次の方法で共有

Azure portal を使用して Azure Firewall Basic とポリシーをデプロイして構成する

Azure Firewall Basic は、SMB のお客様が必要とする基本的な保護を手頃な価格で提供します。 このソリューションは、スループット要件が 250 Mbps 未満の SMB 顧客環境に推奨されます。 スループット要件が 250 Mbps を超える環境には Standard SKU をデプロイし、高度な脅威保護には Premium SKU を デプロイすることをお勧めします。

ネットワークとアプリケーションのトラフィックのフィルター処理は、ネットワーク セキュリティ計画全体の重要な部分です。 たとえば、Web サイトへのアクセスを制限することができます。 また、アクセスできるアウトバウンドの IP アドレスとポートを制限することもできます。

Azure サブネットからの受信ネットワーク アクセスと送信ネットワーク アクセスの両方を制御する方法の 1 つは、Azure Firewall と Firewall Policy です。 Azure Firewall とファイアウォール ポリシーを使用して、次の構成を行うことができます。

  • アプリケーション ルール: サブネットからアクセスできる完全修飾ドメイン名 (FQDN) を定義します。
  • ネットワーク ルール: 送信元アドレス、プロトコル、宛先ポート、送信先アドレスを定義します。
  • サブネットへの受信インターネット トラフィックを変換およびフィルター処理するための DNAT ルール。

ネットワーク トラフィックは、サブネットの既定ゲートウェイとしてのファイアウォールにルーティングしたときに、構成されているファイアウォール ルールに制約されます。

この方法では、簡単にデプロイできるように、3 つのサブネットを含む簡略化された単一の VNet を作成します。 Firewall Basic には、管理 NIC を使用して構成する必要がある必須要件があります。

  • AzureFirewallSubnet - このサブネットにファイアウォールが存在します。
  • AzureFirewallManagementSubnet - サービス管理トラフィック用。
  • Workload-SN - このサブネットにはワークロード サーバーがあります。 このサブネットのネットワーク トラフィックは、ファイアウォールを通過します。

Azure Firewall Basic では、Azure Firewall Standard または Premium SKU と比較してトラフィックが制限されているため、中断を防ぐには 、AzureFirewallManagementSubnet で顧客トラフィックを Microsoft 管理トラフィックから分離する必要があります。 この管理トラフィックは、Microsoft との間でのみ自動的に行われる更新プログラムと正常性メトリック通信に必要です。 この IP では、他の接続は許可されません。

運用環境のデプロイでは、ファイアウォールが独自の VNet 内にある ハブ アンド スポーク モデル をお勧めします。 ワークロード サーバーは、1 つ以上のサブネットを含む同じリージョンのピアリングされた VNet に配置されます。

このハウツーでは、次の方法を学習します。

  • テスト ネットワーク環境を設定する
  • 基本的なファイアウォールと基本的なファイアウォール ポリシーを展開する
  • 既定のルートを作成する
  • www.google.com へのアクセスを許可するようにアプリケーション規則を構成する
  • 外部 DNS サーバーへのアクセスを許可するようにネットワーク ルールを構成する
  • テスト サーバーへのリモート デスクトップを許可するように NAT 規則を構成する
  • ファイアウォールをテストする

好みに応じて、Azure PowerShell を使ってこの手順を実行することもできます。

[前提条件]

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

リソース グループを作成する

リソース グループには、ハウツーのすべてのリソースが含まれています。

  1. Azure portal にサインインします。
  2. Azure portal のメニューで、[ リソース グループ ] を選択するか、任意のページから リソース グループ を検索して選択します。 次に、[ 作成] を選択します。
  3. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  4. [リソース グループ名] に「Test-FW-RG」と入力します。
  5. [リージョン] でリージョンを選択します。 作成する他のすべてのリソースは、同じリージョンに存在する必要があります。
  6. [Review + create](レビュー + 作成) を選択します。
  7. を選択してを作成します。

ファイアウォールとポリシーをデプロイする

ファイアウォールをデプロイし、関連付けられているネットワーク インフラストラクチャを作成します。

  1. Azure portal のメニューまたは [ホーム] ページから [リソースの作成] を選択します。

  2. 検索ボックスに「ファイアウォール」と入力し、Enter キーを押します。

  3. [ファイアウォール] を選択し、[作成] を選択します。

  4. [ ファイアウォールの作成 ] ページで、次の表を使用してファイアウォールを構成します。

    Setting 価値
    Subscription <サブスクリプション>
    リソースグループ Test-FW-RG
    名前 Test-FW01
    リージョン 以前に使用したのと同じ場所を選択する
    ファイアウォール層 Basic
    ファイアウォール管理 ファイアウォール ポリシーを使用してこのファイアウォールを管理する
    ファイアウォール ポリシー 新規追加:
    fw-test-pol
    選択したリージョン
    ポリシー層は既定で Basic にする必要があります
    仮想ネットワークの選択 新規作成
    名前: Test-FW-VN
    アドレス空間: 10.0.0.0/16
    サブネットのアドレス空間: 10.0.0.0/26
    パブリック IP アドレス 新規追加:
    名前: fw-pip
    管理 - サブネットのアドレス空間 10.0.1.0/26
    管理パブリック IP アドレス 新規追加
    fw-mgmt-pip

  5. その他の既定値をそのまま使用し、[ 確認と作成] を選択します。

  6. 概要を確認し、[ 作成 ] を選択してファイアウォールを作成します。

    デプロイが完了するまでに数分かかります。

  7. デプロイが完了したら、 Test-FW-RG リソース グループに移動し、 Test-FW01 ファイアウォールを選択します。

  8. ファイアウォールのプライベート IP アドレスとパブリック IP (fw-pip) アドレスをメモします。 これらのアドレスは後で使うことになります。

ワークロード サーバーのサブネットを作成する

次に、ワークロード サーバーのサブネットを作成します。

  1. Test-FW-RG リソース グループに移動し、 Test-FW-VN 仮想ネットワークを選択します。
  2. [サブネット] を選択します。
  3. [サブネット] を選択します。
  4. [サブネット名] に「Workload-SN」と入力します。
  5. [サブネット アドレス範囲] に「10.0.2.0/24」と入力します。
  6. 保存 を選択します。

仮想マシンを作成する

次に、ワークロード仮想マシンを作成し、 Workload-SN サブネットに配置します。

  1. Azure portal のメニューまたは [ホーム] ページから [リソースの作成] を選択します。

  2. Windows Server 2019 Datacenter を選択します。

  3. 次の仮想マシンの値を入力します。

    Setting 価値
    リソースグループ Test-FW-RG
    仮想マシン名 Srv-Work
    リージョン 前と同じ
    Image Windows Server 2019 Datacenter
    管理者ユーザー名 ユーザー名を入力する
    パスワード パスワードを入力する

  4. [ 受信ポート規則] の [ パブリック受信ポート] で、[なし] を選択 します

  5. 他の既定値をそのまま使用し、[ 次へ: ディスク] を選択します。

  6. ディスクの既定値をそのまま使用し、[ 次へ: ネットワーク] を選択します。

  7. 仮想ネットワークとしてTest-FW-VNが選択され、サブネットがWorkload-SNであることを確認します。

  8. [パブリック IP] で、[なし] を選択します

  9. 他の既定値をそのまま使用し、[ 次へ: 管理] を選択します。

  10. [次へ: 監視] を選択します。

  11. [無効] を選択して、ブート診断を無効にします。 他の既定値をそのまま使用し、[ 確認と作成] を選択します。

  12. 概要ページで設定を確認し、[ 作成] を選択します。

  13. デプロイが完了したら、 Srv-Work リソースを選択し、後で使用するためにプライベート IP アドレスをメモします。

既定のルートを作成する

Workload-SN サブネットの場合は、ファイアウォールを通過するように送信の既定のルートを構成します。

  1. Azure portal のメニューで、[ すべてのサービス ] を選択するか、任意のページから [すべてのサービス ] を検索して選択します。
  2. [ネットワーク] で、[ルート テーブル] を選択します。
  3. を選択してを作成します。
  4. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  5. [リソース グループ] で、[Test-FW-RG] を選択します。
  6. [リージョン] で、前に使用したのと同じ場所を選択します。
  7. [名前] に「Firewall-route」と入力します。
  8. [Review + create](レビュー + 作成) を選択します。
  9. を選択してを作成します。

デプロイが完了したら、[ リソースに移動] を選択します。

  1. [ファイアウォール ルート] ページで、[ サブネット ] を選択し、[ 関連付け] を選択します。

  2. [ 仮想ネットワーク>Test-FW-VN] を選択します。

  3. [サブネット] で、[Workload-SN] を選択します。 このルートには Workload-SN サブネットのみを選択してください。そうしないと、ファイアウォールが正しく動作しません。

  4. [OK] を選択.

  5. [ ルート ] を選択し、[ 追加] を選択します。

  6. [ ルート名] に「 fw-dg」と入力します

  7. [ アドレス プレフィックスの宛先] で、[ IP アドレス] を選択します。

  8. 宛先 IP アドレス/CIDR 範囲に「0.0.0.0/0」と入力します。

  9. [次ホップの種類] で、[仮想アプライアンス] を選択します。

    Azure Firewall は実際にはマネージド サービスですが、この状況では仮想アプライアンスが機能します。

  10. [次ホップ アドレス] に、前にメモしたファイアウォールのプライベート IP アドレスを入力します。

  11. [] を選択し、[] を追加します。

アプリケーション ルールを構成する

これは、 www.google.comへの送信アクセスを許可するアプリケーション規則です。

  1. Test-FW-RG を開き、fw-test-pol ファイアウォール ポリシーを選択します。
  2. [ アプリケーション ルール] を選択します
  3. [ ルール コレクションの追加] を選択します
  4. [名前] に「App-Coll01」と入力します。
  5. [優先度] に「200」と入力します。
  6. [規則コレクション アクション][許可] を選択します。
  7. ルール名前 に「Allow-Google」と入力します。
  8. [ソースの種類] で、[IP アドレス] を選択します。
  9. [ソース] に「10.0.2.0/24」と入力します。
  10. Protocol:port には、「http,https」と入力します。
  11. [ 宛先の種類] で、[ FQDN] を選択します。
  12. Destinationwww.google.com
  13. [] を選択し、[] を追加します。

Azure Firewall には、既定で許可されるインフラストラクチャ FQDN 用の組み込みのルール コレクションが含まれています。 これらの FQDN はプラットフォームに固有であり、他の目的には使用できません。 詳細については、インフラストラクチャ FQDN に関する記事を参照してください。

ネットワーク ルールを構成する

これは、ポート 53 (DNS) の 2 つの IP アドレスへの送信アクセスを許可するネットワーク規則です。

  1. [ネットワーク ルール] を選択します。
  2. [ ルール コレクションの追加] を選択します
  3. [名前]「Net-Coll01」と入力します。
  4. [優先度] に「200」と入力します。
  5. [規則コレクション アクション][許可] を選択します。
  6. ルール コレクション グループDefaultNetworkRuleCollectionGroup を選択します。
  7. ルール名前 に「Allow-DNS」と入力します。
  8. [ソースの種類] で、[IP アドレス] を選択します。
  9. [ソース] に「10.0.2.0/24」と入力します。
  10. [ プロトコル] で、[ UDP] を選択します。
  11. 宛先ポートに「53」と入力します。
  12. [宛先] の種類として、[IP アドレス] を選択します。
  13. [宛先] に「209.244.0.3,209.244.0.4」と入力します。
    これらは、Level3 によって運用されるパブリック DNS サーバーです。
  14. [] を選択し、[] を追加します。

DNAT ルールを構成する

この規則では、ファイアウォールを介してリモート デスクトップを Srv-Work 仮想マシンに接続できます。

  1. DNAT ルールを選択します。
  2. [ ルール コレクションの追加] を選択します
  3. [名前] に「rdp」と入力します
  4. [優先度] に「200」と入力します。
  5. ルール コレクション グループ で、DefaultDnatRuleCollectionGroup を選択します。
  6. [ ルール] の [ 名前] に「 rdp-nat」と入力します。
  7. [ソースの種類] で、[IP アドレス] を選択します。
  8. [ソース] に「*」と入力します。
  9. [プロトコル] で、[TCP] を選択します。
  10. 宛先ポートに「3389」と入力します。
  11. [送信先の種類][IP アドレス] を選択します。
  12. [ 宛先] に、ファイアウォールのパブリック IP アドレス (fw-pip) を入力します。
  13. [変換されたアドレス] にSrv-work プライベート IP アドレスを入力します。
  14. 変換されたポートの場合は、「3389」と入力します。
  15. [] を選択し、[] を追加します。

Srv-Work ネットワーク インターフェイスのプライマリ DNS アドレスとセカンダリ DNS アドレスを変更する

このハウツーのテスト目的で、サーバーのプライマリ DNS アドレスとセカンダリ DNS アドレスを構成します。 これは、一般的な Azure Firewall 要件ではありません。

  1. Azure portal のメニューで、[ リソース グループ ] を選択するか、任意のページから リソース グループ を検索して選択します。 Test-FW-RG リソース グループを選択します。
  2. Srv-Work 仮想マシンのネットワーク インターフェイスを選択します。
  3. [設定] で、[DNS サーバー] を選択します。
  4. [DNS サーバー] で、[カスタム] を選択します。
  5. [DNS サーバーの追加] テキスト ボックスに「209.244.0.3」、次のテキスト ボックスに「209.244.0.4」と入力します。
  6. 保存 を選択します。
  7. Srv-Work 仮想マシンを再起動します。

ファイアウォールをテストする

今度は、ファイアウォールをテストして、想定したように機能することを確認します。

  1. リモート デスクトップをファイアウォールのパブリック IP アドレス (fw-pip) に接続し、 Srv-Work 仮想マシンにサインインします。

  2. Internet Explorer を開き、 https://www.google.comを参照します。

  3. Internet Explorer のセキュリティ アラートで [> を選択します。

    Google のホーム ページが表示されます。

  4. http://www.microsoft.com にアクセスしてください。

    ファイアウォールによってブロックされます。

これで、ファイアウォール ルールが動作していることを確認できました。

  • リモート デスクトップを Srv-Work 仮想マシンに接続できます。
  • 1 つの許可された FQDN は参照できますが、それ以外は参照できません。
  • 構成された外部 DNS サーバーを使用して DNS 名を解決できます。

リソースをクリーンアップする

さらにテストするためにファイアウォール リソースを保持することも、不要になった場合は 、Test-FW-RG リソース グループを削除して、ファイアウォール関連のすべてのリソースを削除することもできます。

次のステップ

Azure Firewall Premium をデプロイして構成する

  • Last updated on