プロキシサーバー登場! Azure Firewallを試す!

いいね!!

Azure Firewall とは、仮想アプライアンスとして提供されるプロキシサーバーです。
以前「Azure上にプロキシ環境を構成する!!」では、Squidにてプロキシサーバーを構築しましたが、これに置き換わるサービスとなります。

【特徴】
・[80][443][1433]に限り、FQDNでのフィルターが可能 (アプリケーションルール)
・送信元IP、宛先IP、宛先ポートでフィルターが可能 (ネットワークルール)
※ネットワークルール→アプリケーションルールの順で処理される。
・Public IP を最大100 設定可能
・SNAT & DNAT が可能 (NATルール)
・脅威インテリジェンス(既知のIPやドメインを警告/ブロック)
・ホワイトリスト方式 ※暗黙のDeny
・追加費用無しで、Availability Zones (99.99%)が可能。※送受信データ費用は必要
・強制トンネリング環境をサポートしていません。
・デフォルトルートが Internet に設定されている。

[サービスタグ] (アプリケーションルール)
Microsoft Active Protection Service (Windows Defender)
Windows Diagnostics
Windows Update
App Service Environment
Azure Backup
HDInsight


それでは、やってみよう!!

[+新規]ー[検索:firewall]ー[Firewall]を選択

名前:表示名
サブスクリプション:Azureサービスの提供範囲
リソースグループ:グループ名(複数のリソースを1つにグループ化する機能)
場所:デプロイするAzureのリージョン
仮想ネットワーク名:表示名
アドレス空間:Azure上に展開するネットワークアドレス帯
サブネットアドレス空間:「/25」以上 ※サブネット名[AzureFirewallSubnet]が必要
パブリックIPアドレス:表示名
DNSラベル名:AzureFirewall用のFQDNを指定

これにて、作成完了!!

作成した、Azure Firewallを選択し、ルールを設定

ネットワーク ルール コレクションの追加:IPアドレス、ポート番号 フィルター
アプリケーション ルール コレクションの追加:FQDN フィルター

【ネットワーク ルール】

名前:表示名
優先度:100~65000 ※小さい数が優先
アクション:[許可 / 拒否]

【アプリケーション ルール】

名前:表示名
優先度:100~65000 ※小さい数が優先
アクション:[許可 / 拒否]


Azure Firewall を試してみた!

アプリケーションルールに[www.yahoo.co.jp]を許可設定しました。

【所感】
・FQDNキャッシュの保持時間が不明
・複数の宛先から、パーツを集めてくるWebサイトを許可するのが難しい
・サブドメインを許可する設定が欲しい。