Azure Firewall とはWhat is Azure Firewall?

ICSA 認定資格

Azure Firewall は、Azure Virtual Network リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. 組み込みの高可用性とクラウドの無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

ファイアウォールの概要

サブスクリプションと仮想ネットワークをまたいでアプリケーションとネットワークの接続ポリシーを一元的に作成、適用、記録できます。You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Azure Firewall では、外部のファイアウォールが仮想ネットワークからのトラフィックを識別できるよう、仮想ネットワーク リソースに静的パブリック IP アドレスが使用されます。Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. サービスはログ記録と分析を行うために Azure Monitor と完全に統合されます。The service is fully integrated with Azure Monitor for logging and analytics.

特徴Features

Azure Firewall の機能の詳細については、「Azure Firewall の機能」を参照してください。To learn about Azure Firewall features, see Azure Firewall features.

料金と SLAPricing and SLA

Azure Firewall の価格については、「Azure Firewall の価格」を参照してください。For Azure Firewall pricing information, see Azure Firewall pricing.

Azure Firewall SLA の情報については、「Azure Firewall の SLA」を参照してください。For Azure Firewall SLA information, see Azure Firewall SLA.

新機能What's new

Azure Firewall の新機能については、「Azure の更新情報」を参照してください。To learn what's new with Azure Firewall, see Azure updates.

既知の問題Known issues

Azure Firewall には、次の既知の問題があります。Azure Firewall has the following known issues:

問題Issue 説明Description 対応策Mitigation
TCP/UDP 以外のプロトコル (ICMP など) に関するネットワーク フィルタリング規則が、インターネットへのトラフィックで機能しないNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic TCP/UDP 以外のプロトコルに関するネットワーク フィルタリング規則は、パブリック IP アドレスへの SNAT で機能しません。Network filtering rules for non-TCP/UDP protocols don't work with SNAT to your public IP address. TCP/UDP 以外のプロトコルは、スポーク サブネットと VNet との間でサポートされます。Non-TCP/UDP protocols are supported between spoke subnets and VNets. Azure Firewall では Standard Load Balancer が使用されます。現在 Standard Load Balancer では、IP プロトコルの SNAT はサポートされていませんAzure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Microsoft は、将来のリリースでこのシナリオに対応できるよう方法を模索しています。We're exploring options to support this scenario in a future release.
PowerShell と CLI では ICMP がサポートされないMissing PowerShell and CLI support for ICMP Azure PowerShell と CLI は、ネットワーク ルールの有効なプロトコルとして ICMP をサポートしていません。Azure PowerShell and CLI don't support ICMP as a valid protocol in network rules. それでも、ポータルと REST API を介して ICMP をプロトコルとして使用することが可能です。It's still possible to use ICMP as a protocol via the portal and the REST API. 近いうちに PowerShell と CLI に ICMP を追加するよう取り組んでいます。We're working to add ICMP in PowerShell and CLI soon.
FQDN タグで port:protocol を設定する必要があるFQDN tags require a protocol: port to be set FQDN タグを使用するアプリケーション ルールには、port:protocol の定義が必要です。Application rules with FQDN tags require port: protocol definition. port:protocol 値として、https を使用できます。You can use https as the port: protocol value. FQDN タグの使用時にこのフィールドを省略可能にするため、取り組みを進めています。We're working to make this field optional when FQDN tags are used.
ファイアウォールを別のリソース グループまたはサブスクリプションへ移動することはサポートされていませんMoving a firewall to a different resource group or subscription isn't supported ファイアウォールを別のリソース グループまたはサブスクリプションへ移動することはサポートされていません。Moving a firewall to a different resource group or subscription isn't supported. この機能は今後サポートされる予定です。Supporting this functionality is on our road map. ファイアウォールを別のリソース グループまたはサブスクリプションに移動するには、現在のインスタンスを削除して、新しいリソース グループまたはサブスクリプション内に再作成する必要があります。To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
脅威インテリジェンス アラートがマスクされることがあるThreat intelligence alerts may get masked アラートのみのモードに構成されている場合、送信フィルター処理用の宛先 80/443 のネットワーク ルールによって脅威インテリジェンス アラートがマスクされます。Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. アプリケーション ルールを使用して 80/443 の送信フィルター処理を作成します。Create outbound filtering for 80/443 using application rules. または、脅威インテリジェンス モードを [Alert and Deny](アラートと拒否) に変更します。Or, change the threat intelligence mode to Alert and Deny.
Azure Firewall DNAT がプライベート IP 送信先で機能しないAzure Firewall DNAT doesn't work for private IP destinations Azure Firewall DNAT のサポートは、インターネット エグレスまたはイングレスに制限されています。Azure Firewall DNAT support is limited to Internet egress/ingress. 現在、DNAT はプライベート IP 送信先で機能しません。DNAT doesn't currently work for private IP destinations. たとえば、スポークからスポークです。For example, spoke to spoke. これは現在の制限です。This is a current limitation.
最初のパブリック IP の構成を削除できないCan't remove first public IP configuration Azure Firewall の各パブリック IP アドレスは、"IP 構成" に割り当てられています。Each Azure Firewall public IP address is assigned to an IP configuration. 最初の IP 構成はファイアウォールのデプロイ中に割り当てられ、通常、それにはファイアウォールのサブネットへの参照も含まれます (テンプレートのデプロイによって別に明示的に構成されていない場合)。The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). この IP 構成を削除するとファイアウォールの割り当てが解除されるため、削除できません。You can't delete this IP configuration because it would de-allocate the firewall. ただし、ファイアウォールで使用できるパブリック IP アドレスが他に 1 つ以上ある場合は、この IP 構成に関連付けられているパブリック IP アドレスを変更または削除できます。You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. これは仕様です。This is by design.
Availability Zones は、デプロイ時にのみ構成できます。Availability zones can only be configured during deployment. Availability Zones は、デプロイ時にのみ構成できます。Availability zones can only be configured during deployment. ファイアウォールがデプロイされた後、Availability Zones を構成することはできません。You can't configure Availability Zones after a firewall has been deployed. これは仕様です。This is by design.
受信接続での SNATSNAT on inbound connections DNAT に加えて、ファイアウォールのパブリック IP アドレスを使用した (受信) 接続は SNAT によっていずれかのファイアウォールのプライベート IP に変換されます。In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. 対称的なルーティングを実現するために、現在このような要件が (アクティブ/アクティブ NVA に対しても) 適用されます。This requirement today (also for Active/Active NVAs) to ensure symmetric routing. HTTP/S の元の送信元を保持するには、XFF ヘッダーを使用することを検討します。To preserve the original source for HTTP/S, consider using XFF headers. たとえば、ファイアウォールの直前に Azure Front DoorAzure Application Gateway などのサービスを使用します。For example, use a service such as Azure Front Door or Azure Application Gateway in front of the firewall. Azure Front Door とチェーンの一部としてファイアウォールに WAF を追加することもできます。You can also add WAF as part of Azure Front Door and chain to the firewall.
SQL の FQDN のフィルター処理がプロキシ モードでのみサポートされる (ポート 1433)SQL FQDN filtering support only in proxy mode (port 1433) Azure SQL Database、Azure Synapse Analytics、Azure SQL Managed Instance の場合:For Azure SQL Database, Azure Synapse Analytics, and Azure SQL Managed Instance:

SQL の FQDN のフィルター処理は、プロキシ モードのみでサポートされます (ポート 1433)。SQL FQDN filtering is supported in proxy-mode only (port 1433).

Azure SQL IaaS の場合:For Azure SQL IaaS:

標準以外のポートを使っている場合は、アプリケーション ルールでそれらのポートを指定できます。If you're using non-standard ports, you can specify those ports in the application rules.
リダイレクト モードの SQL (Azure 内から接続する場合の既定) では、代わりに Azure Firewall ネットワーク ルールの一部として SQL サービス タグを使ってアクセスをフィルター処理できます。For SQL in redirect mode (the default if connecting from within Azure), you can instead filter access using the SQL service tag as part of Azure Firewall network rules.
TCP ポート 25 でアウトバウンド トラフィックが許可されないOutbound traffic on TCP port 25 isn't allowed TCP ポート 25 を使用するアウトバウンド SMTP 接続はブロックされます。Outbound SMTP connections that use TCP port 25 are blocked. ポート 25 は主に、認証されていないメール配信で使用されます。Port 25 is primarily used for unauthenticated email delivery. 仮想マシンでは、これがプラットフォームの既定の動作となります。This is the default platform behavior for virtual machines. 詳細については、「Azure でのアウトバウンド SMTP 接続に関する問題のトラブルシューティング」を参照してください。For more information, see more Troubleshoot outbound SMTP connectivity issues in Azure. ただし、仮想マシンとは異なり、Azure Firewall でこの機能を有効にすることは現在できません。However, unlike virtual machines, it isn't currently possible to enable this functionality on Azure Firewall. 注: 認証済み SMTP (ポート 587) または 25 以外のポートでの SMTP を許可するには、アプリケーション ルールではなく、必ずネットワーク ルールを構成してください。現時点では、SMTP の検査がサポートされません。Note: to allow authenticated SMTP (port 587) or SMTP over a port other than 25, please make sure you configure a network rule and not an application rule as SMTP inspection is not supported at this time. SMTP のトラブルシューティング記事に記載されている推奨される方法に従ってメールを送信してください。Follow the recommended method to send email, as documented in the SMTP troubleshooting article. または、送信 SMTP アクセスを必要とする仮想マシンを、ファイアウォールへの既定のルートから除外します。Or, exclude the virtual machine that needs outbound SMTP access from your default route to the firewall. 代わりに、インターネットへの直接のアウトバウンド アクセスを構成します。Instead, configure outbound access directly to the internet.
アクティブ FTP がサポートされていないActive FTP isn't supported Azure Firewall では、FTP ポート コマンドを使用した FTP バウンス攻撃から保護するために、アクティブ FTP が無効になっています。Active FTP is disabled on Azure Firewall to protect against FTP bounce attacks using the FTP PORT command. 代わりに、パッシブ FTP を使用できます。You can use Passive FTP instead. その場合も、ファイアウォールで TCP ポート 20 と 21 を明示的に開く必要があります。You must still explicitly open TCP ports 20 and 21 on the firewall.
SNAT ポート使用率メトリックに 0% が表示されるSNAT port utilization metric shows 0% Azure Firewall SNAT ポート使用率メトリックに、SNAT ポートが使用されているときでも 0% が表示されることがあります。The Azure Firewall SNAT port utilization metric may show 0% usage even when SNAT ports are used. この場合、このメトリックがファイアウォールの正常性メトリックの一部として使用されていることで結果が不正確になります。In this case, using the metric as part of the firewall health metric provides an incorrect result. この問題は修正されており、2020 年 5 月に運用環境に配布される予定です。This issue has been fixed and rollout to production is targeted for May 2020. ファイアウォールの配置を換えることで問題が解決される場合もありますが、それには一貫性がありません。In some cases, firewall redeployment resolves the issue, but it's not consistent. 修正プログラムが配布されるまでの回避策として、status=unhealthy ではなく、status=degraded を探す目的でのみ、ファイアウォールの正常性状態を利用してください。As an intermediate workaround, only use the firewall health state to look for status=degraded, not for status=unhealthy. ポート枯渇には [低下] と表示されます。Port exhaustion will show as degraded. [異常] は、ファイアウォールの正常性に影響を与えるメトリックが増える将来のために予約されています。Not healthy is reserved for future use when the are more metrics to impact the firewall health.
強制トンネリングが有効になっている場合、DNAT はサポートされないDNAT isn't supported with Forced Tunneling enabled 強制トンネリングが有効になった状態でデプロイされているファイアウォールは、非対称ルーティングのため、インターネットからの受信アクセスをサポートできません。Firewalls deployed with Forced Tunneling enabled can't support inbound access from the Internet because of asymmetric routing. これは、非対称ルーティングのための仕様です。This is by design because of asymmetric routing. 受信接続のリターン パスは、確立された接続が検出されていないオンプレミスのファイアウォールを経由します。The return path for inbound connections goes via the on-premises firewall, which hasn't seen the connection established.
FTP サーバーの構成によっては、複数のパブリック IP アドレスがあるファイアウォールでは、アウトバウンド パッシブ FTP が機能しないことがあります。Outbound Passive FTP may not work for Firewalls with multiple public IP addresses, depending on your FTP server configuration. パッシブ FTP は、コントロールとデータのチャネルに対して異なる接続を確立します。Passive FTP establishes different connections for control and data channels. 複数のパブリック IP アドレスを持つファイアウォールは、送信データを送信するときに、ソース IP アドレスとしてパブリック IP アドレスの 1 つをランダムに選択します。When a Firewall with multiple public IP addresses sends data outbound, it randomly selects one of its public IP addresses for the source IP address. データ チャネルとコントロール チャネルとで異なる送信元 IP アドレスが使用されていると、FTP サーバーの構成によっては FTP が失敗することがあります。FTP may fail when data and control channels use different source IP addresses, depending on your FTP server configuration. 明示的な SNAT 構成が計画されています。An explicit SNAT configuration is planned. その間は、異なる送信元 IP アドレスからのデータ チャネルとコントロール チャネルを受け入れるように FTP サーバーを構成することができます (IIS の例を参照)。In the meantime, you can configure your FTP server to accept data and control channels from different source IP addresses (see an example for IIS). ただし、このケースでは、1 つの IP アドレスを使用することを検討してください。Alternatively, consider using a single IP address in this situation.
FTP サーバーの構成によっては、インバウンド パッシブ FTP が機能しないことがあります。Inbound Passive FTP may not work depending on your FTP server configuration パッシブ FTP は、コントロールとデータのチャネルに対して異なる接続を確立します。Passive FTP establishes different connections for control and data channels. 対称的なルーティングを実現するために、Azure Firewall へのインバウンド接続は、ファイアウォールのいずれかのプライベート IP アドレスに SNAT 変換されます。Inbound connections on Azure Firewall are SNATed to one of the firewall private IP address to ensure symmetric routing. データ チャネルとコントロール チャネルとで異なる送信元 IP アドレスが使用されていると、FTP サーバーの構成によっては FTP が失敗することがあります。FTP may fail when data and control channels use different source IP addresses, depending on your FTP server configuration. 元の送信元 IP アドレスの保持機能を調査中です。Preserving the original source IP address is being investigated. その間は、異なる送信元 IP アドレスからのデータ チャネルとコントロール チャネルを受け入れるように FTP サーバーを構成することができます。In the meantime, you can configure your FTP server to accept data and control channels from different source IP addresses.
NetworkRuleHit メトリックにプロトコル ディメンションがないNetworkRuleHit metric is missing a protocol dimension ApplicationRuleHit メトリックでは、プロトコルに基づいたフィルター処理が許可されていますが、対応する NetworkRuleHit メトリックにこの機能がありません。The ApplicationRuleHit metric allows filtering based protocol, but this capability is missing in the corresponding NetworkRuleHit metric. 解決策を調査中です。A fix is being investigated.
64000 から 65535 の範囲のポートを使用した NAT ルールはサポートされません。NAT rules with ports between 64000 and 65535 are unsupported Azure Firewall では、ネットワーク ルールとアプリケーション ルールで 1 から 65535 の範囲の任意のポートを使用できますが、NAT ルールでサポートされるのは、1 から 63999 の範囲のポートのみです。Azure Firewall allows any port in the 1-65535 range in network and application rules, however NAT rules only support ports in the 1-63999 range. これは現在の制限です。This is a current limitation.
構成の更新に平均 5 分かかるConfiguration updates may take five minutes on average Azure Firewall 構成の更新は平均で 3 から 5 分かかる場合があり、並列更新はサポートされていません。An Azure Firewall configuration update can take three to five minutes on average, and parallel updates aren't supported. 解決策を調査中です。A fix is being investigated.
Azure Firewall では、HTTPS トラフィックと MSSQL トラフィックのフィルター処理に SNI TLS ヘッダーが使用されるAzure Firewall uses SNI TLS headers to filter HTTPS and MSSQL traffic ブラウザーまたはサーバー ソフトウェアが Server Name Indicator (SNI) 拡張機能をサポートしていない場合は、Azure Firewall 経由で接続することがはできません。If browser or server software does not support the Server Name Indicator (SNI) extension, you won't be able to connect through Azure Firewall. ブラウザーまたはサーバー ソフトウェアが SNI をサポートしていない場合は、アプリケーション ルールではなくネットワーク ルールを使用して接続を制御できます。If browser or server software does not support SNI, then you may be able to control the connection using a network rule instead of an application rule. SNI をサポートするソフトウェアについては、「Server Name Indication」を参照してください。See Server Name Indication for software that supports SNI.
カスタム DNS が強制トンネリングで正しく機能しないCustom DNS doesn't work with forced tunneling 強制トンネリングが有効になっている場合、カスタム DNS は正しく機能しません。If force tunneling is enabled, custom DNS doesn't work. 解決策を調査中です。A fix is being investigated.
強制トンネリング モードで構成されたファイアウォールで開始と停止が機能しないStart/Stop doesn’t work with a firewall configured in forced-tunnel mode 強制トンネリング モードで構成された Azure ファイアウォールで、開始と停止が機能しません。Start/stop doesn’t work with Azure firewall configured in forced-tunnel mode. 強制トンネリングが構成された Azure Firewall を起動しようとすると、次のエラーが発生します。Attempting to start Azure Firewall with forced tunneling configured results in the following error:

Set-AzFirewall: AzureFirewall FW-xx management IP configuration cannot be added to an existing firewall. Redeploy with a management IP configuration if you want to use forced tunneling support. (Set-AzFirewall: AzureFirewall FW-xx の管理 IP 構成を既存のファイアウォールに追加できません。強制トンネリング機能を使用したい場合は、管理 IP 構成で再デプロイしてください。)
StatusCode: 400
ReasonPhrase: Bad Request (無効な要求)
Set-AzFirewall: AzureFirewall FW-xx management IP configuration cannot be added to an existing firewall. Redeploy with a management IP configuration if you want to use forced tunneling support.
StatusCode: 400
ReasonPhrase: Bad Request
調査中。Under investigation.

この問題は、既存のファイアウォールを削除してから、同じパラメーターで新しいファイアウォールを作成することで回避できます。As a workaround, you can delete the existing firewall and create a new one with the same parameters.
ポータルを使用してファイアウォール ポリシー タグを追加できないCan't add firewall policy tags using the portal Azure Firewall ポリシーにはパッチ サポートの制限があり、Azure portal を使用してタグを追加することはできません。Azure Firewall Policy has a patch support limitation that prevents you from adding a tag using the Azure portal. 次のエラーが発生します: "リソースのタグを保存できませんでした"。The following error is generated: Could not save the tags for the resource. 解決策を調査中です。A fix is being investigated. 代わりに、Azure PowerShell のコマンドレット Set-AzFirewallPolicy を使用してタグを更新することができます。Alternatively, you can use the Azure PowerShell cmdlet Set-AzFirewallPolicy to update tags.
IPv6 はまだサポートされていませんIPv6 not yet supported IPv6 アドレスをルールに追加した場合、ファイアウォールのエラーが発生します。If you add an IPv6 address to a rule, the firewall fails. IPv4 アドレスのみを使用してください。Use only IPv4 addresses. IPv6 のサポートは調査中ですIPv6 support is under investigation.

次のステップNext steps