Azure portal で Azure Firewall DNAT を使用してインバウンド インターネット トラフィックをフィルター処理する
インバウンド インターネット トラフィックの変換とサブネットに対するフィルター処理を行うように Azure Firewall 宛先ネットワーク アドレス変換 (DNAT) を構成できます。 DNAT を構成すると、NAT ルール コレクションの動作は、Dnat に設定されます。 その後、NAT ルール コレクション内の各ルールを使用して、ファイアウォールのパブリック IP アドレスおよびポートをプライベート/パブリック IP アドレスおよびポートに変換できます。 DNAT ルールは、変換されたトラフィックを許可するための対応するネットワーク ルールを暗黙的に追加します。 セキュリティ上の理由から、ネットワークへの DNAT アクセスを許可するための特定のインターネット ソースを追加し、ワイルドカードは使用しないようにすることが推奨されています。 Azure Firewall ルール処理ロジックの詳細については、「Azure Firewall ルール処理ロジック」を参照してください。
Note
この記事では、従来のファイアウォール規則を使用してファイアウォールを管理します。 推奨される方法は、ファイアウォール ポリシーを使用することです。 ファイアウォール ポリシーを使用してこの手順を実行するには、「チュートリアル: Azure portal で Azure Firewall DNAT ポリシーを使用してインバウンド インターネット トラフィックをフィルター処理する」をご覧ください。
前提条件
Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
リソース グループを作成する
- Azure portal にサインインします。
- Azure portal のホーム ページで [リソース グループ] を選択し、[作成] を選択します。
- [サブスクリプション] で、ご使用のサブスクリプションを選択します。
- [リソース グループ] に「RG-DNAT-Test」と入力します。
- [リージョン] でリージョンを選択します。 作成する他のすべてのリソースも、同じリージョン内のものである必要があります。
- [Review + create](レビュー + 作成) を選択します。
- [作成] を選択します
ネットワーク環境を設定する
この記事では、2 つのピアリングされた VNet を作成します。
- VN-Hub - ファイアウォールはこの VNet 内にあります。
- VN-Spoke - ワークロード サーバーはこの VNet 内にあります。
最初に VNet を作成し、次にそれらをピアリングします。
ハブ VNet を作成する
Azure portal のホーム ページで、 [すべてのサービス] を選択します。
[ネットワーク] で、 [仮想ネットワーク] を選択します。
[作成] を選択します
[リソース グループ] で、 [RG-DNAT-Test] を選択します。
[名前] に「VN-Hub」と入力します。
[リージョン] で、前に使用したのと同じリージョンを選択します。
[次へ] を選択します。
[セキュリティ] タブで [次へ] を選択します。
[IPv4 アドレス空間] には、既定値の 10.0.0.0/16 をそのまま使用します。
[サブネット] で、[既定] を選択します。
[サブネット テンプレート] に、[Azure Firewall] を選択します。
ファイアウォールはこのサブネットに配置されます。サブネット名は AzureFirewallSubnet でなければなりません。
Note
AzureFirewallSubnet サブネットのサイズは /26 です。 サブネットのサイズの詳細については、「Azure Firewall に関する FAQ」を参照してください。
[保存] を選択します。
[Review + create](レビュー + 作成) を選択します。
[作成] を選択します
スポーク VNet を作成する
- Azure portal のホーム ページで、 [すべてのサービス] を選択します。
- [ネットワーク] で、 [仮想ネットワーク] を選択します。
- [作成] を選択します
- [リソース グループ] で、 [RG-DNAT-Test] を選択します。
- [名前] に「VN-Spoke」と入力します。
- [リージョン] で、前に使用したのと同じリージョンを選択します。
- [次へ] を選択します。
- [セキュリティ] タブで [次へ] を選択します。
- [IPv4 アドレス空間] で、既定値を編集し、 「192.168.0.0/16」と入力します。
- [サブネット] で、[既定] を選択します。
- サブネットの [名前] に「SN-Workload」と入力します。
- [開始アドレス] に「192.168.1.0」と入力します。
- [サブネット サイズ] で、[/24] を選択します。
- [保存] を選択します。
- [Review + create](レビュー + 作成) を選択します。
- [作成] を選択します
VNet をピアリングする
次に、2 つの VNet をピアリングします。
- VN-Hub 仮想ネットワークを選択します。
- [設定] で [ピアリング] を選択します。
- [追加] を選択します。
- [この仮想ネットワーク] の [ピアリング リンク名] に「Peer-HubSpoke」と入力します。
- [リモート仮想ネットワーク] の [ピアリング リンク名] に「Peer-SpokeHub」と入力します。
- 仮想ネットワークとして [VN-Spoke] を選択します。
- 他のすべての既定値をそのまま使用し、 [追加] を選択します。
仮想マシンの作成
ワークロード仮想マシンを作成して、SN-Workload サブネットに配置します。
- Azure portal メニューから [リソースの作成] を選択します。
- [人気のある Marketplace 製品] で、[Windows Server 2019 Datacenter] を選択します。
基本操作
- [サブスクリプション] で、ご使用のサブスクリプションを選択します。
- [リソース グループ] で、 [RG-DNAT-Test] を選択します。
- [仮想マシン名] に「Srv-Workload」と入力します。
- [リージョン] で、以前使用したのと同じ場所を選択します。
- ユーザー名とパスワードを入力します。
- ディスク を選択します。
ディスク
- ネットワーク を選択します。
ネットワーク
- [仮想ネットワーク] で [VN-Spoke] を選択します。
- [サブネット] で、 [SN-Workload] を選択します。
- [パブリック IP] で、 [なし] を選択します。
- [パブリック受信ポート] で [なし] を選択します。
- 他の設定については既定値のままにし、 [次へ: 管理] を選択します。
管理
- [Next:監視] を選択します。
Monitoring
- [起動の診断] で、 [Disable](無効) を選択します。
- [確認および作成] を選択します。
[確認および作成]
概要を確認し、 [作成] を選択します。 完了するまで数分かかります。
デプロイが完了したら、仮想マシンのプライベート IP アドレスをメモしてください。 これは、後でファイアウォールを構成するときに使用します。 仮想マシンの名前を選択します。 [概要] を選択し、[ネットワーク] の下のプライベート IP アドレスをメモします。
Note
パブリック IP が割り当てられていない VM、または内部の Basic Azure Load Balancer のバックエンド プール内にある VM に対しては、Azure によって既定のアウトバウンド アクセス IP が提供されます。 デフォルト送信アクセス IP メカニズムは、構成できないアウトバウンド IP アドレスを提供します。
次のいずれかのイベントが発生すると、既定のアウトバウンド アクセス IP は無効になります。
- パブリック IP アドレスが VM に割り当てられます。
- アウトバウンド規則の有無にかかわらず、VM は標準ロード バランサーのバックエンド プール内に配置されます。
- Azure NAT Gateway リソースが VM のサブネットに割り当てられている。
フレキシブル オーケストレーション モードの仮想マシン スケール セットによって作成された VM には、既定のアウトバウンド アクセスがありません。
Azure のアウトバウンド接続の詳細については、「Azure での既定の送信アクセス」および「送信接続での送信元ネットワーク アドレス変換 (SNAT)を使用する」を参照してください。
ファイアウォールをデプロイする
ポータルのホーム ページから [リソースの作成] を選択します。
[ファイアウォール] を検索し、 [ファイアウォール] を選択します。
[作成] を選択します
[ファイアウォールの作成] ページで、次の表を使用してファイアウォールを構成します。
設定 値 サブスクリプション <該当するサブスクリプション> Resource group RG-DNAT-Test を選択します 名前 FW-DNAT-test リージョン 以前使用したのと同じ場所を選択します ファイアウォール SKU Standard ファイアウォール管理 ファイアウォール規則 (クラシック) を使用してこのファイアウォールを管理する 仮想ネットワークの選択 既存のものを使用: VN-Hub パブリック IP アドレス [新規追加] 、名前: fw-pip。 他の既定値をそのまま使用し、 [確認および作成] を選択します。
概要を確認し、 [作成] を選択してファイアウォールを作成します。
このデプロイには数分かかります。
デプロイが完了したら、RG-DNAT-Test リソース グループに移動し、FW-DNAT-test ファイアウォールを選択します。
ファイアウォールのプライベートおよびパブリック IP アドレスをメモします。 これらは、後で既定のルートと NAT ルールを作成するときに使用します。
既定のルートを作成する
SN-Workload サブネットで、送信の既定ルートがファイアウォールを通過するように構成します。
重要
宛先サブネットでファイアウォールに戻る明示的なルートを構成する必要はありません。 Azure Firewall はステートフル サービスであり、パケットとセッションは自動的に処理されます。 このルートを作成すると、ステートフル セッション ロジックが中断され、パケットと接続が切断される非対称ルーティング環境が作成されます。
Azure portal のホーム ページから [リソースの作成] を選択します。
ルート テーブルを検索して選択します。
[作成] を選択します
[サブスクリプション] で、ご使用のサブスクリプションを選択します。
[リソース グループ] で、 [RG-DNAT-Test] を選択します。
[リージョン] で、前に使用したのと同じリージョンを選択します。
[名前] に「RT-FWroute」と入力します。
[Review + create](レビュー + 作成) を選択します。
[作成] を選択します
[リソースに移動] を選択します。
[サブネット] を選択し、 [関連付け] を選択します。
[仮想ネットワーク] で [VN-Spoke] を選択します。
[サブネット] で、[SN-Workload] を選択します。
[OK] を選択します。
[ルート] 、 [追加] の順に選択します。
[ルート名] に「FW-DG」と入力します。
[送信先の種類] として [IP アドレス] を選択します。
[宛先 IP アドレス/CIDR 範囲] に「0.0.0.0/0」と入力します。
[次ホップの種類] で、 [仮想アプライアンス] を選択します。
Azure Firewall は実際はマネージド サービスですが、この状況では仮想アプライアンスが動作します。
[次ホップ アドレス] に、前にメモしておいたファイアウォールのプライベート IP アドレスを入力します。
[追加] を選択します。
NAT ルールを構成する
- RG-DNAT-Test リソース グループを開き、FW-DNAT-test ファイアウォールを選択します。
- FW-DNAT-test ページの [設定] で、 [規則 (クラシック)] を選択します。
- [NAT ルール コレクションの追加] を選択します。
- [名前] に「RC-DNAT-01」と入力します。
- [優先度] に「200」と入力します。
- [ルール] の [名前] に「RL-01」と入力します。
- [プロトコル] で [TCP] を選択します。
- [Source type](送信元の種類) で、 [IP アドレス] を選択します。
- [送信元] に「*」と入力します。
- [宛先アドレス] に、ファイアウォールのパブリック IP アドレスを入力します。
- [宛先ポート] に「3389」と入力します。
- [Translated Address] (変換されたアドレス) に、Srv-Workload 仮想マシンのプライベート IP アドレスを入力します。
- [Translated port] (変換されたポート) に「3389」と入力します。
- [追加] を選択します。
完了するまで数分かかります。
ファイアウォールをテストする
- リモート デスクトップをファイアウォールのパブリック IP アドレスに接続します。 Srv-Workload 仮想マシンに接続する必要があります。
- リモート デスクトップを閉じます。
リソースのクリーンアップ
さらにテストを行うために、ファイアウォール リソースを残しておいてもかまいませんが、不要であれば、RG-DNAT-Test リソース グループを削除して、ファイアウォール関連のすべてのリソースを削除してください。
次のステップ
次に、Azure Firewall のログを監視することができます。