다음 문서에서는 Virtual WAN 라우팅 의도와 함께 인터넷 바인딩된 트래픽을 검사하는 데 사용할 수 있는 다양한 라우팅 패턴을 설명합니다.
배경
Virtual WAN 라우팅 의도를 사용하면 가상 WAN 허브에 배포된 보안 솔루션에 프라이빗 및 인터넷 트래픽을 보낼 수 있습니다.
다음 표에는 Virtual WAN이 인터넷 바인딩된 트래픽을 검사하고 라우팅하는 방법을 정의하는 두 가지 모드가 요약되어 있습니다.
| Mode | 인터넷 트래픽 |
|---|---|
| 직접 액세스 | 검사 후 인터넷으로 직접 라우팅됩니다. |
| 강제 터널 | 검사 후 지정된 다음 홉(온-프레미스, 네트워크 가상 어플라이언스(NVA) 또는 Virtual WAN 정적 경로에서 학습된 0.0.0.0/0 경로를 통해 라우팅됨). 온-프레미스, NVA 또는 Virtual Network 연결의 고정 경로에서 0.0.0.0/0 경로가 학습되지 않으면 인터넷 트래픽이 차단됩니다. |
Availability
이 섹션에서는 직접 액세스 및 강제 터널 모드의 가용성에 대해 설명합니다. 두 모드의 차이점을 이해하고 원하는 구성과 관련된 섹션을 확인합니다.
직접 액세스
다음 표에서는 인터넷 라우팅 정책을 구성하여 직접 액세스 로 인터넷 액세스를 보호하는 가용성 상태를 보여 줍니다.
| 보안 솔루션 | 상태 |
|---|---|
| Azure Firewall | 일반적으로 Azure 퍼블릭 및 Azure Government 클라우드에서 사용할 수 있습니다. |
| 가상 WAN 허브의 방화벽 NVA | 일반적으로 네트워크 가상 어플라이언 스를 사용할 수 있는 지역에서 사용할 수 있습니다. |
| Virtual WAN 허브의 서비스로서의 소프트웨어 | 일반적으로 Palo Alto Cloud NGFW를 사용할 수 있는 지역에서 사용할 수 있습니다. |
강제 터널
다음 표에서는 프라이빗 라우팅 정책을 구성하여 강제 터널링을 사용하여 인터넷 액세스를 보호하는 가용성 상태를 보여 줍니다.
중요합니다
강제 터널 모드에서 Virtual WAN 허브를 구성하는 것은 Azure Public에 배포됩니다. Azure Government에 대한 배포가 진행 중입니다. 지역 가용성에 대한 질문이 있는 경우 Microsoft 계정 팀에 문의 virtual-wan-forced-tunnel@microsoft.com 하세요.
| 보안 솔루션 | 상태 |
|---|---|
| Azure Firewall | 일반적으로 Azure Public에서 사용할 수 있습니다. |
| 가상 WAN 허브의 방화벽 NVA | 네트워크 가상 어플라이언스를 사용할 수 있는 지역의 공개 미리 보기입니다. |
| Virtual WAN 허브의 서비스로서의 소프트웨어 | Palo Alto Cloud NGFW를 사용할 수 있는 지역의 공개 미리 보기입니다. |
알려진 제한 사항
강제 터널 구성:
- 강제 터널에는 특정 라우팅 의도 구성이 필요합니다.
- Virtual WAN 허브에 배포된 보안 솔루션에 대한 DNAT(Destination-NAT)는 강제 터널 인터넷 라우팅 모드로 구성된 Virtual WAN 허브에는 지원되지 않습니다 . DNAT 트래픽에 대한 들어오는 연결은 인터넷에서 시작됩니다. 그러나 강제 터널 모드는 트래픽이 온프레미스 또는 NVA를 통해 강제로 반환되도록 합니다. 이 라우팅 패턴은 비대칭 라우팅을 초래합니다.
- Virtual WAN 허브와 동일한 Azure 지역에 배포된 Azure Storage 계정의 공용 IP 주소로 향하는 온-프레미스의 트래픽은 허브의 보안 솔루션을 우회합니다. 문제에 대한 자세한 내용은 Virtual WAN 알려진 문제를 참조하세요.
- 온-프레미스는 0.0.0.0/0보다 더 특정한 강제 터널 경로를 광고할 수 없습니다. 온-프레미스에서 0.0.0.0/1 및 128.0.0.0/1과 같은 보다 구체적인 경로를 보급하면 가상 허브에 통합된 Azure Firewall 또는 NVA에 대한 관리 트래픽이 차단될 수 있습니다.
- 0.0.0.0/0 경로가 Virtual Network 연결에서 정적 경로로 구성된 경우 Virtual Network 연결에 구성된 바이패스 다음 홉 설정 은 무시되고 바이패스/같음으로 설정된 것으로 간주됩니다. 즉, 구성된 0.0.0.0/0 정적 경로를 사용하여 Virtual Network 연결 내의 IP 주소로 향하는 트래픽은 가상 허브의 보안 어플라이언스에 의해 검사되고 스포크 Virtual Network의 대상 IP로 직접 라우팅됩니다. 트래픽은 정적 경로에 구성된 다음 홉 IP를 우회합니다. 이 라우팅 동작에 대한 자세한 예는 바이패스 다음 홉 IP가 사용하도록 설정된 트래픽 동작을 바이패스 다음 홉 IP 문서에서 참조하세요.
- ExpressRoute에서 학습된 기본 경로는 다른 ExpressRoute 회로에 보급할 수 없습니다. 즉, Virtual WAN을 구성하여 인터넷 트래픽을 한 ExpressRoute 회로에서 다른 ExpressRoute 회로로 라우팅하여 나갈 수 없습니다.
- 온-프레미스에서 학습된 0.0.0.0/0 경로가 없거나 스포크 네트워크의 NVA를 가리키도록 구성된 고정 경로가 없는 경우, 보안 솔루션의 유효 경로는 다음 홉 인터넷으로 0.0.0.0/0을 잘못 표시합니다. 온-프레미스에서 명시적 0.0.0.0/0 학습 없이 강제 터널 모드가 구성되거나 정적 경로로 구성된 경우 인터넷 트래픽이 허브의 보안 솔루션으로 전달되지 않으므로 유효 경로에는 0.0.0.0/0 경로가 포함되어 서는 안 됩니다.
직접 액세스:
- Virtual WAN 허브와 동일한 Azure 지역에 배포된 Azure Storage 계정의 공용 IP 주소로 향하는 온-프레미스의 트래픽은 허브의 보안 솔루션을 우회합니다. 이 제한 사항 및 잠재적 완화에 대한 자세한 내용은 Virtual WAN 알려진 문제를 참조하세요.
포털 문제:
- 허브가 강제 터널 모드로 구성된 경우 Azure Firewall Manager는 인터넷 트래픽을 연결 보안으로 제대로 표시하지 않습니다. 또한 Azure Firewall Manager는 연결의 보안 상태를 변경할 수 없습니다. 보안 상태를 수정하려면 인터넷 보안 사용 설정을 변경하거나 연결에서 기본 경로 설정을 전파합니다.
직접 액세스
Virtual WAN이 트래픽을 인터넷에 직접 라우팅하도록 구성된 경우 Virtual WAN은 다음 홉 인터넷을 사용하여 보안 솔루션에 정적 기본 0.0.0.0/0 경로를 적용합니다. 이 구성은 보안 솔루션이 트래픽을 인터넷으로 직접 라우팅하도록 하는 유일한 방법입니다.
이 정적 기본 경로는 온-프레미스, NVA 또는 스포크 가상 네트워크에서 정적 경로로 구성된 기본 경로보다 우선순위가 높습니다. 그러나 온-프레미스에서 보급된 보다 구체적인 접두사(0.0.0.0/1 및 128.0.0.0/1)는 가장 긴 접두사 일치로 인해 인터넷 트래픽의 우선 순위가 더 높은 것으로 간주됩니다.
유효한 경로
Virtual WAN 허브에 프라이빗 라우팅 정책을 구성한 경우 다음 홉 보안 솔루션에서 유효 경로를 볼 수 있습니다. 직접 액세스로 구성된 배포의 경우 다음 홉 보안 솔루션의 유효 경로에는 다음 홉 인터넷이 있는 0.0.0.0/0 경로가 포함됩니다.
강제 터널
Virtual WAN이 강제 터널 모드로 구성된 경우 허브 라우팅 기본 설정 에 따라 Virtual WAN 허브에서 선택한 가장 높은 우선 순위 기본 경로는 보안 솔루션에서 인터넷 트래픽을 전달하는 데 사용됩니다.
강제 터널링은 인터넷 트래픽이 인터넷으로 직접 라우팅되는 대신 지정된 다음 홉으로 라우팅될 것으로 예상하도록 Virtual WAN에 지시합니다. 따라서 온-프레미스에서 동적으로 학습하거나 Virtual Network 연결에서 정적 경로로 구성된 기본 경로가 없는 경우 인터넷 트래픽은 Azure 플랫폼에서 삭제 되고 허브의 보안 솔루션으로 전달되지 않습니다.
Virtual WAN 허브의 보안 솔루션은 백업 경로로 트래픽을 인터넷에 직접 전달 하지 않습니다 .
기본 경로의 지원되는 원본
비고
0.0.0.0/0은 Virtual Hubs 간에 전파 되지 않습니다. 즉, 강제 터널을 통해 인터넷 액세스를 위해 구성된 Virtual Hubs에 로컬 연결을 사용해야 합니다.
기본 경로는 다음 원본에서 확인할 수 있습니다.
- ExpressRoute
- 사이트 및 사이트 간의 VPN(동적 또는 정적)
- 허브의 NVA
- 스포크의 NVA
- Virtual Network 연결의 고정 경로(고정 경로 전파가 켜기로 설정됨)
기본 경로는 다음과 같은 방법으로 구성할 수 없습니다 .
- defaultRouteTable에서 다음 홉으로 Virtual Network 연결을 사용하는 정적 경로
유효한 경로
강제 터널로 구성된 배포의 경우 다음 홉 보안 솔루션의 유효 경로는 온-프레미스에서 학습하거나 Virtual Network 연결에서 정적 경로로 구성된 선택된 기본 경로로 다음 홉이 있는 0.0.0.0/0 경로를 포함합니다.
Configurations
다음 섹션에서는 직접 액세스 또는 강제 터널 모드에서 인터넷 트래픽을 라우팅하는 데 필요한 구성에 대해 설명합니다.
Virtual WAN 라우팅 구성
비고
강제 터널 인터넷 트래픽 라우팅 모드는 프라이빗 라우팅 정책으로 라우팅 의도를 활용하는 Virtual WAN 허브 에만 사용할 수 있습니다. 라우팅 의도를 사용하지 않거나 인터넷 라우팅 정책을 사용하지 않는 허브는 직접 액세스 모드만 활용할 수 있습니다.
다음 표에는 두 가지 인터넷 트래픽 라우팅 모드를 사용하여 트래픽을 라우팅하는 데 필요한 구성이 요약되어 있습니다.
| Mode | 프라이빗 라우팅 정책 | 추가 접두사 | 인터넷 라우팅 정책 |
|---|---|---|---|
| 직접 액세스 | 선택적 | 필요한 항목 없음 | 필수 |
| 강제 터널 | 필수 | 0.0.0.0/0 | 아니오 |
라우팅 목적 포털에서의 구성 단계
비고
Azure Portal은 유효성 검사를 수행하여 배포가 강제 터널 모드 또는 직접 액세스 모드인지 확인합니다. 즉, 강제 터널 모드를 사용하도록 설정하면 인터넷 정책을 직접 추가할 수 없습니다. 강제 터널 모드에서 직접 액세스 모드로 마이그레이션하려면 다음 단계를 순서대로 실행합니다. 추가 접두사에서 0.0.0.0/0 정적 경로를 제거하고 인터넷 정책을 사용하도록 설정하고 저장합니다.
다음 섹션에서는 Virtual WAN 라우팅 의도 및 정책 Azure Portal을 사용하여 강제 터널 및 직접 액세스를 구성하도록 라우팅 의도를 구성하는 방법을 설명합니다. 이러한 단계는 Virtual WAN 허브에 배포된 Azure Firewall, 네트워크 가상 어플라이언스 또는 서비스로서의 소프트웨어 솔루션에 적용됩니다.
- 보안 솔루션을 사용하여 배포된 가상 허브로 이동합니다.
- 라우팅에서 라우팅 의도 및 라우팅 정책을 선택합니다.
강제 터널
-
프라이빗 트래픽에 대한 다음 단계 리소스로 선호하는 보안 솔루션을 선택하세요.
인터넷 트래픽에 대해 아무것도 선택하지 마세요.
-
추가 접두사에 0.0.0.0/0 경로를 추가합니다.
- 구성을 저장합니다.
직접 액세스
-
인터넷 트래픽에 대한 다음 홉 리소스로 선호하는 보안 솔루션을 선택하십시오. 필요에 따라, 프라이빗 트래픽에 대한 다음 홉 리소스로 선호하는 보안 솔루션을 선택합니다.
- 구성을 저장합니다.
Azure Firewall Manager의 구성 단계
비고
Azure Portal은 유효성 검사를 수행하여 배포가 강제 터널 모드 또는 직접 액세스 모드인지 확인합니다. 즉, 강제 터널 모드를 사용하도록 설정하면 인터넷 정책을 직접 추가할 수 없습니다. 강제 터널 모드에서 직접 액세스 모드로 마이그레이션하려면 다음 단계를 순서대로 실행합니다. 추가 접두사에서 0.0.0.0/0 정적 경로를 제거하고 인터넷 정책을 사용하도록 설정하고 저장합니다.
다음 섹션에서는 Virtual WAN 라우팅 의도 및 정책 Azure Firewall Manager를 사용하여 강제 터널 및 직접 액세스를 구성하도록 라우팅 의도를 구성하는 방법을 설명합니다. 이러한 단계는 Virtual WAN 허브의 Azure Firewall에 만 적용됩니다.
- Virtual WAN 허브로 이동합니다.
- 보안에서 Azure Firewall 및 Firewall Manager를 선택하고 Virtual WAN 허브를 선택합니다.
- 설정에서 보안 구성을 선택합니다.
강제 터널
- 프라이빗 트래픽을 Azure Firewall을 통해 보내고 인터 허브를 사용으로 설정합니다.
- 추가 접두사에 0.0.0.0/0 경로를 추가합니다.
- 구성을 저장합니다.
직접 액세스
- 인터넷 트래픽을 Azure Firewall로 설정하고, 허브 간을 사용하도록 설정합니다. 필요에 따라 프라이빗 트래픽을 Azure Firewall을 통해 보내도록 설정하고, 허브 간 옵션을 사용으로 설정합니다.
- 구성을 저장합니다.
기타 구성 방법론(Terraform, CLI, PowerShell, REST, Bicep)
다음 JSON 구성은 직접 액세스 또는 강제 터널 모드에 대해 구성된 Virtual WAN 라우팅 구문의 샘플 Azure Resource Manager 리소스 표현을 나타냅니다. 이러한 JSON 구성은 특정 환경/구성에 맞게 사용자 지정할 수 있으며 올바른 Terraform, CLI, PowerShell 또는 Bicep 구성을 파생하는 데 사용할 수 있습니다.
강제 터널
다음 예제 JSON은 프라이빗 라우팅 정책으로 구성된 샘플 라우팅 의도 리소스를 보여줍니다.
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
다음 예제 JSON은 프라이빗 라우팅 정책 경로와 기본 경로 테이블에 추가 접두사(0.0.0.0/0)가 추가된 샘플 기본 경로 테이블 구성을 보여 줍니다.
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "private_traffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
직접 액세스
다음 예제 JSON은 인터넷 및 프라이빗 라우팅 정책 둘 다로 구성된 샘플 라우팅 의도 리소스를 보여줍니다.
{
"name": "<>",
"id": "/subscriptions/<>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/routingIntent/<>",
"properties": {
"routingPolicies": [
{
"name": "PrivateTraffic",
"destinations": [
"PrivateTraffic"
],
"nextHop": "<security solution resource URI>"
},
{
"name": "PublicTraffic",
"destinations": [
"Internet"
],
"nextHop": "<security solution resource URI>"
}
]
},
"type": "Microsoft.Network/virtualHubs/routingIntent"
}
다음 예제 JSON은 프라이빗 및 인터넷 라우팅 정책 경로를 모두 사용하는 샘플 기본 경로 테이블 구성을 보여줍니다.
{
"name": "defaultRouteTable",
"id": "/subscriptions/<subscriptionID>/resourceGroups/<>/providers/Microsoft.Network/virtualHubs/<>/hubRouteTables/defaultRouteTable",
"properties": {
"routes": [
{
"name": "_policy_PrivateTraffic",
"destinationType": "CIDR",
"destinations": [
"10.0.0.0/8",
"172.16.0.0/12",
"192.168.0.0/16"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
},
{
"name": "_policy_PublicTraffic",
"destinationType": "CIDR",
"destinations": [
"0.0.0.0/0"
],
"nextHopType": "ResourceId",
"nextHop": "<security solution resource URI>"
}
],
"labels": [
"default"
]
},
"type": "Microsoft.Network/virtualHubs/hubRouteTables"
}
연결 구성 기본 경로 학습(0.0.0.0/0)
Virtual WAN을 통해 인터넷에 액세스해야 하는 연결의 경우 인터넷 보안 사용 또는 기본 경로 전파 가 true로 설정되어 있는지 확인합니다. 이 구성은 Virtual WAN에 해당 연결에 대한 기본 경로를 보급하도록 지시합니다.
강제 터널 허브에 대한 특별 참고 사항
강제 터널 모드로 구성된 허브의 경우, 온-프레미스 ExpressRoute 또는 VPN 및 Virtual WAN에 0.0.0.0/0 경로를 알리는 Virtual Network 연결에서 인터넷 보안 사용 또는 기본 경로 전파가 false로 설정되어 있는지 확인합니다. 이렇게 하면 Virtual WAN이 온-프레미스에서 0.0.0.0/0 경로를 제대로 학습하고 예기치 않은 라우팅 루프를 방지할 수 있습니다.
보안 솔루션 구성
다음 섹션에서는 직접 액세스 및 강제 터널 라우팅 모드에 대한 보안 솔루션 구성의 차이점을 설명합니다.
직접 액세스
다음 섹션에서는 Virtual WAN 허브 의 보안 솔루션이 패킷을 인터넷에 직접 전달할 수 있도록 하는 데 필요한 구성 고려 사항에 대해 설명합니다.
Azure Firewall:
- 모든 비 RFC1918 네트워크 트래픽 구성에 대해 SNAT(Source-NAT)가 설정되었는지 확인합니다.
- Azure Firewall 배포에 충분한 공용 IP 주소가 할당되도록 하여 SNAT 포트 고갈을 방지합니다.
SaaS 솔루션 또는 통합 NVA:
다음 권장 사항은 일반적인 기준 권장 사항입니다. 전체 지침은 공급자에게 문의하세요.
- 공급자 설명서를 참조하여 다음을 확인합니다.
- NVA 또는 SaaS 솔루션의 내부 경로 테이블에는 외부 인터페이스에서 인터넷 트래픽을 전달하도록 0.0.0.0/0이 올바르게 구성되어 있습니다.
- SNAT는 모든 비 RFC 1918 네트워크 트래픽 구성에 대해 NVA 또는 SaaS 솔루션에 대해 구성됩니다.
- SNAT 포트 소모를 방지하기 위해 NVA 또는 SaaS 배포에 충분한 공용 IP 주소가 할당되었는지 확인합니다.
강제 터널
다음 섹션에서는 Virtual WAN 허브 의 보안 솔루션이 0.0.0.0/0 경로를 가상 WAN으로 보급하는 온-프레미스 또는 NVA에 인터넷 바인딩 패킷을 전달할 수 있도록 하는 데 필요한 구성 고려 사항을 설명합니다.
Azure Firewall:
-
소스 NAT(SNAT) 구성.
- 인터넷 트래픽의 원래 원본 IP 유지: 모든 트래픽 구성에 대해 SNAT 를 해제 합니다.
- 방화벽 인스턴스 개인 IP로의 SNAT 인터넷 트래픽: RFC 1918 외의 트래픽 범위에 대해서는 SNAT를 활성화합니다.
SaaS 솔루션 또는 통합 NVA:
다음 권장 사항은 일반적인 기준 권장 사항입니다. 전체 지침은 공급자에게 문의하세요.
- 공급자 설명서를 참조하여 다음을 확인합니다.
- NVA 또는 SaaS 솔루션의 내부 경로 테이블에는 내부 인터페이스에서 인터넷 트래픽을 전달하도록 0.0.0.0/0이 올바르게 구성되어 있습니다.
- 내부 경로 테이블 구성은 관리 트래픽 및 VPN/SDWAN 트래픽이 외부 Interace에서 라우팅되도록 합니다.
- 트래픽의 원래 원본 IP를 보존해야 하는지 여부에 따라 SNAT를 적절하게 구성합니다.