【正解: A】の理由

Azure Firewall の DNAT (Destination NAT) ルールは Inbound 通信向けで、Firewall Public IP:Port を内部 Backend Private IP:Port に変換して公開する用途に使います。これにより、Web Server や RDP / SSH エンドポイントを Public IP で公開しつつ、Firewall 経由でアクセス制御を適用する設計が実現します。

【他選択肢が違う理由】

• B: Outbound SNAT は別機能 (デフォルト動作) で、DNAT は Inbound 専用です。
• C: VPN 終端は VPN Gateway の役割です。
• D: TLS 終端は Application Gateway の役割 (Firewall Premium の TLS Inspection とは別概念) です。

【参考】

Azure Firewall DNAT