![[ Azure ] Azure 방화벽/하이브리드 네트워크에서 Azure Firewall과 정책 배포 및 구성](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FbiT5Dr%2FbtrL42RCQ99%2Fs5lO3kd3ryRe7C1EWY9wn0%2Fimg.png)
- 리소스 그룹 만들기
| 이름 | FW-Hybrid-Test |
| 지역 | East US |
- 방화벽 허브 가상 네트워크 만들기
| 리소스 그룹 | FW-Hybrid-Test |
| 이름 | VNet-hub |
| 지역 | East US |
| IP 주소 공간 | 10.5.0.0/16 |
| 이름 | AzureFirewallSubnet |
| 주소 범위 | 10.5.0.0/26 |
- 스포크 가상 네트워크 만들기
| 리소스 그룹 | FW-Hybrid-Test |
| 이름 | VNet-Spoke |
| 지역 | East US |
| IPv4 주소 공간 | 10.6.0.0/16 |
| 이름 | SN-Workload |
| 주소 범위 | 10.6.0.0/24 |
- 온-프레미스 가상 네트워크 만들기
| 리소스 그룹 | FW-Hybrid-Test |
| 이름 | VNet-OnPrem |
| 지역 | East US |
| IPv4 주소 공간 | 192.168.0.0/16 |
(1)
| 이름 | SN-Corp |
| 주소 범위 | 192.168.1.0/24 |
(2)
| 이름 | GatewaySubnet |
| 주소 범위 | 192.168.2.0/24 |
- 방화벽 만들기
| 리소스 그룹 | FW-Hybrid-Test |
| 이름 | AzFW01 |
| 지역 | East US |
| 방화벽 계층 | Standard |
| 방화벽 관리 | 방화벽 정책을 사용하여 이 방화벽 관리 |
| 새 방화벽 정책 이름, 지역 | hybrid-test-pol, East US |
| 가상 네트워크 선택 | VNet-hub |
| 새 공용 IP 주소 이름 | fw-pip |
- 네트워크 규칙 구성
| 이름 | RCNet01 |
| 우선 순위 | 100 |
| 규칙 컬렉션 작업 | 허용 |
(1)
| 규칙 아래 이름 | AllowWeb |
| 원본 유형 | IP 주소 |
| 원본 | 192.168.1.0/24 |
| 프로토콜 | TCP |
| 대상 포트 | 80 |
| 대상 유형 | IP 주소 |
| 대상 | 10.6.0.0/16 |
(2)
| 규칙 아래 이름 | AllowRDP |
| 원본 유형 | IP 주소 |
| 원본 | 192.168.1.0/24 |
| 프로토콜 | TCP |
| 대상 포트 | 3389 |
| 대상 유형 | IP 주소 |
| 대상 | 10.6.0.0/16 |
- 허브 가상 네트워크에 대한 VPN Gateway 만들기
| 이름 | GW-hub |
| 지역 | East US |
| 게이트웨이 유형 | VPN |
| VPN 종류 | 경로 기반 |
| SKU | 기본 |
| 가상 네트워크 | VNet-hub |
| 새 공용 IP 주소 이름 | VNet-hub-GW-pip |
- 온-프레미스 가상 네트워크에 대한 VPN Gateway 만들기
| 이름 | GW-Onprem |
| 지역 | East US |
| 게이트웨이 유형 | VPN |
| VPN 종류 | 경로 기반 |
| SKU | 기본 |
| 가상 네트워크 | VNet-Onprem |
| 새 공용 IP 주소 이름 | VNet-Onprem-GW-pip |
- VPN 연결 만들기
| 이름 | Hub-to-Onprem |
| 연결 형식 | VNet 간 |
| 두 번째 가상 네트워크 게이트웨이 | GW-Onprem |
| 공유 키(PSK) | AzureA1b2C3 |
| 이름 | Onprem-to-Hub |
| 연결 형식 | VNet 간 |
| 두 번째 가상 네트워크 게이트웨이 | GW-hub |
| 공유 키(PSK) | AzureA1b2C3 |
- 허브 및 스포크 가상 네트워크 피어링
- 이 가상 네트워크
| 피어링 링크 이름 | HubtoSpoke |
| 원격 가상 네트워크로의 트래픽 | 허용(기본값) |
| 원격 가상 네트워크에서 전달된 트래픽 | 허용(기본값) |
| 가상 네트워크 게이트웨이 | 이 가상 네트워크의 게이트웨이 사용 |
- 원격 가상 네트워크
| 피어링 링크 이름 | SpoketoHub |
| 가상 네트워크 배포 모델 | 리소스 관리자 |
| 가상 네트워크 | VNet-Spoke |
| 원격 가상 네트워크로의 트래픽 | 허용(기본값) |
| 원격 가상 네트워크에서 전달된 트래픽 | 허용(기본값) |
| 가상 네트워크 게이트웨이 | 원격 가상 네트워크의 게이트웨이 사용 |
- 경로 만들기
| 리소스 그룹 | FW-Hybrid-Test |
| 지역 | East US |
| 이름 | UDR-Hub-Spoke |
| 이름 | ToSpoke |
| 주소 접두사 대상 | IP 주소 |
| 대상 IP 주소/CIDR 범위 | 10.6.0.0/16 |
| 다음 홉 형식 | 가상 어플라이언스 |
| 다음 홉 주소 | 방화벽의 프라이빗 IP 주소 |
| 가상 네트워크 | VNet-hub |
| 서브넷 | GatewaySubnet |
| 리소스 그룹 | FW-Hybrid-Test |
| 지역 | East US |
| 이름 | UDR-DG |
| 게이트웨이 경로 전파 | 아니요 |
| 이름 | ToHub |
| 주소 접두사 대상 | IP 주소 |
| 대상 IP 주소/CIDR 범위 | 0.0.0.0/0 |
| 다음 홉 형식 | 가상 어플라이언스 |
| 다음 홉 주소 | 방화벽의 프라이빗 IP 주소 |
| 가상 네트워크 | VNet-spoke |
| 서브넷 | SN-Workload |
- 워크로드 가상 머신 만들기
| 리소스 그룹 | FW-Hybrid-Test |
| 가상 머신 이름 | 가상 머신 이름 |
| 지역 | East US |
| 이미지 | Windows Server 2019 Datacenter |
| 사용자 이름 | 사용자 이름 입력 |
| 암호 | 암호 입력 |
| 공용 인바운드 포트 | 선택한 포트 허용 |
| 인바운드 포트 선택 | HTTP (80), RDP (3389) |
| 가상 네트워크 | VNet-Spoke |
| 서브넷 | SN-Workload |
| 공용 IP | 없음 |
| 부트 진단 | 사용 안 함 |
- IIS 설치
Set-AzVMExtension `
-ResourceGroupName FW-Hybrid-Test `
-ExtensionName IIS `
-VMName VM-Spoke-01 `
-Publisher Microsoft.Compute `
-ExtensionType CustomScriptExtension `
-TypeHandlerVersion 1.4 `
-SettingString '{"commandToExecute":"powershell Add-WindowsFeature Web-Server; powershell Add-Content -Path \"C:\\inetpub\\wwwroot\\Default.htm\" -Value $($env:computername)"}' `
-Location EastUS- 온-프레미스 가상 머신 만들기
| 리소스 그룹 | FW-Hybrid-Test |
| 가상 머신 이름 | VM-Onprem |
| 지역 | East US |
| 이미지 | Windows Server 2019 Datacenter |
| 사용자 이름 | 사용자 이름 입력 |
| 암호 | 암호 입력 |
| 공용 인바운드 포트 | 선택한 포트 허용 |
| 인바운드 포트 선택 | RDP (3389) |
| 가상 네트워크 | VNet-Onprem |
| 서브넷 | SN-Corp |
| 공용 IP | 없음 |
| 부트 진단 | 사용 안 함 |
- 방화벽 테스트
VM-spoke-01 웹 페이지 접속 확인
| 이름 | RCNet01 |
| 우선 순위 | 100 |
| 규칙 컬렉션 작업 | 거부 |
VM-spoke-01 웹 페이지 차단 확인
| 참고 |
| https://docs.microsoft.com/ko-kr/azure/firewall/tutorial-hybrid-portal-policy#configure-network-rules |