Azure Firewall 基礎から最新情報まで
241 Views
December 11, 25
スライド概要
2025/12/11 YonaYona Azure Club (https://yonayona.connpass.com/event/376154/)の資料です。
Azure Firewallの基礎的な部分と、最新アップデートを一部紹介しました。
関連スライド
各ページのテキスト
Azure Firewall 基礎から最新情報まで Yo n a Yo n a A z u r e C l u b 2 0 2 5 / 1 2 / 1 1 Yu y a
目次 1. Azure Firewall 2. NSG ののののののの 3. のののののののの 4. QA のの 5. のののの ののののののののの
目次 1. Azure Firewall 2. NSG ののののののの 3. のののののののの 4. QA のの 5. のののの ののののののののの
Azure Firewall ののの Azure クラウド ワークロードに対して最上位レベルの脅威保護を提供します。 クラウドネイティブなネットワーク ファイアウォール セキュリティ サービスです。 これは完全にステートフルなサービスとしてのファイアウォールです。 組み込みの高可用性と無制限のクラウド スケーラビリティを備えています。 Azure Firewall は、東西と南北の両方のトラフィックを検査します。 ・・・とLearnには書いているのですが簡単に書くと Azureが提供するマネージド型のネットワークセキュリティサービスで、 トラフィックを制御し、不要なアクセスをブロックすることで クラウド環境のセキュリティを高めてくれます。
デプロイ時、Azure Firewall は何を守っている?
答えは・・・
Subnet単位
全然守られてない
Azure Firewall ののののののののののののののの のののの
じゃあどうするか?
ルーティング( UDR)と組み合わせる 全ての通信がAzure Firewall Subnetを通過することで 通信を検査できるようになるイメージ
目次 1. Azure Firewall 2. NSG ののののののの 3. のののののののの 4. QA のの 5. のののの ののののののののの
UDRめんどくさそう もうNSGでいいんじゃね?
NSGとの比較 NSG と Azure Firewall の違い | Japan Azure IaaS Core Support Blog https://jpaztech.github.io/blog/network/difference-nsg-fw/
目次 1. Azure Firewall 2. NSG ののののののの 3. のののののののの 4. QA のの 5. のののの ののののののののの
Azure Firewall ポリシー FQDNによるフィルタは 「ネットワーク規則」と「アプリケーション規則」
ネットワーク規則 と アプリケーション規則 どちらを使うにせよ大前提として「ホワイトリスト」である。 ※デフォルトでは全ての通信を拒否する 通信許可するFQDN aaaaaa.com xxxxx.net aaaaaa.com bbbbbb.com ・ ・ ・ ・ 実はどちらもFQDNを明記してホワイトリストを記述できる。 ワイルドカード「*」はアプリケーション規則でしか使用できない。
アプリケーション規則 FQDNを適切に許可・拒否してくれる 通信許可するFQDN aaaaaa.com xxxxx.net aaaaaa.com bbbbbb.com ・ ・ ・ ・
ネットワーク規則 FQDNを適切に許可・拒否してくれるように見える しかし、同じIPアドレスのFQDNであれば通信を許可してしまう。 aaaaaa.com 通信許可するFQDN aaaaaa.com IPアドレス5.5.5.5 bbbbbb.com ・ ・ ・ xxxxx.net 許可していないFQDN xxxxx.net IPアドレス5.5.5.5
ネットワーク規則 FQDNを記載してフィルタを設定できるが、 L4で動作するもの。 アプリケーション規則 FQDNを記載してフィルタを設定できる。 L7で動作するもの。 H T T P, H T T P S 通 信 、 F Q D N ベ ー ス で 通 信 制 御 > ア プ リ ケ ー シ ョ ン 規 則 H T T P, H T T P S 通 信 、 F Q D N ベ ー ス で 通 信 制 御 不 可 > ネ ッ ト ワ ー ク 規 則 H T T P, H T T P S , M S S Q L 以 外 の 通 信 > ネ ッ ト ワ ー ク 規 則 Azure Firewall の各ルールの動作について | Japan Azure IaaS Core Support Blog https://jpaztech.github.io/blog/network/firewall-rules/
目次 1. Azure Firewall 2. NSG ののののののの 3. のののののののの 4. QA のの 5. のののの ののののののののの
ブラックリスト形式は無理なの?
ブラックリスト形式 優先度を低く(数値は高く)全ての通信を許可し、 優先度を高く(数値は低く)拒否したいルールを記載すれば実現可能 ※優先度に設定する数値は低いほど優先度が高くなる 優先度 100 拒否するFQDN aaaaaa.com xxxxx.net aaaaaa.com bbbbbb.com ・ ・ ・ 優先度 200 全て許可 Any Allow
Azure Firewall 高すぎて検証できない問題
Azure Firewall 停止 PowerShellで停止させることで課金を止められます。
Azure Firewall ポリシー 更新めっちゃ時間かかる・・・
Azure Firewall ポリシー更新時間 経験則ですが、Azure Firewall停止後に更新すると早いです。 稼働中のAzure Firewallポリシーを更新すると時間がかかります。 状況に応じて、検証目的等であれば一度停止させてから更新するとよいかもし れません。※停止してよい環境でのみ使える手段です。
FQDNフィルター以外にも何かあるよね?
FQDN以外のフィルタ • サ ー ビ ス タ グ ・ ・ ・ 例 : WindowsVirtualDesktop AVDのサービスタグ • We b カ テ ゴ リ ・ ・ ・ ギャンブル 宝くじ、カジノなどに関連するサイト 拒否するタグ WindowsVirtualDesktop aaaaaa.com xxxxx.net ギャンブル ・ ・ ・
目次 1. Azure Firewall 2. NSG ののののののの 3. のののののののの 4. QA のの 5. のののの ののののののののの
プレスケーリング 機能 Azure Firewall 待待待待待 待待待待待待待待待 GA 待待待待待待待待 待 待待待待待待待待待待待待待待待待待待待 待待待待待待待待待待待待待待待待待待 待待待待待待待待待待待待待待待待待待待 待待待待待待待 待 待待待 待 待待待待待待待待待 待 待待 待 YonaYona 待待 待待待 待 待待待待待待待待待 待待 待 待待待待待待待待待待待待 Azure Club 待 待待 待 待
New 10月GA プレスケーリング機能 ■Azure Firewallは裏でマシンが動いている。 元々、平均スループットや CPU 使用率、コネクション数を見て自動的にスケー ルアウト/スケールインしてくれていた。 しかし、スケールアウトは5-7分かかる。正常な接続が行えない可能性がある。 ■プレスケーリング機能で変わった点 最小インスタンス数と、自動スケーリングによる最大インスタンス数を指定可 例:トラフィック量を鑑みて、最小インスタンス2とか3にしておく 例:最小・最大インスタンス数を同じ数字にする
New 10月GA プレスケーリング機能 の料金 通常行金に追加して以下の料金が発生する。 Standard ・・・ 1インスタンス時間あたり $0.07 Premium ・・・ 1インスタンス時間あたり $0.11 ※最小値を1,最大インスタンスを1にした場合でも追加料金ぽいです
ののののののの のの Azure Firewall 待待待待待待待待待 待待待待待待待待待待 待 GA 待待待待待待待 待 待 待待待待待待待待待待待待待待待待待 待待待待 待待待待待待待待待待待待待待待 待待待待待待待 待 待待待待待待待待 待待待待待待待待待待 待 YonaYona 待 待 待 待待待 Azure 待 待待 Club 待待待待待待待 待 待 待 待待待待待待待待待 待 待待 待待待待待待待待待待待待 待 待 待待 待
New 11月GA パケットキャプチャ Azure Firewallを通過する通信をパケットキャプチャできるように ストレージにpcapファイルを作成するよう設定、キャプチャ後 Wiresharkなどで確認できます。
目次 1. Azure Firewall 2. NSG ののののののの 3. のののののののの 4. QA のの 5. のののの ののののののののの
ご清聴いただき ありがとうございました Yo n a Yo n a A z u r e C l u b 2 0 2 5 / 1 2 / 1 1 Yu y a