본문 바로가기

Cloud/AZURE

Azure Firewall 개념 정리 (vs Azure NSG)

1. Azure 네트워크 보안 그룹 (NSG) 

예시: 단독 주택에 설치된 단순한 대문

기능: 기본적인 IP와 포트 기준으로 인바운드와 아웃바운드 트래픽을 허용하거나 차단

특징 : 간단하고 가벼운 설정  (상세한 검사나 외부 위협 차단 기능 없음)

제어 계층: 3~4계층 (네트워크 계층, 전송 계층)

  • 3계층 (네트워크 계층): IP 주소
  • 4계층 (전송 계층): 포트 번호와 프로토콜(TCP/UDP)

 

2. Azure Firewall 

예시: 아파트의 중앙 보안 시스템 (공용 출입구, CCTV 모니터링, 출입 허가증 확인까지 수행)

기능:

  • 애플리케이션 및 네트워크 수준 규칙: 단순히 IP 주소뿐만 아니라 도메인 이름이나 애플리케이션 종류에 따라 세밀하게 트래픽을 허용& 차단
  • 위협 인텔리전스 기반 차단: Microsoft에서 제공하는 최신 위협 정보를 통해 알려진 악성 IP나 도메인을 자동으로 차단
  • 상태 기반 보안: 특정 연결의 상태(진행 중인 세션)를 기억해, 합법적인 트래픽을 더 쉽게 허용하고 불법적인 트래픽만 차단

특징: 비용 발생

제어 계층: 3~7계층 (네트워크 계층부터 애플리케이션 계층까지)

  • 3계층 (네트워크 계층)4계층 (전송 계층): IP 주소와 포트
  • 7계층 (애플리케이션 계층): 도메인 이름(FQDN)과 애플리케이션 수준에서 트래픽을 세부적으로 제어

 

 

3. Azure Firewall Policy

Azure Firewall은 작업을 수행하는 인스턴스이며, 정책 관리는 Azure Firewall Policy에서 이루어짐. 

 

< Rules>

3-1. DNAT Rules : DNAT 기반  inbound 허용
3-2. Network Rules : IP 기반 Outbound Allow/Deny
3-3. Application Rules : 도메인 기반 Outbound Allow/Deny