ファイアウォール ポリシーは、Azure Firewall のセキュリティと運用の設定を含むトップレベルのリソースです。 これにより、Azure Firewall がトラフィックのフィルター処理に使用するルール セットを管理できます。 ファイアウォール ポリシーは、階層に基づいてルール セットを整理、優先順位付け、および処理します。ルール コレクション グループ、ルール コレクション、およびルールのコンポーネントが含まれます。
ルール集合グループ
ルール コレクション グループを使用して、ルール コレクションをグループ化します。 これはファイアウォールによって処理される最初のユニットであり、値に基づく優先順位に従います。 既定の規則コレクション グループが 3 つ存在し、優先度の値があらかじめ設定されています。 ファイアウォールでは、次の順序で処理されます。
| ルール コレクション グループ | 優先度 |
|---|---|
| 既定の DNAT (宛先ネットワーク アドレス変換) ルール コレクション グループ | 100 |
| 既定のネットワーク ルール コレクション グループ | 200 |
| 既定のアプリケーション ルール コレクション グループ | 300 |
既定のルール コレクション グループを削除したり、優先度の値を変更したりすることはできませんが、目的の優先度値を使用してカスタム ルール コレクション グループを作成することで、処理順序を変更できます。 この場合は、既定の規則コレクション グループを使用しないでください。 代わりに、カスタムロジックのみを使用して処理ロジックを定義します。
ルール コレクション グループには、1 つ以上のルール コレクションが含まれています。このコレクションの種類には、DNAT、ネットワーク、またはアプリケーションを指定できます。 たとえば、同じワークロードに属するルールや、ルール コレクション グループ内の仮想ネットワークをグループ化できます。
規則コレクション グループのサイズの制限については、「Azure サブスクリプションとサービスの制限、クォータ、制約」をご覧ください。
規則集合
ルール コレクションはルール コレクション グループに属し、1 つ以上のルールを含みます。 これはファイアウォールによって処理される 2 番目のユニットであり、値に基づく優先順位に従います。 各ルール コレクションには、定義済みのアクション (許可または拒否) と優先度値が必要です。 このアクションはコレクション内のすべてのルールに適用され、優先度の値によってルール コレクションの処理順序が決まります。
次の 3 つの種類のルール コレクションがあります。
- DNAT
- ネットワーク
- アプリケーション
規則の種類は、親ルール コレクション カテゴリと一致する必要があります。 たとえば、DNAT ルールは DNAT ルール コレクションにのみ含めることができます。
ルール
ルールはルール コレクションに属し、ネットワークで許可または拒否されるトラフィックを指定します。 これはファイアウォールによって処理される 3 番目のユニットであり、値に基づく優先順位に従いません。 ファイアウォールはトップダウンアプローチでルールを処理し、定義されたルールに対するすべてのトラフィックを評価して、許可条件と拒否条件が一致するかどうかを判断します。 トラフィックを許可するルールがない場合、既定では拒否されます。
組み込みの インフラストラクチャ 規則コレクション は、アプリケーション ルールのトラフィックを既定で拒否する前に処理します。
インバウンドとアウトバウンド
受信ファイアウォール規則は、ネットワークの外部 (インターネットから送信されたトラフィック) が内側に侵入しようとする脅威からネットワークを保護します。
送信ファイアウォール規則は、内部から送信された悪意のあるトラフィック (Azure 内のプライベート IP アドレスから送信されたトラフィック) と外部への移動から保護します。 通常、この保護には、宛先に到達する前に、ファイアウォールを介してリダイレクトされる Azure リソース内からのトラフィックが含まれます。
ルールの種類
規則には次の 3 種類があります。
- DNAT
- ネットワーク
- アプリケーション
DNAT ルール
DNAT ルールは、1 つ以上のファイアウォールパブリック IP アドレスを介して受信トラフィックを管理します。 DNAT ルールを使用して、パブリック IP アドレスをプライベート IP アドレスに変換します。 Azure Firewall パブリック IP アドレスは、インターネットからの受信トラフィックをリッスンし、フィルター処理して、内部 Azure リソースに変換できます。
ネットワーク ルール
ネットワーク ルールは、ネットワーク 層 (L3) とトランスポート層 (L4) に基づいて、受信、送信、および東西のトラフィックを制御します。 ネットワーク ルールを使用して、IP アドレス、ポート、プロトコルに基づいてトラフィックをフィルター処理します。
アプリケーション ルール
アプリケーション ルールは、アプリケーション レイヤー (L7) に基づいて送信トラフィックと東西トラフィックを管理します。 アプリケーション ルールを使用して、完全修飾ドメイン名 (FQDN)、URL、HTTP/HTTPS プロトコルに基づいてトラフィックをフィルター処理します。
次のステップ
- Azure Firewall で規則を処理する方法の詳細については、 Azure Firewall 規則の構成に関するページを参照してください。