방화벽 정책은 Azure Firewall을 구성하는 데 권장되는 방법입니다. 보안 가상 허브 및 Hub Virtual Networks의 여러 Azure Firewall 인스턴스에서 사용할 수 있는 글로벌 리소스입니다. 정책은 여러 지역 및 구독에서 작동합니다.
정책 만들기 및 연결
Azure Portal, REST API, 템플릿, Azure PowerShell, CLI 및 Terraform을 포함하여 다양한 방법으로 정책을 만들고 관리할 수 있습니다.
포털 또는 Azure PowerShell을 사용하여 Azure Firewall에서 기존 클래식 규칙을 마이그레이션하여 정책을 만들 수도 있습니다. 자세한 내용은 Azure Firewall 구성을 Azure Firewall 정책으로 마이그레이션하는 방법을 참조하세요.
정책은 Virtual WAN(보안 가상 허브 만들기) 또는 Virtual Network(허브 가상 네트워크 만들기)에 배포된 하나 이상의 방화벽과 연결할 수 있습니다. 방화벽은 계정에 연결된 모든 지역 또는 구독에 상주할 수 있습니다.
클래식 규칙 및 정책
Azure Firewall은 클래식 규칙과 정책을 모두 지원하지만 정책이 권장되는 구성입니다. 다음 표에서는 정책과 클래식 규칙을 비교합니다.
| Subject | Policy | Classic rules |
|---|---|---|
| Contains | NAT, 네트워크, 애플리케이션 규칙, 사용자 지정 DNS 및 DNS 프록시 설정, IP 그룹 및 위협 인텔리전스 설정(허용 목록 포함), IDPS, TLS 검사, 웹 범주, URL 필터링 | NAT, 네트워크, 애플리케이션 규칙, 사용자 지정 DNS 및 DNS 프록시 설정, IP 그룹 및 위협 인텔리전스 설정(허용 목록 포함) |
| Protects | VWAN(가상 허브) 및 가상 네트워크 | Virtual Network만 |
| Portal experience | Firewall Manager를 사용한 중앙 관리 | 독립 실행형 방화벽 환경 |
| 여러 방화벽 지원 | 방화벽 정책(여러 방화벽에서 사용할 수 있는 별도의 리소스) | 수동으로 규칙 내보내기/가져오기 또는 타사 관리 솔루션 사용 |
| Pricing | 방화벽 연결 기반 청구, See Pricing. | Free |
| 지원되는 배포 메커니즘 | 포털, REST API, 템플릿, Azure PowerShell 및 CLI | 포털, REST API, 템플릿, PowerShell 및 CLI |
기본, 표준, 프리미엄 정책
Azure Firewall은 기본, 표준, 프리미엄 정책을 지원합니다. 다음 표에는 이러한 정책의 차이점이 요약되어 있습니다.
| Policy type | Feature support | 방화벽 SKU 지원 |
|---|---|---|
| Basic policy | NAT 규칙, 네트워크 규칙, 애플리케이션 규칙 IP Groups 위협 인텔리전스(경고) |
Basic |
| Standard policy | NAT 규칙, 네트워크 규칙, 애플리케이션 규칙 사용자 지정 DNS, DNS 프록시 IP Groups Web Categories Threat Intelligence |
Standard 또는 Premium |
| Premium policy | 모든 표준 기능 및 다음 지원: TLS Inspection Web Categories URL Filtering IDPS |
Premium |
Hierarchical policies
새 방화벽 정책을 처음부터 만들거나 기존 정책에서 상속할 수 있습니다. 상속을 통해 DevOps는 조직에서 위임한 기본 정책을 기반으로 로컬 방화벽 정책을 정의할 수 있습니다.
비어 있지 않은 부모 정책으로 새 정책을 만들면 부모 정책의 모든 규칙 컬렉션이 상속됩니다. 부모 및 자식 정책은 모두 동일한 지역에 있어야 합니다. 그러나 방화벽 정책은 저장된 위치에 관계없이 모든 지역의 방화벽과 연결할 수 있습니다.
Rule inheritance
부모 정책에서 상속된 네트워크 규칙 컬렉션은 항상 새 정책의 일부로 정의된 네트워크 규칙 컬렉션보다 우선 순위가 지정됩니다. 애플리케이션 규칙 컬렉션에도 동일한 논리가 적용됩니다. 상속에 관계없이 네트워크 규칙 컬렉션은 애플리케이션 규칙 컬렉션 전에 처리됩니다.
NAT 규칙 컬렉션은 개별 방화벽과 관련이 있으므로 상속되지 않습니다. NAT 규칙을 사용하려면 자식 정책에서 정의해야 합니다.
위협 인텔리전스 모드 및 허용 목록 상속
위협 인텔리전스 모드도 부모 정책에서 상속됩니다. 자식 정책에서 이 설정을 재정의할 수 있지만 더 엄격한 모드여야 하며 사용하지 않도록 설정할 수 없습니다. 예를 들어 부모 정책이 경고로만 설정된 경우 자식 정책을 경고 및 거부로 설정할 수 있지만 덜 엄격한 모드로 설정할 수는 없습니다.
마찬가지로 위협 인텔리전스 허용 목록은 부모 정책에서 상속되며 자식 정책은 이 목록에 추가 IP 주소를 추가할 수 있습니다.
상속을 사용하면 부모 정책에 대한 변경 내용이 연결된 방화벽 자식 정책에 자동으로 적용됩니다.
기본 제공되는 고가용성
고가용성이 기본 제공되므로 구성할 필요가 없습니다. 모든 지역에서 Azure Firewall Policy 개체를 만들고 동일한 Entra ID 테넌트 아래의 여러 Azure Firewall 인스턴스에 전역적으로 연결할 수 있습니다. 정책을 만드는 지역이 중단되고 쌍을 이루는 지역이 있는 경우 ARM(Azure Resource Manager) 개체 메타데이터가 자동으로 보조 지역으로 장애 조치됩니다. 장애 조치(failover) 중에 또는 쌍이 없는 단일 지역이 실패한 상태로 유지되는 경우 Azure Firewall Policy 개체를 수정할 수 없습니다. 그러나 방화벽 정책에 연결된 Azure Firewall 인스턴스는 계속 작동합니다. 자세한 내용은 Azure의 지역 간 복제: 비즈니스 연속성 및 재해 복구를 참조하세요.
Pricing
정책에 대한 요금은 방화벽 연결을 기준으로 청구됩니다. 방화벽 연결이 없거나 하나인 정책은 무료입니다. 방화벽 연결이 여러 개인 정책은 고정 요율로 청구됩니다. 자세한 내용은 Azure Firewall Manager 가격을 참조하세요.
Next steps
- Azure Firewall을 배포하는 방법에 대한 자세한 내용은 자습서: Azure Portal을 통해 Azure Firewall Manager를 사용하여 클라우드 네트워크 보호를 참조하세요.
- Azure 네트워크 보안에 대해 자세히 알아보기