Azure Firewall이란?
Azure Firewall은 Azure Virtual Network 리소스를 보호하는 관리되는 클라우드 기반 네트워크 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다. 구독 및 가상 네트워크 전반에 걸쳐 애플리케이션 및 네트워크 연결 정책을 중앙에서 만들고, 적용하고 기록할 수 있습니다.
Azure Firewall에서 어떤 기능이 지원되나요?
Azure Firewall 기능에 대해 알아보려면 Azure Firewall 기능을 참조하세요.
Azure Firewall의 일반적인 배포 모델은 무엇입니까?
어떤 가상 네트워크에도 Azure Firewall을 배포할 수 있지만 고객은 일반적으로 중앙 가상 네트워크에 배포한 후, 허브 및 스포크 모델에서 다른 가상 네트워크를 중앙 가상 네트워크에 피어링합니다. 그 후 피어링된 가상 네트워크에서 이 중앙의 방화벽 가상 네트워크를 가리키도록 기본 경로를 설정할 수 있습니다. 글로벌 VNet 피어링은 지원되지만 지역 전반의 잠재적 성능 및 대기 시간 문제로 인해 권장되지 않습니다. 최상의 성능을 위해 지역당 하나의 방화벽을 배포합니다.
이 모델의 장점은 다양한 구독에 걸쳐 여러 스포크 VNET을 중앙집중적으로 제어하는 기능입니다. 또한 각 VNet에 별도로 방화벽을 배포할 필요가 없으므로 비용도 절감됩니다. 비용 절감은 고객 트래픽 패턴을 기반으로 연결 피어링 비용에 대해 측정해야 합니다.
Azure Firewall을 설치하려면 어떻게 해야 하나요?
Azure Portal, PowerShell, REST API 또는 템플릿을 사용하여 Azure Firewall을 설정할 수 있습니다. 자습서: Azure Portal을 사용하여 Azure Firewall 배포 및 구성을 참조하세요.
Azure Firewall의 몇 가지 개념을 알려주세요.
Azure Firewall은 규칙 및 규칙 컬렉션을 지원합니다. 규칙 컬렉션은 동일한 작업 및 우선 순위를 공유하는 규칙 집합입니다. 규칙 컬렉션은 우선 순위에 따라 실행됩니다. 네트워크 규칙 컬렉션이 애플리케이션 규칙 컬렉션보다 우선 순위가 높으며, 모든 규칙은 종료됩니다.
다음과 같은 세 가지 유형의 규칙 컬렉션이 있습니다.
- 애플리케이션 규칙: 서브넷에서 액세스할 수 있는 FQDN(정규화된 도메인 이름)을 구성합니다.
- 네트워크 규칙: 원본 주소, 프로토콜, 대상 포트 및 대상 주소를 포함하는 규칙을 구성합니다.
- NAT 규칙: 들어오는 인터넷 연결을 허용하도록 DNAT 규칙을 구성합니다.
Azure Firewall은 인바운드 트래픽 필터링을 지원하나요?
Azure Firewall은 인바운드 및 아웃바운드 필터링을 지원합니다. 인바운드 보호는 일반적으로 RDP, SSH 및 FTP 프로토콜과 같은 비 HTTP 프로토콜에 사용됩니다. 인바운드 HTTP 및 HTTPS 보호의 경우 Azure Web Application Firewall(WAF) 또는 TLS 오프로드 및 Azure Firewall Premium의 심층 패킷 검사 기능과 같은 웹 애플리케이션 방화벽을 사용합니다.
Azure Firewall에서는 어떤 로깅 및 분석 서비스를 지원하나요?
Azure Firewall은 방화벽 로그를 살펴보고 분석할 수 있도록 Azure Monitor와 통합됩니다. 로그를 Log Analytics, Azure Storage 또는 Event Hubs로 전송할 수 있습니다. 전송된 로그를 Log Analytics 또는 Excel이나 Power BI 같은 다른 도구에서 분석할 수 있습니다. 자세한 내용은 자습서: Azure Firewall 로그 모니터링을 참조하세요.
Azure Firewall이 Marketplace의 NVA와 같은 기존 서비스와 어떻게 다르게 작동하나요?
Azure Firewall은 가상 네트워크 리소스를 보호하는 관리형 클라우드 기반 네트워크 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다. 타사 SECaaS(Security as a Service) 공급자와 미리 통합되어 가상 네트워크 및 분기 인터넷 연결에 대한 고급 보안을 제공합니다.
Application Gateway WAF와 Azure Firewall의 차이점은 무엇인가요?
WAF(웹 애플리케이션 방화벽)는 일반적인 악용 및 취약점으로부터 웹 애플리케이션에 대해 중앙 집중식 인바운드 보호를 제공하는 Application Gateway의 기능입니다. Azure Firewall은 비HTTP/S 프로토콜(예: RDP, SSH, FTP)에 대해 인바운드 보호를 제공하고, 모든 포트 및 프로토콜에 아웃바운드 네트워크 수준 보호를 제공하고 아웃바운드 HTTP/S에 애플리케이션 수준 보호를 제공합니다.
NSG(네트워크 보안 그룹)와 Azure Firewall의 차이점은 무엇입니까?
Azure Firewall 서비스는 네트워크 보안 그룹 기능을 보완합니다. 그뿐 아니라 더 나은 "심층 방어" 네트워크 보안을 제공합니다. 네트워크 보안 그룹은 각 구독의 가상 네트워크 내 리소스에 대한 트래픽을 제한하는 분산 네트워크 레이어 트래픽 필터링을 제공합니다. Azure Firewall은 상태를 저장하는 서비스 형태의 완전한 중앙 집중식 네트워크 방화벽으로, 다양한 구독 및 가상 네트워크에 네트워크 및 애플리케이션 수준의 보호를 제공합니다.
AzureFirewallSubnet에서 NSG(네트워크 보안 그룹)가 지원되나요?
Azure Firewall은 NIC 수준 NSG(볼 수 없음)를 통한 플랫폼 보호를 포함하여 여러 보호 계층이 있는 관리되는 서비스입니다. 서브넷 수준 NSG는 AzureFirewallSubnet에 필요하지 않으며 서비스 중단 방지를 위해 사용하지 않도록 설정됩니다.
서비스 엔드포인트를 사용하여 Azure Firewall을 설정하려면 어떻게 해야 하나요?
PaaS 서비스에 안전하게 액세스하려면 서비스 엔드포인트를 사용하는 것이 좋습니다. Azure Firewall 서브넷에서 서비스 엔드포인트를 사용하도록 설정하고, 연결된 스포크 가상 네트워크에서는 사용하지 않도록 설정하도록 선택할 수 있습니다. 이러한 방식으로 서비스 엔드포인트 보안과 모든 트래픽에 대한 중앙 로깅 기능의 이점을 모두 얻을 수 있습니다.
Azure Firewall의 가격 책정은 어떻게 되나요?
Azure Firewall 가격 책정을 참조하세요.
Azure Firewall을 중지하려면 어떻게 하나요?
Azure PowerShell 할 당 취소 및 할당 메서드를 사용할 수 있습니다. 강제 터널링을 위해 구성된 방화벽의 경우 절차가 약간 다릅니다.
예를 들어 강제 터널링에 대해 구성되지 않은 방화벽의 경우:
# Stop an existing firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet,@($publicip1,$publicip2))
Set-AzFirewall -AzureFirewall $azfw
강제 터널링으로 구성된 방화벽의 경우 중지가 동일합니다. 그러나 시작하려면 관리 공용 IP를 방화벽에 다시 연결해야 합니다.
# Stop an existing firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw
# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip= Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip2 = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip2)
$azfw | Set-AzFirewall
할당하고 할당 취소하면 방화벽 청구가 중지되고 그에 따라 시작됩니다.
참고
원래 리소스 그룹 및 구독에 방화벽과 공용 IP를 다시 할당해야 합니다.
알려진 서비스 제한 사항은 무엇입니까?
Azure Firewall 서비스 제한 사항은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.
허브 가상 네트워크의 Azure Firewall이 두 스포크 가상 네트워크 간의 네트워크 트래픽을 전달하고 필터링할 수 있나요?
예. 허브 가상 네트워크의 Azure Firewall을 사용하여 두 스포크 가상 네트워크 간의 트래픽을 라우팅하고 필터링할 수 있습니다. 이 시나리오가 적절하게 작동하려면 각각의 스포크 가상 네트워크 서브넷에 Azure Firewall을 기본 게이트웨이로 가리키는 UDR이 포함되어 있어야 합니다.
Azure Firewall이 동일한 가상 네트워크 또는 피어링된 가상 네트워크에 있는 서브넷 간에 네트워크 트래픽을 전달하고 필터링할 수 있나요?
예. 그러나 UDR을 동일한 VNET의 서브넷 간에 트래픽을 리디렉션하도록 구성하려면 좀 더 주의해야 합니다. VNET 주소 범위를 UDR의 대상 접두사로 사용하면 충분하지만 이렇게 하면 Azure Firewall 인스턴스를 통해 한 머신의 모든 트래픽이 동일한 서브넷으로 경로 설정되는 문제도 있습니다. 이 문제를 방지하려면 VNET의 다음 홉을 사용하여 UDR에 해당 서브넷의 경로를 포함시킵니다. 이러한 경로 관리는 번거롭고 오류가 발생하기 쉬울 수 있습니다. 내부 네트워크 조각화에 대해 UDR이 필요 없는 네트워크 보안 그룹을 사용하는 방법이 권장됩니다.
Azure Firewall이 개인 네트워크 간에 SNAT를 아웃바운드하나요?
IANA RFC 1918에 따라 대상 IP 주소가 개인 IP 범위인 경우 Azure Firewall은 SNAT를 지원하지 않습니다. 조직에서 개인 네트워크에 대해 공용 IP 주소 범위를 사용하면 Azure Firewall은 AzureFirewallSubnet의 방화벽 개인 IP 주소 중 하나에 트래픽을 SNAT합니다. 공용 IP 주소 범위를 SNAT하지 않도록 Azure 방화벽을 구성할 수 있습니다. 자세한 내용은 Azure Firewall SNAT 개인 IP 주소 범위를 참조하세요.
또한 애플리케이션 규칙으로 처리된 트래픽은 항상 SNAT로 처리됩니다. 로그에서 FQDN 트래픽에 대한 원래의 원본 IP 주소를 확인하려면 대상 FQDN이 포함된 네트워크 규칙을 사용할 수 있습니다.
네트워크 가상 어플라이언스에 대한 강제 터널링/체이닝이 지원되나요?
강제 터널링은 새 방화벽을 만들 때 지원됩니다. 강제 터널링을 위해 기존 방화벽을 구성할 수는 없습니다. 자세한 내용은 Azure Firewall 강제 터널링을 참조하세요.
Azure Firewall에는 직접 인터넷 연결이 있어야 합니다. AzureFirewallSubnet이 BGP를 통해 온-프레미스 네트워크에 대한 기본 경로를 학습하는 경우 이 경로를 직접 인터넷 연결을 유지하기 위해 Internet으로 설정된 NextHopType 값을 통해 0.0.0.0/0 UDR로 재정의해야 합니다.
구성에 온-프레미스 네트워크에 대한 강제 터널링이 필요하고 인터넷 대상의 대상 IP 접두사를 확인할 수 있는 경우, AzureFirewallSubnet의 사용자 정의 경로를 통해 온-프레미스 네트워크를 사용하여 이러한 범위를 다음 홉으로 구성할 수 있습니다. 또는 BGP를 사용하여 이러한 경로를 정의할 수 있습니다.
방화벽 리소스 그룹 제한 사항이 있나요?
예. 방화벽, VNet 및 공용 IP 주소는 모두 동일한 리소스 그룹에 있어야 합니다.
인바운드 인터넷 네트워크 트래픽에 대해 DNAT를 구성할 때 해당 트래픽을 허용하도록 해당 네트워크 규칙을 구성해야 하나요?
아니요. NAT 규칙은 해당 네트워크 규칙을 암시적으로 추가하여 변환된 트래픽을 허용합니다. 변환된 트래픽을 일치시키는 거부 규칙을 사용하여 네트워크 규칙 컬렉션을 명시적으로 추가함으로써 이 동작을 재정의할 수 있습니다. Azure Firewall 규칙 처리 논리에 대한 자세한 내용은 Azure Firewall 규칙 처리 논리를 참조하세요.
와일드카드는 애플리케이션 규칙의 대상 URL 및 대상 FQDN에서 어떻게 작동하나요?
- URL - 별표는 오른쪽 또는 왼쪽 끝에 배치되면 작동합니다. 왼쪽에 있으면 FQDN의 일부가 될 수 없습니다.
- FQDN - 별표는 왼쪽 끝에 배치되면 작동합니다.
- 일반 - 왼쪽의 별표는 문자 그대로 왼쪽에 있는 모든 항목이 일치한다는 것을 의미하며, 이는 여러 하위 도메인 및/또는 잠재적으로 원치 않는 도메인 이름 변형이 일치한다는 것을 의미합니다. 아래 예제를 참조하세요.
예제:
| 유형 | 규칙 | 지원 여부 | 허용되는 예 |
|---|---|---|---|
| TargetURL | www.contoso.com |
예 | www.contoso.comwww.contoso.com/ |
| TargetURL | *.contoso.com |
예 | any.contoso.com/sub1.any.contoso.com |
| TargetURL | *contoso.com |
예 | example.anycontoso.comsub1.example.contoso.comcontoso.com경고: 이러한 와일드카드 사용은 와 같은 th3re4lcontoso.com 잠재적으로 원치 않는/위험한 변형을 허용합니다. 주의해서 사용합니다. |
| TargetURL | www.contoso.com/test |
예 | www.contoso.com/testwww.contoso.com/test/www.contoso.com/test?with_query=1 |
| TargetURL | www.contoso.com/test/* |
예 | www.contoso.com/test/anything참고: www.contoso.com/test 일치하지 않음 (마지막 슬래시) |
| TargetURL | www.contoso.*/test/* |
아니요 | |
| TargetURL | www.contoso.com/test?example=1 |
아니요 | |
| TargetURL | www.contoso.* |
아니요 | |
| TargetURL | www.*contoso.com |
아니요 | |
| TargetURL | www.contoso.com:8080 |
아니요 | |
| TargetURL | *.contoso.* |
아니요 | |
| TargetFQDN | www.contoso.com |
예 | www.contoso.com |
| TargetFQDN | *.contoso.com |
예 | any.contoso.com참고: contoso.com을 구체적으로 허용하려면 규칙에 contoso.com을 포함해야 합니다. 그렇지 않으면 요청이 규칙과 일치하지 않으므로 연결이 기본적으로 끊어집니다. |
| TargetFQDN | *contoso.com |
예 | example.anycontoso.comcontoso.com |
| TargetFQDN | www.contoso.* |
아니요 | |
| TargetFQDN | *.contoso.* |
아니요 |
*프로비저닝 상태: 실패*는 무엇을 의미하나요?
구성 변경이 적용될 때마다 Azure Firewall은 모든 기본 백 엔드 인스턴스를 업데이트하려고 합니다. 드물지만, 이러한 백 엔드 인스턴스 중 하나가 새 구성으로 업데이트되지 않고 업데이트 프로세스가 프로비저닝 실패 상태로 중지되는 경우가 있습니다. Azure Firewall은 여전히 작동하지만 적용된 구성이 “일부 인스턴스는 이전 구성을 갖고 있고, 다른 인스턴스를 업데이트된 규칙 집합을 갖고 있는”일관성이 없는 상태일 수 있습니다. 이 경우 작업이 성공하고 방화벽이 성공 프로비저닝 상태가 될 때까지 구성을 한 번 더 업데이트해 봅니다.
Azure Firewall은 계획된 유지 관리와 계획되지 않은 오류를 어떻게 처리하나요?
Azure Firewall은 활성-활성 구성의 여러 백 엔드 노드로 구성됩니다. 계획된 유지 관리를 위해 노드를 정상적으로 업데이트하는 연결 드레이닝 논리가 있습니다. 각 Azure 지역의 업무 외 시간 동안 업데이트가 계획되어 중단 위험을 더 줄입니다. 계획되지 않은 문제의 경우 새 노드를 인스턴스화하여 오류가 발생한 노드를 대체합니다. 새 노드에 대한 연결은 대개 오류 발생 시점부터 10초 이내에 다시 설정됩니다.
연결 드레이닝은 어떻게 작동하나요?
계획된 유지 관리를 위해 연결 드레이닝 논리가 백 엔드 노드를 정상적으로 업데이트합니다. Azure Firewall은 기존 연결이 종료될 때까지 90초 동안 대기 합니다. 필요한 경우 클라이언트는 자동으로 다른 백 엔드 노드에 대한 연결을 다시 설정할 수 있습니다.
방화벽 이름에 대한 문자 제한이 있나요?
예. 방화벽 이름에는 50자 제한이 있습니다.
Azure Firewall에 /26 서브넷 크기가 필요한 이유는 무엇인가요?
Azure Firewall은 규모에 따라 더 많은 가상 머신 인스턴스를 프로비저닝해야 합니다. /26 주소 공간을 통해 방화벽이 크기 조정을 수용할 수 있는 충분한 IP 주소를 갖게 됩니다.
서비스 확장에 따라 방화벽 서브넷 크기 변경이 필요한가요?
아니요. Azure Firewall에는 /26보다 큰 서브넷이 필요하지 않습니다.
방화벽 처리량을 늘리려면 어떻게 해야 하나요?
Azure Firewall 초기 처리량 용량은 2.5-3Gbps이며 표준 SKU의 경우 30Gbps, 프리미엄 SKU의 경우 100Gbps로 확장됩니다. CPU 사용량과 처리량에 따라 자동으로 스케일 아웃됩니다.
Azure Firewall을 스케일 아웃하는 데 얼마나 걸리나요?
평균 처리량 또는 CPU 사용량이 60%일 때 Azure Firewall이 점차적으로 스케일링됩니다. 기본 배포 최대 처리량은 약 2.5~3Gbps이며, 해당 숫자의 60%에 도달하면 스케일 아웃이 시작됩니다. 스케일 아웃에는 5 ~ 7분 정도 걸립니다.
성능 테스트를 수행하는 경우 10~15분 이상 테스트하고, 새로 만든 Firewall 노드를 활용하기 위해 새 연결을 시작해야 합니다.
Azure Firewall에서 유휴 시간 제한을 어떻게 처리하나요?
연결에 유휴 시간 제한(4분 동안 활동 없음)이 있는 경우 Azure Firewall에서 TCP RST 패킷을 보내 연결을 정상적으로 종료합니다.
Virtual Machine Scale Set 스케일 인(스케일 다운) 또는 플릿 소프트웨어 업그레이드 중에 VM 인스턴스 종료를 Azure Firewall 어떻게 처리하나요?
Azure Firewall VM 인스턴스 종료는 Virtual Machine Scale Set 스케일 인(스케일 다운) 또는 플릿 소프트웨어 업그레이드 중에 발생할 수 있습니다. 이러한 경우 새로 들어오는 연결은 나머지 방화벽 인스턴스에 부하 분산되고 종료된 방화벽 인스턴스에 전달되지 않습니다. 45초 후에 방화벽에서 TCP RST 패킷을 보내 기존 연결을 거부하기 시작합니다. 추가 45초 후에는 방화벽 VM이 종료됩니다. 자세한 내용은 Load Balancer TCP 다시 설정 및 유휴 시간 제한을 참조하세요.
Azure Firewall에서 기본적으로 Active Directory에 대한 액세스를 허용하나요?
아니요. Azure Firewall은 기본적으로 Active Directory 액세스를 차단합니다. 액세스를 허용하려면 AzureActiveDirectory 서비스 태그를 구성합니다. 자세한 내용은 Azure Firewall 서비스 태그를 참조하세요.
Azure Firewall 위협 인텔리전스 기반 필터링에서 FQDN 또는 IP 주소를 제외할 수 있나요?
예, Microsoft Azure PowerShell을 통해 가능합니다.
# Add a Threat Intelligence allowlist to an Existing Azure Firewall
# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
-FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)
# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)
Set-AzFirewall -AzureFirewall $fw
Azure Firewall의 규칙에서 해당 트래픽을 허용하지 않는 경우에도 TCP ping 및 유사한 도구가 대상 FQDN에 성공적으로 연결할 수 있는 이유는 무엇인가요?
TCP ping은 실제로는 대상 FQDN에 연결하지 않습니다. Azure Firewall은 대상 IP 주소/FQDN을 허용하는 명시적 규칙이 없는 한 이에 대한 연결을 허용하지 않습니다.
TCP ping은 허용되는 규칙이 없는 경우 TCP ping이 대상 IP 주소/FQDN에 도달하지 않더라도 방화벽 자체가 클라이언트의 TCP ping 요청에 응답하는 고유한 사용 사례입니다. 이 경우 이벤트가 기록되지 않습니다. 대상 IP 주소/FQDN에 대한 액세스를 허용하는 네트워크 규칙이 있는 경우, ping 요청이 대상 서버에 도달하고 해당 응답이 클라이언트에 다시 릴레이됩니다. 이 이벤트는 네트워크 규칙 로그에 기록됩니다.
IP 그룹에서 지원되는 IP 주소 수에 제한이 있나요?
예. 자세한 내용은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.
IP 그룹을 다른 리소스 그룹으로 이동할 수 있나요?
아니요, IP 그룹을 다른 리소스 그룹으로 이동하는 것은 현재 지원되지 않습니다.
Azure Firewall에 대한 TCP 유휴 시간 제한은 무엇인가요?
네트워크 방화벽의 표준 동작은 TCP 연결을 활성 상태로 유지하고 활동이 없는 경우 즉시 종료하는 것입니다. Azure Firewall TCP 유휴 시간 제한은 4분입니다. 이 설정은 사용자가 구성할 수 없지만, Azure 지원에 문의하여 유휴 시간 제한을 최대 30분까지 늘릴 수 있습니다.
비활성 기간이 시간 제한 값보다 길면 TCP 또는 HTTP 세션이 유지되지 않을 수 있습니다. 일반적인 방법은 TCP 연결 유지를 사용하는 것입니다. 이 방법은 더 오랜 기간 동안 연결을 활성 상태로 유지합니다. 자세한 내용은 이러한 .NET 예제를 참조하세요.
Azure Firewall을 공용 IP 주소 없이 배포할 수 있나요?
아니요, 현재 Azure Firewall은 공용 IP 주소를 사용하여 배포해야 합니다.
Azure Firewall은 고객 데이터를 어디에 저장하나요?
Azure Firewall은 고객 데이터를 배포된 지역 외부로 이동하거나 저장하지 않습니다.
Azure Firewall 및 정책을 자동으로 백업하는 방법이 있나요?
예. 자세한 내용은 Logic Apps를 사용하여 Azure Firewall 및 Azure Firewall 정책 백업을 참조하세요.
카타르에서 vWAN(보안 가상 허브)의 Azure Firewall 지원되는가요?
아니요, 현재 보안 가상 허브(vWAN)의 Azure Firewall 카타르에서는 지원되지 않습니다.