Azure防火墙提供基于威胁情报的过滤功能，能够主动封锁恶意IP与网域

微软为Azure防火墙，新增两个主要功能，其一是基于威胁情报的过滤策略，主动阻挡微软已知的恶意IP与网域，另外一个为服务标签过滤功能，为Azure服务提供一系列IP位置前缀，方便使用者用来制定网络规则。

Azure防火墙是云端原生的防火墙即服务，能依照网络流量自动扩展，并让使用者以DevOps的方法，集中管理所有网络流量，该服务支援了GitHub等应用程序以及网络层级过滤规则。而这次的更新，微软再次加强Azure防火墙的过滤能力，利用内部的威胁情报资料，以及第三方来源的讯号，创建了一个包含已知恶意IP地址以及域名的高可信度列表，Azure防火墙可以用接近即时的速度，警告并封锁已知的恶意IP与网域。

这些IP位置和网域来自微软威胁情报来源（Microsoft Threat Intelligence Feed），而威胁情报则是由微软智慧资安图表（Microsoft Intelligent Security Graph）支援，微软智慧资安图表同时还为多个微软产品以及服务提供安全保护，包括Azure安全中心（Security Center）还有Azure Sentinel服务。

除了基于威胁情报的过滤，Azure防火墙还增加了服务标签过滤功能，服务标签代表了特定的微软服务，像是Azure的SQL服务、Azure Key Vault以及Azure Service Bus等群组的IP位置前缀。为了要简化使用者创建网络规则的工作，微软提供一系列的Azure服务标签，并在服务位置变更时，自动更新服务标签。Azure防火墙服务标签可以在网络规则的目的地字段使用。

Azure防火墙与Azure Monitor完全整合，防火墙日志会被送往Log Analytics、Storage以及 Event Hubs，Log Analytics能够视觉化这些日志资料，并以丰富的仪表板呈现，除了自定义资料查询外，与Azure Monitor服务整合，还提供大量的选项，客制化使用资料的方法，另外，使用者也可以将资料从Azure Monitor发送至其他SIEM系统，诸如Splunk、ArcSight和其他类似的第三方产品。

第三方资安政策管理工具也能使用Azure防火墙公共REST API，为网络安全性群组（Network Security Groups）以及网络虚拟设备（NVAs），提供集中式Azure防火墙管理体验。