这篇文章是由Azure网络项目经理Suren Jamiyanaa共同撰写的我们仍然对客户为我们的服务发现的采用率、兴趣、积极反馈和广泛的用例感到惊讶。今天，我们很高兴根据您的反馈分享几项新的Azure防火墙功能：ICSA实验室公司防火墙认证。强制隧道支持现在预览。IP组现在预览中。客户配置的SNAT专用IP地址范围现已普遍可用。高端口限制放松现在普遍可用。Azure防火墙是一种云原生防火墙即服务（FWaaS）产品，允许您使用DevOps方法集中管理和记录所有流量流。该服务支持应用程序和网络级别的筛选规则，并与Microsoft威胁情报源集成，用于过滤已知的恶意IP地址和域。Azure防火墙具有内置的自动伸缩功能，高度可用。ICSA实验室公司防火墙认证ICSA实验室是安全和健康IT产品以及网络连接设备的第三方测试和认证的领先供应商。他们衡量的是世界上大多数顶级技术供应商的产品合规性、可靠性和性能。Azure防火墙是第一个获得icsalabs公司防火墙认证的云防火墙服务。有关Azure防火墙认证报告，请参阅此处的信息。有关更多信息，请参阅ICSA实验室防火墙认证计划页面。图1–Azure防火墙现已获得ICSA实验室认证。强制隧道支持现在预览中强制隧道允许您将所有绑定到internet的流量从Azure防火墙重定向到本地防火墙或附近的网络虚拟设备（NVA），以进行额外检查。默认情况下，在Azure防火墙上不允许强制隧道，以确保其所有出站Azure依赖项都得到满足。为了支持强制隧道，服务管理流量与客户流量分离。需要一个名为AzureFirewallManagementSubnet的附加专用子网及其关联的公用IP地址。此子网上唯一允许的路由是到internet的默认路由，必须禁用BGP路由传播。在这个配置中，AzureFirewallSubnet现在可以包括到任何本地防火墙或NVA的路由，以便在传输到Internet之前处理流量。如果在该子网上启用了BGP路由传播，也可以通过BGP将这些路由发布到AzureFirewallSubnet。有关更多信息，请参阅Azure防火墙强制隧道文档。图2–创建启用强制隧道的防火墙。IP组现在预览中IP组是中新的顶级Azure资源，允许您在Azure防火墙规则中对IP地址进行分组和管理。您可以给您的IP组一个名称，并通过输入IP地址或上载文件来创建一个。IP组简化了您的管理体验，并通过在单个防火墙或跨多个防火墙使用IP地址来减少管理IP地址的时间。有关更多信息，请参阅Azure防火墙文档中的IP组。图3–Azure防火墙应用程序规则使用IP组。客户配置的SNAT专用IP地址范围Azure防火墙为所有到公共IP地址的出站流量提供自动源网络地址转换（SNAT）。根据IANA RFC1918，当目标IP地址是私有IP地址范围时，Azure防火墙不支持。如果您的组织将公用IP地址范围用于专用网络或选择强制通过本地防火墙对Azure防火墙internet流量进行隧道，则可以将Azure防火墙配置为不捕获其他自定义IP地址范围。有关详细信息，请参阅Azure防火墙SNAT专用IP地址范围。图4–具有自定义专用IP地址范围的Azure防火墙。高端口限制放松现在普遍可用自从最初的预览版发布以来，azurefirewall有一个限制，阻止网络和应用程序规则包含64000以上的源或目标端口。此默认行为阻止基于RPC的方案，特别是Active Directory同步。有了这个新的更新，客户可以在网络和应用程序规则中使用1-65535范围内的任何端口。下一步行动欲了解更多关于我们上面所涵盖的一切的信息，请参阅以下博客、文档和视频。Azure防火墙文档。Azure防火墙2019年7月博客：Azure防火墙的新功能。Azure防火墙管理器文档。Azure防火墙管理器博客：Azure防火墙管理器现在支持虚拟网络。Azure防火墙中央管理合作伙伴：AlgoSec云流。梭鱼云安全卫士，现在在Azure市场上普遍可用。Tufin SecureCloud。