Azure Firewall を設計して実装する
- 7 分
Azure Firewall は、Azure 仮想ネットワーク リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。 Azure Firewall には、組み込みの高可用性と無制限のクラウド スケーラビリティがあります。 Azure Firewall は、インターネットとの間のトラフィックに対してだけでなく、内部的にも機能します。 内部トラフィックのフィルター処理には、スポーク間のトラフィックと、オンプレミス ネットワークおよび Azure 仮想ネットワーク間のハイブリッド クラウド トラフィックが含まれます。
どのようなときに Azure Firewall を使用するか
Azure Firewall には、Azure Firewall Basic、Azure Firewall Standard、Azure Firewall Premium の 3 つの SKU があります。 これらのシナリオでは、すべてのバージョンが役立ちます。
- 侵入からネットワークを保護する必要がある。
- ユーザーのエラーからネットワークを保護する必要がある。
- 事業内容に e コマースやクレジット カードによる支払いが含まれる。
- スポーク間の接続を構成する必要がある。
- 受信と送信のトラフィックを監視する必要がある。
Azure Firewall ルールとは
トラフィックを許可する規則を手動で構成するまで、すべてのトラフィックは Azure Firewall によって既定で拒否されます。 ルールは、ルール コレクション グループに含まれるルール コレクション内に編成されます。 Azure Firewall では、NAT ルール、ネットワーク ルール、およびアプリケーション ルールを構成できます。
| ルールの種類 | 説明 |
|---|---|
| NAT | ファイアウォールのパブリック IP アドレスと、指定されたポート番号に基づいて、受信インターネット トラフィックを変換し、フィルター処理します。 たとえば、仮想マシンへのリモート デスクトップ接続を有効にするには、NAT 規則を使用して、ファイアウォールのパブリック IP アドレスとポート 3389 を仮想マシンのプライベート IP アドレスに変換します。 |
| アプリケーション | FQDN に基づいてトラフィックをフィルター処理します。 たとえば、FQDN server10.database.windows.net を使用して、送信トラフィックから Azure SQL Database インスタンスへのアクセスを許可するアプリケーション ルールを使用できます。 |
| ネットワーク | 次の 3 つのネットワーク パラメーターのうち、1 つ以上に基づいてトラフィックをフィルター処理します。IP アドレス、ポート、プロトコルです。 たとえば、ポート 53 を使用して、指定した IP アドレスにある特定の DNS サーバーへの送信トラフィックのアクセスを許可するネットワーク規則を使用できます。 |
Azure Firewall では、優先順位に従って規則が適用されます。 脅威インテリジェンスに基づく規則は、常に最も高い優先順位が与えられ、最初に処理されます。 その後、種類別に規則が適用されます。NAT 規則、ネットワーク規則、アプリケーション規則の順です。 各種類の中では、規則の作成時に割り当てられた優先順位の値に従って、最小値から最大値へと規則が処理されます。
ヒント
Azure Firewall の詳細については、「Azure Firewall の概要 」モジュールを参照してください。