- Defense in Depth (심층방어)
- Azure Firewall
Outbound SNAT = 안→밖
Inbound DNAT = 밖→안
- Firewall Rules
- NAT Rules = Port Forwarding (밖→안)
- Application Rules = 웹 관련 rule (안→밖)
- Network Rules = 나머지 rule (안→밖)
- VPN Forced Tunneling
vnet에 있는 서버들이 서브넷으로 나눠져 있음(모두 인터넷 나갈 수 있음) → on-premise와 VPN으로 연결 → on-premise를 거쳐서 인터넷을 나가도록 하는 것을 VPN Forced Tunneling이라고 한다
- User Defined Routes and Network Virtual Appliance
중간에 정보를 수집하기 위한 장치
UDR : 기본 시스템 경로를 재정의, 서브넷과 연결
NVA : 네트워크 간 네트워크 트래픽 흐름을 제어
실습) NVA
Azure는 기본적으로 가상 네트워크 내의 모든 서브넷 간에 트래픽을 라우팅한다. 하지만, 사용자 정의 route를 생성하여 Azure의 기본 라우팅을 재정의할 수 있다.
NVA(Network Virtual Appliance)는 서브넷 간 트래픽을 라우팅하는 경우에 유용하다.
Task 1: Create a route table & Task 2: Create a route
Route Table을 하나 만들고, Route를 추가하여 정의해준다.
10.0.1.0/24로 갈때는 생성한 라우팅 테이블(10.0.2.4)을 거치라고 하는 것이다.
Task 3: Associate a route table to a subnet & Task 4: Add subnets to the virtual network
Task 5: Associate myRouteTablePublic to your Public subnet
생성한 라우팅 테이블과 Public 서브넷을 연결시켜준다.
Task 6: Create an NVA
NVA는 라우팅 및 방화벽 최적화와 같은 네트워크 기능을 지원하는 VM이다.
Task 7: Turn on IP forwarding
NVA VM의 Network Interface와 DMZ를 연결한다.
Task 8: Create public and private virtual machines
각 서브넷(public, private)에 VM을 하나씩 생성한다.(myvmPublic, myvmPrivate)
Task 9: Route traffic through an NVA & Task 10: Enable ICMP through the Windows firewall
Trace route를 위한 ICMP가 Windows 방화벽을 통과하지 않도록 설정한다.
myvmPublic VM도 위와 같은 설정을 해준다!!
Task 11: Turn on IP forwarding within myVmNva
Task 12: Test the routing of network traffic
myVmPublic VM →→ myVmPrivate VM
첫 번째 홉은 10.0.2.4 (myNVA의 IP 주소)
두 번째 홉은 10.0.1.4 (myVmPrivate의 private IP 주소)
Task5의 결과로 트래픽을 myvmPrivate로 직접 전송하지 않고 NVA를 통해 전송한 것을 알 수 있다.
myVmPrivate VM →→ myVmPublic VM으로는 트래픽을 직접 라우팅하는 것을 볼 수 있다.
기본적으로는 서브넷 간에 트래픽을 직접 라우팅하기 때문이다.
'Study > Cloud' 카테고리의 다른 글
AZ500 (Network, Host, Container) (0) | 2022.08.19 |
---|---|
AZ500 (Azure Firewall 구현) (0) | 2022.08.18 |
AZ500 (Hybrid Identity) (0) | 2022.08.18 |
AZ500 (Identity and Access) (0) | 2022.08.17 |
AZ104 (NAT) (0) | 2022.08.12 |