・Azure Firewallは「ネットワークファイアウォール」です。ネットワークファイアフォールはネットワークレベルで動作し、インターネットとの通信や仮想ネットワークのサブネット間の通信を制御します。

例えば、フロントエンドサブネット（Webサーバーのサブネット）とバックエンドエンドサブネット（データベースサーバーのサブネット）を持つ仮想ネットワークからなる2階層システムで、Webサーバーとデータベースサーバー間の通信を制限する場合、新しくDMZ（DeMilitarized Zone）サブネットを作成しDMZサブネットにAzure Firewallを導入します。ただし、このままでは仮想ネットワーク内の仮想マシンはAzure Firewallを使ってくれません。そこで、通信を自由にコントロールできるユーザー定義ルートを作成して、フロントエンドサブネットからバックエンドサブネットへの通信をAzure Firewallを経由するように変更します。

・Azure DDoS Protection

インターネットにクラウドアプリケーションを公開する場合、DDoS(Distributed Denial of Service：分散型サービス拒否)攻撃の対策が必要です。DDoS攻撃は、ターゲットとなるサービスをに対して、複数のマシンから大量の処理要求をを行う事でサービスを負荷状態にし、停止に追い込む悪意のある攻撃です。

DDoS攻撃は、ユーザー側での対策が難しいため、Azure DDoSProtectionを利用し、Azure側で対処することが推奨されます。Azure DDoS Protectionでは、常時、DDoS攻撃を監視し、ユーザーの介入なしに自動的に危険性を軽減します。