Perguntas frequentes do Firewall do Azure

Geral

O que é o Firewall do Azure?

Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos de Rede Virtual do Azure. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. É possível criar, impor e registrar centralmente políticas de conectividade de rede e de aplicativo em assinaturas e redes virtuais.

Quais recursos o Firewall do Azure dá suporte?

Para obter uma lista detalhada dos recursos do Firewall do Azure, consulte os recursos do Firewall do Azure.

Qual é o modelo de implantação típico para o Firewall do Azure?

O Firewall do Azure pode ser implantado em qualquer rede virtual. No entanto, ele normalmente é implantado em uma rede virtual central em um modelo hub-and-spoke, com outras redes virtuais emparelhadas a ele. A rota padrão das redes virtuais emparelhadas é definida para apontar para essa rede virtual de firewall central. Embora haja suporte para emparelhamento de rede virtual global, não é recomendável devido a possíveis problemas de desempenho e latência entre regiões. Para um desempenho ideal, implante um firewall por região.

Esse modelo permite o controle centralizado sobre várias VNets spoke em diferentes assinaturas e oferece economia de custos evitando a necessidade de implantar um firewall em cada rede virtual. A redução de custos deve ser avaliada em relação aos custos de emparelhamento associados com base nos padrões de tráfego.

Como posso implantar o Firewall do Azure?

O Firewall do Azure pode ser implantado usando o portal do Azure, o PowerShell, a API REST ou os modelos. Para obter instruções passo a passo, consulte Tutorial: Implantar e configurar o Firewall do Azure usando o portal do Azure.

Quais são alguns dos principais conceitos do Firewall do Azure?

O Firewall do Azure usa regras e coleções de regras. Uma coleção de regras é um conjunto de regras com a mesma ordem e prioridade. As coleções de regras são executadas em ordem de prioridade. As coleções de regras DNAT têm prioridade maior do que as coleções de regras de rede, que, por sua vez, têm prioridade maior do que as coleções de regras de aplicativo. Todas as regras estão sendo encerradas.

Há três tipos de coleções de regras:

• Regras de aplicativo: configure FQDNs (nomes de domínio totalmente qualificados) que podem ser acessados de uma rede virtual.
• Regras de rede: configurar regras com endereços de origem, protocolos, portas de destino e endereços de destino.
• Regras NAT: configure regras DNAT para permitir conexões de entrada de Internet ou intranet (prévia).

Para obter mais informações, consulte Configurar regras do Firewall do Azure.

Com quais serviços de registro em log e análise de dados o Firewall do Azure é compatível?

O Firewall do Azure se integra ao Azure Monitor para exibir e analisar logs. Os logs podem ser enviados ao Log Analytics, ao Armazenamento do Azure ou aos Hubs de Eventos e analisados usando ferramentas como Log Analytics, Excel ou Power BI. Para saber mais, confira Tutorial: Monitorar os logs do Firewall do Azure.

Como o Firewall do Azure difere das NVAs no marketplace?

O Firewall do Azure é um serviço de segurança de rede gerenciado baseado em nuvem que protege os recursos de rede virtual. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. Ele é pré-integrado com provedores SECaaS (segurança como serviço) de terceiros para aprimorar a segurança para conexões de rede virtual e de ramificação da Internet. Para obter mais informações, consulte Segurança de rede do Azure.

Qual é a diferença entre o WAF do Gateway de Aplicativo e o Firewall do Azure?

O WAF do Gateway de Aplicativo fornece proteção de entrada centralizada para aplicativos Web contra explorações e vulnerabilidades comuns. O Firewall do Azure fornece proteção de entrada para protocolos não HTTP / S (por exemplo, RDP, SSH, FTP), proteção de nível de rede de saída para todas as portas e protocolos e proteção no nível do aplicativo para HTTP / S de saída.

Qual é a diferença entre NSGs (Grupos de Segurança de Rede) e o Firewall do Azure?

O Firewall do Azure complementa os NSGs para fornecer uma melhor segurança de rede "de defesa detalhada". Os NSGs oferecem filtragem de tráfego de camada de rede distribuída para limitar o tráfego em redes virtuais em cada assinatura. O Firewall do Azure fornece proteção centralizada, totalmente com estado de rede e no nível do aplicativo entre assinaturas e redes virtuais.

Os grupos de segurança de rede (NSGs) são compatíveis no AzureFirewallSubnet?

O Firewall do Azure é um serviço gerenciado com várias camadas de proteção, incluindo proteção de plataforma com NSGs no nível de NIC (não acessível). Os NSGs de nível de sub-rede não são necessários no AzureFirewallSubnet e estão desabilitados para evitar interrupções de serviço.

Qual é o valor adicionado do Firewall do Azure com pontos de extremidade privados?

Os pontos de extremidade privados são um componente do Link Privado, uma tecnologia que permite interagir com os serviços de PaaS do Azure usando endereços IP privados em vez de públicos. O Firewall do Azure pode ser usado para impedir o acesso a endereços IP públicos, evitando a exfiltração de dados para os serviços do Azure que não aproveitam o Link Privado, bem como para implementar políticas de confiança zero definindo quem em sua organização precisa acessar esses serviços de PaaS do Azure, já que o Link Privado por padrão abre o acesso à rede para toda a sua rede corporativa.

O design correto para inspecionar o tráfego para pontos de extremidade privados com o Firewall do Azure dependerá de sua arquitetura de rede, você pode encontrar mais detalhes nos cenários de Firewall do Azure do artigo para inspecionar o tráfego destinado a um ponto de extremidade privado.

Qual é o valor adicionado do Firewall do Azure com pontos de extremidade de serviço de rede virtual?

Os pontos de extremidade de serviço de Rede Virtual são uma alternativa ao Link Privado para controlar o acesso à rede aos serviços de PaaS do Azure. Mesmo que o cliente ainda use endereços IP públicos para acessar o serviço PaaS, a sub-rede de origem ficará visível para que o serviço PaaS de destino possa implementar regras de filtro e restringir o acesso por sub-rede. Você pode encontrar uma comparação detalhada entre ambos os mecanismos em Comparar Pontos de Extremidade Privados e Pontos de Extremidade de Serviço.

As regras de aplicativo do Firewall do Azure podem ser usadas para garantir que nenhuma exfiltração de dados para serviços invasores ocorra e implementar políticas de acesso com uma granularidade maior além do nível da sub-rede. Normalmente, os pontos de extremidade de serviço de rede virtual precisam ser habilitados na sub-rede do cliente que se conectará a um serviço do Azure. No entanto, ao inspecionar o tráfego para pontos de extremidade de serviço com o Firewall do Azure, você precisa habilitar o ponto de extremidade de serviço correspondente na sub-rede do Firewall do Azure e desabilitá-los na sub-rede do cliente real (geralmente uma rede virtual spoke). Dessa forma, você pode usar regras de aplicativo no Firewall do Azure para controlar a quais serviços do Azure suas cargas de trabalho do Azure terão acesso.

Qual é o preço para o Firewall do Azure?

Para obter detalhes sobre preços, consulte Preços do Firewall do Azure.

Quais são os limites de serviço conhecidos para o Firewall do Azure?

Para obter limites de serviço, consulte limites, cotas e restrições de serviço e assinatura do Azure.

Onde o Firewall do Azure armazena dados do cliente?

O Firewall do Azure não move nem armazena dados do cliente fora da região em que ele é implantado.

O Firewall do Azure em hubs virtuais seguros (vWAN) tem suporte no Catar?

Não, o Firewall do Azure em vWAN (hubs virtuais protegidos) não tem suporte no momento no Catar.

Recursos e recursos com suporte

O Firewall do Azure dá suporte à filtragem de tráfego de entrada?

Sim, o Firewall do Azure dá suporte à filtragem de tráfego de entrada e de saída. A filtragem de entrada normalmente é usada para protocolos não HTTP, como RDP, SSH e FTP. Para tráfego HTTP e HTTPS de entrada, considere o uso de um firewall de aplicativo Web como o WAF (Firewall de Aplicativo Web) do Azure ou os recursos de descarregamento do TLS e inspeção profunda de pacotes do Firewall premium do Azure.

O Azure Firewall Basic dá suporte ao túnel forçado?

Sim, o Azure Firewall Basic dá suporte ao túnel forçado.

Por que um ping TCP ou uma ferramenta semelhante parece se conectar a um FQDN de destino mesmo quando nenhuma regra permite o tráfego?

Um ping TCP realmente não se conecta ao FQDN de destino. O Firewall do Azure bloqueia conexões com qualquer endereço IP de destino ou FQDN, a menos que seja explicitamente permitido por uma regra.

No caso de um ping TCP, se nenhuma regra permitir o tráfego, o próprio Firewall responderá à solicitação de ping TCP do cliente. Essa resposta não atinge o endereço IP de destino ou FQDN e não é registrada em log. Se uma regra de rede permitir explicitamente o acesso ao endereço IP de destino ou FQDN, a solicitação de ping atingirá o servidor de destino e sua resposta será retransmitida para o cliente. Esse evento é registrado no log de regras de rede.

O Firewall do Azure dá suporte ao emparelhamento BGP?

Não, o Firewall do Azure não dá suporte nativo ao emparelhamento BGP. No entanto, o recurso de rotas SNAT do Autolearn usa indiretamente o BGP por meio do Servidor de Rota do Azure.

Gerenciamento e configuração

Como fazer para parar e iniciar o Firewall do Azure?

Você pode usar o Azure PowerShell para desalocar e alocar o Firewall do Azure. O processo varia dependendo da configuração.

Para um firewall sem uma NIC de Gerenciamento:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Para um firewall com uma NIC de Gerenciamento:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Para um firewall em um hub virtual seguro:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Observação

Ao parar e iniciar o firewall, a cobrança é interrompida e iniciada adequadamente. No entanto, o endereço IP privado pode ser alterado, o que pode afetar a conectividade se as tabelas de rotas estiverem configuradas.

Como posso configurar zonas de disponibilidade após a implantação?

É recomendável configurar zonas de disponibilidade durante a implantação inicial. No entanto, você poderá reconfigurá-los após a implantação se:

• O firewall é implantado em uma rede virtual (sem suporte em hubs virtuais protegidos).
• A região dá suporte a zonas de disponibilidade.
• Todos os endereços IP públicos anexados são configurados com as mesmas zonas.

Para reconfigurar zonas de disponibilidade:

1. Desalocar o firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Atualize a configuração de zona e aloque o firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Há restrições de grupo de recursos de firewall do Azure?

Sim:

• O Firewall do Azure e a rede virtual devem estar no mesmo grupo de recursos.
• O endereço IP público pode estar em um grupo de recursos diferente.
• Todos os recursos (firewall do Azure, rede virtual, IP público) devem estar na mesma assinatura.

O que significa o estado de provisionamento **Falha**?

Um estado de provisionamento com falha indica que uma atualização de configuração falhou em uma ou mais instâncias de back-end. O Firewall do Azure permanece operacional, mas a configuração pode ser inconsistente. Repita a atualização até que o estado de provisionamento seja alterado para Bem-sucedido.

Como o Firewall do Azure processa manutenção planejada e falhas não planejadas?

O Firewall do Azure usa uma configuração ativa-ativa com vários nós de back-end. Durante a manutenção planejada, a drenagem de conexões garante atualizações normalmente. Para falhas não planejadas, um novo nó substitui o com falha e a conectividade normalmente é restaurada em 10 segundos.

Há um limite de caracteres para um nome de firewall?

Sim, os nomes de firewall são limitados a 50 caracteres.

Por que o Firewall do Azure precisa de um tamanho de sub-rede /26?

Uma sub-rede /26 garante endereços IP suficientes para dimensionamento à medida que o Firewall do Azure provisiona instâncias extras de máquina virtual.

O tamanho da sub-rede do firewall precisa ser alterado conforme a escala do serviço aumenta?

Não, uma sub-rede /26 é suficiente para todos os cenários de dimensionamento.

Como posso aumentar a taxa de transferência do meu firewall?

O Firewall do Azure é dimensionado automaticamente com base no uso, na taxa de transferência e na contagem de conexões da CPU. A capacidade de taxa de transferência varia de 2,5 a 3 Gbps inicialmente a 30 Gbps (SKU Standard) ou 100 Gbps (SKU Premium).

Há limites para o número de endereços IP aceitos nos grupos de IPs?

Sim. Para obter detalhes, consulte limites, cotas e restrições de serviço e assinatura do Azure.

Posso mover um grupo de IP para outro grupo de recursos?

Não, não há suporte para mover um grupo de IP para outro grupo de recursos no momento.

Qual é o tempo limite ocioso do TCP no Firewall do Azure?

Um comportamento padrão de um firewall de rede é garantir que as conexões TCP sejam mantidas no estado keep alive e sejam fechadas imediatamente se não houver nenhuma atividade. O tempo limite ocioso do TCP do Firewall do Azure é de quatro minutos. Essa configuração não é configurável pelo usuário, mas você pode contatar o Suporte do Azure para aumentar o tempo limite ocioso das conexões de entrada e saída em até 15 minutos. O tempo limite ocioso para o tráfego leste-oeste não pode ser alterado.

Se um período de inatividade for maior do que o valor de tempo limite, não haverá nenhuma garantia de que a sessão TCP ou HTTP será mantida. Uma prática comum é usar um TCP keep alive. Essa prática mantém a conexão ativa por um período maior. Para obter mais informações, confira estes exemplos do .NET.

Posso implantar um Firewall do Azure sem um endereço IP público?

Sim, mas você deve configurar o firewall no Modo de Túnel Forçado. Essa configuração cria uma interface de gerenciamento com um endereço IP público que é usado pelo Firewall do Azure para suas operações. Esse endereço IP público é para o tráfego de gerenciamento. Ele é usado exclusivamente pela plataforma do Azure e não pode ser usado para nenhuma outra finalidade. A rede de caminho de dados do locatário pode ser configurada sem um endereço IP público e o tráfego da Internet pode ser forçado por túnel para outro Firewall ou completamente bloqueado.

Há uma maneira de fazer backup automático do Firewall do Azure e das políticas?

Sim. Para obter mais informações, confira Fazer backup do Firewall do Azure e do Firewall do Azure Policy com Aplicativos Lógicos.

Conectividade e roteamento

Como configurar o Firewall do Azure com meus pontos de extremidade de serviço?

Para obter acesso seguro aos serviços de PaaS, recomendamos ponto de extremidade de serviço. Você pode optar por habilitar pontos de extremidade de serviço na sub-rede de Firewall do Azure e desabilitá-los nas redes virtuais spoke conectadas. Dessa forma você aproveita ambos os recursos: segurança do ponto de extremidade do serviço e registro em log central para todo o tráfego.

O Firewall do Azure em uma rede virtual de hub pode encaminhar e filtrar o tráfego de rede entre várias redes virtuais spoke?

Sim, você pode usar o Firewall do Azure em uma rede virtual de hub para rotear e filtrar o tráfego entre várias redes virtuais spoke. As sub-redes em cada uma das redes virtuais de spoke devem ter uma UDR apontando para o Firewall do Azure como um gateway padrão para que este cenário funcione corretamente.

O Firewall do Azure pode encaminhar e filtrar o tráfego de rede entre sub-redes na mesma rede virtual ou em redes virtuais emparelhadas?

Sim. No entanto, configurar as UDRs para redirecionar o tráfego entre sub-redes na mesma rede virtual requer mais atenção. Embora o uso do intervalo de endereços de rede virtual como prefixo de destino para a UDR seja suficiente, isso também roteia todo o tráfego de um computador para outro computador na mesma sub-rede por meio da instância do Firewall do Azure. Para evitar isso, inclua uma rota para a sub-rede na UDR com um tipo de rede virtual de próximo salto. O gerenciamento dessas rotas pode ser complicado e passível de erros. O método recomendado para segmentação de rede interna é usar Grupos de Segurança de Rede, o que não exige UDRs.

O Firewall do Azure realiza SNAT de saída entre redes privadas?

O Firewall do Azure não realiza SNAT quando o endereço IP de destino é um intervalo de IP privado conforme IANA RFC 1918 ou IANA RFC 6598 para redes privadas. Se a sua organização usa um intervalo de endereços IP públicos para redes privadas, o Firewall do Azure realiza SNAT do tráfego para um dos endereços IP privados do firewall no AzureFirewallSubnet. Você pode configurar o Firewall do Azure para não realizar SNAT de seu intervalo de endereços IP públicos. Para obter mais informações, confira Intervalos de endereços IP privados do SNAT do Firewall do Azure.

Além disso, sempre é realizado SNAT do tráfego processado por regras de aplicativo. Se você quiser ver o endereço IP de origem inicial nos seus logs para tráfego FQDN, poderá usar regras de rede com o FQDN de destino.

O túnel forçado/encadeamento é compatível com uma solução de virtualização da rede?

O túnel forçado é compatível quando se cria um novo firewall. Não é possível configurar um firewall existente para túnel forçado. Para obter mais informações, confira Túnel forçado do Firewall do Azure.

O Firewall do Azure deve ter conectividade direta com a Internet. Se seu AzureFirewallSubnet aprender uma rota padrão para sua rede local via BGP, você deve substituir isso por um UDR 0.0.0.0/0 com o valor NextHopType definido como Internet para manter a conectividade direta com a Internet.

Se a configuração exigir o túnel forçado para uma rede local e você puder determinar os prefixos de IP de destino para os destinos da Internet, você poderá configurar esses intervalos com a rede local como o próximo salto por meio de uma rota definida pelo usuário no AzureFirewallSubnet. Ou você pode usar o BGP para definir essas rotas.

Como funcionam os curingas em URLs e FQDNs de destino nas regras de aplicativo?

• URL – Os asteriscos funcionam quando colocados no lado mais à direita ou mais à esquerda. Se ele estiver à esquerda, ele não poderá fazer parte do FQDN.
• FQDN – Os asteriscos funcionam quando colocados no lado mais à esquerda.
• GERAL: os asteriscos mais à esquerda significam literalmente qualquer coisa para as correspondências à esquerda, o que significa que vários subdomínios e/ou variações de nome de domínio possivelmente indesejados terão correspondências — veja os exemplos abaixo.

Exemplos:

Tipo	Regra	Com suporte?	Exemplos positivos
URL de destino	www.contoso.com	Sim	www.contoso.com www.contoso.com/
URL de destino	*.contoso.com	Sim	any.contoso.com/ sub1.any.contoso.com
URL de destino	*contoso.com	Sim	example.anycontoso.com sub1.example.contoso.com contoso.com Aviso: este uso de caractere curinga também permite variações potencialmente indesejadas/arriscadas, como th3re4lcontoso.com – use com cautela.
URL de destino	www.contoso.com/test	Sim	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
URL de destino	www.contoso.com/test/*	Sim	www.contoso.com/test/anything Observação: www.contoso.com/testnão corresponde (última barra)
URL de destino	www.contoso.*/test/*	Não
URL de destino	www.contoso.com/test?example=1	Não
URL de destino	www.contoso.*	Não
URL de destino	www.*contoso.com	Não
URL de destino	www.contoso.com:8080	Não
URL de destino	*.contoso.*	Não
TargetFQDN	www.contoso.com	Sim	www.contoso.com
TargetFQDN	*.contoso.com	Sim	any.contoso.com Observação: se você quiser permitir especificamente contoso.com, precisará incluir contoso.com na regra. Caso contrário, a conexão será descartada por padrão porque a solicitação não corresponde a nenhuma regra.
TargetFQDN	*contoso.com	Sim	example.anycontoso.com contoso.com
TargetFQDN	www.contoso.*	Não
TargetFQDN	*.contoso.*	Não

O Firewall do Azure permite acesso ao Active Directory por padrão?

Não. O Firewall do Azure bloqueia o acesso ao Active Directory por padrão. Para permitir o acesso, configure a marca de serviço AzureActiveDirectory. Para obter mais informações, confira Marcas de serviço do Firewall do Azure.

Posso excluir um FQDN ou um endereço IP da filtragem baseada em inteligência contra ameaças do Firewall do Azure?

Sim, você pode usar o Azure PowerShell para fazer isso:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Por que um ping TCP e ferramentas semelhantes conseguem se conectar a um FQDN de destino mesmo quando nenhuma regra no Firewall do Azure permite esse tráfego?

Um ping de TCP não está realmente se conectando ao FQDN de destino. O Firewall do Azure não permite uma conexão com nenhum endereço IP de destino/FQDN, a menos que haja uma regra explícita que permita isso.

O ping TCP é um caso de uso exclusivo em que, se não houver nenhuma regra permitida, o próprio Firewall responderá à solicitação de ping TCP do cliente, mesmo que o ping TCP não atinja o endereço IP de destino/FQDN. Nesse caso, o evento não é registrado. Se houver uma regra de rede que permita o acesso ao endereço IP de destino/FQDN, a solicitação de ping atingirá o servidor de destino e sua resposta será retransmitida para o cliente. Esse evento é registrado no log de regras de rede.

Há limites para o número de endereços IP aceitos nos grupos de IPs?

Sim. Para saber mais, confira Assinatura e limites de serviço, cotas e restrições do Azure

Posso mover um grupo de IP para outro grupo de recursos?

Não, não há suporte para mover um grupo de IP para outro grupo de recursos no momento.

Qual é o tempo limite ocioso do TCP no Firewall do Azure?

Um comportamento padrão de um firewall de rede é garantir que as conexões TCP sejam mantidas no estado keep alive e sejam fechadas imediatamente se não houver nenhuma atividade. O tempo limite ocioso do TCP do Firewall do Azure é de quatro minutos. Essa configuração não é configurável pelo usuário, mas você pode contatar o Suporte do Azure para aumentar o tempo limite ocioso das conexões de entrada e saída em até 15 minutos. O tempo limite ocioso para o tráfego leste-oeste não pode ser alterado.

Se um período de inatividade for maior do que o valor de tempo limite, não haverá nenhuma garantia de que a sessão TCP ou HTTP será mantida. Uma prática comum é usar um TCP keep alive. Essa prática mantém a conexão ativa por um período maior. Para obter mais informações, confira estes exemplos do .NET.

Posso implantar um Firewall do Azure sem um endereço IP público?

Sim, mas você deve configurar o firewall no Modo de Túnel Forçado. Essa configuração cria uma interface de gerenciamento com um endereço IP público que é usado pelo Firewall do Azure para suas operações. Esse endereço IP público é para o tráfego de gerenciamento. Ele é usado exclusivamente pela plataforma do Azure e não pode ser usado para nenhuma outra finalidade. A rede de caminho de dados do locatário pode ser configurada sem um endereço IP público e o tráfego da Internet pode ser forçado por túnel para outro Firewall ou completamente bloqueado.

Onde o Firewall do Azure armazena dados do cliente?

O Firewall do Azure não move nem armazena dados do cliente fora da região em que ele está implantado.

Há uma maneira de fazer backup automático do Firewall do Azure e das políticas?

Sim. Para obter mais informações, confira Fazer backup do Firewall do Azure e do Firewall do Azure Policy com Aplicativos Lógicos.

O Firewall do Azure em hubs virtuais seguros (vWAN) tem suporte no Catar?

Não, atualmente, o Firewall do Azure em hubs virtuais seguros (vWAN) não tem suporte no Catar.

Quantas conexões paralelas o Firewall do Azure pode suportar?

O Firewall do Azure usa Máquinas Virtuais do Azure que têm um número limite rígido de conexões. O número total de conexões ativas por máquina virtual é de 250 mil.

O limite total por firewall é o limite de conexão da máquina virtual (250 mil) x o número de máquinas virtuais no pool de back-end do firewall. O Firewall do Azure começa com duas máquinas virtuais e escala horizontalmente com base no uso e na taxa de transferência da CPU.

O que é o comportamento de reutilização da porta TCP/UDP do SNAT no Firewall do Azure?

Atualmente, o Firewall do Azure usa portas de origem TCP/UDP para tráfego SNAT de saída, sem tempo de espera ocioso. Quando uma conexão TCP/UDP é fechada, a porta TCP usada é imediatamente vista como disponível para conexões futuras.

Como uma solução alternativa para determinadas arquiteturas, você pode implantar e dimensionar com o Gateway da NAT com o Firewall do Azure para fornecer um pool mais amplo de portas SNAT para ter mais variabilidade e disponibilidade.

Quais são os comportamentos da NAT no Firewall do Azure?

Comportamentos específicos da NAT dependem da configuração do firewall e do tipo de NAT configurado. Por exemplo, o firewall tem regras DNAT para tráfego de entrada, e regras de rede e regras de aplicativo para tráfego de saída por meio do firewall.

Para obter mais informações, confira Comportamentos da NAT do Firewall do Azure.

Tempo limite e dimensionamento

Como funciona o esvaziamento da conexão?

Em qualquer manutenção planejada, a lógica de esvaziamento da conexão atualiza os nós do back-end normalmente. O Firewall do Azure aguarda 90 segundos para que as conexões existentes sejam fechadas. Nos primeiros 45 segundos, o nó de back-end não aceita novas conexões e, no tempo restante, ele responde com RST a todos os pacotes de entrada. Se necessário, os clientes podem restabelecer automaticamente a conectividade com outro nó do back-end.

Como o Firewall do Azure lida com os desligamentos da instância da VM durante a redução horizontal (ou a redução vertical) do Conjunto de Dimensionamento de Máquinas Virtuais ou as atualizações de software da frota?

Um desligamento da instância de VM do Firewall do Azure pode ocorrer durante a redução horizontal/vertical do Conjunto de Dimensionamento de Máquinas Virtuais ou durante a atualização de software da frota. Nesses casos, novas conexões de entrada são balanceadas por carga para as instâncias de firewall restantes e não são encaminhadas para a instância de firewall inoperante. Após 45 segundos, o firewall começa a rejeitar as conexões existentes enviando pacotes de TCP RST. Após mais 45 segundos, a VM do firewall será desligada. Para obter mais informações, confira Redefinição do TCP do Load Balancer e tempo limite ocioso.

Quanto tempo leva para o Firewall do Azure escalar horizontalmente?

O Firewall do Azure é escalado gradualmente quando a taxa de transferência média ou o consumo de CPU está em 60%, ou o número de uso de conexões é de 80%. Por exemplo, ele começa a escalar horizontalmente quando atinge 60% da taxa de transferência máxima. Os números máximos de taxa de transferência variam com base na SKU do Firewall do Azure e nos recursos habilitados. Para obter mais informações, consulte Desempenho do Firewall do Azure.

O aumento de escala horizontal leva de cinco a sete minutos. Ao testar o desempenho, verifique se você testa por pelo menos 10 a 15 minutos e inicie novas conexões para aproveitar os nós do Firewall do Azure recém-criados.

Como o Firewall do Azure lida com os tempos limite ociosos?

Quando uma conexão tem um tempo limite ocioso (quatro minutos sem nenhuma atividade), o Firewall do Azure encerra normalmente a conexão enviando um pacote TCP RST.

Manutenção controlada pelo cliente

Que tipo de manutenção dá suporte à manutenção controlada pelo cliente?

Os serviços do Azure passam por atualizações de manutenção regulares para aprimorar a funcionalidade, a confiabilidade, o desempenho e a segurança. Com um período de manutenção configurado, a manutenção do sistema operacional convidado e a manutenção do serviço são executadas durante essa janela. No entanto, a manutenção controlada pelo cliente não inclui atualizações de host ou atualizações de segurança críticas.

Posso receber uma notificação avançada do evento de manutenção?

Notificações avançadas para manutenção do Firewall do Azure não estão disponíveis.

Posso configurar uma janela de manutenção com menos de cinco horas?

Não, uma janela de manutenção mínima de cinco horas é necessária.

Posso configurar uma janela de manutenção diferente da programação diária?

No momento, as janelas de manutenção estão configuradas para serem recur diárias.

Existem casos em que não consigo controlar determinadas atualizações?

A manutenção controlada pelo cliente dá suporte a atualizações de serviço e sistema operacional convidado, que representam a maioria dos itens de manutenção preocupantes para os clientes. No entanto, algumas atualizações, como atualizações de host, estão fora do escopo da manutenção controlada pelo cliente. Em casos raros, podemos substituir o controle da janela de manutenção para resolver problemas de segurança de alta gravidade.

Os recursos de configuração de manutenção precisam estar na mesma região que o Firewall do Azure?

Sim.

Podemos criar mais de uma configuração de manutenção para um único Firewall do Azure?

Não. Atualmente, apenas uma configuração de manutenção pode ser associada a um Firewall do Azure.

Quais SKUs do Firewall do Azure posso configurar para usar a manutenção controlada pelo cliente?

Todos os SKUs de Firewall do Azure – Manutenção básica, standard e premium controlada pelo cliente.

Quanto tempo leva para uma política de configuração de manutenção entrar em vigor depois de ser atribuída ao Firewall do Azure?

Pode levar até 24 horas para que o Firewall do Azure siga o agendamento de manutenção depois que a política de manutenção estiver associada.

Marquei uma janela de manutenção para uma data futura para um dos meus recursos do Firewall do Azure. As atividades de manutenção desde recurso estão pausadas até então?

As atividades de manutenção no Firewall do Azure não são pausadas durante o período anterior à janela de manutenção agendada. Durante dias que não estão incluídos em seu agendamento de manutenção, as operações de manutenção regulares continuam normalmente no recurso.

Como saber mais sobre a manutenção controlada pelo cliente no Firewall do Azure?

Para obter mais informações, consulte Configurar a manutenção controlada pelo cliente.

Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos de Rede Virtual do Azure. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. É possível criar, impor e registrar centralmente políticas de conectividade de rede e de aplicativo em assinaturas e redes virtuais.

Para obter uma lista detalhada dos recursos do Firewall do Azure, consulte os recursos do Firewall do Azure.

O Firewall do Azure pode ser implantado em qualquer rede virtual. No entanto, ele normalmente é implantado em uma rede virtual central em um modelo hub-and-spoke, com outras redes virtuais emparelhadas a ele. A rota padrão das redes virtuais emparelhadas é definida para apontar para essa rede virtual de firewall central. Embora haja suporte para emparelhamento de rede virtual global, não é recomendável devido a possíveis problemas de desempenho e latência entre regiões. Para um desempenho ideal, implante um firewall por região.

Esse modelo permite o controle centralizado sobre várias VNets spoke em diferentes assinaturas e oferece economia de custos evitando a necessidade de implantar um firewall em cada rede virtual. A redução de custos deve ser avaliada em relação aos custos de emparelhamento associados com base nos padrões de tráfego.

O Firewall do Azure pode ser implantado usando o portal do Azure, o PowerShell, a API REST ou os modelos. Para obter instruções passo a passo, consulte Tutorial: Implantar e configurar o Firewall do Azure usando o portal do Azure.

O Firewall do Azure usa regras e coleções de regras. Uma coleção de regras é um conjunto de regras com a mesma ordem e prioridade. As coleções de regras são executadas em ordem de prioridade. As coleções de regras DNAT têm prioridade maior do que as coleções de regras de rede, que, por sua vez, têm prioridade maior do que as coleções de regras de aplicativo. Todas as regras estão sendo encerradas.

Há três tipos de coleções de regras:

• Regras de aplicativo: configure FQDNs (nomes de domínio totalmente qualificados) que podem ser acessados de uma rede virtual.
• Regras de rede: configurar regras com endereços de origem, protocolos, portas de destino e endereços de destino.
• Regras NAT: configure regras DNAT para permitir conexões de entrada de Internet ou intranet (prévia).

Para obter mais informações, consulte Configurar regras do Firewall do Azure.

O Firewall do Azure se integra ao Azure Monitor para exibir e analisar logs. Os logs podem ser enviados ao Log Analytics, ao Armazenamento do Azure ou aos Hubs de Eventos e analisados usando ferramentas como Log Analytics, Excel ou Power BI. Para saber mais, confira Tutorial: Monitorar os logs do Firewall do Azure.

O Firewall do Azure é um serviço de segurança de rede gerenciado baseado em nuvem que protege os recursos de rede virtual. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. Ele é pré-integrado com provedores SECaaS (segurança como serviço) de terceiros para aprimorar a segurança para conexões de rede virtual e de ramificação da Internet. Para obter mais informações, consulte Segurança de rede do Azure.

O WAF do Gateway de Aplicativo fornece proteção de entrada centralizada para aplicativos Web contra explorações e vulnerabilidades comuns. O Firewall do Azure fornece proteção de entrada para protocolos não HTTP / S (por exemplo, RDP, SSH, FTP), proteção de nível de rede de saída para todas as portas e protocolos e proteção no nível do aplicativo para HTTP / S de saída.

O Firewall do Azure complementa os NSGs para fornecer uma melhor segurança de rede "de defesa detalhada". Os NSGs oferecem filtragem de tráfego de camada de rede distribuída para limitar o tráfego em redes virtuais em cada assinatura. O Firewall do Azure fornece proteção centralizada, totalmente com estado de rede e no nível do aplicativo entre assinaturas e redes virtuais.

O Firewall do Azure é um serviço gerenciado com várias camadas de proteção, incluindo proteção de plataforma com NSGs no nível de NIC (não acessível). Os NSGs de nível de sub-rede não são necessários no AzureFirewallSubnet e estão desabilitados para evitar interrupções de serviço.

Os pontos de extremidade privados são um componente do Link Privado, uma tecnologia que permite interagir com os serviços de PaaS do Azure usando endereços IP privados em vez de públicos. O Firewall do Azure pode ser usado para impedir o acesso a endereços IP públicos, evitando a exfiltração de dados para os serviços do Azure que não aproveitam o Link Privado, bem como para implementar políticas de confiança zero definindo quem em sua organização precisa acessar esses serviços de PaaS do Azure, já que o Link Privado por padrão abre o acesso à rede para toda a sua rede corporativa.

O design correto para inspecionar o tráfego para pontos de extremidade privados com o Firewall do Azure dependerá de sua arquitetura de rede, você pode encontrar mais detalhes nos cenários de Firewall do Azure do artigo para inspecionar o tráfego destinado a um ponto de extremidade privado.

Os pontos de extremidade de serviço de Rede Virtual são uma alternativa ao Link Privado para controlar o acesso à rede aos serviços de PaaS do Azure. Mesmo que o cliente ainda use endereços IP públicos para acessar o serviço PaaS, a sub-rede de origem ficará visível para que o serviço PaaS de destino possa implementar regras de filtro e restringir o acesso por sub-rede. Você pode encontrar uma comparação detalhada entre ambos os mecanismos em Comparar Pontos de Extremidade Privados e Pontos de Extremidade de Serviço.

As regras de aplicativo do Firewall do Azure podem ser usadas para garantir que nenhuma exfiltração de dados para serviços invasores ocorra e implementar políticas de acesso com uma granularidade maior além do nível da sub-rede. Normalmente, os pontos de extremidade de serviço de rede virtual precisam ser habilitados na sub-rede do cliente que se conectará a um serviço do Azure. No entanto, ao inspecionar o tráfego para pontos de extremidade de serviço com o Firewall do Azure, você precisa habilitar o ponto de extremidade de serviço correspondente na sub-rede do Firewall do Azure e desabilitá-los na sub-rede do cliente real (geralmente uma rede virtual spoke). Dessa forma, você pode usar regras de aplicativo no Firewall do Azure para controlar a quais serviços do Azure suas cargas de trabalho do Azure terão acesso.

Para obter detalhes sobre preços, consulte Preços do Firewall do Azure.

Para obter limites de serviço, consulte limites, cotas e restrições de serviço e assinatura do Azure.

O Firewall do Azure não move nem armazena dados do cliente fora da região em que ele é implantado.

Não, o Firewall do Azure em vWAN (hubs virtuais protegidos) não tem suporte no momento no Catar.

Sim, o Firewall do Azure dá suporte à filtragem de tráfego de entrada e de saída. A filtragem de entrada normalmente é usada para protocolos não HTTP, como RDP, SSH e FTP. Para tráfego HTTP e HTTPS de entrada, considere o uso de um firewall de aplicativo Web como o WAF (Firewall de Aplicativo Web) do Azure ou os recursos de descarregamento do TLS e inspeção profunda de pacotes do Firewall premium do Azure.

Sim, o Azure Firewall Basic dá suporte ao túnel forçado.

Um ping TCP realmente não se conecta ao FQDN de destino. O Firewall do Azure bloqueia conexões com qualquer endereço IP de destino ou FQDN, a menos que seja explicitamente permitido por uma regra.

No caso de um ping TCP, se nenhuma regra permitir o tráfego, o próprio Firewall responderá à solicitação de ping TCP do cliente. Essa resposta não atinge o endereço IP de destino ou FQDN e não é registrada em log. Se uma regra de rede permitir explicitamente o acesso ao endereço IP de destino ou FQDN, a solicitação de ping atingirá o servidor de destino e sua resposta será retransmitida para o cliente. Esse evento é registrado no log de regras de rede.

Não, o Firewall do Azure não dá suporte nativo ao emparelhamento BGP. No entanto, o recurso de rotas SNAT do Autolearn usa indiretamente o BGP por meio do Servidor de Rota do Azure.

Você pode usar o Azure PowerShell para desalocar e alocar o Firewall do Azure. O processo varia dependendo da configuração.

Para um firewall sem uma NIC de Gerenciamento:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Para um firewall com uma NIC de Gerenciamento:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Para um firewall em um hub virtual seguro:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Observação

Ao parar e iniciar o firewall, a cobrança é interrompida e iniciada adequadamente. No entanto, o endereço IP privado pode ser alterado, o que pode afetar a conectividade se as tabelas de rotas estiverem configuradas.

É recomendável configurar zonas de disponibilidade durante a implantação inicial. No entanto, você poderá reconfigurá-los após a implantação se:

• O firewall é implantado em uma rede virtual (sem suporte em hubs virtuais protegidos).
• A região dá suporte a zonas de disponibilidade.
• Todos os endereços IP públicos anexados são configurados com as mesmas zonas.

Para reconfigurar zonas de disponibilidade:

1. Desalocar o firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Atualize a configuração de zona e aloque o firewall:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Sim:

• O Firewall do Azure e a rede virtual devem estar no mesmo grupo de recursos.
• O endereço IP público pode estar em um grupo de recursos diferente.
• Todos os recursos (firewall do Azure, rede virtual, IP público) devem estar na mesma assinatura.

Um estado de provisionamento com falha indica que uma atualização de configuração falhou em uma ou mais instâncias de back-end. O Firewall do Azure permanece operacional, mas a configuração pode ser inconsistente. Repita a atualização até que o estado de provisionamento seja alterado para Bem-sucedido.

O Firewall do Azure usa uma configuração ativa-ativa com vários nós de back-end. Durante a manutenção planejada, a drenagem de conexões garante atualizações normalmente. Para falhas não planejadas, um novo nó substitui o com falha e a conectividade normalmente é restaurada em 10 segundos.

Sim, os nomes de firewall são limitados a 50 caracteres.

Uma sub-rede /26 garante endereços IP suficientes para dimensionamento à medida que o Firewall do Azure provisiona instâncias extras de máquina virtual.

Não, uma sub-rede /26 é suficiente para todos os cenários de dimensionamento.

O Firewall do Azure é dimensionado automaticamente com base no uso, na taxa de transferência e na contagem de conexões da CPU. A capacidade de taxa de transferência varia de 2,5 a 3 Gbps inicialmente a 30 Gbps (SKU Standard) ou 100 Gbps (SKU Premium).

Sim. Para obter detalhes, consulte limites, cotas e restrições de serviço e assinatura do Azure.

Não, não há suporte para mover um grupo de IP para outro grupo de recursos no momento.

Um comportamento padrão de um firewall de rede é garantir que as conexões TCP sejam mantidas no estado keep alive e sejam fechadas imediatamente se não houver nenhuma atividade. O tempo limite ocioso do TCP do Firewall do Azure é de quatro minutos. Essa configuração não é configurável pelo usuário, mas você pode contatar o Suporte do Azure para aumentar o tempo limite ocioso das conexões de entrada e saída em até 15 minutos. O tempo limite ocioso para o tráfego leste-oeste não pode ser alterado.

Se um período de inatividade for maior do que o valor de tempo limite, não haverá nenhuma garantia de que a sessão TCP ou HTTP será mantida. Uma prática comum é usar um TCP keep alive. Essa prática mantém a conexão ativa por um período maior. Para obter mais informações, confira estes exemplos do .NET.

Sim, mas você deve configurar o firewall no Modo de Túnel Forçado. Essa configuração cria uma interface de gerenciamento com um endereço IP público que é usado pelo Firewall do Azure para suas operações. Esse endereço IP público é para o tráfego de gerenciamento. Ele é usado exclusivamente pela plataforma do Azure e não pode ser usado para nenhuma outra finalidade. A rede de caminho de dados do locatário pode ser configurada sem um endereço IP público e o tráfego da Internet pode ser forçado por túnel para outro Firewall ou completamente bloqueado.

Sim. Para obter mais informações, confira Fazer backup do Firewall do Azure e do Firewall do Azure Policy com Aplicativos Lógicos.

Para obter acesso seguro aos serviços de PaaS, recomendamos ponto de extremidade de serviço. Você pode optar por habilitar pontos de extremidade de serviço na sub-rede de Firewall do Azure e desabilitá-los nas redes virtuais spoke conectadas. Dessa forma você aproveita ambos os recursos: segurança do ponto de extremidade do serviço e registro em log central para todo o tráfego.

Sim, você pode usar o Firewall do Azure em uma rede virtual de hub para rotear e filtrar o tráfego entre várias redes virtuais spoke. As sub-redes em cada uma das redes virtuais de spoke devem ter uma UDR apontando para o Firewall do Azure como um gateway padrão para que este cenário funcione corretamente.

Sim. No entanto, configurar as UDRs para redirecionar o tráfego entre sub-redes na mesma rede virtual requer mais atenção. Embora o uso do intervalo de endereços de rede virtual como prefixo de destino para a UDR seja suficiente, isso também roteia todo o tráfego de um computador para outro computador na mesma sub-rede por meio da instância do Firewall do Azure. Para evitar isso, inclua uma rota para a sub-rede na UDR com um tipo de rede virtual de próximo salto. O gerenciamento dessas rotas pode ser complicado e passível de erros. O método recomendado para segmentação de rede interna é usar Grupos de Segurança de Rede, o que não exige UDRs.

O Firewall do Azure não realiza SNAT quando o endereço IP de destino é um intervalo de IP privado conforme IANA RFC 1918 ou IANA RFC 6598 para redes privadas. Se a sua organização usa um intervalo de endereços IP públicos para redes privadas, o Firewall do Azure realiza SNAT do tráfego para um dos endereços IP privados do firewall no AzureFirewallSubnet. Você pode configurar o Firewall do Azure para não realizar SNAT de seu intervalo de endereços IP públicos. Para obter mais informações, confira Intervalos de endereços IP privados do SNAT do Firewall do Azure.

Além disso, sempre é realizado SNAT do tráfego processado por regras de aplicativo. Se você quiser ver o endereço IP de origem inicial nos seus logs para tráfego FQDN, poderá usar regras de rede com o FQDN de destino.

O túnel forçado é compatível quando se cria um novo firewall. Não é possível configurar um firewall existente para túnel forçado. Para obter mais informações, confira Túnel forçado do Firewall do Azure.

O Firewall do Azure deve ter conectividade direta com a Internet. Se seu AzureFirewallSubnet aprender uma rota padrão para sua rede local via BGP, você deve substituir isso por um UDR 0.0.0.0/0 com o valor NextHopType definido como Internet para manter a conectividade direta com a Internet.

Se a configuração exigir o túnel forçado para uma rede local e você puder determinar os prefixos de IP de destino para os destinos da Internet, você poderá configurar esses intervalos com a rede local como o próximo salto por meio de uma rota definida pelo usuário no AzureFirewallSubnet. Ou você pode usar o BGP para definir essas rotas.

• URL – Os asteriscos funcionam quando colocados no lado mais à direita ou mais à esquerda. Se ele estiver à esquerda, ele não poderá fazer parte do FQDN.
• FQDN – Os asteriscos funcionam quando colocados no lado mais à esquerda.
• GERAL: os asteriscos mais à esquerda significam literalmente qualquer coisa para as correspondências à esquerda, o que significa que vários subdomínios e/ou variações de nome de domínio possivelmente indesejados terão correspondências — veja os exemplos abaixo.

Exemplos:

Tipo	Regra	Com suporte?	Exemplos positivos
URL de destino	www.contoso.com	Sim	www.contoso.com www.contoso.com/
URL de destino	*.contoso.com	Sim	any.contoso.com/ sub1.any.contoso.com
URL de destino	*contoso.com	Sim	example.anycontoso.com sub1.example.contoso.com contoso.com Aviso: este uso de caractere curinga também permite variações potencialmente indesejadas/arriscadas, como th3re4lcontoso.com – use com cautela.
URL de destino	www.contoso.com/test	Sim	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
URL de destino	www.contoso.com/test/*	Sim	www.contoso.com/test/anything Observação: www.contoso.com/testnão corresponde (última barra)
URL de destino	www.contoso.*/test/*	Não
URL de destino	www.contoso.com/test?example=1	Não
URL de destino	www.contoso.*	Não
URL de destino	www.*contoso.com	Não
URL de destino	www.contoso.com:8080	Não
URL de destino	*.contoso.*	Não
TargetFQDN	www.contoso.com	Sim	www.contoso.com
TargetFQDN	*.contoso.com	Sim	any.contoso.com Observação: se você quiser permitir especificamente contoso.com, precisará incluir contoso.com na regra. Caso contrário, a conexão será descartada por padrão porque a solicitação não corresponde a nenhuma regra.
TargetFQDN	*contoso.com	Sim	example.anycontoso.com contoso.com
TargetFQDN	www.contoso.*	Não
TargetFQDN	*.contoso.*	Não

Não. O Firewall do Azure bloqueia o acesso ao Active Directory por padrão. Para permitir o acesso, configure a marca de serviço AzureActiveDirectory. Para obter mais informações, confira Marcas de serviço do Firewall do Azure.

Sim, você pode usar o Azure PowerShell para fazer isso:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Um ping de TCP não está realmente se conectando ao FQDN de destino. O Firewall do Azure não permite uma conexão com nenhum endereço IP de destino/FQDN, a menos que haja uma regra explícita que permita isso.

O ping TCP é um caso de uso exclusivo em que, se não houver nenhuma regra permitida, o próprio Firewall responderá à solicitação de ping TCP do cliente, mesmo que o ping TCP não atinja o endereço IP de destino/FQDN. Nesse caso, o evento não é registrado. Se houver uma regra de rede que permita o acesso ao endereço IP de destino/FQDN, a solicitação de ping atingirá o servidor de destino e sua resposta será retransmitida para o cliente. Esse evento é registrado no log de regras de rede.

Sim. Para saber mais, confira Assinatura e limites de serviço, cotas e restrições do Azure

Não, não há suporte para mover um grupo de IP para outro grupo de recursos no momento.

Um comportamento padrão de um firewall de rede é garantir que as conexões TCP sejam mantidas no estado keep alive e sejam fechadas imediatamente se não houver nenhuma atividade. O tempo limite ocioso do TCP do Firewall do Azure é de quatro minutos. Essa configuração não é configurável pelo usuário, mas você pode contatar o Suporte do Azure para aumentar o tempo limite ocioso das conexões de entrada e saída em até 15 minutos. O tempo limite ocioso para o tráfego leste-oeste não pode ser alterado.

Se um período de inatividade for maior do que o valor de tempo limite, não haverá nenhuma garantia de que a sessão TCP ou HTTP será mantida. Uma prática comum é usar um TCP keep alive. Essa prática mantém a conexão ativa por um período maior. Para obter mais informações, confira estes exemplos do .NET.

Sim, mas você deve configurar o firewall no Modo de Túnel Forçado. Essa configuração cria uma interface de gerenciamento com um endereço IP público que é usado pelo Firewall do Azure para suas operações. Esse endereço IP público é para o tráfego de gerenciamento. Ele é usado exclusivamente pela plataforma do Azure e não pode ser usado para nenhuma outra finalidade. A rede de caminho de dados do locatário pode ser configurada sem um endereço IP público e o tráfego da Internet pode ser forçado por túnel para outro Firewall ou completamente bloqueado.

O Firewall do Azure não move nem armazena dados do cliente fora da região em que ele está implantado.

Sim. Para obter mais informações, confira Fazer backup do Firewall do Azure e do Firewall do Azure Policy com Aplicativos Lógicos.

Não, atualmente, o Firewall do Azure em hubs virtuais seguros (vWAN) não tem suporte no Catar.

O Firewall do Azure usa Máquinas Virtuais do Azure que têm um número limite rígido de conexões. O número total de conexões ativas por máquina virtual é de 250 mil.

O limite total por firewall é o limite de conexão da máquina virtual (250 mil) x o número de máquinas virtuais no pool de back-end do firewall. O Firewall do Azure começa com duas máquinas virtuais e escala horizontalmente com base no uso e na taxa de transferência da CPU.

Atualmente, o Firewall do Azure usa portas de origem TCP/UDP para tráfego SNAT de saída, sem tempo de espera ocioso. Quando uma conexão TCP/UDP é fechada, a porta TCP usada é imediatamente vista como disponível para conexões futuras.

Como uma solução alternativa para determinadas arquiteturas, você pode implantar e dimensionar com o Gateway da NAT com o Firewall do Azure para fornecer um pool mais amplo de portas SNAT para ter mais variabilidade e disponibilidade.

Comportamentos específicos da NAT dependem da configuração do firewall e do tipo de NAT configurado. Por exemplo, o firewall tem regras DNAT para tráfego de entrada, e regras de rede e regras de aplicativo para tráfego de saída por meio do firewall.

Para obter mais informações, confira Comportamentos da NAT do Firewall do Azure.

Em qualquer manutenção planejada, a lógica de esvaziamento da conexão atualiza os nós do back-end normalmente. O Firewall do Azure aguarda 90 segundos para que as conexões existentes sejam fechadas. Nos primeiros 45 segundos, o nó de back-end não aceita novas conexões e, no tempo restante, ele responde com RST a todos os pacotes de entrada. Se necessário, os clientes podem restabelecer automaticamente a conectividade com outro nó do back-end.

Um desligamento da instância de VM do Firewall do Azure pode ocorrer durante a redução horizontal/vertical do Conjunto de Dimensionamento de Máquinas Virtuais ou durante a atualização de software da frota. Nesses casos, novas conexões de entrada são balanceadas por carga para as instâncias de firewall restantes e não são encaminhadas para a instância de firewall inoperante. Após 45 segundos, o firewall começa a rejeitar as conexões existentes enviando pacotes de TCP RST. Após mais 45 segundos, a VM do firewall será desligada. Para obter mais informações, confira Redefinição do TCP do Load Balancer e tempo limite ocioso.

O Firewall do Azure é escalado gradualmente quando a taxa de transferência média ou o consumo de CPU está em 60%, ou o número de uso de conexões é de 80%. Por exemplo, ele começa a escalar horizontalmente quando atinge 60% da taxa de transferência máxima. Os números máximos de taxa de transferência variam com base na SKU do Firewall do Azure e nos recursos habilitados. Para obter mais informações, consulte Desempenho do Firewall do Azure.

O aumento de escala horizontal leva de cinco a sete minutos. Ao testar o desempenho, verifique se você testa por pelo menos 10 a 15 minutos e inicie novas conexões para aproveitar os nós do Firewall do Azure recém-criados.

Quando uma conexão tem um tempo limite ocioso (quatro minutos sem nenhuma atividade), o Firewall do Azure encerra normalmente a conexão enviando um pacote TCP RST.

Os serviços do Azure passam por atualizações de manutenção regulares para aprimorar a funcionalidade, a confiabilidade, o desempenho e a segurança. Com um período de manutenção configurado, a manutenção do sistema operacional convidado e a manutenção do serviço são executadas durante essa janela. No entanto, a manutenção controlada pelo cliente não inclui atualizações de host ou atualizações de segurança críticas.

Notificações avançadas para manutenção do Firewall do Azure não estão disponíveis.

Não, uma janela de manutenção mínima de cinco horas é necessária.

No momento, as janelas de manutenção estão configuradas para serem recur diárias.

A manutenção controlada pelo cliente dá suporte a atualizações de serviço e sistema operacional convidado, que representam a maioria dos itens de manutenção preocupantes para os clientes. No entanto, algumas atualizações, como atualizações de host, estão fora do escopo da manutenção controlada pelo cliente. Em casos raros, podemos substituir o controle da janela de manutenção para resolver problemas de segurança de alta gravidade.

Sim.

Não. Atualmente, apenas uma configuração de manutenção pode ser associada a um Firewall do Azure.

Todos os SKUs de Firewall do Azure – Manutenção básica, standard e premium controlada pelo cliente.

Pode levar até 24 horas para que o Firewall do Azure siga o agendamento de manutenção depois que a política de manutenção estiver associada.

As atividades de manutenção no Firewall do Azure não são pausadas durante o período anterior à janela de manutenção agendada. Durante dias que não estão incluídos em seu agendamento de manutenção, as operações de manutenção regulares continuam normalmente no recurso.

Para obter mais informações, consulte Configurar a manutenção controlada pelo cliente.