M06-단원 9 Azure Firewall Manager를 사용하여 가상 허브 보호

연습 시나리오

이 연습에서는 스포크 가상 네트워크를 만들고 보안 가상 허브를 만든 다음, 허브 및 스포크 가상 네트워크를 연결하고 트래픽을 허브로 라우팅합니다. 그런 다음 워크로드 서버를 배포하고, 방화벽 정책을 만들고, 허브를 보호하고, 마지막으로 방화벽을 테스트합니다.

대화형 랩 시뮬레이션

참고: 이전에 제공되었던 랩 시뮬레이션은 사용 중지되었습니다.

허브 및 스포크 아키텍처 만들기

이 연습 부분에서는 워크로드 서버를 저장할 스포크 가상 네트워크 및 서브넷을 만듭니다. 그런 다음 보안 가상 허브를 만들고 허브 및 스포크 가상 네트워크를 연결합니다.

작업 기술

이 연습에서 다음을 수행합니다.

• 작업 1: 2개의 스포크 가상 네트워크 및 서브넷 만들기
• 작업 2: 보안 가상 허브 만들기
• 작업 3: 허브 및 스포크 가상 네트워크 연결
• 작업 4: 서버 배포
• 작업 5: 방화벽 정책 만들기 및 허브 보안
• 작업 6: 방화벽 정책 연결
• 작업 7: 허브로 트래픽 라우팅
• 작업 8: 애플리케이션 규칙 테스트
• 작업 9: 네트워크 규칙 테스트
• 작업 10: 리소스 정리

예상 시간: 35분

작업 1: 2개의 스포크 가상 네트워크 및 서브넷 만들기

이 작업에서는 각각 워크로드 서버를 호스트하는 서브넷을 포함하는 두 개의 스포크 가상 네트워크를 만듭니다.

1. Azure Portal에서 Virtual Networks를 검색하여 선택합니다.

2. 만들기를 실행합니다.

3. 리소스 그룹에서 새로 만들기를 선택하고 이름으로 fw-manager-rg를 입력한 후 확인을 선택합니다.

4. 가상 네트워크 이름에 Spoke-01을 입력합니다.

5. 지역에서 지역을 선택합니다.

6. 다음을 선택합니다. 보안 탭을 검토하기만 하고 변경하지 마세요.

7. 다음을 선택하고 IP 주소 탭으로 이동합니다.

8. 주소 공간 삭제를 선택한 다음, IPv4 주소 공간 추가를 선택합니다.

9. IP 주소 공간이 10.0.0.0/16인지 확인합니다.

10. 서브넷 추가를 선택합니다.

11. 서브넷 이름을 Workload-01-SN으로 변경합니다.

12. 시작 주소를 10.0.1.0으로 변경합니다.

13. 추가를 선택합니다.

14. 검토 + 만들기를 선택합니다.

15. 만들기를 선택합니다.

다음 정보를 사용하여 위의 1~14단계를 반복하여 유사한 가상 네트워크와 서브넷을 하나 더 만듭니다. 첫 번째 가상 네트워크가 배포를 완료할 때까지 기다릴 필요가 없습니다.

• 리소스 그룹: fw-manager-rg(기존 그룹 선택)
• 가상 네트워크 이름: Spoke-02
• 주소 공간: 10.1.0.0/16 - (기타 나열된 주소 공간 모두 삭제)
• 서브넷 이름: Workload-02-SN
• 서브넷 시작 주소: 10.1.1.0

작업 2: 보안 가상 허브 만들기

이 작업에서는 Firewall Manager를 사용하여 보안 가상 허브를 만듭니다.

1. 포털에서 firewall manager를 검색한 다음, 네트워크 보안 키워드 방화벽 관리자를 선택합니다.

2. 리소스 보호 블레이드에서 가상 허브를 선택합니다.

3. 보안 가상 허브 새로 만들기를 선택합니다.

4. 리소스 그룹에 대해 fw-manager-rg를 선택합니다.

5. 지역에서 지역을 선택합니다.

6. 보안 가상 허브 이름으로 Hub-01을 입력합니다.

7. **허브 주소 공간10.2.0.0/16으로 **을 입력합니다.

8. 새 vWAN이 선택되어 있는지 확인합니다.

9. Virtual WAN 이름으로 Vwan-01을 입력합니다.

10. 다음: Azure Firewall을 선택합니다. 검토만 하고 변경하지는 마세요.

11. 다음: 보안 파트너 공급자를 선택합니다. 검토만 하고 변경하지는 마세요.

12. 다음: 검토 + 만들기를 선택합니다.

13. 만들기를 실행합니다.

    참고: 배포하는 데 최대 30분이 걸릴 수 있습니다.

14. 배포가 완료될 때가지 기다립니다.

15. 포털에서 firewall manager를 검색한 다음, 네트워크 보안 키워드 방화벽 관리자를 선택합니다.

16. Firewall Manager 페이지에서 가상 허브를 선택합니다.

17. Hub-01을 선택합니다.

18. Azure Firewall을 선택한 다음, 공용 IP 구성을 선택합니다.

19. 나중에 사용할 공용 IP 주소(예: 172.191.79.203)를 기록해 두세요.

작업 3: 허브 및 스포크 가상 네트워크 연결

이 작업에서는 허브 및 스포크 가상 네트워크를 연결합니다. 일반적으로 이를 피어링이라고 합니다.

1. 포털에서 Vwan-01 가상 WAN을 검색하여 선택합니다.

2. 연결에서 가상 네트워크 연결을 선택합니다.

3. 연결 추가를 선택합니다.

4. 연결 이름으로 hub-spoke-01을 입력합니다.

5. 허브에 대해 Hub-01을 선택합니다.

6. 리소스 그룹에 대해 fw-manager-rg를 선택합니다.

7. 가상 네트워크에 대해 Spoke-01을 선택합니다.

8. 만들기를 실행합니다.

9. 위의 4~9단계를 반복하여 다른 유사한 연결을 만들지만 연결 이름 hub-spoke-02를 사용하여 Spoke-02 가상 네트워크를 연결합니다.

10. 가상 네트워크 연결 페이지를 새로 고치고 Spoke-01 및 Spoke-02의 두 가상 네트워크가 있는지 확인합니다.

작업 4: 서버 배포

1. Azure Portal 오른쪽 상단에 있는 Cloud Shell 아이콘을 선택합니다. 필요한 경우 셸을 구성합니다.
   • PowerShell을 선택합니다.
   • 스토리지 계정이 필요하지 않음과 구독을 선택한 다음 적용을 선택합니다.
   • 터미널이 생성되고 프롬프트가 표시될 때까지 기다립니다.

2. Cloud Shell 창의 도구 모음에서 파일 관리 아이콘을 선택하고 드롭다운 메뉴에서 업로드를 선택한 후 FirewallManager.json 및 FirewallManager.parameters.json 파일을 Cloud Shell 홈 디렉토리에 업로드합니다.

   참고: 사용자 구독으로 작업하는 경우 템플릿 파일은 GitHub 랩 리포지토리에서 사용할 수 있습니다.

3. 다음 ARM 템플릿을 배포하여 이 연습에 필요한 VM을 만듭니다.

   참고: 관리 암호를 입력하라는 메시지가 표시됩니다. 이 암호는 이후 단계에서 필요합니다.

   $RGName = "fw-manager-rg"
      
   New-AzResourceGroupDeployment -ResourceGroupName $RGName -TemplateFile FirewallManager.json -TemplateParameterFile FirewallManager.parameters.json
   

4. 배포가 완료되면 Azure Portal 홈페이지로 이동한 다음 가상 머신을 선택합니다.

5. Srv-workload-01의 개요 페이지에서 오른쪽 창의 네트워킹 섹션 아래에 있는 개인 IP 주소(예: 10.0.1.4)를 기록해 둡니다.

6. Srv-workload-02의 개요 페이지에서 오른쪽 창의 네트워킹 섹션 아래에 있는 개인 IP 주소(예: 10.1.1.4)를 기록해 둡니다.

작업 5: 방화벽 정책 만들기 및 허브 보안

이 작업에서는 먼저 방화벽 정책을 만든 다음 허브의 보안을 유지합니다. 방화벽 정책은 하나 이상의 보안 가상 허브에서 트래픽을 전달하는 규칙 컬렉션을 정의합니다.

1. 포털에서 firewall manager를 검색한 다음, 네트워크 보안 키워드 방화벽 관리자를 선택합니다.

2. Firewall Manager 블레이드에서 Azure Firewall 정책을 선택합니다.

3. 만들기를 실행합니다.

4. 리소스 그룹에서 fw-manager-rg를 선택합니다.

5. 정책 세부 정보에서 이름에 대해 Policy-01을 입력합니다.

6. 지역에서 지역을 선택합니다.

7. 가격 책정 계층에서 표준을 선택합니다.

8. 다음: DNS 설정을 선택합니다. 검토만 하고 변경하지는 마세요.

9. 다음: TLS 검사를 선택합니다. 검토만 하고 변경하지는 마세요.

10. 다음: 규칙을 선택합니다.

11. 규칙 탭에서 규칙 컬렉션 추가를 선택합니다.

12. 규칙 컬렉션 추가 페이지의 이름에서 App-RC-01을 입력합니다.

13. 규칙 컬렉션 유형에 대해 애플리케이션을 선택합니다.

14. 우선 순위에 대해 100을 입력합니다.

15. 규칙 컬렉션 작업이 허용인지 확인합니다.

16. 규칙의 이름에 Allow-msft를 입력합니다.

17. 원본 유형에 대해 IP 주소를 선택합니다.

18. 원본에 대해 *를 입력합니다.

19. 프로토콜로 http,https를 입력합니다.

20. 대상 유형이 FQDN인지 확인합니다.

21. 대상으로 *.microsoft.com을 입력합니다.

22. 추가를 선택합니다.

23. 원격 데스크톱을 Srv-workload-01 VM에 연결할 수 있도록 DNAT 규칙을 추가하려면 규칙 컬렉션 추가를 선택합니다.

24. 이름에 dnat-rdp를 입력합니다.

25. 규칙 컬렉션 형식에 대해 DNAT를 선택합니다.

26. 우선 순위에 대해 100을 입력합니다.

27. 규칙의 이름에 Allow-rdp를 입력합니다.

28. 원본 유형에 대해 IP 주소를 선택합니다.

29. 원본에 대해 *를 입력합니다.

30. 프로토콜의 경우 TCP를 선택합니다.

31. 대상 포트로 3389를 입력합니다.

32. 대상 IP 주소로 앞에서 적어 둔 방화벽 가상 허브 공용 IP 주소(예: 51.143.226.18)를 입력합니다.

33. 변환된 형식으로 IP 주소를 선택합니다.

34. 번역된 주소에 대해 앞에서 적어 둔 Srv-workload-01의 개인 IP 주소(예: 10.0.1.4)를 입력합니다.

35. 변역된 포트에 대해 3389를 입력합니다.

36. 추가를 선택합니다.

37. Srv-workload-01에서 Srv-workload-02 VM으로 원격 데스크톱을 연결할 수 있도록 네트워크 규칙을 추가하려면 규칙 컬렉션 추가를 선택합니다.

38. 이름에 vnet-rdp를 입력합니다.

39. 규칙 컬렉션 형식에 대해 네트워크를 선택합니다.

40. 우선 순위에 대해 100을 입력합니다.

41. 규칙 컬렉션 작업에 대해 허용을 선택합니다.

42. 규칙의 이름에 Allow-vnet를 입력합니다.

43. 원본 유형에 대해 IP 주소를 선택합니다.

44. 원본에 대해 *를 입력합니다.

45. 프로토콜의 경우 TCP를 선택합니다.

46. 대상 포트에 대해 3389를 입력합니다.

47. 대상 유형에 대해 IP 주소를 선택합니다.

48. 대상으로 앞에서 적어 둔 Srv-workload-02의 개인 IP 주소(예: 10.1.0.4)를 입력합니다.

49. 추가를 선택합니다.

50. 이제 세 개의 규칙 컬렉션이 나열됩니다.

51. 검토 + 만들기를 선택합니다.

52. 만들기를 선택합니다.

작업 6: 방화벽 정책 연결

이 작업에서는 방화벽 정책을 가상 허브와 연결합니다.

1. 포털에서 Hub-01을 검색하여 선택합니다.

2. 설정 블레이드에서 보안 공급자를 선택하세요.

3. 정책 추가 확인란을 선택하세요.

4. Policy-01을 선택한 다음, 저장을 선택하세요.

5. Hub-01에 대한 확인란을 선택합니다.

6. 추가를 선택합니다.

7. 정책이 연결되면 새로 고침을 선택합니다. 연결이 표시됩니다.

작업 7: 허브로 트래픽 라우팅

이제 네트워크 트래픽이 방화벽을 통해 라우팅되는지 확인해야 합니다.

1. 포털에서 Vwan-01을 검색하여 선택하세요.

2. 연결 블레이드에서 허브를 선택한 다음, Hub-01을 선택하세요.

3. 보안 블레이드에서 Azure Firewall 및 Firewall Manager를 선택하고 Hub-01을 선택한 다음, 보안 구성을 선택하세요.

4. 인터넷 트래픽에서 Azure Firewall을 선택합니다.

5. 프라이빗 트래픽에서 Azure Firewall을 통해 보내기를 선택합니다.

6. 저장을 선택하고 확인을 클릭하여 선택한 항목을 확인하세요.

7. 작업을 완료하는 데 몇 분 정도 걸립니다.

8. 구성이 완료되면 인터넷 트래픽 및 프라이빗 트래픽 아래에서 허브-스포크 연결 모두에 대해 Azure Firewall로 보호됨이 표시되는지 확인합니다.

작업 8: 애플리케이션 규칙 테스트

연습의 이 부분에서는 원격 데스크톱을 Srv-Workload-01로 NAT된 방화벽 공용 IP 주소에 연결합니다. 그런 다음 웹 브라우저를 사용하여 애플리케이션 규칙을 테스트하고 원격 데스크톱을 Srv-Workload-02에 연결하여 네트워크 규칙을 테스트합니다.

이 작업에서는 애플리케이션 규칙을 테스트하여 예상대로 작동하는지 확인합니다.

1. PC에서 원격 데스크톱 연결을 엽니다.

2. 컴퓨터 상자에 방화벽의 공용 IP 주소(예: 51.143.226.18)를 입력합니다.

3. 옵션 표시를 선택합니다.

4. 사용자 이름 상자에 TestUser를 입력합니다.

5. 연결을 선택합니다.

   

6. 사용자 인증 정보 입력 대화 상자에서 배포 시 제공한 암호를 사용하여 Srv-workload-01 서버 가상 머신에 로그인합니다.

7. 확인을 선택합니다.

8. 인증서 메시지에서 예를 선택합니다.

9. Internet Explorer를 열고 Internet Explorer 11 설정 대화 상자에서 확인을 선택합니다.

10. https://www.microsoft.com으로 이동합니다.

11. 보안 경고 대화 상자에서 확인을 선택합니다.

12. Internet Explorer 보안 경고가 나타나면 닫기를 선택합니다.

13. Microsoft 홈페이지가 표시됩니다.

    

14. https:// **** 으로 이동합니다.

15. 방화벽에서 차단해야 합니다.

    

16. 허용된 하나의 FQDN에 연결할 수 있지만 다른 모든 것으로부터 차단된다는 것을 확인했습니다.

작업 9: 네트워크 규칙 테스트

이 작업에서는 네트워크 규칙을 테스트하여 예상대로 작동하는지 확인합니다.

1. Srv-workload-01 RDP 세션에 로그인하는 동안 이 원격 컴퓨터에서 원격 데스크톱 연결을 엽니다.

2. 컴퓨터 상자에 Srv-workload-02의 개인 IP 주소(예: 10.1.1.4)를 입력합니다.

3. 사용자 인증 정보 입력 대화 상자에서 사용자 이름 TestUser와 배포 중에 제공한 암호를 사용하여 Srv-workload-02 서버에 로그인합니다.

4. 확인을 선택합니다.

5. 인증서 메시지에서 예를 선택합니다.

   

6. 한 서버에서 다른 가상 네트워크에 있는 다른 서버로 원격 데스크톱을 연결한 후 방화벽 네트워크 규칙이 작동하는 것을 확인했습니다.

7. 두 RDP 세션을 모두 닫고 연결을 끊습니다.

작업 10: 리소스 정리

참고: 더 이상 사용하지 않는 새로 만든 Azure 리소스는 모두 제거하세요. 사용되지 않는 리소스를 제거하면 예기치 않은 요금이 발생하지 않습니다.

1. Azure Portal의 Cloud Shell 창에서 PowerShell 세션을 엽니다.

2. 다음 명령을 실행하여 이 모듈의 랩 전체에서 만든 모든 리소스 그룹을 삭제합니다.

   Remove-AzResourceGroup -Name 'fw-manager-rg' -Force -AsJob
   

   참고: 이 명령은 -AsJob 매개 변수에 의해 결정되어 비동기로 실행되므로, 동일한 PowerShell 세션 내에서 이 명령을 실행한 직후 다른 PowerShell 명령을 실행할 수 있지만 리소스 그룹이 실제로 제거되기까지는 몇 분 정도 걸립니다.