사용자 VPN 클라이언트용 스포크 VNet의 리소스에 대한 보안 액세스 관리

이 문서에서는 Virtual WAN 및 Azure Firewall 규칙과 필터를 사용하여 지점 및 사이트 간 IKEv2 또는 VPN 연결 열기를 통해 Azure의 리소스로 연결에 대한 보안 액세스를 관리하는 방법을 설명합니다. 이 구성은 Azure 리소스에 대한 액세스를 제한하거나 Azure에서 리소스를 보호하려는 원격 사용자가 있는 경우에 유용합니다.

이 문서의 단계는 다음 다이어그램에서 아키텍처를 만들어 사용자 VPN 클라이언트에서 가상 허브에 연결된 스포크 VNet의 특정 리소스(VM1)에 액세스하도록 허용하지만 다른 리소스(VM2)에는 액세스하지 못하도록 하는 데 도움이 됩니다. 이 아키텍처 예를 기본 지침으로 사용합니다.

필수 조건

• Azure 구독이 있습니다. Azure 구독이 없는 경우 무료 계정을 만드세요.

• 연결하려는 가상 네트워크가 있습니다.

  • 온-프레미스 네트워크의 어떤 서브넷도 연결하려는 가상 네트워크 서브넷과 중첩되지 않는지 확인합니다.
  • Azure Portal에서 가상 네트워크를 만들려면 빠른 시작 문서를 참조하세요.

• 가상 네트워크에는 기존 가상 네트워크 게이트웨이가 없어야 합니다.

  • 가상 네트워크에 이미 게이트웨이(VPN 또는 ExpressRoute)가 있는 경우 계속하기 전에 모든 게이트웨이를 제거해야 합니다.
  • 이 구성을 사용하려면 가상 네트워크가 Virtual WAN 허브 게이트웨이에만 연결되어야 합니다.

• 가상 허브 프라이빗 주소 공간에 사용할 IP 주소 범위를 결정합니다. 이 정보는 가상 허브를 구성할 때 사용됩니다. 가상 허브는 Virtual WAN에서 만들고 사용하는 가상 네트워크입니다. 이는 지역에서 Virtual WAN 네트워크의 핵심입니다. 주소 공간 범위는 특정 규칙을 따라야 합니다.

  • 허브에 지정하는 주소 범위는 연결하는 기존 가상 네트워크와 겹칠 수 없습니다.
  • 주소 범위는 연결하는 온-프레미스 주소 범위와 겹칠 수 없습니다.
  • 온-프레미스 네트워크 구성에 있는 IP 주소 범위를 잘 모른다면 세부 정보를 알고 있는 다른 사람의 도움을 받으세요.

• 사용하려는 인증 구성에 사용 가능한 값이 있습니다. RADIUS 서버, Microsoft Entra 인증서 또는 인증서 생성 및 내보내기가 해당됩니다.

가상 WAN 만들기

1. 포털의 리소스 검색 표시줄에서 검색 상자에 Virtual WAN을 입력하고 Enter를 선택합니다.

2. 결과에서 Virtual WAN을 선택합니다. Virtual WAN 페이지에서 + 만들기를 선택하여 WAN 만들기 페이지를 엽니다.

3. WAN 만들기 페이지의 기본 사항 탭에서 필드를 입력합니다. 사용자 환경에 적용할 예제 값을 수정합니다.

   

   • 구독: 사용할 구독을 선택합니다.
   • 리소스 그룹: 새로 만들거나 기존 항목을 사용합니다.
   • 리소스 그룹 위치: 드롭다운에서 리소스 위치를 선택합니다. WAN은 전역 리소스이며 특정 지역에 상주하지 않습니다. 그러나 사용자가 만든 WAN 리소스를 관리하고 찾으려면 지역을 선택해야 합니다.
   • 이름: 가상 WAN을 호출할 이름을 입력합니다.
   • 유형: 기본 또는 표준. 표준을 선택합니다. 기본을 선택하는 경우 기본 가상 WAN에는 기본 허브만 포함될 수 있습니다. 기본 허브는 사이트 간 연결에만 사용할 수 있습니다.

4. 필드 작성을 완료한 후 페이지 하단에서 검토 + 만들기를 선택합니다.

5. 유효성 검사를 통과하면 만들기를 클릭하여 Virtual WAN을 만듭니다.

P2S 구성 매개 변수 정의

P2S(지점 및 사이트 간) 구성은 원격 클라이언트 연결에 사용되는 매개 변수를 정의합니다. 이 섹션은 P2S 구성 매개 변수를 정의한 다음, VPN 클라이언트 프로필에 사용할 구성을 만드는 데 도움이 됩니다. 따르는 지침은 사용하려는 인증 방법에 따라 달라집니다.

인증 방법

인증 방법을 선택할 때 세 가지 선택 사항이 있습니다. 방법마다 특별한 요구 사항이 있습니다. 다음 방법 중 하나를 선택하여 단계를 완료합니다.

• Microsoft Entra 인증: 다음을 가져옵니다.

  • Microsoft Entra 테넌트에 등록된 Azure VPN 엔터프라이즈 애플리케이션의 애플리케이션 ID입니다.
  • 발급자. 예: https://sts.windows.net/your-Directory-ID
  • Microsoft Entra 테넌트. 예: https://login.microsoftonline.com/your-Directory-ID

• Radius 기반 인증: Radius 서버 IP, Radius 서버 비밀 및 인증서 정보를 가져옵니다.

• Azure 인증서: 이 구성에서는 인증서가 필요합니다. 인증서를 생성하거나 가져와야 합니다. 클라이언트마다 클라이언트 인증서가 필요합니다. 또한 루트 인증서 정보(공개 키)를 업로드해야 합니다. 필요한 인증서에 대한 자세한 내용은 인증서 생성 및 내보내기를 참조하세요.

1. 사용자가 만든 가상 WAN으로 이동합니다.

2. 왼쪽의 메뉴에서 사용자 VPN 구성을 선택합니다.

3. 사용자 VPN 구성 페이지에서 +사용자 VPN config 만들기를 선택합니다.

   

4. 새 사용자 VPN 구성 만들기 페이지 기본 사항 탭의 인스턴스 세부 정보에서 VPN 구성에 할당할 이름을 입력합니다.

   

5. 터널 유형에 대해 드롭다운에서 원하는 터널 유형을 선택합니다. 터널 유형 옵션에는 IKEv2 VPN, OpenVPN 및 OpenVpn 및 IKEv2가 있습니다. 각 터널 형식에는 특정 필수 설정이 있습니다. 선택한 터널 형식은 사용 가능한 인증 선택 사항에 해당합니다.

   요구 사항 및 매개 변수:

   IKEv2 VPN

   • 요구 사항: IKEv2 터널 유형을 선택하면 인증 방법을 선택하도록 지시하는 메시지가 표시됩니다. IKEv2의 경우 여러 인증 방법을 지정할 수 있습니다. Azure 인증서, RADIUS 기반 인증 또는 둘 다를 선택할 수 있습니다.

   • IPSec 사용자 지정 매개 변수: IKE 1단계 및 IKE 2단계의 매개 변수를 사용자 정의하려면 IPsec 스위치를 사용자 정의로 전환하고 매개 변수 값을 선택합니다. 사용자 지정 가능한 매개 변수에 대한 자세한 내용은 사용자 지정 IPsec 문서를 참조하세요.

   OpenVPN

   • 요구 사항: OpenVPN 터널 유형을 선택하면 인증 메커니즘을 선택하도록 지시하는 메시지가 표시됩니다. OpenVPN을 터널 유형으로 선택한 경우 여러 인증 방법을 지정할 수 있습니다. Azure 인증서, Microsoft Entra ID 또는 RADIUS 기반 인증의 하위 집합을 선택할 수 있습니다. RADIUS 기반 인증의 경우 보조 RADIUS 서버 IP 주소와 서버 비밀을 제공할 수 있습니다.

   OpenVPN 및 IKEv2

   • 요구 사항: OpenVPN 및 IKEv2 터널 유형을 선택하면 인증 메커니즘을 선택하라는 메시지가 표시됩니다. OpenVPN 및 IKEv2가 터널 유형으로 선택된 경우 여러 인증 방법을 지정할 수 있습니다. Azure 인증서 또는 RADIUS 기반 인증과 함께 Microsoft Entra ID를 선택할 수 있습니다. RADIUS 기반 인증의 경우 보조 RADIUS 서버 IP 주소와 서버 비밀을 제공할 수 있습니다.

6. 사용하려는 인증 방법을 구성합니다. 각 인증 방법은 별도의 탭 Azure 인증서, RADIUS 인증 및 Microsoft Entra ID에 있습니다. 일부 인증 방법은 특정 터널 유형에서만 사용할 수 있습니다.

   구성하려는 인증 방법 탭에서 예를 선택하여 사용 가능한 구성 설정을 표시합니다.

   • 예제 - 인증서 인증

     이 설정을 구성하기 위해 기본 페이지의 터널 형식은 IKEv2, OpenVPN 또는 OpenVPN 및 IKEv2일 수 있습니다.

     

   • 예제 - RADIUS 인증

     이 설정을 구성하기 위해 기본 사항 페이지의 터널 형식은 IKEv2, OpenVPN 또는 OpenVPN 및 IKEv2일 수 있습니다.

     

   • 예제 - Microsoft Entra 인증

     이 설정을 구성하려면 기본 사항 페이지의 터널 형식은 OpenVPN이어야 합니다. Microsoft Entra ID 기반 인증은 OpenVPN에서만 지원됩니다.

     

7. 설정 구성이 완료되면 페이지 하단에서 검토 + 만들기를 선택합니다.

8. 만들기를 선택하여 사용자 VPN 구성을 만듭니다.

허브 및 게이트웨이 만들기

이 섹션에서는 지점 및 사이트 간 게이트웨이를 사용하여 가상 허브를 만듭니다. 구성할 때 다음 예 값을 사용할 수 있습니다.

• 허브 개인 IP 주소 공간: 10.1.0.0/16
• 클라이언트 주소 풀: 10.5.0.0/16
• 사용자 지정 DNS 서버: DNS 서버를 최대 5개까지 나열할 수 있습니다.

기본 페이지

1. 사용자가 만든 가상 WAN으로 이동합니다. Virtual WAN 왼쪽 창의 연결에서 허브를 선택합니다.

2. Hubs 페이지에서 +새 Hub를 선택하여 가상 허브 만들기 페이지를 엽니다.

   

3. 가상 허브 만들기 페이지의 기본 사항 탭에서 다음 필드를 완료합니다.

   • 지역: 가상 허브를 배포할 지역을 선택합니다.
   • 이름: 가상 허브에 지정할 이름입니다.
   • 허브 프라이빗 주소 공간: CIDR 표기법으로 된 허브의 주소 범위입니다. 허브를 만들기 위한 최소 주소 공간은 /24입니다.
   • 가상 허브 용량: 드롭다운에서 선택합니다. 자세한 내용은 가상 허브 설정을 참조하세요.
   • 허브 라우팅 기본 설정: 기본값으로 둡니다. 자세한 내용은 가상 허브 라우팅 기본 설정을 참조하세요.

지점 및 사이트 간 페이지

1. 지점 대 사이트 탭을 클릭하여 지점 대 사이트에 대한 구성 페이지를 엽니다. 지점 대 사이트 설정을 보려면 예를 클릭합니다.

   

2. 다음 설정을 구성합니다.

   • 게이트웨이 배율 단위 - 사용자 VPN 게이트웨이의 집계 용량을 나타냅니다. 40 이상의 게이트웨이 배율 단위를 선택하는 경우 클라이언트 주소 풀을 적절하게 계획합니다. 이 설정이 클라이언트 주소 풀에 영향을 주는 방법에 대한 자세한 내용은 클라이언트 주소 풀 정보를 참조하세요. 게이트웨이 배율 단위에 대한 자세한 내용은 FAQ를 참조하세요.

   • 지점 대 사이트 구성 - 이전 단계에서 만든 사용자 VPN 구성을 선택합니다.

   • 라우팅 기본 설정 - Azure 라우팅 기본 설정을 사용하면 Azure와 인터넷 간의 트래픽 라우팅 방법을 선택할 수 있습니다. Microsoft 네트워크를 통해 또는 ISP 네트워크(공용 인터넷)를 통해 트래픽을 라우팅하도록 선택할 수 있습니다. 이러한 옵션을 각각 콜드 포테이토 라우팅 및 핫 포테이토 라우팅이라고도 합니다. Virtual WAN의 공용 IP 주소는 선택한 라우팅 옵션을 기반으로 서비스에서 할당합니다. Microsoft 네트워크 또는 ISP를 통한 라우팅 기본 설정에 대한 자세한 내용은 라우팅 기본 설정 문서를 참조하세요.

   • 원격/온-프레미스 RADIUS 서버 사용 - Virtual WAN 사용자 VPN 게이트웨이가 RADIUS 기반 인증을 사용하도록 구성된 경우 사용자 VPN 게이트웨이는 프록시 역할을 하며 RADIUS 액세스 요청을 RADIUS 서버로 보냅니다. “원격/온-프레미스 RADIUS 서버 사용” 설정은 기본적으로 사용되지 않습니다. 즉, 사용자 VPN 게이트웨이는 게이트웨이 허브에 연결된 가상 네트워크의 RADIUS 서버에만 인증 요청을 전달할 수 있습니다. 설정을 사용하도록 설정하면 사용자 VPN 게이트웨이가 원격 허브에 연결되거나 온-프레미스에 배포된 RADIUS 서버로 인증할 수 있습니다.

     참고 항목

     원격/온-프레미스 RADIUS 서버 설정 및 관련 프록시 IP는 게이트웨이가 RADIUS 기반 인증을 사용하도록 구성된 경우에만 사용됩니다. 게이트웨이가 RADIUS 기반 인증을 사용하도록 구성되지 않은 경우 이 설정은 무시됩니다.

     사용자가 허브 기반 프로필 대신 전역 VPN 프로필에 연결하는 경우 "원격/온-프레미스 RADIUS 서버 사용"을 설정해야 합니다. 자세한 내용은 전역 및 허브 수준 프로필을 참조하세요.

     사용자 VPN 게이트웨이를 만든 후 게이트웨이로 이동하여 RADIUS 프록시 IP 필드를 확인합니다. RADIUS 프록시 IP는 사용자 VPN 게이트웨이가 RADIUS 서버에 보내는 RADIUS 패킷의 원본 IP입니다. 따라서 RADIUS 프록시 IP의 인증 요청을 수락하도록 RADIUS 서버를 구성해야 합니다. RADIUS 프록시 IP 필드가 비어 있거나 없는 경우 허브의 주소 공간에서 인증 요청을 수락하도록 RADIUS 서버를 구성합니다.

     또한 RADIUS 서버를 호스팅하는 연결(VNet 또는 온-프레미스)의 연결 및 전파가 지점 및 사이트 간 VPN Gateway와 함께 배포된 허브의 defaultRouteTable로 전파되도록 설정해야 합니다. VPN 구성은 RADIUS 서버를 호스팅하는 연결의 경로 테이블로 전파됩니다. 이는 게이트웨이가 RADIUS 서버와 통신할 수 있는지 확인하고 그 반대의 경우도 마찬가지인지 확인하는 데 필수입니다.

     

   • 클라이언트 주소 풀 - IP 주소가 VPN 클라이언트에 자동으로 할당되는 주소 풀입니다. 주소 풀은 고유해야 합니다. 주소 풀이 겹치면 안 됩니다. 자세한 내용은 클라이언트 주소 풀 정보를 참조하세요.

   • 사용자 지정 DNS 서버 - 클라이언트에서 사용하는 DNS 서버의 IP 주소입니다. 최대 5개를 지정할 수 있습니다.

3. 검토 + 만들기를 선택하여 설정의 유효성을 검사합니다.

4. 유효성 검사를 통과하면 만들기를 선택합니다. 허브 만들기를 완료하는 데 30분 이상 걸릴 수 있습니다.

VPN 클라이언트 구성 파일 생성

이 섹션에서는 구성 프로필 파일을 생성하고 다운로드합니다. 이러한 파일은 클라이언트 컴퓨터에서 네이티브 VPN 클라이언트를 구성하는 데 사용됩니다.

1. WAN 수준 전역 프로필 VPN 클라이언트 구성 패키지를 생성하려면 Virtual WAN(가상 허브 아님)으로 이동합니다.

2. 왼쪽 창에서 사용자 VPN 구성을 선택합니다.

3. 프로필을 다운로드하려는 구성을 선택합니다. 동일한 프로필에 할당된 여러 허브가 있는 경우 해당 프로필을 확장하여 허브를 표시한 다음, 이 프로필을 사용하는 허브 중 하나를 선택합니다.

4. 가상 WAN 사용자 VPN 프로필 다운로드를 선택합니다.

5. 다운로드 페이지에서 EAPTLS를 선택한 다음, 프로필 생성 및 다운로드를 선택합니다. 클라이언트 구성 설정이 포함된 프로필 패키지(zip 파일)가 생성되고 컴퓨터에 다운로드됩니다. 패키지의 내용은 구성에 대한 인증 및 터널 옵션에 따라 달라집니다.

VPN 클라이언트 구성

다운로드한 프로필을 사용하여 원격 액세스 클라이언트를 구성합니다. 각 운영 체제에 대한 프로시저가 다르므로 시스템에 적용되는 지침을 따르세요.

IKEv2

사용자 VPN 구성에서 IKEv2 VPN 터널 형식을 지정한 경우 네이티브 VPN 클라이언트(Windows 및 macOS Catalina 이상)를 구성할 수 있습니다.

다음 단계는 Windows용입니다. macOS의 경우 IKEv2-macOS 단계를 참조하세요.

1. Windows 컴퓨터의 아키텍처에 해당하는 VPN 클라이언트 구성 파일을 선택합니다. 64비트 프로세서 아키텍처의 경우 'VpnClientSetupAmd64' 설치 관리자 패키지를 선택합니다. 32비트 프로세서 아키텍처의 경우 'VpnClientSetupX86' 설치 관리자 패키지를 선택합니다.

2. 해당 패키지를 두 번 클릭하여 설치합니다. SmartScreen 팝업이 표시되면 추가 정보를 선택한 다음, 실행을 선택합니다.

3. 클라이언트 컴퓨터에서 네트워크 설정으로 이동하고 VPN을 선택합니다. VPN 연결에서 연결되는 가상 네트워크의 이름을 표시합니다.

4. 이 사용자 VPN 구성을 통해 연결하려는 각 컴퓨터에 클라이언트 인증서를 설치합니다. Azure 기본 인증서 인증 유형을 사용할 때 인증을 위해 클라이언트 인증서가 필요합니다. 인증서 생성에 대한 자세한 내용은 인증서 생성을 참조하세요. 클라이언트 인증서를 설치하는 방법은 클라이언트 인증서 설치를 참조하세요.

OpenVPN

사용자 VPN 구성에서 OpenVPN 터널 형식을 지정한 경우 Azure VPN Client를 다운로드 및 구성하거나 경우에 따라 OpenVPN 클라이언트 소프트웨어를 사용할 수 있습니다. 단계의 경우 구성에 해당하는 링크를 사용합니다.

• Microsoft Entra 인증 - Azure VPN 클라이언트 - Windows
• Microsoft Entra 인증 - Azure VPN 클라이언트 - macOS
• OpenVPN 클라이언트 소프트웨어 구성 - Windows, macOS, iOS, Linux

스포크 VNet 연결

이 섹션에서는 허브와 VNet 간의 연결을 만듭니다.

1. Azure Portal에서 Virtual WAN으로 이동합니다. 왼쪽 창에서 가상 네트워크 연결을 선택합니다.

2. 가상 네트워크 연결 페이지에서 + 연결 추가를 선택합니다.

3. 연결 추가 페이지에서 연결 설정을 구성합니다. 라우팅 설정에 대한 자세한 내용은 라우팅 정보를 참조하세요.

   

   • 연결 이름: 연결 이름을 지정합니다.
   • Hubs - 이 연결과 연결할 허브를 선택합니다.
   • 구독: 구독을 확인합니다.
   • 리소스 그룹: 연결할 가상 네트워크가 포함된 리소스 그룹을 선택합니다.
   • 가상 네트워크 - 이 허브에 연결할 가상 네트워크를 선택합니다. 선택한 가상 네트워크에는 기존의 가상 네트워크 게이트웨이를 사용할 수 없습니다.
   • 없음으로 전파: 기본적으로 아니요로 설정됩니다. 스위치를 예로 변경하면 경로 테이블로 전파 및 레이블로 전파에 대한 구성 옵션을 구성에 사용할 수 없게 됩니다.
   • 경로 테이블 연결: 드롭다운에서 연결할 경로 테이블을 선택할 수 있습니다.
   • 레이블에 전파: 레이블은 경로 테이블의 논리적 그룹입니다. 이 설정의 경우 드롭다운에서 선택합니다.
   • 정적 경로: 필요한 경우 정적 경로를 구성합니다. 네트워크 가상 어플라이언스에 대한 정적 경로를 구성합니다(해당되는 경우). 가상 WAN은 가상 네트워크 연결의 고정 경로에 대해 다음 홉 IP를 1개 지원합니다. 예를 들어, 수신 및 송신 트래픽 흐름에 대해 별도의 가상 어플라이언스가 있는 경우 별도의 VNet에 가상 어플라이언스를 추가하고 VNet을 가상 허브에 연결하는 것이 가장 좋습니다.
   • 이 VNet 내의 워크로드에 대해 다음 홉 IP 바이패스: 이 설정을 사용하면 NVA를 통해 모든 트래픽을 강제하지 않고도 NVA 및 기타 워크로드를 동일한 VNet에 배포할 수 있습니다. 이 설정은 새 연결을 구성할 때만 구성할 수 있습니다. 이미 만든 연결에 대해 이 설정을 사용하려면 연결을 삭제한 다음 새 연결을 추가합니다.
   • 고정 경로 전파: 이 설정은 현재 롤아웃 중입니다. 이 설정을 사용하면 고정 경로 섹션에 정의된 고정 경로를 전파하여 경로 테이블에 전파에 지정된 테이블을 라우팅할 수 있습니다. 또한 레이블에 전파로 지정된 레이블이 있는 경로 테이블에 경로가 전파됩니다. 이러한 경로는 기본 경로 0/0을 제외하고 허브 간에 전파될 수 있습니다. 이 기능은 롤아웃 중입니다. 이 기능을 사용하도록 설정해야 하는 경우 지원 사례를 엽니다.

4. 구성할 설정을 완료했으면 만들기를 클릭하여 연결을 만듭니다.

가상 머신 만들기

이 섹션에서는 VNet, VM1 및 VM2에 VM 2개를 만듭니다. 네트워크 다이어그램에서 10.18.0.4 및 10.18.0.5를 사용합니다. VM을 구성할 때 만든 가상 네트워크(네트워킹 탭에 있는)를 선택해야 합니다. VM을 만드는 단계는 빠른 시작: VM 만들기를 참조하세요.

가상 허브 보안

표준 가상 허브에는 스포크 가상 네트워크의 리소스를 보호하기 위한 기본 제공 보안 정책이 없습니다. 보안 가상 허브는 Azure Firewall 또는 타사 공급자를 사용하여 들어오고 나가는 트래픽을 관리해 Azure에서 리소스를 보호합니다.

Virtual WAN 허브에서 Azure Firewall 구성 문서를 수행하여 허브를 보안 허브로 변환합니다.

트래픽을 관리하고 필터링하는 규칙 만들기

Azure Firewall 동작을 지시하는 규칙을 만듭니다. 허브를 보호하면 Azure 리소스에 액세스하기 전에 가상 허브에 진입하는 모든 패킷에 방화벽 처리가 적용됩니다.

이러한 단계를 완료하면 VPN 사용자가 개인 IP 주소 10.18.0.4를 사용하여 VM에 액세스하도록 허용하지만 개인 IP 주소 10.18.0.5를 사용하여 VM에 액세스하도록 허용하지 않는 아키텍처가 생성됩니다.

1. Azure Portal에서 Firewall Manager로 이동합니다.

2. 보안 아래에서 Azure Firewall 정책을 선택합니다.

3. Azure Firewall 정책 만들기를 선택합니다.

4. 정책 세부 정보에서 이름을 입력하고 가상 허브가 배포된 지역을 선택합니다.

5. 다음: DNS 설정을 선택합니다.

6. 다음: 규칙을 선택합니다.

7. 규칙 탭에서 규칙 컬렉션 추가를 선택합니다.

8. 컬렉션 이름을 입력합니다. 형식을 네트워크로 설정합니다. 우선 순위 값 100을 추가합니다.

9. 다음 예와 같이 규칙, 원본 형식, 원본, 프로토콜, 대상 포트 및 대상 형식의 이름을 입력합니다. 그런 다음, 추가를 선택합니다. 이 규칙을 사용하면 VPN 클라이언트 풀의 모든 IP 주소가 개인 IP 주소 10.18.04를 통해 VM에 액세스할 수 있지만 가상 허브에 연결된 다른 리소스에서는 액세스할 수 없습니다. 원하는 아키텍처와 권한 규칙에 적합할 규칙을 만듭니다.

   

10. 다음: 위협 인텔리전스를 선택합니다.

11. 다음: Hubs를 선택합니다.

12. 허브 탭에서 가상 허브 연결을 선택합니다.

13. 이전에 만든 가상 허브를 선택하고 추가를 선택합니다.

14. 검토 + 만들기를 선택합니다.

15. 만들기를 선택합니다.

이 프로세스를 완료하는 데 5분 이상 걸릴 수 있습니다.

Azure Firewall을 통해 트래픽 라우팅

이 섹션에서는 트래픽이 Azure Firewall을 통해 라우팅되는지 확인해야 합니다.

1. 포털의 Firewall Manager에서 보안 가상 허브를 선택합니다.
2. 만든 가상 허브를 선택합니다.
3. 설정에서 보안 구성을 선택합니다.
4. 프라이빗 트래픽에서 Azure Firewall을 통해 전송을 선택합니다.
5. Azure Firewall에서 VNet 연결과 분기 연결 프라이빗 트래픽을 보호하는지 확인합니다.
6. 저장을 선택합니다.

참고 항목

보안 가상 허브에서 Azure Firewall을 사용하여 프라이빗 엔드포인트로 향하는 트래픽을 검사하려면 Azure Virtual WAN의 프라이빗 엔드포인트로 향하는 트래픽 보호를 참조하세요. 보안 가상 허브에서 Azure Firewall을 통해 검사하려면 Azure Firewall 관리자의 보안 구성 아래에 있는 프라이빗 트래픽 접두사에서 각 프라이빗 엔드포인트에 대해 /32 접두사를 추가해야 합니다. 이러한 /32 접두사가 구성되지 않은 경우 프라이빗 엔드포인트로 향하는 트래픽은 Azure Firewall을 무시합니다.

유효성 검사

보안 허브 설정을 확인합니다.

1. 클라이언트 디바이스에서 VPN을 통해 보안 가상 허브에 연결합니다.
2. 클라이언트에서 IP 주소 10.18.0.4를 Ping합니다. 응답이 표시되어야 합니다.
3. 클라이언트에서 IP 주소 10.18.0.5를 Ping합니다. 응답이 표시되지 않아야 합니다.

고려 사항

• 보안 가상 허브의 유효 경로 테이블에 방화벽의 프라이빗 트래픽에 대한 다음 홉이 있는지 확인합니다. 유효 경로 테이블에 액세스하려면 가상 허브 리소스로 이동합니다. 연결에서 라우팅을 선택한 다음, 유효 경로를 선택합니다. 여기에서 기본 경로 테이블을 선택합니다.
• 규칙 만들기 섹션에서 규칙을 만들었는지 확인합니다. 이러한 단계를 누락하면 만든 규칙이 실제로 허브에 연결되지 않으며 경로 테이블과 패킷 흐름에서 Azure Firewall을 사용하지 않습니다.

다음 단계

• 가상 WAN에 대한 자세한 내용은 가상 WAN FAQ를 참조하세요.
• Azure Firewall에 대한 자세한 내용은 Azure Firewall FAQ를 참조하세요.