チュートリアル: Azure portal を使用してネットワーク セキュリティ グループでネットワーク トラフィックをフィルター処理するTutorial: Filter network traffic with a network security group using the Azure Portal

ネットワーク セキュリティ グループを使用して、仮想ネットワーク サブネットとの間で送受信されるネットワーク トラフィックをフィルター処理できます。You can filter network traffic inbound to and outbound from a virtual network subnet with a network security group. ネットワーク セキュリティ グループには、IP アドレス、ポート、およびプロトコルでネットワーク トラフィックをフィルター処理するセキュリティ規則が含まれています。Network security groups contain security rules that filter network traffic by IP address, port, and protocol. セキュリティ規則は、サブネットに展開されたリソースに適用されます。Security rules are applied to resources deployed in a subnet. このチュートリアルでは、以下の内容を学習します。In this tutorial, you learn how to:

  • ネットワーク セキュリティ グループと規則を作成するCreate a network security group and security rules
  • 仮想ネットワークを作成し、ネットワーク セキュリティ グループをサブネットに関連付けるCreate a virtual network and associate a network security group to a subnet
  • 仮想マシン (VM) をサブネットに展開するDeploy virtual machines (VM) into a subnet
  • トラフィック フィルターをテストするTest traffic filters

普段使用している Azure CLIPowerShell を使用してこのチュートリアルの手順を実行することもできます。If you prefer, you can complete this tutorial using the Azure CLI or PowerShell.

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。If you don't have an Azure subscription, create a free account before you begin.

Azure へのサインインSign in to Azure

Azure Portal ( https://portal.azure.com ) にサインインします。Sign in to the Azure portal at https://portal.azure.com.

仮想ネットワークの作成Create a virtual network

  1. Azure Portal の左上隅にある [+ リソースの作成] を選択します。Select + Create a resource on the upper, left corner of the Azure portal.

  2. [ネットワーク] を選択してから、[仮想ネットワーク] を選択します。Select Networking, and then select Virtual network.

  3. 次の情報を入力するか選択し、それ以外の設定では既定値をそのまま使用して、[作成] を選択します。Enter, or select, the following information, accept the defaults for the remaining settings, and then select Create:

    SettingSetting Value
    NameName myVirtualNetworkmyVirtualNetwork
    アドレス空間Address space 10.0.0.0/1610.0.0.0/16
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    リソース グループResource group [新規作成] を選択し、「myResourceGroupと入力します。Select Create new and enter myResourceGroup.
    場所Location [米国東部] を選択します。Select East US.
    サブネット名Subnet- Name mySubnetmySubnet
    サブネット アドレス範囲Subnet - Address range 10.0.0.0/2410.0.0.0/24

アプリケーション セキュリティ グループを作成するCreate application security groups

アプリケーション セキュリティ グループを使用すると、Web サーバーなど、同様の機能を持つサーバーをグループ化できます。An application security group enables you to group together servers with similar functions, such as web servers.

  1. Azure Portal の左上隅にある [+ リソースの作成] を選択します。Select + Create a resource on the upper, left corner of the Azure portal.

  2. [Marketplace を検索] ボックスに、「アプリケーション セキュリティ グループ」と入力します。In the Search the Marketplace box, enter Application security group. 検索結果にアプリケーション セキュリティ グループが表示されたら、それを選択し、[すべて] の下のアプリケーション セキュリティ グループ をもう一度選択します。次に、[作成] を選択します。When Application security group appears in the search results, select it, select Application security group again under Everything, and then select Create.

  3. 以下の情報を入力するか選んだ後、[作成] を選びます。Enter, or select, the following information, and then select Create:

    SettingSetting Value
    NameName myAsgWebServersmyAsgWebServers
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    リソース グループResource group [既存のものを使用][myResourceGroup] の順に選択します。Select Use existing and then select myResourceGroup.
    場所Location 米国東部East US
  4. 手順 3 を繰り返し、次の値を指定します。Complete step 3 again, specifying the following values:

    SettingSetting Value
    NameName myAsgMgmtServersmyAsgMgmtServers
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    リソース グループResource group [既存のものを使用][myResourceGroup] の順に選択します。Select Use existing and then select myResourceGroup.
    場所Location 米国東部East US

ネットワーク セキュリティ グループの作成Create a network security group

  1. Azure Portal の左上隅にある [+ リソースの作成] を選択します。Select + Create a resource on the upper, left corner of the Azure portal.

  2. [ネットワーク] を選び、[ネットワーク セキュリティ グループ] を選びます。Select Networking, and then select Network security group.

  3. 以下の情報を入力するか選んだ後、[作成] を選びます。Enter, or select, the following information, and then select Create:

    SettingSetting Value
    NameName myNsgmyNsg
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    リソース グループResource group [既存のものを使用][myResourceGroup] の順に選択します。Select Use existing and then select myResourceGroup.
    場所Location 米国東部East US

ネットワーク セキュリティ グループをサブネットに関連付けるAssociate network security group to subnet

  1. ポータルの上部にある [リソース、サービス、ドキュメントの検索] ボックスで、「myNsg」と入力します。In the Search resources, services, and docs box at the top of the portal, begin typing myNsg. 検索結果に myNsg が表示されたら、それを選択します。When myNsg appears in the search results, select it.

  2. 次の図に示すように、[設定][サブネット] を選択し、[+ 関連付け] を選択します。Under SETTINGS, select Subnets and then select + Associate, as shown in the following picture:

    NSG をサブネットに関連付ける

  3. [サブネットの関連付け][仮想ネットワーク] を選択し、[myVirtualNetwork] を選択します。Under Associate subnet, select Virtual network and then select myVirtualNetwork. [サブネット] を選択し、[mySubnet] を選択して [OK] を選択します。Select Subnet, select mySubnet, and then select OK.

セキュリティ規則を作成するCreate security rules

  1. 次の図に示すように、[設定][受信セキュリティ規則] を選択し、[+ 追加] を選択します。Under SETTINGS, select Inbound security rules and then select + Add, as shown in the following picture:

    受信セキュリティ規則を追加する

  2. myAsgWebServers アプリケーション セキュリティ グループに、ポート 80 と 443 を許可するセキュリティ規則を作成します。Create a security rule that allows ports 80 and 443 to the myAsgWebServers application security group. [受信セキュリティ規則] で、値を入力するか次の値を選択し、残りの既定値はそのまま受け入れて、[追加] を選択します。Under Add inbound security rule, enter, or select the following values, accept the remaining defaults, and then select Add:

    SettingSetting Value
    宛先Destination [アプリケーションのセキュリティ グループ] を選択し、アプリケーション セキュリティ グループとして [myAsgWebServers] を選択します。Select Application security group, and then select myAsgWebServers for Application security group.
    宛先ポート範囲Destination port ranges 「80,443」と入力Enter 80,443
    ProtocolProtocol [TCP] を選択Select TCP
    NameName Allow-Web-AllAllow-Web-All
  3. 手順 2 を繰り返して、次の値を指定します。Complete step 2 again, using the following values:

    SettingSetting Value
    宛先Destination [アプリケーションのセキュリティ グループ] を選択し、アプリケーション セキュリティ グループとして [myAsgMgmtServers] を選択します。Select Application security group, and then select myAsgMgmtServers for Application security group.
    宛先ポート範囲Destination port ranges 「3389」と入力Enter 3389
    ProtocolProtocol [TCP] を選択Select TCP
    優先順位Priority 「110」と入力Enter 110
    NameName Allow-RDP-AllAllow-RDP-All

    このチュートリアルでは、myAsgMgmtServers アプリケーション セキュリティ グループに割り当てられている VM 用に、RDP (ポート 3389) がインターネットに公開されています。In this tutorial, RDP (port 3389) is exposed to the internet for the VM that is assigned to the myAsgMgmtServers application security group. 運用環境では、ポート 3389 をインターネットに公開せずに、VPN またはプライベート ネットワーク接続を使用して、管理する Azure リソースに接続することをお勧めします。For production environments, instead of exposing port 3389 to the internet, it's recommended that you connect to Azure resources that you want to manage using a VPN or private network connection.

手順 1 から 3 を完了したら、作成した規則を確認します。Once you've completed steps 1-3, review the rules you created. 一覧は、次の図のように表示されます。Your list should look like the list in the following picture:

セキュリティ規則

仮想マシンを作成するCreate virtual machines

仮想ネットワーク内に 2 つの VM を作成します。Create two VMs in the virtual network.

最初の VM を作成するCreate the first VM

  1. Azure Portal の左上隅にある [+ リソースの作成] を選択します。Select + Create a resource found on the upper, left corner of the Azure portal.

  2. [コンピューティング][Windows Server 2016 Datacenter] の順に選択します。Select Compute, and then select Windows Server 2016 Datacenter.

  3. 次の情報を入力するか選択し、それ以外の設定では既定値をそのまま使用して、[OK] を選択します。Enter, or select, the following information, accept the defaults for the remaining settings, and then select OK:

    SettingSetting Value
    NameName myVmWebmyVmWeb
    ユーザー名User name 任意のユーザー名を入力します。Enter a user name of your choosing.
    パスワードPassword 任意のパスワードを入力します。Enter a password of your choosing. パスワードは 12 文字以上で、定義された複雑さの要件を満たす必要があります。The password must be at least 12 characters long and meet the defined complexity requirements.
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    リソース グループResource group [既存のものを使用] を選択し、[myResourceGroup] を選択します。Select Use existing and select myResourceGroup.
    場所Location [米国東部] を選択します。Select East US
  4. VM のサイズを選択して、[選択] を選択します。Select a size for the VM and then select Select.

  5. [設定] で、次の値を選択し、それ以外の値は既定値をそのまま使用して、[OK] を選択します。Under Settings, select the following values, accept the remaining defaults, and then select OK:

    SettingSetting Value
    仮想ネットワークVirtual network [myVirtualNetwork] を選択するSelect myVirtualNetwork
    ネットワーク セキュリティ グループNetwork Security Group [Advanced] (詳細設定) を選択します。Select Advanced.
    ネットワーク セキュリティ グループ (ファイアウォール)Network security group (firewall) [(new) myVmWeb-nsg] を選択し、[ネットワーク セキュリティ グループの選択] で、[なし] を選択します。Select (new) myVmWeb-nsg, and then under Choose network security group, select None.
  6. [概要][作成][作成] を選択して、VM のデプロイを開始します。Under Create of the Summary, select Create to start VM deployment.

2 つ目の VM を作成するCreate the second VM

手順 1 から 6 をもう一度実行します。ただし、手順 3 では、VM の名前を myVmMgmt にします。Complete steps 1-6 again, but in step 3, name the VM myVmMgmt. VM のデプロイには数分かかります。The VM takes a few minutes to deploy. VM がデプロイされるまで、次の手順に進まないでください。Do not continue to the next step until the VM is deployed.

ネットワーク インターフェイスを ASG に関連付けるAssociate network interfaces to an ASG

ポータルで VM が作成されると、各 VM 用のネットワーク インターフェイスが作成され、そのネットワーク インターフェイスを VM に接続します。When the portal created the VMs, it created a network interface for each VM, and attached the network interface to the VM. 各 VM 用のネットワーク インターフェイスを、前に作成したアプリケーション セキュリティ グループの 1 つに追加します。Add the network interface for each VM to one of the application security groups you created previously:

  1. ポータルの上部にある [リソース、サービス、ドキュメントの検索] ボックスで、「myVmWeb」と入力します。In the Search resources, services, and docs box at the top of the portal, begin typing myVmWeb. 検索結果に [myVmWeb] VM が表示されたら、それを選択します。When the myVmWeb VM appears in the search results, select it.

  2. [設定] で、[ネットワーク] を選択します。Under SETTINGS, select Networking. 次の図に示すように、[Configure the application security groups](アプリケーション セキュリティ グループの構成) を選択し、[Application security groups](アプリケーション セキュリティ グループ)[myAsgWebServers] を選択して、[OK] を選択します。Select Configure the application security groups, select myAsgWebServers for Application security groups, and then select Save, as shown in the following picture:

    ASG を関連付ける

  3. 手順 1 および 2 をもう一度実行し、myVmMgmt VM を検索して、myAsgMgmtServers ASG を選択します。Complete steps 1 and 2 again, searching for the myVmMgmt VM and selecting the myAsgMgmtServers ASG.

トラフィック フィルターをテストするTest traffic filters

  1. myVmMgmt VM に接続します。Connect to the myVmMgmt VM. ポータル上部の [検索] ボックスに「myVmMgmt」と入力します。Enter myVmMgmt in the search box at the top of the portal. 検索結果に [myVmMgmt] が表示されたら、それを選択します。When myVmMgmt appears in the search results, select it. [接続] を選択します。Select the Connect button.

  2. [RDP ファイルのダウンロード] を選択します。Select Download RDP file.

  3. ダウンロードした RDP ファイルを開き、[接続] を選択します。Open the downloaded rdp file and select Connect. VM の作成時に指定したユーザー名とパスワードを入力します。Enter the user name and password you specified when creating the VM. 場合によっては、[その他][別のアカウントを使用する] を選択して、VM の作成時に入力した資格情報を指定する必要があります。You may need to select More choices, then Use a different account, to specify the credentials you entered when you created the VM.

  4. [OK] を選択します。Select OK.

  5. サインイン処理中に証明書の警告が表示される場合があります。You may receive a certificate warning during the sign-in process. 警告を受け取ったら、[はい] または [続行] を選択して接続処理を続行します。If you receive the warning, select Yes or Continue, to proceed with the connection.

    インターネットから、myVmMgmt VM に接続されているネットワーク インターフェイスが含まれている myAsgMgmtServers アプリケーション セキュリティ グループに対する送信でポート 3389 が許可されているため、この接続は成功します。The connection succeeds, because port 3389 is allowed inbound from the internet to the myAsgMgmtServers application security group that the network interface attached to the myVmMgmt VM is in.

  6. PowerShell セッションで次のコマンドを入力し、myVmMgmt VM から myVmWeb VM に接続します。Connect to the myVmWeb VM from the myVmMgmt VM by entering the following command in a PowerShell session:

    mstsc /v:myVmWeb
    

    myVmMgmt VM から myVmWeb VM に接続できるのは、同じ仮想ネットワーク内にある VM が既定で任意のポートを使用して互いに通信できるためです。You are able to connect to the myVmWeb VM from the myVmMgmt VM because VMs in the same virtual network can communicate with each other over any port, by default. ただし、myAsgWebServers のセキュリティ規則は、インターネットからのポート 3389 を介した受信を許可せず、すべてのリソースに対するインターネットからの受信トラフィックは既定で拒否されるため、インターネットから myVmWeb VM へのリモート デスクトップ接続を作成することはできません。You can't however, create a remote desktop connection to the myVmWeb VM from the internet, because the security rule for the myAsgWebServers doesn't allow port 3389 inbound from the internet and inbound traffic from the Internet is denied to all resources, by default.

  7. myVmWeb VM に Microsoft IIS をインストールするには、myVmWeb VM の PowerShell セッションから次のコマンドを入力します。To install Microsoft IIS on the myVmWeb VM, enter the following command from a PowerShell session on the myVmWeb VM:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  8. IIS のインストールが完了したら、myVmWeb VM から切断します。myVmMgmt VM のリモート デスクトップ接続は保持されます。After the IIS installation is complete, disconnect from the myVmWeb VM, which leaves you in the myVmMgmt VM remote desktop connection.

  9. myVmMgmt VM から切断します。Disconnect from the myVmMgmt VM.

  10. Azure portal の上部にある [リソース、サービス、ドキュメントの検索] ボックスに、お使いのコンピューターから「myVmWeb」と入力します。In the Search resources, services, and docs box at the top of the Azure portal, begin typing myVmWeb from your computer. 検索結果に [myVmWeb] が表示されたら、それを選択します。When myVmWeb appears in the search results, select it. 実際の VM のパブリック IP アドレスをメモします。Note the Public IP address for your VM. 次の図に示すアドレスは 137.135.84.74 になっていますが、実際のアドレスは異なります。The address shown in the following picture is 137.135.84.74, but your address is different:

    パブリック IP アドレス

  11. インターネットから myVmWeb Web サーバーにアクセスできることを確認するには、コンピューターでインターネット ブラウザーを開き、http://<public-ip-address-from-previous-step> にアクセスします。To confirm that you can access the myVmWeb web server from the internet, open an internet browser on your computer and browse to http://<public-ip-address-from-previous-step>. IIS のウェルカム画面が表示されます。myVmWeb VM に接続されているネットワーク インターフェイスを含む myAsgWebServers アプリケーション セキュリティ グループへのインターネットからの受信トラフィックが、ポート 80 で許可されているためです。You see the IIS welcome screen, because port 80 is allowed inbound from the internet to the myAsgWebServers application security group that the network interface attached to the myVmWeb VM is in.

リソースのクリーンアップClean up resources

リソース グループとそれに含まれるすべてのリソースが不要になったら、それらを削除します。When no longer needed, delete the resource group and all of the resources it contains:

  1. ポータル上部の [検索] ボックスに「myResourceGroup」と入力します。Enter myResourceGroup in the Search box at the top of the portal. 検索結果に [myResourceGroup] が表示されたら、それを選択します。When you see myResourceGroup in the search results, select it.
  2. [リソース グループの削除] を選択します。Select Delete resource group.
  3. [TYPE THE RESOURCE GROUP NAME:](リソース グループ名を入力してください:) に「myResourceGroup」と入力し、[削除] を選択します。Enter myResourceGroup for TYPE THE RESOURCE GROUP NAME: and select Delete.

次の手順Next steps

このチュートリアルでは、ネットワーク セキュリティ グループを作成し、それを仮想ネットワーク サブネットに関連付けました。In this tutorial, you created a network security group and associated it to a virtual network subnet. ネットワーク セキュリティ グループについて詳しくは、ネットワーク セキュリティ グループの概要ネットワーク セキュリティ グループの管理に関する記事を参照してください。To learn more about network security groups, see Network security group overview and Manage a network security group.

Azure の既定では、サブネット間でトラフィックがルーティングされます。Azure routes traffic between subnets by default. 代わりに、たとえばファイアウォールとして機能する VM を介してサブネット間でトラフィックをルーティングすることもできます。You may instead, choose to route traffic between subnets through a VM, serving as a firewall, for example. ルート テーブルを作成する方法を学習するには、次のチュートリアルに進んでください。To learn how to create a route table, advance to the next tutorial.