これさえ読めば丸わかり!
Azure Firewallの教科書 ①

近年、コロナウイルスの影響もあり在宅勤務をする機会が増えました。企業では社員がどこでも快適に仕事をできるようなシステムの導入を急遽余儀なくされ、クラウド上にVDI環境を構成したケースも多いのではないでしょうか。
クラウド上に作成したVDIからインターネットへの通信を行う際、よく出てくる要件がオンプレミスのローカル拠点を経由してFW/Proxyを経由してインターネットに通信させる構成、いわゆる強制トンネリング構成です。しかし、この構成ではローカル拠点とクラウド拠点を結ぶVPN/専用線の帯域が切迫されたり、通信の遅延が起こるなど問題が生じるケースが少なくありません。特にOffice系のパフォーマンスなどでお困りのお客様も多いようです。
そんな問題を解消するためにに是非利用していただきたい製品が「Azure Firewall」です。この製品を利用することで、企業はクラウド上のクライアント端末からのインターネット通信の安全なインターネットブレイクアウトを実現します。
本ブログでは「Azure Firewall」を機能概要、各機能の設定方法、設定の際に注意すべきポイントを紹介します。

第一回ではAzure Firewallの概要、デプロイ方法を紹介します!

 

本ブログはこんな方にオススメです

  • Azure Firewallの機能概要を知りたい
  • Azure Firewallの各機能の設定方法と構築時の注意ポイントを知りたい


1. Azure Firewallとは

  • ・Azure Firewallとは?

Azure FirewallはPaaSのマネージドネットワークセキュリティサービスです。Azure Firewallには「Standard」と「Premium」の2種類のSKUがあり、「Premium」は「Standard」に比べて機能が充実しています。本記事はAzure Firewall Premiumを対象とします。

  • PremiumとStandardの比較

Azure Firwall PremiumはAzure Firewall Standardの機能に加えて以下の4つの機能が含まれます。

  • TLSインスペクション
    クライアントとサーバの間のTLSで暗号化されたインターネット通信を復号化し、悪意のあるアクティビティを検出します。
  • IDPS
    ネットワークを監視して、悪意のあるアクティビティを検知した場合は通信をブロックすることができます。
  • URLフィルタリング
  • Webカテゴリ

 

  • 価格

Azure Firewallは利用する「時間当たりの料金」と「データ処理の料金」の2つの課金要素があります。

以下はAzure Firwallの料金表となります。

例えば、730時間稼働のデータを100GB処理したワークロードでは約17万円ほどの課金額となります。

2. デプロイ

それではデプロイしていきましょう。
まずはAzure Firewall Premiumをデプロイする基盤をいっきに作っていきます。
  • 仮想ネットワーク作成
# リソースグループの作成
New-AzResourceGroup -Name “Nedemo-RG-01” -Location “japan east”
# 仮想ネットワークの作成
$vnet = @{
    Name = ‘Nedemo-VNet-01’
    ResourceGroupName = “Nedemo-RG-01”
    Location = “japan east”
    AddressPrefix = ‘10.0.0.0/16’    
}
$virtualNetwork = New-AzVirtualNetwork @vnet
# サブネットの作成
$subnet = @{
    Name = “AzureFirewallSubnet”
    VirtualNetwork = $virtualNetwork
    AddressPrefix = ‘10.0.0.0/24’
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
# サブネットの紐づけ
$virtualNetwork | Set-AzVirtualNetwork
Get-AzVirtualNetworkコマンドで作成できていることを確認。

  • Azure Firewall Premium作成

それではAzure Firewall Premiumを作成していきましょう。

Azure Firewallは以下のリソースを組み合わせることで作成することができます。

デプロイの順番としては左記に1,2を作成した後、3をデプロイします。

  1. パブリックIPアドレス
  2. Firewallポリシー
  3. Azure Firewall Premium

 

まずは1,2を作成します。

# パブリックIPを作成する
$FWpip = New-AzPublicIpAddress -Name “pip-afw-jpeast-001” -ResourceGroupName “Nedemo-RG-01” -Location “japan east” -AllocationMethod Static -Sku Standard -Zone 1,2
# Firewallポリシーを作成する
$fwpol = New-AzFirewallPolicy -Name “afw-premium-policy-001” -ResourceGroupName “Nedemo-RG-01” -Location “japan east” -SkuTier “Premium”

 

1.2が作成できていることを確認します。

# パブリックIPのパラメータの確認
Get-AzPublicIpAddress -Name “pip-afw-jpeast-001” -ResourceGroupName  “Nedemo-RG-01”
# Firewallポリシーのパラメータの確認
Get-AzFirewallPolicy -Name “afw-premium-policy-001” -ResourceGroupName  “Nedemo-RG-01”


#仮想ネットワーク名を変数に入れる
$vnet =  Get-AzVirtualNetwork -ResourceGroupName “Nedemo-RG-01” -name “Nedemo-VNet-01”
# Azure Firewallの作成
$Azfw = New-AzFirewall -Name “afw-jpeast-001” -ResourceGroupName “Nedemo-RG-01” -Location “Japan east” -VirtualNetwork $vnet -PublicIpAddress $FWpip -FirewallPolicyId $fwpol.Id -Zone 1,2 -SkuTier “Premium”
Azure Firewall Premiumが作成できていることを確認します。
# Azure Firewallのパラメータの確認
Get-AzFirewall -Name “afw-jpeast-001” -ResourceGroupName “Nedemo-RG-01”

これでAzure Firewallはデプロイができました。次の章から基本的な設定を見ていきましょう。

3. SNAT送信設定

Azure FirewallではSNAT設定が可能です。これによりIPアドレスの固定化が可能となります。

また、Azure Firewallでは宛先によってSNATをしない構成(する構成)をとることも可能です。

例えば宛先がパブリックIPアドレス帯の場合のみSNATをする場合は下記の「IANA RFC 1918 の範囲を除くすべての IP アドレスの場合 (既定)」とします。

 

GUIでデプロイした場合は「IANA RFC 1918 の範囲を除くすべての IP アドレスの場合 (既定)」となっていますが、現状コマンドでデプロイした場合はデフォルトで「常時」が選択されてしまいます。

Azure Firewallの構成でよくあるのがUDRで0.0.0.0/0でネクストホップをAzure Firewallに向ける構成となります。この場合は、システムルートで他のイントラネット内へのルートは/1以上のルートが存在するため、ロンゲストマッチによりたとえ「常時」が選択されていてもAzure Firewallを通る構成とはなりませんが、「IANA RFC 1918 の範囲を除くすべての IP アドレスの場合 (既定)」に戻しておきます。この場合はたとえイントラネット通信にAzure Firewallをかませても透過プロキシのように働き、SNATはされません。

4.まとめ

第一回ではデプロイまで実施しました。

第二回以降でAzure Firewallのそれぞれの機能のデプロイ方法、気を付けるべきポイントを解説していきます!

この記事を書いた人

堀口 広太
堀口 広太
日商エレクトロニクスのテクニカルマーケの堀口です。
セミナーの参加レポートや製品の検証結果などを皆さんにお伝えしていきます!
こんな検証ができないか、等ありましたら是非当社までご連絡ください!