Azure

Azure Firewall を使ってインターネット接続を制限してみた

投稿日:

GA:1面-3




こんにちは。

最近、Microsoft Azure のネットワーク周りのことを書いてますが、なんとなくせっかく作った環境なので使いまわして書けるからって感じです。

 

今回は、Azure Firewall について、簡単に紹介します。

 

Azure FireWall とは

Azure Firewall とは、そのまんま 仮想ネットワークに置く FireWall ですね。

Network Security Group が、Winodws Firewall に近い位置づけで、Azure Firewall が、Firewall のスイッチって思うとイメージしやすいかもです。

 

概要については、ドキュメントに書いてありますのでそちらをご覧ください。

 

ひとまず、ドキュメントを見てるだけだとイメージがわきにくいので使ってみました。

なお、使った環境は前回の環境のままです。

 

早速つかってみた

前回の構成図を見ると、インターネットに抜ける部分が正確に書かれていないので問題ないように見えますが、VNET140 では、実際には以下のルーティングテーブルを持っています。

0.0.0.0/0 が Internet となっているので、他のホップ先に該当しない通信はすべて Internet に転送されることとなります。

 

 

今回はこのような構成を作りたいと思ってます。

VNET 120と130 は何もしないだけですけどねw

 

Azure Firewall の作成

Azure Firewale は、仮想ネットワークの AzureFirewallSubnet という固定のサブネットにぶら下げることになります。

ですので、まずはこのサブネットを作成します。

こんな感じで。

 

あとは、新しいリソースとして、Azure Firewall を作成します。

注意点は、事前準備をした 仮想ネットワークを選ぶくらいですかね。

 

また、Rule の設定をしていませんので、この Azure Firewall 経由の通信はすべてブロックされます。

 

RouteTable の変更

まずは、vnetedge の default2 サブネットのみを、Azure Fiewall 経由でインターネット通信とします。

ルートテーブルはこんな感じ

 

こうすると、default2 につながっている VM は、Public IP でのリモートデスクトップ接続は行えませんので、

プライベート IP で接続します。。

もちろん、Web へのアクセスもできません。

 

Azure Firewall の設定

この設定で、Web 接続を許可する設定をします。

この項目で設定するのは、特定の 仮想ネットワーク (10.140.1.0/24) だけが、Web アクセスできるようにしました。

 

設定する Rule は、以下の通り

 

 

これで、無事つながるようになりました。

 

別 VNET の設定

この項目では、VNET110 を Azure Firewall 経由の通信に変更します。

 

ひとまず、Firewall のソースの制限を解除してVNET 内の端末はすべて 80と443を許す設定にしました。

あとは、ルートテーブルの設定です。

VNET110 のサブネットに、ルートテーブルで Azure Firewall への経路を書いてあげるだけですね。

 

これで、VNET110 も Firewall 経由での接続ができるようになりました。

 

まとめ

今回は、仮想ネットワークからインターネットに抜けるルートに、Azure FireWall を通す設定をやってみました。

Azure FireWall へのルートテーブルの設定から、仮想ネットワークの中から Azure Filewall にルーティングさえできちゃえば、

  • 別仮想ネットワーク
  • 別リージョン
  • 別サブスクリプション

に関係なく、今回の構成がとれちゃういますよね。

 

また、今回の FW のルール設定は、Application Rule を使いましたが、

IP アドレス直指定の場合は、network rule を使ったり

 

NAT 構成も NAR rule で設定できます。

 

ということで、今回はひとまず構成をするまでの内容ですが、FW なのでログの運用的なことも気になりますよねー。

その辺は、今後書くと思います~。

GA:アーカイブ - 1




GA:アーカイブ - 1







-Azure
-, , ,

Copyright© メモログ , 2018 All Rights Reserved Powered by STINGER.