次の方法で共有

セキュリティで保護されたトラフィック管理のために Azure Firewall DNAT 規則を設定して監視する方法

Azure Firewall DNAT (宛先ネットワーク アドレス変換) 規則は、受信トラフィックをフィルター処理して出力するために使用されます。 これにより、公開されている宛先 IP アドレスと受信トラフィックのポートを、ネットワーク内のプライベート IP アドレスとポートに変換できます。 これは、プライベート IP (Web サーバーや SSH エンドポイントなど) で実行されているサービスをインターネットまたは別のネットワークに公開する場合に便利です。

DNAT 規則では、次を指定します。

  • 送信元: トラフィックの送信元の送信元 IP アドレスまたは IP グループ。
  • 宛先: Azure Firewall インスタンスの宛先 IP アドレス。
  • プロトコル: トラフィックに使用されるプロトコル (TCP または UDP)。
  • 宛先ポート: トラフィックを受信する Azure Firewall インスタンス上のポート。
  • 変換されたアドレス: トラフィックのルーティング先となるプライベート IP アドレスまたは FQDN。
  • 変換されたポート: トラフィックの転送先となる変換されたアドレス上のポート。

パケットが DNAT 規則と一致すると、Azure Firewall は、指定されたバックエンド サーバーに転送する前に、規則に従ってパケットの宛先 IP アドレスとポートを変更します。

Azure Firewall では、DNAT ルールでの FQDN フィルター処理が サポートされており、静的 IP アドレスではなく、変換のターゲットとして完全修飾ドメイン名 (FQDN) を指定できます。 これにより、動的なバックエンド構成が可能になり、バックエンド サーバーの IP アドレスが頻繁に変更される可能性があるシナリオでの管理が簡略化されます。

[前提条件]

  • Azure サブスクリプション。 Azure サブスクリプションをお持ちでない場合は、始める前に無料アカウントを作成してください。
  • Azure Firewall インスタンス。
  • Azure Firewall ポリシー。

DNAT ルールを作成する

  1. Azure portal で、Azure Firewall インスタンスに移動します。

  2. 左側のウィンドウで、[ ルール] を選択します。

  3. DNAT ルールを選択します

  4. [ + DNAT ルール コレクションの追加] を選択します。

  5. [ ルール コレクションの追加 ] ウィンドウで、次の情報を指定します。

    • 名前: DNAT ルール コレクションの名前を入力します。
    • 優先順位: 規則コレクションの優先順位を指定します。 数値が小さいと、優先度が高いことを示します。 範囲は 100 から 65000 です。
    • アクション: 宛先ネットワーク アドレス変換 (DNAT) (既定)。
    • ルール コレクション グループ: これは、DNAT ルール コレクションを含むルール コレクション グループの名前です。 既定のグループまたは前に作成したグループを選択できます。
    • ルール:
      • 名前: DNAT ルールの名前を入力します。
      • 送信元の種類: IP アドレス または IP グループを選択します。
      • ソース: 送信元 IP アドレスを入力するか、IP グループを選択します。
      • プロトコル: プロトコル (TCP または UDP) を選択します。
      • 宛先ポート: 宛先ポートまたはポート範囲を入力します (例: 単一ポート 80、ポート範囲 80 から 100、または複数のポート 80,443)。
      • 宛先 (ファイアウォール IP アドレス):Azure Firewall インスタンスの宛先 IP アドレスを入力します。
      • 変換された種類: IP アドレス または FQDN を選択します。
      • 変換されたアドレスまたは FQDN: 変換された IP アドレスまたは FQDN を入力します。
      • 変換されたポート: 変換されたポートを入力します。

  6. 必要に応じて、追加のルールに対して手順 5 を繰り返します。

  7. [ 追加] を選択して DNAT ルール コレクションを作成します。

DNAT ルールの監視と検証

DNAT ルールを作成したら、 AZFWNatRule ログを使用してそれらを監視およびトラブルシューティングできます。 このログは、受信トラフィックに適用される DNAT ルールに関する詳細な分析情報を提供します。次の情報が含まれます。

  • タイムスタンプ: トラフィック フローが発生した正確な時刻。
  • プロトコル: 通信に使用されるプロトコル (TCP や UDP など)。
  • 送信元 IP とポート: 送信元トラフィック ソースに関する情報。
  • 宛先 IP とポート: 変換前の元の宛先の詳細。
  • 変換された IP とポート: 解決された IP アドレス (FQDN を使用している場合) と変換後のターゲット ポート。

AZFWNatRule ログを分析するときは、次の点に注意してください。

  • 変換されたフィールド: FQDN フィルタリングを使用する DNAT ルールの場合、ログには FQDN ではなく変換されたフィールドに解決済みの IP アドレスが表示されます。
  • プライベート DNS ゾーン: 仮想ネットワーク (VNet) 内でのみサポートされます。 この機能は、仮想 WAN SKU では使用できません。
  • DNS 解決の複数の IP: FQDN がプライベート DNS ゾーンまたはカスタム DNS サーバー内の複数の IP アドレスに解決される場合、Azure Firewall の DNS プロキシは一覧から最初の IP アドレスを選択します。 この動作は設計によるものです。
  • FQDN 解決失敗:
    • Azure Firewall で FQDN を解決できない場合、DNAT ルールは一致しないため、トラフィックは処理されません。
    • これらのエラーは、DNS プロキシが有効になっている場合にのみ 、AZFWInternalFQDNResolutionFailure ログに記録されます。
    • DNS プロキシが有効になっていないと、解決エラーはログに記録されません。

主な考慮事項

FQDN フィルタリングで DNAT ルールを使用する場合は、次の考慮事項が重要です。

  • プライベート DNS ゾーン: Azure Virtual WAN ではなく、仮想ネットワーク内でのみサポートされます。
  • DNS 解決の複数の IP: Azure Firewall の DNS プロキシは、解決された一覧 (プライベート DNS ゾーンまたはカスタム DNS サーバー) から常に最初の IP アドレスを選択します。 これは予想される現象です。

これらのログを分析すると、接続の問題を診断し、トラフィックが意図したバックエンドに正しくルーティングされるようにすることができます。

プライベート IP DNAT のシナリオ

ネットワークの重複やルーティング不可能なネットワーク アクセスを伴う高度なシナリオでは、Azure Firewall のプライベート IP DNAT 機能を使用できます。 この機能では次のことができます。

  • 複数のネットワークが同じ IP アドレス空間を共有する重複するネットワーク シナリオを処理する
  • ルーティング不可能なネットワーク内のリソースへのアクセスを提供する
  • パブリック IP アドレスではなく、DNAT にファイアウォールのプライベート IP アドレスを使用する

これらのシナリオに対してプライベート IP DNAT を構成する方法については、 重複するネットワークとルーティング不可能なネットワークに対する Azure Firewall プライベート IP DNAT のデプロイに関するページを参照してください。

プライベート IP DNAT は、Azure Firewall Standard SKU と Premium SKU でのみ使用できます。 Basic SKU では、この機能はサポートされていません。

次のステップ

  • Last updated on