次の方法で共有

Azure portal で Azure Firewall DNAT を使用してインバウンド インターネットまたはイントラネット トラフィックをフィルター処理する

Azure Firewall Destination Network Address Translation (DNAT) を構成して、サブネットへの受信インターネット トラフィックまたはプライベート ネットワーク間のイントラネット トラフィックを変換およびフィルター処理できます。 DNAT を構成すると、NAT ルール コレクションの動作は、DNAT に設定されます。 NAT 規則コレクション内の各規則を使用して、ファイアウォールのパブリックまたはプライベート IP アドレスとポートをプライベート IP アドレスとポートに変換できます。 DNAT ルールは、変換されたトラフィックを許可するための対応するネットワーク ルールを暗黙的に追加します。 セキュリティ上の理由から、ネットワークへの DNAT アクセスを許可し、ワイルドカードの使用を避けるために、特定のソースを追加することをお勧めします。 Azure Firewall ルール処理ロジックの詳細については、「Azure Firewall ルール処理ロジック」を参照してください。

この記事では、従来のファイアウォール規則を使用してファイアウォールを管理します。 推奨される方法は、ファイアウォール ポリシーを使用することです。 ファイアウォール ポリシーを使用してこの手順を完了するには、「 チュートリアル: Azure portal を使用して Azure Firewall ポリシー DNAT を使用して受信インターネット トラフィックをフィルター処理する」を参照してください。

前提条件

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

リソース グループを作成する

  1. Azure portal にサインインします。
  2. Azure portal のホーム ページで [リソース グループ] を選択し、[作成] を選択します。
  3. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  4. [リソース グループ] に「RG-DNAT-Test」と入力します。
  5. [リージョン] でリージョンを選択します。 作成する他のすべてのリソースも、同じリージョン内のものである必要があります。
  6. [Review + create](レビュー + 作成) を選択します。
  7. [作成] を選択します

ネットワーク環境を設定する

この記事では、2 つのピアリングされた VNet を作成します。

  • VN ハブ - ファイアウォールはこの仮想ネットワーク内にあります。
  • VN-Spoke - ワークロード サーバーはこの仮想ネットワーク内にあります。

最初に VNet を作成し、次にそれらをピアリングします。

ハブ仮想ネットワークを作成する

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。
  2. [ネットワーク] で、 [仮想ネットワーク] を選択します。
  3. [作成] を選択します
  4. [リソース グループ] で、 [RG-DNAT-Test] を選択します。
  5. [名前] に「VN-Hub」と入力します。
  6. [リージョン] で、前に使用したのと同じリージョンを選択します。
  7. [次へ] を選択します。
  8. [セキュリティ] タブで [次へ] を選択します。
  9. [IPv4 アドレス空間] には、既定値の 10.0.0.0/16 をそのまま使用します。
  10. [サブネット] で、[既定] を選択します。
  11. [サブネット テンプレート] に、[Azure Firewall] を選択します。

ファイアウォールはこのサブネット内にあり、サブネット名は AzureFirewallSubnet である 必要があります

AzureFirewallSubnet サブネットのサイズは /26 です。 サブネットのサイズの詳細については、「Azure Firewall に関する FAQ」を参照してください。

  1. [保存] を選択します。
  2. [Review + create](レビュー + 作成) を選択します。
  3. [作成] を選択します

スポーク仮想ネットワークを作成する

  1. Azure portal のホーム ページで、 [すべてのサービス] を選択します。
  2. [ネットワーク] で、 [仮想ネットワーク] を選択します。
  3. [作成] を選択します
  4. [リソース グループ] で、 [RG-DNAT-Test] を選択します。
  5. [名前] に「VN-Spoke」と入力します。
  6. [リージョン] で、前に使用したのと同じリージョンを選択します。
  7. [次へ] を選択します。
  8. [セキュリティ] タブで [次へ] を選択します。
  9. [IPv4 アドレス空間] で、既定値を編集し、 「192.168.0.0/16」と入力します。
  10. [サブネット] で、[既定] を選択します。
  11. サブネット に「 SN-Workload」と入力します。
  12. [開始アドレス] に「192.168.1.0」と入力します。
  13. [サブネット サイズ] で、[/24] を選択します。
  14. [保存] を選択します。
  15. [Review + create](レビュー + 作成) を選択します。
  16. [作成] を選択します

VNet をピアリングする

次に、2 つの VNet をピアリングします。

  1. VN-Hub 仮想ネットワークを選択します。
  2. [設定][ピアリング] を選択します。
  3. [追加] を選択します。
  4. [この仮想ネットワーク][ピアリング リンク名] に「Peer-HubSpoke」と入力します。
  5. [リモート仮想ネットワーク][ピアリング リンク名] に「Peer-SpokeHub」と入力します。
  6. 仮想ネットワークとして [VN-Spoke] を選択します。
  7. 他のすべての既定値をそのまま使用し、 [追加] を選択します。

仮想マシンの作成

ワークロード仮想マシンを作成して、SN-Workload サブネットに配置します。

  1. Azure portal メニューから [リソースの作成] を選択します。
  2. [人気のある Marketplace 製品] で、[Windows Server 2019 Datacenter] を選択します。

基本操作

  1. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  2. [リソース グループ] で、 [RG-DNAT-Test] を選択します。
  3. [仮想マシン名] に「Srv-Workload」と入力します。
  4. [リージョン] で、以前使用したのと同じ場所を選択します。
  5. ユーザー名とパスワードを入力します。
  6. ディスク を選択します。

ディスク

  1. ネットワーク を選択します。

ネットワーク

  1. [仮想ネットワーク][VN-Spoke] を選択します。
  2. [サブネット] で、 [SN-Workload] を選択します。
  3. [パブリック IP] で、 [なし] を選択します。
  4. [パブリック受信ポート][なし] を選択します。
  5. 他の設定については既定値のままにし、 [次へ: 管理] を選択します。

管理

  1. [Next:監視] を選択します。

監視

  1. [起動の診断] で、 [Disable](無効) を選択します。
  2. [確認および作成] を選択します。

[確認および作成]

概要を確認し、 [作成] を選択します。 このプロセスが完了するまでに数分かかります。

デプロイが完了したら、仮想マシンのプライベート IP アドレスを書き留めます。 この IP アドレスは、後でファイアウォールを構成するときに必要になります。 仮想マシン名を選択し、[ 概要] に移動し、[ ネットワーク] でプライベート IP アドレスを書き留めます。

パブリック IP が割り当てられていない VM、または内部の Basic Azure Load Balancer のバックエンド プール内にある VM に対しては、Azure によって既定のアウトバウンド アクセス IP が提供されます。 デフォルト送信アクセス IP メカニズムは、構成できないアウトバウンド IP アドレスを提供します。

次のいずれかのイベントが発生すると、既定のアウトバウンド アクセス IP は無効になります。

  • パブリック IP アドレスが VM に割り当てられます。
  • アウトバウンド規則の有無にかかわらず、VM は標準ロード バランサーのバックエンド プール内に配置されます。
  • Azure NAT Gateway リソースが VM のサブネットに割り当てられている。

フレキシブル オーケストレーション モードの仮想マシン スケール セットによって作成された VM には、既定のアウトバウンド アクセスがありません。

Azure のアウトバウンド接続の詳細については、「Azure での既定の送信アクセス」および「送信接続での送信元ネットワーク アドレス変換 (SNAT)を使用する」を参照してください。

ファイアウォールをデプロイする

  1. ポータルのホーム ページから [リソースの作成] を選択します。

  2. [ファイアウォール] を検索し、 [ファイアウォール] を選択します。

  3. [作成] を選択します

  4. [ファイアウォールの作成] ページで、次の表を使用してファイアウォールを構成します。

    設定
    サブスクリプション <該当するサブスクリプション>
    リソースグループ RG-DNAT-Test を選択します
    名前 FW-DNAT-test
    リージョン 以前に使用したのと同じ場所を選択する
    ファイアウォール SKU 標準
    ファイアウォール管理 ファイアウォール規則 (クラシック) を使用してこのファイアウォールを管理する
    仮想ネットワークの選択 既存のものを使用: VN-Hub
    パブリック IP アドレス 新規追加、名前: fw-pip

  5. 他の既定値をそのまま使用し、 [確認および作成] を選択します。

  6. 概要を確認し、[ 作成 ] を選択してファイアウォールをデプロイします。

    このプロセスが完了するまでに数分かかります。

  7. デプロイが完了したら、 RG-DNAT-Test リソース グループに移動し、 FW-DNAT-test ファイアウォールを選択します。

  8. ファイアウォールのプライベートおよびパブリック IP アドレスをメモします。 後で既定のルートと NAT 規則を作成するときに使用します。

既定のルートを作成する

SN ワークロード サブネットの場合は、ファイアウォールを通過するように送信の既定のルートを構成します。

重要

宛先サブネットのファイアウォールに戻る明示的なルートを構成する必要はありません。 Azure Firewall はステートフル サービスであり、パケットとセッションは自動的に処理されます。 このルートを作成すると、非対称ルーティング環境が発生し、ステートフル セッション ロジックが中断され、パケットと接続が切断されます。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。

  2. ルート テーブルを検索して選択します。

  3. [作成] を選択します

  4. [サブスクリプション] で、ご使用のサブスクリプションを選択します。

  5. [リソース グループ] で、 [RG-DNAT-Test] を選択します。

  6. [リージョン] で、前に使用したリージョンと同じリージョンを選択します。

  7. [名前] に「RT-FWroute」と入力します。

  8. [Review + create](レビュー + 作成) を選択します。

  9. [作成] を選択します

  10. [リソースに移動] を選択します。

  11. [サブネット] を選択し、 [関連付け] を選択します。

  12. [仮想ネットワーク][VN-Spoke] を選択します。

  13. [サブネット] で、 [SN-Workload] を選択します。

  14. [OK] を選択します。

  15. [ルート][追加] の順に選択します。

  16. [ルート名] に「FW-DG」と入力します。

  17. [送信先の種類] として [IP アドレス] を選択します。

  18. [宛先 IP アドレス/CIDR 範囲] に「0.0.0.0/0」と入力します。

  19. [次ホップの種類] で、 [仮想アプライアンス] を選択します。

    Azure Firewall はマネージド サービスですが、この状況では仮想アプライアンスの選択が機能します。

  20. [次ホップ アドレス] に、前にメモしたファイアウォールのプライベート IP アドレスを入力します。

  21. [追加] を選択します。

NAT ルールを構成する

  1. RG-DNAT-Test リソース グループを開き、FW-DNAT-test ファイアウォールを選択します。
  2. FW-DNAT-test ページの [設定] で、 [規則 (クラシック)] を選択します。
  3. [NAT ルール コレクションの追加] を選択します。
  4. [名前] に「RC-DNAT-01」と入力します。
  5. [優先度] に「200」と入力します。
  6. [ルール][名前] に「RL-01」と入力します。
  7. [プロトコル][TCP] を選択します。
  8. [Source type](送信元の種類) で、 [IP アドレス] を選択します。
  9. [送信元] に「*」と入力します。
  10. [ 宛先アドレス] に、ファイアウォールのパブリック IP アドレスを入力します。
  11. [宛先ポート] に「3389」と入力します。
  12. [ 変換されたアドレス] に、Srv-Workload 仮想マシンのプライベート IP アドレスを入力します。
  13. [Translated port] (変換されたポート) に「3389」と入力します。
  14. [追加] を選択します。

このプロセスが完了するまでに数分かかります。

ファイアウォールをテストする

  1. リモート デスクトップをファイアウォールのパブリック IP アドレスに接続します。 Srv-Workload 仮想マシンに接続する必要があります。
  2. リモート デスクトップを閉じます。

リソースのクリーンアップ

さらにテストを行うために、ファイアウォール リソースを残しておいてもかまいませんが、不要であれば、RG-DNAT-Test リソース グループを削除して、ファイアウォール関連のすべてのリソースを削除してください。

次のステップ

次に、Azure Firewall のログを監視することができます。

チュートリアル:Azure Firewall のログを監視する