チュートリアル: 重複するネットワークとルーティング不可能なネットワーク用に Azure Firewall プライベート IP DNAT をデプロイする

Azure Firewall プライベート IP DNAT (宛先ネットワークアドレス変換) を使用すると、パブリック IP アドレスではなく、ファイアウォールのプライベート IP アドレスを使用して受信トラフィックを変換およびフィルター処理できます。この機能は、重複するネットワークや、従来のパブリック IP DNAT が適していないルーティング不可能なネットワークアクセスが関係するシナリオに役立ちます。

プライベート IP DNAT は、次の 2 つの主要なシナリオに対応します。

重複するネットワーク: 複数のネットワークが同じ IP アドレス空間を共有している場合
ルーティング不可能なネットワーク: 直接ルーティングできないネットワークを介してリソースにアクセスする必要がある場合

このチュートリアルでは、以下の内容を学習します。

プライベート IP DNAT のユースケースについて
プライベート IP DNAT 機能を使用して Azure Firewall をデプロイする
重複するネットワークシナリオ用に DNAT ルールを構成する
ルーティング不可能なネットワークアクセス用に DNAT 規則を構成する
プライベート IP DNAT 機能をテストする
トラフィックフローとルールの処理を検証する

[前提条件]

Azure サブスクリプション。アカウントをお持ちでない場合は、開始する前に無料アカウントを作成してください。
Azure Firewall Standard または Premium (Basic SKU ではプライベート IP DNAT はサポートされていません)
Azure ネットワークの概念に関する知識
Azure Firewall ルール処理ロジックの理解

Important

プライベート IP DNAT は、Azure Firewall Standard SKU と Premium SKU でのみ使用できます。 Basic SKU では、この機能はサポートされていません。

シナリオの概要

このチュートリアルでは、2 つの一般的なプライベート IP DNAT シナリオについて説明します。

シナリオ 1: 重複するネットワーク

同じ IP アドレス空間 (10.0.0.0/16 など) を使用する複数の仮想ネットワークがあり、IP 競合なしでこれらのネットワーク全体のリソースにアクセスする必要があります。

シナリオ 2: ルーティング不可能なネットワークアクセス

Azure Firewall を介したオンプレミスリソースへのアクセスなど、ソースから直接ルーティングできないネットワーク内のリソースへのアクセスを提供する必要があります。

環境をデプロイする

提供されている ARM テンプレートを使用して、必要なすべてのコンポーネントを含むテスト環境を作成します。

デプロイテンプレートをダウンロードする

Azure Network Security GitHub リポジトリから ARM テンプレートをダウンロードします。
PrivateIpDnatArmTemplateV2.json ファイルをローカルコンピューターに保存します。

Azure portal を使用してデプロイする

Azure portal にサインインします。
[ リソースの作成>テンプレートのデプロイ (カスタムテンプレートを使用してデプロイする) を選択します。
[Build your own template in the editor] (エディターで独自のテンプレートをビルド) を選択します。
既存のコンテンツを削除し、ダウンロードした ARM テンプレートの内容を貼り付けます。
保存を選択します。
次の情報を指定します。
- [サブスクリプション]: Azure サブスクリプションを選択します
- リソースグループ: 新しいリソースグループを作成するか、既存のリソースグループを選択します
- リージョン: お好みの Azure リージョンを選択します
- 場所: このパラメーターは、選択したリージョンに基づいて自動的に設定されます
テンプレートパラメーターを確認し、必要に応じて変更します。
[ 確認と作成] を選択し、[ 作成] を選択してテンプレートをデプロイします。

デプロイでは、次のリソースが作成されます。

重複するシナリオとルーティング不可能なシナリオの仮想ネットワーク
プライベート IP DNAT 構成を使用した Azure Firewall
接続をテストするための仮想マシン
ネットワークセキュリティグループとルートテーブル
必要なすべてのネットワークコンポーネント

注

ARM テンプレートには、両方のシナリオをテストするための事前構成済みの DNAT ルールが含まれています。デプロイ後にこれらの規則を調べたり、特定の要件に合わせて必要に応じて変更したりできます。

プライベート IP DNAT 規則を確認する

デプロイが完了したら、両方のシナリオで DNAT ルールが正しく作成されたことを確認します。

重複するネットワークのルールを確認する

Azure portal で、Azure Firewall リソース (azfw-hub-vnet-1) に移動します。
[ 設定] で、[ ファイアウォールポリシー] を選択します。
ファイアウォールポリシー (fp-azfw-hub-vnet-1) を選択します。
[ 設定] で、[ ルールコレクショングループ] を選択します。
DefaultDnatRuleCollectionGroupを選択して、構成済みの規則を表示します。

次の DNAT ルールが表示されます。

ToVM2-Http: 10.10.0.4:80 → 10.10.2.4:80 を変換します (スポーク vnet-1 からハブ vnet-2 ファイアウォールにアクセスする)
ToVM2-Rdp: 10.10.0.4:53388 → 10.10.2.4:3389 (RDP アクセス) を変換します
ToVM3-Http: 10.10.0.4:8080 → 172.16.0.4:80 を変換します (spoke-vnet-1 から branch-vnet-1 にアクセスする)
ToVM3-Rdp: 10.10.0.4:53389 → 172.16.0.4:3389 (RDP アクセス) を変換します

ルーティング不可能なネットワークのルールを確認する

2 番目の Azure Firewall リソース (azfw-hub-vnet-2) に移動します。
[ 設定] で、[ ファイアウォールポリシー] を選択します。
ファイアウォールポリシー (fp-azfw-hub-vnet-2) を選択します。
[ 設定] で、[ ルールコレクショングループ] を選択します。
DefaultDnatRuleCollectionGroupを選択して、2 番目のシナリオのルールを表示します。

次の DNAT ルールが表示されます。

ToVM2-Http: 10.10.2.4:80 → 192.168.0.4:80 を変換します (ハブ vnet-1 ファイアウォールサブネットからスポーク vnet-2 にアクセスします)
ToVM2-Rdp: 10.10.2.4:3389 → 192.168.0.4:3389 を変換します (スポーク vnet-2 への RDP アクセス)

これらの規則は、両方のスポークネットワークが同じ IP 空間 (192.168.0.0/24) を使用する重複するネットワークシナリオを示しています。

仮想マシンを設定する

提供された PowerShell スクリプトを実行して、VM の構成を完了します。

シナリオ 1 で VM を構成する (ネットワークが重複する)

Azure Bastion または RDP を使用して仮想マシン win-vm-2 に接続します。
管理者として PowerShell を開きます。

構成スクリプトをダウンロードして実行します。

# Download the script from GitHub repository
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-2.ps1" -OutFile "C:\win-vm-2.ps1"

# Execute the script
.\win-vm-2.ps1

シナリオ 2 で VM を構成する (非ルーティングネットワーク)

Azure Bastion または RDP を使用して仮想マシン win-vm-3 に接続します。
管理者として PowerShell を開きます。

構成スクリプトをダウンロードして実行します。

# Download the script from GitHub repository
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/Azure/Azure-Network-Security/master/Azure%20Firewall/Template%20-%20Private%20IP%20Dnat%20with%202%20Scenarios%20-%20Overlapped%20Network%20and%20Non-Routable%20Network/win-vm-3.ps1" -OutFile "C:\win-vm-3.ps1"

# Execute the script
.\win-vm-3.ps1

プライベート IP DNAT 機能をテストする

プライベート IP DNAT 構成が両方のシナリオで正しく動作することを確認します。

重複するネットワークシナリオをテストする

ソースネットワーク内のクライアントコンピューターから、構成されたポートを使用して Azure Firewall プライベート IP アドレスへの接続を試みます。
重複したネットワーク内のターゲット VM に接続が正常に変換されたことを確認します。
Azure Firewall ログを調べて、ルールのヒットと翻訳が成功したことを確認します。

ルーティング不可能なネットワークシナリオをテストする

適切なソースネットワークから、Azure Firewall プライベート IP アドレスに接続します。
ファイアウォールを介して、ルーティング不可能なネットワーク内のリソースへのアクセスを確認します。
適切なルール処理とトラフィックフローを確保するには、ファイアウォールログを監視します。

監視とトラブルシューティング

プライベート IP DNAT のパフォーマンスを監視するには、Azure Firewall の診断ログとメトリックを使用します。

診断ログを有効にする

Azure portal で、Azure Firewall リソースに移動します。
[ 診断設定>+ 診断設定の追加] を選択します。
次のログの設定を行います。
- Azure Firewall アプリケーション規則ログ
- Azure Firewall ネットワーク規則ログ
- Azure Firewall NAT 規則ログ
任意の宛先 (Log Analytics ワークスペース、ストレージアカウント、または Event Hubs) を選択します。

監視する主要メトリック

最適なパフォーマンスを確保するには、次のメトリックを監視します。

処理されたデータ: ファイアウォールによって処理されたデータの合計量
ネットワークルールヒット数: 一致したネットワークルールの数
NAT ルールヒット数: 一致した DNAT ルールの数
スループット: ファイアウォールスループットのパフォーマンス

ベストプラクティス

プライベート IP DNAT を実装する場合は、次のベストプラクティスに従います。

ルールの順序: 正しい処理順序を確保するには、優先順位の低い番号でより具体的なルールを配置します
ソース仕様: セキュリティを強化するためにワイルドカードの代わりに特定のソース IP 範囲を使用する
ネットワークのセグメント化: 重複するネットワークを分離するには、適切なネットワークセグメント化を実装します
監視: パフォーマンスの問題を特定するには、ファイアウォールのログとメトリックを定期的に監視します
テスト:生産の信頼性を確保するために、実装する前にすべてのDNATルールを徹底的にテストする

リソースをクリーンアップする

テスト環境が不要になったら、リソースグループを削除して、このチュートリアルで作成したすべてのリソースを削除します。

Azure portal で、リソースグループに移動します。
[リソースグループの削除] を選択します。
リソースグループ名を入力して削除を確認します。
[ 削除] を 選択して、すべてのリソースを削除します。

次のステップ

このチュートリアルでは、重複するネットワークシナリオとルーティング不可能なネットワークシナリオ用に Azure Firewall プライベート IP DNAT をデプロイして構成する方法について説明しました。テスト環境をデプロイし、DNAT ルールを構成し、機能を検証しました。

Azure Firewall DNAT 機能の詳細については、以下を参照してください。

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-10-15