Azure Firewall のデプロイを計画する
Azure Firewall をデプロイする前に、ネットワーク トポロジを計画して、必要なファイアウォール規則を識別し、さらにデプロイの手順についても把握しておく必要があります。
推奨されるネットワーク トポロジ
Azure Firewall では、以下の特性を持つ "ハブとスポーク" ネットワーク トポロジを使用してデプロイするのが最適であることを思い起こしてください。
- 中央の接続ポイントとして機能する仮想ネットワーク。 このネットワークは、"ハブ仮想ネットワーク" です。
- ハブとピアリングされた 1 つ以上の仮想ネットワーク。 これらのピアは "スポーク仮想ネットワーク" であり、ワークロード サーバーをプロビジョニングするために使用されます。
ハブ仮想ネットワークのサブネットにファイアウォール インスタンスをデプロイした後、受信と送信のすべてのトラフィックがファイアウォールを通過するように構成できます。 Azure Virtual Desktop のホスト プールを保護するために Azure Firewall をデプロイする場合に、この構成を使用します。
Azure Firewall 規則
既定では、ファイアウォールがすべてのアクセスを拒否します。 あなたの仕事は、トラフィックがファイアウォールの通過を許可される条件を指定してファイアウォールを構成することです。 各条件を規則と呼びます。 各規則では、データに対して 1 つ以上の検査基準を適用します。 すべてのファイアウォール規則で、すべての検査基準に合格したトラフィックのみが通過を許可されます。
次の表で、Azure のファイアウォール用に作成できる 3 種類の規則について説明します。 Azure Virtual Desktop の適切なネットワーク トラフィックを許可するために、アプリケーションとネットワークの規則を使用します。
| 規則の種類 | [説明] |
|---|---|
| ネットワーク アドレス変換 (NAT) | ファイアウォールのパブリック IP アドレスと、指定されたポート番号に基づいて、受信インターネット トラフィックを変換し、フィルター処理します。 たとえば、仮想マシン (VM) へのリモート デスクトップ接続を有効にするため、NAT 規則を使用して、ファイアウォールのパブリック IP アドレスとポート 3389 を、VM のプライベート IP アドレスに変換することができます。 |
| Application | 完全修飾ドメイン名 (FQDN) または FQDN タグに基づいてトラフィックをフィルター処理します。 FQDN タグは、Azure Virtual Desktop のような既知の Microsoft サービスに関連付けられている FQDN のグループを表します。 たとえば、アプリケーション規則を使用し、FQDN タグ WindowsVirtualDesktop で Azure Virtual Desktop VM の送信トラフィックを許可します。 |
| ネットワーク | 次の 3 つのネットワーク パラメーターのうち、1 つ以上に基づいてトラフィックをフィルター処理します。IP アドレス、ポート、プロトコルです。 たとえば、ネットワーク規則を使用して、オンプレミスの Active Directory ドメイン サーバーのプライベート IP アドレスから Azure へのトラフィックに、TCP および UDP ポート 53 を許可します。 Microsoft Entra ドメイン サーバーを使用している場合は、ネットワーク規則を作成する必要はありません。 DNS クエリは、168.63.129.16 で Azure DNS に転送されます。 |
Azure Firewall では、優先順位に従って規則が適用されます。 脅威インテリジェンスに基づく規則は、常に最も高い優先順位が与えられ、最初に処理されます。 その後、種類別に規則が適用されます。NAT 規則、ネットワーク規則、アプリケーション規則の順です。 各種類の中では、規則の作成時に割り当てられた優先順位の値に従って、最小値から最大値へと規則が処理されます。
デプロイ オプション
Azure Firewall には、規則の作成と管理を容易にするために設計された機能が多数用意されていることを思い出してください。 次の表は、これらの機能をまとめたものです。 Azure Virtual Desktop へのネットワーク トラフィックを許可するには FQDN タグを使いますが、以下に示す他のオプションを環境で使うこともできます。
| 特徴量 | 説明 |
|---|---|
| FQDN | 1 つのホストまたは 1 つ以上の IP アドレスの 1 つのドメイン名。 アプリケーション規則に FQDN を追加して、そのドメインへのアクセスを許可します。 アプリケーション規則で FQDN を使うときは、*.google.com のようなワイルドカードを使用できます。 |
| FQDN タグ | Microsoft の既知の FQDN のグループ。 アプリケーション規則に FQDN タグを追加して、タグの FQDN への送信アクセスを許可します。 たとえば、Windows Update、Azure Virtual Desktop、Windows 診断、Azure Backup のための FQDN タグがあります。 FQDN タグは Microsoft によって管理されており、ユーザーが変更または作成することはできません。 |
| サービス タグ | 特定の Azure サービスに関連する IP アドレス プレフィックスのグループ。 ネットワーク規則にサービス タグを追加して、タグによって表されるサービスへのアクセスを許可します。 Azure Backup、Azure Cosmos DB、Azure Logic Apps など、多数の Azure サービスのためのサービス タグがあります。 サービス タグは Microsoft によって管理されており、ユーザーが変更または作成することはできません。 |
| IP グループ | 10.2.0.0/16 や 10.1.0.0-10.1.0.31 のような IP アドレスのグループ。 IP グループは、NAT またはアプリケーション規則内の発信元アドレスとして、またはネットワーク規則内の送信元または宛先アドレスとして使用できます。 |
| [カスタム DNS] | ドメイン名を IP アドレスに解決するカスタム DNS サーバー。 Azure DNS ではなくカスタム DNS サーバーを使用する場合は、Azure Firewall を DNS プロキシとしても構成する必要があります。 |
| DNS プロキシ | DNS プロキシとして機能するように Azure Firewall を構成できます。これは、すべてのクライアント DNS 要求が、DNS サーバーに移動する前にファイアウォールを通過することを意味します。 |
Azure Firewall のデプロイ手順
前の演習では、サブネットでホスト プールと仮想ネットワークを作成しました。 セッション ホスト VM をそのサブネットにデプロイし、それをホスト プールに登録しました。 次の演習では、次の手順を実行し、ホスト プールを保護するために Azure Firewall をデプロイします。
ネットワークを設定します。
- ファイアウォールのデプロイ用サブネットを含むハブ仮想ネットワークを作成します。
- ハブとスポーク ネットワークをピアリングします。 次の演習では、Azure Virtual Desktop のホスト プールで使用される仮想ネットワークとハブ仮想ネットワークをピアリングします。
次のようにして、Azure Firewall をデプロイします。
- ハブ仮想ネットワークのサブネットに Azure Firewall をデプロイします。
- 送信トラフィック用に、すべてのサブネットからトラフィックをファイアウォールのプライベート IP アドレスに送信する、既定のルートを作成します。
Azure Firewall 規則を作成します。
- 受信と送信のトラフィックをフィルター処理する規則を使用してファイアウォールを構成します。