Azure Firewall の教科書 GUI編
Azure Firewall は、Azure で提供されるクラウドネイティブなファイアウォールサービスです。Azure Firewall を利用することで、Azure リソースに対するネットワークトラフィックの制御や監視が可能になります。Azure Firewall の特徴や利点については、公式ドキュメントを参照してください。
Azure Firewall のドキュメント | Microsoft Learn
本ブログでは、Azure Firewall の構築手順について紹介します。具体的には、以下の内容を説明します。
- ネットワークの設定
- ファイアウォールのデプロイ
- デフォルトルートの設定
- アプリケーションルール、ネットワークルールの構成
- DNATルールの構成
これらの手順を実行することで、Azure Firewall を簡単に導入できます。Azure Firewall を使って、アウトバンド通信を制御してみましょう。
Azure Firewall では以下のルールが利用できます。
- アプリケーション ルール: サブネットからアクセスできる完全修飾ドメイン名 (FQDN) を定義します。
- ネットワーク ルール: 送信元アドレス、プロトコル、宛先ポート、送信先アドレスを定義します。
今回は本番環境を想定して、以下のようなハブ、スポークモデルでAzure Firewallをデプロイしてみましょう。
目次
Hub仮想ネットワークの作成
初めにリソースグループと仮想ネットワークを作成します。
| リソースグループ:Test-FW-RG
名前:Hub-VN 地域:Japan East |
IPv4 アドレス空間:10.0.0.0/16
サブネット名のdefaultをクリックし、名前をAzureFirewallSubnetに変更します。
サブネット名:AzureFirewallSubnet
サブネット アドレス範囲:10.0.1.0/26
「確認および作成」をクリックして、作成します。
Spoke仮想ネットワークの作成
VM用の仮想ネットワークを作成します。
| リソースグループ:Test-FW-RG
名前:Spoke-VN 地域:Japan East |
「確認および作成」をクリックして、作成します。
ピアリング設定
作成したHubとSpokeの仮想ネットワークはデフォルトだと接続されておらず疎通できません。
仮想ネットワークを接続するためにピアリング設定を行います。
ピアリング リンク名:Hub-Spoke
リモート仮想ネットワーク:Spoke-Hub
サブスクリプション:任意
仮想ネットワーク:Spoke-VN
仮想マシン作成
ファイアウォールを検証するため仮想マシンを作成します。
| リソースグループ:Test-FW-RG
仮想マシン名:vm01 地域:Japan East 可用性オプション:なし セキュリティの種類:Standard イメージ:Windows Server 2019 Datacenter – x64 Gen2 VMアーキテクチャ:x64 サイズ:Standard_D2s_v3 パブリック受信ポート:なし |
ネットワークで以下設定します。
| 仮想ネットワーク:Spoke-VN
サブネット:default パブリックIP:なし NICネットワークセキュリティグループ:Basic |
ブート診断を「無効化」に設定します。
以降規定値で作成まで進みます。
ファイアーウォールを作成
Azure Portal > ファイアウォールから作成をクリックします。
| リソースグループ:Test-FW-RG
名前:Test-FW01 地域:Japan East 可用性ゾーン:なし ファイアウォールSKU:Standard ファイアウォール管理:ファイアウォール規則(クラシック)を使用してこのファイアウォールを管理する 仮想ネットワークの選択:既存のものを使用 仮想ネットワーク:Hub-VN(Test-FW-RG) パブリックIPアドレス:fw-pip(新規作成) 強制トンネリング:無効 |
既定のルートを作成
Azure Portal > ルートテーブルで作成をクリックします。
| リージョン:Japan East
名前:Firewall-route ゲートウェイのルート伝達する:Yes |
確認および作成まで進み、作成します。
作成したルートテーブルを選択し、サブネット から関連付けをクリックします。
仮想ネットワーク:Spoke-VN
サブネット:default
ルート > 追加をクリックします。
ルート名:fw-dg
宛先アドレスのプレフィックス:IPアドレス
宛先IPアドレス/CIDR範囲:0.0.0.0/0
ネクストホップの種類:仮想アプライアンス
ネクストホップアドレス:10.0.1.4
アプリケーションルールコレクションの追加
Azure Portal > Azure Firewall から作成してTest-FW01をクリックします。
規則(クラシック)>アプリケーションルールコレクションの追加をクリックします。
| 名前:App-Coll01
優先度:200 アクション:許可 ターゲットのFQDN 名前:Allow-Nelco Source type:IP address Source:10.1.0.0/24 プロトコルポート:http,https ターゲットのFQDN:cloud.nissho-ele.co.jp |
ネットワークルールコレクションの追加
| 名前:Net-Coll01
優先度:200 アクション:許可 名前:Allow-DNS プロトコル:UDP Source type:IP address Source:10.0.2.0/24 Destination tyep:IP address 宛先アドレス:209.244.0.3,209.244.0.4 宛先ポート:53 |
DNATルールの追加
DNATルールを作成することで、仮想マシンに直接RDP接続せずに、Firewallを介して接続することができます。
| NATルールコレクションの追加
名前:rdp 優先度:200 名前:rdp-nat プロトコル:TCP Source type:IP address Source:* 宛先アドレス:20.78.192.157 宛先ポート:3389 変換されたアドレス:10.1.0.4 変換されたポート:3389 |
vm01のDNS変更
仮想マシン > ネットワーク からネットワークインターフェースを選択します。
ネットワークインターフェース > DNSサーバーでDNSを登録します。
DNSサーバー:209.244.0.3、209.244.0.4
テスト
FWのパブリックIPにアクセスしてVMへRDP接続する。
Internet Explorerを開いて、cloud.nissho-ele.co.jpにアクセスします。
正常にアクセスできますね。
www.google.comにアクセスします。
Azure Firewall でブロックされていることを確認します。
この記事を書いた人
-
テクニカルマーケターとして、新技術の検証、ブログ執筆、セミナー講師を行っております!
学生時代はアプリ開発に興味がありましたが、インフラ、セキュリティ事業を経て、現在はクラウド屋さんになっております。
コロナ禍前は、月1で海外旅行にいくなどアクティブに活動していましたが、最近は家に引きこもってゲームが趣味になっています。
宜しくお願い致します!
この投稿者の最新の記事
- 2024年3月25日ブログOracle Database@Azureが東日本リージョンに展開されることが発表されました!
- 2024年3月22日ブログAzure SQL DatabaseでCopilotがプレビュー公開!
- 2024年3月18日ブログAzureリソースの誤削除を防ぐ「ロック」機能とは
- 2024年3月14日ブログCopilot for Security の一般公開日が発表