Azure Firewall 강제 터널링
새 Azure Firewall을 구성하는 경우 인터넷으로 직접 이동하는 대신 인터넷에 바인딩된 모든 트래픽을 지정된 다음 홉으로 라우팅할 수 있습니다. 예를 들어 BGP를 통해 보급되거나 UDR(사용자 정의 경로)을 사용하여 온-프레미스 에지 방화벽 또는 기타 NVA(네트워크 가상 어플라이언스)로의 트래픽이 인터넷에 전달되기 전에 네트워크 트래픽을 처리하도록 강제하는 기본 경로가 있을 수 있습니다. 이 구성을 지원하려면 강제 터널링 구성을 사용하도록 설정된 Azure Firewall을 만들어야 합니다. 이는 서비스 중단을 방지하기 위한 필수 요구 사항입니다.
기존 방화벽이 있는 경우 강제 터널링 모드에서 방화벽을 중지/시작하여 이 구성을 지원해야 합니다. 방화벽 중지/시작을 사용하여 방화벽을 다시 배포할 필요 없이 방화벽을 강제 터널링하도록 구성할 수 있습니다. 중단을 방지하려면 기본 시간 동안 이 작업을 수행해야 합니다. 자세한 내용은 강제 터널링 모드에서 방화벽을 중지하고 다시 시작하는 방법에 대한 Azure Firewall FAQ를 참조하세요.
공용 IP 주소를 인터넷에 직접 노출하지 않는 것이 좋습니다. 이 경우 공용 IP 주소 없이 강제 터널링 모드로 Azure Firewall을 배포할 수 있습니다. 이 구성은 Azure Firewall에서 작업에 사용되는 공용 IP 주소로 관리 인터페이스를 만듭니다. 공용 IP 주소는 Azure 플랫폼에서만 사용되며 다른 용도로는 사용할 수 없습니다. 테넌트 데이터 경로 네트워크는 공용 IP 주소 없이 구성할 수 있으며 인터넷 트래픽은 다른 방화벽으로 강제 터널되거나 차단될 수 있습니다.
Azure Firewall은 공용 IP 주소에 대한 모든 아웃바운드 트래픽에 자동 SNAT을 제공합니다. IANA RFC 1918에 따라 대상 IP 주소가 개인 IP 주소 범위인 경우 Azure Firewall은 SNAT를 지원하지 않습니다. 이 논리는 인터넷으로 직접 송신할 때 완벽하게 작동합니다. 하지만 강제 터널링을 사용하도록 설정하면 인터넷 바인딩된 트래픽이 AzureFirewallSubnet의 방화벽 개인 IP 주소 중 하나로 SNAT됩니다. 그러면 온-프레미스 방화벽에서 원본 주소가 숨겨지게 됩니다. 대상 IP 주소에 관계없이 Azure Firewall을 SNAT하지 않도록 구성하려면 0.0.0.0/0을 개인 IP 주소 범위로 추가합니다. 이 구성을 사용하면 Azure Firewall은 인터넷으로 직접 송신할 수 없습니다. 자세한 내용은 Azure Firewall SNAT 개인 IP 주소 범위를 참조하세요.
Important
Virtual WAN Hub(보안 가상 허브) 내에 Azure Firewall을 배포하는 경우 Express Route 또는 VPN Gateway를 통해 기본 경로를 보급하는 것은 현재 지원되지 않습니다. 수정 사항을 조사하고 있습니다.
Important
DNAT는 강제 터널링을 사용하도록 설정하여 지원되지 않습니다. 강제 터널링을 사용하도록 설정된 방화벽은 비대칭 라우팅으로 인해 인터넷에서 인바운드 액세스를 지원할 수 없습니다.
강제 터널링 구성
다음 스크린샷과 같이 강제 터널링 모드를 사용하도록 설정하여 방화벽을 만드는 동안 강제 터널링을 구성할 수 있습니다. 강제 터널링을 지원하기 위해 서비스 관리 트래픽은 고객 트래픽과 구분됩니다. 연결된 공용 IP 주소에는 AzureFirewallManagementSubnet(최소 서브넷 크기/26)이라는 다른 전용 서브넷이 필요합니다. 이 공용 IP 주소는 관리 트래픽을 위한 것입니다. Azure 플랫폼에서만 사용되며 다른 용도로는 사용할 수 없습니다.
강제 터널링 모드에서 Azure Firewall 서비스는 운영 목적으로 관리 서브넷(AzureFirewallManagementSubnet)을 통합합니다. 기본적으로 서비스는 시스템 제공 경로 테이블을 관리 서브넷에 연결합니다. 이 서브넷에서 허용되는 유일한 경로는 인터넷에 대한 기본 경로이며 게이트웨이 전파 경로가 비활성화되어야 합니다. 방화벽을 생성할 때 고객 경로 테이블을 관리 서브넷에 연결하지 마세요.
이 구성 내에서 AzureFirewallSubnet은 이제 온-프레미스 방화벽 또는 NVA 경로를 포함하여 트래픽이 인터넷에 전달되기 전에 트래픽을 처리할 수 있습니다. 이 서브넷에서 게이트웨이 경로 전파가 사용하도록 설정된 경우에는 BGP를 통해 해당 경로를 AzureFirewallSubnet에 게시할 수도 있습니다.
예를 들어 VPN 게이트웨이를 온-프레미스 디바이스에 대한 다음 홉으로 사용하여 기본 경로를 AzureFirewallSubnet에 만들 수 있습니다. 또는 게이트웨이 경로 전파를 사용하도록 설정하여 온-프레미스 네트워크에 대한 적절한 경로를 가져올 수 있습니다.
강제 터널링을 사용하도록 설정하면 인터넷 바인딩된 트래픽이 AzureFirewallSubnet의 방화벽 개인 IP 주소 중 하나로 SNAT되어 온-프레미스 방화벽에서 원본을 숨깁니다.
조직에서 개인 네트워크에 대해 공용 IP 주소 범위를 사용하면 Azure Firewall은 AzureFirewallSubnet의 방화벽 개인 IP 주소 중 하나에 트래픽을 SNAT합니다. 하지만 공용 IP 주소 범위를 SNAT하지 않도록 Azure Firewall을 구성할 수 있습니다. 자세한 내용은 Azure Firewall SNAT 개인 IP 주소 범위를 참조하세요.
강제 터널링을 지원하도록 Azure Firewall을 구성하면 구성을 실행 취소할 수 없습니다. 방화벽에서 다른 모든 IP 구성을 제거하면 관리 IP 구성도 제거되고 방화벽의 할당이 취소됩니다. 관리 IP 구성에 할당된 공용 IP 주소를 제거할 수 없지만 다른 공용 IP 주소를 할당할 수 있습니다.