Azure Portal을 사용하여 하이브리드 네트워크에서 Azure Firewall 배포 및 구성

온-프레미스 네트워크를 Azure Virtual Network에 연결하여 하이브리드 네트워크를 만들 경우 Azure 네트워크 리소스에 대한 액세스를 제어하는 기능은 전체 보안 계획의 중요한 부분입니다.

Azure Firewall을 사용하여 허용 및 거부된 네트워크 트래픽을 정의하는 규칙을 사용하여 하이브리드 네트워크에서 네트워크 액세스를 제어할 수 있습니다.

이 문서에서는 다음과 같은 세 개의 가상 네트워크를 만듭니다.

  • VNet-Hub - 방화벽이 이 가상 네트워크에 있습니다.
  • VNet-Spoke - 스포크 가상 네트워크는 Azure에 있는 워크로드를 나타냅니다.
  • VNet-Onprem - 온-프레미스 가상 네트워크는 온-프레미스 네트워크를 나타냅니다. 실제 배포에서는 VPN 또는 ExpressRoute 연결을 통해 연결할 수 있습니다. 간단히 하기 위해 이 프로시저에서는 VPN Gateway 연결을 사용하고 Azure에 있는 가상 네트워크를 사용하여 온-프레미스 네트워크를 나타냅니다.

하이브리드 네트워크의 방화벽

이 문서에서는 다음 방법을 설명합니다.

  • 방화벽 허브 가상 네트워크 만들기
  • 스포크 가상 네트워크 만들기
  • 온-프레미스 가상 네트워크 만들기
  • 방화벽 구성 및 배포
  • VPN 게이트웨이 만들기 및 연결
  • 허브 및 스포크 가상 네트워크 피어링
  • 경로 만들기
  • 가상 머신 만들기
  • 방화벽 테스트

Azure PowerShell을 대신 사용하여 이 절차를 완료하려면 Azure PowerShell을 사용하여 하이브리드 네트워크에서 Azure Firewall 배포 및 구성을 참조하세요.

참고

이 문서에서는 클래식 방화벽 규칙을 사용하여 방화벽을 관리합니다. 선호되는 방법은 방화벽 정책을 사용하는 것입니다. 방화벽 정책을 사용하여 이 프로시저를 완료하려면 자습서: Azure Portal을 사용하여 하이브리드 네트워크에서 Azure Firewall과 정책 배포 및 구성을 참조하세요.

필수 구성 요소

하이브리드 네트워크는 허브 및 스포크 아키텍처 모델을 사용하여 Azure VNet과 온-프레미스 네트워크 간에 트래픽을 라우팅합니다. 허브 및 스포크 아키텍처에는 다음과 같은 요구 사항이 있습니다.

  • VNet-Hub를 VNet-Spoke에 피어링할 경우 이 가상 네트워크의 게이트웨이 또는 Route Server 사용 을 설정합니다. 허브 및 스포크 네트워크 아키텍처에서 스포크 가상 네트워크는 게이트웨이 전송을 통해 모든 스포크 가상 네트워크에서 VPN 게이트웨이를 배포하는 대신 허브에서 VPN 게이트웨이를 공유할 수 있습니다.

    또한 게이트웨이에 연결된 가상 네트워크 또는 온-프레미스 네트워크에 대한 경로는 게이트웨이 전송을 사용하여 피어링된 가상 네트워크에 대한 라우팅 테이블에 자동으로 전파됩니다. 자세한 내용은 가상 네트워크 피어링을 위한 VPN 게이트웨이 전송 구성을 참조하세요.

  • VNet-Spoke를 VNet-Hub에 피어링하는 경우 원격 가상 네트워크의 게이트웨이 또는 Route Server 사용 을 설정합니다. 원격 가상 네트워크의 게이트웨이 또는 Route Server 사용 을 설정하고 원격 피어링에서 이 가상 네트워크의 게이트웨이 또는 Route Server 사용 도 설정한 경우 스포크 가상 네트워크에서 원격 가상 네트워크의 게이트웨이를 사용하여 전송합니다.

  • 허브 방화벽을 통해 스포크 서브넷 트래픽을 라우팅하려면 가상 네트워크 게이트웨이 경로 전파 옵션을 사용하지 않도록 설정된 방화벽을 가리키는 UDR(사용자 정의 경로)을 사용하면 됩니다. 가상 네트워크 게이트웨이 경로 전파 사용 안 함 옵션은 스포크 서브넷에 대한 경로 배포를 방지합니다. 이렇게 하면 학습된 경로가 UDR과 충돌하지 않습니다. 가상 네트워크 게이트웨이 경로 전파 를 사용하도록 설정하려면 BGP를 통해 온-프레미스에서 게시된 경로를 재정의하도록 방화벽에 대한 특정 경로를 정의해야 합니다.

  • 스포크 네트워크에 대한 다음 홉으로 방화벽 IP 주소를 가리키는 허브 게이트웨이 서브넷에서 UDR을 구성합니다. Azure Firewall 서브넷에서는 BGP로부터 경로를 학습하므로 UDR이 필요하지 않습니다.

이러한 경로를 만드는 방법을 확인하려면 이 문서의 경로 만들기 섹션을 참조하세요.

참고

Azure Firewall에는 직접 인터넷 연결이 있어야 합니다. AzureFirewallSubnet이 BGP를 통해 온-프레미스 네트워크에 대한 기본 경로를 학습하는 경우 이 경로를 직접 인터넷 연결을 유지하기 위해 Internet 으로 설정된 NextHopType 값을 통해 0.0.0.0/0 UDR로 재정의해야 합니다.

Azure Firewall은 강제 터널링을 지원하도록 구성할 수 있습니다. 자세한 내용은 Azure Firewall 강제 터널링을 참조하세요.

참고

직접 피어링된 VNet 사이의 트래픽은 UDR이 기본 게이트웨이로 Azure Firewall을 가리키는 경우에도 직접 라우팅됩니다. 이 시나리오에서 서브넷 트래픽에 대한 서브넷을 방화벽으로 보내려면 UDR에 두 가지 서브넷에 명시적으로 지정된 대상 서브넷 네트워크 접두사가 포함되어 있어야 합니다.

Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.

방화벽 허브 가상 네트워크 만들기

먼저 리소스를 포함하는 리소스 그룹을 만듭니다.

  1. https://portal.azure.com에서 Azure Portal에 로그인합니다.
  2. Azure Portal 홈 페이지에서 리소스 그룹 > 추가 를 선택합니다.
  3. 구독 의 경우 사용자의 구독을 선택합니다.
  4. 리소스 그룹 이름 에 대해 FW-Hybrid-Test 를 입력합니다.
  5. 지역 에 대해 (US) 미국 동부 를 선택합니다. 나중에 만드는 모든 리소스는 동일한 위치에 있어야 합니다.
  6. 검토 + 만들기 를 선택합니다.
  7. 만들기 를 선택합니다.

이제 VNet을 만듭니다.

참고

AzureFirewallSubnet 서브넷의 크기는 /26입니다. 서브넷 크기에 대한 자세한 내용은 Azure Firewall FAQ를 참조하세요.

  1. Azure Portal 홈 페이지에서 리소스 만들기 를 선택합니다.
  2. 네트워킹 아래에서 가상 네트워크 를 선택합니다.
  3. 만들기 를 선택합니다.
  4. 리소스 그룹 에 대해 FW-Hybrid-Test 를 선택합니다.
  5. 이름 에 대해 VNet-hub 를 입력합니다.
  6. 완료되면 다음: IP 주소 를 선택합니다.
  7. IPv4 주소 공간 의 경우 기본 주소를 삭제하고 10.5.0.0/16 을 입력합니다.
  8. 서브넷 이름 아래에서 서브넷 추가 를 선택합니다.
  9. 서브넷 이름AzureFirewallSubnet 을 입력합니다. 방화벽은 이 서브넷에 있고 해당 서브넷 이름은 AzureFirewallSubnet이 되어야 합니다.
  10. 서브넷 주소 범위10.5.0.0/26 을 입력합니다.
  11. 추가 를 선택합니다.
  12. 검토 + 만들기 를 선택합니다.
  13. 만들기 를 선택합니다.

스포크 가상 네트워크 만들기

  1. Azure Portal 홈 페이지에서 리소스 만들기 를 선택합니다.
  2. 네트워킹 에서 가상 네트워크 를 선택합니다.
  3. 리소스 그룹 에 대해 FW-Hybrid-Test 를 선택합니다.
  4. 이름 에 대해 VNet-Spoke 를 입력합니다.
  5. 지역 에 대해 (US) 미국 동부 를 선택합니다.
  6. 완료되면 다음: IP 주소 를 선택합니다.
  7. IPv4 주소 공간 의 경우 기본 주소를 삭제하고 10.6.0.0/16 을 입력합니다.
  8. 서브넷 이름 아래에서 서브넷 추가 를 선택합니다.
  9. 서브넷 이름SN-Workload 를 입력합니다.
  10. 서브넷 주소 범위10.6.0.0/24 를 입력합니다.
  11. 추가 를 선택합니다.
  12. 검토 + 만들기 를 선택합니다.
  13. 만들기 를 선택합니다.

온-프레미스 가상 네트워크 만들기

  1. Azure Portal 홈 페이지에서 리소스 만들기 를 선택합니다.
  2. 네트워킹 에서 가상 네트워크 를 선택합니다.
  3. 리소스 그룹 에 대해 FW-Hybrid-Test 를 선택합니다.
  4. 이름 에 대해 VNet-OnPrem 을 입력합니다.
  5. 지역 에 대해 (US) 미국 동부 를 선택합니다.
  6. 다음: IP 주소 를 선택합니다.
  7. IPv4 주소 공간 의 경우 기본 주소를 삭제하고 192.168.0.0/16 을 입력합니다.
  8. 서브넷 이름 아래에서 서브넷 추가 를 선택합니다.
  9. 서브넷 이름SN-Corp 를 입력합니다.
  10. 서브넷 주소 범위192.168.1.0/24 를 입력합니다.
  11. 추가 를 선택합니다.
  12. 검토 + 만들기 를 선택합니다.
  13. 만들기 를 선택합니다.

이제 게이트웨이에 대한 두 번째 서브넷을 만듭니다.

  1. VNet-Onprem 페이지에서 서브넷 을 선택합니다.
  2. +서브넷 을 선택합니다.
  3. 이름 에 대해 GatewaySubnet 을 입력합니다.
  4. 서브넷 주소 범위192.168.2.0/24 를 입력합니다.
  5. 확인 을 선택합니다.

방화벽 구성 및 배포

이제 방화벽을 방화벽 허브 가상 네트워크에 배포합니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기 를 선택합니다.

  2. 왼쪽 열에서 네트워킹 을 선택하고 방화벽 을 검색한 다음, 선택합니다.

  3. 방화벽 만들기 페이지에서 다음 표를 사용하여 방화벽을 구성합니다.

    설정
    Subscription <your subscription>
    Resource group FW-Hybrid-Test
    Name AzFW01
    Azure 지역 미국 동부
    방화벽 관리 방화벽 규칙(클래식)을 사용하여 이 방화벽 관리
    가상 네트워크 선택 기존 리소스 사용:
    VNet-hub
    공용 IP 주소 새로 추가:
    fw-pip.
  4. 검토 + 만들기 를 선택합니다.

  5. 요약을 검토한 다음, 만들기 를 선택하여 방화벽을 만듭니다.

    배포하는 데 몇 분 정도 걸립니다.

  6. 배포가 완료되면 FW-Hybrid-Test 리소스 그룹으로 이동하고, AzFW01 방화벽을 선택합니다.

  7. 개인 IP 주소를 참고합니다. 기본 경로를 만들 때 나중에 사용할 수 있습니다.

네트워크 규칙 구성

먼저 웹 트래픽을 허용하는 네트워크 규칙을 추가합니다.

  1. AzFW01 페이지에서 규칙 을 선택합니다.
  2. 네트워크 규칙 컬렉션 탭을 선택합니다.
  3. 네트워크 규칙 컬렉션 추가 를 선택합니다.
  4. 이름 에 대해 RCNet01 을 입력합니다.
  5. 우선 순위 에 대해 100 을 입력합니다.
  6. 규칙 컬렉션 작업 에 대해 허용 을 선택합니다.
  7. 규칙 아래에서 이름 에 대해 AllowWeb 을 입력합니다.
  8. 원본 유형 에 대해 IP 주소 를 선택합니다.
  9. 원본 에 대해 192.168.1.0/24 를 선택합니다.
  10. 프로토콜 의 경우 TCP 를 선택합니다.
  11. 대상 포트 에 대해 80 을 입력합니다.
  12. 대상 유형 에 대해 IP 주소 를 선택합니다.
  13. 대상 에 대해 10.6.0.0/16 을 입력합니다.

이제 RDP 트래픽을 허용하는 규칙을 추가합니다.

두 번째 규칙 행에서 다음 정보를 입력합니다.

  1. 이름 에 대해 AllowRDP 를 입력합니다.
  2. 원본 유형 에 대해 IP 주소 를 선택합니다.
  3. 원본 에 대해 192.168.1.0/24 를 선택합니다.
  4. 프로토콜 의 경우 TCP 를 선택합니다.
  5. 대상 포트 에 대해 3389 를 입력합니다.
  6. 대상 유형 에 대해 IP 주소 를 선택합니다.
  7. 대상10.6.0.0/16 을 입력합니다.
  8. 추가 를 선택합니다.

VPN 게이트웨이 만들기 및 연결

허브 및 온-프레미스 가상 네트워크는 VPN Gateway를 통해 연결됩니다.

허브 가상 네트워크에 대한 VPN Gateway 만들기

이제 허브 가상 네트워크에 대한 VPN Gateway를 만듭니다. 네트워크 간 구성에는 RouteBased VpnType이 필요합니다. 종종 선택한 VPN 게이트웨이 SKU에 따라 VPN 게이트웨이를 만드는 데 45분 이상 걸릴 수 있습니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기 를 선택합니다.
  2. 검색 텍스트 상자에서 가상 네트워크 게이트웨이 를 입력합니다.
  3. 가상 네트워크 게이트웨이, 만들기 를 차례로 선택합니다.
  4. 이름 에 대해 GW-hub 를 입력합니다.
  5. 지역 에 대해 이전에 사용한 것과 동일한 지역을 선택합니다.
  6. 게이트웨이 유형 에 대해 VPN 을 선택합니다.
  7. VPN 종류 에 대해 경로 기반 을 선택합니다.
  8. SKU 에 대해 기본 을 선택합니다.
  9. 가상 네트워크 에 대해 VNet-hub 를 선택합니다.
  10. 공용 IP 주소 에 대해 새로 만들기 를 선택하고, 이름으로 VNet-hub-GW-pip 를 입력합니다.
  11. 나머지 항목에 대해 기본값을 적용한 다음, 검토 + 만들기 를 선택합니다.
  12. 구성을 검토한 다음, 만들기 를 선택합니다.

온-프레미스 가상 네트워크에 대한 VPN Gateway 만들기

이제 온-프레미스 가상 네트워크에 대한 VPN Gateway를 만듭니다. 네트워크 간 구성에는 RouteBased VpnType이 필요합니다. 종종 선택한 VPN 게이트웨이 SKU에 따라 VPN 게이트웨이를 만드는 데 45분 이상 걸릴 수 있습니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기 를 선택합니다.
  2. 검색 텍스트 상자에서 가상 네트워크 게이트웨이 를 입력하고, Enter 키를 누릅니다.
  3. 가상 네트워크 게이트웨이, 만들기 를 차례로 선택합니다.
  4. 이름 에 대해 GW-Onprem 을 입력합니다.
  5. 지역 에 대해 이전에 사용한 것과 동일한 지역을 선택합니다.
  6. 게이트웨이 유형 에 대해 VPN 을 선택합니다.
  7. VPN 종류 에 대해 경로 기반 을 선택합니다.
  8. SKU 에 대해 기본 을 선택합니다.
  9. 가상 네트워크 에 대해 VNet-Onprem 을 선택합니다.
  10. 공용 IP 주소 에 대해 새로 만들기 를 선택하고, 이름으로 VNet-Onprem-GW-pip 를 입력합니다.
  11. 나머지 항목에 대해 기본값을 적용한 다음, 검토 + 만들기 를 선택합니다.
  12. 구성을 검토한 다음, 만들기 를 선택합니다.

VPN 연결 만들기

이제 허브와 온-프레미스 게이트웨이 간에 VPN 연결을 만들 수 있습니다.

이 단계에서는 허브 가상 네트워크에서 온-프레미스 가상 네트워크로의 연결을 만듭니다. 예제에서 참조된 공유 키를 볼 수 있습니다. 공유 키에 대해 고유한 값을 사용할 수 있습니다. 중요한 점은 두 연결에서 모두 공유 키가 일치해야 한다는 것입니다. 연결 만들기는 완료하는 데 꽤 오래 걸릴 수 있습니다.

  1. FW-Hybrid-Test 리소스 그룹을 열고, GW-hub 게이트웨이를 선택합니다.
  2. 왼쪽 열에서 연결 을 선택합니다.
  3. 추가 를 선택합니다.
  4. 연결 이름에 대해 Hub-to-Onprem 을 입력합니다.
  5. 연결 형식 에 대해 VNet 간 을 선택합니다.
  6. 두 번째 가상 네트워크 게이트웨이 에 대해 GW-Onprem 을 선택합니다.
  7. 공유 키(PSK) 에 대해 AzureA1b2C3 을 입력합니다.
  8. 확인 을 선택합니다.

온-프레미스에서 허브 가상 네트워크로의 연결을 만듭니다. 이 단계는 VNet-Onprem에서 VNet-hub로의 연결을 만든다는 점을 제외하고는 이전 단계와 유사합니다. 공유된 키가 일치하는지 확인합니다. 몇 분 후 연결이 설정됩니다.

  1. FW-Hybrid-Test 리소스 그룹을 열고, GW-Onprem 게이트웨이를 선택합니다.
  2. 왼쪽 열에서 연결 을 선택합니다.
  3. 추가 를 선택합니다.
  4. 연결 이름에 Onprem-to-Hub 를 입력합니다.
  5. 연결 형식 에 대해 VNet 간 을 선택합니다.
  6. 두 번째 가상 네트워크 게이트웨이 에 대해 GW-hub 를 선택합니다.
  7. 공유 키(PSK) 에 대해 AzureA1b2C3 을 입력합니다.
  8. 확인 을 선택합니다.

연결 확인

약 5분 후에 두 연결의 상태가 연결됨 이 됩니다.

게이트웨이 연결

허브 및 스포크 가상 네트워크 피어링

이제 허브 및 스포크 가상 네트워크를 피어링합니다.

  1. FW-Hybrid-Test 리소스 그룹을 열고, VNet-hub 가상 네트워크를 선택합니다.

  2. 왼쪽 열에서 피어링 을 선택합니다.

  3. 추가 를 선택합니다.

  4. 이 가상 네트워크 에서 다음을 확인할 수 있습니다.

    설정 이름
    피어링 링크 이름 HubtoSpoke
    원격 가상 네트워크로의 트래픽 허용(기본값)
    원격 가상 네트워크에서 전달된 트래픽 허용(기본값)
    가상 네트워크 게이트웨이 이 가상 네트워크의 게이트웨이 사용
  5. 원격 가상 네트워크 에서 다음을 확인할 수 있습니다.

    설정 이름
    피어링 링크 이름 SpoketoHub
    가상 네트워크 배포 모델 리소스 관리자
    Subscription <your subscription>
    가상 네트워크 VNet-Spoke
    원격 가상 네트워크로의 트래픽 허용(기본값)
    원격 가상 네트워크에서 전달된 트래픽 허용(기본값)
    가상 네트워크 게이트웨이 원격 가상 네트워크의 게이트웨이 사용
  6. 추가 를 선택합니다.

    Vnet 피어링

경로 만들기

다음으로 두 경로 만듭니다.

  • 허브 게이트웨이 서브넷에서 방화벽 IP 주소를 통해 스포크 서브넷으로 가는 경로
  • 방화벽 IP 주소를 통해 스포크 서브넷으로부터의 기본 경로
  1. Azure Portal 홈 페이지에서 리소스 만들기 를 선택합니다.
  2. 검색 텍스트 상자에서 경로 테이블 을 입력하고, Enter 키를 누릅니다.
  3. 경로 테이블 을 선택합니다.
  4. 만들기 를 선택합니다.
  5. 리소스 그룹에 대해 FW-Hybrid-Test 를 선택합니다.
  6. 지역 의 경우 전에 사용한 것과 동일한 위치를 선택합니다.
  7. 이름에 대해 UDR-Hub-Spoke 를 입력합니다.
  8. 검토 + 만들기 를 선택합니다.
  9. 만들기 를 선택합니다.
  10. 경로 테이블이 만들어지면 해당 테이블을 선택하여 경로 테이블 페이지를 엽니다.
  11. 왼쪽 열에서 경로 를 선택합니다.
  12. 추가 를 선택합니다.
  13. 경로 이름에 대해 ToSpoke 를 입력합니다.
  14. 주소 접두사에 대해 10.6.0.0/16 을 입력합니다.
  15. 다음 홉 형식에 대해 가상 어플라이언스 를 선택합니다.
  16. 다음 홉 주소에 대해 앞에서 적어둔 방화벽의 개인 IP 주소를 입력합니다.
  17. 확인 을 선택합니다.

이제 경로를 서브넷에 연결합니다.

  1. UDR-Hub-Spoke - 경로 페이지에서 서브넷 을 선택합니다.
  2. 연결 을 선택합니다.
  3. 가상 네트워크 아래에서 VNet-hub 를 선택합니다.
  4. 서브넷 아래에서 GatewaySubnet 을 선택합니다.
  5. 확인 을 선택합니다.

이제 스포크 서브넷에서 기본 경로를 만듭니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기 를 선택합니다.
  2. 검색 텍스트 상자에서 경로 테이블 을 입력하고, Enter 키를 누릅니다.
  3. 경로 테이블 을 선택합니다.
  4. 만들기 를 선택합니다.
  5. 리소스 그룹에 대해 FW-Hybrid-Test 를 선택합니다.
  6. 지역 의 경우 전에 사용한 것과 동일한 위치를 선택합니다.
  7. 이름에 대해 UDR-DG 를 입력합니다.
  8. 게이트웨이 경로 전파 에 대해 아니요 를 선택합니다.
  9. 검토 + 만들기 를 선택합니다.
  10. 만들기 를 선택합니다.
  11. 경로 테이블이 만들어지면 해당 테이블을 선택하여 경로 테이블 페이지를 엽니다.
  12. 왼쪽 열에서 경로 를 선택합니다.
  13. 추가 를 선택합니다.
  14. 경로 이름에 대해 ToHub 를 입력합니다.
  15. 주소 접두사에 대해 0.0.0.0/0 을 입력합니다.
  16. 다음 홉 형식에 대해 가상 어플라이언스 를 선택합니다.
  17. 다음 홉 주소에 대해 앞에서 적어둔 방화벽의 개인 IP 주소를 입력합니다.
  18. 확인 을 선택합니다.

이제 경로를 서브넷에 연결합니다.

  1. UDR-DG - 경로 페이지에서 서브넷 을 선택합니다.
  2. 연결 을 선택합니다.
  3. 가상 네트워크 아래에서 VNet-spoke 를 선택합니다.
  4. 서브넷 아래에서 SN-Workload 를 선택합니다.
  5. 확인 을 선택합니다.

가상 머신 만들기

이제 스포크 워크로드 및 온-프레미스 가상 머신을 만들어 적절한 서브넷에 배치합니다.

워크로드 가상 머신 만들기

스포크 가상 네트워크에서 공용 IP 주소 없이 IIS를 실행하는 가상 머신을 만듭니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기 를 선택합니다.
  2. 인기 아래에서 Windows Server 2016 Datacenter 를 선택합니다.
  3. 가상 머신에 대해 다음 값을 입력합니다.
    • 리소스 그룹 - FW-Hybrid-Test 를 선택합니다.
    • 가상 머신 이름: VM-Spoke-01
    • 지역 - 이전에 사용한 것과 동일한 지역입니다.
    • 사용자 이름: <type a user name>.
    • 암호: <type a password>
  4. 공용 인바운드 포트 에 대해 선택한 포트 허용 을 선택한 다음, HTTP(80)RDP(3389) 를 선택합니다.
  5. 다음: 디스크 를 선택합니다.
  6. 기본값을 그대로 적용하고 다음: 네트워킹 을 선택합니다.
  7. 가상 네트워크에 대해 VNet-Spoke 를 선택하고, 서브넷은 SN-Workload 입니다.
  8. 공용 IP 에 대해 없음 을 선택합니다.
  9. 다음: 관리 를 선택합니다.
  10. 부트 진단 에 대해 사용 안 함 을 선택합니다.
  11. 검토 + 만들기 를 선택하고, 요약 페이지에서 설정을 검토한 다음, 만들기 를 선택합니다.

IIS 설치

  1. Azure Portal에서 Cloud Shell을 열고, PowerShell 로 설정되어 있는지 확인합니다.

  2. 다음 명령을 실행하여 가상 머신에 IIS를 설치하고 필요한 경우 위치를 변경합니다.

    Set-AzVMExtension `
            -ResourceGroupName FW-Hybrid-Test `
            -ExtensionName IIS `
            -VMName VM-Spoke-01 `
            -Publisher Microsoft.Compute `
            -ExtensionType CustomScriptExtension `
            -TypeHandlerVersion 1.4 `
            -SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell      Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
            -Location EastUS
    

온-프레미스 가상 머신 만들기

원격 데스크톱을 사용하여 공용 IP 주소에 연결하는 데 사용하는 가상 머신입니다. 여기에서 방화벽을 통해 온-프레미스 서버에 연결할 수 있습니다.

  1. Azure Portal 홈 페이지에서 리소스 만들기 를 선택합니다.
  2. 인기 아래에서 Windows Server 2016 Datacenter 를 선택합니다.
  3. 가상 머신에 대해 다음 값을 입력합니다.
    • 리소스 그룹 - 기존 항목을 선택한 다음, FW-Hybrid-Test 를 선택합니다.
    • 가상 머신 이름 - VM-Onprem
    • 지역 - 이전에 사용한 것과 동일한 지역입니다.
    • 사용자 이름: <type a user name>.
    • 암호: <type a user password>.
  4. 공용 인바운드 포트 에 대해 선택한 포트 허용 을 선택한 다음, RDP(3389) 를 선택합니다.
  5. 다음: 디스크 를 선택합니다.
  6. 기본값을 적용하고, 다음: 네트워킹 을 선택합니다.
  7. 가상 네트워크에 대해 VNet-Onprem 을 선택하고, 서브넷은 SN-Corp 입니다.
  8. 다음: 관리 를 선택합니다.
  9. 부트 진단 에 대해 사용 안 함 을 선택합니다.
  10. 검토 + 만들기 를 선택하고, 요약 페이지에서 설정을 검토한 다음, 만들기 를 선택합니다.

참고

Azure는 공용 IP 주소가 할당되지 않았거나 내부 기본 Azure Load Balancer의 백 엔드 풀에 있는 Azure Virtual Machines에 대한 임시 IP를 제공합니다. 임시 IP 메커니즘은 구성할 수 없는 아웃바운드 IP 주소를 제공합니다.

공용 IP 주소가 가상 머신에 할당되거나 아웃바운드 규칙이 있거나 없는 표준 Load Balancer의 백 엔드 풀에 가상 머신이 배치되면 임시 IP가 비활성화됩니다. Azure Virtual Network NAT 게이트웨이 리소스가 가상 머신의 서브넷에 할당되면 임시 IP가 비활성화됩니다.

Azure의 아웃바운드 연결에 대한 자세한 내용은 아웃바운드 연결에 SNAT(원본 네트워크 주소 변환) 사용을 참조하세요.

방화벽 테스트

  1. 먼저 VM-spoke-01 가상 머신의 개인 IP 주소를 기록합니다.

  2. Azure Portal에서 VM-Onprem 가상 머신에 연결합니다.

  1. VM-Onprem 에서 웹 브라우저를 열고 http://<VM-spoke-01 private IP>로 이동합니다.

    VM-spoke-01 웹 페이지가 표시됩니다. VM-spoke-01 웹 페이지

  2. VM-Onprem 가상 머신에서 개인 IP 주소의 VM-spoke-01 에 대한 원격 데스크톱을 엽니다.

    연결이 성공하고 로그인할 수 있습니다.

이제 방화벽 규칙이 작동하는지 확인했습니다.

  • 스포크 가상 네트워크에서 웹 서버를 탐색할 수 있습니다.
  • RDP를 사용하여 스포크 가상 네트워크에 있는 서버에 연결할 수 있습니다.

이제 방화벽 규칙이 예상대로 작동하는지 호가인하기 위해 방화벽 네트워크 규칙 수집 동작을 거부 로 변경합니다.

  1. AzFW01 방화벽을 선택합니다.
  2. 규칙 을 선택합니다.
  3. 네트워크 규칙 컬렉션 탭, RCNet01 규칙 컬렉션을 차례로 선택합니다.
  4. 작업 에 대해 거부 를 선택합니다.
  5. 저장 을 선택합니다.

변경된 규칙을 테스트하려면 먼저 기존 원격 데스크톱을 모두 닫습니다. 이제 테스트를 다시 실행합니다. 이번에는 모두 실패해야 합니다.

리소스 정리

추가 테스트를 위해 방화벽 리소스를 그대로 유지하거나, 더 이상 필요하지 않은 경우 FW-Hybrid-Test 리소스 그룹을 삭제하여 모든 방화벽 관련 리소스를 삭제할 수 있습니다.

다음 단계

그런 다음, Azure Firewall 로그를 모니터링할 수 있습니다.

자습서: Azure Firewall 로그 모니터링