Azure 防火牆常見問題集

Azure 防火牆是什麼?

Azure 防火牆是受控的雲端式網路安全性服務,可保護您的 Azure 虛擬網路資源。 它是具有內建高可用性和不受限制雲端延展性的完整具狀態防火牆即服務。 您可以橫跨訂用帳戶和虛擬網路集中建立、強制執行以及記錄應用程式和網路連線原則。

Azure 防火牆 支援哪些功能?

若要瞭解 Azure 防火牆 功能,請參閱 Azure 防火牆 功能

Azure 防火牆 的典型部署模型為何?

您可以將「Azure 防火牆」部署在任何虛擬網路上,但客戶通常會將其部署在中央虛擬網路上,然後以中樞和支點模型方式,將其他虛擬網路與其對等互連。 然後,您可以將來自對等互連虛擬網路的預設路由設定為指向此中央防火牆虛擬網路。 支援全域 VNet 對等互連,但不建議這麼做,因為跨區域的潛在效能和延遲問題。 為了獲得最佳效能,每個區域請部署一個防火牆。

此模型的優點是能夠集中控制不同訂用帳戶上的多個分支 VNET。 此外,您不需要個別在每個 VNet 中部署防火牆,因此節省成本。 若要衡量節省的成本,應根據客戶流量模式,與相關的對等成本做比較。

如何安裝 Azure 防火牆?

您可以使用 Azure 入口網站、PowerShell、REST API 或使用範本來設定 Azure 防火牆。 如需逐步指示,請參閱教學課程:使用 Azure 入口網站 部署和設定 Azure 防火牆

什麼是一些 Azure 防火牆 概念?

Azure 防火牆支援規則和規則集合。 規則集合是一組共用相同順序和優先順序的規則。 規則集合會依優先順序執行。 DNAT 規則集合的優先順序較高,網路規則集合的優先順序高於應用程式規則集合,而且所有規則都會終止。

規則集合有三種類型:

  • 應用程式規則:設定可從 虛擬網絡 存取的完整功能變數名稱(FQDN)。
  • 網路規則:設定包含來源地址、通訊協定、目的地埠和目的地地址的規則。
  • NAT 規則:設定DNAT規則以允許連入因特網連線。

如需詳細資訊,請參閱設定 Azure 防火牆 規則

Azure 防火牆是否支援輸入流量篩選?

Azure 防火牆支援輸入及輸出篩選。 輸入保護通常用於非 HTTP 通訊協定,例如 RDP、SSH 和 FTP 通訊協定。 針對輸入 HTTP 和 HTTPS 保護,請使用 Web 應用程式防火牆,例如 Azure Web 應用程式防火牆 (WAF) 或 TLS 卸除和 Azure 防火牆 進階版深層封包檢查功能。

Azure 防火牆 Basic 是否支持強制通道?

是,Azure 防火牆 Basic 支持強制通道。

Azure 防火牆 支援哪些記錄和分析服務?

Azure 防火牆已經與 Azure 監視器整合,可檢視和分析防火牆記錄。 記錄可以傳送至 Log Analytics、Azure 儲存體或事件中樞。 這些記錄可在 Log Analytics 中分析,也可透過其他工具 (例如 Excel 和 Power BI) 分析。 如需詳細資訊,請參閱教學課程:監視 Azure 防火牆 記錄

Azure 防火牆的運作方式與市集中現有的服務 (例如 NVA) 有何不同?

Azure 防火牆 是受控的雲端式網路安全性服務,可保護您的虛擬網路資源。 這是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。 它已預先與第三方安全性即服務 (SECaaS) 提供者整合,為您的虛擬網路和分支因特網連線提供進階安全性。 若要深入瞭解 Azure 網路安全性,請參閱 Azure 網路安全性

應用程式閘道 WAF 與 Azure 防火牆 有何差異?

Web 應用程式防火牆 (WAF) 是一項 應用程式閘道 功能,可提供 Web 應用程式的集中式輸入保護,免於常見的惡意探索和弱點。 Azure 防火牆可提供非 HTTP/S 通訊協定的輸入保護 (例如 RDP、SSH 和 FTP)、所有連接埠與通訊協定的輸出網路層級保護,以及輸出 HTTP/S 的應用程式層級保護。

網路安全性群組 (NSG) 和 Azure 防火牆有什麼不同?

「Azure 防火牆」服務可補足網路安全性群組功能。 兩者結合時,可提供更好的「深度防禦」網路安全性。 網路安全性群組提供分散式網路層流量過濾,以限制每個訂用帳戶中虛擬網路內資源的流量。 Azure 防火牆 是完全具狀態的集中式網路防火牆即服務,可在不同的訂用帳戶和虛擬網路之間提供網路和應用層級保護。

AzureFirewallSubnet 是否支持網路安全組 #NSG?

Azure 防火牆 是具有多個保護層的受控服務,包括具有 NIC 層級 NSG 的平臺保護(無法檢視)。 AzureFirewallSubnet 上不需要子網層級 NSG,且已停用以確保不會中斷服務。

如何使用我的服務端點設定 Azure 防火牆?

若要安全地存取 PaaS 服務,我們建議使用服務端點。 您可以選擇在 Azure 防火牆的子網路中啟用服務端點,並在已連線的支點虛擬網路上將其停用。 如此一來,您即可受益於這兩項功能:服務端點安全性和所有流量的集中記錄。

Azure 防火牆 的價格為何?

如何停止和啟動 Azure 防火牆?

您可以使用 Azure PowerShell 解除分配配置 方法。 針對針對強制通道設定的防火牆,程式稍有不同。

例如,針對未針對強制通道設定的防火牆:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))

Set-AzFirewall -AzureFirewall $azfw

針對針對強制通道設定的防火牆,停止會相同。 但開始需要將管理公用IP重新關聯回防火牆:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall

針對安全虛擬中樞架構中的防火牆,停止會相同,但啟動必須使用虛擬中樞標識碼:

# Stop and existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$virtualhub = get-azvirtualhub -ResourceGroupName "RG name of vHUB" -name "vHUB name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Azfw RG Name"
$azfw.Allocate($virtualhub.Id)
$azfw | Set-AzFirewall

當您配置和解除分配時, 防火牆計費 會停止並據以啟動。

注意

您必須將防火牆和公用IP重新配置給原始資源群組和訂用帳戶。

如何在部署後設定可用性區域?

建議在初始防火牆部署期間設定可用性區域。 不過,在某些情況下,部署后可能會變更可用性區域。 必要條件如下:

  • 防火牆部署在 VNet 中。 不支援部署在安全虛擬中樞的防火牆。
  • 防火牆的區域 支援可用性區域
  • 所有連結的公用IP位址都會使用可用性區域進行部署。 在每個公用IP位址的屬性頁面中,確定 可用性區域 欄位存在,並且已設定您為防火牆設定的相同區域。

只有在重新啟動防火牆時,才能重新設定可用性區域。 在您配置防火牆之後,並在使用 啟動防火牆 Set-AzFirewall之前,使用下列 Azure PowerShell 來修改防火牆的 Zones 屬性:

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azFw.Zones=1,2,3
$azfw | Set-AzFirewall

已知的服務限制為何?

如需 Azure 防火牆 服務限制,請參閱 Azure 訂用帳戶和服務限制、配額和條件約束

中樞虛擬網路中的 Azure 防火牆 是否可以轉送和篩選兩個輪輻虛擬網路之間的網路流量?

是,您可以使用中樞虛擬網路中的 Azure 防火牆 來路由和篩選兩個輪輻虛擬網路之間的流量。 每個輪輻虛擬網路中的子網都必須有指向 Azure 防火牆 作為預設閘道的 UDR,此案例才能正常運作。

Azure 防火牆 在相同虛擬網路或對等互連虛擬網路中的子網之間轉送和篩選網路流量嗎?

是。 不過,設定 UDR 以重新導向相同 VNET 中子網之間的流量需要額外的注意。 雖然使用 VNET 位址範圍做為 UDR 的目標前置詞已足夠,但這也會透過 Azure 防火牆 實例,將相同子網中的所有流量路由傳送至相同子網中的另一部計算機。 若要避免這種情況,請在 UDR 中包含下一個躍點類型 為 VNET 的子網路由。 管理這些路由可能會很麻煩且容易發生錯誤。 內部網路分割的建議方法是使用不需要UDR的網路安全組。

Azure 防火牆 專用網之間的輸出 SNAT 嗎?

當目的地IP位址是每個私人IP範圍時,Azure 防火牆 不會 SNATIANA RFC 1918。 如果您的組織針對專用網使用公用IP位址範圍,Azure 防火牆 SNAT AzureFirewallSubnet 中其中一個防火牆私人IP位址的流量。 您可以將 Azure 防火牆 設定為 SNAT 公用 IP 位址範圍。 如需詳細資訊,請參閱 Azure 防火牆 SNAT 私人IP位址範圍

此外,應用程式規則所處理的流量一律為 SNAT 處理。 如果您想要在記錄中看到 FQDN 流量的原始來源 IP 位址,您可以搭配目的地 FQDN 使用網路規則。

是否支持強制通道/鏈結至網路虛擬設備?

當您建立新的防火牆時,支持強制通道。 您無法為強制通道設定現有的防火牆。 如需詳細資訊,請參閱 Azure 防火牆 強制通道

「Azure 防火牆」必須能夠直接連線到網際網路。 如果您的 AzureFirewallSubnet 透過 BGP 學習到內部部署網路的預設路由,您必須使用 0.0.0.0/0 UDR 覆寫此路由,並將 NextHopType 值設定為 因特網 ,以維持直接因特網連線。

如果您的設定需要強制通道到內部部署網路,而且您可以判斷因特網目的地的目標 IP 前置綴,您可以透過 AzureFirewallSubnet 上的使用者定義路由,將這些範圍設定為內部部署網路作為下一個躍點。 或者,您可以使用 BGP 來定義這些路由。

是否有任何防火牆資源群組限制?

是。 防火牆、VNet 和公用IP位址全都必須位於相同的資源群組中。

通配符如何在應用程式規則中以目標URL和目標 FQDN 運作?

  • URL - 星號會在放在最右邊或最左邊時運作。 如果它位於左側,則不能是 FQDN 的一部分。
  • FQDN - 星號會在放在最左邊時運作。
  • 一般 - 最左邊的星號表示左邊的任何字面都會相符,這表示會比對多個子域和/或潛在的垃圾域名變化-請參閱下面的範例。

範例:

類型 規則 是否支援? 正面範例
TargetURL www.contoso.com Yes www.contoso.com
www.contoso.com/
TargetURL *.contoso.com Yes any.contoso.com/
sub1.any.contoso.com
TargetURL *contoso.com Yes example.anycontoso.com
sub1.example.contoso.com
contoso.com
警告:此通配符的使用方式也會允許可能不想要/有風險的變化,例如 th3re4lcontoso.com - 請謹慎使用。
TargetURL www.contoso.com/test Yes www.contoso.com/test
www.contoso.com/test/
www.contoso.com/test?with_query=1
TargetURL www.contoso.com/test/* Yes www.contoso.com/test/anything
注意: www.contoso.com/test 不會相符 (最後一個斜線)
TargetURL www.contoso.*/test/* No
TargetURL www.contoso.com/test?example=1 No
TargetURL www.contoso.* No
TargetURL www.*contoso.com No
TargetURL www.contoso.com:8080 No
TargetURL *.contoso.* No
TargetFQDN www.contoso.com Yes www.contoso.com
TargetFQDN *.contoso.com Yes any.contoso.com

注意:如果您想要特別允許 contoso.com,則必須在規則中包含 contoso.com。 否則,預設會卸除連線,因為要求不符合任何規則。
TargetFQDN *contoso.com Yes example.anycontoso.com
contoso.com
TargetFQDN www.contoso.* No
TargetFQDN *.contoso.* No

*布建狀態:失敗* 是什麼意思?

每當套用設定變更時,Azure 防火牆會嘗試更新所有其基礎後端執行個體。 在罕見的情況下,其中一個後端執行個體可能無法使用新的設定進行更新,且更新程序會停止並處於失敗佈建狀態。 您的 Azure 防火牆仍可運作,但套用的設定可能處於不一致狀態,其中有些執行個體有先前的設定,而其他執行個體則具有已更新的規則集。 如果發生這種情況,請嘗試再更新您的設定一次,直到作業成功,且您的防火牆處於 成功 布建狀態。

Azure 防火牆 如何處理計劃性維護和非計劃性失敗?

Azure 防火牆 是由主動-主動組態中的數個後端節點所組成。 針對任何計劃性維護,我們有連線清空邏輯,以正常更新節點。 每個 Azure 區域的非上班時間都會規劃 更新,以進一步限制中斷的風險。 針對非計劃性的問題,我們會具現化新的節點來取代失敗的節點。 新節點的 連線 性通常會在失敗發生后的 10 秒內重新建立。

線上清空如何運作?

針對任何計劃性維護,連線清空邏輯會正常更新後端節點。 Azure 防火牆 等候 90 秒,讓現有的連線關閉。 如有需要,用戶端可以自動重新建立與另一個後端節點的連線。

防火牆名稱是否有字元限制?

是。 防火牆名稱有 50 個字元的限制。

為何 Azure 防火牆 需要 /26 子網大小?

Azure 防火牆 必須在調整規模時布建更多虛擬機實例。 /26 位址空間可確保防火牆有足夠的IP位址可供調整。

防火牆子網大小是否需要隨著服務調整而變更?

否。 Azure 防火牆 不需要大於 /26 的子網。

如何增加防火牆輸送量?

Azure 防火牆 的初始輸送量容量為 2.5 - 3 Gbps,而標準 SKU 則相應放大為 30 Gbps,進階版 SKU 則為 100 Gbps。 它會根據 CPU 使用量、輸送量和連線數目自動相應放大。

Azure 防火牆 相應放大需要多久時間?

Azure 防火牆 平均輸送量或CPU耗用量為60%,或聯機使用量數目為80%時逐漸調整。 例如,當達到最大輸送量的 60% 時,就會開始相應放大。 輸送量數目上限會根據防火牆 SKU 和已啟用的功能而有所不同。 如需詳細資訊,請參閱 Azure 防火牆 效能

相應放大需要五到七分鐘。

進行效能測試時,請確定您至少測試 10 到 15 分鐘,並開始新的連線,以利用新建立的防火牆節點。

Azure 防火牆 如何處理閑置逾時?

當連線有閑置逾時(四分鐘沒有活動),Azure 防火牆 藉由傳送 TCP RST 封包來正常終止連線。

Azure 防火牆 如何在虛擬機擴展集擴展集相應縮小或機隊軟體升級期間處理 VM 實例關機?

Azure 防火牆 VM 實例關機可能會在虛擬機擴展集擴展集相應縮小(相應減少)或機隊軟體升級期間發生。 在這些情況下,新的連入聯機會負載平衡到其餘的防火牆實例,而且不會轉送至向下防火牆實例。 45 秒之後,防火牆會傳送 TCP RST 封包來開始拒絕現有的連線。 在另外 45 秒之後,防火牆 VM 會關閉。 如需詳細資訊,請參閱 Load Balancer TCP 重設和閒置逾時

Azure 防火牆 預設是否允許存取 Active Directory?

否。 根據預設,Azure 防火牆會封鎖 Active Directory 存取。 若要允許存取,請設定 AzureActiveDirectory 服務標籤。 如需詳細資訊,請參閱 Azure 防火牆 服務標籤

我可以從 Azure 防火牆 威脅情報型篩選中排除 FQDN 或 IP 位址嗎?

是,您可以使用 Azure PowerShell 來執行此動作:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

即使沒有 Azure 防火牆 允許該流量的規則,TCP Ping 和類似的工具仍能成功連線到目標 FQDN?

TCP Ping 實際上不會連線到目標 FQDN。 Azure 防火牆 不允許連線到任何目標 IP 位址/FQDN,除非有明確的規則允許它。

TCP Ping 是唯一的使用案例,如果沒有任何允許的規則,防火牆本身會回應用戶端的 TCP Ping 要求,即使 TCP Ping 未達到目標 IP 位址/FQDN。 在此情況下,不會記錄事件。 如果有允許存取目標 IP 位址/FQDN 的網路規則,則 Ping 要求會到達目標伺服器,且其回應會轉送回用戶端。 此事件會記錄在網路規則記錄中。

IP 群組支援的IP位址數目是否有限制?

是。 如需詳細資訊,請參閱 Azure 訂用帳戶和服務限制、配額和條件約束

我可以將IP群組移至另一個資源群組嗎?

否,目前不支援將IP群組移至另一個資源群組。

Azure 防火牆 的 TCP 閑置逾時是什麼?

網路防火牆的標準行為是確保 TCP 連線保持運作,並在沒有活動時立即關閉它們。 Azure 防火牆 TCP 閑置逾時為四分鐘。 此設定並非用戶可設定,但您可以連絡 Azure 支持人員,以增加最多 30 分鐘的輸入和輸出連線閑置逾時。 無法變更東西側流量的閑置逾時。

如果閑置期間超過逾時值,則不保證會維護 TCP 或 HTTP 會話。 常見的做法是使用 TCP 保持運作。 這種做法會讓連線保持較長的期間。 如需詳細資訊,請參閱 .NET 範例

是否可以在沒有公用IP位址的情況下部署 Azure 防火牆?

是,但您必須在強制通道模式中設定防火牆。 此組態會建立具有公用IP位址的管理介面,Azure 防火牆 用於其作業。 此公用IP位址適用於管理流量。 它完全由 Azure 平臺使用,無法用於任何其他用途。 租用戶數據路徑網路可以設定沒有公用IP位址,而因特網流量可以強制通道傳送至另一個防火牆或完全封鎖。

Azure 防火牆 儲存客戶數據的位置?

Azure 防火牆 不會將客戶數據移出其部署的區域。

是否有方法可以自動備份 Azure 防火牆 和原則?

是。 如需詳細資訊,請參閱使用LogicApps備份 Azure 防火牆和 Azure 防火牆原則。

卡達是否支援 Azure 防火牆 安全虛擬中樞 (vWAN) ?

否,卡達目前不支援在安全的虛擬中樞 (vWAN) 中 Azure 防火牆。

Azure 防火牆 支援多少個平行連線?

Azure 防火牆 會在下方使用具有固定連線數目的 Azure 虛擬機器。 每個虛擬機的作用中聯機總數為 250k。

每個防火牆的總限制是虛擬機連線限制 (250k) x 防火牆後端集區中的虛擬機數目。 Azure 防火牆 從兩部虛擬機開始,並根據CPU使用量和輸送量相應放大。

Azure 防火牆 中的 SNAT TCP/UDP 埠重複使用行為為何?

Azure 防火牆 目前會針對輸出 SNAT 流量使用 TCP/UDP 來源埠,而沒有閑置等候時間。 當 TCP/UDP 連線關閉時,使用的 TCP 連接埠會立即被視為可供即將推出的連線使用。

作為特定架構的因應措施,您可以使用 Azure 防火牆部署和調整 NAT 閘道,以提供更廣泛的 SNAT 埠集區,以取得變化和可用性。