Azure Firewall の強制トンネリング
新しい Azure ファイアウォールを構成するときに、インターネットへのすべてのトラフィックを、インターネットに直接送信するのではなく、指定された次ホップにルーティングすることができます。 たとえば、オンプレミスのエッジ ファイアウォールまたは他のネットワーク仮想アプライアンス (NVA) に、BGP 経由またはユーザー定義ルート (UDR) を使用して公開された既定のルートでトラフィックを強制的に転送して、インターネットに渡される前にネットワーク トラフィックを処理できます。 この構成をサポートするには、強制トンネリング構成が有効になっている Azure Firewall を作成する必要があります。 これは、サービス中断を回避するために必須の要件です。
既存のファイアウォールがある場合は、この構成をサポートするためにファイアウォールを停止して、強制トンネリング モードで起動する必要があります。 ファイアウォールの停止と起動を使用すると、新しいファイアウォールを再デプロイする必要なく、ファイアウォールの強制トンネリングを構成できます。 中断を回避するには、メンテナンス時間中にこれを行う必要があります。 詳細については、「Azure Firewall に関する FAQ」でファイアウォールの停止と強制トンネリング モードでの再起動について参照してください。
パブリック IP アドレスをインターネットに直接公開しないことが望ましい場合があります。 この場合、パブリック IP アドレスを使用せずに、強制トンネリング モードで Azure Firewall をデプロイできます。 この構成により、Azure Firewall の操作に使用するパブリック IP アドレスを持つ管理インターフェイスが作成されます。 パブリック IP アドレスは Azure プラットフォームによってのみ使用され、他の目的には使用できません。 テナント データパス ネットワークをパブリック IP アドレスなしで構成でき、インターネット トラフィックを別のファイアウォールに強制的にトンネリングするか、ブロックできます。
Azure Firewall では、パブリック IP アドレスへのすべてのアウトバウンド トラフィックに対して自動 SNAT が提供されます。 宛先 IP アドレスが IANA RFC 1918 に従ったプライベート IP アドレス範囲内にある場合、Azure Firewall では SNAT は行われません。 このロジックは、インターネットに直接送信した場合に完全に機能します。 ただし、強制トンネリングが有効になっている場合、インターネットにバインドされたトラフィックは、SNAT によって AzureFirewallSubnet 内のファイアウォール プライベート IP アドレスの 1 つに変換されます。 これにより、オンプレミスのファイアウォールからソース アドレスが隠されます。 宛先 IP アドレスに関係なく、SNAT による変換を行わないように Azure Firewall を構成するには、プライベート IP アドレス範囲として 0.0.0.0/0 を追加します。 この構成では、Azure Firewall からインターネットに直接送信することはできません。 詳細については、「Azure Firewall の SNAT プライベート IP アドレス範囲」を参照してください。
重要
Virtual WAN ハブ (セキュリティ保護付き仮想ハブ) 内に Azure Firewall をデプロイする場合、Express Route または VPN Gateway 経由で既定ルートをアドバタイズすることは現在サポートされていません。 解決策を調査中です。
重要
強制トンネリングが有効になっている場合、DNAT はサポートされません。 強制トンネリングが有効になった状態でデプロイされているファイアウォールでは、インターネットからの受信アクセスは非対称ルーティングになるため、サポートできません。
強制トンネリング構成
強制トンネリング モードを次のスクリーンショットに示すように有効にすると、強制トンネリングをファイアウォールの作成中に構成できます。 強制トンネリングをサポートするため、サービス管理のトラフィックは顧客のトラフィックから分離されます。 AzureFirewallManagementSubnet (最小サブネット サイズ /26) という名前の別の専用サブネットと、それ自体に関連付けられているパブリック IP アドレスが必要です。 このパブリック IP アドレスは、管理トラフィック用です。 これは Azure プラットフォームによってのみ使用され、他の目的には使用できません。
強制トンネリング モードでは、Azure Firewall サービスが管理サブネット (AzureFirewallManagementSubnet) を "運用上の" 目的で取り込んでいます。 既定では、サービスはシステム提供のルート テーブルを管理サブネットに関連付けします。 このサブネットで許可される唯一のルートはインターネットへの既定のルートであり、"ゲートウェイ伝達"ルートを無効にする必要があります。 ファイアウォールを作成するときに、顧客ルート テーブルを管理サブネットに関連付けしないようにしてください。
この構成では、インターネットに渡される前にトラフィックを処理するため、オンプレミスのファイアウォールまたは NVA へのルートを AzureFirewallSubnet に含めることができます。 このサブネットで [ゲートウェイ ルートの伝達] が有効になっている場合は、BGP を使用してこれらのルートを AzureFirewallSubnet に公開することもできます。
たとえば、お使いのオンプレミスのデバイスに到達するための次ホップとして VPN ゲートウェイを使用して、AzureFirewallSubnet に既定のルートを作成できます。 または、 [ゲートウェイ ルートの伝達] を有効にして、オンプレミス ネットワークへの適切なルートを取得することもできます。
強制トンネリングを有効にすると、SNAT によってインターネットへのトラフィックに AzureFirewallSubnet のいずれかのファイアウォール プライベート IP アドレスが適用され、オンプレミスのファイアウォールからソースが隠されます。
組織でプライベート ネットワークに対してパブリック IP アドレス範囲を使用している場合、Azure Firewall は、SNAT を使用して、トラフィックのアドレスを AzureFirewallSubnet のいずれかのファイアウォール プライベート IP アドレスに変換します。 ただし、パブリック IP アドレス範囲の SNAT が行われないように、Azure Firewall を構成することができます。 詳細については、「Azure Firewall の SNAT プライベート IP アドレス範囲」を参照してください。
強制トンネリングをサポートするように Azure Firewall を構成した後は、構成を元に戻すことはできません。 ファイアウォールで他のすべての IP 構成を削除すると、管理 IP 構成も削除され、ファイアウォールの割り当てが解除されます。 管理 IP 構成に割り当てられているパブリック IP アドレスを削除することはできませんが、異なるパブリック IP アドレスを割り当てることはできます。