Azure Firewall FAQ

Azure Firewall은 Azure Virtual Network 리소스를 보호하는 관리되는 클라우드 기반 네트워크 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다. 구독 및 가상 네트워크 전반에 걸쳐 애플리케이션 및 네트워크 연결 정책을 중앙에서 만들고, 적용하고 기록할 수 있습니다.

Azure Firewall 기능에 대해 알아보려면 Azure Firewall 기능을 참조하세요.

어떤 가상 네트워크에도 Azure Firewall을 배포할 수 있지만 고객은 일반적으로 중앙 가상 네트워크에 배포한 후, 허브 및 스포크 모델에서 다른 가상 네트워크를 중앙 가상 네트워크에 피어링합니다. 그 후 피어링된 가상 네트워크에서 이 중앙의 방화벽 가상 네트워크를 가리키도록 기본 경로를 설정할 수 있습니다. 글로벌 VNet 피어링은 지원되지만 지역 전반의 잠재적 성능 및 대기 시간 문제로 인해 권장되지 않습니다. 최상의 성능을 위해 지역당 하나의 방화벽을 배포합니다.

이 모델의 장점은 다양한 구독에 걸쳐 여러 스포크 VNET을 중앙집중적으로 제어하는 기능입니다. 또한 각 VNet에 별도로 방화벽을 배포할 필요가 없으므로 비용도 절감됩니다. 비용 절감은 고객 트래픽 패턴을 기반으로 연결 피어링 비용에 대해 측정해야 합니다.

Azure Portal, PowerShell, REST API 또는 템플릿을 사용하여 Azure Firewall을 설정할 수 있습니다. 단계별 지침은 자습서: Azure Portal을 사용하여 Azure Firewall 배포 및 구성을 참조하세요.

Azure Firewall은 규칙 및 규칙 컬렉션을 지원합니다. 규칙 컬렉션은 동일한 작업 및 우선 순위를 공유하는 규칙 집합입니다. 규칙 컬렉션은 우선 순위에 따라 실행됩니다. DNAT 규칙 컬렉션은 더 높은 우선 순위의 네트워크 규칙 컬렉션으로, 애플리케이션 규칙 컬렉션보다 우선 순위가 높으며, 모든 규칙은 종료됩니다.

다음과 같은 세 가지 유형의 규칙 컬렉션이 있습니다.

• 애플리케이션 규칙: Virtual Network에서 액세스할 수 있는 FQDN(정규화된 도메인 이름)을 구성합니다.
• 네트워크 규칙: 원본 주소, 프로토콜, 대상 포트 및 대상 주소를 포함하는 규칙을 구성할 수 있습니다.
• NAT 규칙: 들어오는 인터넷 연결을 허용하도록 DNAT 규칙을 구성합니다.

자세한 내용은 Azure Firewall 규칙 구성을 참조하세요.

Azure Firewall은 인바운드 및 아웃바운드 필터링을 지원합니다. 인바운드 보호는 일반적으로 RDP, SSH 및 FTP 프로토콜과 같은 비 HTTP 프로토콜에 사용됩니다. 인바운드 HTTP 및 HTTPS 보호의 경우 Azure WAF(Web Application Firewall) 같은 웹 애플리케이션 방화벽이나 Azure Firewall 프리미엄의 TLS 오프로드 및 심층 패킷 검사 기능을 사용합니다.

예, Azure Firewall 기본은 강제 터널링을 지원합니다.

Azure Firewall은 방화벽 로그를 보고 분석할 수 있도록 Azure Monitor와 통합됩니다. 로그를 Log Analytics, Azure Storage 또는 Event Hubs로 전송할 수 있습니다. Log Analytics 또는 Excel, Power BI 등의 다양한 도구에서 전송된 로그를 분석할 수 있습니다. 자세한 내용은 자습서: Azure Firewall 로그 모니터링을 참조하세요.

Azure Firewall은 가상 네트워크 리소스를 보호하는 관리형 클라우드 기반 네트워크 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다. 가상 네트워크 및 분기 인터넷 연결에 대한 고급 보안을 제공하기 위해 SECaaS(타사 보안 서비스) 공급자와 미리 통합되어 있습니다. Azure 네트워크 보안에 대해 자세히 알아보려면 Azure 네트워크 보안을 참조하세요.

WAF(웹 애플리케이션 방화벽)는 일반적인 악용 및 취약점으로부터 웹 애플리케이션에 대해 중앙 집중식 인바운드 보호를 제공하는 Application Gateway의 기능입니다. Azure Firewall은 비HTTP/S 프로토콜(예: RDP, SSH, FTP)에 대해 인바운드 보호를 제공하고, 모든 포트 및 프로토콜에 아웃바운드 네트워크 수준 보호를 제공하고 아웃바운드 HTTP/S에 애플리케이션 수준 보호를 제공합니다.

Azure Firewall 서비스는 네트워크 보안 그룹 기능을 보완합니다. 그뿐 아니라 더 나은 "심층 방어" 네트워크 보안을 제공합니다. 네트워크 보안 그룹은 각 구독의 가상 네트워크 내 리소스에 대한 트래픽을 제한하는 분산 네트워크 레이어 트래픽 필터링을 제공합니다. Azure Firewall은 상태를 저장하는 서비스 형태의 완전한 중앙 집중식 네트워크 방화벽으로, 다양한 구독 및 가상 네트워크에 네트워크 및 애플리케이션 수준의 보호를 제공합니다.

Azure Firewall은 NIC 수준 NSG(볼 수 없음)를 통한 플랫폼 보호를 포함하여 여러 보호 계층이 있는 관리되는 서비스입니다. 서브넷 수준 NSG는 AzureFirewallSubnet에 필요하지 않으며 서비스 중단 방지를 위해 사용하지 않도록 설정됩니다.

PaaS 서비스에 안전하게 액세스하려면 서비스 엔드포인트를 사용하는 것이 좋습니다. Azure Firewall 서브넷에서 서비스 엔드포인트를 사용하도록 설정하고 연결된 스포크 가상 네트워크에서는 사용하지 않도록 설정할 수 있습니다. 이러한 방식으로 서비스 엔드포인트 보안과 모든 트래픽에 대한 중앙 로깅 기능의 이점을 모두 얻을 수 있습니다.

Azure Firewall 가격 책정을 참조하세요.

Azure PowerShell 할 당 취소 및 할당 메서드를 사용할 수 있습니다. 강제 터널링을 위해 구성된 방화벽의 경우 절차가 약간 다릅니다.

예를 들어 강제 터널링에 대해 구성되지 않은 방화벽의 경우:

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))

Set-AzFirewall -AzureFirewall $azfw

강제 터널링으로 구성된 방화벽의 경우 중지가 동일합니다. 그러나 시작하려면 관리 공용 IP를 방화벽에 다시 연결해야 합니다.

# Stop an existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall

보안 가상 허브 아키텍처의 방화벽의 경우 중지는 동일하지만 시작 시 가상 허브 ID를 사용해야 합니다.

# Stop and existing firewall

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall

$virtualhub = get-azvirtualhub -ResourceGroupName "RG name of vHUB" -name "vHUB name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Azfw RG Name"
$azfw.Allocate($virtualhub.Id)
$azfw | Set-AzFirewall

할당하고 할당 취소하면 방화벽 청구가 중지되고 그에 따라 시작됩니다.

초기 방화벽 배포 중에 가용성 영역을 구성하는 것이 좋습니다. 그러나 경우에 따라 배포 후 가용성 영역을 변경할 수 있습니다. 필수 조건은 다음과 같습니다.

• 방화벽은 VNet에 배포됩니다. 보안 가상 허브에 배포된 방화벽에서는 지원되지 않습니다.
• 방화벽 지역은 가용성 영역을 지원합니다.
• 연결된 모든 공용 IP 주소는 가용성 영역과 함께 배포됩니다. 각 공용 IP 주소의 속성 페이지에서 가용성 영역 필드가 존재하고 방화벽에 대해 구성한 것과 동일한 영역으로 구성되어 있는지 확인합니다.

가용성 영역 다시 구성은 방화벽을 다시 시작할 때만 수행할 수 있습니다. 방화벽을 할당한 후 Set-AzFirewall을 사용하여 방화벽을 시작하기 직전에 다음 Azure PowerShell을 사용하여 방화벽의 영역 속성을 수정합니다.

$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azFw.Zones=1,2,3
$azfw | Set-AzFirewall

Azure Firewall 서비스 제한 사항은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.

예. 허브 가상 네트워크의 Azure Firewall을 사용하여 두 스포크 가상 네트워크 간의 트래픽을 라우팅하고 필터링할 수 있습니다. 이 시나리오가 적절하게 작동하려면 각각의 스포크 가상 네트워크 서브넷에 Azure Firewall을 기본 게이트웨이로 가리키는 UDR이 포함되어 있어야 합니다.

예. 그러나 동일한 VNET의 서브넷 간에 트래픽을 리디렉션하도록 UDR을 구성하려면 더 많은 주의가 필요합니다. VNET 주소 범위를 UDR의 대상 접두사로 사용하면 충분하지만 이렇게 하면 Azure Firewall 인스턴스를 통해 한 머신의 모든 트래픽이 동일한 서브넷으로 경로 설정되는 문제도 있습니다. 이 문제를 방지하려면 VNET의 다음 홉을 사용하여 UDR에 해당 서브넷의 경로를 포함시킵니다. 이러한 경로 관리는 번거롭고 오류가 발생하기 쉬울 수 있습니다. 내부 네트워크 조각화에 대해 UDR이 필요 없는 네트워크 보안 그룹을 사용하는 방법이 권장됩니다.

IANA RFC 1918에 따라 대상 IP 주소가 개인 IP 범위인 경우 Azure Firewall은 SNAT를 지원하지 않습니다. 조직에서 개인 네트워크에 대해 공용 IP 주소 범위를 사용하면 Azure Firewall은 AzureFirewallSubnet의 방화벽 개인 IP 주소 중 하나에 트래픽을 SNAT합니다. 공용 IP 주소 범위를 SNAT하지 않도록 Azure 방화벽을 구성할 수 있습니다. 자세한 내용은 Azure Firewall SNAT 개인 IP 주소 범위를 참조하세요.

또한 애플리케이션 규칙으로 처리된 트래픽은 항상 SNAT로 처리됩니다. 로그에서 FQDN 트래픽에 대한 원래의 원본 IP 주소를 확인하려면 대상 FQDN이 포함된 네트워크 규칙을 사용할 수 있습니다.

강제 터널링은 새 방화벽을 만들 때 지원됩니다. 강제 터널링을 위해 기존 방화벽을 구성할 수는 없습니다. 자세한 내용은 Azure Firewall 강제 터널링을 참조하세요.

Azure Firewall에는 직접 인터넷 연결이 있어야 합니다. AzureFirewallSubnet이 BGP를 통해 온-프레미스 네트워크에 대한 기본 경로를 학습하는 경우 이 경로를 직접 인터넷 연결을 유지하기 위해 Internet으로 설정된 NextHopType 값을 통해 0.0.0.0/0 UDR로 재정의해야 합니다.

구성에 온-프레미스 네트워크에 대한 강제 터널링이 필요하고 인터넷 대상의 대상 IP 접두사를 확인할 수 있는 경우, AzureFirewallSubnet의 사용자 정의 경로를 통해 온-프레미스 네트워크를 사용하여 이러한 범위를 다음 홉으로 구성할 수 있습니다. 또는 BGP를 사용하여 이러한 경로를 정의할 수 있습니다.

예. 방화벽, VNet 및 공용 IP 주소는 모두 동일한 리소스 그룹에 있어야 합니다.

• URL - 별표는 오른쪽 또는 왼쪽 끝에 배치되면 작동합니다. 왼쪽에 있으면 FQDN의 일부가 될 수 없습니다.
• FQDN - 별표는 왼쪽 끝에 배치되면 작동합니다.
• 일반 - 왼쪽의 별표는 왼쪽 일치 항목에 문자 그대로 모든 것을 의미합니다. 즉, 여러 하위 항목기본 및/또는 잠재적으로 원치 않는 작업기본 이름 변형이 일치합니다. 다음 예제를 참조하세요.

예:

구성 변경이 적용될 때마다 Azure Firewall은 모든 기본 백 엔드 인스턴스를 업데이트하려고 합니다. 드물게 이러한 백 엔드 인스턴스 중 하나가 새 구성으로 업데이트되지 않고 업데이트 프로세스가 실패한 프로비전 상태로 중지될 수 있습니다. Azure Firewall은 여전히 작동하지만 적용된 구성이 일관되지 않은 상태일 수 있습니다. 일부 인스턴스에는 업데이트된 규칙이 설정된 이전 구성이 있습니다. 이 경우 작업이 성공하고 방화벽이 성공 프로비저닝 상태가 될 때까지 구성을 한 번 더 업데이트해 봅니다.

Azure Firewall은 활성-활성 구성의 여러 백 엔드 노드로 구성됩니다. 계획된 유지 관리를 위해 노드를 정상적으로 업데이트하는 연결 드레이닝 논리가 있습니다. 업데이트 중단 위험을 더욱 제한하기 위해 각 Azure 지역에 대해 비비즈니스 시간 동안 계획됩니다. 계획되지 않은 문제의 경우 새 노드를 인스턴스화하여 오류가 발생한 노드를 대체합니다. 새 노드에 대한 연결은 대개 오류 발생 시점부터 10초 이내에 다시 설정됩니다.

계획된 유지 관리를 위해 연결 드레이닝 논리가 백 엔드 노드를 정상적으로 업데이트합니다. Azure Firewall은 기존 연결이 종료될 때까지 90초 동안 대기 합니다. 처음 45초 동안 백 엔드 노드는 새 연결을 허용하지 않으며 다시 기본 들어오는 모든 패킷에 RST 응답합니다. 필요한 경우 클라이언트는 자동으로 다른 백 엔드 노드에 대한 연결을 다시 설정할 수 있습니다.

예. 방화벽 이름에는 50자 제한이 있습니다.

Azure Firewall은 규모에 따라 더 많은 가상 머신 인스턴스를 프로비저닝해야 합니다. /26 주소 공간을 통해 방화벽이 크기 조정을 수용할 수 있는 충분한 IP 주소를 갖게 됩니다.

아니요. Azure Firewall에는 /26보다 큰 서브넷이 필요하지 않습니다.

Azure Firewall의 초기 처리 용량은 2.5~3Gbps이며 표준 SKU의 경우 30Gbps, 프리미엄 SKU의 경우 100Gbps로 스케일 아웃됩니다. CPU 사용량, 처리량 및 연결 수에 따라 자동으로 확장됩니다.

평균 처리량 또는 CPU 사용량이 60%이거나 연결 사용량이 80%인 경우 Azure Firewall은 점차 확장됩니다. 예를 들어 최대 처리량의 60%에 도달하면 스케일 아웃되기 시작합니다. 최대 처리량 수는 방화벽 SKU 및 사용 가능한 기능에 따라 달라집니다. 자세한 내용은 Azure Firewall 성능을 참조하세요.

스케일 아웃에는 5 ~ 7분 정도 걸립니다.

성능 테스트를 수행하는 경우 10~15분 이상 테스트하고, 새로 만든 Firewall 노드를 활용하기 위해 새 연결을 시작해야 합니다.

연결에 유휴 시간 제한(4분 동안 활동 없음)이 있는 경우 Azure Firewall에서 TCP RST 패킷을 보내 연결을 정상적으로 종료합니다.

Azure Firewall VM 인스턴스 종료는 Virtual Machine Scale Set 스케일 인(스케일 다운) 중 또는 플릿 소프트웨어 업그레이드 중에 발생할 수 있습니다. 이러한 경우 새 들어오는 연결은 다시 기본 방화벽 인스턴스로 부하가 분산되며 다운 방화벽 인스턴스로 전달되지 않습니다. 45초 후에 방화벽은 TCP RST 패킷을 전송하여 기존 연결을 거부하기 시작합니다. 45초 후에 방화벽 VM이 종료됩니다. 자세한 내용은 Load Balancer TCP 다시 설정 및 유휴 시간 제한을 참조하세요.

아니요. Azure Firewall은 기본적으로 Active Directory 액세스를 차단합니다. 액세스를 허용하려면 AzureActiveDirectory 서비스 태그를 구성합니다. 자세한 내용은 Azure Firewall 서비스 태그를 참조하세요.

예, Microsoft Azure PowerShell을 통해 가능합니다.

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

TCP ping은 실제로는 대상 FQDN에 연결하지 않습니다. Azure Firewall은 이를 허용하는 명시적 규칙이 없는 한 대상 IP 주소/FQDN에 대한 연결을 허용하지 않습니다.

TCP ping은 허용되는 규칙이 없는 경우 TCP ping이 대상 IP 주소/FQDN에 도달하지 않더라도 방화벽 자체가 클라이언트의 TCP ping 요청에 응답하는 고유한 사용 사례입니다. 이 경우 이벤트가 기록되지 않습니다. 대상 IP 주소/FQDN에 대한 액세스를 허용하는 네트워크 규칙이 있는 경우 ping 요청이 대상 서버에 도달하고 해당 응답이 클라이언트로 다시 릴레이됩니다. 이 이벤트는 네트워크 규칙 로그에 기록됩니다.

예. 자세한 내용은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.

아니요, IP 그룹을 다른 리소스 그룹으로 이동하는 것은 현재 지원되지 않습니다.

네트워크 방화벽의 표준 동작은 TCP 연결을 활성 상태로 유지하고 활동이 없는 경우 즉시 종료하는 것입니다. Azure Firewall TCP 유휴 시간 제한은 4분입니다. 이 설정은 사용자가 구성할 수 없지만, Azure 지원에 문의하여 인바운드 및 아웃바운드 연결에 대한 유휴 시간 제한을 최대 30분까지 늘릴 수 있습니다. 동서 트래픽에 대한 유휴 시간 제한은 변경할 수 없습니다.

비활성 기간이 시간 제한 값보다 길면 TCP 또는 HTTP 세션이 유지되지 않을 수 있습니다. 일반적인 방법은 TCP 연결 유지를 사용하는 것입니다. 이 방법은 더 오랜 기간 동안 연결을 활성 상태로 유지합니다. 자세한 내용은 이러한 .NET 예제를 참조하세요.

예, 하지만 강제 터널링 모드에서 방화벽을 구성해야 합니다. 이 구성은 Azure Firewall에서 작업에 사용되는 공용 IP 주소로 관리 인터페이스를 만듭니다. 이 공용 IP 주소는 관리 트래픽을 위한 것입니다. Azure 플랫폼에서만 사용되며 다른 용도로는 사용할 수 없습니다. 테넌트 데이터 경로 네트워크는 공용 IP 주소 없이 구성할 수 있으며 인터넷 트래픽은 다른 방화벽으로 강제 터널화되거나 완전히 차단될 수 있습니다.

Azure Firewall은 고객 데이터를 배포된 지역 외부로 이동하거나 저장하지 않습니다.

예. 자세한 내용은 Logic Apps를 사용하여 Azure Firewall 및 Azure Firewall 정책 백업을 참조하세요.

아니요, 현재 vWAN(보안 가상 허브)의 Azure Firewall은 카타르에서 지원되지 않습니다.

Azure Firewall은 연결 수 제한이 있는 Azure Virtual Machines를 사용합니다. 가상 머신당 활성 연결의 총 수는 250k입니다.

방화벽당 총 제한은 가상 머신 연결 제한(250,000) x 방화벽 백 엔드 풀의 가상 머신 수입니다. Azure Firewall은 두 개의 가상 머신으로 시작하여 CPU 사용량 및 처리량에 따라 크기 조정됩니다.

Azure Firewall은 현재 유휴 대기 시간 없이 아웃바운드 SNAT 트래픽에 TCP/UDP 원본 포트를 사용합니다. TCP/UDP 연결이 닫혀 있으면 사용된 TCP 포트가 곧 연결에 사용할 수 있는 것으로 즉시 표시됩니다.

특정 아키텍처에 대한 해결 방법으로 Azure Firewall을 사용하여 NAT Gateway를 배포하고 확장하여 가변성 및 가용성을 위해 더 넓은 SNAT 포트 풀을 제공할 수 있습니다.

특정 NAT 동작은 방화벽의 구성 및 구성된 NAT 유형에 따라 달라집니다. 예를 들어 방화벽에는 인바운드 트래픽에 대한 DNAT 규칙과 방화벽을 통한 아웃바운드 트래픽에 대한 네트워크 규칙 및 애플리케이션 규칙이 있습니다.

자세한 내용은 Azure Firewall NAT 동작을 참조 하세요.