Azure Firewallの適用範囲を調べてみた

はじめに

AzureのNetwork Security Group (NSG) と Azure Firewall の違いについてはAzure サポートチームの方が分かりやすくまとめてくれているのですが、動作個所として説明されている「ネットワークの境界」というのがイメージしにくかったので、実際に作ってみることにしました。

jpaztech.github.io

Azure ファイアウォールの作成

ポータルから「ファイアウォール」で探します。*1

今回は、すでに仮想マシンが2台ある既存の仮想ネットワークに作ることにします。

新規でファイアウォールポリシーを作成します。

既存のネットワークを選択すると、専用のサブネットがないと怒られてしまいました。

対象の仮想ネットワークに、「AzureFirewallSubnet」を追加してもう一度トライします*2

今度は無事指定できました。

続いて、パブリックIPを追加します。

この設定で作成してみます。

無事、作成できました。

Azure ファイアウォールの確認

作成したリソースを確認すると、「AzureFirewallSubnet」と紐づいていることが分かります。

そのため、「ネットワークの境界」とは書いてあったものの、実質、サブネットへの紐づけとなります。そうすると、「ネットワークの境界」の意図はどういうことなのか考えてみました。

Azure ファイアウォールとネットワークの境界

Azure ファイアウォールを利用するためにはリソースを作成するだけでは駄目で、ルートテーブルを設定する必要があります。

このように、外部との通信をすべて「AzureFirewallSubnet」経由にすることで「ネットワークの境界」として動作させる、ということのようでした。

今回、実際のルートテーブルの設定まではしませんが、設定方法はこちらが参考になります。

docs.microsoft.com

おわりに

質問を受けた時に、そういえばAzure ファイアウォールは作ったことがなかったので、試してみて理解が深まりました。参考になれば幸いです。

*1:「Azure ファイアウォール」で探すと見つからないので注意

*2:最初からやり直さないとAzureFirewallSubneを認識してくれませんでした

投稿者プロフィール
舟越 匠

舟越 匠

人材戦略部に所属。社内向けの技術研修をメインにしつつ、JBS Tech BlogやMS認定資格取得の推進役もやっています。資格としてはAzure Solutions Architect Expertを所持。Power AutomateやLogic Appsで楽をするのが好きです。

執筆記事一覧