Azure Firewall이란?What is Azure Firewall?

ICSA 인증

Azure Firewall은 Azure Virtual Network 리소스를 보호하는 관리되는 클라우드 기반 네트워크 보안 서비스입니다.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다.It's a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.

방화벽 개요

구독 및 가상 네트워크 전반에 걸쳐 애플리케이션 및 네트워크 연결 정책을 중앙에서 만들고, 적용하고 기록할 수 있습니다.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks. Azure Firewall은 가상 네트워크 리소스에 정적 공용 IP 주소를 사용하기 때문에 외부 방화벽이 사용자의 가상 네트워크에서 시작된 트래픽을 식별할 수 있습니다.Azure Firewall uses a static public IP address for your virtual network resources allowing outside firewalls to identify traffic originating from your virtual network. 이 서비스는 로깅 및 분석을 위해 Azure Monitor와 완전히 통합됩니다.The service is fully integrated with Azure Monitor for logging and analytics.

기능Features

Azure Firewall 기능에 대해 알아보려면 Azure Firewall 기능을 참조하세요.To learn about Azure Firewall features, see Azure Firewall features.

알려진 문제Known issues

Azure Firewall의 알려진 문제는 다음과 같습니다.Azure Firewall has the following known issues:

문제Issue DescriptionDescription 완화 방법Mitigation
TCP/UDP 프로토콜이 아닌 프로토콜(예: ICMP)에 대한 네트워크 필터링 규칙은 인터넷 바운드 트래픽에 작동하지 않습니다.Network filtering rules for non-TCP/UDP protocols (for example ICMP) don't work for Internet bound traffic TCP/UDP 프로토콜이 아닌 프로토콜에 대한 네트워크 필터링 규칙은 공용 IP 주소에 대한 SNAT에 작동하지 않습니다.Network filtering rules for non-TCP/UDP protocols don't work with SNAT to your public IP address. TCP/UDP 프로토콜이 아닌 프로토콜은 스포크 서브넷과 VNet 간에 지원됩니다.Non-TCP/UDP protocols are supported between spoke subnets and VNets. Azure Firewall은 표준 Load Balancer를 사용하기 때문에 현재 IP 프로토콜을 위한 SNAT를 지원하지 않습니다.Azure Firewall uses the Standard Load Balancer, which doesn't support SNAT for IP protocols today. 향후 릴리스에서 이 시나리오를 지원할 수 있는 옵션을 모색하고 있습니다.We're exploring options to support this scenario in a future release.
ICMP에 대한 PowerShell 및 CLI 지원 누락Missing PowerShell and CLI support for ICMP Azure PowerShell 및 CLI는 네트워크 규칙에 유효한 프로토콜로 ICMP를 지원하지 않습니다.Azure PowerShell and CLI don't support ICMP as a valid protocol in network rules. 여전히 포털 및 REST API를 통해 ICMP를 프로토콜로 사용할 수 있습니다.It's still possible to use ICMP as a protocol via the portal and the REST API. PowerShell 및 CLI에 ICMP를 조만간 추가하기 위해 노력 중입니다.We're working to add ICMP in PowerShell and CLI soon.
FQDN 태그는 프로토콜: 설정할 포트가 필요FQDN tags require a protocol: port to be set FQDN 태그를 사용하는 애플리케이션 규칙에는 포트: 프로토콜 정의가 필요합니다.Application rules with FQDN tags require port: protocol definition. https를 포트: 프로토콜 값으로 사용할 수 있습니다.You can use https as the port: protocol value. FQDN 태그를 사용할 때 이 필드 옵션이 작동하도록 하기 위한 작업이 진행 중입니다.We're working to make this field optional when FQDN tags are used.
방화벽을 다른 리소스 그룹 또는 구독으로 이동하는 기능은 지원되지 않습니다.Moving a firewall to a different resource group or subscription isn't supported 방화벽을 다른 리소스 그룹 또는 구독으로 이동하는 기능은 지원되지 않습니다.Moving a firewall to a different resource group or subscription isn't supported. 이 기능은 로드맵에 있습니다.Supporting this functionality is on our road map. 방화벽을 다른 리소스 그룹 또는 구독으로 이동하려면 현재 인스턴스를 삭제하고 새 리소스 그룹 또는 구독에서 다시 만들어야 합니다.To move a firewall to a different resource group or subscription, you must delete the current instance and recreate it in the new resource group or subscription.
위협 인텔리전스 경고는 마스킹될 수 있습니다.Threat intelligence alerts may get masked 아웃바운드 필터링의 대상이 80/443인 네트워크 규칙은 위협 전용 모드로 구성되면 위협 인텔리전스 경고를 마스킹합니다.Network rules with destination 80/443 for outbound filtering masks threat intelligence alerts when configured to alert only mode. 애플리케이션 규칙을 사용하여 80/443에 대한 아웃바운드 필터링을 만듭니다.Create outbound filtering for 80/443 using application rules. 또는 위협 인텔리전스 모드를 경고 및 거부로 변경합니다.Or, change the threat intelligence mode to Alert and Deny.
Azure Firewall DNAT는 개인 IP 대상에는 작동하지 않습니다.Azure Firewall DNAT doesn't work for private IP destinations Azure Firewall DNAT 지원은 인터넷 송신/수신으로 제한됩니다.Azure Firewall DNAT support is limited to Internet egress/ingress. DNAT는 현재 개인 IP 대상에는 작동하지 않습니다.DNAT doesn't currently work for private IP destinations. 예: 스포크-스포크.For example, spoke to spoke. 이 문제가 현재 제한 사항입니다.This is a current limitation.
첫 번째 공용 IP 구성을 제거할 수 없음Can't remove first public IP configuration 각 Azure Firewall 공용 IP 주소는 IP 구성에 할당됩니다.Each Azure Firewall public IP address is assigned to an IP configuration. 첫 번째 IP 구성은 방화벽을 배포하는 동안 할당되며, 일반적으로 방화벽 서브넷에 대한 참조도 포함하고 있습니다(템플릿 배포를 통해 명시적으로 다르게 구성하지 않는 이상).The first IP configuration is assigned during the firewall deployment, and typically also contains a reference to the firewall subnet (unless configured explicitly differently via a template deployment). 이 IP 구성을 삭제하면 방화벽이 할당 취소되므로 삭제할 수 없습니다.You can't delete this IP configuration because it would de-allocate the firewall. 방화벽에 사용 가능한 다른 공용 IP 주소가 하나 이상 있는 경우 이 IP 구성과 연결된 공용 IP 주소를 변경하거나 제거할 수 있습니다.You can still change or remove the public IP address associated with this IP configuration if the firewall has at least one other public IP address available to use. 이것은 의도적인 것입니다.This is by design.
가용성 영역은 배포 중에만 구성할 수 있습니다.Availability zones can only be configured during deployment. 가용성 영역은 배포 중에만 구성할 수 있습니다.Availability zones can only be configured during deployment. 방화벽이 배포된 후에는 가용 영역을 구성할 수 없습니다.You can't configure Availability Zones after a firewall has been deployed. 이것은 의도적인 것입니다.This is by design.
인바운드 연결의 SNATSNAT on inbound connections DNAT 외에도 방화벽 공용 IP 주소(인바운드)를 통한 연결은 방화벽 개인 IP 중 하나로 SNAT됩니다.In addition to DNAT, connections via the firewall public IP address (inbound) are SNATed to one of the firewall private IPs. 이 요구 사항은 현재(활성/활성 NVA의 경우에도) 대칭 라우팅을 보장합니다.This requirement today (also for Active/Active NVAs) to ensure symmetric routing. HTTP/S에 대한 원래 원본을 보존하려면 XFF 헤더를 사용하는 것이 좋습니다.To preserve the original source for HTTP/S, consider using XFF headers. 예를 들어 방화벽 앞에 있는 Azure Front Door 또는 Azure Application Gateway와 같은 서비스를 사용합니다.For example, use a service such as Azure Front Door or Azure Application Gateway in front of the firewall. Azure Front Door의 일부로 WAF를 추가하고 방화벽에 체인을 추가할 수도 있습니다.You can also add WAF as part of Azure Front Door and chain to the firewall.
프록시 모드(포트 1433)에서만 지원되는 SQL FQDN 필터링SQL FQDN filtering support only in proxy mode (port 1433) Azure SQL Database, Azure Synapse Analytics 및 Azure SQL Managed Instance의 경우:For Azure SQL Database, Azure Synapse Analytics, and Azure SQL Managed Instance:

미리 보기 기간에는 SQL FQDN 필터링이 프록시 모드(포트 1433)에서만 지원됩니다.During the preview, SQL FQDN filtering is supported in proxy-mode only (port 1433).

Azure SQL IaaS의 경우:For Azure SQL IaaS:

비표준 포트를 사용하는 경우 애플리케이션 규칙에서 해당 포트를 지정할 수 있습니다.If you're using non-standard ports, you can specify those ports in the application rules.
리디렉션 모드의 SQL(Azure 내에서 연결하는 경우 기본값)의 경우 대신 SQL 서비스 태그를 Azure Firewall 네트워크 규칙의 일부로 사용하여 액세스를 필터링할 수 있습니다.For SQL in redirect mode (the default if connecting from within Azure), you can instead filter access using the SQL service tag as part of Azure Firewall network rules.
TCP 포트 25의 아웃바운드 트래픽은 허용되지 않음Outbound traffic on TCP port 25 isn't allowed TCP 포트 25를 사용하는 아웃바운드 SMTP 연결이 차단되었습니다.Outbound SMTP connections that use TCP port 25 are blocked. 포트 25는 주로 인증되지 않은 이메일 제공을 위해 사용됩니다.Port 25 is primarily used for unauthenticated email delivery. 이는 가상 머신의 기본 플랫폼 동작입니다.This is the default platform behavior for virtual machines. 자세한 내용은 Azure에서 아웃바운드 SMTP 연결 문제 해결을 참조하세요.For more information, see more Troubleshoot outbound SMTP connectivity issues in Azure. 그러나 가상 머신과 달리 현재는 Azure 방화벽에서 이 기능을 사용하도록 설정할 수 없습니다.However, unlike virtual machines, it isn't currently possible to enable this functionality on Azure Firewall. 참고: 25개 이외의 포트를 통해 인증된 SMTP(포트 587) 또는 SMTP를 허용하려면 현재 SMTP 검사가 지원되지 않으므로 애플리케이션 규칙이 아닌 네트워크 규칙을 구성해야 합니다.Note: to allow authenticated SMTP (port 587) or SMTP over a port other than 25, please make sure you configure a network rule and not an application rule as SMTP inspection is not supported at this time. SMTP 문제 해결 문서에 설명된 것처럼 권장 방법에 따라 이메일을 보냅니다.Follow the recommended method to send email, as documented in the SMTP troubleshooting article. 또는 기본 경로에서 방화벽으로의 아웃바운드 SMTP 액세스가 필요한 가상 머신을 제외합니다.Or, exclude the virtual machine that needs outbound SMTP access from your default route to the firewall. 대신 인터넷에 대한 아웃바운드 액세스를 직접 구성합니다.Instead, configure outbound access directly to the internet.
활성 FTP는 지원되지 않습니다.Active FTP isn't supported FTP PORT 명령을 사용하여 FTP 바운스 공격으로부터 보호하기 위해 Azure Firewall에서 활성 FTP를 사용하지 않도록 설정합니다.Active FTP is disabled on Azure Firewall to protect against FTP bounce attacks using the FTP PORT command. 대신 수동 FTP를 사용할 수 있습니다.You can use Passive FTP instead. 여전히 방화벽에서 TCP 포트 20 및 21을 명시적으로 열어야 합니다.You must still explicitly open TCP ports 20 and 21 on the firewall.
SNAT 포트 사용률 메트릭이 0%를 표시합니다.SNAT port utilization metric shows 0% SNAT 포트를 사용하는 경우에도 Azure Firewall SNAT 포트 사용률 메트릭이 0% 사용량을 표시할 수 있습니다.The Azure Firewall SNAT port utilization metric may show 0% usage even when SNAT ports are used. 이 경우 방화벽 상태 메트릭의 일부로 메트릭을 사용하면 잘못된 결과가 제공됩니다.In this case, using the metric as part of the firewall health metric provides an incorrect result. 이 문제는 해결되었으며 2020년 5월에 출시될 예정입니다.This issue has been fixed and rollout to production is targeted for May 2020. 방화벽 재배포로 문제가 해결되는 경우도 있지만 일관되지 없습니다.In some cases, firewall redeployment resolves the issue, but it's not consistent. 중간책으로, 방화벽 상태만 사용하여 status=unhealthystatus=degraded를 찾습니다.As an intermediate workaround, only use the firewall health state to look for status=degraded, not for status=unhealthy. 포트 소모는 성능 저하됨으로 표시됩니다.Port exhaustion will show as degraded. 방화벽 상태에 영향을 주는 더 많은 메트릭이 있는 경우 정상이 아님은 나중에 사용하도록 예약되어 있습니다.Not healthy is reserved for future use when the are more metrics to impact the firewall health.
DNAT는 강제 터널링을 사용하는 경우 지원되지 않습니다.DNAT isn't supported with Forced Tunneling enabled 강제 터널링을 사용하여 배포된 방화벽은 비대칭 라우팅으로 인해 인터넷에서 인바운드 액세스를 지원할 수 없습니다.Firewalls deployed with Forced Tunneling enabled can't support inbound access from the Internet because of asymmetric routing. 이는 비대칭 라우팅 때문에 의도된 것입니다.This is by design because of asymmetric routing. 인바운드 연결의 반환 경로는 온-프레미스 방화벽을 통해 전달되며 설정된 연결이 표시되지 않습니다.The return path for inbound connections goes via the on-premises firewall, which hasn't seen the connection established.
아웃바운드 수동 FTP는 여러 공용 IP 주소를 사용하는 방화벽에 대해 작동하지 않습니다.Outbound Passive FTP doesn't work for Firewalls with multiple public IP addresses 수동 FTP는 제어 및 데이터 채널에 대해 서로 다른 연결을 설정합니다.Passive FTP establishes different connections for control and data channels. 공용 IP 주소가 여러 개인 방화벽이 데이터를 아웃바운드로 보내는 경우 원본 IP 주소에 대한 공용 IP 주소 중 하나를 임의로 선택합니다.When a Firewall with multiple public IP addresses sends data outbound, it randomly selects one of its public IP addresses for the source IP address. 데이터 및 제어 채널에서 서로 다른 원본 IP 주소를 사용하면 FTP가 실패합니다.FTP fails when data and control channels use different source IP addresses. 명시적 SNAT 구성이 계획되어 있습니다.An explicit SNAT configuration is planned. 이 경우 단일 IP 주소를 사용하는 것이 좋습니다.In the meantime, consider using a single IP address in this situation.
NetworkRuleHit 메트릭에 프로토콜 차원이 누락됨NetworkRuleHit metric is missing a protocol dimension ApplicationRuleHit 메트릭은 필터링 기반 프로토콜을 허용하지만 해당 NetworkRuleHit 메트릭에는 이 기능이 없습니다.The ApplicationRuleHit metric allows filtering based protocol, but this capability is missing in the corresponding NetworkRuleHit metric. 수정 사항을 조사하고 있습니다.A fix is being investigated.
64000에서 65535 사이의 포트를 사용하는 NAT 규칙이 지원되지 않음NAT rules with ports between 64000 and 65535 are unsupported Azure Firewall은 네트워크 및 애플리케이션 규칙에서 1-65535 범위의 모든 포트를 허용하지만 NAT 규칙은 1-63999 범위의 포트만 지원합니다.Azure Firewall allows any port in the 1-65535 range in network and application rules, however NAT rules only support ports in the 1-63999 range. 이 문제가 현재 제한 사항입니다.This is a current limitation.
구성 업데이트는 평균 5분이 걸릴 수 있습니다.Configuration updates may take five minutes on average Azure Firewall 구성 업데이트는 평균 3 ~ 5분이 걸릴 수 있으며 병렬 업데이트는 지원되지 않습니다.An Azure Firewall configuration update can take three to five minutes on average, and parallel updates aren't supported. 수정 사항을 조사하고 있습니다.A fix is being investigated.
Azure Firewall은 SNI TLS 헤더를 사용하여 HTTPS 및 MSSQL 트래픽을 필터링합니다.Azure Firewall uses SNI TLS headers to filter HTTPS and MSSQL traffic 브라우저 또는 서버 소프트웨어에서 SNI(서버 이름 표시기) 확장을 지원하지 않는 경우 Azure Firewall을 통해 연결할 수 없습니다.If browser or server software does not support the Server Name Indicator (SNI) extension, you won't be able to connect through Azure Firewall. 브라우저 또는 서버 소프트웨어에서 SNI를 지원하지 않는 경우 애플리케이션 규칙 대신 네트워크 규칙을 사용하여 연결을 제어할 수 있습니다.If browser or server software does not support SNI, then you may be able to control the connection using a network rule instead of an application rule. SNI를 지원하는 소프트웨어는 서버 이름 표시를 참조하세요.See Server Name Indication for software that supports SNI.
사용자 지정 DNS(미리 보기)는 강제 터널링에서 작동하지 않습니다.Custom DNS (preview) doesn't work with forced tunneling 강제 터널링이 활성화된 경우 사용자 지정 DNS(미리 보기)가 작동하지 않습니다.If force tunneling is enabled, custom DNS (preview) doesn't work. 수정 사항을 조사하고 있습니다.A fix is being investigated.
여러 가용성 영역에 대한 새 공용 IP 주소 지원New public IP address support for multiple Availability Zones 두 개의 가용성 영역(1과 2, 2와 3 또는 1과 3)이 있는 방화벽을 배포할 때 새 공용 IP 주소를 추가할 수 없습니다.You can't add a new public IP address when you deploy a firewall with two availability zones (either 1 and 2, 2 and 3, or 1 and 3) 이는 공용 IP 주소 리소스 제한입니다.This is a public IP address resource limitation.

다음 단계Next steps