次の方法で共有

Azure portal を使用して Azure Firewall の基本とポリシーをデプロイして構成する

Azure Firewall Basic は、SMB のお客様が必要とする基本的な保護を手頃な価格で提供します。 このソリューションは、スループット要件が 250 Mbps 未満の SMB 顧客環境に推奨されます。 250 Mbps を超えるスループット要件を持つ環境に Standard SKU をデプロイし、高度な脅威保護用の Premium SKU を デプロイします。

ネットワークとアプリケーションのトラフィックのフィルター処理は、ネットワーク セキュリティ計画全体の重要な部分です。 たとえば、Web サイトへのアクセスを制限することができます。 また、アクセスできるアウトバウンドの IP アドレスとポートを制限したい場合があるかもしれません。

Azure サブネットからの受信ネットワーク アクセスと送信ネットワーク アクセスの両方を制御する方法の 1 つは、Azure Firewall と Firewall Policy です。 Azure Firewall とファイアウォール ポリシーを使用すると、次の構成を行うことができます。

  • アプリケーション ルール: サブネットからアクセスできる完全修飾ドメイン名 (FQDN) を定義します。
  • ネットワーク ルール: 送信元アドレス、プロトコル、宛先ポート、送信先アドレスを定義します。
  • サブネットへの受信インターネット トラフィックを変換およびフィルター処理するための DNAT ルール。

ネットワーク トラフィックは、サブネットの既定ゲートウェイとしてのファイアウォールにルーティングしたときに、構成されているファイアウォール ルールに制約されます。

この記事では、簡単にデプロイできるように、3 つのサブネットを持つ簡略化された単一の仮想ネットワークを作成します。 Firewall Basic には、管理 NIC を使用して構成する必要がある必須要件があります。

  • AzureFirewallSubnet - このサブネットにファイアウォールが存在します。
  • AzureFirewallManagementSubnet - サービス管理トラフィック用。
  • Workload-SN - このサブネットにはワークロード サーバーがあります。 このサブネットのネットワーク トラフィックは、ファイアウォールを通過します。

Azure Firewall Basic では、Azure Firewall Standard または Premium SKU と比較してトラフィック処理が制限されているため、中断を防ぐには、 AzureFirewallManagementSubnet で顧客トラフィックを Microsoft 管理トラフィックから分離する必要があります。 この管理トラフィックは、Microsoft との間でのみ自動的に行われる更新プログラムと正常性メトリック通信に必要です。 この IP では、他の接続は許可されません。

運用環境のデプロイでは、ファイアウォールが独自の仮想ネットワーク内にある ハブ アンド スポーク モデルを使用します。 ワークロード サーバーは、1 つまたは複数のサブネットを含む同じリージョンのピアリングされた仮想ネットワーク内にあります。

この記事では、次の方法について説明します。

  • テスト ネットワーク環境を設定する
  • 基本的なファイアウォールと基本的なファイアウォール ポリシーを展開する
  • 既定のルートを作成する
  • www.google.com へのアクセスを許可するようにアプリケーション規則を構成する
  • 外部 DNS サーバーへのアクセスを許可するようにネットワーク ルールを構成する
  • テスト サーバーへのリモート デスクトップを許可するように NAT 規則を構成する
  • ファイアウォールをテストする

必要に応じて、 Azure PowerShell を使用してこの手順を完了できます。

[前提条件]

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

リソース グループを作成する

リソース グループには、ハウツーのすべてのリソースが含まれています。

  1. Azure portal にサインインします。

  2. リソース グループを検索して選択し、[作成] を選択します。

  3. 以下の値を入力または選択します。

    Setting 価値
    Subscription サブスクリプションを選択します。
    リソース グループ名 Test-FW-RG」と入力します。
    リージョン リージョンを選択します。 作成する他のすべてのリソースは、同じリージョンに存在する必要があります。

  4. [確認と作成] を選択し、次に [作成] を選択します。

ファイアウォールとポリシーをデプロイする

ファイアウォールをデプロイし、関連付けられているネットワーク インフラストラクチャを作成します。

  1. Azure portal のメニューまたは [ホーム ] ウィンドウで、[ リソースの作成] を選択します。

  2. 検索ボックスに「 firewall 」と入力し、 Enter キーを押します。

  3. [ファイアウォール] を選択し、[作成] を選択します。

  4. [ ファイアウォールの作成] で、次の値を入力または選択します。

    Setting 価値
    Subscription サブスクリプションを選択します。
    リソースグループ [Test-FW-RG] を選択します。
    名前 Test-FW01」と入力します。
    リージョン 以前使用したのと同じ場所を選択します。
    ファイアウォール層 Basic
    ファイアウォール管理 ファイアウォール ポリシーを使用してこのファイアウォールを管理する
    ファイアウォール ポリシー [新規追加] を選択します。 fw-test-pol を入力し、お使いのリージョンを選択し、ポリシー層の既定値が Basic であることを確認します。
    仮想ネットワークの選択 [新規作成] を選択します。 名前に Test-FW-VN 、アドレス空間に 10.0.0.0/16 、サブネット アドレス空間に 10.0.0.0/26 を入力します。
    パブリック IP アドレス [ 新規追加] を選択し、名前として 「fw-pip 」と入力します。
    管理 - サブネットのアドレス空間 10.0.1.0/26
    管理パブリック IP アドレス [ 新規追加] を選択し、名前として 「fw-mgmt-pip 」と入力します。

  5. 他の既定値をそのまま使用し、[ 確認と作成] を選択します。

  6. 概要を確認し、[ 作成 ] を選択してファイアウォールを作成します。

    デプロイには数分かかります。

  7. デプロイが完了したら、 Test-FW-RG リソース グループに移動し、 Test-FW01 ファイアウォールを選択します。

  8. ファイアウォールのプライベート IP アドレスとパブリック IP (fw-pip) アドレスをメモします。 これらのアドレスは後で使用します。

ワークロード サーバーのサブネットを作成する

次に、ワークロード サーバーのサブネットを作成します。

  1. Test-FW-RG リソース グループに移動し、Test-FW-VN 仮想ネットワークを選択します。
  2. [ サブネット] を選択し、[ + サブネット] を選択します。
  3. [サブネット名] に「Workload-SN」と入力します。 [サブネット アドレス範囲] に「10.0.2.0/24」と入力します。
  4. 保存 を選択します。

仮想マシンを作成する

ワークロード仮想マシンを作成し、 ワークロード SN サブネットに配置します。

  1. Azure portal のメニューまたは [ホーム] で、[ リソースの作成] を選択します。

  2. Windows Server 2019 Datacenter を選択します。

  3. 仮想マシンに次の値を入力します。

    Setting 価値
    リソースグループ Test-FW-RG
    仮想マシン名 Srv-Work
    リージョン 前と同じ
    Image Windows Server 2019 Datacenter
    管理者ユーザー名 ユーザー名を入力する
    パスワード パスワードを入力する

  4. [受信ポートの規則][パブリック受信ポート] で、 [なし] を選択します。

  5. [ ディスク ] タブで既定値をそのまま使用し、[ 次へ: ネットワーク] を選択します。

  6. [仮想ネットワーク] で、Test-FW-VN を選択します。 [サブネット] で、[Workload-SN] を選択します。 [パブリック IP] で、[なし] を選択します

  7. [管理] で既定値をそのまま使用し、[監視] タブで [ブート診断を無効にする] を選択します。 [確認と作成] を選択し、次に [作成] を選択します。

  8. デプロイが完了したら、 Srv-Work リソースを選択し、後で使用するためにプライベート IP アドレスをメモします。

既定のルートを作成する

Workload-SN サブネットの場合は、ファイアウォールを通過するように送信の既定のルートを構成します。

  1. ルート テーブルを検索して選択し、[作成] を選択します。

  2. 以下の値を入力または選択します。

    Setting 価値
    Subscription サブスクリプションを選択します。
    リソースグループ [Test-FW-RG] を選択します。
    リージョン 以前使用したのと同じ場所を選択します。
    名前 Firewall-route」と入力します。

  3. [確認と作成] を選択し、次に [作成] を選択します。 デプロイが完了したら、[リソースに移動] を選択します。

  4. [ ファイアウォール ルート ] ページで、[ サブネット] を選択し、[ 関連付け] を選択します。

  5. [ 仮想ネットワーク>Test-FW-VN] を選択します。 [サブネット] で、[Workload-SN] を選択します。

    Important

    このルートの Workload-SN サブネットのみを選択します。それ以外の場合は、ファイアウォールが正しく機能しません。

  6. [OK] を選択.

  7. [ルート][追加] の順に選択します。 以下の値を入力または選択します。

    Setting 価値
    ルート名 fw-dg
    プレフィックス宛先をアドレス [IP アドレス]
    宛先 IP アドレス/CIDR 範囲 0.0.0.0/0
    ネクストホップの種類 仮想アプライアンス (Azure Firewall はマネージド サービスですが、仮想アプライアンスはここで動作します)。
    ネクストホップ アドレス 前にメモしたファイアウォールのプライベート IP アドレス。

  8. [] を選択し、[] を追加します。

アプリケーション ルールを構成する

このアプリケーション 規則は、 www.google.comへの送信アクセスを許可します。

  1. Test-FW-RG を開き、fw-test-pol ファイアウォール ポリシーを選択します。

  2. [ アプリケーション ルール] を選択し、[ ルール コレクションの追加] を選択します。

  3. 以下の値を入力または選択します。

    Setting 価値
    名前 App-Coll01
    優先度 200
    規則集合処理 許可

  4. [ ルール] で、次の値を入力または選択します。

    Setting 価値
    名前 Allow-Google
    ソースの種類 IPアドレス
    情報源 10.0.2.0/24
    プロトコル:ポート http, https
    宛先タイプ FQDN
    行き先 www.google.com

  5. [] を選択し、[] を追加します。

Azure Firewall には、既定で許可されるインフラストラクチャ FQDN 用の組み込みのルール コレクションが含まれています。 これらの FQDN はプラットフォームに固有であり、他の目的で使用することはできません。 詳細については、インフラストラクチャ FQDN に関する記事を参照してください。

ネットワーク ルールを構成する

このネットワーク規則は、ポート 53 (DNS) で 2 つの IP アドレスへの送信アクセスを許可します。

  1. [ ネットワーク ルール] を選択し、[ ルール コレクションの追加] を選択します。

  2. 以下の値を入力または選択します。

    Setting 価値
    名前 Net-Coll01
    優先度 200
    規則集合処理 許可
    規則コレクション グループ デフォルトネットワークルールコレクショングループ

  3. [ ルール] で、次の値を入力または選択します。

    Setting 価値
    名前 Allow-DNS
    ソースの種類 IPアドレス
    情報源 10.0.2.0/24
    プロトコル UDP
    ターゲット ポート 53
    変換先の型 IPアドレス
    行き先 209.244.0.3,209.244.0.4 (Level3 が運用するパブリック DNS サーバー)

  4. [] を選択し、[] を追加します。

DNAT ルールを構成する

この規則は、ファイアウォールを介してリモート デスクトップを Srv-Work 仮想マシンに接続します。

  1. [DNAT ルール] を選択し、[ルール コレクションの追加] を選択します。

  2. 以下の値を入力または選択します。

    Setting 価値
    名前 rdp
    優先度 200
    規則コレクション グループ デフォルトDNATルールコレクショングループ

  3. [ ルール] で、次の値を入力または選択します。

    Setting 価値
    名前 rdp-nat
    ソースの種類 IPアドレス
    情報源 *
    プロトコル TCP
    ターゲット ポート 3389
    宛先タイプ IPアドレス
    行き先 ファイアウォールのパブリック IP アドレス (fw-pip)
    変換されたアドレス Srv-Work プライベート IP アドレス
    変換されたポート 3389

  4. [] を選択し、[] を追加します。

Srv-Work ネットワーク インターフェイスのプライマリ DNS アドレスとセカンダリ DNS アドレスを変更する

この記事のテスト目的で、サーバーのプライマリ DNS アドレスとセカンダリ DNS アドレスを構成します。 この構成は、一般的な Azure Firewall 要件ではありません。

  1. Azure portal で、メニューから、または検索して リソース グループに移動し、 Test-FW-RG を選択します。
  2. Srv-Work 仮想マシンのネットワーク インターフェイスを選択します。
  3. [設定] で、[DNS サーバー] を選択します。
  4. [DNS サーバー] で、[カスタム] を選択します。
  5. [209.244.0.3] テキスト ボックスに「」と入力し、次のテキスト ボックスに209.244.0.4します。
  6. 保存 を選択します。
  7. Srv-Work 仮想マシンを再起動します。

ファイアウォールをテストする

今度は、ファイアウォールをテストして、想定したように機能することを確認します。

  1. リモート デスクトップをファイアウォールのパブリック IP アドレス (fw-pip) に接続し、 Srv-Work 仮想マシンにサインインします。

  2. Microsoft Edge を開き、https://www.google.com を閲覧します。 Google のホーム ページが表示されます。

  3. http://www.microsoft.com にアクセスしてください。

    ファイアウォールによってブロックされます。

これで、ファイアウォール規則が動作していることを確認しました。

  • リモート デスクトップを Srv-Work 仮想マシンに接続できます。
  • 1 つの許可された FQDN は参照できますが、それ以外は参照できません。
  • 構成された外部 DNS サーバーを使用して、DNS 名を解決できます。

リソースをクリーンアップする

さらにテストするためにファイアウォール リソースを保持できます。 不要になった場合は、 Test-FW-RG リソース グループを削除して、ファイアウォール関連のすべてのリソースを削除します。

次のステップ

Azure Firewall Premium をデプロイして構成する

  • Last updated on