O que é o Azure Firewall?
Azure Firewall é um serviço de segurança de firewall de rede nativo de nuvem e inteligente que fornece o melhor de proteção contra ameaças de raça para as suas cargas de trabalho em nuvem em execução em Azure. É uma firewall totalmente imponente como um serviço com alta disponibilidade incorporada e escalabilidade de nuvem sem restrições. Fornece inspeção de tráfego leste-oeste e norte-sul.
Azure Firewall é oferecido em dois SKUs: Standard e Premium.
Padrão Azure Firewall
Azure Firewall Standard fornece informações de filtragem l3-L7 e ameaças diretamente da Microsoft Cyber Security. A filtragem baseada em ameaças baseada em inteligência pode alertar e negar tráfego de/para endereços ip maliciosos conhecidos e domínios que são atualizados em tempo real para proteger contra ataques novos e emergentes.
Para saber mais sobre as funcionalidades do Firewall Standard, consulte Azure Firewall funcionalidades Standard.
Prémio Azure Firewall
Azure Firewall Premium fornece capacidades avançadas incluem IDPS baseado em assinaturas para permitir a deteção rápida de ataques procurando padrões específicos. Estes padrões podem incluir sequências de byte no tráfego de rede, ou sequências de instruções maliciosas conhecidas usadas por malware. Existem mais de 58.000 assinaturas em mais de 50 categorias que são atualizadas em tempo real para proteger contra novas e emergentes explorações. As categorias de exploração incluem malware, phishing, mineração de moedas e ataques de Troia.
Para saber mais sobre as funcionalidades do Firewall Premium, consulte Azure Firewall funcionalidades Premium.
Azure Firewall Manager
Pode utilizar Azure Firewall Manager para gerir centralmente as Firewalls do Azure em várias subscrições. O Gestor de Firewall aproveita a política de firewall para aplicar um conjunto comum de regras de rede/aplicação e configuração às firewalls do seu inquilino.
O Gestor de Firewall suporta firewalls em ambientes VNet e VIRTUAL WANs (Secure Virtual Hub). Os Secure Virtual Hubs utilizam a solução de automatização de rotas WAN Virtual para simplificar o tráfego de encaminhamento para a firewall com alguns cliques.
Para saber mais sobre Azure Firewall Manager, consulte Azure Firewall Manager.
Preços e SLA
Para obter informações sobre preços Azure Firewall, consulte Azure Firewall preços.
Para Azure Firewall informações sobre SLA, consulte Azure Firewall SLA.
Regiões suportadas
Para as regiões apoiadas para Azure Firewall, consulte os produtos Azure disponíveis por região.
Novidades
Para saber quais as novidades com Azure Firewall, consulte as atualizações do Azure.
Problemas conhecidos
Padrão Azure Firewall
Azure Firewall Standard tem as seguintes questões conhecidas:
Nota
Qualquer questão que se aplique à Standard também se aplica ao Premium.
| Problema | Description | Mitigação |
|---|---|---|
| As regras de filtragem de rede para protocolos não TCP/UDP (por exemplo, ICMP) não funcionam para o tráfego vinculado à Internet | As regras de filtragem da rede para protocolos não-TCP/UDP não funcionam com o SNAT no seu endereço IP público. Os protocolos não TCP/UDP são suportados entre VNets e sub-redes spoke. | O Azure Firewall utiliza o Balanceador de Carga Standard que não suporta atualmente SNAT para protocolos IP. Estamos a explorar opções para apoiar este cenário num futuro lançamento. |
| Suporte do PowerShell e CLI em falta para ICMP | Azure PowerShell e CLI não apoiam o ICMP como um protocolo válido nas regras da rede. | Ainda é possível utilizar o ICMP como protocolo através do portal e da API REST. Estamos a trabalhar para adicionar ICMP no PowerShell e na CLI em breve. |
| As etiquetas FQDN requerem um protocolo: porta a definir | As regras de aplicação com tags FQDN requerem porta: definição de protocolo. | Pode utilizar https como a porta: valor de protocolo. Estamos a trabalhar para tornar este campo opcional quando as etiquetas FQDN são usadas. |
| Mover uma firewall para um grupo de recursos diferente ou subscrição não é suportado | Mover uma firewall para um grupo de recursos diferente ou subscrição não é suportado. | O suporte a esta funcionalidade está no nosso roteiro. Para mover uma firewall para um grupo de recursos ou uma subscrição diferente, tem de eliminar a instância atual e recriá-la no novo grupo de recursos ou subscrição. |
| Alertas de inteligência de ameaça podem ser mascarados | As regras de rede com o destino 80/443 para filtrar máscaras de saída ameaçam alertas de inteligência quando configurados apenas para o modo de alerta. | Crie filtragem de saída para 80/443 utilizando as regras de aplicação. Ou, mude o modo de inteligência de ameaça para Alerta e Negação. |
| Azure Firewall DNAT não funciona para destinos IP privados | Azure Firewall suporte ao DNAT está limitado a saídas/entradas na Internet. O DNAT não funciona atualmente para destinos IP privados. Por exemplo, falou com a fala. | Esta é uma limitação atual. |
| Não é possível remover a primeira configuração ip pública | Cada Azure Firewall endereço IP público é atribuído a uma configuração IP. A primeira configuração IP é atribuída durante a implementação da firewall, e normalmente também contém uma referência à sub-rede de firewall (a menos que configurada explicitamente de forma diferente através de uma implementação do modelo). Não é possível eliminar esta configuração IP porque desafetaria a firewall. Ainda pode alterar ou remover o endereço IP público associado a esta configuração IP se a firewall tiver pelo menos um outro endereço IP público disponível para utilizar. | Esta ação é propositada. |
| As zonas de disponibilidade só podem ser configuradas durante a implantação. | As zonas de disponibilidade só podem ser configuradas durante a implantação. Não pode configurar Zonas de Disponibilidade depois de uma firewall ter sido implantada. | Esta ação é propositada. |
| SNAT em ligações de entrada | Além do DNAT, as ligações através do endereço IP público de firewall (entrada) são SNATed a um dos IPs privados de firewall. Este requisito hoje (também para NVAs ativos/ativos) para garantir o encaminhamento simétrico. | Para preservar a fonte original para HTTP/S, considere a utilização de cabeçalhos XFF . Por exemplo, utilize um serviço como Azure Front Door ou Gateway de Aplicação do Azure em frente à firewall. Também pode adicionar WAF como parte da Porta frontal Azure e corrente à firewall. |
| Suporte de filtragem SQL FQDN apenas no modo proxy (porta 1433) | Para SQL do Azure Base de Dados, Azure Synapse Analytics e Azure SQL Managed Instance: A filtragem SQL FQDN é suportada apenas em modo proxy (porta 1433). Para SQL do Azure IaaS: Se estiver a utilizar portas não standard, pode especificar essas portas nas regras de aplicação. |
Para o SQL no modo de redireccionamento (o padrão se ligar a partir de dentro do Azure), pode, em vez disso, filtrar o acesso utilizando a etiqueta de serviço SQL como parte das regras de rede Azure Firewall. |
| Tráfego SMTP de saída na porta TCP 25 está bloqueado | As mensagens de correio de saída enviadas diretamente para domínios externos (como outlook.com e gmail.com) na porta TCP 25 podem ser bloqueadas pela plataforma Azure. Este é o comportamento padrão da plataforma em Azure, Azure Firewall não introduz qualquer restrição adicional específica. |
Utilize serviços de retransmissão SMTP autenticados, que normalmente se ligam através da porta TCP 587, mas também suporta outras portas. Para obter mais informações, consulte problemas de conectividade SMTP de saída de resolução de problemas em Azure. Atualmente, Azure Firewall podem ser capazes de comunicar para os IPs públicos usando o TCP 25 de saída, mas não é garantido que funcione, e não é suportado para todos os tipos de subscrição. Para iPs privados como redes virtuais, VPNs e Azure ExpressRoute, Azure Firewall suporta uma ligação de saída da porta TCP 25. |
| Esgotamento das portas SNAT | Azure Firewall suporta atualmente 2496 portas por endereço IP público por instância de escala de máquina virtual backend. Por padrão, existem duas instâncias de escala de máquina virtual definidas. Assim, existem 4992 portas por fluxo (destino IP, porto de destino e protocolo (TCP ou UDP). A firewall escala até um máximo de 20 instâncias. | Esta é uma limitação de plataforma. Pode contornar os limites configurando Azure Firewall implementações com um mínimo de cinco endereços IP públicos para implementações suscetíveis à exaustão do SNAT. Isto aumenta as portas SNAT disponíveis em cinco vezes. Alocar a partir de um prefixo de endereço IP para simplificar permissões a jusante. Para uma solução mais permanente, pode implantar uma porta de entrada NAT para ultrapassar os limites de porta SNAT. Esta abordagem é apoiada para implantações VNET. Para mais informações, consulte as portas Scale SNAT com Azure Rede Virtual NAT. |
| Dnat não é suportado com túnel forçado habilitado | As firewalls implantadas com túneis forçados ativados não podem suportar o acesso à entrada da Internet por causa do encaminhamento assimétrico. | Isto é por design devido ao encaminhamento assimétrico. O caminho de retorno para as ligações de entrada passa pela firewall no local, que não viu a ligação estabelecida. |
| FtP passivo de saída pode não funcionar para Firewalls com vários endereços IP públicos, dependendo da configuração do servidor FTP. | A FTP passiva estabelece diferentes ligações para canais de controlo e dados. Quando uma Firewall com vários endereços IP públicos envia dados para fora, seleciona aleatoriamente um dos seus endereços IP públicos para o endereço IP de origem. O FTP pode falhar quando os canais de dados e de controlo utilizam diferentes endereços IP de origem, dependendo da configuração do servidor FTP. | Está prevista uma configuração SNAT explícita. Entretanto, pode configurar o seu servidor FTP para aceitar canais de dados e controlo de diferentes endereços IP de origem (ver exemplo para IIS). Em alternativa, considere utilizar um único endereço IP nesta situação. |
| FTP passivo de entrada pode não funcionar dependendo da configuração do servidor FTP | A FTP passiva estabelece diferentes ligações para canais de controlo e dados. As ligações de entrada no Azure Firewall são SNATed a um dos endereços IP privados de firewall para garantir o encaminhamento simétrico. O FTP pode falhar quando os canais de dados e de controlo utilizam diferentes endereços IP de origem, dependendo da configuração do servidor FTP. | A preservação do endereço IP de origem original está a ser investigada. Entretanto, pode configurar o seu servidor FTP para aceitar dados e canais de controlo de diferentes endereços IP de origem. |
| O FTP ativo não funcionará quando o cliente FTP tem de chegar a um servidor FTP através da internet. | O FTP ativo utiliza um comando PORT do cliente FTP que direciona o servidor FTP que IP e porta para usar para o canal de dados. Este comando PORT utiliza o IP privado do cliente que não pode ser alterado. O tráfego do lado do cliente que atravessa o Azure Firewall será NAT para comunicações baseadas na Internet, tornando o comando PORT visto como inválido pelo servidor FTP. | Esta é uma limitação geral da FtP Ativa quando usada em conjunto com o NAT do lado do cliente. |
| A métrica NetworkRuleHit está a perder uma dimensão de protocolo | A métrica ApplicationRuleHit permite filtrar o protocolo baseado na filtragem, mas esta capacidade está em falta na métrica correspondente do NetworkRuleHit. | Está a ser investigada uma correção. |
| As regras da NAT com portas entre 64000 e 65535 não são apoiadas | Azure Firewall permite que qualquer porto na gama 1-65535 nas regras de rede e aplicação, no entanto as regras DA SÓ suportam portas na gama 1-63999. | Esta é uma limitação atual. |
| As atualizações de configuração podem demorar cinco minutos, em média, | Uma atualização de configuração Azure Firewall pode demorar entre 3 a 5 minutos, em média, e as atualizações paralelas não são suportadas. | Está a ser investigada uma correção. |
| Azure Firewall usa cabeçalhos SNI TLS para filtrar tráfego HTTPS e MSSQL | Se o software do navegador ou do servidor não suportar a extensão do Indicador de Nome do Servidor (SNI), não poderá ligar-se através de Azure Firewall. | Se o software do navegador ou do servidor não suportar SNI, então poderá ser capaz de controlar a ligação usando uma regra de rede em vez de uma regra de aplicação. Consulte a indicação do nome do servidor para software que suporta SNI. |
| Não é possível adicionar tags de política de firewall usando os modelos de Resource Manager do portal ou do Azure (ARM) | Azure Firewall Policy tem uma limitação de suporte de patch que o impede de adicionar uma etiqueta usando os modelos portal do Azure ou ARM. O seguinte erro é gerado: Não foi possível guardar as etiquetas para o recurso. | Está a ser investigada uma correção. Ou, pode usar o Azure PowerShell cmdlet Set-AzFirewallPolicy para atualizar tags. |
| IPv6 não suportado atualmente | Se adicionar um endereço IPv6 a uma regra, a firewall falha. | Utilize apenas endereços IPv4. O apoio do IPv6 está sob investigação. |
| A atualização de vários grupos IP falha com erro de conflito. | Quando atualiza dois ou mais grupos IP ligados à mesma firewall, um dos recursos entra num estado falhado. | Esta é uma questão/limitação conhecida. Ao atualizar um Grupo IP, ativa uma atualização em todas as firewalls a que o IPGroup está ligado. Se uma atualização para um segundo Grupo IP for iniciada enquanto a firewall ainda estiver no estado de Atualização , então a atualização do IPGroup falha. Para evitar a falha, os grupos IP ligados à mesma firewall devem ser atualizados um de cada vez. Dê tempo suficiente entre atualizações para permitir que a firewall saia do estado de Atualização . |
| Remoção de RegrasCollectionGroups utilizando modelos ARM não suportados. | A remoção de um Grupo de Regras Usando modelos ARM não é suportada e resulta em falha. | Esta não é uma operação apoiada. |
| A regra do DNAT para permitir qualquer (*) irá tráfego SNAT. | Se uma regra de DNAT permitir qualquer (*) como o endereço IP fonte, então uma regra implícita da Rede corresponderá VNet-VNet tráfego e irá sempre SNAT o tráfego. | Esta é uma limitação atual. |
| A adição de uma regra de DNAT a um centro virtual seguro com um provedor de segurança não é suportada. | Isto resulta numa rota assíncrona para o tráfego de ADN de retorno, que vai para o provedor de segurança. | Não suportado. |
| Erro encontrado ao criar mais de 2000 coleções de regras. | O número máximo de coleções de regras NAT/Application ou Network é de 2000 (Resource Manager limite). | Esta é uma limitação atual. |
| Não é possível ver o nome da regra da rede em Azure Firewall registos | Azure Firewall dados de registo de regras de rede não mostra o nome Regra para o tráfego de rede. | O registo de nomes de regras de rede está na pré-visualização. Para obter informações, consulte Azure Firewall funcionalidades de pré-visualização. |
| Cabeçalho XFF em HTTP/S | Os cabeçalhos XFF são substituídos com o endereço IP de origem original, tal como visto pela firewall. Isto aplica-se para os seguintes casos de utilização: - Pedidos HTTP - PEDIDOS HTTPS com rescisão de TLS |
Está a ser investigada uma correção. |
| Não se pode atualizar para Premium com Zonas de Disponibilidade na região do Sudeste Asiático | Não pode atualmente fazer upgrade para Azure Firewall Premium com Zonas de Disponibilidade na região do Sudeste Asiático. | Implementar uma nova firewall Premium no Sudeste Asiático sem Zonas de Disponibilidade, ou implantar numa região que suporta Zonas de Disponibilidade. |
| Não é possível implantar firewall com Zonas de Disponibilidade com um endereço IP público recém-criado | Quando implanta uma Firewall com Zonas de Disponibilidade, não pode utilizar um endereço IP público recém-criado. | Primeiro crie um novo endereço IP público redundante de zona e, em seguida, atribua este endereço IP previamente criado durante a implementação do Firewall. |
| A zona privada de DNS do Azure não é suportada com Azure Firewall | A zona privada de DNS Azure não funcionará com Azure Firewall, independentemente das definições de DNS Azure Firewall. | Para obter o estado de desejo de usar um servidor DNS privado, utilize Azure Firewall proxy DNS em vez de uma zona de DNS privada Azure. |
Prémio Azure Firewall
Azure Firewall Premium tem as seguintes questões conhecidas:
| Problema | Description | Mitigação |
|---|---|---|
| Apoio ESNI à resolução FQDN em HTTPS | O SNI encriptado não é suportado no aperto de mão HTTPS. | Hoje apenas o Firefox suporta o ESNI através da configuração personalizada. A solução sugerida é para desativar esta funcionalidade. |
| A Autenticação da Certificação do Cliente não é suportada | Os certificados de cliente são usados para construir uma confiança de identidade mútua entre o cliente e o servidor. Os certificados de cliente são usados durante uma negociação TLS. O firewall Azure renegocia uma ligação com o servidor e não tem acesso à chave privada dos certificados do cliente. | Nenhuma |
| QUIC/HTTP3 | QUIC é a nova versão principal do HTTP. É um protocolo baseado na UDP com mais de 80 (PLAN) e 443 (SSL). A inspeção FQDN/URL/TLS não será suportada. | Configure a passagem do UDP 80/443 como regras de rede. |
| Certificados assinados por clientes não fidedquis, | Os certificados assinados pelo cliente não são fidedignos pela firewall uma vez recebidos de um servidor web baseado em intranet. | Está a ser investigada uma correção. |
| Endereço IP de origem errada em Alertas com IDPS para HTTP (sem inspeção TLS). | Quando o tráfego HTTP de texto simples está em uso, e IDPS emite um novo alerta, e o destino é um endereço IP público, o endereço IP de origem visualizado está errado (o endereço IP interno é apresentado em vez do endereço IP original). | Está a ser investigada uma correção. |
| Propagação de Certificados | Após a aplicação de um certificado de CA na firewall, pode demorar entre 5 a 10 minutos para o certificado entrar em vigor. | Está a ser investigada uma correção. |
| Suporte TLS 1.3 | TLS 1.3 é parcialmente suportado. O túnel TLS do cliente para a firewall baseia-se no TLS 1.2, e da firewall para o servidor Web externo é baseado em TLS 1.3. | Atualizações estão a ser investigados. |
| KeyVault Private Endpoint | O KeyVault suporta o acesso private Endpoint para limitar a sua exposição à rede. Os Serviços Azure Fidedignos podem contornar esta limitação se uma exceção for configurada como descrito na documentação KeyVault. Azure Firewall não está listado como um serviço de confiança e não pode aceder ao Key Vault. | Está a ser investigada uma correção. |
| Zonas de Disponibilidade para Firewall Premium na região do Sudeste Asiático | Não pode atualmente implantar Azure Firewall Premium com Zonas de Disponibilidade na região do Sudeste Asiático. | Desdobre a firewall no Sudeste Asiático sem Zonas de Disponibilidade, ou desloque-se numa região que suporte Zonas de Disponibilidade. |