ファイアウォール ポリシーは、Azure Firewall のセキュリティと運用の設定を含むトップレベルのリソースです。 ファイアウォール ポリシーを使用して、Azure Firewall がトラフィックのフィルター処理に使用するルール セットを管理できます。 ファイアウォール ポリシーは、ルール コレクション グループ、ルール コレクション、ルールの各コンポーネントを持つ階層に基づいて、ルール セットを整理、優先度付け、および処理します。
ルール コレクション グループ
ルール コレクション グループは、ルール コレクションをグループ化するために使用されます。 これらは、ファイアウォールによって処理される最初のユニットであり、値に基づいた優先順位に従います。 既定のルール コレクション グループは 3 つであり、優先度の値は設計によって事前設定されています。 これらは次の順序で処理されます。
| ルール コレクション グループ | 優先度 |
|---|---|
| 既定の DNAT (宛先ネットワーク アドレス変換) ルール コレクション グループ | 100 |
| 既定のネットワーク ルール コレクション グループ | 200 |
| 既定のアプリケーション ルール コレクション グループ | 300 |
既定のルール コレクション グループを削除したり、優先度の値を変更したりすることはできませんが、別の方法で処理順序を操作できます。 既定の設計とは異なる優先度を定義する必要がある場合は、必要な優先度の値を持つカスタム ルール コレクション グループを作成できます。 このシナリオでは、既定のルール コレクション グループを使用せず、作成したルール コレクション グループのみを使用して処理ロジックをカスタマイズします。
ルール コレクション グループには、1 つ以上のルール コレクションが含まれています。このコレクションの種類には、DNAT、ネットワーク、またはアプリケーションを指定できます。 たとえば、同じワークロードまたは仮想に属するルールをルール コレクション グループにグループ化できます。
規則コレクション グループのサイズの制限については、「Azure サブスクリプションとサービスの制限、クォータ、制約」をご覧ください。
規則のコレクション
ルール コレクションはルール コレクション グループに属し、1 つ以上のルールが含まれています。 これらはファイアウォールによって処理される 2 番目のユニットであり、値に基づいた優先順位に従います。 ルール コレクションには、定義されたアクション (許可または拒否) と優先度の値が必要です。 定義されたアクションは、ルール コレクション内のすべてのルールに適用されます。 優先度の値によって、ルール コレクションの処理順序が決まります。
次の 3 つの種類のルール コレクションがあります。
- DNAT
- ネットワーク
- Application
ルールの種類は、その親ルール コレクション カテゴリに一致している必要があります。 たとえば、DNAT ルールは DNAT ルール コレクションにのみ含めることができます。
ルール
ルールはルール コレクションに属し、ネットワークで許可または拒否されるトラフィックを指定します。 これらはファイアウォールによって処理される 3 番目のユニットであり、値に基づいた優先順位に従いません。 ルールの処理ロジックは、トップダウン アプローチに従います。 ファイアウォールは、定義されたルールを使用して、ファイアウォールを通過するすべてのトラフィックを評価して、許可条件と一致するか拒否条件と一致するかを判別します。 トラフィックを許可するルールがない場合、トラフィックは既定で拒否されます。
組み込みのインフラストラクチャ ルール コレクションは、既定で拒否する前に、アプリケーション ルールに対してトラフィックを処理します。
受信と送信
受信ファイアウォール規則は、ネットワーク外部から送信され (インターネットから送信されるトラフィック)、ネットワーク内部に侵入しようとするトラフィックの脅威からネットワークを保護します。
送信ファイアウォール規則は、内部で発信され (Azure 内のプライベート IP アドレスから送信されるトラフィック)、外部へと移動する悪質なトラフィックから保護します。 これは通常、宛先に到達する前にファイアウォール経由でリダイレクトされる Azure リソース内からのトラフィックです。
ルールの種類
規則には次の 3 種類があります。
- DNAT
- ネットワーク
- Application
DNAT ルール
DNAT ルールは、1 つ以上のファイアウォールのパブリック IP アドレスを介した受信トラフィックを許可または拒否します。 パブリック IP アドレスをプライベート IP アドレスに変換する場合は、DNAT 規則を使用できます。 Azure Firewall のパブリック IP アドレスを使用して、インターネットからの受信トラフィックをリッスンし、トラフィックをフィルター処理して、このトラフィックを Azure の内部リソースに変換できます。
ネットワーク ルール
ネットワーク ルールでは、ネットワーク レイヤー (L3) とトランスポート レイヤー (L4) に基づいて、受信、送信、および East-West のトラフィックを許可または拒否します。
IP アドレス、任意のポート、および任意のプロトコルに基づいてトラフィックをフィルター処理する場合は、ネットワーク ルールを使用できます。
アプリケーション ルール
アプリケーション ルールでは、アプリケーション レイヤー (L7) に基づいて、送信および East-West のトラフィックを許可または拒否します。 完全修飾ドメイン名 (FQDN)、URL、および HTTP/HTTPS プロトコルに基づいてトラフィックをフィルター処理する場合は、アプリケーション ルールを使用できます。
次のステップ
- Azure Firewall ルール処理の詳細については、「Azure Firewall ルールの構成」を参照してください。