次の方法で共有


Azure Firewall Manager のデプロイ概要

Azure Firewall Manager を使用して Azure Firewall をデプロイする方法は複数ありますが、次の一般的な手順をお勧めします。

ネットワーク アーキテクチャ オプションを確認するには、「Azure Firewall Manager のアーキテクチャのオプション」を参照してください。

一般的なデプロイ プロセス

ハブ仮想ネットワーク

  1. ファイアウォール ポリシーを作成する

    • 新しいポリシーの作成
      or
    • 基本ポリシーを派生させてローカル ポリシーをカスタマイズします。
      or
    • 既存の Azure Firewall から規則をインポートします。 複数のファイアウォールにわたって適用すべき NAT 規則はポリシーから削除してください。
  2. ハブとスポークのアーキテクチャを作成する

    • Azure Firewall Manager を使用してハブ仮想ネットワークを作成し、仮想ネットワーク ピアリングを使用して、そこにスポーク仮想ネットワークをピアリングします。
      or
    • 仮想ネットワークを作成して仮想ネットワーク接続を追加し、仮想ネットワーク ピアリングを使用して、そこにスポーク仮想ネットワークをピアリングします。
  3. セキュリティ プロバイダーを選択し、ファイアウォール ポリシーを関連付ける。 現在、サポートされるプロバイダーは Azure Firewall だけです。

    • これは、ハブ仮想ネットワークの作成時に行います。
      or
    • 既存の仮想ネットワークをハブ仮想ネットワークに変換します。 複数の仮想ネットワークを変換することもできます。
  4. ハブ仮想ネットワーク ファイアウォールへのトラフィックをルーティングするユーザー定義ルートを構成する。

セキュリティ保護付き仮想ハブ

  1. ハブとスポークのアーキテクチャを作成する

    • Azure Firewall Manager を使用してセキュリティ保護付き仮想ハブを作成し、仮想ネットワーク接続を追加します。
      or
    • 仮想 WAN ハブを作成し、仮想ネットワーク接続を追加します。
  2. セキュリティ プロバイダーを選択する

    • セキュリティ保護付き仮想ハブの作成中に完了します。
      or
    • 既存の仮想 WAN ハブをセキュリティ保護付き仮想ハブに変換します。
  3. ファイアウォール ポリシーを作成してハブに関連付ける

    • Azure Firewall を使用する場合にのみ適用されます。
    • パートナーのサービスとしてのセキュリティ (SECaaS) ポリシーは、パートナー管理エクスペリエンスで構成されます。
  4. トラフィックをセキュリティ保護付きハブにルーティングするようにルート設定を構成する

    • トラフィックをフィルター処理とログ記録のためにセキュリティ保護付きハブに簡単にルーティングするには、スポークの仮想ネットワーク上のユーザー定義ルート (UDR) を使用せずに、セキュリティ保護付き仮想ハブのルート設定ページを使用します。

Note

  • vWAN のハブの IP 空間を重複させることはできません。 その他の既知の問題については、「Azure Firewall Manager とは」を参照してください。

仮想ネットワークの変換

既存の仮想ネットワークをハブ仮想ネットワークに変換する場合、次の情報が当てはまります。

  • 仮想ネットワークに既に Azure Firewall がある場合、既存のファイアウォールに関連付けるファイアウォール ポリシーを選択します。 ファイアウォール ポリシーによってファイアウォール規則が置き換えられている間に、ファイアウォールのプロビジョニング状態が更新されます。 プロビジョニング状態中も、ファイアウォールはトラフィックを処理し続けるので、ダウンタイムは発生しません。 Firewall Manager または Azure PowerShell を使用して既存の規則をファイアウォール ポリシーにインポートできます。
  • 仮想ネットワークに Azure Firewall が関連付けられていない場合、ファイアウォールがデプロイされ、新しいファイアウォールにファイアウォール ポリシーが関連付けられます。

次のステップ