演習 - Azure Firewall を作成して構成する

  • 15 分

以下の手順に従って Azure Firewall とルート テーブルを作成し、構成します。

Azure Firewall をデプロイする

以下の手順に従って新しい Azure Firewall を作成します。

az network vnet subnet create  -n AzureFirewallSubnet -g <resource-group-name> --vnet-name <vnet-name>  --address-prefix 10.0.1.0/24

az network public-ip create  -n <name-for-firewall-pip>  -g <resource-group-name>  --version IPv4  --sku Standard

az network firewall create  -n <name-of-firewall>   -g <resource-group-name>  --location <your-preferred-azure-region>

az network firewall ip-config create --firewall-name <name-of-firewall>  --name <firewall-config-name>  --public-ip-address <name-of-firewall-pip>  --resource-group <resource-group-name>  --vnet-name <vnet-name>  

az network firewall update  --name <name-of-firewall>  --resource-group <resource-group-name>

ルートとルート テーブルを作成する

以下の手順に従って新しいルート テーブルとルートを作成します。

az network route-table create  --name <firewall-route-table-name>  --resource-group <resource-group-name>  --location <your-preferred-azure-region> --disable-bgp-route-propagation true

次のルートを使うと、Azure Firewall はインターネットに直接接続できます。

az network route-table route create --resource-group <resource-group-name>  --name <route-name>  --route-table-name <firewall-route-table-name>  --address-prefix 0.0.0.0/0 --next-hop-type Internet

Azure Firewall のサブネットにルート テーブルを関連付ける

次のコマンドを使ってサブネットにルート テーブルとルートを適用します。これが Azure Firewall のデプロイに使われます。

az network vnet subnet update  --name AzureFirewallSubnet  --resource-group <resource-group-name>   --vnet-name <vnet-name>  --route-table <firewall-route-table-name>

Azure Firewall を設定したら、次のユニットでは、Azure Firewall を介したインターネット接続を可能にする既定のルートを生成する方法を確認します。

知識チェック

1.

UDR を使って AzureFirewallSubnet を構成しておらず、既定のルートのネクスト ホップとしてインターネットが構成されている場合はどうなりますか?

2.

IDPS (Intrusion Detection and Protection System) 機能が必要な場合、どの Azure Firewall SKU が適切ですか?