Azure 방화벽 정책 규칙 집합

  • 아티클

방화벽 정책은 Azure Firewall에 대한 보안/운영 설정을 포함하는 최상위 리소스입니다. 방화벽 정책을 사용하여 Azure Firewall이 트래픽을 필터링하는 데 사용하는 규칙 집합을 관리할 수 있습니다. 방화벽 정책은 규칙 컬렉션 그룹, 규칙 컬렉션 및 규칙의 구성 요소를 사용하여 계층 구조에 따라 규칙 집합을 구성하고 우선 순위를 지정하며 처리합니다.

Azure Policy rule set hierarchy

규칙 컬렉션 그룹

규칙 컬렉션 그룹은 규칙 컬렉션을 그룹화하는 데 사용됩니다. 이는 Azure Firewall에서 처리되는 첫 번째 단위이며 값을 기준으로 우선 순위 순서를 따릅니다. 세 가지 기본 규칙 컬렉션 그룹이 있고, 우선 순위 값은 기본적으로 사전 설정됩니다. 이 그룹은 다음 순서로 처리됩니다.

규칙 컬렉션 그룹 이름 우선 순위
기본 DNAT(Destination Network Address Translation) 규칙 컬렉션 그룹 100
기본 네트워크 규칙 컬렉션 그룹 200
기본 애플리케이션 규칙 컬렉션 그룹 300

기본 규칙 컬렉션 그룹을 삭제하거나 우선 순위 값을 수정할 수는 없지만, 다른 방식으로 처리 순서를 조작할 수는 있습니다. 기본 디자인과 다른 우선 순위 순서를 정의해야 하는 경우 원하는 우선 순위 값으로 사용자 지정 규칙 컬렉션 그룹을 만들 수 있습니다. 이 시나리오에서는 기본 규칙 컬렉션 그룹을 전혀 사용하지 않고, 만든 그룹만 사용하여 처리 논리를 사용자 지정합니다.

규칙 컬렉션 그룹에는 DNAT, 네트워크 또는 애플리케이션 유형일 수 있는 규칙 컬렉션이 한 가지 이상 포함됩니다. 예를 들어 동일한 워크로드에 속하는 규칙을 그룹화하거나 규칙 컬렉션 그룹에서 VNet을 그룹화할 수 있습니다.

규칙 컬렉션 그룹 크기 제한 사항은 Azure 구독 및 서비스 제한, 할당량 및 제약 조건을 참조하세요.

규칙 컬렉션

규칙 컬렉션은 규칙 컬렉션 그룹에 속하며 하나 이상의 규칙을 포함합니다. 이는 방화벽에서 처리하는 두 번째 단위이며 값을 기준으로 우선 순위 순서를 따릅니다. 규칙 컬렉션에는 정의된 동작(허용 또는 거부)과 우선 순위 값이 있어야 합니다. 정의된 동작은 규칙 컬렉션 내의 모든 규칙에 적용됩니다. 우선 순위 값은 규칙 컬렉션이 처리되는 순서를 결정합니다.

다음과 같은 세 가지 유형의 규칙 컬렉션이 있습니다.

  • DNAT
  • 네트워크
  • 애플리케이션

규칙 유형은 부모 규칙 컬렉션 범주와 일치해야 합니다. 예를 들어 DNAT 규칙은 DNAT 규칙 컬렉션에만 속할 수 있습니다.

규칙

규칙은 규칙 컬렉션에 속하며, 네트워크에서 허용되거나 거부되는 트래픽을 지정합니다. 이는 방화벽에서 처리하는 세 번째 단위이며 값을 기준으로 우선 순위 순서를 따르지 않습니다. 규칙 처리 논리는 하향식 접근 방식을 따릅니다. 방화벽을 통과하는 모든 트래픽은 허용 또는 거부 일치에 정의된 규칙에 따라 평가됩니다. 트래픽을 허용하는 규칙이 없으면 트래픽은 기본적으로 거부됩니다.

애플리케이션 규칙의 경우 트래픽이 기본적으로 거부되기 전에 기본 제공 인프라 규칙 컬렉션에 따라 처리됩니다.

인바운드 및 아웃바운드

인바운드 방화벽 규칙은 네트워크 외부에서 발생하는 위협(인터넷에서 발생한 트래픽)으로부터 네트워크를 보호하고 내부적으로 네트워크에 침투하려고 시도합니다.

아웃바운드 방화벽 규칙은 내부적으로 발생하고(Azure 내의 개인 IP 주소에서 원본이 되는 트래픽) 외부로 이동하는 사악한 트래픽으로부터 보호합니다. 일반적으로 대상에 도달하기 전에 방화벽을 통해 리디렉션되는 Azure 리소스 내의 트래픽입니다.

규칙 유형

세 가지 유형의 규칙이 있습니다.

  • DNAT
  • 네트워크
  • 애플리케이션

DNAT 규칙

DNAT 규칙은 방화벽 공용 IP 주소를 통해 인바운드 트래픽을 허용하거나 거부합니다. 공용 IP 주소를 개인 IP 주소로 변환하려는 경우 DNAT 규칙을 사용할 수 있습니다. Azure Firewall 공용 IP 주소를 사용해 인터넷에서 인바운드 트래픽을 수신 대기하고, 트래픽을 필터링하며, 이 트래픽을 Azure의 내부 리소스로 변환할 수 있습니다.

네트워크 규칙

네트워크 규칙은 L3(네트워크 계층) 및 L4(전송 계층)에 따라 인바운드, 아웃바운드, 동-서 트래픽을 허용하거나 거부합니다.
IP 주소와 포트, 프로토콜을 기준으로 트래픽을 필터링하려는 경우 네트워크 규칙을 사용할 수 있습니다.

애플리케이션 규칙

애플리케이션 규칙은 애플리케이션 계층(L7)에 따라 아웃바운드 및 동-서 트래픽을 허용하거나 거부합니다. FQDN(정규화된 도메인 이름), URL 및 HTTP/HTTPS 프로토콜을 기준으로 트래픽을 필터링하려는 경우 애플리케이션 규칙을 사용할 수 있습니다.

다음 단계