Azure 방화벽 FAQ

일반

Azure Firewall이란?

Azure Firewall은 Azure Virtual Network 리소스를 보호하는 관리되는 클라우드 기반 네트워크 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다. 구독 및 가상 네트워크 전반에 걸쳐 애플리케이션 및 네트워크 연결 정책을 중앙에서 만들고, 적용하고 기록할 수 있습니다.

Azure Firewall은 어떤 기능을 지원하나요?

Azure Firewall 기능의 자세한 목록은 Azure Firewall 기능을 참조하세요.

Azure Firewall의 일반적인 배포 모델은 무엇입니까?

Azure Firewall은 모든 가상 네트워크에 배포할 수 있습니다. 그러나 일반적으로 허브 및 스포크 모델의 중앙 가상 네트워크에 배포되며 다른 가상 네트워크가 피어로 연결됩니다. 피어된 가상 네트워크의 기본 경로는 이 중앙 방화벽 가상 네트워크를 가리키도록 설정됩니다. 글로벌 가상 네트워크 피어링이 지원되지만 지역 간 잠재적인 성능 및 대기 시간 문제로 인해 권장되지 않습니다. 최적의 성능을 위해 지역당 하나의 방화벽을 배포합니다.

이 모델을 사용하면 여러 구독에서 여러 스포크 VNet을 중앙 집중식으로 제어할 수 있으며 각 가상 네트워크에 방화벽을 배포할 필요가 없도록 하여 비용을 절감할 수 있습니다. 트래픽 패턴에 따라 관련 피어링 비용에 대해 비용 절감을 평가해야 합니다.

Azure Firewall을 배포하는 방법

Azure Firewall은 Azure Portal, PowerShell, REST API 또는 템플릿을 사용하여 배포할 수 있습니다. 단계별 지침은 자습서: Azure Portal을 사용하여 Azure Firewall 배포 및 구성을 참조하세요.

몇 가지 주요 Azure Firewall 개념은 무엇인가요?

Azure Firewall은 규칙 및 규칙 컬렉션을 사용합니다. 규칙 컬렉션은 순서와 우선 순위가 같은 규칙 집합입니다. 규칙 컬렉션은 우선 순위에 따라 실행됩니다. DNAT 규칙 컬렉션은 네트워크 규칙 컬렉션보다 우선 순위가 높으며, 따라서 애플리케이션 규칙 컬렉션보다 우선 순위가 높습니다. 모든 규칙이 종료됩니다.

다음과 같은 세 가지 유형의 규칙 컬렉션이 있습니다.

• 애플리케이션 규칙: 가상 네트워크에서 액세스할 수 있는 FQDN(정규화된 도메인 이름)을 구성합니다.
• 네트워크 규칙: 원본 주소, 프로토콜, 대상 포트 및 대상 주소를 사용하여 규칙을 구성합니다.
• NAT 규칙: DNAT 규칙을 구성하여 수신 인터넷 또는 인트라넷(미리 보기) 연결을 허용합니다.

자세한 내용은 Azure Firewall 규칙 구성을 참조하세요.

Azure Firewall은 어떤 로깅 및 분석 서비스를 지원하나요?

Azure Firewall은 로그를 보고 분석하기 위해 Azure Monitor와 통합됩니다. Log Analytics, Azure Storage 또는 Event Hubs로 로그를 보내고 Log Analytics, Excel 또는 Power BI와 같은 도구를 사용하여 분석할 수 있습니다. 자세한 내용은 자습서: Azure Firewall 로그 모니터링을 참조하세요.

Azure Firewall은 마켓플레이스의 NVA와 어떻게 다른가요?

Azure Firewall은 가상 네트워크 리소스를 보호하는 관리형 클라우드 기반 네트워크 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다. 가상 네트워크 및 분기 인터넷 연결에 대한 보안을 강화하기 위해 타사 SECaaS(Security-as-a-Service) 공급자와 미리 통합되어 있습니다. 자세한 내용은 Azure 네트워크 보안을 참조하세요.

Application Gateway WAF와 Azure Firewall의 차이점은 무엇인가요?

Application Gateway WAF는 일반적인 악용 및 취약성에 대해 웹 애플리케이션에 대한 중앙 집중식 인바운드 보호를 제공합니다. Azure Firewall은 비HTTP/S 프로토콜(예: RDP, SSH, FTP)에 대해 인바운드 보호를 제공하고, 모든 포트 및 프로토콜에 아웃바운드 네트워크 수준 보호를 제공하고 아웃바운드 HTTP/S에 애플리케이션 수준 보호를 제공합니다.

NSG(네트워크 보안 그룹)와 Azure Firewall의 차이점은 무엇입니까?

Azure Firewall은 NSG를 보완하여 더 나은 "심층 방어" 네트워크 보안을 제공합니다. NSG는 각 구독의 가상 네트워크 내에서 트래픽을 제한하기 위해 분산 네트워크 계층 트래픽 필터링을 제공합니다. Azure Firewall은 구독 및 가상 네트워크에서 중앙 집중식 완전 상태 저장 네트워크 및 애플리케이션 수준 보호를 제공합니다.

AzureFirewallSubnet에서 NSG(네트워크 보안 그룹)가 지원되나요?

Azure Firewall은 NIC 수준 NSG를 사용하는 플랫폼 보호를 포함하여 여러 보호 계층이 있는 관리되는 서비스입니다(볼 수 없음). 서브넷 수준 NSG는 AzureFirewallSubnet에서 필요하지 않으며 서비스 중단을 방지하기 위해 사용하지 않도록 설정됩니다.

프라이빗 엔드포인트가 있는 Azure Firewall의 추가 값은 무엇인가요?

프라이빗 엔드포인트는 프라이빗 링크의 구성 요소로, 공용 주소 대신 개인 IP 주소를 사용하여 Azure PaaS 서비스와 상호 작용할 수 있는 기술입니다. Azure Firewall을 사용하여 공용 IP 주소에 대한 액세스를 방지할 수 있으므로 Private Link를 활용하지 않는 Azure 서비스에 대한 데이터 반출을 방지하고 조직에서 해당 Azure PaaS 서비스에 액세스해야 하는 사용자를 정의하여 제로 트러스트 정책을 구현할 수 있습니다. 기본값에 따라 Private Link는 전체 회사 네트워크에 대한 네트워크 액세스를 열기 때문에.

Azure Firewall을 사용하여 프라이빗 엔드포인트에 대한 트래픽을 검사하는 올바른 디자인은 네트워크 아키텍처에 따라 달라집니다. Azure Firewall 시나리오 문서에서 프라이빗 엔드포인트로 향하는 트래픽을 검사하는 자세한 내용을 확인할 수 있습니다.

가상 네트워크 서비스 엔드포인트를 사용하는 Azure Firewall의 추가 값은 무엇인가요?

Virtual Network 서비스 엔드포인트는 Azure PaaS 서비스에 대한 네트워크 액세스를 제어하는 Private Link의 대안입니다. 클라이언트가 여전히 공용 IP 주소를 사용하여 PaaS 서비스에 액세스하더라도 대상 PaaS 서비스가 필터 규칙을 구현하고 서브넷별로 액세스를 제한할 수 있도록 원본 서브넷이 표시됩니다. 프라이빗 엔드포인트와 서비스 엔드포인트 비교에서 두 메커니즘 간의 자세한 비교를 찾을 수 있습니다.

Azure Firewall 애플리케이션 규칙을 사용하여 불량 서비스에 대한 데이터 반출이 발생하지 않도록 하고 서브넷 수준 이상으로 세분성이 높아진 액세스 정책을 구현할 수 있습니다. 일반적으로 Azure 서비스에 연결할 클라이언트의 서브넷에서 가상 네트워크 서비스 엔드포인트를 사용하도록 설정해야 합니다. 그러나 Azure Firewall을 사용하여 서비스 엔드포인트에 대한 트래픽을 검사할 때는 대신 Azure Firewall 서브넷에서 해당 서비스 엔드포인트를 사용하도록 설정하고 실제 클라이언트(일반적으로 스포크 가상 네트워크)의 서브넷에서 사용하지 않도록 설정해야 합니다. 이렇게 하면 Azure Firewall의 애플리케이션 규칙을 사용하여 Azure 워크로드에 액세스할 Azure 서비스를 제어할 수 있습니다.

Azure Firewall의 가격 책정은 어떻게 되나요?

가격 책정 세부 정보는 Azure Firewall 가격 책정을 참조하세요.

Azure Firewall의 알려진 서비스 제한은 무엇인가요?

서비스 제한은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.

Azure Firewall은 고객 데이터를 어디에 저장하나요?

Azure Firewall은 고객 데이터를 배포된 지역 외부로 이동하거나 저장하지 않습니다.

보안 가상 허브(vWAN)의 Azure Firewall은 카타르에서 지원되나요?

아니요, vWAN(보안 가상 허브)의 Azure Firewall은 현재 카타르에서 지원되지 않습니다.

지원되는 기능 및 기능

Azure Firewall은 인바운드 트래픽 필터링을 지원하나요?

예, Azure Firewall은 인바운드 및 아웃바운드 트래픽 필터링을 모두 지원합니다. 인바운드 필터링은 일반적으로 RDP, SSH 및 FTP와 같은 비 HTTP 프로토콜에 사용됩니다. 인바운드 HTTP 및 HTTPS 트래픽의 경우 Azure WAF(웹 애플리케이션 방화벽) 또는 Azure Firewall Premium의 TLS 오프로드 및 심층 패킷 검사 기능과 같은 웹 애플리케이션 방화 벽을 사용하는 것이 좋습니다.

Azure Firewall 기본은 강제 터널링을 지원하나요?

예, Azure Firewall 기본은 강제 터널링을 지원합니다.

트래픽을 허용하는 규칙이 없더라도 TCP ping 또는 유사한 도구가 대상 FQDN에 연결하는 것처럼 보이는 이유는 무엇인가요?

TCP ping은 실제로 대상 FQDN에 연결되지 않습니다. Azure Firewall은 규칙에서 명시적으로 허용하지 않는 한 대상 IP 주소 또는 FQDN에 대한 연결을 차단합니다.

TCP ping의 경우 트래픽을 허용하는 규칙이 없으면 방화벽 자체가 클라이언트의 TCP ping 요청에 응답합니다. 이 응답은 대상 IP 주소 또는 FQDN에 도달하지 않으며 기록되지 않습니다. 네트워크 규칙에서 대상 IP 주소 또는 FQDN에 대한 액세스를 명시적으로 허용하는 경우 ping 요청은 대상 서버에 도달하고 해당 응답은 클라이언트로 다시 릴레이됩니다. 이 이벤트는 네트워크 규칙 로그에 기록됩니다.

Azure Firewall에서 BGP 피어링을 지원하나요?

아니요, Azure Firewall은 기본적으로 BGP 피어링을 지원하지 않습니다. 그러나 Autolearn SNAT 경로 기능은 Azure Route Server를 통해 BGP를 간접적으로 사용합니다.

관리 및 구성

Azure Firewall을 중지하려면 어떻게 하나요?

Azure PowerShell을 사용하여 Azure Firewall의 할당을 취소하고 할당할 수 있습니다. 프로세스는 구성에 따라 달라집니다.

관리 NIC가 없는 방화벽의 경우:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

관리 NIC가 있는 방화벽의 경우:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

보안 가상 허브의 방화벽의 경우:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

참고 항목

방화벽을 중지하고 시작하면 청구가 중지되고 그에 따라 시작됩니다. 그러나 개인 IP 주소가 변경되어 경로 테이블이 구성된 경우 연결에 영향을 줄 수 있습니다.

배포 후 가용성 영역을 어떻게 구성할 수 있나요?

초기 배포 중에 가용성 영역을 구성하는 것이 좋습니다. 그러나 다음과 같은 경우 배포 후 다시 구성할 수 있습니다.

• 방화벽은 가상 네트워크에 배포됩니다(보안 가상 허브에서는 지원되지 않음).
• 이 지역은 가용성 영역을 지원합니다.
• 연결된 모든 공용 IP 주소는 동일한 영역으로 구성됩니다.

가용성 영역을 다시 구성하려면 다음을 수행합니다.

1. 방화벽 할당을 취소합니다.

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. 영역 구성을 업데이트하고 방화벽을 할당합니다.

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

Azure Firewall 리소스 그룹 제한이 있나요?

예:

• Azure Firewall 및 가상 네트워크는 동일한 리소스 그룹에 있어야 합니다.
• 공용 IP 주소는 다른 리소스 그룹에 있을 수 있습니다.
• 모든 리소스(Azure 방화벽, 가상 네트워크, 공용 IP)는 동일한 구독에 있어야 합니다.

프로비전 상태 **실패**는 무엇을 의미하나요?

프로비전 실패 상태는 하나 이상의 백 엔드 인스턴스에서 구성 업데이트가 실패했음을 나타냅니다. Azure Firewall은 계속 작동하지만 구성이 일치하지 않을 수 있습니다. 프로비전 상태가 Succeeded로 변경될 때까지 업데이트를 다시 시도합니다.

Azure Firewall은 계획된 유지 관리와 계획되지 않은 오류를 어떻게 처리하나요?

Azure Firewall은 여러 백 엔드 노드가 있는 활성-활성 구성을 사용합니다. 계획된 유지 관리 중에 연결 드레이닝은 정상적인 업데이트를 보장합니다. 계획되지 않은 오류의 경우 새 노드는 실패한 노드를 대체하고 연결은 일반적으로 10초 이내에 복원됩니다.

방화벽 이름에 대한 문자 제한이 있나요?

예, 방화벽 이름은 50자로 제한됩니다.

Azure Firewall에 /26 서브넷 크기가 필요한 이유는 무엇인가요?

/26 서브넷은 Azure Firewall이 추가 가상 머신 인스턴스를 프로비전함에 따라 크기 조정을 위한 충분한 IP 주소를 보장합니다.

서비스 확장에 따라 방화벽 서브넷 크기 변경이 필요한가요?

아니요, /26 서브넷은 모든 크기 조정 시나리오에 충분합니다.

방화벽 처리량을 늘리려면 어떻게 해야 하나요?

Azure Firewall은 CPU 사용량, 처리량 및 연결 수에 따라 자동으로 확장됩니다. 처리량 용량의 범위는 처음에 2.5~3Gbps에서 30Gbps(표준 SKU) 또는 100Gbps(프리미엄 SKU)입니다.

IP 그룹에서 지원되는 IP 주소 수에 제한이 있나요?

예. 자세한 내용은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.

IP 그룹을 다른 리소스 그룹으로 이동할 수 있나요?

아니요, IP 그룹을 다른 리소스 그룹으로 이동하는 것은 현재 지원되지 않습니다.

Azure Firewall에 대한 TCP 유휴 시간 제한은 무엇인가요?

네트워크 방화벽의 표준 동작은 TCP 연결을 활성 상태로 유지하고 활동이 없는 경우 즉시 종료하는 것입니다. Azure Firewall TCP 유휴 시간 제한은 4분입니다. 이 설정은 사용자가 구성할 수 없지만, Azure 지원에 문의하여 인바운드 및 아웃바운드 연결에 대한 유휴 시간 제한을 최대 15분까지 늘릴 수 있습니다. 횡방향 트래픽에 대한 유휴 시간 제한은 변경할 수 없습니다.

비활성 기간이 시간 제한 값보다 길면 TCP 또는 HTTP 세션이 유지되지 않을 수 있습니다. 일반적인 방법은 TCP 연결 유지를 사용하는 것입니다. 이 방법은 더 오랜 기간 동안 연결을 활성 상태로 유지합니다. 자세한 내용은 이러한 .NET 예제를 참조하세요.

Azure Firewall을 공용 IP 주소 없이 배포할 수 있나요?

예, 하지만 강제 터널링 모드에서 방화벽을 구성해야 합니다. 이 구성은 Azure Firewall에서 작업에 사용되는 공용 IP 주소로 관리 인터페이스를 만듭니다. 이 공용 IP 주소는 관리 트래픽을 위한 것입니다. Azure 플랫폼에서만 사용되며 다른 용도로는 사용할 수 없습니다. 테넌트 데이터 경로 네트워크는 공용 IP 주소 없이 구성할 수 있으며 인터넷 트래픽은 다른 방화벽으로 강제 터널화되거나 완전히 차단될 수 있습니다.

Azure Firewall 및 정책을 자동으로 백업하는 방법이 있나요?

예. 자세한 내용은 Logic Apps를 사용하여 Azure Firewall 및 Azure Firewall 정책 백업을 참조하세요.

연결 및 라우팅

서비스 엔드포인트를 사용하여 Azure Firewall을 설정하려면 어떻게 하나요?

PaaS 서비스에 안전하게 액세스하려면 서비스 엔드포인트를 사용하는 것이 좋습니다. Azure Firewall 서브넷에서 서비스 엔드포인트를 사용하도록 설정하고 연결된 스포크 가상 네트워크에서는 사용하지 않도록 설정할 수 있습니다. 이러한 방식으로 서비스 엔드포인트 보안과 모든 트래픽에 대한 중앙 로깅 기능의 이점을 모두 얻을 수 있습니다.

허브 가상 네트워크의 Azure Firewall이 여러 스포크 가상 네트워크 간의 네트워크 트래픽을 전달하고 필터링할 수 있나요?

예, 허브 가상 네트워크에서 Azure Firewall을 사용하여 여러 스포크 가상 네트워크 간의 트래픽을 라우팅하고 필터링할 수 있습니다. 이 시나리오가 적절하게 작동하려면 각각의 스포크 가상 네트워크 서브넷에 Azure Firewall을 기본 게이트웨이로 가리키는 UDR이 포함되어 있어야 합니다.

Azure Firewall이 동일한 가상 네트워크 또는 피어링된 가상 네트워크에 있는 서브넷 간에 네트워크 트래픽을 전달하고 필터링할 수 있나요?

예. 그러나 동일한 가상 네트워크의 서브넷 간에 트래픽을 리디렉션하도록 UDR을 구성하려면 더 많은 주의가 필요합니다. 가상 네트워크 주소 범위를 UDR의 대상 접두사로 사용하는 것으로 충분하지만, Azure Firewall 인스턴스를 통해 동일한 서브넷의 다른 컴퓨터로 모든 트래픽을 라우팅합니다. 이를 방지하려면 다음 홉 유형의 가상 네트워크를 사용하여 UDR에 서브넷에 대한 경로를 포함합니다. 이러한 경로 관리는 번거롭고 오류가 발생하기 쉬울 수 있습니다. 내부 네트워크 조각화에 대해 UDR이 필요 없는 네트워크 보안 그룹을 사용하는 방법이 권장됩니다.

Azure Firewall이 개인 네트워크 간에 SNAT를 아웃바운드하나요?

대상 IP 주소가 개인 네트워크의 경우 IANA RFC 1918 또는 IANA RFC 6598당 개인 IP 범위인 경우 Azure Firewall은 SNAT를 수행하지 않습니다. 조직에서 개인 네트워크에 대해 공용 IP 주소 범위를 사용하면 Azure Firewall은 AzureFirewallSubnet의 방화벽 개인 IP 주소 중 하나에 트래픽을 SNAT합니다. 공용 IP 주소 범위를 SNAT하지 않도록 Azure 방화벽을 구성할 수 있습니다. 자세한 내용은 Azure Firewall SNAT 개인 IP 주소 범위를 참조하세요.

또한 애플리케이션 규칙으로 처리된 트래픽은 항상 SNAT로 처리됩니다. 로그에서 FQDN 트래픽에 대한 원래의 원본 IP 주소를 확인하려면 대상 FQDN이 포함된 네트워크 규칙을 사용할 수 있습니다.

네트워크 가상 어플라이언스에 대한 강제 터널링/체이닝이 지원되나요?

강제 터널링은 새 방화벽을 만들 때 지원됩니다. 강제 터널링을 위해 기존 방화벽을 구성할 수는 없습니다. 자세한 내용은 Azure Firewall 강제 터널링을 참조하세요.

Azure Firewall에는 직접 인터넷 연결이 있어야 합니다. AzureFirewallSubnet이 BGP를 통해 온-프레미스 네트워크에 대한 기본 경로를 학습하는 경우 이 경로를 직접 인터넷 연결을 유지하기 위해 Internet으로 설정된 NextHopType 값을 통해 0.0.0.0/0 UDR로 재정의해야 합니다.

구성에 온-프레미스 네트워크에 대한 강제 터널링이 필요하고 인터넷 대상의 대상 IP 접두사를 확인할 수 있는 경우, AzureFirewallSubnet의 사용자 정의 경로를 통해 온-프레미스 네트워크를 사용하여 이러한 범위를 다음 홉으로 구성할 수 있습니다. 또는 BGP를 사용하여 이러한 경로를 정의할 수 있습니다.

와일드카드는 애플리케이션 규칙의 대상 URL 및 대상 FQDN에서 어떻게 작동하나요?

• URL - 별표는 오른쪽 또는 왼쪽 끝에 배치되면 작동합니다. 왼쪽에 있으면 FQDN의 일부가 될 수 없습니다.
• FQDN - 별표는 왼쪽 끝에 배치되면 작동합니다.
• 일반 - 가장 왼쪽에 있는 별표는 문자 그대로 왼쪽에 있는 모든 항목이 일치함을 의미합니다. 즉, 여러 하위 도메인 및/또는 잠재적으로 원치 않는 도메인 이름 변형이 일치함을 의미합니다. 다음 예를 참조하세요.

예:

유형	규칙	지원?	허용되는 예
타겟URL	www.contoso.com	예	www.contoso.com www.contoso.com/
타겟URL	*.contoso.com	예	any.contoso.com/ sub1.any.contoso.com
타겟URL	*contoso.com	예	example.anycontoso.com sub1.example.contoso.com contoso.com 경고: 이 와일드카드 사용은 th3re4lcontoso.com과 같은 잠재적으로 바람직하지 않거나 위험한 변형을 허용하므로 주의해서 사용합니다.
타겟URL	www.contoso.com/test	예	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
타겟URL	www.contoso.com/test/*	예	www.contoso.com/test/anything 참고: 일치하지 www.contoso.com/test않음(마지막 슬래시)
타겟URL	www.contoso.*/test/*	아니요
타겟URL	www.contoso.com/test?example=1	아니요
타겟URL	www.contoso.*	아니요
타겟URL	www.*contoso.com	아니요
타겟URL	www.contoso.com:8080	아니요
타겟URL	*.contoso.*	아니요
대상 FQDN	www.contoso.com	예	www.contoso.com
대상 FQDN	*.contoso.com	예	any.contoso.com 참고: contoso.com을 구체적으로 허용하려면 규칙에 contoso.com을 포함해야 합니다. 그렇지 않으면 요청이 어떤 규칙과도 일치하지 않기 때문에 기본적으로 연결이 끊어집니다.
대상 FQDN	*contoso.com	예	example.anycontoso.com contoso.com
대상 FQDN	www.contoso.*	아니요
대상 FQDN	*.contoso.*	아니요

Azure Firewall에서 기본적으로 Active Directory에 대한 액세스를 허용하나요?

아니요. Azure Firewall은 기본적으로 Active Directory 액세스를 차단합니다. 액세스를 허용하려면 AzureActiveDirectory 서비스 태그를 구성합니다. 자세한 내용은 Azure Firewall 서비스 태그를 참조하세요.

Azure Firewall 위협 인텔리전스 기반 필터링에서 FQDN 또는 IP 주소를 제외할 수 있나요?

예, Microsoft Azure PowerShell을 통해 가능합니다.

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Azure Firewall에서 SNAT TCP/UDP 포트 재사용 동작이란?

Azure Firewall은 현재 유휴 대기 시간 없이 아웃바운드 SNAT 트래픽에 TCP/UDP 원본 포트를 사용합니다. TCP/UDP 연결이 닫혀 있으면 사용된 TCP 포트가 곧 연결에 사용할 수 있는 것으로 즉시 표시됩니다.

특정 아키텍처에 대한 해결 방법으로 Azure Firewall을 사용하여 NAT Gateway를 배포하고 확장하여 가변성 및 가용성을 위해 더 넓은 SNAT 포트 풀을 제공할 수 있습니다.

Azure Firewall의 NAT 동작이란?

특정 NAT 동작은 방화벽 구성과 구성된 NAT 형식에 따라 다릅니다. 예를 들어, 방화벽에는 인바운드 트래픽에 대한 DNAT 규칙이 있고, 방화벽을 통한 아웃바운드 트래픽에 대한 네트워크 규칙 및 애플리케이션 규칙이 있습니다.

자세한 내용은 Azure Firewall NAT 동작을 참조하세요.

시간 제한 및 크기 조정

연결 드레이닝은 어떻게 작동하나요?

계획된 유지 관리를 위해 연결 드레이닝 논리가 백 엔드 노드를 정상적으로 업데이트합니다. Azure Firewall은 기존 연결이 종료될 때까지 90초 동안 대기 합니다. 처음 45초 동안 백 엔드 노드는 새 연결을 수락하지 않으며 남은 시간에는 모든 수신 패킷에 대해 RST로 응답합니다. 필요한 경우 클라이언트는 자동으로 다른 백 엔드 노드에 대한 연결을 다시 설정할 수 있습니다.

Azure Firewall은 가상 머신 확장 집합 스케일 인(스케일 다운) 또는 집합 소프트웨어 업그레이드 중에 VM 인스턴스 종료를 어떻게 처리하나요?

Azure Firewall VM 인스턴스 종료는 가상 머신 확장 집합 스케일 인(스케일 다운) 또는 플릿 소프트웨어 업그레이드 중에 발생할 수 있습니다. 이러한 경우 새로 들어오는 연결은 나머지 방화벽 인스턴스에 부하 분산되고 종료된 방화벽 인스턴스에 전달되지 않습니다. 45초 후에 방화벽에서 TCP RST 패킷을 보내 기존 연결을 거부하기 시작합니다. 45초 후에 방화벽 VM이 종료됩니다. 자세한 내용은 Load Balancer TCP 다시 설정 및 유휴 시간 제한을 참조하세요.

Azure Firewall을 스케일 아웃하는 데 얼마나 걸리나요?

평균 처리량 또는 CPU 사용량이 60%이거나 연결 사용량이 80%인 경우 Azure Firewall은 점차 확장됩니다. 예를 들어 최대 처리량의 60%에 도달하면 스케일 아웃되기 시작합니다. 최대 처리량 수는 Azure Firewall SKU 및 사용 가능한 기능에 따라 달라집니다. 자세한 내용은 Azure Firewall 성능을 참조하세요.

스케일 아웃에는 5 ~ 7분 정도 걸립니다. 성능 테스트 시 10~15분 이상 테스트하고 새 연결을 시작하여 새로 만든 Azure Firewall 노드를 활용해야 합니다.

Azure Firewall에서 유휴 시간 제한을 어떻게 처리하나요?

연결에 유휴 시간 제한(4분 동안 활동 없음)이 있는 경우 Azure Firewall에서 TCP RST 패킷을 보내 연결을 정상적으로 종료합니다.

Azure Firewall은 Azure Virtual Network 리소스를 보호하는 관리되는 클라우드 기반 네트워크 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다. 구독 및 가상 네트워크 전반에 걸쳐 애플리케이션 및 네트워크 연결 정책을 중앙에서 만들고, 적용하고 기록할 수 있습니다.

Azure Firewall 기능의 자세한 목록은 Azure Firewall 기능을 참조하세요.

Azure Firewall은 모든 가상 네트워크에 배포할 수 있습니다. 그러나 일반적으로 허브 및 스포크 모델의 중앙 가상 네트워크에 배포되며 다른 가상 네트워크가 피어로 연결됩니다. 피어된 가상 네트워크의 기본 경로는 이 중앙 방화벽 가상 네트워크를 가리키도록 설정됩니다. 글로벌 가상 네트워크 피어링이 지원되지만 지역 간 잠재적인 성능 및 대기 시간 문제로 인해 권장되지 않습니다. 최적의 성능을 위해 지역당 하나의 방화벽을 배포합니다.

이 모델을 사용하면 여러 구독에서 여러 스포크 VNet을 중앙 집중식으로 제어할 수 있으며 각 가상 네트워크에 방화벽을 배포할 필요가 없도록 하여 비용을 절감할 수 있습니다. 트래픽 패턴에 따라 관련 피어링 비용에 대해 비용 절감을 평가해야 합니다.

Azure Firewall은 Azure Portal, PowerShell, REST API 또는 템플릿을 사용하여 배포할 수 있습니다. 단계별 지침은 자습서: Azure Portal을 사용하여 Azure Firewall 배포 및 구성을 참조하세요.

Azure Firewall은 규칙 및 규칙 컬렉션을 사용합니다. 규칙 컬렉션은 순서와 우선 순위가 같은 규칙 집합입니다. 규칙 컬렉션은 우선 순위에 따라 실행됩니다. DNAT 규칙 컬렉션은 네트워크 규칙 컬렉션보다 우선 순위가 높으며, 따라서 애플리케이션 규칙 컬렉션보다 우선 순위가 높습니다. 모든 규칙이 종료됩니다.

다음과 같은 세 가지 유형의 규칙 컬렉션이 있습니다.

• 애플리케이션 규칙: 가상 네트워크에서 액세스할 수 있는 FQDN(정규화된 도메인 이름)을 구성합니다.
• 네트워크 규칙: 원본 주소, 프로토콜, 대상 포트 및 대상 주소를 사용하여 규칙을 구성합니다.
• NAT 규칙: DNAT 규칙을 구성하여 수신 인터넷 또는 인트라넷(미리 보기) 연결을 허용합니다.

자세한 내용은 Azure Firewall 규칙 구성을 참조하세요.

Azure Firewall은 로그를 보고 분석하기 위해 Azure Monitor와 통합됩니다. Log Analytics, Azure Storage 또는 Event Hubs로 로그를 보내고 Log Analytics, Excel 또는 Power BI와 같은 도구를 사용하여 분석할 수 있습니다. 자세한 내용은 자습서: Azure Firewall 로그 모니터링을 참조하세요.

Azure Firewall은 가상 네트워크 리소스를 보호하는 관리형 클라우드 기반 네트워크 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다. 가상 네트워크 및 분기 인터넷 연결에 대한 보안을 강화하기 위해 타사 SECaaS(Security-as-a-Service) 공급자와 미리 통합되어 있습니다. 자세한 내용은 Azure 네트워크 보안을 참조하세요.

Application Gateway WAF는 일반적인 악용 및 취약성에 대해 웹 애플리케이션에 대한 중앙 집중식 인바운드 보호를 제공합니다. Azure Firewall은 비HTTP/S 프로토콜(예: RDP, SSH, FTP)에 대해 인바운드 보호를 제공하고, 모든 포트 및 프로토콜에 아웃바운드 네트워크 수준 보호를 제공하고 아웃바운드 HTTP/S에 애플리케이션 수준 보호를 제공합니다.

Azure Firewall은 NSG를 보완하여 더 나은 "심층 방어" 네트워크 보안을 제공합니다. NSG는 각 구독의 가상 네트워크 내에서 트래픽을 제한하기 위해 분산 네트워크 계층 트래픽 필터링을 제공합니다. Azure Firewall은 구독 및 가상 네트워크에서 중앙 집중식 완전 상태 저장 네트워크 및 애플리케이션 수준 보호를 제공합니다.

Azure Firewall은 NIC 수준 NSG를 사용하는 플랫폼 보호를 포함하여 여러 보호 계층이 있는 관리되는 서비스입니다(볼 수 없음). 서브넷 수준 NSG는 AzureFirewallSubnet에서 필요하지 않으며 서비스 중단을 방지하기 위해 사용하지 않도록 설정됩니다.

프라이빗 엔드포인트는 프라이빗 링크의 구성 요소로, 공용 주소 대신 개인 IP 주소를 사용하여 Azure PaaS 서비스와 상호 작용할 수 있는 기술입니다. Azure Firewall을 사용하여 공용 IP 주소에 대한 액세스를 방지할 수 있으므로 Private Link를 활용하지 않는 Azure 서비스에 대한 데이터 반출을 방지하고 조직에서 해당 Azure PaaS 서비스에 액세스해야 하는 사용자를 정의하여 제로 트러스트 정책을 구현할 수 있습니다. 기본값에 따라 Private Link는 전체 회사 네트워크에 대한 네트워크 액세스를 열기 때문에.

Azure Firewall을 사용하여 프라이빗 엔드포인트에 대한 트래픽을 검사하는 올바른 디자인은 네트워크 아키텍처에 따라 달라집니다. Azure Firewall 시나리오 문서에서 프라이빗 엔드포인트로 향하는 트래픽을 검사하는 자세한 내용을 확인할 수 있습니다.

Virtual Network 서비스 엔드포인트는 Azure PaaS 서비스에 대한 네트워크 액세스를 제어하는 Private Link의 대안입니다. 클라이언트가 여전히 공용 IP 주소를 사용하여 PaaS 서비스에 액세스하더라도 대상 PaaS 서비스가 필터 규칙을 구현하고 서브넷별로 액세스를 제한할 수 있도록 원본 서브넷이 표시됩니다. 프라이빗 엔드포인트와 서비스 엔드포인트 비교에서 두 메커니즘 간의 자세한 비교를 찾을 수 있습니다.

Azure Firewall 애플리케이션 규칙을 사용하여 불량 서비스에 대한 데이터 반출이 발생하지 않도록 하고 서브넷 수준 이상으로 세분성이 높아진 액세스 정책을 구현할 수 있습니다. 일반적으로 Azure 서비스에 연결할 클라이언트의 서브넷에서 가상 네트워크 서비스 엔드포인트를 사용하도록 설정해야 합니다. 그러나 Azure Firewall을 사용하여 서비스 엔드포인트에 대한 트래픽을 검사할 때는 대신 Azure Firewall 서브넷에서 해당 서비스 엔드포인트를 사용하도록 설정하고 실제 클라이언트(일반적으로 스포크 가상 네트워크)의 서브넷에서 사용하지 않도록 설정해야 합니다. 이렇게 하면 Azure Firewall의 애플리케이션 규칙을 사용하여 Azure 워크로드에 액세스할 Azure 서비스를 제어할 수 있습니다.

가격 책정 세부 정보는 Azure Firewall 가격 책정을 참조하세요.

서비스 제한은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.

Azure Firewall은 고객 데이터를 배포된 지역 외부로 이동하거나 저장하지 않습니다.

아니요, vWAN(보안 가상 허브)의 Azure Firewall은 현재 카타르에서 지원되지 않습니다.

예, Azure Firewall은 인바운드 및 아웃바운드 트래픽 필터링을 모두 지원합니다. 인바운드 필터링은 일반적으로 RDP, SSH 및 FTP와 같은 비 HTTP 프로토콜에 사용됩니다. 인바운드 HTTP 및 HTTPS 트래픽의 경우 Azure WAF(웹 애플리케이션 방화벽) 또는 Azure Firewall Premium의 TLS 오프로드 및 심층 패킷 검사 기능과 같은 웹 애플리케이션 방화 벽을 사용하는 것이 좋습니다.

예, Azure Firewall 기본은 강제 터널링을 지원합니다.

TCP ping은 실제로 대상 FQDN에 연결되지 않습니다. Azure Firewall은 규칙에서 명시적으로 허용하지 않는 한 대상 IP 주소 또는 FQDN에 대한 연결을 차단합니다.

TCP ping의 경우 트래픽을 허용하는 규칙이 없으면 방화벽 자체가 클라이언트의 TCP ping 요청에 응답합니다. 이 응답은 대상 IP 주소 또는 FQDN에 도달하지 않으며 기록되지 않습니다. 네트워크 규칙에서 대상 IP 주소 또는 FQDN에 대한 액세스를 명시적으로 허용하는 경우 ping 요청은 대상 서버에 도달하고 해당 응답은 클라이언트로 다시 릴레이됩니다. 이 이벤트는 네트워크 규칙 로그에 기록됩니다.

아니요, Azure Firewall은 기본적으로 BGP 피어링을 지원하지 않습니다. 그러나 Autolearn SNAT 경로 기능은 Azure Route Server를 통해 BGP를 간접적으로 사용합니다.

Azure PowerShell을 사용하여 Azure Firewall의 할당을 취소하고 할당할 수 있습니다. 프로세스는 구성에 따라 달라집니다.

관리 NIC가 없는 방화벽의 경우:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$publicip1 = Get-AzPublicIpAddress -Name "Public IP1 Name" -ResourceGroupName "RG Name"
$publicip2 = Get-AzPublicIpAddress -Name "Public IP2 Name" -ResourceGroupName "RG Name"
$azfw.Allocate($vnet, @($publicip1, $publicip2))
Set-AzFirewall -AzureFirewall $azfw

관리 NIC가 있는 방화벽의 경우:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
$pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
$mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
$azfw.Allocate($vnet, $pip, $mgmtPip)
Set-AzFirewall -AzureFirewall $azfw

보안 가상 허브의 방화벽의 경우:

# Stop the firewall
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
$azfw.Deallocate()
Set-AzFirewall -AzureFirewall $azfw

# Start the firewall
$virtualhub = Get-AzVirtualHub -ResourceGroupName "vHUB RG Name" -Name "vHUB Name"
$azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "Firewall RG Name"
$azfw.Allocate($virtualhub.Id)
Set-AzFirewall -AzureFirewall $azfw

참고 항목

방화벽을 중지하고 시작하면 청구가 중지되고 그에 따라 시작됩니다. 그러나 개인 IP 주소가 변경되어 경로 테이블이 구성된 경우 연결에 영향을 줄 수 있습니다.

초기 배포 중에 가용성 영역을 구성하는 것이 좋습니다. 그러나 다음과 같은 경우 배포 후 다시 구성할 수 있습니다.

• 방화벽은 가상 네트워크에 배포됩니다(보안 가상 허브에서는 지원되지 않음).
• 이 지역은 가용성 영역을 지원합니다.
• 연결된 모든 공용 IP 주소는 동일한 영역으로 구성됩니다.

가용성 영역을 다시 구성하려면 다음을 수행합니다.

1. 방화벽 할당을 취소합니다.

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $azfw.Deallocate()
   Set-AzFirewall -AzureFirewall $azfw
   

2. 영역 구성을 업데이트하고 방화벽을 할당합니다.

   $azfw = Get-AzFirewall -Name "FW Name" -ResourceGroupName "RG Name"
   $vnet = Get-AzVirtualNetwork -ResourceGroupName "RG Name" -Name "VNet Name"
   $pip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "azfwpublicip"
   $mgmtPip = Get-AzPublicIpAddress -ResourceGroupName "RG Name" -Name "mgmtpip"
   $azfw.Allocate($vnet, $pip, $mgmtPip)
   $azfw.Zones = 1, 2, 3
   Set-AzFirewall -AzureFirewall $azfw
   

예:

• Azure Firewall 및 가상 네트워크는 동일한 리소스 그룹에 있어야 합니다.
• 공용 IP 주소는 다른 리소스 그룹에 있을 수 있습니다.
• 모든 리소스(Azure 방화벽, 가상 네트워크, 공용 IP)는 동일한 구독에 있어야 합니다.

프로비전 실패 상태는 하나 이상의 백 엔드 인스턴스에서 구성 업데이트가 실패했음을 나타냅니다. Azure Firewall은 계속 작동하지만 구성이 일치하지 않을 수 있습니다. 프로비전 상태가 Succeeded로 변경될 때까지 업데이트를 다시 시도합니다.

Azure Firewall은 여러 백 엔드 노드가 있는 활성-활성 구성을 사용합니다. 계획된 유지 관리 중에 연결 드레이닝은 정상적인 업데이트를 보장합니다. 계획되지 않은 오류의 경우 새 노드는 실패한 노드를 대체하고 연결은 일반적으로 10초 이내에 복원됩니다.

예, 방화벽 이름은 50자로 제한됩니다.

/26 서브넷은 Azure Firewall이 추가 가상 머신 인스턴스를 프로비전함에 따라 크기 조정을 위한 충분한 IP 주소를 보장합니다.

아니요, /26 서브넷은 모든 크기 조정 시나리오에 충분합니다.

Azure Firewall은 CPU 사용량, 처리량 및 연결 수에 따라 자동으로 확장됩니다. 처리량 용량의 범위는 처음에 2.5~3Gbps에서 30Gbps(표준 SKU) 또는 100Gbps(프리미엄 SKU)입니다.

예. 자세한 내용은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.

아니요, IP 그룹을 다른 리소스 그룹으로 이동하는 것은 현재 지원되지 않습니다.

네트워크 방화벽의 표준 동작은 TCP 연결을 활성 상태로 유지하고 활동이 없는 경우 즉시 종료하는 것입니다. Azure Firewall TCP 유휴 시간 제한은 4분입니다. 이 설정은 사용자가 구성할 수 없지만, Azure 지원에 문의하여 인바운드 및 아웃바운드 연결에 대한 유휴 시간 제한을 최대 15분까지 늘릴 수 있습니다. 횡방향 트래픽에 대한 유휴 시간 제한은 변경할 수 없습니다.

비활성 기간이 시간 제한 값보다 길면 TCP 또는 HTTP 세션이 유지되지 않을 수 있습니다. 일반적인 방법은 TCP 연결 유지를 사용하는 것입니다. 이 방법은 더 오랜 기간 동안 연결을 활성 상태로 유지합니다. 자세한 내용은 이러한 .NET 예제를 참조하세요.

예, 하지만 강제 터널링 모드에서 방화벽을 구성해야 합니다. 이 구성은 Azure Firewall에서 작업에 사용되는 공용 IP 주소로 관리 인터페이스를 만듭니다. 이 공용 IP 주소는 관리 트래픽을 위한 것입니다. Azure 플랫폼에서만 사용되며 다른 용도로는 사용할 수 없습니다. 테넌트 데이터 경로 네트워크는 공용 IP 주소 없이 구성할 수 있으며 인터넷 트래픽은 다른 방화벽으로 강제 터널화되거나 완전히 차단될 수 있습니다.

예. 자세한 내용은 Logic Apps를 사용하여 Azure Firewall 및 Azure Firewall 정책 백업을 참조하세요.

PaaS 서비스에 안전하게 액세스하려면 서비스 엔드포인트를 사용하는 것이 좋습니다. Azure Firewall 서브넷에서 서비스 엔드포인트를 사용하도록 설정하고 연결된 스포크 가상 네트워크에서는 사용하지 않도록 설정할 수 있습니다. 이러한 방식으로 서비스 엔드포인트 보안과 모든 트래픽에 대한 중앙 로깅 기능의 이점을 모두 얻을 수 있습니다.

예, 허브 가상 네트워크에서 Azure Firewall을 사용하여 여러 스포크 가상 네트워크 간의 트래픽을 라우팅하고 필터링할 수 있습니다. 이 시나리오가 적절하게 작동하려면 각각의 스포크 가상 네트워크 서브넷에 Azure Firewall을 기본 게이트웨이로 가리키는 UDR이 포함되어 있어야 합니다.

예. 그러나 동일한 가상 네트워크의 서브넷 간에 트래픽을 리디렉션하도록 UDR을 구성하려면 더 많은 주의가 필요합니다. 가상 네트워크 주소 범위를 UDR의 대상 접두사로 사용하는 것으로 충분하지만, Azure Firewall 인스턴스를 통해 동일한 서브넷의 다른 컴퓨터로 모든 트래픽을 라우팅합니다. 이를 방지하려면 다음 홉 유형의 가상 네트워크를 사용하여 UDR에 서브넷에 대한 경로를 포함합니다. 이러한 경로 관리는 번거롭고 오류가 발생하기 쉬울 수 있습니다. 내부 네트워크 조각화에 대해 UDR이 필요 없는 네트워크 보안 그룹을 사용하는 방법이 권장됩니다.

대상 IP 주소가 개인 네트워크의 경우 IANA RFC 1918 또는 IANA RFC 6598당 개인 IP 범위인 경우 Azure Firewall은 SNAT를 수행하지 않습니다. 조직에서 개인 네트워크에 대해 공용 IP 주소 범위를 사용하면 Azure Firewall은 AzureFirewallSubnet의 방화벽 개인 IP 주소 중 하나에 트래픽을 SNAT합니다. 공용 IP 주소 범위를 SNAT하지 않도록 Azure 방화벽을 구성할 수 있습니다. 자세한 내용은 Azure Firewall SNAT 개인 IP 주소 범위를 참조하세요.

또한 애플리케이션 규칙으로 처리된 트래픽은 항상 SNAT로 처리됩니다. 로그에서 FQDN 트래픽에 대한 원래의 원본 IP 주소를 확인하려면 대상 FQDN이 포함된 네트워크 규칙을 사용할 수 있습니다.

강제 터널링은 새 방화벽을 만들 때 지원됩니다. 강제 터널링을 위해 기존 방화벽을 구성할 수는 없습니다. 자세한 내용은 Azure Firewall 강제 터널링을 참조하세요.

Azure Firewall에는 직접 인터넷 연결이 있어야 합니다. AzureFirewallSubnet이 BGP를 통해 온-프레미스 네트워크에 대한 기본 경로를 학습하는 경우 이 경로를 직접 인터넷 연결을 유지하기 위해 Internet으로 설정된 NextHopType 값을 통해 0.0.0.0/0 UDR로 재정의해야 합니다.

구성에 온-프레미스 네트워크에 대한 강제 터널링이 필요하고 인터넷 대상의 대상 IP 접두사를 확인할 수 있는 경우, AzureFirewallSubnet의 사용자 정의 경로를 통해 온-프레미스 네트워크를 사용하여 이러한 범위를 다음 홉으로 구성할 수 있습니다. 또는 BGP를 사용하여 이러한 경로를 정의할 수 있습니다.

• URL - 별표는 오른쪽 또는 왼쪽 끝에 배치되면 작동합니다. 왼쪽에 있으면 FQDN의 일부가 될 수 없습니다.
• FQDN - 별표는 왼쪽 끝에 배치되면 작동합니다.
• 일반 - 가장 왼쪽에 있는 별표는 문자 그대로 왼쪽에 있는 모든 항목이 일치함을 의미합니다. 즉, 여러 하위 도메인 및/또는 잠재적으로 원치 않는 도메인 이름 변형이 일치함을 의미합니다. 다음 예를 참조하세요.

예:

유형	규칙	지원?	허용되는 예
타겟URL	www.contoso.com	예	www.contoso.com www.contoso.com/
타겟URL	*.contoso.com	예	any.contoso.com/ sub1.any.contoso.com
타겟URL	*contoso.com	예	example.anycontoso.com sub1.example.contoso.com contoso.com 경고: 이 와일드카드 사용은 th3re4lcontoso.com과 같은 잠재적으로 바람직하지 않거나 위험한 변형을 허용하므로 주의해서 사용합니다.
타겟URL	www.contoso.com/test	예	www.contoso.com/test www.contoso.com/test/ www.contoso.com/test?with_query=1
타겟URL	www.contoso.com/test/*	예	www.contoso.com/test/anything 참고: 일치하지 www.contoso.com/test않음(마지막 슬래시)
타겟URL	www.contoso.*/test/*	아니요
타겟URL	www.contoso.com/test?example=1	아니요
타겟URL	www.contoso.*	아니요
타겟URL	www.*contoso.com	아니요
타겟URL	www.contoso.com:8080	아니요
타겟URL	*.contoso.*	아니요
대상 FQDN	www.contoso.com	예	www.contoso.com
대상 FQDN	*.contoso.com	예	any.contoso.com 참고: contoso.com을 구체적으로 허용하려면 규칙에 contoso.com을 포함해야 합니다. 그렇지 않으면 요청이 어떤 규칙과도 일치하지 않기 때문에 기본적으로 연결이 끊어집니다.
대상 FQDN	*contoso.com	예	example.anycontoso.com contoso.com
대상 FQDN	www.contoso.*	아니요
대상 FQDN	*.contoso.*	아니요

아니요. Azure Firewall은 기본적으로 Active Directory 액세스를 차단합니다. 액세스를 허용하려면 AzureActiveDirectory 서비스 태그를 구성합니다. 자세한 내용은 Azure Firewall 서비스 태그를 참조하세요.

예, Microsoft Azure PowerShell을 통해 가능합니다.

# Add a Threat Intelligence allowlist to an Existing Azure Firewall.

# Create the allowlist with both FQDN and IPAddresses
$fw = Get-AzFirewall -Name "Name_of_Firewall" -ResourceGroupName "Name_of_ResourceGroup"
$fw.ThreatIntelWhitelist = New-AzFirewallThreatIntelWhitelist `
   -FQDN @("fqdn1", "fqdn2", …) -IpAddress @("ip1", "ip2", …)

# Or Update FQDNs and IpAddresses separately
$fw = Get-AzFirewall -Name $firewallname -ResourceGroupName $RG
$fw.ThreatIntelWhitelist.IpAddresses = @($fw.ThreatIntelWhitelist.IpAddresses + $ipaddresses)
$fw.ThreatIntelWhitelist.fqdns = @($fw.ThreatIntelWhitelist.fqdns + $fqdns)


Set-AzFirewall -AzureFirewall $fw

Azure Firewall은 현재 유휴 대기 시간 없이 아웃바운드 SNAT 트래픽에 TCP/UDP 원본 포트를 사용합니다. TCP/UDP 연결이 닫혀 있으면 사용된 TCP 포트가 곧 연결에 사용할 수 있는 것으로 즉시 표시됩니다.

특정 아키텍처에 대한 해결 방법으로 Azure Firewall을 사용하여 NAT Gateway를 배포하고 확장하여 가변성 및 가용성을 위해 더 넓은 SNAT 포트 풀을 제공할 수 있습니다.

특정 NAT 동작은 방화벽 구성과 구성된 NAT 형식에 따라 다릅니다. 예를 들어, 방화벽에는 인바운드 트래픽에 대한 DNAT 규칙이 있고, 방화벽을 통한 아웃바운드 트래픽에 대한 네트워크 규칙 및 애플리케이션 규칙이 있습니다.

자세한 내용은 Azure Firewall NAT 동작을 참조하세요.

계획된 유지 관리를 위해 연결 드레이닝 논리가 백 엔드 노드를 정상적으로 업데이트합니다. Azure Firewall은 기존 연결이 종료될 때까지 90초 동안 대기 합니다. 처음 45초 동안 백 엔드 노드는 새 연결을 수락하지 않으며 남은 시간에는 모든 수신 패킷에 대해 RST로 응답합니다. 필요한 경우 클라이언트는 자동으로 다른 백 엔드 노드에 대한 연결을 다시 설정할 수 있습니다.

Azure Firewall VM 인스턴스 종료는 가상 머신 확장 집합 스케일 인(스케일 다운) 또는 플릿 소프트웨어 업그레이드 중에 발생할 수 있습니다. 이러한 경우 새로 들어오는 연결은 나머지 방화벽 인스턴스에 부하 분산되고 종료된 방화벽 인스턴스에 전달되지 않습니다. 45초 후에 방화벽에서 TCP RST 패킷을 보내 기존 연결을 거부하기 시작합니다. 45초 후에 방화벽 VM이 종료됩니다. 자세한 내용은 Load Balancer TCP 다시 설정 및 유휴 시간 제한을 참조하세요.

평균 처리량 또는 CPU 사용량이 60%이거나 연결 사용량이 80%인 경우 Azure Firewall은 점차 확장됩니다. 예를 들어 최대 처리량의 60%에 도달하면 스케일 아웃되기 시작합니다. 최대 처리량 수는 Azure Firewall SKU 및 사용 가능한 기능에 따라 달라집니다. 자세한 내용은 Azure Firewall 성능을 참조하세요.

스케일 아웃에는 5 ~ 7분 정도 걸립니다. 성능 테스트 시 10~15분 이상 테스트하고 새 연결을 시작하여 새로 만든 Azure Firewall 노드를 활용해야 합니다.

연결에 유휴 시간 제한(4분 동안 활동 없음)이 있는 경우 Azure Firewall에서 TCP RST 패킷을 보내 연결을 정상적으로 종료합니다.