Azure Firewall とはWhat is Azure Firewall?

Azure Firewall は、Azure Virtual Network リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. これは、組み込みの高可用性とクラウドによる無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。It is a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

重要

現在、Azure Firewall はマネージド パブリック プレビュー段階にあります。Azure Firewall is currently a managed public preview. Register-AzureRmProviderFeature PowerShell コマンドを使用して、明示的に有効にすることができます。You explicitly enable it by using the Register-AzureRmProviderFeature PowerShell command.

このパブリック プレビュー版はサービス レベル アグリーメントなしで提供されています。運用環境のワークロードに使用することは避けてください。This public preview is provided without a service-level agreement and shouldn't be used for production workloads. 特定の機能はサポート対象ではなく、機能が制限されることがあるか、Azure の場所によっては利用できない場合があります。Certain features might not be supported, might have constrained capabilities, or might not be available in all Azure locations. 詳しくは、Microsoft Azure プレビューの追加使用条件に関するページをご覧ください。For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

ファイアウォールの概要

サブスクリプションと仮想ネットワークをまたいでアプリケーションとネットワークの接続ポリシーを一元的に作成、適用、記録できます。You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Azure Firewall では、外部のファイアウォールが仮想ネットワークからのトラフィックを識別できるよう、仮想ネットワーク リソースに静的パブリック IP アドレスが使用されます。Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. サービスはログ記録と分析を行うために Azure Monitor と完全に統合されます。The service is fully integrated with Azure Monitor for logging and analytics.

機能Features

Azure Firewall パブリック プレビューでは、次の機能が提供されます。The Azure Firewall public preview offers the following features:

組み込みの高可用性Built-in high availability

高可用性が組み込まれているため、ロード バランサーを追加する必要がなく、構成が必要なものはありません。High availability is built in, so no additional load balancers are required and there is nothing you need to configure.

クラウドによる無制限のスケーラビリティUnrestricted cloud scalability

Azure Firewall では、必要に応じてスケールアップしてネットワーク トラフィック フローの変化に対応できるので、ピーク時のトラフィックを処理するために予算を立てる必要がありません。Azure Firewall can scale up as much as you need to accommodate changing network traffic flows, so you don't need to budget for your peak traffic.

FQDN フィルタリングFQDN filtering

ワイルド カードが含まれた完全修飾ドメイン名 (FQDN) の指定した一覧に、送信 HTTP/S トラフィックを制限できます。You can limit outbound HTTP/S traffic to a specified list of fully qualified domain names (FQDN) including wild cards. この機能に SSL 終了は必要ありません。This feature does not require SSL termination.

ネットワーク トラフィックのフィルタリング規則Network traffic filtering rules

送信元と送信先の IP アドレス、ポート、プロトコルを基準として、"許可" または "拒否" のネットワーク フィルタリング規則を一元的に作成できます。You can centrally create allow or deny network filtering rules by source and destination IP address, port, and protocol. Azure Firewall は完全にステートフルであるため、各種の接続の正当なパケットを識別できます。Azure Firewall is fully stateful, so it can distinguish legitimate packets for different types of connections. 規則は、複数のサブスクリプションと仮想ネットワークにまたがって適用および記録されます。Rules are enforced and logged across multiple subscriptions and virtual networks.

送信 SNAT サポートOutbound SNAT support

仮想ネットワーク トラフィックの送信 IP アドレスはすべて Azure Firewall パブリック IP に変換されます (送信元ネットワーク アドレス変換)。All outbound virtual network traffic IP addresses are translated to the Azure Firewall public IP (Source Network Address Translation). 仮想ネットワークからインターネット上のリモートの送信先に向かうトラフィックを特定して許可できます。You can identify and allow traffic originating from your virtual network to remote Internet destinations.

Azure Monitor ログ記録Azure Monitor logging

すべてのイベントは Azure Monitor と統合されます。そのため、ログをストレージ アカウントにアーカイブしたり、イベントをイベント ハブにストリーム配信したり、それらを Log Analytics に送信したりできます。All events are integrated with Azure Monitor, allowing you to archive logs to a storage account, stream events to your Event Hub, or send them to Log Analytics.

既知の問題Known issues

Azure Firewall パブリック プレビューでは、以下の既知の問題があります。The Azure Firewall public preview has the following known issues:

問題Issue 説明Description 対応策Mitigation
NSG との相互運用性Interoperability with NSGs ネットワーク セキュリティ グループ (NSG) がファイアウォール サブネットに適用された場合、送信インターネット アクセスを許可するようその NSG が構成されていても、送信インターネット接続がブロックされる可能性があります。If a network security group (NSG) is applied on the firewall subnet, it may block outbound Internet connectivity even if the NSG is configured to allow outbound internet access. 送信インターネット接続は VirtualNetwork からのものとしてマークされ、送信先は Internet です。Outbound Internet connections are marked as coming from a VirtualNetwork and the destination is Internet. NSG には、既定で VirtualNetwork から VirtualNetwork への "許可" がありますが、送信先が Internet の場合は許可がありません。An NSG has VirtualNetwork to VirtualNetwork allow by default, but not when destination is Internet. 対処するには、ファイアウォール サブネットに適用される NSG に次の受信規則を追加します。To mitigate, add the following inbound rule to the NSG that is applied on the firewall subnet:

送信元: VirtualNetwork、送信元ポート: AnySource: VirtualNetwork Source ports: Any

送信先: Any、送信先ポート: AnyDestination: Any Destination Ports: Any

プロトコル: All、アクセス: AllowProtocol: All Access: Allow
Azure Security Center (ASC) Just-in-Time (JIT) 機能との競合Conflict with Azure Security Center (ASC) Just-in-Time (JIT) feature JIT を使用して仮想マシンへのアクセスが行われており、Azure Firewall に向かうユーザー定義ルートを備えたサブネットにその仮想マシンがある場合、ASC JIT は機能しません。If a virtual machine is accessed using JIT, and is in a subnet with a user-defined route that points to Azure Firewall as a default gateway, ASC JIT doesn’t work. これは、非対称ルーティングの結果です。パケットは仮想マシン パブリック IP 経由で到着しますが (アクセスは JIT によって開かれた)、リターン パスはファイアウォール経由です。ファイアウォールでセッションが確立されていないため、パケットがファイアウォールによって破棄されます。This is a result of asymmetric routing – a packet comes in via the virtual machine public IP (JIT opened the access), but the return path is via the firewall, which drops the packet because no session is established on the firewall. この問題を回避するには、ファイアウォールへのユーザー定義ルートがない別のサブネットに JIT 仮想マシンを配置します。To work around this issue, place the JIT virtual machines on a separate subnet that doesn’t have a user-defined route to the firewall.
グローバル ピアリングを使用したハブとスポークが機能しないHub and spoke with global peering doesn’t work ある Azure リージョンにハブとファイアウォールがデプロイされており、グローバル VNET ピアリング経由でハブに接続されるスポークが別の Azure リージョンにある場合、ハブとスポークのモデルはサポートされません。The hub and spoke model, where the hub and firewall are deployed in one Azure region, with the spokes in another Azure region, connected to the hub via Global VNet Peering is not supported. 詳細については、「仮想ネットワーク ピアリングの作成、変更、削除」を参照してください。For more information, see Create, change, or delete a virtual network peering
TCP/UDP 以外のプロトコル (ICMP など) に関するネットワーク フィルタリング規則が、インターネットへのトラフィックで機能しないNetwork filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic TCP/UDP 以外のプロトコルに関するネットワーク フィルタリング規則は、パブリック IP アドレスへの SNAT で機能しません。Network filtering rules for non-TCP/UDP protocols don’t work with SNAT to your public IP address. TCP/UDP 以外のプロトコルは、スポーク サブネットと VNet との間でサポートされます。Non-TCP/UDP protocols are supported between spoke subnets and VNets. Azure Firewall では Standard Load Balancer が使用されます。現在 Standard Load Balancer では、IP プロトコルの SNAT はサポートされていませんAzure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. Microsoft は、将来のリリースでこのシナリオに対応できるよう方法を模索しています。We are exploring options to support this scenario in a future release.

次の手順Next steps