Azure Firewall サービス タグ
サービス タグは IP アドレス プレフィックスのグループを表し、セキュリティ規則の作成の複雑さを最小限に抑えるのに役立ちます。 独自のサービス タグを作成することも、タグ内に含まれる IP アドレスを指定することもできません。 サービス タグに含まれるアドレス プレフィックスの管理は Microsoft が行い、アドレスが変化するとサービス タグは自動的に更新されます。
Azure Firewall サービス タグは、ネットワーク ルールの宛先フィールドで使用できます。 特定の IP アドレスの代わりにそれらを使用できます。
サポートされるサービス タグ
Azure Firewall は、Azure Firewall ネットワーク規則で使用する次のサービス タグをサポートしています。
- 仮想ネットワーク サービス タグに記載されているさまざまな Microsoft および Azure サービスのタグ。
- Office365 サービスの必要な IP アドレスのタグ。Office365 製品およびカテゴリ別に分割されます。 TCP/UDP ポートはご自分のルールで定義する必要があります。 詳細については、「Azure Firewall を使用して Office 365 を保護する」を参照してください。
構成
Azure Firewall では、PowerShell、Azure CLI、または Azure portal を使用したサービス タグの構成がサポートされています。
Azure PowerShell 経由で構成する
この例では、クラシック ルールを使用して Azure Firewall に変更を加えています。 まずは前に作成した Azure Firewall インスタンスへのコンテキストを取得する必要があります。
$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup
次に、新しい規則を作成する必要があります。 宛先には、前述したように、利用するサービス タグのテキスト値を指定できます。
$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow
次に、作成した新しいネットワーク規則で、Azure Firewall 定義を含む変数を更新する必要があります。
$azFirewall.NetworkRuleCollections.add($ruleCollection)
最後に、実行中の Azure Firewall インスタンスに対するネットワーク規則の変更内容をコミットする必要があります。
Set-AzFirewall -AzureFirewall $azfirewall
次のステップ
Azure Firewall ルールの詳細については、「Azure Firewall ルール処理ロジック」を参照してください。