Známé problémy a omezení služby Azure Firewall
Tento článek obsahuje seznam známých problémů se službou Azure Firewall. Aktualizuje se, protože se řeší problémy.
Informace o omezeních služby Azure Firewall najdete v tématu Omezení, kvóty a omezení předplatného a služeb Azure.
Azure Firewall Standard
Azure Firewall Standard má následující známé problémy:
Poznámka:
Všechny problémy, které platí i pro Standard, platí i pro Premium.
Problém | Popis | Omezení rizik |
---|---|---|
Podpora DNAT pro privátní IP adresy omezené na verze Standard a Premium | Podpora DNAT na privátní IP adrese služby Azure Firewall je určená pro podniky, takže je omezená na verze Brány firewall úrovně Standard a Premium. | Nic |
Pravidla síťového filtrování pro jiné protokoly než TCP/UDP (třeba ICMP) nebudou fungovat pro provoz do internetu. | Pravidla filtrování sítě pro protokoly jiného typu než TCP/UDP nefungují s SNAT na vaši veřejnou IP adresu. Jiné protokoly než TCP/UDP jsou ale podporované mezi koncovými podsítěmi a virtuálními sítěmi. | Azure Firewall používá vyvažování zatížení úrovně Standard, které v současnosti nepodporuje SNAT pro protokol IP. Zkoumáme možnosti podpory tohoto scénáře v budoucí verzi. |
Chybějící podpora PowerShellu a rozhraní příkazového řádku pro protokol ICMP | Azure PowerShell a rozhraní příkazového řádku nepodporují protokol ICMP jako platný protokol v pravidlech sítě. | Protokol ICMP je stále možné použít prostřednictvím portálu a rozhraní REST API. Brzy pracujeme na přidání ICMP v PowerShellu a rozhraní příkazového řádku. |
Značky plně kvalifikovaného názvu domény vyžadují, aby byl nastavený protokol: port | Pravidla aplikace se značkami plně kvalifikovaného názvu domény vyžadují port: definice protokolu. | Jako hodnotu port: protokol můžete použít https. Pracujeme na tom, aby toto pole bylo volitelné, když se použijí značky plně kvalifikovaného názvu domény. |
Přesun brány firewall do jiné skupiny prostředků nebo předplatného se nepodporuje. | Přesun brány firewall do jiné skupiny prostředků nebo předplatného se nepodporuje. | Podpora této funkce je na naší roadmapě. Pokud chcete bránu firewall přesunout do jiné skupiny prostředků nebo předplatného, musíte odstranit aktuální instanci a znovu ji vytvořit v nové skupině prostředků nebo předplatném. |
Výstrahy analýzy hrozeb můžou být maskované | Pravidla sítě s cílem 80/443 pro odchozí filtrování maskují výstrahy analýzy hrozeb, pokud jsou nakonfigurované jenom pro režim upozornění. | Vytvořte odchozí filtrování pro 80/443 pomocí pravidel aplikace. Nebo změňte režim analýzy hrozeb na Výstrahy a Odepřít. |
Se zabezpečenými virtuálními rozbočovači je možné zóny dostupnosti nakonfigurovat pouze během nasazování. | Po nasazení brány firewall se zabezpečenými virtuálními rozbočovači nemůžete nakonfigurovat Zóny dostupnosti. | Toto chování je úmyslné. |
SNAT u příchozích připojení | Kromě DNAT jsou připojení přes veřejnou IP adresu brány firewall (příchozí) SNAT na jednu z privátních IP adres brány firewall. Tento požadavek dnes (také pro síťová virtuální zařízení Active/Active) zajišťuje symetrické směrování. | Pokud chcete zachovat původní zdroj pro HTTP/S, zvažte použití hlaviček XFF . Použijte například službu, jako je Azure Front Door nebo Aplikace Azure lication Gateway před bránou firewall. WaF můžete také přidat jako součást služby Azure Front Door a zřetězíte ho do brány firewall. |
Filtrování plně kvalifikovaného názvu domény SQL podporuje pouze v režimu proxy serveru (port 1433) | Azure SQL Database, Azure Synapse Analytics a Azure SQL Managed Instance: Filtrování plně kvalifikovaného názvu domény SQL se podporuje jenom v režimu proxy (port 1433). Pro Azure SQL IaaS: Pokud používáte nestandardní porty, můžete tyto porty zadat v pravidlech aplikace. |
Pro SQL v režimu přesměrování (výchozí nastavení při připojování z Azure) můžete místo toho filtrovat přístup pomocí značky služby SQL v rámci pravidel sítě služby Azure Firewall. |
Odchozí provoz SMTP na portu TCP 25 je zablokovaný | Odchozí e-mailové zprávy, které se odesílají přímo do externích domén (například outlook.com a gmail.com ) na portu TCP 25, blokuje platforma Azure. Toto je výchozí chování platformy v Azure. Azure Firewall nezavádí žádné konkrétnější omezení. |
Používejte ověřené služby přenosu SMTP, které se obvykle připojují přes port TCP 587, ale také podporují další porty. Další informace najdete v tématu Řešení potíží s odchozím připojením SMTP v Azure. Další možností je nasazení služby Azure Firewall ve standardním předplatném smlouva Enterprise (EA). Azure Firewall v předplatném EA může komunikovat s veřejnými IP adresami pomocí odchozího portu TCP 25. V současné době může fungovat i v jiných typech předplatného, ale není zaručeno, že funguje. Pro privátní IP adresy, jako jsou virtuální sítě, sítě VPN a Azure ExpressRoute, azure Firewall podporuje odchozí připojení na portu TCP 25. |
Problémy s vyčerpáním portů SNAT | Azure Firewall aktuálně podporuje 2 496 portů na veřejnou IP adresu na instanci škálovací sady back-endových virtuálních počítačů. Ve výchozím nastavení existují dvě instance škálovací sady virtuálních počítačů. Pro každý tok tedy existuje 4 992 portů (cílová IP adresa, cílový port a protokol (TCP nebo UDP). Brána firewall se škáluje na maximálně 20 instancí. | Jedná se o omezení platformy. Limity můžete obejít konfigurací nasazení služby Azure Firewall s minimálně pěti veřejnými IP adresami pro nasazení náchylná k vyčerpání SNAT. Tím se zvýší počet dostupných portů SNAT o pětkrát. Přidělením předpony IP adresy zjednodušíte podřízená oprávnění. Pokud chcete trvalejší řešení, můžete nasadit bránu NAT, která přesáhla limity portů SNAT. Tento přístup je podporovaný pro nasazení virtuální sítě. Další informace najdete v tématu Škálování portů SNAT pomocí překladu adres (NAT) služby Azure Virtual Network. |
DNAT se nepodporuje s povoleným vynuceným tunelováním | Brány firewall nasazené s povoleným vynuceným tunelováním nemůžou podporovat příchozí přístup z internetu kvůli asymetrickým směrováním. | To je záměrně způsobené asymetrickým směrováním. Návratová cesta pro příchozí připojení prochází přes místní bránu firewall, která neviděla navázáno připojení. |
Odchozí pasivní FTP nemusí fungovat pro brány firewall s více veřejnými IP adresami v závislosti na konfiguraci serveru FTP. | Pasivní FTP vytváří různá připojení pro řídicí a datové kanály. Když brána firewall s více veřejnými IP adresami odesílá data odchozí, náhodně vybere jednu z jejích veřejných IP adres pro zdrojovou IP adresu. Ftp může selhat, když datové a řídicí kanály používají různé zdrojové IP adresy v závislosti na konfiguraci serveru FTP. | Plánuje se explicitní konfigurace SNAT. Do té doby můžete server FTP nakonfigurovat tak, aby přijímal datové a řídicí kanály z různých zdrojových IP adres (viz příklad služby IIS). Případně zvažte použití jedné IP adresy v této situaci. |
Příchozí pasivní FTP nemusí fungovat v závislosti na konfiguraci serveru FTP | Pasivní FTP vytváří různá připojení pro řídicí a datové kanály. Příchozí připojení ve službě Azure Firewall jsou SNAT na jednu z privátních IP adres brány firewall, aby se zajistilo symetrické směrování. Ftp může selhat, když datové a řídicí kanály používají různé zdrojové IP adresy v závislosti na konfiguraci serveru FTP. | Probíhá šetření zachování původní zdrojové IP adresy. Do té doby můžete server FTP nakonfigurovat tak, aby přijímal datové a řídicí kanály z různých zdrojových IP adres. |
Aktivní FTP nefunguje, když se klient FTP musí spojit se serverem FTP přes internet. | Aktivní FTP využívá příkaz PORT z klienta FTP, který přesměruje server FTP na ip adresu a port pro datový kanál. Tento příkaz PORT využívá privátní IP adresu klienta, kterou nelze změnit. Přenosy na straně klienta procházející bránou Azure Firewall se pro internetovou komunikaci nat, takže příkaz PORT považuje server FTP za neplatný. | Toto je obecné omezení aktivního FTP při použití s překladem adres (NAT) na straně klienta. |
V metrikě NetworkRuleHit chybí dimenze protokolu. | Metrika ApplicationRuleHit umožňuje protokol založený na filtrování, ale tato funkce chybí v odpovídající metrice NetworkRuleHit. | Probíhá šetření opravy. |
Pravidla překladu adres (NAT) s porty mezi 64000 a 65535 se nepodporují. | Azure Firewall umožňuje libovolný port v rozsahu 1–65535 v pravidlech sítě a aplikací, ale pravidla PŘEKLADU adres podporují pouze porty v rozsahu 1–63999. | Jedná se o aktuální omezení. |
Průměrné využití aktualizací konfigurace může trvat pět minut. | Aktualizace konfigurace služby Azure Firewall může v průměru trvat tři až pět minut a paralelní aktualizace se nepodporují. | Probíhá šetření opravy. |
Azure Firewall používá hlavičky protokolu TLS SNI k filtrování provozu HTTPS a MSSQL. | Pokud prohlížeč nebo serverový software nepodporuje rozšíření SNI (Server Name Indicator), nemůžete se připojit přes Azure Firewall. | Pokud prohlížeč nebo serverový software nepodporuje SNI, možná budete moct řídit připojení pomocí pravidla sítě místo pravidla aplikace. Informace o softwaru, který podporuje SNI, najdete v tématu o indikaci názvu serveru. |
Nejde přidat značky zásad brány firewall pomocí portálu nebo šablon Azure Resource Manageru (ARM) | Služba Azure Firewall Policy má omezení podpory oprav, které brání přidání značky pomocí webu Azure Portal nebo šablon ARM. Vygeneruje se následující chyba: Značky prostředku se nepodařilo uložit. | Probíhá šetření opravy. Nebo můžete použít rutinu Set-AzFirewallPolicy Azure PowerShellu k aktualizaci značek. |
Protokol IPv6 se v současné době nepodporuje | Pokud do pravidla přidáte adresu IPv6, brána firewall selže. | Používejte jenom adresy IPv4. Probíhá šetření podpory protokolu IPv6. |
Aktualizace více skupin IP adres selže s chybou konfliktu. | Když aktualizujete dvě nebo více skupin IP připojených ke stejné bráně firewall, jeden z prostředků přejde do stavu selhání. | Jedná se o známý problém nebo omezení. Když aktualizujete skupinu IP adres, aktivuje aktualizaci ve všech branách firewall, ke kterým je skupina IPGroup připojená. Pokud se spustí aktualizace druhé skupiny IP adres, když je brána firewall stále ve stavu Aktualizace , aktualizace skupiny IPGroup selže. Aby se zabránilo selhání, musí se skupiny IP adres připojené ke stejné bráně firewall aktualizovat po jednom. Umožňuje dostatek času mezi aktualizacemi, aby se brána firewall dostala ze stavu aktualizace . |
Odebrání RuleCollectionGroups pomocí šablon ARM se nepodporuje. | Odebrání ruleCollectionGroup pomocí šablon ARM se nepodporuje a výsledkem je selhání. | Nejedná se o podporovanou operaci. |
Pravidlo DNAT pro povolení jakéhokoli provozu (*) bude SNAT. | Pokud pravidlo DNAT povolí jako zdrojovou IP adresu libovolnou (*), implicitní pravidlo sítě odpovídá provozu VNet-VNet a vždy bude SNAT provoz. | Jedná se o aktuální omezení. |
Přidání pravidla DNAT do zabezpečeného virtuálního centra s poskytovatelem zabezpečení se nepodporuje. | Výsledkem je asynchronní trasa pro vrácený provoz DNAT, který směřuje k poskytovateli zabezpečení. | Nepodporováno |
Při vytváření více než 2 000 kolekcí pravidel došlo k chybě. | Maximální počet kolekcí nat/aplikací nebo pravidel sítě je 2000 (limit Resource Manageru). | Jedná se o aktuální omezení. |
Hlavička XFF v HTTP/S | Hlavičky XFF se přepíšou původní zdrojovou IP adresou, jak je vidět brána firewall. To platí pro následující případy použití: – Požadavky HTTP – Požadavky HTTPS s ukončením protokolu TLS |
Probíhá šetření opravy. |
Nejde nasadit bránu firewall s Zóny dostupnosti s nově vytvořenou veřejnou IP adresou | Když nasadíte bránu firewall s Zóny dostupnosti, nemůžete použít nově vytvořenou veřejnou IP adresu. | Nejprve vytvořte novou zónově redundantní veřejnou IP adresu a pak tuto dříve vytvořenou IP adresu při nasazení brány firewall přiřaďte. |
Fyzická zóna 2 v Severní Evropě není pro nasazení brány firewall k dispozici. | Novou bránu firewall s fyzickou zónou 2 nemůžete nasadit. Pokud navíc zastavíte existující bránu firewall nasazenou ve fyzické zóně 2, nedá se restartovat. Další informace najdete v tématu Fyzické a logické zóny dostupnosti. | U nových bran firewall nasaďte zbývající zóny dostupnosti nebo použijte jinou oblast. Pokud chcete nakonfigurovat existující bránu firewall, přečtěte si, jak můžu nakonfigurovat zóny dostupnosti po nasazení? |
Azure Firewall Premium
Azure Firewall Premium má následující známé problémy:
Problém | Popis | Omezení rizik |
---|---|---|
Podpora ESNI pro překlad plně kvalifikovaného názvu domény v HTTPS | Šifrované SNI se v metodách handshake HTTPS nepodporuje. | Dnes pouze Firefox podporuje ESNI prostřednictvím vlastní konfigurace. Navrhované alternativní řešení je zakázat tuto funkci. |
Ověřování certifikace klienta se nepodporuje. | Klientské certifikáty slouží k vytvoření vzájemné důvěryhodnosti identit mezi klientem a serverem. Klientské certifikáty se používají během vyjednávání protokolu TLS. Azure Firewall znovu vyjedná připojení k serveru a nemá přístup k privátnímu klíči klientských certifikátů. | Nic |
QUIC/HTTP3 | QUIC je nová hlavní verze PROTOKOLU HTTP. Jedná se o protokol založený na protokolu UDP přes 80 (PLAN) a 443 (SSL). Kontrola plně kvalifikovaného názvu domény nebo adresy URL/TLS se nepodporuje. | Nakonfigurujte předávání UDP 80/443 jako pravidla sítě. |
Nedůvěryhodné certifikáty podepsané zákazníkem | Certifikáty podepsané zákazníkem nejsou bránou firewall po přijetí z intranetového webového serveru důvěryhodné. | Probíhá šetření opravy. |
Nesprávná zdrojová IP adresa v upozorněních s adresou IDPS pro PROTOKOL HTTP (bez kontroly protokolu TLS) | Pokud se používá provoz HTTP ve formátu prostého textu a IP adresa vydá novou výstrahu a cíl je veřejná IP adresa, je zobrazená zdrojová IP adresa špatná (interní IP adresa se zobrazí místo původní IP adresy). | Probíhá šetření opravy. |
Šíření certifikátu | Po použití certifikátu certifikační autority na bráně firewall může trvat 5 až 10 minut, než se certifikát projeví. | Probíhá šetření opravy. |
Podpora protokolu TLS 1.3 | Protokol TLS 1.3 je částečně podporovaný. Tunel TLS z klienta do brány firewall je založený na protokolu TLS 1.2 a z brány firewall na externí webový server je založený na protokolu TLS 1.3. | Probíhá šetření aktualizací. |
Vypršení platnosti certifikátu zprostředkující certifikační autority TLSi | V některých jedinečných případech může platnost zprostředkujícího certifikátu certifikační autority vypršet dva měsíce před původním datem vypršení platnosti. | Obnovte certifikát zprostředkující certifikační autority dva měsíce před původním datem vypršení platnosti. Probíhá šetření opravy. |