[Azure 정리]6. Azure Firewall & Azure DNS

1. Azure Firewall

Azure Firewall

• Azure Firewall

Azure Firewall

• Azure Firewall은 Azure에서 네트워크 보안을 강화하고 트래픽을 제어하기 위해 중요한 역할을 한다.

• 전체 네트워크 보호

  • Azure Firewall은 네트워크 전체에서 인바운드 및 아웃바운드 트래픽을 필터링하여 외부 및 내부의 악성 트래픽을 차단하고

     네트워크를 보호한다.

• 중앙 집중식 정책 관리

  • 중앙에서 네트워크 보안 정책을 관리하여 여러 서브넷과 VNet에 걸쳐 일관된 보안 정책을 적용할 수 있다.

• 고급 위협 방어

  • Azure Firewall은 고급 위협 방어 기능을 제공하여 알려진 및 알려지지 않은 위협을 탐지하고 방어하여 네트워크 보안을

     강화할 수 있다.

• 상태 기반 방화벽

  • Azure Firewall은 상태 기반 방화벽으로, 트래픽의 상태를 추적하여 더 정교한 보안 정책을 적용할 수 있다. 연결 상태를 기반으로

    트래픽을 허용하거나 차단한다. 

• DNS 필터링 및 FQDN 태그

  • 특정 도메인 이름(FQDN)을 기반으로 트래픽을 허용하거나 차단할 수 있는 DNS 필터링 기능을 제공한다.

  • 또한, FQDN 태그를 사용하여 특정 Azure 서비스에 대한 트래픽을 쉽게 관리할 수 있다.

Firewall 구현하기

• Firewall 구현하기

Firewall 구현하기

• Hub-Spoke 네트워크 토폴로지를 사용하는 것을 추천

• 공유 서비스는 허브 가상 네트워크에 배치

• 각각의 환경은 격리 상태를 유지하기 위해 Spoke에 배포

 

Firewall Rule

• Firewall Rule

Firewall Rule

The rules are processed in this order:

1. Network Rules

2. Application Rules

Once a rule is found that allows the traffic through, no more rules are checked.

Netwrok Rules VS Application Rules

Lab

• 실습 내용-1

Virtual Network 생성하기 및 필수 Subnet 2개 추가하기

 

Virual Machine 생성하기(jump box, protected server)

• 실습 내용-2

Azure Firewall 배포하기

Default Route Table 생성하기

router table에 경로(route) 추가하기

Firewall에서 application rule 구성하기

Firewall에서 network rule 구성하기

테스트하기

 

2. Azure Domain Name Sercver

Domains and Custom Domains

• Domains and Custom Domains

Create a Directory

• 기본적으로 Azure 구독을 만들 때 Entra ID 도메인이 생성된다.

  • 초기 도메인 이름의 양식은 domainname.onmicrosoft.com

• 도메인 이름은 사용자 지정/변경할 수 있다.

• 사용자 지정 이름(Custom domain name)을 추가한 후에는 반드시 확인해야 한다.

 

Custom Domain Name 확인하기

• Custom Domain Name 확인하기

Custom Domain Name 확인하기

• 확인 시 도메인 이름 소유권이 표시된다.

• Azure에서 제공하는 DNS 레코드(MX 또는 TXT)를 회사의 DNS zone에 추가한다.

• Azure는 DNS 도메인에 레코드 유무를 조회한다.

  • 이 과정에는 몇 분이 걸리며, 길게는 몇 시간이 걸릴 수도 있다.

 

DNS Zone 생성하기

• DNS Zone 생성하기

DNS Zone 생성하기

• DNS Zone은 도메인에 대한 DNS 레코드를 저장한다.

• Zone 이름은 Resource Group 내에서 고유해야 한다.

• 여러 Zone이 동일한 이름을 공유하는 경우 각 인스턴스에 다른 이름 서버 주소가 할당된다.

• 루트/부모 도메인은 등록 기관에 등록되어 Azure NS를 가리킵니다.

 

DNS Record Set

• DNS Record Sets

Add Record Set

• Record set은 이름과 유형이 같은 zone의 레코드 컬렉션

• 모든 Record set에는 최대 20개의 레코드를 추가할 수 있다.

• Record set에는 두 개의 동일한 레코드가 포함될 수 없다.

 

Private Domain 용 DNS

• Private Domain 용 DNS

Private Domain용 DNS

• VNet에 존재하는 VM간의 통신에 사용하는 Name Resolution Service

• Private Domain Name을 생성한 후 VNet과 연결하면 해당 VNet에 연결된 VM들은 자동으로 자신의 IP와

   Hostname을 Private DNS에 등록한다.

• 이렇게 되면 VM간의 통신할 때 hostname으로 통신해도 Private DNS가 IP를 알려주므로 통신하는데 편리하다.