Azure防火墙管理器现在可以正常使用，包括Azure防火墙策略、虚拟WAN集线器中的Azure防火墙（安全虚拟集线器）和集线器虚拟网络。此外，我们还为防火墙管理器和防火墙策略引入了一些新功能，以与独立的Azure防火墙配置功能保持一致。此版本的主要功能包括：防火墙策略中基于威胁情报的过滤允许列表现在已普遍可用。安全虚拟集线器中对Azure防火墙的多个公共IP地址支持现在已普遍可用。对集线器虚拟网络的强制隧道支持现在已经普遍可用。使用Azure防火墙为东西方流量（专用）和第三方安全即服务（SECaaS）合作伙伴配置安全虚拟集线器，以满足南北通信（互联网连接）的需要。第三方SECaaS合作伙伴的集成现在普遍适用于所有Azure公共云区域。Zscaler集成将于2020年7月3日正式提供。Check Point是受支持的SECaaS合作伙伴，将于2020年7月3日进行预览。iboss集成将于2020年7月31日正式提供。在使用防火墙策略的网络规则中支持域名系统（DNS）代理、自定义DNS和完全限定域名（FQDN）筛选现在处于预览状态。 防火墙策略现在已普遍可用防火墙策略是一种Azure资源，包含网络地址转换（NAT）、网络和应用程序规则集合，以及威胁智能和DNS设置。它是一种全局资源，可在安全虚拟集线器和集线器虚拟网络中的多个Azure防火墙实例之间使用。防火墙策略跨区域和订阅工作。您不需要防火墙管理器来创建防火墙策略。有许多方法可以创建和管理防火墙策略，包括使用restapi、PowerShell或命令行界面（CLI）。创建防火墙策略后，可以使用防火墙管理器或REST API、PowerShell或CLI将该策略与一个或多个防火墙关联。有关规则和策略的更详细比较，请参阅策略概述文档。将独立防火墙规则迁移到防火墙策略您还可以通过从现有的Azure防火墙迁移规则来创建防火墙策略。您可以使用脚本将防火墙规则迁移到防火墙策略，也可以在Azure门户中使用防火墙管理器。正在从现有的Azure防火墙导入规则。防火墙策略定价如果只创建防火墙策略资源，则不会产生任何费用。此外，如果防火墙策略仅与单个Azure防火墙关联，则不会计费。您可以创建的策略数量没有限制。防火墙策略定价根据每个区域的防火墙策略确定。在一个区域内，管理5个防火墙或50个防火墙的防火墙策略的价格是相同的。以下示例使用四个防火墙策略管理10个不同的Azure防火墙：策略1:CAC2020区域1策略与跨四个区域的六个防火墙关联。计费是按区域进行的，而不是按防火墙。策略2:cac2020region2策略与跨三个区域的三个防火墙关联，并为三个区域计费，而不管每个区域的防火墙数量。策略3:CAC202Region3策略未计费，因为该策略未与多个防火墙关联。策略4:cacbasepolicy—由所有三个策略继承的中心策略。这项政策针对五个地区。再次，与按防火墙计费方法相比，定价更低。防火墙策略计费示例。配置威胁智能允许列表、DNS代理和自定义DNS通过此更新，防火墙策略支持其他配置，包括自定义DNS和DNS代理设置（预览）和威胁智能允许列表。SNAT专用IP地址范围配置尚不受支持，但已在我们的路线图中。虽然防火墙策略通常可以跨多个防火墙共享，但NAT规则是特定于防火墙的，不能共享。您仍然可以创建父策略，而不需要在多个防火墙上共享NAT规则，也可以在特定防火墙上创建本地派生策略来添加所需的NAT规则。了解有关防火墙策略的更多信息。防火墙策略现在支持IP组IP组是中新的顶级Azure资源，允许您在Azure防火墙规则中对IP地址进行分组和管理。对IP组的支持在我们最近的Azure防火墙博客中有更详细的介绍。使用Azure防火墙和第三方SECaaS合作伙伴配置安全虚拟集线器现在，您可以使用Azure防火墙配置虚拟集线器以进行专用流量（虚拟网络到虚拟网络/分支到虚拟网络）筛选，并为internet（虚拟网络到internet/分支到internet）流量筛选配置您选择的安全合作伙伴。防火墙管理器中的安全合作伙伴提供商允许您使用您熟悉的、同类最佳的第三方SECaaS产品来保护用户的互联网访问。通过快速配置，您可以使用受支持的安全合作伙伴保护集线器，并从虚拟网络（VNets）或区域内的分支位置路由和过滤internet流量。这是通过使用自动路由管理来完成的，而不需要设置和管理用户定义的路由（udr）。您可以使用防火墙管理器的"新建安全虚拟集线器"工作流创建安全虚拟集线器。下面的屏幕截图显示了配置了两个安全提供程序的新的安全虚拟集线器。创建新的安全虚拟集线器配置了两个安全提供程序。确保连接安全创建安全集线器后，需要更新集线器安全配置，并显式配置希望集线器中的internet和私有通信的路由方式。对于私有流量，如果它在RFC1918范围内，则不需要指定前缀。如果您的组织在虚拟网络和分支中使用公共IP地址，则需要显式地添加这些IP前缀。为了简化这种体验，现在可以指定聚合前缀，而不是指定单独的子网。此外，对于通过第三方安全提供商提供的internet安全，您需要使用合作伙伴门户完成配置。有关详细信息，请参阅安全合作伙伴提供程序页面。选择第三方SECaaS进行互联网流量过滤。安全的虚拟集线器定价安全虚拟集线器是由防火墙管理器配置的具有关联安全和路由策略的Azure虚拟WAN集线器。安全虚拟集线器的定价取决于配置的安全提供程序。有关其他详细信息，请参阅防火墙管理器定价页面。下一步行动有关这些公告的详细信息，请参阅以下资源：防火墙管理器文档。Azure防火墙管理器现在支持虚拟网络博客。2020年第2季度博客中的新Azure防火墙功能。