全般
Azure Firewall とは
Azure Firewall は、Azure Virtual Network リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。 完全にステートフルなサービスとしてのファイアウォールで、組み込みの高可用性とクラウドによる無制限のスケーラビリティを備えています。 サブスクリプションと仮想ネットワークをまたいでアプリケーションとネットワークの接続ポリシーを一元的に作成、適用、記録できます。
Azure Firewall はどのような機能をサポートしていますか?
Azure Firewall の機能の詳細な一覧については、 Azure Firewall の機能に関するページを参照してください。
Azure Firewall の一般的なデプロイ モデルを教えてください
Azure Firewall は、任意の仮想ネットワークにデプロイできます。 ただし、通常はハブ アンド スポーク モデルの中央の仮想ネットワークにデプロイされ、他の仮想ネットワークがピアリングされます。 ピアリングされた仮想ネットワークからの既定のルートは、この中央のファイアウォール仮想ネットワークを指すよう設定されます。 グローバル仮想ネットワーク ピアリングはサポートされていますが、リージョン間でパフォーマンスと待機時間の問題が発生する可能性があるため、推奨されません。 最適なパフォーマンスを得られるように、リージョンごとに 1 つのファイアウォールをデプロイします。
このモデルでは、異なるサブスクリプション間で複数のスポーク VNet を一元的に制御でき、各仮想ネットワークにファイアウォールをデプロイする必要がないようにすることでコストを削減できます。 コスト削減は、トラフィック パターンに基づいて関連するピアリング コストに対して評価する必要があります。
Azure Firewall をデプロイするにはどうすればよいですか?
Azure Firewall は、Azure portal、PowerShell、REST API、またはテンプレートを使用してデプロイできます。 詳細な手順については、「 チュートリアル: Azure portal を使用して Azure Firewall をデプロイして構成する」を参照してください。
Azure Firewall の主要な概念は何ですか?
Azure Firewall では、ルールとルール コレクションが使用されます。 ルール コレクションは、順序と優先度が同じルールのセットです。 ルール コレクションは優先順位で実行されます。 DNAT ルール コレクションは、ネットワーク ルール コレクションよりも優先度が高く、アプリケーション ルール コレクションよりも優先順位が高くなります。 すべてのルールが終了しています。
次の 3 つの種類のルール コレクションがあります。
- アプリケーション ルール: 仮想ネットワークからアクセスできる完全修飾ドメイン名 (FQDN) を構成します。
- ネットワーク ルール: 送信元アドレス、プロトコル、宛先ポート、および宛先アドレスを使用して規則を構成します。
- "NAT 規則": 受信インターネットまたはイントラネット (プレビュー) 接続を許可するように DNAT 規則を構成します。
詳しくは、「Azure Firewall 規則を構成する」をご覧ください。
Azure Firewall では、どのログ記録および分析サービスがサポートされていますか?
Azure Firewall は、ログを表示および分析するために Azure Monitor と統合されます。 Log Analytics、Azure Storage、または Event Hubs にログを送信し、Log Analytics、Excel、Power BI などのツールを使用して分析できます。 詳細については、Azure Firewall のログを監視する方法に関するチュートリアルを参照してください。
Azure Firewall とマーケットプレースの NVA の違い
Azure Firewall は、仮想ネットワーク リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。 完全にステートフルなサービスとしてのファイアウォールで、組み込みの高可用性とクラウドによる無制限のスケーラビリティを備えています。 これは、仮想ネットワークとブランチ インターネット接続のセキュリティを強化するために、サードパーティのサービスとしてのセキュリティ (SECaaS) プロバイダーと事前に統合されています。 詳細については、Azure ネットワークのセキュリティに関するドキュメントを参照してください。
Application Gateway WAF と Azure Firewall の違いは何ですか?
Application Gateway WAF は、一般的な悪用や脆弱性に対する Web アプリケーションの一元的な受信保護を提供します。 Azure Firewall は、非 HTTP/S プロトコル (例: RDP、SSH、FTP など) の受信保護、すべてのポートとプロトコルに対する送信ネットワークレベルの保護、送信 HTTP/S に対するアプリケーションレベルの保護を提供します。
ネットワーク セキュリティ グループ (NSG) と Azure Firewall の違いは何ですか?
Azure Firewall は NSG を補完して、より優れた "多層防御" ネットワーク セキュリティを提供します。 NSG では、分散ネットワーク層のトラフィック フィルタリングが提供され、各サブスクリプションの仮想ネットワーク内のトラフィックが制限されます。 Azure Firewall では、サブスクリプションと仮想ネットワーク全体で、一元化された完全ステートフル ネットワークとアプリケーション レベルの保護が提供されます。
AzureFirewallSubnet でネットワーク セキュリティ グループ (NSG) はサポートされていますか?
Azure Firewall は、NIC レベルの NSG を使用したプラットフォーム保護 (表示不可) を含む、複数の保護レイヤーを持つマネージド サービスです。 サブネット レベルの NSG は AzureFirewallSubnet では必要ありません。また、サービスの中断を防ぐために無効になっています。
プライベート エンドポイントを使用する Azure Firewall の付加価値は何ですか?
プライベート エンドポイントは Private Link のコンポーネントであり、パブリック IP アドレスではなくプライベート IP アドレスを使用して Azure PaaS サービスと対話できるテクノロジです。 Azure Firewall を使用すると、パブリック IP アドレスへのアクセスを防ぐことができます。そのため、Private Link を利用していない Azure サービスへのデータ流出を回避したり、組織内のユーザーが Azure PaaS サービスにアクセスする必要があるユーザーを定義することでゼロトラスト ポリシーを実装したりできます。Private Link per default では企業ネットワーク全体のネットワーク アクセスが開かれるためです。
Azure Firewall を使用してプライベート エンドポイントへのトラフィックを検査するための適切な設計は、ネットワーク アーキテクチャによって異なります。詳細については、 プライベート エンドポイント宛てのトラフィックを検査する Azure Firewall のシナリオに関する記事を参照してください。
仮想ネットワーク サービス エンドポイントを使用する Azure Firewall の付加価値は何ですか?
Virtual Network サービス エンドポイントは、Azure PaaS サービスへのネットワーク アクセスを制御するための Private Link の代替手段です。 クライアントが引き続きパブリック IP アドレスを使用して PaaS サービスにアクセスする場合でも、ソース サブネットが表示され、宛先 PaaS サービスでフィルター規則を実装し、サブネットごとにアクセスを制限できます。 両方のメカニズムの詳細な比較については、「 プライベート エンドポイントとサービス エンドポイントの比較」を参照してください。
Azure Firewall アプリケーションルールを使用すると、不正なサービスへのデータ流出が行われないようにし、サブネット レベルを超えて細分性を高めたアクセス ポリシーを実装できます。 通常、仮想ネットワーク サービス エンドポイントは、Azure サービスに接続するクライアントのサブネットで有効にする必要があります。 ただし、Azure Firewall を使用してサービス エンドポイントへのトラフィックを検査する場合は、代わりに Azure Firewall サブネットで対応するサービス エンドポイントを有効にし、実際のクライアント (通常はスポーク仮想ネットワーク) のサブネットで無効にする必要があります。 これにより、Azure Firewall のアプリケーション ルールを使用して、Azure ワークロードがアクセスできる Azure サービスを制御できます。
Azure Firewall の価格を教えてください
価格の詳細については、 Azure Firewall の価格に関するページを参照してください。
Azure Firewall の既知のサービス制限は何ですか?
サービスの制限については、 Azure サブスクリプションとサービスの制限、クォータ、制約に関するページを参照してください。
顧客データは Azure Firewall によってどこに格納されますか?
Azure Firewall は、顧客データをデプロイ先のリージョン外に移動したり格納したりすることはありません。
セキュリティ保護付き仮想ハブ (vWAN) の Azure Firewall はカタールでサポートされていますか?
いいえ。現在、カタールでは、セキュリティで保護された仮想ハブ (vWAN) 内の Azure Firewall はサポートされていません。
サポートされている機能と機能
Azure Firewall は受信トラフィック フィルター処理をサポートしていますか?
はい。Azure Firewall では、受信トラフィックと送信トラフィックのフィルター処理の両方がサポートされています。 通常、受信フィルター処理は、RDP、SSH、FTP などの HTTP 以外のプロトコルに使用されます。 受信 HTTP および HTTPS トラフィックの場合は、 Azure Web Application Firewall (WAF) などの Web アプリケーション ファイアウォールや、AzureFirewall Premium の TLS オフロード機能とディープ パケット検査機能の使用を検討してください。
Azure Firewall Basic は強制トンネリングをサポートしていますか?
はい。Azure Firewall Basic では、強制トンネリングがサポートされています。
トラフィックを許可するルールがない場合でも、TCP ping または同様のツールがターゲット FQDN に接続しているように見えるのはなぜですか?
TCP ping は、実際にはターゲット FQDN に接続しません。 Azure Firewall は、ルールによって明示的に許可されていない限り、ターゲット IP アドレスまたは FQDN への接続をブロックします。
TCP ping の場合、トラフィックを許可するルールがない場合、ファイアウォール自体はクライアントの TCP ping 要求に応答します。 この応答は、ターゲット IP アドレスまたは FQDN に到達せず、ログに記録されません。 ネットワーク ルールでターゲット IP アドレスまたは FQDN へのアクセスが明示的に許可されている場合、ping 要求はターゲット サーバーに到達し、その応答はクライアントに中継されます。 このイベントは、ネットワーク ルール ログに記録されます。
Azure Firewall は BGP ピアリングをサポートしていますか?
いいえ。Azure Firewall は BGP ピアリングをネイティブにサポートしていません。 ただし、 Autolearn SNAT ルート機能は 、Azure Route Server 経由で BGP を間接的に使用します。
管理と構成
Azure Firewall の停止と起動の方法を教えてください
Azure PowerShell を使用して、Azure Firewall の割り当てを解除して割り当てることができます。 プロセスは構成によって異なります。
管理 NIC のないファイアウォールの場合:
# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw
管理 NIC を使用するファイアウォールの場合:
# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw
セキュリティで保護された仮想ハブ内のファイアウォールの場合:
# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw
注意
ファイアウォールを停止して起動すると、課金が停止し、それに応じて開始されます。 ただし、プライベート IP アドレスは変更される可能性があり、ルート テーブルが構成されている場合は接続に影響する可能性があります。
デプロイ後に可用性ゾーンを構成するにはどうすればよいですか?
初期デプロイ時に可用性ゾーンを構成することをお勧めします。 ただし、次の場合は、デプロイ後にそれらを再構成できます。
- ファイアウォールは仮想ネットワークにデプロイされます (セキュリティで保護された仮想ハブではサポートされていません)。
- リージョンは可用性ゾーンをサポートしています。
- アタッチされているすべてのパブリック IP アドレスは、同じゾーンで構成されます。
可用性ゾーンを再構成するには:
- ファイアウォールの割り当てを解除します。
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $azfw.Deallocate() Set-AzFirewall -AzureFirewall $azfw - ゾーン構成を更新し、ファイアウォールを割り当てます。
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name" $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name" $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip" $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip" $azfw.Allocate($vnet, $pip, $mgmtPip) $azfw.Zones = 1, 2, 3 Set-AzFirewall -AzureFirewall $azfw
Azure ファイアウォール リソース グループの制限はありますか?
はい:
- Azure Firewall と仮想ネットワークは、同じリソース グループに存在する必要があります。
- パブリック IP アドレスは、別のリソース グループに含めることができます。
- すべてのリソース (Azure ファイアウォール、仮想ネットワーク、パブリック IP) は、同じサブスクリプション内にある必要があります。
プロビジョニング状態 **Failed** とはどういう意味ですか?
プロビジョニングの失敗状態は、1 つ以上のバックエンド インスタンスで構成の更新が失敗したことを示します。 Azure Firewall は引き続き動作しますが、構成に一貫性がない可能性があります。 プロビジョニングの状態が [成功] に変わるまで、更新を再試行します。
Azure Firewall は計画メンテナンスや予期しない障害にどのように対処しますか。
Azure Firewall では、複数のバックエンド ノードを含むアクティブ/アクティブ構成が使用されます。 計画メンテナンス中は、接続のドレインによって正常な更新が保証されます。 計画外の障害の場合、障害が発生したノードは新しいノードによって置き換えられ、通常は 10 秒以内に接続が復元されます。
ファイアウォール名に文字制限はありますか。
はい。ファイアウォール名は 50 文字に制限されています。
Azure Firewall に /26 サブネット サイズが必要なのはなぜですか。
/26 サブネットを使用すると、Azure Firewall によって追加の仮想マシン インスタンスがプロビジョニングされるため、スケーリングに十分な IP アドレスが確保されます。
サービスのスケールに応じてファイアウォール サブネットのサイズを変更する必要はありますか。
いいえ。すべてのスケーリング シナリオには、/26 サブネットで十分です。
ファイアウォールのスループットを増やすにはどうすればよいですか。
Azure Firewall は、CPU 使用率、スループット、接続数に基づいて自動的にスケーリングされます。 スループット容量の範囲は、最初は 2.5 ~ 3 Gbps から 30 Gbps (Standard SKU) または 100 Gbps (Premium SKU) です。
IP グループでサポートされる IP アドレスの数に制限はありますか。
はい。 詳細については、 Azure サブスクリプションとサービスの制限、クォータ、制約に関するページを参照してください。
別のリソース グループに IP グループを移動できますか。
いいえ。IP グループを別のリソースグループに移動することは現在サポートされていません。
Azure Firewall の TCP アイドル タイムアウトはどうなっていますか。
ネットワーク ファイアウォールの標準的な動作では、TCP 接続が確実に維持されるようにして、アクティビティがない場合はすぐに終了するようになっています。 Azure Firewall の TCP アイドル タイムアウトは 4 分です。 この設定はユーザーは構成できませんが、Azure サポートに問い合わせ、受信および送信接続のアイドル タイムアウトを最大 15 分に延長できます。 East-West トラフィックのアイドル タイムアウトは変更できません。
アイドル時間がタイムアウト値よりも長い場合、TCP や HTTP のセッションが維持される保証はありません。 一般的な方法として、TCP keep-alive を使用します。 この方法を使用すると、接続が長時間アクティブ状態に維持されます。 詳細については、.NET の例に関するページを参照してください。
パブリック IP アドレスを使用せずに Azure Firewall をデプロイできますか。
はい。ただし、強制トンネリング モードでファイアウォールを構成する必要があります。 この構成により、Azure Firewall の操作に使用するパブリック IP アドレスを持つ管理インターフェイスが作成されます。 このパブリック IP アドレスは、管理トラフィック用です。 これは Azure プラットフォームによってのみ使用され、他の目的には使用できません。 テナント データ パス ネットワークは、パブリック IP アドレスなしで構成でき、インターネット トラフィックは、別のファイアウォールに強制的にトンネリングするか、完全にブロックすることができます。
Azure Firewall とポリシーを自動的にバックアップする方法はありますか?
はい。 詳細については、Logic Apps を使用した Azure Firewall と Azure Firewall ポリシーのバックアップに関する記事を参照してください。
接続とルーティング
サービス エンドポイントに Azure Firewall を設定するにはどうすればよいですか?
PaaS サービスへのアクセスをセキュリティで保護するには、サービス エンドポイントをお勧めします。 Azure Firewall サブネット内のサービス エンドポイントを有効にし、接続されているスポーク仮想ネットワーク上ではそれらを無効にすることを選択できます。 このようにして、サービス エンドポイントのセキュリティとすべてのトラフィックの一元的ログ記録という、両方の機能の長所を活かすことができます。
Azure Firewall では、ハブ仮想ネットワークで複数のスポーク仮想ネットワーク間のネットワーク トラフィックを転送したりフィルター処理したりできますか?
はい。ハブ仮想ネットワークで Azure Firewall を使用して、複数のスポーク仮想ネットワーク間のトラフィックをルーティングしたりフィルター処理したりできます。 このシナリオが適切に機能するためには、各スポーク仮想ネットワークのサブネットの UDR が、既定のゲートウェイとして Azure Firewall をポイントしている必要があります。
Azure Firewall では、同じ仮想ネットワーク (またはピアリングされた仮想ネットワーク) のサブネット間のネットワーク トラフィックを転送したりフィルター処理したりできますか?
はい。 ただし、同じ仮想ネットワーク内のサブネット間でトラフィックをリダイレクトするように UDR を構成するには、さらに注意が必要です。 UDR のターゲット プレフィックスとして仮想ネットワーク アドレス範囲を使用するだけで十分ですが、これにより、1 つのマシンから同じサブネット内の別のマシンにすべてのトラフィックが Azure Firewall インスタンス経由でルーティングされます。 これを回避するには、仮想ネットワークの次ホップの種類を持つ UDR にサブネットのルートを含 めます。 これらのルートの管理は、手間がかかり、誤りが発生する可能性もあります。 内部ネットワークのセグメント化について推奨される方法は、UDR を必要としないネットワーク セキュリティ グループを使用する方法です。
Azure Firewall で、プライベート ネットワーク間のアウトバウンド SNAT は実行されますか?
宛先 IP アドレスがプライベート ネットワーク向けの IANA RFC 1918 または IANA RFC 6598 に従うプライベート IP 範囲である場合、Azure Firewall は SNAT を行いません。 組織でプライベート ネットワークに対してパブリック IP アドレス範囲を使用している場合、Azure Firewall は、SNAT を使用して、トラフィックのアドレスを AzureFirewallSubnet のいずれかのファイアウォール プライベート IP アドレスに変換します。 パブリック IP アドレス範囲の SNAT が行われないように、Azure Firewall を構成することができます。 詳細については、「Azure Firewall の SNAT プライベート IP アドレス範囲」を参照してください。
さらに、アプリケーション ルールによって処理されたトラフィックでは、常に SNAT が実行されます。 FQDN トラフィックのログに元の送信元 IP アドレスを表示する場合は、宛先 FQDN でネットワーク規則を使用できます。
サポートされているネットワーク仮想アプライアンスに、トンネリング/チェーンが強制されますか。
強制トンネリングは、新しいファイアウォールを作成するときにサポートされます。 既存のファイアウォールを強制トンネリング用に構成することはできません。 詳細については、「Azure Firewall 強制トンネリング」を参照してください。
Azure Firewall には、インターネットへの直接接続が必要です。 AzureFirewallSubnet が BGP 経由のオンプレミス ネットワークへの既定のルートを学習する場合は、インターネットへの直接接続を保持するために、NextHopType の値を Internet に設定した 0.0.0.0/0 UDR でこれを上書きする必要があります。
使用する構成でオンプレミスのネットワークへの強制的なトンネリングが必要であり、インターネット上のアクセス先のターゲット IP プレフィックスを決定できる場合は、AzureFirewallSubnet 上のユーザー定義のルートを介して、次のホップとしてオンプレミスのネットワークに対してこれらの範囲を構成することができます。 または、BGP を使用してこれらのルートを定義することもできます。
アプリケーション ルールのターゲット URL とターゲット FQDN では、ワイルドカードはどのようにして機能しますか。
- URL - アスタリスクは、右端または左端に配置すると機能します。 左側にある場合、FQDN の一部にすることはできません。
- FQDN - アスタリスクは、左端に配置すると機能します。
- GENERAL - 左端のアスタリスクは、文字通り左側の "何か" が一致することを意味します。つまり、複数のサブドメインや望ましくない可能性のあるドメイン名のバリエーションが一致します。以下の例を参照してください。
例 :
| Type | ルール | サポート対象 | 実際の例 |
|---|---|---|---|
| TargetURL | www.contoso.com |
はい | www.contoso.comwww.contoso.com/ |
| TargetURL | *.contoso.com |
はい | any.contoso.com/sub1.any.contoso.com |
| TargetURL | *contoso.com |
はい | example.anycontoso.comsub1.example.contoso.comcontoso.com警告: ワイルドカードを使用すると、 th3re4lcontoso.com のような潜在的に望ましくない、または危険なバリエーションが発生する可能性があります。注意して使用してください。 |
| TargetURL | www.contoso.com/test |
はい | www.contoso.com/testwww.contoso.com/test/www.contoso.com/test?with_query=1 |
| TargetURL | www.contoso.com/test/* |
はい | www.contoso.com/test/anything注: www.contoso.com/test は一致しません (最後のスラッシュ) |
| TargetURL | www.contoso.*/test/* |
いいえ | |
| TargetURL | www.contoso.com/test?example=1 |
いいえ | |
| TargetURL | www.contoso.* |
いいえ | |
| TargetURL | www.*contoso.com |
いいえ | |
| TargetURL | www.contoso.com:8080 |
いいえ | |
| TargetURL | *.contoso.* |
いいえ | |
| TargetFQDN | www.contoso.com |
はい | www.contoso.com |
| TargetFQDN | *.contoso.com |
はい | any.contoso.com注: contoso.com を具体的に許可する場合、ルールに contoso.com を含める必要があります。 そうしないと、要求はどのルールとも一致しないため、接続は既定で削除されます。 |
| TargetFQDN | *contoso.com |
はい | example.anycontoso.comcontoso.com |
| TargetFQDN | www.contoso.* |
いいえ | |
| TargetFQDN | *.contoso.* |
いいえ |
Azure Firewall では Active Directory へのアクセスが既定で許可されますか。
いいえ。 Azure Firewall では、Active Directory へのアクセスは既定でブロックされます。 アクセスを許可するには、AzureActiveDirectory サービス タグを構成します。 詳しくは、「Azure Firewall サービス タグ」をご覧ください。
Azure Firewall の脅威インテリジェンス ベースのフィルター処理から、FQDN または IP アドレスを除外できますか?
はい。Azure PowerShell を使用して、それを行うことができます。
# Add a Threat Intelligence allowlist to an Existing Azure Firewall.
# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
-FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)
# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)
Set-AzFirewall -AzureFirewall $fw
Azure Firewall の SNAT TCP/UDP ポート再利用の動作はどうなっていますか。
Azure Firewall では現在、送信 SNAT トラフィックに TCP/UDP ソース ポートを使用しており、アイドル待機時間はありません。 TCP/UDP 接続が閉じられると、使用された TCP ポートは、今後の接続ですぐに使用可能と見なされます。
特定のアーキテクチャの回避策として、Azure Firewall を使用した NAT Gateway を使用して、デプロイとスケーリングを行い、可変性と可用性のために SNAT ポートのより広いプールを提供できます。
Azure Firewall での NAT 動作はどのようなものですか。
特定の NAT については、その動作が、ファイアウォールの構成と、構成されている NAT の種類によって異なる場合があります。 たとえば、ファイアウォールに、受信トラフィック用の DNAT 規則と、ファイアウォールを経由する送信トラフィック用のネットワーク規則とアプリケーション規則がある場合があります。
詳細については、「Azure Firewall NAT の動作」を参照してください。
タイムアウトとスケーリング
接続のドレインはどのように機能しますか。
計画されたメンテナンスの場合、接続のドレイン ロジックにより、バックエンド ノードが適切に更新されます。 既存の接続が閉じられるまで、Azure Firewall は 90 秒間待機します。 最初の 45 秒間、バックエンド ノードは新しい接続を受け入れず、残りの時間はすべての着信パケットに RST で応答します。 必要に応じて、クライアントは別のバックエンド ノードへの接続を自動的に再確立できます。
Azure Firewall では、仮想マシン スケール セットのスケールイン (スケールダウン) 中、またはフリート ソフトウェアのアップグレード中に、VM インスタンスのシャットダウンをどのように処理しますか?
Azure Firewall VM インスタンスのシャットダウンは、仮想マシン スケール セットのスケールイン (スケールダウン) 中、またはフリート ソフトウェアのアップグレード中に発生する可能性があります。 このような場合、新しい着信接続は残りのファイアウォール インスタンスに負荷分散され、ダウンしたファイアウォール インスタンスには転送されません。 45 秒後、ファイアウォールは TCP RST パケットを送信して既存の接続の拒否を開始します。 さらに 45 秒が経過すると、ファイアウォール VM がシャットダウンします。 詳細については、「Load Balancer の TCP リセットおよびアイドルのタイムアウト」を参照してください。
Azure Firewall のスケールアウトにはどのくらいの時間がかかりますか。
Azure Firewall は、平均スループットまたは CPU 消費量が 60% になるか、接続使用率が 80% になると、徐々にスケーリングします。 たとえば、最大スループットの 60% に達すると、スケールアウトが開始されます。 最大スループット数は、Azure Firewall SKU と有効な機能によって異なります。 詳細については、「Azure Firewall のパフォーマンス」を参照してください。
スケールアウトには 5 から 7 分かかります。 パフォーマンス テストの場合は、少なくとも 10 ~ 15 分間テストし、新しく作成された Azure Firewall ノードを利用するために新しい接続を開始してください。
Azure Firewall では、アイドル タイムアウトをどのように処理しますか?
接続がアイドル タイムアウト (4 分間、アクティビティがない状態) になると、Azure Firewall は TCP RST パケットを送信して接続を正常に終了します。