Azure Portal을 사용하여 Azure Firewall DNAT를 사용하여 인바운드 인터넷 또는 인트라넷 트래픽 필터링
프라이빗 네트워크 간의 서브넷 또는 인트라넷 트래픽에 대한 인바운드 인터넷 트래픽을 변환하고 필터링하도록 Azure Firewall DNAT(Destination Network Address Translation)를 구성할 수 있습니다(미리 보기). DNAT를 구성하면 NAT 규칙 컬렉션 작업이 Dnat로 설정됩니다. 그런 다음 NAT 규칙 컬렉션의 각 규칙을 사용하여 방화벽 공용 또는 개인 IP 주소 및 포트를 개인 IP 주소 및 포트로 변환할 수 있습니다. DNAT 규칙은 해당 네트워크 규칙을 암시적으로 추가하여 변환된 트래픽을 허용합니다. 보안상의 이유로 권장되는 접근 방식은 DNAT가 네트워크에 액세스할 수 있도록 특정 원본을 추가하고 와일드카드의 사용을 피하는 것입니다. Azure Firewall 규칙 처리 논리에 대한 자세한 내용은 Azure Firewall 규칙 처리 논리를 참조하세요.
참고 항목
이 문서에서는 클래식 방화벽 규칙을 사용하여 방화벽을 관리합니다. 선호되는 방법은 방화벽 정책을 사용하는 것입니다. 방화벽 정책을 사용하여 이 절차를 완료하려면 자습서: Azure Portal을 사용하여 Azure Firewall 정책 DNAT로 인바운드 인터넷 트래픽 필터링을 참조하세요.
필수 조건
Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.
리소스 그룹 만들기
- Azure Portal에 로그인합니다.
- Azure Portal 홈페이지에서 리소스 그룹과 만들기를 차례로 선택합니다.
- 구독의 경우 사용자의 구독을 선택합니다.
- 리소스 그룹에 대해 RG-DNAT-Test를 입력합니다.
- 지역에 대해 지역을 선택합니다. 만드는 다른 모든 리소스는 동일한 지역에 있어야 합니다.
- 검토 + 만들기를 선택합니다.
- 만들기를 선택합니다.
네트워크 환경 설정
이 문서에서는 두 개의 피어링된 VNet을 만듭니다.
- VN-Hub - 방화벽이 이 VNet에 있습니다.
- VN-Spoke - 워크로드 서버가 이 VNet에 있습니다.
먼저 VNet을 만든 다음, 이를 피어링합니다.
허브 VNet 만들기
Azure Portal 홈 페이지에서 모든 서비스를 선택합니다.
네트워킹아래에서 가상 네트워크를 선택합니다.
만들기를 실행합니다.
리소스 그룹의 경우 RG-DNAT-Test를 선택합니다.
이름에 대해 VN-Hub를 입력합니다.
지역에 대해 이전에 사용한 것과 동일한 지역을 선택합니다.
다음을 선택합니다.
보안 탭에서 다음을 선택합니다.
IPv4 주소 공간의 경우 기본값 10.0.0.0/16을 적용합니다.
서브넷에서 기본값을 선택합니다.
서브넷 템플릿에서 Azure Firewall을 선택합니다.
방화벽은 이 서브넷에 있고 해당 서브넷 이름은 AzureFirewallSubnet이 되어야 합니다.
참고 항목
AzureFirewallSubnet 서브넷의 크기는 /26입니다. 서브넷 크기에 대한 자세한 내용은 Azure Firewall FAQ를 참조하세요.
저장을 선택합니다.
검토 + 만들기를 선택합니다.
만들기를 선택합니다.
스포크 VNet 만들기
- Azure Portal 홈 페이지에서 모든 서비스를 선택합니다.
- 네트워킹아래에서 가상 네트워크를 선택합니다.
- 만들기를 실행합니다.
- 리소스 그룹의 경우 RG-DNAT-Test를 선택합니다.
- 이름에 대해 VN-Spoke를 입력합니다.
- 지역에 대해 이전에 사용한 것과 동일한 지역을 선택합니다.
- 다음을 선택합니다.
- 보안 탭에서 다음을 선택합니다.
- IPv4 주소 공간의 경우 기본값을 편집하고 192.168.0.0/16을 입력합니다.
- 서브넷에서 기본값을 선택합니다.
- 서브넷 이름으로 SN-Workload를 입력합니다.
- 시작 주소에 192.168.1.0을 입력합니다.
- 서브넷 크기로 /24를 선택합니다.
- 저장을 선택합니다.
- 검토 + 만들기를 선택합니다.
- 만들기를 선택합니다.
VNet 피어링
이제 두 개의 VNet을 피어링합니다.
- VN-Hub 가상 네트워크를 선택합니다.
- 설정에서 피어링을 선택합니다.
- 추가를 선택합니다.
- 이 가상 네트워크에서 피어링 링크 이름으로 Peer-HubSpoke를 입력합니다.
- 원격 가상 네트워크에서 피어링 링크 이름으로 Peer-SpokeHub를 입력합니다.
- 가상 네트워크에 대해 VN-Spoke를 선택합니다.
- 다른 모든 항목에 대해 기본값을 적용한 다음, 추가를 선택합니다.
가상 머신 만들기
워크로드 가상 머신을 만들어 SN-Workload 서브넷에 배치합니다.
- Azure Portal 메뉴에서 리소스 만들기를 선택합니다.
- 인기 Marketplace 제품에서 Windows Server 2019 Datacenter를 선택합니다.
기본 사항
- 구독의 경우 사용자의 구독을 선택합니다.
- 리소스 그룹의 경우 RG-DNAT-Test를 선택합니다.
- 가상 머신 이름에 Srv-Workload를 입력합니다.
- 지역의 경우 전에 사용한 것과 동일한 위치를 선택합니다.
- 사용자 이름 및 암호를 입력합니다.
- 완료되면 다음: 디스크를 선택합니다.
Disks
- 다음: 네트워킹을 선택합니다.
네트워킹
- 가상 네트워크에 대해 VN-Spoke를 선택합니다.
- 서브넷에 대해 SN-Workload를 선택합니다.
- 공용 IP에 대해 없음을 선택합니다.
- 공용 인바운드 포트에 대해 없음을 선택합니다.
- 다른 기본 설정을 그대로 적용하고 다음: 관리를 선택합니다.
관리
- 다음: 모니터링을 선택합니다.
Monitoring
- 부트 진단에 대해 사용 안 함을 선택합니다.
- 검토 + 생성를 선택합니다.
검토 + 만들기
요약을 검토한 다음, 만들기를 선택합니다. 이 작업은 완료하는 데 몇 분이 소요됩니다.
배포가 완료되면 가상 머신에 대한 개인 IP 주소를 적어 둡니다. 나중에 방화벽을 구성할 때 사용됩니다. 가상 머신 이름을 선택합니다. 개요를 선택하고 네트워킹에서 개인 IP 주소를 기록해 둡니다.
참고 항목
Azure는 공용 IP 주소가 할당되지 않았거나 내부 기본 Azure Load Balancer의 백 엔드 풀에 있는 VM에 대한 기본 아웃바운드 액세스 IP를 제공합니다. 기본 아웃바운드 액세스 IP 메커니즘은 구성할 수 없는 아웃바운드 IP 주소를 제공합니다.
다음 이벤트 중 하나가 발생하면 기본 아웃바운드 액세스 IP가 사용하지 않도록 설정됩니다.
- 공용 IP 주소가 VM에 할당됩니다.
- VM은 아웃바운드 규칙 유무에 관계없이 표준 Load Balancer의 백 엔드 풀에 배치됩니다.
- Azure NAT Gateway 리소스는 VM의 서브넷에 할당됩니다.
유연한 오케스트레이션 모드에서 가상 머신 확장 집합을 사용하여 만드는 VM에는 기본 아웃바운드 액세스 권한이 없습니다.
Azure의 아웃바운드 연결에 대한 자세한 내용은 Azure의 기본 아웃바운드 액세스 및 아웃바운드 연결에 SNAT(원본 네트워크 주소 변환) 사용을 참조하세요.
방화벽 배포
포털 홈 페이지에서 리소스 만들기를 선택합니다.
방화벽을 검색한 후 방화벽을 선택합니다.
만들기를 실행합니다.
방화벽 만들기 페이지에서 다음 표를 사용하여 방화벽을 구성합니다.
설정 값 구독 <구독> 리소스 그룹 RG-DNAT-Test를 선택합니다. 이름 FW-DNAT-test 지역 전에 사용한 동일한 위치 선택 방화벽 SKU Standard 방화벽 관리 방화벽 규칙(클래식)을 사용하여 이 방화벽 관리 가상 네트워크 선택 기존 항목 사용: VN-Hub 공용 IP 주소 새, 이름: fw-pip를 추가합니다. 나머지는 기본값으로 두고 검토 + 만들기를 선택합니다.
요약을 검토한 다음, 만들기를 선택하여 방화벽을 만듭니다.
배포하는 데 몇 분 정도 걸립니다.
배포가 완료되면 RG-DNAT-Test 리소스 그룹으로 이동하고 FW-DNAT-test 방화벽을 선택합니다.
방화벽의 개인 및 공용 IP 주소를 적어둡니다. 나중에 기본 경로 및 NAT 규칙을 만들 때 사용합니다.
기본 경로 만들기
SN-Workload 서브넷의 경우 방화벽을 통과하도록 아웃바운드 기본 경로를 구성합니다.
Important
대상 서브넷의 방화벽으로의 명시적 경로를 다시 구성할 필요가 없습니다. Azure Firewall은 상태 저장 서비스이며 패킷 및 세션을 자동으로 처리합니다. 이 경로를 만드는 경우 상태 저장 세션 논리를 중단하고 패킷이 삭제되고 연결이 끊기도록 하는 비대칭 라우팅 환경을 만들게 됩니다.
Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
경로 테이블을 검색하여 선택합니다.
만들기를 실행합니다.
구독의 경우 사용자의 구독을 선택합니다.
리소스 그룹의 경우 RG-DNAT-Test를 선택합니다.
지역에 대해 이전에 사용한 것과 동일한 지역을 선택합니다.
이름에 대해 RT-FWroute를 입력합니다.
검토 + 만들기를 선택합니다.
만들기를 선택합니다.
리소스로 이동을 선택합니다.
서브넷을 선택한 다음, 연결을 선택합니다.
가상 네트워크에 대해 VN-Spoke를 선택합니다.
서브넷에 대해 SN-Workload를 선택합니다.
확인을 선택합니다.
경로를 선택한 다음, 추가를 선택합니다.
경로 이름에 FW-DG를 입력합니다.
대상 유형에 대해 IP 주소를 선택합니다.
대상 IP 주소/CIDR 범위에 0.0.0.0/0을 입력합니다.
다음 홉 형식의 경우 가상 어플라이언스를 선택합니다.
Azure Firewall은 실제로 관리되는 서비스이지만 가상 어플라이언스는 이 상황에서 작동합니다.
다음 홉 주소에 이전에 적어둔 방화벽에 대한 개인 IP 주소를 입력합니다.
추가를 선택합니다.
NAT 규칙 구성
- RG-DNAT-Test 리소스 그룹을 열고, FW-DNAT-test 방화벽을 선택합니다.
- FW-DNAT-test 페이지의 설정 아래에서 규칙(클래식)을 선택합니다.
- NAT 규칙 컬렉션 추가를 선택합니다.
- 이름으로 RC-DNAT-01을 입력합니다.
- 우선 순위에 200을 입력합니다.
- 규칙 아래에서 이름으로 RL-01을 입력합니다.
- 프로토콜의 경우 TCP를 선택합니다.
- 원본 유형에 대해 IP 주소를 선택합니다.
- 원본에 *를 입력합니다.
- 대상 주소는 방화벽의 공용 또는 개인 IP 주소를 입력합니다.
- 대상 포트에 3389를 입력합니다.
- 변환 주소에 Srv-Workload 가상 머신의 개인 IP 주소를 입력합니다.
- 변환 포트에 3389를 입력합니다.
- 추가를 선택합니다.
이 작업은 완료하는 데 몇 분이 소요됩니다.
방화벽 테스트
- 원격 데스크톱을 방화벽 공용 IP 주소에 연결합니다. Srv-Workload 가상 머신에 연결되어 있어야 합니다.
- 원격 데스크톱을 닫습니다.
리소스 정리
추가 테스트를 위해 방화벽 리소스를 그대로 유지하거나, 더 이상 필요하지 않은 경우 RG-DNAT-Test 리소스 그룹을 삭제하여 모든 방화벽 관련 리소스를 삭제할 수 있습니다.
다음 단계
그런 다음, Azure Firewall 로그를 모니터링할 수 있습니다.