微軟發布最新防火牆服務Azure Firewall的更新,新增的預覽功能包括強制通道以及IP群組,而自定義SNAT私有IP地址則成為正式功能,高連接埠限制鬆綁也正式施行了,另外,微軟也提到,Azure Firewall是目前第一個獲得ICSA Labs企業防火牆認證的雲端防火牆。

強制通道(Forced Tunneling)功能,可以強制所有Azure Firewall的網際網路繫結流量,傳回到企業內部或是附近網路虛擬設備(NVA),以執行進一步的檢查與稽核。在預設情況下,Azure Firewall是不允許強制通道,以確保所有流出流量都滿足Azure相依性。而要使用強制通道,需要藉由額外的專用子網,將服務管理流量與用戶流量分開,該子網關聯自有的公開IP地址,可以將流量在傳送到網際網路之前,先路由到任何企業防火牆以及NVA進行處理。

Azure Firewall還提供IP群組功能,微軟提到,IP群組是一個新的頂級Azure資源,可用於Azure Firewall規則中,對IP地址進行分組與管理,用戶可以為IP群組命名,輸入IP地址或上傳檔案以創建IP群組,在單個或是跨多個防火牆中使用IP群組,能夠簡化IP地址管理工作。

Azure Firewall為所有公開IP地址的出站流量,提供自動來源網路地址交換(SNAT)功能,當目標IP地址是屬於IANA RFC 1918的私有IP地址範圍時,Azure Firewall防火牆便不會進行SNAT。而現在用戶有更多自定義的選項,當企業將公開IP地址範圍用於私有網路,或者以強制通道功能將流量導回企業內防火牆,則可以將Azure Firewall配置設為,不對其他自定義IP地址範圍進行SNAT。

微軟提到,從Azure Firewall預覽版發布以來,就有一個限制,會阻擋網路和應用程式使用64,000以上來源或是目標連接埠,不過這項預設規則,限制了RPC技術的使用,特別是Active Directory的同步,現在微軟鬆綁此項規定,用戶已經可以使用1到65535間的任一個連接埠。


Advertisement

更多 iThome相關內容