チュートリアル: Azure portal を使用してネットワーク セキュリティ グループでネットワーク トラフィックをフィルター処理するTutorial: Filter network traffic with a network security group using the Azure portal

仮想ネットワーク サブネットのインバウンド ネットワーク トラフィックとアウトバウンド ネットワーク トラフィックは、ネットワーク セキュリティ グループを使用してフィルター処理することができます。You can use a network security group to filter network traffic inbound and outbound from a virtual network subnet.

ネットワーク セキュリティ グループには、IP アドレス、ポート、およびプロトコルでネットワーク トラフィックをフィルター処理するセキュリティ規則が含まれています。Network security groups contain security rules that filter network traffic by IP address, port, and protocol. セキュリティ規則は、サブネットに展開されたリソースに適用されます。Security rules are applied to resources deployed in a subnet.

このチュートリアルでは、次の作業を行う方法について説明します。In this tutorial, you learn how to:

  • ネットワーク セキュリティ グループと規則を作成するCreate a network security group and security rules
  • 仮想ネットワークを作成し、ネットワーク セキュリティ グループをサブネットに関連付けるCreate a virtual network and associate a network security group to a subnet
  • 仮想マシン (VM) をサブネットに展開するDeploy virtual machines (VM) into a subnet
  • トラフィック フィルターをテストするTest traffic filters

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。If you don't have an Azure subscription, create a free account before you begin.

前提条件Prerequisites

  • Azure サブスクリプション。An Azure subscription.

Azure へのサインインSign in to Azure

Azure Portal ( https://portal.azure.com ) にサインインします。Sign in to the Azure portal at https://portal.azure.com.

仮想ネットワークの作成Create a virtual network

  1. ポータルの左上隅にある [リソースの作成] を選択します。Select Create a resource in the upper left-hand corner of the portal.

  2. 検索ボックスに、「仮想ネットワーク」と入力します。In the search box, enter Virtual Network. 検索結果から [仮想ネットワーク] を選択します。Select Virtual Network in the search results.

  3. [仮想ネットワーク] ページで、 [作成] を選択します。In the Virtual Network page, select Create.

  4. [仮想ネットワークの作成][基本] タブで次の情報を入力または選択します。In Create virtual network, enter or select this information in the Basics tab:

    設定Setting Value
    プロジェクトの詳細Project details
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    Resource groupResource group [新規作成] を選択します。Select Create new.
    myResourceGroup」と入力します。Enter myResourceGroup.
    [OK] を選択します。Select OK.
    インスタンスの詳細Instance details
    名前Name myVNet」と入力します。Enter myVNet.
    リージョンRegion [(米国) 米国東部] を選択します。Select (US) East US.
  5. [Review + create](確認と作成) タブを選択するか、ページの下部にある青色の [Review + create](確認と作成) ボタンを選択します。Select the Review + create tab, or select the blue Review + create button at the bottom of the page.

  6. [作成] を選択しますSelect Create.

アプリケーション セキュリティ グループを作成するCreate application security groups

アプリケーション セキュリティ グループを使用すると、Web サーバーなど、同様の機能を持つサーバーをグループ化できます。An application security group enables you to group together servers with similar functions, such as web servers.

  1. ポータルの左上隅にある [リソースの作成] を選択します。Select Create a resource in the upper left-hand corner of the portal.

  2. 検索ボックスに、「Application security group」と入力します。In the search box, enter Application security group. 検索結果から [アプリケーションのセキュリティ グループ] を選択します。Select Application security group in the search results.

  3. [Application security group] ページで、 [作成] を選択します。In the Application security group page, select Create.

  4. [アプリケーションのセキュリティ グループの作成][基本] タブで、この情報を入力または選択します。In Create an application security group, enter or select this information in the Basics tab:

    設定Setting Value
    プロジェクトの詳細Project details
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    Resource groupResource group [myResourceGroup] を選択します。Select myResourceGroup.
    インスタンスの詳細Instance details
    名前Name myAsgWebServers」と入力します。Enter myAsgWebServers.
    リージョンRegion [(米国) 米国東部] を選択します。Select (US) East US.
  5. [Review + create](確認と作成) タブを選択するか、ページの下部にある青色の [Review + create](確認と作成) ボタンを選択します。Select the Review + create tab, or select the blue Review + create button at the bottom of the page.

  6. [作成] を選択しますSelect Create.

  7. 手順 4. を繰り返し、次の値を指定します。Repeat step 4 again, specifying the following values:

    設定Setting Value
    プロジェクトの詳細Project details
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    Resource groupResource group [myResourceGroup] を選択します。Select myResourceGroup.
    インスタンスの詳細Instance details
    名前Name myAsgMgmtServers」と入力します。Enter myAsgMgmtServers.
    リージョンRegion [(米国) 米国東部] を選択します。Select (US) East US.
  8. [Review + create](確認と作成) タブを選択するか、ページの下部にある青色の [Review + create](確認と作成) ボタンを選択します。Select the Review + create tab, or select the blue Review + create button at the bottom of the page.

  9. [作成] を選択しますSelect Create.

ネットワーク セキュリティ グループの作成Create a network security group

ネットワーク セキュリティ グループは、仮想ネットワーク内のネットワーク トラフィックをセキュリティで保護するものです。A network security group secures network traffic in your virtual network.

  1. ポータルの左上隅にある [リソースの作成] を選択します。Select Create a resource in the upper left-hand corner of the portal.

  2. [検索] ボックスに「ネットワーク セキュリティ グループ」と入力します。In the search box, enter Network security group. 検索結果から [ネットワーク セキュリティ グループ] を選択します。Select Network security group in the search results.

  3. ネットワーク セキュリティ グループ ページで、 [作成] を選択します。In the Network security group page, select Create.

  4. [ネットワーク セキュリティ グループの作成][基本] タブで、この情報を入力または選択します。In Create network security group, enter or select this information in the Basics tab:

    設定Setting Value
    プロジェクトの詳細Project details
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    Resource groupResource group [myResourceGroup] を選択します。Select myResourceGroup.
    インスタンスの詳細Instance details
    名前Name myNSG」と入力します。Enter myNSG.
    場所Location [(米国) 米国東部] を選択します。Select (US) East US.
  5. [Review + create](確認と作成) タブを選択するか、ページの下部にある青色の [Review + create](確認と作成) ボタンを選択します。Select the Review + create tab, or select the blue Review + create button at the bottom of the page.

  6. [作成] を選択しますSelect Create.

ネットワーク セキュリティ グループをサブネットに関連付けるAssociate network security group to subnet

このセクションでは、先ほど作成した仮想ネットワークのサブネットにネットワーク セキュリティ グループを関連付けます。In this section, we'll associate the network security group with the subnet of the virtual network we created earlier.

  1. ポータルの上部にある [リソース、サービス、ドキュメントの検索] ボックスで、「myNsg」と入力します。In the Search resources, services, and docs box at the top of the portal, begin typing myNsg. 検索結果に myNsg が表示されたら、それを選択します。When myNsg appears in the search results, select it.

  2. myNSG の概要ページで、 [設定][サブネット] を選択します。In the overview page of myNSG, select Subnets in Settings.

  3. [設定] ページの [関連付け] を選択します。In the Settings page, select Associate:

    NSG をサブネットに関連付ける。

  4. [サブネットの関連付け][仮想ネットワーク] を選択し、 [myVNet] を選択します。Under Associate subnet, select Virtual network and then select myVNet.

  5. [サブネット] を選択し、 [default](既定) を選択して [OK] を選択します。Select Subnet, select default, and then select OK.

セキュリティ規則を作成するCreate security rules

  1. [myNSG][設定] で、 [受信セキュリティ規則] を選択します。In Settings of myNSG, select Inbound security rules.

  2. [受信セキュリティ規則][+ 追加] を選択します。In Inbound security rules, select + Add:

    インバウンド セキュリティ規則を追加する。

  3. myAsgWebServers アプリケーション セキュリティ グループに、ポート 80 と 443 を許可するセキュリティ規則を作成します。Create a security rule that allows ports 80 and 443 to the myAsgWebServers application security group. [受信セキュリティ規則の追加] ウィンドウで、次の情報を入力します。In Add inbound security rule, enter or select the following information:

    設定Setting Value
    sourceSource 既定値の [Any](すべて) のままにします。Leave the default of Any.
    Source port rangesSource port ranges 既定値の (*) のままにします。Leave the default of (*)
    到着地Destination [アプリケーションのセキュリティ グループ] を選択します。Select Application security group.
    宛先アプリケーションのセキュリティ グループDestination application security group [myAsgWebServers] を選択します。Select myAsgWebServers.
    サービスService 既定値の [Custom](カスタム) のままにします。Leave the default of Custom.
    宛先ポート範囲Destination port ranges 80,443」と入力します。Enter 80,443.
    ProtocolProtocol [TCP] を選択します。Select TCP.
    アクションAction 既定値の [Allow](許可) のままにします。Leave the default of Allow.
    PriorityPriority 既定値の [100] のままにします。Leave the default of 100.
    名前Name Allow-Web-All」と入力します。Enter Allow-Web-All.

    インバウンド セキュリティ規則。

  4. 手順 2 を繰り返して、次の値を指定します。Complete step 2 again, using the following values:

    設定Setting Value
    sourceSource 既定値の [Any](すべて) のままにします。Leave the default of Any.
    Source port rangesSource port ranges 既定値の (*) のままにします。Leave the default of (*)
    到着地Destination [アプリケーションのセキュリティ グループ] を選択します。Select Application security group.
    宛先アプリケーションのセキュリティ グループDestination application security group [myAsgMgmtServers] を選択します。Select myAsgMgmtServers.
    サービスService 既定値の [Custom](カスタム) のままにします。Leave the default of Custom.
    宛先ポート範囲Destination port ranges 3389」と入力します。Enter 3389.
    ProtocolProtocol [TCP] を選択します。Select TCP.
    アクションAction 既定値の [Allow](許可) のままにします。Leave the default of Allow.
    PriorityPriority 既定値の [110] のままにします。Leave the default of 110.
    名前Name Allow-RDP-All」と入力します。Enter Allow-RDP-All.

    注意事項

    この記事では、myAsgMgmtServers アプリケーション セキュリティ グループに割り当てられている VM 用に、RDP (ポート 3389) がインターネットに公開されています。In this article, RDP (port 3389) is exposed to the internet for the VM that is assigned to the myAsgMgmtServers application security group.

    運用環境では、ポート 3389 をインターネットに公開せずに、VPN、プライベート ネットワーク接続、または Azure Bastion を使用して、管理する Azure リソースに接続することをお勧めします。For production environments, instead of exposing port 3389 to the internet, it's recommended that you connect to Azure resources that you want to manage using a VPN, private network connection, or Azure Bastion.

    Azure Bastion の詳細については、「Azure Bastion とは」を参照してください。For more information on Azure Bastion, see What is Azure Bastion?.

手順 1 から 3 を完了したら、作成した規則を確認します。Once you've completed steps 1-3, review the rules you created. 一覧は、次の例のように表示されます。Your list should look like the list in the following example:

セキュリティ規則。

仮想マシンを作成するCreate virtual machines

仮想ネットワーク内に 2 つの VM を作成します。Create two VMs in the virtual network.

最初の VM を作成するCreate the first VM

  1. ポータルの左上隅にある [リソースの作成] を選択します。Select Create a resource in the upper left-hand corner of the portal.

  2. [計算] を選択し、 [仮想マシン] を選択します。Select Compute, then select Virtual machine.

  3. [仮想マシンの作成][基本] タブで、この情報を入力または選択します。In Create a virtual machine, enter or select this information in the Basics tab:

    設定Setting Value
    プロジェクトの詳細Project details
    サブスクリプションSubscription サブスクリプションを選択します。Select your subscription.
    Resource groupResource group [myResourceGroup] を選択します。Select myResourceGroup.
    インスタンスの詳細Instance details
    仮想マシン名Virtual machine name myVMWeb」と入力します。Enter myVMWeb.
    リージョンRegion [(米国) 米国東部] を選択します。Select (US) East US.
    可用性のオプションAvailability options 既定値の [no redundancy required](冗長性は必要ありません) のままにします。Leave the default of no redundancy required.
    ImageImage [Windows Server 2019 Datacenter - Gen1] を選択します。Select Windows Server 2019 Datacenter - Gen1.
    Azure Spot インスタンスAzure Spot instance 既定値のオフのままにします。Leave the default of unchecked.
    サイズSize [Standard_D2s_V3] を選択します。Select Standard_D2s_V3.
    管理者アカウントAdministrator account
    ユーザー名Username ユーザー名を入力します。Enter a username.
    PasswordPassword パスワードを入力します。Enter a password.
    パスワードの確認Confirm password パスワードを再入力します。Reenter password.
    受信ポートの規則Inbound port rules
    パブリック受信ポートPublic inbound ports [なし] を選択します。Select None.
  4. [ネットワーク] タブを選択します。Select the Networking tab.

  5. [ネットワーク] タブで、次の情報を入力または選択します。In the Networking tab, enter or select the following information:

    設定Setting Value
    ネットワーク インターフェイスNetwork interface
    仮想ネットワークVirtual network [myVNet] を選択します。Select myVNet.
    SubnetSubnet [default (10.0.0.0/24)](既定値 (10.0.0.0/24)) を選択します。Select default (10.0.0.0/24).
    パブリック IPPublic IP 新しいパブリック IP の既定値をそのまま使用します。Leave the default of a new public IP.
    NIC ネットワーク セキュリティ グループNIC network security group [なし] を選択します。Select None.
  6. [Review + create](確認と作成) タブを選択するか、ページの下部にある青色の [Review + create](確認と作成) ボタンを選択します。Select the Review + create tab, or select the blue Review + create button at the bottom of the page.

  7. [作成] を選択しますSelect Create.

2 つ目の VM を作成するCreate the second VM

手順 1. から 7. をもう一度実行します。ただし、手順 3. では、VM の名前を myVMMgmt にします。Complete steps 1-7 again, but in step 3, name the VM myVMMgmt. VM のデプロイには数分かかります。The VM takes a few minutes to deploy.

VM がデプロイされるまで、次の手順に進まないでください。Don't continue to the next step until the VM is deployed.

ネットワーク インターフェイスを ASG に関連付けるAssociate network interfaces to an ASG

ポータルで VM が作成されると、各 VM 用のネットワーク インターフェイスが作成され、そのネットワーク インターフェイスを VM に接続します。When the portal created the VMs, it created a network interface for each VM, and attached the network interface to the VM.

各 VM 用のネットワーク インターフェイスを、前に作成したアプリケーション セキュリティ グループの 1 つに追加します。Add the network interface for each VM to one of the application security groups you created previously:

  1. ポータルの上部にある [リソース、サービス、ドキュメントの検索] ボックスで、「myVMWeb」と入力します。In the Search resources, services, and docs box at the top of the portal, begin typing myVMWeb. 検索結果に [myVMWeb] 仮想マシンが表示されたら、それを選択します。When the myVMWeb virtual machine appears in the search results, select it.

  2. [設定][ネットワーク] を選択します。In Settings, select Networking.

  3. [アプリケーションのセキュリティ グループ] タブを選択し、 [アプリケーションのセキュリティ グループを構成] を選択します。Select the Application security groups tab, then select Configure the application security groups.

    アプリケーション セキュリティ グループを構成する。

  4. [アプリケーションのセキュリティ グループを構成] で、 [myAsgWebServers] を選択します。In Configure the application security groups, select myAsgWebServers. [保存] を選択します。Select Save.

    アプリケーション セキュリティ グループを選択する。

  5. 手順 1. および 2. をもう一度実行し、myVMMgmt 仮想マシンを検索して、myAsgMgmtServers ASG を選択します。Complete steps 1 and 2 again, searching for the myVMMgmt virtual machine and selecting the myAsgMgmtServers ASG.

トラフィック フィルターをテストするTest traffic filters

  1. myVMMgmt VM に接続します。Connect to the myVMMgmt VM. ポータル上部の [検索] ボックスに「myVMMgmt」と入力します。Enter myVMMgmt in the search box at the top of the portal. 検索結果に [myVMMgmt] が表示されたら、それを選択します。When myVMMgmt appears in the search results, select it. [接続] を選択します。Select the Connect button.

  2. [RDP ファイルのダウンロード] を選択します。Select Download RDP file.

  3. ダウンロードした RDP ファイルを開き、 [接続] を選択します。Open the downloaded rdp file and select Connect. VM の作成時に指定したユーザー名とパスワードを入力します。Enter the user name and password you specified when creating the VM.

  4. [OK] を選択します。Select OK.

  5. 接続処理中に証明書の警告が表示される場合があります。You may receive a certificate warning during the connection process. 警告が表示されたら、 [はい] または [続行] を選択して接続処理を続行します。If you receive the warning, select Yes or Continue, to continue with the connection.

    この接続は成功します。myAsgMgmtServers アプリケーション セキュリティ グループへのインターネットからのインバウンド トラフィックが、ポート 3389 で許可されているためです。The connection succeeds, because port 3389 is allowed inbound from the internet to the myAsgMgmtServers application security group.

    myVMMgmt のネットワーク インターフェイスが myAsgMgmtServers アプリケーション セキュリティ グループに関連付けられ、接続が許可されます。The network interface for myVMMgmt is associated with the myAsgMgmtServers application security group and allows the connection.

  6. myVMMgmt で PowerShell セッションを開きます。Open a PowerShell session on myVMMgmt. 次の例を使用して myVMWeb に接続します。Connect to myVMWeb using the following example:

    mstsc /v:myVmWeb
    

    myVMMgmt から myVMWeb への RDP 接続は成功します。既定では、同じネットワーク内の仮想マシンが任意のポートで相互に通信できるためです。The RDP connection from myVMMgmt to myVMWeb succeeds because virtual machines in the same network can communicate with each over any port by default.

    インターネットから myVMWeb 仮想マシンへの RDP 接続を作成することはできません。You can't create an RDP connection to the myVMWeb virtual machine from the internet. myAsgWebServers のセキュリティ規則により、インターネットからポート 3389 へのインバウンド接続は拒否されます。The security rule for the myAsgWebServers prevents connections to port 3389 inbound from the internet. 既定では、インターネットからのインバウンド トラフィックはすべてのリソースに対して拒否されます。Inbound traffic from the Internet is denied to all resources by default.

  7. myVMWeb 仮想マシンに Microsoft IIS をインストールするには、myVMWeb 仮想マシンの PowerShell セッションから次のコマンドを入力します。To install Microsoft IIS on the myVMWeb virtual machine, enter the following command from a PowerShell session on the myVMWeb virtual machine:

    Install-WindowsFeature -name Web-Server -IncludeManagementTools
    
  8. IIS のインストールが完了したら、myVMWeb 仮想マシンから切断します。myVMMgmt 仮想マシンのリモート デスクトップ接続は保持されます。After the IIS installation is complete, disconnect from the myVMWeb virtual machine, which leaves you in the myVMMgmt virtual machine remote desktop connection.

  9. myVMMgmt VM から切断します。Disconnect from the myVMMgmt VM.

  10. Azure portal の上部にある [リソース、サービス、ドキュメントの検索] ボックスに、お使いのコンピューターから「myVMWeb」と入力します。In the Search resources, services, and docs box at the top of the Azure portal, begin typing myVMWeb from your computer. 検索結果に [myVMWeb] が表示されたら、それを選択します。When myVMWeb appears in the search results, select it. 実際の VM の パブリック IP アドレス をメモします。Note the Public IP address for your VM. 次の例に示すアドレスは 23.96.39.113 になっていますが、実際のアドレスは異なります。The address shown in the following example is 23.96.39.113, but your address is different:

    パブリック IP アドレス。

  11. インターネットから myVMWeb Web サーバーにアクセスできることを確認するには、コンピューターでインターネット ブラウザーを開き、http://<public-ip-address-from-previous-step> にアクセスします。To confirm that you can access the myVMWeb web server from the internet, open an internet browser on your computer and browse to http://<public-ip-address-from-previous-step>.

IIS のウェルカム画面が表示されます。myAsgWebServers アプリケーション セキュリティ グループへのインターネットからのインバウンド トラフィックが、ポート 80 で許可されているためです。You see the IIS welcome screen, because port 80 is allowed inbound from the internet to the myAsgWebServers application security group.

myVMWeb 用に接続されているネットワーク インターフェイスが myAsgWebServers アプリケーション セキュリティ グループに関連付けられ、接続が許可されます。The network interface attached for myVMWeb is associated with the myAsgWebServers application security group and allows the connection.

リソースをクリーンアップするClean up resources

リソース グループとそれに含まれるすべてのリソースが不要になったら、それらを削除します。When no longer needed, delete the resource group and all of the resources it contains:

  1. ポータル上部の [検索] ボックスに「myResourceGroup」と入力します。Enter myResourceGroup in the Search box at the top of the portal. 検索結果に [myResourceGroup] が表示されたら、それを選択します。When you see myResourceGroup in the search results, select it.
  2. [リソース グループの削除] を選択します。Select Delete resource group.
  3. [TYPE THE RESOURCE GROUP NAME:](リソース グループ名を入力してください:) に「myResourceGroup」と入力し、 [削除] を選択します。Enter myResourceGroup for TYPE THE RESOURCE GROUP NAME: and select Delete.

次のステップNext steps

このチュートリアルでは、次の作業を行いました。In this tutorial, you:

  • ネットワーク セキュリティ グループを作成し、それを仮想ネットワーク サブネットに関連付けました。Created a network security group and associated it to a virtual network subnet.
  • Web および管理用のアプリケーション セキュリティ グループを作成しました。Created application security groups for web and management.
  • 2 つの仮想マシンを作成しました。Created two virtual machines.
  • アプリケーション セキュリティ グループのネットワーク フィルターをテストしました。Tested the application security group network filtering.

ネットワーク セキュリティ グループについて詳しくは、ネットワーク セキュリティ グループの概要ネットワーク セキュリティ グループの管理に関する記事を参照してください。To learn more about network security groups, see Network security group overview and Manage a network security group.

Azure の既定では、サブネット間でトラフィックがルーティングされます。Azure routes traffic between subnets by default. 代わりに、たとえばファイアウォールとして機能する VM を介してサブネット間でトラフィックをルーティングすることもできます。You may instead, choose to route traffic between subnets through a VM, serving as a firewall, for example.

ルート テーブルを作成する方法を学習するには、次のチュートリアルに進んでください。To learn how to create a route table, advance to the next tutorial.