Azure Firewall とはWhat is Azure Firewall?

Azure Firewall は、Azure Virtual Network リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. これは、組み込みの高可用性とクラウドによる無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。It is a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

ファイアウォールの概要

サブスクリプションと仮想ネットワークをまたいでアプリケーションとネットワークの接続ポリシーを一元的に作成、適用、記録できます。You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Azure Firewall では、外部のファイアウォールが仮想ネットワークからのトラフィックを識別できるよう、仮想ネットワーク リソースに静的パブリック IP アドレスが使用されます。Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. サービスはログ記録と分析を行うために Azure Monitor と完全に統合されます。The service is fully integrated with Azure Monitor for logging and analytics.

機能Features

Azure Firewall では次の機能が提供されます。Azure Firewall offers the following features:

組み込みの高可用性Built-in high availability

高可用性が組み込まれているため、ロード バランサーを追加する必要がなく、構成が必要なものはありません。High availability is built in, so no additional load balancers are required and there is nothing you need to configure.

クラウドによる無制限のスケーラビリティUnrestricted cloud scalability

Azure Firewall では、必要に応じてスケールアップしてネットワーク トラフィック フローの変化に対応できるので、ピーク時のトラフィックを処理するために予算を立てる必要がありません。Azure Firewall can scale up as much as you need to accommodate changing network traffic flows, so you don't need to budget for your peak traffic.

アプリケーションの FQDN のフィルタリング規則Application FQDN filtering rules

ワイルド カードが含まれた完全修飾ドメイン名 (FQDN) の指定した一覧に、送信 HTTP/S トラフィックを制限できます。You can limit outbound HTTP/S traffic to a specified list of fully qualified domain names (FQDN) including wild cards. この機能に SSL 終了は必要ありません。This feature does not require SSL termination.

ネットワーク トラフィックのフィルタリング規則Network traffic filtering rules

送信元と送信先の IP アドレス、ポート、プロトコルを基準として、"許可" または "拒否" のネットワーク フィルタリング規則を一元的に作成できます。You can centrally create allow or deny network filtering rules by source and destination IP address, port, and protocol. Azure Firewall は完全にステートフルであるため、各種の接続の正当なパケットを識別できます。Azure Firewall is fully stateful, so it can distinguish legitimate packets for different types of connections. 規則は、複数のサブスクリプションと仮想ネットワークにまたがって適用および記録されます。Rules are enforced and logged across multiple subscriptions and virtual networks.

FQDN のタグFQDN tags

FQDN のタグにより、ファイアウォール経由の既知の Azure サービスのネットワーク トラフィックを簡単に許可することができます。FQDN tags make it easy for you to allow well known Azure service network traffic through your firewall. たとえば、ファイアウォール経由の Windows Update のネットワーク トラフィックを許可したいとします。For example, say you want to allow Windows Update network traffic through your firewall. アプリケーションの規則を作成して、Windows Update のタグを組み込みます。You create an application rule and include the Windows Update tag. これで、Windows Update からのネットワーク トラフィックをファイアウォール経由でフローできるようになります。Now network traffic from Windows Update can flow through your firewall.

送信 SNAT サポートOutbound SNAT support

仮想ネットワーク トラフィックの送信 IP アドレスはすべて Azure Firewall パブリック IP に変換されます (送信元ネットワーク アドレス変換)。All outbound virtual network traffic IP addresses are translated to the Azure Firewall public IP (Source Network Address Translation). 仮想ネットワークからインターネット上のリモートの送信先に向かうトラフィックを特定して許可できます。You can identify and allow traffic originating from your virtual network to remote Internet destinations.

受信 DNAT のサポートInbound DNAT support

ファイアウォールのパブリック IP アドレスへの着信ネットワーク トラフィックは、変換され (宛先ネットワーク アドレス変換)、仮想ネットワークのプライベート IP アドレスでフィルター処理されます。Inbound network traffic to your firewall public IP address is translated (Destination Network Address Translation) and filtered to the private IP addresses on your virtual networks.

Azure Monitor ログ記録Azure Monitor logging

すべてのイベントは Azure Monitor と統合されます。そのため、ログをストレージ アカウントにアーカイブしたり、イベントをイベント ハブにストリーム配信したり、それらを Log Analytics に送信したりできます。All events are integrated with Azure Monitor, allowing you to archive logs to a storage account, stream events to your Event Hub, or send them to Log Analytics.

既知の問題Known issues

Azure Firewall には、次の既知の問題があります。Azure Firewall has the following known issues:

問題Issue 説明Description 対応策Mitigation
Azure Security Center (ASC) Just-in-Time (JIT) 機能との競合Conflict with Azure Security Center (ASC) Just-in-Time (JIT) feature JIT を使用して仮想マシンへのアクセスが行われており、Azure Firewall に向かうユーザー定義ルートを備えたサブネットにその仮想マシンがある場合、ASC JIT は機能しません。If a virtual machine is accessed using JIT, and is in a subnet with a user-defined route that points to Azure Firewall as a default gateway, ASC JIT doesn’t work. これは、非対称ルーティングの結果です。パケットは仮想マシン パブリック IP 経由で到着しますが (アクセスは JIT によって開かれた)、リターン パスはファイアウォール経由です。ファイアウォールでセッションが確立されていないため、パケットがファイアウォールによって破棄されます。This is a result of asymmetric routing – a packet comes in via the virtual machine public IP (JIT opened the access), but the return path is via the firewall, which drops the packet because no session is established on the firewall. この問題を回避するには、ファイアウォールへのユーザー定義ルートがない別のサブネットに JIT 仮想マシンを配置します。To work around this issue, place the JIT virtual machines on a separate subnet that doesn’t have a user-defined route to the firewall.
グローバル ピアリングを使用したハブとスポークがサポートされていないHub and spoke with global peering isn't supported ハブとスポークのモデルを使用しており、ある Azure リージョンにハブとファイアウォールがデプロイされており、スポークが別の Azure リージョンにある場合。Using the hub and spoke model, where the hub and firewall are deployed in one Azure region, with the spokes in another Azure region. グローバル VNET ピアリング経由によるハブへの接続はサポートされていません。Connections to the hub via Global VNet Peering are not supported. これは設計によるものです。This is by design. 詳細については、「Azure サブスクリプションとサービスの制限、クォータ、制約」を参照してください。For more information, see Azure subscription and service limits, quotas, and constraints
TCP/UDP 以外のプロトコル (ICMP など) に関するネットワーク フィルタリング規則が、インターネットへのトラフィックで機能しないNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic TCP/UDP 以外のプロトコルに関するネットワーク フィルタリング規則は、パブリック IP アドレスへの SNAT で機能しません。Network filtering rules for non-TCP/UDP protocols don’t work with SNAT to your public IP address. TCP/UDP 以外のプロトコルは、スポーク サブネットと VNet との間でサポートされます。Non-TCP/UDP protocols are supported between spoke subnets and VNets. Azure Firewall では Standard Load Balancer が使用されます。現在 Standard Load Balancer では、IP プロトコルの SNAT はサポートされていませんAzure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Microsoft は、将来のリリースでこのシナリオに対応できるよう方法を模索しています。We are exploring options to support this scenario in a future release.
宛先 NAT (DNAT) はポート 80 と 22 では機能しません。Destination NAT (DNAT) doesn’t work for port 80 and 22. NAT 規則のコレクション内の [宛先ポート] フィールドには、ポート 80 またはポート 22 を含めることはできません。Destination Port field in NAT rule collection cannot include port 80 or port 22. これは近い将来に解決できるよう取り組んでいます。We are working to fix this in the near future. それまでの間は、NAT 規則の宛先ポートとして他の任意のポートを使用します。Meanwhile, use any other port as the destination port in NAT rules. ポート 80 または 22 は、変換されたポートとして引き続き使用できます (たとえば、パブリックの ip:81 をプライベートの ip:80 にマップできます)。Port 80 or 22 can still be used as the translated port (for example, you can map public ip:81 to private ip:80).
PowerShell と CLI では ICMP がサポートされないMissing PowerShell and CLI support for ICMP Azure PowerShell と CLI は、ネットワーク ルールの有効なプロトコルとして ICMP をサポートしていません。Azure PowerShell and CLI don’t support ICMP as a valid protocol in network rules. それでも、ポータルと REST API を介して、ICMP をプロトコルとして使用することが可能です。It is still possible to use ICMP as a protocol via the portal and the REST API. 近いうちに PowerShell と CLI に ICMP を追加するため、取り組みを進めています。We are working to add ICMP in PowerShell and CLI soon.
FQDN タグで port:protocol を設定する必要があるFQDN tags require a protocol: port to be set FQDN タグを使用するアプリケーション ルールには、port:protocol の定義が必要です。Application rules with FQDN tags require port:protocol definition. port:protocol 値として、https を使用できます。You can use https as the port: protocol value. FQDN タグが使用される場合にこのフィールドを省略可能にするため、取り組みを進めています。We are working to make this field optional when FQDN tags are used.
ファイアウォールを別のリソース グループまたはサブスクリプションへ移動することはサポートされていません。Moving a firewall to a different resource group or subscription is not supported. ファイアウォールを別のリソース グループまたはサブスクリプションへ移動することはサポートされていません。Moving a firewall to a different resource group or subscription is not supported. この機能はサポートされる予定です。Supporting this functionality is on our roadmap. ファイアウォールを別のリソース グループまたはサブスクリプションに移動するには、現在のインスタンスを削除して、新しいリソース グループまたはサブスクリプション内に再作成する必要があります。To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.

次の手順Next steps