Azure Güvenlik Duvarı nedir?

Azure Güvenlik Duvarı, Azure'da çalışan bulut iş yükleriniz için en iyi tehdit korumasını sağlayan bulutta yerel ve akıllı bir ağ güvenlik duvarı güvenlik hizmetidir. Yerleşik yüksek kullanılabilirliğe ve sınırsız bulut ölçeklenebilirliğine sahip tam durum bilgisi olan bir hizmet olarak güvenlik duvarıdır. Hem doğu-batı hem de kuzey-güney trafik denetimi sağlar.

Azure Güvenlik Duvarı iki SKU ile sunulur: Standart ve Premium.

standart Azure Güvenlik Duvarı

Azure Güvenlik Duvarı Standard, doğrudan Microsoft Siber Güvenlik'ten L3-L7 filtreleme ve tehdit bilgileri akışları sağlar. Tehdit bilgileri tabanlı filtreleme, yeni ve yeni ortaya çıkan saldırılara karşı koruma sağlamak için gerçek zamanlı olarak güncelleştirilen bilinen kötü amaçlı IP adresleri ve etki alanlarından gelen/giden trafiği uyarır ve reddedebilir.

Güvenlik Duvarı Standart'a genel bakış

Güvenlik Duvarı Standart özellikleri hakkında bilgi edinmek için bkz. standart özellikler Azure Güvenlik Duvarı.

Azure Güvenlik Duvarı Premium

Azure Güvenlik Duvarı Premium, belirli desenleri arayarak saldırıların hızlı algılanması için imza tabanlı IDPS'yi içeren gelişmiş özellikler sağlar. Bu desenler ağ trafiğindeki bayt dizilerini veya kötü amaçlı yazılımlar tarafından kullanılan bilinen kötü amaçlı yönerge dizilerini içerebilir. 50'den fazla kategoride 58.000'den fazla imza vardır ve bunlar yeni ve yeni ortaya çıkan açıklardan korunmak için gerçek zamanlı olarak güncelleştirilir. Açıklardan yararlanma kategorileri arasında kötü amaçlı yazılım, kimlik avı, madeni para madenciliği ve Truva atı saldırıları yer alır.

Güvenlik Duvarı Premium'a genel bakış

Güvenlik Duvarı Premium özellikleri hakkında bilgi edinmek için bkz. Premium özellikleri Azure Güvenlik Duvarı.

Azure Güvenlik Duvarı Yöneticisi

Azure Güvenlik Duvarlarını birden çok abonelikte merkezi olarak yönetmek için Azure Güvenlik Duvarı Yöneticisi'ni kullanabilirsiniz. Güvenlik Duvarı Yöneticisi, kiracınızdaki güvenlik duvarlarına ortak bir ağ/uygulama kuralları ve yapılandırması kümesi uygulamak için güvenlik duvarı ilkesinden yararlanıyor.

Güvenlik Duvarı Yöneticisi hem VNet hem de Sanal WAN'lar (Güvenli Sanal Merkez) ortamlarında güvenlik duvarlarını destekler. Güvenli Sanal Hub'lar, trafiği birkaç tıklamayla güvenlik duvarına yönlendirmeyi basitleştirmek için Sanal WAN yönlendirme otomasyonu çözümünü kullanır.

Azure Güvenlik Duvarı Yöneticisi hakkında daha fazla bilgi edinmek için bkz. Azure Güvenlik Duvarı Yöneticisi.

Fiyatlandırma ve SLA

Azure Güvenlik Duvarı fiyatlandırma bilgileri için bkz. fiyatlandırma Azure Güvenlik Duvarı.

Azure Güvenlik Duvarı SLA bilgileri için bkz. Azure Güvenlik Duvarı SLA.

Desteklenen bölgeler

Azure Güvenlik Duvarı için desteklenen bölgeler için bkz. Bölgeye göre kullanılabilir Azure ürünleri.

Yenilikler

Azure Güvenlik Duvarı yeniliklerini öğrenmek için bkz. Azure güncelleştirmeleri.

Bilinen sorunlar

standart Azure Güvenlik Duvarı

Azure Güvenlik Duvarı Standard'da aşağıdaki bilinen sorunlar vardır:

Not

Standart için geçerli olan her sorun Premium için de geçerlidir.

Sorun Description Risk azaltma
TCP/UDP dışı protokollere (örneğin ICMP) yönelik ağ filtreleme kuralları İnternet'e bağlı trafik için çalışmaz TCP/UDP olmayan protokoller için ağ filtreleme kuralları, genel IP adresinizde SNAT ile çalışmaz. TCP/UDP dışı protokoller, uç alt ağlarla sanal ağlar arasında desteklenir. Azure Güvenlik Duvarı, bugün IP protokolleri için SNAT desteği olmayan Standart Load Balancer kullanır. Gelecek bir sürümde bu senaryoya yönelik seçenekleri araştırıyoruz.
ICMP için eksik PowerShell ve CLI desteği Azure PowerShell ve CLI, ağ kurallarında geçerli bir protokol olarak ICMP'i desteklemez. ICMP'yi portal ve REST API aracılığıyla protokol olarak kullanmaya devam edebilirsiniz. Yakında PowerShell ve CLI'ya ICMP eklemek için çalışıyoruz.
FQDN etiketleri bir protokol: bağlantı noktası ayarlamayı gerektirir FQDN etiketlerine sahip uygulama kuralları için bağlantı noktası: protokol tanımı gerekir. Bağlantı noktası:protokol değeri olarak https kullanabilirsiniz. FQDN etiketleri kullanıldığında bu alanı isteğe bağlı hale getirmek için çalışıyoruz.
Güvenlik duvarını farklı bir kaynak grubuna veya aboneliğe taşıma desteklenmez Güvenlik duvarının farklı bir kaynak grubuna veya aboneliğe taşınması desteklenmez. Bu işlevin desteklenmesi yol haritamızda yer alır. Bir güvenlik duvarını başka bir kaynak grubuna veya aboneliğe taşımak için geçerli örneği silmeniz ve yeni kaynak grubunda veya abonelikte yeniden oluşturmanız gerekir.
Tehdit bilgileri uyarıları maskelenebilir Giden filtreleme için hedef 80/443 olan ağ kuralları, tehdit bilgileri uyarılarını yalnızca uyarı moduna göre yapılandırıldığında maskeler. Uygulama kurallarını kullanarak 80/443 için giden filtreleme oluşturun. Alternatif olarak tehdit bilgileri modunu Uyarı ve Reddet olarak da değiştirebilirsiniz.
Azure Güvenlik Duvarı DNAT özel IP hedeflerinde çalışmıyor Azure Güvenlik Duvarı DNAT desteği İnternet çıkışı/girişi ile sınırlıdır. DNAT şu anda özel IP hedefleri için çalışmıyor. Örneğin, konuşarak konuşarak. Bu geçerli bir sınırlamadır.
İlk genel IP yapılandırması kaldırılamıyor Her Azure Güvenlik Duvarı genel IP adresi bir IP yapılandırmasına atanır. İlk IP yapılandırması güvenlik duvarı dağıtımı sırasında atanır ve genellikle güvenlik duvarı alt asına bir başvuru da içerir (şablon dağıtımı aracılığıyla açıkça farklı yapılandırılmadığı sürece). Güvenlik duvarını kaldıracağından bu IP yapılandırmasını silemezsiniz. Güvenlik duvarında kullanılabilecek en az bir genel IP adresi daha varsa, yine de bu IP yapılandırmasıyla ilişkili genel IP adresini değiştirebilir veya kaldırabilirsiniz. Bu tasarım gereğidir.
Kullanılabilirlik alanları yalnızca dağıtım sırasında yapılandırılabilir. Kullanılabilirlik alanları yalnızca dağıtım sırasında yapılandırılabilir. Güvenlik duvarı dağıtıldıktan sonra Kullanılabilirlik Alanları yapılandıramazsınız. Bu tasarım gereğidir.
Gelen bağlantılarda SNAT DNAT'ye ek olarak, güvenlik duvarı genel IP adresi (gelen) üzerinden yapılan bağlantılar, güvenlik duvarı özel IP'lerinden birine SNATed'tir. Simetrik yönlendirmeyi sağlamak için bu gereksinim bugün (aynı zamanda Etkin/Etkin NVA'lar için de). HTTP/S için özgün kaynağı korumak için XFF üst bilgilerini kullanmayı göz önünde bulundurun. Örneğin, güvenlik duvarının önünde Azure Front Door veya Azure Application Gateway gibi bir hizmet kullanın. Ayrıca Azure Front Door'un bir parçası olarak WAF ekleyebilir ve güvenlik duvarına zincir ekleyebilirsiniz.
SQL FQDN filtreleme desteği yalnızca ara sunucu modunda (bağlantı noktası 1433) Azure SQL Veritabanı, Azure Synapse Analytics ve Azure SQL Yönetilen Örneği için:

SQL FQDN filtrelemesi yalnızca proxy modunda desteklenir (bağlantı noktası 1433).

Azure SQL IaaS için:

Standart olmayan bağlantı noktaları kullanıyorsanız, bu bağlantı noktalarını uygulama kurallarında belirtebilirsiniz.
Yeniden yönlendirme modunda SQL için (Azure içinden bağlanıyorsanız varsayılan ayar), bunun yerine Azure Güvenlik Duvarı ağ kurallarının bir parçası olarak SQL hizmet etiketini kullanarak erişimi filtreleyebilirsiniz.
25 numaralı TCP bağlantı noktasında giden SMTP trafiği engellendi TCP bağlantı noktası 25'te doğrudan dış etki alanlarına (ve gibi outlook.comgmail.com) gönderilen giden e-posta iletileri Azure platformu tarafından engellenebilir. Bu, Azure'daki varsayılan platform davranışıdır Azure Güvenlik Duvarı ek belirli bir kısıtlamaya neden olmaz. Genellikle TCP bağlantı noktası 587 üzerinden bağlanan ancak diğer bağlantı noktalarını da destekleyen kimliği doğrulanmış SMTP geçiş hizmetlerini kullanın. Daha fazla bilgi için bkz. Azure'da giden SMTP bağlantı sorunlarını giderme. Şu anda Azure Güvenlik Duvarı giden TCP 25 kullanarak genel IP'ler ile iletişim kurabilir, ancak çalışması garanti değildir ve tüm abonelik türleri için desteklenmez. Sanal ağlar, VPN'ler ve Azure ExpressRoute gibi özel IP'ler için Azure Güvenlik Duvarı TCP bağlantı noktası 25'in giden bağlantısını destekler.
SNAT bağlantı noktası tükenmesi Azure Güvenlik Duvarı şu anda arka uç sanal makine ölçek kümesi örneği başına Genel IP adresi başına 2496 bağlantı noktasını desteklemektedir. Varsayılan olarak iki sanal makine ölçek kümesi örneği vardır. Bu nedenle, akış başına 4992 bağlantı noktası vardır (hedef IP, hedef bağlantı noktası ve protokol (TCP veya UDP). Güvenlik duvarı en fazla 20 örneğe kadar ölçeklendirilir. Bu bir platform sınırlamasıdır. SNAT tükenmesine duyarlı dağıtımlar için en az beş genel IP adresiyle Azure Güvenlik Duvarı dağıtımları yapılandırarak sınırları aşabilirsiniz. Bu, kullanılabilir SNAT bağlantı noktalarını beş kat artırır. Aşağı akış izinlerini basitleştirmek için ip adresi ön ekinden ayırın. Daha kalıcı bir çözüm için, SNAT bağlantı noktası sınırlarını aşmak için bir NAT ağ geçidi dağıtabilirsiniz. Bu yaklaşım sanal ağ dağıtımları için desteklenir.

Daha fazla bilgi için bkz. Azure Sanal Ağ NAT ile SNAT bağlantı noktalarını ölçeklendirme.
ZORLAMALı Tünel etkinken DNAT desteklenmez Zorlamalı Tünel etkin olarak dağıtılan güvenlik duvarları, asimetrik yönlendirme nedeniyle İnternet'ten gelen erişimi destekleyemez. Bu, asimetrik yönlendirme nedeniyle tasarım gereğidir. Gelen bağlantıların dönüş yolu, bağlantının kurulduğunu görmemiş olan şirket içi güvenlik duvarından geçer.
Giden Pasif FTP, FTP sunucu yapılandırmanıza bağlı olarak birden çok genel IP adresine sahip güvenlik duvarları için çalışmayabilir. Pasif FTP, denetim ve veri kanalları için farklı bağlantılar kurar. Birden çok genel IP adresine sahip bir Güvenlik Duvarı giden veri gönderdiğinde, kaynak IP adresi için genel IP adreslerinden birini rastgele seçer. Veri ve denetim kanalları FTP sunucu yapılandırmanıza bağlı olarak farklı kaynak IP adresleri kullandığında FTP başarısız olabilir. Açık bir SNAT yapılandırması planlanıyor. Bu arada, FTP sunucunuzu farklı kaynak IP adreslerinden veri kabul edecek ve kanalları denetleyecek şekilde yapılandırabilirsiniz ( IIS örneğine bakın). Alternatif olarak, bu durumda tek bir IP adresi kullanmayı göz önünde bulundurun.
Gelen Pasif FTP, FTP sunucu yapılandırmanıza bağlı olarak çalışmayabilir Pasif FTP, denetim ve veri kanalları için farklı bağlantılar kurar. Azure Güvenlik Duvarı gelen bağlantılar, simetrik yönlendirmeyi sağlamak için güvenlik duvarı özel IP adreslerinden birine yönlendirilir. Veri ve denetim kanalları FTP sunucu yapılandırmanıza bağlı olarak farklı kaynak IP adresleri kullandığında FTP başarısız olabilir. Özgün kaynak IP adresinin korunması araştırılıyor. Bu arada, FTP sunucunuzu farklı kaynak IP adreslerinden veri kabul etmek ve kanalları denetlemek için yapılandırabilirsiniz.
FTP istemcisinin İnternet üzerinden bir FTP sunucusuna ulaşması gerektiğinde etkin FTP çalışmaz. Etkin FTP, FTP istemcisinden, FTP sunucusunu veri kanalı için kullanılacak IP'yi ve bağlantı noktasını yönlendiren bir PORT komutu kullanır. Bu PORT komutu istemcinin değiştirilemeyen özel IP'sini kullanır. Azure Güvenlik Duvarı çapraz geçiş yapan istemci tarafı trafiği, İnternet tabanlı iletişimler için NAT olur ve FTP sunucusu tarafından PORT komutu geçersiz olarak görülür. Bu, istemci tarafı NAT ile birlikte kullanıldığında Etkin FTP'nin genel bir sınırlamasıdır.
NetworkRuleHit ölçümünde protokol boyutu eksik ApplicationRuleHit ölçümü, filtreleme tabanlı protokole izin verir, ancak ilgili NetworkRuleHit ölçümünde bu özellik eksiktir. Bir düzeltme araştırılıyor.
64000 ile 65535 arasında bağlantı noktaları olan NAT kuralları desteklenmiyor Azure Güvenlik Duvarı ağ ve uygulama kurallarında 1-65535 aralığındaki tüm bağlantı noktalarına izin verir, ancak NAT kuralları yalnızca 1-63999 aralığındaki bağlantı noktalarını destekler. Bu geçerli bir sınırlamadır.
Yapılandırma güncelleştirmeleri ortalama beş dakika sürebilir Azure Güvenlik Duvarı yapılandırma güncelleştirmesi ortalama üç-beş dakika sürebilir ve paralel güncelleştirmeler desteklenmez. Bir düzeltme araştırılıyor.
Azure Güvenlik Duvarı HTTPS ve MSSQL trafiğini filtrelemek için SNI TLS üst bilgilerini kullanır Tarayıcı veya sunucu yazılımı Sunucu Adı Göstergesi (SNI) uzantısını desteklemiyorsa Azure Güvenlik Duvarı üzerinden bağlanamazsınız. Tarayıcı veya sunucu yazılımı SNI'yi desteklemiyorsa, bağlantıyı uygulama kuralı yerine ağ kuralı kullanarak denetleyebilirsiniz. SNI destekleyen yazılımlar için bkz . Sunucu Adı Göstergesi .
Portal veya Azure Resource Manager (ARM) şablonlarını kullanarak güvenlik duvarı ilkesi etiketleri eklenemez Azure Güvenlik Duvarı İlkesi, Azure portal veya ARM şablonlarını kullanarak etiket eklemenizi engelleyen bir düzeltme eki destek sınırlaması içerir. Aşağıdaki hata oluşturuldu: Kaynak etiketleri kaydedilemedi. Bir düzeltme araştırılıyor. İsterseniz etiketleri güncelleştirmek için Azure PowerShell cmdlet'ini Set-AzFirewallPolicy de kullanabilirsiniz.
IPv6 şu anda desteklenmiyor Kurala bir IPv6 adresi eklerseniz güvenlik duvarı başarısız olur. Yalnızca IPv4 adreslerini kullanın. IPv6 desteği araştırılıyor.
Birden çok IP Grubunun güncelleştirilmesi çakışma hatasıyla başarısız oluyor. Aynı güvenlik duvarına bağlı iki veya daha fazla IP Grubunu güncelleştirdiğinizde, kaynaklardan biri başarısız duruma geçer. Bu bilinen bir sorun/sınırlamadır.

Bir IP Grubunu güncelleştirdiğinizde, IPGroup'un bağlı olduğu tüm güvenlik duvarlarında bir güncelleştirme tetikler. Güvenlik duvarı hala Güncelleştirme durumundayken ikinci bir IP Grubu güncelleştirmesi başlatılırsa, IPGroup güncelleştirmesi başarısız olur.

Hatayı önlemek için aynı güvenlik duvarına bağlı IP Gruplarının birer birer güncelleştirilmesi gerekir. Güvenlik duvarının Güncelleştirme durumundan çıkmasını sağlamak için güncelleştirmeler arasında yeterli süre tanıyın.
ARM şablonları kullanılarak RuleCollectionGroups kaldırılamıyor. ARM şablonları kullanılarak RuleCollectionGroup'un kaldırılması desteklenmez ve hatayla sonuçlanır. Bu desteklenen bir işlem değildir.
Herhangi bir (*) için DNAT kuralı SNAT trafiğine izin verir. BIR DNAT kuralı Kaynak IP adresi olarak (*) izin veriyorsa, örtük bir Ağ kuralı VNet-VNet trafikle eşleşecek ve trafiği her zaman SNAT olarak algılayacaktır. Bu geçerli bir sınırlamadır.
Güvenlik sağlayıcısıyla güvenli bir sanal hub'a DNAT kuralı eklemek desteklenmez. Bu, güvenlik sağlayıcısına giden, geri dönen DNAT trafiği için zaman uyumsuz bir yol elde eder. Desteklenmez.
2000'den fazla kural koleksiyonu oluşturulurken hatayla karşılaşıldı. EN yüksek NAT/Uygulama veya Ağ kuralı koleksiyonu sayısı 2000'dir (Resource Manager sınırı). Bu geçerli bir sınırlamadır.
Azure Güvenlik Duvarı Günlüklerinde Ağ Kuralı Adı göremiyorum Azure Güvenlik Duvarı ağ kuralı günlük verileri, ağ trafiği için Kural adını göstermez. Ağ kuralı adı günlüğü önizleme aşamasındadır. Daha fazla bilgi için bkz. Azure Güvenlik Duvarı önizleme özellikleri.
HTTP/S'de XFF üst bilgisi XFF üst bilgilerinin üzerine güvenlik duvarı tarafından görüldüğü gibi özgün kaynak IP adresi yazılır. Bu, aşağıdaki kullanım örnekleri için geçerlidir:
- HTTP istekleri
- TLS sonlandırma ile HTTPS istekleri
Bir düzeltme araştırılıyor.
Güneydoğu Asya bölgesinde Kullanılabilirlik Alanları ile Premium'a yükseltemiyorum Şu anda Güneydoğu Asya bölgesinde Kullanılabilirlik Alanları ile Azure Güvenlik Duvarı Premium'a yükseltemezsiniz. Güneydoğu Asya'da Kullanılabilirlik Alanları olmadan yeni bir Premium güvenlik duvarı dağıtın veya Kullanılabilirlik Alanları destekleyen bir bölgeye dağıtın.
Yeni oluşturulan Genel IP adresine sahip Kullanılabilirlik Alanları güvenlik duvarı dağıtılamıyor Kullanılabilirlik Alanları içeren bir Güvenlik Duvarı dağıttığınızda, yeni oluşturulan genel IP adresini kullanamazsınız. Önce yeni bir alanlar arası yedekli Genel IP adresi oluşturun, ardından güvenlik duvarı dağıtımı sırasında önceden oluşturulmuş bu IP adresini atayın.
Azure özel DNS bölgesi Azure Güvenlik Duvarı Azure özel DNS bölgesi, Azure Güvenlik Duvarı DNS ayarlarından bağımsız olarak Azure Güvenlik Duvarı ile çalışmaz. Özel DNS sunucusu kullanma isteği durumuna ulaşmak için Azure özel DNS bölgesi yerine Azure Güvenlik Duvarı DNS ara sunucusu kullanın.

Azure Güvenlik Duvarı Premium

Azure Güvenlik Duvarı Premium'da aşağıdaki bilinen sorunlar vardır:

Sorun Description Risk azaltma
HTTPS'de FQDN çözünürlüğü için ESNI desteği Şifrelenmiş SNI, HTTPS el sıkışmasında desteklenmez. Günümüzde özel yapılandırma aracılığıyla ESNI'ye yalnızca Firefox desteklenmektedir. Önerilen geçici çözüm, bu özelliği devre dışı bırakmaktır.
İstemci Sertifikası Kimlik Doğrulaması desteklenmiyor İstemci sertifikaları, istemci ile sunucu arasında karşılıklı kimlik güveni oluşturmak için kullanılır. İstemci sertifikaları bir TLS anlaşması sırasında kullanılır. Azure güvenlik duvarı sunucuyla bir bağlantıyı yeniden tartışıyor ve istemci sertifikalarının özel anahtarına erişimi yok. Hiçbiri
QUIC/HTTP3 QUIC, HTTP'nin yeni ana sürümüdür. 80 (PLAN) ve 443 (SSL) üzerinde UDP tabanlı bir protokol. FQDN/URL/TLS incelemesi desteklenmez. UDP 80/443'i ağ kuralları olarak geçirmeyi yapılandırın.
Güvenilmeyen müşteri imzalı sertifikalar Intranet tabanlı bir web sunucusundan alınan müşteri imzalı sertifikalara güvenlik duvarı tarafından güvenilmez. Bir düzeltme araştırılıyor.
HTTP için IDPS içeren uyarılar (TLS denetimi olmadan) içinde yanlış kaynak IP adresi. Düz metin HTTP trafiği kullanımda olduğunda ve IDPS yeni bir uyarı verirse ve hedef bir genel IP adresiyse, görüntülenen kaynak IP adresi yanlıştır (özgün IP adresi yerine iç IP adresi görüntülenir). Bir düzeltme araştırılıyor.
Sertifika Yayma Bir CA sertifikası güvenlik duvarına uygulandıktan sonra sertifikanın geçerlilik kazanması 5-10 dakika arasında sürebilir. Bir düzeltme araştırılıyor.
TLS 1.3 desteği TLS 1.3 kısmen desteklenir. İstemciden güvenlik duvarına TLS tüneli TLS 1.2'yi temel alır ve güvenlik duvarından dış Web sunucusuna TLS 1.3'e dayanır. Güncelleştirmeler araştırılıyor.
KeyVault Özel Uç Noktası KeyVault, ağ açıklarını sınırlamak için Özel Uç Nokta erişimini destekler. KeyVault belgelerinde açıklandığı gibi bir özel durum yapılandırılırsa Güvenilen Azure Hizmetleri bu sınırlamayı atlayabilir. Azure Güvenlik Duvarı şu anda güvenilir hizmet olarak listelenmiyor ve Key Vault erişemiyor. Bir düzeltme araştırılıyor.
Güneydoğu Asya bölgesinde Güvenlik Duvarı Ekstra için Kullanılabilirlik Alanları Şu anda Güneydoğu Asya bölgesinde Kullanılabilirlik Alanları ile Azure Güvenlik Duvarı Premium dağıtamazsınız. Güneydoğu Asya'da güvenlik duvarını Kullanılabilirlik Alanları olmadan dağıtın veya Kullanılabilirlik Alanları destekleyen bir bölgeye dağıtın.

Sonraki adımlar