次のドキュメントでは、インターネットにバインドされたトラフィックを検査するために Virtual WAN ルーティング意図で使用できるさまざまなルーティング パターンについて説明します。
バックグラウンド
Virtual WAN ルーティングインテントを使用すると、Virtual WAN ハブにデプロイされたセキュリティ ソリューションにプライベート トラフィックとインターネット トラフィックを送信できます。
次の表は、Virtual WAN がインターネットにバインドされたトラフィックを検査してルーティングする方法を定義する 2 つの異なるモードをまとめたものです。
| Mode | インターネット トラフィック |
|---|---|
| 直接アクセス | 検査後にインターネットに 直接 ルーティングされます。 |
| 強制トンネル | 検査後に、指定された次ホップ (オンプレミスから学習された 0.0.0.0/0 ルート 、ネットワーク仮想アプライアンス (NVA) または Virtual WAN 静的ルート) 経由でルーティングされます。 0.0.0.0/0 ルートがオンプレミス、NVA、または仮想ネットワーク接続上の静的ルートから学習されない場合、インターネットにバインドされたトラフィックはブロックされます。 |
可用性
このセクションでは、 直接アクセス と 強制トンネル モードの可用性について説明します。 2 つのモードの違いを理解し、目的の構成に関連するセクションを確認してください。
直接アクセス
次の表は、インターネット ルーティング ポリシーを構成することで 、直接アクセス を使用してインターネット アクセスをセキュリティで保護する可用性の状態を示しています。
| セキュリティ ソリューション | ステータス |
|---|---|
| Azure Firewall | Azure パブリック クラウドと Azure Government クラウドで一般提供。 |
| Virtual WAN ハブ内の NVA ファイアウォール | ネットワーク仮想アプライアンスが利用可能なリージョンで一般提供されます。 |
| Virtual WAN ハブでのサービスとしてのソフトウェア | 一般に 、Palo Alto Cloud NGFW が利用可能なリージョンで利用できます。 |
強制トンネル
次の表に、プライベート ルーティング ポリシーを構成して 強制トンネリング を使用してインターネット アクセスをセキュリティで保護する可用性の状態を示します。
Important
強制トンネル モードでの Virtual WAN ハブの構成は、Azure パブリックにデプロイされます。 Azure Government のデプロイが進行中です。 リージョンの可用性に関する質問がある場合は、 virtual-wan-forced-tunnel@microsoft.com または Microsoft アカウント チームにお問い合わせください。
| セキュリティ ソリューション | ステータス |
|---|---|
| Azure Firewall | Azure パブリックで一般提供。 |
| Virtual WAN ハブ内の NVA ファイアウォール | ネットワーク仮想アプライアンスが利用可能なリージョンでのパブリック プレビュー。 |
| Virtual WAN ハブでのサービスとしてのソフトウェア | Palo Alto Cloud NGFW が利用可能なリージョンでのパブリック プレビュー。 |
既知の制限事項
強制トンネルの構成:
- 強制トンネルには、特定のルーティング意図の構成が必要です。
- Virtual WAN ハブにデプロイされたセキュリティ ソリューションの Destination-NAT (DNAT) は、強制トンネル インターネット ルーティング モードで構成されている Virtual WAN ハブでは サポートされていません 。 DNAT トラフィックの着信接続はインターネットから発信されます。 ただし、強制トンネル モードでは、オンプレミスまたは NVA 経由でトラフィックが強制的に返されます。 このルーティング パターンにより、非対称ルーティングが行われます。
- Virtual WAN ハブと同じ Azure リージョンにデプロイされた Azure ストレージ アカウントのパブリック IP アドレス宛てのオンプレミスからのトラフィックは、ハブのセキュリティ ソリューションをバイパスします。 問題の詳細については、「 Virtual WAN の既知の問題」を参照してください。
- オンプレミス では、 0.0.0.0/0 より具体的な強制トンネル ルートをアドバタイズすることはできません。 オンプレミスからの 0.0.0.0.0/1 や 128.0.0.0/1 などのより具体的なルートをアドバタイズすると、仮想ハブに統合された Azure Firewall または NVA の管理トラフィックがブラックホールする可能性があります。
- 0.0.0.0/0 ルートが仮想ネットワーク接続の静的ルートとして構成されている場合、仮想ネットワーク接続で構成されている バイパス次ホップ設定 は無視され、 バイパス/等しいように設定されていると見なされます。 つまり、構成された 0.0.0.0/0 静的ルートとの仮想ネットワーク接続内の IP アドレス宛てのトラフィックは、仮想ハブのセキュリティ アプライアンスによって検査され、スポーク仮想ネットワーク内の宛先 IP に直接ルーティングされます。 トラフィックは、静的ルートで構成された次ホップ IP を バイパス します。 このルーティング動作の詳細な例については、バイパス 次ホップ IP ドキュメントの「次ホップ IP のバイパス」が有効になっているトラフィックの動作を参照してください。
- ExpressRoute から学習された既定のルートを別の ExpressRoute 回線にアドバタイズすることはできません。 つまり、送信のために、ある ExpressRoute 回線から別の ExpressRoute 回線にインターネット トラフィックをルーティングするように Virtual WAN を構成することはできません。
- オンプレミスまたはスポーク ネットワークの NVA を指すように構成された静的ルートから学習された 0.0.0.0/0 ルートがない場合、セキュリティ ソリューション上の有効なルートでは、次ホップ インターネットで 0.0.0.0/0 が正しく表示されません。 オンプレミスから明示的な 0.0.0.0/0 を学習せずに強制トンネル モードが構成されている場合、または静的ルートとして構成されている場合、インターネット トラフィックはハブのセキュリティ ソリューションに転送されないため、有効なルートには 0.0.0.0/0 ルートを含 めてはなりません 。
直接アクセス:
- Virtual WAN ハブと同じ Azure リージョンにデプロイされた Azure ストレージ アカウントのパブリック IP アドレス宛てのオンプレミスからのトラフィックは、ハブのセキュリティ ソリューションをバイパスします。 この制限事項と潜在的な軽減策の詳細については、 Virtual WAN の既知の問題に関するページを参照してください。
ポータルの問題:
- ハブが強制トンネル モードで構成されている場合、Azure Firewall Manager では、インターネット トラフィックが接続の セキュリティで保護 されていると正しく表示されません。 さらに、Azure Firewall Manager では、接続のセキュリティで保護された状態を変更することはできません。 セキュリティで保護された状態を変更するには、インターネット セキュリティの有効化を変更するか、接続に既定のルート設定を反映します。
直接アクセス
Virtual WAN がインターネットに直接トラフィックをルーティングするように構成されている場合、Virtual WAN は、次ホップ インターネットを使用してセキュリティ ソリューションに静的な既定の 0.0.0.0/0 ルートを適用します。セキュリティ ソリューションがトラフィックをインターネットに直接ルーティングする 唯一 の方法は、この構成です。
この静的な既定のルートは、オンプレミス、NVA、またはスポーク仮想ネットワーク上の静的ルートとして構成された既定のルートよりも 優先度が高くなります 。 ただし、オンプレミスからアドバタイズされたより具体的なプレフィックス (0.0.0.0/1 および 128.0.0.0/1) は、プレフィックスの一致が最も長いため、インターネット トラフィックの優先度が高いと見なされます。
有効なルート
Virtual WAN ハブでプライベート ルーティング ポリシーが構成されている場合は、次ホップ セキュリティ ソリューションで有効なルートを表示できます。 直接アクセスを使用して構成されたデプロイの場合、次ホップ セキュリティ ソリューションの有効なルートには、次ホップ インターネットを含む 0.0.0.0/0 ルートが含まれます。
強制トンネル
Virtual WAN が強制トンネル モードで構成されている場合、ハブ のルーティング設定 に基づいて Virtual WAN ハブによって選択された最も優先度の高い既定のルートが、インターネット トラフィックを転送するためにセキュリティ ソリューションによって使用されます。
強制トンネリングは、インターネットトラフィックがインターネットに直接ルーティングされるのではなく、指定された次ホップにルーティングされることを Virtual WAN に指示します。 そのため、オンプレミスから動的に学習する既定のルートがない場合、または仮想ネットワーク接続の静的ルートとして構成されている場合、インターネット トラフィックは Azure プラットフォームによって 削除 され、ハブのセキュリティ ソリューションには転送されません。
Virtual WAN ハブのセキュリティ ソリューションは、バックアップ パスとしてインターネットにトラフィックを直接転送 しません 。
既定のルートのサポートされているソース
注
0.0.0.0/0 は Virtual Hubs 間で伝達 されません 。 つまり、強制トンネル経由のインターネット アクセス用に構成された Virtual Hubs にローカル接続を使用する必要があります。
既定のルートは、次のソースから学習できます。
- ExpressRoute
- サイト間 VPN (動的または静的)
- ハブの NVA
- スポークの NVA
- 仮想ネットワーク接続上の静的ルート (静的ルートの伝達が ON に設定されている場合)
既定のルートは、次の方法では 構成できません 。
- 次ホップ仮想ネットワーク接続を使用した defaultRouteTable の静的ルート
有効なルート
強制トンネルを使用して構成されたデプロイの場合、次ホップ セキュリティ ソリューションの有効なルートには、オンプレミスから学習した選択された既定のルートとして、または仮想ネットワーク接続上の静的ルートとして構成された次ホップを含む 0.0.0.0/0 ルートが含まれます。
Configurations
次のセクションでは、インターネット トラフィックを直接アクセスモードまたは強制トンネル モードでルーティングするために必要な構成について説明します。
Virtual WAN ルーティングの構成
注
強制トンネル インターネット トラフィック ルーティング モードは、プライベート ルーティング ポリシーを使用してルーティング意図を使用する Virtual WAN ハブ でのみ 使用できます。 ルーティング意図を使用 しない ハブまたはインターネット ルーティング ポリシーを使用するハブでは、直接アクセス モードのみを使用できます。
次の表は、2 つの異なるインターネット トラフィック ルーティング モードを使用してトラフィックをルーティングするために必要な構成をまとめたものです。
| Mode | プライベート ルーティング ポリシー | 追加のプレフィックス | インターネット ルーティング ポリシー |
|---|---|---|---|
| 直接アクセス | オプション | 必要なし | 必須 |
| 強制トンネル | 必須 | 0.0.0.0/0 | いいえ |
ルーティング インテント ポータルの構成手順
注
Azure portal は検証を実行して、デプロイが強制トンネル モードまたは直接アクセス モードであることを確認します。 つまり、強制トンネル モードが有効になっている場合、インターネット ポリシーを直接追加することはできません。 強制トンネル モードから直接アクセス モードに移行するには、次の手順を実行します。追加のプレフィックスから 0.0.0.0/0 静的ルートを削除し、インターネット ポリシーを有効にして、保存します。
次のセクションでは、Azure portal で Virtual WAN ルーティングの意図とポリシーを使用して 、強制トンネル と 直接アクセス を構成するようにルーティング意図を構成する方法について説明します。 これらの手順は、Virtual WAN ハブにデプロイされた Azure Firewall、ネットワーク仮想アプライアンス、またはサービスとしてのソフトウェア ソリューションに適用されます。
- セキュリティ ソリューションでデプロイされている仮想ハブに移動します。
- [ ルーティング] で、[ ルーティングインテントとルーティングポリシー] を選択します。
強制トンネル
-
プライベート トラフィックの次ホップ リソースとして、優先するセキュリティ ソリューションを選択します。
インターネット トラフィックには何も選択しないでください。
- 0.0.0.0/0 ルートを 追加のプレフィックスに追加します。
- 構成を保存します。
直接アクセス
-
インターネット トラフィックの次ホップ リソースとして、優先するセキュリティ ソリューションを選択します。 必要に応じて、 プライベート トラフィックの次ホップ リソースとして、優先するセキュリティ ソリューションを選択します。
- 構成を保存します。
Azure Firewall Manager の構成手順
注
Azure portal は検証を実行して、デプロイが強制トンネル モードまたは直接アクセス モードであることを確認します。 つまり、強制トンネル モードが有効になっている場合、インターネット ポリシーを直接追加することはできません。 強制トンネル モードから直接アクセス モードに移行するには、次の手順を実行します。追加のプレフィックスから 0.0.0.0/0 静的ルートを削除し、インターネット ポリシーを有効にして保存します。
次のセクションでは、Virtual WAN ルーティングの意図とポリシー Azure Firewall Manager を使用して 、強制トンネル と 直接アクセス を構成するようにルーティング意図を構成する方法について説明します。 これらの手順は、Virtual WAN ハブ内の Azure Firewall にのみ 適用されます。
- Virtual WAN ハブに移動します。
- [セキュリティ] で [Azure Firewall と Firewall Manager] を選択し、Virtual WAN ハブを選択します。
- [設定] で [セキュリティ構成] を選択します。
強制トンネル
- プライベート トラフィックを Azure Firewall 経由で送信し、ハブ間を有効に設定します。
- 0.0.0.0/0 ルートを 追加のプレフィックスに追加します。
- 構成を保存します。
直接アクセス
- インターネット トラフィックを Azure Firewall に設定し、ハブ間を有効に設定します。 必要に応じて、 プライベート トラフィック を Azure Firewall 経由で送信 し、 ハブ間を 有効に設定します。
- 構成を保存します。
その他の構成方法 (Terraform、CLI、PowerShell、REST、Bicep)
次の JSON 構成は、直接アクセスモードまたは強制トンネル モード用に構成された Virtual WAN ルーティング コンストラクトのサンプル Azure Resource Manager リソース表現を表しています。 これらの JSON 構成は、特定の環境/構成に合わせてカスタマイズでき、正しい Terraform、CLI、PowerShell、または Bicep 構成を派生させるために使用できます。
強制トンネル
次の例の JSON は、プライベート ルーティング ポリシーで構成されたルーティング意図リソースのサンプルを示しています。
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
次の例の JSON は、プライベート ルーティング ポリシー ルートと既定のルート テーブルに追加されたプレフィックス (0.0.0.0/0) を含む既定のルート テーブル構成の例を示しています。
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "private_traffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
直接アクセス
次の JSON の例は、インターネットとプライベートの両方のルーティング ポリシーで構成されたルーティング意図リソースの例を示しています。
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
},
{
"name": "PublicTraffic",
"destinations": [
"Internet"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
次の JSON の例は、プライベート ルーティング ポリシーとインターネット ルーティング ポリシー ルートの両方を含む既定のルート テーブル構成の例を示しています。
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "_policy_PublicTraffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
接続を構成して既定のルート (0.0.0.0/0) を認識する
Virtual WAN 経由のインターネット アクセスが必要な接続の場合は、[ インターネット セキュリティを有効にする ] または [既定のルートを伝達 する] が true に設定されていることを確認 します。 この構成では、その接続への既定のルートをアドバタイズするように Virtual WAN に指示します。
強制トンネル ハブに関する特別な注意事項
強制トンネル モードで構成されているハブの場合は、0.0.0.0/0 ルートを Virtual WAN にアドバタイズしているオンプレミスの ExpressRoute または VPN および仮想ネットワーク接続で、[ インターネット セキュリティの有効化 または既定のルートの 伝達 ] が false に設定されていることを確認します。 これにより、Virtual WAN がオンプレミスから 0.0.0.0/0 ルートを正しく学習し、予期しないルーティング ループを防ぐことができます。
セキュリティ ソリューションの構成
次のセクションでは、直接アクセスモードと強制トンネル ルーティング モードのセキュリティ ソリューション構成の違いについて説明します。
直接アクセス
次のセクションでは、 Virtual WAN ハブの セキュリティ ソリューションがパケットをインターネットに直接転送できるようにするために必要な構成上の考慮事項について説明します。
Azure Firewall:
- RFC1918以外のすべてのネットワーク トラフィック構成に対してSource-NAT (SNAT) が オン になっていることを確認します。
- Azure Firewall のデプロイに十分なパブリック IP アドレスが割り当てられるようにすることで、SNAT ポートの枯渇を回避します。
SaaS ソリューションまたは統合 NVA:
次の推奨事項は、一般的なベースラインの推奨事項です。 完全なガイダンスについては、プロバイダーにお問い合わせください。
- プロバイダーのドキュメントを参照して、次のことを確認します。
- NVA または SaaS ソリューションの内部ルート テーブルには、外部インターフェイスからインターネット トラフィックを転送するように 0.0.0.0/0 が適切に構成されています。
- SNAT は、RFC 1918 以外のすべてのネットワーク トラフィック構成に対して NVA または SaaS ソリューション用に構成されます。
- SNAT ポートの枯渇を回避するために、 NVA または SaaS デプロイに十分なパブリック IP アドレスが割り当てられていることを確認します。
強制トンネル
次のセクションでは、 Virtual WAN ハブ内の セキュリティ ソリューションが、インターネットにバインドされたパケットをオンプレミスに転送したり、0.0.0.0/0 ルートを Virtual WAN にアドバタイズしている NVA に転送したりするために必要な構成に関する考慮事項について説明します。
Azure Firewall:
-
Source-NAT (SNAT) を構成します。
- インターネット トラフィックの元のソース IP を保持する: すべてのトラフィック構成で SNAT を オフ にします。
- ファイアウォール インスタンスのプライベート IP への SNAT インターネット トラフィック: RFC 1918 以外のトラフィック範囲で SNAT を 有効 にします。
SaaS ソリューションまたは統合 NVA:
次の推奨事項は、一般的なベースラインの推奨事項です。 完全なガイダンスについては、プロバイダーにお問い合わせください。
- プロバイダーのドキュメントを参照して、次のことを確認します。
- NVA または SaaS ソリューションの内部ルート テーブルには、インターネット トラフィックを内部インターフェイスから転送するように 0.0.0.0/0 が適切に構成されています。
- 内部ルート テーブルの構成により、管理トラフィックと VPN/SDWAN トラフィックが外部 Interace から確実にルーティングされます。
- トラフィックの元のソース IP を保持する必要があるかどうかに応じて、SNAT を適切に構成します。