完全修飾ドメイン名 (FQDN) は、インターネット上のホスト ( www.microsoft.comなど) の完全なドメイン名です。 Azure Firewall およびファイアウォール ポリシーでは、検査対象のトラフィックの種類と方向に応じて、FQDN を使用して DNAT、ネットワーク、およびアプリケーションルールのトラフィックをフィルター処理できます。
動作方法
Azure Firewall は、ルールの種類に応じて FQDN ベースのフィルター処理を処理します。
- アプリケーション ルール では、FQDN を使用して HTTP/S トラフィックと MSSQL トラフィックをフィルター処理します。 同じ IP アドレスに解決される FQDN を区別するために、アプリケーション レベルの透過的プロキシとサーバー名表示 (SNI) ヘッダーに依存します。 つまり、FQDN は、解決された IP アドレスに基づいてではなく、クライアントによって要求された元のドメインに対して照合およびフィルター処理されます。
- ネットワーク規則と DNAT 規則 は、Azure DNS またはカスタム DNS サーバーを使用して、FQDN の解決された IP アドレスに基づいてトラフィックをフィルター処理します。 Azure Firewall は、FQDN に関連付けられている IP アドレスの一覧を動的に維持および更新し、基になる IP アドレスが変更された場合でもトラフィックが正しくルーティングされるようにします。
DNS 解決を使用する場合、Azure Firewall により次のことが行われます。
- FQDN を対応する IP アドレスに解決します。
- 解決された IP アドレスを使用して、適切な規則の種類 (DNAT またはネットワーク) を適用します。
- FQDN-to-IP マッピングを 15 秒ごとに更新します。
- 15 分後に解決または使用されなくなった IP アドレスを削除します。
DNAT ルールでの FQDN フィルター処理とネットワーク 規則、およびアプリケーション 規則の違い
DNAT ルール
DNAT (宛先ネットワーク アドレス変換) 規則は、受信トラフィックをバックエンド サーバーにルーティングするために使用されます。 これらの規則を使用すると、変換のターゲットとして IP アドレスまたは FQDN を指定できます。 DNAT ルールで FQDN を使用すると、バックエンド サーバーの完全修飾ドメイン名を指定できます。これは、バックエンド サーバーの IP アドレスが頻繁に変更される可能性がある動的環境で特に便利です。
主な特性:
- バックエンド サーバーへの受信トラフィック ルーティングを有効にします。
- 動的環境の FQDN ベースのターゲット設定をサポートします。
- 柔軟なバックエンド サーバー構成を必要とするシナリオに役立ちます。
ネットワーク ルール
ネットワーク ルールは、ネットワーク タイム プロトコル (NTP)、Secure Shell (SSH)、リモート デスクトップ プロトコル (RDP) など、TCP または UDP プロトコルに基づいてトラフィックをフィルター処理するために使用されます。 アプリケーション ルールとは異なり、ネットワーク ルールはアプリケーション レベルのプロキシまたは SNI ヘッダーに依存しません。
注
FQDN フィルター処理を使用したネットワーク 規則では、ワイルドカード文字の使用はサポートされていません。 この制限は意図的に設計されています。
主な特性:
- すべての TCP および UDP プロトコルに適用されます。
- HTTP/S または MSSQL 以外のトラフィックに最適です。
- プロトコル固有の検査を行わずにネットワーク層で動作します。
アプリケーション ルール
アプリケーション ルールは、HTTP/S および MSSQL トラフィックをフィルター処理するために設計されています。 同じ IP アドレスに解決される FQDN を区別するために、アプリケーション レベルの透過的プロキシとサーバー名表示 (SNI) ヘッダーに依存します。 これらのルールは、Web サービスまたはデータベースへのアクセスを制御する必要があるシナリオに最適です。
主な特性:
- HTTP/S および MSSQL プロトコルに最適です。
- Azure Backup や HDInsight などの Azure サービスには FQDN タグを使用します。
- サポートされているプロトコルに対して、より精密な粒度を提供します。
これらの規則の種類の違いを理解することで、組織のセキュリティとトラフィック管理のニーズを満たすように Azure Firewall を効果的に構成できます。
次のステップ
- Azure Firewall ポリシー規則セットの構造化された Azure Firewall ポリシー規則セットについて説明します。