LoginSignup
0
0

More than 3 years have passed since last update.

@yotan(Yoshimasa Katakura)

AzureでBarracuda NextG Firewall(構築編)

Last updated at Posted at 2017-04-22

はじめに

※最新のHA構成構築記事はこちら↓※
Azure上にBarracuda CloudGen FirewallをHA構成で構築
https://zakki.nya-n.net/?p=442
※最新のHA構成構築記事はこちら↑※

バラクーダネットワークスジャパンさん(以下Barracudaさん)から、Azure上で動く仮想アプライアンスであるNextG Firewall(以下NGFW)を試用させていただく機会を頂いたので、早速使ってみました。
今回はとりあえずAzureに構築編です。

【宣伝】pnopバラクーダネットワークスジャパンさんのクラウドパートナーです【大事】

構成

以下の格好悪い図ですが、DMZゾーンのサブネットにNGFWを配置して、サービスセグメントにあるサーバ(SVSV)は直接インターネットとのアクセスはできない構成を作ります。

インバウンドもアウトバウンドも全てNGFWを経由させます。

無論NGFW側の通信を転送する機能が必要不可欠ですが、Azureで構成する際には、Azureの機能として「NICのIP転送」「ユーザ定義ルート」などを正しく定義していきます。

image

NGFWとAzureの設定としては、以下の図のようにserviceサブネットからのトラヒックは全てdmzサブネットのNGFW01に転送させます(Azureの機能)

image

他にインターネット側からNGFWに対してRDPの接続リクエストが来たら、serviceサブネット上のSVSV01のサーバに転送します(NGFWの機能)

image

構築の流れ

以下の流れで説明していきます。

  1. 仮想NWの作成
  2. NGFWのデプロイ
  3. ルートテーブルの作成
  4. IP転送の設定
  5. NSGの設定
  6. NFGWの設定(ライセンス登録)
  7. サービスセグメント用サーバのデプロイ
  8. NGFWの設定(フォワード設定)
  9. 動作確認

仮想NWの作成

まずは先ほど図で説明の通りに事前に適当なリソースグループを作成して、その中に仮想ネットワークを作成しておきます。

今回はアドレス空間としては10.0.0.0/16、dmzサブネットは10.0.0.0/24、serviceサブネットは10.0.1.0/24で作成しました。

image

image

NGFWのデプロイ

新規のリソース作成でフィルターに「barracuda f-series」などと入れるとかなり絞り込まれます。
一覧から「Barracuda NextGen Firewall F-Series (BYOL)」を選択して、デプロイを進めます。
image

「基本」設定ではVMディスクの種類はHDDに変更しました。
後はお好みで。
image

「サイズ」設定はBarracudaさんから払い出されているライセンスにあったコア数のサイズを選択します。
私は1コア用の一番小さなライセンスを試用しますので、Standard A1を選択します。
image

「設定」では仮想ネットワークとサブネットを先に作成した仮想ネットワークのdmzサブネットにするのを忘れないようにします。
管理ディスクに使用、監視の有無はお好みで。
image

「概要」で最終確認をします。
image

「購入」でBarracuda側の料金が0円/時であることを確認して、最後にOKでデプロイ開始します。
image

無事作成できたら、パブリックIPアドレスは控えておきます。
image

ルートテーブルの作成

リソースの追加でルートテーブルを選んで新規作成します。
image

まずはデフォルトルートの追加です。
「ルート」メニューの「+追加」を選びます。
image

ルート名は適当に、アドレスプレフィックスには全てのトラヒックを対象とするため「0.0.0.0/0」を指定します。
次ホップの種類として「仮想アプライアンス」を選択後、IPアドレスにはNGFWのプライベートIPアドレスである「10.0.0.4」を指定します。
最後に「OK」で適用です。
image

無事追加されました。
image

続いて「サブネット」メニューから「+追加」を選びます。
image

強制ルーティングの対象とする仮想ネットワークのserviceサブネットを選択して、登録します。
image

無事追加されました。
image

IP転送の設定

NGFWサーバのNICの設定を変更して、IP転送が可能にします。ついでにIPアドレスも固定化します。

NGFWで使っているNICリソースを選択して、「IP構成」メニューを開きます。
image

IP転送を「有効」に設定します。
さらにipconfig1のリストをクリックします。
image

プライベートIPアドレスの割り当て方法を「静的」に変更。
IPアドレスには元と同じく10.0.0.4のままにして、「保存」をクリックします。
image

NSGの設定

NGFWに設定されているNSGにRDP(3389)の接続を許可します。
image

これでAzure的にはNGFWでRDP接続を受けることができますので、あとは中のFirewall機能でserviceサブネット側のサーバに転送できればOKですね。
image

NFGWの設定(ライセンス登録)

クライアントPCからhttp://NGFWのIPアドレス/ に接続します。
トップ画面が表示されたら、NextGenAdmin.exeをダウンロードして、クライアントPCで実行します。
image

アプリケーションの最初の画面で、ログイン先には「Firewall」、IPアドレスにはNGFWのIPアドレス、Usernameは「root」、パスワードはNGFWのデプロイ時に指定したパスワードを入力して「Sign in」ボタンをクリックします。
image

初回ログイン時のみ、接続してよいか確認ダイアログが表示されるので「Trust」をクリックして先に進みます。
image

初期画面が表示されたらライセンス入力します。
「LICENSE」の「Activation State」欄の「→」をクリックして、ライセンストークン入力画面に進みます。
image

Barracudaさんから払い出されたライセンストークンを入力して「OK」をクリックします。
image

Product Activation画面では、利用者の情報を入力します。
使用許諾のテキストはスクロールバーを最後まで移動させます。
Acceptチェックを設定後、「Activate」をクリックします。
image

無事登録が終わると、License StateとActivation Stateのアイコンが緑(もしくは橙)に変わります。これでライセンス登録は完了です。
image

サービスセグメント用サーバのデプロイ

serviceサブネット上にRDP接続確認用のWindows Serverを構築します。
Windows Server 2012でも2016でも構いません、サイズも適当で。
私は適度なパフォーマンスでお財布にも優しいA2_v2で作成しました。
image

本当はこちらのサーバにはパブリックIPアドレスは不要(NGFW経由でアクセスするため)なのですが、動作確認用に付与しています。

こちらのパブリックIPアドレスで念のためRDPして、プライベートIPアドレス等を確認しておきます。
10.0.1.4であることが確認できました。
image

NGFWの設定(フォワード設定)

Network Objectの作成

これは必須ではないのですが、先にNetwork Objectを作っておいて、これをFirewallルールのsource,destinationの指定に使います。

「CONFIGURATION」メニューのツリーから「Box>Virtual Servers>S1 0 [VFC2]>NGFW(Firewall)>Forwarding Rules」をクリックします。
右側のペインのサーバーをダブルクリックします。
image

Firewall ObjectsからNetworksをクリックして、既存のNetworkObject一覧が表示されたら、「Unlock」ボタンをクリックして編集準備に入ります。
右上の「+」をクリックしてNetwork Objectを追加していきます。
image

以下の画面例に従って、4つのNetwork Objectを作成しておきます。
image

Type Name 内容
Single IPv4 Networks NGFW-dmz-segment 10.0.0.0/24
Single IPv4 Networks NGFW-service-segment 10.0.1.0/24
Single IPv4 Address NGFW-ngf 10.0.0.4
Single IPv4 Address NGFW-svsv 10.0.1.4

Firewall定義の追加

同じくForwarding Rulesのメニューから「Access Rules」をクリック後、「+」ボタンをクリックして新規ルールを追加します。
image

追加ルールは

  • Dst NAT
  • ルール名は「internet-2-srv-rdp」
  • Sourceは「Internet」
  • Serviceは「RDP」
  • Destinationは「DHCP1 Local IP」
  • Target Listは「NGFW-svsv(10.0.1.4)」
  • Connection Methodは「Original Source IP」

を選択します。その他項目はデフォルトでOKです。
image

続いて既存のルールから「LAN-2-INTERNET」を選択した後に鉛筆アイコンをクリックして編集モードに入ります。
image

Sourceのアドレスレンジを「NGFW-service-segment」に設定して、「OK」で適用します。
こちらの設定は、まあしなくても大丈夫なのですが、インターネット向けの通信を許容する範囲を特定のサブネットに制限する場合に設定するものとなります。
image

先ほど新規で作成したルール「internet-2-srv-rdp」をクリックして「↑」でルール「BLOCKALL」の上まで移動させます。
image

最後に今までの設定を適用します。
「Send Changes」クリック後、「Activation Pending」が表示されるので、そちらもクリック。
確認ダイアログで「Activate」をクリックして適用します。
image

動作確認

それでは実際にNGFW経由でserviceサブネットのサーバ(SVSV01)にRDP接続してみます。
image

無事繋がりましたね。
image

NextGenAdmin.exeの画面からも「FIREWALL」→「Live」で実際に通信している一覧から、RDPの3389ポートで接続していることが確認できました。
image

続いてserviceサブネットのサーバ(SVSV01)からIEでBINGサイトを開いてみます。
image

こちらも直接インターネットに出て行かず、NGFWを経由して外部に出て行っていることがわかります。
image

おわりに

今回の記事ではサクっとAzure基盤とNGFWの構築の手順をお伝えしました。
Barracuda NextG Firewallの超基本的な機能しかつかっておりませんでしたが、Azure上で中難易度?で構築できることが分かったと思います。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0