O que é o Azure Firewall?

O Azure Firewall é um serviço de segurança de firewall nativo de nuvem e inteligente que fornece o melhor de proteção contra ameaças de raça para as suas cargas de trabalho em nuvem em execução em Azure. É uma firewall totalmente imponente como um serviço com alta disponibilidade incorporada e escalabilidade de nuvem sem restrições. Fornece inspeção de tráfego leste-oeste e norte-sul.

A azure Firewall é oferecido em três SKUs: Standard, Premium e Basic.

Norma Azure Firewall

O Azure Firewall Standard fornece filtro L3-L7 e a inteligência de ameaças diretamente da Microsoft Cyber Security. A filtragem baseada em ameaças baseada em inteligência pode alertar e negar tráfego de/para endereços ip maliciosos conhecidos e domínios que são atualizados em tempo real para proteger contra ataques novos e emergentes.

Visão geral do padrão de firewall

Para saber mais sobre as funcionalidades do Firewall Standard, consulte as funcionalidades Azure Firewall Standard.

Azure Firewall Premium

O Azure Firewall Premium fornece capacidades avançadas, incluindo IDPS baseado em assinaturas para permitir a deteção rápida de ataques procurando padrões específicos. Estes padrões podem incluir sequências de byte no tráfego de rede, ou sequências de instruções maliciosas conhecidas usadas por malware. Existem mais de 58.000 assinaturas em mais de 50 categorias que são atualizadas em tempo real para proteger contra novas e emergentes explorações. As categorias de exploração incluem malware, phishing, mineração de moedas e ataques de Troia.

Visão geral do Firewall Premium

Para saber mais sobre as funcionalidades do Firewall Premium, consulte as funcionalidades Azure Firewall Premium.

Azure Firewall Basic (pré-visualização)

Importante

Azure Firewall Basic está atualmente em PREVIEW. Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

O Azure Firewall Basic destina-se a clientes de tamanho pequeno e médio (SMB) para garantir os seus ambientes em nuvem Azure. Fornece a proteção essencial que os clientes SMB precisam a um preço acessível.

Diagrama mostrando Firewall Basic.

Azure Firewall Basic é semelhante ao Firewall Standard, mas tem as seguintes limitações:

  • Suporta apenas o modo de alerta De Ameaça Intel.
  • Unidade de escala fixa para executar o serviço em duas instâncias de backend de máquina virtual.
  • Recomendado para ambientes com potência máxima de 250 Mbps. A produção pode aumentar para a disponibilidade geral da funcionalidade (GA).

Regiões suportadas

Azure Firewall Basic está disponível nas seguintes regiões durante a pré-visualização:

  • E.U.A. Leste
  • E.U.A. Leste 2
  • E.U.A. Oeste
  • E.U.A. Oeste 2
  • EUA Oeste 3
  • E.U.A. Central
  • E.U.A. Centro-Norte
  • E.U.A. Centro-Sul
  • E.U.A. Centro-Oeste
  • E.U.A. Leste 2 - EUAP
  • EUA Central EUAP
  • Europa do Norte
  • Europa Ocidental
  • Ásia Leste
  • Sudeste Asiático
  • Leste do Japão
  • Oeste do Japão
  • Leste da Austrália
  • Austrália Sudeste
  • Austrália Central
  • Sul do Brasil
  • Sul da Índia
  • Índia Central
  • Oeste da Índia
  • Canadá Central
  • Leste do Canadá
  • Sul do Reino Unido
  • Oeste do Reino Unido
  • Coreia do Sul Central
  • Sul da Coreia do Sul
  • França Central
  • Norte da África do Sul
  • Norte dos E.A.U.
  • Norte da Suíça
  • Alemanha Centro-Oeste
  • Leste da Noruega
  • Jio Índia Oeste
  • Suécia Central
  • Qatar Central

Para implementar uma Firewall Básica, consulte implementar e configurar a Azure Firewall Basic (pré-visualização) e a política utilizando o portal Azure.

Azure Firewall Manager

Pode utilizar o Azure Firewall Manager para gerir centralmente firewalls do Azure em várias subscrições. O Gestor de Firewall aproveita a política de firewall para aplicar um conjunto comum de regras de rede/aplicação e configuração às firewalls do seu inquilino.

O Gestor de Firewall suporta firewalls em ambientes VNet e VIRTUAL WANs (Secure Virtual Hub). Os Secure Virtual Hubs utilizam a solução de automação de rotas Virtual WAN para simplificar o tráfego de encaminhamento para a firewall com alguns cliques.

Para saber mais sobre o Azure Firewall Manager, consulte o Azure Firewall Manager.

Preços e SLA

Para obter informações sobre preços do Azure Firewall, consulte os preços do Azure Firewall.

Para obter informações sobre o SLA da Azure Firewall, consulte o Azure Firewall SLA.

Regiões suportadas

Para as regiões apoiadas para a Firewall Azure, consulte os produtos Azure disponíveis por região.

Novidades

Para saber as novidades com o Azure Firewall, consulte as atualizações do Azure.

Problemas conhecidos

Norma Azure Firewall

A Azure Firewall Standard tem os seguintes problemas conhecidos:

Nota

Qualquer questão que se aplique à Standard também se aplica ao Premium.

Problema Description Mitigação
As regras de filtragem de rede para protocolos não TCP/UDP (por exemplo, ICMP) não funcionam para o tráfego vinculado à Internet As regras de filtragem da rede para protocolos não-TCP/UDP não funcionam com o SNAT no seu endereço IP público. Os protocolos não TCP/UDP são suportados entre VNets e sub-redes spoke. O Azure Firewall utiliza o Balanceador de Carga Standard que não suporta atualmente SNAT para protocolos IP. Estamos a explorar opções para apoiar este cenário num futuro lançamento.
Suporte do PowerShell e CLI em falta para ICMP A Azure PowerShell e CLI não suportam o ICMP como um protocolo válido nas regras de rede. Ainda é possível utilizar o ICMP como protocolo através do portal e da API REST. Estamos a trabalhar para adicionar ICMP no PowerShell e na CLI em breve.
As etiquetas FQDN requerem um protocolo: porta a definir As regras de aplicação com tags FQDN requerem porta: definição de protocolo. Pode utilizar https como a porta: valor de protocolo. Estamos a trabalhar para tornar este campo opcional quando as etiquetas FQDN são usadas.
Mover uma firewall para um grupo de recursos diferente ou subscrição não é suportado Mover uma firewall para um grupo de recursos diferente ou subscrição não é suportado. O suporte a esta funcionalidade está no nosso roteiro. Para mover uma firewall para um grupo de recursos ou uma subscrição diferente, tem de eliminar a instância atual e recriá-la no novo grupo de recursos ou subscrição.
Alertas de inteligência de ameaça podem ser mascarados As regras de rede com o destino 80/443 para filtrar máscaras de saída ameaçam alertas de inteligência quando configurados apenas para o modo de alerta. Crie filtragem de saída para 80/443 utilizando as regras de aplicação. Ou, mude o modo de inteligência de ameaça para Alerta e Negação.
O DNAT do Azure Firewall não funciona para destinos IP privados O suporte ao DNAT Azure Firewall está limitado a saídas/entradas na Internet. O DNAT não funciona atualmente para destinos IP privados. Por exemplo, falou com a fala. Esta é uma limitação atual.
Não é possível remover a primeira configuração ip pública Cada endereço IP público Azure Firewall é atribuído a uma configuração IP. A primeira configuração IP é atribuída durante a implementação da firewall, e normalmente também contém uma referência à sub-rede de firewall (a menos que configurada explicitamente de forma diferente através de uma implementação do modelo). Não é possível eliminar esta configuração IP porque desafetaria a firewall. Ainda pode alterar ou remover o endereço IP público associado a esta configuração IP se a firewall tiver pelo menos um outro endereço IP público disponível para utilizar. Esta ação é propositada.
As zonas de disponibilidade só podem ser configuradas durante a implantação. As zonas de disponibilidade só podem ser configuradas durante a implantação. Não é possível configurar zonas de disponibilidade depois de uma firewall ter sido implantada. Esta ação é propositada.
SNAT em ligações de entrada Além do DNAT, as ligações através do endereço IP público de firewall (entrada) são SNATed a um dos IPs privados de firewall. Este requisito hoje (também para NVAs ativos/ativos) para garantir o encaminhamento simétrico. Para preservar a fonte original para HTTP/S, considere a utilização de cabeçalhos XFF . Por exemplo, utilize um serviço como Azure Front Door ou Azure Application Gateway em frente à firewall. Também pode adicionar WAF como parte da Porta frontal Azure e corrente à firewall.
Suporte de filtragem SQL FQDN apenas no modo proxy (porta 1433) Para a base de dados Azure SQL, Azure Synapse Analytics e Azure SQL Gerenciada Instância:

A filtragem SQL FQDN é suportada apenas em modo proxy (porta 1433).

Para Azure SQL IaaS:

Se estiver a utilizar portas não standard, pode especificar essas portas nas regras de aplicação.
Para o SQL no modo de redireccionamento (o padrão se ligar a partir de dentro do Azure), pode, em vez disso, filtrar o acesso utilizando a etiqueta de serviço SQL como parte das regras da rede Azure Firewall.
Tráfego SMTP de saída na porta TCP 25 está bloqueado As mensagens de correio de saída enviadas diretamente para domínios externos (como outlook.com e gmail.com) na porta TCP 25 podem ser bloqueadas pela plataforma Azure. Este é o comportamento padrão da plataforma em Azure, Azure Firewall não introduz qualquer restrição específica adicional. Utilize serviços de retransmissão SMTP autenticados, que normalmente se ligam através da porta TCP 587, mas também suporta outras portas. Para obter mais informações, consulte problemas de conectividade SMTP de saída de resolução de problemas em Azure. Atualmente, o Azure Firewall pode ser capaz de comunicar para os IPs públicos usando O TCP 25 de saída, mas não é garantido funcionar, e não é suportado para todos os tipos de subscrição. Para iPs privados como redes virtuais, VPNs e Azure ExpressRoute, a Azure Firewall suporta uma ligação de saída da porta TCP 25.
Esgotamento das portas SNAT A Azure Firewall suporta atualmente 2496 portas por endereço IP público por instância de escala de máquina virtual backend. Por padrão, existem duas instâncias de escala de máquina virtual definidas. Assim, existem 4992 portas por fluxo (destino IP, porto de destino e protocolo (TCP ou UDP). A firewall escala até um máximo de 20 instâncias. Esta é uma limitação de plataforma. Pode contornar os limites configurando as implementações do Azure Firewall com um mínimo de cinco endereços IP públicos para implementações suscetíveis à exaustão do SNAT. Isto aumenta as portas SNAT disponíveis em cinco vezes. Alocar a partir de um prefixo de endereço IP para simplificar permissões a jusante. Para uma solução mais permanente, pode implantar uma porta de entrada NAT para ultrapassar os limites de porta SNAT. Esta abordagem é apoiada para implantações VNET.

Para mais informações, consulte as portas Scale SNAT com Azure Virtual Network NAT.
Dnat não é suportado com túnel forçado habilitado As firewalls implantadas com túneis forçados ativados não podem suportar o acesso à entrada da Internet por causa do encaminhamento assimétrico. Isto é por design devido ao encaminhamento assimétrico. O caminho de retorno para as ligações de entrada passa pela firewall no local, que não viu a ligação estabelecida.
FtP passivo de saída pode não funcionar para Firewalls com vários endereços IP públicos, dependendo da configuração do servidor FTP. A FTP passiva estabelece diferentes ligações para canais de controlo e dados. Quando uma Firewall com vários endereços IP públicos envia dados para fora, seleciona aleatoriamente um dos seus endereços IP públicos para o endereço IP de origem. O FTP pode falhar quando os canais de dados e de controlo utilizam diferentes endereços IP de origem, dependendo da configuração do servidor FTP. Está prevista uma configuração SNAT explícita. Entretanto, pode configurar o seu servidor FTP para aceitar canais de dados e controlo de diferentes endereços IP de origem (ver exemplo para IIS). Em alternativa, considere utilizar um único endereço IP nesta situação.
FTP passivo de entrada pode não funcionar dependendo da configuração do servidor FTP A FTP passiva estabelece diferentes ligações para canais de controlo e dados. As ligações de entrada no Azure Firewall são SNATed para um dos endereços IP privados de firewall para garantir o encaminhamento simétrico. O FTP pode falhar quando os canais de dados e de controlo utilizam diferentes endereços IP de origem, dependendo da configuração do servidor FTP. A preservação do endereço IP de origem original está a ser investigada. Entretanto, pode configurar o seu servidor FTP para aceitar dados e canais de controlo de diferentes endereços IP de origem.
O FTP ativo não funcionará quando o cliente FTP tem de chegar a um servidor FTP através da internet. O FTP ativo utiliza um comando PORT do cliente FTP que direciona o servidor FTP que IP e porta para usar para o canal de dados. Este comando PORT utiliza o IP privado do cliente que não pode ser alterado. O tráfego do lado do cliente que atravessa o Azure Firewall será NAT para comunicações baseadas na Internet, tornando o comando PORT visto como inválido pelo servidor FTP. Esta é uma limitação geral da FtP Ativa quando usada em conjunto com o NAT do lado do cliente.
A métrica NetworkRuleHit está a perder uma dimensão de protocolo A métrica ApplicationRuleHit permite filtrar o protocolo baseado na filtragem, mas esta capacidade está em falta na métrica correspondente do NetworkRuleHit. Está a ser investigada uma correção.
As regras da NAT com portas entre 64000 e 65535 não são apoiadas O Azure Firewall permite que qualquer porta na gama 1-65535 nas regras de rede e aplicação, no entanto as regras DA NAT apenas suportam portas na gama 1-63999. Esta é uma limitação atual.
As atualizações de configuração podem demorar cinco minutos, em média, Uma atualização de configuração do Azure Firewall pode demorar entre 3 a 5 minutos, em média, e as atualizações paralelas não são suportadas. Está a ser investigada uma correção.
Azure Firewall usa cabeçalhos SNI TLS para filtrar tráfego HTTPS e MSSQL Se o software do navegador ou do servidor não suportar a extensão do Indicador de Nome do Servidor (SNI), não pode ligar-se através do Azure Firewall. Se o software do navegador ou do servidor não suportar SNI, então poderá ser capaz de controlar a ligação usando uma regra de rede em vez de uma regra de aplicação. Consulte a indicação do nome do servidor para software que suporta SNI.
Não é possível adicionar tags de política de firewall usando os modelos de portal ou gestor de recursos Azure (ARM) A Azure Firewall Policy tem uma limitação de suporte de remendado que o impede de adicionar uma etiqueta utilizando os modelos do portal Azure ou ARM. O seguinte erro é gerado: Não foi possível guardar as etiquetas para o recurso. Está a ser investigada uma correção. Ou, pode utilizar o cmdlet Set-AzFirewallPolicy Azure PowerShell para atualizar as tags.
IPv6 não suportado atualmente Se adicionar um endereço IPv6 a uma regra, a firewall falha. Utilize apenas endereços IPv4. O apoio do IPv6 está sob investigação.
A atualização de vários grupos IP falha com erro de conflito. Quando atualiza dois ou mais grupos IP ligados à mesma firewall, um dos recursos entra num estado falhado. Esta é uma questão/limitação conhecida.

Ao atualizar um Grupo IP, ativa uma atualização em todas as firewalls a que o IPGroup está ligado. Se uma atualização para um segundo Grupo IP for iniciada enquanto a firewall ainda estiver no estado de Atualização , então a atualização do IPGroup falha.

Para evitar a falha, os grupos IP ligados à mesma firewall devem ser atualizados um de cada vez. Dê tempo suficiente entre atualizações para permitir que a firewall saia do estado de Atualização .
Remoção de RegrasCollectionGroups utilizando modelos ARM não suportados. A remoção de um Grupo de Regras Usando modelos ARM não é suportada e resulta em falha. Esta não é uma operação apoiada.
A regra do DNAT para permitir qualquer (*) irá tráfego SNAT. Se uma regra de DNAT permitir qualquer (*) como o endereço IP fonte, então uma regra implícita da Rede corresponderá VNet-VNet tráfego e irá sempre SNAT o tráfego. Esta é uma limitação atual.
A adição de uma regra de DNAT a um centro virtual seguro com um provedor de segurança não é suportada. Isto resulta numa rota assíncrona para o tráfego de ADN de retorno, que vai para o provedor de segurança. Não suportado.
Erro encontrado ao criar mais de 2000 coleções de regras. O número máximo de coleções de regras NAT/Application ou Network é de 2000 (limite de Gestor de Recursos). Esta é uma limitação atual.
Não é possível ver o nome da regra da rede em registos de firewall Azure Os dados de registo de regras da rede Azure Firewall não mostram o nome Regra para o tráfego de rede. O registo de nomes de regras de rede está na pré-visualização. Para obter informações, consulte as funcionalidades de pré-visualização do Azure Firewall.
Cabeçalho XFF em HTTP/S Os cabeçalhos XFF são substituídos com o endereço IP de origem original, tal como visto pela firewall. Isto aplica-se para os seguintes casos de utilização:
- Pedidos HTTP
- PEDIDOS HTTPS com rescisão de TLS
Está a ser investigada uma correção.
Não é possível fazer upgrade para Premium com Zonas de Disponibilidade na região do Sudeste Asiático Não é possível atualmente fazer upgrade para Azure Firewall Premium com Zonas de Disponibilidade na região do Sudeste Asiático. Implementar uma nova firewall Premium no Sudeste Asiático sem Zonas de Disponibilidade, ou implementar numa região que suporte Zonas de Disponibilidade.
Não é possível implantar Firewall com Zonas de Disponibilidade com um endereço IP público recém-criado Quando implementa uma Firewall com Zonas de Disponibilidade, não pode utilizar um endereço IP público recém-criado. Primeiro crie um novo endereço IP público redundante de zona e, em seguida, atribua este endereço IP previamente criado durante a implementação do Firewall.
A zona privada de DNS do Azure não é suportada com Azure Firewall A zona privada de DNS Azure não funcionará com a Azure Firewall, independentemente das definições de DNS da Azure Firewall. Para obter o estado de desejo de usar um servidor DNS privado, use o proxy DNS da Azure Firewall em vez de uma zona de DNS privada Azure.

Azure Firewall Premium

O Azure Firewall Premium tem os seguintes problemas conhecidos:

Problema Description Mitigação
Apoio ESNI à resolução FQDN em HTTPS O SNI encriptado não é suportado no aperto de mão HTTPS. Hoje apenas o Firefox suporta o ESNI através da configuração personalizada. A solução sugerida é para desativar esta funcionalidade.
A Autenticação da Certificação do Cliente não é suportada Os certificados de cliente são usados para construir uma confiança de identidade mútua entre o cliente e o servidor. Os certificados de cliente são usados durante uma negociação TLS. O firewall Azure renegocia uma ligação com o servidor e não tem acesso à chave privada dos certificados do cliente. Nenhuma
QUIC/HTTP3 QUIC é a nova versão principal do HTTP. É um protocolo baseado na UDP com mais de 80 (PLAN) e 443 (SSL). A inspeção FQDN/URL/TLS não será suportada. Configure a passagem do UDP 80/443 como regras de rede.
Certificados assinados por clientes não fidedquis, Os certificados assinados pelo cliente não são fidedignos pela firewall uma vez recebidos de um servidor web baseado em intranet. Está a ser investigada uma correção.
Endereço IP de origem errada em Alertas com IDPS para HTTP (sem inspeção TLS). Quando o tráfego HTTP de texto simples está em uso, e IDPS emite um novo alerta, e o destino é um endereço IP público, o endereço IP de origem visualizado está errado (o endereço IP interno é apresentado em vez do endereço IP original). Está a ser investigada uma correção.
Propagação de Certificados Após a aplicação de um certificado de CA na firewall, pode demorar entre 5 a 10 minutos para o certificado entrar em vigor. Está a ser investigada uma correção.
Suporte TLS 1.3 TLS 1.3 é parcialmente suportado. O túnel TLS do cliente para a firewall baseia-se no TLS 1.2, e da firewall para o servidor Web externo é baseado em TLS 1.3. As atualizações estão a ser investigadas.
Zonas de disponibilidade para firewall premium na região do Sudeste Asiático Não é possível implementar atualmente o Azure Firewall Premium com Zonas de Disponibilidade na região do Sudeste Asiático. Implemente a firewall no Sudeste Asiático sem Zonas de Disponibilidade, ou implemente numa região que suporte Zonas de Disponibilidade.

Passos seguintes