Azure Firewallとは？意味をわかりやすく簡単に解説

text: XEXEQ編集部

Azure Firewallとは
Azure Firewallのネットワークセキュリティ機能
NATによるインターネットアクセスの制御
FQDNフィルタリングによるアプリケーションレベルの保護
規則の柔軟な設定とログ機能
Azure Firewallの導入と設定
Azureポータルを使用したファイアウォールの作成
仮想ネットワークへのファイアウォールの接続
ファイアウォール規則の設定とテスト
Azure Firewallの監視とトラブルシューティング
Azure Monitorを使用したファイアウォールの監視
ログとメトリックの分析
一般的なトラブルシューティングの手順
参考サイト

Azure Firewallとは

Azure FirewallはMicrosoftが提供するクラウドベースのネットワークセキュリティサービスです。Azure仮想ネットワーク内のリソースを保護するために、受信トラフィックと送信トラフィックを制御し、フィルタリングを行います。

Azure Firewallは完全に管理されたサービスとして提供されており、高可用性とクラウドの拡張性を備えています。ユーザーはAzureポータル、PowerShell、CLIを通じて、ファイアウォールの作成、構成、管理を行うことができます。

このサービスは静的パブリックIPアドレスを使用し、仮想ネットワークのサブネット上に展開されます。また、複数のパブリックIPアドレスをサポートしているため、別々のインターネット接続を持つことも可能になっています。

Azure Firewallはアプリケーションレベルの保護機能も提供しています。これにより、特定のアプリケーションやポートへのアクセスを許可または拒否することができ、より細かなセキュリティ制御が実現します。

さらに、Azure Firewallは脅威インテリジェンスにも対応しています。Microsoftの脅威インテリジェンスフィードと統合することで、既知の悪意のあるIPアドレスやドメインからのトラフィックをブロックし、ネットワークの保護を強化できるのです。

Azure Firewallのネットワークセキュリティ機能

「Azure Firewallのネットワークセキュリティ機能」に関して、以下3つを簡単に解説していきます。

NATによるインターネットアクセスの制御
FQDNフィルタリングによるアプリケーションレベルの保護
規則の柔軟な設定とログ機能

NATによるインターネットアクセスの制御

Azure FirewallはNATを使用して、インターネットへのアクセスを制御します。送信元ネットワークアドレス変換(SNAT)を使用して、仮想ネットワーク内のプライベートIPアドレスを、ファイアウォールのパブリックIPアドレスに変換することができます。

また、宛先ネットワークアドレス変換(DNAT)を使用して、インターネットからのトラフィックを、仮想ネットワーク内の特定のリソースに転送することも可能です。これにより、必要なトラフィックのみを許可し、不要なアクセスをブロックできるのです。

NATを使用することで、仮想ネットワーク内のリソースを隠蔽しつつ、必要な通信を実現できます。これにより、ネットワークのセキュリティを向上させながら、柔軟なアクセス制御が可能になります。

FQDNフィルタリングによるアプリケーションレベルの保護

Azure Firewallは完全修飾ドメイン名(FQDN)フィルタリングをサポートしています。これにより、ドメイン名に基づいて、アプリケーションレベルでトラフィックを制御することができます。

FQDNフィルタリングを使用することで、特定のドメインやサブドメインへのアクセスを許可または拒否できます。例えば、Office 365やAzureサービスへのアクセスのみを許可し、他のWebサイトへのアクセスをブロックするといったことが可能です。

また、ワイルドカードを使用して、複数のサブドメインを一括で指定することもできます。これにより、きめ細かなアプリケーションレベルの保護を実現し、ネットワークのセキュリティを強化できるのです。

規則の柔軟な設定とログ機能

Azure Firewallは柔軟な規則設定機能を提供しています。ネットワーク規則とアプリケーション規則を使用して、トラフィックのフィルタリングと制御を行うことができます。

ネットワーク規則では送信元IPアドレス、宛先IPアドレス、ポート、プロトコルなどに基づいて、トラフィックを許可または拒否します。一方、アプリケーション規則ではFQDNに基づいて、アプリケーションレベルでトラフィックを制御できるのです。

さらに、Azure Firewallは詳細なログ機能も提供しています。ファイアウォールを通過するトラフィックのログを取得し、分析することができます。これにより、ネットワークの状態を可視化し、潜在的な脅威を早期に検出することが可能になります。

Azure Firewallの導入と設定

「Azure Firewallの導入と設定」に関して、以下3つを簡単に解説していきます。

Azureポータルを使用したファイアウォールの作成
仮想ネットワークへのファイアウォールの接続
ファイアウォール規則の設定とテスト

Azureポータルを使用したファイアウォールの作成

Azure Firewallを導入するにはまずAzureポータルを使用してファイアウォールを作成する必要があります。Azureポータルにログインし、「ファイアウォール」サービスを選択して、新しいファイアウォールを作成します。

ファイアウォールの作成時には名前、リソースグループ、地域、仮想ネットワーク、サブネットなどを指定します。また、パブリックIPアドレスを割り当てて、インターネットからのトラフィックを受信できるようにします。

ファイアウォールの作成が完了したら、Azureポータルを通じて、ファイアウォールの状態を確認することができます。ファイアウォールの概要ページではIPアドレス、ネットワーク設定、ルールなどの情報を確認できます。

仮想ネットワークへのファイアウォールの接続

Azure Firewallを作成したら、保護対象の仮想ネットワークにファイアウォールを接続する必要があります。これにより、仮想ネットワーク内のトラフィックがファイアウォールを通過するようになります。

ファイアウォールを仮想ネットワークに接続するには仮想ネットワークの設定を変更します。仮想ネットワークのサブネットを選択し、ファイアウォールを関連付けます。これにより、サブネット内のトラフィックがファイアウォールを経由するようになります。

また、ファイアウォールのルートテーブルを設定して、仮想ネットワークからのトラフィックがファイアウォールに転送されるようにします。これにより、仮想ネットワーク内のリソースからのトラフィックが、ファイアウォールによって制御されるようになります。

ファイアウォール規則の設定とテスト

Azure Firewallに仮想ネットワークを接続したら、ファイアウォールの規則を設定する必要があります。ファイアウォールの規則はトラフィックのフィルタリングと制御を行うために使用されます。

Azureポータルを使用して、ネットワーク規則とアプリケーション規則を作成します。ネットワーク規則では送信元IPアドレス、宛先IPアドレス、ポート、プロトコルなどに基づいて、トラフィックを許可または拒否します。アプリケーション規則ではFQDNに基づいて、アプリケーションレベルでトラフィックを制御します。

ファイアウォールの規則を設定したら、実際にトラフィックをテストして、意図した通りに動作することを確認しましょう。テスト用の仮想マシンを使用して、ファイアウォールを通過するトラフィックをシミュレートし、ログを確認して、期待通りにフィルタリングされていることを検証します。