Azure portal を使用してハイブリッド ネットワークに Azure Firewall をデプロイして構成する

オンプレミス ネットワークを Azure 仮想ネットワークに接続してハイブリッド ネットワークを作成する場合、ご利用の Azure ネットワーク リソースへのアクセスを制御する機能が、全体的なセキュリティ プランの中で重要な役割を果たします。

Azure Firewall を使用すれば、許可するネットワーク トラフィックと拒否するネットワーク トラフィックを定義するルールを使って、ハイブリッド ネットワークにおけるネットワーク アクセスを制御できます。

この記事では、3 つの仮想ネットワークを作成します。

  • VNet-Hub - ファイアウォールは、この仮想ネットワーク内に存在します。
  • VNet-Spoke - スポーク仮想ネットワークは Azure 上のワークロードを表します。
  • VNet-Onprem - オンプレミス仮想ネットワークはオンプレミス ネットワークを表します。 実際のデプロイでは、VPN 接続または ExpressRoute 接続のいずれかで接続できます。 わかりやすくするために、この手順では VPN ゲートウェイ接続を使用し、Azure に配置された仮想ネットワークがオンプレミス ネットワークを表すために使用されます。

ハイブリッド ネットワークでのファイアウォール

この記事では、次の方法について説明します。

  • ファイアウォールのハブ仮想ネットワークを作成する
  • スポーク仮想ネットワークを作成する
  • オンプレミス仮想ネットワークを作成する
  • ファイアウォールを構成してデプロイする
  • VPN ゲートウェイを作成して接続する
  • ハブとスポークの仮想ネットワークをピアリングする
  • ルートを作成する
  • 仮想マシンの作成
  • ファイアウォールをテストする

この手順の実行に、代わりに Azure PowerShell を使用する場合は、「Azure PowerShell を使用してハイブリッド ネットワークに Azure Firewall をデプロイして構成する」を参照してください。

Note

この記事では、従来のファイアウォール規則を使用してファイアウォールを管理します。 推奨される方法は、ファイアウォール ポリシーを使用することです。 ファイアウォール ポリシーを使用してこの手順を実行するには、「チュートリアル: Azure portal を使用してハイブリッド ネットワークに Azure Firewall とポリシーをデプロイして構成する」をご覧ください。

前提条件

ハイブリッド ネットワークでは、ハブおよびスポーク アーキテクチャ モデルを使用して、Azure VNet とオンプレミス ネットワーク間でトラフィックをルーティングします。 ハブおよびスポーク アーキテクチャには、次の要件があります。

  • VNet-Hub を VNet-Spoke にピアリングする場合は、 [この仮想ネットワークのゲートウェイまたはルート サーバーを使用する] を設定します。 ハブおよびスポーク ネットワーク アーキテクチャでは、ゲートウェイ転送によってスポーク仮想ネットワークがハブ内の VPN ゲートウェイを共有でき、VPN ゲートウェイをすべてのスポーク仮想ネットワークにデプロイする必要はありません。

    また、ゲートウェイに接続された仮想ネットワークまたはオンプレミス ネットワークへのルートは、ピアリングされた仮想ネットワークのルーティング テーブルにゲートウェイ転送を使用して自動的に伝達されます。 詳細については、「仮想ネットワーク ピアリングの VPN ゲートウェイ転送を構成する」を参照してください。

  • VNet-Spoke を VNet-Hub にピアリングする場合は、 [リモート仮想ネットワークのゲートウェイまたはルート サーバーを使用する] を設定します。 [リモート仮想ネットワークのゲートウェイまたはルート サーバーを使用する] が設定され、リモート ピアリングで [この仮想ネットワークのゲートウェイまたはルート サーバーを使用する] も設定されている場合、スポーク仮想ネットワークでは、リモート仮想ネットワークのゲートウェイを転送に使用します。

  • スポーク サブネット トラフィックをハブ ファイアウォール経由でルーティングするには、 [仮想ネットワーク ゲートウェイのルート伝達] オプションが無効になったファイアウォールを指すユーザー定義ルート (UDR) を使用してください。 [仮想ネットワーク ゲートウェイのルート伝達] オプションが無効になっていると、スポーク サブネットへのルート配布ができなくなります。 これにより、学習されたルートと UDR との競合が防止されます。 [仮想ネットワーク ゲートウェイのルート伝達] を有効にしておきたい場合は必ず、ファイアウォールへのルートを具体的に定義して、オンプレミスから BGP で発行されたルートをオーバーライドしてください。

  • ハブ ゲートウェイ サブネット上の UDR を、スポーク ネットワークへの次のホップとしてファイアウォール IP アドレスを指すように構成します。 Azure Firewall サブネット上に UDR は必要ありません。BGP からルートを学習するためです。

これらのルートの作成方法については、この記事の「ルートを作成する」セクションをご覧ください。

Note

Azure Firewall には、インターネットへの直接接続が必要です。 AzureFirewallSubnet が BGP 経由のオンプレミス ネットワークへの既定のルートを学習する場合は、インターネットへの直接接続を保持するために、NextHopType の値を Internet に設定した 0.0.0.0/0 UDR でこれを上書きする必要があります。

Azure Firewall は、強制トンネリングをサポートするように構成できます。 詳細については、「Azure Firewall 強制トンネリング」を参照してください。

注意

直接ピアリングされた VNets 間のトラフィックは、UDR が既定のゲートウェイとして Azure Firewall をポイントしている場合でも、直接ルーティングされます。 このシナリオでサブネット間トラフィックをファイアウォールに送信するには、UDR に両方のサブネットのターゲットのサブネット ネットワーク プレフィックスを明示的に含める必要があります。

Azure サブスクリプションをお持ちでない場合は、開始する前に 無料アカウント を作成してください。

ファイアウォールのハブ仮想ネットワークを作成する

まず、リソースを含めるためのリソース グループを作成します。

  1. Azure Portal ( https://portal.azure.com ) にサインインします。
  2. Azure portal のホーム ページで [リソース グループ]>[追加] の順に選択します。
  3. [サブスクリプション] で、ご使用のサブスクリプションを選択します。
  4. [リソース グループ名] に「FW-Hybrid-Test」と入力します。
  5. [リージョン][(米国) 米国東部] を選択します。 後で作成するリソースは、いずれも同じ場所にある必要があります。
  6. [確認および作成] を選択します。
  7. [作成] を選択します

ここで、VNet を作成します。

注意

AzureFirewallSubnet サブネットのサイズは /26 です。 サブネットのサイズの詳細については、「Azure Firewall に関する FAQ」を参照してください。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. [ネットワーク] で、 [仮想ネットワーク] を選択します。
  3. [作成] を選択します
  4. [リソース グループ] で、 [FW-Hybrid-Test] を選択します。
  5. [名前] に「VNet-hub」と入力します。
  6. 次へ:[次へ: IP アドレス] を選択します。
  7. [IPv4 アドレス空間] の場合は、既定のアドレスを削除し、「10.5.0.0/16」と入力します。
  8. [サブネット名] で、 [サブネットの追加] を選択します。
  9. [サブネット名] に「AzureFirewallSubnet」と入力します。 ファイアウォールはこのサブネットに配置されます。サブネット名は AzureFirewallSubnet でなければなりません
  10. [サブネット アドレス範囲] に「10.5.0.0/26」と入力します。
  11. [追加] を選択します。
  12. [Review + create](レビュー + 作成) を選択します。
  13. [作成] を選択します

スポーク仮想ネットワークを作成する

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. [Networking](ネットワーク) で、 [仮想ネットワーク] を選択します。
  3. [リソース グループ] で、 [FW-Hybrid-Test] を選択します。
  4. [名前] に「VNet-Spoke」と入力します。
  5. [リージョン][(米国) 米国東部] を選択します。
  6. 次へ:[次へ: IP アドレス] を選択します。
  7. [IPv4 アドレス空間] の場合は、既定のアドレスを削除し、「10.6.0.0/16」と入力します。
  8. [サブネット名] で、 [サブネットの追加] を選択します。
  9. [サブネット名] に「SN-Workload」と入力します。
  10. [サブネット アドレス範囲] に「10.6.0.0/24」と入力します。
  11. [追加] を選択します。
  12. [Review + create](レビュー + 作成) を選択します。
  13. [作成] を選択します

オンプレミス仮想ネットワークを作成する

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. [Networking](ネットワーク) で、 [仮想ネットワーク] を選択します。
  3. [リソース グループ] で、 [FW-Hybrid-Test] を選択します。
  4. [名前] に「VNet-OnPrem」と入力します。
  5. [リージョン][(米国) 米国東部] を選択します。
  6. [次へ :IP アドレス] を選択します
  7. [IPv4 アドレス空間] の場合は、既定のアドレスを削除し、「192.168.0.0/16」と入力します。
  8. [サブネット名] で、 [サブネットの追加] を選択します。
  9. [サブネット名] に「SN-Corp」と入力します。
  10. [サブネット アドレス範囲] に「192.168.1.0/24」と入力します。
  11. [追加] を選択します。
  12. [Review + create](レビュー + 作成) を選択します。
  13. [作成] を選択します

ここで、ゲートウェイ用に 2 つ目のサブネットを作成します。

  1. [VNet-Onprem] ページで、 [サブネット] を選択します。
  2. [+サブネット] を選択します。
  3. [名前] に「GatewaySubnet」と入力します。
  4. [サブネット アドレス範囲] に「192.168.2.0/24」と入力します。
  5. [OK] を選択します。

ファイアウォールを構成してデプロイする

次に、ファイアウォール ハブ仮想ネットワークにファイアウォールをデプロイします。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。

  2. 左側の列で [Networking](ネットワーク) を選択してから、 [ファイアウォール] を検索して選択します。

  3. [ファイアウォールの作成] ページで、次の表を使用してファイアウォールを構成します。

    設定
    サブスクリプション <該当するサブスクリプション>
    Resource group FW-Hybrid-Test
    名前 AzFW01
    リージョン 米国東部
    ファイアウォール管理 ファイアウォール規則 (クラシック) を使用してこのファイアウォールを管理する
    仮想ネットワークの選択 [Use Existing](既存の使用) :
    VNet-hub
    パブリック IP アドレス [新規追加]\:
    fw-pip
  4. [Review + create](レビュー + 作成) を選択します。

  5. 概要を確認し、 [作成] を選択してファイアウォールを作成します。

    このデプロイには数分かかります。

  6. デプロイが完了したら、FW-Hybrid-Test リソース グループに移動し、AzFW01 ファイアウォールを選択します。

  7. プライベート IP アドレスをメモします。 後で既定のルートを作成するときにこれを使用します。

ネットワーク ルールを構成する

まず、Web トラフィックを許可するネットワーク ルールを追加します。

  1. [AzFW01] ページで、 [ルール] を選択します。
  2. [ネットワーク ルール コレクション] タブを選択します。
  3. [ネットワーク ルール コレクションの追加] を選択します。
  4. [名前] に「RCNet01」と入力します。
  5. [優先度] に「100」と入力します。
  6. [規則コレクション アクション][許可] を選択します。
  7. [ルール] の下の [名前] に「AllowWeb」と入力します。
  8. [Source type](送信元の種類) で、 [IP アドレス] を選択します。
  9. [送信元] に「192.168.1.0/24」と入力します。
  10. [プロトコル][TCP] を選択します。
  11. [宛先ポート] に「80」と入力します。
  12. [送信先の種類] として [IP アドレス] を選択します。
  13. [Destination](送信先) に「10.6.0.0/16」と入力します。

次に、RDP トラフィックを許可するルールを追加します。

2 つ目のルール行に、次の情報を入力します。

  1. [名前] に「AllowRDP」と入力します。
  2. [Source type](送信元の種類) で、 [IP アドレス] を選択します。
  3. [送信元] に「192.168.1.0/24」と入力します。
  4. [プロトコル][TCP] を選択します。
  5. [宛先ポート] に「3389」と入力します。
  6. [送信先の種類] として [IP アドレス] を選択します。
  7. [送信先] に「10.6.0.0/16」と入力します。
  8. [追加] を選択します。

VPN ゲートウェイを作成して接続する

ハブとオンプレミスの仮想ネットワークは、VPN ゲートウェイ経由で接続されます。

ハブ仮想ネットワークの VPN ゲートウェイを作成する

次に、ハブ仮想ネットワークの VPN ゲートウェイを作成します。 ネットワーク間構成には、RouteBased VpnType が必要です。 選択した VPN ゲートウェイ SKU によっては、VPN ゲートウェイの作成に 45 分以上かかる場合も少なくありません。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. 検索テキスト ボックスに「仮想ネットワーク ゲートウェイ」と入力します。
  3. [仮想ネットワーク ゲートウェイ] を選択し、 [作成] を選択します。
  4. [名前] に「GW-hub」と入力します。
  5. [リージョン] で、前に使用したのと同じリージョンを選択します。
  6. [ゲートウェイの種類] で、 [VPN] を選択します。
  7. [VPN の種類] で、 [ルート ベース] を選択します。
  8. [SKU] で、 [Basic] を選択します。
  9. [仮想ネットワーク] で、 [VNet-hub] を選択します。
  10. [パブリック IP アドレス][新規作成] を選択し、名前として「VNet-hub-GW-pip」と入力します。
  11. 他の既定値をそのまま使用し、 [確認および作成] を選択します。
  12. 構成を確認して、 [作成] を選択します。

オンプレミス仮想ネットワークの VPN ゲートウェイを作成する

次に、オンプレミス仮想ネットワークの VPN ゲートウェイを作成します。 ネットワーク間構成には、RouteBased VpnType が必要です。 選択した VPN ゲートウェイ SKU によっては、VPN ゲートウェイの作成に 45 分以上かかる場合も少なくありません。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. 検索テキスト ボックスに「仮想ネットワーク ゲートウェイ」と入力し、Enter キーを押します。
  3. [仮想ネットワーク ゲートウェイ] を選択し、 [作成] を選択します。
  4. [名前] に「GW-Onprem」と入力します。
  5. [リージョン] で、前に使用したのと同じリージョンを選択します。
  6. [ゲートウェイの種類] で、 [VPN] を選択します。
  7. [VPN の種類] で、 [ルート ベース] を選択します。
  8. [SKU] で、 [Basic] を選択します。
  9. [仮想ネットワーク] で、 [VNet-Onprem] を選択します。
  10. [パブリック IP アドレス][新規作成] を選択し、名前として「VNet-Onprem-GW-pip」と入力します。
  11. 他の既定値をそのまま使用し、 [確認および作成] を選択します。
  12. 構成を確認して、 [作成] を選択します。

VPN 接続を作成する

これで、ハブ ゲートウェイとオンプレミス ゲートウェイの間に VPN 接続を作成することができます。

この手順では、ハブ仮想ネットワークからオンプレミス仮想ネットワークへの接続を作成します。 この例では、参照される共有キーが表示されます。 共有キーには独自の値を使用することができます。 両方の接続の共有キーが一致することが重要です。 接続の作成完了までしばらくかかります。

  1. FW-Hybrid-Test リソース グループを開き、GW-hub ゲートウェイを選択します。
  2. 左側の列で、 [接続] を選択します。
  3. [追加] を選択します。
  4. 接続名として「Hub-to-Onprem」と入力します。
  5. [接続の種類][VNet 対 VNet] を選択します。
  6. [2 番目の仮想ネットワーク ゲートウェイ] で、 [GW-Onprem] を選択します。
  7. [共有キー (PSK)] に「AzureA1b2C3」と入力します。
  8. [OK] を選択します。

オンプレミスとハブとの間に仮想ネットワーク接続を作成します。 この手順は前の手順と似ていますが、VNet-Onprem から VNet-Hub への接続を作成する点が異なります。 共有キーが一致することを確認してください。 数分後に接続が確立されます。

  1. FW-Hybrid-Test リソース グループを開き、GW-Onprem ゲートウェイを選択します。
  2. 左側の列で、 [接続] を選択します。
  3. [追加] を選択します。
  4. 接続名として「Onprem-to-Hub」と入力します。
  5. [接続の種類][VNet 対 VNet] を選択します。
  6. [2 番目の仮想ネットワーク ゲートウェイ] で、 [GW-hub] を選択します。
  7. [共有キー (PSK)] に「AzureA1b2C3」と入力します。
  8. [OK] を選択します。

接続を確認する

約 5 分後、両方の接続の状態が [接続中] になるはずです。

ゲートウェイ接続

ハブとスポークの仮想ネットワークをピアリングする

次に、ハブとスポークの仮想ネットワークをピアリングします。

  1. FW-Hybrid-Test リソース グループを開き、VNet-hub 仮想ネットワークを選択します。

  2. 左側の列で、 [ピアリング] を選択します。

  3. [追加] を選択します。

  4. [This virtual network](この仮想ネットワーク) の下で、次のように設定します。

    設定名
    [Peering link name](ピアリング リンク名) HubtoSpoke
    [Traffic to remote virtual network](リモート仮想ネットワークへのトラフィック) 許可 (既定)
    [Traffic forwarded from remote virtual network](リモート仮想ネットワークから転送されるトラフィック) 許可 (既定)
    仮想ネットワーク ゲートウェイ [Use this virtual network's gateway](この仮想ネットワークのゲートウェイを使用する)
  5. [Remote virtual network](リモート仮想ネットワーク) で、次のように設定します。

    設定名
    [Peering link name](ピアリング リンク名) SpoketoHub
    仮想ネットワークのデプロイ モデル Resource Manager
    サブスクリプション <該当するサブスクリプション>
    仮想ネットワーク VNet-Spoke
    [Traffic to remote virtual network](リモート仮想ネットワークへのトラフィック) 許可 (既定)
    [Traffic forwarded from remote virtual network](リモート仮想ネットワークから転送されるトラフィック) 許可 (既定)
    仮想ネットワーク ゲートウェイ [Use the remote virtual network's gateway](リモート仮想ネットワークのゲートウェイを使用する)
  6. [追加] を選択します。

    Vnet ピアリング

ルートを作成する

次に、2 つのルートを作成します。

  • ファイアウォール ハブ IP アドレスを介したハブ ゲートウェイ サブネットからスポーク サブネットへのルート
  • ファイアウォール ハブ IP アドレスを介したスポーク サブネットからの既定ルート
  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. 検索テキスト ボックスに「ルート テーブル」と入力し、Enter キーを押します。
  3. [ルート テーブル] を選択します。
  4. [作成] を選択します
  5. リソース グループとして [FW-Hybrid-Test] を選択します。
  6. [リージョン] で、以前使用したのと同じ場所を選択します。
  7. 名前として「UDR-Hub-Spoke」と入力します。
  8. [確認および作成] を選択します。
  9. [作成] を選択します
  10. ルート テーブルが作成されたら、それを選択して、ルート テーブル ページを開きます。
  11. 左側の列で、 [ルート] を選択します。
  12. [追加] を選択します。
  13. ルート名として「ToSpoke」と入力します。
  14. アドレス プレフィックスとして「10.6.0.0/16」と入力します。
  15. 次ホップの種類として [仮想アプライアンス] を選択します。
  16. 次ホップ アドレスとして、前にメモしておいた、ファイアウォールのプライベート IP アドレスを入力します。
  17. [OK] を選択します。

ここで、ルートをサブネットに関連付けます。

  1. [UDR-Hub-Spoke - ルート] ページで [サブネット] を選択します。
  2. [関連付け] を選択します。
  3. [仮想ネットワーク][VNet-hub] を選択します。
  4. [サブネット][GatewaySubnet] を選択します。
  5. [OK] を選択します。

ここで、スポーク サブネットからの既定のルートを作成します。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. 検索テキスト ボックスに「ルート テーブル」と入力し、Enter キーを押します。
  3. [ルート テーブル] を選択します。
  4. [作成] を選択します
  5. リソース グループとして [FW-Hybrid-Test] を選択します。
  6. [リージョン] で、以前使用したのと同じ場所を選択します。
  7. 名前として「UDR-DG」と入力します。
  8. [Propagate gateway route](ゲートウェイのルートを伝達する) で、 [いいえ] を選択します。
  9. [確認および作成] を選択します。
  10. [作成] を選択します
  11. ルート テーブルが作成されたら、それを選択して、ルート テーブル ページを開きます。
  12. 左側の列で、 [ルート] を選択します。
  13. [追加] を選択します。
  14. ルート名として「ToHub」と入力します。
  15. アドレス プレフィックスとして「0.0.0.0/0」と入力します。
  16. 次ホップの種類として [仮想アプライアンス] を選択します。
  17. 次ホップ アドレスとして、前にメモしておいた、ファイアウォールのプライベート IP アドレスを入力します。
  18. [OK] を選択します。

ここで、ルートをサブネットに関連付けます。

  1. [UDR-DG - ルート] ページで [サブネット] を選択します。
  2. [関連付け] を選択します。
  3. [仮想ネットワーク][VNet-spoke] を選択します。
  4. [サブネット][SN-Workload] を選択します。
  5. [OK] を選択します。

仮想マシンを作成する

次に、スポーク ワークロードとオンプレミスの仮想マシンを作成し、適切なサブネットに配置します。

ワークロード仮想マシンを作成する

パブリック IP アドレスなしで、スポーク仮想ネットワークに仮想マシンを作成し、IIS を実行します。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. [人気順] で、 [Windows Server 2016 Datacenter] を選択します。
  3. 次の仮想マシンの値を入力します。
    • [リソース グループ] - [FW-Hybrid-Test] を選択します。
    • [仮想マシン名] : VM-Spoke-01
    • [リージョン] - 先ほど使用したものと同じリージョン。
    • ユーザー名: <ユーザー名を入力します>。
    • パスワード: <パスワードを入力します>
  4. [パブリック受信ポート][選択したポートを許可する] を選択し、 [HTTP (80)][RDP (3389)] を選択します
  5. [Next:Disks](次へ: ディスク) を選択します。
  6. 既定値をそのまま使用し、 [次へ: ネットワーク] を選択します。
  7. 仮想ネットワークとして [VNet-Spoke] を選択します。サブネットは SN-Workload です。
  8. [パブリック IP] で、 [なし] を選択します。
  9. [Next:Management](次へ: 管理) を選択します。
  10. [起動の診断] で、 [Disable](無効) を選択します。
  11. [確認および作成] を選択し、概要ページの設定を確認して、 [作成] を選択します。

IIS のインストール

  1. Azure portal で Cloud Shell を開き、PowerShell に設定されていることを確認します。

  2. 次のコマンドを実行して、IIS を仮想マシンにインストールし、必要に応じて場所を変更します。

    Set-AzVMExtension `
            -ResourceGroupName FW-Hybrid-Test `
            -ExtensionName IIS `
            -VMName VM-Spoke-01 `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location EastUS
    

オンプレミス仮想マシンを作成する

これは、リモート デスクトップを使用してパブリック IP アドレスに接続する際に使用する仮想マシンです。 そこから、ファイアウォールを介してオンプレミス サーバーに接続します。

  1. Azure portal のホーム ページから [リソースの作成] を選択します。
  2. [人気順] で、 [Windows Server 2016 Datacenter] を選択します。
  3. 次の仮想マシンの値を入力します。
    • [リソース グループ] - 既存のものを選択し、 [FW-Hybrid-Test] を選択します。
    • [仮想マシン名] - VM-Onprem
    • [リージョン] - 先ほど使用したものと同じリージョン。
    • ユーザー名: <ユーザー名を入力します>。
    • パスワード: <ユーザー パスワードを入力します>。
  4. [パブリック受信ポート][選択したポートを許可する] を選択し、 [RDP (3389)] を選択します
  5. [Next:Disks](次へ: ディスク) を選択します。
  6. 既定値をそのまま使用し、 [Next:Networking](次へ: ネットワーク) を選択します。
  7. 仮想ネットワークとして [VNet-Onprem] を選択します。サブネットは SN-Corp です。
  8. [Next:Management](次へ: 管理) を選択します。
  9. [起動の診断] で、 [Disable](無効) を選択します。
  10. [確認および作成] を選択し、概要ページの設定を確認して、 [作成] を選択します。

注意

パブリック IP アドレスが割り当てられていないか、内部の Basic Azure Load Balancer のバックエンド プールにある VM に対しては、Azure によってデフォルト送信アクセス IP が提供されます。 デフォルト送信アクセス IP メカニズムは、構成できないアウトバウンド IP アドレスを提供します。

パブリック IP アドレスが VM に割り当てられている場合、アウトバウンド規則の有無にかかわらず VM が Standard Load Balancer のバックエンド プールに配置されている場合、または VM のサブネットに Azure Virtual Network NAT ゲートウェイ リソースが割り当てられている場合、既定の送信アクセス IP は無効になります。

フレキシブル オーケストレーション モードの仮想マシン スケール セットによって作成された VM には、既定の送信アクセスがありません。

Azure のアウトバウンド接続の詳細については、「Azure での既定の送信アクセス」および「送信接続での送信元ネットワーク アドレス変換 (SNAT)を使用する」を参照してください。

ファイアウォールをテストする

  1. まず、VM-spoke-01 仮想マシンのプライベート IP アドレスをメモします。

  2. Azure portal から、VM-Onprem 仮想マシンに接続します。

  1. VM-Onprem 上で Web ブラウザーを開き、http://<VM-spoke-01 private IP> にアクセスします。

    VM-spoke-01 Web ページが表示されるはずです。VM-Spoke-01 Web ページ

  2. VM-Onprem 仮想マシンで、プライベート IP アドレスにある VM-spoke-01 へのリモート デスクトップを開きます。

    接続が成功し、サインインできるはずです。

これで、ファイアウォール ルールが動作していることを確認できました。

  • スポーク仮想ネットワーク上の Web サーバーにブラウザーでアクセスすることができます。
  • スポーク仮想ネットワーク上のサーバーには、RDP を使用して接続できます。

次に、ファイアウォール ネットワーク ルール コレクションの動作を Deny に変更して、ファイアウォール ルールが想定どおりに動作することを確認します。

  1. [AzFW01] ファイアウォールを選択します。
  2. [ルール] を選択します。
  3. [ネットワーク ルール コレクション] タブを選択し、 [RCNet01] ルール コレクションを選択します。
  4. [アクション] で、 [拒否] を選択します。
  5. [保存] を選択します。

既存のリモート デスクトップをすべて閉じてから、変更したルールをテストします。 ここで、テストを再実行します。 このとき、すべてが失敗するはずです。

リソースをクリーンアップする

さらにテストを行うために、ファイアウォール リソースを残しておいてもかまいませんが、不要であれば、FW-Hybrid-Test リソース グループを削除して、ファイアウォール関連のすべてのリソースを削除してください。

次のステップ

次に、Azure Firewall のログを監視することができます。

チュートリアル:Azure Firewall のログを監視する