M06-단원 9 Azure Firewall Manager를 사용하여 가상 허브 보호
연습 시나리오
이 연습에서는 스포크 가상 네트워크를 만들고 보안 가상 허브를 만든 다음, 허브 및 스포크 가상 네트워크를 연결하고 트래픽을 허브로 라우팅합니다. 그런 다음 워크로드 서버를 배포하고, 방화벽 정책을 만들고, 허브를 보호하고, 마지막으로 방화벽을 테스트합니다.
참고: 대화형 랩 시뮬레이션 을 사용하여 이 랩을 원하는 속도로 클릭할 수 있습니다. 대화형 시뮬레이션과 호스트된 랩 간에 약간의 차이가 있을 수 있지만 보여주는 핵심 개념과 아이디어는 동일합니다.
허브 및 스포크 아키텍처 만들기
이 연습 부분에서는 워크로드 서버를 저장할 스포크 가상 네트워크 및 서브넷을 만듭니다. 그런 다음 보안 가상 허브를 만들고 허브 및 스포크 가상 네트워크를 연결합니다.
이 연습에서 다음을 수행합니다.
- 작업 1: 2개의 스포크 가상 네트워크 및 서브넷 만들기
- 작업 2: 보안 가상 허브 만들기
- 작업 3: 허브 및 스포크 가상 네트워크 연결
- 작업 4: 서버 배포
- 작업 5: 방화벽 정책 만들기 및 허브 보안
- 작업 6: 방화벽 정책 연결
- 작업 7: 허브로 트래픽 라우팅
- 작업 8: 애플리케이션 규칙 테스트
- 작업 9: 네트워크 규칙 테스트
- 작업 10: 리소스 정리
예상 시간: 35분
작업 1: 2개의 스포크 가상 네트워크 및 서브넷 만들기
이 작업에서는 각각 워크로드 서버를 호스트하는 서브넷을 포함하는 두 개의 스포크 가상 네트워크를 만듭니다.
- Azure Portal 홈페이지에서 검색 상자에 가상 네트워크를 입력한 다음, 가상 네트워크가 표시되면 선택합니다.
- 만들기를 실행합니다.
- 리소스 그룹에서 새로 만들기를 선택하고, 이름으로 fw-manager-rg를 입력하고, 확인을 선택합니다.
- 이름에 Spoke-01을 입력합니다.
- 지역에서 지역을 선택합니다.
- 다음: IP 주소를 선택합니다.
- IPv4 주소 공간에 10.0.0.0/16을 입력합니다.
- 여기에 나열된 다른 주소 공간(예: 10.1.0.0/16)을 삭제합니다.
- 서브넷 이름 아래에서 기본값이라는 단어를 선택합니다.
- 서브넷 편집 대화 상자에서 이름을 Workload-01-SN으로 변경합니다.
- 서브넷 주소 범위를 10.0.1.0/24로 변경합니다.
- 저장을 선택합니다.
- 검토 + 만들기를 선택합니다.
- 만들기를 선택합니다.
위의 1~14단계를 반복하여 또 다른 유사한 가상 네트워크 및 서브넷을 만듭니다. 단, 다음 정보를 사용합니다.
- 리소스 그룹: fw-manager-rg(기존 그룹 선택)
- 이름: Spoke-02
- 주소 공간: 10.1.0.0/16 - (기타 나열된 주소 공간 모두 삭제)
- 서브넷 이름: Workload-02-SN
- 서브넷 주소 범위: 10.1.1.0/24
작업 2: 보안 가상 허브 만들기
이 작업에서는 Firewall Manager를 사용하여 보안 가상 허브를 만듭니다.
-
Azure Portal 홈 페이지에서 모든 서비스를 선택합니다.
-
검색 상자에 firewall manager를 입력하고 Firewall Manager가 표시되면 선택합니다.
-
Firewall Manager 페이지의 개요 페이지에서 보안 가상 허브 보기를 선택합니다.
-
가상 허브 페이지에서 새 보안 가상 허브 만들기를 선택합니다.
-
리소스 그룹에 대해 fw-manager-rg를 선택합니다.
-
지역에서 지역을 선택합니다.
-
보안 가상 허브 이름으로 Hub-01을 입력합니다.
-
허브 주소 공간에 10.2.0.0/16을 입력합니다.
-
새 vWAN을 선택합니다.
-
Virtual WAN 이름에 Vwan-01을 입력합니다.
-
다음: Azure Firewall을 선택합니다.
-
다음: 보안 파트너 공급자를 선택합니다.
-
완료되면 다음: 리뷰 + 만들기를 클릭합니다.
-
만들기를 실행합니다.
[!NOTE]
배포하는 데 최대 30분이 걸릴 수 있습니다.
-
배포가 완료되면 Azure Portal 홈페이지에서 모든 서비스를 선택합니다.
-
검색 상자에 firewall manager를 입력하고 Firewall Manager가 표시되면 선택합니다.
-
Firewall Manager 페이지에서 가상 허브를 선택합니다.
-
Hub-01을 선택합니다.
-
공용 IP 구성을 선택합니다.
-
나중에 사용할 공용 IP 주소(예: 51.143.226.18)를 적어 둡니다.
작업 3: 허브 및 스포크 가상 네트워크 연결
이 작업에서는 허브 및 스포크 가상 네트워크를 연결합니다. 일반적으로 이를 피어링이라고 합니다.
- Azure Portal 홈페이지에서 리소스 그룹을 선택합니다.
- fw-manager-rg 리소스 그룹을 선택한 다음, Vwan-01 가상 WAN을 선택합니다.
- 연결에서 가상 네트워크 연결을 선택합니다.
- 연결 추가를 선택합니다.
- 연결 이름에 hub-spoke-01을 입력합니다.
- 허브에 대해 Hub-01을 선택합니다.
- 리소스 그룹에 대해 fw-manager-rg를 선택합니다.
- 가상 네트워크에 대해 Spoke-01을 선택합니다.
- 만들기를 실행합니다.
- 위의 4~9단계를 반복하여 다른 유사한 연결을 만들되, hub-spoke-02라는 연결 이름을 사용하여 Spoke-02 가상 네트워크에 연결합니다.
작업 4: 서버 배포
- Azure Portal 오른쪽 상단에 있는 Cloud Shell 아이콘을 선택합니다. 필요한 경우 셸을 구성합니다.
- PowerShell을 선택합니다.
- 스토리지 계정이 필요하지 않음과 구독을 선택한 다음 적용을 선택합니다.
- 터미널이 생성되고 프롬프트가 표시될 때까지 기다립니다.
-
Cloud Shell 창의 도구 모음에서 파일 관리 아이콘을 선택하고 드롭다운 메뉴에서 업로드를 선택한 후 FirewallManager.json 및 FirewallManager.parameters.json 파일을 소스 폴더 F:\Allfiles\Exercises\M06에서 Cloud Shell 홈 디렉토리로 하나씩 업로드합니다.
-
다음 ARM 템플릿을 배포하여 이 연습에 필요한 VM을 만듭니다.
참고: 관리 암호를 입력하라는 메시지가 표시됩니다.
$RGName = "fw-manager-rg" New-AzResourceGroupDeployment -ResourceGroupName $RGName -TemplateFile FirewallManager.json -TemplateParameterFile FirewallManager.parameters.json
-
배포가 완료되면 Azure Portal 홈페이지로 이동한 다음 가상 머신을 선택합니다.
-
Srv-workload-01의 개요 페이지에서 오른쪽 창의 네트워킹 섹션 아래에 있는 개인 IP 주소(예: 10.0.1.4)를 기록해 둡니다.
- Srv-workload-02의 개요 페이지에서 오른쪽 창의 네트워킹 섹션 아래에 있는 개인 IP 주소(예: 10.1.1.4)를 기록해 둡니다.
작업 5: 방화벽 정책 만들기 및 허브 보안
이 작업에서는 먼저 방화벽 정책을 만든 다음 허브의 보안을 유지합니다. 방화벽 정책은 하나 이상의 보안 가상 허브에서 트래픽을 전달하는 규칙 컬렉션을 정의합니다.
- Azure Portal 홈페이지에서 Firewall Manager를 선택합니다.
- Firewall Manager 아이콘이 홈페이지에 표시되지 않으면 모든 서비스를 선택합니다. 그런 다음 검색 상자에 firewall manager를 입력하고 Firewall Manager가 표시되면 선택합니다.
-
Firewall Manager의 개요 페이지에서 Azure Firewall 정책 보기를 선택합니다.
-
Azure Firewall 정책 만들기를 선택합니다.
-
리소스 그룹에서 fw-manager-rg를 선택합니다.
-
정책 세부 정보에서 이름에 대해 Policy-01을 입력합니다.
-
지역에서 지역을 선택합니다.
-
가격 책정 계층에서 표준을 선택합니다.
-
다음: DNS 설정을 선택합니다.
-
다음: TLS 검사(미리 보기) 를 선택합니다.
-
다음: 규칙을 선택합니다.
-
규칙 탭에서 규칙 컬렉션 추가를 선택합니다.
-
규칙 컬렉션 추가 페이지에서 이름에 App-RC-01을 입력합니다.
-
규칙 컬렉션 유형에 대해 애플리케이션을 선택합니다.
-
우선 순위에 대해 100을 입력합니다.
-
규칙 컬렉션 작업이 허용인지 확인합니다.
-
규칙에서 이름에 Allow-msft를 입력합니다.
-
원본 유형에 대해 IP 주소를 선택합니다.
-
원본에 대해 *를 입력합니다.
-
프로토콜에 대해 http,https를 입력합니다.
-
대상 유형이 FQDN인지 확인합니다.
-
대상에 대해 *.microsoft.com을 입력합니다.
-
추가를 선택합니다.
-
원격 데스크톱을 Srv-workload-01 VM에 연결할 수 있도록 DNAT 규칙을 추가하려면 규칙 컬렉션 추가를 선택합니다.
-
이름에 대해 dnat-rdp를 입력합니다.
-
규칙 컬렉션 형식에 대해 DNAT를 선택합니다.
-
우선 순위에 대해 100을 입력합니다.
-
규칙에서 이름에 Allow-rdp를 입력합니다.
-
원본 유형에 대해 IP 주소를 선택합니다.
-
원본에 대해 *를 입력합니다.
-
프로토콜의 경우 TCP를 선택합니다.
-
대상 포트에 대해 3389를 입력합니다.
-
대상 유형에 대해 IP 주소를 선택합니다.
-
대상에 대해 앞에서 적어 둔 방화벽 가상 허브 공용 IP 주소(예: 51.143.226.18)를 입력합니다.
-
번역된 주소에 대해 앞에서 적어 둔 Srv-workload-01의 개인 IP 주소(예: 10.0.1.4)를 입력합니다.
-
변역된 포트에 대해 3389를 입력합니다.
-
추가를 선택합니다.
-
Srv-workload-01에서 Srv-workload-02 VM으로 원격 데스크톱을 연결할 수 있도록 네트워크 규칙을 추가하려면 규칙 컬렉션 추가를 선택합니다.
-
이름에 vnet-rdp를 입력합니다.
-
규칙 컬렉션 형식에 대해 네트워크를 선택합니다.
-
우선 순위에 대해 100을 입력합니다.
-
규칙 컬렉션 작업에 대해 허용을 선택합니다.
-
규칙에서 이름에 Allow-vnet을 입력합니다.
-
원본 유형에 대해 IP 주소를 선택합니다.
-
원본에 대해 *를 입력합니다.
-
프로토콜의 경우 TCP를 선택합니다.
-
대상 포트에 대해 3389를 입력합니다.
-
대상 유형에 대해 IP 주소를 선택합니다.
-
대상에 대해 앞에서 적어 둔 Srv-workload-02에 대한 개인 IP 주소(예: 10.1.1.4)를 입력합니다.
-
추가를 선택합니다.
-
이제 세 개의 규칙 컬렉션이 나열됩니다.
-
검토 + 만들기를 선택합니다.
- 만들기를 선택합니다.
작업 6: 방화벽 정책 연결
이 작업에서는 방화벽 정책을 가상 허브와 연결합니다.
- Azure Portal 홈페이지에서 Firewall Manager를 선택합니다.
- Firewall Manager 아이콘이 홈페이지에 표시되지 않으면 모든 서비스를 선택합니다. 그런 다음 검색 상자에 firewall manager를 입력하고 Firewall Manager가 표시되면 선택합니다.
- Firewall Manager의 보안에서 Azure Firewall 정책을 선택합니다.
- Policy-01에 대한 확인란을 선택합니다.
- 연결 관리>허브 연결을 선택합니다.
- Hub-01에 대한 확인란을 선택합니다.
- 추가를 선택합니다.
- 정책이 연결되면 새로 고침을 선택합니다. 연결이 표시됩니다.
작업 7: 허브로 트래픽 라우팅
이제 네트워크 트래픽이 방화벽을 통해 라우팅되는지 확인해야 합니다.
- Firewall Manager에서 가상 허브를 선택합니다.
- Hub-01을 선택합니다.
- 설정에서 보안 구성을 선택합니다.
- 인터넷 트래픽에서 Azure Firewall을 선택합니다.
- 프라이빗 트래픽에서 Azure Firewall을 통해 보내기를 선택합니다.
- 저장을 선택합니다.
- 작업을 완료하는 데 몇 분 정도 걸립니다.
- 구성이 완료되면 인터넷 트래픽 및 프라이빗 트래픽 아래에서 허브-스포크 연결 모두에 대해 Azure Firewall로 보호됨이 표시되는지 확인합니다.
작업 8: 애플리케이션 규칙 테스트
연습의 이 부분에서는 원격 데스크톱을 Srv-Workload-01로 NAT된 방화벽 공용 IP 주소에 연결합니다. 그런 다음 웹 브라우저를 사용하여 애플리케이션 규칙을 테스트하고 원격 데스크톱을 Srv-Workload-02에 연결하여 네트워크 규칙을 테스트합니다.
이 작업에서는 애플리케이션 규칙을 테스트하여 예상대로 작동하는지 확인합니다.
-
PC에서 원격 데스크톱 연결을 엽니다.
-
컴퓨터 상자에 방화벽의 공용 IP 주소(예: 51.143.226.18)를 입력합니다.
-
옵션 표시를 선택합니다.
-
사용자 이름 상자에 TestUser를 입력합니다.
-
연결을 선택합니다.
-
사용자 인증 정보 입력 대화 상자에서 배포 시 제공한 암호를 사용하여 Srv-workload-01 서버 가상 머신에 로그인합니다.
-
확인을 선택합니다.
-
인증서 메시지에서 예를 선택합니다.
-
Internet Explorer를 열고 Internet Explorer 11 설정 대화 상자에서 확인을 선택합니다.
-
https:// **
** 으로 이동합니다. -
보안 경고 대화 상자에서 확인을 선택합니다.
-
Internet Explorer 보안 경고가 나타나면 닫기를 선택합니다.
-
Microsoft 홈페이지가 표시됩니다.
-
https:// **
** 으로 이동합니다. -
방화벽에서 차단해야 합니다.
-
허용된 하나의 FQDN에 연결할 수 있지만 다른 모든 것으로부터 차단된다는 것을 확인했습니다.
작업 9: 네트워크 규칙 테스트
이 작업에서는 네트워크 규칙을 테스트하여 예상대로 작동하는지 확인합니다.
-
Srv-workload-01 RDP 세션에 로그인하는 동안 이 원격 컴퓨터에서 원격 데스크톱 연결을 엽니다.
-
컴퓨터 상자에 Srv-workload-02의 개인 IP 주소(예: 10.1.1.4)를 입력합니다.
-
사용자 인증 정보 입력 대화 상자에서 사용자 이름 TestUser와 배포 중에 제공한 암호를 사용하여 Srv-workload-02 서버에 로그인합니다.
-
확인을 선택합니다.
-
인증서 메시지에서 예를 선택합니다.
-
한 서버에서 다른 가상 네트워크에 있는 다른 서버로 원격 데스크톱을 연결한 후 방화벽 네트워크 규칙이 작동하는 것을 확인했습니다.
-
두 RDP 세션을 모두 닫고 연결을 끊습니다.
작업 10: 리소스 정리
참고: 더 이상 사용하지 않는 새로 만든 Azure 리소스는 모두 제거하세요. 사용되지 않는 리소스를 제거하면 예기치 않은 요금이 발생하지 않습니다.
-
Azure Portal의 Cloud Shell 창에서 PowerShell 세션을 엽니다.
-
다음 명령을 실행하여 이 모듈의 랩 전체에서 만든 모든 리소스 그룹을 삭제합니다.
Remove-AzResourceGroup -Name 'fw-manager-rg' -Force -AsJob
참고: 이 명령은 -AsJob 매개 변수에 의해 결정되어 비동기로 실행되므로, 동일한 PowerShell 세션 내에서 이 명령을 실행한 직후 다른 PowerShell 명령을 실행할 수 있지만 리소스 그룹이 실제로 제거되기까지는 몇 분 정도 걸립니다.