Azure Firewall Sıkça Sorulan Sorular (SSS)

Genel

Azure Firewall nedir?

Azure Firewall, Azure Virtual Network kaynaklarınızı koruyan yönetilen, bulut tabanlı bir ağ güvenlik hizmetidir. Yerleşik yüksek kullanılabilirlik ve sınırsız bulut ölçeklenebilirliği ile hizmet olarak tam durum bilgisi olan bir güvenlik duvarıdır. Abonelikler ve sanal ağlar genelinde uygulama ve ağ bağlantısı ilkelerini merkezi olarak oluşturabilir, zorlayabilir ve kaydedebilirsiniz.

Azure Firewall hangi özellikleri destekler?

Azure Firewall özelliklerinin ayrıntılı listesi için bkz. Azure Firewall özellikleri.

Azure Firewall için tipik dağıtım modeli nedir?

Azure Firewall herhangi bir sanal ağa dağıtılabilir. Ancak, genellikle bir merkez-çevre modeliyle merkezi bir sanal ağa dağıtılır ve diğer sanal ağlar buna eşlenir. Eşlenen sanal ağlardan gelen varsayılan yol, bu merkezi güvenlik duvarı sanal ağına işaret edecek şekilde olarak ayarlanır. Genel sanal ağ eşlemesi desteklense de, bölgeler arasında olası performans ve gecikme sorunları nedeniyle önerilmez. En iyi performans için bölge başına bir güvenlik duvarı dağıtın.

Bu model, farklı aboneliklerde birden çok uç sanal ağı üzerinde merkezi denetime olanak tanır ve her sanal ağa güvenlik duvarı dağıtma gereksinimini ortadan kaldırarak maliyet tasarrufu sağlar. Maliyet tasarrufu, trafik desenlerine göre ilişkili eşleme maliyetlerine göre değerlendirilmelidir.

Azure Firewall nasıl dağıtabilirim?

Azure Firewall Azure portalı, PowerShell, REST API veya şablonlar kullanılarak dağıtılabilir. Adım adım yönergeler için bkz. Tutorial: Azure portalını kullanarak Azure Firewall dağıtma ve yapılandırma.

Bazı önemli Azure Firewall kavramları nelerdir?

Azure Firewall kuralları ve kural koleksiyonlarını kullanır. Kural koleksiyonu, aynı sıra ve önceliğe sahip bir kural kümesidir. Kural koleksiyonları öncelik sırasına göre yürütülür. DNAT kural koleksiyonları, ağ kuralı koleksiyonlarından daha yüksek önceliğe sahiptir ve bu da uygulama kuralı koleksiyonlarından daha yüksek önceliğe sahiptir. Tüm kurallar sona eriyor.

Üç tür kural koleksiyonu vardır:

• Uygulama kuralları: Sanal ağdan erişilebilen tam etki alanı adlarını (FQDN) yapılandırın.
• Ağ kuralları: Kaynak adresler, protokoller, hedef bağlantı noktaları ve hedef adreslerle kuralları yapılandırın.
• NAT kuralları: GELEN İnternet veya intranet (önizleme) bağlantılarına izin vermek için DNAT kurallarını yapılandırın.

Daha fazla bilgi için bkz. Azure Firewall kurallarını yapılandırma.

Azure Firewall hangi günlük ve analiz hizmetlerini destekler?

Azure Firewall, günlükleri görüntülemek ve analiz etmek için Azure Monitor ile tümleşir. Günlükler Log Analytics, Azure Storage veya Event Hubs'a gönderilebilir ve Log Analytics, Excel veya Power BI gibi araçlar kullanılarak analiz edilebilir. Daha fazla bilgi için bkz. Tutorial: Azure Firewall günlüklerini izleme.

Azure Firewall marketteki NVA'lardan farkı nedir?

Azure Firewall, sanal ağ kaynaklarını koruyan yönetilen, bulut tabanlı bir ağ güvenlik hizmetidir. Yerleşik yüksek kullanılabilirlik ve sınırsız bulut ölçeklenebilirliği ile hizmet olarak tam durum bilgisi olan bir güvenlik duvarıdır. Sanal ağ ve şube İnternet bağlantılarının güvenliğini artırmak için üçüncü taraf hizmet olarak güvenlik (SECaaS) sağlayıcılarıyla önceden entegre edilmiştir. Daha fazla bilgi için bkz. Azure ağ güvenliği.

Application Gateway WAF ile Azure Firewall arasındaki fark nedir?

Application Gateway WAF, yaygın saldırı tekniklerine ve güvenlik açıklarına karşı web uygulamaları için merkezi gelen koruma sağlar. Azure Firewall, HTTP/S olmayan protokoller (RDP, SSH, FTP gibi) için gelen koruma, tüm bağlantı noktaları ve protokoller için giden ağ düzeyinde koruma ve giden HTTP/S için uygulama düzeyinde koruma sağlar.

Ağ Güvenlik Grupları (NSG) ile Azure Firewall arasındaki fark nedir?

Azure Firewall, daha iyi "derinlemesine savunma" ağ güvenliği sağlamak için NSG'leri tamamlar. NSG'ler, her abonelikteki sanal ağlar içindeki trafiği sınırlamak için dağıtılmış ağ katmanı trafik filtrelemesi sunar. Azure Firewall, abonelikler ve sanal ağlar arasında merkezi, tam durum bilgisi olan ağ ve uygulama düzeyinde koruma sağlar.

AzureFirewallSubnet'te Ağ Güvenlik Grupları (NSG) destekleniyor mu?

Azure Firewall, NIC düzeyinde NSG'ler ile platform koruması da dahil olmak üzere birden çok koruma katmanına sahip yönetilen bir hizmettir (görüntülenemez). AzureFirewallSubnet'te alt ağ düzeyinde NSG'ler gerekli değildir ve hizmet kesintilerini önlemek için devre dışı bırakılır.

Özel uç noktalarla Azure Firewall katma değeri nedir?

Özel uç noktalar, genel ip adresleri yerine özel IP adresleri kullanarak Azure PaaS hizmetleriyle etkileşime geçen bir teknoloji olan Private Link bileşenidir. Azure Firewall, genel IP adreslerine erişimi engellemek ve böylece Private Link kullanmayan Azure hizmetlerine veri sızdırmayı önlemek için kullanılabilir. Ayrıca, Private Link varsayılan olarak tüm kurumsal ağınız için ağ erişimini açtığı için sıfır güven ilkelerini uygulayarak kuruluşunuzda bu Azure PaaS hizmetlerine erişmesi gerekenleri belirleyebilirsiniz.

Azure Firewall ile özel uç noktalara gelen trafiği incelemek için doğru tasarım ağ mimarinize bağlıdır. Özel uç noktaya yönelik trafiği incelemek için Azure Firewall senaryoları makalesinde daha fazla ayrıntı bulabilirsiniz.

Sanal ağ hizmet uç noktalarıyla Azure Firewall katma değeri nedir?

Virtual Network hizmet uç noktaları, Azure PaaS hizmetlerine ağ erişimini denetlemek için Private Link alternatiftir. İstemci PaaS hizmetine erişmek için hala genel IP adresleri kullansa bile, hedef PaaS hizmetinin filtre kurallarını uygulayabilmesi ve alt ağ temelinde erişimi kısıt edebilmesi için kaynak alt ağ görünür hale getirilir. Her iki mekanizma arasındaki ayrıntılı karşılaştırmayı Özel Uç Noktaları ve Hizmet Uç Noktalarını Karşılaştırma bölümünde bulabilirsiniz.

Azure Firewall uygulama kuralları, sahte hizmetlere veri sızdırmanın gerçekleşmediğinden emin olmak ve alt ağ düzeyinin ötesinde daha fazla ayrıntı düzeyine sahip erişim ilkeleri uygulamak için kullanılabilir. Genellikle bir Azure hizmetine bağlanacak istemcinin alt ağında sanal ağ hizmet uç noktalarının etkinleştirilmesi gerekir. Ancak, Azure Firewall ile hizmet uç noktalarına gelen trafiği incelerken, bunun yerine Azure Firewall alt ağında ilgili hizmet uç noktasını etkinleştirmeniz ve bunları gerçek istemcinin alt ağında (genellikle bir uç sanal ağ) devre dışı bırakmanız gerekir. Bu şekilde, Azure iş yüklerinizin hangi Azure hizmetlere erişebileceğini denetlemek için Azure Firewall Uygulama Kuralları'na erişebilirsiniz.

Azure Firewall fiyatlandırması nedir?

Fiyatlandırma ayrıntıları için bkz. Azure Firewall Pricing.

Azure Firewall için bilinen hizmet sınırları nelerdir?

Hizmet sınırları için bkz. Azure abonelik ve hizmet sınırları, kotalar ve kısıtlamalar.

Azure Firewall müşteri verilerini nerede depolar?

Azure Firewall müşteri verilerini dağıtıldığı bölgenin dışına taşımaz veya depolamaz.

Güvenli sanal merkezlerde (vWAN) Azure Firewall Katar'da destekleniyor mu?

Hayır, güvenli sanal merkezlerdeki (vWAN) Azure Firewall şu anda Katar'da desteklenmemektedir.

Desteklenen yetenekler ve özellikler

Azure Firewall gelen trafik filtrelemeyi destekliyor mu?

Evet, Azure Firewall hem gelen hem de giden trafik filtrelemeyi destekler. Gelen filtreleme genellikle RDP, SSH ve FTP gibi HTTP dışı protokoller için kullanılır. Gelen HTTP ve HTTPS trafiği için Azure Web Application Firewall (WAF) veya Azure Firewall Premium TLS yük boşaltma ve derin paket inceleme özellikleri gibi bir web uygulaması güvenlik duvarı kullanmayı göz önünde bulundurun.

Temel Azure Firewall zorlamalı tünellemeyi destekliyor mu?

Evet, Azure Güvenlik Duvarı Temel zorunlu tünellemeyi destekler.

Trafiğe izin vermeyen bir kural olmasa bile tcp ping veya benzer bir araç neden hedef FQDN'ye bağlanıyor gibi görünüyor?

TCP ping aslında hedef FQDN'ye bağlanmaz. Azure Firewall, bir kural tarafından açıkça izin verilmediği sürece herhangi bir hedef IP adresine veya FQDN'ye bağlantıları engeller.

TCP pingi durumunda trafiğe izin veren bir kural yoksa Güvenlik Duvarı istemcinin TCP ping isteğine yanıt verir. Bu yanıt hedef IP adresine veya FQDN'ye ulaşmaz ve günlüğe kaydedilmez. Bir ağ kuralı açıkça hedef IP adresine veya FQDN'ye erişime izin veriyorsa, ping isteği hedef sunucuya ulaşır ve yanıtı istemciye geri geçirilir. Bu olay Ağ kuralları günlüğüne kaydedilir.

Azure Firewall BGP eşlemesini destekliyor mu?

Hayır, Azure Firewall BGP eşlemesini yerel olarak desteklemez. Ancak Autolearn SNAT yolları özelliği Azure Route Server aracılığıyla BGP'yi dolaylı olarak kullanır.

AZURE FIREWALL ESP paketlerini (IPSec VPN) geçirebilir mi?

Azure Firewall ESP'yi yerel olarak desteklemez (Güvenlik Yükünü Kapsülleme), ancak aşağıdaki gibi bir ağ kuralı yapılandırarak ESP trafiğine izin vekleyebilirsiniz:

Azure Firewall yapılandırması (Ağ Kuralı):

• Protokol: Hepsi
• Kaynak bağlantı noktası: * (Herhangi biri)
• Hedef bağlantı noktası: * (Herhangi biri)
• Kaynak/Hedef: Ip adreslerini gerektiği gibi belirtin

Bu yapılandırma, ESP paketlerinin (IP protokolü numarası 50) ve TCP/UDP olmayan diğer trafiğin kuralla eşleşmesini sağlar. Ancak, Azure Firewall ESP yüklerini incelemediğini unutmayın.

Reference: Azure Firewall: NSG, ESP (IP protokolü numarası 50) belirtmek için doğrudan bir seçenek sağlamaz, ancak ESP paketlerine aşağıdaki ayarlar kullanılarak izin verilebiliyor:

• Protokol: Hepsi
• Bağlantı noktası: * (Herhangi biri)
• Kaynak/Hedef: Ip adreslerini gerektiği gibi belirtin

Öneriler:

• IPsec VPN yapılandırmaları için Azure VPN Gateway kullanılması önerilir.
• Gereksinimlerinize bağlı olarak bir NVA (Ağ Sanal Gereci) şablonu kullanmayı göz önünde bulundurun.

Yönetim ve yapılandırma

Azure Firewall nasıl durdurup başlatabilirim?

Azure Firewall serbest bırakmak ve ayırmak için Azure PowerShell kullanabilirsiniz. İşlem, yapılandırmaya bağlı olarak değişir.

Yönetim NIC'i olmayan bir güvenlik duvarı için:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Yönetim NIC'sini içeren bir güvenlik duvarı için:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Güvenli bir sanal hub'daki güvenlik duvarı için:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Not

Güvenlik duvarını durdurup başlatırken faturalama durdurulur ve buna göre başlatılır. Ancak, özel IP adresi değişebilir ve bu da yol tabloları yapılandırılırsa bağlantıyı etkileyebilir.

Dağıtımdan sonra kullanılabilirlik alanlarını nasıl yapılandırabilirim?

İlk dağıtım sırasında kullanılabilirlik alanlarının yapılandırılması önerilir. Ancak, dağıtımdan sonra aşağıdakiler durumunda bunları yeniden yapılandırabilirsiniz:

• Güvenlik duvarı bir sanal ağda dağıtılır (güvenli sanal hub'larda desteklenmez).
• Bölge, kullanılabilirlik alanlarını desteklemektedir.
• Tüm ekli genel IP adresleri aynı bölgelerle yapılandırılır.

Kullanılabilirlik alanlarını yeniden yapılandırmak için:

1. Güvenlik duvarını serbest bırakma:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Bölge yapılandırmasını güncelleştirin ve güvenlik duvarını ayırın:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Azure güvenlik duvarı kaynak grubu kısıtlamaları var mı?

Evet:

• Azure Firewall ve sanal ağ aynı kaynak grubunda olmalıdır.
• Genel IP adresi farklı bir kaynak grubunda olabilir.
• Tüm kaynaklar (Azure güvenlik duvarı, sanal ağ, genel IP) aynı abonelikte olmalıdır.

Sağlama durumu **Başarısız** ne anlama gelir?

Başarısız sağlama durumu, bir veya daha fazla arka uç örneğinde yapılandırma güncelleştirmesinin başarısız olduğunu gösterir. Azure Firewall çalışır durumda kalır, ancak yapılandırma tutarsız olabilir. Sağlama durumu Başarılı olarak değişene kadar güncelleştirmeyi yeniden deneyin.

Azure Firewall planlı bakım ve planlanmamış hataları nasıl işler?

Azure Firewall, birden çok arka uç düğümüne sahip aktif-aktif bir yapılandırma kullanır. Planlı bakım sırasında bağlantı tahliyesi, sorunsuz güncellemeler yapılmasını sağlar. Planlanmamış hatalar için, başarısız olanın yerini yeni bir düğüm alır ve bağlantı genellikle 10 saniye içinde geri yüklenir.

Güvenlik duvarı adı için karakter sınırı var mı?

Evet, güvenlik duvarı adları 50 karakterle sınırlıdır.

Azure Firewall neden /26 alt ağ boyutuna ihtiyaç duyuyor?

/26 alt ağı, Azure Firewall ek sanal makine örnekleri sağladığından ölçeklendirme için yeterli IP adresleri sağlar.

Hizmet ölçeklendikçe güvenlik duvarı alt ağ boyutunun değişmesi gerekiyor mu?

Hayır, /26 alt ağı tüm ölçeklendirme senaryoları için yeterlidir.

Güvenlik duvarı aktarım hızımı nasıl artırabilirim?

Azure Firewall CPU kullanımına, aktarım hızına ve bağlantı sayısına göre otomatik olarak ölçeklendirilir. Aktarım hızı kapasitesi başlangıçta 2,5-3 Gb/sn ile 30 Gb/sn (Standart SKU) veya 100 Gb/sn (Premium SKU) arasında değişir.

IP Grupları tarafından desteklenen IP adresi sayısı için sınırlar var mı?

Evet. Ayrıntılar için bkz. Azure abonelik ve hizmet sınırları, kotalar ve kısıtlamalar.

IP Grubunu başka bir kaynak grubuna taşıyabilir miyim?

Hayır, bir IP Grubunu başka bir kaynak grubuna taşımak şu anda desteklenmiyor.

Azure Firewall için TCP Boşta Kalma Zaman Aşımı nedir?

Ağ güvenlik duvarının standart davranışı TCP bağlantılarının canlı tutulduğundan emin olmak ve etkinlik yoksa bunları hemen kapatmaktır. Azure Firewall TCP Boşta Kalma Zaman Aşımı dört dakikadır. Bu ayar kullanıcı tarafından yapılandırılamaz, ancak gelen ve giden bağlantılarda Boşta Kalma Zaman Aşımı'nı 15 dakikaya kadar artırmak için Azure Desteği'ne başvurabilirsiniz. Doğu-batı trafiği için boşta kalma zaman aşımı değiştirilemez.

Etkinlik dışı kalma süresi zaman aşımı değerinden uzunsa TCP veya HTTP oturumunun korunduğunun garantisi yoktur. Tcp etkin tutma özelliğini kullanmak yaygın bir uygulamadır. Bu uygulama, bağlantıyı daha uzun süre etkin tutar. Daha fazla bilgi için bkz. .NET örnekleri.

genel IP adresi olmadan Azure Firewall dağıtabilir miyim?

Evet, ancak güvenlik duvarını Zorlamalı Tünel Modu'nda yapılandırmanız gerekir. Bu yapılandırma, Azure Firewall tarafından işlemleri için kullanılan genel IP adresine sahip bir yönetim arabirimi oluşturur. Bu genel IP adresi yönetim trafiği içindir. Yalnızca Azure platformu tarafından kullanılır ve başka bir amaçla kullanılamaz. Kiracı veri yolu ağı, genel bir IP adresi olmadan yapılandırılabilir ve internet trafiği başka bir güvenlik duvarına zorla tünel edilebilir veya tamamen engellenebilir.

Azure Firewall ve ilkeleri otomatik olarak yedeklemenin bir yolu var mı?

Evet. Detaylı bilgi için Logic Apps ile Backup Azure Firewall ve Azure Firewall Politikası bölümüne bakın.

Bağlantı ve yönlendirme

Hizmet uç noktalarımla Azure Firewall nasıl ayarlayabilirim?

PaaS hizmetlerine güvenli erişim için hizmet uç noktalarını öneririz. Azure Firewall alt ağında hizmet uç noktalarını etkinleştirmeyi ve bağlı uç sanal ağlarda devre dışı bırakabilirsiniz. Bu şekilde her iki özellikten de yararlanabilirsiniz: hizmet uç noktası güvenliği ve tüm trafik için merkezi kayıt tutma.

Bir merkez sanal ağında Azure Firewall birden çok uç sanal ağı arasındaki ağ trafiğini iletebilir ve filtreleyebilir mi?

Evet, birden çok uç sanal ağı arasındaki trafiği yönlendirmek ve filtrelemek için merkez sanal ağında Azure Firewall kullanabilirsiniz. Uç sanal ağlarının her birindeki alt ağların, bu senaryonun doğru bir şekilde çalışması için varsayılan ağ geçidi olarak Azure Firewall'a işaret eden bir UDR'ye sahip olması gerekir.

Azure Firewall aynı sanal ağdaki veya eşlenmiş sanal ağlardaki alt ağlar arasındaki ağ trafiğini iletebilir ve filtreleyebilir mi?

Evet. Ancak, UDR'leri aynı sanal ağdaki alt ağlar arasındaki trafiği yeniden yönlendirecek şekilde yapılandırmak daha fazla dikkat gerektirir. Sanal ağ adres aralığını UDR için hedef ön ek olarak kullanmak yeterli olsa da, bu aynı zamanda Azure Firewall örneği aracılığıyla bir makinedeki tüm trafiği aynı alt ağdaki başka bir makineye yönlendirir. Bunu önlemek için, sonraki atlama türü sanal ağ olan UDR'ye alt ağ için bir yol ekleyin. Bu yolları yönetmek zahmetli ve hataya eğilimli olabilir. İç ağ segmentasyonu için önerilen yöntem, UDR gerektirmeyen Ağ Güvenlik Gruplarını kullanmaktır.

Azure Firewall özel ağlar arasında giden trafiğe SNAT uygular mı?

Azure Firewall, hedef IP adresi IANA RFC 1918 veya IANA RFC 6598 uyarınca özel bir IP aralığı olduğunda SNAT yapmaz. Kuruluşunuz özel ağlar için bir genel IP adresi aralığı kullanıyorsa Azure Firewall Trafiği AzureFirewallSubnet'teki güvenlik duvarı özel IP adreslerinden birine yönlendirir. Azure Firewall'ı genel IP adresi aralığınızı SNAT yapmaması için yapılandırabilirsiniz. Daha fazla bilgi için bkz. Azure Firewall SNAT özel IP adresi aralıkları.

Ayrıca, uygulama kuralları tarafından işlenen trafik her zaman SNAT işlemine tabi tutulur. FQDN trafiği için günlüklerinizde özgün kaynak IP adresini görmek istiyorsanız, hedef FQDN ile ağ kurallarını kullanabilirsiniz.

Bir Ağ Sanal Gereci için zorlamalı tünel oluşturma/zincirleme desteklenir mi?

Zorlamalı tünel, yeni bir güvenlik duvarı oluşturulurken desteklenir ve zorlamalı tünel için bir yönetim NIC'i eklenerek mevcut güvenlik duvarları için de desteklenir. Yeni dağıtımlar hakkında daha fazla bilgi için, Azure Firewall zorunlu tünelleme'ye bakın. Mevcut güvenlik duvarları için bkz. Azure Firewall Management NIC.

Azure Firewall doğrudan İnternet bağlantısı olmalıdır. AzureFirewallSubnet'iniz BGP aracılığıyla şirket içi ağınıza varsayılan bir yol öğrenirse, doğrudan İnternet bağlantısını korumak için NextHopType değeri İnternet olarak ayarlanmış bir 0.0.0.0/0 UDR ile bunu geçersiz kılmanız gerekir.

Yapılandırmanız bir şirket içi ağa zorlamalı tünel oluşturmayı gerektiriyorsa ve İnternet hedeflerinizin hedef IP ön eklerini belirleyebilirseniz, bu aralıkları şirket içi ağ ile AzureFirewallSubnet üzerinde kullanıcı tanımlı bir yol üzerinden sonraki atlama olarak yapılandırabilirsiniz. Alternatif olarak, bu yolları tanımlamak için BGP'yi de kullanabilirsiniz.

Joker karakterler uygulama kurallarında hedef URL'lerde ve hedef FQDN'lerde nasıl çalışır?

• URL - Yıldız işareti, en sağdaki veya en soldaki tarafa yerleştirildiğinde çalışır. Sol taraftaysa, FQDN'nin bir parçası olamaz.
• FQDN - Yıldız işareti en sol tarafa yerleştirildiğinde çalışır.
• GENEL - En sol taraftaki yıldız işareti, tam anlamıyla sol eşleşmelerdeki her şeyi ifade eder; yani birden çok alt etki alanı ve/veya istenmeyebilecek etki alanı adı varyasyonları eşleştirilir. Aşağıdaki örneklere bakın.

Örnekler:

Tür	Kural	Destekleniyor mu?	Olumlu örnekler
Hedef URL'si	www.contoso.com	Evet	www.contoso.com www.contoso.com/
Hedef URL'si	*.contoso.com	Evet	any.contoso.com/ sub1.any.contoso.com
Hedef URL'si	*contoso.com	Evet	example.anycontoso.com sub1.example.contoso.com contoso.com Uyarı: Bu joker karakter kullanımı, th3re4lcontoso.com gibi istenmeyebilecek veya riskli olabilecek varyasyonlara da izin verir; dikkatli kullanın.
Hedef URL'si	www.contoso.com/test	Evet	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
Hedef URL'si	www.contoso.com/test/*	Evet	www.contoso.com/test/anything Not: www.contoso.com/testeşleşmiyor (son eğik çizgi)
Hedef URL'si	www.contoso.*/test/*	Hayır
Hedef URL'si	www.contoso.com/test?example=1	Hayır
Hedef URL'si	www.contoso.*	Hayır
Hedef URL'si	www.*contoso.com	Hayır
Hedef URL'si	www.contoso.com:8080	Hayır
Hedef URL'si	*.contoso.*	Hayır
Hedef FQDN	www.contoso.com	Evet	www.contoso.com
Hedef FQDN	*.contoso.com	Evet	any.contoso.com Not: Özellikle contoso.com'a izin vermek istiyorsanız, kurala contoso.com eklemeniz gerekir. Aksi takdirde, istek herhangi bir kuralla eşleşmediğinden bağlantı varsayılan olarak bırakılır.
Hedef FQDN	*contoso.com	Evet	example.anycontoso.com contoso.com
Hedef FQDN	www.contoso.*	Hayır
Hedef FQDN	*.contoso.*	Hayır

Azure Firewall varsayılan olarak Active Directory erişime izin verir mi?

Hayır Azure Firewall varsayılan olarak Active Directory erişimi engeller. Erişime izin vermek için AzureActiveDirectory hizmet etiketini yapılandırın. Daha fazla bilgi için bkz. Azure Firewall hizmet etiketleri.

Bir FQDN veya IP adresini Azure Firewall Tehdit Bilgileri tabanlı filtrelemeden dışlayabilir miyim?

Evet, bunu yapmak için Azure PowerShell kullanabilirsiniz:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Azure Firewall'da hiçbir kural bu trafiğe izin vermese bile tcp ping ve benzer araçlar neden hedef FQDN'ye başarıyla bağlanabilir?

TCP ping aslında hedef FQDN'ye bağlanmıyor. Azure Firewall, izin veren açık bir kural olmadığı sürece herhangi bir hedef IP adresine/FQDN'ye bağlantı yapılmasına izin vermez.

TCP ping, izin verilen bir kural yoksa TCP ping hedef IP adresine/FQDN'ye ulaşmasa bile Güvenlik Duvarı'nın istemcinin TCP ping isteğine yanıt verdiği benzersiz bir kullanım örneğidir. Bu durumda olay günlüğe kaydedilmez. Hedef IP adresine/FQDN'ye erişime izin veren bir ağ kuralı varsa, ping isteği hedef sunucuya ulaşır ve yanıtı istemciye geri geçirilir. Bu olay Ağ kuralları günlüğüne kaydedilir.

TCP ping ve benzer araçlar neden 80, 443 ve 1433 numaralı bağlantı noktalarında hedef FQDN/IP adresine başarıyla bağlanıyor, ancak Azure Firewall günlüklerinde gözlemlenmez?

Azure Firewall 80, 443 ve 1433 bağlantı noktaları için pasif dinleyici işlevi görür. Azure Firewall, uygulama trafiği olmadığı sürece bu bağlantı noktalarında TCP SYN paketlerini günlüğe kaydetmez. HTTP GET isteği ve TLS istemci merhabası Azure Güvenlik Duvarı'nda kayıt edilir.

IP Grupları tarafından desteklenen IP adresi sayısı için sınırlar var mı?

Evet. Daha fazla bilgi için bkz. Azure abonelik ve hizmet sınırları, kotalar ve kısıtlamalar

IP Grubunu başka bir kaynak grubuna taşıyabilir miyim?

Hayır, bir IP Grubunu başka bir kaynak grubuna taşımak şu anda desteklenmiyor.

Azure Firewall için TCP Boşta Kalma Zaman Aşımı nedir?

Ağ güvenlik duvarının standart davranışı TCP bağlantılarının canlı tutulduğundan emin olmak ve etkinlik yoksa bunları hemen kapatmaktır. Azure Firewall TCP Boşta Kalma Zaman Aşımı dört dakikadır. Bu ayar kullanıcı tarafından yapılandırılamaz, ancak gelen ve giden bağlantılarda Boşta Kalma Zaman Aşımı'nı 15 dakikaya kadar artırmak için Azure Desteği'ne başvurabilirsiniz. Doğu-batı trafiği için boşta kalma zaman aşımı değiştirilemez.

Etkinlik dışı kalma süresi zaman aşımı değerinden uzunsa TCP veya HTTP oturumunun korunduğunun garantisi yoktur. Tcp etkin tutma özelliğini kullanmak yaygın bir uygulamadır. Bu uygulama, bağlantıyı daha uzun süre etkin tutar. Daha fazla bilgi için bkz. .NET örnekleri.

genel IP adresi olmadan Azure Firewall dağıtabilir miyim?

Evet, ancak güvenlik duvarını Zorlamalı Tünel Modu'nda yapılandırmanız gerekir. Bu yapılandırma, Azure Firewall tarafından işlemleri için kullanılan genel IP adresine sahip bir yönetim arabirimi oluşturur. Bu genel IP adresi yönetim trafiği içindir. Yalnızca Azure platformu tarafından kullanılır ve başka bir amaçla kullanılamaz. Kiracı veri yolu ağı, genel bir IP adresi olmadan yapılandırılabilir ve internet trafiği başka bir güvenlik duvarına zorla tünel edilebilir veya tamamen engellenebilir.

Azure Firewall müşteri verilerini nerede depolar?

Azure Firewall müşteri verilerini dağıtılan bölgenin dışına taşımaz veya depolamaz.

Azure Firewall ve ilkeleri otomatik olarak yedeklemenin bir yolu var mı?

Evet. Detaylı bilgi için Logic Apps ile Backup Azure Firewall ve Azure Firewall Politikası bölümüne bakın.

Güvenli sanal merkezlerde (vWAN) Azure Firewall Katar'da destekleniyor mu?

Hayır, şu anda güvenli sanal hub'larda (vWAN) Azure Firewall Katar'da desteklenmemektedir.

Azure Firewall kaç paralel bağlantı destekleyebilir?

Azure Firewall, altında sabit bağlantı sayısı sınırı olan Azure Virtual Machines kullanır. Sanal makine başına toplam etkin bağlantı sayısı 250 bindir.

Güvenlik duvarı başına toplam sınır, sanal makine bağlantı sınırı (250k) x güvenlik duvarı arka uç havuzundaki sanal makine sayısıdır. Azure Firewall iki sanal makineyle başlar ve CPU kullanımına ve aktarım hızına göre ölçeği genişletebilir.

Azure Firewall'da SNAT TCP/UDP bağlantı noktası yeniden kullanım davranışı nedir?

Azure Firewall şu anda boşta bekleme süresi olmadan giden SNAT trafiği için TCP/UDP kaynak bağlantı noktalarını kullanıyor. BIR TCP/UDP bağlantısı kapatıldığında, kullanılan TCP bağlantı noktası yaklaşan bağlantılar için hemen kullanılabilir olarak görülür.

Belirli mimariler için geçici bir çözüm olarak, değişkenlik ve kullanılabilirlik için daha geniş bir SNAT bağlantı noktası havuzu sağlamak üzere NAT Ağ Geçidi ile Azure Firewall dağıtabilir ve ölçeklendirebilirsiniz.

Azure Firewall'da NAT davranışları nelerdir?

Belirli NAT davranışları, güvenlik duvarının yapılandırmasına ve yapılandırılan NAT türüne bağlıdır. Örneğin, güvenlik duvarında gelen trafik için DNAT kuralları, güvenlik duvarı üzerinden giden trafik için ağ kuralları ve uygulama kuralları bulunur.

Daha fazla bilgi için bkz. Azure Firewall NAT Davranışları.

Zaman aşımları ve ölçeklendirme

Bağlantı boşaltma nasıl çalışır?

Planlı bakımlar için bağlantı boşaltma mantığı arka uç düğümlerini düzgün bir şekilde güncelleştirir. Azure Firewall mevcut bağlantıların kapatılması için 90 saniye bekler. İlk 45 saniye içinde arka uç düğümü yeni bağlantıları kabul etmez ve kalan süre içinde tüm gelen paketlere RST yanıt verir. Gerekirse, istemciler başka bir arka uç düğümüne bağlantıyı otomatik olarak yeniden kurabilir.

Azure Firewall, Sanal Makine Ölçek Kümesi ölçeği küçültme veya filo yazılımı güncellemeleri sırasında VM örneği kapatmalarını nasıl işler?

Sanal Makine Ölçek Kümesi küçültülürken veya filo yazılım güncellemesi sırasında bir Azure Firewall VM örneği kapatılabilir. Bu durumlarda, yeni gelen bağlantılar kalan güvenlik duvarı örneklerine yük dengelenir ve düşen güvenlik duvarı örneğine iletilmez. 45 saniye sonra, güvenlik duvarı TCP RST paketleri göndererek mevcut bağlantıları reddetmeye başlar. 45 saniye sonra güvenlik duvarı VM'sini kapatır. Daha fazla bilgi için bkz. Load Balancer TCP Sıfırlama ve Boşta Kalma Zaman Aşımı.

Azure Firewall ölçeğinin genişlemesi ne kadar zaman alır?

Azure Firewall ortalama aktarım hızı veya CPU tüketimi 60%olduğunda veya bağlantı kullanımı 80%olduğunda aşamalı olarak ölçeklendirilir. Örneğin, maksimum iş çıkarma yeteneğinin %60'ını aştığında ölçeği genişletmeye başlar. Maksimum aktarım hızı sayısı, Azure Firewall SKU'su ve etkin özelliklere göre değişir. Daha fazla bilgi için bkz. Azure Firewall performance.

Ölçek genişletme beş ile yedi dakika alır. Performans testi yaparken, en az 10-15 dakika boyunca test ettiğinizden ve yeni oluşturulan Azure Firewall düğümlerinden yararlanmak için yeni bağlantılar başlattığınızdan emin olun.

Azure Firewall boşta kalma zaman aşımlarını nasıl işler?

Bağlantının Boşta Kalma Zaman Aşımı (etkinlik olmadan dört dakika) olduğunda Azure Firewall TCP RST paketi göndererek bağlantıyı düzgün bir şekilde sonlandırır.

Müşteri tarafından kontrol edilen bakım

Müşteri kontrolündeki bakım, ne tür bir bakımı destekler?

Azure hizmetleri işlevselliği, güvenilirliği, performansı ve güvenliği geliştirmek için düzenli bakım güncelleştirmelerinden geçer. Yapılandırılmış bakım süresiyle konuk işletim sistemi bakımı ve hizmet bakımı bu pencere sırasında gerçekleştirilir. Ancak müşteri tarafından denetlenen bakım, konak güncelleştirmelerini veya kritik güvenlik güncelleştirmelerini içermez.

Bakım olayının gelişmiş bildirimini alabilir miyim?

Azure Firewall bakımı için önceden bilgilendirme sağlanmamaktadır.

Beş saatten kısa bir bakım penceresi yapılandırabilir miyim?

Hayır, en az beş saatlik bakım penceresi gerekir.

Günlük zamanlama dışında bir bakım penceresi yapılandırabilir miyim?

Hayır, bakım pencereleri şu anda günlük olarak yinelenecek şekilde yapılandırılıyor.

Bazı güncelleştirmeleri denetleyememe gibi durumlar var mı?

Müşteri tarafından denetlenen bakım, müşterilerle ilgili bakım öğelerinin çoğunu oluşturan konuk işletim sistemini ve hizmet güncelleştirmelerini destekler. Ancak, konak güncelleştirmeleri gibi bazı güncelleştirmeler, müşterinin kontrolünde olan bakım kapsamı dışındadır. Nadir durumlarda, yüksek önem derecesindeki güvenlik sorunlarını gidermek için bakım penceresi denetiminizi geçersiz kılabiliriz.

Bakım yapılandırma kaynaklarının Azure Firewall ile aynı bölgede olması gerekiyor mu?

Evet.

Tek bir Azure Firewall için birden fazla bakım yapılandırması oluşturabilir miyiz?

Hayır Şu anda bir Azure Firewall ile yalnızca bir bakım yapılandırması ilişkilendirilebilir.

Müşteri tarafından denetlenen bakımı kullanmak için hangi Azure Firewall SKU'ları yapılandırabilirim?

Tüm Azure Firewall SKU'ları - Temel, Standart ve Premium, müşteri tarafından denetlenen bakımı destekler.

Bakım yapılandırma ilkesinin Azure Firewall atandıktan sonra etkili olması ne kadar sürer?

bakım ilkesi ilişkilendirildikten sonra Azure Firewall bakım zamanlamasını izlemesi 24 saat kadar sürebilir.

Azure Firewall kaynaklarımdan biri için gelecekteki bir tarih için bir bakım penceresi zamanladım. Bakım faaliyetleri o zamana kadar bu kaynakta durduruldu mu?

Azure Firewall bakım etkinlikleri, zamanlanan bakım penceresinden önceki süre boyunca duraklatılamaz. Bakım zamanlamanıza dahil olmayan günler için, düzenli bakım işlemleri kaynakta her zamanki gibi devam ediyor.

Azure Firewall müşteri tarafından yönetilen bakım hakkında nasıl daha fazla bilgi edinebilirim?

Daha fazla bilgi için bakınız Müşteri denetimli bakımın yapılandırılması.

Azure Firewall, Azure Virtual Network kaynaklarınızı koruyan yönetilen, bulut tabanlı bir ağ güvenlik hizmetidir. Yerleşik yüksek kullanılabilirlik ve sınırsız bulut ölçeklenebilirliği ile hizmet olarak tam durum bilgisi olan bir güvenlik duvarıdır. Abonelikler ve sanal ağlar genelinde uygulama ve ağ bağlantısı ilkelerini merkezi olarak oluşturabilir, zorlayabilir ve kaydedebilirsiniz.

Azure Firewall özelliklerinin ayrıntılı listesi için bkz. Azure Firewall özellikleri.

Azure Firewall herhangi bir sanal ağa dağıtılabilir. Ancak, genellikle bir merkez-çevre modeliyle merkezi bir sanal ağa dağıtılır ve diğer sanal ağlar buna eşlenir. Eşlenen sanal ağlardan gelen varsayılan yol, bu merkezi güvenlik duvarı sanal ağına işaret edecek şekilde olarak ayarlanır. Genel sanal ağ eşlemesi desteklense de, bölgeler arasında olası performans ve gecikme sorunları nedeniyle önerilmez. En iyi performans için bölge başına bir güvenlik duvarı dağıtın.

Bu model, farklı aboneliklerde birden çok uç sanal ağı üzerinde merkezi denetime olanak tanır ve her sanal ağa güvenlik duvarı dağıtma gereksinimini ortadan kaldırarak maliyet tasarrufu sağlar. Maliyet tasarrufu, trafik desenlerine göre ilişkili eşleme maliyetlerine göre değerlendirilmelidir.

Azure Firewall Azure portalı, PowerShell, REST API veya şablonlar kullanılarak dağıtılabilir. Adım adım yönergeler için bkz. Tutorial: Azure portalını kullanarak Azure Firewall dağıtma ve yapılandırma.

Azure Firewall kuralları ve kural koleksiyonlarını kullanır. Kural koleksiyonu, aynı sıra ve önceliğe sahip bir kural kümesidir. Kural koleksiyonları öncelik sırasına göre yürütülür. DNAT kural koleksiyonları, ağ kuralı koleksiyonlarından daha yüksek önceliğe sahiptir ve bu da uygulama kuralı koleksiyonlarından daha yüksek önceliğe sahiptir. Tüm kurallar sona eriyor.

Üç tür kural koleksiyonu vardır:

• Uygulama kuralları: Sanal ağdan erişilebilen tam etki alanı adlarını (FQDN) yapılandırın.
• Ağ kuralları: Kaynak adresler, protokoller, hedef bağlantı noktaları ve hedef adreslerle kuralları yapılandırın.
• NAT kuralları: GELEN İnternet veya intranet (önizleme) bağlantılarına izin vermek için DNAT kurallarını yapılandırın.

Daha fazla bilgi için bkz. Azure Firewall kurallarını yapılandırma.

Azure Firewall, günlükleri görüntülemek ve analiz etmek için Azure Monitor ile tümleşir. Günlükler Log Analytics, Azure Storage veya Event Hubs'a gönderilebilir ve Log Analytics, Excel veya Power BI gibi araçlar kullanılarak analiz edilebilir. Daha fazla bilgi için bkz. Tutorial: Azure Firewall günlüklerini izleme.

Azure Firewall, sanal ağ kaynaklarını koruyan yönetilen, bulut tabanlı bir ağ güvenlik hizmetidir. Yerleşik yüksek kullanılabilirlik ve sınırsız bulut ölçeklenebilirliği ile hizmet olarak tam durum bilgisi olan bir güvenlik duvarıdır. Sanal ağ ve şube İnternet bağlantılarının güvenliğini artırmak için üçüncü taraf hizmet olarak güvenlik (SECaaS) sağlayıcılarıyla önceden entegre edilmiştir. Daha fazla bilgi için bkz. Azure ağ güvenliği.

Application Gateway WAF, yaygın saldırı tekniklerine ve güvenlik açıklarına karşı web uygulamaları için merkezi gelen koruma sağlar. Azure Firewall, HTTP/S olmayan protokoller (RDP, SSH, FTP gibi) için gelen koruma, tüm bağlantı noktaları ve protokoller için giden ağ düzeyinde koruma ve giden HTTP/S için uygulama düzeyinde koruma sağlar.

Azure Firewall, daha iyi "derinlemesine savunma" ağ güvenliği sağlamak için NSG'leri tamamlar. NSG'ler, her abonelikteki sanal ağlar içindeki trafiği sınırlamak için dağıtılmış ağ katmanı trafik filtrelemesi sunar. Azure Firewall, abonelikler ve sanal ağlar arasında merkezi, tam durum bilgisi olan ağ ve uygulama düzeyinde koruma sağlar.

Azure Firewall, NIC düzeyinde NSG'ler ile platform koruması da dahil olmak üzere birden çok koruma katmanına sahip yönetilen bir hizmettir (görüntülenemez). AzureFirewallSubnet'te alt ağ düzeyinde NSG'ler gerekli değildir ve hizmet kesintilerini önlemek için devre dışı bırakılır.

Özel uç noktalar, genel ip adresleri yerine özel IP adresleri kullanarak Azure PaaS hizmetleriyle etkileşime geçen bir teknoloji olan Private Link bileşenidir. Azure Firewall, genel IP adreslerine erişimi engellemek ve böylece Private Link kullanmayan Azure hizmetlerine veri sızdırmayı önlemek için kullanılabilir. Ayrıca, Private Link varsayılan olarak tüm kurumsal ağınız için ağ erişimini açtığı için sıfır güven ilkelerini uygulayarak kuruluşunuzda bu Azure PaaS hizmetlerine erişmesi gerekenleri belirleyebilirsiniz.

Azure Firewall ile özel uç noktalara gelen trafiği incelemek için doğru tasarım ağ mimarinize bağlıdır. Özel uç noktaya yönelik trafiği incelemek için Azure Firewall senaryoları makalesinde daha fazla ayrıntı bulabilirsiniz.

Virtual Network hizmet uç noktaları, Azure PaaS hizmetlerine ağ erişimini denetlemek için Private Link alternatiftir. İstemci PaaS hizmetine erişmek için hala genel IP adresleri kullansa bile, hedef PaaS hizmetinin filtre kurallarını uygulayabilmesi ve alt ağ temelinde erişimi kısıt edebilmesi için kaynak alt ağ görünür hale getirilir. Her iki mekanizma arasındaki ayrıntılı karşılaştırmayı Özel Uç Noktaları ve Hizmet Uç Noktalarını Karşılaştırma bölümünde bulabilirsiniz.

Azure Firewall uygulama kuralları, sahte hizmetlere veri sızdırmanın gerçekleşmediğinden emin olmak ve alt ağ düzeyinin ötesinde daha fazla ayrıntı düzeyine sahip erişim ilkeleri uygulamak için kullanılabilir. Genellikle bir Azure hizmetine bağlanacak istemcinin alt ağında sanal ağ hizmet uç noktalarının etkinleştirilmesi gerekir. Ancak, Azure Firewall ile hizmet uç noktalarına gelen trafiği incelerken, bunun yerine Azure Firewall alt ağında ilgili hizmet uç noktasını etkinleştirmeniz ve bunları gerçek istemcinin alt ağında (genellikle bir uç sanal ağ) devre dışı bırakmanız gerekir. Bu şekilde, Azure iş yüklerinizin hangi Azure hizmetlere erişebileceğini denetlemek için Azure Firewall Uygulama Kuralları'na erişebilirsiniz.

Fiyatlandırma ayrıntıları için bkz. Azure Firewall Pricing.

Hizmet sınırları için bkz. Azure abonelik ve hizmet sınırları, kotalar ve kısıtlamalar.

Azure Firewall müşteri verilerini dağıtıldığı bölgenin dışına taşımaz veya depolamaz.

Hayır, güvenli sanal merkezlerdeki (vWAN) Azure Firewall şu anda Katar'da desteklenmemektedir.

Evet, Azure Firewall hem gelen hem de giden trafik filtrelemeyi destekler. Gelen filtreleme genellikle RDP, SSH ve FTP gibi HTTP dışı protokoller için kullanılır. Gelen HTTP ve HTTPS trafiği için Azure Web Application Firewall (WAF) veya Azure Firewall Premium TLS yük boşaltma ve derin paket inceleme özellikleri gibi bir web uygulaması güvenlik duvarı kullanmayı göz önünde bulundurun.

Evet, Azure Güvenlik Duvarı Temel zorunlu tünellemeyi destekler.

TCP ping aslında hedef FQDN'ye bağlanmaz. Azure Firewall, bir kural tarafından açıkça izin verilmediği sürece herhangi bir hedef IP adresine veya FQDN'ye bağlantıları engeller.

TCP pingi durumunda trafiğe izin veren bir kural yoksa Güvenlik Duvarı istemcinin TCP ping isteğine yanıt verir. Bu yanıt hedef IP adresine veya FQDN'ye ulaşmaz ve günlüğe kaydedilmez. Bir ağ kuralı açıkça hedef IP adresine veya FQDN'ye erişime izin veriyorsa, ping isteği hedef sunucuya ulaşır ve yanıtı istemciye geri geçirilir. Bu olay Ağ kuralları günlüğüne kaydedilir.

Hayır, Azure Firewall BGP eşlemesini yerel olarak desteklemez. Ancak Autolearn SNAT yolları özelliği Azure Route Server aracılığıyla BGP'yi dolaylı olarak kullanır.

Azure Firewall ESP'yi yerel olarak desteklemez (Güvenlik Yükünü Kapsülleme), ancak aşağıdaki gibi bir ağ kuralı yapılandırarak ESP trafiğine izin vekleyebilirsiniz:

Azure Firewall yapılandırması (Ağ Kuralı):

• Protokol: Hepsi
• Kaynak bağlantı noktası: * (Herhangi biri)
• Hedef bağlantı noktası: * (Herhangi biri)
• Kaynak/Hedef: Ip adreslerini gerektiği gibi belirtin

Bu yapılandırma, ESP paketlerinin (IP protokolü numarası 50) ve TCP/UDP olmayan diğer trafiğin kuralla eşleşmesini sağlar. Ancak, Azure Firewall ESP yüklerini incelemediğini unutmayın.

Reference: Azure Firewall: NSG, ESP (IP protokolü numarası 50) belirtmek için doğrudan bir seçenek sağlamaz, ancak ESP paketlerine aşağıdaki ayarlar kullanılarak izin verilebiliyor:

• Protokol: Hepsi
• Bağlantı noktası: * (Herhangi biri)
• Kaynak/Hedef: Ip adreslerini gerektiği gibi belirtin

Öneriler:

• IPsec VPN yapılandırmaları için Azure VPN Gateway kullanılması önerilir.
• Gereksinimlerinize bağlı olarak bir NVA (Ağ Sanal Gereci) şablonu kullanmayı göz önünde bulundurun.

Azure Firewall serbest bırakmak ve ayırmak için Azure PowerShell kullanabilirsiniz. İşlem, yapılandırmaya bağlı olarak değişir.

Yönetim NIC'i olmayan bir güvenlik duvarı için:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Yönetim NIC'sini içeren bir güvenlik duvarı için:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Güvenli bir sanal hub'daki güvenlik duvarı için:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Not

Güvenlik duvarını durdurup başlatırken faturalama durdurulur ve buna göre başlatılır. Ancak, özel IP adresi değişebilir ve bu da yol tabloları yapılandırılırsa bağlantıyı etkileyebilir.

İlk dağıtım sırasında kullanılabilirlik alanlarının yapılandırılması önerilir. Ancak, dağıtımdan sonra aşağıdakiler durumunda bunları yeniden yapılandırabilirsiniz:

• Güvenlik duvarı bir sanal ağda dağıtılır (güvenli sanal hub'larda desteklenmez).
• Bölge, kullanılabilirlik alanlarını desteklemektedir.
• Tüm ekli genel IP adresleri aynı bölgelerle yapılandırılır.

Kullanılabilirlik alanlarını yeniden yapılandırmak için:

1. Güvenlik duvarını serbest bırakma:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Bölge yapılandırmasını güncelleştirin ve güvenlik duvarını ayırın:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Evet:

• Azure Firewall ve sanal ağ aynı kaynak grubunda olmalıdır.
• Genel IP adresi farklı bir kaynak grubunda olabilir.
• Tüm kaynaklar (Azure güvenlik duvarı, sanal ağ, genel IP) aynı abonelikte olmalıdır.

Başarısız sağlama durumu, bir veya daha fazla arka uç örneğinde yapılandırma güncelleştirmesinin başarısız olduğunu gösterir. Azure Firewall çalışır durumda kalır, ancak yapılandırma tutarsız olabilir. Sağlama durumu Başarılı olarak değişene kadar güncelleştirmeyi yeniden deneyin.

Azure Firewall, birden çok arka uç düğümüne sahip aktif-aktif bir yapılandırma kullanır. Planlı bakım sırasında bağlantı tahliyesi, sorunsuz güncellemeler yapılmasını sağlar. Planlanmamış hatalar için, başarısız olanın yerini yeni bir düğüm alır ve bağlantı genellikle 10 saniye içinde geri yüklenir.

Evet, güvenlik duvarı adları 50 karakterle sınırlıdır.

/26 alt ağı, Azure Firewall ek sanal makine örnekleri sağladığından ölçeklendirme için yeterli IP adresleri sağlar.

Hayır, /26 alt ağı tüm ölçeklendirme senaryoları için yeterlidir.

Azure Firewall CPU kullanımına, aktarım hızına ve bağlantı sayısına göre otomatik olarak ölçeklendirilir. Aktarım hızı kapasitesi başlangıçta 2,5-3 Gb/sn ile 30 Gb/sn (Standart SKU) veya 100 Gb/sn (Premium SKU) arasında değişir.

Evet. Ayrıntılar için bkz. Azure abonelik ve hizmet sınırları, kotalar ve kısıtlamalar.

Hayır, bir IP Grubunu başka bir kaynak grubuna taşımak şu anda desteklenmiyor.

Ağ güvenlik duvarının standart davranışı TCP bağlantılarının canlı tutulduğundan emin olmak ve etkinlik yoksa bunları hemen kapatmaktır. Azure Firewall TCP Boşta Kalma Zaman Aşımı dört dakikadır. Bu ayar kullanıcı tarafından yapılandırılamaz, ancak gelen ve giden bağlantılarda Boşta Kalma Zaman Aşımı'nı 15 dakikaya kadar artırmak için Azure Desteği'ne başvurabilirsiniz. Doğu-batı trafiği için boşta kalma zaman aşımı değiştirilemez.

Etkinlik dışı kalma süresi zaman aşımı değerinden uzunsa TCP veya HTTP oturumunun korunduğunun garantisi yoktur. Tcp etkin tutma özelliğini kullanmak yaygın bir uygulamadır. Bu uygulama, bağlantıyı daha uzun süre etkin tutar. Daha fazla bilgi için bkz. .NET örnekleri.

Evet, ancak güvenlik duvarını Zorlamalı Tünel Modu'nda yapılandırmanız gerekir. Bu yapılandırma, Azure Firewall tarafından işlemleri için kullanılan genel IP adresine sahip bir yönetim arabirimi oluşturur. Bu genel IP adresi yönetim trafiği içindir. Yalnızca Azure platformu tarafından kullanılır ve başka bir amaçla kullanılamaz. Kiracı veri yolu ağı, genel bir IP adresi olmadan yapılandırılabilir ve internet trafiği başka bir güvenlik duvarına zorla tünel edilebilir veya tamamen engellenebilir.

Evet. Detaylı bilgi için Logic Apps ile Backup Azure Firewall ve Azure Firewall Politikası bölümüne bakın.

PaaS hizmetlerine güvenli erişim için hizmet uç noktalarını öneririz. Azure Firewall alt ağında hizmet uç noktalarını etkinleştirmeyi ve bağlı uç sanal ağlarda devre dışı bırakabilirsiniz. Bu şekilde her iki özellikten de yararlanabilirsiniz: hizmet uç noktası güvenliği ve tüm trafik için merkezi kayıt tutma.

Evet, birden çok uç sanal ağı arasındaki trafiği yönlendirmek ve filtrelemek için merkez sanal ağında Azure Firewall kullanabilirsiniz. Uç sanal ağlarının her birindeki alt ağların, bu senaryonun doğru bir şekilde çalışması için varsayılan ağ geçidi olarak Azure Firewall'a işaret eden bir UDR'ye sahip olması gerekir.

Evet. Ancak, UDR'leri aynı sanal ağdaki alt ağlar arasındaki trafiği yeniden yönlendirecek şekilde yapılandırmak daha fazla dikkat gerektirir. Sanal ağ adres aralığını UDR için hedef ön ek olarak kullanmak yeterli olsa da, bu aynı zamanda Azure Firewall örneği aracılığıyla bir makinedeki tüm trafiği aynı alt ağdaki başka bir makineye yönlendirir. Bunu önlemek için, sonraki atlama türü sanal ağ olan UDR'ye alt ağ için bir yol ekleyin. Bu yolları yönetmek zahmetli ve hataya eğilimli olabilir. İç ağ segmentasyonu için önerilen yöntem, UDR gerektirmeyen Ağ Güvenlik Gruplarını kullanmaktır.

Azure Firewall, hedef IP adresi IANA RFC 1918 veya IANA RFC 6598 uyarınca özel bir IP aralığı olduğunda SNAT yapmaz. Kuruluşunuz özel ağlar için bir genel IP adresi aralığı kullanıyorsa Azure Firewall Trafiği AzureFirewallSubnet'teki güvenlik duvarı özel IP adreslerinden birine yönlendirir. Azure Firewall'ı genel IP adresi aralığınızı SNAT yapmaması için yapılandırabilirsiniz. Daha fazla bilgi için bkz. Azure Firewall SNAT özel IP adresi aralıkları.

Ayrıca, uygulama kuralları tarafından işlenen trafik her zaman SNAT işlemine tabi tutulur. FQDN trafiği için günlüklerinizde özgün kaynak IP adresini görmek istiyorsanız, hedef FQDN ile ağ kurallarını kullanabilirsiniz.

Zorlamalı tünel, yeni bir güvenlik duvarı oluşturulurken desteklenir ve zorlamalı tünel için bir yönetim NIC'i eklenerek mevcut güvenlik duvarları için de desteklenir. Yeni dağıtımlar hakkında daha fazla bilgi için, Azure Firewall zorunlu tünelleme'ye bakın. Mevcut güvenlik duvarları için bkz. Azure Firewall Management NIC.

Azure Firewall doğrudan İnternet bağlantısı olmalıdır. AzureFirewallSubnet'iniz BGP aracılığıyla şirket içi ağınıza varsayılan bir yol öğrenirse, doğrudan İnternet bağlantısını korumak için NextHopType değeri İnternet olarak ayarlanmış bir 0.0.0.0/0 UDR ile bunu geçersiz kılmanız gerekir.

Yapılandırmanız bir şirket içi ağa zorlamalı tünel oluşturmayı gerektiriyorsa ve İnternet hedeflerinizin hedef IP ön eklerini belirleyebilirseniz, bu aralıkları şirket içi ağ ile AzureFirewallSubnet üzerinde kullanıcı tanımlı bir yol üzerinden sonraki atlama olarak yapılandırabilirsiniz. Alternatif olarak, bu yolları tanımlamak için BGP'yi de kullanabilirsiniz.

• URL - Yıldız işareti, en sağdaki veya en soldaki tarafa yerleştirildiğinde çalışır. Sol taraftaysa, FQDN'nin bir parçası olamaz.
• FQDN - Yıldız işareti en sol tarafa yerleştirildiğinde çalışır.
• GENEL - En sol taraftaki yıldız işareti, tam anlamıyla sol eşleşmelerdeki her şeyi ifade eder; yani birden çok alt etki alanı ve/veya istenmeyebilecek etki alanı adı varyasyonları eşleştirilir. Aşağıdaki örneklere bakın.

Örnekler:

Tür	Kural	Destekleniyor mu?	Olumlu örnekler
Hedef URL'si	www.contoso.com	Evet	www.contoso.com www.contoso.com/
Hedef URL'si	*.contoso.com	Evet	any.contoso.com/ sub1.any.contoso.com
Hedef URL'si	*contoso.com	Evet	example.anycontoso.com sub1.example.contoso.com contoso.com Uyarı: Bu joker karakter kullanımı, th3re4lcontoso.com gibi istenmeyebilecek veya riskli olabilecek varyasyonlara da izin verir; dikkatli kullanın.
Hedef URL'si	www.contoso.com/test	Evet	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
Hedef URL'si	www.contoso.com/test/*	Evet	www.contoso.com/test/anything Not: www.contoso.com/testeşleşmiyor (son eğik çizgi)
Hedef URL'si	www.contoso.*/test/*	Hayır
Hedef URL'si	www.contoso.com/test?example=1	Hayır
Hedef URL'si	www.contoso.*	Hayır
Hedef URL'si	www.*contoso.com	Hayır
Hedef URL'si	www.contoso.com:8080	Hayır
Hedef URL'si	*.contoso.*	Hayır
Hedef FQDN	www.contoso.com	Evet	www.contoso.com
Hedef FQDN	*.contoso.com	Evet	any.contoso.com Not: Özellikle contoso.com'a izin vermek istiyorsanız, kurala contoso.com eklemeniz gerekir. Aksi takdirde, istek herhangi bir kuralla eşleşmediğinden bağlantı varsayılan olarak bırakılır.
Hedef FQDN	*contoso.com	Evet	example.anycontoso.com contoso.com
Hedef FQDN	www.contoso.*	Hayır
Hedef FQDN	*.contoso.*	Hayır

Hayır Azure Firewall varsayılan olarak Active Directory erişimi engeller. Erişime izin vermek için AzureActiveDirectory hizmet etiketini yapılandırın. Daha fazla bilgi için bkz. Azure Firewall hizmet etiketleri.

Evet, bunu yapmak için Azure PowerShell kullanabilirsiniz:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

TCP ping aslında hedef FQDN'ye bağlanmıyor. Azure Firewall, izin veren açık bir kural olmadığı sürece herhangi bir hedef IP adresine/FQDN'ye bağlantı yapılmasına izin vermez.

TCP ping, izin verilen bir kural yoksa TCP ping hedef IP adresine/FQDN'ye ulaşmasa bile Güvenlik Duvarı'nın istemcinin TCP ping isteğine yanıt verdiği benzersiz bir kullanım örneğidir. Bu durumda olay günlüğe kaydedilmez. Hedef IP adresine/FQDN'ye erişime izin veren bir ağ kuralı varsa, ping isteği hedef sunucuya ulaşır ve yanıtı istemciye geri geçirilir. Bu olay Ağ kuralları günlüğüne kaydedilir.

Azure Firewall 80, 443 ve 1433 bağlantı noktaları için pasif dinleyici işlevi görür. Azure Firewall, uygulama trafiği olmadığı sürece bu bağlantı noktalarında TCP SYN paketlerini günlüğe kaydetmez. HTTP GET isteği ve TLS istemci merhabası Azure Güvenlik Duvarı'nda kayıt edilir.

Evet. Daha fazla bilgi için bkz. Azure abonelik ve hizmet sınırları, kotalar ve kısıtlamalar

Hayır, bir IP Grubunu başka bir kaynak grubuna taşımak şu anda desteklenmiyor.

Ağ güvenlik duvarının standart davranışı TCP bağlantılarının canlı tutulduğundan emin olmak ve etkinlik yoksa bunları hemen kapatmaktır. Azure Firewall TCP Boşta Kalma Zaman Aşımı dört dakikadır. Bu ayar kullanıcı tarafından yapılandırılamaz, ancak gelen ve giden bağlantılarda Boşta Kalma Zaman Aşımı'nı 15 dakikaya kadar artırmak için Azure Desteği'ne başvurabilirsiniz. Doğu-batı trafiği için boşta kalma zaman aşımı değiştirilemez.

Etkinlik dışı kalma süresi zaman aşımı değerinden uzunsa TCP veya HTTP oturumunun korunduğunun garantisi yoktur. Tcp etkin tutma özelliğini kullanmak yaygın bir uygulamadır. Bu uygulama, bağlantıyı daha uzun süre etkin tutar. Daha fazla bilgi için bkz. .NET örnekleri.

Evet, ancak güvenlik duvarını Zorlamalı Tünel Modu'nda yapılandırmanız gerekir. Bu yapılandırma, Azure Firewall tarafından işlemleri için kullanılan genel IP adresine sahip bir yönetim arabirimi oluşturur. Bu genel IP adresi yönetim trafiği içindir. Yalnızca Azure platformu tarafından kullanılır ve başka bir amaçla kullanılamaz. Kiracı veri yolu ağı, genel bir IP adresi olmadan yapılandırılabilir ve internet trafiği başka bir güvenlik duvarına zorla tünel edilebilir veya tamamen engellenebilir.

Azure Firewall müşteri verilerini dağıtılan bölgenin dışına taşımaz veya depolamaz.

Evet. Detaylı bilgi için Logic Apps ile Backup Azure Firewall ve Azure Firewall Politikası bölümüne bakın.

Hayır, şu anda güvenli sanal hub'larda (vWAN) Azure Firewall Katar'da desteklenmemektedir.

Azure Firewall, altında sabit bağlantı sayısı sınırı olan Azure Virtual Machines kullanır. Sanal makine başına toplam etkin bağlantı sayısı 250 bindir.

Güvenlik duvarı başına toplam sınır, sanal makine bağlantı sınırı (250k) x güvenlik duvarı arka uç havuzundaki sanal makine sayısıdır. Azure Firewall iki sanal makineyle başlar ve CPU kullanımına ve aktarım hızına göre ölçeği genişletebilir.

Azure Firewall şu anda boşta bekleme süresi olmadan giden SNAT trafiği için TCP/UDP kaynak bağlantı noktalarını kullanıyor. BIR TCP/UDP bağlantısı kapatıldığında, kullanılan TCP bağlantı noktası yaklaşan bağlantılar için hemen kullanılabilir olarak görülür.

Belirli mimariler için geçici bir çözüm olarak, değişkenlik ve kullanılabilirlik için daha geniş bir SNAT bağlantı noktası havuzu sağlamak üzere NAT Ağ Geçidi ile Azure Firewall dağıtabilir ve ölçeklendirebilirsiniz.

Belirli NAT davranışları, güvenlik duvarının yapılandırmasına ve yapılandırılan NAT türüne bağlıdır. Örneğin, güvenlik duvarında gelen trafik için DNAT kuralları, güvenlik duvarı üzerinden giden trafik için ağ kuralları ve uygulama kuralları bulunur.

Daha fazla bilgi için bkz. Azure Firewall NAT Davranışları.

Planlı bakımlar için bağlantı boşaltma mantığı arka uç düğümlerini düzgün bir şekilde güncelleştirir. Azure Firewall mevcut bağlantıların kapatılması için 90 saniye bekler. İlk 45 saniye içinde arka uç düğümü yeni bağlantıları kabul etmez ve kalan süre içinde tüm gelen paketlere RST yanıt verir. Gerekirse, istemciler başka bir arka uç düğümüne bağlantıyı otomatik olarak yeniden kurabilir.

Sanal Makine Ölçek Kümesi küçültülürken veya filo yazılım güncellemesi sırasında bir Azure Firewall VM örneği kapatılabilir. Bu durumlarda, yeni gelen bağlantılar kalan güvenlik duvarı örneklerine yük dengelenir ve düşen güvenlik duvarı örneğine iletilmez. 45 saniye sonra, güvenlik duvarı TCP RST paketleri göndererek mevcut bağlantıları reddetmeye başlar. 45 saniye sonra güvenlik duvarı VM'sini kapatır. Daha fazla bilgi için bkz. Load Balancer TCP Sıfırlama ve Boşta Kalma Zaman Aşımı.

Azure Firewall ortalama aktarım hızı veya CPU tüketimi 60%olduğunda veya bağlantı kullanımı 80%olduğunda aşamalı olarak ölçeklendirilir. Örneğin, maksimum iş çıkarma yeteneğinin %60'ını aştığında ölçeği genişletmeye başlar. Maksimum aktarım hızı sayısı, Azure Firewall SKU'su ve etkin özelliklere göre değişir. Daha fazla bilgi için bkz. Azure Firewall performance.

Ölçek genişletme beş ile yedi dakika alır. Performans testi yaparken, en az 10-15 dakika boyunca test ettiğinizden ve yeni oluşturulan Azure Firewall düğümlerinden yararlanmak için yeni bağlantılar başlattığınızdan emin olun.

Bağlantının Boşta Kalma Zaman Aşımı (etkinlik olmadan dört dakika) olduğunda Azure Firewall TCP RST paketi göndererek bağlantıyı düzgün bir şekilde sonlandırır.

Azure hizmetleri işlevselliği, güvenilirliği, performansı ve güvenliği geliştirmek için düzenli bakım güncelleştirmelerinden geçer. Yapılandırılmış bakım süresiyle konuk işletim sistemi bakımı ve hizmet bakımı bu pencere sırasında gerçekleştirilir. Ancak müşteri tarafından denetlenen bakım, konak güncelleştirmelerini veya kritik güvenlik güncelleştirmelerini içermez.

Azure Firewall bakımı için önceden bilgilendirme sağlanmamaktadır.

Hayır, en az beş saatlik bakım penceresi gerekir.

Hayır, bakım pencereleri şu anda günlük olarak yinelenecek şekilde yapılandırılıyor.

Müşteri tarafından denetlenen bakım, müşterilerle ilgili bakım öğelerinin çoğunu oluşturan konuk işletim sistemini ve hizmet güncelleştirmelerini destekler. Ancak, konak güncelleştirmeleri gibi bazı güncelleştirmeler, müşterinin kontrolünde olan bakım kapsamı dışındadır. Nadir durumlarda, yüksek önem derecesindeki güvenlik sorunlarını gidermek için bakım penceresi denetiminizi geçersiz kılabiliriz.

Evet.

Hayır Şu anda bir Azure Firewall ile yalnızca bir bakım yapılandırması ilişkilendirilebilir.

Tüm Azure Firewall SKU'ları - Temel, Standart ve Premium, müşteri tarafından denetlenen bakımı destekler.

bakım ilkesi ilişkilendirildikten sonra Azure Firewall bakım zamanlamasını izlemesi 24 saat kadar sürebilir.

Azure Firewall bakım etkinlikleri, zamanlanan bakım penceresinden önceki süre boyunca duraklatılamaz. Bakım zamanlamanıza dahil olmayan günler için, düzenli bakım işlemleri kaynakta her zamanki gibi devam ediyor.

Daha fazla bilgi için bakınız Müşteri denetimli bakımın yapılandırılması.