Azure Firewall Manager ポリシーの概要Azure Firewall Manager policy overview

Firewall ポリシーは、NAT ルール、ネットワーク ルール、アプリケーション ルールを集めたものに脅威インテリジェンスの設定を加えた Azure リソースです。Firewall Policy is an Azure resource that contains NAT, network, and application rule collections, and Threat Intelligence settings. セキュリティ保護付き仮想ハブ内およびハブ仮想ネットワーク内の複数の Azure Firewall インスタンスにわたって使用できるグローバル リソースです。It's a global resource that can be used across multiple Azure Firewall instances in Secured Virtual Hubs and Hub Virtual Networks. ポリシーは、複数のリージョンおよび複数のサブスクリプションにわたって作用します。Policies work across regions and subscriptions.

Azure Firewall Manager ポリシー

ポリシーの作成と関連付けPolicy creation and association

ポリシーは、Azure portal、REST API、テンプレート、Azure PowerShell、CLI など、さまざまな方法で作成、管理できます。A policy can be created and managed in multiple ways, including the Azure portal, REST API, templates, Azure PowerShell, and CLI.

ポータルまたは Azure PowerShell を使用し、Azure Firewall から既存のルールを移行して、ポリシーを作成することもできます。You can also migrate existing rules from Azure Firewall using the portal or Azure PowerShell to create policies. 詳細については、Azure Firewall 構成を Azure Firewall ポリシーに移行する方法に関するページを参照してください。For more information, see How to migrate Azure Firewall configurations to Azure Firewall policy.

ポリシーは、1 つ以上の仮想ハブまたは VNet に関連付けることができます。Policies can be associated with one or more virtual hubs or VNets. ファイアウォールは、リージョンにかかわらず、ご利用のアカウントに関連付けられた任意のサブスクリプションに置くことができます。The firewall can be in any subscription associated with your account and in any region.

階層構造のポリシーHierarchical policies

ポリシーはゼロから作成するか、既存のポリシーから継承することができます。New policies can be created from scratch or inherited from existing policies. DevOps は継承を利用することで、規定されている組織の基本ポリシーの上にローカル ファイアウォール ポリシーを作成することができます。Inheritance allows DevOps to create local firewall policies on top of organization mandated base policy.

空ではない親ポリシーを使って作成されたポリシーは、親ポリシーからすべてのルール コレクションを継承します。Policies created with non-empty parent policies inherit all rule collections from the parent policy. 親ポリシーから継承されたネットワーク ルール コレクションは、新しいポリシーの一部として定義されているネットワーク ルール コレクションより常に優先されます。Network rule collections inherited from a parent policy are always prioritized above network rule collections defined as part of a new policy. この同じロジックがアプリケーション ルール コレクションにも適用されます。The same logic also applies to application rule collections. ただし、ネットワーク ルール コレクションは、継承に関係なく、常にアプリケーション ルール コレクションより先に処理されます。However, network rule collections are always processed before application rule collections regardless of inheritance.

親ポリシーからは、脅威インテリジェンス モードも継承されます。Threat Intelligence mode is also inherited from the parent policy. この動作は、脅威インテリジェンス モードを別の値に設定することでオーバーライドすることはできますが、オフにすることはできません。You can set your threat Intelligence mode to a different value to override this behavior, but you can't turn it off. より厳密な値でオーバーライドすることのみできます。It's only possible to override with a stricter value. たとえば、親ポリシーが [警告のみ] に設定されている場合、このローカル ポリシーを [警告して拒否] に構成することができます。For example, if your parent policy is set to Alert only, you can configure this local policy to Alert and deny.

脅威インテリジェンス モードと同様に、脅威インテリジェンスの許可リストは親ポリシーから継承されます。Like Threat Intelligence mode, the Threat Intelligence allow list is inherited from the parent policy. 子ポリシーによって、許可リストに IP アドレスを追加できます。The child policy can add additional IP addresses to the allow list.

NAT ルール コレクションは、特定のファイアウォールに固有のものであるため継承されません。NAT rule collections aren't inherited because they're specific to a given firewall.

継承では、親ポリシーに対するすべての変更が、対応する子のファイアウォール ポリシーに自動的に適用されます。With inheritance, any changes to the parent policy are automatically applied down to associated firewall child policies.

従来のルールとポリシーTraditional rules and policies

Azure Firewall では、従来のルールとポリシーの両方がサポートされます。Azure Firewall supports both traditional rules and policies. ポリシーとルールを比較した表を次に示します。The following table compares policies and rules:

サブジェクトSubject ポリシーPolicy ルールRules
ContainsContains NAT、ネットワーク、アプリケーションの規則、カスタム DNS と DNS プロキシ設定、IP グループ、脅威インテリジェンスの設定 (許可リストを含む)NAT, Network, Application rules, custom DNS and DNS proxy settings, IP Groups, and Threat Intelligence settings (including allow list) NAT、ネットワーク、アプリケーションの規則、カスタム DNS と DNS プロキシ設定、IP グループ、脅威インテリジェンスの設定 (許可リストを含む)NAT, Network, and Application rules, custom DNS and DNS proxy settings, IP Groups, and Threat Intelligence settings (including allow list)
保護Protects 仮想ハブと仮想ネットワークVirtual hubs and Virtual Networks 仮想ネットワークのみVirtual Networks only
ポータルでの操作Portal experience Firewall Manager を使用した一元管理Central management using Firewall Manager スタンドアロンのファイアウォール エクスペリエンスStandalone firewall experience
複数のファイアウォールのサポートMultiple firewall support ファイアウォール ポリシーは、複数のファイアウォールにまたがって使用できる個別のリソースFirewall Policy is a separate resource that can be used across firewalls ルールのエクスポートとインポートを手動で行うか、サードパーティの管理ソリューションを使用Manually export and import rules, or using third-party management solutions
価格Pricing ファイアウォールの関連付けに基づいて課金されます。Billed based on firewall association. 価格」を参照してください。See Pricing. FreeFree
サポートされるデプロイ メカニズムSupported deployment mechanisms ポータル、REST API、テンプレート、Azure PowerShell、CLIPortal, REST API, templates, Azure PowerShell, and CLI ポータル、REST API、テンプレート、PowerShell、CLIPortal, REST API, templates, PowerShell, and CLI.

価格Pricing

ポリシーは、ファイアウォールの関連付けに基づいて課金されます。Policies are billed based on firewall associations. ファイアウォールの関連付けが 0 個または 1 個のポリシーは無料です。A policy with zero or one firewall association is free of charge. ファイアウォールの関連付けが複数存在するポリシーは、固定レートで課金されます。A policy with multiple firewall associations is billed at a fixed rate. 詳細については、「Azure Firewall Manager の価格」を参照してください。For more information, see Azure Firewall Manager Pricing.

次のステップNext steps

Azure ファイアーウォールのデプロイ方法については、「Tutorial: Azure portal を使用して Azure Firewall Manager でクラウド ネットワークをセキュリティで保護するを参照してください。To learn how to deploy an Azure Firewall, see Tutorial: Secure your cloud network with Azure Firewall Manager using the Azure portal.