Azure Firewallの新規追加機能

このエントリは2020/02/21現在の情報に基づきます。将来の機能追加や変更に伴い、記載内容との乖離が発生する可能性があります。

以下のエントリに記載されている通り、Azure Firewallに種々の機能がPublic Previewとして追加された。

New Azure Firewall certification and features in Q1 CY2020
https://azure.microsoft.com/en-us/blog/new-azure-firewall-certification-and-features-in-q1-cy2020/
CY2020 第一四半期に新しい Azure Firewall 認定と機能を導入
https://azure.microsoft.com/ja-jp/blog/new-azure-firewall-certification-and-features-in-q1-cy2020/

追加された機能は以下の通り。

  • Forced Tunneling (強制トンネリング)
  • IPグループを利用した管理
  • SNAT private IP address rangesのカスタム構成
  • Azure Firewallのポート制限の緩和

Forced Tunneling (強制トンネリング)

外向け(Internet向け)トラフィックは通常だと直接Internetに出てしまうが、指定したNext hopに対してトラフィックを向ける仕組み。詳細は以下に記載がある。

Azure Firewall の強制トンネリング (プレビュー)
https://docs.microsoft.com/ja-jp/azure/firewall/forced-tunneling
Azure Firewall forced tunneling (preview)
https://docs.microsoft.com/en-us/azure/firewall/forced-tunneling

ユースケース

Internetへ出る前に、アウトバウンドのネットワークトラフィックをオンプレミスのエッジFirewallやネットワーク仮想アプライアンスに処理させることができる(何もしなければInternetへ直接出てしまう)。

現在の状況

  • 2020/02/20現在Public Preview(SLAなし)
  • 強制トンネリングではAzureの依存関係を満たす全てのアウトバウンドを保証できない
  • デフォルトルートを持つAzureFirewallSubnetの、直接Internetへ出ないUDR (User Defined ROute) の設定が無効化される

構成上の注意点

  • サービス管理用のトラフィックを一般利用のトラフィックと分離する
    • Public IPと関連付けられた別の専用サブネット(AzureFirewallManagementSubnet)が必要
    • このSubnetで許可される唯一のルートは、Internetへ向かうDefault Routeのみ
    • BGP route propagationは無効
  • オンプレミスへのルートを強制するためBGPで広報しているデフォルトルートがある場合、以下の作業が必要
    1. Firewall作成前に AzureFirewallSubnet と AzureFirewallManagementSubnetを作成
    2. Internetへのデフォルトルートを持つUDRを作成
    3. Virtual Network Gatewayのroute propagationの無効化
  • AzureFirewallSubnet に対し、Internetへ出る前のトラフィックを処理するよう、任意のオンプレミスFirewallもしくは仮想ネットワークアプライアンスへのルートを含めるよう構成できる
  • AzureFirewallSubnet で Virtual Network Gateway による route propagationを有効化している場合、BGPを使った AzureFirewallSubnet へのルートの公開も可能
  • 強制トンネリングをサポートするようAzure Firewallを構成すると、構成のやり直しはできない(Firewallのその他の全てのIP設定を削除すると管理IP設定も削除され、Firewallの割り当ても解除される)
  • 管理IP設定に割り当てられたPublic IPの削除はできないが、別のPublic IPを割り当てることはできる

IP Group

Azure Firewallルール内で複数のIPアドレスをまとめる仕組み。詳細は以下に記載がある。

Azure Firewall での IP グループ (プレビュー)
https://docs.microsoft.com/ja-jp/azure/firewall/ip-groups
IP Groups (preview) in Azure Firewall
https://docs.microsoft.com/en-us/azure/firewall/ip-groups
IP グループを作成する (プレビュー)
https://docs.microsoft.com/ja-jp/azure/firewall/create-ip-group
Create IP Groups (preview)
https://docs.microsoft.com/en-us/azure/firewall/create-ip-group

ユースケース

以下の用途で利用できる。

  • DNAT (Destination NAT) ルールにおけるSourceアドレスとして利用
  • ネットワークルールにおけるSource/Destinationアドレスとして利用
  • アプリケーションルールにおけるSourceアドレスとして利用

アドレスの指定方法

表現
1個のアドレス10.0.0.0
CIDRで指定10.1.0.0/30
IPアドレスレンジで指定10.2.0.0-10.2.0.31

構成上の注意点

  • Groupの指定は逐一入力するもよし、ポータルに対してであればファイルをアップロードすることで一括登録することもできる。
  • 作成したGroupはサブスクリプションやリージョンを跨いで利用可能(そのため、グループ名はユニークでなければいけない)。

現在のステータスと注意点

  • 2020/02/21現在Public Preview(SLAなし)
  • 2020/02/21現在利用できるリージョンは以下の通り(Japan East/Westとも利用できない)
    • West US
    • West US 2
    • East US
    • East US 2
    • Central US
    • North Central US
    • West Central US
    • South Central US
    • Canada Central
    • North Europe
    • West Europe
    • France Central
    • UK South
    • Australia East
    • Australia Central
    • Australia Southeast

SNAT private IP address rangesのカスタム構成

Azure FirewallのSNATの挙動は以下の通り。

  • 全てのPublic IP向けアウトバウンドトラフィックに対しては自動でSNATする
  • IANA RFC 1918のプライベートIPの範囲にDestinationアドレスがある場合はSNATしない

以下の条件のいずれかを満たす状況の場合、上記挙動では都合が悪いため、Azure Firewallを構成し、追加のカスタムIPアドレスレンジでSNATしないようにできる

  • Private NetworkとしてPublic IPのレンジを使っている
  • Azure FirewallのInternetトラフィックをオンプレミスのFirewallへと強制トンネリングしている

詳細は以下に記載がある。

Azure Firewall の SNAT プライベート IP アドレス範囲
https://docs.microsoft.com/ja-jp/azure/firewall/snat-private-range
Azure Firewall SNAT private IP address ranges
https://docs.microsoft.com/en-us/azure/firewall/snat-private-range

注意点

現時点では指定はPowerShellでのみ可能(Portal、CLIではまだできない)。

Azure Firewallのポート制限の緩和

Azure Firewallの初期プレビューリリースではネットワークルールやアプリケーションルールで64000を上回るSource/Destinationポートを含めることが出来なかった。そのため、RPCベースの接続をブロック(具体的にはActive Directoryの同期に問題あり)してしまい問題が発生していた。

今回のルール緩和でネットワークルール、アプリケーションルールとも、1-65535までのポートを指定できるようになった。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google フォト

Google アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中