Azure portal を使用して Azure Firewall Basic とポリシーをデプロイして構成する
Azure Firewall Basic は、SMB のお客様が必要とする重要な保護機能を手頃な価格で提供します。 このソリューションは、250 Mbps 未満のスループット要件を持つ SMB のお客様の環境にお勧めします。 250 Mbps を超えるスループット要件を持つ環境には Standard SKU をデプロイし、高度な脅威保護には Premium SKU をデプロイすることをお勧めします。
ネットワークとアプリケーション トラフィックをフィルタリングすることは、ネットワーク セキュリティ プラン全体の重要な要素です。 たとえば、Web サイトへのアクセスを制限することができます。 また、アクセスできるアウトバウンドの IP アドレスとポートを制限することもできます。
Azure サブネットの受信および送信ネットワーク アクセスを制御する方法の 1 つとして、Azure Firewall とファイアウォール ポリシーの使用が挙げられます。 Azure Firewall とファイアウォール ポリシーでは、次の構成を行うことができます。
- アプリケーション ルール: サブネットからアクセスできる完全修飾ドメイン名 (FQDN) を定義します。
- ネットワーク ルール: 送信元アドレス、プロトコル、宛先ポート、送信先アドレスを定義します。
- DNAT ルールで、受信インターネット トラフィックをサブネットに変換してフィルター処理します。
ネットワーク トラフィックは、サブネットの既定ゲートウェイとしてのファイアウォールにルーティングしたときに、構成されているファイアウォール ルールに制約されます。
この攻略ガイドでは、デプロイしやすいよう単純化して、3 つのサブネットを含んだ単一の VNet を作成します。 Firewall Basic には、管理 NIC を使用して構成する必須の要件があります。
- AzureFirewallSubnet - このサブネットにファイアウォールが存在します。
- AzureFirewallManagementSubnet - サービス管理トラフィック用。
- Workload-SN - このサブネットにはワークロード サーバーがあります。 このサブネットのネットワーク トラフィックは、ファイアウォールを通過します。
注意
Azure Firewall Basic では、Azure Firewall Standard や Premium の SKU と比較してトラフィックが限られているため、中断が発生しないように、AzureFirewallManagementSubnet が Microsoft 管理トラフィックから顧客トラフィックを分離する必要があります。 この管理トラフィックは、Microsoft との間専用で自動的に行われる更新と正常性メトリック通信に必要です。 この IP では、他の接続は許可されません。
運用環境のデプロイでは、ハブとスポーク モデルを採用して、独自の VNet にファイアウォールを配置することをお勧めします。 ワークロード サーバーは、1 つ以上のサブネットを含む同じリージョンのピアリングされた VNet に配置されます。
この方法ガイドでは、以下を行う方法について説明します。
- テスト ネットワーク環境を設定する
- 基本的なファイアウォールと基本的なファイアウォール ポリシーをデプロイする
- 既定のルートを作成する
- www.google.com へのアクセスを許可するようにアプリケーション ルールを構成する
- 外部 DNS サーバーへのアクセスを許可するようにネットワーク ルールを構成する
- テスト サーバーへのリモート デスクトップ接続を許可するように NAT 規則を構成する
- ファイアウォールをテストする
好みに応じて、Azure PowerShell を使ってこの手順を実行することもできます。
前提条件
Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。
リソース グループを作成する
リソース グループには、攻略ガイドのすべてのリソースが含まれています。
- Azure portal にサインインします。
- Azure portal メニューで [リソース グループ] を選択するか、または任意のページから [リソース グループ] を検索して選択します。 [作成] を選択します。
- [サブスクリプション] で、ご使用のサブスクリプションを選択します。
- [リソース グループ名] として「Test-FW-RG」と入力します。
- [リージョン] でリージョンを選択します。 作成する他のすべてのリソースも、同じリージョン内のものである必要があります。
- [Review + create](レビュー + 作成) を選択します。
- [作成] を選択します
ファイアウォールとポリシーをデプロイする
ファイアウォールをデプロイし、関連付けられているネットワーク インフラストラクチャを作成します。
Azure portal メニュー上または [ホーム] ページから [リソースの作成] を選択します。
検索ボックスに「ファイアウォール」と入力し、Enter キーを押します。
[ファイアウォール] を選択し、 [作成] を選択します。
[ファイアウォールの作成] ページで、次の表を使用してファイアウォールを構成します。
設定 値 サブスクリプション <該当するサブスクリプション> Resource group Test-FW-RG 名前 Test-FW01 リージョン 以前使用したのと同じ場所を選択します ファイアウォール層 Basic ファイアウォール管理 ファイアウォール ポリシーを使用してこのファイアウォールを管理する ファイアウォール ポリシー 新規追加:
fw-test-pol
選択したリージョン
ポリシー層は既定で Basic にする必要があります仮想ネットワークの選択 新規作成
名前: Test-FW-VN
アドレス空間: 10.0.0.0/16
サブネットのアドレス空間 = 10.0.0.0/26パブリック IP アドレス 新規追加:
[名前]: fw-pip管理 - サブネット アドレス空間 10.0.1.0/26 管理パブリック IP アドレス [新規追加]
fw-mgmt-pip他の既定値をそのまま使用し、 [確認および作成] を選択します。
概要を確認し、 [作成] を選択してファイアウォールを作成します。
デプロイが完了するまでに数分かかります。
デプロイが完了したら、Test-FW-RG リソース グループに移動し、Test-FW01 ファイアウォールを選択します。
ファイアウォールのプライベートおよびパブリック IP (fw-pip) アドレスをメモします。 これらのアドレスは後ほど使用します。
ワークロード サーバーのサブネットを作成する
次に、ワークロード サーバーのサブネットを作成します。
- Test-FW-RG リソース グループに移動し、Test-FW-VN 仮想ネットワークを選択します。
- [サブネット] を選択します。
- [サブネット] を選択します。
- [サブネット名] に「Workload-SN」と入力します。
- [サブネット アドレス範囲] に「10.0.2.0/24」と入力します。
- [保存] を選択します。
仮想マシンの作成
ワークロード仮想マシンを作成し、Workload-SN サブネットに配置します。
Azure portal メニュー上または [ホーム] ページから [リソースの作成] を選択します。
[Windows Server 2019 Datacenter] を選択します。
次の仮想マシンの値を入力します。
設定 値 Resource group Test-FW-RG 仮想マシン名 Srv-Work リージョン 前と同じ Image Windows Server 2019 Datacenter 管理者のユーザー名 ユーザー名を入力します Password パスワードを入力します [受信ポートの規則] の [パブリック受信ポート] で、 [なし] を選択します。
他の既定値をそのまま使用し、 [次へ:ディスク] を選択します。
ディスクの既定値をそのまま使用し、 [次へ:ネットワーク] を選択します。
仮想ネットワークとして Test-FW-VN が選択されていること、およびサブネットが Workload-SN であることを確認します。
[パブリック IP] で、 [なし] を選択します。
他の既定値をそのまま使用し、 [次へ:管理] を選択します。
[Next:監視] を選択します。
[無効] を選択して、ブート診断を無効にします。 他の既定値をそのまま使用し、 [確認および作成] を選択します。
概要ページの設定を確認して、 [作成] を選択します。
デプロイが完了したら、Srv-Work リソースを選択し、後で使用するためにプライベート IP アドレスをメモしておきます。
既定のルートを作成する
Workload-SN サブネットでは、アウトバウンドの既定ルートがファイアウォールを通過するように構成します。
- Azure portal メニューで [すべてのサービス] を選択するか、または任意のページから [すべてのサービス] を検索して選択します。
- [ネットワーク] で、 [ルート テーブル] を選択します。
- [作成] を選択します
- [サブスクリプション] で、ご使用のサブスクリプションを選択します。
- [リソース グループ] で、 [Test-FW-RG] を選択します。
- [リージョン] で、以前使用したのと同じ場所を選択します。
- [名前] に「Firewall-route」と入力します。
- [Review + create](レビュー + 作成) を選択します。
- [作成] を選択します
デプロイが完了したら、[リソースに移動] を選択します。
[Firewall-route] ページで、 [サブネット] を選択し、 [関連付け] を選択します。
[仮想ネットワーク]>[Test-FW-VN] の順に選択します。
[サブネット] で、 [Workload-SN] を選択します。 必ずこのルートの Workload-SN サブネットのみを選択してください。それ以外の場合、ファイアウォールが正常に動作しません。
[OK] を選択します。
[ルート] 、 [追加] の順に選択します。
[ルート名] に「fw-dg」と入力します。
[宛先アドレスのプレフィックス] で、[IP アドレス] を選択します。
[宛先 IP アドレス/CIDR 範囲] に「0.0.0.0/0」と入力します。
[次ホップの種類] で、 [仮想アプライアンス] を選択します。
Azure Firewall は実際はマネージド サービスですが、この状況では仮想アプライアンスが動作します。
[次ホップ アドレス] に、前にメモしておいたファイアウォールのプライベート IP アドレスを入力します。
[追加] を選択します。
アプリケーション ルールを構成する
これは、www.google.com
へのアウトバウンド アクセスを許可するアプリケーション ルールです。
- Test-FW-RG を開き、 [fw-test-pol] ファイアウォール ポリシーを選択します。
- [Application rules](アプリケーション ルール) を選択します。
- [規則コレクションの追加] を選択します。
- [名前] に「App-Coll01」と入力します。
- [優先度] に「200」と入力します。
- [規則コレクション アクション] で [許可] を選択します。
- [ルール] の [名前] に「Allow-Google」と入力します。
- [Source type](送信元の種類) で、 [IP アドレス] を選択します。
- [送信元] に「10.0.2.0/24」と入力します。
- [プロトコル:ポート] に「http, https」と入力します。
- [送信先の種類] として [FQDN] を選択します。
-
[送信先] に「
www.google.com
」と入力します - [追加] を選択します。
Azure Firewall には、既定で許可されるインフラストラクチャ FQDN 用の組み込みのルール コレクションが含まれています。 これらの FQDN はプラットフォームに固有であり、他の目的には使用できません。 詳細については、インフラストラクチャ FQDN に関する記事を参照してください。
ネットワーク ルールを構成する
これは、ポート 53 (DNS) で 2 つの IP アドレスへのアウトバウンド アクセスを許可するネットワーク ルールです。
- [ネットワーク ルール] を選択します。
- [規則コレクションの追加] を選択します。
- [名前] に「Net-Coll01」と入力します。
- [優先度] に「200」と入力します。
- [規則コレクション アクション] で [許可] を選択します。
- [規則コレクション グループ] で、DefaultNetworkRuleCollectionGroup を選択します。
- [ルール] の [名前] に「Allow-DNS」と入力します。
- [Source type](送信元の種類) で、 [IP アドレス] を選択します。
- [送信元] に「10.0.2.0/24」と入力します。
- [プロトコル] で [UDP] を選択します。
- [宛先ポート] に「53」と入力します。
- [送信先の種類] として [IP アドレス] を選択します。
-
[送信先] に「209.244.0.3,209.244.0.4」と入力します。
これらは、Level3 によって運用されるパブリック DNS サーバーです。 - [追加] を選択します。
DNAT ルールを構成する
このルールを使用すると、ファイアウォールを介して、リモート デスクトップを Srv-Work 仮想マシンに接続できます。
- [DNAT rules](DNAT ルール) を選択します。
- [規則コレクションの追加] を選択します。
- [名前] に「rdb」と入力します。
- [優先度] に「200」と入力します。
- [規則コレクション グループ] で、DefaultDnatRuleCollectionGroup を選択します。
- [ルール] の [名前] に「rdp-nat」と入力します。
- [Source type](送信元の種類) で、 [IP アドレス] を選択します。
- [送信先] に「*」を入力します。
- [プロトコル] で [TCP] を選択します。
- [宛先ポート] に「3389」と入力します。
- [送信先の種類] で [IP アドレス] を選択します。
- [送信先] に、ファイアウォールのパブリック IP アドレス (fw-pip) を入力します。
- [変換されたアドレス] に、Srv-work のプライベート IP アドレスを入力します。
- [Translated port] (変換されたポート) に「3389」と入力します。
- [追加] を選択します。
Srv-Work ネットワーク インターフェイスのプライマリおよびセカンダリ DNS アドレスを変更する
この攻略ガイドのテスト目的で、サーバーのプライマリおよびセカンダリ DNS アドレスを構成します。 これは、一般的な Azure Firewall 要件ではありません。
- Azure portal メニューで [リソース グループ] を選択するか、または任意のページから [リソース グループ] を検索して選択します。 [Test-FW-RG] リソース グループを選択します。
- Srv-Work 仮想マシンのネットワーク インターフェイスを選択します。
- [設定] で、 [DNS サーバー] を選択します。
- [DNS サーバー] で、 [カスタム] を選択します。
- [DNS サーバーの追加] テキスト ボックスに「209.244.0.3」と入力し、次のテキスト ボックスに「209.244.0.4」と入力します。
- [保存] を選択します。
- Srv-Work 仮想マシンを再起動します。
ファイアウォールをテストする
今度は、ファイアウォールをテストして、想定したように機能することを確認します。
リモート デスクトップをファイアウォールのパブリック IP アドレス (fw-pip) に接続し、Srv-Work 仮想マシンにサインインします。
Internet Explorer を開き、
https://www.google.com
を参照します。Internet Explorer のセキュリティ アラートで、 [OK]>[閉じる] の順に選択します。
Google のホーム ページが表示されます。
http://www.microsoft.com
を参照します。ファイアウォールによってブロックされます。
これで、ファイアウォール ルールが動作していることを確認できました。
- リモート デスクトップを Srv-Work 仮想マシンに接続できます。
- 1 つの許可された FQDN は参照できますが、それ以外は参照できません。
- 構成された外部 DNS サーバーを使用して DNS 名を解決できます。
リソースをクリーンアップする
さらにテストを行うために、ファイアウォール リソースを残しておいてもかまいませんが、不要であれば、Test-FW-RG リソース グループを削除して、ファイアウォール関連のすべてのリソースを削除してください。