微軟發佈最新防火牆服務 Azure Firewall 的更新,新增的預覽功能包括強制通道以及IP群組,而自定義 SNAT 私有 IP 地址則成為正式功能,高連接埠限制鬆綁也正式施行了,另外,微軟也提到,Azure Firewall 是目前第一個獲得 ICSA Labs 企業防火牆認證的雲端防火牆。
強制通道(Forced Tunneling)功能,可以強制所有 Azure Firewall 的互聯網網絡流量,傳回到企業內部或是附近網絡虛擬設備(NVA),以執行進一步的檢查與稽核。在預設情況下,Azure Firewall 是不允許強制通道,以確保所有流出流量都滿足 Azure 相依性。而要使用強制通道,需要有額外的專用子網,將服務管理流量與用戶流量分開,該子網關聯自有的公開 IP 地址,可以將流量在傳送到互聯網網絡之前,先路由到任何企業防火牆以及 NVA 進行處理。
Azure Firewall 還提供 IP 群組功能,微軟提到,IP 群組是一個新的頂級 Azure 資源,可用於 Azure Firewall 規則中,對 IP 地址進行分組與管理,用戶可以為 IP 群組命名,輸入 IP 地址或上傳文件以創建 IP 群組,在單個或是跨多個防火牆中使用 IP 群組,能夠簡化 IP 地址管理工作。
Azure Firewall 為所有公開 IP 地址的出站流量,提供自動來源網絡地址交換(SNAT)功能,當目標 IP 地址是屬於 IANA RFC 1918 的私有 IP 地址範圍時,Azure Firewall 防火牆便不會進行 SNAT。而現在用戶有更多自定義的選項,當企業將公開 IP 地址範圍用於私有網絡,或者以強制通道功能將流量導回企業內防火牆,則可以將 Azure Firewall 配置設為,不對其他自定義 IP 地址範圍進行 SNAT。
微軟提到,從 Azure Firewall 預覽版發佈以來,就有一個限制,會阻擋網絡和應用程序使用 64,000 以上來源或是目標連接埠,不過這項預設規則,限制了 RPC 技術的使用,特別是 Active Directory 的同步,現在微軟鬆綁此項規定,用戶已經可以使用 1 到 65535 間的任何一個連接埠。
閱讀更多 AI智慧 的文章
