Azure防火墙强制隧道和sqlfqdn过滤中的两个新的关键特性现在已经普遍可用。此外，我们将目标网络地址转换（DNAT）和源网络地址转换（SNAT）的多个公共IP地址的限制从100个增加到250个。Azure防火墙是一种云原生防火墙即服务（FWaaS）产品，允许您使用DevOps方法集中管理和记录所有流量流。该服务支持应用程序和网络级别的筛选规则，并与Microsoft威胁情报源集成，用于过滤已知的恶意IP地址和域。Azure防火墙具有内置的自动伸缩功能，高度可用。目前已普遍提供强制隧道支护强制隧道允许您将所有绑定到internet的流量从Azure防火墙重定向到本地防火墙，或将其链接到附近的网络虚拟设备（NVA）以进行额外检查。在创建新防火墙时，您可以为强制隧道启用防火墙。到目前为止，不可能将现有的防火墙部署迁移到强制隧道模式。为了支持强制隧道，服务管理流量与客户流量分离。需要一个名为AzureFirewallManagementSubnet的附加专用子网及其关联的公用IP地址。此子网上唯一允许的路由是到internet的默认路由，并且必须禁用边界网关协议（BGP）路由传播。在这个配置中，AzureFirewallSubnet现在可以包括到任何本地防火墙或NVA的路由，以便在传输到internet之前处理流量。也可以通过bgazureP在子网上发布这些路由。图1。Azure防火墙处于强制隧道模式。采用强制掘进避免陷井Azure防火墙为所有到公共IP地址的出站流量提供自动SNAT。根据IANA RFC1918，当目标IP地址是私有IP地址范围时，Azure防火墙不支持。当你直接进入互联网时，这种逻辑是完美的。但是，如果启用了强制隧道，绑定到internet的流量最终会被限制到AzureFirewallSubnet中的一个防火墙专用IP地址，从而将源从本地防火墙中隐藏起来。您可以通过添加"0.0.0.0/0"作为您的专用IP地址范围，将Azure防火墙配置为不受目标IP地址影响的SNAT。请注意，使用此配置，Azure防火墙永远无法直接出口到internet。有关详细信息，请参阅Azure防火墙SNAT专用IP地址范围。图2。Azure防火墙不支持私有IP前缀配置。路由到公共PaaS和Office 365虽然Azure防火墙强制隧道允许您将所有互联网流量定向到本地防火墙或附近的NVA，但这并不总是理想的。例如，最好直接离开公共平台作为服务（PaaS）或office365。可以通过将用户定义路由（UDR）添加到AzureFirewallSubnet，为特定目的地添加下一跳类型为"Internet"的用户定义路由（UDR）。由于此定义比默认路由更具体，因此它将优先。查看Azure IP范围和服务标签。和Office 365 IP地址以获取更多信息。作为直接导出到公共PaaS的另一种方法，您可以在AzureFirewallSubnet上启用虚拟网络（VNet）服务端点。将这些Azure服务作为虚拟空间的直接连接。启用后，将自动创建到相应PaaS服务的特定路由。服务端点允许您仅将关键Azure服务资源保护到您的VNet。从VNet到Azure服务的流量始终保持在Microsoft Azure主干网络上。需要注意的是，使用此配置，您将无法如前面所示添加"0.0.0.0/0"作为您的专用IP前缀，但您仍然可以添加不受限制的自定义范围。最后，还可以使用azureprivate端点安全地连接到由azureprivate Link支持的公共PaaS服务。但是，这些连接将绕过指向Azure防火墙的默认路由，如本文档中所述。如果您要求所有流量通过防火墙，您可以通过在所有客户端子网上添加一个UDR来缓解，其中私有端点IP地址和/32后缀作为目标，Azure防火墙作为下一个跃点。请注意，要使此配置正常工作，并且要使从专用端点返回的流量也通过防火墙，您必须始终使用SNAT，方法是使用255.255.255.255/32作为您的专用IP地址范围。图3。指向指向防火墙作为下一个跃点的存储专用终结点的UDR。SQL FQDN筛选现已普遍可用现在可以在Azure防火墙应用程序规则中配置SQL FQDN。这使您可以限制从VNet访问指定的sqlserver实例。您可以筛选从VNets到部署在VNets中的azuresql数据库、azuresql数据仓库、azuresql托管实例或sqliaas实例的流量。SQL FQDN筛选当前仅在代理模式下受支持（端口1433）。如果对SQL基础设施即服务（IaaS）流量使用非默认端口，则可以在防火墙应用程序规则中配置这些端口。如果在默认重定向模式下使用SQL，则仍可以使用SQL服务标记作为网络规则的一部分来筛选访问。向应用程序规则添加重定向模式支持是我们的路线图。图4。Azure防火墙应用程序规则中的SQL FQDN筛选。多个公用IP地址限制增加你现在可以在你的Azure防火墙中使用多达250个公共IP地址，用于DNAT和SNAT。DNAT可以将多个标准端口实例转换到后端服务器。例如，如果您有两个公共IP地址，则可以为这两个IP地址转换TCP端口3389（RDP）。SNAT额外的端口可用于出站SNAT连接，减少SNAT端口耗尽的可能性。目前，Azure防火墙随机选择用于连接的源公共IP地址。如果网络上有任何下游过滤，则需要允许与防火墙关联的所有公共IP地址。考虑使用公共IP地址前缀来简化此配置。有关更多信息，请参阅部署具有多个公共IP地址的Azure防火墙。下一步行动有关我们在这里介绍的所有内容的更多信息，请参见以下内容： Azure防火墙文档Azure防火墙强制隧道使用Azure防火墙筛选SQL FQDNAzure防火墙–多个公共IP地址什么是Azure防火墙管理器预览版使用Azure防火墙实现安全且经济高效的Windows虚拟桌面保护