微软加强SDWAN布局，推出AzureVirtualWAN及Azure防火墙公开预览版

近期微软公有云服务的网络功能不少新服务上架，包含Azure网络流量分析、服务连线监控功能都陆续正式推出，而在近日，该公司开始加强软件定义网络功能布局，一次推出了Azure Virtual WAN及Azure防火墙这两个新公开预览版功能。

微软Azure网络部门公司副总裁Yousef Khalidi表示，当今软件定义网络、SDWAN发展趋势，让企业可以加强各地的分支办公室的网络使用经验，不过随之而来的挑战就是，如何一并管理这些分支网络，并且大规模部署统一的资安、网络管理政策。因此，微软这次释出的两个新服务，互相辅助，透过Azure Virtual WAN简化大规模网络部署，并且搭配Azure防火墙实行统一管理政策。

首先是Azure Virtual WAN，使用该公司云端服务的企业，可以利用此功能，连接企业各分点的SDWAN、VPN设备，简化设备组态管理，也让连线功能更为自动化。企业可以选择离分点最近的Azure公开区域，建立Virtual WAN及Virtual Hub。未来该办公室与其他分支或Azure虚拟网络连接时，就能透过Virtual Hub作为中继点。再者为连线自动化功能，利用企业自有客户端设备作为SD-WAN Controller或VPN装置，让分点办公室的网络建置、组态管理及连线设定可以变得更为自动化。

微软表示，该公司目前在全球共有设置超过130个网络连接点（Points of Presence），根据办公室所在位置，Azure Virtual WAN将其网络与最近的连结点串接。现在微软此服务的生态系伙伴分别有Citrix及Riverbed，该公司表示，未来还有更多提供SDWAN、VPN服务的厂商要加入，下一波名单是Checkpoint、Nuage、Palo Alto Networks等。

而另外一个新预览服务Azure防火墙，以Azure虚拟网络资源为基础，提供状态防火墙（Stateful native firewall）的防护功能，同时也内建高可用性、自动扩充服务。利用该服务，使用者可以利用连线管理政策，过滤应用程序及网络流量。

而Azure防火墙的公开预览版功能，先瞄准了网络流量过滤、监控功能。第一个新功能是完整网域名称（Fully Qualified Domain Name，FQDN）过滤功能，利用企业用户的FQDN名单，限制外部网络的HTTP、HTTPS流量进入企业内部。再者是过滤规则设定功能，在该选单中，网络管理员可以利用目的地位址、Port及协定，作为过滤条件。同时，Azure防火墙也与Azure监控功能整合，系统会记录允许进入、被阻挡进入流量事件，整合成Log纪录后，使用者可以与Azure储存账户串接，封存这些资料，做为日后分析使用。

此外，该防火墙服务也与Azure其他的云端服务进行串接。第一个是网络安全性群组（Network Security Group，NSG），此功能可在虚拟网络环境过滤网络流量，而微软认为，联合NSG搭配Azure防火墙，可让虚拟网络环境变得更加安全。再者，Azure防火墙也与该公云的DDoS防御服务整合，当企业遭受DDoS攻击时，可利用Azure提供的网络作为缓冲，避免影响企业服务的可用性。

企业可以选择离分点最近的Azure公开区域，建立Virtual WAN及Virtual Hub。未来该办公室与其他分支或Azure虚拟网络连接时，就能透过Virtual Hub作为中继点。图片来源：微软

微软举例，在Virtual WAN使用选单中，根据企业分支据点所在地，系统会自行显示最接近该地的连接入口，藉以提升企业网络使用品质的体验。图片来源：微软

Azure防火墙也是一个新服务亮点，以Azure虚拟网络资源为基础，提供状态防火墙（Stateful native firewall）的防护功能，同时也内建高可用性、自动扩充服务。利用该服务，使用者可以利用连线管理政策，过滤应用程序及网络流量。图片来源：微软

 在Azure防火墙的过滤规则设定功的选单中，网络管理员可以利用目的地位址、Port及协定，作为过滤条件。图片来源：微软

Azure防火墙也与Azure监控功能整合，系统会记录允许进入、被阻挡进入流量事件，整合成Log纪录后，使用者可以与Azure储存账户串接，封存这些资料，做为日后分析使用。图片来源：微软