![[ Azure ] Azure Firewall 정책 DNAT로 인바운드 인터넷 트래픽 필터링](https://img1.daumcdn.net/thumb/R750x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FsKr3T%2FbtrL6RxkmFh%2FBoVrYxKWsJF9uqJRG4KeEK%2Fimg.png)
- 리소스 그룹 만들기
| 이름 | RG-DNAT-Test |
| 지역 | Korea Central |
- 허브 VNet 만들기
| 리소스 그룹 | RG-DNAT-Test |
| 이름 | VN-Hub |
| IPv4 주소 공간 | 10.0.0.0/16 |
| 서브넷 이름 | AzureFirewallSubnet |
| 서브넷 주소 범위 | 10.0.1.0/26 |
- 스포크 VNet 만들기
| 리소스 그룹 | RG-DNAT-Test |
| 이름 | VN-Spoke |
| IPv4 주소 공간 | 192.168.0.0/16 |
| 서브넷 이름 | SN-Workload |
| 서브넷 주소 범위 | 192.168.1.0/24 |
- VNet 피어링
(1) 이 가상 네트워크
| 피어링 링크 이름 | Peer-HubSpoke |
(2) 원격 가상 네트워크
| 피어링 링크 이름 | Peer-SpokeHub |
| 가상 네트워크 | VN-Spoke |
- 가상 머신 만들기
| 리소스 그룹 | RG-DNAT-Test |
| 가상 머신 이름 | Srv-Workload |
| 지역 | Korea Central |
| 이미지 | Windows Server 2016 Datacenter |
| 관리자 사용자 이름 | 사용자 이름 입력 |
| 암호 | 암호 입력 |
| 가상 네트워크 | VN-Spoke |
| 서브넷 | SN-Workload |
| 공용 IP | 없음 |
| 공용 인바운드 포트 | 없음 |
| 부트 진단 | 사용 안 함 |
배포 완료 후 Srv-Workload의 프라이빗 IP 주소 기록
- 방화벽 및 정책 배포
| 리소스 그룹 | RG-DNAT-Test |
| 이름 | FW-DNAT-Test |
| 지역 | Korea Central |
| 방화벽 관리 | 방화벽 정책을 사용하여 이 방화벽 관리 |
| 새 방화벽 정책 이름, 지역 | fw-dnat-pol, Korea Central |
| 가상 네트워크 선택 | VN-Hub |
| 새 공용 IP 주소 이름 | fw-pip |
배포 완료 후 FW-DNAT-Test의 프라이빗 IP 주소 기록
- 기본 경로 만들기
| 리소스 그룹 | RG-DNAT-Test |
| 지역 | Korea Central |
| 이름 | RT-FW-route |
| 가상 네트워크 | VN-Spoke |
| 서브넷 | SN-Workload |
| 경로 이름 | fw-dg |
| 주소 접두사 대상 | IP 주소 |
| 대상 IP 주소/CIDR 범위 | 0.0.0.0/0 |
| 다음 홉 형식 | 가상 어플라이언스 |
| 다음 홉 주소 | 10.0.1.4 |
- NAT 규칙 구성
| 이름 | rdp |
| 우선 순위 | 200 |
| 규칙 컬렉션 그룹 | DefaultDnatRuleCollectionGroup |
| 규칙 아래 이름 | rdp-nat |
| 원본 유형 | IP 주소 |
| 원본 | * |
| 프로토콜 | TCP |
| 대상 포트 | 3389 |
| 대상 유형 | IP 주소 |
| 대상 | 방화벽 공용 IP 주소 |
| 번역된 주소 | Srv-Workload 프라이빗 IP 주소 |
| 변환 포트 | 3389 |
- 방화벽 테스트
방화벽 공용 IP 주소와 RDP 프로토콜을 통해 Srv-Workload 가상 머신 접속 확인