はじめに
セキュリティを強化するうえで必ず検討すると言っても過言ではないAzure Firewallについて。
この記事では、基礎的な部分を整理してみようと思います。
1. 🔥Azure Firewallとは?
Azure Firewallは、Azureが提供するマネージド型のネットワークセキュリティサービスです。
トラフィックを制御し、不要なアクセスをブロックすることで、クラウド環境のセキュリティを高めます。
1-1.使い方のイメージをつかむ
Azure Firewallはサービスをデプロイした時点で課金が始まります。
しかし、デプロイした時点では何もブロックしてくれません。
詳しくは以下の記事にて、イメージを掴んでみましょう。
コスト削減についても記載しています。
1-2.SKU
簡単に以下にまとめています。
Learnはこちら
1-3.🛡️NSGとの違いは?
| 項目 | Azure Firewall | Network Security Group (NSG) |
|---|---|---|
| レイヤー | L3/L4 + L7 | L3/L4 |
| 対象 | 出入口トラフィック全体 | NICやサブネット単位 |
| FQDN制御 | 可能 | 不可 |
| SNAT/DNAT | 可能 | 不可 |
| 脅威インテリジェンスフィルタ | 可能 | 不可 |
| IDPS | 可能(SKUによる) | 不可 |
より詳しく確認したい方は以下のMicrosoft Japanテクニカルサポートチームのかたの記事が参考になります。
2. 🧱Azure Firewall Policyの構成要素
Azure Firewallでは、以下3つのルールコレクションを使ってトラフィックを制御します。
- 規則コレクション
- DNAT規則
- ネットワーク規則
- アプリケーション規則
ルールは「優先順位」によって評価され、数値が小さいほど優先されます。
それぞれについて詳しく以後の章で解説していきます。
2-1.規則コレクション
Firewall Policyのルールを管理できます。
ルールをグループ化し、そのルール群の優先順位まで管理できます。
ただし、以下は既に決まっています。
- DNAT規則 100
- ネットワーク規則 200
- アプリケーション規則 300
2-2.DNAT規則
インターネットからサブネットへのトラフィックを変換し、フィルター処理できます。
Learnにはこうあります。
DNAT ルールは、1 つ以上のファイアウォールのパブリック IP アドレスを介した受信トラフィックを許可または拒否します。 パブリック IP アドレスをプライベート IP アドレスに変換する場合は、DNAT 規則を使用できます。 Azure Firewall のパブリック IP アドレスを使用して、インターネットからの受信トラフィックをリッスンし、トラフィックをフィルター処理して、このトラフィックを Azure の内部リソースに変換できます。
変換されたトラフィックを許可するルールは勝手に追加されるので、個別に次項以降のネットワーク規則等を追加する必要はないです。
詳しくはこちらの記事が参考になります。
2-3.ネットワーク規則
ネットワーク レイヤー (L3) とトランスポート レイヤー (L4) に基づいてトラフィックを許可または拒否してくれます。
主にIP アドレス、任意のポート、および任意のプロトコルに基づいてトラフィックをフィルター処理する場合使用します。
逆にFQDNで使用する場合は以下に留意する必要があります。
FQDNを記載してフィルタを設定できるが、 L4で動作するもの。
2-4.アプリケーション規則
アプリケーション レイヤー (L7) に基づいて、トラフィックを許可または拒否してくれます。
完全修飾ドメイン名 (FQDN)、URL、および HTTP/HTTPS プロトコルに基づいてトラフィックをフィルター処理する場合に使用します。
ネットワーク規則とアプリケーション規則の差については以下がおすすめです。
各ルールの処理順なども参考になります。
https://jpaztech.github.io/blog/network/firewall-rules/
3. ✅動作確認
Azure Firewallのルールが正しく動作しているかを確認するには、curlコマンドが便利です。
curl -I https://www.xxxxxxx.com
✅ アクセス許可されている例
HTTP/1.1 200 OK
❌ アクセスがブロックされている例
curl: (6) Could not resolve host: www.xxxxxxx.com
-I オプションはヘッダーだけを取得します。
その他オプションや、curlの使い方については以下が参考になります。
https://tech-lab.sios.jp/archives/29999
https://qiita.com/ko1nksm/items/30982a5f357f26ae166f
4. 🔍ログ
Log Analyticsに保存して確認すると便利です。各種ログを確認することで、Azure Firewallが適切に通信を処理しているか確認することができます。
通信内容を確認することで、問題の原因特定や改善のヒントが得られることがあります。
設定はこちらの記事が参考になります。
同じ方ですが、以下の最後の方に通信ログ確認のスクショが掲載されています。
5. 💡その他機能
数多くの機能がありますが、いくつかピックアップで紹介します。
5-1.Webカテゴリ
FQDN単位ではなく、Webのカテゴリによってフィルタが可能です。
例えば「ギャンブル」というようなカテゴリが用意されています。
詳細なカテゴリ一覧はLearnを参照ください。
5-2.IDPS
SKUがPremiumであればIDPSを使用できます。
こちらが参考になります。
5-3.DNSプロキシ
DNSプロキシという機能を使用できます。
詳しくはこちらで検証内容を踏まえてまとめています。
5-4.パケットキャプチャ
Azure Firewallを使ったパケットキャプチャも可能です。
2025年のアップデート時にGAされた機能です。
以下に簡単にまとめています。
5-5.プレビュー機能
こちらに記載されています
例えばAzure Firewallへの変更履歴を追跡できる機能などがあります。
参考文献