다음을 통해 공유

보안 트래픽 관리를 위해 Azure Firewall DNAT 규칙을 설정하고 모니터링하는 방법

Azure Firewall DNAT(대상 네트워크 주소 변환) 규칙은 인바운드 트래픽을 필터링하고 라우팅하는 데 사용됩니다. 이를 통해 들어오는 트래픽의 공용 대상 IP 주소 및 포트를 네트워크 내의 개인 IP 주소 및 포트로 변환할 수 있습니다. 이는 개인 IP(예: 웹 서버 또는 SSH 엔드포인트)에서 실행되는 서비스를 인터넷 또는 다른 네트워크에 노출하려는 경우에 유용합니다.

DNAT 규칙은 다음을 지정합니다.

  • 원본: 트래픽이 시작되는 원본 IP 주소 또는 IP 그룹입니다.
  • 대상: Azure Firewall 인스턴스의 대상 IP 주소입니다.
  • 프로토콜: 트래픽에 사용되는 프로토콜(TCP 또는 UDP)입니다.
  • 대상 포트: 트래픽을 수신하는 Azure Firewall 인스턴스의 포트입니다.
  • 번역된 주소: 트래픽을 라우팅해야 하는 개인 IP 주소 또는 FQDN입니다.
  • 번역된 포트: 트래픽을 전달해야 하는 번역된 주소의 포트입니다.

패킷이 DNAT 규칙과 일치하면 Azure Firewall은 지정된 백 엔드 서버에 전달하기 전에 규칙에 따라 패킷의 대상 IP 주소 및 포트를 수정합니다.

Azure Firewall은 DNAT 규칙에서 FQDN 필터링을 지원하므로 고정 IP 주소 대신 FQDN(정규화된 도메인 이름)을 번역 대상으로 지정할 수 있습니다. 이렇게 하면 동적 백 엔드 구성이 가능하고 백 엔드 서버의 IP 주소가 자주 변경되는 시나리오에서 관리가 간소화됩니다.

필수 조건

  • Azure 구독. Azure 구독이 없는 경우, 시작하기 전에 무료 계정을 만드십시오.
  • Azure Firewall 인스턴스입니다.
  • Azure Firewall 정책입니다.

DNAT 규칙 만들기

  1. Azure Portal에서 Azure Firewall 인스턴스로 이동합니다.

  2. 왼쪽 창에서 규칙을 선택합니다.

  3. DNAT 규칙을 선택합니다.

  4. +DNAT 규칙 컬렉션 추가를 선택합니다.

  5. 규칙 컬렉션 추가 창에서 다음 정보를 제공합니다.

    • 이름: DNAT 규칙 컬렉션의 이름을 입력합니다.
    • 우선 순위: 규칙 컬렉션의 우선 순위를 지정합니다. 숫자가 낮을수록 우선 순위가 높음을 나타냅니다. 범위는 100-65000입니다.
    • 작업: DNAT(대상 네트워크 주소 변환)(기본값).
    • 규칙 컬렉션 그룹: DNAT 규칙 컬렉션을 포함하는 규칙 컬렉션 그룹의 이름입니다. 기본 그룹 또는 이전에 만든 그룹을 선택할 수 있습니다.
    • 규칙:
      • 이름: DNAT 규칙의 이름을 입력합니다.
      • 원본 유형: IP 주소 또는 IP 그룹을 선택합니다.
      • 원본: 원본 IP 주소를 입력하거나 IP 그룹을 선택합니다.
      • 프로토콜: 프로토콜(TCP 또는 UDP)을 선택합니다.
      • 대상 포트: 대상 포트 또는 포트 범위를 입력합니다(예: 단일 포트 80, 포트 범위 80-100 또는 여러 포트 80,443).
      • 대상(방화벽 IP 주소): Azure Firewall 인스턴스의 대상 IP 주소를 입력합니다.
      • 번역된 형식: IP 주소 또는 FQDN을 선택합니다.
      • 번역된 주소 또는 FQDN: 번역된 IP 주소 또는 FQDN을 입력합니다.
      • 번역된 포트: 번역된 포트를 입력합니다.

  6. 필요에 따라 추가 규칙에 대해 5단계를 반복합니다.

  7. 추가를 선택하여 DNAT 규칙 컬렉션을 만듭니다.

DNAT 규칙 모니터링 및 유효성 검사

DNAT 규칙을 만든 후에는 AZFWNatRule 로그를 사용하여 이를 모니터링하고 문제를 해결할 수 있습니다. 이 로그는 다음을 포함하여 들어오는 트래픽에 적용되는 DNAT 규칙에 대한 자세한 인사이트를 제공합니다.

  • 타임스탬프: 트래픽 흐름이 발생한 정확한 시간입니다.
  • 프로토콜: 통신에 사용되는 프로토콜입니다(예: TCP 또는 UDP).
  • 원본 IP 및 포트: 원래 트래픽 원본에 대한 정보입니다.
  • 대상 IP 및 포트: 번역 전의 원래 대상 세부 정보입니다.
  • 번역된 IP 및 포트: 확인된 IP 주소(FQDN을 사용하는 경우) 및 변환 후 대상 포트입니다.

AZFWNatRule 로그를 분석할 때 다음 사항에 유의해야 합니다.

  • 번역된 필드: FQDN 필터링을 사용하는 DNAT 규칙의 경우 로그에 확인된 IP 주소가 FQDN 대신 변환된 필드에 표시됩니다.
  • 프라이빗 DNS 영역: VNet(가상 네트워크) 내에서만 지원됩니다. 이 기능은 가상 WAN SKU에 사용할 수 없습니다.
  • DNS 확인의 여러 IP: FQDN이 프라이빗 DNS 영역 또는 사용자 지정 DNS 서버의 여러 IP 주소로 확인되는 경우 Azure Firewall의 DNS 프록시는 목록에서 첫 번째 IP 주소를 선택합니다. 이 동작은 의도된 것입니다.
  • FQDN 확인 실패:
    • Azure Firewall이 FQDN을 확인할 수 없는 경우 DNAT 규칙이 일치하지 않으므로 트래픽이 처리되지 않습니다.
    • 이러한 오류는 DNS 프록시를 사용하는 경우에만 AZFWInternalFQDNResolutionFailure 로그에 기록됩니다.
    • DNS 프록시를 사용하도록 설정하지 않으면 해결 실패가 기록되지 않습니다.

주요 고려 사항

다음 고려 사항은 FQDN 필터링과 함께 DNAT 규칙을 사용할 때 중요합니다.

  • 프라이빗 DNS 영역: Azure Virtual WAN이 아닌 가상 네트워크 내에서만 지원됩니다.
  • DNS 확인에서 여러 IP: Azure Firewall의 DNS 프록시는 항상 확인된 목록(프라이빗 DNS 영역 또는 사용자 지정 DNS 서버)에서 첫 번째 IP 주소를 선택합니다. 이는 예상되는 동작입니다.

이러한 로그를 분석하면 연결 문제를 진단하고 트래픽이 의도한 백 엔드로 올바르게 라우팅되는지 확인할 수 있습니다.

다음 단계

  • Azure Monitor를 사용하여 Azure Firewall 로그 및 메트릭을 모니터링하는 방법을 알아봅니다.