微软发布最新防火墙服务 Azure Firewall 的更新,新增的预览功能包括强制通道以及IP群组,而自定义 SNAT 私有 IP 地址则成为正式功能,高连接埠限制松绑也正式施行了,另外,微软也提到,Azure Firewall 是目前第一个获得 ICSA Labs 企业防火墙认证的云端防火牆。
强制通道(Forced Tunneling)功能,可以强制所有 Azure Firewall 的互联网网络流量,传回到企业内部或是附近网络虚拟设备(NVA),以执行进一步的检查与稽核。在预设情况下,Azure Firewall 是不允许强制通道,以确保所有流出流量都满足 Azure 相依性。而要使用强制通道,需要有额外的专用子网,将服务管理流量与用户流量分开,该子网关联自有的公开 IP 地址,可以将流量在传送到互联网网络之前,先路由到任何企业防火墙以及 NVA 进行处理。
Azure Firewall 还提供 IP 群组功能,微软提到,IP 群组是一个新的顶级 Azure 资源,可用于 Azure Firewall 规则中,对 IP 地址进行分组与管理,用户可以为 IP 群组命名,输入 IP 地址或上传文件以创建 IP 群组,在单个或是跨多个防火墙中使用 IP 群组,能够简化 IP 地址管理工作。
Azure Firewall 为所有公开 IP 地址的出站流量,提供自动来源网络地址交换(SNAT)功能,当目标 IP 地址是属于 IANA RFC 1918 的私有 IP 地址范围时,Azure Firewall 防火墙便不会进行 SNAT。而现在用户有更多自定义的选项,当企业将公开 IP 地址范围用于私有网络,或者以强制通道功能将流量导回企业内防火墙,则可以将 Azure Firewall 配置设为,不对其他自定义 IP 地址范围进行 SNAT。
微软提到,从 Azure Firewall 预览版发布以来,就有一个限制,会阻挡网络和应用程序使用 64,000 以上来源或是目标连接埠,不过这项预设规则,限制了 RPC 技术的使用,特别是 Active Directory 的同步,现在微软松绑此项规定,用户已经可以使用 1 到 65535 间的任何一个连接埠。
閱讀更多 AI智慧 的文章
