Что такое Брандмауэр Azure?

Брандмауэр Azure — это ориентированная на облако интеллектуальная служба сетевого брандмауэра, обеспечивающая лучшую защиту от угроз для облачных рабочих нагрузок в Azure. Это высокодоступная служба с полным отслеживанием состояния и неограниченными возможностями облачного масштабирования. Она обеспечивает анализ внутреннего и внешнего трафика.

Брандмауэр Azure предлагается в двух SKU: "Стандартный" и "Премиум".

Брандмауэр Azure уровня "Стандартный"

Брандмауэра Azure уровня "Стандартный" обеспечивает фильтрацию уровней L3–L7 и интеллектуальный анализ угроз, реализованные специалистами по кибербезопасности Майкрософт. Фильтрация на основе аналитики угроз может отправлять оповещения и отклонять трафик известных вредоносных IP-адресов и доменов, сведения о которых обновляются в реальном времени для защиты от новых и меняющихся атак.

Общие сведения о Брандмауэре уровня

Дополнительные сведения о Брандмауэре уровня "Стандартный" см. в статье Функции Брандмауэра Azure уровня "Стандартный".

Брандмауэр Azure уровня "Премиум"

Брандмауэр Azure уровня "Премиум" предлагает расширенные возможности, в том числе IDPS на основе подписи для быстрого обнаружения атак путем определения особых паттернов. Такие паттерны могут включать последовательности байтов в сетевом трафике или известные последовательности инструкций вредоносных программ. Доступно более 58 000 подписей в более чем 50 категориях, которые обновляются в реальном времени для защиты от новых и меняющихся эксплойтов. К категориям эксплойтов относятся вредоносные программы, фишинг, майнинг криптовалют и троянские атаки.

Общие сведения о Брандмауэре уровня

Дополнительные сведения о Брандмауэре уровня "Премиум" см. в статье Функции Брандмауэра Azure уровня "Премиум".

Диспетчер брандмауэра Azure

Диспетчер брандмауэра Azure можно использовать для централизованного управления Брандмауэром Azure в нескольких подписках. Диспетчер брандмауэра использует политику брандмауэра для применения общего набора правил сети или приложений и конфигурации к брандмауэрам в арендаторе.

Диспетчер брандмауэра поддерживает брандмауэры в средах с виртуальными сетями и Виртуальными глобальными сетями (защищенный виртуальный концентратор). Защищенные виртуальные концентраторы используют решение для автоматизации маршрутов Виртуальной глобальной сети, чтобы упростить маршрутизацию трафика в брандмауэре.

Дополнительные сведения о Диспетчере брандмауэра Azure см. в этой статье.

Цены и соглашение об уровне обслуживания

См. дополнительные сведения о ценах на Брандмауэр Azure.

См. дополнительные сведения о Соглашении об уровне обслуживания для Брандмауэра Azure.

Поддерживаемые регионы

Сведения о поддерживаемых регионах для Брандмауэра Azure см. в статье Доступность продуктов Azure по регионам.

Новые возможности

О новых возможностях Брандмауэра Azure можно узнать на странице Обновления Azure.

Известные проблемы

Брандмауэр Azure уровня "Стандартный"

Ниже описаны известные проблемы в Брандмауэре Azure уровня "Стандартный".

Примечание

Любая проблема, которая относится к уровню "Стандартный", также применяется к уровню "Премиум".

Проблема Описание Меры по снижению риска
Правила сетевой фильтрации для протоколов, которые отличаются от TCP или UDP (например, ICMP), не работают для трафика, связанного с Интернетом Правила сетевой фильтрации для протоколов, которые отличаются от TCP или UDP, не работают со SNAT для общедоступных IP-адресов. Протоколы, которые отличаются от TCP или UDP, поддерживаются между периферийными зонами подсетей и виртуальной сетью. Брандмауэр Azure использует Load Balancer (цен. категория "Стандартный"), который сейчас не поддерживает SNAT для IP-протоколов. Изучаются варианты поддержки этого сценария в будущем выпуске.
В PowerShell и CLI отсутствует поддержка протокола ICMP Azure PowerShell и CLI не поддерживают ICMP как допустимый протокол в правилах сети. Протокол ICMP по-прежнему можно использовать с помощью портала и REST API. Мы добавим поддержку ICMP в PowerShell и CLI в ближайшее время.
Для тегов FQDN требуется указать протокол порта Для правила приложения с тегами FQDN требуется указать определение протокола порта. В качестве значения протокола порта можно использовать HTTPS. Мы планируем сделать это поле необязательным при использовании тегов FQDN.
Не поддерживается перемещение брандмауэра в другую группу ресурсов или подписку Не поддерживается перемещение брандмауэра в другую группу ресурсов или подписку. Мы планируем реализовать эту функцию. Чтобы переместить брандмауэр в другую группу ресурсов или подписку, нужно удалить текущий экземпляр и повторно создать его в новой группе ресурсов или подписке.
Оповещения Threat Intelligence могут быть замаскированы. Правила сети, настроенные на режим только предупреждения и назначенные на порт 80/443 для исходящей фильтрации, маскируют предупреждения аналитики угроз. С помощью правил приложения создайте фильтрацию исходящего трафика для порта 80/443. Или измените режим аналитики угроз на Alert and Deny (Оповещение и отказ).
Функция DNAT Брандмауэра Azure не поддерживает целевые частные IP-адреса Поддержка DNAT в Брандмауэре Azure предоставляется только для входящего и исходящего трафика Интернета. Сейчас функция DNAT не поддерживает целевые частные IP-адреса. Например, при передаче из луча в луч в сети типа "звезда". Это текущее ограничение.
Не удается удалить первую конфигурацию общедоступных IP-адресов Каждый общедоступный IP-адрес Брандмауэра Azure присваивается конфигурации IP-адресов. Первая конфигурация IP-адресов присваивается во время развертывания брандмауэра и обычно также содержит ссылку на подсеть брандмауэра (за исключением случаев, когда она настраивается явно иначе через развертывание шаблона). Эту конфигурацию IP-адресов удалить нельзя, так как это приведет к отмене распределения брандмауэра. Но вы можете изменить или удалить общедоступный IP-адрес, связанный с этой конфигурацией IP-адресов, если в брандмауэре есть еще хотя бы один общедоступный IP-адрес, который можно использовать. Это сделано намеренно.
Зоны доступности можно настроить только во время развертывания. Зоны доступности можно настроить только во время развертывания. После развертывания брандмауэра невозможно настроить зоны доступности. Это сделано намеренно.
SNAT на входящих соединениях В дополнении к DNAT подключения через общедоступный IP-адрес брандмауэра (входящий трафик) используют механизм SNAT для одного из частных IP-адресов брандмауэра. На сегодняшний день это требование (также для активно-активных NVA) обеспечивает симметричность маршрутизации. Чтобы сохранить исходный источник для HTTP/S, следует задуматься об использовании заголовков XFF. Например, перед брандмауэром следует использовать такую службу, как Azure Front Door или Шлюз приложений Azure. Также WAF можно добавить в качестве части службы Azure Front Door и привязать ее к брандмауэру.
Поддержка фильтрации SQL FQDN только в режиме прокси-сервера (порт 1433) Для Базы данных SQL Azure, Azure Synapse Analytics и Управляемого экземпляра SQL Azure:

Фильтрация полных доменных имен SQL поддерживается только в прокси-режиме (порт 1433).

Для Azure SQL IaaS:

если вы используете нестандартные порты, их можно указать в правилах приложения.
Для SQL в режиме перенаправления (по умолчанию используется для подключения из Azure) можно фильтровать доступ с помощью тега службы SQL в правилах сети Брандмауэра Azure.
Исходящий трафик через TCP-порт 25 блокируется Исходящие сообщения электронной почты, которые отправляются непосредственно во внешние домены (например, outlook.com и gmail.com) через TCP-порт 25, могут блокироваться платформой Azure. Это поведение платформы по умолчанию в Azure. Брандмауэр Azure не вводит никаких дополнительных ограничений. Используйте прошедшие проверку подлинности службы ретрансляции, которые обычно подключаются через TCP-порт 587, но также поддерживают и другие порты. Подробные сведения см. в статье Устранение проблем с исходящими SMTP-подключениями в Azure. В настоящее время брандмауэр Azure может обмениваться данными с общедоступными IP-адресами с помощью исходящего TCP-порта 25, но эффективность такого метода не гарантируется и не поддерживается для всех типов подписки. Для частных IP-адресов, таких как виртуальные сети, VPN и Azure ExpressRoute, брандмауэр Azure поддерживает исходящее подключение через TCP-порт 25.
Нехватка портов SNAT Сейчас Брандмауэр Azure поддерживает 2496 портов на каждый общедоступный IP-адрес для каждого внутреннего экземпляра масштабируемого набора виртуальных машин. По умолчанию существует два экземпляра масштабируемого набора виртуальных машин. Таким образом, имеется 4992 порта на поток (IP-адрес назначения, порт назначения и протокол (TCP или UDP)). Брандмауэр масштабируется до 20 экземпляров. Это ограничение платформы. Вы можете обойти эти ограничения, указав минимум пять общедоступных IP-адресов для развертываний Брандмауэра Azure, в которых может возникнуть проблема нехватки SNAT. Это позволит увеличить число доступных портов SNAT в пять раз. Чтобы упростить разрешения для подчиненных компонентов, используйте префикс IP-адреса для выделения ресурсов. В качестве более постоянного решения можно развернуть шлюз NAT, чтобы преодолеть ограничения на количество портов SNAT. Этот подход поддерживается для развертываний в виртуальной сети.

Дополнительные сведения см. в статье Масштабирование портов SNAT с помощью NAT виртуальных сетей Azure.
DNAT не поддерживается при включенном принудительном туннелировании Брандмауэры, развернутые с включенным принудительным туннелированием, не поддерживают входящий трафик из Интернета из-за асимметричной маршрутизации. Это обусловлено схемой работы асимметричной маршрутизации. Обратный путь входящих подключений проходит через локальный брандмауэр, в котором нет данных об установленном соединении.
Исходящий пассивный FTP может не работать для брандмауэров с несколькими общедоступными IP-адресами в зависимости от конфигурации FTP-сервера. Пассивный FTP устанавливает разные подключения для каналов управления и данных. Когда брандмауэр с несколькими общедоступными IP-адресами отправляет данные для исходящего трафика, он случайным образом выбирает один из общедоступных IP-адресов в качестве исходного. В FTP может произойти ошибка, если каналы данных и управления используют разные исходные IP-адреса в зависимости от конфигурации FTP-сервера. Планирование явной конфигурации SNAT. Тем временем можно настроить FTP-сервер так, чтобы он принимал каналы данных и управления с разных исходных IP-адресов (см. пример для IIS). Как вариант, рассмотрите использование одного IP-адреса в такой ситуации.
Входящий пассивный FTP может не работать в зависимости от конфигурации FTP-сервера. Пассивный FTP устанавливает разные подключения для каналов управления и данных. Входящие подключения в Брандмауэре Azure используют механизм SNAT для одного из частных IP-адресов брандмауэра, чтобы обеспечить симметричную маршрутизацию. В FTP может произойти ошибка, если каналы данных и управления используют разные исходные IP-адреса в зависимости от конфигурации FTP-сервера. Сохранение исходного IP-адреса источника изучается. Тем временем можно настроить FTP-сервер так, чтобы он принимал каналы данных и управления с разных исходных IP-адресов.
Активный FTP не будет работать, если FTP-клиент должен связаться с FTP-сервером через Интернет. Активный FTP использует команду PORT из FTP-клиента, который указывает FTP-серверу, какой IP и порт использовать для канала передачи данных. Эта команда PORT использует частный IP-адрес клиента, который не может быть изменен. К трафику на стороне клиента, проходящему через Брандмауэр Azure, применяется преобразование сетевых адресов (NAT) для интернет-соединений, в результате чего команда PORT станет восприниматься FTP-сервером как недопустимая. Это общее ограничение активного FTP при использовании в сочетании с NAT на стороне клиента.
В метрике NetworkRuleHit отсутствует измерение протокола Метрика ApplicationRuleHit разрешает протокол на основе фильтрации, но этот компонент отсутствует в соответствующей метрике NetworkRuleHit. Соответствующее исправление рассматривается.
Правила NAT с портами в диапазоне от 64000 до 65535 не поддерживаются Брандмауэр Azure разрешает порты в диапазоне 1–65535 в правилах сети и приложений, но правила NAT поддерживают порты только в диапазоне 1–63999. Это текущее ограничение.
Среднее время обновления конфигурации может занять пять минут Для обновления конфигурации брандмауэра Azure в среднем может потребоваться 3–5 минут. Параллельные обновления не поддерживаются. Соответствующее исправление рассматривается.
Брандмауэр Azure использует заголовки TLS на основе SNI для фильтрации трафика HTTPS и MSSQL Если программное обеспечение браузера или сервера не поддерживает расширение указания имени сервера (SNI), вы не сможете подключиться через Брандмауэр Azure. В таком случае вы можете управлять подключением с помощью правила сети, а не правила приложения. Сведения о программном обеспечении, поддерживающем SNI, см. в этой статье.
Не удается добавить теги политики брандмауэра с помощью портала или шаблонов Azure Resource Manager (ARM) Для политики Брандмауэра Azure действует ограничение на поддержку исправлений, которое не позволяет добавить тег с помощью портала Azure или шаблонов ARM. Поступает следующее сообщение об ошибке: Could not save the tags for the resource (Не удалось сохранить теги для ресурса). Соответствующее исправление рассматривается. Либо можно использовать командлет Azure PowerShell Set-AzFirewallPolicy для обновления тегов.
IPv6 в настоящее время не поддерживается При добавлении IPv6-адреса к правилу происходит сбой брандмауэра. Используйте только IPv4-адреса. Поддержка IPv6 находится на стадии изучения.
При обновлении нескольких групп IP-адресов возникает ошибка о конфликте. При обновлении двух групп IP-адресов или более, подключенных к одному и тому же брандмауэру, для одного из ресурсов возникает сбой. Это известная проблема/ограничение.

При обновлении группы IP-адресов запускается обновление всех брандмауэров, к которым она подключена. Если обновление для второй группы IP-адресов запускается, когда брандмауэр по-прежнему находится в состоянии обновления, обновление группы завершается сбоем.

Во избежание сбоя группы, подключенные к одному брандмауэру, нужно обновлять по одной за раз. Подождите достаточное время между обновлениями, чтобы брандмауэр успел выйти из состояния обновления.
Удаление групп RuleCollectionGroup с использованием шаблонов ARM не поддерживается. Удаление RuleCollectionGroup с помощью шаблонов ARM приводит к сбою. Данная операция не поддерживается.
Правило DNAT, разрешающее любой (*) трафик SNAT. Если в правиле DNAT в качестве исходного IP-адреса разрешен любой (*) адрес, то неявное сетевое правило будет применяться к трафику между виртуальными сетями и будет всегда применять к нему SNAT. Это текущее ограничение.
Добавление правила DNAT на защищенный виртуальный концентратор с поставщиком безопасности не поддерживается. Это ведет к возникновению асинхронного маршрута для возвращаемого трафика DNAT, который передается поставщику безопасности. Не поддерживается.
Произошла ошибка при создании более 2000 коллекций правил. Максимальное число коллекций сетевых правил или правил NAT/приложений составляет 2000 (ограничение Resource Manager). Это текущее ограничение.
Не удается просмотреть имя сетевого правила в журналах Брандмауэра Azure В данных журнала сетевых правил Брандмауэра Azure не отображается имя правила для сетевого трафика. Ведение журнала имен сетевых правил находится на этапе предварительной версии. Дополнительные сведения см. в статье Функции Брандмауэра Azure в предварительной версии.
Заголовок XFF в HTTP/S Заголовки XFF перезаписываются исходным IP-адресом источника, каким его видит брандмауэр. Это применимо для следующих вариантов использования:
– HTTP-запросы;
– HTTPS-запросы с терминированием TLS.
Соответствующее исправление рассматривается.
Не удается выполнить обновление до уровня "Премиум" с Зонами доступности в регионе Юго-Восточной Азии Сейчас невозможно выполнить обновление до Брандмауэра Azure уровня "Премиум" с Зонами доступности в регионе Юго-Восточной Азии. Разверните новый брандмауэр уровня "Премиум" в Юго-Восточной Азии без Зон доступности или разверните его в регионе, поддерживающем Зоны доступности.
Не удается развернуть брандмауэр с Зонами доступности, используя только что созданный общедоступный IP-адрес При развертывании брандмауэра с Зонами доступности нельзя использовать только что созданный общедоступный IP-адрес. Сначала создайте новый избыточный между зонами общедоступный IP-адрес, а затем назначьте этот ранее созданный IP-адрес во время развертывания брандмауэра.
Частная зона DNS Azure не поддерживается Брандмауэре Azure Частная зона DNS Azure не будет работать с Брандмауэром Azure независимо от настроенных для него параметров DNS. Чтобы реализовать функции, которые обеспечиваются частным DNS-сервером, вместо частной зоны DNS Azure используйте DNS-прокси Брандмауэра Azure.

Брандмауэр Azure уровня "Премиум"

Ниже описаны известные проблемы в Брандмауэре Azure уровня "Премиум".

Проблема Описание Меры по снижению риска
Поддержка ESNI для разрешения FQDN в HTTPS Зашифрованный SNI не поддерживается при подтверждении HTTPS. Сейчас только Firefox поддерживает ESNI через пользовательскую конфигурацию. Предлагаемый обходной путь заключается в отключении этой функции.
Аутентификация клиента на основе сертификата не поддерживается Клиентские сертификаты используются для создания взаимного отношения доверия между клиентом и сервером. Сертификаты клиентов используются во время согласования TLS. Брандмауэр Azure повторно согласовывает соединение с сервером и не имеет доступа к закрытому ключу сертификатов клиентов. Нет
QUIC/HTTP3 QUIC — это новая основная версия протокола HTTP. Это протокол на основе UDP через 80 (PLAN) и 443 (SSL). Проверка FQDN/URL/TLS не будет поддерживаться. Настройте передачу UDP 80/443 в качестве правил сети.
Сертификаты, подписанные недоверенным клиентом Сертификаты, подписанные клиентом, не являются доверенными для брандмауэра после получения от веб-сервера, основанного на интрасети. Соответствующее исправление рассматривается.
Неверный исходный IP-адрес в предупреждениях с IDPS для HTTP (без проверки TLS). Когда используется HTTP-трафик в виде обычного текста, IDPS выдает новое оповещение, а назначение является общедоступным IP-адресом, это значит, что отображаемый исходный IP-адрес неверен (вместо первоначального IP-адреса отображается внутренний IP-адрес). Соответствующее исправление рассматривается.
Служба распространения сертификатов После применения сертификата центра сертификации к брандмауэру может потребоваться от 5–10 минут до вступления сертификата в силу. Соответствующее исправление рассматривается.
Поддержка TLS 1.3 Протокол TLS 1.3 поддерживается частично. Туннель TLS от клиента к брандмауэру основан на TLS 1.2, а от брандмауэра к внешнему веб-серверу — на TLS 1.3. Обновления сейчас рассматриваются.
Частная конечная точка KeyVault. KeyVault поддерживает доступ через частную конечную точку для ограничения его доступности в сети. Доверенные службы Azure могут обходить это ограничение, если исключение настроено, как описано в документации по KeyVault. В настоящее время Брандмауэр Azure не указан как доверенная служба и не может получить доступ к Key Vault. Соответствующее исправление рассматривается.
Зоны доступности для брандмауэра уровня "Премиум" в регионе Юго-Восточной Азии Сейчас невозможно развернуть Брандмауэр Azure уровня "Премиум" с Зонами доступности в регионе Юго-Восточной Азии. Разверните брандмауэр в Юго-Восточной Азии без Зон доступности или разверните его в регионе, поддерживающем Зоны доступности.

Дальнейшие действия