Azure Firewall とはWhat is Azure Firewall?

Azure Firewall は、Azure Virtual Network リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. 組み込みの高可用性とクラウドの無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

ファイアウォールの概要

サブスクリプションと仮想ネットワークをまたいでアプリケーションとネットワークの接続ポリシーを一元的に作成、適用、記録できます。You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Azure Firewall では、外部のファイアウォールが仮想ネットワークからのトラフィックを識別できるよう、仮想ネットワーク リソースに静的パブリック IP アドレスが使用されます。Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. サービスはログ記録と分析を行うために Azure Monitor と完全に統合されます。The service is fully integrated with Azure Monitor for logging and analytics.

Azure Firewall では次の機能が提供されます。Azure Firewall offers the following features:

組み込みの高可用性Built-in high availability

高可用性が組み込まれているため、追加のロード バランサーは必要なく、構成すべきものもありません。High availability is built in, so no additional load balancers are required and there's nothing you need to configure.

可用性ゾーンAvailability Zones

Azure Firewall は、可用性を高めるために、複数の Availability Zones にまたがるようにデプロイ時に構成できます。Azure Firewall can be configured during deployment to span multiple Availability Zones for increased availability. Availability Zones を使用すると、可用性が高まり 99.99% のアップタイムが実現します。With Availability Zones, your availability increases to 99.99% uptime. 詳細については、Azure Firewall のサービス レベル アグリーメント (SLA) に関するページをご覧ください。For more information, see the Azure Firewall Service Level Agreement (SLA). 2 つ以上の Availability Zones を選択すると、稼働率 99.99% の SLA が提供されます。The 99.99% uptime SLA is offered when two or more Availability Zones are selected.

サービス標準の 99.95% のSLA を使用して、近接性の理由から Azure Firewall を特定のゾーンに関連付けることもできます。You can also associate Azure Firewall to a specific zone just for proximity reasons, using the service standard 99.95% SLA.

Availability Zones にデプロイされるファイアウォールについては追加のコストは発生しません。There's no additional cost for a firewall deployed in an Availability Zone. ただし、Availability Zones に関連する受信および送信データ転送については追加のコストが発生します。However, there are additional costs for inbound and outbound data transfers associated with Availability Zones. 詳細については、「帯域幅の料金詳細」をご覧ください。For more information, see Bandwidth pricing details.

Azure Firewall Availability Zones は、Availability Zones をサポートするリージョンで利用できます。Azure Firewall Availability Zones are available in regions that support Availability Zones. 詳しくは、「Azure の Availability Zones の概要」をご覧ください。For more information, see What are Availability Zones in Azure?

注意

Availability Zones は、デプロイ時にのみ構成できます。Availability Zones can only be configured during deployment. 既存のファイアウォールを構成して Availability Zones を含めることはできません。You can't configure an existing firewall to include Availability Zones.

Availability Zones の詳細については、「Azure の Availability Zones の概要」をご覧ください。For more information about Availability Zones, see What are Availability Zones in Azure?

クラウドによる無制限のスケーラビリティUnrestricted cloud scalability

Azure Firewall では、必要に応じてスケールアップしてネットワーク トラフィック フローの変化に対応できるので、ピーク時のトラフィックを処理するために予算を立てる必要がありません。Azure Firewall can scale up as much as you need to accommodate changing network traffic flows, so you don't need to budget for your peak traffic.

アプリケーションの FQDN のフィルタリング規則Application FQDN filtering rules

ワイルド カードも含まれる完全修飾ドメイン名 (FQDN) の指定された一覧に、送信 HTTP/S トラフィックまたは Azure SQL トラフィック (プレビュー) を制限できます。You can limit outbound HTTP/S traffic or Azure SQL traffic (preview) to a specified list of fully qualified domain names (FQDN) including wild cards. この機能に SSL 終了は必要ありません。This feature doesn't require SSL termination.

ネットワーク トラフィックのフィルタリング規則Network traffic filtering rules

送信元と送信先の IP アドレス、ポート、プロトコルを基準として、"許可" または "拒否" のネットワーク フィルタリング規則を一元的に作成できます。You can centrally create allow or deny network filtering rules by source and destination IP address, port, and protocol. Azure Firewall は完全にステートフルであるため、各種の接続の正当なパケットを識別できます。Azure Firewall is fully stateful, so it can distinguish legitimate packets for different types of connections. 規則は、複数のサブスクリプションと仮想ネットワークにまたがって適用および記録されます。Rules are enforced and logged across multiple subscriptions and virtual networks.

FQDN のタグFQDN tags

FQDN のタグにより、ファイアウォール経由の既知の Azure サービスのネットワーク トラフィックを簡単に許可することができます。FQDN tags make it easy for you to allow well known Azure service network traffic through your firewall. たとえば、ファイアウォール経由の Windows Update のネットワーク トラフィックを許可したいとします。For example, say you want to allow Windows Update network traffic through your firewall. アプリケーションの規則を作成して、Windows Update のタグを組み込みます。You create an application rule and include the Windows Update tag. これで、Windows Update からのネットワーク トラフィックをファイアウォール経由でフローできるようになります。Now network traffic from Windows Update can flow through your firewall.

サービス タグService tags

サービス タグは IP アドレス プレフィックスのグループを表し、セキュリティ規則の作成の複雑さを最小限に抑えるのに役立ちます。A service tag represents a group of IP address prefixes to help minimize complexity for security rule creation. 独自のサービス タグを作成することも、タグ内に含まれる IP アドレスを指定することもできません。You can't create your own service tag, nor specify which IP addresses are included within a tag. サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。Microsoft manages the address prefixes encompassed by the service tag, and automatically updates the service tag as addresses change.

脅威インテリジェンスThreat intelligence

ファイアウォール用に脅威インテリジェンスベースのフィルター処理を有効にして、既知の悪意のある IP アドレスやドメインとの間のトラフィックの警告と拒否を行うことができます。Threat intelligence-based filtering can be enabled for your firewall to alert and deny traffic from/to known malicious IP addresses and domains. この IP アドレスとドメインのソースは、Microsoft の脅威インテリジェンス フィードです。The IP addresses and domains are sourced from the Microsoft Threat Intelligence feed.

送信 SNAT サポートOutbound SNAT support

仮想ネットワーク トラフィックの送信 IP アドレスはすべて Azure Firewall パブリック IP に変換されます (送信元ネットワーク アドレス変換)。All outbound virtual network traffic IP addresses are translated to the Azure Firewall public IP (Source Network Address Translation). 仮想ネットワークからインターネット上のリモートの送信先に向かうトラフィックを特定して許可できます。You can identify and allow traffic originating from your virtual network to remote Internet destinations. 宛先 IP が IANA RFC 1918 のプライベート IP 範囲である場合、Azure Firewall は SNAT を行いません。Azure Firewall doesn’t SNAT when the destination IP is a private IP range per IANA RFC 1918. 組織でプライベート ネットワークに対してパブリック IP アドレス範囲を使用している場合、Azure Firewall は、SNAT を使用して、トラフィックのアドレスを AzureFirewallSubnet のいずれかのファイアウォール プライベート IP アドレスに変換します。If your organization uses a public IP address range for private networks, Azure Firewall will SNAT the traffic to one of the firewall private IP addresses in AzureFirewallSubnet.

受信 DNAT のサポートInbound DNAT support

ファイアウォールのパブリック IP アドレスへの着信ネットワーク トラフィックは、変換され (宛先ネットワーク アドレス変換)、仮想ネットワークのプライベート IP アドレスでフィルター処理されます。Inbound network traffic to your firewall public IP address is translated (Destination Network Address Translation) and filtered to the private IP addresses on your virtual networks.

複数のパブリック IP アドレスMultiple public IP addresses

重要

Azure PowerShell、Azure CLI、REST、およびテンプレートで、複数のパブリック IP アドレスを持つ Azure Firewall を使用できます。Azure Firewall with multiple public IP addresses is available via Azure PowerShell, Azure CLI, REST, and templates. ポータルのユーザー インターフェイスは、段階的にリージョンに追加されており、ロールアウトが完了すればすべてのリージョンで利用できるようになります。The portal user interface is being added to regions incrementally, and will be available in all regions when the rollout completes.

複数のパブリック IP アドレス (最大 100) をファイアウォールに関連付けることができます。You can associate multiple public IP addresses (up to 100) with your firewall.

これにより、次のシナリオが実現します。This enables the following scenarios:

  • DNAT - 複数の標準ポート インスタンスをバックエンド サーバーに変換できます。DNAT - You can translate multiple standard port instances to your backend servers. たとえば、2 つのパブリック IP アドレスがある場合、両方の IP アドレス用の TCP ポート 3389 (RDP) を変換できます。For example, if you have two public IP addresses, you can translate TCP port 3389 (RDP) for both IP addresses.
  • SNAT -追加のポートを送信 SNAT 接続に対して使用でき、SNAT ポートが不足する可能性を低減できます。SNAT - Additional ports are available for outbound SNAT connections, reducing the potential for SNAT port exhaustion. 現時点では、Azure Firewall は、接続に使用する送信元パブリック IP アドレスをランダムに選択します。At this time, Azure Firewall randomly selects the source public IP address to use for a connection. ネットワークにダウンストリーム フィルターがある場合、ファイアウォールに関連付けられているすべてのパブリック IP アドレスを許可する必要があります。If you have any downstream filtering on your network, you need to allow all public IP addresses associated with your firewall.

Azure Monitor ログ記録Azure Monitor logging

すべてのイベントは Azure Monitor と統合されます。そのため、ログをストレージ アカウントにアーカイブしたり、イベントをイベント ハブにストリーム配信したり、それらを Azure Monitor ログに送信したりできます。All events are integrated with Azure Monitor, allowing you to archive logs to a storage account, stream events to your Event Hub, or send them to Azure Monitor logs.

既知の問題Known issues

Azure Firewall には、次の既知の問題があります。Azure Firewall has the following known issues:

問題Issue 説明Description 対応策Mitigation
TCP/UDP 以外のプロトコル (ICMP など) に関するネットワーク フィルタリング規則が、インターネットへのトラフィックで機能しないNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic TCP/UDP 以外のプロトコルに関するネットワーク フィルタリング規則は、パブリック IP アドレスへの SNAT で機能しません。Network filtering rules for non-TCP/UDP protocols don’t work with SNAT to your public IP address. TCP/UDP 以外のプロトコルは、スポーク サブネットと VNet との間でサポートされます。Non-TCP/UDP protocols are supported between spoke subnets and VNets. Azure Firewall では Standard Load Balancer が使用されます。現在 Standard Load Balancer では、IP プロトコルの SNAT はサポートされていませんAzure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Microsoft は、将来のリリースでこのシナリオに対応できるよう方法を模索しています。We're exploring options to support this scenario in a future release.
PowerShell と CLI では ICMP がサポートされないMissing PowerShell and CLI support for ICMP Azure PowerShell と CLI は、ネットワーク ルールの有効なプロトコルとして ICMP をサポートしていません。Azure PowerShell and CLI don’t support ICMP as a valid protocol in network rules. それでも、ポータルと REST API を介して ICMP をプロトコルとして使用することが可能です。It's still possible to use ICMP as a protocol via the portal and the REST API. 近いうちに PowerShell と CLI に ICMP を追加するよう取り組んでいます。We're working to add ICMP in PowerShell and CLI soon.
FQDN タグで port:protocol を設定する必要があるFQDN tags require a protocol: port to be set FQDN タグを使用するアプリケーション ルールには、port:protocol の定義が必要です。Application rules with FQDN tags require port: protocol definition. port:protocol 値として、https を使用できます。You can use https as the port: protocol value. FQDN タグの使用時にこのフィールドを省略可能にするため、取り組みを進めています。We're working to make this field optional when FQDN tags are used.
ファイアウォールを別のリソース グループまたはサブスクリプションへ移動することはサポートされていませんMoving a firewall to a different resource group or subscription isn't supported ファイアウォールを別のリソース グループまたはサブスクリプションへ移動することはサポートされていません。Moving a firewall to a different resource group or subscription isn't supported. この機能は今後サポートされる予定です。Supporting this functionality is on our road map. ファイアウォールを別のリソース グループまたはサブスクリプションに移動するには、現在のインスタンスを削除して、新しいリソース グループまたはサブスクリプション内に再作成する必要があります。To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
ネットワークおよびアプリケーション ルールのポート範囲Port range in network and application rules 上位のポートは管理および正常性プローブ用に予約されているため、ポートは 64,000 に制限されています。Ports are limited to 64,000 as high ports are reserved for management and health probes. 現在、この制限を緩和するように取り組んでいます。We're working to relax this limitation.
脅威インテリジェンス アラートがマスクされることがあるThreat intelligence alerts may get masked アラートのみのモードに構成されている場合、送信フィルター処理用の宛先 80/443 のネットワーク ルールによって脅威インテリジェンス アラートがマスクされます。Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. アプリケーション ルールを使用して 80/443 の送信フィルター処理を作成します。Create outbound filtering for 80/443 using application rules. または、脅威インテリジェンス モードを [Alert and Deny](アラートと拒否) に変更します。Or, change the threat intelligence mode to Alert and Deny.
Azure Firewall では名前解決に Azure DNS のみが使用されるAzure Firewall uses Azure DNS only for name resolution Azure Firewall では、Azure DNS のみを使用して FQDN が解決されます。Azure Firewall resolves FQDNs using Azure DNS only. カスタム DNS サーバーはサポートされていません。A custom DNS server isn't supported. 他のサブネット上の DNS 解決への影響はありません。There's no impact on DNS resolution on other subnets. 現在、この制限を緩和するように取り組んでいます。We're working to relax this limitation.
Azure Firewall SNAT/DNAT がプライベート IP 送信先で機能しないAzure Firewall SNAT/DNAT doesn't work for private IP destinations Azure Firewall SNAT/DNAT のサポートは、インターネット エグレスまたはイングレスに制限されています。Azure Firewall SNAT/DNAT support is limited to Internet egress/ingress. 現在、SNAT/DNAT はプライベート IP 送信先で機能しません。SNAT/DNAT doesn't currently work for private IP destinations. たとえば、スポークからスポークです。For example, spoke to spoke. これは現在の制限です。This is a current limitation.
最初のパブリック IP の構成を削除できないCan't remove first public IP configuration Azure Firewall の各パブリック IP アドレスは、"IP 構成" に割り当てられています。Each Azure Firewall public IP address is assigned to an IP configuration. 最初の IP 構成はファイアウォールのデプロイ中に割り当てられ、通常、それにはファイアウォールのサブネットへの参照も含まれます (テンプレートのデプロイによって別に明示的に構成されていない場合)。The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). この IP 構成を削除するとファイアウォールの割り当てが解除されるため、削除できません。You can't delete this IP configuration because it would de-allocate the firewall. ただし、ファイアウォールで使用できるパブリック IP アドレスが他に 1 つ以上ある場合は、この IP 構成に関連付けられているパブリック IP アドレスを変更または削除できます。You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. これは設計によるものです。This is by design.
Availability Zones は、デプロイ時にのみ構成できます。Availability zones can only be configured during deployment. Availability Zones は、デプロイ時にのみ構成できます。Availability zones can only be configured during deployment. ファイアウォールがデプロイされた後、Availability Zones を構成することはできません。You can't configure Availability Zones after a firewall has been deployed. これは設計によるものです。This is by design.
受信接続での SNATSNAT on inbound connections DNAT に加えて、ファイアウォールのパブリック IP アドレスを使用した (受信) 接続は SNAT によっていずれかのファイアウォールのプライベート IP に変換されます。In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. 対称的なルーティングを実現するために、現在このような要件が (アクティブ/アクティブ NVA に対しても) 適用されます。This requirement today (also for Active/Active NVAs) to ensure symmetric routing. HTTP/S の元の送信元を保持するには、XFF ヘッダーを使用することを検討します。To preserve the original source for HTTP/S, consider using XFF headers. たとえば、ファイアウォールの直前に Azure Front Door などのサービスを使用します。For example, use a service such as Azure Front Door in front of the firewall. Azure Front Door とチェーンの一部としてファイアウォールに WAF を追加することもできます。You can also add WAF as part of Azure Front Door and chain to the firewall.
SQL の FQDN のフィルター処理がプロキシ モードでのみサポートされる (ポート 1433)SQL FQDN filtering support only in proxy mode (port 1433) Azure SQL Database、Azure SQL Data Warehouse、Azure SQL Managed Instance の場合:For Azure SQL Database, Azure SQL Data Warehouse, and Azure SQL Managed Instance:

プレビュー期間中、SQL の FQDN のフィルター処理は、プロキシ モードでのみサポートされます (ポート 1433)。During the preview, SQL FQDN filtering is supported in proxy-mode only (port 1433).

Azure SQL IaaS の場合:For Azure SQL IaaS:

標準以外のポートを使っている場合は、アプリケーション ルールでそれらのポートを指定できます。If you are using non-standard ports, you can specify those ports in the application rules.
リダイレクト モードの SQL では (Azure 内から接続する場合の既定)、代わりに Azure Firewall ネットワーク ルールの一部として SQL サービス タグを使ってアクセスをフィルター処理できます。For SQL in redirect mode, which is the default if connecting from within Azure, you can instead filter access using the SQL service tag as part of Azure Firewall network rules.

次の手順Next steps