Azure ファイアウォールを使用してパブリック IP アドレスを管理する
この記事では、Azure portal を使用して Azure ファイアウォールのパブリック IP アドレスを管理する方法について説明します。 サブスクリプション内の既存のパブリック IP を使用して Azure ファイアウォールを作成し、IP 構成を変更して、最後に IP 構成をファイアウォールに追加する方法を説明します。
Azure Firewall は、Azure Virtual Network リソースを保護するクラウドベースのネットワーク セキュリティ サービスです。 Azure Firewall には、少なくとも 1 つのパブリック静的 IP アドレスが構成されている必要があります。 この IP または一連の IP が、ファイアウォールに対する外部の接続ポイントです。
Azure Firewall では、Standard SKU のパブリック IP アドレスがサポートされます。 Basic SKU のパブリック IP アドレスとパブリック IP プレフィックスはサポートされません。
前提条件
- アクティブなサブスクリプションが含まれる Azure アカウント。 無料で作成できます。
- リソースに関連付けられていない 3 つの Standard SKU のパブリック IP アドレス。 Standard SKU のパブリック IP アドレスの作成について詳しくは、「クイックスタート: Azure portal を使用してパブリック IP アドレスを作成する」を参照してください。
- この記事の例では、次の 3 つの新しいパブリック IP アドレスを作成します: myStandardPublicIP-1、myStandardPublicIP-2、myStandardPublicIP-3。
既存のパブリック IP を使用して Azure ファイアウォールを作成する
このセクションでは、Azure ファイアウォールを作成します。 前提条件で作成した最初の IP アドレスをファイアウォールのパブリック IP として使用します。
Azure portal で、[ファイアウォール] を探して選択します。
[ファイアウォール] ページで、[作成] を選択します。
[Create firewall](ファイアウォールの作成) で、次の情報を入力するか選択します。
設定 値 プロジェクトの詳細 サブスクリプション サブスクリプションを選択します。 Resource group myResourceGroupFW という名前の新しいリソース グループを作成します。 インスタンスの詳細 名前 「myFirewall」と入力します。 リージョン [米国西部 2] を選択します。 可用性ゾーン 既定値の [なし] のままにします。 ファイアウォール SKU [Standard] を選択します。 ファイアウォール管理 [ファイアウォール ポリシーを使用してこのファイアウォールを管理する] は、既定値のままにします。 ファイアウォール ポリシー 米国西部 2 に myFirewallPolicy という名前の新しいファイアウォール ポリシーを作成し、ポリシー レベルを [Standard] に設定します。 仮想ネットワークの選択 既定値の [新規作成] のままにします。 仮想ネットワーク名 「myVNet」と入力します。 アドレス空間 「10.0.0.0/16」と入力します。 サブネットのアドレス空間 「10.0.0.0/26」と入力します。 パブリック IP アドレス myStandardPublicIP-1 または実際のパブリック IP を選択します。 強制トンネリング 既定値の [無効] のままにします。 [Review + create](レビュー + 作成) を選択します。
[作成] を選択します
次の図は、例として挙げた情報を含む [ファイアウォールの作成] ページです。
ファイアウォールのパブリック IP アドレスを変更する
このセクションでは、ファイアウォールに関連付けられているパブリック IP アドレスを変更します。 ファイアウォールの構成には、パブリック IP アドレスが少なくとも 1 つ関連付けられている必要があります。 ファイアウォールの既存の IP に関連付けられた宛先ネットワーク アドレス変換 (DNAT) ルールがある場合、IP アドレスを更新することはできません。
Azure portal で、[ファイアウォール] を検索し、選択します。
[ファイアウォール] ページで、[myFirewall] を選択します。
[myFirewall] ページで、[設定] に移動して [パブリック IP 構成] を選択します。
[パブリック IP 構成] で、[myStandardPublicIP-1] を選択します。
[パブリック IP アドレス] ドロップダウンを選択し、[myStandardPublicIP-2] を選択します。
[保存] を選択します。
パブリック IP 構成をファイアウォールに追加する
このセクションでは、Azure ファイアウォールにパブリック IP 構成を追加します。 複数の IP の詳細については、「複数のパブリック IP アドレス」を参照してください。
Azure portal で、[ファイアウォール] を検索し、選択します。
[ファイアウォール] ページで、[myFirewall] を選択します。
[myFirewall] ページで、[設定] に移動して [パブリック IP 構成] を選択します。
[パブリック IP 構成の追加] を選択します。
[名前] に「myNewPublicIPconfig」と入力します。
[パブリック IP アドレス] で、[myStandardPublicIP-3] を選択します。
[追加] を選択します。
詳細な構成
これは、Azure ファイアウォールの簡単なデプロイ例です。 高度な構成と設定については、「チュートリアル: Azure portal を使用して Azure ファイアウォールとポリシーをデプロイして構成する」を参照してください。 Azure ファイアウォールをネットワーク アドレス変換 (NAT) ゲートウェイに関連付けて、送信元ネットワーク アドレス変換 (SNAT) の拡張性を高めることができます。 NAT ゲートウェイは、ファイアウォールに関連付けられているアウトバウンド接続を提供するために使用できます。 この構成では、すべての送信トラフィックで NAT ゲートウェイのパブリック IP アドレスが使用されます。 詳細については、「Azure Virtual Network NAT を使用した SNAT ポートのスケーリング」を参照してください。
Note
Azure Firewall では、関連付けられたパブリック IP の 1 つを送信接続用にランダムに選択し、SNAT ポートの枯渇のために現在のパブリック IP からの接続をこれ以上確立できなくなった後にのみ、次に使用可能なパブリック IP を使用します。 代わりに NAT Gateway を使用して、送信接続の動的なスケーラビリティを実現することをお勧めします。 ネットワーク フィルター規則では、伝送制御プロトコル (TCP) と ユーザー データグラム プロトコル (UDP) 以外のプロトコルは、ファイアウォールのパブリック IP への SNAT に対応していません。 Azure ファイアウォールを Standard SKU のロード バランサーと統合することで、バックエンド プール リソースを保護できます。 ファイアウォールをパブリック ロード バランサーと関連付ける場合、イグレス トラフィックをファイアウォールのパブリック IP アドレスに誘導するように構成します。 エグレスは、ファイアウォールのパブリック IP アドレスへのユーザー定義ルートを使用して構成します。 詳細および設定手順については、「Azure Firewall と Azure Standard Load Balancer を統合する」を参照してください。
次のステップ
この記事では、Azure ファイアウォールを作成し、既存のパブリック IP を使用する方法について説明しました。 既定の IP 構成のパブリック IP を変更しました。 最後に、パブリック IP 構成をファイアウォールに追加しました。
- Azure のパブリック IP アドレスの詳細については、「パブリック IP アドレス」を参照してください。
- Azure Firewall の詳細については、「Azure Firewall とは」を参照してください。