Что такое Брандмауэр Azure?
Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure. Брандмауэр разработан как служба с полным отслеживанием состояния со встроенной высокой доступностью и неограниченной облачной масштабируемостью. Вы можете централизованно создавать, применять и регистрировать политики приложений и сетевых подключений в подписках и виртуальных сетях.
Характеристики и функции Брандмауэра Azure:
Дополнительные сведения о функциях брандмауэра Azure см. в статье Функции службы "Брандмауэр Azure".
Что такое типичная модель развертывания для службы "Брандмауэр Azure"?
Хотя службу "Брандмауэр Azure" можно развернуть в любой виртуальной сети, клиенты обычно развертывают ее в центральной виртуальной сети и устанавливать пиринг к ней в звездообразной модели. Затем вы можете установить маршрут по умолчанию из пиринговых виртуальных сетей, чтобы указать на эту центральную виртуальную сеть брандмауэра. Пиринг глобальной виртуальной сети поддерживается, но не рекомендуется из-за потенциальных проблем с производительностью и задержками в разных регионах. Для достижения максимальной производительности разверните один брандмауэр для каждого региона.
Преимуществом этой модели является возможность централизованно влиять на несколько периферийных виртуальных сетей, находящихся в разных подписках. Она также помогает сократить затраты, так как вам не нужно развертывать брандмауэр в каждой виртуальной сети отдельно. Экономию и соответствующие затраты на пиринг следует сравнивать на основе шаблонов трафика клиента.
Как установить службу "Брандмауэр Azure"?
Службу "Брандмауэр Azure" можно настроить с помощью портала Azure, PowerShell, REST API или шаблонов. Пошаговые инструкции см. в статье Руководство по развертыванию и настройке службы "Брандмауэр Azure" с помощью портала Azure.
Каковы некоторые концепции службы "Брандмауэр Azure"?
Служба "Брандмауэр Azure" поддерживает правила и коллекции правил. Коллекция правил — это набор правил с одинаковым порядком и приоритетом. Коллекции правил выполняются в порядке их важности. Коллекции правил DNAT являются более приоритетными коллекциями правил сети, которые являются более высоким приоритетом, чем коллекции правил приложения, и все правила завершаются.
Есть три типа коллекций правил:
- Правила приложения: настройте полные доменные имена (FQDN), к которым можно получить доступ из виртуальная сеть.
- Сетевые правила: настройте правила, содержащие исходные адреса, протоколы, порты назначения и адреса назначения.
- Правила NAT: настройте правила DNAT для разрешения входящих подключений к Интернету или интрасети (предварительная версия).
Дополнительные сведения см. в разделе "Настройка правил Брандмауэр Azure".
Поддерживает ли служба "Брандмауэр Azure" фильтрацию входящего трафика?
Брандмауэр Azure поддерживает фильтрацию входящего и исходящего трафика. Защита от входящего трафика обычно используется для протоколов, отличных от HTTP, таких как протоколы RDP, SSH и FTP. Для защиты входящего трафика HTTP и HTTPS используйте брандмауэр веб-приложения, например Azure Брандмауэр веб-приложений (WAF) или разгрузку TLS и возможности глубокой проверки пакетов Брандмауэр Azure Premium.
Поддерживает ли Брандмауэр Azure Базовая принудительное туннелирование?
Да, Брандмауэр Azure Basic поддерживает принудительное туннелирование.
Какие службы ведения журнала и аналитики поддерживаются Брандмауэр Azure?
Служба "Брандмауэр Azure" интегрирована с Azure Monitor для возможности просмотра и анализа журналов брандмауэра. Журналы могут отправляться в Log Analytics, службу хранилища Azure или Центры событий. Их можно анализировать в Log Analytics или с помощью различных инструментов, таких как Excel и Power BI. Дополнительные сведения см. в статье Руководство. Журналы мониторинга Брандмауэра Azure.
Как работа службы "Брандмауэр Azure" отличается от работы имеющихся на рынке служб, например виртуальных сетевых модулей?
Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети. Это высокодоступная служба с полным отслеживанием состояния и неограниченными возможностями облачного масштабирования. Он предварительно интегрирован с сторонними поставщиками безопасности как услуга (SECaaS), чтобы обеспечить расширенную безопасность для виртуальной сети и подключений к Интернету филиала. Дополнительные сведения о сетевой безопасности Azure см. в статье "Безопасность сети Azure".
Какова разница между WAF шлюза приложений и службой "Брандмауэр Azure"?
Брандмауэр веб-приложения (WAF) — это компонент шлюза приложений, обеспечивающий централизованную входящую защиту веб-приложений от распространенных эксплойтов и уязвимостей. Брандмауэр Azure обеспечивает защиту входящего трафика для протоколов, отличных от HTTP/S (таких как RDP, SSH, FTP), защиту исходящего трафика сетевого уровня для всех портов и протоколов и защиту уровня приложения для исходящего трафика HTTP/S.
Какова разница между группами безопасности сети (NSG) и службой "Брандмауэр Azure"?
Служба "Брандмауэр Azure" дополняет функции группы безопасности сети. Вместе эти два компонента обеспечивают эшелонированную защиту сети. Группы безопасности сети обеспечивают фильтрацию распределенного трафика на уровне сети для ограничения трафика между ресурсами внутри виртуальных сетей в каждой подписке. Служба "Брандмауэр Azure" — это полностью автономный, централизованный сетевой брандмауэр как услуга, обеспечивающий защиту на уровне сети и приложений в различных подписках и виртуальных сетях.
Поддерживаются ли группы безопасности сети в AzureFirewallSubnet?
Брандмауэр Azure — это управляемая служба с несколькими уровнями защиты, которая включает защиту платформы с помощью групп NSG уровня NIC (недоступно для просмотра). Группы NSG уровня подсети не требуются в AzureFirewallSubnet, поэтому они отключены, чтобы не прерывать работу службы.
Как настроить службу "Брандмауэр Azure" для использования с конечными точками служб?
Для обеспечения безопасного доступа к службам PaaS рекомендуем использовать конечные точки. Вы можете включить конечные точки служб в подсети Брандмауэра Azure и отключить их в подключенных периферийных виртуальных сетях. Таким образом, вы получаете преимущества обеих функций: безопасность конечной точки службы и централизованное ведение журналов всего трафика.
Каковы цены на службу "Брандмауэр Azure"?
См. статью Цены на Брандмауэр Azure.
Как запустить и остановить Брандмауэр Azure?
Вы можете использовать методы Azure PowerShell deallocate и allocate. Для брандмауэра, настроенного для принудительного туннелирования, процедура будет немного отличаться.
Например, для брандмауэра, настроенного с поддержкой сетевого адаптера управления, не включена:
# Stop an existing firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))
Set-AzFirewall -AzureFirewall $azfw
Для брандмауэра, настроенного с включенным сетевым адаптером управления, остановка совпадает. Однако для запуска требуется повторно связать общедоступный IP-адрес управления с брандмауэром:
# Stop an existing firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall
Для брандмауэра в защищенной архитектуре виртуального концентратора остановка одинакова, но при запуске необходимо использовать идентификатор виртуального концентратора:
# Stop and existing firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$virtualhub = get-azvirtualhub -ResourceGroupName "RG name of vHUB" -name "vHUB name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Azfw RG Name"
$azfw.Allocate($virtualhub.Id)
$azfw | Set-AzFirewall
При выделении и отмене выставление счетов за брандмауэр запускается и останавливается соответственно.
Примечание.
Необходимо переместить брандмауэр или общедоступный IP-адрес в исходную группу ресурсов или подписку. При выполнении остановки и запуска частный IP-адрес брандмауэра может измениться на другой IP-адрес в подсети. Это может повлиять на подключение ранее настроенных таблиц маршрутов.
Как настроить зоны доступности после развертывания?
Рекомендуется настроить зоны доступности во время первоначального развертывания брандмауэра. Однако в некоторых случаях можно изменить зоны доступности после развертывания. Вот эти предварительные требования:
- Брандмауэр развертывается в виртуальной сети. Он не поддерживается с брандмауэрами, развернутыми в защищенном виртуальном концентраторе.
- Регион брандмауэра поддерживает зоны доступности.
- Все присоединенные общедоступные IP-адреса развертываются с зонами доступности. На странице свойств каждого общедоступного IP-адреса убедитесь, что поле зон доступности существует и настроено с теми же зонами, которые настроены для брандмауэра.
Перенастройка зон доступности может выполняться только при перезапуске брандмауэра. После выделения брандмауэра и непосредственно перед запуском брандмауэра Set-AzFirewall
используйте следующую команду Azure PowerShell для изменения свойства зон брандмауэра:
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azFw.Zones=1,2,3
$azfw | Set-AzFirewall
Каковы известные ограничения службы?
Сведения об ограничениях службы "Брандмауэр Azure" см. в статье Подписка Azure, границы, квоты и ограничения службы.
Можно ли Брандмауэр Azure в виртуальной сети концентратора и фильтровать сетевой трафик между несколькими периферийными виртуальными сетями?
Да, вы можете использовать Брандмауэр Azure в виртуальной сети концентратора для маршрутизации и фильтрации трафика между несколькими периферийными виртуальными сетями. Чтобы такой сценарий был работоспособным, пользователю нужно задать маршруты к Брандмауэру Azure в качестве шлюза по умолчанию для подсетей каждой из периферийных виртуальных сетей.
Может ли Брандмауэр Azure передавать и фильтровать трафик, проходящий между подсетями одной виртуальной сети или пиринговыми виртуальными сетями?
Да. Однако при настройке определяемых пользователем пользователей трафика между подсетями в одной виртуальной сети требуется больше внимания. Хотя для определяемого пользователем маршрута достаточно использовать диапазон адресов виртуальной сети в качестве целевого префикса, при этом весь трафик с одного компьютера на другой также передается в одной и той же подсети через экземпляр Брандмауэра Azure. Чтобы избежать этого, добавьте маршрут для подсети в определяемый пользователем маршрут с типом следующего прыжка — виртуальная сеть. Управление этими маршрутами может быть весьма трудоемким и подвержено ошибкам. Для сегментации внутренней сети рекомендуется использовать группы безопасности сети, для которых не требуются определяемые пользователем маршруты.
Использует ли Брандмауэр Azure исходящие данные SNAT для частных сетей?
Брандмауэр Azure не SNAT, если конечный IP-адрес является частным диапазоном IP-адресов для каждого IANA RFC 1918 или IANA RFC 6598 для частных сетей. Если для частных сетей в организации используются общедоступные IP-адреса, брандмауэр Azure использует SNAT трафика для одного из своих частных IP-адресов AzureFirewallSubnet. В настройках Брандмауэра Azure можно указать, что не нужно использовать SNAT для диапазона общедоступный IP-адресов. Дополнительные сведения см. в статье об использовании SNAT для диапазонов частных IP-адресов в Брандмауэре Azure.
Кроме того, для трафика, обрабатываемого правилами приложения, всегда будет использоваться SNAT. Если вы хотите увидеть исходный IP-адрес в журналах для трафика FQDN, можно использовать правила сети с полным доменным именем назначения.
Поддерживается ли принудительное туннелирование или связывание к сетевому виртуальному модулю?
Принудительное туннелирование поддерживается при создании брандмауэра. Вы не можете настроить имеющийся брандмауэр для принудительного туннелирования. Дополнительные сведения см. в статье Azure Firewall forced tunneling (Принудительное туннелирование в Брандмауэре Azure).
Брандмауэр Azure должен быть напрямую подключен к Интернету. Если сеть AzureFirewallSubnet использует стандартный маршрут к локальной сети через BGP, установите пользовательский маршрут 0.0.0.0/0 и задайте для параметра NextHopType значение Интернет, чтобы обеспечить прямое подключение к Интернету.
Если для вашей конфигурации требуется принудительное туннелирование в локальной сети и вы можете определить префиксы целевых IP-адресов для назначений в Интернете, эти диапазоны можно настроить с помощью локальной сети в качестве следующего прыжка через определяемый пользователем маршрут в AzureFirewallSubnet. Для определения этих маршрутов можно также использовать BGP.
Существуют ли какие-либо ограничения для групп ресурсов брандмауэра?
Да.
- Брандмауэр и виртуальная сеть должны находиться в одной группе ресурсов.
- Общедоступный IP-адрес может находиться в любой группе ресурсов.
- Брандмауэр, виртуальная сеть и общедоступный IP-адрес должны находиться в одной подписке.
Как работают подстановочные знаки в целевых URL-адресах и целевых полных доменных именах в правилах приложений?
- URL-адрес — можно разместить звездочки с правого или левого края. Если звездочки размещены слева, он не может быть частью полного доменного имени.
- FQDN — звездочки можно разместить с левого края.
- GENERAL - Звездочки на левой стороне означают буквально все, что соответствует левому совпадению, то есть несколько поддоменов и /или потенциально нежелательные варианты доменных имен совпадают. См. следующие примеры.
Примеры:
Тип | Правило | Поддерживается? | Положительные примеры |
---|---|---|---|
TargetURL | www.contoso.com |
Да | www.contoso.com www.contoso.com/ |
TargetURL | *.contoso.com |
Да | any.contoso.com/ sub1.any.contoso.com |
TargetURL | *contoso.com |
Да | example.anycontoso.com sub1.example.contoso.com contoso.com Предупреждение. Это использование подстановочного знака также позволяет потенциально нежелательным или рискованным вариантам, таким как th3re4lcontoso.com - использовать с осторожностью. |
TargetURL | www.contoso.com/test |
Да | www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1 |
TargetURL | www.contoso.com/test/* |
Да | www.contoso.com/test/anything Примечание. www.contoso.com/test Не соответствует (последняя косая черта) |
TargetURL | www.contoso.*/test/* |
No | |
TargetURL | www.contoso.com/test?example=1 |
No | |
TargetURL | www.contoso.* |
No | |
TargetURL | www.*contoso.com |
No | |
TargetURL | www.contoso.com:8080 |
No | |
TargetURL | *.contoso.* |
No | |
TargetFQDN | www.contoso.com |
Да | www.contoso.com |
TargetFQDN | *.contoso.com |
Да | any.contoso.com Примечание. Если вы хотите разрешить contoso.com , необходимо включить contoso.com в правило. В противном случае подключение удаляется по умолчанию, так как запрос не соответствует ни одному правилу. |
TargetFQDN | *contoso.com |
Да | example.anycontoso.com contoso.com |
TargetFQDN | www.contoso.* |
No | |
TargetFQDN | *.contoso.* |
No |
Что означает *Состояние подготовки: сбой*?
Каждый раз, когда применяется изменение конфигурации, Брандмауэр Azure пытается обновить все базовые серверные экземпляры. В редких случаях один из этих внутренних экземпляров может не обновиться с новой конфигурацией, а процесс обновления останавливается с состоянием подготовки сбоем. Брандмауэр Azure по-прежнему работает, но примененная конфигурация может находиться в несогласованном состоянии, где некоторые экземпляры имеют предыдущую конфигурацию, где другие имеют обновленный набор правил. В таких ситуациях попробуйте обновить конфигурацию еще раз, пока операция не будет выполнена успешно и состояние подготовки брандмауэра не изменится на Успешно.
Как Брандмауэр Azure обрабатывает плановое обслуживание и незапланированные сбои?
Брандмауэр Azure состоит из нескольких узлов серверной части с конфигурацией "активный — активный". Для любого планового обслуживания у нас есть логика фильтрации подключений для постепенного обновления узлов. Обновления планируются в нерабочие часы для каждого региона Azure, чтобы ограничить риск нарушений. При обработке незапланированных сбоев мы создаем узел для замены неисправного узла. Подключение к новому узлу обычно восстанавливается в течение 10 секунд с момента сбоя.
Как работает фильтрация подключений?
Для любого планового обслуживания логика фильтрации подключений постепенно обновляет узлы серверной части. Брандмауэр Azure ожидает закрытия имеющихся подключений в течение 90 секунд. В течение первых 45 секунд внутренний узел не принимает новые подключения, и в оставшееся время он отвечает на RST
все входящие пакеты. При необходимости клиенты могут автоматически восстановить подключение с другим узлом серверной части.
Существует ли ограничение количества символов в имени брандмауэра?
Да. Для имени брандмауэра существует ограничение в 50 символов.
Зачем Брандмауэру Azure нужен размер подсети /26?
Брандмауэр Azure должен предоставлять больше экземпляров виртуальных машин по мере их масштабирования. Диапазон IP-адресов /26 гарантирует, что в брандмауэре достаточно IP-адресов, доступных для масштабирования.
Нужно ли менять размер подсети брандмауэра по мере масштабирования службы?
№ Для Брандмауэра Azure не нужна подсеть больше /26.
Как я могу увеличить пропускную способность брандмауэра?
начальная пропускная способность Брандмауэр Azure составляет 2,5 – 3 Гбит/с, и она масштабируется до 30 Гбит/с для номера SKU уровня "Стандартный" и 100 Гбит/с для номера SKU уровня "Премиум". Она автоматически масштабируется на основе использования ЦП, пропускной способности и количества подключений.
Сколько времени занимает масштабирование Брандмауэра Azure?
Брандмауэр Azure выполняет масштабирование постепенно, когда средняя пропускная способность или загрузка ЦП достигает 60 %, или количество используемых подключений достигает 80 %. Например, он начинает масштабирование по достижении 60 % от максимальной пропускной способности. Максимальная пропускная способность зависит от номера SKU брандмауэра и включенных функций. Дополнительные сведения см. в статье Производительность Брандмауэра Azure.
Процесс масштабирования занимает от пяти до семи минут.
При тестировании производительности убедитесь, что тестирование проводится в течение не менее 10–15 минут, и запускайте новые подключения, чтобы воспользоваться преимуществами вновь созданных узлов Брандмауэра.
Как Брандмауэр Azure обрабатывает тайм-ауты простоя?
Если подключение имеет время ожидания простоя (четыре минуты без действия), Брандмауэр Azure корректно завершает подключение путем отправки пакета TCP RST.
Как Брандмауэр Azure обрабатывать завершение работы экземпляра виртуальной машины во время масштабирования масштабируемого набора виртуальных машин (уменьшение масштаба) или обновлений программного обеспечения парка?
Завершение работы экземпляра виртуальной машины Брандмауэр Azure во время масштабирования масштабируемого набора виртуальных машин (масштабирование) или во время обновления программного обеспечения парка. В этих случаях новые входящие подключения балансируют нагрузку на остальные экземпляры брандмауэра и не перенаправляются в экземпляр брандмауэра вниз. Через 45 секунд брандмауэр начинает отклонять существующие подключения, отправляя пакеты TCP RST. Через 45 секунд виртуальная машина брандмауэра завершает работу. Дополнительные сведения см. в разделе Сброс TCP Load Balancer и тайм-аут простоя.
Разрешает ли Брандмауэр Azure доступ к Active Directory по умолчанию?
№ Брандмауэр Azure блокирует доступ к Active Directory по умолчанию. Чтобы разрешить доступ, настройте тег службы AzureActiveDirectory. Дополнительные сведения см. в статье Теги службы Брандмауэра Azure.
Можно ли исключить FQDN или IP-адрес из фильтрации на основе аналитики угроз Брандмауэра Azure?
Да, для этого вы можете использовать Azure PowerShell:
# Add a Threat Intelligence allowlist to an Existing Azure Firewall.
# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
-FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)
# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)
Set-AzFirewall -AzureFirewall $fw
Почему проверка связи по протоколу TCP и другие подобные средства могут успешно подключаться к целевому FQDN, даже если в Брандмауэре Azure нет ни одного правила для этого трафика?
Проверка связи по протоколу TCP фактически не подключается к целевому FQDN. Брандмауэр Azure не разрешает подключение к любому целевому IP-адресу или полному домену, если только это не разрешено явным правилом.
Tcp ping — это уникальный вариант использования, когда если не разрешено правило, брандмауэр сам отвечает на запрос TCP-подключения клиента, даже если TCP-связь не достигает целевого IP-адреса или полного доменного имени. В этом случае событие не регистрируется. Если существует сетевое правило, позволяющее получить доступ к целевому IP-адресу или полному доменному имени, запрос связи достигает целевого сервера, а его ответ передается клиенту. Это событие заносится в журнал сетевых правил.
Существуют ли ограничения на число IP-адресов, поддерживаемых группами IP-адресов?
Да. Дополнительные сведения см. в статье Подписка Azure, границы, квоты и ограничения службы.
Можно ли переместить IP-группу в другую группу ресурсов?
Нет, в настоящее время перемещение IP-группы в другую группу ресурсов не поддерживается.
Сколько составляет тайм-аут простоя для Брандмауэра Azure?
Стандартное поведение сетевого брандмауэра заключается в том, чтобы обеспечивать активность TCP-подключений и быстро закрывать их в случае простоя. Тайм-аут простоя TCP Брандмауэра Azure составляет четыре минуты. Этот параметр не настраивается пользователем, но вы можете обратиться в службу поддержки Azure, чтобы увеличить время ожидания простоя для входящих и исходящих подключений до 15 минут. Не удается изменить время ожидания простоя для трафика на востоке запада.
Если период бездействия превышает значение тайм-аута, нет гарантии, что сеанс TCP или HTTP сохранится. Распространенной практикой является проверка активности TCP. Такой подход позволяет поддерживать подключения активными в течение более длительного периода. Дополнительные сведения см. в следующих примерах для .NET.
Можно ли развернуть Брандмауэр Azure без общедоступного IP-адреса?
Да, но необходимо настроить брандмауэр в режиме принудительного туннелирования. Эта конфигурация создает интерфейс управления с общедоступным IP-адресом, используемым Брандмауэр Azure для его операций. Этот общедоступный IP-адрес предназначен для трафика управления. Она используется исключительно платформой Azure и не может использоваться для других целей. Сеть пути к данным клиента может быть настроена без общедоступного IP-адреса, а интернет-трафик может быть принудительно туннелирован в другой брандмауэр или полностью заблокирован.
Где Брандмауэр Azure хранит данные клиента?
Брандмауэр Azure не перемещает и не хранит данные клиента за пределами региона, в котором он развернут.
Существует ли способ автоматического резервного копирования Брандмауэр Azure и политик?
Да. Дополнительные сведения см. в статье Резервное копирование Брандмауэра Azure и политики Брандмауэра Azure с помощью Logic Apps.
Поддерживается ли Брандмауэр Azure в защищенных виртуальных центрах (vWAN) в Катаре?
Нет, в настоящее время Брандмауэр Azure в защищенных виртуальных центрах (vWAN) не поддерживается в Катаре.
Сколько параллельных подключений может Брандмауэр Azure поддержки?
Брандмауэр Azure использует Azure Виртуальные машины в нижней части с жестким ограничением количества подключений. Общее количество активных подключений на каждую виртуальную машину составляет 250 кб.
Общее ограничение на брандмауэр — это ограничение подключения к виртуальной машине (250k) x количество виртуальных машин в серверном пуле брандмауэра. Брандмауэр Azure начинается с двух виртуальных машин и масштабируется на основе использования ЦП и пропускной способности.
Что такое повторное использование порта SNAT TCP/UDP в Брандмауэр Azure?
Брандмауэр Azure в настоящее время использует порты источника TCP/UDP для исходящего трафика SNAT без простоя. При закрытии подключения TCP/UDP используется TCP-порт сразу же, как доступный для предстоящих подключений.
В качестве обходного решения для определенных архитектур можно развертывать и масштабировать с помощью шлюза NAT с Брандмауэр Azure, чтобы обеспечить более широкий пул портов SNAT для изменчивости и доступности.
Что такое поведение NAT в Брандмауэр Azure?
Конкретное поведение NAT зависит от конфигурации брандмауэра и типа NAT, настроенного. Например, брандмауэр имеет правила DNAT для входящего трафика, а правила сети и правила приложений для исходящего трафика через брандмауэр.
Дополнительные сведения см. в Брандмауэр Azure поведении NAT.