Masalah dan batasan azure Firewall yang diketahui
Artikel ini mencantumkan masalah yang diketahui untuk Azure Firewall dan diperbarui saat diselesaikan.
Untuk batasan Azure Firewall, lihat Batas, kuota, dan batasan langganan dan layanan Azure.
Penting
Batasan kapasitas
Zona berikut saat ini mengalami batasan kapasitas untuk SKU Standar dan Premium:
Zona | Batasan | Rekomendasi |
---|---|---|
-
Zona fisik 2 di Eropa - Utara Zona fisik 3 di Asia Tenggara |
- Anda tidak dapat menyebarkan Azure Firewall baru ke zona 3 di Asia Tenggara atau zona 2 di Eropa Utara.
- Jika Anda menghentikan Azure Firewall yang ada yang disebarkan di zona ini, azure Firewall tidak dapat dimulai ulang. Untuk informasi selengkapnya, lihat Zona ketersediaan fisik dan logis. |
Sebaiknya sebarkan Azure Firewall baru ke zona ketersediaan yang tersisa atau gunakan wilayah yang berbeda. Untuk mengonfigurasi firewall yang sudah ada, lihat Bagaimana cara mengonfigurasi zona ketersediaan setelah penyebaran? |
Azure Firewall Standar
Azure Firewall Standard memiliki masalah umum berikut:
Masalah | Deskripsi | Mitigasi |
---|---|---|
Dukungan DNAT untuk alamat IP privat terbatas pada versi Standar dan Premium | Dukungan untuk DNAT pada alamat IP privat Azure Firewall ditujukan untuk perusahaan, jadi terbatas pada versi Firewall Standar dan Premium. | Tidak |
Aturan pemfilteran jaringan untuk protokol non-TCP/UDP (misalnya ICMP) tidak berfungsi untuk lalu lintas terikat Internet | Aturan pemfilteran jaringan untuk protokol non-TCP/UDP tidak berfungsi dengan SNAT ke alamat IP publik Anda. Protokol non-TCP/UDP didukung antara subnet spoke dan VNet. | Azure Firewall menggunakan Standard Load Balancer, yang tidak mendukung SNAT untuk protokol IP hari ini. Kami sedang mengeksplorasi opsi untuk mendukung skenario ini dalam rilis mendatang. |
Dukungan PowerShell dan CLI untuk ICMP tidak ada | Azure PowerShell dan CLI tidak mendukung ICMP sebagai protokol yang valid dalam aturan jaringan. | Masih dimungkinkan untuk menggunakan ICMP sebagai protokol melalui portal dan REST API. Kami berupaya untuk menambahkan ICMP di PowerShell dan CLI segera. |
Tag FQDN memerlukan protokol: port yang akan diatur | Aturan aplikasi dengan tag FQDN memerlukan port: definisi protokol. | Anda dapat menggunakan https sebagai port: nilai protokol. Kami berupaya menjadikan bidang ini opsional saat tag FQDN digunakan. |
Memindahkan firewall ke grup sumber daya atau langganan yang berbeda tidak didukung | Memindahkan firewall ke grup sumber daya atau langganan yang berbeda tidak didukung. | Mendukung fungsi ini ada di peta jalan kami. Untuk memindahkan firewall ke grup sumber daya atau langganan yang berbeda, Anda harus menghapus instans saat ini dan membuatnya kembali di grup sumber daya atau langganan baru. |
Peringatan inteligensi ancaman mungkin ditutupi | Aturan jaringan dengan tujuan 80/443 untuk pemfilteran keluar menyembunyikan pemberitahuan inteligensi ancaman saat dikonfigurasi ke mode hanya peringatan. | Buat pemfilteran keluar untuk 80/443 menggunakan aturan aplikasi. Atau, ubah mode inteligensi ancaman menjadi Waspada dan Tolak. |
Dengan hub virtual yang aman, zona ketersediaan hanya dapat dikonfigurasi selama penyebaran. | Anda tidak dapat mengonfigurasi Zona Ketersediaan setelah firewall dengan hub virtual aman disebarkan. | Ini memang disengaja. |
SNAT pada koneksi masuk | Selain DNAT, koneksi melalui alamat IP publik firewall (masuk) di-SNAT ke salah satu IP privat firewall. Persyaratan ini hari ini (juga untuk NVA Aktif/Aktif) untuk memastikan perutean simetris. | Untuk mempertahankan sumber asli untuk HTTP/S, pertimbangkan untuk menggunakan header XFF. Misalnya, gunakan layanan seperti Azure Front Door atau Azure Application Gateway di depan firewall. Anda juga dapat menambahkan WAF sebagai bagian dari Azure Front Door dan rantai ke firewall. |
Dukungan pemfilteran SQL FQDN hanya dalam mode proksi (port 1433) | Untuk Instans Terkelola Azure SQL Database, Azure Synapse Analytics, dan Azure SQL: Pemfilteran SQL FQDN hanya didukung dalam mode proksi (port 1433). Untuk IaaS Azure SQL: Jika Anda menggunakan port nonstandar, Anda dapat menentukan port tersebut dalam aturan aplikasi. |
Untuk SQL dalam mode pengalihan (default jika menghubungkan dari dalam Azure), Anda dapat memfilter akses menggunakan tag layanan SQL sebagai bagian dari aturan jaringan Azure Firewall. |
Lalu lintas SMTP keluar pada port 25 TCP diblokir | Platform Azure memblokir pesan email keluar yang dikirim langsung ke domain eksternal (seperti outlook.com dan gmail.com ) pada port TCP 25. Ini adalah perilaku platform default di Azure. Azure Firewall tidak memperkenalkan batasan yang lebih spesifik. |
Gunakan layanan relay SMTP terautentikasi yang biasanya tersambung melalui port 587 TCP, tetapi juga mendukung port lainnya. Untuk informasi lebih lanjut, lihat Memecahkan masalah konektivitas SMTP keluar di Azure. Opsi lain adalah menyebarkan Azure Firewall dalam langganan Perjanjian Enterprise standar (EA). Azure Firewall dalam langganan EA dapat berkomunikasi dengan alamat IP publik menggunakan port TCP keluar 25. Ini mungkin berfungsi di jenis langganan lain, tetapi tidak dijamin. Untuk alamat IP privat seperti jaringan virtual, VPN, dan Azure ExpressRoute, Azure Firewall mendukung koneksi keluar pada port TCP 25. |
Kehabisan port SNAT | Azure Firewall saat ini mendukung 2.496 port per alamat IP Publik per instans Set Skala Komputer Virtual backend. Secara default, ada dua instans Virtual Machine Scale Set. Jadi, ada 4.992 port per alur (IP tujuan, port tujuan, dan protokol (TCP atau UDP). Firewall menskalakan hingga maksimum 20 instans. | Ini adalah batasan platform. Anda dapat mengatasi batasan ini dengan mengonfigurasi penyebaran Azure Firewall dengan minimal lima alamat IP publik untuk penyebaran yang rentan terhadap kehabisan SNAT. Ini meningkatkan port SNAT yang tersedia sebanyak lima kali. Alokasikan dari awalan alamat IP untuk menyederhanakan izin downstream. Untuk solusi yang lebih permanen, Anda dapat menyebarkan gateway NAT untuk mengatasi batasan port SNAT. Pendekatan ini didukung untuk penyebaran jaringan virtual. Untuk informasi selengkapnya, lihat Menskalakan port SNAT dengan NAT Azure Virtual Network. |
DNAT tidak didukung dengan mengaktifkan Penerowongan Paksa | Firewall yang disebarkan dengan mengaktifkan Penerowongan Paksa tidak dapat mendukung akses masuk dari Internet karena perutean asimetris. | Ini dirancang karena perutean asimetris. Jalur pengembalian untuk koneksi masuk melalui firewall lokal, yang belum melihat koneksi yang dibuat. |
FTP Pasif Keluar mungkin tidak berfungsi untuk Firewall dengan beberapa alamat IP publik, tergantung pada konfigurasi server FTP Anda. | FTP Pasif membuat koneksi yang berbeda untuk kontrol dan saluran data. Saat Firewall dengan beberapa alamat IP publik mengirim data keluar, Firewall secara acak memilih salah satu alamat IP publik untuk alamat IP sumber. FTP mungkin gagal ketika data dan saluran kontrol menggunakan alamat IP sumber yang berbeda, tergantung pada konfigurasi server FTP Anda. | Konfigurasi SNAT eksplisit direncanakan. Sementara itu, Anda dapat mengonfigurasi server FTP untuk menerima data dan mengontrol saluran dari alamat IP sumber yang berbeda (lihat contoh untuk IIS). Atau, pertimbangkan untuk menggunakan satu alamat IP dalam situasi ini. |
FTP Pasif Masuk mungkin tidak berfungsi tergantung pada konfigurasi server FTP Anda | FTP Pasif membuat koneksi yang berbeda untuk kontrol dan saluran data. Koneksi masuk di Azure Firewall di-SNAT ke salah satu alamat IP privat firewall untuk memastikan perutean simetris. FTP mungkin gagal ketika data dan saluran kontrol menggunakan alamat IP sumber yang berbeda, tergantung pada konfigurasi server FTP Anda. | Mempertahankan alamat IP sumber asli sedang diselidiki. Sementara itu, Anda dapat mengonfigurasi server FTP untuk menerima saluran data dan kontrol dari alamat IP sumber yang berbeda. |
FTP aktif tidak berfungsi ketika klien FTP harus menjangkau server FTP di internet. | FTP aktif menggunakan perintah PORT dari klien FTP yang memberi tahu server FTP alamat IP dan port yang digunakan untuk saluran data. Perintah PORT ini menggunakan IP privat klien yang tidak dapat diubah. Lalu lintas sisi klien yang melintasi Azure Firewall adalah NATed untuk komunikasi berbasis Internet, membuat perintah PORT terlihat tidak valid oleh server FTP. | Ini adalah batasan umum FTP Aktif ketika digunakan dengan NAT sisi klien. |
Metrik NetworkRuleHit kehilangan dimensi protokol | Metrik ApplicationRuleHit memungkinkan protokol berbasis pemfilteran, tetapi kemampuan ini hilang dalam metrik NetworkRuleHit yang sesuai. | Hal ini sedang diselidiki. |
Aturan NAT dengan port antara 64000 dan 65535 tidak didukung | Azure Firewall memungkinkan port apa pun dalam rentang 1-65535 dalam aturan jaringan dan aplikasi, namun aturan NAT hanya mendukung port dalam rentang 1-63999. | Ini adalah batasan saat ini. |
Pembaruan konfigurasi mungkin memakan waktu rata-rata lima menit | Pembaruan konfigurasi Azure Firewall rata-rata dapat memakan waktu tiga hingga lima menit, dan pembaruan paralel tidak didukung. | Hal ini sedang diselidiki. |
Azure Firewall menggunakan header SNI TLS untuk memfilter lalu lintas HTTPS dan MSSQL | Jika browser atau perangkat lunak server tidak mendukung ekstensi Indikator Nama Server (SNI), Anda tidak dapat terhubung melalui Azure Firewall. | Jika browser atau perangkat lunak server tidak mendukung SNI, maka Anda mungkin dapat mengontrol koneksi menggunakan aturan jaringan alih-alih aturan aplikasi. Lihat Indikasi Nama Server untuk perangkat lunak yang mendukung SNI. |
Tidak dapat menambahkan tag kebijakan firewall menggunakan portal atau templat Azure Resource Manager (ARM) | Kebijakan Azure Firewall memiliki batasan dukungan patch yang mencegah Anda agar tidak menambahkan tag menggunakan portal Azure atau templat ARM. Kesalahan berikut dihasilkan: Tidak dapat menyimpan tag untuk sumber daya. | Hal ini sedang diselidiki. Atau, Anda dapat menggunakan cmdlet Azure PowerShell Set-AzFirewallPolicy untuk memperbarui tag. |
IPv6 saat ini tidak didukung | Jika Anda menambahkan alamat IPv6 ke aturan, firewall gagal. | Gunakan hanya alamat IPv4. Dukungan IPv6 sedang diselidiki. |
Menghapus RuleCollectionGroups menggunakan templat ARM tidak didukung. | Menghapus RuleCollectionGroup menggunakan templat ARM tidak didukung dan mengakibatkan kegagalan. | Ini bukan operasi yang didukung. |
Aturan DNAT untuk mengizinkan berbagai (*) lalu lintas SNAT. | Jika aturan DNAT mengizinkan (*) sebagai alamat IP Sumber, aturan Jaringan implisit cocok dengan lalu lintas VNet-VNet dan akan selalu melakukan SNAT lalu lintas. | Ini adalah batasan saat ini. |
Menambahkan aturan DNAT ke hub virtual aman dengan penyedia keamanan tidak didukung. | Ini menghasilkan rute asinkron untuk lalu lintas DNAT yang kembali, yang masuk ke penyedia keamanan. | Tidak didukung. |
Terjadi kesalahan saat membuat lebih dari 2.000 kumpulan aturan. | Jumlah maksimal pengumpulan aturan NAT/Aplikasi atau Jaringan adalah 2000 (Batas Resource Manager). | Ini adalah batasan saat ini. |
Header XFF di HTTP/S | Header XFF ditimpa dengan alamat IP sumber asli seperti yang terlihat oleh firewall. Ini berlaku untuk kasus penggunaan berikut: - Permintaan HTTP - Permintaan HTTPS dengan penghentian TLS |
Hal ini sedang diselidiki. |
Tidak dapat menyebarkan Firewall dengan Zona Ketersediaan dengan alamat IP Publik yang baru dibuat | Saat menyebarkan Firewall dengan Zona Ketersediaan, Anda tidak dapat menggunakan alamat IP Publik yang baru dibuat. | Pertama-tama, buat alamat IP Publik redundan zona baru, lalu tetapkan alamat IP yang dibuat sebelumnya ini selama penyebaran Firewall. |
Azure Firewall Premium
Catatan
Masalah apa pun yang berlaku untuk Standar juga berlaku untuk Premium.
Azure Firewall Premium memiliki masalah umum berikut ini:
Masalah | Deskripsi | Mitigasi |
---|---|---|
Dukungan ESNI untuk resolusi FQDN di HTTPS | SNI terenkripsi tidak didukung dalam jabat tangan HTTPS. | Saat ini hanya Firefox yang mendukung ESNI melalui konfigurasi kustom. Solusi yang disarankan adalah menonaktifkan fitur ini. |
Autentikasi Sertifikasi Klien tidak didukung | Sertifikat klien digunakan untuk membangun kepercayaan identitas bersama antara klien dan server. Sertifikat klien digunakan selama negosiasi TLS. Azure Firewall menegosiasikan kembali koneksi dengan server dan tidak memiliki akses ke kunci pribadi sertifikat klien. | Tidak |
QUIC/HTTP3 | QUIC adalah versi utama yang baru dari HTTP. Ini adalah protokol berbasis UDP lebih dari 80 (RENCANA) dan 443 (SSL). Inspeksi FQDN/URL/TLS tidak didukung. | Mengonfigurasi pengesahan UDP 80/443 sebagai aturan jaringan. |
Sertifikat yang ditandatangani pelanggan yang tidak tepercaya | Sertifikat yang ditandatangani pelanggan tidak dipercaya oleh firewall setelah diterima dari server web berbasis intranet. | Hal ini sedang diselidiki. |
Alamat IP sumber yang salah di Pemberitahuan dengan IDPS untuk HTTP (tanpa inspeksi TLS). | Ketika lalu lintas HTTP teks biasa sedang digunakan, dan IDPS mengeluarkan pemberitahuan baru, dan tujuannya adalah alamat IP publik, alamat IP sumber yang ditampilkan salah (alamat IP internal ditampilkan alih-alih alamat IP asli). | Hal ini sedang diselidiki. |
Penyebaran Sertifikat | Setelah sertifikat CA diterapkan pada firewall, mungkin diperlukan waktu antara 5-10 menit agar sertifikat diterapkan. | Hal ini sedang diselidiki. |
Dukungan TLS 1.3 | TLS 1.3 didukung sebagian. Jalur TLS dari klien ke firewall didasarkan pada TLS 1.2, dan dari firewall ke server Web eksternal didasarkan pada TLS 1.3. | Pembaruan sedang diselidiki. |
Kedaluwarsa sertifikat OS perantara TLSi | Dalam beberapa kasus unik, sertifikat OS perantara dapat kedaluwarsa dua bulan sebelum tanggal kedaluwarsa asli. | Perbarui sertifikat OS perantara dua bulan sebelum tanggal kedaluwarsa asli. Hal ini sedang diselidiki. |