Azure Firewallとは
Azureが提供しているクラウドベースのファイアウォールです。
SKUによって性能が異なります。
SKUによる機能差
Standard
L3-L7 フィルタリングと脅威インテリジェンスを提供してくれます。
脅威インテリジェンスとは↓
既知の悪意のある IP アドレスやドメインとの間のトラフィックを警告したり拒否したりすることができます。
Premium
Standardプランの機能に加えて特定パターンの通信内容を読み取り、攻撃を検知することができます。
Azure側で怪しい通信のパターンをリアルタイムに更新してくれており、そのパターンにあった通信を検知してくれます。
シグネチャ ベースの IDPS などの高度な機能が備わっています。
リアルタイムに更新されている 50 以上のカテゴリに分類された 67,000 以上のシグネチャにより、新たに出現した悪用方法から保護します。
Basic
小~中規模企業向けのサービス
お手頃価格で最低限Firewallとしての機能を使いたい方向けって印象です。
Standard に似ていますが、一部機能が使えません。
脅威インテリジェンスの例↓
脅威インテリジェンスの "アラート モード" のみをサポートします
全体的な機能差の詳細はこちら↓
強制トンネリング
オンプレミス、AzureFirewallそれぞれからインターネット向け通信が可能な場合はどの通信をどっちから通信させるか制御したい場合があります。
例えばAにアクセスする際はオンプレ、BはAzureFirewallからなど
そう言った時に使用する技術です。
管理NIC
元々強制トンネリングという名前だったのですが、名称が変更になったようです。
例えばAzureFirewallにpip(パブリックIPアドレス)を付けたくない場合は以下のようなことができます。
パブリック IP アドレスをインターネットに直接公開しないことが望ましい場合があります。 この場合、パブリック IP なしで管理 NIC を有効にして Azure Firewall をデプロイできます。
既知の問題
こちらにまとまっており、一通り目を通しておくとよいです。
気になった点を抜粋
SNAT ポートの枯渇。パブリック IP アドレスごとに 2,496 個のポートがサポートされます。
→大規模な設計をする際はチェックしておくべきかもしれません。
クライアント証明書認証はサポートされていません
→他にも記載がありましたが証明書関係を使う際は注意する必要がありそうです。
構成例
ハブアンドスポーク
DMZ