Azure Firewall に関する FAQ

Azure Firewall とは

Azure Firewall は、Azure Virtual Network リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。 完全にステートフルなサービスとしてのファイアウォールで、組み込みの高可用性とクラウドによる無制限のスケーラビリティを備えています。 サブスクリプションと仮想ネットワークをまたいでアプリケーションとネットワークの接続ポリシーを一元的に作成、適用、記録できます。

Azure Firewall ではどのような機能がサポートされていますか?

Azure Firewall の機能の詳細については、「Azure Firewall の機能」を参照してください。

Azure Firewall の一般的なデプロイ モデルを教えてください

Azure Firewall は任意の仮想ネットワークにデプロイできますが、通常、お客様は中央の仮想ネットワークにデプロイし、ハブ アンド スポーク モデルでこれに他の仮想ネットワークをピアリングします。 こうすることで、この中央のファイアウォールの仮想ネットワークを指すように、ピアリングされた仮想ネットワークから既定のルートを設定できます。 グローバル VNet ピアリングはサポートされていますが、リージョン間の潜在的なパフォーマンスと待機時間の問題のため、推奨されません。 最適なパフォーマンスのため、リージョンごとに 1 つのファイアウォールをデプロイしてください。

このモデルの利点は、異なるサブスクリプションの複数のスポーク VNET に対して制御を集中的に実行できる点です。 VNet ごとに個別にファイアウォールを設置する必要がないため、コストも削減できます。 コスト削減は、カスタマーのトラフィック パターンに基づいて関連するピアリング コストに対して計測する必要があります。

Azure Firewall のインストール方法を教えてください

Azure portal、PowerShell、REST API、またはテンプレートを使用して、Azure Firewall を設定できます。 「チュートリアル:Azure portal を使用して Azure Firewall をデプロイして構成する」を参照してください。

Azure Firewall の概念をいくつか教えてください。

Azure Firewall は、ルールとルール コレクションをサポートしています。 ルール コレクションは、同じ順序と優先度を共有するルールのセットです。 ルール コレクションは、その優先度の順に実行されます。 ネットワーク ルール コレクションはアプリケーション ルール コレクションよりも優先されます。また、すべてのルールは終了されます。

次の 3 つの種類のルール コレクションがあります。

  • "アプリケーション ルール": サブネットからアクセスできる完全修飾ドメイン名 (FQDN) を構成します。
  • "ネットワーク ルール": 送信元アドレス、プロトコル、宛先ポート、および送信先アドレスを含むルールを構成します。
  • NAT ルール:着信インターネット接続を許可する DNAT ルールを構成します。

Azure Firewall は受信トラフィック フィルター処理をサポートしていますか?

Azure Firewall は受信と送信のフィルター処理をサポートしています。 受信保護は、通常、非 HTTP/S プロトコルに使用されます。 たとえば、RDP、SSH、および FTP プロトコルです。 インバウンド HTTP/S を最適に保護するには、Azure Web アプリケーション ファイアウォール (WAF) などの Web アプリケーション ファイアウォールを使用します。

Azure Firewall では、どのログ記録および分析サービスがサポートされていますか?

Azure Firewall は、ファイアウォール ログの表示と分析について Azure Monitor と統合されています。 Log Analytics、Azure Storage、または Event Hubs にログを送信できます。 Log Analytics や、Excel や Power BI などのさまざまなツールで分析できます。 詳細については、Azure Firewall のログを監視する方法に関するチュートリアルを参照してください。

Azure Firewall の動作は、マーケットプレースの NVA などの既存のサービスとどのように異なりますか?

Azure Firewall は、仮想ネットワーク リソースを保護する、クラウドベースのマネージド ネットワーク セキュリティ サービスです。 組み込みの高可用性とクラウドの無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。 サービス (SECaaS) プロバイダーとしてのサードパーティ製セキュリティと事前に統合されており、仮想ネットワークとブランチ インターネット接続に高度なセキュリティを提供します。

Application Gateway WAF と Azure Firewall の違いは何ですか?

Web アプリケーション ファイアウォール (WAF) は、一般的な脆弱性やその悪用から Web アプリケーションの受信保護を一元的に行う Application Gateway の機能です。 Azure Firewall は、非 HTTP/S プロトコル (例: RDP、SSH、FTP など) の受信保護、すべてのポートとプロトコルに対する送信ネットワークレベルの保護、送信 HTTP/S に対するアプリケーションレベルの保護を提供します。

ネットワーク セキュリティ グループ (NSG) と Azure Firewall の違いは何ですか?

Azure Firewall サービスは、ネットワーク セキュリティ グループの機能を補完します。 全体で、優れた "多層防御" ネットワーク セキュリティを実現します。 ネットワーク セキュリティ グループには、分散ネットワーク レイヤーのトラフィック フィルター機能があり、この機能によって各サブスクリプションの仮想ネットワーク内のリソースに対するトラフィックを制限します。 Azure Firewall は、完全にステートフルな一元化されたネットワーク ファイアウォールです。さまざまなサブスクリプションと仮想ネットワーク全体にネットワークレベルとアプリケーションレベルの保護を提供します。

AzureFirewallSubnet でネットワーク セキュリティ グループ (NSG) はサポートされていますか?

Azure Firewall は、NIC レベル NSG (表示不可) によるプラットフォーム保護など、複数の保護レイヤーがあるマネージド サービスです。 サブネット レベル NSG は AzureFirewallSubnet で必要なく、サービスの中断を確実に防ぐために無効にされています。

サービス エンドポイントに Azure Firewall を設定するにはどうすればよいですか?

PaaS サービスへのアクセスをセキュリティで保護するには、サービス エンドポイントをお勧めします。 Azure Firewall サブネット内のサービス エンドポイントを有効にし、接続されているスポーク仮想ネットワーク上ではそれらを無効にすることを選択できます。 このようにして、サービス エンドポイントのセキュリティとすべてのトラフィックの一元的ログ記録という、両方の機能の長所を活かすことができます。

Azure Firewall の価格を教えてください

Azure Firewall の価格」を参照してください。

Azure Firewall の停止と起動の方法を教えてください

Azure PowerShell の deallocate メソッドと allocate メソッドを使用できます。 強制トンネリング用に構成されたファイアウォールの場合、手順は若干異なります。

たとえば、強制トンネリング用に構成されていないファイアウォールの場合は、次のようになります。

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))

Set-AzFirewall -AzureFirewall $azfw

強制トンネリング用に構成されたファイアウォールの場合、停止は同じです。 ただし、開始では、管理パブリック IP をファイアウォールに再度関連付ける必要があります。

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall

割り当ておよび割り当て解除を行うと、それに応じてファイアウォールの課金が停止および開始されます。

注意

ファイアウォールとパブリック IP を、元のリソース グループとサブスクリプションに再割り当てする必要があります。

既知のサービスの制限には何がありますか?

Azure Firewall サービスの制限については、「Azure サブスクリプションとサービスの制限、クォータ、制約」を参照してください。

Azure Firewall では、ハブ仮想ネットワークで 2 つのスポーク仮想ネットワーク間のネットワーク トラフィックを転送したりフィルター処理したりできますか?

はい。ハブ仮想ネットワークで Azure Firewall を使用して、2 つのスポーク仮想ネットワーク間のトラフィックをルーティングしたりフィルター処理したりできます。 このシナリオが適切に機能するためには、各スポーク仮想ネットワークのサブネットの UDR が、既定のゲートウェイとして Azure Firewall をポイントしている必要があります。

Azure Firewall では、同じ仮想ネットワーク (またはピアリングされた仮想ネットワーク) のサブネット間のネットワーク トラフィックを転送したりフィルター処理したりできますか?

はい。 ただし、同じ VNET 内のサブネット間でトラフィックをリダイレクトするよう UDR を構成する場合、さらに注意が必要です。 UDR のターゲット プレフィックスとして VNET アドレス範囲を使用する場合、これにより、Azure Firewall インスタンスを介して、同じサブネット内で一方のマシンから他方のマシンにすべてのトラフィックがルーティングされることになります。 これを回避するために、次ホップ タイプ VNET を使用して UDR にサブネットのルートを組み込みます。 これらのルートの管理は、手間がかかり、誤りが発生する可能性もあります。 内部ネットワークのセグメント化について推奨される方法は、UDR を必要としないネットワーク セキュリティ グループを使用する方法です。

Azure Firewall で、プライベート ネットワーク間のアウトバウンド SNAT は実行されますか?

宛先 IP アドレスが IANA RFC 1918 のプライベート IP 範囲である場合、Azure Firewall は SNAT を行いません。 組織でプライベート ネットワークに対してパブリック IP アドレス範囲を使用している場合、Azure Firewall は、SNAT を使用して、トラフィックのアドレスを AzureFirewallSubnet のいずれかのファイアウォール プライベート IP アドレスに変換します。 パブリック IP アドレス範囲の SNAT が行われないように、Azure Firewall を構成することができます。 詳細については、「Azure Firewall の SNAT プライベート IP アドレス範囲」を参照してください。

さらに、アプリケーション ルールによって処理されたトラフィックでは、常に SNAT が実行されます。 FQDN トラフィックのログに元の送信元 IP アドレスを表示する場合は、宛先 FQDN でネットワーク規則を使用できます。

サポートされているネットワーク仮想アプライアンスに、トンネリング/チェーンが強制されますか。

強制トンネリングは、新しいファイアウォールを作成するときにサポートされます。 既存のファイアウォールを強制トンネリング用に構成することはできません。 詳細については、「Azure Firewall 強制トンネリング」を参照してください。

Azure Firewall には、インターネットへの直接接続が必要です。 AzureFirewallSubnet が BGP 経由のオンプレミス ネットワークへの既定のルートを学習する場合は、インターネットへの直接接続を保持するために、NextHopType の値を Internet に設定した 0.0.0.0/0 UDR でこれを上書きする必要があります。

使用する構成でオンプレミスのネットワークへの強制的なトンネリングが必要であり、インターネット上のアクセス先のターゲット IP プレフィックスを決定できる場合は、AzureFirewallSubnet 上のユーザー定義のルートを介して、次のホップとしてオンプレミスのネットワークに対してこれらの範囲を構成することができます。 または、BGP を使用してこれらのルートを定義することもできます。

ファイアウォール リソース グループの制限はありますか。

はい。 ファイアウォール、VNet、パブリック IP アドレスすべては同じリソース グループに属していなければなりません。

インバウンド インターネット ネットワーク トラフィックの DNAT を構成する際、そのトラフィックを許可するために、対応するネットワーク ルールも構成しなければならないのでしょうか。

いいえ。 NAT ルールは、変換されたトラフィックを許可するための対応するネットワーク ルールを暗黙的に追加します。 この動作は、変換されたトラフィックに一致する拒否ルールを使用してネットワーク ルール コレクションを明示的に追加することで、オーバーライドすることができます。 Azure Firewall ルール処理ロジックの詳細については、「Azure Firewall ルール処理ロジック」を参照してください。

アプリケーション ルールのターゲット URL とターゲット FQDN では、ワイルドカードはどのようにして機能しますか。

  • URL - アスタリスクは、右端または左端に配置すると機能します。 左側にある場合、FQDN の一部にすることはできません。
  • FQDN - アスタリスクは、左端に配置すると機能します。

例 :

Type ルール サポート対象 実際の例
TargetURL www.contoso.com はい www.contoso.com
www.contoso.com/
TargetURL *.contoso.com はい any.contoso.com/
TargetURL *contoso.com はい example.anycontoso.com
contoso.com
TargetURL www.contoso.com/test はい www.contoso.com/test
www.contoso.com/test/
www.contoso.com/test?with_query=1
TargetURL www.contoso.com/test/* はい www.contoso.com/test/anything
注 - www.contoso.com/test は一致しません (最後のスラッシュ)
TargetURL www.contoso.*/test/* いいえ
TargetURL www.contoso.com/test?example=1 いいえ
TargetURL www.contoso.* いいえ
TargetURL www.*contoso.com いいえ
TargetURL www.contoso.com:8080 いいえ
TargetURL *.contoso.* いいえ
TargetFQDN www.contoso.com はい www.contoso.com
TargetFQDN *.contoso.com はい any.contoso.com

注: contoso.com を具体的に許可する場合、ルールに contoso.com を含める必要があります。 そうしない場合、要求がルールと一致しないので、接続は既定で削除されます。
TargetFQDN *contoso.com はい example.anycontoso.com
contoso.com
TargetFQDN www.contoso.* いいえ
TargetFQDN *.contoso.* いいえ

「*プロビジョニングの状態: 失敗*」はどのような意味ですか。

構成の変更が適用されるたびに、Azure Firewall は、その基になるすべてのバックエンド インスタンスを更新しようとします。 まれに、これらのバックエンド インスタンスの 1 つが新しい構成での更新に失敗し、更新プロセスが停止して、失敗したプロビジョニングの状態になることがあります。 Azure Firewall はまだ操作可能ですが、適用された構成は矛盾した状態になっている可能性があります。この場合、一部のインスタンスは以前の構成であり、他のインスタンスはルール セットが更新されています。 このような場合は、操作が成功してファイアウォールが "成功" プロビジョニング状態になるまで、もう一度構成を更新してみてください。

Azure Firewall は計画メンテナンスや予期しない障害にどのように対処しますか。

Azure Firewall は、アクティブ/アクティブ構成の複数のバックエンドノードで構成されます。 計画メンテナンスの場合は、ノードを適切に更新するための接続のドレイン ロジックがあります。 更新は、中断のリスクをさらに制限するために、Azure リージョンごとに営業時間外に予定されます。 予期しない問題の場合は、新しいノードをインスタンス化して、障害が発生したノードを置き換えます。 新しいノードへの接続は、通常、障害発生時から 10 秒以内に再確立されます。

接続のドレインはどのように機能しますか。

計画されたメンテナンスの場合、接続のドレイン ロジックにより、バックエンド ノードが適切に更新されます。 既存の接続が閉じられるまで、Azure Firewall は 90 秒間待機します。 必要に応じて、クライアントは別のバックエンド ノードへの接続を自動的に再確立できます。

ファイアウォール名に文字制限はありますか。

はい。 ファイアウォール名には 50 文字の制限があります。

Azure Firewall に /26 サブネット サイズが必要なのはなぜですか。

Azure Firewall では、スケールの際により多くの仮想マシン インスタンスをプロビジョニングする必要があります。 /26 アドレス空間を使用すると、スケールに対応できる十分な数の IP アドレスをファイアウォールに使用できるようになります。

サービスのスケールに応じてファイアウォール サブネットのサイズを変更する必要はありますか。

いいえ。 Azure Firewall には、/26 よりも大きなサブネットは必要ありません。

ファイアウォールのスループットを増やすにはどうすればよいですか。

Azure Firewall の初期スループット容量は 2.5 から 3 Gbps で、30 Gbps までスケールアウトします。 CPU 使用率とスループットに基づいて自動的にスケールアウトされます。

Azure Firewall のスケールアウトにはどのくらいの時間がかかりますか。

Azure Firewall は、平均スループットまたは CPU 使用率が 60% になると、徐々にスケーリングされます。 既定のデプロイの最大スループットは約 2.5 ~ 3 Gbps で、その量の 60% に達したときにスケールアウトが開始されます。 スケールアウトには 5 から 7 分かかります。

パフォーマンス テストを行うときは、少なくとも 10 ~ 15 分のテストを行い、新しく作成されたファイアウォール ノードを活用するために新しい接続を開始してください。

Azure Firewall では、アイドル タイムアウトをどのように処理しますか?

接続がアイドル タイムアウト (4 分間、アクティビティがない状態) になると、Azure Firewall は TCP RST パケットを送信して接続を正常に終了します。

Azure Firewall では、仮想マシン スケール セットのスケールイン (スケールダウン) 中、またはフリート ソフトウェアのアップグレード中に、VM インスタンスのシャットダウンをどのように処理しますか?

Azure Firewall VM インスタンスのシャットダウンは、仮想マシン スケール セットのスケールイン (スケールダウン) 中、またはフリート ソフトウェアのアップグレード中に発生する可能性があります。 このような場合、新しい受信接続は残りのファイアウォール インスタンスに負荷分散され、ダウンしたファイアウォール インスタンスには転送されません。 45 秒後、ファイアウォールは TCP RST パケットを送信して既存の接続の拒否を開始します。 さらに 45 秒が経過すると、ファイアウォール VM がシャットダウンします。 詳細については、「Load Balancer の TCP リセットおよびアイドルのタイムアウト」を参照してください。

Azure Firewall では Active Directory へのアクセスが既定で許可されますか。

いいえ。 Azure Firewall では、Active Directory へのアクセスは既定でブロックされます。 アクセスを許可するには、AzureActiveDirectory サービス タグを構成します。 詳しくは、「Azure Firewall サービス タグ」をご覧ください。

Azure Firewall の脅威インテリジェンス ベースのフィルター処理から、FQDN または IP アドレスを除外できますか?

はい。Azure PowerShell を使用して、それを行うことができます。

# Add a Threat Intelligence allowlist to an Existing Azure Firewall

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

TCP ping や類似のツールが、そのトラフィックを許可するルールが Azure Firewall にない場合でも、ターゲット FQDN に正常に接続できるのはなぜですか。

TCP ping は実際にはターゲット FQDN に接続していません。 Azure Firewall では、ターゲット IP アドレス/FQDN への接続は、それを許可する明示的なルールがない限りは許可されません。

TCP ping は特異なユース ケースであり、許可するルールがない場合、TCP ping はターゲット IP アドレス/FQDN に到達しませんが、ファイアウォール自体がクライアントの TCP ping 要求に応答します。 この場合、イベントはログされません。 ターゲット IP アドレス/FQDN へのアクセスを許可するネットワーク ルールがある場合は、ping 要求がターゲット サーバーに到達し、その応答がクライアントに送り返されます。 このイベントは、ネットワーク ルール ログに記録されます。

IP グループでサポートされる IP アドレスの数に制限はありますか。

はい。 詳細については、「Azure サブスクリプションとサービスの制限、クォータ、制約」を参照してください。

別のリソース グループに IP グループを移動できますか。

いいえ。IP グループを別のリソースグループに移動することは現在サポートされていません。

Azure Firewall の TCP アイドル タイムアウトはどうなっていますか。

ネットワーク ファイアウォールの標準的な動作では、TCP 接続が確実に維持されるようにして、アクティビティがない場合はすぐに終了するようになっています。 Azure Firewall の TCP アイドル タイムアウトは 4 分です。 この設定はユーザーは構成できませんが、Azure サポートに問い合わせ、アイドル タイムアウトを最大 30 分に延長できます。

アイドル時間がタイムアウト値よりも長い場合、TCP や HTTP のセッションが維持される保証はありません。 一般的な方法として、TCP keep-alive を使用します。 この方法を使用すると、接続が長時間アクティブ状態に維持されます。 詳細については、.NET の例に関するページを参照してください。

パブリック IP アドレスを使用せずに Azure Firewall をデプロイできますか。

いいえ。現時点では、Azure Firewall はパブリック IP アドレスを使用してデプロイする必要があります。

顧客データは Azure Firewall によってどこに格納されますか?

Azure Firewall によって、顧客データがデプロイされているリージョン外に移動または格納されることはありません。