Lab 4b: Deploy Azure Firewall

 

image-20240819-040610.png
작업 1: 가상 네트워크 만들기
  1. virtual network > create

 

image-20240819-041219.png

 

  1. 다음 설정을 입력하고 저장을 클릭합니다.

    • IPv4 주소 공간: 10.0.0.0/16

    • Default(기본값)를 클릭한 후 다음 구성을 입력하고 Save(저장)를 클릭합니다.

    • 서브넷 이름: AzureFirewallSubnet(서브넷 용도 선택: Azure Firewall)

    • 시작 주소: 10.0.0.0/26

  2. Review + Create(검토) + Create(만들기)를 클릭한 다음 Create(만들기)를 클릭합니다

작업 2: 필요한 서브넷 만들기
  1. Azure Portal의 왼쪽 탐색 영역에서 Virtual Network를 선택합니다.

  2. FWVNet 가상 네트워크를 선택합니다.

  3. 왼쪽의 Settings(설정)에서 Subnets(서브넷)를 클릭합니다. + 서브넷을 클릭하여 다음 설정을 사용하여 새 서브넷을 만들고 저장을 클릭합니다.

 

 

작업 3: 점프 상자로 사용할 가상 머신 만들기
  1. Azure Portal 내에서 + 리소스 만들기를 클릭하고 Windows Server 2019 Datacenter에서 만들기를 클릭합니다.

  2. 다음 구성을 지정합니다.

    • 리소스 그룹: AZ-104-M4B-4IDAB92W2U를 선택합니다.

    • 가상 머신 이름: Srv-Jump

    • 지역: (미국) 미국 동부

    • 크기: 중요 - 크기가 표준 D2s v3으로 설정되어 있는지 확인합니다.

    • 사용자 이름:localadmin

    • 비밀번호/비밀번호 확인: fzhvYhuw9R3V0gTv

    • 인바운드 포트 규칙
      공용 인바운드 포트: 선택한 포트
      허용 인바운드 포트 선택: RDP (3389)

  3. 페이지 상단에서 Networking(네트워킹) 탭을 클릭합니다.

    • 가상 네트워크를 FWVNet으로 설정하고 서브넷을 Jump-SN으로 설정합니다.

    • 공용 IP: 아직 만들지 않은 경우 새로 만들기를 클릭하고 이름을 Srv-Jump-ip로 지정한 다음 확인을 클릭합니다.

  4. Review + create(검토) + create(만들기)를 클릭한 다음 Create(만들기)를 클릭합니다.

 

작업 4: 보호된 서버로 사용할 가상 머신 만들기
  1. 다음 값을 사용하여 다른 Windows Server 2019 Datacenter 가상 머신을 만듭니다.

    • 리소스 그룹: AZ-104-M4B-4IDAB92W2U

    • 가상 머신 이름: Srv-Work

    • 지역: 이전과 동일한 지역을 선택합니다.

    • 크기: 중요 - 크기가 표준 D2s v3으로 설정되어 있는지 확인합니다.

    • 사용자 이름: localadmin

    • 비밀번호/비밀번호 확인: fzhvYhuw9R3V0gTv

    • 상단의 네트워킹 탭에서 다음을 수행합니다.

    • 가상 네트워크: FWVNet

    • 서브넷: Workload-SN

    • 공용 IP : 없음

  2. Review + create(검토) + create(만들기)를 클릭한 다음 Create(만들기)를 클릭합니다.

  3. 이 시점에서 필요한 모든 인프라가 준비되었으며 이제 Azure Firewall을 배포합니다.

 

연습 2: Azure Firewall 배포

작업 1: Azure Firewall 배포

다음 설정을 지정하고 검토 + 만들기를 클릭한 다음 만들기를 클릭합니다.

  • 리소스 그룹: AZ-104-M4B-4IDAB92W2U

  • 이름: Azurefu

  • 지역: 이전과 동일한 지역을 사용합니다.

  • 가용 영역: 없음

  • 방화벽 SKU: 표준

  • 방화벽 관리: 방화벽 규칙(클래식)을 사용하여 이 방화벽을 관리합니다.

  • 상 네트워크 선택: 기존 네트워크 사용

  • 가상 네트워크: FWVNet

  • 공용 IP: (새로 추가) azureFirewalls-ip를 누른 다음 확인을 누릅니다.

  • 강제 터널링: 사용 안 함

  1. 방화벽으로 이동하여 개인 IP 주소를 기록해 둡니다.

  2. azureFirewalls-ip를 클릭한 다음, 공용 IP 주소를 기록해 둡니다

작업 2: 기본 경로 테이블 만들기
  1. 포털에서 + 리소스 만들기를 클릭한 다음, Route Table을 검색하여 선택하고 만들기를 클릭합니다.

  2. 다음 구성을 지정하고 Create(만들기)를 클릭합니다.

    • 이름: FW-Route

    • 리소스 그룹: AZ-104-M4B-4IDAB92W2U

    • 지역: 사용하던 지역과 동일한 지역

  3. 경로 테이블이 만들어지면 알림에서 Go to Resource(리소스로 이동)를 클릭하여 방금 만든 경로 테이블을 엽니다.

  4. 왼쪽의 설정에서 서브넷을 선택하고 + 연결을 클릭합니다. 드롭다운에서 FWVNet 가상 네트워크 및 Workload-SN 서브넷을 선택하고 확인을 클릭합니다.

 

 

작업 3: 경로 테이블에 경로 추가
  1. Settings(설정) 아래의 왼쪽에서 Routes(경로)를 클릭하고 + Add(추가)를 클릭합니다.

  2. 다음 구성을 지정하고 Add(추가)를 클릭합니다.

    • 경로 이름: FW-DG

    • 대상 유형: IP 주소

    • 대상 IP 주소/CIDR 범위: 0.0.0.0/0

    • 다음 홉 유형: 가상 어플라이언스

    • 다음 홉 주소: 이전에 기록해 둔 Azure Firewall의 개인 IP 주소입니다

작업 4: 응용 프로그램 규칙 구성
  1. AZ-104-M4B-4IDAB92W2U 리소스 그룹을 열고 Azure Firewall을 선택합니다.

  2. 왼쪽의 설정에서 Rules (classic)를 클릭합니다.

  3. Application rule collection(응용 프로그램 규칙 수집) 탭을 클릭한 다음 + Add application rule collection(응용 프로그램 규칙 수집 추가)을 클릭합니다.

  4. 다음 구성을 지정하고 Add(추가)를 클릭합니다.

    • 이름: App-Coll01

    • 우선 순위: 200

    • 작업: 허용

    • 대상 FQDN 섹션에 다음 세부 정보를 입력합니다

      • 이름: AllowGH

      • 원본: 10.0.2.0/24

      • 프로토콜: http, https

      • 대상 FQDN: github.com

 

작업 5: 네트워크 규칙 구성
  1. 네트워크 규칙 수집을 클릭한 다음 + 네트워크 규칙 수집 추가를 클릭합니다.

  2. 다음 구성을 지정하고 Add(추가)를 클릭합니다.

    • 이름: Net-Coll01

    • 우선 순위: 200

    • 작업: 허용

    • Rules (IP Addresses)(규칙(IP 주소)) 섹션에 다음 세부 정보를 입력합니다.

      • 이름: Allow-DNS

      • 프로토콜: UDP

      • 원본: 10.0.2.0/24

      • 대상 주소 : 8.8.8.8,1.1.1.1

      • 대상 포트: 53

 

 

작업 6: 서버 작업 NIC에 대한 DNS 변경
  1. Azure Portal 내의 왼쪽 탐색 영역에서 Virtual Machines를 클릭하고 Srv-Work VM을 엽니다.

  2. 네트워킹 아래 왼쪽의 네트워크 설정을 클릭한 다음 네트워크 인터페이스:라고 표시된 위치에서 srv-workXXX를 클릭하여 네트워크 인터페이스 구성을 엽니다.

  3. 왼쪽의 Settings(설정)에서 DNS Servers(DNS 서버)를 클릭한 다음 Custom(사용자 지정)을 클릭합니다.

  4. 다음 DNS 서버를 추가하고 저장을 클릭합니다.

    • 앞에서 적어 둔 Azure Firewall의 공용 IP 주소입니다

    • 8.8.8.8

    • 1.1.1.1

 

  1. 완료되면 가상 머신 개요 페이지에서 다시 시작을 클릭하여 Srv-Work 가상 머신을 다시 시작합니다.

    이제 방화벽을 테스트합니다

작업 7: 테스트
  1. 개요 블레이드에서 Srv-Work VM의 개인 IP 주소를 적어 둡니다.

  2. srv-jump VM으로 이동합니다. 개요 페이지에서 Connect(연결)를 클릭한 다음 Native RDP(네이티브 RDP)에서 Select(선택)를 클릭합니다. RDP 파일을 다운로드하여 열고 연결을 클릭하고 다음을 사용하여 로그인합니다.

    • 사용자 이름: localadmin

    • 암호: fzhvYhuw9R3V0gTv

  3. Srv-Jump 내에서 Windows 시작 버튼을 클릭하여 원격 데스크톱 클라이언트를 시작한 다음 mstsc.exe를 검색하여 선택합니다.

  4. Srv-Work의 개인 IP 주소를 입력하고, 연결을 클릭하고, 다음 자격 증명을 사용하여 로그인합니다.

    • 사용자 이름: localadmin

    • 암호: fzhvYhuw9R3V0gTv

  5. Srv-Work VM에서 Internet Explorer를 시작하고 다음으로 이동합니다 https://github.com

  6. 이것은 작동합니다 (GitHub가 더 이상 IE를 지원하지 않는다는 오류와 몇 가지 경고가 표시됩니다. 모두 무시할 수 있음)

  7. 이제 다른 사이트를 시도하십시오 : http://abc.com

  8. 일치하는 규칙이 없기 때문에 차단됩니다.