Azure Firewall のデプロイを計画する
Azure Firewall をデプロイする前に、ネットワーク トポロジを計画し、必要なファイアウォール規則を特定し、デプロイ手順を理解する必要があります。
推奨されるネットワーク トポロジ
Azure Firewall は、次の特性を持つハブアンドスポーク ネットワーク トポロジを使用して最適にデプロイされることを思い出してください。
- 中央の接続ポイントとして機能する仮想ネットワーク。 このネットワークはハブ仮想ネットワークです。
- ハブとピアリングされた 1 つ以上の仮想ネットワーク。 これらのピアはスポーク仮想ネットワークであり、ワークロード サーバーのプロビジョニングに使用されます。
ハブ仮想ネットワークのサブネットにファイアウォール インスタンスをデプロイし、ファイアウォールを通過するようにすべての受信トラフィックと送信トラフィックを構成できます。 この構成は、Azure Firewall をデプロイして Azure Virtual Desktop のホスト プールを保護するときに使用します。
Azure Firewall の規則
既定では、ファイアウォールによってすべてのアクセスが拒否されることを思い出してください。 あなたの仕事は、トラフィックがファイアウォールの通過を許可される条件を指定してファイアウォールを構成することです。 各条件はルールと呼ばれます。 各ルールは、データに対して 1 つ以上のチェックを適用します。 すべてのファイアウォールの規則のすべてのチェックインを通過するトラフィックのみが通過を許可されます。
次の表で、Azure のファイアウォール用に作成できる 3 種類の規則について説明します。 Azure Virtual Desktop の適切なネットワーク トラフィックを許可するには、アプリケーションとネットワークの規則を使用します。
| ルールの種類 | 説明 |
|---|---|
| ネットワーク アドレス変換 (NAT) | ファイアウォールのパブリック IP アドレスと、指定されたポート番号に基づいて、受信インターネット トラフィックを変換し、フィルター処理します。 たとえば、仮想マシン (VM) へのリモート デスクトップ接続を有効にするには、NAT 規則を使用して、ファイアウォールのパブリック IP アドレスとポート 3389 を VM のプライベート IP アドレスに変換します。 |
| アプリケーション | 完全修飾ドメイン名 (FQDN) または FQDN タグに基づいてトラフィックをフィルター処理します。 FQDN タグは、Azure Virtual Desktop などの既知の Microsoft サービスに関連付けられている FQDN のグループを表します。 たとえば、アプリケーションルールを使用して、FQDN タグ WindowsVirtualDesktop を使用して、Azure Virtual Desktop VM の送信トラフィックを許可します。 |
| ネットワーク | 次の 3 つのネットワーク パラメーターのうち、1 つ以上に基づいてトラフィックをフィルター処理します。IP アドレス、ポート、プロトコルです。 たとえば、ネットワーク ルールを使用して、オンプレミスの Active Directory Domain Server プライベート IP アドレスから Azure へのトラフィックを TCP ポートと UDP ポート 53 で許可します。 Microsoft Entra Domain Server を使用している場合は、ネットワーク ルールを作成する必要はありません。 DNS クエリは、168.63.129.16 で Azure DNS に転送されます。 |
Azure Firewall では、優先順位に従って規則が適用されます。 脅威インテリジェンスに基づく規則は、常に最も高い優先順位が与えられ、最初に処理されます。 その後、種類別に規則が適用されます。NAT 規則、ネットワーク規則、アプリケーション規則の順です。 各種類の中では、規則の作成時に割り当てられた優先順位の値に従って、最小値から最大値へと規則が処理されます。
配置オプション
Azure Firewall には、ルールの作成と管理を容易にするために設計された多くの機能が用意されていることを思い出してください。 次の表は、これらの機能をまとめたものです。 Azure Virtual Desktop のネットワーク トラフィックを許可するには、FQDN タグを使用しますが、環境内でこれらの他のオプションを使用することもできます。
| 特徴 | 説明 |
|---|---|
| FQDN | 1 つのホストまたは 1 つ以上の IP アドレスの 1 つのドメイン名。 アプリケーション規則に FQDN を追加して、そのドメインへのアクセスを許可します。 アプリケーション ルールで FQDN を使用する場合は、*.google.com などのワイルドカードを使用できます。 |
| FQDN タグ | Microsoft の既知の FQDN のグループ。 アプリケーション規則に FQDN タグを追加して、タグの FQDN への送信アクセスを許可します。 たとえば、Windows Update、Azure Virtual Desktop、Windows 診断、Azure Backup の FQDN タグがあります。 Microsoft は FQDN タグを管理します。変更や作成はできません。 |
| サービス タグ | 特定の Azure サービスに関連する IP アドレス プレフィックスのグループ。 ネットワーク規則にサービス タグを追加して、タグによって表されるサービスへのアクセスを許可します。 Azure Backup、Azure Cosmos DB、Azure Logic Apps など、数十の Azure サービスのサービス タグがあります。 Microsoft はサービス タグを管理します。サービス タグを変更または作成することはできません。 |
| IP グループ | 10.2.0.0/16 や 10.1.0.0-10.1.0.31 のような IP アドレスのグループ。 IP グループは、NAT またはアプリケーション規則内の発信元アドレスとして、またはネットワーク規則内の送信元または宛先アドレスとして使用できます。 |
| [カスタム DNS] | ドメイン名を IP アドレスに解決するカスタム DNS サーバー。 Azure DNS ではなくカスタム DNS サーバーを使用する場合は、Azure Firewall を DNS プロキシとしても構成する必要があります。 |
| DNS プロキシ | DNS プロキシとして機能するように Azure Firewall を構成できます。これは、すべてのクライアント DNS 要求が、DNS サーバーに移動する前にファイアウォールを通過することを意味します。 |
Azure Firewall のデプロイ手順
前の演習では、サブネットを含むホスト プールと仮想ネットワークを作成しました。 セッション ホスト VM をそのサブネットにデプロイし、ホスト プールに登録しました。 次の演習では、次の手順を実行して、ホスト プールを保護するために Azure Firewall をデプロイします。
ネットワークを設定します。
- ファイアウォールのデプロイ用サブネットを含むハブ仮想ネットワークを作成します。
- ハブとスポーク ネットワークをピアリングします。 次の演習では、ハブ仮想ネットワークと、Azure Virtual Desktop のホスト プールで使用される仮想ネットワークをピアリングします。
Azure Firewall をデプロイする:
- ハブ仮想ネットワーク内のサブネットに Azure Firewall をデプロイします。
- 送信トラフィック用に、すべてのサブネットからトラフィックをファイアウォールのプライベート IP アドレスに送信する、既定のルートを作成します。
Azure Firewall ルールを作成します。
- 受信と送信のトラフィックをフィルター処理する規則を使用してファイアウォールを構成します。