Azure Firewall ポリシー ルール セット
ファイアウォール ポリシーは、Azure Firewall のセキュリティと運用の設定を含むトップレベルのリソースです。 ファイアウォール ポリシーを使用して、Azure Firewall がトラフィックのフィルター処理に使用するルール セットを管理できます。 ファイアウォール ポリシーは、ルール コレクション グループ、ルール コレクション、ルールの各コンポーネントを持つ階層に基づいて、ルール セットを整理、優先度付け、および処理します。
ルール コレクション グループ
ルール コレクション グループは、ルール コレクションをグループ化するために使用されます。 これらは Azure Firewall によって処理される最初のユニットであり、値に基づいた優先順位に従います。 既定のルール コレクション グループは 3 つであり、優先度の値は設計によって事前設定されています。 これらは次の順序で処理されます。
| ルール コレクション グループ | 優先度 |
|---|---|
| 既定の DNAT (宛先ネットワーク アドレス変換) ルール コレクション グループ | 100 |
| 既定のネットワーク ルール コレクション グループ | 200 |
| 既定のアプリケーション ルール コレクション グループ | 300 |
既定のルール コレクション グループを削除したり、優先度の値を変更したりすることはできませんが、別の方法で処理順序を操作できます。 既定の設計とは異なる優先度を定義する必要がある場合は、必要な優先度の値を持つカスタム ルール コレクション グループを作成できます。 このシナリオでは、既定のルール コレクション グループを使用せず、作成したルール コレクション グループのみを使用して処理ロジックをカスタマイズします。
ルール コレクション グループには、1 つ以上のルール コレクションが含まれています。このコレクションの種類には、DNAT、ネットワーク、またはアプリケーションを指定できます。 たとえば、同じワークロードまたは VNet に属するルールをルール コレクション グループにグループ化できます。
規則コレクション グループのサイズの制限については、「Azure サブスクリプションとサービスの制限、クォータ、制約」をご覧ください。
規則のコレクション
ルール コレクションはルール コレクション グループに属し、1 つ以上のルールが含まれています。 これらはファイアウォールによって処理される 2 番目のユニットであり、値に基づいた優先順位に従います。 ルール コレクションには、定義されたアクション (許可または拒否) と優先度の値が必要です。 定義されたアクションは、ルール コレクション内のすべてのルールに適用されます。 優先度の値によって、ルール コレクションの処理順序が決まります。
次の 3 つの種類のルール コレクションがあります。
- DNAT
- ネットワーク
- Application
ルールの種類は、その親ルール コレクション カテゴリに一致している必要があります。 たとえば、DNAT ルールは DNAT ルール コレクションにのみ含めることができます。
ルール
ルールはルール コレクションに属し、ネットワークで許可または拒否されるトラフィックを指定します。 これらはファイアウォールによって処理される 3 番目のユニットであり、値に基づいた優先順位に従います。 ルールの処理ロジックは、トップダウン アプローチに従います。 ファイアウォールを通過するすべてのトラフィックは、一致を許可または拒否するために定義されたルールによって評価されます。 トラフィックを許可するルールがない場合、トラフィックは既定で拒否されます。
アプリケーション ルールの場合、トラフィックは、デフォルトで拒否される前に、組み込みのインフラストラクチャ ルール コレクションによって処理されます。
受信と送信
受信ファイアウォール規則は、ネットワーク外部から送信され (インターネットから送信されるトラフィック)、ネットワーク内部に侵入しようとするトラフィックの脅威からネットワークを保護します。
送信ファイアウォール規則は、内部で発信され (Azure 内のプライベート IP アドレスから送信されるトラフィック)、外部へと移動する悪質なトラフィックから保護します。 これは通常、宛先に到達する前にファイアウォール経由でリダイレクトされる Azure リソース内からのトラフィックです。
ルールの種類
規則には次の 3 種類があります。
- DNAT
- ネットワーク
- Application
DNAT ルール
DNAT ルールは、ファイアウォールのパブリック IP アドレスを介した受信トラフィックを許可または拒否します。 パブリック IP アドレスをプライベート IP アドレスに変換する場合は、DNAT 規則を使用できます。 Azure Firewall のパブリック IP アドレスを使用して、インターネットからの受信トラフィックをリッスンし、トラフィックをフィルター処理して、このトラフィックを Azure の内部リソースに変換できます。
ネットワーク ルール
ネットワーク ルールでは、ネットワーク レイヤー (L3) とトランスポート レイヤー (L4) に基づいて、受信、送信、および East-West のトラフィックを許可または拒否します。
IP アドレス、任意のポート、および任意のプロトコルに基づいてトラフィックをフィルター処理する場合は、ネットワーク ルールを使用できます。
アプリケーション ルール
アプリケーション ルールでは、アプリケーション レイヤー (L7) に基づいて、送信および East-West のトラフィックを許可または拒否します。 完全修飾ドメイン名 (FQDN)、URL、および HTTP/HTTPS プロトコルに基づいてトラフィックをフィルター処理する場合は、アプリケーション ルールを使用できます。
次のステップ
- Azure Firewall ルール処理の詳細については、「Azure Firewall ルールの構成」を参照してください。