Azure Firewall Basic은 저렴한 가격대에서 고객이 필요로 하는 필수 보호 SMB를 제공합니다. 이 솔루션은 처리량 요구 사항이 250Mbps 미만인 SMB 고객 환경에 권장됩니다. 250Mbps 이상의 처리량 요구 사항이 있는 환경에 표준 SKU 를 배포하고 고급 위협 방지를 위한 프리미엄 SKU 를 배포합니다.
네트워크 및 애플리케이션 트래픽 필터링은 전체 네트워크 보안 계획에서 중요한 부분입니다. 예를 들어 웹 사이트에 대한 액세스를 제한할 수 있습니다. 또는 액세스할 수 있는 아웃바운드 IP 주소와 포트를 제한할 수 있습니다.
Azure 서브넷에서 인바운드 및 아웃바운드 네트워크로의 액세스를 제어하는 한 가지 방법은 Azure Firewall 및 Firewall Policy를 사용하는 것입니다. Azure Firewall 및 방화벽 정책을 사용하여 다음을 구성할 수 있습니다.
- 서브넷에서 액세스할 수 있는 FQDN(정규화된 도메인 이름)을 정의하는 애플리케이션 규칙.
- 원본 주소, 프로토콜, 대상 포트 및 대상 주소를 정의하는 네트워크 규칙.
- DNAT 규칙은 서브넷에 대한 인바운드 인터넷 트래픽을 변환 및 필터링합니다.
네트워크 트래픽은 서브넷 기본 게이트웨이처럼 방화벽에 네트워크 트래픽을 라우팅할 경우 구성된 방화벽 규칙에 종속됩니다.
이 문서에서는 쉽게 배포할 수 있는 세 개의 서브넷이 있는 간소화된 단일 가상 네트워크를 만듭니다. Firewall Basic에는 관리 NIC로 구성해야 하는 필수 요구 사항이 있습니다.
- AzureFirewallSubnet - 방화벽은 이 서브넷에 있습니다.
- AzureFirewallManagementSubnet - 서비스 관리 트래픽용입니다.
- 워크로드-SN - 워크로드 서버는 이 서브넷에 있습니다. 이 서브넷의 네트워크 트래픽은 방화벽을 통해 이동합니다.
비고
Azure Firewall Basic은 Azure Firewall 표준 또는 프리미엄 SKU에 비해 트래픽 처리가 제한되어 있으므로 중단이 없도록 고객 트래픽을 Microsoft 관리 트래픽과 분리하려면 AzureFirewallManagementSubnet 이 필요합니다. 이 관리 트래픽은 Microsoft에서만 자동으로 발생하는 업데이트 및 상태 메트릭 통신에 필요합니다. 이 IP에는 다른 연결이 허용되지 않습니다.
프로덕션 배포의 경우 방화벽이 자체 가상 네트워크에 있는 허브 및 스포크 모델을 사용합니다. 워크로드 서버는 하나 이상의 서브넷이 있는 동일한 지역의 피어링된 가상 네트워크에 위치합니다.
이 문서에서는 다음 방법을 알아봅니다.
- 테스트 네트워크 환경 설정
- 기본 방화벽 및 기본 방화벽 정책 배포
- 기본 경로 만들기
- www.google.com에 대한 액세스를 허용하도록 애플리케이션 규칙 구성
- 외부 DNS 서버 액세스를 허용하도록 네트워크 규칙 구성
- 테스트 서버에 대한 원격 데스크톱을 허용하도록 NAT 규칙 구성
- 방화벽 테스트
원하는 경우 Azure PowerShell을 사용하여 이 절차를 완료할 수 있습니다.
필수 조건
Azure 구독이 없는 경우, 시작하기 전에 무료 계정을 만드십시오.
리소스 그룹 만들기
리소스 그룹에는 방법에 대한 모든 리소스가 포함됩니다.
Azure Portal에 로그인합니다.
리소스 그룹을 검색하여 선택한 다음 만들기를 선택합니다.
다음 값을 입력하거나 선택합니다.
설정 가치 구독 구독을 선택합니다. 리소스 그룹 이름 Test-FW-RG를 입력합니다. 지역 지역을 선택합니다. 만드는 다른 모든 리소스는 동일한 지역에 있어야 합니다. 검토 및 생성를 선택한 후 생성를 선택합니다.
방화벽 및 정책 배포
방화벽을 배포하고 연결된 네트워크 인프라를 만듭니다.
Azure Portal 메뉴 또는 홈 창에서 리소스 만들기를 선택합니다.
검색 상자에
firewall를 입력하고 Enter 키를 누르세요.방화벽을 선택한 다음 만들기을 선택합니다.
방화벽 만들기에서 다음 값을 입력하거나 선택합니다.
설정 가치 구독 구독을 선택합니다. 리소스 그룹 Test-FW-RG를 선택합니다. 이름 Test-FW01을 입력합니다. 지역 이전에 사용한 것과 동일한 위치를 선택합니다. 방화벽 계층 기본 방화벽 관리 이 방화벽 관리를 위해 Firewall Policy 사용 방화벽 정책 새로 추가를 선택합니다. fw-test-pol을 입력하고, 지역을 선택하고, 정책 계층이 기본값으로 설정되는지 확인합니다. 가상 네트워크 선택 새로 만들기를 선택합니다. 이름에 Test-FW-VN , 주소 공간 의 경우 10.0.0.0/16 , 서브넷 주소 공간의 경우 10.0.0.0/26 을 입력합니다. 공용 IP 주소 새로 추가를 선택하고 이름에 fw-pip를 입력합니다. 관리 - 서브넷 주소 공간 10.0.1.0/26 관리 공용 IP 주소 새로 추가를 선택하고 이름에 fw-mgmt-pip를 입력합니다. 다른 기본값을 적용한 다음 검토 + 만들기를 선택합니다.
요약을 검토한 다음, 만들기를 선택하여 방화벽을 만듭니다.
배포에는 몇 분 정도 걸립니다.
배포가 완료되면 Test-FW-RG 리소스 그룹으로 이동하여 Test-FW01 방화벽을 선택합니다.
방화벽 개인 및 공용 IP(fw-pip) 주소를 확인합니다. 나중에 이들 주소를 사용합니다.
워크로드 서버에 대한 서브넷 만들기
다음으로, 워크로드 서버용 서브넷을 만듭니다.
- Test-FW-RG 리소스 그룹으로 이동하여 Test-FW-VN 가상 네트워크를 선택합니다.
- 서브넷을 선택한 다음+ 서브넷을 선택합니다.
-
서브넷 이름에
Workload-SN를 입력하세요. 서브넷 주소 범위에 입력합니다10.0.2.0/24. - 저장을 선택합니다.
가상 머신 만들기
워크로드 가상 머신을 만들고 Workload-SN 서브넷에 배치합니다.
Azure Portal 메뉴 또는 홈에서 리소스 만들기를 선택합니다.
Windows Server 2019 Datacenter를 선택합니다.
가상 머신에 대해 다음 값을 입력합니다.
설정 가치 리소스 그룹 Test-FW-RG 가상 머신 이름 Srv-Work 지역 이전과 동일함 이미지 Windows Server 2019 Datacenter 관리자 사용자 이름 사용자 이름 입력 암호 암호 입력 인바운드 포트 규칙 의 퍼블릭 인바운드 포트 항목에서 없음을 선택합니다.
디스크 탭에서 기본값을 적용하고 다음: 네트워킹을 선택합니다.
가상 네트워크의 경우, Test-FW-VN을 선택합니다. 서브넷에 대해 Workload-SN을 선택합니다. 공용 IP에 대해 없음을 선택합니다.
관리를 통해 기본값을 적용한 다음, 모니터링 탭에서 부팅 진단에 대해 사용 안 함을 선택합니다. 검토 및 생성를 선택한 후 생성를 선택합니다.
배포가 완료되면 Srv-Work 리소스를 선택하고 나중에 사용할 개인 IP 주소를 기록해 둡니다.
기본 경로 만들기
Workload-SN 서브넷의 경우 방화벽을 통과하도록 아웃바운드 기본 경로를 구성합니다.
경로 테이블을 검색하여 선택한 다음 만들기를 선택합니다.
다음 값을 입력하거나 선택합니다.
설정 가치 구독 구독을 선택합니다. 리소스 그룹 Test-FW-RG를 선택합니다. 지역 이전에 사용한 것과 동일한 위치를 선택합니다. 이름 Firewall-route를 입력합니다.검토 및 생성를 선택한 후 생성를 선택합니다. 배포가 완료되면 리소스 그룹으로 이동을 선택하세요.
방화벽 경로 페이지에서 서브넷을선택한 다음 연결을 선택합니다.
가상 네트워크>Test-FW-VN을 선택합니다. 서브넷에 대해 Workload-SN을 선택합니다.
중요합니다
이 경로에 대한 Workload-SN 서브넷만 선택합니다. 그렇지 않으면 방화벽이 제대로 작동하지 않습니다.
확인을 선택합니다.
경로를 선택한 다음, 추가를 선택합니다. 다음 값을 입력하거나 선택합니다.
설정 가치 경로 이름 fw-dg주소 접두사 대상 IP 주소 대상 IP 주소/CIDR 범위 0.0.0.0/0다음 홉 유형 가상 어플라이언스 (Azure Firewall은 관리되는 서비스이지만 가상 어플라이언스는 여기에서 작동합니다.) 다음 홉 주소 앞에서 적어 두었던 방화벽 개인 IP 주소입니다. 추가를 선택합니다.
애플리케이션 규칙 구성
이 애플리케이션 규칙은 아웃바운드 액세스 권한을 www.google.com부여합니다.
Test-FW-RG를 열고 fw-test-pol 방화벽 정책을 선택합니다.
애플리케이션 규칙을 선택한 다음 규칙 컬렉션 추가를 선택합니다.
다음 값을 입력하거나 선택합니다.
설정 가치 이름 App-Coll01우선순위 200규칙 컬렉션 작업 허용 규칙에서 다음 값을 입력하거나 선택합니다.
설정 가치 이름 Allow-Google원본 유형 IP 주소 출처 10.0.2.0/24프로토콜:포트 http, https목적지 유형 FQDN 목적지 www.google.com추가를 선택합니다.
Azure Firewall은 기본적으로 허용되는 인프라 FQDN에 대한 기본 제공 규칙 컬렉션을 포함합니다. 이러한 FQDN은 플랫폼과 관련이 있으며 다른 용도로 사용할 수 없습니다. 자세한 내용은 인프라 FQDN을 참조하세요.
네트워크 규칙 구성
이 네트워크 규칙은 포트 53(DNS)에서 두 IP 주소에 대한 아웃바운드 액세스 권한을 부여합니다.
네트워크 규칙을 선택한 다음 규칙 컬렉션 추가를 선택합니다.
다음 값을 입력하거나 선택합니다.
설정 가치 이름 Net-Coll01우선순위 200규칙 컬렉션 작업 허용 규칙 컬렉션 그룹 DefaultNetworkRuleCollectionGroup 규칙에서 다음 값을 입력하거나 선택합니다.
설정 가치 이름 Allow-DNS원본 유형 IP 주소 출처 10.0.2.0/24프로토콜 UDP 대상 포트 53목적지 유형 IP 주소 목적지 209.244.0.3,209.244.0.4(Level3에서 작동하는 공용 DNS 서버)추가를 선택합니다.
DNAT 규칙 구성
이 규칙은 방화벽을 통해 원격 데스크톱을 Srv-Work 가상 머신에 연결합니다.
DNAT 규칙을 선택한 다음 규칙 컬렉션 추가를 선택합니다.
다음 값을 입력하거나 선택합니다.
설정 가치 이름 rdp우선순위 200규칙 컬렉션 그룹 DefaultDnatRuleCollectionGroup 규칙에서 다음 값을 입력하거나 선택합니다.
설정 가치 이름 rdp-nat원본 유형 IP 주소 출처 *프로토콜 TCP 대상 포트 3389목적지 유형 IP 주소 목적지 방화벽 공용 IP 주소(fw-pip) 번역된 주소 Srv-Work 개인 IP 주소 번역된 포트 3389추가를 선택합니다.
Srv-Work 네트워크 인터페이스에 대해 기본 및 보조 DNS 주소 변경
이 문서의 테스트를 위해 서버의 기본 및 보조 DNS 주소를 구성합니다. 이 구성은 일반적인 Azure Firewall 요구 사항이 아닙니다.
- Azure Portal에서 메뉴 또는 검색을 통해 리소스 그룹으로 이동한 다음 Test-FW-RG를 선택합니다.
- Srv-Work 가상 머신에 대해 네트워크 인터페이스를 선택합니다.
- 설정 아래에서 DNS 서버를 선택합니다.
- DNS 서버 아래에서 사용자 지정을 선택합니다.
-
209.244.0.3텍스트 상자와 다음 텍스트 상자에 입력209.244.0.4합니다. - 저장을 선택합니다.
- Srv-Work 가상 머신을 다시 시작합니다.
방화벽 테스트
이제 방화벽이 예상대로 작동하는지 테스트합니다.
원격 데스크톱을 방화벽 공용 IP 주소(fw-pip)에 연결하고 Srv-Work 가상 머신에 로그인합니다.
Microsoft Edge를 열고
https://www.google.com로 이동합니다. Google 홈페이지가 표시됩니다.http://www.microsoft.com으로 이동합니다.방화벽이 당신을 차단합니다.
이제 방화벽 규칙이 작동하는지 확인했습니다.
- 원격 데스크톱을 Srv-Work 가상 머신에 연결할 수 있습니다.
- 다른 모든 FQDN이 아닌 허용된 FQDN 하나만 찾아볼 수 있습니다.
- 구성된 외부 DNS 서버를 사용하여 DNS 이름을 확인할 수 있습니다.
리소스 정리
Firewall 리소스는 추가 테스트를 위해 보관해 두셔도 됩니다. 더 이상 필요하지 않은 경우 Test-FW-RG 리소스 그룹을 삭제하여 모든 방화벽 관련 리소스를 삭제합니다.