次の方法で共有

Azure portal で Azure Firewall DNAT を使用してインバウンド インターネット トラフィックをフィルター処理する

  • [アーティクル]

インバウンド インターネット トラフィックの変換とサブネットに対するフィルター処理を行うように Azure Firewall 宛先ネットワーク アドレス変換 (DNAT) を構成できます。 DNAT を構成すると、NAT ルール コレクションの動作は、Dnat に設定されます。 その後、NAT ルール コレクション内の各ルールを使用して、ファイアウォールのパブリック IP アドレスおよびポートをプライベート/パブリック IP アドレスおよびポートに変換できます。 DNAT ルールは、変換されたトラフィックを許可するための対応するネットワーク ルールを暗黙的に追加します。 セキュリティ上の理由から、ネットワークへの DNAT アクセスを許可するための特定のインターネット ソースを追加し、ワイルドカードは使用しないようにすることが推奨されています。 Azure Firewall ルール処理ロジックの詳細については、「Azure Firewall ルール処理ロジック」を参照してください。

Note

この記事では、従来のファイアウォール規則を使用してファイアウォールを管理します。 推奨される方法は、ファイアウォール ポリシーを使用することです。 ファイアウォール ポリシーを使用してこの手順を実行するには、「チュートリアル: Azure portal で Azure Firewall DNAT ポリシーを使用してインバウンド インターネット トラフィックをフィルター処理する」をご覧ください。

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

リソース グループを作成する

  1. Azure portal にサインインします。
  2. Azure portal のホーム ページで [リソース グループ] を選択し、[作成] を選択します。
  3. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  4. [リソース グループ] に「RG-DNAT-Test」と入力します。
  5. [リージョン] でリージョンを選択します。 作成する他のすべてのリソースも、同じリージョン内のものである必要があります。
  6. [Review + create](レビュー + 作成) を選択します。
  7. [作成] を選択します

ネットワーク環境を設定する

この記事では、2 つのピアリングされた VNet を作成します。

  • VN-Hub - ファイアウォールはこの VNet 内にあります。
  • VN-Spoke - ワークロード サーバーはこの VNet 内にあります。

最初に VNet を作成し、次にそれらをピアリングします。

ハブ VNet を作成する

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。

  2. [ネットワーク] で、 [仮想ネットワーク] を選択します。

  3. [作成] を選択します

  4. [リソース グループ] で、 [RG-DNAT-Test] を選択します。

  5. [名前] に「VN-Hub」と入力します。

  6. [リージョン] で、前に使用したのと同じリージョンを選択します。

  7. [次へ] を選択します。

  8. [セキュリティ] タブで [次へ] を選択します。

  9. [IPv4 アドレス空間] には、既定値の 10.0.0.0/16 をそのまま使用します。

  10. [サブネット] で、[既定] を選択します。

  11. [サブネット テンプレート] に、[Azure Firewall] を選択します。

    ファイアウォールはこのサブネットに配置されます。サブネット名は AzureFirewallSubnet でなければなりません

    Note

    AzureFirewallSubnet サブネットのサイズは /26 です。 サブネットのサイズの詳細については、「Azure Firewall に関する FAQ」を参照してください。

  12. [保存] を選択します。

  13. [Review + create](レビュー + 作成) を選択します。

  14. [作成] を選択します

スポーク VNet を作成する

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。
  2. [ネットワーク] で、 [仮想ネットワーク] を選択します。
  3. [作成] を選択します
  4. [リソース グループ] で、 [RG-DNAT-Test] を選択します。
  5. [名前] に「VN-Spoke」と入力します。
  6. [リージョン] で、前に使用したのと同じリージョンを選択します。
  7. [次へ] を選択します。
  8. [セキュリティ] タブで [次へ] を選択します。
  9. [IPv4 アドレス空間] で、既定値を編集し、 「192.168.0.0/16」と入力します。
  10. [サブネット] で、[既定] を選択します。
  11. サブネットの [名前] に「SN-Workload」と入力します。
  12. [開始アドレス] に「192.168.1.0」と入力します。
  13. [サブネット サイズ] で、[/24] を選択します。
  14. [保存] を選択します。
  15. [Review + create](レビュー + 作成) を選択します。
  16. [作成] を選択します

VNet をピアリングする

次に、2 つの VNet をピアリングします。

  1. VN-Hub 仮想ネットワークを選択します。
  2. [設定][ピアリング] を選択します。
  3. [追加] を選択します。
  4. [この仮想ネットワーク][ピアリング リンク名] に「Peer-HubSpoke」と入力します。
  5. [リモート仮想ネットワーク][ピアリング リンク名] に「Peer-SpokeHub」と入力します。
  6. 仮想ネットワークとして [VN-Spoke] を選択します。
  7. 他のすべての既定値をそのまま使用し、 [追加] を選択します。

仮想マシンの作成

ワークロード仮想マシンを作成して、SN-Workload サブネットに配置します。

  1. Azure portal メニューから [リソースの作成] を選択します。
  2. [人気のある Marketplace 製品] で、[Windows Server 2019 Datacenter] を選択します。

基本操作

  1. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  2. [リソース グループ] で、 [RG-DNAT-Test] を選択します。
  3. [仮想マシン名] に「Srv-Workload」と入力します。
  4. [リージョン] で、以前使用したのと同じ場所を選択します。
  5. ユーザー名とパスワードを入力します。
  6. ディスク を選択します。

ディスク

  1. ネットワーク を選択します。

ネットワーク

  1. [仮想ネットワーク][VN-Spoke] を選択します。
  2. [サブネット] で、 [SN-Workload] を選択します。
  3. [パブリック IP] で、 [なし] を選択します。
  4. [パブリック受信ポート][なし] を選択します。
  5. 他の設定については既定値のままにし、 [次へ: 管理] を選択します。

管理

  1. [Next:監視] を選択します。

Monitoring

  1. [起動の診断] で、 [Disable](無効) を選択します。
  2. [確認および作成] を選択します。

[確認および作成]

概要を確認し、 [作成] を選択します。 完了するまで数分かかります。

デプロイが完了したら、仮想マシンのプライベート IP アドレスをメモしてください。 これは、後でファイアウォールを構成するときに使用します。 仮想マシンの名前を選択します。 [概要] を選択し、[ネットワーク] の下のプライベート IP アドレスをメモします。

Note

パブリック IP が割り当てられていない VM、または内部の Basic Azure Load Balancer のバックエンド プール内にある VM に対しては、Azure によって既定のアウトバウンド アクセス IP が提供されます。 デフォルト送信アクセス IP メカニズムは、構成できないアウトバウンド IP アドレスを提供します。

次のいずれかのイベントが発生すると、既定のアウトバウンド アクセス IP は無効になります。

  • パブリック IP アドレスが VM に割り当てられます。
  • アウトバウンド規則の有無にかかわらず、VM は標準ロード バランサーのバックエンド プール内に配置されます。
  • Azure NAT Gateway リソースが VM のサブネットに割り当てられている。

フレキシブル オーケストレーション モードの仮想マシン スケール セットによって作成された VM には、既定のアウトバウンド アクセスがありません。

Azure のアウトバウンド接続の詳細については、「Azure での既定の送信アクセス」および「送信接続での送信元ネットワーク アドレス変換 (SNAT)を使用する」を参照してください。

ファイアウォールをデプロイする

  1. ポータルのホーム ページから [リソースの作成] を選択します。

  2. [ファイアウォール] を検索し、 [ファイアウォール] を選択します。

  3. [作成] を選択します

  4. [ファイアウォールの作成] ページで、次の表を使用してファイアウォールを構成します。

    設定
    サブスクリプション <該当するサブスクリプション>
    Resource group RG-DNAT-Test を選択します
    名前 FW-DNAT-test
    リージョン 以前使用したのと同じ場所を選択します
    ファイアウォール SKU Standard
    ファイアウォール管理 ファイアウォール規則 (クラシック) を使用してこのファイアウォールを管理する
    仮想ネットワークの選択 既存のものを使用: VN-Hub
    パブリック IP アドレス [新規追加] 、名前: fw-pip

  5. 他の既定値をそのまま使用し、 [確認および作成] を選択します。

  6. 概要を確認し、 [作成] を選択してファイアウォールを作成します。

    このデプロイには数分かかります。

  7. デプロイが完了したら、RG-DNAT-Test リソース グループに移動し、FW-DNAT-test ファイアウォールを選択します。

  8. ファイアウォールのプライベートおよびパブリック IP アドレスをメモします。 これらは、後で既定のルートと NAT ルールを作成するときに使用します。

既定のルートを作成する

SN-Workload サブネットで、送信の既定ルートがファイアウォールを通過するように構成します。

重要

宛先サブネットでファイアウォールに戻る明示的なルートを構成する必要はありません。 Azure Firewall はステートフル サービスであり、パケットとセッションは自動的に処理されます。 このルートを作成すると、ステートフル セッション ロジックが中断され、パケットと接続が切断される非対称ルーティング環境が作成されます。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。

  2. ルート テーブルを検索して選択します。

  3. [作成] を選択します

  4. [サブスクリプション] で、ご使用のサブスクリプションを選択します。

  5. [リソース グループ] で、 [RG-DNAT-Test] を選択します。

  6. [リージョン] で、前に使用したのと同じリージョンを選択します。

  7. [名前] に「RT-FWroute」と入力します。

  8. [Review + create](レビュー + 作成) を選択します。

  9. [作成] を選択します

  10. [リソースに移動] を選択します。

  11. [サブネット] を選択し、 [関連付け] を選択します。

  12. [仮想ネットワーク][VN-Spoke] を選択します。

  13. [サブネット] で、[SN-Workload] を選択します。

  14. [OK] を選択します。

  15. [ルート][追加] の順に選択します。

  16. [ルート名] に「FW-DG」と入力します。

  17. [送信先の種類] として [IP アドレス] を選択します。

  18. [宛先 IP アドレス/CIDR 範囲] に「0.0.0.0/0」と入力します。

  19. [次ホップの種類] で、 [仮想アプライアンス] を選択します。

    Azure Firewall は実際はマネージド サービスですが、この状況では仮想アプライアンスが動作します。

  20. [次ホップ アドレス] に、前にメモしておいたファイアウォールのプライベート IP アドレスを入力します。

  21. [追加] を選択します。

NAT ルールを構成する

  1. RG-DNAT-Test リソース グループを開き、FW-DNAT-test ファイアウォールを選択します。
  2. FW-DNAT-test ページの [設定] で、 [規則 (クラシック)] を選択します。
  3. [NAT ルール コレクションの追加] を選択します。
  4. [名前] に「RC-DNAT-01」と入力します。
  5. [優先度] に「200」と入力します。
  6. [ルール][名前] に「RL-01」と入力します。
  7. [プロトコル][TCP] を選択します。
  8. [Source type](送信元の種類) で、 [IP アドレス] を選択します。
  9. [送信元] に「*」と入力します。
  10. [宛先アドレス] に、ファイアウォールのパブリック IP アドレスを入力します。
  11. [宛先ポート] に「3389」と入力します。
  12. [Translated Address] (変換されたアドレス) に、Srv-Workload 仮想マシンのプライベート IP アドレスを入力します。
  13. [Translated port] (変換されたポート) に「3389」と入力します。
  14. [追加] を選択します。

完了するまで数分かかります。

ファイアウォールをテストする

  1. リモート デスクトップをファイアウォールのパブリック IP アドレスに接続します。 Srv-Workload 仮想マシンに接続する必要があります。
  2. リモート デスクトップを閉じます。

リソースのクリーンアップ

さらにテストを行うために、ファイアウォール リソースを残しておいてもかまいませんが、不要であれば、RG-DNAT-Test リソース グループを削除して、ファイアウォール関連のすべてのリソースを削除してください。

次のステップ

次に、Azure Firewall のログを監視することができます。

チュートリアル:Azure Firewall のログを監視する