我们很高兴地宣布了几个新的Azure防火墙功能，这些功能允许您的组织提高安全性、进行更多的自定义以及更轻松地管理规则。这些新功能是根据您的最高反馈添加的：自定义DNS支持现在预览中。DNS代理支持现在预览中。网络规则中的FQDN筛选正在预览中。IP组现在普遍可用。AKS FQDN标签现在可以使用了。Azure防火墙现在符合HIPAA此外，在2020年6月初，我们宣布Azure防火墙强制隧道和sqlfqdn过滤现在已经普遍可用。Azure防火墙是一种云原生防火墙即服务（FWaaS）产品，允许您使用DevOps方法集中管理和记录所有流量流。该服务支持应用程序和网络级别的筛选规则，并与Microsoft威胁情报源集成，用于过滤已知的恶意IP地址和域。Azure防火墙具有内置的自动伸缩功能，高度可用。自定义DNS支持现在预览中自2018年9月发布以来，Azure防火墙已被硬编码为使用Azure DNS，以确保该服务能够可靠地解析其出站依赖关系。自定义DNS提供客户和服务名称解析之间的分离。这允许您将Azure防火墙配置为使用您自己的DNS服务器，并确保防火墙出站依赖项仍然使用Azure DNS进行解析。您可以在Azure防火墙和防火墙策略DNS设置中配置一个或多个DNS服务器。Azure防火墙还可以使用Azure专用DNS进行名称解析，只要你的专用DNS区域链接到防火墙虚拟网络。DNS代理现在预览中启用DNS代理后，出站DNS查询由Azure防火墙处理，它会向您的自定义DNS服务器或Azure DNS发起新的DNS解析查询。这对于在网络规则中进行可靠的FQDN过滤至关重要。您可以在Azure防火墙和防火墙策略DNS设置中配置DNS代理DNS代理配置需要三个步骤：在Azure防火墙DNS设置中启用DNS代理。可以选择配置自定义DNS服务器或使用提供的默认值。最后，必须在虚拟网络DNS服务器设置中将Azure防火墙的专用IP地址配置为自定义DNS服务器。这可确保DNS流量被定向到Azure防火墙。 图1。Azure防火墙上的自定义DNS和DNS代理设置。网络规则中的FQDN筛选现在处于预览状态您现在可以在基于Azure防火墙和防火墙策略中的DNS解析的网络规则中使用完全限定域名（FQDN）。规则集合中指定的FQDN将根据防火墙DNS设置转换为IP地址。此功能允许您使用带有任何TCP/UDP协议（包括NTP、SSH、RDP等）的fqdn过滤出站流量。由于此功能基于DNS解析，因此强烈建议您启用DNS代理以确保受保护的虚拟机和防火墙名称解析一致。HTTP/S和MSSQL的应用程序规则中的FQDN筛选基于应用程序级透明代理。因此，它可以区分解析为同一IP地址的两个FQDN。网络规则中的FQDN过滤不是这种情况，因此建议您尽可能使用应用程序规则。 图2。网络规则中的FQDN筛选。IP组现已普遍可用IP组是一种新的顶级Azure资源，允许您在Azure防火墙规则中对IP地址进行分组和管理。您可以给您的IP组一个名称，并通过输入IP地址或上载文件来创建一个。IP组简化了您的管理体验，并通过在单个防火墙或跨多个防火墙使用IP地址来减少管理IP地址的时间。IP组现在可以在独立的Azure防火墙配置中或作为Azure防火墙策略的一部分提供和支持。有关更多信息，请参阅Azure防火墙文档中的IP组。图3。正在创建新的IP组。AKS FQDN标签现在可以正常使用了azurekubernetes服务（AKS）FQDN标记现在可以在Azure防火墙应用程序规则中使用，以简化AKS保护的防火墙配置。azurekubernetes服务（AKS）在Azure上提供托管Kubernetes集群，通过将大部分责任转移给Azure来降低管理Kubernetes的复杂性和操作开销。出于管理和操作的目的，AKS集群中的节点需要访问某些端口和fqdn。有关如何使用Azure防火墙为Azure Kubernetes群集添加保护的更多指南，请参阅使用Azure防火墙保护Azure Kubernetes服务（AKS）部署图4。正在使用AKS FQDN标记配置应用程序规则。下一步行动有关我们在这里介绍的所有内容的更多信息，请参阅以下附加资源：Azure防火墙文档。Azure防火墙强制隧道和sqlfqdn过滤现在可以正常使用了。Azure防火墙IP组。Azure防火墙自定义DNS，DNS代理（预览）。网络规则中的Azure防火墙FQDN筛选（预览）。使用Azure防火墙保护Azure Kubernetes服务（AKS）部署。