Azure Firewall でポリシールールを作成した後、それがどのような順番で処理されるのかについて記載します。
以下のようなプライオリティで各ルールが作成されている場合、どのような順序でルール処理されるかわかるでしょうか?
今回の設定には、以下の3つの「規則コレクション」が含まれています。
①Dev-NetworkRule01(ネットワーク / Priority: 10020)
②Dev-NetworkRule02(ネットワーク / Priority: 10010)
③Dev-ApplicationRule01(アプリケーション / Priority: 900)
これらの、ルール処理は、
②Dev-NetworkRule02 → ①Dev-NetworkRule01 → ③Dev-ApplicationRule01
の順番で実施されます。③のPriorityが一番小さいのですが、一番に処理されるというわけではありません。Azure Firewallには、以下原則があります。
- 親ポリシーは常に子ポリシーよりも優先されます。
- システムは、優先順位でルール コレクション グループを処理します。
- システムは、優先順位でルール コレクションを処理します。
- システムは DNAT ルール、ネットワーク ルール、アプリケーション ルールを処理します。
大原則で、「優先順位でルールコレクショングループ」が優先されます。
Dev-ApplicationRule01 の Priority 900 は、ネットワークルールの 10010 や 10020 よりも圧倒的に小さい数字ですが、「ネットワークルールの全処理が終わるまでは、アプリケーションルールは処理されない」 という原則がある為、順番が逆転することはありません。「ルールの種類によるステージ分け(縦の並び)」が最初にあり、そのステージの中で初めて「グループ ➔ コレクションのPriority(横の並び)」が適用されるという構造になっています。
初見だとどういう順番で処理されるのか悩んでしまいそうなので、ご注意ください。
(←参考になった場合はハートマークを押して評価お願いします)
読み込み中...