Ändern der Azure Firewall-SKU

In diesem Artikel erfahren Sie, wie Sie Ihre Azure Firewall-SKU zwischen Standard und Premium ändern. Sie können ein Upgrade von Standard auf Premium durchführen, um erweiterte Sicherheitsfunktionen zu nutzen, oder ein Downgrade von Premium zu Standard, wenn diese Features nicht mehr benötigt werden. Azure Firewall Premium bietet erweiterte Bedrohungsschutzfunktionen, einschließlich IDPS, TLS-Inspektion und URL-Filterung.

Sie können Ihre Firewall-SKU mit einer von zwei Methoden ändern:

• Einfache SKU-Änderungsmethode (empfohlen): Upgrade ohne Ausfallzeiten oder Downgrade mithilfe des Azure-Portals, PowerShell oder Terraform
• Manuelle Migrationsmethode: Schritt-für-Schritt-Migration für komplexe Szenarien oder wenn einfache SKU-Änderungen nicht verfügbar sind

Weitere Informationen zu Azure Firewall Premium-Features finden Sie unter Azure Firewall Premium-Features.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie folgendes haben:

• Ein Azure-Abonnement mit einer vorhandenen Azure Firewall-Bereitstellung
• Geeignete Berechtigungen zum Ändern von Firewallressourcen (Rolle "Netzwerkmitwirkender" oder höher)
• Azure PowerShell-Modul, Version 6.5.0 oder höher (für PowerShell-Methoden)
• Ein geplantes Wartungsfenster (für manuelle Migrationsmethode)

Einfache SKU-Änderungsmethode (empfohlen)

Die einfachste Möglichkeit zum Ändern Ihrer Azure Firewall-SKU mit null Ausfallzeiten besteht darin, das Feature "SKU ändern" zu verwenden. Diese Methode unterstützt sowohl das Upgrade von Standard auf Premium als auch das Herabstufen von Premium auf Standard.

Wann einfache SKU-Änderungen verwenden

Verwenden Sie die einfache SKU-Änderungsmethode, wenn:

• Sie verfügen über eine Azure-Firewall mit Firewallrichtlinie (keine klassischen Regeln)
• Ihre Firewall wird in einer unterstützten Region bereitgestellt.
• Sie möchten Ausfallzeiten minimieren (null Ausfallzeiten mit dieser Methode)
• Sie verfügen über eine Standardbereitstellung ohne komplexe benutzerdefinierte Konfigurationen
• Für Downgrade: Ihre Premium-Richtlinie verwendet keine Premium-exklusiven Features, die nicht mit Standard kompatibel sind.

Richtlinienüberlegungen für SKU-Änderungen

Upgrade auf Premium

Wählen Sie während des Upgradeprozesses aus, wie Ihre Firewallrichtlinie behandelt werden soll:

• Vorhandene Premium-Richtlinie: Wählen Sie eine bereits vorhandene Premium-Richtlinie aus, die an die aktualisierte Firewall angefügt werden soll.
• Vorhandene Standardrichtlinie: Verwenden Sie Ihre aktuelle Standardrichtlinie. Das System dupliziert und aktualisiert es automatisch auf eine Premium-Richtlinie.
• Neue Premium-Richtlinie erstellen: Lassen Sie das System basierend auf Ihrer aktuellen Konfiguration eine neue Premium-Richtlinie erstellen

Downgrade zu Standard

Berücksichtigen Sie bei der Herabstufung von Premium auf Standard die folgenden Richtlinienanforderungen:

Premium-Features, die vor dem Downgrade adress werden sollen:

• TLS-Inspektion: Deaktivieren von TLS-Inspektionsregeln und Entfernen zugeordneter Zertifikate
• IDPS (Angriffserkennung und -prävention): Ändern des IDPS-Modus von "Warnen und Verweigern" in "Nur Warnung" oder "Aus"
• URL-Filterung: Ersetzen von URL-Filterregeln durch FQDN-Filterung, sofern möglich
• Webkategorien: Entfernen oder Ersetzen von Webkategorieregeln durch bestimmte FQDN-Regeln

Richtlinienbehandlungsoptionen:

• Vorhandene Standardrichtlinie verwenden: Wählen Sie eine vorhandene Standardrichtlinie aus, die keine Premium-Features enthält.
• Neue Standardrichtlinie erstellen: Das System kann eine neue Standardrichtlinie erstellen und Premium-spezifische Features automatisch entfernen.
• Ändern der aktuellen Richtlinie: Manuelles Entfernen von Premium-Features aus Ihrer aktuellen Richtlinie vor dem Downgrade

Ändern der SKU mithilfe des Azure-Portals

So ändern Sie ihre Firewall-SKU mithilfe des Azure-Portals:

Upgrade auf Premium

1. Melden Sie sich beim Azure-Portal an.
2. Navigieren Sie zu Ihrer Azure Firewall-Ressource.
3. Wählen Sie auf der Seite "Übersicht " die Option "SKU ändern" aus.
4. Wählen Sie im Dialogfeld "SKU-Änderung " "Premium" als Ziel-SKU aus.
5. Wählen Sie Ihre Richtlinienoption aus:
   • Wählen Sie eine vorhandene Premium-Richtlinie aus, oder
   • Zulassen, dass das System Ihre aktuelle Standardrichtlinie auf Premium aktualisiert
6. Wählen Sie "Speichern" aus, um das Upgrade zu starten.

Downgrade zu Standard

1. Melden Sie sich beim Azure-Portal an.
2. Navigieren Sie zu Ihrer Azure Firewall Premium-Ressource.
3. Vor dem Herabstufen: Stellen Sie sicher, dass Ihre Firewallrichtlinie keine Premium-exklusiven Features enthält (TLS-Inspektion, IDPS-Warnungs- und Ablehnungsmodus, URL-Filterung, Webkategorien).
4. Wählen Sie auf der Seite "Übersicht " die Option "SKU ändern" aus.
5. Wählen Sie im Dialogfeld "SKU-Änderung" die Option "Standard " als Ziel-SKU aus.
6. Wählen Sie Ihre Richtlinienoption aus:
   • Wählen Sie eine vorhandene Standardrichtlinie aus, oder
   • Zulassen, dass das System eine neue Standardrichtlinie erstellt (Premium-Features werden automatisch entfernt)
7. Wählen Sie "Speichern" aus, um mit dem Downgrade zu beginnen.

Der SKU-Änderungsprozess wird in der Regel innerhalb weniger Minuten ohne Ausfallzeiten abgeschlossen.

PowerShell- und Terraform-SKU-Änderung

Sie können auch SKU-Änderungen mithilfe von:

• PowerShell: Ändern der sku_tier Eigenschaft in "Premium" oder "Standard"
• Terraform: Aktualisieren Des sku_tier Attributs in Ihrer Konfiguration auf die gewünschte SKU

Einschränkungen

Die einfache SKU-Änderungsmethode hat die folgenden Einschränkungen:

Allgemeine Einschränkungen:

• Unterstützt keine Azure Firewall Basic SKU – Grundlegende SKU-Benutzer müssen zuerst zu Standard migrieren.
• Für Firewalls mit bestimmten komplexen Konfigurationen nicht verfügbar
• Eingeschränkte Verfügbarkeit in einigen Regionen
• Erfordert eine vorhandene Firewallrichtlinie (für klassische Regeln nicht verfügbar)

Downgradespezifische Einschränkungen:

• Premium-Features (TLS-Inspektion, IDPS-Warnungs- und Verweigerungsmodus, URL-Filterung, Webkategorien) müssen vor dem Downgrade entfernt werden.
• Wenn Ihre Premium-Richtlinie inkompatible Features enthält, müssen Sie die Richtlinie ändern oder eine neue Standardrichtlinie erstellen.
• Einige Regelkonfigurationen benötigen möglicherweise eine manuelle Anpassung nach dem Downgrade.

Wenn die einfache SKU-Änderungsmethode für Ihr Szenario nicht verfügbar ist, verwenden Sie die im nächsten Abschnitt beschriebene manuelle Migrationsmethode.

Manuelle Migrationsmethode

Wenn die einfache Upgrademethode für Ihre Bereitstellung nicht verfügbar oder geeignet ist, können Sie die manuelle Migrationsmethode verwenden. Dieser Ansatz bietet mehr Kontrolle, erfordert jedoch Ausfallzeiten.

Wann die manuelle Migration verwendet werden sollte

Manuelle Migration in folgenden Fällen verwenden:

• Einfaches Upgrade ist für Ihr Szenario nicht verfügbar
• Sie verfügen über klassische Firewallregeln, die eine Migration benötigen
• Sie verfügen über komplexe benutzerdefinierte Konfigurationen
• Sie benötigen die vollständige Kontrolle über den Migrationsprozess.
• Ihre Firewall wird in Südostasien mit Verfügbarkeitszonen bereitgestellt.

Leistungsüberlegungen

Bei der Migration von der Standard-SKU wird die Leistung berücksichtigt. IDPS und TLS-Inspektion sind rechenintensive Vorgänge. Die Premium-SKU verwendet eine leistungsstärkere VM-SKU, die auf einen höheren Durchsatz skaliert wird, der mit der Standard-SKU vergleichbar ist. Weitere Informationen zur Azure Firewall-Leistung finden Sie unter Azure Firewall Performance.

Microsoft empfiehlt Kunden, umfassende Tests in ihrer Azure-Bereitstellung durchzuführen, um sicherzustellen, dass die Leistung des Firewalldiensts Ihren Erwartungen entspricht.

Überlegungen zu Ausfallzeiten

Planen Sie ein Wartungsfenster bei Verwendung der manuellen Migrationsmethode, da während des Stopp-/Startvorgangs einige Ausfallzeiten (in der Regel 20-30 Minuten) auftreten.

Übersicht über migrationsschritte

Für eine erfolgreiche manuelle Migration sind die folgenden allgemeinen Schritte erforderlich:

1. Erstellen einer neuen Premium-Richtlinie basierend auf Ihrer vorhandenen Standardrichtlinie oder klassischen Regeln
2. Migrieren von Azure Firewall von Standard zu Premium mithilfe von Stop/Start
3. Anfügen der Premium-Richtlinie an Ihre Premium-Firewall

Schritt 1: Migrieren von klassischen Regeln zur Standardrichtlinie

Wenn Sie über klassische Firewallregeln verfügen, migrieren Sie sie zuerst mithilfe des Azure-Portals zu einer Standardrichtlinie:

1. Wählen Sie im Azure-Portal Ihre Standardfirewall aus.
2. Wählen Sie auf der Seite "Übersicht" die Option "Zu Firewallrichtlinie migrieren" aus.
3. Wählen Sie auf der Seite "Zu Firewallrichtlinie migrieren" die Option "Überprüfen+ erstellen" aus.
4. Wählen Sie "Erstellen" aus.

Die Bereitstellung dauert einige Minuten.

Sie können auch vorhandene klassische Regeln mithilfe von Azure PowerShell migrieren. Weitere Informationen finden Sie unter Migrieren von Azure Firewall-Konfigurationen zu Azure Firewall-Richtlinien mithilfe von PowerShell.

Schritt 2: Erstellen einer Premium-Richtlinie mithilfe von PowerShell

Verwenden Sie das folgende PowerShell-Skript, um eine neue Premium-Richtlinie aus einer vorhandenen Standardrichtlinie zu erstellen:

<#
    .SYNOPSIS
        Given an Azure firewall policy id the script will transform it to a Premium Azure firewall policy.
        The script will first pull the policy, transform/add various parameters and then upload a new premium policy.
        The created policy will be named <previous_policy_name>_premium if no new name provided else new policy will be named as the parameter passed.
    .Example
        Transform-Policy -PolicyId /subscriptions/XXXXX-XXXXXX-XXXXX/resourceGroups/some-resource-group/providers/Microsoft.Network/firewallPolicies/policy-name -NewPolicyName <optional param for the new policy name>
#>

param (
    #Resource id of the azure firewall policy.
    [Parameter(Mandatory=$true)]
    [string]
    $PolicyId,

    #new filewallpolicy name, if not specified will be the previous name with the '_premium' suffix
    [Parameter(Mandatory=$false)]
    [string]
    $NewPolicyName = ""
)
$ErrorActionPreference = "Stop"
$script:PolicyId = $PolicyId
$script:PolicyName = $NewPolicyName

function ValidatePolicy {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Object]
        $Policy
    )

    Write-Host "Validating resource is as expected"

    if ($null -eq $Policy) {
        Write-Error "Received null policy"
        exit(1)
    }
    if ($Policy.GetType().Name -ne "PSAzureFirewallPolicy") {
        Write-Error "Resource must be of type Microsoft.Network/firewallPolicies"
        exit(1)
    }

    if ($Policy.Sku.Tier -eq "Premium") {
        Write-Host "Policy is already premium" -ForegroundColor Green
        exit(1)
    }
}

function GetPolicyNewName {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Microsoft.Azure.Commands.Network.Models.PSAzureFirewallPolicy]
        $Policy
    )

    if (-not [string]::IsNullOrEmpty($script:PolicyName)) {
        return $script:PolicyName
    }

    return $Policy.Name + "_premium"
}

function TransformPolicyToPremium {
    [CmdletBinding()]
    param (
        [Parameter(Mandatory=$true)]
        [Microsoft.Azure.Commands.Network.Models.PSAzureFirewallPolicy]
        $Policy
    )
    $NewPolicyParameters = @{
                        Name = (GetPolicyNewName -Policy $Policy)
                        ResourceGroupName = $Policy.ResourceGroupName
                        Location = $Policy.Location
                        BasePolicy = $Policy.BasePolicy.Id
                        ThreatIntelMode = $Policy.ThreatIntelMode
                        ThreatIntelWhitelist = $Policy.ThreatIntelWhitelist
                        PrivateRange = $Policy.PrivateRange
                        DnsSetting = $Policy.DnsSettings
                        SqlSetting = $Policy.SqlSetting
                        ExplicitProxy  = $Policy.ExplicitProxy
                        DefaultProfile  = $Policy.DefaultProfile
                        Tag = $Policy.Tag
                        SkuTier = "Premium"
    }

    Write-Host "Creating new policy"
    $premiumPolicy = New-AzFirewallPolicy @NewPolicyParameters

    Write-Host "Populating rules in new policy"
    foreach ($ruleCollectionGroup in $Policy.RuleCollectionGroups) {
        $ruleResource = Get-AzResource -ResourceId $ruleCollectionGroup.Id
        $ruleToTransform = Get-AzFirewallPolicyRuleCollectionGroup -AzureFirewallPolicy $Policy -Name $ruleResource.Name
        $ruleCollectionGroup = @{
            FirewallPolicyObject = $premiumPolicy
            Priority = $ruleToTransform.Properties.Priority
            Name = $ruleToTransform.Name
        }

        if ($ruleToTransform.Properties.RuleCollection.Count) {
            $ruleCollectionGroup["RuleCollection"] = $ruleToTransform.Properties.RuleCollection
        }

        Set-AzFirewallPolicyRuleCollectionGroup @ruleCollectionGroup
    }
}

function ValidateAzNetworkModuleExists {
    Write-Host "Validating needed module exists"
    $networkModule = Get-InstalledModule -Name "Az.Network" -MinimumVersion 4.5 -ErrorAction SilentlyContinue
    if ($null -eq $networkModule) {
        Write-Host "Please install Az.Network module version 4.5.0 or higher, see instructions: https://github.com/Azure/azure-powershell#installation"
        exit(1)
    }
    $resourceModule = Get-InstalledModule -Name "Az.Resources" -MinimumVersion 4.2 -ErrorAction SilentlyContinue
    if ($null -eq $resourceModule) {
        Write-Host "Please install Az.Resources module version 4.2.0 or higher, see instructions: https://github.com/Azure/azure-powershell#installation"
        exit(1)
    }
    Import-Module Az.Network -MinimumVersion 4.5.0
    Import-Module Az.Resources -MinimumVersion 4.2.0
}

ValidateAzNetworkModuleExists
$policy = Get-AzFirewallPolicy -ResourceId $script:PolicyId
ValidatePolicy -Policy $policy
TransformPolicyToPremium -Policy $policy

Verwendungsbeispiel:

Transform-Policy -PolicyId /subscriptions/XXXXX-XXXXXX-XXXXX/resourceGroups/some-resource-group/providers/Microsoft.Network/firewallPolicies/policy-name

Schritt 3: Migrieren der Azure-Firewall durch Stoppen und Starten

Wenn Sie Azure Firewall Standard-SKU mit einer Firewallrichtlinie verwenden, können Sie die Methode «Zuweisen/Deallokieren» nutzen, um Ihre Firewall-SKU auf Premium zu migrieren. Dieser Migrationsansatz wird sowohl für virtuelle Netzwerkhub- als auch für Secure Hub-Firewalls unterstützt.

Migrieren einer virtuellen Netzwerk-Hub-Firewall

Freigabe der Standard-Firewall:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

Firewall Premium zuweisen (eine einzelne öffentliche IP-Adresse):

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "<resource-group-name>" -Name "<Virtual-Network-Name>"
$publicip = Get-AzPublicIpAddress -Name "<Firewall-PublicIP-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Allocate($vnet,$publicip)
Set-AzFirewall -AzureFirewall $azfw

Zuweisen von Firewall Premium (mehrere öffentliche IP-Adressen):

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))
Set-AzFirewall -AzureFirewall $azfw

Firewall Premium dem erzwungenen Tunnelmodus zuweisen:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Sku.Tier="Premium"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "<resource-group-name>" -Name "<Virtual-Network-Name>"
$publicip = Get-AzPublicIpAddress -Name "<Firewall-PublicIP-name>" -ResourceGroupName "<resource-group-name>"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "<resource-group-name>"-Name "<Management-PublicIP-name>"
$azfw.Allocate($vnet,$publicip,$mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

Migrieren einer Secure Hub-Firewall

Freigabe der Standard-Firewall:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

Firewall Premium zuweisen:

$azfw = Get-AzFirewall -Name "<firewall-name>" -ResourceGroupName "<resource-group-name>"
$hub = get-azvirtualhub -ResourceGroupName "<resource-group-name>" -name "<vWANhub-name>"
$azfw.Sku.Tier="Premium"
$azfw.Allocate($hub.id)
Set-AzFirewall -AzureFirewall $azfw

Schritt 4: Anfügen einer Premium-Richtlinie

Fügen Sie nach dem Upgrade der Firewall auf Premium die Premium-Richtlinie über das Azure-Portal an:

1. Navigieren Sie im Azure-Portal zu Ihrer Premium-Firewall.
2. Wählen Sie auf der Seite "Übersicht" die Option "Firewallrichtlinie" aus.
3. Wählen Sie Ihre neu erstellte Premium-Richtlinie aus.
4. Wählen Sie Speichern aus.

Terraform-Migration

Wenn Sie Terraform zum Bereitstellen von Azure Firewall verwenden, können Sie Terraform verwenden, um zu Azure Firewall Premium zu migrieren. Weitere Informationen finden Sie unter Migrieren von Azure Firewall Standard zu Premium mithilfe von Terraform.

Fehlerbehebung bei Problemen mit SKU-Änderungen

Häufige Probleme und Lösungen

• Einfache SKU-Änderung nicht verfügbar: Verwenden Sie die in diesem Artikel beschriebene manuelle Migrationsmethode.
• Fehler bei der Richtlinienmigration: Stellen Sie sicher, dass die richtigen PowerShell-Modulversionen installiert sind
• Ausfallzeiten länger als erwartet: Überprüfen der Netzwerkkonnektivität und Ressourcenverfügbarkeit
• Leistungsprobleme nach dem Upgrade: Überprüfen Sie Leistungsüberlegungen und führen Sie gründliche Tests durch.
• Downgrade blockiert durch Premium-Features: Entfernen oder Deaktivieren von Premium-exklusiven Features vor dem Downgrade

Problembehandlung bei einem Downgrade

Wenn Sie kein Downgrade von Premium auf Standard ausführen können:

1. Überprüfen Sie auf Premium-Features: Überprüfen Sie, ob Ihre Firewallrichtlinie folgendes nicht enthält:

   • TLS-Inspektionsregeln
   • IDPS im Warnungs- und Verweigerungsmodus
   • URL-Filterregeln
   • Webkategorieregeln

2. Richtlinienänderungsoptionen:

   • Erstellen einer neuen Standardrichtlinie ohne Premium-Features
   • Ändern Ihrer vorhandenen Richtlinie zum Entfernen von Premium-Features
   • Verwenden von Azure PowerShell zum Identifizieren und Entfernen von inkompatiblen Regeln

3. Überprüfungsschritte:

   # Check current firewall policy for Premium features
   $policy = Get-AzFirewallPolicy -ResourceGroupName "myResourceGroup" -Name "myPolicy"
   
   # Review policy settings for Premium features
   $policy.ThreatIntelMode
   $policy.IntrusionDetection
   $policy.TransportSecurity
   

Bekannte Einschränkungen

• Das Upgrade einer Standardfirewall, die in Südostasien mit Verfügbarkeitszonen bereitgestellt wird, wird derzeit nicht für die manuelle Migration unterstützt.
• Einfache SKU-Änderungen unterstützen keine Grundlegenden SKU-Firewalls – Benutzer mit einfacher SKU müssen zuerst zu Standard-SKU migrieren, bevor sie auf Premium aktualisieren.
• Für einige benutzerdefinierte Konfigurationen ist möglicherweise der manuelle Migrationsansatz erforderlich.
• Die Herabstufung mit aktiven Premium-Features schlägt fehl, bis diese Features entfernt werden.

Nächste Schritte

• Erfahren Sie mehr über die Features von Azure Firewall Premium
• Azure Firewall Performance
• Was ist Azure Firewall?