Azure portal で Azure Firewall DNAT を使用してインバウンド インターネット トラフィックをフィルター処理する

インバウンド インターネット トラフィックの変換とサブネットに対するフィルター処理を行うように Azure Firewall 宛先ネットワーク アドレス変換 (DNAT) を構成できます。 DNAT を構成すると、NAT ルール コレクションの動作は、Dnat に設定されます。 その後、NAT ルール コレクション内の各ルールを使用して、ファイアウォールのパブリック IP アドレスおよびポートをプライベート IP アドレスおよびポートに変換できます。 DNAT ルールは、変換されたトラフィックを許可するための対応するネットワーク ルールを暗黙的に追加します。 セキュリティ上の理由から、ネットワークへの DNAT アクセスを許可するための特定のインターネット ソースを追加し、ワイルドカードは使用しないようにすることが推奨されています。 Azure Firewall ルール処理ロジックの詳細については、「Azure Firewall ルール処理ロジック」を参照してください。

この記事では、次の方法について説明します。

  • テスト ネットワーク環境を設定する
  • ファイアウォールをデプロイする
  • 既定のルートを作成する
  • DNAT ルールを構成する
  • ファイアウォールをテストする

注意

この記事では、従来のファイアウォール規則を使用してファイアウォールを管理します。 推奨される方法は、ファイアウォール ポリシーを使用することです。 ファイアウォール ポリシーを使用してこの手順を実行するには、「チュートリアル: Azure portal で Azure Firewall DNAT ポリシーを使用してインバウンド インターネット トラフィックをフィルター処理する」をご覧ください。

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

リソース グループを作成する

  1. Azure Portal https://portal.azure.com にサインインします。
  2. Azure portal のホーム ページで [リソース グループ] を選択し、 [追加] を選択します。
  3. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  4. [リソース グループ名] に「RG-DNAT-Test」と入力します。
  5. [リージョン] でリージョンを選択します。 作成する他のすべてのリソースも、同じリージョン内のものである必要があります。
  6. [Review + create](レビュー + 作成) を選択します。
  7. [作成] を選択します

ネットワーク環境を設定する

この記事では、2 つのピアリングされた VNet を作成します。

  • VN-Hub - ファイアウォールはこの VNet 内にあります。
  • VN-Spoke - ワークロード サーバーはこの VNet 内にあります。

最初に VNet を作成し、次にそれらをピアリングします。

ハブ VNet を作成する

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。

  2. [ネットワーク] で、 [仮想ネットワーク] を選択します。

  3. [追加] を選択します。

  4. [リソース グループ] で、 [RG-DNAT-Test] を選択します。

  5. [名前] に「VN-Hub」と入力します。

  6. [リージョン] で、前に使用したのと同じリージョンを選択します。

  7. 次へ:[次へ: IP アドレス] を選択します。

  8. [IPv4 アドレス空間] には、既定値の 10.0.0.0/16 をそのまま使用します。

  9. [サブネット名] で、[default](既定) を選択します。

  10. [サブネット名] を編集し、「AzureFirewallSubnet」と入力します。

    ファイアウォールはこのサブネットに配置されます。サブネット名は AzureFirewallSubnet でなければなりません

    注意

    AzureFirewallSubnet サブネットのサイズは /26 です。 サブネットのサイズの詳細については、「Azure Firewall に関する FAQ」を参照してください。

  11. [サブネット アドレス範囲] に「10.0.1.0/26」と入力します。

  12. [保存] を選択します。

  13. [Review + create](レビュー + 作成) を選択します。

  14. [作成] を選択します

スポーク VNet を作成する

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。
  2. [ネットワーク] で、 [仮想ネットワーク] を選択します。
  3. [追加] を選択します。
  4. [リソース グループ] で、 [RG-DNAT-Test] を選択します。
  5. [名前] に「VN-Spoke」と入力します。
  6. [リージョン] で、前に使用したのと同じリージョンを選択します。
  7. 次へ:[次へ: IP アドレス] を選択します。
  8. [IPv4 アドレス空間] で、既定値を編集し、 「192.168.0.0/16」と入力します。
  9. [サブネットの追加] を選択します。
  10. [サブネット名] に「SN-Workload」と入力します。
  11. [サブネット アドレス範囲] に「192.168.1.0/24」と入力します。
  12. [追加] を選択します。
  13. [確認および作成] を選択します。
  14. [作成] を選択します

VNet をピアリングする

次に、2 つの VNet をピアリングします。

  1. VN-Hub 仮想ネットワークを選択します。
  2. [設定][ピアリング] を選択します。
  3. [追加] を選択します。
  4. [この仮想ネットワーク][ピアリング リンク名] に「Peer-HubSpoke」と入力します。
  5. [リモート仮想ネットワーク][ピアリング リンク名] に「Peer-SpokeHub」と入力します。
  6. 仮想ネットワークとして [VN-Spoke] を選択します。
  7. 他のすべての既定値をそのまま使用し、 [追加] を選択します。

仮想マシンの作成

ワークロード仮想マシンを作成して、SN-Workload サブネットに配置します。

  1. Azure portal メニューから [リソースの作成] を選択します。
  2. [人気順] で、 [Windows Server 2016 Datacenter] を選択します。

基本操作

  1. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  2. [リソース グループ] で、 [RG-DNAT-Test] を選択します。
  3. [仮想マシン名] に「Srv-Workload」と入力します。
  4. [リージョン] で、以前使用したのと同じ場所を選択します。
  5. ユーザー名とパスワードを入力します。
  6. ディスク を選択します。

ディスク

  1. ネットワーク を選択します。

ネットワーク

  1. [仮想ネットワーク][VN-Spoke] を選択します。
  2. [サブネット] で、 [SN-Workload] を選択します。
  3. [パブリック IP] で、 [なし] を選択します。
  4. [パブリック受信ポート][なし] を選択します。
  5. 他の設定については既定値のままにし、 [次へ: 管理] を選択します。

管理

  1. [起動の診断] で、 [Disable](無効) を選択します。
  2. [確認および作成] を選択します。

[確認および作成]

概要を確認し、 [作成] を選択します。 これが完了するまでに数分かかります。

デプロイが完了したら、仮想マシンのプライベート IP アドレスをメモしてください。 これは、後でファイアウォールを構成するときに使用します。 仮想マシンの名前を選択し、 [設定][ネットワーク] を選択して、プライベート IP アドレスを見つけます。

注意

パブリック IP アドレスが割り当てられていないか、内部の Basic Azure Load Balancer のバックエンドプールにある Azure Virtual Machines に対しては、Azure によってエフェメラル IP が提供されます。 エフェメラル IP メカニズムは、構成できないアウトバウンド IP アドレスを提供します。

パブリック IP アドレスが仮想マシンに割り当てられている場合、またはアウトバウンド規則の有無にかかわらず仮想マシンが Standard Load Balancer のバックエンド プールに配置されている場合、エフェメラル IP は無効になります。 Azure Virtual Network NAT ゲートウェイ リソースが仮想マシンのサブネットに割り当てられている場合、エフェメラル IP は無効になります。

Azure でのアウトバウンド接続の詳細については、「アウトバウンド接続に送信元ネットワーク アドレス変換 (SNAT) を使用する」を参照してください。

ファイアウォールをデプロイする

  1. ポータルのホーム ページから [リソースの作成] を選択します。

  2. [ファイアウォール] を検索し、 [ファイアウォール] を選択します。

  3. [作成] を選択します

  4. [ファイアウォールの作成] ページで、次の表を使用してファイアウォールを構成します。

    設定
    サブスクリプション <your subscription>
    Resource group RG-DNAT-Test を選択します
    名前 FW-DNAT-test
    リージョン 以前使用したのと同じ場所を選択します
    ファイアウォール管理 ファイアウォール規則 (クラシック) を使用してこのファイアウォールを管理する
    仮想ネットワークの選択 既存のものを使用: VN-Hub
    パブリック IP アドレス [新規追加] 、名前: fw-pip
  5. 他の既定値をそのまま使用し、 [確認および作成] を選択します。

  6. 概要を確認し、 [作成] を選択してファイアウォールを作成します。

    デプロイが完了するまでに数分かかります。

  7. デプロイが完了したら、RG-DNAT-Test リソース グループに移動し、FW-DNAT-test ファイアウォールを選択します。

  8. ファイアウォールのプライベートおよびパブリック IP アドレスをメモします。 これらは、後で既定のルートと NAT ルールを作成するときに使用します。

既定のルートを作成する

SN-Workload サブネットで、送信の既定ルートがファイアウォールを通過するように構成します。

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。

  2. [ネットワーク] で、 [ルート テーブル] を選択します。

  3. [追加] を選択します。

  4. [サブスクリプション] で、ご使用のサブスクリプションを選択します。

  5. [リソース グループ] で、 [RG-DNAT-Test] を選択します。

  6. [リージョン] で、前に使用したのと同じリージョンを選択します。

  7. [名前] に「RT-FWroute」と入力します。

  8. [Review + create](レビュー + 作成) を選択します。

  9. [作成] を選択します

  10. [リソースに移動] を選択します。

  11. [サブネット] を選択し、 [関連付け] を選択します。

  12. [仮想ネットワーク][VN-Spoke] を選択します。

  13. [サブネット] で、[SN-Workload] を選択します。

  14. [OK] を選択します。

  15. [ルート][追加] の順に選択します。

  16. [ルート名] に「FW-DG」と入力します。

  17. [アドレス プレフィックス] に「0.0.0.0/0」と入力します。

  18. [次ホップの種類] で、 [仮想アプライアンス] を選択します。

    Azure Firewall は実際はマネージド サービスですが、この状況では仮想アプライアンスが動作します。

  19. [次ホップ アドレス] に、前にメモしておいたファイアウォールのプライベート IP アドレスを入力します。

  20. [OK] を選択します。

NAT ルールを構成する

  1. RG-DNAT-Test リソース グループを開き、FW-DNAT-test ファイアウォールを選択します。
  2. FW-DNAT-test ページの [設定] で、 [規則 (クラシック)] を選択します。
  3. [NAT ルール コレクションの追加] を選択します。
  4. [名前] に「RC-DNAT-01」と入力します。
  5. [優先度] に「200」と入力します。
  6. [ルール][名前] に「RL-01」と入力します。
  7. [プロトコル][TCP] を選択します。
  8. [Source type](送信元の種類) で、 [IP アドレス] を選択します。
  9. [送信元] に「*」と入力します。
  10. [宛先アドレス] に、ファイアウォールのパブリック IP アドレスを入力します。
  11. [宛先ポート] に「3389」と入力します。
  12. [Translated Address] (変換されたアドレス) に、Srv-Workload 仮想マシンのプライベート IP アドレスを入力します。
  13. [Translated port] (変換されたポート) に「3389」と入力します。
  14. [追加] を選択します。 これが完了するまでに数分かかります。

ファイアウォールをテストする

  1. リモート デスクトップをファイアウォールのパブリック IP アドレスに接続します。 Srv-Workload 仮想マシンに接続する必要があります。
  2. リモート デスクトップを閉じます。

リソースのクリーンアップ

さらにテストを行うために、ファイアウォール リソースを残しておいてもかまいませんが、不要であれば、RG-DNAT-Test リソース グループを削除して、ファイアウォール関連のすべてのリソースを削除してください。

次のステップ

次に、Azure Firewall のログを監視することができます。

チュートリアル:Azure Firewall のログを監視する