자습서: Azure Firewall Manager를 사용하여 가상 허브 보호

Azure Firewall Manager를 사용하여 개인 IP 주소, Azure PaaS 및 인터넷으로 향하는 클라우드 네트워크 트래픽을 보호하는 보안 가상 허브를 만들 수 있습니다. 방화벽에 대한 트래픽 라우팅이 자동화되므로 UDR(사용자 정의 경로)을 만들 필요가 없습니다.

Firewall Manager는 허브 가상 네트워크 아키텍처도 지원합니다. 보안 가상 허브 및 허브 가상 네트워크 아키텍처 유형을 비교하려면 Azure Firewall Manager 아키텍처 옵션이란?을 참조하세요.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

• 스포크 가상 네트워크 만들기
• 보안 가상 허브 만들기
• 허브 및 스포크 가상 네트워크 연결
• 허브로 트래픽 라우팅
• 서버 배포
• 방화벽 정책 만들기 및 허브 보안 설정
• 방화벽 테스트

Important

이 자습서의 프로시저에서는 Azure Firewall Manager를 사용하여 새 Azure Virtual WAN 보안 허브를 만듭니다. Firewall Manager를 사용하여 기존 허브를 업그레이드할 수 있지만 Azure Firewall에 대해 Azure 가용성 영역을 구성할 수는 없습니다. Virtual WAN 허브에서 Azure Firewall 구성에 설명된 대로 Azure Portal을 사용하여 기존 허브를 보안 허브로 변환할 수도 있습니다. 그러나 Azure Firewall Manager와 마찬가지로 가용성 영역을 구성할 수 없습니다. 기존 허브를 업그레이드하고 Azure Firewall에 대한 가용성 영역을 지정하려면 자습서: Azure PowerShell을 사용하여 가상 허브 보안의 업그레이드 프로시저를 따라야 합니다(권장).

필수 조건

Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.

허브 및 스포크 아키텍처 만들기

먼저, 서버를 배치할 수 있는 스포크 가상 네트워크를 만듭니다.

스포크 가상 네트워크 및 서브넷 두 개 만들기

두 가상 네트워크에는 각각 워크로드 서버가 있으며 방화벽으로 보호됩니다.

1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
2. 가상 네트워크를 검색하고 선택하고 만들기를 선택합니다.
3. 구독의 경우 사용자의 구독을 선택합니다.
4. 리소스 그룹에 대해 새로 만들기를 선택하고, 이름에 fw-manager-rg를 입력하고, 확인을 선택합니다.
5. 가상 네트워크 이름의 경우 Spoke-01을 입력합니다.
6. 지역에 대해 미국 동부를 선택합니다.
7. 다음을 선택합니다.
8. 보안 페이지에서 다음을 선택합니다.
9. IPv4 주소 공간 추가에서 기본값인 10.0.0.0/16을 적용합니다.
10. 서브넷에서 기본값을 선택합니다.
11. 이름에 Workload-01-SN을 입력합니다.
12. 시작 주소의 경우 10.0.1.0/24를 입력합니다.
13. 저장을 선택합니다.
14. 검토 + 만들기를 선택합니다.
15. 만들기를 선택합니다.

이 절차를 반복하여 fw-manager-rg 리소스 그룹에 유사한 다른 가상 네트워크를 만듭니다.

이름: Spoke-02
주소 공간: 10.1.0.0/16
서브넷 이름: Workload-02-SN
시작 주소: 10.1.1.0/24

보안 가상 허브 만들기

Firewall Manager를 사용하여 보안 가상 허브를 만듭니다.

1. Azure Portal 홈 페이지에서 모든 서비스를 선택합니다.

2. 검색 상자에 Firewall Manager를 입력하고 Firewall Manager를 선택합니다.

3. 배포 아래의 방화벽 관리자 페이지에서 가상 허브를 선택합니다.

4. 방화벽 관리자 | 가상 허브 페이지에서 새 보안 가상 허브 만들기를 선택합니다.

   

5. 구독을 선택합니다.

6. 리소스 그룹에 대해 fw-manager-rg를 선택합니다.

7. 지역에 대해 미국 동부를 선택합니다.

8. 보안 가상 허브 이름에 Hub-01을 입력합니다.

9. Hub 주소 공간에 10.2.0.0/16을 입력합니다.

10. 새 vWAN을 선택합니다.

11. 새 가상 WAN 이름에 Vwan-01을 입력합니다.

12. 형식에서 표준을 선택합니다.

13. 신뢰할 수 있는 보안 파트너를 사용하도록 설정하기 위해 VPN Gateway 포함 확인란을 취소된 상태로 둡니다.

    

14. 다음: Azure Firewall을 선택합니다.

15. 기본 Azure Firewall사용 설정을 수락합니다.

16. Azure Firewall 계층의 경우 표준을 선택합니다.

17. 원하는 가용성 영역 조합을 선택합니다.

Important

Virtual WAN은 허브 내에서 사용할 수 있는 허브 및 서비스 컬렉션입니다. 필요한 만큼 Virtual WAN을 배포할 수 있습니다. Virtual WAN 허브에는 VPN, ExpressRoute 등과 같은 여러 서비스가 있습니다. 지역이 가용성 영역을 지원하는 경우 이러한 각 서비스는 Azure Firewall을 제외한 가용성 영역에 자동으로 배포됩니다. Azure Virtual WAN 복원력에 맞추려면 사용 가능한 모든 가용성 영역을 선택해야 합니다.

16. 공용 IP 주소 수 지정 텍스트 상자에 1을 입력합니다.

17. 방화벽 정책에서 기본 거부 정책이 선택되어 있는지 확인합니다. 이 문서의 뒷부분에서 설정을 구체화합니다.

18. 다음: 보안 파트너 공급자를 선택합니다.

    

19. 기본 신뢰할 수 있는 보안 파트너사용 안 함 설정을 수락하고 다음: 검토 + 만들기를 선택합니다.

20. 만들기를 선택합니다.

    

참고 항목

보안 가상 허브를 만드는 데 최대 30분이 소요될 수 있습니다.

배포가 완료된 후 방화벽 공용 IP 주소를 찾을 수 있습니다.

1. Firewall Manager를 엽니다.
2. 가상 허브를 선택합니다.
3. hub-01을 선택합니다.
4. AzureFirewall_Hub-01을 선택합니다.
5. 나중에 사용할 공용 IP 주소를 적어둡니다.

허브 및 스포크 가상 네트워크 연결

이제 허브 및 스포크 가상 네트워크를 피어링할 수 있습니다.

1. fw-manager-rg 리소스 그룹을 선택한 다음, Vwan-01 가상 WAN을 선택합니다.

2. 연결에서 가상 네트워크 연결을 선택합니다.

   

3. 연결 추가를 선택합니다.

4. 연결 이름에 hub-spoke-01을 입력합니다.

5. 허브에 대해 Hub-01을 선택합니다.

6. 리소스 그룹에 대해 fw-manager-rg를 선택합니다.

7. 가상 네트워크에 대해 Spoke-01을 선택합니다.

8. 만들기를 실행합니다.

9. 스포크-02 가상 네트워크( 연결 이름 - hub-spoke-02)를 연결하려면 반복합니다.

서버 배포

1. Azure Portal에서 리소스 만들기를 선택합니다.

2. 인기 목록에서 Windows Server 2019 Datacenter를 선택합니다.

3. 가상 머신에 대해 다음 값을 입력합니다.

   설정	값
   Resource group	fw-manager-rg
   가상 머신 이름	Srv-workload-01
   지역	((미국) 미국 동부)
   관리자 사용자 이름	사용자 이름 입력
   암호	암호 입력

4. 인바운드 포트 규칙에서 퍼블릭 인바운드 포트에 없음을 선택합니다.

5. 나머지는 기본값으로 두고 다음: 디스크를 선택합니다.

6. 디스크 기본값을 수락하고 다음: 네트워킹을 선택합니다.

7. 가상 네트워크에 대해 Spoke-01을 선택하고 서브넷에 대해 Workload-01-SN을 선택합니다.

8. 공용 IP에 대해 없음을 선택합니다.

9. 나머지는 기본값으로 두고 다음: 관리를 선택합니다.

10. 다음: 모니터링을 선택합니다.

11. 사용 안 함을 선택하여 부팅 진단을 비활성화합니다. 나머지는 기본값으로 두고 검토 + 만들기를 선택합니다.

12. 요약 페이지에서 설정을 검토한 다음, 만들기를 선택합니다.

다음 표의 정보를 사용하여 Srv-Workload-02라는 이름의 다른 가상 머신을 구성합니다. 나머지 구성은 Srv-workload-01 가상 머신과 동일합니다.

설정	값
가상 네트워크	Spoke-02
서브넷	Workload-02-SN

서버가 배포된 후 서버 리소스를 선택하고 네트워킹에서 각 서버의 개인 IP 주소를 기록합니다.

방화벽 정책 만들기 및 허브 보안 설정

방화벽 정책은 하나 이상의 보안 가상 허브에서 트래픽을 전달하는 규칙 컬렉션을 정의합니다. 방화벽 정책을 만든 다음 허브를 보호합니다.

1. Firewall Manager에서 Azure Firewall 정책을 선택합니다.

   

2. Azure Firewall 정책 만들기를 선택합니다.

   

3. 리소스 그룹에 대해 fw-manager-rg를 선택합니다.

4. 정책 세부 정보에서 이름에 Policy-01을 입력하고 지역에 대해 미국 동부를 선택합니다.

5. 가격 책정 계층에서 표준을 선택합니다.

6. 다음: DNS 설정을 선택합니다.

   

7. 다음: TLS 검사를 선택합니다.

   

8. 다음: 규칙을 선택합니다.

9. 규칙 탭에서 규칙 컬렉션 추가를 선택합니다.

   

10. 규칙 컬렉션 추가 페이지에서 이름에 App-RC-01을 입력합니다.

11. 규칙 컬렉션 유형에 대해 애플리케이션을 선택합니다.

12. 우선 순위에 대해 100을 입력합니다.

13. 규칙 컬렉션 작업이 허용인지 확인합니다.

14. 규칙 이름에 Allow-msft를 입력합니다.

15. 원본 유형에 대해 IP 주소를 선택합니다.

16. 원본에 대해 *를 선택합니다.

17. 프로토콜에 http,https를 입력합니다.

18. 대상 유형이 FQDN인지 확인합니다.

19. 대상에 *.microsoft.com을 입력합니다.

20. 추가를 선택합니다.

21. 원격 데스크톱을 Srv-Workload-01 가상 머신에 연결할 수 있도록 DNAT 규칙을 추가합니다.

    1. 규칙 컬렉션 추가를 선택합니다.
    2. 이름에 dnat-rdp를 입력합니다.
    3. 규칙 컬렉션 형식에 대해 DNAT를 선택합니다.
    4. 우선 순위에 대해 100을 입력합니다.
    5. 규칙 이름에 Allow-rdp를 입력합니다.
    6. 원본 유형에 대해 IP 주소를 선택합니다.
    7. 원본에 대해 *를 선택합니다.
    8. 프로토콜의 경우 TCP를 선택합니다.
    9. 대상 포트에 대해 3389를 입력합니다.
    10. 대상에 이전에 적어둔 방화벽 공용 IP 주소를 입력합니다.
    11. 변환된 형식으로 IP 주소를 선택합니다.
    12. 번역된 주소에 이전에 적어둔 Srv-Workload-01의 개인 IP 주소를 입력합니다.
    13. 변환 포트에 3389를 입력합니다.
    14. 추가를 선택합니다.

22. Srv-Workload-01에서 Srv-Workload-02로 원격 데스크톱을 연결할 수 있도록 네트워크 규칙을 추가합니다.

    1. 규칙 컬렉션 추가를 선택합니다.
    2. 이름에 vnet-rdp를 입력합니다.
    3. 규칙 컬렉션 형식에 대해 네트워크를 선택합니다.
    4. 우선 순위에 대해 100을 입력합니다.
    5. 규칙 컬렉션 작업에 대해 허용을 선택합니다.
    6. 규칙 이름에 Allow-vnet을 입력합니다.
    7. 원본 유형에 대해 IP 주소를 선택합니다.
    8. 원본에 대해 *를 선택합니다.
    9. 프로토콜의 경우 TCP를 선택합니다.
    10. 대상 포트에 대해 3389를 입력합니다.
    11. 대상 유형에 대해 IP 주소를 선택합니다.
    12. 대상에 이전에 적어둔 Srv-Workload-02 개인 IP 주소를 입력합니다.
    13. 추가를 선택합니다.

23. 다음: IDPS를 선택합니다.

24. IDPS 페이지에서 다음: 위협 인텔리전스를 선택합니다.

    

25. 위협 인텔리전스 페이지에서 기본값을 수락하고 검토 및 만들기을 선택합니다.

    

26. 검토하여 선택 사항을 확인한 다음 만들기를 선택합니다.

연결 정책

방화벽 정책을 허브와 연결합니다.

1. Firewall Manager에서 Azure Firewall 정책을 선택합니다.

2. Policy-01의 확인란을 선택합니다.

3. 연결 관리, 허브 연결을 선택합니다.

   

4. hub-01을 선택합니다.

5. 추가를 선택합니다.

   

허브로 트래픽 라우팅

이제 네트워크 트래픽이 방화벽을 통해 라우팅되는지 확인해야 합니다.

1. Firewall Manager에서 가상 허브를 선택합니다.

2. Hub-01을 선택합니다.

3. 설정에서 보안 구성을 선택합니다.

4. 인터넷 트래픽에서 Azure Firewall을 선택합니다.

5. 프라이빗 트래픽에서 Azure Firewall을 통해 전송을 선택합니다.

   참고 항목

   가상 네트워크 또는 온-프레미스 분기의 개인 네트워크에 공용 IP 주소 범위를 사용하는 경우 이러한 IP 주소 접두사를 명시적으로 지정해야 합니다. 프라이빗 트래픽 접두사 섹션을 선택한 다음 RFC1918 주소 접두사와 함께 추가합니다.

6. 허브 간에서 사용하도로 설정을 선택하여 Virtual WAN 라우팅 의도 기능을 사용하도록 설정합니다. 라우팅 의도는 Virtual WAN 허브에 배포된 Azure Firewall을 통해 분기 간(온-프레미스에서 온-프레미스로) 트래픽을 라우팅하도록 Virtual WAN을 구성할 수 있는 메커니즘입니다. 라우팅 의도 기능과 관련된 필수 구성 요소 및 고려 사항에 대한 자세한 내용은 라우팅 의도 설명서를 참조하세요.

7. 저장을 선택합니다.

8. 경고 대화 상자에서 확인을 선택합니다.

   

9. 허브 간 대화 상자를 사용하려면 마이그레이션에서 확인을 선택합니다.

   참고 항목

   경로 테이블을 업데이트하는 데 몇 분이 걸립니다.

10. 두 개의 연결이 Azure Firewall에서 인터넷 및 프라이빗 트래픽을 모두 보호하는지 확인합니다.

    

방화벽 테스트

방화벽 규칙을 테스트하려면 방화벽 공용 IP 주소를 사용하여 원격 데스크톱을 연결합니다. 이 주소는 Srv-Workload-01에 NATed됩니다. 여기에서 브라우저를 사용하여 애플리케이션 규칙을 테스트하고 원격 데스크톱을 Srv-Workload-02 에 연결하여 네트워크 규칙을 테스트합니다.

애플리케이션 규칙 테스트

이제 방화벽 규칙이 예상대로 작동하는지 테스트합니다.

1. 원격 데스크톱을 방화벽 공용 IP 주소에 연결하고 로그인합니다.

2. Internet Explorer를 열고 https://www.microsoft.com으로 이동합니다.

3. Internet Explorer 보안 경고에서 확인>닫기를 선택합니다.

   Microsoft 홈페이지가 표시됩니다.

4. https://www.google.com 으로 이동합니다.

   방화벽이 이를 차단해야 합니다.

이제 방화벽 애플리케이션 규칙이 작동하는지 확인했습니다.

• 다른 모든 FQDN이 아닌 허용된 FQDN 하나만 찾아볼 수 있습니다.

네트워크 규칙 테스트

이제 네트워크 규칙을 테스트합니다.

• Srv-Workload-01에서 원격 데스크톱을 Srv-Workload-02 개인 IP 주소로 엽니다.

  원격 데스크톱이 Srv-Workload-02에 연결됩니다.

이제 방화벽 네트워크 규칙이 작동하는지 확인했습니다.

• 다른 가상 네트워크에 있는 서버에 원격 데스크톱을 연결할 수 있습니다.

리소스 정리

방화벽 리소스 테스트가 완료되면 fw-manager-rg 리소스 그룹을 삭제하여 모든 방화벽 관련 리소스를 삭제합니다.

다음 단계

신뢰할 수 있는 보안 파트너에 대해 알아보기