Azure Firewall Manager を使用した Azure DDoS Protection プランの構成
Azure Firewall Manager は、大規模なネットワーク リソースを管理および保護するためのプラットフォームです。 Azure Firewall Manager では、仮想ネットワークを DDoS 保護プランに関連付けることができます。
ヒント
現在、DDoS Protection では仮想 WAN はサポートされていません。 ただし、DDoS Protection プランが関連付けられている仮想ネットワーク内の Azure Firewall に対してインターネット トラフィックを強制的にトンネリングすることで、この制限を回避することができます。
シングル テナントでは、複数のサブスクリプションにわたって DDoS Protection プランを仮想ネットワークに適用できます。 DDoS Protection プランの詳細については、「Azure DDoS Protection の概要」を参照してください。
このしくみを確認するため、ファイアウォール ポリシーを作成し、Azure Firewall で保護された仮想ネットワークを作成します。 その後、DDoS Protection プランを作成し、仮想ネットワークに関連付けます。
ファイアウォール ポリシーを作成する
Firewall Manager を使用して、ファイアウォール ポリシーを作成します。
- Azure portal から Firewall Manager を開きます。
- [Azure Firewall ポリシー] を選択します。
- [Azure ファイアウォール ポリシーの作成] を選択します。
- [リソース グループ] で、[新規作成] を選択し、「DDoS-Test-rg」と入力します。
- [ポリシーの詳細] 、 [名前] で、「fw-pol-01」と入力します。
- [リージョン] では [米国西部 2] を選択します。
- [Review + create](レビュー + 作成) を選択します。
- [作成] を選択します
セキュリティで保護された仮想ネットワークの作成
Firewall Manager を使用して、セキュリティで保護された仮想ネットワークを作成します。
- Firewall Manager を開きます。
- [仮想ネットワーク] を選択します。
- [セキュリティで保護された仮想ネットワークの新規作成] を選択します。
- [リソース グループ] で、 [DDoS-Test-rg] を選択します。
- [リージョン] では [米国西部 2] を選択します。
- [ハブの仮想ネットワークの名前] で、「Hub-vnet-01」と入力します。
- [アドレス範囲] に「10.0.0.0/16」と入力します。
- [次へ: Azure Firewall] を選択します。
- [パブリック IP アドレス] で [新規追加] を選択し、名前として「fw-pip」と入力し、 [OK] を選択します。
- [ファイアウォール サブネットのアドレス空間] に「10.0.0.0/24」と入力します。
- [Azure Firewall レベル] では、[Premium] を選択します。
- [ファイアウォール ポリシー] で [fw-pol-01] を選択します。
- [次へ :確認と作成] をクリックします。
- [作成] を選択します
DDoS Protection プランを作成する
Firewall Manager を使用して DDoS Protection プランを作成します。 [DDoS Protection プラン] ページを使用して、Azure DDoS Protection プランを作成および管理できます。
- Firewall Manager を開きます。
- [DDoS Protection プラン] を選択します。
- [作成] を選択します
- [リソース グループ] で、[DDos-Test-rg] を選択します。
- [インスタンスの詳細] 、 [名前] で、「DDoS-plan-01」と入力します。
- [リージョン] では [米国西部 2] を選択します。
- [Review + create](レビュー + 作成) を選択します。
- [作成] を選択します
DDoS Protection プランを関連付ける
これで、DDoS Protection プランをセキュリティで保護された仮想ネットワークに関連付けることができます。
- Firewall Manager を開きます。
- [仮想ネットワーク] を選択します。
- [Hub-vnet-01] のチェック ボックスをオンにします。
- [セキュリティの管理]、[DDoS Protection プランの管理] を選択します。
- [DDoS Protection プラン Standard] で、[有効にする] を選択します。
- [DDoS 保護プラン] で、 [DDoS-plan-01] を選択します。
- [保存] を選択します。
- デプロイが完了したら、 [更新] を選択します。
これで、仮想ネットワークに DDoS Protection プランが関連付けられていることがわかります。