Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье представлены известные проблемы для Брандмауэр Azure, и она обновляется по мере их устранения.
Сведения об ограничениях Брандмауэр Azure см. в разделе об ограничениях подписки и службы Azure, квотах и ограничениях.
Внимание
Ограничения емкости
В настоящее время в следующих зонах наблюдаются ограничения по ёмкости для SKU как стандартного, так и премиум уровней.
| Зоны | Ограничения | Рекомендация |
|---|---|---|
|
-
Физическая зона 2 в Северной Европе в - Юго-Восточной Азии |
— Вы не можете развернуть новую Брандмауэр Azure в зоне 3 в Юго-Восточной Азии или зоне 2 в Северной Европе.
— Если остановить существующий Брандмауэр Azure, развернутый в этой зоне, его нельзя перезапустить. Дополнительные сведения см. в разделе "Физические и логические зоны доступности". |
Рекомендуется развернуть новую Брандмауэр Azure в оставшихся зонах доступности или использовать другой регион. Сведения о настройке существующего брандмауэра см. в статье "Как настроить зоны доступности после развертывания?" |
Брандмауэр Azure категории "Стандартный"
Ниже описаны известные проблемы в Брандмауэре Azure уровня "Стандартный".
| Проблема | Описание | Меры по снижению риска |
|---|---|---|
| Поддержка DNAT для частных IP-адресов, ограниченная версиями Standard и Premium | Поддержка DNAT на частном IP-адресе брандмауэра Azure предназначена для корпоративного использования, поэтому она ограничена версиями "Стандартный" и "Премиум". | нет |
| Процесс выделения и освобождения брандмауэра Azure не поддерживается, когда настроены правила DNAT для частного IP-адреса. | Процесс выделения брандмауэра Azure завершится ошибкой при настройке частных правил DNAT | 1. Деаллокация брандмауэра Azure 2. Удалите все правила DNAT для частного IP-адреса . Выделите брандмауэр Azure и подождите , пока не заполнится приватный IP-адрес. Перенастройте правила DNAT для частного IP с соответствующим частным IP-адресом. |
| Правила сетевой фильтрации для протоколов, которые отличаются от TCP или UDP (например, ICMP), не работают для трафика, связанного с Интернетом | Правила сетевой фильтрации для протоколов, которые отличаются от TCP или UDP, не работают со SNAT для общедоступных IP-адресов. Протоколы, отличные от TCP/UDP, поддерживаются между подсетями-спицами и виртуальными сетями (VNets). | Брандмауэр Azure использует стандартный Load Balancer, который в настоящее время не поддерживает SNAT для IP-протоколов. Изучаются варианты поддержки этого сценария в будущем выпуске. |
| При освобождении и повторном выделении брандмауэра Azure иногда может быть назначен новый частный IP-адрес, который отличается от предыдущего. | После процесса освобождения и применения брандмауэра Azure частный IP-адрес назначается динамически из подсети брандмауэра Azure. При назначении нового частного IP-адреса, отличного от предыдущего, это приведет к проблемам маршрутизации. | Существующие определяемые пользователем маршруты (UDR), настроенные с старым частным IP-адресом, необходимо перенастроить для отражения нового частного IP-адреса. Исправление изучается, чтобы сохранить частный IP-адрес после процесса выделения. |
| Конфигурации прокси-сервера DNS брандмауэра Azure в родительской политике не наследуются дочерними политиками. | Изменения, которые будут внесены в родительскую политику брандмауэра Azure, приведут к сбоям разрешения DNS для правил, основанных на полном доменном имени (FQDN), в дочерних политиках, связанных с этой родительской политикой. | Чтобы избежать этой проблемы, настройте параметры DNS-прокси прямо в дочерних политиках, вместо того чтобы полагаться на наследование от родительской политики. Исправление рассматривается, чтобы разрешить дочерним политикам взаимодействовать с конфигурациями DNS из родительской политики. |
| В PowerShell и CLI отсутствует поддержка протокола ICMP | Azure PowerShell и CLI не поддерживают ICMP как допустимый протокол в правилах сети. | Протокол ICMP по-прежнему можно использовать с помощью портала и REST API. Мы добавим поддержку ICMP в PowerShell и CLI в ближайшее время. |
| Для тегов FQDN требуется указать протокол и порт. | Для правил приложений с тегами FQDN требуется указать определение порта и протокола. | В качестве значения протокола порта можно использовать HTTPS. Мы планируем сделать это поле необязательным при использовании тегов FQDN. |
| Не поддерживается перемещение брандмауэра в другую группу ресурсов или подписку | Не поддерживается перемещение брандмауэра в другую группу ресурсов или подписку. | Поддержка этой функциональности в наших планах. Чтобы переместить брандмауэр в другую группу ресурсов или подписку, нужно удалить текущий экземпляр и повторно создать его в новой группе ресурсов или подписке. |
| Оповещения об угрозах могут быть маскированы | Правила сети с направлением на порт 80/443 для исходящей фильтрации маскируют предупреждения аналитики угроз, когда они настроены на режим только уведомления. | С помощью правил приложения создайте фильтрацию исходящего трафика для порта 80/443. Или измените режим аналитики угроз на Alert and Deny (Оповещение и отказ). |
| С защищенными виртуальными центрами зоны доступности можно настроить только во время развертывания. | Невозможно настроить Зоны доступности после развертывания брандмауэра с защищенными виртуальными концентраторами. | Это сделано намеренно. |
| SNAT на входящих соединениях | Правила входящего DNAT всегда требуют SNAT для обратного трафика. | Чтобы сохранить исходный источник для HTTP/S, настройте клиенты или прокси-сервер (в локальной или облачной среде) для внедрения исходного IP-адреса в заголовки XFF . Azure Firewall всегда сохраняет IP-адреса в заголовке XFF и также добавляет IP-адрес фаервола в этот заголовок при обработке правил приложений для HTTP-трафика и HTTPS-трафика с завершением TLS. |
| Поддержка фильтрации SQL FQDN только в режиме прокси-сервера (порт 1433) | Для Базы данных SQL Azure, Azure Synapse Analytics и Управляемого экземпляра SQL Azure: Фильтрация SQL FQDN поддерживается только в прокси-режиме (порт 1433). Для Azure SQL IaaS: Если вы используете нестандартные порты, можно указать эти порты в правилах приложения. |
Для SQL в режиме перенаправления (по умолчанию используется для подключения из Azure) можно фильтровать доступ с помощью тега службы SQL в правилах сети Брандмауэра Azure. |
| Исходящий трафик через TCP-порт 25 блокируется | Платформа Azure блокирует исходящие сообщения электронной почты, отправленные непосредственно внешним доменам (например outlook.com , и gmail.com) через TCP-порт 25. Это поведение платформы по умолчанию в Azure. Брандмауэр Azure не вводит более конкретное ограничение. |
Используйте прошедшие проверку подлинности службы ретрансляции, которые обычно подключаются через TCP-порт 587, но также поддерживают и другие порты. Подробные сведения см. в статье Устранение проблем с исходящими SMTP-подключениями в Azure. Другим вариантом является развертывание брандмауэра Azure в стандартной корпоративной подписке (EA). Брандмауэр Azure в подписке EA может взаимодействовать с общедоступными IP-адресами с помощью исходящего TCP-порта 25. Он может работать в других типах подписок, но это не гарантируется. Для частных IP-адресов, таких как виртуальные сети, VPN и Azure ExpressRoute, Брандмауэр Azure поддерживает исходящее подключение через TCP-порт 25. |
| Нехватка портов SNAT | Брандмауэр Azure в настоящее время поддерживает 2496 портов на публичный IP-адрес для каждого экземпляра набора виртуальных машин типа back-end. По умолчанию существует два экземпляра масштабируемого набора виртуальных машин. Таким образом, на поток приходится 4992 порта (конечный IP-адрес, порт назначения и протокол (TCP или UDP). Брандмауэр масштабируется до максимума 20 инстанций. | Это ограничение платформы. Вы можете обойти эти ограничения, указав минимум пять общедоступных IP-адресов для развертываний Брандмауэра Azure, в которых может возникнуть проблема нехватки SNAT. Это позволит увеличить число доступных портов SNAT в пять раз. Используйте выделение из префикса IP-адреса, чтобы упростить последующие разрешения. В качестве более постоянного решения можно развернуть шлюз NAT, чтобы преодолеть ограничения на количество портов SNAT. Этот подход поддерживается для развертываний виртуальной сети. Дополнительные сведения см. в статье Масштабирование портов SNAT с помощью NAT виртуальных сетей Azure. |
| DNAT не поддерживается при включенном принудительном туннелировании | Брандмауэры, развернутые с включенным принудительным туннелированием, не поддерживают входящий трафик из Интернета из-за асимметричной маршрутизации. | Это сделано намеренно из-за асимметричной маршрутизации. Обратный путь входящих подключений проходит через локальный брандмауэр, в котором нет данных об установленном соединении. |
| Исходящий пассивный FTP может не работать для брандмауэров с несколькими общедоступными IP-адресами в зависимости от конфигурации FTP-сервера. | Пассивный FTP устанавливает разные подключения для каналов управления и данных. Когда брандмауэр с несколькими общедоступными IP-адресами отправляет данные для исходящего трафика, он случайным образом выбирает один из общедоступных IP-адресов в качестве исходного. FTP может завершиться ошибкой, если каналы управления и обмена данными используют разные исходные IP-адреса, в зависимости от конфигурации FTP-сервера. | Запланирована явная конфигурация SNAT. Тем временем можно настроить FTP-сервер так, чтобы он принимал каналы данных и управления с разных исходных IP-адресов (см. пример для IIS). Как вариант, рассмотрите использование одного IP-адреса в такой ситуации. |
| Входящий пассивный FTP может не работать в зависимости от конфигурации FTP-сервера | Пассивный FTP устанавливает разные подключения для каналов управления и данных. Входящие подключения в Брандмауэре Azure используют механизм SNAT для одного из частных IP-адресов брандмауэра, чтобы обеспечить симметричную маршрутизацию. FTP может завершиться ошибкой, если каналы управления и обмена данными используют разные исходные IP-адреса, в зависимости от конфигурации FTP-сервера. | Сохранение исходного IP-адреса источника изучается. Тем временем можно настроить FTP-сервер так, чтобы он принимал каналы данных и управления с разных исходных IP-адресов. |
| Активный FTP не работает, когда FTP-клиент должен обратиться к FTP-серверу через Интернет. | Активный FTP использует команду PORT из FTP-клиента, который указывает FTP-серверу, какой IP и порт использовать для канала передачи данных. Эта команда PORT использует частный IP-адрес клиента, который не может быть изменен. Трафик на стороне клиента, проходящий через Брандмауэр Azure, подвергается преобразованию с использованием NAT для интернет-коммуникаций, в результате чего команда PORT считается недопустимой FTP-сервером. | Это общее ограничение Active FTP при использовании с клиентским NAT. |
| В метрике NetworkRuleHit отсутствует измерение протокола | Метрика ApplicationRuleHit разрешает протокол на основе фильтрации, но этот компонент отсутствует в соответствующей метрике NetworkRuleHit. | Соответствующее исправление рассматривается. |
| Правила NAT с портами в диапазоне от 64000 до 65535 не поддерживаются | Брандмауэр Azure разрешает порты в диапазоне 1–65535 в правилах сети и приложений, но правила NAT поддерживают порты только в диапазоне 1–63999. | Это текущее ограничение. |
| Обновления конфигурации могут занять пять минут в среднем | Для обновления конфигурации брандмауэра Azure в среднем может потребоваться 3–5 минут. Параллельные обновления не поддерживаются. | Соответствующее исправление рассматривается. |
| Брандмауэр Azure использует заголовки TLS на основе SNI для фильтрации трафика HTTPS и MSSQL | Если программное обеспечение браузера или сервера не поддерживает расширение указания имени сервера (SNI), вы не сможете подключиться через Брандмауэр Azure. | Если браузер или серверное программное обеспечение не поддерживает SNI, возможно, вы сможете управлять подключением с помощью сетевого правила вместо правила приложения. См. Индикатор имени сервера для программного обеспечения, поддерживающего SNI. |
| Не удается добавить теги политики брандмауэра с помощью портала или шаблонов Azure Resource Manager (ARM) | Для политики Брандмауэра Azure действует ограничение на поддержку исправлений, которое не позволяет добавить тег с помощью портала Azure или шаблонов ARM. Следующая ошибка возникает: не удалось сохранить теги для ресурса. | Соответствующее исправление рассматривается. Либо можно использовать командлет Azure PowerShell Set-AzFirewallPolicy для обновления тегов. |
| IPv6 в настоящее время не поддерживается | При добавлении IPv6-адреса к правилу происходит сбой брандмауэра. | Используйте только IPv4-адреса. Поддержка IPv6 находится на стадии изучения. |
| Удаление групп RuleCollectionGroup с использованием шаблонов ARM не поддерживается. | Удаление RuleCollectionGroup с помощью шаблонов ARM не поддерживается и приводит к сбою. | Операция не поддерживается. |
| Правило DNAT, допускающее любой (*) трафик, будет обрабатывать его с помощью SNAT. | Если правило DNAT разрешает любой (*) в качестве исходного IP-адреса, то неявное сетевое правило соответствует трафику виртуальной сети и всегда будет выполнять SNAT трафика. | Это текущее ограничение. |
| Добавление правила DNAT в защищенный виртуальный концентратор с провайдером безопасности не поддерживается. | Это ведет к возникновению асинхронного маршрута для возвращаемого трафика DNAT, который передается поставщику безопасности. | Не поддерживается. |
| Ошибка при создании более чем 2000 коллекций правил. | Максимальное число коллекций сетевых правил или правил NAT/приложений составляет 2000 (ограничение Resource Manager). | Это текущее ограничение. |
| Не удается развернуть брандмауэр с Зонами доступности, используя только что созданный общедоступный IP-адрес | При развертывании брандмауэра с Зонами доступности нельзя использовать только что созданный общедоступный IP-адрес. | Сначала создайте новый избыточный между зонами общедоступный IP-адрес, а затем назначьте этот ранее созданный IP-адрес во время развертывания брандмауэра. |
| Связывание общедоступного IP-адреса с брандмауэром Azure не поддерживается в межтенантном сценарии. | Если вы создаете общедоступный IP-адрес в клиенте A, вы не можете связать его с брандмауэром, развернутным в клиенте B. | Нет. |
Брандмауэр Azure категории "Премиум"
Примечание.
Любая проблема, которая относится к уровню "Стандартный", также применяется к уровню "Премиум".
Ниже описаны известные проблемы в Брандмауэре Azure уровня "Премиум".
| Проблема | Описание | Меры по снижению риска |
|---|---|---|
| Поддержка ESNI для разрешения FQDN в HTTPS | Зашифрованный SNI не поддерживается в процессе HTTPS рукопожатия. | Сейчас только Firefox поддерживает ESNI через пользовательскую конфигурацию. Предлагаемый обходной путь заключается в отключении этой функции. |
| Проверка подлинности клиентских сертификатов не поддерживается | Клиентские сертификаты используются для создания взаимного отношения доверия между клиентом и сервером. Сертификаты клиентов используются во время согласования TLS. Брандмауэр Azure повторно согласовывает соединение с сервером и не имеет доступа к закрытому ключу сертификатов клиентов. | нет |
| QUIC/HTTP3 | QUIC — это новая основная версия протокола HTTP. Это UDP-протокол, использующий порты 80 (PLAN) и 443 (SSL). Проверка FQDN/URL/TLS не поддерживается. | Настройте передачу UDP 80/443 в качестве правил сети. |
| Сертификаты, подписанные недоверенным клиентом | Подписанные заказчиком сертификаты не считаются доверенными брандмауэром после получения от интрасетевого веб-сервера. | Соответствующее исправление рассматривается. |
| Неверный исходный IP-адрес в предупреждениях с IDPS для HTTP (без проверки TLS). | Когда используется HTTP-трафик в виде обычного текста, IDPS выдает новое оповещение, а назначение является общедоступным IP-адресом, это значит, что отображаемый исходный IP-адрес неверен (вместо первоначального IP-адреса отображается внутренний IP-адрес). | Соответствующее исправление рассматривается. |
| Распространение сертификатов | После применения сертификата ЦС на брандмауэре может потребоваться от 5 до 10 минут, прежде чем сертификат вступит в силу. | Соответствующее исправление рассматривается. |
| Поддержка TLS 1.3 | Протокол TLS 1.3 поддерживается частично. Туннель TLS от клиента к брандмауэру основан на TLS 1.2, а от брандмауэра к внешнему веб-серверу — на TLS 1.3. | Обновления сейчас рассматриваются. |
| Срок действия промежуточного сертификата удостоверяющего центра TLSi истекает. | В некоторых уникальных случаях срок действия промежуточного сертификата ЦС может истекти через два месяца до первоначальной даты окончания срока действия. | Обновите промежуточный сертификат ЦС за два месяца до первоначальной даты окончания срока действия. Соответствующее исправление рассматривается. |