Azure portal で Azure Firewall DNAT を使用してインバウンド インターネット トラフィックをフィルター処理する

  • [アーティクル]

インバウンド インターネット トラフィックの変換とサブネットに対するフィルター処理を行うように Azure Firewall 宛先ネットワーク アドレス変換 (DNAT) を構成できます。 DNAT を構成すると、NAT ルール コレクションの動作は、Dnat に設定されます。 その後、NAT ルール コレクション内の各ルールを使用して、ファイアウォールのパブリック IP アドレスおよびポートをプライベート IP アドレスおよびポートに変換できます。 DNAT ルールは、変換されたトラフィックを許可するための対応するネットワーク ルールを暗黙的に追加します。 セキュリティ上の理由から、ネットワークへの DNAT アクセスを許可するための特定のインターネット ソースを追加し、ワイルドカードは使用しないようにすることが推奨されています。 Azure Firewall ルール処理ロジックの詳細については、「Azure Firewall ルール処理ロジック」を参照してください。

Note

この記事では、従来のファイアウォール規則を使用してファイアウォールを管理します。 推奨される方法は、ファイアウォール ポリシーを使用することです。 ファイアウォール ポリシーを使用してこの手順を実行するには、「チュートリアル: Azure portal で Azure Firewall DNAT ポリシーを使用してインバウンド インターネット トラフィックをフィルター処理する」をご覧ください。

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

リソース グループを作成する

  1. Azure portal にサインインします。
  2. Azure portal のホーム ページで [リソース グループ] を選択し、[作成] を選択します。
  3. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  4. [リソース グループ] に「RG-DNAT-Test」と入力します。
  5. [リージョン] でリージョンを選択します。 作成する他のすべてのリソースも、同じリージョン内のものである必要があります。
  6. [Review + create](レビュー + 作成) を選択します。
  7. [作成] を選択します

ネットワーク環境を設定する

この記事では、2 つのピアリングされた VNet を作成します。

  • VN-Hub - ファイアウォールはこの VNet 内にあります。
  • VN-Spoke - ワークロード サーバーはこの VNet 内にあります。

最初に VNet を作成し、次にそれらをピアリングします。

ハブ VNet を作成する

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。

  2. [ネットワーク] で、 [仮想ネットワーク] を選択します。

  3. [作成] を選択します

  4. [リソース グループ] で、 [RG-DNAT-Test] を選択します。

  5. [名前] に「VN-Hub」と入力します。

  6. [リージョン] で、前に使用したのと同じリージョンを選択します。

  7. [次へ] を選択します。

  8. [セキュリティ] タブで [次へ] を選択します。

  9. [IPv4 アドレス空間] には、既定値の 10.0.0.0/16 をそのまま使用します。

  10. [サブネット] で、[既定] を選択します。

  11. [サブネット テンプレート] に、[Azure Firewall] を選択します。

    ファイアウォールはこのサブネットに配置されます。サブネット名は AzureFirewallSubnet でなければなりません

    Note

    AzureFirewallSubnet サブネットのサイズは /26 です。 サブネットのサイズの詳細については、「Azure Firewall に関する FAQ」を参照してください。

  12. [保存] を選択します。

  13. [Review + create](レビュー + 作成) を選択します。

  14. [作成] を選択します

スポーク VNet を作成する

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。
  2. [ネットワーク] で、 [仮想ネットワーク] を選択します。
  3. [作成] を選択します
  4. [リソース グループ] で、 [RG-DNAT-Test] を選択します。
  5. [名前] に「VN-Spoke」と入力します。
  6. [リージョン] で、前に使用したのと同じリージョンを選択します。
  7. [次へ] を選択します。
  8. [セキュリティ] タブで [次へ] を選択します。
  9. [IPv4 アドレス空間] で、既定値を編集し、 「192.168.0.0/16」と入力します。
  10. [サブネット] で、[既定] を選択します。
  11. サブネットの [名前] に「SN-Workload」と入力します。
  12. [開始アドレス] に「192.168.1.0」と入力します。
  13. [サブネット サイズ] で、[/24] を選択します。
  14. [保存] を選択します。
  15. [Review + create](レビュー + 作成) を選択します。
  16. [作成] を選択します

VNet をピアリングする

次に、2 つの VNet をピアリングします。

  1. VN-Hub 仮想ネットワークを選択します。
  2. [設定][ピアリング] を選択します。
  3. [追加] を選択します。
  4. [この仮想ネットワーク][ピアリング リンク名] に「Peer-HubSpoke」と入力します。
  5. [リモート仮想ネットワーク][ピアリング リンク名] に「Peer-SpokeHub」と入力します。
  6. 仮想ネットワークとして [VN-Spoke] を選択します。
  7. 他のすべての既定値をそのまま使用し、 [追加] を選択します。

仮想マシンの作成

ワークロード仮想マシンを作成して、SN-Workload サブネットに配置します。

  1. Azure portal メニューから [リソースの作成] を選択します。
  2. [人気のある Marketplace 製品] で、[Windows Server 2019 Datacenter] を選択します。

基本操作

  1. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  2. [リソース グループ] で、 [RG-DNAT-Test] を選択します。
  3. [仮想マシン名] に「Srv-Workload」と入力します。
  4. [リージョン] で、以前使用したのと同じ場所を選択します。
  5. ユーザー名とパスワードを入力します。
  6. ディスク を選択します。

ディスク

  1. ネットワーク を選択します。

ネットワーク

  1. [仮想ネットワーク][VN-Spoke] を選択します。
  2. [サブネット] で、 [SN-Workload] を選択します。
  3. [パブリック IP] で、 [なし] を選択します。
  4. [パブリック受信ポート][なし] を選択します。
  5. 他の設定については既定値のままにし、 [次へ: 管理] を選択します。

管理

  1. [Next:監視] を選択します。

Monitoring

  1. [起動の診断] で、 [Disable](無効) を選択します。
  2. [確認および作成] を選択します。

[確認および作成]

概要を確認し、 [作成] を選択します。 完了するまで数分かかります。

デプロイが完了したら、仮想マシンのプライベート IP アドレスをメモしてください。 これは、後でファイアウォールを構成するときに使用します。 仮想マシンの名前を選択します。 [概要] を選択し、[ネットワーク] の下のプライベート IP アドレスをメモします。

Note

パブリック IP が割り当てられていない VM、または内部の Basic Azure Load Balancer のバックエンド プール内にある VM に対しては、Azure によって既定のアウトバウンド アクセス IP が提供されます。 デフォルト送信アクセス IP メカニズムは、構成できないアウトバウンド IP アドレスを提供します。

次のいずれかのイベントが発生すると、既定のアウトバウンド アクセス IP は無効になります。

  • パブリック IP アドレスが VM に割り当てられます。
  • アウトバウンド規則の有無にかかわらず、VM は標準ロード バランサーのバックエンド プール内に配置されます。
  • Azure NAT Gateway リソースが VM のサブネットに割り当てられている。

フレキシブル オーケストレーション モードの仮想マシン スケール セットによって作成された VM には、既定のアウトバウンド アクセスがありません。

Azure のアウトバウンド接続の詳細については、「Azure での既定の送信アクセス」および「送信接続での送信元ネットワーク アドレス変換 (SNAT)を使用する」を参照してください。

ファイアウォールをデプロイする

  1. ポータルのホーム ページから [リソースの作成] を選択します。

  2. [ファイアウォール] を検索し、 [ファイアウォール] を選択します。

  3. [作成] を選択します

  4. [ファイアウォールの作成] ページで、次の表を使用してファイアウォールを構成します。

    設定
    サブスクリプション <該当するサブスクリプション>
    Resource group RG-DNAT-Test を選択します
    名前 FW-DNAT-test
    リージョン 以前使用したのと同じ場所を選択します
    ファイアウォール SKU Standard
    ファイアウォール管理 ファイアウォール規則 (クラシック) を使用してこのファイアウォールを管理する
    仮想ネットワークの選択 既存のものを使用: VN-Hub
    パブリック IP アドレス [新規追加] 、名前: fw-pip

  5. 他の既定値をそのまま使用し、 [確認および作成] を選択します。

  6. 概要を確認し、 [作成] を選択してファイアウォールを作成します。

    このデプロイには数分かかります。

  7. デプロイが完了したら、RG-DNAT-Test リソース グループに移動し、FW-DNAT-test ファイアウォールを選択します。

  8. ファイアウォールのプライベートおよびパブリック IP アドレスをメモします。 これらは、後で既定のルートと NAT ルールを作成するときに使用します。

既定のルートを作成する

SN-Workload サブネットで、送信の既定ルートがファイアウォールを通過するように構成します。

重要

宛先サブネットでファイアウォールに戻る明示的なルートを構成する必要はありません。 Azure Firewall はステートフル サービスであり、パケットとセッションは自動的に処理されます。 このルートを作成すると、ステートフル セッション ロジックが中断され、パケットと接続が切断される非対称ルーティング環境が作成されます。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。

  2. ルート テーブルを検索して選択します。

  3. [作成] を選択します

  4. [サブスクリプション] で、ご使用のサブスクリプションを選択します。

  5. [リソース グループ] で、 [RG-DNAT-Test] を選択します。

  6. [リージョン] で、前に使用したのと同じリージョンを選択します。

  7. [名前] に「RT-FWroute」と入力します。

  8. [Review + create](レビュー + 作成) を選択します。

  9. [作成] を選択します

  10. [リソースに移動] を選択します。

  11. [サブネット] を選択し、 [関連付け] を選択します。

  12. [仮想ネットワーク][VN-Spoke] を選択します。

  13. [サブネット] で、[SN-Workload] を選択します。

  14. [OK] を選択します。

  15. [ルート][追加] の順に選択します。

  16. [ルート名] に「FW-DG」と入力します。

  17. [送信先の種類] として [IP アドレス] を選択します。

  18. [宛先 IP アドレス/CIDR 範囲] に「0.0.0.0/0」と入力します。

  19. [次ホップの種類] で、 [仮想アプライアンス] を選択します。

    Azure Firewall は実際はマネージド サービスですが、この状況では仮想アプライアンスが動作します。

  20. [次ホップ アドレス] に、前にメモしておいたファイアウォールのプライベート IP アドレスを入力します。

  21. [追加] を選択します。

NAT ルールを構成する

  1. RG-DNAT-Test リソース グループを開き、FW-DNAT-test ファイアウォールを選択します。
  2. FW-DNAT-test ページの [設定] で、 [規則 (クラシック)] を選択します。
  3. [NAT ルール コレクションの追加] を選択します。
  4. [名前] に「RC-DNAT-01」と入力します。
  5. [優先度] に「200」と入力します。
  6. [ルール][名前] に「RL-01」と入力します。
  7. [プロトコル][TCP] を選択します。
  8. [Source type](送信元の種類) で、 [IP アドレス] を選択します。
  9. [送信元] に「*」と入力します。
  10. [宛先アドレス] に、ファイアウォールのパブリック IP アドレスを入力します。
  11. [宛先ポート] に「3389」と入力します。
  12. [Translated Address] (変換されたアドレス) に、Srv-Workload 仮想マシンのプライベート IP アドレスを入力します。
  13. [Translated port] (変換されたポート) に「3389」と入力します。
  14. [追加] を選択します。

完了するまで数分かかります。

ファイアウォールをテストする

  1. リモート デスクトップをファイアウォールのパブリック IP アドレスに接続します。 Srv-Workload 仮想マシンに接続する必要があります。
  2. リモート デスクトップを閉じます。

リソースのクリーンアップ

さらにテストを行うために、ファイアウォール リソースを残しておいてもかまいませんが、不要であれば、RG-DNAT-Test リソース グループを削除して、ファイアウォール関連のすべてのリソースを削除してください。

次のステップ

次に、Azure Firewall のログを監視することができます。

チュートリアル:Azure Firewall のログを監視する