Upravit

Sdílet prostřednictvím


Nejčastější dotazy ke službě Azure Firewall

Co je brána Azure Firewall?

Azure Firewall je spravovaná cloudová služba síťového zabezpečení, která chrání vaše prostředky ve virtuálních sítích Azure. Jedná se o plně stavovou bránu firewall jako službu s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Můžete centrálně vytvářet, vynucovat a protokolovat zásady připojení k aplikacím a sítím napříč různými předplatnými a virtuálními sítěmi.

Jaké možnosti jsou podporovány ve službě Azure Firewall?

Další informace o funkcích služby Azure Firewall najdete v tématu Funkce služby Azure Firewall.

Jaký je typický model nasazení pro Azure Firewall?

Službu Azure Firewall můžete nasadit v jakékoli virtuální síti, ale zákazníci ji obvykle nasazují v centrální virtuální síti a ostatní virtuální sítě k ní propojí partnerským vztahem s využitím modelu s hvězdicovou strukturou. Pak můžete nastavit výchozí trasu z partnerských virtuálních sítí tak, aby odkazovala na tuto centrální virtuální síť brány firewall. Globální partnerský vztah virtuálních sítí se podporuje, ale nedoporučuje se kvůli potenciálním problémům s výkonem a latencí napříč oblastmi. Nejlepšího výkonu dosáhnete nasazením jedné brány firewall na oblast.

Výhodou tohoto modelu je možnost centrálně provádět kontrolu několika paprskových virtuálních sítí v různých předplatných. Existují také úspory nákladů, protože nemusíte nasazovat bránu firewall v každé virtuální síti zvlášť. Úspory nákladů by se měly porovnávat s náklady na přidružené partnerské vztahy v závislosti na vzorech provozu zákazníka.

Jak můžu nainstalovat Azure Firewall?

Bránu Azure Firewall můžete nastavit pomocí webu Azure Portal, PowerShellu, rozhraní REST API nebo pomocí šablon. Projděte si kurz: Nasazení a konfigurace služby Azure Firewall pomocí webu Azure Portal s podrobnými pokyny.

Co jsou některé koncepty služby Azure Firewall?

Azure Firewall podporuje pravidla a kolekce pravidel. Kolekce pravidel je sada pravidel, která sdílejí stejné pořadí a prioritu. Kolekce pravidel se spouští v pořadí podle jejich priority. Kolekce pravidel DNAT jsou kolekce pravidel s vyšší prioritou, které mají vyšší prioritu než kolekce pravidel aplikace, a všechna pravidla se ukončují.

Existují tři typy kolekcí pravidel:

  • Pravidla aplikací: Nakonfigurujte plně kvalifikované názvy domén (FQDN), ke kterým je možné přistupovat z virtuální sítě.
  • Pravidla sítě: Nakonfigurujte pravidla, která obsahují zdrojové adresy, protokoly, cílové porty a cílové adresy.
  • Pravidla překladu adres (NAT): Nakonfigurujte pravidla DNAT tak, aby umožňovala příchozí připojení k internetu nebo intranetu (Preview).

Další informace najdete v tématu Konfigurace pravidel brány Azure Firewall.

Podporuje Azure Firewall filtrování příchozího provozu?

Služba Azure Firewall podporuje příchozí a odchozí filtrování. Příchozí ochrana se obvykle používá pro protokoly jiné než HTTP, jako jsou protokoly RDP, SSH a FTP. Pro příchozí ochranu HTTP a HTTPS použijte firewall webových aplikací, jako je Azure Web Application Firewall (WAF) nebo přesměrování zpracování protokolu TLS a hloubková kontrola paketů služby Azure Firewall Premium.

Podporuje Azure Firewall Basic vynucené tunelování?

Ano, Azure Firewall Basic podporuje vynucené tunelování.

Které služby protokolování a analýzy Azure Firewall podporuje?

Služba Azure Firewall je plně integrovaná s Azure Monitorem a zajišťuje zobrazování a analýzu protokolů brány firewall. Protokoly je možné odeslat do služby Log Analytics, Azure Storage nebo Event Hubs. Lze je analyzovat v Log Analytics nebo pomocí různých nástrojů, jako jsou Excel a Power BI. Další informace najdete v tématu Kurz: Monitorování protokolů brány Azure Firewall.

Jak se Azure Firewall liší od stávajících služeb, jako jsou například síťová virtuální zařízení na marketplace?

Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání vaše prostředky virtuální sítě. Jde o plně stavovou bránu firewall poskytovanou jako služba s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Je předem integrovaná s poskytovateli zabezpečení jako služby (SECaaS) třetích stran, aby poskytovala pokročilé zabezpečení pro virtuální síť a připojení k internetu větví. Další informace o zabezpečení sítě Azure najdete v tématu Zabezpečení sítě Azure.

Jaký je rozdíl mezi WAF služby Application Gateway a službou Azure Firewall?

Firewall webových aplikací (WAF) je funkce služby Application Gateway, která poskytuje centralizovanou příchozí ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Azure Firewall poskytuje příchozí ochranu pro protokoly jiné než HTTP/S (například RDP, SSH, FTP), odchozí ochranu na úrovni sítě pro všechny porty a protokoly a ochranu na úrovni aplikace pro odchozí http/S.

Jaký je rozdíl mezi skupinami zabezpečení sítě (NSG) a službou Azure Firewall?

Služba Azure Firewall doplňuje funkce skupiny zabezpečení sítě. Společně poskytují lepší zabezpečení sítě v "hloubkové obraně". Skupiny zabezpečení sítě poskytují filtrování provozu na distribuované síťové vrstvě k omezení provozu na prostředky ve virtuálních sítích v každém předplatném. Azure Firewall je plně stavová centralizovaná síťová brána firewall jako služba, která poskytuje ochranu na úrovni sítě a aplikací napříč různými předplatnými a virtuálními sítěmi.

Podporují se skupiny zabezpečení sítě (NSG) ve službě AzureFirewallSubnet?

Azure Firewall je spravovaná služba s několika vrstvami ochrany, včetně ochrany platformy se skupinami zabezpečení sítě na úrovni síťových adaptérů (není možné je zobrazit). Skupiny zabezpečení sítě na úrovni podsítě nejsou na azureFirewallSubnetu povinné a jsou zakázané, aby se zajistilo žádné přerušení služby.

Jak nastavím Azure Firewall s koncovými body služby?

Pro zabezpečený přístup ke službám PaaS doporučujeme koncové body služby. Můžete povolit koncové body služeb v podsíti služby Azure Firewall a zakázat je v připojených hvězdicových virtuálních sítích. Díky tomu můžete využívat obě funkce: zabezpečení koncového bodu služby a centrální protokolování pro veškerý provoz.

Jaké jsou ceny služby Azure Firewall?

Viz ceny služby Azure Firewall.

Jak můžu zastavit a spustit Službu Azure Firewall?

Můžete použít uvolnění a přidělení metod Azure PowerShellu. Pro bránu firewall nakonfigurovanou pro vynucené tunelování se postup mírně liší.

Například pro bránu firewall nakonfigurovanou s povoleným síťovým rozhraním pro správu:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))

Set-AzFirewall -AzureFirewall $azfw

Pro bránu firewall nakonfigurovanou s povolenou síťovým rozhraním pro správu je zastavení stejné. Spuštění ale vyžaduje, aby se veřejná IP adresa správy znovu přidružuje k bráně firewall:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall

Pro bránu firewall v zabezpečené architektuře virtuálního centra je zastavení stejné, ale spuštění musí používat ID virtuálního centra:

# Stop and existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$virtualhub = get-azvirtualhub -ResourceGroupName "RG name of vHUB" -name "vHUB name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Azfw RG Name"
$azfw.Allocate($virtualhub.Id)
$azfw | Set-AzFirewall

Když přidělíte a uvolníte, fakturace brány firewall se zastaví a spustí odpovídajícím způsobem.

Poznámka:

Musíte relokovat bránu firewall a veřejnou IP adresu původní skupině prostředků a předplatnému. Když se provede zastavení/spuštění, může se privátní IP adresa brány firewall změnit na jinou IP adresu v rámci podsítě. To může mít vliv na připojení dříve nakonfigurovaných směrovacích tabulek.

Jak můžu nakonfigurovat zóny dostupnosti po nasazení?

Doporučuje se nakonfigurovat zóny dostupnosti během počátečního nasazení brány firewall. V některých případech je ale možné po nasazení změnit zóny dostupnosti. Tyto požadavky jsou:

  • Brána firewall se nasadí ve virtuální síti. Nepodporuje se u bran firewall nasazených v zabezpečeném virtuálním centru.
  • Oblast brány firewall podporuje zóny dostupnosti.
  • Všechny připojené veřejné IP adresy se nasazují se zónami dostupnosti. Na stránce vlastností každé veřejné IP adresy se ujistěte, že pole zón dostupnosti existuje a je nakonfigurované se stejnými zónami, které jste nakonfigurovali pro bránu firewall.

Překonfigurování zón dostupnosti je možné provést pouze při restartování brány firewall. Po přidělení brány firewall a těsně před spuštěním Set-AzFirewallbrány firewall pomocí následujícího Azure PowerShellu upravte vlastnost zóny brány firewall:

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azFw.Zones=1,2,3
$azfw | Set-AzFirewall

Jaké jsou známé limity služeb?

Informace o omezeních služby Azure Firewall najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.

Může Azure Firewall v centrální virtuální síti předávat a filtrovat síťový provoz mezi více paprskovými virtuálními sítěmi?

Ano, k směrování a filtrování provozu mezi více paprskovými virtuálními sítěmi můžete použít službu Azure Firewall v centrální virtuální síti. Podsítě v každé paprskové virtuální síti musí mít trasu definovanou uživatelem odkazující na azure Firewall jako výchozí bránu, aby tento scénář fungoval správně.

Může Azure Firewall předávat a filtrovat síťový provoz mezi podsítěmi ve stejné virtuální síti nebo partnerskými virtuálními sítěmi?

Ano. Konfigurace trasy definované uživatelem pro přesměrování provozu mezi podsítěmi ve stejné virtuální síti ale vyžaduje větší pozornost. Při použití rozsahu adres virtuální sítě jako cílové předpony trasy definované uživatelem je dostačující, ale také směruje veškerý provoz z jednoho počítače do jiného počítače ve stejné podsíti prostřednictvím instance služby Azure Firewall. Abyste tomu předešli, zahrňte trasu pro podsíť v trasy definované uživatelem s typem dalšího segmentu směrování virtuální sítě. Správa těchto tras může být těžkopádná a náchylná k chybám. Doporučeným způsobem pro segmentaci interní sítě je použití skupin zabezpečení sítě, které nevyžadují trasy definované uživatelem.

Provádí Azure Firewall odchozí SNAT mezi privátními sítěmi?

Azure Firewall se nenachází v případě, že cílová IP adresa je privátní rozsah IP adres na IANA RFC 1918 nebo IANA RFC 6598 pro privátní sítě. Pokud vaše organizace používá rozsah veřejných IP adres pro privátní sítě, Azure Firewall SNAT provoz na jednu z privátních IP adres brány firewall v AzureFirewallSubnetu. Službu Azure Firewall můžete nakonfigurovat tak, aby neobsála rozsah veřejných IP adres. Další informace najdete v tématu Rozsahy privátních IP adres pro SNAT služby Azure Firewall.

Kromě toho se provoz zpracovávaný pravidly aplikace vždy používá SNAT. Pokud chcete zobrazit původní zdrojovou IP adresu v protokolech pro provoz plně kvalifikovaného názvu domény, můžete použít pravidla sítě s cílovým plně kvalifikovaným názvem domény.

Podporuje se vynucené tunelování nebo řetězení síťového virtuálního zařízení?

Vynucené tunelování se podporuje při vytváření nové brány firewall. Pro vynucené tunelování nemůžete nakonfigurovat existující bránu firewall. Další informace najdete v části Vynucené tunelování Azure Firewall.

Služba Azure Firewall musí mít přímé připojení k internetu. Pokud vaše služba AzureFirewallSubnet zjistí výchozí trasu do vaší místní sítě prostřednictvím protokolu BGP, musíte ji přepsat hodnotou 0.0.0.0.0/0 s hodnotou NextHopType nastavenou jako internet , aby se zachovalo přímé připojení k internetu.

Pokud vaše konfigurace vyžaduje vynucené tunelování do místní sítě a můžete určit předpony cílových IP adres pro vaše cíle internetu, můžete tyto rozsahy nakonfigurovat s místní sítí jako další segment směrování přes trasu definovanou uživatelem v podsítě AzureFirewallSubnet. Nebo můžete tyto trasy definovat pomocí protokolu BGP.

Existují nějaká omezení skupiny prostředků brány firewall?

Ano.

  • Brána firewall a virtuální síť musí být ve stejné skupině prostředků.
  • Veřejná IP adresa může být v libovolné skupině prostředků.
  • Všechny brány firewall, virtuální sítě a veřejné IP adresy musí být ve stejném předplatném.

Jak fungují zástupné cardy v cílových adresách URL a cílových plně kvalifikovaných názvů domén v pravidlech aplikace?

  • URL – Hvězdičky fungují při umístění na pravé nebo levé straně. Pokud je na levé straně, nemůže být součástí plně kvalifikovaného názvu domény.
  • Plně kvalifikovaný název domény – hvězdičky fungují při umístění na levé straně.
  • GENERAL - Hvězdičky na levé straně znamenají doslova cokoli na levé straně, což znamená, že několik subdomén a/nebo potenciálně nežádoucí varianty názvu domény se shodují – podívejte se na následující příklady.

Příklady:

Typ Pravidlo Podporováno? Pozitivní příklady
TargetURL www.contoso.com Ano www.contoso.com
www.contoso.com/
TargetURL *.contoso.com Ano any.contoso.com/
sub1.any.contoso.com
TargetURL *contoso.com Ano example.anycontoso.com
sub1.example.contoso.com
contoso.com
Upozornění: Toto použití zástupných znaků také umožňuje potenciálně nežádoucí/rizikové varianty, jako th3re4lcontoso.com je – používejte s opatrností.
TargetURL www.contoso.com/test Ano www.contoso.com/test
www.contoso.com/test/
www.contoso.com/test?with_query=1
TargetURL www.contoso.com/test/* Ano www.contoso.com/test/anything
Poznámka: www.contoso.com/test neodpovídá (poslední lomítko)
TargetURL www.contoso.*/test/* No
TargetURL www.contoso.com/test?example=1 No
TargetURL www.contoso.* No
TargetURL www.*contoso.com No
TargetURL www.contoso.com:8080 No
TargetURL *.contoso.* No
CílovýFQDN www.contoso.com Ano www.contoso.com
CílovýFQDN *.contoso.com Ano any.contoso.com

Poznámka: Pokud chcete výslovně povolit contoso.com, musíte do pravidla zahrnout contoso.com. Jinak se připojení ve výchozím nastavení zahodí, protože požadavek neodpovídá žádnému pravidlu.
CílovýFQDN *contoso.com Ano example.anycontoso.com
contoso.com
CílovýFQDN www.contoso.* No
CílovýFQDN *.contoso.* No

Co znamená *Stav zřizování: Selhání*?

Při každé změně konfigurace se služba Azure Firewall pokusí aktualizovat všechny své základní back-endové instance. Ve výjimečných případech může jedna z těchto back-endových instancí selhat aktualizaci s novou konfigurací a proces aktualizace se zastaví se stavem neúspěšného zřizování. Vaše služba Azure Firewall je stále funkční, ale použitá konfigurace může být v nekonzistentním stavu, kdy některé instance mají předchozí konfiguraci, kde ostatní mají aktualizovanou sadu pravidel. Pokud k tomu dojde, zkuste konfiguraci ještě jednou aktualizovat, dokud nebude operace úspěšná a brána firewall je ve stavu úspěšného zřizování.

Jak Azure Firewall zpracovává plánovanou údržbu a neplánovaná selhání?

Azure Firewall se skládá z několika back-endových uzlů v konfiguraci aktivní-aktivní. U jakékoli plánované údržby máme logiku vyprázdnění připojení pro řádné aktualizace uzlů. Aktualizace se plánují během nepracovních hodin pro každou z oblastí Azure, aby se dále omezilo riziko přerušení. V případě neplánovaných problémů vytvoříme instanci nového uzlu, který nahradí uzel, který selhal. Připojení k novému uzlu se obvykle znovu publikuje během 10 sekund od doby selhání.

Jak funguje vyprazdňování připojení?

V případě jakékoli plánované údržby logika vyprázdnění připojení řádně aktualizuje back-endové uzly. Azure Firewall čeká 90 sekund, než se stávající připojení zavře. Během prvních 45 sekund back-endový uzel nepřijímá nová připojení a ve zbývající době reaguje RST na všechny příchozí pakety. V případě potřeby můžou klienti automaticky znovu navázat připojení k jinému back-endovému uzlu.

Existuje pro název brány firewall limit znaků?

Ano. Název brány firewall má limit 50 znaků.

Proč azure Firewall potřebuje velikost podsítě /26?

Azure Firewall musí při škálování zřídit více instancí virtuálních počítačů. Adresní prostor /26 zajišťuje, že brána firewall má k dispozici dostatek IP adres pro přizpůsobení škálování.

Je potřeba změnit velikost podsítě brány firewall při škálování služby?

Ne. Azure Firewall nepotřebuje podsíť větší než /26.

Jak můžu zvýšit propustnost brány firewall?

Počáteční kapacita propustnosti služby Azure Firewall je 2,5 až 3 Gb/s a škáluje se na 30 Gb/s pro skladovou položku Standard a 100 Gb/s pro skladovou položku Premium. Škáluje se automaticky na základě využití procesoru, propustnosti a počtu připojení.

Jak dlouho trvá horizontální navýšení kapacity služby Azure Firewall?

Azure Firewall postupně škáluje v případě, že průměrná propustnost nebo spotřeba procesoru je na 60 % nebo využití připojení je na 80 %. Například začne škálovat na více instancí, když dosáhne 60 % maximální propustnosti. Čísla maximální propustnosti se liší podle skladové položky brány firewall a povolených funkcí. Další informace najdete v části Výkon služby Azure Firewall.

Horizontální navýšení kapacity trvá pět až sedm minut.

Při testování výkonu se ujistěte, že testujete alespoň 10 až 15 minut a spustíte nová připojení, abyste mohli využívat nově vytvořené uzly brány firewall.

Jak Azure Firewall zpracovává časové limity nečinnosti?

Pokud má připojení časový limit nečinnosti (čtyři minuty bez aktivity), Služba Azure Firewall připojení řádně ukončí odesláním paketu TCP RST.

Jak Azure Firewall zpracovává vypnutí instancí virtuálních počítačů během škálování škálovací sady virtuálních počítačů ve (vertikálním snížení kapacity) nebo upgradech softwaru pro flotilu?

K vypnutí instance virtuálního počítače azure Firewall může dojít během škálování škálovací sady virtuálních počítačů (vertikální snížení kapacity) nebo během upgradu softwaru pro flotilu. V těchto případech jsou nová příchozí připojení vyvážená do zbývajících instancí brány firewall a nepřesměrovávají se do instance brány firewall. Po 45 sekundách začne brána firewall odmítat stávající připojení odesláním paketů TCP RST. Po dalších 45 sekundách se virtuální počítač brány firewall vypne. Další informace naleznete v tématu Load Balancer TCP Reset and Idle Timeout.

Povoluje služba Azure Firewall ve výchozím nastavení přístup ke službě Active Directory?

Ne. Azure Firewall standardně blokuje přístup ke službě Active Directory. Pokud chcete povolit přístup, nakonfigurujte značku služby AzureActiveDirectory. Další informace najdete v tématu Značky služeb Azure Firewall.

Můžu vyloučit plně kvalifikovaný název domény nebo IP adresu z filtrování založeného na službě Azure Firewall Threat Intelligence?

Ano, k tomu můžete použít Azure PowerShell:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Proč se může příkaz ping TCP a podobné nástroje úspěšně připojit k cílovému plně kvalifikovanému názvu domény i v případě, že žádné pravidlo ve službě Azure Firewall tento provoz neumožňuje?

Příkaz ping tcp se ve skutečnosti nepřipojuje k cílovému plně kvalifikovanému názvu domény. Azure Firewall neumožňuje připojení k žádné cílové IP adrese nebo plně kvalifikovanému názvu domény, pokud neexistuje explicitní pravidlo, které to povoluje.

Tcp ping je jedinečný případ použití, kdy pokud neexistuje žádné povolené pravidlo, brána firewall sama reaguje na požadavek tcp ping klienta, i když příkaz ping tcp nedosahuje cílové IP adresy nebo plně kvalifikovaného názvu domény. V takovém případě se událost nezaprotokoluje. Pokud existuje pravidlo sítě, které povoluje přístup k cílové IP adrese nebo plně kvalifikovanému názvu domény, požadavek ping dosáhne cílového serveru a jeho odpověď se předá zpět klientovi. Tato událost se protokoluje v protokolu pravidel sítě.

Platí omezení počtu IP adres podporovaných skupinami IP adres?

Ano. Další informace najdete v tématu Limity, kvóty a omezení předplatného a služeb Azure.

Můžu přesunout skupinu IP adres do jiné skupiny prostředků?

Ne, přesun skupiny IP adres do jiné skupiny prostředků se v současné době nepodporuje.

Jaký je časový limit nečinnosti protokolu TCP pro bránu Azure Firewall?

Standardním chováním síťové brány firewall je zajistit, aby byla připojení TCP stále aktivní, a aby je v případě, že nedošlo k žádné aktivitě, okamžitě je zavřete. Časový limit nečinnosti protokolu TCP služby Azure Firewall je čtyři minuty. Toto nastavení není konfigurovatelné uživatelem, ale můžete kontaktovat podporu Azure a zvýšit časový limit nečinnosti pro příchozí a odchozí připojení až o 15 minut. Časový limit nečinnosti pro provoz východ-západ nejde změnit.

Pokud je doba nečinnosti delší než hodnota časového limitu, není zaručeno, že se udržuje relace TCP nebo HTTP. Běžným postupem je použití protokolu TCP s udržováním naživu. Tento postup udržuje připojení aktivní po delší dobu. Další informace najdete v příkladech .NET.

Můžu nasadit službu Azure Firewall bez veřejné IP adresy?

Ano, ale bránu firewall musíte nakonfigurovat v režimu vynuceného tunelování. Tato konfigurace vytvoří rozhraní pro správu s veřejnou IP adresou, kterou azure Firewall používá pro své operace. Tato veřejná IP adresa je určená pro provoz správy. Používá se výhradně platformou Azure a nedá se použít k žádnému jinému účelu. Síť datových cest tenanta je možné nakonfigurovat bez veřejné IP adresy a internetový provoz je možné vynutit tunelování do jiné brány firewall nebo úplně zablokované.

Kde Azure Firewall ukládá zákaznická data?

Azure Firewall nepřesouvají ani neukládají zákaznická data z oblasti, ve které jsou nasazená.

Existuje způsob, jak automaticky zálohovat službu Azure Firewall a zásady?

Podporuje azure Firewall v zabezpečených virtuálních centrech (vWAN) v Kataru?

Ne, azure Firewall v zabezpečených virtuálních centrech (vWAN) se v Kataru v současné době nepodporuje.

Kolik paralelních připojení podporuje Azure Firewall?

Azure Firewall používá virtuální počítače Azure, pod kterými je omezený počet připojení. Celkový počet aktivních připojení na virtuální počítač je 250 tisíc.

Celkový limit na bránu firewall je limit připojení virtuálního počítače (250 tisíc) × počet virtuálních počítačů v back-endovém fondu brány firewall. Azure Firewall začíná dvěma virtuálními počítači a škáluje kapacitu na základě využití a propustnosti procesoru.

Jaké je chování opakovaného použití portu SNAT TCP/UDP ve službě Azure Firewall?

Azure Firewall aktuálně používá zdrojové porty TCP/UDP pro odchozí provoz SNAT bez doby čekání na nečinnost. Po zavření připojení TCP/UDP se použitý port TCP okamžitě zobrazí jako dostupný pro nadcházející připojení.

Jako alternativní řešení pro určité architektury můžete nasadit a škálovat pomocí služby NAT Gateway se službou Azure Firewall , abyste zajistili širší fond portů SNAT pro proměnlivost a dostupnost.

Co jsou chování překladu adres (NAT) ve službě Azure Firewall?

Konkrétní chování překladu adres (NAT) závisí na konfiguraci brány firewall a typu nakonfigurovaného překladu adres (NAT). Brána firewall má například pravidla DNAT pro příchozí provoz a pravidla sítě a pravidla aplikací pro odchozí provoz přes bránu firewall.

Další informace najdete v tématu Chování překladu adres (NAT) služby Azure Firewall.