FAQ sobre a Azure Firewall

O Azure Firewall é um serviço de segurança de rede gerido e com base na cloud que protege os recursos da Rede Virtual do Azure. É um firewall como serviço totalmente stateful com alta disponibilidade integrada e escalabilidade irrestrita na nuvem. Pode criar, impor e registar centralmente políticas de conectividade de rede e aplicações entre subscrições e redes virtuais.

Para saber mais sobre os recursos do Firewall do Azure, consulte Recursos do Firewall do Azure.

Pode implementar o Azure Firewall em qualquer rede virtual, mas os clientes normalmente implementam-no numa rede virtual central e fazem o peering de outras redes virtuais para o mesmo num modelo hub-and-spoke. Em seguida, você pode definir a rota padrão das redes virtuais emparelhadas para apontar para essa rede virtual de firewall central. O emparelhamento de rede virtual global é suportado, mas não é recomendado devido a possíveis problemas de desempenho e latência entre regiões. Para obter o melhor desempenho, implemente uma firewall por região.

A vantagem deste modelo é a capacidade de exercer centralmente o controlo de várias VNETs spoke em diferentes subscrições. Também há economia de custos, pois você não precisa implantar um firewall em cada VNet separadamente. As economias de custos devem ser avaliadas em relação ao custo de peering associado com base nos padrões de tráfego do cliente.

Você pode configurar o Firewall do Azure usando o portal do Azure, PowerShell, API REST ou usando modelos. Consulte Tutorial: Implantar e configurar o Firewall do Azure usando o portal do Azure para obter instruções passo a passo.

O Firewall do Azure dá suporte a regras e coleções de regras. Uma coleção de regras é um conjunto de regras que compartilham a mesma ordem e prioridade. As coleções de regras são executadas em ordem de prioridade. As coleções de regras DNAT são coleções de regras de rede de prioridade mais alta, que são de prioridade mais alta do que as coleções de regras de aplicativo, e todas as regras são encerradas.

Existem três tipos de coleções de regras:

• Regras de aplicação: Configure FQDNs (nomes de domínio totalmente qualificados) que podem ser acessados a partir de uma Rede Virtual.
• Regras de rede: configure regras que contenham endereços de origem, protocolos, portas de destino e endereços de destino.
• Regras NAT: Configure regras DNAT para permitir conexões de entrada com a Internet.

Para obter mais informações, consulte Configurar regras do Firewall do Azure.

O Azure Firewall suporta filtragem de entrada e saída. A proteção de entrada é normalmente usada para protocolos não-HTTP, como RDP, SSH e protocolos FTP. Para proteção HTTP e HTTPS de entrada, use um firewall de aplicativo Web, como o Firewall de Aplicativo Web do Azure (WAF) ou os recursos de descarregamento TLS e inspeção profunda de pacotes do Firewall Premium do Azure.

Sim, o Firewall do Azure Basic dá suporte ao túnel forçado.

O Azure Firewall está integrado no Azure Monitor para visualização e análise de registos da firewall. Os registos podem ser enviados para o Log Analytics, o Armazenamento do Azure ou os Hubs de Eventos. Podem ser analisados no Log Analytics ou em diferentes ferramentas, como o Excel e o Power BI. Para obter mais informações, consulte Tutorial: Monitorar logs do Firewall do Azure.

O Firewall do Azure é um serviço de segurança de rede gerenciado e baseado em nuvem que protege seus recursos de rede virtual. É uma firewall com total monitoração de estado como um serviço com elevada disponibilidade incorporada e escalabilidade da cloud sem restrições. Ele é pré-integrado com provedores de segurança como serviço (SECaaS) de terceiros para fornecer segurança avançada para sua rede virtual e conexões de Internet de filiais. Para saber mais sobre a segurança de rede do Azure, consulte Segurança de rede do Azure.

O Web Application Firewall (WAF) é um recurso do Application Gateway que fornece proteção de entrada centralizada de seus aplicativos Web contra exploits e vulnerabilidades comuns. O Firewall do Azure fornece proteção de entrada para protocolos não-HTTP/S (por exemplo, RDP, SSH, FTP), proteção de nível de rede de saída para todas as portas e protocolos e proteção em nível de aplicativo para HTTP/S de saída.

O serviço Firewall do Azure complementa a funcionalidade do grupo de segurança de rede. Juntos, eles fornecem melhor segurança de rede de "defesa em profundidade". Os grupos de segurança de rede fornecem a filtragem do tráfego da camada de rede distribuído para limitar o tráfego a recursos nas redes virtuais em cada subscrição. O Firewall do Azure é um firewall de rede centralizado e com monitoração de estado como serviço, que fornece proteção em nível de rede e aplicativo em diferentes assinaturas e redes virtuais.

O Firewall do Azure é um serviço gerenciado com várias camadas de proteção, incluindo proteção de plataforma com NSGs de nível NIC (não visíveis). NSGs de nível de sub-rede não são necessários na AzureFirewallSubnet e são desabilitados para garantir que não haja interrupção do serviço.

Para acesso seguro aos serviços PaaS, recomendamos pontos de extremidade de serviço. Pode optar por ativar pontos finais de serviço na sub-rede do Azure Firewall e desativá-los nas redes virtuais spoke ligadas. Desta forma, beneficia de ambas as funcionalidades: segurança do ponto final do serviço e registo central para todo o tráfego.

Consulte Preços do Firewall do Azure.

Você pode usar métodos de desalocação e alocação do Azure PowerShell. Para um firewall configurado para tunelamento forçado, o procedimento é ligeiramente diferente.

Por exemplo, para um firewall NÃO configurado para tunelamento forçado:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))

Set-AzFirewall -AzureFirewall $azfw

Para um firewall configurado para encapsulamento forçado, a parada é a mesma. Mas iniciar requer que o IP público de gerenciamento seja associado novamente ao firewall:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall

Para um firewall em uma arquitetura de hub virtual segura, a parada é a mesma, mas a inicialização deve usar a ID do hub virtual:

# Stop and existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$virtualhub = get-azvirtualhub -ResourceGroupName "RG name of vHUB" -name "vHUB name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Azfw RG Name"
$azfw.Allocate($virtualhub.Id)
$azfw | Set-AzFirewall

Quando você aloca e deslocaliza, o faturamento do firewall é interrompido e iniciado de acordo.

A recomendação é configurar zonas de disponibilidade durante a implantação inicial do firewall. No entanto, em alguns casos, é possível alterar as zonas de disponibilidade após a implantação. Pré-requisitos:

• O firewall é implantado em uma rede virtual. Ele não é compatível com firewalls implantados em um hub virtual seguro.
• A região do firewall suporta zonas de disponibilidade.
• Todos os endereços IP públicos anexados são implantados com zonas de disponibilidade. Na página de propriedades de cada endereço IP público, verifique se o campo de zonas de disponibilidade existe e está configurado com as mesmas zonas configuradas para o firewall.

A reconfiguração das zonas de disponibilidade só pode ser feita quando você reinicia o firewall. Depois de alocar o firewall e antes de iniciar o firewall com Set-AzFirewall, use o seguinte Azure PowerShell para modificar a propriedade Zones do firewall:

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azFw.Zones=1,2,3
$azfw | Set-AzFirewall

Para limites de serviço do Firewall do Azure, consulte Limites de assinatura, cotas e restrições de serviço e assinatura do Azure.

Sim, você pode usar o Firewall do Azure em uma rede virtual de hub para rotear e filtrar o tráfego entre várias redes virtuais. As sub-redes em cada uma das redes virtuais spoke devem ter um UDR apontando para o Firewall do Azure como um gateway padrão para que esse cenário funcione corretamente.

Sim. No entanto, configurar as UDRs para redirecionar o tráfego entre sub-redes na mesma VNET requer mais atenção. Embora o uso do intervalo de endereços VNET como um prefixo de destino para o UDR seja suficiente, isso também roteia todo o tráfego de uma máquina para outra máquina na mesma sub-rede por meio da instância do Firewall do Azure. Para evitar isso, inclua uma rota para a sub-rede no UDR com um tipo de VNET de salto seguinte. O gerenciamento dessas rotas pode ser complicado e propenso a erros. O método recomendado para segmentação de rede interna é usar grupos de segurança de rede, que não exigem UDRs.

O Firewall do Azure não SNAT quando o endereço IP de destino é um intervalo de IP privado por IANA RFC 1918. Se sua organização usa um intervalo de endereços IP públicos para redes privadas, SNATs do Firewall do Azure o tráfego para um dos endereços IP privados do firewall no AzureFirewallSubnet. Você pode configurar o Firewall do Azure para não SNAT seu intervalo de endereços IP públicos. Para obter mais informações, veja SNAT do Azure Firewall para intervalos de endereços IP privados.

Além disso, o tráfego processado pelas regras do aplicativo é sempre SNAT-ed. Se você quiser ver o endereço IP de origem original em seus logs para tráfego FQDN, você pode usar regras de rede com o FQDN de destino.

O túnel forçado é suportado quando você cria um novo firewall. Não é possível configurar um firewall existente para tunelamento forçado. Para obter mais informações, consulte Encapsulamento forçado do Firewall do Azure.

O Azure Firewall tem de ter conectividade Internet direta. Se o AzureFirewallSubnet aprender uma rota padrão para sua rede local via BGP, você deverá substituí-la por uma UDR 0.0.0.0/0 com o valor NextHopType definido como Internet para manter a conectividade direta com a Internet.

Se sua configuração exigir túnel forçado para uma rede local e você puder determinar os prefixos IP de destino para seus destinos da Internet, poderá configurar esses intervalos com a rede local como o próximo salto por meio de uma rota definida pelo usuário na AzureFirewallSubnet. Ou, você pode usar BGP para definir essas rotas.

Sim.

• O firewall e a VNet devem estar no mesmo grupo de recursos.
• O endereço IP público pode estar em qualquer grupo de recursos.
• O firewall, a rede virtual e o endereço IP público devem estar na mesma assinatura.

• URL - Asteriscos funcionam quando colocados no lado mais à direita ou mais à esquerda. Se estiver à esquerda, não pode fazer parte do FQDN.
• FQDN - Asteriscos funcionam quando colocados no lado mais esquerdo.
• GERAL - Asteriscos no lado mais à esquerda significam literalmente qualquer coisa à esquerda corresponde, o que significa que vários subdomínios e/ou variações de nomes de domínio potencialmente indesejadas são combinados - veja os exemplos a seguir.

Exemplos:

Sempre que uma alteração de configuração é aplicada, o Azure Firewall tenta atualizar todas as instâncias de back-end subjacentes. Em casos raros, uma dessas instâncias de back-end pode falhar ao atualizar com a nova configuração e o processo de atualização para com um estado de provisionamento com falha. Seu Firewall do Azure ainda está operacional, mas a configuração aplicada pode estar em um estado inconsistente, onde algumas instâncias têm a configuração anterior onde outras têm a regra atualizada definida. Se isso acontecer, tente atualizar sua configuração mais uma vez até que a operação seja bem-sucedida e seu Firewall esteja em um estado de provisionamento bem-sucedido .

O Firewall do Azure consiste em vários nós de back-end em uma configuração ativa-ativa. Para qualquer manutenção planejada, temos lógica de drenagem de conexão para atualizar os nós graciosamente. As atualizações são planejadas fora do horário comercial para cada uma das regiões do Azure para limitar ainda mais o risco de interrupção. Para problemas não planejados, instanciamos um novo nó para substituir o nó com falha. A conectividade com o novo nó normalmente é restabelecida dentro de 10 segundos a partir do momento da falha.

Para qualquer manutenção planejada, a lógica de drenagem de conexão atualiza graciosamente os nós de back-end. O Firewall do Azure aguarda 90 segundos para que as conexões existentes sejam fechadas. Nos primeiros 45 segundos, o nó de back-end não aceita novas conexões e, no tempo restante, responde com RST todos os pacotes recebidos. Se necessário, os clientes podem restabelecer automaticamente a conectividade com outro nó de back-end.

Sim. Há um limite de 50 caracteres para um nome de firewall.

O Firewall do Azure deve provisionar mais instâncias de máquina virtual à medida que é dimensionado. Um espaço de endereçamento /26 garante que o firewall tenha endereços IP suficientes disponíveis para acomodar o dimensionamento.

N.º O Firewall do Azure não precisa de uma sub-rede maior que /26.

A capacidade de taxa de transferência inicial do Firewall do Azure é de 2,5 a 3 Gbps e pode ser dimensionada para 30 Gbps para SKU Standard e 100 Gbps para SKU Premium. Ele é dimensionado automaticamente com base no uso da CPU, na taxa de transferência e no número de conexões.

O Firewall do Azure é dimensionado gradualmente quando a taxa de transferência média ou o consumo de CPU está em 60% ou o número de uso de conexões está em 80%. Por exemplo, ele começa a ser dimensionado quando atinge 60% de sua taxa de transferência máxima. Os números máximos de taxa de transferência variam com base no SKU do Firewall e nos recursos habilitados. Para obter mais informações, consulte Desempenho do Firewall do Azure.

A escala leva de cinco a sete minutos.

Ao testar o desempenho, certifique-se de testar por pelo menos 10 a 15 minutos e iniciar novas conexões para aproveitar os nós de Firewall recém-criados.

Quando uma conexão tem um tempo limite ocioso (quatro minutos sem atividade), o Firewall do Azure encerra normalmente a conexão enviando um pacote TCP RST.

Um desligamento de instância de VM do Firewall do Azure pode ocorrer durante a escala do Conjunto de Dimensionamento de Máquina Virtual (redução de escala) ou durante a atualização do software da frota. Nesses casos, as novas conexões de entrada têm balanceamento de carga para as instâncias de firewall restantes e não são encaminhadas para a instância de firewall inativa. Após 45 segundos, o firewall começa a rejeitar conexões existentes enviando pacotes TCP RST. Após mais 45 segundos, a VM do firewall é desligada. Para obter mais informações, consulte Redefinição de TCP do balanceador de carga e tempo limite de inatividade.

N.º O Azure Firewall bloqueia o acesso ao Ative Directory, por predefinição. Para permitir o acesso, configure a marca de serviço AzureActiveDirectory. Para obter mais informações, consulte Tags de serviço do Firewall do Azure.

Sim, você pode usar o Azure PowerShell para fazer isso:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Um ping TCP não está realmente se conectando ao FQDN de destino. O Firewall do Azure não permite uma conexão com nenhum endereço IP/FQDN de destino, a menos que haja uma regra explícita que permita isso.

O ping TCP é um caso de uso exclusivo em que, se não houver uma regra permitida, o próprio Firewall responde à solicitação de ping TCP do cliente, mesmo que o ping TCP não atinja o endereço IP/FQDN de destino. Nesse caso, o evento não é registrado. Se houver uma regra de rede que permita o acesso ao endereço IP de destino/FQDN, a solicitação de ping chegará ao servidor de destino e sua resposta será retransmitida de volta ao cliente. Esse evento é registrado no log de regras de rede.

Sim. Para obter mais informações, veja Subscrição do Azure e limites, quotas e restrições do serviço

Não, não há suporte para mover um grupo IP para outro grupo de recursos no momento.

Um comportamento padrão de um firewall de rede é garantir que as conexões TCP sejam mantidas ativas e fechá-las imediatamente se não houver atividade. O tempo limite de inatividade TCP do Firewall do Azure é de quatro minutos. Essa configuração não é configurável pelo usuário, mas você pode entrar em contato com o Suporte do Azure para aumentar o tempo limite ocioso para conexões de entrada e saída em até 15 minutos. O tempo limite ocioso para o tráfego leste-oeste não pode ser alterado.

Se um período de inatividade for maior do que o valor de tempo limite, não há garantia de que a sessão TCP ou HTTP seja mantida. Uma prática comum é usar um TCP keep-alive. Essa prática mantém a conexão ativa por um período mais longo. Para obter mais informações, consulte os exemplos do .NET.

Sim, mas você deve configurar o firewall no Modo de Túnel Forçado. Essa configuração cria uma interface de gerenciamento com um endereço IP público que é usado pelo Firewall do Azure para suas operações. Este endereço IP público destina-se à gestão de tráfego. Ele é usado exclusivamente pela plataforma Azure e não pode ser usado para qualquer outra finalidade. A rede de caminho de dados do locatário pode ser configurada sem um endereço IP público e o tráfego da Internet pode ser forçado a ser encapsulado para outro Firewall ou completamente bloqueado.

O Firewall do Azure não move nem armazena dados do cliente para fora da região em que está implantado.

Sim. Para obter mais informações, consulte Backup do Firewall do Azure e Política do Firewall do Azure com Aplicativos Lógicos.

Não, atualmente o Firewall do Azure em hubs virtuais seguros (vWAN) não é suportado no Catar.

O Firewall do Azure usa Máquinas Virtuais do Azure abaixo que têm um número limite rígido de conexões. O número total de conexões ativas por máquina virtual é de 250k.

O limite total por firewall é o limite de conexão da máquina virtual (250k) x o número de máquinas virtuais no pool de back-end do firewall. O Firewall do Azure começa com duas máquinas virtuais e é dimensionado com base no uso e na taxa de transferência da CPU.

Atualmente, o Firewall do Azure usa portas de origem TCP/UDP para tráfego SNAT de saída, sem tempo de espera ocioso. Quando uma conexão TCP/UDP é fechada, a porta TCP usada é imediatamente vista como disponível para conexões futuras.

Como solução alternativa para determinadas arquiteturas, você pode implantar e dimensionar com o Gateway NAT com o Firewall do Azure para fornecer um pool mais amplo de portas SNAT para variabilidade e disponibilidade.

Comportamentos NAT específicos dependem da configuração do firewall e do tipo de NAT configurado. Por exemplo, o firewall tem regras DNAT para tráfego de entrada e regras de rede e regras de aplicativo para tráfego de saída através do firewall.

Para obter mais informações, consulte Comportamentos NAT do Firewall do Azure.