次の方法で共有


チュートリアル: Azure portal で Azure Firewall DNAT ポリシーを使用してインバウンド インターネットまたはイントラネット トラフィックをフィルター処理する

サブネットへのインバウンド インターネットまたはイントラネット (プレビュー) トラフィックを変換し、フィルター処理するように、Azure Firewall 宛先ネットワーク アドレス変換 (DNAT) ポリシーを構成できます。 DNAT を構成すると、"規則コレクション アクション" が DNAT に設定されます。 その後、NAT ルール コレクション内の各ルールを使用して、ファイアウォールのパブリックまたはプライベート IP アドレスとポートをプライベート IP アドレスとポートに変換できます。 DNAT ルールは、変換されたトラフィックを許可するための対応するネットワーク ルールを暗黙的に追加します。 セキュリティ上の理由から、ネットワークへの DNAT アクセスを許可する特定のソースを追加し、ワイルドカードは使用しないことをお勧めします。 Azure Firewall ルール処理ロジックの詳細については、「Azure Firewall ルール処理ロジック」を参照してください。

このチュートリアルでは、以下の内容を学習します。

  • テスト ネットワーク環境を設定する
  • ファイアウォールとポリシーをデプロイする
  • 既定のルートを作成する
  • DNAT ルールを構成する
  • ファイアウォールをテストする

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

リソース グループを作成する

  1. Azure portal にサインインします。
  2. Azure portal のホーム ページで [リソース グループ] を選択し、 [追加] を選択します。
  3. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  4. [リソース グループ名] に「RG-DNAT-Test」と入力します。
  5. [リージョン] でリージョンを選択します。 作成する他のすべてのリソースも、同じリージョン内のものである必要があります。
  6. [Review + create](レビュー + 作成) を選択します。
  7. [作成] を選択します

ネットワーク環境を設定する

このチュートリアルでは、2 つのピアリングされた VNet を作成します。

  • VN-Hub - ファイアウォールはこの VNet 内にあります。
  • VN-Spoke - ワークロード サーバーはこの VNet 内にあります。

最初に VNet を作成し、次にそれらをピアリングします。

ハブ VNet を作成する

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。

  2. [ネットワーク] で、 [仮想ネットワーク] を選択します。

  3. [追加] を選択します。

  4. [リソース グループ] で、 [RG-DNAT-Test] を選択します。

  5. [名前] に「VN-Hub」と入力します。

  6. [リージョン] で、前に使用したのと同じリージョンを選択します。

  7. 次へ:[次へ: IP アドレス] を選択します。

  8. [IPv4 アドレス空間] には、既定値の 10.0.0.0/16 をそのまま使用します。

  9. [サブネット名] で、 [default](既定) を選択します。

  10. [サブネット名] を編集し、「AzureFirewallSubnet」と入力します。

    ファイアウォールはこのサブネットに配置されます。サブネット名は AzureFirewallSubnet でなければなりません

    Note

    AzureFirewallSubnet サブネットのサイズは /26 です。 サブネットのサイズの詳細については、「Azure Firewall に関する FAQ」を参照してください。

  11. [サブネット アドレス範囲] に「10.0.1.0/26」と入力します。

  12. [保存] を選択します。

  13. [Review + create](レビュー + 作成) を選択します。

  14. [作成] を選択します

スポーク VNet を作成する

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。
  2. [ネットワーク] で、 [仮想ネットワーク] を選択します。
  3. [追加] を選択します。
  4. [リソース グループ] で、 [RG-DNAT-Test] を選択します。
  5. [名前] に「VN-Spoke」と入力します。
  6. [リージョン] で、前に使用したのと同じリージョンを選択します。
  7. 次へ:[次へ: IP アドレス] を選択します。
  8. [IPv4 アドレス空間] で、既定値を編集し、 「192.168.0.0/16」と入力します。
  9. [サブネットの追加] を選択します。
  10. [サブネット名] に「SN-Workload」と入力します。
  11. [サブネット アドレス範囲] に「192.168.1.0/24」と入力します。
  12. [追加] を選択します。
  13. [Review + create](レビュー + 作成) を選択します。
  14. [作成] を選択します

VNet をピアリングする

次に、2 つの VNet をピアリングします。

  1. VN-Hub 仮想ネットワークを選択します。
  2. [設定][ピアリング] を選択します。
  3. [追加] を選択します。
  4. [この仮想ネットワーク][ピアリング リンク名] に「Peer-HubSpoke」と入力します。
  5. [リモート仮想ネットワーク][ピアリング リンク名] に「Peer-SpokeHub」と入力します。
  6. 仮想ネットワークとして [VN-Spoke] を選択します。
  7. 他のすべての既定値をそのまま使用し、 [追加] を選択します。

仮想マシンの作成

ワークロード仮想マシンを作成して、SN-Workload サブネットに配置します。

  1. Azure portal メニューから [リソースの作成] を選択します。
  2. [人気順] で、 [Windows Server 2016 Datacenter] を選択します。

基本操作

  1. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  2. [リソース グループ] で、 [RG-DNAT-Test] を選択します。
  3. [仮想マシン名] に「Srv-Workload」と入力します。
  4. [リージョン] で、以前使用したのと同じ場所を選択します。
  5. ユーザー名とパスワードを入力します。
  6. ディスク を選択します。

ディスク

  1. ネットワーク を選択します。

ネットワーク

  1. [仮想ネットワーク][VN-Spoke] を選択します。
  2. [サブネット] で、 [SN-Workload] を選択します。
  3. [パブリック IP] で、 [なし] を選択します。
  4. [パブリック受信ポート][なし] を選択します。
  5. 他の設定については既定値のままにし、 [次へ: 管理] を選択します。

管理

  1. [起動の診断] で、 [Disable](無効) を選択します。
  2. [確認および作成] を選択します。

[確認および作成]

概要を確認し、 [作成] を選択します。 これが完了するまでに数分かかります。

デプロイが完了したら、仮想マシンのプライベート IP アドレスをメモしてください。 これは、後でファイアウォールを構成するときに使用します。 仮想マシンの名前を選択し、 [設定][ネットワーク] を選択して、プライベート IP アドレスを見つけます。

ファイアウォールとポリシーをデプロイする

  1. ポータルのホーム ページから [リソースの作成] を選択します。

  2. [ファイアウォール] を検索し、 [ファイアウォール] を選択します。

  3. [作成] を選択します

  4. [ファイアウォールの作成] ページで、次の表を使用してファイアウォールを構成します。

    設定
    サブスクリプション <該当するサブスクリプション>
    Resource group RG-DNAT-Test を選択します
    名前 FW-DNAT-test
    リージョン 以前使用したのと同じ場所を選択します
    ファイアウォール管理 ファイアウォール ポリシーを使用してこのファイアウォールを管理する
    ファイアウォール ポリシー 新規追加:
    fw-dnat-pol
    選択したリージョン
    仮想ネットワークの選択 既存のものを使用: VN-Hub
    パブリック IP アドレス [新規追加] 、名前: fw-pip
  5. 他の既定値をそのまま使用し、 [確認および作成] を選択します。

  6. 概要を確認し、 [作成] を選択してファイアウォールを作成します。

    このデプロイには数分かかります。

  7. デプロイが完了したら、RG-DNAT-Test リソース グループに移動し、FW-DNAT-test ファイアウォールを選択します。

  8. ファイアウォールのプライベートおよびパブリック IP アドレスをメモします。 これらは、後で既定のルートと NAT ルールを作成するときに使用します。

既定のルートを作成する

SN-Workload サブネットで、送信の既定ルートがファイアウォールを通過するように構成します。

重要

宛先サブネットでファイアウォールに戻る明示的なルートを構成する必要はありません。 Azure Firewall はステートフル サービスであり、パケットとセッションは自動的に処理されます。 このルートを作成すると、ステートフル セッション ロジックが中断され、パケットと接続が切断される非対称ルーティング環境が作成されます。

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。

  2. [ネットワーク] で、 [ルート テーブル] を選択します。

  3. [追加] を選択します。

  4. [サブスクリプション] で、ご使用のサブスクリプションを選択します。

  5. [リソース グループ] で、 [RG-DNAT-Test] を選択します。

  6. [リージョン] で、前に使用したのと同じリージョンを選択します。

  7. [名前] に「RT-FW-route」と入力します。

  8. [Review + create](レビュー + 作成) を選択します。

  9. [作成] を選択します

  10. [リソースに移動] を選択します。

  11. [サブネット] を選択し、 [関連付け] を選択します。

  12. [仮想ネットワーク][VN-Spoke] を選択します。

  13. [サブネット] で、[SN-Workload] を選択します。

  14. [OK] を選択します。

  15. [ルート][追加] の順に選択します。

  16. [ルート名] に「fw-dg」と入力します。

  17. [アドレス プレフィックス] に「0.0.0.0/0」と入力します。

  18. [次ホップの種類] で、 [仮想アプライアンス] を選択します。

    Azure Firewall は実際はマネージド サービスですが、この状況では仮想アプライアンスが動作します。

  19. [次ホップ アドレス] に、前にメモしておいたファイアウォールのプライベート IP アドレスを入力します。

  20. [OK] を選択します。

NAT ルールを構成する

このルールを使用すると、ファイアウォールを介して、リモート デスクトップを Srv-Workload 仮想マシンに接続できます。

  1. RG-DNAT-Test リソース グループを開き、fw-dnat-pol ファイアウォール ポリシーを選択します。
  2. [設定] で、 [DNAT rules](DNAT ルール) を選択します。
  3. [規則コレクションの追加] を選択します。
  4. [名前] に「rdb」と入力します。
  5. [優先度] に「200」と入力します。
  6. [規則コレクション グループ] で、DefaultDnatRuleCollectionGroup を選択します。
  7. [ルール][名前] に「rdp-nat」と入力します。
  8. [Source type](送信元の種類) で、 [IP アドレス] を選択します。
  9. [送信先] に「*」を入力します。
  10. [プロトコル][TCP] を選択します。
  11. [宛先ポート] に「3389」と入力します。
  12. [送信先の種類][IP アドレス] を選択します。
  13. [送信先] に、ファイアウォールのパブリックまたはプライベート IP アドレスを入力します。
  14. [変換されたアドレス] に、Srv-Workload のプライベート IP アドレスを入力します。
  15. [Translated port] (変換されたポート) に「3389」と入力します。
  16. [追加] を選択します。

ファイアウォールをテストする

  1. リモート デスクトップをファイアウォールのパブリック IP アドレスに接続します。 Srv-Workload 仮想マシンに接続する必要があります。
  2. リモート デスクトップを閉じます。

リソースのクリーンアップ

次のチュートリアルのためにファイアウォール リソースを残しておくことができます。不要であれば、RG-DNAT-Test リソース グループを削除して、ファイアウォール関連のすべてのリソースを削除します。

次のステップ