FAQ do Azure Firewall

O que é o Azure Firewall?

O Azure Firewall é um serviço de segurança de rede gerido e com base na cloud que protege os recursos da Rede Virtual do Azure. É um firewall-as-service totalmente imponente com alta disponibilidade incorporada e escalabilidade de nuvens sem restrições. Pode criar, impor e registar centralmente políticas de conectividade de rede e aplicações entre subscrições e redes virtuais.

Que capacidades são suportadas em Azure Firewall?

Para conhecer Azure Firewall funcionalidades, consulte Azure Firewall funcionalidades.

Qual é o modelo típico de implantação para Azure Firewall?

Pode implementar o Azure Firewall em qualquer rede virtual, mas os clientes normalmente implementam-no numa rede virtual central e fazem o peering de outras redes virtuais para o mesmo num modelo hub-and-spoke. Em seguida, pode definir a rota padrão a partir das redes virtuais espreitadas para apontar para esta rede virtual de firewall central. O espremiamento global do VNet é suportado, mas não é recomendado devido a potenciais problemas de desempenho e latência em todas as regiões. Para obter o melhor desempenho, implemente uma firewall por região.

A vantagem deste modelo é a capacidade de exercer centralmente o controlo de várias VNETs spoke em diferentes subscrições. Também existem economias de custos, uma vez que não precisa de implantar uma firewall em cada VNet separadamente. As economias de custos devem ser avaliadas em relação ao custo de peering associado com base nos padrões de tráfego do cliente.

Como posso instalar o Azure Firewall?

Pode configurar Azure Firewall utilizando o portal do Azure, PowerShell, REST API ou utilizando modelos. Ver Tutorial: Implementar e configurar Azure Firewall utilizando o portal do Azure para instruções passo a passo.

Quais são alguns conceitos Azure Firewall?

Azure Firewall apoia regras e coleções de regras. Uma coleção de regras é um conjunto de regras que partilham a mesma ordem e prioridade. As coleções de regras são executadas por ordem da sua prioridade. As coleções de regras de rede são mais prioritárias do que as coleções de regras de aplicação, e todas as regras estão terminando.

Existem três tipos de coleções de regras:

  • Regras de aplicação: Configurar nomes de domínio totalmente qualificados (FQDNs) que podem ser acedidos a partir de uma sub-rede.
  • Regras de rede: Configurar regras que contenham endereços de origem, protocolos, portas de destino e endereços de destino.
  • Regras NAT: Configurar as regras do DNAT para permitir a entrada de ligações à Internet.

A Azure Firewall suporta a filtragem do tráfego de entrada?

Azure Firewall suporta a filtragem de entrada e saída. A proteção de entrada é normalmente utilizada para protocolos não-HTTP como protocolos RDP, SSH e FTP. Para a proteção HTTP e HTTPS de entrada, utilize uma firewall de aplicação web como a Azure Firewall de Aplicações Web (WAF) ou as capacidades de descarregamento de TLS e de inspeção de pacotes profundos de Azure Firewall Premium.

Que serviços de exploração madeireira e de análise são suportados pela Azure Firewall?

Azure Firewall está integrado com o Azure Monitor para visualização e análise de registos de firewall. Os registos podem ser enviados para Log Analytics, Azure Storage ou Event Hubs. Podem ser analisados no Log Analytics ou por diferentes ferramentas como o Excel e o Power BI. Para mais informações, consulte Tutorial: Monitorize registos Azure Firewall.

Como é que Azure Firewall funcionam de forma diferente dos serviços existentes, como as NVAs no mercado?

Azure Firewall é um serviço de segurança de rede gerido e baseado na nuvem que protege os seus recursos de rede virtuais. É uma firewall como um serviço com monitorização de estado com alta disponibilidade integrada e escalabilidade da cloud irrestrita. Está pré-integrado com a segurança de terceiros como fornecedores de serviços (SECaaS) para fornecer segurança avançada para a sua rede virtual e ligações à Internet de sucursais.

Qual é a diferença entre Gateway de Aplicação WAF e Azure Firewall?

O Firewall de Aplicações Web (WAF) é uma característica de Gateway de Aplicação que fornece proteção centralizada de entrada das suas aplicações web contra explorações e vulnerabilidades comuns. Azure Firewall fornece proteção de entrada para protocolos não-HTTP/S (por exemplo, RDP, SSH, FTP), proteção ao nível da rede de saída para todas as portas e protocolos, e proteção ao nível da aplicação para http/S de saída.

Qual é a diferença entre grupos de segurança de rede (NSGs) e Azure Firewall?

O serviço Azure Firewall complementa a funcionalidade do grupo de segurança de rede. Juntos, proporcionam uma melhor segurança da rede "em profundidade". Os grupos de segurança de rede fornecem a filtragem do tráfego da camada de rede distribuído para limitar o tráfego a recursos nas redes virtuais em cada subscrição. Azure Firewall é uma firewall de rede totalmente imponente e centralizada como serviço, que fornece proteção ao nível da rede e aplicação em diferentes subscrições e redes virtuais.

Os Grupos de Segurança da Rede (NSGs) são suportados na AzureFirewallSubnet?

Azure Firewall é um serviço gerido com várias camadas de proteção, incluindo proteção de plataforma com NSGs de nível NIC (não visível). Os NSGs de nível de sub-rede não são necessários na AzureFirewallSubnet e são desativados para garantir que não há interrupção de serviço.

Como devo proceder para configurar Azure Firewall com os meus pontos finais de serviço?

Para um acesso seguro aos serviços PaaS, recomendamos pontos finais de serviço. Pode optar por ativar os pontos finais de serviço na sub-rede Azure Firewall e desativá-los nas redes virtuais de raios ligados. Desta forma, beneficia de ambas as funcionalidades: segurança no ponto final de serviço e registo central para todo o tráfego.

Qual é o preço para Azure Firewall?

Como posso parar e começar Azure Firewall?

Você pode usar Azure PowerShell deallocate e alocar métodos. Para uma firewall configurada para túneis forçados, o procedimento é ligeiramente diferente.

Por exemplo, para uma firewall NÃO configurada para túneis forçados:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))

Set-AzFirewall -AzureFirewall $azfw

Para uma firewall configurada para túneis forçados, parar é o mesmo. Mas o início requer que o IP público de gestão seja re-associado de volta à firewall:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall

Quando alocar e negociar, a faturação de firewall para e começa em conformidade.

Nota

Você deve realocar uma firewall e IP público para o grupo de recursos originais e subscrição.

Quais são os limites de serviço conhecidos?

Para Azure Firewall limites de serviço, consulte limites de subscrição e serviço da Azure, quotas e restrições.

Pode Azure Firewall numa rede virtual de hub para a frente e filtrar o tráfego da rede entre duas redes virtuais faladas?

Sim, você pode usar Azure Firewall em uma rede virtual hub para encaminhar e filtrar tráfego entre duas redes virtuais falada. As subnetas em cada uma das redes virtuais faladas devem ter um UDR apontando para o Azure Firewall como uma porta de entrada padrão para que este cenário funcione corretamente.

Pode Azure Firewall para a frente e filtrar o tráfego de rede entre sub-redes na mesma rede virtual ou redes virtuais?

Sim. No entanto, configurar as UDRs para redirecionar o tráfego entre sub-redes no mesmo VNET requer uma atenção adicional. Ao utilizar a gama de endereços VNET como prefixo-alvo para a UDR é suficiente, isto também liga todo o tráfego de uma máquina para outra máquina na mesma sub-rede através da Azure Firewall instância. Para evitar isto, inclua uma rota para a sub-rede na UDR com um próximo tipo de VNET de lúpulo. Gerir estas rotas pode ser complicado e propenso a erros. O método recomendado para a segmentação interna da rede é utilizar grupos de segurança de rede, que não requerem RAM.

A Azure Firewall SNAT de saída entre redes privadas?

Azure Firewall não SNAT quando o endereço IP de destino é uma gama ip privada por IANA RFC 1918. Se a sua organização utilizar um intervalo de endereços IP público para redes privadas, Azure Firewall SNATs o tráfego para um dos endereços IP privados de firewall em AzureFirewallSubnet. Pode configurar Azure Firewall não para SNAT o seu intervalo de endereços IP públicos. Para obter mais informações, veja SNAT do Azure Firewall para intervalos de endereços IP privados.

Além disso, o tráfego processado pelas regras de aplicação é sempre SNAT-ed. Se quiser ver o endereço IP de origem original nos seus registos para tráfego FQDN, pode utilizar as regras de rede com o destino FQDN.

O túnel/acorrentamento forçado a um aparelho virtual de rede é suportado?

O túnel forçado é suportado quando se cria uma nova firewall. Não se pode configurar uma firewall existente para fazer túneis forçados. Para mais informações, consulte Azure Firewall túneis forçados.

O Azure Firewall tem de ter conectividade Internet direta. Se o seu AzureFirewallSubnet aprender uma rota padrão para a sua rede no local via BGP, deve sobrepor-se a isto com um UDR de 0.0.0.0/0 com o valor NextHopType definido como Internet para manter a conectividade direta na Internet.

Se a sua configuração necessitar de um túnel forçado para uma rede no local e puder determinar os prefixos IP-alvo para os seus destinos na Internet, pode configurar estas gamas com a rede no local como o próximo salto através de uma rota definida pelo utilizador na AzureFirewallSubnet. Ou, você pode usar BGP para definir estas rotas.

Existem restrições ao grupo de recursos de firewall?

Sim. A firewall, o VNet e o endereço IP público devem estar todos no mesmo grupo de recursos.

Ao configurar o DNAT para o tráfego de rede de Internet de entrada, também preciso de configurar uma regra de rede correspondente para permitir esse tráfego?

N.º As regras DA NAT adicionam implicitamente uma regra de rede correspondente para permitir o tráfego traduzido. Pode substituir esse comportamento, ao adicionar explicitamente uma coleção de regras de rede com regras de negar que correspondem ao tráfego traduzido. Para saber mais sobre a lógica de processamento de regras do Azure Firewall, veja Lógica de processamento de regras do Azure Firewall.

Como funcionam os wildcards em URLs-alvo e FQDNs alvo nas regras de aplicação?

  • URL - Os asteriscos funcionam quando colocados no lado mais à direita ou à esquerda. Se estiver à esquerda, não pode fazer parte da FQDN.
  • FQDN - Os asteriscos funcionam quando colocados no lado esquerdo.
  • GENERAL - Os asteriscos do lado esquerdo significam literalmente que qualquer coisa à esquerda corresponderá, o que significa que vários subdomínios e/ou variações de nome de domínio potencialmente indesejados serão combinados - veja exemplos abaixo.

Exemplos:

Tipo Regra Suportada? Exemplos positivos
TargetURL www.contoso.com Yes www.contoso.com
www.contoso.com/
TargetURL *.contoso.com Yes any.contoso.com/
sub1.any.contoso.com
TargetURL *contoso.com Yes example.anycontoso.com
sub1.example.contoso.com
contoso.com
Atenção: esta utilização de wildcard também permitirá variações potencialmente indesejáveis/arriscadas, tais como th3re4lcontoso.com - use com cuidado.
TargetURL www.contoso.com/test Yes www.contoso.com/test
www.contoso.com/test/
www.contoso.com/test?with_query=1
TargetURL www.contoso.com/test/* Yes www.contoso.com/test/anything
Nota: www.contoso.com/testnão vai corresponder (último corte)
TargetURL www.contoso.*/test/* No
TargetURL www.contoso.com/test?example=1 No
TargetURL www.contoso.* No
TargetURL www.*contoso.com No
TargetURL www.contoso.com:8080 No
TargetURL *.contoso.* No
TargetFQDN www.contoso.com Yes www.contoso.com
TargetFQDN *.contoso.com Yes any.contoso.com

Nota: Se quiser permitir contoso.comespecificamente, deve incluir contoso.com na regra. Caso contrário, a ligação será deixada por defeito porque o pedido não corresponderá a nenhuma regra.
TargetFQDN *contoso.com Yes example.anycontoso.com
contoso.com
TargetFQDN www.contoso.* No
TargetFQDN *.contoso.* No

O que significa *Estado de provisionamento: Falhado*

Sempre que uma alteração de configuração é aplicada, o Azure Firewall tenta atualizar todas as instâncias de back-end subjacentes. Em casos raros, a atualização de uma destas instâncias de back-end pode falhar com a nova configuração e o processo de atualização para com um estado de aprovisionamento de falha. O Azure Firewall continua operacional, mas a configuração aplicada poderá estar num estado inconsistente, em que algumas instâncias têm a configuração anterior e outras têm o conjunto de regras atualizado. Se isto acontecer, tente atualizar a sua configuração mais uma vez até que a operação tenha sucesso e a sua Firewall esteja num estado de provisionamento bem sucedido .

Como é que Azure Firewall lida com a manutenção planeada e falhas não planeadas?

Azure Firewall consiste em vários nós de backend numa configuração ativa. Para qualquer manutenção planeada, temos lógica de drenagem de ligação para atualizar graciosamente os nós. Estão previstas Atualizações durante o horário não comercial para cada uma das regiões de Azure para limitar ainda mais o risco de perturbação. Para questões não planeadas, instantaneamos um novo nó para substituir o nó falhado. A conectividade com o novo nó é tipicamente restabelecida dentro de 10 segundos a partir do momento da falha.

Como funciona a drenagem de ligação?

Para qualquer manutenção planeada, a lógica de drenagem de ligação atualiza graciosamente os nós de backend. Azure Firewall espera 90 segundos para que as ligações existentes fechem. Se necessário, os clientes podem restabelecer automaticamente a conectividade com outro nó de backend.

Existe um limite de caracteres para um nome de firewall?

Sim. Há um limite de 50 caracteres para um nome de firewall.

Por que Azure Firewall precisa de um tamanho de sub-rede /26?

Azure Firewall deve providenciar mais casos de máquinas virtuais à medida que escala. Um espaço de endereço /26 garante que a firewall tem endereços IP suficientes disponíveis para acomodar o dimensionamento.

O tamanho da sub-rede de firewall precisa de ser alterado à medida que a balança de serviço é alterada?

N.º Azure Firewall não precisa de uma sub-rede maior que a /26.

Como posso aumentar a minha produção de firewall?

A capacidade inicial de produção da Azure Firewall é de 2,5 - 3 Gbps e escama-se para 30 Gbps para Standard SKU e 100 Gbps para Premium SKU. Escala automaticamente com base no uso e produção de CPU.

Quanto tempo demora Azure Firewall a escalonar?

Azure Firewall escala gradualmente quando o consumo médio de produção ou CPU está em 60%. Uma potência máxima de implantação predefinida é de aproximadamente 2,5 - 3 Gbps e começa a escalar quando atinge 60% desse número. A escala leva de 5 a 7 minutos.

Ao testar o desempenho, certifique-se de testar durante pelo menos 10 a 15 minutos e iniciar novas ligações para tirar partido dos novos nós de Firewall criados.

Como é que Azure Firewall lida com os intervalos inativos?

Quando uma ligação tem um tempo limite de marcha lenta (quatro minutos sem atividade), Azure Firewall termina graciosamente a ligação enviando um pacote TCP RST.

Como é que Azure Firewall lida com as paragens de instâncias VM durante a escala de escala de escala de máquina virtual em (escala para baixo) ou atualizações de software de frota?

Pode ocorrer uma paragem de Azure Firewall de exemplo em VM durante a escala de escala de máquina virtual em (escala para baixo) ou durante a atualização do software da frota. Nestes casos, as novas ligações recebidas são equilibradas para as restantes instâncias de firewall e não são encaminhadas para a instância de firewall para baixo. Após 45 segundos, a firewall começa a rejeitar as ligações existentes enviando pacotes TCP RST. Após mais 45 segundos, a firewall VM desliga-se. Para obter mais informações, consulte Balanceador de Carga Reposição de TCP e tempo limite de marcha lenta.

Por Azure Firewall permite o acesso ao Ative Directory por predefinição?

N.º O Azure Firewall bloqueia o acesso ao Ative Directory, por predefinição. Para permitir o acesso, configurar a etiqueta de serviço AzureActiveDirectory. Para mais informações, consulte Azure Firewall etiquetas de serviço.

Posso excluir um FQDN ou um endereço IP da filtragem baseada em Azure Firewall Threat Intelligence?

Sim, podes usá Azure PowerShell para o fazeres:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Por que um ping TCP e ferramentas semelhantes podem ligar-se com sucesso a um FQDN alvo mesmo quando nenhuma regra sobre Azure Firewall permite esse tráfego?

Um ping TCP não está realmente ligado ao FQDN alvo. Azure Firewall não permite uma ligação a qualquer endereço IP/FQDN alvo, a menos que exista uma regra explícita que o permita.

O ping TCP é um caso de uso único onde, se não houver regra permitida, a firewall em si responde ao pedido de ping TCP do cliente, mesmo que o ping TCP não atinja o endereço IP-alvo/FQDN. Neste caso, o evento não está registado. Se houver uma regra de rede que permita o acesso ao endereço IP/FQDN alvo, então o pedido de ping atinge o servidor alvo e a sua resposta é retransmitida de volta para o cliente. Este evento está registado no registo de regras da Rede.

Existem limites para o número de endereços IP suportados por grupos IP?

Posso mover um Grupo IP para outro grupo de recursos?

Não, a transferência de um Grupo IP para outro grupo de recursos não é suportada atualmente.

O que é o TCP Idle Timeout para Azure Firewall?

Um comportamento padrão de uma firewall de rede é garantir que as ligações TCP são mantidas vivas e fechá-las rapidamente se não houver atividade. Azure Firewall TCP O tempo limite é de quatro minutos. Esta definição não é configurável pelo utilizador, mas pode contactar o Suporte Azure para aumentar o tempo de inatividade até 30 minutos.

Se um período de inatividade for maior do que o valor de tempo limite, não há garantia de que a sessão TCP ou HTTP seja mantida. Uma prática comum é usar um TCP de vida. Esta prática mantém a ligação ativa por um período mais longo. Para mais informações, consulte os exemplos .NET.

Posso colocar Azure Firewall sem um endereço IP público?

Não, atualmente tem de colocar Azure Firewall com um endereço IP público.

Onde Azure Firewall armazena os dados dos clientes?

Azure Firewall não move nem armazena os dados dos clientes para fora da região onde está implantado.

Existe uma maneira de fazer backup automaticamente Azure Firewall e políticas?

Sim. Para obter mais informações, consulte a Política de Azure Firewall e Azure Firewall de Cópias com Lógica.

A Azure Firewall em centros virtuais seguros (vWAN) é apoiada no Qatar?

Não, atualmente Azure Firewall em centros virtuais seguros (vWAN) não é suportado no Qatar.