Azure Güvenlik Duvarı hakkında SSS

Azure Güvenlik Duvarı, Azure Sanal Ağ kaynaklarınızı koruyan yönetilen, bulut tabanlı bir güvenlik hizmetidir. Yerleşik yüksek kullanılabilirlik ve sınırsız bulut ölçeklenebilirliği ile hizmet olarak tam durum bilgisi olan bir güvenlik duvarıdır. Aboneliklerle sanal ağlarda uygulama ve ağ bağlantısı ilkelerini merkezi olarak oluşturabilir, zorlayabilir ve günlüğe alabilirsiniz.

Azure Güvenlik Duvarı özellikleri hakkında bilgi edinmek için bkz. Azure Güvenlik Duvarı özellikler.

Azure Güvenlik Duvarı'nı herhangi bir sanal ağa dağıtmak mümkündür ancak müşteriler genellikle bunu merkezde bulunan bir sanal ağa dağıtıp hub ve bağlı bileşen modeli kullanarak diğer sanal ağlarla eşler. Ardından eşlenmiş sanal ağlardan bu merkezi güvenlik duvarı sanal ağına işaret etmek için varsayılan yolu ayarlayabilirsiniz. Genel sanal ağ eşlemesi desteklenir, ancak bölgeler arasında olası performans ve gecikme sorunları nedeniyle önerilmez. En iyi performans için her bölgede ayrı bir güvenlik duvarı dağıtın.

Bu modelin avantajı, farklı aboneliklerdeki birden fazla bağlı bileşen sanal ağını tek bir merkezden yönetmektir. Ayrıca her sanal ağa ayrı olarak bir güvenlik duvarı dağıtmanız gerekmeyen maliyet tasarrufu da vardır. Maliyet tasarrufları, müşterinin trafik desenlerine bağlı olarak eş düğüm maliyetleriyle karşılaştırmalı olarak hesaplanmalıdır.

azure portalını, PowerShell'i, REST API'yi veya şablonları kullanarak Azure Güvenlik Duvarı ayarlayabilirsiniz. Adım adım yönergeler için bkz. Öğretici: Azure portalını kullanarak Azure Güvenlik Duvarı dağıtma ve yapılandırma.

Azure Güvenlik Duvarı kuralları ve kural koleksiyonlarını destekler. Kural koleksiyonu, aynı sırayı ve önceliği paylaşan bir kural kümesidir. Kural koleksiyonları önceliklerine göre yürütülür. DNAT kural koleksiyonları, uygulama kuralı koleksiyonlarından daha yüksek öncelikli ağ kuralı koleksiyonlarıdır ve tüm kurallar sonlandırıcıdır.

Üç tür kural koleksiyonu vardır:

• Uygulama kuralları: Bir Sanal Ağ erişilebilen tam etki alanı adlarını (FQDN) yapılandırın.
• Ağ kuralları: Kaynak adresleri, protokolleri, hedef bağlantı noktalarını ve hedef adresleri içeren kuralları yapılandırın.
• NAT kuralları: GELEN İnternet bağlantılarına izin vermek için DNAT kurallarını yapılandırın.

Daha fazla bilgi için bkz. Azure Güvenlik Duvarı kurallarını yapılandırma.

Azure Güvenlik Duvarı gelen ve giden filtrelemeyi destekler. Gelen koruma genellikle RDP, SSH ve FTP protokolleri gibi HTTP dışı protokoller için kullanılır. Gelen HTTP ve HTTPS koruması için Azure Web Uygulaması Güvenlik Duvarı (WAF) veya Azure Güvenlik Duvarı Premium'un TLS yük boşaltma ve derin paket inceleme özellikleri gibi bir web uygulaması güvenlik duvarı kullanın.

Evet, Azure Güvenlik Duvarı Temel zorlamalı tüneli destekler.

Azure Güvenlik Duvarı, güvenlik duvarı günlüklerini görüntülemek ve analiz etmek için Azure İzleyici ile tümleşiktir. Günlükler, Log Analytics, Azure Storage veya Event Hubs’a gönderilebilir. Log Analytics veya Excel ve Power BI gibi farklı araçlarla analiz edilebilirler. Daha fazla bilgi için bkz. Öğretici: Azure Güvenlik Duvarı günlüklerini izleme.

Azure Güvenlik Duvarı, sanal ağ kaynaklarınızı koruyan yönetilen, bulut tabanlı bir ağ güvenlik hizmetidir. Yerleşik yüksek kullanılabilirlik oranına ve kısıtlamasız bulut ölçeklenebilirliğine sahip, tam durum bilgisi olan bir hizmet olarak güvenlik duvarıdır. Sanal ağınız ve dal İnternet bağlantılarınız için gelişmiş güvenlik sağlamak üzere üçüncü taraf hizmet olarak güvenlik (SECaaS) sağlayıcılarıyla önceden tümleşiktir. Azure ağ güvenliği hakkında daha fazla bilgi edinmek için bkz . Azure ağ güvenliği.

Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınıza yaygın açıklardan ve güvenlik açıklarından merkezi olarak gelen koruma sağlayan bir Application Gateway özelliğidir. Azure Güvenlik Duvarı, HTTP/S olmayan protokoller (RDP, SSH, FTP gibi) için gelen koruma, tüm bağlantı noktaları ve protokoller için giden ağ düzeyinde koruma ve giden HTTP/S için uygulama düzeyinde koruma sağlar.

Azure Güvenlik Duvarı hizmeti, ağ güvenlik grubu işlevselliğini tamamlar. Birlikte daha iyi "derinlemesine savunma" ağ güvenliği sağlar. Ağ güvenlik grupları, trafiği her bir abonelikteki sanal ağlarla sınırlamak için dağıtılmış ağ katmanı trafik filtrelemesi sağlar. Azure Güvenlik Duvarı, farklı abonelikler ve sanal ağlar arasında ağ ve uygulama düzeyinde koruma sağlayan, hizmet olarak tam durum bilgisi olan merkezi bir ağ güvenlik duvarıdır.

Azure Güvenlik Duvarı, NIC düzeyinde NSG'ler (görüntülenemez) ile platform koruması da dahil olmak üzere birden çok koruma katmanına sahip yönetilen bir hizmettir. AzureFirewallSubnet'te alt ağ düzeyinde NSG'ler gerekli değildir ve hizmet kesintisi olmaması için devre dışı bırakılır.

PaaS hizmetlerine güvenli erişim için hizmet uç noktalarını öneririz. Azure Güvenlik Duvarı alt ağında hizmet uç noktalarını etkinleştirmeyi seçebilir ve bunları bağlı, uç sanal ağlarda devre dışı bırakabilirsiniz. Bu şekilde her iki özellikten de yararlanabilirsiniz: hizmet uç noktası güvenliği ve tüm trafik için merkezi günlük.

Bkz. fiyatlandırma Azure Güvenlik Duvarı.

Azure PowerShell serbest bırakma ve ayırma yöntemlerini kullanabilirsiniz. Zorlamalı tünel için yapılandırılmış bir güvenlik duvarı için yordam biraz farklıdır.

Örneğin, zorlamalı tünel için yapılandırılmamış bir güvenlik duvarı için:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))

Set-AzFirewall -AzureFirewall $azfw

Zorlamalı tünel için yapılandırılmış bir güvenlik duvarı için durdurma işlemi aynıdır. Ancak başlangıç için yönetim genel IP'sinin güvenlik duvarıyla yeniden ilişkilendirilmesi gerekir:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall

Güvenli bir sanal hub mimarisindeki bir güvenlik duvarı için durdurma aynıdır, ancak başlatma işlemi sanal hub kimliğini kullanmalıdır:

# Stop and existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$virtualhub = get-azvirtualhub -ResourceGroupName "RG name of vHUB" -name "vHUB name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Azfw RG Name"
$azfw.Allocate($virtualhub.Id)
$azfw | Set-AzFirewall

Ayırma ve serbest bırakma sırasında güvenlik duvarı faturalaması durdurulur ve buna göre başlatılır.

Öneri, ilk güvenlik duvarı dağıtımı sırasında kullanılabilirlik alanlarını yapılandırmaktır. Ancak bazı durumlarda dağıtımdan sonra kullanılabilirlik alanlarını değiştirmek mümkündür. Önkoşullar şunlardır:

• Güvenlik duvarı bir sanal ağa dağıtılır. Güvenli bir sanal hub'a dağıtılan güvenlik duvarlarıyla desteklenmez.
• Güvenlik duvarının bölgesi kullanılabilirlik alanlarını destekler.
• Tüm ekli genel IP adresleri kullanılabilirlik alanlarıyla dağıtılır. Her genel IP adresinin özellikler sayfasında kullanılabilirlik alanları alanının mevcut olduğundan ve güvenlik duvarı için yapılandırdığınız alanlarla yapılandırıldığından emin olun.

Kullanılabilirlik alanlarını yeniden yapılandırmak yalnızca güvenlik duvarını yeniden başlattığınızda yapılabilir. Güvenlik duvarını ayırdıktan sonra ve ile Set-AzFirewallgüvenlik duvarını başlatmadan hemen önce, güvenlik duvarının Zones özelliğini değiştirmek için aşağıdaki Azure PowerShell'i kullanın:

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azFw.Zones=1,2,3
$azfw | Set-AzFirewall

Azure Güvenlik Duvarı hizmet sınırları için bkz. Azure aboneliği ve hizmet sınırları, kotalar ve kısıtlamalar.

Evet, birden çok uç sanal ağı arasındaki trafiği yönlendirmek ve filtrelemek için merkez sanal ağında Azure Güvenlik Duvarı kullanabilirsiniz. Uç sanal ağlarının her birindeki alt ağların, bu senaryonun düzgün çalışması için varsayılan ağ geçidi olarak Azure Güvenlik Duvarı işaret eden bir UDR'ye sahip olması gerekir.

Evet. Ancak, UDR'leri aynı VNET'teki alt ağlar arasındaki trafiği yeniden yönlendirecek şekilde yapılandırmak daha fazla dikkat gerektirir. VNET adres aralığını UDR için hedef ön ek olarak kullanmak yeterli olsa da, bu aynı zamanda Azure Güvenlik Duvarı örneği aracılığıyla bir makinedeki tüm trafiği aynı alt ağdaki başka bir makineye yönlendirir. Bunu önlemek için UDR'de bir sonraki atlama türü VNET olan alt ağ için bir yol ekleyin. Bu yolları yönetmek zahmetli ve hataya eğilimli olabilir. İç ağ segmentasyonu için önerilen yöntem, UDR gerektirmeyen Ağ Güvenlik Gruplarını kullanmaktır.

hedef IP adresi her bir özel IP aralığı olduğunda Azure Güvenlik Duvarı SNAT yapmazIANA RFC 1918. Kuruluşunuz özel ağlar için bir genel IP adresi aralığı kullanıyorsa Azure Güvenlik Duvarı Trafiği AzureFirewallSubnet'teki güvenlik duvarı özel IP adreslerinden birine yönlendirir. Azure Güvenlik Duvarı genel IP adresi aralığınızı SNAT olmayacak şekilde yapılandırabilirsiniz. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı SNAT özel IP adres aralıkları.

Ayrıca, uygulama kuralları tarafından işlenen trafik her zaman SNAT tabanlıdır. FQDN trafiği için günlüklerinizde özgün kaynak IP adresini görmek istiyorsanız, hedef FQDN ile ağ kurallarını kullanabilirsiniz.

Zorlamalı tünel, yeni bir güvenlik duvarı oluşturduğunuzda desteklenir. Zorlamalı tünel için mevcut bir güvenlik duvarını yapılandıramazsınız. Daha fazla bilgi için bkz. zorlamalı tünel Azure Güvenlik Duvarı.

Azure Güvenlik Duvarı internete bağlı olmalıdır. AzureFirewallSubnet'iniz BGP aracılığıyla şirket içi ağınıza yönelik varsayılan bir yol öğrenirse, doğrudan İnternet bağlantısını korumak için nextHopType değeri İnternet olarak ayarlanmış bir 0.0.0.0/0 UDR ile bunu geçersiz kılmanız gerekir.

Yapılandırmanız bir şirket içi ağa zorlamalı tünel oluşturmayı gerektiriyorsa ve İnternet hedeflerinizin hedef IP ön eklerini belirleyebilirseniz, bu aralıkları şirket içi ağ ile AzureFirewallSubnet üzerinde kullanıcı tanımlı bir yol üzerinden sonraki atlama olarak yapılandırabilirsiniz. Alternatif olarak, bu yolları tanımlamak için BGP'yi de kullanabilirsiniz.

Evet.

• Güvenlik duvarı ve sanal ağ aynı kaynak grubunda olmalıdır.
• Genel IP adresi herhangi bir kaynak grubunda olabilir.
• Güvenlik duvarı, sanal ağ ve genel IP adreslerinin tümü aynı abonelikte olmalıdır.

• URL - Yıldız işareti, en sağdaki veya en soldaki tarafa yerleştirildiğinde çalışır. Sol taraftaysa, FQDN'nin bir parçası olamaz.
• FQDN - Yıldız işareti en sol tarafa yerleştirildiğinde çalışır.
• GENEL - En sol taraftaki yıldız işareti, tam anlamıyla sol eşleşmelerdeki her şeyi ifade eder; yani birden çok alt etki alanı ve/veya istenmeyebilecek etki alanı adı varyasyonları eşleştirilir. Aşağıdaki örneklere bakın.

Örnekler:

Yeni bir yapılandırma değişikliği uygulandığında Azure Güvenlik Duvarı temel aldığı tüm arka uç örneklerini güncelleştirme girişiminde bulunur. Nadir durumlarda, bu arka uç örneklerinden biri yeni yapılandırmayla güncelleştirilemeyebilir ve güncelleştirme işlemi başarısız sağlama durumuyla durdurulur. Azure Güvenlik Duvarı hala çalışır durumda, ancak uygulanan yapılandırma tutarsız bir durumda olabilir; burada bazı örnekler önceki yapılandırmada diğerlerinin güncelleştirilmiş kural kümesine sahip olduğu bir yapılandırmaya sahiptir. Bu durumda, işlem başarılı olana ve Güvenlik Duvarınız Başarılı sağlama durumuna gelene kadar yapılandırmanızı bir kez daha güncelleştirmeyi deneyin.

Azure Güvenlik Duvarı, etkin-etkin bir yapılandırmada birkaç arka uç düğümünden oluşur. Planlı bakımlar için düğümleri düzgün bir şekilde güncelleştirmek için bağlantı boşaltma mantığımız vardır. Güncelleştirmeler, kesinti riskini daha da sınırlamak için Azure bölgelerinin her biri için iş dışı saatlerde planlanmaktadır. Planlanmamış sorunlar için, başarısız düğümü değiştirmek için yeni bir düğüm örneği oluştururuz. Yeni düğüme bağlantı genellikle hatanın meydana geldiğinden itibaren 10 saniye içinde yeniden başlatılır.

Planlı bakımlar için bağlantı boşaltma mantığı arka uç düğümlerini düzgün bir şekilde güncelleştirir. Azure Güvenlik Duvarı mevcut bağlantıların kapatılması için 90 saniye bekler. İlk 45 saniye içinde arka uç düğümü yeni bağlantıları kabul etmez ve kalan süre içinde tüm gelen paketlere RST yanıt verir. Gerekirse, istemciler başka bir arka uç düğümüne bağlantıyı otomatik olarak yeniden kurabilir.

Evet. Güvenlik duvarı adı için 50 karakter sınırı vardır.

Azure Güvenlik Duvarı ölçeklendirildikçe daha fazla sanal makine örneği sağlamalıdır. /26 adres alanı, güvenlik duvarının ölçeklendirmeye uyum sağlamak için yeterli IP adresine sahip olmasını sağlar.

Hayır Azure Güvenlik Duvarı /26'dan büyük bir alt ağa gerek yoktur.

Azure Güvenlik Duvarı'nin ilk aktarım hızı kapasitesi 2,5 - 3 Gb/sn'dir ve ölçeği Standart SKU için 30 Gb/sn ve Premium SKU için 100 Gb/sn'ye çıkar. CPU kullanımına, aktarım hızına ve bağlantı sayısına göre ölçeği otomatik olarak genişletebilir.

Azure Güvenlik Duvarı ortalama aktarım hızı veya CPU tüketimi %60 veya bağlantı kullanımı sayısı %80 olduğunda aşamalı olarak ölçeklendirilir. Örneğin, maksimum aktarım hızının %60'ını aştığında ölçeği genişletmeye başlar. Maksimum aktarım hızı numaraları, Güvenlik Duvarı SKU'su ve etkin özelliklere göre değişir. Daha fazla bilgi için bkz. performans Azure Güvenlik Duvarı.

Ölçeği genişletme beş ile yedi dakika sürer.

Performans testi yaparken, en az 10 -15 dakika boyunca test ettiğinizden ve yeni oluşturulan Güvenlik Duvarı düğümlerinden yararlanmak için yeni bağlantılar başlattığınızdan emin olun.

Bağlantının Boşta Kalma Zaman Aşımı (etkinlik olmadan dört dakika) olduğunda Azure Güvenlik Duvarı tcp RST paketi göndererek bağlantıyı düzgün bir şekilde sonlandırır.

Azure Güvenlik Duvarı VM örneği kapatma işlemi, Sanal Makine Ölçek Kümesi ölçeğinde (ölçeği azaltma) veya filo yazılımı yükseltmesi sırasında gerçekleşebilir. Bu durumlarda, yeni gelen bağlantılar kalan güvenlik duvarı örneklerine yük dengelemesi yapılır ve aşağı güvenlik duvarı örneğine iletilir. 45 saniye sonra, güvenlik duvarı TCP RST paketleri göndererek mevcut bağlantıları reddetmeye başlar. 45 saniye sonra güvenlik duvarı VM'sini kapatır. Daha fazla bilgi için bkz . Load Balancer TCP Sıfırlama ve Boşta Kalma Zaman Aşımı.

Hayır Azure Güvenlik Duvarı Active Directory erişimini varsayılan olarak engeller. Erişime izin vermek için AzureActiveDirectory hizmet etiketini yapılandırın. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı hizmet etiketleri.

Evet, bunu yapmak için Azure PowerShell'i kullanabilirsiniz:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

TCP ping aslında hedef FQDN'ye bağlanmıyor. Azure Güvenlik Duvarı, izin veren açık bir kural olmadığı sürece herhangi bir hedef IP adresine/FQDN'ye bağlantı yapılmasına izin vermez.

TCP ping, izin verilen bir kural yoksa TCP ping hedef IP adresine/FQDN'ye ulaşmasa bile Güvenlik Duvarı'nın istemcinin TCP ping isteğine yanıt verdiği benzersiz bir kullanım örneğidir. Bu durumda olay günlüğe kaydedilmez. Hedef IP adresine/FQDN'ye erişime izin veren bir ağ kuralı varsa, ping isteği hedef sunucuya ulaşır ve yanıtı istemciye geri geçirilir. Bu olay Ağ kuralları günlüğüne kaydedilir.

Evet. Daha fazla bilgi için bkz. Azure aboneliği ve hizmet sınırları, kotaları ve kısıtlamaları

Hayır, bir IP Grubunu başka bir kaynak grubuna taşımak şu anda desteklenmiyor.

Ağ güvenlik duvarının standart davranışı TCP bağlantılarının canlı tutulduğundan emin olmak ve etkinlik yoksa bunları hemen kapatmaktır. Azure Güvenlik Duvarı TCP Boşta Kalma Zaman Aşımı dört dakikadır. Bu ayar kullanıcı tarafından yapılandırılamaz, ancak gelen ve giden bağlantılarda Boşta Kalma Zaman Aşımı'nı 15 dakikaya kadar artırmak için Azure Desteği'ne başvurabilirsiniz. Doğu-batı trafiği için boşta kalma zaman aşımı değiştirilemez.

Etkinlik dışı kalma süresi zaman aşımı değerinden uzunsa TCP veya HTTP oturumunun korunduğunun garantisi yoktur. Tcp etkin tutma özelliğini kullanmak yaygın bir uygulamadır. Bu uygulama, bağlantıyı daha uzun süre etkin tutar. Daha fazla bilgi için .NET örneklerine bakın.

Evet, ancak güvenlik duvarını Zorlamalı Tünel Modu'nda yapılandırmanız gerekir. Bu yapılandırma, Azure Güvenlik Duvarı tarafından işlemleri için kullanılan genel IP adresine sahip bir yönetim arabirimi oluşturur. Bu genel IP adresi yönetim trafiği içindir. Yalnızca Azure platformu tarafından kullanılır ve başka bir amaçla kullanılamaz. Kiracı veri yolu ağı genel IP adresi olmadan yapılandırılabilir ve İnternet trafiği başka bir Güvenlik Duvarına zorlamalı olarak tünel oluşturulabilir veya tamamen engellenebilir.

Azure Güvenlik Duvarı müşteri verilerini dağıtılan bölgenin dışına taşımaz veya depolamaz.

Evet. Daha fazla bilgi için bkz. Logic Apps ile yedekleme Azure Güvenlik Duvarı ve Azure Güvenlik Duvarı İlkesi.

Hayır, şu anda güvenli sanal hub'larda (vWAN) Azure Güvenlik Duvarı Katar'da desteklenmemektedir.

Azure Güvenlik Duvarı, bağlantı sayısı sabit olan azure Sanal Makineler kullanır. Sanal makine başına toplam etkin bağlantı sayısı 250 bindir.

Güvenlik duvarı başına toplam sınır, sanal makine bağlantı sınırı (250k) x güvenlik duvarı arka uç havuzundaki sanal makine sayısıdır. Azure Güvenlik Duvarı iki sanal makineyle başlar ve CPU kullanımına ve aktarım hızına göre ölçeği genişletebilir.

Azure Güvenlik Duvarı şu anda boşta bekleme süresi olmadan giden SNAT trafiği için TCP/UDP kaynak bağlantı noktalarını kullanıyor. BIR TCP/UDP bağlantısı kapatıldığında, kullanılan TCP bağlantı noktası yaklaşan bağlantılar için hemen kullanılabilir olarak görülür.

Belirli mimariler için geçici bir çözüm olarak, değişkenlik ve kullanılabilirlik için daha geniş bir SNAT bağlantı noktası havuzu sağlamak üzere Azure Güvenlik Duvarı ile NAT Gateway ile dağıtım ve ölçeklendirme yapabilirsiniz.

Belirli NAT davranışları, güvenlik duvarının yapılandırmasına ve yapılandırılan NAT türüne bağlıdır. Örneğin, güvenlik duvarında gelen trafik için DNAT kuralları, güvenlik duvarı üzerinden giden trafik için ağ kuralları ve uygulama kuralları bulunur.

Daha fazla bilgi için bkz. Azure Güvenlik Duvarı NAT Davranışları.