Часто задаваемые вопросы о службе «Брандмауэр Azure»

Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure. Брандмауэр разработан как служба с полным отслеживанием состояния со встроенной высокой доступностью и неограниченной облачной масштабируемостью. Вы можете централизованно создавать, применять и регистрировать политики приложений и сетевых подключений в подписках и виртуальных сетях.

Подробный список функций брандмауэра Azure см. в разделе "Функции брандмауэра Azure".

Брандмауэр Azure можно развернуть в любой виртуальной сети. Однако обычно он развертывается в центральной виртуальной сети в модели концентратора и периферийной сети с другими виртуальными сетями, пиринговым подключением к нему. Маршрут по умолчанию из одноранговых виртуальных сетей указывает на эту центральную виртуальную сеть брандмауэра. Хотя поддерживается пиринг глобальной виртуальной сети, не рекомендуется из-за потенциальных проблем с производительностью и задержкой в разных регионах. Для оптимальной производительности разверните один брандмауэр в каждом регионе.

Эта модель позволяет централизованно контролировать несколько периферийных виртуальных сетей в разных подписках и экономию затрат, избегая необходимости развертывания брандмауэра в каждой виртуальной сети. Экономия затрат должна оцениваться по связанным затратам пиринга на основе шаблонов трафика.

Брандмауэр Azure можно развернуть с помощью портала Azure, PowerShell, REST API или шаблонов. Пошаговые инструкции см. в руководстве по развертыванию и настройке брандмауэра Azure с помощью портала Azure.

Брандмауэр Azure использует правила и коллекции правил. Коллекция правил — это набор правил с одинаковым порядком и приоритетом. Коллекции правил выполняются в порядке приоритета. Коллекции правил DNAT имеют более высокий приоритет, чем коллекции правил сети, которые, в свою очередь, имеют более высокий приоритет, чем коллекции правил приложений. Все правила завершаются.

Есть три типа коллекций правил:

• Правила приложения: настройте полные доменные имена (FQDN), к которым можно получить доступ из виртуальной сети.
• Сетевые правила: настройте правила с исходными адресами, протоколами, портами назначения и адресами назначения.
• Правила NAT: настройте правила DNAT для разрешения входящих подключений к Интернету или интрасети (предварительная версия).

Дополнительные сведения см. в разделе "Настройка правил Брандмауэр Azure".

Брандмауэр Azure интегрируется с Azure Monitor для просмотра и анализа журналов. Журналы можно отправлять в Log Analytics, службу хранилища Azure или Центры событий и анализировать с помощью таких средств, как Log Analytics, Excel или Power BI. Дополнительные сведения см. в статье Руководство. Журналы мониторинга Брандмауэра Azure.

Брандмауэр Azure — это управляемая облачная служба безопасности сети, которая защищает ресурсы виртуальной сети. Брандмауэр разработан как служба с полным отслеживанием состояния со встроенной высокой доступностью и неограниченной облачной масштабируемостью. Она предварительно выполняется с сторонними поставщиками безопасности как услуга (SECaaS), чтобы повысить безопасность для виртуальных сетей и подключений к Интернету филиала. Дополнительные сведения см. в загружаемом руководстве по сетевой безопасности в Azure.

WAF шлюза приложений обеспечивает централизованную защиту входящего трафика для веб-приложений от распространенных эксплойтов и уязвимостей. Брандмауэр Azure обеспечивает защиту входящего трафика для протоколов, отличных от HTTP/S (таких как RDP, SSH, FTP), защиту исходящего трафика сетевого уровня для всех портов и протоколов и защиту уровня приложения для исходящего трафика HTTP/S.

Брандмауэр Azure дополняет группы безопасности сети, чтобы обеспечить более эффективную защиту сети. Группы безопасности сети предлагают фильтрацию трафика распределенного сетевого слоя, чтобы ограничить трафик в виртуальных сетях в каждой подписке. Брандмауэр Azure обеспечивает централизованную, полностью полную защиту сети и уровня приложений в подписках и виртуальных сетях.

Брандмауэр Azure — это управляемая служба с несколькими уровнями защиты, включая защиту платформы с NSG на уровне сетевого адаптера (недоступно для просмотра). Группы безопасности сети на уровне подсети не требуются в AzureFirewallSubnet и отключены для предотвращения прерываний работы служб.

Частные конечные точки — это компонент приватного канала, технология, которая позволяет взаимодействовать со службами Azure PaaS, используя частные IP-адреса вместо общедоступных. Брандмауэр Azure можно использовать для предотвращения доступа к общедоступным IP-адресам, поэтому избегайте кражи данных в службы Azure, не применяя приватный канал, а также для реализации политик нулевого доверия, определив, кто в вашей организации должен получить доступ к этим службам PaaS Azure, так как приватный канал по умолчанию открывает сетевой доступ для всей корпоративной сети.

Правильный дизайн для проверки трафика к частным конечным точкам с помощью брандмауэра Azure зависит от вашей сетевой архитектуры. Дополнительные сведения см. в статье "Сценарии брандмауэра Azure" для проверки трафика, предназначенного для частной конечной точки.

Конечные точки службы виртуальной сети являются альтернативой приватным каналом для управления доступом к службам Azure PaaS. Даже если клиент по-прежнему использует общедоступные IP-адреса для доступа к службе PaaS, исходная подсеть становится видимой, чтобы целевая служба PaaS могли реализовать правила фильтрации и ограничить доступ на основе каждой подсети. Подробное сравнение обоих механизмов можно найти в разделе "Сравнение частных конечных точек" и "Конечные точки службы".

Правила приложений брандмауэра Azure можно использовать для того, чтобы убедиться, что данные не будут несанкционированными службами, а также для реализации политик доступа с повышенной степенью детализации за пределами уровня подсети. Как правило, конечные точки службы виртуальной сети должны быть включены в подсети клиента, который будет подключаться к службе Azure. Однако при проверке трафика в конечные точки службы с помощью брандмауэра Azure необходимо включить соответствующую конечную точку службы в подсети брандмауэра Azure и отключить их в подсети фактического клиента (обычно периферийной виртуальной сети). Таким образом вы можете использовать правила приложений в брандмауэре Azure для управления доступом к службам Azure, к которым будут иметь доступ ваши рабочие нагрузки Azure.

Сведения о ценах см. в разделе "Цены на брандмауэр Azure".

Сведения об ограничениях служб см. в разделе об ограничениях подписки и службы Azure, квотах и ограничениях.

Брандмауэр Azure не перемещает или не хранит данные клиента за пределами региона, в котором он развернут.

Нет, Брандмауэр Azure в защищенных виртуальных центрах (vWAN) в настоящее время не поддерживается в Катаре.

Да, Брандмауэр Azure поддерживает фильтрацию входящего и исходящего трафика. Входящий фильтр обычно используется для протоколов, отличных от HTTP, таких как RDP, SSH и FTP. Для входящего трафика HTTP и HTTPS рекомендуется использовать брандмауэр веб-приложения, например брандмауэр веб-приложений Azure (WAF) или разгрузку TLS и функции глубокой проверки пакетов брандмауэра Azure Premium.

Да, Брандмауэр Azure Basic поддерживает принудительное туннелирование.

Tcp-связь фактически не подключается к целевому полному домену. Брандмауэр Azure блокирует подключения к любому целевому IP-адресу или полному домену, если правило не разрешено явным образом.

Если правило не разрешает трафик, брандмауэр сам реагирует на запрос TCP-ping клиента. Этот ответ не достигает целевого IP-адреса или полного доменного имени и не регистрируется. Если правило сети явно разрешает доступ к целевому IP-адресу или полному домену, запрос связи достигает целевого сервера, а его ответ передается клиенту обратно. Это событие заносится в журнал сетевых правил.

Нет, Брандмауэр Azure изначально не поддерживает пиринг BGP. Однако функция автоматического SNAT-маршрутов косвенно использует BGP через сервер маршрутизации Azure.

Azure PowerShell можно использовать для освобождения и выделения брандмауэра Azure. Процесс зависит от конфигурации.

Для брандмауэра без сетевого адаптера управления:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

Для брандмауэра с сетевым адаптером управления:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Для брандмауэра в защищенном виртуальном концентраторе:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

Рекомендуется настроить зоны доступности во время первоначального развертывания. Однако их можно перенастроить после развертывания, если:

• Брандмауэр развертывается в виртуальной сети (не поддерживается в защищенных виртуальных центрах).
• Регион поддерживает зоны доступности.
• Все присоединенные общедоступные IP-адреса настраиваются с одинаковыми зонами.

Чтобы перенастроить зоны доступности, выполните приведенные действия.

1. Освобождение брандмауэра:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. Обновите конфигурацию зоны и выделите брандмауэр:

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Да:

• Брандмауэр Azure и виртуальная сеть должны находиться в одной группе ресурсов.
• Общедоступный IP-адрес может находиться в другой группе ресурсов.
• Все ресурсы (брандмауэр Azure, виртуальная сеть, общедоступный IP-адрес) должны находиться в одной подписке.

Состояние подготовки сбоем указывает, что обновление конфигурации завершилось сбоем в одном или нескольких экземплярах серверной части. Брандмауэр Azure остается рабочим, но конфигурация может быть несогласованной. Повторите обновление до тех пор, пока состояние подготовки не изменится на "Успешно".

Брандмауэр Azure использует конфигурацию active-active с несколькими внутренними узлами. Во время планового обслуживания очистка подключений обеспечивает корректное обновление. При незапланированных сбоях новый узел заменяет неудачный, а подключение обычно восстанавливается в течение 10 секунд.

Да, имена брандмауэра ограничены 50 символами.

Подсеть /26 обеспечивает достаточные IP-адреса для масштабирования, так как брандмауэр Azure подготавливает дополнительные экземпляры виртуальных машин.

Нет, для всех сценариев масштабирования достаточно подсети /26.

Брандмауэр Azure автоматически масштабируется на основе использования ЦП, пропускной способности и количества подключений. Емкость пропускной способности от 2,5 до 3 Гбит/с изначально до 30 Гбит/с (номер SKU категории "Стандартный") или 100 Гбит/с (номер SKU уровня "Премиум").

Да. Дополнительные сведения см. в разделе об ограничениях подписки и службы Azure, квотах и ограничениях.

Нет, в настоящее время перемещение IP-группы в другую группу ресурсов не поддерживается.

Стандартное поведение сетевого брандмауэра заключается в том, чтобы обеспечивать активность TCP-подключений и быстро закрывать их в случае простоя. Тайм-аут простоя TCP Брандмауэра Azure составляет четыре минуты. Этот параметр не настраивается пользователем, но вы можете обратиться в службу поддержки Azure, чтобы увеличить время ожидания простоя для входящих и исходящих подключений до 15 минут. Не удается изменить время ожидания простоя для трафика на востоке запада.

Если период бездействия превышает значение тайм-аута, нет гарантии, что сеанс TCP или HTTP сохранится. Распространенной практикой является проверка активности TCP. Такой подход позволяет поддерживать подключения активными в течение более длительного периода. Дополнительные сведения см. в следующих примерах для .NET.

Да, но необходимо настроить брандмауэр в режиме принудительного туннелирования. Эта конфигурация создает интерфейс управления с общедоступным IP-адресом, используемым Брандмауэр Azure для его операций. Этот общедоступный IP-адрес предназначен для трафика управления. Она используется исключительно платформой Azure и не может использоваться для других целей. Сеть пути к данным клиента может быть настроена без общедоступного IP-адреса, а интернет-трафик может быть принудительно туннелирован в другой брандмауэр или полностью заблокирован.

Да. Дополнительные сведения см. в статье Резервное копирование Брандмауэра Azure и политики Брандмауэра Azure с помощью Logic Apps.

Для обеспечения безопасного доступа к службам PaaS рекомендуем использовать конечные точки. Вы можете включить конечные точки служб в подсети Брандмауэра Azure и отключить их в подключенных периферийных виртуальных сетях. Таким образом, вы получаете преимущества обеих функций: безопасность конечной точки службы и централизованное ведение журналов всего трафика.

Да, вы можете использовать Брандмауэр Azure в виртуальной сети концентратора для маршрутизации и фильтрации трафика между несколькими периферийными виртуальными сетями. Чтобы такой сценарий был работоспособным, пользователю нужно задать маршруты к Брандмауэру Azure в качестве шлюза по умолчанию для подсетей каждой из периферийных виртуальных сетей.

Да. Однако настройка UDR для перенаправления трафика между подсетями в одной виртуальной сети требует большего внимания. Хотя использование диапазона адресов виртуальной сети в качестве целевого префикса для UDR достаточно, это также направляет весь трафик с одного компьютера на другой компьютер в той же подсети через экземпляр брандмауэра Azure. Чтобы избежать этого, включите маршрут для подсети в UDR с типом следующего прыжка виртуальной сети. Управление этими маршрутами может быть весьма трудоемким и подвержено ошибкам. Для сегментации внутренней сети рекомендуется использовать группы безопасности сети, для которых не требуются определяемые пользователем маршруты.

Брандмауэр Azure не SNAT, если конечный IP-адрес является частным диапазоном IP-адресов для каждого IANA RFC 1918 или IANA RFC 6598 для частных сетей. Если для частных сетей в организации используются общедоступные IP-адреса, брандмауэр Azure использует SNAT трафика для одного из своих частных IP-адресов AzureFirewallSubnet. В настройках Брандмауэра Azure можно указать, что не нужно использовать SNAT для диапазона общедоступный IP-адресов. Дополнительные сведения см. в статье об использовании SNAT для диапазонов частных IP-адресов в Брандмауэре Azure.

Кроме того, для трафика, обрабатываемого правилами приложения, всегда будет использоваться SNAT. Если вы хотите увидеть исходный IP-адрес в журналах для трафика FQDN, можно использовать правила сети с полным доменным именем назначения.

Принудительное туннелирование поддерживается при создании брандмауэра. Вы не можете настроить имеющийся брандмауэр для принудительного туннелирования. Дополнительные сведения см. в статье Azure Firewall forced tunneling (Принудительное туннелирование в Брандмауэре Azure).

Брандмауэр Azure должен быть напрямую подключен к Интернету. Если сеть AzureFirewallSubnet использует стандартный маршрут к локальной сети через BGP, установите пользовательский маршрут 0.0.0.0/0 и задайте для параметра NextHopType значение Интернет, чтобы обеспечить прямое подключение к Интернету.

Если для вашей конфигурации требуется принудительное туннелирование в локальной сети и вы можете определить префиксы целевых IP-адресов для назначений в Интернете, эти диапазоны можно настроить с помощью локальной сети в качестве следующего прыжка через определяемый пользователем маршрут в AzureFirewallSubnet. Для определения этих маршрутов можно также использовать BGP.

• URL-адрес — можно разместить звездочки с правого или левого края. Если звездочки размещены слева, он не может быть частью полного доменного имени.
• FQDN — звездочки можно разместить с левого края.
• GENERAL - Звездочки на левой стороне означают буквально все, что соответствует левому совпадению, то есть несколько поддоменов и /или потенциально нежелательные варианты доменных имен совпадают. См. следующие примеры.

Примеры:

№ Брандмауэр Azure блокирует доступ к Active Directory по умолчанию. Чтобы разрешить доступ, настройте тег службы AzureActiveDirectory. Дополнительные сведения см. в статье Теги службы Брандмауэра Azure.

Да, для этого вы можете использовать Azure PowerShell:

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Проверка связи по протоколу TCP фактически не подключается к целевому FQDN. Брандмауэр Azure не разрешает подключение к любому целевому IP-адресу или полному домену, если только это не разрешено явным правилом.

Tcp ping — это уникальный вариант использования, когда если не разрешено правило, брандмауэр сам отвечает на запрос TCP-подключения клиента, даже если TCP-связь не достигает целевого IP-адреса или полного доменного имени. В этом случае событие не регистрируется. Если существует сетевое правило, позволяющее получить доступ к целевому IP-адресу или полному доменному имени, запрос связи достигает целевого сервера, а его ответ передается клиенту. Это событие заносится в журнал сетевых правил.

Да. Дополнительные сведения см. в статье Подписка Azure, границы, квоты и ограничения службы.

Нет, в настоящее время перемещение IP-группы в другую группу ресурсов не поддерживается.

Стандартное поведение сетевого брандмауэра заключается в том, чтобы обеспечивать активность TCP-подключений и быстро закрывать их в случае простоя. Тайм-аут простоя TCP Брандмауэра Azure составляет четыре минуты. Этот параметр не настраивается пользователем, но вы можете обратиться в службу поддержки Azure, чтобы увеличить время ожидания простоя для входящих и исходящих подключений до 15 минут. Не удается изменить время ожидания простоя для трафика на востоке запада.

Если период бездействия превышает значение тайм-аута, нет гарантии, что сеанс TCP или HTTP сохранится. Распространенной практикой является проверка активности TCP. Такой подход позволяет поддерживать подключения активными в течение более длительного периода. Дополнительные сведения см. в следующих примерах для .NET.

Да, но необходимо настроить брандмауэр в режиме принудительного туннелирования. Эта конфигурация создает интерфейс управления с общедоступным IP-адресом, используемым Брандмауэр Azure для его операций. Этот общедоступный IP-адрес предназначен для трафика управления. Она используется исключительно платформой Azure и не может использоваться для других целей. Сеть пути к данным клиента может быть настроена без общедоступного IP-адреса, а интернет-трафик может быть принудительно туннелирован в другой брандмауэр или полностью заблокирован.

Брандмауэр Azure не перемещает и не хранит данные клиента за пределами региона, в котором он развернут.

Да. Дополнительные сведения см. в статье Резервное копирование Брандмауэра Azure и политики Брандмауэра Azure с помощью Logic Apps.

Нет, в настоящее время Брандмауэр Azure в защищенных виртуальных центрах (vWAN) не поддерживается в Катаре.

Брандмауэр Azure использует Azure Виртуальные машины в нижней части с жестким ограничением количества подключений. Общее количество активных подключений на каждую виртуальную машину составляет 250 кб.

Общее ограничение на брандмауэр — это ограничение подключения к виртуальной машине (250k) x количество виртуальных машин в серверном пуле брандмауэра. Брандмауэр Azure начинается с двух виртуальных машин и масштабируется на основе использования ЦП и пропускной способности.

Брандмауэр Azure в настоящее время использует порты источника TCP/UDP для исходящего трафика SNAT без простоя. При закрытии подключения TCP/UDP используется TCP-порт сразу же, как доступный для предстоящих подключений.

В качестве обходного решения для определенных архитектур можно развертывать и масштабировать с помощью шлюза NAT с Брандмауэр Azure, чтобы обеспечить более широкий пул портов SNAT для изменчивости и доступности.

Конкретное поведение NAT зависит от конфигурации брандмауэра и типа NAT, настроенного. Например, брандмауэр имеет правила DNAT для входящего трафика, а правила сети и правила приложений для исходящего трафика через брандмауэр.

Дополнительные сведения см. в Брандмауэр Azure поведении NAT.

Для любого планового обслуживания логика фильтрации подключений постепенно обновляет узлы серверной части. Брандмауэр Azure ожидает закрытия имеющихся подключений в течение 90 секунд. В течение первых 45 секунд внутренний узел не принимает новые подключения, и в оставшееся время он отвечает на RST все входящие пакеты. При необходимости клиенты могут автоматически восстановить подключение с другим узлом серверной части.

Завершение работы экземпляра виртуальной машины Брандмауэр Azure во время масштабирования масштабируемого набора виртуальных машин (масштабирование) или во время обновления программного обеспечения парка. В этих случаях новые входящие подключения балансируют нагрузку на остальные экземпляры брандмауэра и не перенаправляются в экземпляр брандмауэра вниз. Через 45 секунд брандмауэр начинает отклонять существующие подключения, отправляя пакеты TCP RST. Через 45 секунд виртуальная машина брандмауэра завершает работу. Дополнительные сведения см. в разделе Сброс TCP Load Balancer и тайм-аут простоя.

Брандмауэр Azure выполняет масштабирование постепенно, когда средняя пропускная способность или загрузка ЦП достигает 60 %, или количество используемых подключений достигает 80 %. Например, он начинает масштабирование по достижении 60 % от максимальной пропускной способности. Максимальное число пропускной способности зависит от номера SKU брандмауэра Azure и включенных функций. Дополнительные сведения см. в статье Производительность Брандмауэра Azure.

Процесс масштабирования занимает от пяти до семи минут. При тестировании производительности убедитесь, что вы тестируете по крайней мере 10–15 минут и запускаете новые подключения, чтобы воспользоваться преимуществами новых созданных узлов брандмауэра Azure.

Если подключение имеет время ожидания простоя (четыре минуты без действия), Брандмауэр Azure корректно завершает подключение путем отправки пакета TCP RST.

Службы Azure проходят регулярные обновления обслуживания для повышения функциональности, надежности, производительности и безопасности. С настроенным периодом обслуживания обслуживание гостевой ОС и обслуживание обслуживания выполняются в течение этого периода. Однако обслуживание, управляемое клиентом, не включает обновления узлов или критически важные обновления системы безопасности.

Дополнительные уведомления о обслуживании брандмауэра Azure недоступны.

Нет, требуется минимальное пятичасовое время обслуживания.

Нет, в настоящее время периоды обслуживания настраиваются для повторного использования.

Обслуживание, управляемое клиентом, поддерживает обновления гостевой ОС и службы, которые учитывают большинство предметов обслуживания для клиентов. Однако некоторые обновления, такие как обновления узлов, находятся вне области обслуживания, управляемого клиентом. В редких случаях мы можем переопределить контроль периода обслуживания, чтобы устранить проблемы с безопасностью с высокой степенью серьезности.

Да.

№ В настоящее время с брандмауэром Azure можно связать только одну конфигурацию обслуживания.

Все номера SKU брандмауэра Azure — базовый, стандартный и премиум поддерживают обслуживание, управляемое клиентом.

Для выполнения расписания обслуживания брандмауэра Azure может потребоваться до 24 часов после того, как политика обслуживания связана.

Действия по обслуживанию в брандмауэре Azure не приостановлены в течение периода, предшествующего запланированному периоду обслуживания. В течение нескольких дней, не включенных в расписание обслуживания, регулярные операции обслуживания продолжаются как обычные в ресурсе.

Дополнительные сведения см. в разделе "Настройка обслуживания, управляемого клиентом".