Share via

자습서: Azure Firewall Manager를 사용하여 허브 가상 네트워크 보호

  • 아티클

온-프레미스 네트워크를 Azure 가상 네트워크에 연결하여 하이브리드 네트워크를 만드는 경우 Azure 네트워크 리소스에 대한 액세스를 제어하는 기능은 전체 보안 계획의 중요한 부분입니다.

Azure Firewall Manager를 사용하면 개인 IP 주소, Azure PaaS 및 인터넷으로 향하는 하이브리드 네트워크 트래픽을 보호하는 허브 가상 네트워크를 만들 수 있습니다. Azure Firewall Manager를 사용하여 허용되거나 거부되는 네트워크 트래픽을 정의하는 정책을 사용하여 하이브리드 네트워크에서 네트워크 액세스를 제어할 수 있습니다.

또한 Firewall Manager는 보안 가상 허브 네트워크 아키텍처를 지원합니다. 보안 가상 허브 및 허브 가상 네트워크 아키텍처 유형을 비교하려면 Azure Firewall Manager 아키텍처 옵션이란?을 참조하세요.

이 자습서에서는 다음과 같은 세 가상 네트워크를 만듭니다.

  • VNet-Hub - 방화벽이 이 가상 네트워크에 있습니다.
  • VNet-Spoke - 스포크 가상 네트워크는 Azure에 있는 워크로드를 나타냅니다.
  • VNet-Onprem - 온-프레미스 가상 네트워크는 온-프레미스 네트워크를 나타냅니다. 실제 배포에서는 VPN 또는 ExpressRoute 연결을 사용하여 연결할 수 있습니다. 간단히 하기 위해 이 자습서에서는 VPN 게이트웨이 연결을 사용하며 Azure에 있는 가상 네트워크를 사용하여 온-프레미스 네트워크를 나타냅니다.

Hybrid network

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • 방화벽 정책 만들기
  • 가상 네트워크 만들기
  • 방화벽 구성 및 배포
  • VPN 게이트웨이 만들기 및 연결
  • 허브 및 스포크 가상 네트워크 피어링
  • 경로 만들기
  • 가상 머신 만들기
  • 방화벽 테스트

필수 조건

하이브리드 네트워크는 허브 및 스포크 아키텍처 모델을 사용하여 Azure VNet과 온-프레미스 네트워크 간에 트래픽을 라우팅합니다. 허브 및 스포크 아키텍처에는 다음과 같은 요구 사항이 있습니다.

  • VNet-Hub를 VNet-Spoke로 피어링하는 경우 AllowGatewayTransit을 설정합니다. 허브 및 스포크 네트워크 아키텍처에서 스포크 가상 네트워크는 게이트웨이 전송을 통해 모든 스포크 가상 네트워크에서 VPN 게이트웨이를 배포하는 대신 허브에서 VPN 게이트웨이를 공유할 수 있습니다.

    또한 게이트웨이에 연결된 가상 네트워크 또는 온-프레미스 네트워크에 대한 경로는 게이트웨이 전송을 사용하여 피어링된 가상 네트워크에 대한 라우팅 테이블에 자동으로 전파됩니다. 자세한 내용은 가상 네트워크 피어링을 위한 VPN 게이트웨이 전송 구성을 참조하세요.

  • VNet-Spoke를 VNet-Hub에 피어링할 때 UseRemoteGateways를 설정합니다. UseRemoteGateways가 설정되고 원격 피어링의 AllowGatewayTransit도 설정된 경우, 스포크 가상 네트워크는 전송을 위해 원격 가상 네트워크의 게이트웨이를 사용합니다.

  • 허브 방화벽을 통해 스포크 서브넷 트래픽을 라우팅하려면 가상 네트워크 게이트웨이 경로 전파 설정을 사용하지 않도록 설정된 방화벽을 가리키는 UDR(사용자 정의 경로)이 필요합니다. 이 옵션은 경로를 스포크 서브넷으로 배포하지 않도록 방지합니다. 이렇게 하면 학습된 경로가 UDR과 충돌하지 않습니다.

  • 스포크 네트워크에 대한 다음 홉으로 방화벽 IP 주소를 가리키는 허브 게이트웨이 서브넷에서 UDR을 구성합니다. Azure Firewall 서브넷에서는 BGP로부터 경로를 학습하므로 UDR이 필요하지 않습니다.

이 경로를 만드는 방법은 이 자습서의 경로 만들기 섹션을 참조하세요.

참고 항목

Azure Firewall에는 직접 인터넷 연결이 있어야 합니다. AzureFirewallSubnet이 BGP를 통해 온-프레미스 네트워크에 대한 기본 경로를 학습하는 경우 이 경로를 직접 인터넷 연결을 유지하기 위해 Internet으로 설정된 NextHopType 값을 통해 0.0.0.0/0 UDR로 재정의해야 합니다.

Azure Firewall은 강제 터널링을 지원하도록 구성할 수 있습니다. 자세한 내용은 Azure Firewall 강제 터널링을 참조하세요.

참고 항목

직접 피어링된 VNet 사이의 트래픽은 UDR이 기본 게이트웨이로 Azure Firewall을 가리키는 경우에도 직접 라우팅됩니다. 이 시나리오에서 서브넷 트래픽에 대한 서브넷을 방화벽으로 보내려면 UDR에 두 가지 서브넷에 명시적으로 지정된 대상 서브넷 네트워크 접두사가 포함되어 있어야 합니다.

Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.

방화벽 정책 만들기

  1. Azure Portal에 로그인합니다.

  2. Azure Portal 검색 창에서 Firewall Manager를 입력하고 Enter 키를 누릅니다.

  3. Azure Firewall Manager 페이지의 보안 아래에서 Azure 방화벽 정책을 선택합니다.

    Screenshot showing Firewall Manager main page.

  4. Azure Firewall 정책 만들기를 선택합니다.

  5. 구독을 선택하고, 리소스 그룹에 대해 새로 만들기를 선택하고, FW-Hybrid-Test라는 리소스 그룹을 만듭니다.

  6. 정책 이름에 대해 Pol-Net01을 입력합니다.

  7. 지역에 대해 미국 동부를 선택합니다.

  8. 다음: DNS 설정을 선택합니다.

  9. 다음: TLS 검사를 선택합니다.

  10. 다음: 규칙을 선택합니다.

  11. 규칙 컬렉션 추가를 선택합니다.

  12. 이름에 대해 RCNet01을 입력합니다.

  13. 규칙 컬렉션 형식에 대해 네트워크를 선택합니다.

  14. 우선 순위에 대해 100을 입력합니다.

  15. 동작에 대해 허용을 선택합니다.

  16. 규칙 아래에서 이름에 대해 AllowWeb을 입력합니다.

  17. 원본에 대해 192.168.1.0/24를 선택합니다.

  18. 프로토콜의 경우 TCP를 선택합니다.

  19. 대상 포트에 대해 80을 입력합니다.

  20. 대상 유형에 대해 IP 주소를 선택합니다.

  21. 대상에 대해 10.6.0.0/16을 입력합니다.

  22. 다음과 같이 규칙 행에서 해당 정보를 입력합니다.

    이름: AllowRDP 입력
    원본: 유형 192.168.1.0/24.
    프로토콜: TCP 선택
    대상 포트: 3389 입력
    대상 유형: IP 주소 선택
    대상: 10.6.0.0/16 입력

  23. 추가를 선택합니다.

  24. 검토 + 생성를 선택합니다.

  25. 세부 정보를 검토한 다음, 만들기를 선택합니다.

방화벽 허브 가상 네트워크 만들기

참고 항목

AzureFirewallSubnet 서브넷의 크기는 /26입니다. 서브넷 크기에 대한 자세한 내용은 Azure Firewall FAQ를 참조하세요.

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.

  2. 가상 네트워크를 검색한 다음, 가상 네트워크를 선택합니다.

  3. 만들기를 실행합니다.

  4. 구독의 경우 사용자의 구독을 선택합니다.

  5. 리소스 그룹에 대해 FW-Hybrid-Test를 선택합니다.

  6. 이름에 대해 VNet-hub를 입력합니다.

  7. 지역에 대해 미국 동부를 선택합니다.

  8. 다음을 선택합니다.

  9. 보안에서 다음을 선택합니다.

  10. IPv4 주소 공간10.5.0.0/16을 입력합니다.

  11. 서브넷에서 기본값을 선택합니다.

  12. 서브넷 템플릿의 경우 Azure Firewall을 선택합니다.

  13. 시작 주소10.5.0.0/26을 입력합니다.

  14. 다른 기본 설정을 유지한 다음, 저장을 선택합니다.

  15. 검토 + 만들기를 선택합니다.

  16. 만들기를 선택합니다.

주소 공간이 10.5.1.0/27인 GatewaySubnet이라는 다른 서브넷을 추가합니다. 이 서브넷은 VPN 게이트웨이에 사용됩니다.

스포크 가상 네트워크 만들기

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
  2. 가상 네트워크를 검색한 다음, 가상 네트워크를 선택합니다.
  3. 만들기를 실행합니다.
  4. 구독의 경우 사용자의 구독을 선택합니다.
  5. 리소스 그룹에 대해 FW-Hybrid-Test를 선택합니다.
  6. 이름에 대해 VNet-Spoke를 입력합니다.
  7. 지역에 대해 미국 동부를 선택합니다.
  8. 다음을 선택합니다.
  9. 보안 페이지에서 다음을 선택합니다.
  10. 다음 : IP 주소를 선택합니다.
  11. IPv4 주소 공간10.6.0.0/16을 입력합니다.
  12. 서브넷에서 기본값을 선택합니다.
  13. 이름SN-Workload로 변경합니다.
  14. 시작 주소10.6.0.0/24를 입력합니다.
  15. 다른 기본 설정을 유지한 다음, 저장을 선택합니다.
  16. 검토 + 만들기를 선택합니다.
  17. 만들기를 선택합니다.

온-프레미스 가상 네트워크 만들기

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.

  2. 가상 네트워크를 검색한 다음, 가상 네트워크를 선택합니다.

  3. 만들기를 실행합니다.

  4. 구독의 경우 사용자의 구독을 선택합니다.

  5. 리소스 그룹에 대해 FW-Hybrid-Test를 선택합니다.

  6. 가상 네트워크 이름VNet-OnPrem을 입력합니다.

  7. 지역에 대해 미국 동부를 선택합니다.

  8. 다음을 선택합니다.

  9. 보안 페이지에서 다음을 선택합니다.

  10. IPv4 주소 공간192.168.0.0/16을 입력합니다.

  11. 서브넷에서 기본값을 선택합니다.

  12. 이름SN-Corp로 변경합니다.

  13. 시작 주소192.168.1.0/24를 입력합니다.

  14. 다른 기본 설정을 유지한 다음, 저장을 선택합니다.

  15. 서브넷 추가를 선택합니다.

  16. 서브넷 템플릿의 경우 Virtual Network 게이트웨이를 선택합니다.

  17. 시작 주소192.168.2.0/27을 입력합니다.

  18. 추가를 선택합니다.

  19. 검토 + 만들기를 선택합니다.

  20. 만들기를 선택합니다.

방화벽 구성 및 배포

보안 정책이 허브와 연결된 경우 이를 허브 가상 네트워크라고 합니다.

VNet-Hub 가상 네트워크를 허브 가상 네트워크로 변환하고, Azure Firewall을 사용하여 보안을 유지합니다.

  1. Azure Portal 검색 창에서 Firewall Manager를 입력하고 Enter 키를 누릅니다.

  2. 오른쪽 창에서 개요를 선택합니다.

  3. Azure Firewall Manager 페이지의 가상 네트워크에 보안 추가 아래에서 허브 가상 네트워크 보기를 선택합니다.

  4. Virtual Network에서 VNet-hub의 확인란을 선택합니다.

  5. 보안 관리를 선택한 다음, 방화벽 정책을 사용하여 방화벽 배포를 선택합니다.

  6. 가상 네트워크 변환 페이지의 Azure Firewall 계층 아래에서 프리미엄을 선택합니다. 방화벽 정책에서 Pol-Net01의 확인란을 선택합니다.

  7. 다음 : 검토 + 확인을 선택합니다.

  8. 세부 정보를 검토한 다음, 확인을 선택합니다.

    배포하는 데 몇 분 정도 걸립니다.

  9. 배포가 완료되면 FW-Hybrid-Test 리소스 그룹으로 이동하여 방화벽을 선택합니다.

  10. 개요 페이지의 방화벽 개인 IP 주소를 적어 둡니다. 나중에 기본 경로를 만들 때 사용합니다.

VPN 게이트웨이 만들기 및 연결

허브 및 온-프레미스 가상 네트워크는 VPN Gateway를 통해 연결됩니다.

허브 가상 네트워크에 대한 VPN Gateway 만들기

이제 허브 가상 네트워크에 대한 VPN Gateway를 만듭니다. 네트워크 간 구성에는 RouteBased VpnType이 필요합니다. 종종 선택한 VPN 게이트웨이 SKU에 따라 VPN 게이트웨이를 만드는 데 45분 이상 걸릴 수 있습니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
  2. 검색 텍스트 상자에서 가상 네트워크 게이트웨이를 입력하고, Enter 키를 누릅니다.
  3. 가상 네트워크 게이트웨이, 만들기를 차례로 선택합니다.
  4. 이름에 대해 GW-hub를 입력합니다.
  5. 지역에 대해 (US) 미국 동부를 선택합니다.
  6. 게이트웨이 유형에 대해 VPN을 선택합니다.
  7. VPN 종류에 대해 경로 기반을 선택합니다.
  8. SKU의 경우 VpnGw2를 선택합니다.
  9. 세대에 대해 Generation2를 선택합니다.
  10. 가상 네트워크에 대해 VNet-hub를 선택합니다.
  11. 공용 IP 주소에 대해 새로 만들기를 선택하고, 이름으로 VNet-hub-GW-pip를 입력합니다.
  12. 활성-활성 모드 사용사용 안 함을 선택합니다.
  13. 나머지 항목에 대해 기본값을 적용한 다음, 검토 + 만들기를 선택합니다.
  14. 구성을 검토한 다음, 만들기를 선택합니다.

온-프레미스 가상 네트워크에 대한 VPN Gateway 만들기

이제 온-프레미스 가상 네트워크에 대한 VPN Gateway를 만듭니다. 네트워크 간 구성에는 RouteBased VpnType이 필요합니다. 종종 선택한 VPN 게이트웨이 SKU에 따라 VPN 게이트웨이를 만드는 데 45분 이상 걸릴 수 있습니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
  2. 검색 텍스트 상자에서 가상 네트워크 게이트웨이를 입력하고, Enter 키를 누릅니다.
  3. 가상 네트워크 게이트웨이, 만들기를 차례로 선택합니다.
  4. 이름에 대해 GW-Onprem을 입력합니다.
  5. 지역에 대해 (US) 미국 동부를 선택합니다.
  6. 게이트웨이 유형에 대해 VPN을 선택합니다.
  7. VPN 종류에 대해 경로 기반을 선택합니다.
  8. SKU의 경우 VpnGw2를 선택합니다.
  9. 세대에 대해 Generation2를 선택합니다.
  10. 가상 네트워크에 대해 VNet-Onprem을 선택합니다.
  11. 공용 IP 주소에 대해 새로 만들기를 선택하고, 이름으로 VNet-Onprem-GW-pip를 입력합니다.
  12. 활성-활성 모드 사용사용 안 함을 선택합니다.
  13. 나머지 항목에 대해 기본값을 적용한 다음, 검토 + 만들기를 선택합니다.
  14. 구성을 검토한 다음, 만들기를 선택합니다.

VPN 연결 만들기

이제 허브와 온-프레미스 게이트웨이 간에 VPN 연결을 만들 수 있습니다.

이 단계에서는 허브 가상 네트워크에서 온-프레미스 가상 네트워크로의 연결을 만듭니다. 예제에 참조된 공유 키가 있습니다. 공유 키에 대해 고유한 값을 사용할 수 있습니다. 중요한 점은 두 연결에서 모두 공유 키가 일치해야 한다는 것입니다. 연결을 만드는 데 약간의 시간이 걸립니다.

  1. FW-Hybrid-Test 리소스 그룹을 열고, GW-hub 게이트웨이를 선택합니다.
  2. 왼쪽 열에서 연결을 선택합니다.
  3. 추가를 선택합니다.
  4. 연결 이름에 Hub-to-Onprem을 입력합니다.
  5. 연결 형식에 대해 VNet 간을 선택합니다.
  6. 다음: 설정을 선택합니다.
  7. 첫 번째 가상 네트워크 게이트웨이에 대해 GW-hub를 선택합니다.
  8. 두 번째 가상 네트워크 게이트웨이에 대해 GW-Onprem을 선택합니다.
  9. 공유 키(PSK)에 대해 AzureA1b2C3을 입력합니다.
  10. 검토 + 만들기를 선택합니다.
  11. 만들기를 선택합니다.

온-프레미스에서 허브 가상 네트워크로의 연결을 만듭니다. 이 단계는 VNet-Onprem에서 VNet-hub로의 연결을 만든다는 점을 제외하고는 이전 단계와 유사합니다. 공유된 키가 일치하는지 확인합니다. 몇 분 후 연결이 설정됩니다.

  1. FW-Hybrid-Test 리소스 그룹을 열고, GW-Onprem 게이트웨이를 선택합니다.
  2. 왼쪽 열에서 연결을 선택합니다.
  3. 추가를 선택합니다.
  4. 연결 이름에 Onprem-to-Hub를 입력합니다.
  5. 연결 형식에 대해 VNet 간을 선택합니다.
  6. 두 번째 가상 네트워크 게이트웨이에 대해 GW-hub를 선택합니다.
  7. 공유 키(PSK)에 대해 AzureA1b2C3을 입력합니다.
  8. 확인을 선택합니다.

연결 확인

약 5분 후에 두 연결의 상태가 연결됨이 됩니다.

Screenshot showing the vpn gateway connections.

허브 및 스포크 가상 네트워크 피어링

이제 허브 및 스포크 가상 네트워크를 피어링합니다.

  1. FW-Hybrid-Test 리소스 그룹을 열고, VNet-hub 가상 네트워크를 선택합니다.

  2. 왼쪽 열에서 피어링을 선택합니다.

  3. 추가를 선택합니다.

  4. 이 가상 네트워크에서 다음을 확인할 수 있습니다.

    설정 이름
    피어링 링크 이름 HubtoSpoke
    원격 가상 네트워크 트래픽 허용 선택됨
    원격 가상 네트워크에서 전달된 트래픽 허용(게이트웨이 전송 허용) 선택됨
    원격 가상 네트워크 게이트웨이 또는 경로 서버 사용 선택되지 않음

  5. 원격 가상 네트워크에서 다음을 확인할 수 있습니다.

    설정 이름
    피어링 링크 이름 SpoketoHub
    가상 네트워크 배포 모델 Resource Manager
    구독 <구독>
    가상 네트워크 VNet-Spoke
    현재 가상 네트워크 트래픽 허용 선택됨
    현재 가상 네트워크에서 전달된 트래픽 허용(게이트웨이 전송 허용) 선택됨
    현재 가상 네트워크 게이트웨이 또는 경로 서버 사용 선택됨

  6. 추가를 선택합니다.

    Screenshot showing Vnet peering.

경로 만들기

다음으로 두 경로 만듭니다.

  • 허브 게이트웨이 서브넷에서 방화벽 IP 주소를 통해 스포크 서브넷으로 가는 경로
  • 방화벽 IP 주소를 통해 스포크 서브넷으로부터의 기본 경로
  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
  2. 검색 텍스트 상자에서 경로 테이블을 입력하고, Enter 키를 누릅니다.
  3. 경로 테이블을 선택합니다.
  4. 만들기를 실행합니다.
  5. 리소스 그룹에 대해 FW-Hybrid-Test를 선택합니다.
  6. 지역에 대해 미국 동부를 선택합니다.
  7. 이름에 대해 UDR-Hub-Spoke를 입력합니다.
  8. 검토 + 생성를 선택합니다.
  9. 만들기를 선택합니다.
  10. 경로 테이블이 만들어지면 해당 테이블을 선택하여 경로 테이블 페이지를 엽니다.
  11. 왼쪽 열에서 경로를 선택합니다.
  12. 추가를 선택합니다.
  13. 경로 이름에 대해 ToSpoke를 입력합니다.
  14. 대상 유형에 대해 IP 주소를 선택합니다.
  15. 대상 IP 주소/CIDR 범위10.6.0.0/16을 입력합니다.
  16. 다음 홉 형식에 대해 가상 어플라이언스를 선택합니다.
  17. 다음 홉 주소에 대해 앞에서 적어둔 방화벽의 개인 IP 주소를 입력합니다.
  18. 추가를 선택합니다.

이제 경로를 서브넷에 연결합니다.

  1. UDR-Hub-Spoke - 경로 페이지에서 서브넷을 선택합니다.
  2. 연결을 선택합니다.
  3. 가상 네트워크 아래에서 VNet-hub를 선택합니다.
  4. 서브넷 아래에서 GatewaySubnet을 선택합니다.
  5. 확인을 선택합니다.

이제 스포크 서브넷에서 기본 경로를 만듭니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.
  2. 검색 텍스트 상자에서 경로 테이블을 입력하고, Enter 키를 누릅니다.
  3. 경로 테이블을 선택합니다.
  4. 만들기를 실행합니다.
  5. 리소스 그룹에 대해 FW-Hybrid-Test를 선택합니다.
  6. 지역에 대해 미국 동부를 선택합니다.
  7. 이름에 대해 UDR-DG를 입력합니다.
  8. 게이트웨이 경로 전파에 대해 아니요를 선택합니다.
  9. 검토 + 만들기를 선택합니다.
  10. 만들기를 선택합니다.
  11. 경로 테이블이 만들어지면 해당 테이블을 선택하여 경로 테이블 페이지를 엽니다.
  12. 왼쪽 열에서 경로를 선택합니다.
  13. 추가를 선택합니다.
  14. 경로 이름에 대해 ToHub를 입력합니다.
  15. 대상 유형에 대해 IP 주소를 선택합니다.
  16. 대상 IP 주소/CIDR 범위0.0.0.0/0을 입력합니다.
  17. 다음 홉 형식에 대해 가상 어플라이언스를 선택합니다.
  18. 다음 홉 주소에 대해 앞에서 적어둔 방화벽의 개인 IP 주소를 입력합니다.
  19. 추가를 선택합니다.

이제 경로를 서브넷에 연결합니다.

  1. UDR-DG - 경로 페이지에서 서브넷을 선택합니다.
  2. 연결을 선택합니다.
  3. 가상 네트워크 아래에서 VNet-spoke를 선택합니다.
  4. 서브넷 아래에서 SN-Workload를 선택합니다.
  5. 확인을 선택합니다.

가상 머신 만들기

이제 스포크 워크로드 및 온-프레미스 가상 머신을 만들어 적절한 서브넷에 배치합니다.

워크로드 가상 머신 만들기

스포크 가상 네트워크에서 공용 IP 주소 없이 IIS를 실행하는 가상 머신을 만듭니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.

  2. 인기 Marketplace 제품에서 Windows Server 2019 Datacenter를 선택합니다.

  3. 가상 머신에 대해 다음 값을 입력합니다.

    • 리소스 그룹 - FW-Hybrid-Test를 선택합니다.
    • 가상 머신 이름: VM-Spoke-01
    • 지역 - (US) 미국 동부
    • 사용자 이름: 사용자 이름 입력
    • 암호: 암호 입력

  4. 공용 인바운드 포트에 대해 선택한 포트 허용을 선택한 다음, HTTP(80)RDP(3389)를 선택합니다.

  5. 다음: 디스크를 선택합니다.

  6. 기본값을 적용하고 다음: 네트워킹을 선택합니다.

  7. 가상 네트워크에 대해 VNet-Spoke를 선택하고, 서브넷은 SN-Workload입니다.

  8. 다음: 관리를 선택합니다.

  9. 다음: 모니터링을 선택합니다.

  10. 부트 진단에 대해 사용 안 함을 선택합니다.

  11. 검토 + 만들기를 선택하고 요약 페이지에서 설정을 검토한 다음, 만들기를 선택합니다.

IIS 설치

  1. Azure Portal에서 Cloud Shell을 열고, PowerShell로 설정되어 있는지 확인합니다.

  2. 다음 명령을 실행하여 가상 머신에 IIS를 설치하고 필요한 경우 위치를 변경합니다.

    Set-AzVMExtension `
        -ResourceGroupName FW-Hybrid-Test `
        -ExtensionName IIS `
        -VMName VM-Spoke-01 `
        -Publisher Microsoft.Compute `
        -ExtensionType CustomScriptExtension `
        -TypeHandlerVersion 1.4 `
        -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
        -Location EastUS

온-프레미스 가상 머신 만들기

원격 데스크톱을 사용하여 공용 IP 주소에 연결하는 데 사용하는 가상 머신입니다. 여기에서 방화벽을 통해 온-프레미스 서버에 연결할 수 있습니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기를 선택합니다.

  2. 인기 아래에서 Windows Server 2019 Datacenter를 선택합니다.

  3. 가상 머신에 대해 다음 값을 입력합니다.

    • 리소스 그룹 - 기존 항목을 선택한 다음, FW-Hybrid-Test를 선택합니다.
    • 가상 머신 이름 - VM-Onprem
    • 지역 - (US) 미국 동부
    • 사용자 이름: 사용자 이름 입력
    • 암호: 암호 입력

  4. 공용 인바운드 포트에 대해 선택한 포트 허용을 선택한 다음, RDP(3389)를 선택합니다.

  5. 다음: 디스크를 선택합니다.

  6. 기본값을 적용하고, 다음: 네트워킹을 선택합니다.

  7. 가상 네트워크에 대해 VNet-Onprem을 선택하고, 서브넷이 SN-Corp인지 확인합니다.

  8. 다음: 관리를 선택합니다.

  9. 다음: 모니터링을 선택합니다.

  10. 부트 진단에 대해 사용 안 함을 선택합니다.

  11. 검토 + 만들기를 선택하고 요약 페이지에서 설정을 검토한 다음, 만들기를 선택합니다.

방화벽 테스트

  1. 먼저 VM-Spoke-01 개요 페이지에서 VM-Spoke-01 가상 머신에 대한 개인 IP 주소를 확인합니다.

  2. Azure Portal에서 VM-Onprem 가상 머신에 연결합니다.

  1. VM-Onprem에서 웹 브라우저를 열고 http://<VM-spoke-01 프라이빗 IP>로 이동합니다.

    VM-spoke-01 웹 페이지(Screenshot showing vm-spoke-01 web page.)가 표시됩니다.

  2. VM-Onprem 가상 머신에서 개인 IP 주소의 VM-spoke-01에 대한 원격 데스크톱을 엽니다.

    연결이 성공하고 로그인할 수 있습니다.

이제 방화벽 규칙이 작동하는지 확인했습니다.

  • 스포크 가상 네트워크에서 웹 서버를 탐색할 수 있습니다.
  • RDP를 사용하여 스포크 가상 네트워크에 있는 서버에 연결할 수 있습니다.

이제 방화벽 규칙이 예상대로 작동하는지 호가인하기 위해 방화벽 네트워크 규칙 수집 동작을 거부로 변경합니다.

  1. FW-Hybrid-Test 리소스 그룹을 열고, Pol-Net01 방화벽 정책을 선택합니다.
  2. 설정 아래에서 규칙 컬렉션을 선택합니다.
  3. RCNet01 규칙 컬렉션을 선택합니다.
  4. 규칙 컬렉션 작업에 대해 거부를 선택합니다.
  5. 저장을 선택합니다.

변경된 규칙을 테스트하려면 먼저 VM-Onprem에서 기존 원격 데스크톱 및 브라우저를 닫습니다. 규칙 컬렉션 업데이트가 완료되면 테스트를 다시 실행합니다. 이번에는 모두 연결에 실패해야 합니다.

리소스 정리

추가 조사를 위해 방화벽 리소스를 그대로 유지하거나 더 이상 필요하지 않은 경우 FW-Hybrid-Test 리소스 그룹을 삭제하여 모든 방화벽 관련 리소스를 삭제할 수 있습니다.

다음 단계

자습서: Azure Firewall Manager를 사용하여 Virtual WAN 보안