ファイアウォール ポリシーは、Azure Firewall を設定するための推奨方法です。 セキュリティ保護付き仮想ハブ内およびハブ仮想ネットワーク内の複数の Azure Firewall インスタンスにわたって使用できるグローバル リソースです。 ポリシーは、複数のリージョンおよび複数のサブスクリプションにわたって作用します。
ポリシーの作成と関連付け
ポリシーは、Azure portal、REST API、テンプレート、Azure PowerShell、CLI、Terraform など、さまざまな方法で作成、管理できます。
ポータルまたは Azure PowerShell を使用し、Azure Firewall から既存のクラシック ルールを移行して、ポリシーを作成することもできます。 詳細については、Azure Firewall 構成を Azure Firewall ポリシーに移行する方法に関するページを参照してください。
ポリシーは、Virtual WAN (セキュリティで保護された仮想ハブの作成) または仮想ネットワーク (ハブ仮想ネットワークの作成) のいずれかにデプロイされた 1 つ以上のファイアウォールに関連付けることができます。 ファイアウォールは、アカウントにリンクされている任意のリージョンまたはサブスクリプションに存在できます。
クラシック ルールとポリシー
Azure Firewall ではクラシック ルールとポリシーの両方がサポートされていますが、推奨される構成はポリシーです。 ポリシーとクラシック ルールを比較した表を次に示します。
| Subject | Policy | Classic rules |
|---|---|---|
| Contains | NAT、ネットワーク、アプリケーションルール、カスタム DNS および DNS プロキシ設定、IP グループ、脅威インテリジェンス設定 (許可リストを含む)、IDPS、TLS 検査、Web カテゴリ、URL フィルタリング | NAT、ネットワーク、アプリケーションの規則、カスタム DNS と DNS プロキシ設定、IP グループ、脅威インテリジェンスの設定 (許可リストを含む) |
| Protects | 仮想ハブ (VWAN) と仮想ネットワーク | 仮想ネットワークのみ |
| Portal experience | Firewall Manager を使用した一元管理 | スタンドアロンのファイアウォール エクスペリエンス |
| 複数のファイアウォールのサポート | ファイアウォール ポリシーは、複数のファイアウォールにまたがって使用できる個別のリソース | ルールのエクスポートとインポートを手動で行うか、サードパーティの管理ソリューションを使用 |
| Pricing | ファイアウォールの関連付けに基づいて課金されます。 See Pricing. | Free |
| サポートされるデプロイ メカニズム | ポータル、REST API、テンプレート、Azure PowerShell、CLI | ポータル、REST API、テンプレート、PowerShell、CLI |
Basic、Standard、Premium ポリシー
Azure Firewall では、Basic、Standard、Premium ポリシーがサポートされています。 次の表は、これらのポリシーの違いをまとめたものです。
| Policy type | Feature support | ファイアウォール SKU のサポート |
|---|---|---|
| Basic policy | NAT 規則、ネットワーク規則、アプリケーション規則 IP Groups 脅威インテリジェンス (アラート) |
Basic |
| Standard policy | NAT 規則、ネットワーク規則、アプリケーション規則 カスタム DNS、DNS プロキシ IP Groups Web Categories Threat Intelligence |
Standard または Premium |
| Premium policy | すべての Standard 機能のサポートに加えて、次の機能がサポートされます。 TLS Inspection Web Categories URL Filtering IDPS |
Premium |
Hierarchical policies
新しいファイアウォール ポリシーは、最初から作成することも、既存のポリシーから継承することもできます。 継承を使用すると、DevOps では、組織で義務付けられている基本ポリシーに基づいてローカル ファイアウォール ポリシーを定義できます。
新しいポリシーが空でない親ポリシーと共に作成されると、親からすべてのルールコレクションを継承します。 親ポリシーと子ポリシーの両方が同じリージョンに存在する必要があります。 ただし、ファイアウォール ポリシーは、保存場所に関係なく、任意のリージョンのファイアウォールに関連付けることができます。
Rule inheritance
親ポリシーから継承されたネットワーク ルール コレクションは、新しいポリシーの一部として定義されたネットワーク ルール コレクションよりも常に優先されます。 この同じロジックがアプリケーション ルール コレクションにも適用されます。 継承に関係なく、ネットワーク ルール コレクションはアプリケーション ルール コレクションの前に処理されます。
NAT 規則コレクションは個々のファイアウォールに固有であるため、継承されません。 NAT 規則を使用する場合は、それらを子ポリシーで定義する必要があります。
脅威インテリジェンス モードと許可リストの継承
親ポリシーからは、脅威インテリジェンス モードも継承されます。 この設定は子ポリシーでオーバーライドできますが、より厳密なモードである必要があります。無効にすることはできません。 たとえば、親ポリシーが [アラートのみ] に設定されている場合、子ポリシーは アラートと拒否に設定できますが、厳密度の低いモードには設定できません。
同様に、脅威インテリジェンス許可リストは親ポリシーから継承され、子ポリシーはこの一覧に追加の IP アドレスを追加できます。
継承では、親ポリシーに対するすべての変更が、対応する子のファイアウォール ポリシーに自動的に適用されます。
組み込みの高可用性
高可用性が組み込まれているため、構成する必要はありません。 任意のリージョンに Azure Firewall Policy オブジェクトを作成し、同じ Entra ID テナントの下にある複数の Azure Firewall インスタンスにグローバルにリンクできます。 ポリシーを作成するリージョンがダウンし、ペアになっているリージョンがある場合、ARM (Azure Resource Manager) オブジェクト メタデータは自動的にセカンダリ リージョンにフェールオーバーされます。 フェールオーバー中、またはペアのない単一リージョンが失敗状態のままである場合は、Azure Firewall ポリシー オブジェクトを変更できません。 ただし、ファイアウォール ポリシーにリンクされている Azure Firewall インスタンスは引き続き動作します。 詳しくは、「Azure でのリージョン間レプリケーション: 事業継続とディザスター リカバリー」を参照してください。
Pricing
ポリシーは、ファイアウォールの関連付けに基づいて課金されます。 ファイアウォールの関連付けが 0 個または 1 個のポリシーは無料です。 ファイアウォールの関連付けが複数存在するポリシーは、固定レートで課金されます。 詳細については、「Azure Firewall Manager の価格」を参照してください。
Next steps
- Azure ファイアーウォールのデプロイ方法を確認する - チュートリアル: Azure portal を使用して Azure Firewall Manager でクラウド ネットワークをセキュリティで保護する
- Azure ネットワーク セキュリティの詳細