Rainbow Engine

IT技術を分かりやすく簡潔にまとめることによる学習の効率化、また日常の気付きを記録に残すことを目指します。

Azure Microsoft

Azureの「NSG」と「Azure Firewall」の違いについて

投稿日:2021年7月23日 更新日:

 

<目次>

(1) Azureの「NSG」と「Azure Firewall」の違いについて
 (1-1) Azure Firewallとは?
 (1-2) Azure Firewallの設定内容について
 (1-3) NSGとAzure Firewallの違い(比較表)

(1) Azureの「NSG」と「Azure Firewall」の違いについて

(1-1) Azure Firewallとは?

「仮想ネットワーク(VNet)」の通信を制御する「ネットワークファイアウォール」(仮想ネットワーク単位に適用)です。そのため、制御の内容としては次のような用途になります。

・①インターネット―VNet間の通信の制御
例として、外部(インターネット)⇒DBサーバ等の通信を制御(許可/拒否)する役目を果たします。
(図111)イメージ図

・②サブネット―サブネット間の通信の制御
サブネット間の通信を制御(許可/拒否)する役目を果たします。
(図112)イメージ図
 

目次にもどる

(1-2) Azure Firewallの設定内容について

●3種類の設定が可能

AzureのFirewallは大きく分けて「NATルール」「アプリケーションルール」「ネットワークルール」3種類の規則設定が可能です。それぞれ、保護するレイヤーが異なっていたり、送信用と受信用に分かれており、以下のように整理する事ができます。
 

(表)NATルール、アプリケーションルール、ネットワークルールの違い

  NATルール ネットワークルール アプリケーションルール
・保護レイヤー L3~L4 L3~L4 L7
・送信/受信 受信用 送信用 送信用
以降、それぞれの設定の概要についてご紹介します。

 

●FW機能①:NATルール(L3~L4、受信)
 
「NATルール」は「受信用」のルール(インターネット⇒LAN)をL3~L4レイヤー(IPアドレス+ポート番号)で設定できます。
 

(表)NATルール

NATルール
(優先度:1位)
●特徴
・受信用
・L3~L4で動作 (IPアドレス&ポート番号)
・ネットワークルールより優先される
(例)
下図は「外部(インターネット)」⇒「仮想マシン(LAN内)」へのリモートデスクトップアクセスを許可した例です。
 
(図121)
(表)

ソース: 
「*」 外部(インターネット)
宛先:
「IP=40.81.199.7(パブリック)/ポート3389」 ファイアウォールのIP
変換: 「IP=10.0.0.4(プライベート)/ポート3389」 LAN内の仮想マシンへのRDP(リモデ)
●FW機能②:ネットワークルール(L3~L4、送信)
 
「ネットワークルール」は「送信用」のルール(LAN⇒インターネット)をL3~L4レイヤー(IPアドレス+ポート番号)で設定できます。
 
(表)ネットワークルール
ネットワークルール
(優先度:2位)
●特徴
・送信用
・L3~L4で動作 (IPアドレス&ポート番号)
・アプリケーションルールよりも優先される

(例)
下図は「サブネット(LAN内)」⇒「インターネット」へのアクセスの際に、DNSを許可する事でインターネットアクセスで「名前解決」できるようにする例です。
 
(図122)

(表)

ソース: 
「10.0.1.0/24」 LANのサブネット
宛先: 「209.244.3.209」 一般公開のDNSサーバ
(補足)
・ネットワークルールの指定方法は下記3タイプあります。
IPアドレス ⇒宛先にIPを指定
サービスタグ ⇒宛先にAzureのサービスを指定(サービスタグで纏めて登録できる)
FQDNs ⇒宛先にFQDNを指定(Webサイトのアドレスなど)
 
●FW機能③:アプリケーションルール(L7、送信)
 
「アプリケーションルール」は「送信用」のルール(LAN⇒インターネット)をL7レイヤー(FQDN)で設定できます(WebサイトのURL等を一括で設定できるイメージです)。
 
(表)アプリケーションルール
アプリケーションルール
(優先度:3位)
●特徴
・送信用
・L7で動作 (主にHTTP、HTTPS)

●備考
・L7(HTTP、HTTPS)の「受信」を制限したい場合は、別途WAF(Web Application Firewall)の使用が必要

(例)
下図は「サブネット(LAN内)」⇒「インターネット」へのアクセスの際に、特定のWebサイト(rainbow-engine.com)を許可する事でWebサイトにアクセスできるようにする例です。
 
(図123)

(表)

ソース: 
「10.0.0.0/24」 LANのサブネット
宛先: 「rainbow-engine.com」 私のブログ(今見てるサイト)
(補足)
・アプリケーションルールの指定方法は下記3タイプあります。
FQDNタグ ⇒Microsoft系のサイトはFQDNタグに纏まっているので、指定すると手間が省けます
ターゲットのFQDN ⇒Microsoft系以外のサイトの場合はこちらを利用
 

目次にもどる

(1-3) NSGとAzure Firewallの違い(比較表)

両者の大きな違いは「保護範囲」と「保護可能なレイヤー」です。NSGは「パーソナルファイアウォール」であり、「仮想マシン(のNIC)」や「サブネット」単位に割り当てるのに対して、Azure Firewallは「ネットワークファイアウォール」のため、「仮想ネットワーク(VNet)」単位に割り当てます。

(表)
【観点】 ①NSG
(ネットワークセキュリティグループ)
②Azure Firewall
FWの区分 パーソナルファイアウォール ネットワークファイアウォール
保護範囲 ・サブネット
・仮想マシン(のNIC)
・仮想ネットワーク(Vnet)
保護可能なレイヤー L3(ネットワーク層)
L4(トランスポート層)
L3(ネットワーク層)
L4(トランスポート層)
L7(アプリケーション層)
ステートフルか?
(※注1)
○(YES) ○(YES)
備考 ・1つ作成すると、複数の仮想マシンでも利用が可能 ・仮想ネットワーク(Vnet)毎に設定が必要(Vnetの数だけ設定が必要)

(※注1)ステートフルファイアウォールは、行きのトラフィックのみを許可すれば、帰りのトラフィックは自動的に許可される性質のことです。これにより、設定するルールの数を減らす事ができます。

目次にもどる

Adsense審査用広告コード


Adsense審査用広告コード


-Azure, Microsoft

執筆者:


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

Azure AD Privileged Identity Management(PIM)とは?

  <目次> (1) Azure AD Privileged Identity Management(PIM)とは?  (1-1) Azure AD Privileged Identity …

Azureの可用性ゾーンとは?概要や設定画面の例も交えてご紹介

  <目次> (1) Azureの可用性ゾーンとは?概要や設定画面の例も交えてご紹介  (1-1) Azureの可用性ゾーンが無い場合に起きる問題  (1-2) Azureの可用性ゾーンとは …

Azure App Serviceとは?概要と基本的な使い方をご紹介

  <目次> (1) Azure App Serviceとは?概要と基本的な使い方をご紹介  (1-1) Azure App Serviceとは?  (1-2) Azure App Serv …

Teams会議にゲスト参加する手順をご紹介

  <目次> (1) Teams会議にゲスト参加する手順をご紹介  (1-1) Teams会議のゲスト参加とは?  (1-2) ゲスト参加の手順 (1) Teams会議にゲスト参加する手順を …

Microsoft Azureとは?概要や特徴および利用方法についての解説

(0)目次&概説 (1) Azureとは?  (1-1) IaaSとは?  (1-2) PaaSとは?  (1-3) IDaaSとは? (2) Azureのデータセンター  (2-1) Azureのデ …

  • English (United States)
  • 日本語
Top