Azure Firewall提供TLS检查与URL过滤等多项进阶层功能

微软发布进阶版防火墙服务Azure Firewall Premium预览，其提供TLS检查、IDPS、网页类别以及URL过滤功能，特别适合用于高度敏感和受监管环境。另外，Azure Firewall Premium新功能都只能使用防火墙政策配置。

防火墙政策现在分为标準和进阶层，在预设情况下，这个版本之前的政策，皆为标準层，标準层政策可以和Azure Firewall Standard相关联，并且能够被进阶层政策继承，官方提到，透过继承功能，可以让Azure Firewall Standard和Azure Firewall Premium共享部署配置。

Azure Firewall Premium所提供的TLS检查功能，可终止出站以及资料中心内传输层安全性协定（TLS）连接，搭配Azure Application Gateway，就能支援入站TLS检查，Azure Firewall会执行需要的安全功能，并且重新加密流量，将流量送回原本的目的地。TLS是用户端与伺服器之间，建立加密连接的标準安全技术，以确保用户端和伺服器之间传递的所有资料，都能保持在加密状态。

而Azure Firewall Premium能够完全解密网路通讯，进而拦截和检查TLS连接，微软提到，TLS检查功能有几项好处，首先，由于强化了流量的可见性，因此所有解密流量都可以被纪录且在指标上显示，而且URL过滤也能更严格地过滤流出流量，入侵侦测与防御系统（Intrusion Detection and Prevention System，IDPS）也更能发挥作用。

IDPS让管理员能够监控网路，找出可能存在的恶意活动，并且尝试阻止攻击者，Azure Firewall Premium採用以特徵为基础的IDPS，透过比对特定模式，像是网路流量中的位元组序列，或是已知恶意指令序列，来快速侦测攻击，这项功能适用于所有连接埠和协定。

而Azure防火墙政策中的网页类别，则可以让管理员根据类别，允许和拒绝用户的网际网路存取，像是社交网路、搜寻引擎或是博弈类网站等，减少个别完整网域名称（FQDN）和URL管理的时间。而URL过滤功能，则让管理员不仅能针对FQDN限制，还可以过滤特定URL的出站存取。

Azure Firewall Premium使用的防火墙政策，是一种全域的资源，用户可使用Azure Firewall Manager集中管理防火墙，微软提到，从这个版本开始，所有的新功能，都只能使用防火墙政策配置，包括TLS检查、IDPS、URL过滤和网页类别等，防火墙政策可以个别管理，也可以使用Azure Firewall Manager操作。