er beperkingen voor firewallresourcegroepen?
Ja.
- De firewall en het VNet moeten zich in dezelfde resourcegroep bevinden.
- Het openbare IP-adres kan zich in elke resourcegroep bevinden.
- De firewall, het VNet en het openbare IP-adres moeten zich allemaal in hetzelfde abonnement bevinden.
Hoe werken jokertekens in doel-URL's en doel-FQDN's in toepassingsregels?
- URL : sterretjes werken wanneer ze aan de meest rechtse of meest linkse zijde worden geplaatst. Als deze zich aan de linkerkant bevindt, kan het geen deel uitmaken van de FQDN.
- FQDN : sterretjes werken wanneer ze aan de linkerkant worden geplaatst.
- ALGEMEEN : sterretjes aan de linkerkant betekenen letterlijk alles aan de linkerovereenkomsten, wat betekent dat meerdere subdomeinen en/of mogelijk ongewenste domeinnaamvariaties overeenkomen. Zie de volgende voorbeelden.
Voorbeelden:
Type | Regel | Ondersteund? | Positieve voorbeelden |
---|---|---|---|
TargetURL | www.contoso.com |
Ja | www.contoso.com www.contoso.com/ |
TargetURL | *.contoso.com |
Ja | any.contoso.com/ sub1.any.contoso.com |
TargetURL | *contoso.com |
Ja | example.anycontoso.com sub1.example.contoso.com contoso.com Waarschuwing: dit gebruik van jokertekens maakt mogelijk ook ongewenste/riskante variaties mogelijk, zoals th3re4lcontoso.com - gebruik voorzichtig. |
TargetURL | www.contoso.com/test |
Ja | www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1 |
TargetURL | www.contoso.com/test/* |
Ja | www.contoso.com/test/anything Opmerking: www.contoso.com/test komt niet overeen (laatste slash) |
TargetURL | www.contoso.*/test/* |
Nee | |
TargetURL | www.contoso.com/test?example=1 |
Nee | |
TargetURL | www.contoso.* |
Nee | |
TargetURL | www.*contoso.com |
Nee | |
TargetURL | www.contoso.com:8080 |
Nee | |
TargetURL | *.contoso.* |
Nee | |
TargetFQDN | www.contoso.com |
Ja | www.contoso.com |
TargetFQDN | *.contoso.com |
Ja | any.contoso.com Opmerking: Als u specifiek wilt toestaan contoso.com , moet u contoso.com opnemen in de regel. Anders wordt de verbinding standaard verbroken omdat de aanvraag niet overeenkomt met een regel. |
TargetFQDN | *contoso.com |
Ja | example.anycontoso.com contoso.com |
TargetFQDN | www.contoso.* |
Nee | |
TargetFQDN | *.contoso.* |
Nee |
Wat betekent *Inrichtingsstatus: Mislukt*?
Wanneer er een configuratiewijziging wordt toegepast, probeert Azure Firewall alle onderliggende back-endexemplaren bij te werken. In zeldzame gevallen kan een van deze back-endinstanties niet worden bijgewerkt met de nieuwe configuratie en stopt het updateproces met een mislukte inrichtingsstatus. Uw Azure Firewall is nog steeds operationeel, maar de toegepaste configuratie heeft mogelijk een inconsistente status, waarbij sommige exemplaren de vorige configuratie hebben waarbij anderen de bijgewerkte regelset hebben. Als dit gebeurt, werkt u de configuratie nog één keer bij totdat de bewerking is geslaagd en de firewall de inrichtingsstatus Geslaagd heeft.
Hoe verwerkt Azure Firewall gepland onderhoud en ongeplande fouten?
Azure Firewall bestaat uit verschillende back-endknooppunten in een actief-actief-configuratie. Voor gepland onderhoud hebben we verbindingsafvoerlogica om knooppunten correct bij te werken. Updates worden gepland tijdens niet-bedrijfsuren voor elk van de Azure-regio's om het risico op onderbrekingen verder te beperken. Voor niet-geplande problemen instantiëren we een nieuw knooppunt om het mislukte knooppunt te vervangen. De verbinding met het nieuwe knooppunt wordt doorgaans binnen 10 seconden hersteld vanaf de tijd van de fout.
Hoe werkt het leegmaken van de verbinding?
Voor gepland onderhoud werkt de logica voor het leegmaken van verbindingen back-endknooppunten correct bij. Azure Firewall wacht 90 seconden tot bestaande verbindingen zijn gesloten. In de eerste 45 seconden accepteert het back-endknooppunt geen nieuwe verbindingen en in de resterende tijd reageert het met RST
alle binnenkomende pakketten. Clients kunnen zo nodig automatisch opnieuw verbinding maken met een ander back-endknooppunt.
Is er een tekenlimiet voor een firewallnaam?
Ja. Er is een limiet van 50 tekens voor een firewallnaam.
Waarom heeft Azure Firewall een /26-subnetgrootte nodig?
Azure Firewall moet meer exemplaren van virtuele machines inrichten wanneer deze worden geschaald. Een /26-adresruimte zorgt ervoor dat de firewall voldoende IP-adressen heeft die beschikbaar zijn voor de schaalaanpassing.
Moet de grootte van het firewallsubnet worden gewijzigd wanneer de service wordt geschaald?
Nee Azure Firewall heeft geen subnet nodig dat groter is dan /26.
Hoe kan ik mijn firewalldoorvoer verhogen?
De initiële doorvoercapaciteit van Azure Firewall is 2,5 - 3 Gbps en wordt uitgeschaald naar 30 Gbps voor Standard SKU en 100 Gbps voor Premium SKU. De schaal wordt automatisch uitgeschaald op basis van het CPU-gebruik, de doorvoer en het aantal verbindingen.
Hoe lang duurt het voordat Azure Firewall is uitgeschaald?
Azure Firewall schaalt geleidelijk op wanneer het gemiddelde doorvoer- of CPU-verbruik 60% bedraagt of het aantal verbindingen dat wordt gebruikt, 80%. Het begint bijvoorbeeld uit te schalen wanneer deze 60% van de maximale doorvoer bereikt. De maximale doorvoeraantallen variëren op basis van firewall-SKU en ingeschakelde functies. Zie De prestaties van Azure Firewall voor meer informatie.
Uitschalen duurt vijf tot zeven minuten.
Zorg er bij het testen van prestaties voor dat u ten minste 10 tot 15 minuten test en nieuwe verbindingen start om te profiteren van nieuw gemaakte Firewall-knooppunten.
Hoe verwerkt Azure Firewall niet-actieve time-outs?
Wanneer een verbinding een time-out voor inactiviteit heeft (vier minuten zonder activiteit), beëindigt Azure Firewall de verbinding zonder problemen door een TCP RST-pakket te verzenden.
Hoe verwerkt Azure Firewall het afsluiten van VM-exemplaren tijdens het inschalen van virtuele-machineschaalsets (omlaag schalen) of vlootsoftware-upgrades?
Het afsluiten van een VM-exemplaar van Azure Firewall kan optreden tijdens het inschalen van virtuele-machineschaalsets (omlaag schalen) of tijdens de upgrade van de vlootsoftware. In deze gevallen worden nieuwe binnenkomende verbindingen verdeeld over de resterende firewallexemplaren en worden ze niet doorgestuurd naar het offline-firewallexemplaren. Na 45 seconden wordt de firewall gestart met het weigeren van bestaande verbindingen door TCP RST-pakketten te verzenden. Na nog eens 45 seconden wordt de firewall-VM afgesloten. Zie Voor meer informatie load balancer TCP reset en time-out voor inactiviteit.
Staat Azure Firewall standaard toegang tot Active Directory toe?
Nee Azure Firewall blokkeert standaard Active Directory-toegang. Als u toegang wilt toestaan, configureert u de servicetag AzureActiveDirectory. Zie Azure Firewall-servicetags voor meer informatie.
Kan ik een FQDN of een IP-adres uitsluiten van filteren op basis van Bedreigingsinformatie van Azure Firewall?
Ja, u kunt Azure PowerShell gebruiken om dit te doen:
# Add a Threat Intelligence allowlist to an Existing Azure Firewall.
# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
-FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)
# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)
Set-AzFirewall -AzureFirewall $fw
Waarom kan een TCP-ping en vergelijkbare hulpprogramma's verbinding maken met een doel-FQDN, zelfs wanneer er geen regel in Azure Firewall dat verkeer toestaat?
Een TCP-ping maakt geen verbinding met de doel-FQDN. Azure Firewall staat geen verbinding toe met een doel-IP-adres/FQDN, tenzij er een expliciete regel is die dit toestaat.
TCP-ping is een unieke use-case waarbij als er geen toegestane regel is, de firewall zelf reageert op de TCP-pingaanvraag van de client, zelfs als de TCP-ping het doel-IP-adres/de FQDN niet bereikt. In dit geval wordt de gebeurtenis niet geregistreerd. Als er een netwerkregel is die toegang tot het IP-doel-IP-adres/de FQDN toestaat, bereikt de pingaanvraag de doelserver en wordt het antwoord teruggegeven aan de client. Deze gebeurtenis wordt vastgelegd in het logboek netwerkregels.
Zijn er limieten voor het aantal IP-adressen dat wordt ondersteund door IP-groepen?
Ja. Zie Azure-abonnement en servicelimieten, quota en beperkingen voor meer informatie
Kan ik een IP-groep verplaatsen naar een andere resourcegroep?
Nee, het verplaatsen van een IP-groep naar een andere resourcegroep wordt momenteel niet ondersteund.
Wat is de tcp-time-out voor inactiviteit voor Azure Firewall?
Een standaardgedrag van een netwerkfirewall is ervoor te zorgen dat TCP-verbindingen actief blijven en deze onmiddellijk sluiten als er geen activiteit is. Time-out voor inactiviteit van Azure Firewall is vier minuten. Deze instelling kan niet door de gebruiker worden geconfigureerd, maar u kunt wel contact opnemen met De ondersteuning van Azure om de time-out voor inactiviteit voor binnenkomende en uitgaande verbindingen tot 15 minuten te verhogen. Time-out voor inactiviteit voor oost-west-verkeer kan niet worden gewijzigd.
Als een periode van inactiviteit langer is dan de time-outwaarde, is er geen garantie dat de TCP- of HTTP-sessie wordt gehandhaafd. Een veelvoorkomende procedure is het gebruik van een TCP-keep-alive. Deze procedure houdt de verbinding gedurende een langere periode actief. Zie de .NET-voorbeelden voor meer informatie.
Kan ik Azure Firewall implementeren zonder een openbaar IP-adres?
Ja, maar u moet de firewall configureren in de modus Geforceerde tunneling. Met deze configuratie maakt u een beheerinterface met een openbaar IP-adres dat door Azure Firewall wordt gebruikt voor de bewerkingen. Dit openbare IP-adres is bedoeld voor beheerverkeer. Het wordt uitsluitend gebruikt door het Azure-platform en kan niet worden gebruikt voor enig ander doel. Het netwerk van het tenantgegevenspad kan worden geconfigureerd zonder een openbaar IP-adres en internetverkeer kan worden geforceerd getunneld naar een andere firewall of volledig geblokkeerd.
Waar worden klantgegevens opgeslagen in Azure Firewall?
Azure Firewall verplaatst of slaat geen klantgegevens op uit de regio waarin deze is geïmplementeerd.
Is er een manier om automatisch een back-up te maken van Azure Firewall en beleid?
Ja. Zie Backup Azure Firewall en Azure Firewall Policy met Logic Apps voor meer informatie.
Wordt Azure Firewall ondersteund in beveiligde virtuele hubs (vWAN) in Qatar?
Nee, momenteel wordt Azure Firewall in beveiligde virtuele hubs (vWAN) niet ondersteund in Qatar.
Hoeveel parallelle verbindingen kan Azure Firewall ondersteunen?
Azure Firewall maakt gebruik van virtuele Azure-machines onder die een vaste limiet hebben voor het aantal verbindingen. Het totale aantal actieve verbindingen per virtuele machine is 250.000.
De totale limiet per firewall is de verbindingslimiet voor virtuele machines (250k) x het aantal virtuele machines in de back-endpool van de firewall. Azure Firewall begint met twee virtuele machines en schaalt uit op basis van CPU-gebruik en doorvoer.
Wat is het gedrag voor het hergebruik van SNAT TCP/UDP-poorten in Azure Firewall?
Azure Firewall maakt momenteel gebruik van TCP/UDP-bronpoorten voor uitgaand SNAT-verkeer, zonder inactieve wachttijd. Wanneer een TCP/UDP-verbinding wordt gesloten, wordt de gebruikte TCP-poort onmiddellijk gezien als beschikbaar voor toekomstige verbindingen.
Als tijdelijke oplossing voor bepaalde architecturen kunt u met NAT Gateway implementeren en schalen met Azure Firewall om een grotere groep SNAT-poorten te bieden voor variabiliteit en beschikbaarheid.
Wat zijn NAT-gedrag in Azure Firewall?
Specifiek NAT-gedrag is afhankelijk van de configuratie van de firewall en het type NAT dat is geconfigureerd. De firewall heeft bijvoorbeeld DNAT-regels voor inkomend verkeer en netwerkregels en toepassingsregels voor uitgaand verkeer via de firewall.
Zie Azure Firewall NAT-gedrag voor meer informatie.