자습서: Azure Portal을 사용하여 Azure Firewall 정책 DNAT로 인바운드 인터넷 트래픽 필터링

  • 아티클

서브넷에 대한 인바운드 인터넷 트래픽을 변환하고 필터링하도록 Azure Firewall 정책 DNAT(Destination Network Address Translation)를 구성할 수 있습니다. DNAT를 구성하면 규칙 컬렉션 작업DNAT로 설정됩니다. 그 후 NAT 규칙 컬렉션의 각 규칙을 사용하여 방화벽 공용 IP 주소 및 포트를 개인 IP 주소 및 포트로 변환할 수 있습니다. DNAT 규칙은 해당 네트워크 규칙을 암시적으로 추가하여 변환된 트래픽을 허용합니다. 보안상의 이유로, 네트워크에 대한 DNAT 액세스를 허용하고 와일드카드를 사용하지 않도록 하기 위해 특정 인터넷 원본을 추가하는 것이 좋습니다. Azure Firewall 규칙 처리 논리에 대한 자세한 내용은 Azure Firewall 규칙 처리 논리를 참조하세요.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • 테스트 네트워크 환경 설정
  • 방화벽 및 정책 배포
  • 기본 경로 만들기
  • DNAT 규칙 구성
  • 방화벽 테스트

필수 조건

Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.

리소스 그룹 만들기

  1. Azure Portal에 로그인합니다.
  2. Azure Portal 홈페이지에서 리소스 그룹추가를 차례로 선택합니다.
  3. 구독의 경우 사용자의 구독을 선택합니다.
  4. 리소스 그룹 이름에 대해 RG-DNAT-Test를 입력합니다.
  5. 지역에 대해 지역을 선택합니다. 만드는 다른 모든 리소스는 동일한 지역에 있어야 합니다.
  6. 검토 + 만들기를 선택합니다.
  7. 만들기를 선택합니다.

네트워크 환경 설정

이 자습서에서는 두 개의 피어링된 VNet을 만듭니다.

  • VN-Hub - 방화벽이 이 VNet에 있습니다.
  • VN-Spoke - 워크로드 서버가 이 VNet에 있습니다.

먼저 VNet을 만든 다음, 이를 피어링합니다.

허브 VNet 만들기

  1. Azure Portal 홈 페이지에서 모든 서비스를 선택합니다.

  2. 네트워킹아래에서 가상 네트워크를 선택합니다.

  3. 추가를 선택합니다.

  4. 리소스 그룹의 경우 RG-DNAT-Test를 선택합니다.

  5. 이름에 대해 VN-Hub를 입력합니다.

  6. 지역에 대해 이전에 사용한 것과 동일한 지역을 선택합니다.

  7. 다음: IP 주소를 선택합니다.

  8. IPv4 주소 공간의 경우 기본값 10.0.0.0/16을 적용합니다.

  9. 서브넷 이름 아래에서 기본값을 선택합니다.

  10. 서브넷 이름을 편집하고 AzureFirewallSubnet을 입력합니다.

    방화벽은 이 서브넷에 있고 해당 서브넷 이름은 AzureFirewallSubnet이 되어야 합니다.

    참고 항목

    AzureFirewallSubnet 서브넷의 크기는 /26입니다. 서브넷 크기에 대한 자세한 내용은 Azure Firewall FAQ를 참조하세요.

  11. 서브넷 주소 범위10.0.1.0/26을 입력합니다.

  12. 저장을 선택합니다.

  13. 검토 + 만들기를 선택합니다.

  14. 만들기를 선택합니다.

스포크 VNet 만들기

  1. Azure Portal 홈 페이지에서 모든 서비스를 선택합니다.
  2. 네트워킹아래에서 가상 네트워크를 선택합니다.
  3. 추가를 선택합니다.
  4. 리소스 그룹의 경우 RG-DNAT-Test를 선택합니다.
  5. 이름에 대해 VN-Spoke를 입력합니다.
  6. 지역에 대해 이전에 사용한 것과 동일한 지역을 선택합니다.
  7. 다음: IP 주소를 선택합니다.
  8. IPv4 주소 공간의 경우 기본값을 편집하고 192.168.0.0/16을 입력합니다.
  9. 서브넷 추가를 선택합니다.
  10. 서브넷 이름으로 SN-Workload를 입력합니다.
  11. 서브넷 주소 범위192.168.1.0/24를 입력합니다.
  12. 추가를 선택합니다.
  13. 검토 + 만들기를 선택합니다.
  14. 만들기를 선택합니다.

VNet 피어링

이제 두 개의 VNet을 피어링합니다.

  1. VN-Hub 가상 네트워크를 선택합니다.
  2. 설정에서 피어링을 선택합니다.
  3. 추가를 선택합니다.
  4. 이 가상 네트워크에서 피어링 링크 이름으로 Peer-HubSpoke를 입력합니다.
  5. 원격 가상 네트워크에서 피어링 링크 이름으로 Peer-SpokeHub를 입력합니다.
  6. 가상 네트워크에 대해 VN-Spoke를 선택합니다.
  7. 다른 모든 항목에 대해 기본값을 적용한 다음, 추가를 선택합니다.

가상 머신 만들기

워크로드 가상 머신을 만들어 SN-Workload 서브넷에 배치합니다.

  1. Azure Portal 메뉴에서 리소스 만들기를 선택합니다.
  2. 인기 아래에서 Windows Server 2016 Datacenter를 선택합니다.

기본 사항

  1. 구독의 경우 사용자의 구독을 선택합니다.
  2. 리소스 그룹의 경우 RG-DNAT-Test를 선택합니다.
  3. 가상 머신 이름Srv-Workload를 입력합니다.
  4. 지역의 경우 전에 사용한 것과 동일한 위치를 선택합니다.
  5. 사용자 이름 및 암호를 입력합니다.
  6. 완료되면 다음: 디스크를 선택합니다.

Disks

  1. 다음: 네트워킹을 선택합니다.

네트워킹

  1. 가상 네트워크에 대해 VN-Spoke를 선택합니다.
  2. 서브넷에 대해 SN-Workload를 선택합니다.
  3. 공용 IP에 대해 없음을 선택합니다.
  4. 공용 인바운드 포트에 대해 없음을 선택합니다.
  5. 다른 기본 설정을 그대로 적용하고 다음: 관리를 선택합니다.

관리

  1. 부트 진단에 대해 사용 안 함을 선택합니다.
  2. 검토 + 생성를 선택합니다.

검토 + 만들기

요약을 검토한 다음, 만들기를 선택합니다. 작업을 완료하는 데 몇 분 정도 걸립니다.

배포가 완료되면 가상 머신에 대한 개인 IP 주소를 적어 둡니다. 나중에 방화벽을 구성할 때 사용됩니다. 가상 머신 이름을 선택하고, 설정 아래에서 네트워킹을 선택하여 개인 IP 주소를 찾습니다.

방화벽 및 정책 배포

  1. 포털 홈 페이지에서 리소스 만들기를 선택합니다.

  2. 방화벽을 검색한 후 방화벽을 선택합니다.

  3. 만들기를 실행합니다.

  4. 방화벽 만들기 페이지에서 다음 표를 사용하여 방화벽을 구성합니다.

    설정
    구독 <구독>
    리소스 그룹 RG-DNAT-Test를 선택합니다.
    이름 FW-DNAT-test
    지역 전에 사용한 동일한 위치 선택
    방화벽 관리 방화벽 정책을 사용하여 이 방화벽 관리
    방화벽 정책 새로 추가:
    fw-dnat-pol
    선택한 지역
    가상 네트워크 선택 기존 항목 사용: VN-Hub
    공용 IP 주소 , 이름: fw-pip를 추가합니다.

  5. 나머지는 기본값으로 두고 검토 + 만들기를 선택합니다.

  6. 요약을 검토한 다음, 만들기를 선택하여 방화벽을 만듭니다.

    배포하는 데 몇 분 정도 걸립니다.

  7. 배포가 완료되면 RG-DNAT-Test 리소스 그룹으로 이동하고 FW-DNAT-test 방화벽을 선택합니다.

  8. 방화벽의 개인 및 공용 IP 주소를 적어둡니다. 나중에 기본 경로 및 NAT 규칙을 만들 때 사용합니다.

기본 경로 만들기

SN-Workload 서브넷의 경우 방화벽을 통과하도록 아웃바운드 기본 경로를 구성합니다.

Important

대상 서브넷의 방화벽으로의 명시적 경로를 다시 구성할 필요가 없습니다. Azure Firewall은 상태 저장 서비스이며 패킷 및 세션을 자동으로 처리합니다. 이 경로를 만드는 경우 상태 저장 세션 논리를 중단하고 패킷이 삭제되고 연결이 끊기도록 하는 비대칭 라우팅 환경을 만들게 됩니다.

  1. Azure Portal 홈 페이지에서 모든 서비스를 선택합니다.

  2. 네트워킹 아래에서 경로 테이블을 선택합니다.

  3. 추가를 선택합니다.

  4. 구독의 경우 사용자의 구독을 선택합니다.

  5. 리소스 그룹의 경우 RG-DNAT-Test를 선택합니다.

  6. 지역에 대해 이전에 사용한 것과 동일한 지역을 선택합니다.

  7. 이름RT-FW-route를 입력합니다.

  8. 검토 + 만들기를 선택합니다.

  9. 만들기를 선택합니다.

  10. 리소스로 이동을 선택합니다.

  11. 서브넷을 선택한 다음, 연결을 선택합니다.

  12. 가상 네트워크에 대해 VN-Spoke를 선택합니다.

  13. 서브넷에 대해 SN-Workload를 선택합니다.

  14. 확인을 선택합니다.

  15. 경로를 선택한 다음, 추가를 선택합니다.

  16. 경로 이름fw-dg를 입력합니다.

  17. 주소 접두사0.0.0.0/0을 입력합니다.

  18. 다음 홉 형식의 경우 가상 어플라이언스를 선택합니다.

    Azure Firewall은 실제로 관리되는 서비스이지만 가상 어플라이언스는 이 상황에서 작동합니다.

  19. 다음 홉 주소에 이전에 적어둔 방화벽에 대한 개인 IP 주소를 입력합니다.

  20. 확인을 선택합니다.

NAT 규칙 구성

이 규칙을 사용하면 방화벽을 통해 원격 데스크톱을 Srv-Workload 가상 머신에 연결할 수 있습니다.

  1. RG-DNAT-Test 리소스 그룹을 열고 fw-dnat-pol 방화벽 정책을 선택합니다.
  2. 설정 아래에서 DNAT 규칙을 선택합니다.
  3. 규칙 컬렉션 추가를 선택합니다.
  4. 이름rdp를 입력합니다.
  5. 우선 순위200을 입력합니다.
  6. 규칙 컬렉션 그룹에 대해 DefaultDnatRuleCollectionGroup을 선택합니다.
  7. 규칙에서 이름rdp-nat을 입력합니다.
  8. 원본 유형에 대해 IP 주소를 선택합니다.
  9. 원본에 대해 *를 선택합니다.
  10. 프로토콜의 경우 TCP를 선택합니다.
  11. 대상 포트에 대해 3389를 입력합니다.
  12. 대상 유형에 대해 IP 주소를 선택합니다.
  13. 대상에 방화벽 공용 IP 주소를 입력합니다.
  14. 변환 주소Srv-Workload 개인 IP 주소를 입력합니다.
  15. 변환 포트3389를 입력합니다.
  16. 추가를 선택합니다.

방화벽 테스트

  1. 원격 데스크톱을 방화벽 공용 IP 주소에 연결합니다. Srv-Workload 가상 머신에 연결되어 있어야 합니다.
  2. 원격 데스크톱을 닫습니다.

리소스 정리

다음 자습서에서 사용하기 위해 방화벽 리소스를 그대로 유지하거나, 더 이상 필요하지 않은 경우 RG-DNAT-Test 리소스 그룹을 삭제하여 모든 방화벽 관련 리소스를 삭제할 수 있습니다.

다음 단계

Azure Firewall 프리미엄 배포 및 구성