パブリック IP アドレスをインターネットに直接公開しないことが望ましい場合があります。 この場合、パブリック IP なしで管理 NIC を有効にして Azure Firewall をデプロイできます。 管理 NIC を有効にすると、Azure Firewall の操作に使用するパブリック IP アドレスを持つ管理インターフェイスが作成されます。 パブリック IP アドレスは Azure プラットフォームによってのみ使用され、他の目的には使用できません。 テナント データパス ネットワークをパブリック IP アドレスなしで構成でき、インターネット トラフィックを別のファイアウォールに強制的にトンネリングするか、ブロックできます。
Azure Firewall では、パブリック IP アドレスへのすべてのアウトバウンド トラフィックに対して自動 SNAT が提供されます。 宛先 IP アドレスが IANA RFC 1918 に従ったプライベート IP アドレス範囲内にある場合、Azure Firewall では SNAT は行われません。 このロジックは、インターネットに直接送信した場合に完全に機能します。 ただし、強制トンネリングが構成されていると、インターネットにバインドされたトラフィックは、SNAT によって AzureFirewallSubnet 内のファイアウォール プライベート IP アドレスの 1 つに変換される場合があります。 これにより、オンプレミスのファイアウォールからソース アドレスが隠されます。 宛先 IP アドレスに関係なく、SNAT による変換を行わないように Azure Firewall を構成するには、プライベート IP アドレス範囲として 0.0.0.0/0 を追加します。 この構成では、Azure Firewall からインターネットに直接送信することはできません。 詳細については、「Azure Firewall の SNAT プライベート IP アドレス範囲」を参照してください。