Azure Firewall 서비스 태그

서비스 태그는 보안 규칙 생성에 대한 복잡성을 최소화할 수 있는 IP 주소 접두사의 그룹을 나타냅니다. 사용자 고유의 서비스 태그를 직접 만들 수 없거나 태그 내에 포함할 IP 주소를 지정할 수 없습니다. Microsoft에서는 서비스 태그에서 압축한 주소 접두사를 관리하고 주소를 변경하는 대로 서비스 태그를 자동으로 업데이트합니다.

Azure Firewall 서비스 태그는 네트워크 규칙 대상 필드에 사용할 수 있습니다. 특정 IP 주소 대신 서비스 태그를 사용할 수 있습니다.

지원되는 서비스 태그

Azure Firewall 네트워크 규칙에 사용할 수 있는 서비스 태그는 다음과 같습니다.

• 가상 네트워크 서비스 태그에 나열된 다양한 Microsoft 및 Azure 서비스용 태그.
• Office365 제품 및 범주별로 분할된 Office365 서비스 필수 IP 주소에 대한 태그. 규칙에서 TCP/UDP 포트를 정의해야 합니다. 자세한 내용은 Azure Firewall을 사용하여 Office 365 보호를 참조하세요.

구성

Azure Firewall은 PowerShell, Azure CLI 또는 Azure Portal을 통해 서비스 태그 구성을 지원합니다.

Azure PowerShell을 통해 구성

이 예에서는 클래식 규칙을 사용하여 Azure Firewall을 변경해 보겠습니다. 먼저, 이전에 만든 Azure Firewall 인스턴스에 대한 컨텍스트를 파악해야 합니다.

$FirewallName = "AzureFirewall"
$ResourceGroup = "AzureFirewall-RG"
$azfirewall = Get-AzFirewall -Name $FirewallName -ResourceGroupName $ResourceGroup

그런 다음, 새 규칙을 만들어야 합니다. 대상의 경우 이전에 설명한 대로 사용할 서비스 태그의 텍스트 값을 지정할 수 있습니다.

$rule = New-AzFirewallNetworkRule -Name "AllowSQL" -Description "Allow access to Azure Database as a Service (SQL, MySQL, PostgreSQL, Datawarehouse)" -SourceAddress "10.0.0.0/16" -DestinationAddress Sql -DestinationPort 1433 -Protocol TCP
$ruleCollection = New-AzFirewallNetworkRuleCollection -Name "Data Collection" -Priority 1000 -Rule $rule -ActionType Allow

다음으로, Azure Firewall 정의가 포함된 변수를 만든 새 네트워크 규칙으로 업데이트해야 합니다.

$azFirewall.NetworkRuleCollections.add($ruleCollection)

마지막으로, 실행 중인 Azure Firewall 인스턴스에 네트워크 규칙 변경 사항을 커밋해야 합니다.

Set-AzFirewall -AzureFirewall $azfirewall

다음 단계

Azure Firewall 규칙에 대한 자세한 내용은 Azure Firewall 규칙 처리 논리를 참조하세요.