微软发布最新防火墙服务Azure Firewall的更新,添加的预览功能包括强制信道以及IP群组,而自定义SNAT私有IP地址则成为正式功能,高连接端口限制松绑也正式施行了,另外,微软也提到,Azure Firewall是目前第一个获得ICSA Labs企业防火墙认证的云计算防火墙。
强制信道(Forced Tunneling)功能,可以强制所有Azure Firewall的互联网绑定流量,传回到企业内部或是附近网络虚拟设备(NVA),以执行进一步的检查与审核。在默认情况下,Azure Firewall是不允许强制信道,以确保所有流出流量都满足Azure依赖性。而要使用强制信道,需要借由额外的专用子网,将服务管理流量与用户流量分开,该子网关联自有的公开IP地址,可以将流量在发送到互联网之前,先路由到任何企业防火墙以及NVA进行处理。
Azure Firewall还提供IP群组功能,微软提到,IP群组是一个新的顶级Azure资源,可用于Azure Firewall规则中,对IP地址进行分组与管理,用户可以为IP群组命名,输入IP地址或上传文件以创建IP群组,在单个或是跨多个防火墙中使用IP群组,能够简化IP地址管理工作。
Azure Firewall为所有公开IP地址的出站流量,提供自动来源网络地址交换(SNAT)功能,当目标IP地址是属于IANA RFC 1918的私有IP地址范围时,Azure Firewall防火墙便不会进行SNAT。而现在用户有更多自定义的选项,当企业将公开IP地址范围用于私有网络,或者以强制信道功能将流量导回企业内防火墙,则可以将Azure Firewall配置设为,不对其他自定义IP地址范围进行SNAT。
微软提到,从Azure Firewall预览版发布以来,就有一个限制,会阻挡网络和应用程序使用64,000以上来源或是目标连接端口,不过这项默认规则,限制了RPC技术的使用,特别是Active Directory的同步,现在微软松绑此项规定,用户已经可以使用1到65535间的任一个连接端口。