Azure Firewall Manager のデプロイ概要
Azure Firewall Manager を使用して Azure Firewall をデプロイする方法は複数ありますが、次の一般的な手順をお勧めします。
ネットワーク アーキテクチャ オプションを確認するには、「Azure Firewall Manager のアーキテクチャのオプション」を参照してください。
一般的なデプロイ プロセス
ハブ仮想ネットワーク
ファイアウォール ポリシーを作成する
- 新しいポリシーの作成
or - 基本ポリシーを派生させてローカル ポリシーをカスタマイズします。
or - 既存の Azure Firewall から規則をインポートします。 複数のファイアウォールにわたって適用すべき NAT 規則はポリシーから削除してください。
- 新しいポリシーの作成
ハブとスポークのアーキテクチャを作成する
- Azure Firewall Manager を使用してハブ仮想ネットワークを作成し、仮想ネットワーク ピアリングを使用して、そこにスポーク仮想ネットワークをピアリングします。
or - 仮想ネットワークを作成して仮想ネットワーク接続を追加し、仮想ネットワーク ピアリングを使用して、そこにスポーク仮想ネットワークをピアリングします。
- Azure Firewall Manager を使用してハブ仮想ネットワークを作成し、仮想ネットワーク ピアリングを使用して、そこにスポーク仮想ネットワークをピアリングします。
セキュリティ プロバイダーを選択し、ファイアウォール ポリシーを関連付ける。 現在、サポートされるプロバイダーは Azure Firewall だけです。
- これは、ハブ仮想ネットワークの作成時に行います。
or - 既存の仮想ネットワークをハブ仮想ネットワークに変換します。 複数の仮想ネットワークを変換することもできます。
- これは、ハブ仮想ネットワークの作成時に行います。
ハブ仮想ネットワーク ファイアウォールへのトラフィックをルーティングするユーザー定義ルートを構成する。
セキュリティ保護付き仮想ハブ
ハブとスポークのアーキテクチャを作成する
- Azure Firewall Manager を使用してセキュリティ保護付き仮想ハブを作成し、仮想ネットワーク接続を追加します。
or - 仮想 WAN ハブを作成し、仮想ネットワーク接続を追加します。
- Azure Firewall Manager を使用してセキュリティ保護付き仮想ハブを作成し、仮想ネットワーク接続を追加します。
セキュリティ プロバイダーを選択する
- セキュリティ保護付き仮想ハブの作成中に完了します。
or - 既存の仮想 WAN ハブをセキュリティ保護付き仮想ハブに変換します。
- セキュリティ保護付き仮想ハブの作成中に完了します。
ファイアウォール ポリシーを作成してハブに関連付ける
- Azure Firewall を使用する場合にのみ適用されます。
- パートナーのサービスとしてのセキュリティ (SECaaS) ポリシーは、パートナー管理エクスペリエンスで構成されます。
トラフィックをセキュリティ保護付きハブにルーティングするようにルート設定を構成する
- トラフィックをフィルター処理とログ記録のためにセキュリティ保護付きハブに簡単にルーティングするには、スポークの仮想ネットワーク上のユーザー定義ルート (UDR) を使用せずに、セキュリティ保護付き仮想ハブのルート設定ページを使用します。
Note
- vWAN のハブの IP 空間を重複させることはできません。 その他の既知の問題については、「Azure Firewall Manager とは」を参照してください。
仮想ネットワークの変換
既存の仮想ネットワークをハブ仮想ネットワークに変換する場合、次の情報が当てはまります。
- 仮想ネットワークに既に Azure Firewall がある場合、既存のファイアウォールに関連付けるファイアウォール ポリシーを選択します。 ファイアウォール ポリシーによってファイアウォール規則が置き換えられている間に、ファイアウォールのプロビジョニング状態が更新されます。 プロビジョニング状態中も、ファイアウォールはトラフィックを処理し続けるので、ダウンタイムは発生しません。 Firewall Manager または Azure PowerShell を使用して既存の規則をファイアウォール ポリシーにインポートできます。
- 仮想ネットワークに Azure Firewall が関連付けられていない場合、ファイアウォールがデプロイされ、新しいファイアウォールにファイアウォール ポリシーが関連付けられます。