Azure Firewall Manager의 작동 방식

  • 6분

이 단원에서 Firewall Manager 작동 방식과 이를 사용하여 수행할 수 있는 작업을 설명합니다. 또한 방화벽 정책 규칙의 작동 방식도 결정합니다. 앞서 설명한 것처럼 정책은 Firewall Manager의 기본 구성 요소입니다. 보안 가상 허브 또는 허브 가상 네트워크에서 정책을 만들고 Azure Firewall 인스턴스에 연결합니다.

다음 다이어그램은 일반적인 구성을 보여줍니다. 최상위 수준에서 정책을 만들고 연결하는 전역 관리자를 포함합니다. 이러한 정책은 보안 가상 허브와 두 개의 허브 가상 네트워크 모두에 연결됩니다. 로컬 관리자는 또한 허브 가상 네트워크 중 하나를 사용하여 정책을 구성하고 연결할 수 있습니다.

A typical Firewall Manager configuration, with both a global and local admin who are creating and associating properties as previously described.

Azure Firewall 정책은 보호된 리소스의 트래픽을 제어하는 규칙과 설정으로 구성됩니다. 이 단원에서는 다음을 알아봅니다.

  • Azure Firewall 정책, 규칙 및 위협 인텔리전스 설정.
  • 규칙 처리.
  • Firewall Manager를 사용하여 수행할 수 있는 작업.

Azure Firewall 정책 규칙이란?

다음 표에서는 Azure Firewall 정책 규칙 컬렉션 및 설정에 대해 설명합니다.

규칙 컬렉션 또는 설정 Description
위협 인텔리전스 설정 위협 인텔리전스를 기반으로 Azure Firewall 정책 필터링을 사용하도록 설정하여 잠재적으로 악의적인 트래픽을 경고합니다. 또한 악성이라고 알려진 IP 주소 및 도메인의 트래픽을 거부할 수도 있습니다.
NAT 규칙 컬렉션 Azure Firewall DNAT(Destination Network Address Translation) 규칙을 구성할 수 있습니다. 이러한 규칙은 Azure 서브넷에 대한 인바운드 인터넷 트래픽을 변환 및 필터링합니다.
네트워크 규칙 컬렉션 방화벽을 통과하는 HTTP/S가 아닌 트래픽을 관리합니다.
애플리케이션 규칙 컬렉션 방화벽을 통과하는 HTTP/S 트래픽을 관리합니다.

먼저 트래픽을 관리하는 데 필요한 규칙을 결정해야 합니다. 그리고 나서 다음 그림에 표시된 것처럼 Firewall Manager를 사용하여 이러한 규칙을 포함하는 Azure Firewall 정책을 만들고 구성합니다.

Screenshot of the Threat Intelligence blade in the Azure portal within a Firewall Policy.

규칙 처리 방식

실제로 NAT 규칙은 Azure 리소스의 트래픽을 공용에서 개인 IP 주소로 보내는 라우팅 규칙입니다. 방화벽은 정책의 정의된 규칙을 처리할 때 트래픽이 허용되는지 여부를 결정하는 네트워크 및 애플리케이션 규칙입니다. 다음 프로세스에서는 트래픽에 대해 이러한 규칙이 처리되는 방식을 설명합니다.

  1. 위협 인텔리전스 규칙은 NAT, 네트워크 또는 애플리케이션 규칙보다 먼저 처리됩니다. 이러한 규칙을 설정하는 경우 다음 두 동작 중 하나를 구성할 수 있습니다.

    • 규칙이 트리거될 때 경고(기본 모드).
    • 규칙이 트리거될 때 경고 및 거부.

  2. NAT 규칙은 다음에 처리되며, 가상 네트워크에서 지정된 리소스에 대해 인바운드 연결을 결정합니다.

참고

일치 항목이 발견되면 변환된 트래픽을 허용하도록 암시적인 해당 네트워크 규칙이 추가됩니다.

  1. 네트워크 규칙은 다음에 적용됩니다. 네트워크 규칙이 트래픽과 일치하면 해당 규칙이 적용됩니다. 다른 규칙은 확인되지 않습니다.
  2. 일치하는 네트워크 규칙이 없고 트래픽이 HTTP/S라면 애플리케이션 규칙이 적용됩니다.
  3. 일치하는 애플리케이션 규칙이 없으면 트래픽이 인프라 규칙 컬렉션과 비교됩니다.
  4. 트래픽 일치 항목이 아직 없으면 트래픽이 묵시적으로 거부됩니다.

참고

인프라 규칙 컬렉션은 기본적으로 허용되는 FQDN(정규화된 도메인 이름)을 정의합니다. 이러한 FQDN은 Azure에만 적용됩니다.

Firewall Manager 사용

Firewall Manager를 사용하면 다음을 수행할 수 있습니다.

  • 보안 가상 허브 및 허브 가상 네트워크의 여러 Azure Firewall 인스턴스에서의 트래픽 필터링을 위한 규칙을 정의합니다.
  • Azure Firewall 정책을 새 가상 네트워크 또는 기존 가상 네트워크와 연결합니다. 이렇게 하면 여러 허브 가상 네트워크에 일관된 방화벽 정책이 적용됩니다.
  • 신규 또는 기존 가상 허브와 Azure Firewall 정책 또는 보안 파트너 공급자를 연결합니다. 이렇게 하면 여러 허브에 일관된 보안 및 라우팅 정책이 적용됩니다.
  • Web Application Firewall 정책을 애플리케이션 제공 플랫폼(Azure Front Door 또는 Azure Application Gateway)에 연결합니다.
  • 가상 네트워크를 DDoS 보호 계획에 연결합니다.

다음 그림에서 관리자는 기존 가상 네트워크에 대한 방화벽 정책을 적용하여 방화벽을 배포합니다.

Screenshot of the Virtual networks blade in Firewall Manager. The administrator selected an existing virtual network.