![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(92.8, 94%, 18%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EAK%3C/text%3E%3C/svg%3E)
Azure Firewall
Azure Virtual Network リソースを保護するために使用される Azure ネットワーク セキュリティ サービス。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(249.60000000000002, 21%, 34%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EMD%3C/text%3E%3C/svg%3E)
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(83.2, 52%, 18%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EVS%3C/text%3E%3C/svg%3E)
こんにちは asakawa koki,
Microsoft Q&Aフォーラムに質問を投稿していただきありがとうございます
このコンテンツは英語から日本語に翻訳されています。文法的な誤りがある場合はご容赦ください。
1.本来Windows Update等の通信設定はAzure Firewallにてサービスタグを設定し、Azure Firewallで名前解決を実施すると思いますが、オンプレのプロキシサーバーから名前解決を行う場合はAzure Firewallの許可設定はWindowsUpdate用のアドレスを洗い出し許可する形になるか?
Azure Firewall アプリケーション ルールは、更新プログラムなどのサービスに「WindowsUpdate」などの FQDN タグを使用し、DNS 設定(既定の Azure DNS またはカスタム DNS)に基づいて独立して名前解決を行います。オンプレミスのプロキシを使用して VM の名前解決を行うと、ファイアウォールが固定 IP やプロキシの結果ではなく独自の解決に基づいてルールを適用するため、不整合が発生し、動的なエンドポイントがブロックされることがよくあります。
- Azure Firewall DNS プロキシを有効にして、VM の DNS クエリ(ポート 53)をインターセプトします。
- VNet DNS をファイアウォールのプライベート IP に設定し、統一された解決を実現します。
- ファイアウォールのカスタム DNS サーバーを構成して、ExpressRoute 経由でオンプレミスのプロキシ IP に転送します。
VM がファイアウォールにクエリを送信 → ファイアウォールがプロキシにクエリを送信 → 同一の解決により、ルールがトラフィックをシームレスに許可されます。.
2.Azure Backup、log Analyticsworkspaceへのログ送信の為の名前解決はAzure Firewallが行うような、宛先によって名前解決を実施するプロキシを選択することは可能か
いいえ、Azure Firewall の DNS 設定(プロキシサーバーとカスタムサーバーを含む)はグローバルに適用されます。バックアップ/Log Analytics の送信先としてのみオンプレミスのプロキシを選択することはできません。Private Link エンドポイントは、これらの FQDN(privatelink.backup.windowsazure.com、privatelink.monitor.azure.com)を、VNet にリンクされた Azure プライベート DNS ゾーン経由でプライベート IP に解決し、ファイアウォールとプロキシを完全にバイパスします。
クイックセットアップ:
- VNet にバックアップ コンテナーと Log Analytics ワークスペース用のプライベートエンドポイントをデプロイします。
- 必要なプライベート DNS ゾーンをリンクします(プライベート IP に A レコードが自動設定されます)。
- VM はログを直接エンドポイントに送信します。ルールやプロキシ DNS は不要です。
Microsoft の公式ドキュメント:
- Azure Firewall の DNS 設定 | Microsoft Learn
- Azure Firewall の FQDN タグの概要 | Microsoft Learn
- Azure Backup のプライベート エンドポイントの作成と使用 - Azure Backup | Microsoft Learn
- Use Azure Firewall as a DNS Proxy in a Hub & Spoke topology - Code Samples | Microsoft Learn
アップデート:
2.仮に既定のDNSサーバを指定した場合、その名前解決はAzureの内部DNSに聞きに行くため、インターネットにでないセキュアな解決が可能。 3.Azure 環境のトラフィックログはAzure Firewall経由にしたいとしても、Private link経由の通信はVM→Azure Backup および Log Analyticsにせざるおえないのでしょうか。 Azure Firewall経由にすることでトラフィックのログを全てLogAnalytics workspaceに保存したいと考えています。
2. 既定の Azure DNS(168.63.129.16)を使用する場合、名前解決は Azure 内部で安全に実行されます。これらの DNS クエリはインターネットへ送信されず、Microsoft のネットワーク内で処理されます。(Azure Virtual Network 名前解決ガイド | Microsoft Learn)
3. すべての通信をログとして記録したい場合は、通信を Azure Firewall 経由 にする必要があります。Firewall を経由する通信は、診断設定を介して Log Analytics ワークスペース にログが送信されます。 ただし、Private Link(Azure Backup や Log Analytics ワークスペースとの通信など)を利用するトラフィックは Azure Firewall を経由せず、Microsoft のプライベート ネットワーク内で完結します。これらのサービスは、Azure Monitor の診断ログ を利用して個別に監視することが可能です。
上記の内容がお役に立ったか、あるいはこの問題に関してさらにサポートが必要かどうか、お知らせください。
提供された情報が役に立った場合は必ず「承認」して「賛成投票」してください。これは他のコミュニティ メンバーにとっても有益です。