Azure Firewall에는 NAT 규칙, 네트워크 규칙 및 애플리케이션 규칙이 있습니다. 규칙은 규칙 유형에 따라 처리됩니다.
네트워크 규칙 및 애플리케이션 규칙
네트워크 규칙이 가장 먼저 적용되고, 다음으로 애플리케이션 규칙이 적용됩니다. 규칙은 종료됩니다. 따라서 네트워크 규칙에서 일치 항목이 발견된 경우 애플리케이션 규칙이 처리되지 않습니다. 일치하는 네트워크 규칙이 없고 패킷 프로토콜이 HTTP/HTTPS인 경우 애플리케이션 규칙은 패킷을 평가합니다. 여전히 일치하는 항목이 없으면 인프라 규칙 컬렉션과 비교하여 패킷이 평가됩니다. 여전히 일치하는 항목이 없으면 패킷이 기본값으로 거부됩니다.
처리 논리 예시
예시 시나리오: 세 개의 규칙 컬렉션 그룹이 Azure Firewall 정책에 있습니다. 각 규칙 컬렉션 그룹에는 일련의 애플리케이션 및 네트워크 규칙이 있습니다.
다이어그램에서 네트워크 규칙이 먼저 실행된 다음, Azure Firewall 규칙 처리 논리로 인해 네트워크 규칙이 애플리케이션 규칙 전에 항상 실행 우선 순위를 갖도록 하는 애플리케이션 규칙이 실행됩니다.
NAT 규칙
Azure Portal을 사용하여 Azure Firewall DNAT를 통해 인바운드 트래픽 필터링에 설명된 대로 DNAT(Destination Network Address Translation)를 구성하여 인바운드 인터넷 연결을 사용할 수 있습니다. NAT 규칙은 네트워크 규칙보다 우선 적용됩니다. 일치하는 항목이 발견되면 트래픽은 DNAT 규칙에 따라 변환되고 방화벽에서 허용됩니다. 따라서 트래픽은 다른 네트워크 규칙에 의해 더 이상 처리되지 않습니다. 보안상의 이유로, 네트워크에 대한 DNAT 액세스를 허용하고 와일드카드를 사용하지 않도록 하기 위해 특정 인터넷 원본을 추가하는 것이 좋습니다.
인바운드 연결에는 애플리케이션 규칙이 적용되지 않습니다. 따라서 인바운드 HTTP/S 트래픽을 필터링하려면 WAF(Web Application Firewall)를 사용해야 합니다. 자세한 내용은 Azure Web Application Firewall이란?을 참조하세요.
상속된 규칙
부모 정책에서 상속된 네트워크 규칙 컬렉션에는 항상 새 정책의 일부로 정의된 네트워크 규칙 컬렉션보다 우선 순위가 먼저 지정됩니다. 애플리케이션 규칙 컬렉션에도 동일한 논리가 적용됩니다. 그러나 네트워크 규칙 컬렉션은 상속과 관계없이 항상 애플리케이션 규칙 컬렉션보다 먼저 처리됩니다.
기본값으로 정책은 부모 정책 위협 인텔리전스 모드를 상속합니다. 정책 설정 페이지에서 위협 인텔리전스 모드를 다른 값으로 설정하여 이 동작을 재정의할 수 있습니다. 더 엄격한 값으로만 재정의할 수 있습니다. 예를 들어 부모 정책이 경고만으로 설정된 경우 이 로컬 정책을 경고 및 거부로 구성할 수 있지만 끌 수는 없습니다.