チュートリアル: Azure portal で Azure Firewall DNAT ポリシーを使用してインバウンド インターネットまたはイントラネット トラフィックをフィルター処理する

サブネットへのインバウンド インターネットまたはイントラネット (プレビュー) トラフィックを変換し、フィルター処理するように、Azure Firewall 宛先ネットワーク アドレス変換 (DNAT) ポリシーを構成できます。 DNAT を構成すると、"規則コレクション アクション" が DNAT に設定されます。 その後、NAT ルール コレクション内の各ルールを使用して、ファイアウォールのパブリックまたはプライベート IP アドレスとポートをプライベート IP アドレスとポートに変換できます。 DNAT ルールは、変換されたトラフィックを許可するための対応するネットワーク ルールを暗黙的に追加します。 セキュリティ上の理由から、ネットワークへの DNAT アクセスを許可する特定のソースを追加し、ワイルドカードは使用しないことをお勧めします。 Azure Firewall ルール処理ロジックの詳細については、「Azure Firewall ルール処理ロジック」を参照してください。

このチュートリアルでは、以下の内容を学習します。

• テスト ネットワーク環境を設定する
• ファイアウォールとポリシーをデプロイする
• 既定のルートを作成する
• DNAT ルールを構成する
• ファイアウォールをテストする

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

リソース グループを作成する

1. Azure portal にサインインします。
2. Azure portal のホーム ページで [リソース グループ] を選択し、 [追加] を選択します。
3. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
4. [リソース グループ名] に「RG-DNAT-Test」と入力します。
5. [リージョン] でリージョンを選択します。 作成する他のすべてのリソースも、同じリージョン内のものである必要があります。
6. [Review + create](レビュー + 作成) を選択します。
7. ［作成］ を選択します

ネットワーク環境を設定する

このチュートリアルでは、2 つのピアリングされた VNet を作成します。

• VN-Hub - ファイアウォールはこの VNet 内にあります。
• VN-Spoke - ワークロード サーバーはこの VNet 内にあります。

最初に VNet を作成し、次にそれらをピアリングします。

ハブ VNet を作成する

1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。

2. [ネットワーク] で、 [仮想ネットワーク] を選択します。

3. [追加] を選択します。

4. [リソース グループ] で、 [RG-DNAT-Test] を選択します。

5. [名前] に「VN-Hub」と入力します。

6. [リージョン] で、前に使用したのと同じリージョンを選択します。

7. 次へ:[次へ: IP アドレス] を選択します。

8. [IPv4 アドレス空間] には、既定値の 10.0.0.0/16 をそのまま使用します。

9. [サブネット名] で、 [default](既定) を選択します。

10. [サブネット名] を編集し、「AzureFirewallSubnet」と入力します。

    ファイアウォールはこのサブネットに配置されます。サブネット名は AzureFirewallSubnet でなければなりません。

    Note

    AzureFirewallSubnet サブネットのサイズは /26 です。 サブネットのサイズの詳細については、「Azure Firewall に関する FAQ」を参照してください。

11. [サブネット アドレス範囲] に「10.0.1.0/26」と入力します。

12. [保存] を選択します。

13. [Review + create](レビュー + 作成) を選択します。

14. ［作成］ を選択します

スポーク VNet を作成する

1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。
2. [ネットワーク] で、 [仮想ネットワーク] を選択します。
3. [追加] を選択します。
4. [リソース グループ] で、 [RG-DNAT-Test] を選択します。
5. [名前] に「VN-Spoke」と入力します。
6. [リージョン] で、前に使用したのと同じリージョンを選択します。
7. 次へ:[次へ: IP アドレス] を選択します。
8. [IPv4 アドレス空間] で、既定値を編集し、 「192.168.0.0/16」と入力します。
9. [サブネットの追加] を選択します。
10. [サブネット名] に「SN-Workload」と入力します。
11. [サブネット アドレス範囲] に「192.168.1.0/24」と入力します。
12. [追加] を選択します。
13. [Review + create](レビュー + 作成) を選択します。
14. ［作成］ を選択します

VNet をピアリングする

次に、2 つの VNet をピアリングします。

1. VN-Hub 仮想ネットワークを選択します。
2. [設定] で [ピアリング] を選択します。
3. [追加] を選択します。
4. [この仮想ネットワーク] の [ピアリング リンク名] に「Peer-HubSpoke」と入力します。
5. [リモート仮想ネットワーク] の [ピアリング リンク名] に「Peer-SpokeHub」と入力します。
6. 仮想ネットワークとして [VN-Spoke] を選択します。
7. 他のすべての既定値をそのまま使用し、 [追加] を選択します。

仮想マシンの作成

ワークロード仮想マシンを作成して、SN-Workload サブネットに配置します。

1. Azure portal メニューから [リソースの作成] を選択します。
2. [人気順] で、 [Windows Server 2016 Datacenter] を選択します。

基本操作

1. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
2. [リソース グループ] で、 [RG-DNAT-Test] を選択します。
3. [仮想マシン名] に「Srv-Workload」と入力します。
4. [リージョン] で、以前使用したのと同じ場所を選択します。
5. ユーザー名とパスワードを入力します。
6. ディスク を選択します。

ディスク

1. ネットワーク を選択します。

ネットワーク

1. [仮想ネットワーク] で [VN-Spoke] を選択します。
2. [サブネット] で、 [SN-Workload] を選択します。
3. [パブリック IP] で、 [なし] を選択します。
4. [パブリック受信ポート] で [なし] を選択します。
5. 他の設定については既定値のままにし、 [次へ: 管理] を選択します。

管理

1. [起動の診断] で、 [Disable](無効) を選択します。
2. [確認および作成] を選択します。

[確認および作成]

概要を確認し、 [作成] を選択します。 これが完了するまでに数分かかります。

デプロイが完了したら、仮想マシンのプライベート IP アドレスをメモしてください。 これは、後でファイアウォールを構成するときに使用します。 仮想マシンの名前を選択し、 [設定] で [ネットワーク] を選択して、プライベート IP アドレスを見つけます。

ファイアウォールとポリシーをデプロイする

1. ポータルのホーム ページから [リソースの作成] を選択します。

2. [ファイアウォール] を検索し、 [ファイアウォール] を選択します。

3. ［作成］ を選択します

4. [ファイアウォールの作成] ページで、次の表を使用してファイアウォールを構成します。

   設定	値
   サブスクリプション	<該当するサブスクリプション>
   Resource group	RG-DNAT-Test を選択します
   名前	FW-DNAT-test
   リージョン	以前使用したのと同じ場所を選択します
   ファイアウォール管理	ファイアウォール ポリシーを使用してこのファイアウォールを管理する
   ファイアウォール ポリシー	新規追加: fw-dnat-pol 選択したリージョン
   仮想ネットワークの選択	既存のものを使用: VN-Hub
   パブリック IP アドレス	[新規追加] 、名前: fw-pip。

5. 他の既定値をそのまま使用し、 [確認および作成] を選択します。

6. 概要を確認し、 [作成] を選択してファイアウォールを作成します。

   このデプロイには数分かかります。

7. デプロイが完了したら、RG-DNAT-Test リソース グループに移動し、FW-DNAT-test ファイアウォールを選択します。

8. ファイアウォールのプライベートおよびパブリック IP アドレスをメモします。 これらは、後で既定のルートと NAT ルールを作成するときに使用します。

既定のルートを作成する

SN-Workload サブネットで、送信の既定ルートがファイアウォールを通過するように構成します。

重要

宛先サブネットでファイアウォールに戻る明示的なルートを構成する必要はありません。 Azure Firewall はステートフル サービスであり、パケットとセッションは自動的に処理されます。 このルートを作成すると、ステートフル セッション ロジックが中断され、パケットと接続が切断される非対称ルーティング環境が作成されます。

1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。

2. [ネットワーク] で、 [ルート テーブル] を選択します。

3. [追加] を選択します。

4. [サブスクリプション] で、ご使用のサブスクリプションを選択します。

5. [リソース グループ] で、 [RG-DNAT-Test] を選択します。

6. [リージョン] で、前に使用したのと同じリージョンを選択します。

7. [名前] に「RT-FW-route」と入力します。

8. [Review + create](レビュー + 作成) を選択します。

9. ［作成］ を選択します

10. [リソースに移動] を選択します。

11. [サブネット] を選択し、 [関連付け] を選択します。

12. [仮想ネットワーク] で [VN-Spoke] を選択します。

13. [サブネット] で、[SN-Workload] を選択します。

14. [OK] を選択します。

15. [ルート] 、 [追加] の順に選択します。

16. [ルート名] に「fw-dg」と入力します。

17. [アドレス プレフィックス] に「0.0.0.0/0」と入力します。

18. [次ホップの種類] で、 [仮想アプライアンス] を選択します。

    Azure Firewall は実際はマネージド サービスですが、この状況では仮想アプライアンスが動作します。

19. [次ホップ アドレス] に、前にメモしておいたファイアウォールのプライベート IP アドレスを入力します。

20. [OK] を選択します。

NAT ルールを構成する

このルールを使用すると、ファイアウォールを介して、リモート デスクトップを Srv-Workload 仮想マシンに接続できます。

1. RG-DNAT-Test リソース グループを開き、fw-dnat-pol ファイアウォール ポリシーを選択します。
2. [設定] で、 [DNAT rules](DNAT ルール) を選択します。
3. [規則コレクションの追加] を選択します。
4. [名前] に「rdb」と入力します。
5. [優先度] に「200」と入力します。
6. [規則コレクション グループ] で、DefaultDnatRuleCollectionGroup を選択します。
7. [ルール] の [名前] に「rdp-nat」と入力します。
8. [Source type](送信元の種類) で、 [IP アドレス] を選択します。
9. [送信先] に「*」を入力します。
10. [プロトコル] で [TCP] を選択します。
11. [宛先ポート] に「3389」と入力します。
12. [送信先の種類] で [IP アドレス] を選択します。
13. [送信先] に、ファイアウォールのパブリックまたはプライベート IP アドレスを入力します。
14. [変換されたアドレス] に、Srv-Workload のプライベート IP アドレスを入力します。
15. [Translated port] (変換されたポート) に「3389」と入力します。
16. [追加] を選択します。

ファイアウォールをテストする

1. リモート デスクトップをファイアウォールのパブリック IP アドレスに接続します。 Srv-Workload 仮想マシンに接続する必要があります。
2. リモート デスクトップを閉じます。

リソースのクリーンアップ

次のチュートリアルのためにファイアウォール リソースを残しておくことができます。不要であれば、RG-DNAT-Test リソース グループを削除して、ファイアウォール関連のすべてのリソースを削除します。

次のステップ

Azure Firewall Premium をデプロイして構成する