Azure Firewall 배포 계획
Azure Firewall을 배포하려면 먼저 네트워크 토폴로지를 계획하고, 필요한 방화벽 규칙을 식별하고, 배포 단계를 이해해야 합니다.
권장되는 네트워크 토폴로지
Azure Firewall은 다음과 같은 특성이 있는 허브 및 스포크 네트워크 토폴로지를 사용하여 배포하는 것이 가장 좋습니다.
- 중앙 연결 지점 역할을 하는 가상 네트워크입니다. 이 네트워크는 ‘허브 가상 네트워크’입니다.
- 허브에 피어링되는 하나 이상의 가상 네트워크. 이러한 피어는 ‘스포크 가상 네트워크’이며 워크로드 서버를 프로비저닝하는 데 사용됩니다.
허브 가상 네트워크의 서브넷에 방화벽 인스턴스를 배포한 다음 방화벽을 통과하도록 모든 인바운드 및 아웃바운드 트래픽을 구성할 수 있습니다. 이 구성은 Azure Virtual Desktop에 대한 호스트 풀을 보호하기 위해 Azure Firewall을 배포할 때 사용합니다.
Azure Firewall 규칙
기본적으로 방화벽은 모든 항목에 대한 액세스를 거부합니다. 여러분은 트래픽이 방화벽을 통과하도록 허용하는 조건으로 방화벽을 구성해야 합니다. 각 조건을 규칙이라고 합니다. 각 규칙은 데이터에 대해 하나 이상의 확인을 적용합니다. 모든 방화벽 규칙의 모든 검사를 통과하는 트래픽만 통과할 수 있습니다.
다음 표에서는 Azure Firewall에 대해 만들 수 있는 세 가지 유형의 규칙에 대해 설명합니다. Azure Virtual Desktop에 적절한 네트워크 트래픽을 허용하려면 애플리케이션 및 네트워크 규칙을 사용합니다.
| 규칙 유형 | 설명 |
|---|---|
| NAT(네트워크 주소 변환) | 방화벽의 공용 IP 주소 및 지정된 포트 번호에 따라 인바운드 인터넷 트래픽을 변환하고 필터링합니다. 예를 들어 VM(가상 머신)에 대한 원격 데스크톱 연결을 사용하도록 설정하려면 방화벽의 공용 IP 주소와 3389 포트를 VM의 개인 IP 주소로 변환하는 NAT 규칙을 사용할 수 있습니다. |
| 애플리케이션 | FQDN(정규화된 도메인 이름) 또는 FQDN 태그를 기준으로 트래픽을 필터링합니다. FQDN 태그는 Azure Virtual Desktop과 같이 잘 알려진 Microsoft 서비스와 연결된 FQDN 그룹을 나타냅니다. 예를 들어 WindowsVirtualDesktop이라는 FQDN 태그를 사용하여 Azure Virtual Desktop VM에 대한 아웃바운드 트래픽을 허용하는 애플리케이션 규칙을 사용합니다. |
| 네트워크 | 세 가지 네트워크 매개 변수인 IP 주소, 포트 및 프로토콜 중 하나 이상을 기준으로 트래픽을 필터링합니다. 예를 들어 네트워크 규칙을 사용하여 53 TCP 및 UDP 포트에 대해 온-프레미스 Active Directory 도메인 서버 개인 IP 주소에서 Azure로의 트래픽을 허용합니다. Microsoft Entra 도메인 서버를 사용하는 경우 네트워크 규칙을 만들 필요가 없습니다. DNS 쿼리는 168.63.129.16에서 Azure DNS로 전달됩니다. |
Azure Firewall은 우선 순위에 따라 규칙을 적용합니다. 위협 인텔리전스를 기준으로 하는 규칙은 우선 순위가 가장 높고 먼저 처리됩니다. 그 후에는 규칙이 유형, 즉 NAT 규칙, 네트워크 규칙, 애플리케이션 규칙별로 차례로 적용됩니다. 각 형식 내에서 규칙은 규칙을 만들 때 할당한 가장 낮은 값에서 가장 높은 값 순서의 우선 순위 값에 따라 처리됩니다.
배포 옵션
Azure Firewall은 규칙을 더 쉽게 만들고 관리할 수 있도록 설계된 다양한 기능을 제공합니다. 다음 표에는 이러한 기능이 요약되어 있습니다. Azure Virtual Desktop에 대한 네트워크 트래픽을 허용하려면 FQDN 태그를 사용하지만 사용자 환경에서 이러한 다른 옵션을 사용할 수도 있습니다.
| 기능 | 설명 |
|---|---|
| FQDN | 호스트의 도메인 이름 또는 하나 이상의 IP 주소입니다. 애플리케이션 규칙에 FQDN을 추가하면 해당 도메인에 액세스할 수 있습니다. 애플리케이션 규칙에서 FQDN을 사용하는 경우 *.google.com 같은 야생 카드 사용할 수 있습니다. |
| FQDN 태그 | 잘 알려진 Microsoft FQDN의 그룹입니다. 애플리케이션 규칙에 FQDN 태그를 추가하면 태그의 FQDN에 대한 아웃바운드 액세스가 허용됩니다. 예를 들어 Windows 업데이트, Azure Virtual Desktop, Windows 진단 및 Azure Backup에 대한 FQDN 태그가 있습니다. Microsoft는 FQDN 태그를 관리하므로 수정하거나 만들 수 없습니다. |
| 서비스 태그 | 특정 Azure 서비스와 관련된 IP 주소 접두사 그룹입니다. 네트워크 규칙에 서비스 태그를 추가하면 태그가 나타내는 서비스에 액세스할 수 있습니다. Azure Backup, Azure Cosmos DB 및 Azure Logic Apps를 포함하여 수십 개의 Azure 서비스에 대한 서비스 태그가 있습니다. Microsoft는 서비스 태그를 관리하므로 수정하거나 만들 수 없습니다. |
| IP 그룹 | IP 주소 그룹(예: 10.2.0.0/16 또는 10.1.0.0-10.1.0.31)입니다. IP 그룹을 NAT 또는 애플리케이션 규칙의 원본 주소로 또는 네트워크 규칙의 원본 또는 대상 주소로 사용할 수 있습니다. |
| 사용자 지정 DNS | 도메인 이름을 IP 주소로 확인하는 사용자 지정 DNS 서버입니다. Azure DNS가 아닌 사용자 지정 DNS 서버를 사용하는 경우 Azure Firewall을 DNS 프록시로도 구성해야 합니다. |
| DNS 프록시 | DNS 프록시로 작동하도록 Azure Firewall을 구성할 수 있습니다. 즉, 모든 클라이언트 DNS 요청은 DNS 서버로 이동하기 전에 이 방화벽을 통과하게 됩니다. |
Azure Firewall 배포 단계
이전 연습에서는 서브넷이 있는 호스트 풀과 가상 네트워크를 만들었습니다. 세션 호스트 VM을 해당 서브넷에 배포하고 호스트 풀에 등록했습니다. 다음 연습에서는 호스트 풀을 보호하기 위해 Azure Firewall을 배포하는 다음 단계를 완료합니다.
네트워크 설정:
- 방화벽 배포를 위한 서브넷을 포함하는 허브 가상 네트워크를 만듭니다.
- 허브 및 스포크 네트워크를 피어링합니다. 다음 연습에서는 허브 가상 네트워크를 Azure Virtual Desktop의 호스트 풀에서 사용하는 가상 네트워크와 피어링합니다.
Azure Firewall 배포:
- Azure Firewall을 허브 가상 네트워크의 서브넷에 배포합니다.
- 아웃바운드 트래픽의 경우 모든 서브넷에서 방화벽의 개인 IP 주소로 트래픽을 보내는 기본 경로를 만듭니다.
Azure Firewall 규칙 만들기:
- 인바운드 및 아웃바운드 트래픽을 필터링하는 규칙을 사용하여 방화벽을 구성합니다.