![[ Azure ] Azure 방화벽/Firewall과 정책 배포 및 구성](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FcneM8V%2FbtrLTCUBXGz%2FDmlvStlgLpP9FIs8OCR5r0%2Fimg.png)
반응형
- 리소스 그룹 만들기
Test-FW-RG > 개요
| 이름 | Test-FW-RG |
| 지역 | Korea Central |
- VNet 만들기
Test-FW-VN > 개요 →
| 리소스 그룹 | Test-FW-RG |
| 이름 | Test-FW-VN |
| 지역 | Korea Central |
설정 > 주소 공간 →
| IPv4 주소 공간 | 10.0.0.0/16 |
설정 > 서브넷
- 방화벽용 서브넷
| 이름 | AzureFirewallSubnet |
| 주소 범위 | 10.0.1.0/26 |
- 워크로드 서버용 서브넷
| 이름 | Workloads-SN |
| 주소 범위 | 10.0.2.0/24 |
- 가상 머신 만들기
| 리소스 그룹 | Test-FW-RG |
| 가상 머신 이름 | Srv-Work |
| 지역 | Korea Central |
| 이미지 | Windows Server 2016 Datacenter |
| 관리자 사용자 이름 | 사용자 이름 입력 |
| 암호 | 암호 입력 |
| 인바운드 포트 규칙, 퍼블릭 인바운드 포트 | 없음 |
| 가상 네트워크 | Test-FW-VN |
| 서브넷 | Workloads-SN |
| 공용 IP | 없음 |
| 부트 진단 | 사용 안 함 |
배포 완료 후 Srv-Work의 프라이빗 IP를 기록
- 방화벽 및 정책 배포
| 리소스 그룹 | Test-FW-RG |
| 이름 | Test-FW01 |
| 지역 | Korea Central |
| 방화벽 관리 | 방화벽 정책을 사용하여 이 방화벽 관리 |
| 새 방화벽 정책 이름, 지역 | fw-test-pol, Korea Central |
| 가상 네트워크 선택 | Test-FW-VN |
| 새 공용 IP 주소 이름 | fw-pip |
배포 완료 후 Test-FW01 방화벽 프리이빗 및 공용 IP 주소를 기록
- 경로 테이블(기본 경로) 만들기
Firewall-route > 개요 →
| 리소스 그룹 | Test-FW-RG |
| 지역 | Korea Central |
| 이름 | Firewall-route |
설정 > 서브넷 →
| 가상 네트워크 | Test-FW-VN |
| 서브넷 | Workload-SN |
설정 > 경로
| 경로 이름 | fw-dg |
| 주소 접두사 대상 | IP 주소 |
| 대상 IP 주소/CIDR 범위 | 0.0.0.0/0 |
| 다음 홉 형식 | 가상 어플라이언스 |
| 다음 홉 주소 | 방화벽 프라이빗 IP 주소 |
- 애플리케이션 규칙 구성
Test-FW-RG > fw-test-pol > 설정 > 응용 프로그램 규칙 → 규칙 컬렉션 추가
| 이름 | App-Coll01 |
| 우선 순위 | 200 |
| 규칙 컬렉션 작업 | 허용 |
| 규칙 아래 이름 | Allow-Google |
| 원본 유형 | IP 주소 |
| 원본 | 10.0.2.0/24 |
| 프로토콜 | http, https |
| 대상 유형 | FQDN |
| 대상 | www.google.com |
- 네트워크 규칙 구성
설정 > 네트워크 규칙 → 규칙 컬렉션 추가
| 이름 | Net-Coll01 |
| 우선 순위 | 200 |
| 규칙 컬렉션 작업 | 허용 |
| 규칙 컬렉션 그룹 | DefaultNetworkRuleCollectionGroup |
| 규칙 아래 이름 | Allow-DNS |
| 원본 유형 | IP 주소 |
| 원본 | 10.0.2.0/24 |
| 프로토콜 | UDP |
| 대상 포트 | 53 |
| 대상 유형 | IP 주소 |
| 대상 | 209.244.0.3, 209.244.0.4 |
- DNAT 규칙 구성
설정 > DNAT 규칙 → 규칙 컬렉션 추가
| 이름 | rdp |
| 우선 순위 | 200 |
| 규칙 컬렉션 그룹 | DefaultDnatRuleCollectionGroup |
| 규칙 아래 이름 | rdp-nat |
| 원본 유형 | IP 주소 |
| 원본 | * |
| 프로토콜 | TCP |
| 대상 포트 | 3389 |
| 대상 유형 | IP 주소 |
| 대상 | 방화벽 공용 IP 주소 |
| 변환 주소 | Srv-work 프라이빗 IP 주소 |
| 변환 포트 | 3389 |
- Srv-Work 네트워크 인터페이스에 대해 기본 및 보조 DNS 주소 변경
가상 머신 > Srv-Work > 네트워킹 > 네트워크 인터페이스 →
설정 > DNS 서버 →
| DNS 서버 | 사용자 지정 |
(1)
| DNS 서버 추가 | 209.244.0.3 |
(2)
| DNS 서버 추가 | 209.244.0.4 |
서버 추가 이후 Srv-Work 가상 머신을 다시 시작
- 방화벽 테스트
원격 데스크톱을 방화벽 공용 IP 주소에 연결하고 Srv-Work 가상 머신에 로그인 →
Google 접속 확인, Microsoft 방화벽 차단 확인
| 참고 |
| https://docs.microsoft.com/ko-kr/azure/firewall/tutorial-firewall-deploy-portal-policy |
반응형