仮想ハブは、他のリソースからの接続を可能にする Microsoft が管理する仮想ネットワークです。 Azure portal で Virtual WAN から仮想ハブを作成する場合は、そのコンポーネントとして仮想ハブ VNet とゲートウェイ (省略可能) も作成します。
セキュリティ保護付き仮想ハブは、Azure Firewall Manager によって構成された関連するセキュリティ ポリシーとルーティング ポリシーを持つ Azure Virtual WAN ハブです。 セキュリティ保護付き仮想ハブを使用すると、トラフィック ガバナンスと保護のためのネイティブ セキュリティ サービスを使用して、ハブアンドスポーク アーキテクチャと推移的アーキテクチャを簡単に作成できます。 同じリージョン内またはリージョン間で、同じ Virtual WAN リソースの一部として、複数のセキュリティで保護されたハブをデプロイできます。 Azure portal で Firewall Manager を使用して、より安全なハブを追加します。
セキュリティで保護された仮想ハブを使用して、仮想ネットワーク (V2V)、ブランチ間 (B2B)、ブランチ オフィス (B2V)、インターネットへのトラフィック (B2I/V2I) 間のトラフィックをフィルター処理できます。 セキュリティ保護付き仮想ハブには自動ルーティング機能があります。 ファイアウォールを介してトラフィックをルーティングするために、独自の UDR (ユーザー定義ルート) を構成する必要はありません。
Important
1 つの Virtual WAN ハブ内であっても、ハブ間通信とブランチ間通信をセキュリティで保護するように Virtual WAN ルーティングインテントを構成する必要があります。 ルーティング インテントについて詳しくは、ルーティング インテントのドキュメントをご覧ください。
Azure Firewall、サードパーティのサービスとしてのセキュリティ (SECaaS) プロバイダー、またはその両方など、ネットワーク トラフィックを保護および管理するために必要なセキュリティ プロバイダーを選択することができます。 詳細については、「Azure Firewall Manager とは」を参照してください。
注
パブリック IP アドレスの制限
セキュリティで保護された Virtual Hub Azure Firewall では、標準デプロイ用のファイアウォールあたり最大 80 個のパブリック IP アドレスがサポートされます。 この制限を超えると、Azure Firewall と関連するファイアウォール ポリシーの更新が妨げられます。
Bring Your Own Public IP (BYOPIP) (プレビュー) を使用したセキュリティで保護された仮想ハブのデプロイでは、パブリック IP アドレスの制限を最大 250 まで増やすことができます。
セキュリティ保護付き仮想ハブを作成する
Azure portal で Firewall Manager を使用すると、セキュリティで保護された新しい仮想ハブを作成したり、Azure Virtual WAN を使用して以前に作成した既存の仮想ハブを変換したりできます。
次のステップ
- Firewall Manager のアーキテクチャ オプションを確認する: Azure Firewall Manager のアーキテクチャのオプション
- セキュリティ保護付き仮想ハブを作成し、それを使用してハブアンドスポーク ネットワークを保護および管理する方法については、「チュートリアル: Azure portal を使用して Azure Firewall Manager でクラウド ネットワークをセキュリティで保護する」を参照してください。
- Azure ネットワーク セキュリティの詳細を確認します。