Bekende problemen en beperkingen van Azure Firewall
Dit artikel bevat de bekende problemen voor Azure Firewall. Het wordt bijgewerkt wanneer problemen worden opgelost.
Zie Azure-abonnements- en servicelimieten, quota en beperkingen voor Azure Firewall voor beperkingen.
Azure Firewall Standard
Azure Firewall Standard heeft de volgende bekende problemen:
Notitie
Elk probleem dat van toepassing is op Standard, is ook van toepassing op Premium.
Probleem | Beschrijving | Oplossing |
---|---|---|
DNAT-ondersteuning voor privé-IP-adressen beperkt tot Standard- en Premium-versies | Ondersteuning voor DNAT op privé-IP-adres van Azure Firewall is bedoeld voor ondernemingen, dus is beperkt tot de Standard- en Premium Firewall-versies. | Geen |
Netwerkfilterregels voor niet-TCP/UDP-protocollen (bijvoorbeeld ICMP) werken niet voor internetverkeer | Netwerkfilterregels voor niet-TCP/UDP-protocollen werken niet met SNAT naar uw openbare IP-adres. Niet-TCP/UDP-protocollen worden ondersteund tussen spoke-subnetten en VNets. | Azure Firewall maakt gebruik van de standaardversie van Standard Load Balancer, die momenteel geen ondersteuning biedt voor SNAT voor IP-protocollen. We onderzoeken mogelijkheden om dit scenario in een toekomstige release te ondersteunen. |
Ontbrekende PowerShell- en CLI-ondersteuning voor ICMP | Azure PowerShell en CLI bieden geen ondersteuning voor ICMP als een geldig protocol in netwerkregels. | Het is nog steeds mogelijk om ICMP als een protocol te gebruiken via de portal en de REST-API. Er wordt aan gewerkt om ICMP binnenkort toe te voegen in PowerShell en CLI. |
FQDN-tags vereisen instelling van een protocol: poort | Voor toepassingsregels met FQDN-tags is definitie van poort: protocol vereist. | U kunt https gebruiken als de waarde voor poort:protocol. Er wordt aan gewerkt om dit veld optioneel te maken wanneer FQDN-tags worden gebruikt. |
Het verplaatsen van een firewall naar een andere resourcegroep of een ander abonnement wordt niet ondersteund | Het verplaatsen van een firewall naar een andere resourcegroep of een ander abonnement wordt niet ondersteund. | Ondersteuning van deze functionaliteit staat op de planning. Om een firewall naar een andere resourcegroep of ander abonnement verplaatsen, moet u het huidige exemplaar verwijderen en deze vervolgens opnieuw maken in de nieuwe resourcegroep of het nieuwe abonnement. |
Waarschuwingen voor bedreigingsinformatie kunnen worden gemaskeerd | Netwerkregels met bestemming 80/443 voor uitgaande filtering maskeren bedreigingsinformatiewaarschuwingen wanneer deze zijn geconfigureerd voor de modus alleen-waarschuwingen. | Maak uitgaande filters voor 80/443 met behulp van toepassingsregels. U kunt ook de modus voor bedreigingsinformatie wijzigen in Waarschuwen en weigeren. |
Met beveiligde virtuele hubs kunnen beschikbaarheidszones alleen worden geconfigureerd tijdens de implementatie. | U kunt Beschikbaarheidszones niet configureren nadat een firewall met beveiligde virtuele hubs is geïmplementeerd. | Dit is standaard. |
SNAT op inkomende verbindingen | Naast DNAT worden verbindingen via het openbare IP-adres van de firewall (inkomend) met SNAT omgezet naar een van de privé-IP's van de firewall. Deze vereiste is (ook voor Actieve/Actieve NVA's) om symmetrische routering te garanderen. | Als u de oorspronkelijke bron voor HTTP/S wilt behouden, kunt u XFF-headers gebruiken. Gebruik bijvoorbeeld een service als Azure Front Door of Azure Application Gateway vóór de firewall. U kunt ook WAF toevoegen als onderdeel van Azure Front Door en ketenen aan de firewall. |
Ondersteuning voor SQL FQDN-filtering alleen in proxymodus (poort 1433) | Voor Azure SQL Database, Azure Synapse Analytics en Azure SQL Managed Instance: Filteren met SQL FQDN wordt alleen ondersteund in de proxymodus (poort 1433). Voor Azure SQL IaaS: Als u niet-standaardpoorten gebruikt, kunt u deze poorten opgeven in de toepassingsregels. |
Voor SQL in de omleidingsmodus (de standaardinstelling als u verbinding maakt vanuit Azure), kunt u in plaats daarvan de toegang filteren met behulp van de SQL-servicetag als onderdeel van Azure Firewall-netwerkregels. |
Uitgaand SMTP-verkeer op TCP-poort 25 wordt geblokkeerd | Uitgaande e-mailberichten die rechtstreeks worden verzonden naar externe domeinen (zoals outlook.com en gmail.com ) op TCP-poort 25, worden geblokkeerd door het Azure-platform. Dit is het standaardplatformgedrag in Azure. Azure Firewall introduceert geen specifiekere beperking. |
Gebruik geverifieerde SMTP-relayservices, die doorgaans verbinding maken via TCP-poort 587, maar ook andere poorten ondersteunt. Zie Problemen met uitgaande SMTP-connectiviteit in Azure oplossen voor meer informatie. Een andere optie is het implementeren van Azure Firewall in een standaardabonnement op Enterprise Overeenkomst (EA). Azure Firewall in een EA-abonnement kan communiceren met openbare IP-adressen met behulp van uitgaande TCP-poort 25. Op dit moment werkt het mogelijk ook in andere abonnementstypen, maar het werkt niet gegarandeerd. Voor privé-IP-adressen zoals virtuele netwerken, VPN's en Azure ExpressRoute ondersteunt Azure Firewall een uitgaande verbinding op TCP-poort 25. |
SNAT-poortuitputting | Azure Firewall ondersteunt momenteel 2496 poorten per openbaar IP-adres per instantie van de virtuele-machineschaalset van de back-end. Standaard zijn er twee instanties van virtuele-machineschaalsets. Er zijn dus 4992 poorten per stroom (doel-IP, doelpoort en protocol (TCP of UDP). De firewall schaalt maximaal 20 exemplaren op. | Dit is een platformbeperking. U kunt de limieten omzeilen door Azure Firewall-implementaties te configureren met minimaal vijf openbare IP-adressen voor implementaties die vatbaar zijn voor SNAT-uitputting. Dit verhoogt de SNAT-poorten die vijf keer beschikbaar zijn. Wijs een IP-adresvoorvoegsel toe om downstreammachtigingen te vereenvoudigen. Voor een permanentere oplossing kunt u een NAT-gateway implementeren om de SNAT-poortlimieten te overwinnen. Deze benadering wordt ondersteund voor implementaties van virtuele netwerken. Zie SNAT-poorten schalen met Azure Virtual Network NAT voor meer informatie. |
DNAT wordt niet ondersteund als geforceerde tunneling is ingeschakeld | Firewalls die zijn geïmplementeerd met geforceerde tunneling, bieden geen ondersteuning voor inkomende toegang via internet vanwege asymmetrische routering. | Dit is standaard vanwege asymmetrische routering. Het retourtraject voor binnenkomende verbindingen gaat via de on-premises firewall, waarvoor geen verbinding is gemaakt. |
Uitgaande passieve FTP werkt mogelijk niet voor firewalls met meerdere openbare IP-adressen, afhankelijk van de configuratie van uw FTP-server. | Passieve FTP brengt verschillende verbindingen tot stand voor controle- en gegevenskanalen. Wanneer een firewall met meerdere openbare IP-adressen gegevens uitgaand verzendt, wordt willekeurig een van de openbare IP-adressen geselecteerd voor het bron-IP-adres. FTP kan mislukken wanneer gegevens en besturingskanalen verschillende bron-IP-adressen gebruiken, afhankelijk van de configuratie van uw FTP-server. | Er wordt een expliciete SNAT-configuratie gepland. In de tussentijd kunt u uw FTP-server zo configureren dat gegevens- en besturingskanalen van verschillende bron-IP-adressen worden geaccepteerd (bekijk een voorbeeld voor IIS). U kunt in deze situatie ook één IP-adres gebruiken. |
Inkomende passieve FTP werkt mogelijk niet, afhankelijk van de configuratie van uw FTP-server | Passieve FTP brengt verschillende verbindingen tot stand voor controle- en gegevenskanalen. Binnenkomende verbindingen in Azure Firewall worden met SNATed naar een van de privé-IP-adressen van de firewall om symmetrische routering te garanderen. FTP kan mislukken wanneer gegevens en besturingskanalen verschillende bron-IP-adressen gebruiken, afhankelijk van de configuratie van uw FTP-server. | Behoud van het oorspronkelijke bron-IP-adres wordt onderzocht. In de tussentijd kunt u uw FTP-server zo configureren dat gegevens- en besturingskanalen van verschillende bron-IP-adressen worden geaccepteerd. |
Actieve FTP werkt niet wanneer de FTP-client een FTP-server via internet moet bereiken. | Actieve FTP maakt gebruik van een POORT-opdracht van de FTP-client die de FTP-server stuurt welk IP-adres en welke poort moet worden gebruikt voor het gegevenskanaal. Deze PORT-opdracht maakt gebruik van het privé-IP-adres van de client die niet kan worden gewijzigd. Verkeer aan de clientzijde dat door de Azure Firewall wordt doorkruist, is geïmpteerd voor communicatie via internet, waardoor de PORT-opdracht ongeldig wordt gemaakt door de FTP-server. | Dit is een algemene beperking van Active FTP wanneer deze wordt gebruikt met NAT aan de clientzijde. |
Er ontbreekt een protocoldimensie in de metrische gegevens voor NetworkRuleHit | Met de metrische waarde ApplicationRuleHit kunt u filteren op basis van een protocol, maar deze mogelijkheid ontbreekt in de bijbehorende metrische gegevens voor NetworkRuleHit. | Er wordt een oplossing onderzocht. |
NAT-regels met poorten tussen 64000 en 65535 worden niet ondersteund | Azure Firewall staat elke poort toe in het bereik 1-65535 toe in netwerk- en toepassingsregels, maar NAT-regels ondersteunen alleen poorten in het bereik van 1-63999. | Deze beperking geldt momenteel. |
Configuratie-updates kunnen gemiddeld vijf minuten duren | Een Azure Firewall-configuratie-update kan gemiddeld drie tot vijf minuten duren en parallelle updates worden niet ondersteund. | Er wordt een oplossing onderzocht. |
Azure Firewall gebruikt SNI TLS-headers om HTTPS- en MSSQL-verkeer te filteren | Als browser- of serversoftware de SNI-extensie (Server Name Indicator) niet ondersteunt, kunt u geen verbinding maken via Azure Firewall. | Als browser- of serversoftware geen ondersteuning biedt voor SNI, kunt u de verbinding mogelijk beheren met behulp van een netwerkregel in plaats van een toepassingsregel. Raadpleeg Servernaamindicatie voor software die SNI ondersteunt. |
Kan geen firewallbeleidstags toevoegen met behulp van arm-sjablonen (Portal of Azure Resource Manager) | Azure Firewall Policy heeft een patchondersteuningsbeperking die voorkomt dat u een tag toevoegt met behulp van Azure Portal of ARM-sjablonen. De volgende fout wordt gegenereerd: de tags voor de resource kunnen niet worden opgeslagen. | Er wordt een oplossing onderzocht. U kunt ook de Azure PowerShell-cmdlet Set-AzFirewallPolicy gebruiken om tags bij te werken. |
IPv6 wordt momenteel niet ondersteund | Als u een IPv6-adres toevoegt aan een regel, mislukt de firewall. | Gebruik alleen iPv4-adressen. Ondersteuning voor IPv6 wordt onderzocht. |
Het bijwerken van meerdere IP-groepen mislukt met conflictfout. | Wanneer u twee of meer IP-groepen bijwerkt die zijn gekoppeld aan dezelfde firewall, krijgt een van de resources de status Mislukt. | Dit is een bekend probleem/beperking. Wanneer u een IP-groep bijwerkt, wordt er een update geactiveerd voor alle firewalls waaraan de IPGroup is gekoppeld. Als een update naar een tweede IP-groep wordt gestart terwijl de firewall nog steeds de status Bijwerken heeft, mislukt de UPDATE van IPGroup. Om de fout te voorkomen, moeten IP-groepen die aan dezelfde firewall zijn gekoppeld, één voor één worden bijgewerkt. Laat voldoende tijd tussen updates om de firewall de status Bijwerken uit te schakelen. |
RuleCollectionGroups verwijderen met ARM-sjablonen wordt niet ondersteund. | Het verwijderen van een RuleCollectionGroup met ARM-sjablonen wordt niet ondersteund en resulteert in een fout. | Dit is geen ondersteunde bewerking. |
DNAT-regel voor het toestaan van een (*) zal SNAT-verkeer. | Als een DNAT-regel een (*) toestaat als bron-IP-adres, komt een impliciete netwerkregel overeen met VNet-VNet-verkeer en wordt altijd SNAT het verkeer. | Deze beperking geldt momenteel. |
Het toevoegen van een DNAT-regel aan een beveiligde virtuele hub met een beveiligingsprovider wordt niet ondersteund. | Dit resulteert in een asynchrone route voor het retourneren van DNAT-verkeer, dat naar de beveiligingsprovider gaat. | Wordt niet ondersteund. |
Er is een fout opgetreden bij het maken van meer dan 2000 regelverzamelingen. | Het maximale aantal NAT-/toepassings- of netwerkregelverzamelingen is 2000 (Resource Manager-limiet). | Deze beperking geldt momenteel. |
XFF-header in HTTP/S | XFF-headers worden overschreven met het oorspronkelijke bron-IP-adres, zoals wordt gezien door de firewall. Dit is van toepassing op de volgende gebruiksvoorbeelden: - HTTP-aanvragen - HTTPS-aanvragen met TLS-beëindiging |
Er wordt een oplossing onderzocht. |
Kan firewall niet implementeren met Beschikbaarheidszones met een nieuw gemaakt openbaar IP-adres | Wanneer u een firewall met Beschikbaarheidszones implementeert, kunt u geen nieuw gemaakt openbaar IP-adres gebruiken. | Maak eerst een nieuw zoneredundant openbaar IP-adres en wijs dit eerder gemaakte IP-adres toe tijdens de firewallimplementatie. |
Fysieke zone 2 in Japan - oost is niet beschikbaar voor firewallimplementaties. | U kunt geen nieuwe firewall implementeren met fysieke zone 2. Als u bovendien een bestaande firewall stopt die is geïmplementeerd in fysieke zone 2, kan deze niet opnieuw worden gestart. Zie fysieke en logische beschikbaarheidszones voor meer informatie. | Voor nieuwe firewalls implementeert u met de resterende beschikbaarheidszones of gebruikt u een andere regio. Zie Hoe kan ik beschikbaarheidszones configureren na de implementatie om een bestaande firewall te configureren. |
Azure Firewall Premium
Azure Firewall Premium heeft de volgende bekende problemen:
Probleem | Beschrijving | Oplossing |
---|---|---|
ESNI-ondersteuning voor FQDN-resolutie in HTTPS | Versleutelde SNI wordt niet ondersteund in HTTPS-handshake. | Momenteel ondersteunt alleen Firefox ESNI via aangepaste configuratie. Voorgestelde tijdelijke oplossing is om deze functie uit te schakelen. |
Verificatie van clientcertificering wordt niet ondersteund | Clientcertificaten worden gebruikt om een wederzijdse identiteitsvertrouwensrelatie tussen de client en de server te bouwen. Clientcertificaten worden gebruikt tijdens een TLS-onderhandeling. Azure Firewall onderhandelt een verbinding met de server en heeft geen toegang tot de persoonlijke sleutel van de clientcertificaten. | Geen |
QUIC/HTTP3 | QUIC is de nieuwe primaire versie van HTTP. Het is een UDP-protocol van meer dan 80 (PLAN) en 443 (SSL). FQDN/URL/TLS-inspectie wordt niet ondersteund. | Configureer het doorgeven van UDP 80/443 als netwerkregels. |
Niet-vertrouwde klantondertekende certificaten | Door de klant ondertekende certificaten worden niet vertrouwd door de firewall nadat deze is ontvangen van een intranetwebserver. | Er wordt een oplossing onderzocht. |
Verkeerde bron-IP-adres in waarschuwingen met IDPS voor HTTP (zonder TLS-inspectie). | Wanneer HTTP-verkeer zonder opmaak wordt gebruikt en IDPS een nieuwe waarschuwing geeft en het doel een openbaar IP-adres is, is het weergegeven bron-IP-adres onjuist (het interne IP-adres wordt weergegeven in plaats van het oorspronkelijke IP-adres). | Er wordt een oplossing onderzocht. |
Certificaatdoorgifte | Nadat een CA-certificaat is toegepast op de firewall, kan het 5-10 minuten duren voordat het certificaat van kracht wordt. | Er wordt een oplossing onderzocht. |
Ondersteuning voor TLS 1.3 | TLS 1.3 wordt gedeeltelijk ondersteund. De TLS-tunnel van client naar de firewall is gebaseerd op TLS 1.2 en van de firewall naar de externe webserver is gebaseerd op TLS 1.3. | Updates worden onderzocht. |
TLSi tussenliggende CA-certificaat verloopt | In sommige unieke gevallen kan het tussenliggende CA-certificaat twee maanden voor de oorspronkelijke vervaldatum verlopen. | Verleng het tussenliggende CA-certificaat twee maanden vóór de oorspronkelijke vervaldatum. Er wordt een oplossing onderzocht. |