这篇文章是由Yair Tor共同撰写的，他是azurenetworking的主要项目经理。去年11月，我们在安全的虚拟集线器中推出了针对Azure防火墙策略和路由管理的Microsoft Azure Firewall Manager预览版。这还包括与关键安全服务合作伙伴Zscaler、iboss和soon Check Point的集成。这些合作伙伴支持分支到internet和虚拟网络到internet场景。今天，我们正在扩展Azure Firewall Manager预览版，以便在hub虚拟网络中包括Azure防火墙的自动部署和中央安全策略管理。Azure防火墙管理器预览版是一种网络安全管理服务，为基于云的安全边界提供中央安全策略和路由管理。它使企业It团队可以很容易地集中定义网络和应用程序级别的规则，以便跨多个Azure防火墙实例进行流量筛选，这些实例跨越不同的Azure区域，并在hub-and-spoke架构中订阅流量管理和保护。此外，它还为DevOps提供了更好的灵活性，使其具有派生的跨组织实现的本地防火墙安全策略。有关更多信息，请参阅Azure防火墙管理器文档。图1–Azure防火墙管理器入门页面 集线器虚拟网络和安全虚拟集线器Azure防火墙管理器可以为两种网络体系结构类型提供安全管理：安全虚拟集线器Azure虚拟广域网集线器是一种Microsoft托管资源，允许您轻松创建集线器和分支架构。当安全和路由策略与此类集线器关联时，它被称为安全虚拟集线器。集线器虚拟网络这是您自己创建和管理的标准Azure虚拟网络。当安全策略与此类集线器关联时，它被称为集线器虚拟网络。此时，仅支持Azure防火墙策略。您可以使用包含工作负载服务器和服务的对等辐射虚拟网络。也可以在独立的虚拟网络中管理防火墙，这些虚拟网络不与任何分支对等。是使用集线器虚拟网络还是安全虚拟网络取决于您的方案：如果您的网络体系结构仅基于虚拟网络，每个区域需要多个集线器，或者根本不使用集线器和分支，那么集线器虚拟网络集线器虚拟网络可能是正确的选择。安全虚拟集线器安全虚拟集线器如果您需要跨许多全球分布的安全集线器管理路由和安全策略，则安全虚拟集线器可能会更好地满足您的需要。安全虚拟集线器具有大规模VPN连接、SDWAN支持和第三方安全即服务集成。您可以使用Azure为本地和云资源保护您的Internet边缘。图2中的对比表有助于做出明智的决定：  集线器虚拟网络安全虚拟集线器潜在资源虚拟网络虚拟广域网集线器轮毂辐条使用虚拟网络对等使用集线器虚拟网络连接实现自动化论prem连通性高达10 Gbps和30个S2S连接的VPN网关；ExpressRoute更具可扩展性的VPN网关，高达20 Gbps和1000个S2S连接；ExpressRoute使用SDWAN的自动化分支连接不支持支持每个地区的枢纽每个区域有多个虚拟网络每个区域有一个虚拟集线器。多个虚拟WAN可能有多个集线器Azure防火墙–多个公共IP地址客户提供自动生成（一般可用）Azure防火墙可用性区域支持在预览版中不可用（按一般可用性提供）高级互联网安全与第三方安全作为服务合作伙伴客户建立并管理与合作伙伴服务的VPN连接通过可信的安全合作伙伴流程和合作伙伴管理经验实现自动化集中的路线管理，以吸引交通流到枢纽客户管理的UDR；路线图：用于辐条的UDR默认路由自动化支持使用BGP应用网关上的Web应用防火墙虚拟网络支持路线图：可用于轮辐网络虚拟设备虚拟网络支持路线图：可用于轮辐图2–集线器虚拟网络与安全虚拟集线器防火墙策略防火墙策略是包含网络地址转换（NAT）、网络和应用程序规则集合以及威胁智能设置的Azure资源。它是一种全局资源，可在安全虚拟集线器和集线器虚拟网络中的多个Azure防火墙实例之间使用。新策略可以从头创建，也可以从现有策略继承。继承允许DevOps在组织授权的基本策略之上创建本地防火墙策略。策略跨区域和订阅有效。Azure防火墙管理器协调防火墙策略的创建和关联。但是，也可以通过restapi、模板、azurepowershell和CLI来创建和管理策略。一旦创建了策略，它就可以与虚拟WAN集线器（又名安全虚拟集线器）中的防火墙或虚拟网络（又名集线器虚拟网络）中的防火墙相关联。防火墙策略根据防火墙关联计费。与零或一个防火墙关联的策略是免费的。具有多个防火墙关联的策略按固定费率计费。有关详细信息，请参阅Azure防火墙管理器定价。下表将新防火墙策略与现有防火墙规则进行了比较： 政策规则包含NAT、网络、应用程序规则和威胁情报设置NAT、网络和应用程序规则保护虚拟集线器和虚拟网络仅虚拟网络门户网站体验使用防火墙管理器进行集中管理独立防火墙体验多防火墙支持防火墙策略是可以跨防火墙使用的独立资源手动导出和导入规则或使用第三方管理解决方案定价根据防火墙关联计费。参见定价免费支持的部署机制门户、restapi、模板、PowerShell和CLI门户、restapi、模板、PowerShell和CLI释放状态预览一般可用性图三-防火墙策略与防火墙规则下一步行动有关此处所涵盖主题的更多信息，请参阅以下博客、文档和视频：Azure防火墙管理器文档Azure防火墙管理器定价Azure防火墙中央管理合作伙伴：AlgoSec云流梭鱼云安全卫士，现在在Azure市场上普遍可用Tufin SecureCloud公司