Azure Firewallの注意点(ソースNATの制約)

2024年3月7日

いろいろな機能はありつつも、特殊な要件には対応していないケースも多いという印象があるAzure Firewallですが、要件に応じられず導入を断念したケースがでたので、紹介します。(同じくAWSのFirewallも、細やかな要件には対応していない印象)

ソースNATの制約(2024年3月確認)

Azure FireWallには最大250のグローバルIPを割り当てることが可能です。

https://learn.microsoft.com/ja-jp/azure/azure-resource-manager/management/azure-subscription-service-limits#azure-firewall-limits

その場合、内部⇒インターネットへの通信で、Azure FWを経由する場合、以下のように複数のプライベートIPを、Azure FWに割り当てている様々なグローバルIPにソースNATすることは可能なのでしょうか。

プライベートIP① → グローバルIIP①

プライベートIP② → グローバルIIP②

プライベートIP③ → グローバルIIP③

    ・・・(以下同様)

結論

細かいSNATルールを定義できないので、「不可」となります。

複数のグローバルIPを割り当てた場合、均等に利用される動きとなります。(特定のプライベートIPを、特定のグローバルIPに指定してソースNATすることができない)

(参考サイト)
Firewall からインターネットに SNAT して通信する時のパブリック IP の使われ方 | Japan Azure IaaS Core Support Blog (jpaztech.github.io)

Firewall,未分類

Posted by mitsuru