BEHWANG

ㅁ 연습 시나리오

    작업 1: 가상 네트워크 만들기

    작업 2: 서비스 엔드포인트 사용

    작업 3: 서브넷에 대한 네트워크 액세스 제한

    작업 4: 다른 아웃바운드 규칙 추가

    작업 5: RDP 연결을 위한 액세스 허용

    작업 6: 리소스에 대한 네트워크 액세스 제한

    작업 7: 스토리지 계정에 파일 공유 만들기

    작업 8: 서브넷에 대한 네트워크 액세스 제한

    작업 9: 가상 머신 만들기

    작업 10: 스토리지 계정에 대한 액세스 확인

     1. Azure Portal에 로그인합니다.

     2. Azure Portal 홈페이지에서 가상 네트워크를 검색한 다음, 결과에서 가상 네트워크를 선택합니다.

     3. + 만들기를 선택합니다.

     4. 다음 정보를 입력하거나 선택합니다. 

      5. IP 주소 탭을 선택하고 다음 값을 입력합니다(서브넷 이름을 변경하려면 기본값 선택). 

      6. 보안 탭을 선택하고 다음 값을 입력합니다. ![그래픽 사용자 인터페이스, 텍스트, 애플리케이션, 메일 자동 생성된 설명]

           (../media/ create-virtual-network-security.png)

       7. 검토 + 만들기를 선택합니다. 리소스의 유효성을 검사한후 만들기를 선택합니다.

     1. 포털 상단의 리소스, 서비스 및 문서 검색 상자에 CoreServicesVNet을 입력합니다. 검색 결과에 CoreServicesVNet이 나타

         나면 이를 선택합니다.

     2. 가상 네트워크에 서브넷을 추가합니다. 다음 그림과 같이 설정에서 서브넷을 선택한 후 + 서브넷을 선택합니다. 

     3. 서브넷 추가에서 다음 정보를 선택하거나 입력합니다.

     4. 저장을 선택합니다.

     1. 포털 상단의 리소스, 서비스 및 문서 검색 상자에 보안 그룹을 입력합니다. 네트워크 보안 그룹이 검색 결과에 표시되면 선택

         합니다.

     2. 네트워크 보안 그룹에서 + 만들기를 선택합니다.

     3. 다음 정보를 입력하거나 선택합니다.설정값

     4. 검토 + 만들기, 만들기를 차례로 선택합니다.

     5. ContosoPrivateNSG 네트워크 보안 그룹을 만든 후 리소스로 이동을 선택합니다.

     6. 설정에서 아웃바운드 보안 규칙을 선택합니다.

     7. +추가를 선택합니다.

     8. Azure Storage 서비스에 대해 아웃바운드 통신을 허용하는 규칙을 만듭니다. 다음 정보를 입력하거나 선택합니다. 

      9. 추가를 선택합니다.

     1. 아웃바운드 보안 규칙에서 +추가를 선택합니다.

     2. 다음 정보를 입력하거나 선택합니다. 

      3. 추가를 선택합니다.

     1. ContosoPrivateNSG | 아웃바운드 보안 규칙의 설정에서 인바운드 보안 규칙을 선택합니다.

     2. +추가를 선택합니다.

     3. 인바운드 보안 규칙 추가에서 다음 값을 입력합니다. 

      4. 그런 후 추가를 선택합니다.

      5. 설정에서 서브넷을 선택합니다.

      6. + 연결을 선택합니다.

      7. 서브넷 연결에서 가상 네트워크 를 선택한 후 가상 네트워크 선택에서 CoreServicesVNet을 선택합니다.

      8. 서브넷 선택에서 프라이빗을 선택한 다음, 확인을 선택합니다.

     1. Azure Portal에서 스토리지 계정을 선택합니다.

     2. +만들기를 선택합니다.

     3. 다음 정보를 입력하거나 선택하고, 나머지 기본값을 그대로 적용합니다.

      4. 검토를 선택한 다음 만들기를 선택합니다.

     1. 스토리지 계정이 만들어진 후에 포털 맨 위에 있는 리소스, 서비스 및 문서 검색 상자에 스토리지 계정의 이름을 입력합니다.

         스토리지 계정의 이름이 검색 결과에 표시되면 선택합니다.

     2. 다음 그림과 같이 파일 공유를 선택합니다. 

      3. + 파일 공유를 선택합니다.

      4. 이름 아래에 마케팅을 입력하고 다음: 백업을 선택합니다. 

     5. 다음 그림과 같이 백업 사용을 선택 취소합니다. 

     6. 검토 + 만들기를 선택합니다. 리소스의 유효성을 검사한후 만들기를 선택합니다.

     1. 스토리지 계정에 대한 보안 + 네트워킹에서 네트워킹을 선택합니다.

     2. 선택한 가상 네트워크 및 IP 주소에서 사용을 선택합니다.

     3. + 기존 가상 네트워크 추가를 선택합니다.

     4. 네트워크 추가에서 다음 값을 선택합니다. 

     5. 추가를 선택합니다.

     6. 저장을 선택합니다.

     7. 스토리지 계정에 대한 보안 및 네트워킹에서 액세스 키를 선택합니다.

     8. 키 표시를 선택합니다. 이후 단계에서 파일 공유를 VM의 드라이브 문자에 매핑할 때도 수동으로 입력해야 하므로 키 값을 적

         어둡니다.

     1. Azure Portal 오른쪽 상단에 있는 Cloud Shell 아이콘을 선택합니다. 필요한 경우 셸을 구성합니다.

         - PowerShell을 선택합니다.

         - 스토리지 계정이 필요하지 않음과 구독을 선택한 다음 적용을 선택합니다.

         - 터미널이 생성되고 프롬프트가 표시될 때까지 기다립니다.

     2. Cloud Shell 창의 도구 모음에서 파일 관리 아이콘을 선택하고 드롭다운 메뉴에서 업로드를 선택한

         후 VMs.json 및 VMs.parameters.json 파일을 소스 폴더 F:\Allfiles\Exercises\M07에서 하나씩 Cloud Shell

         홈 디렉토리로 업로드합니다.

     3. 다음 ARM 템플릿을 배포하여 이 연습에 필요한 VM을 만듭니다.

     4. 배포가 완료되면 Azure Portal 홈페이지로 이동한 다음 가상 머신을 선택합니다.

     1. ContosoPrivate VM에서 만들기가 완료되면 리소스로 이동을 선택하여 VM 블레이드를 엽니다. 연결 단추를 선택한 후 RDP

         를 선택합니다. 

    2. 연결 단추 및 RDP를 선택한 후 RDP 파일 다운로드 단추를 선택합니다. 원격 데스크톱 프로토콜(.rdp) 파일이 만들어지고 컴

        퓨터에 다운로드됩니다.

   3. 다운로드한 rdp 파일을 엽니다. 메시지가 표시되면 연결을 선택합니다. VM을 만들 때 지정한 사용자 이름과 암호를 입력합니

        다. 추가 선택 사항, 다른 계정 사용을 차례로 선택하여 VM을 만들 때 입력한 자격 증명을 지정해야 할 수도 있습니다.

   4. 확인을 선택합니다.

   5. 로그인 프로세스 중에 인증서 경고가 나타날 수 있습니다. 경고 메시지가 표시되면 예 또는 계속을 선택하여 연결을 계속

   6. ContosoPrivate VM에서 PowerShell을 사용하여 Azure 파일 공유를 Z 드라이브에 매핑합니다. 다음 명령을 실행하기 전에 ,

        (즉, contosostoragexx), my-file-share(즉, 스토리지 계정 만들기 작업에서 입력했거나 가져온 값으로 바꿉니다.

                                           Azure 파일 공유가 Z 드라이브에 매핑되었습니다.

   7. 명령 프롬프트에서 VM에 인터넷으로의 아웃바운드 연결이 설정되어 있지 않음을 확인합니다.

         ping bing.com 프라이빗 서브넷에 연결된 네트워크 보안 그룹이 인터넷에 대한 아웃바운드 액세스를 허용하지 않아 응답이

        수신되지 않습니다.

  8. ContosoPrivate VM에 대한 원격 데스크톱 세션을 닫습니다.

   1. 포털 상단의 리소스, 서비스, 문서 검색 상자에 ContosoPublic을 입력합니다.

   2. 검색 결과에 ContosoPublic이 표시되면 선택합니다.

   3. ContosoPublic VM용 스토리지 계정 작업에 대한 액세스 확인에서 1~6단계를 완료합니다.

   4. 퍼블릭 VM이 명령 프롬프트에서 인터넷에 아웃바운드 연결되었는지 확인합니다.

       ping bing.com

   5. ContosoPublic VM에 대한 원격 데스크톱 세션을 닫습니다.

   6. 컴퓨터에서 Azure Portal로 이동합니다.

   7. 리소스, 서비스 및 문서 검색 상자에 만든 스토리지 계정의 이름을 입력합니다. 스토리지 계정의 이름이 검색 결과에 표시되면

       선택합니다.

   8. 파일 공유를 선택한 다음, 마케팅 파일 공유를 선택합니다.

   9. 다음 스크린샷에 표시된 오류가 발생합니다.

     1. Azure Portal의 Cloud Shell 창에서 PowerShell 세션을 엽니다.

     2. 다음 명령을 실행하여 이 모듈의 랩 전체에서 만든 모든 리소스 그룹을 삭제합니다.

Remove-AzResourceGroup -Name 'myResourceGroup' -Force -AsJob

    - 작업 1: 리소스 그룹 만들기

    - 작업 2: DDoS 보호 계획 만들기

    - 작업 3: 새 가상 네트워크에서 DDoS Protection을 사용하도록 설정

    - 작업 4: DDoS 원격 분석 구성

    - 작업 5: DDoS 진단 로그 구성

    - 작업 6: DDoS 경고 구성

    - 작업 7: 시뮬레이션 파트너와 함께 테스트

     1. Azure 계정에 로그인

     2. Azure Portal 홈페이지에서 리소스 그룹을 선택합니다.

     3. 만들기를 선택합니다.

     4. 기본 사항 탭의 리소스 그룹에 MyResourceGroup을 입력합니다.

     5. 지역에서 미국 동부를 선택합니다.

     6. 검토 + 만들기를 선택합니다.

     7. 만들기를 선택합니다.

     1. Azure Portal 홈페이지에서 검색 상자에 DDoS를 입력한 다음, DDoS 보호 계획이 표시되면 선택합니다.

     2. + 만들기를 선택합니다.

     3. 기본 사항 탭의 리소스 그룹 목록에서 방금 만든 리소스 그룹을 선택합니다.

     4. 인스턴스 이름 상자에 MyDdoSProtectionPlan을 입력한 다음, 검토 + 만들기를 선택합니다.

     5. 만들기를 선택합니다.

     1. Azure Portal 홈페이지에서 리소스 만들기를 선택하고, 검색 상자에 Virtual Network를 입력한 다음, Virtual

         Network가 표시되면 선택합니다.

     2. Virtual Network 페이지에서 생성를 선택합니다.

     3. 기본 사항 탭에서 이전에 만든 리소스 그룹을 선택합니다.

     4. 이름 상자에 MyVirtualNetwork를 입력한 다음, 보안 탭을 선택합니다.

     5. 보안 탭의 DDoS 네트워크 보호 옆에서 사용을 선택합니다.

     6. DDoS 보호 계획 드롭다운 목록에서 MyDdosProtectionPlan을 선택합니다.

     7. 검토 + 만들기를 선택합니다.

     8. 만들기를 선택합니다.

     1. Azure Portal 홈페이지에서 리소스 만들기를 선택하고, 검색 상자에 공용 IP를 입력한 다음, 공용 IP 주소가 표시되면

         선택합니다.

     2. 공용 IP 주소 페이지에서 만들기를 선택합니다.

     3. 공용 IP 주소 만들기 페이지의 SKU 아래에서 표준을 선택합니다.

     4. 이름 상자에 MyPublicIPAddress를 입력합니다.

     5. IP 주소 할당 아래에서 정적을 선택합니다.

     6. DNS 이름 레이블에 mypublicdnsxx를 입력합니다(xx에는 고유한 사용자 이니셜 입력).

     7. 만들기를 실행합니다.

     8. 원격 분석을 설정하려면 Azure 홈페이지로 이동하여 모든 리소스를 선택합니다.

     9. 리소스 목록에서 MyDdosProtectionPlan을 선택합니다.

   10. 모니터링 아래에서 메트릭을 선택합니다.

   11. 범위 상자를 선택하고 MyPublicIPAddress 옆에 있는 확인란을 선택합니다.

   12. 적용을 선택합니다.

   13. 메트릭 상자에서 Inbound packets dropped DDoS를 선택합니다.

   14. 집계 상자에서 최댓값을 선택합니다.

     1. Azure 홈페이지에서 모든 리소스를 선택합니다.

     2. 리소스 목록에서 MyPublicIPAddress를 선택합니다.

     3. 모니터링 아래에서 진단 설정을 선택합니다.

     4. 진단 설정 추가를 선택합니다.

     5. 진단 설정 페이지의 진단 설정 이름 상자에 MyDiagnosticSetting을 입력합니다.

     6. 범주 세부 정보에서 3개의 로그 확인란 모두와 AllMetrics 확인란을 선택합니다.

     7. 대상 세부 정보에서 Log Analytics 작업 영역에 보내기 확인란을 선택합니다. 여기에서 기존 Log Analytics 작업 영역

         을 선택할 수 있지만 진단 로그에 대한 대상을 아직 설정하지 않았으므로, 설정을 입력하고 이 연습의 다음 단계에서

         삭제하겠습니다.

      8. 일반적으로 이제 저장을 선택하여 진단 설정을 저장할 수 있습니다. 그러나 아직 설정 구성을 완료할 수 없기 때문에

          이 옵션은 회색으로 표시됩니다.

      9. 취소를 선택하고 예를 선택합니다.

1. Azure Portal 홈페이지에서 리소스 만들기를 선택하고, 검색 상자에 가상 머신을 입력한 다음, 가상 머신이 표시되면 선

    택합니다.

2. 가상 머신페이지에서 만들기를 선택합니다.

3. 기본 사항 탭에서 아래 표의 정보를 사용하여 새 VM을 만듭니다.

      4. 검토 + 만들기를 선택합니다.

      5. 만들기를 선택합니다.

      6. 새 키 쌍 생성 대화 상자에서 프라이빗 키 다운로드 및 리소스 만들기를 선택합니다. 

      7. 프라이빗 키를 저장합니다.

      8. 배포가 완료되면 리소스로 이동을 선택합니다.

      1. 새 가상 머신의 개요 페이지에 있는 설정 아래에서 네트워킹을 선택합니다.

      2. 네트워크 인터페이스 옆에서 myvirtualmachine-nic를 선택합니다. nic의 이름이 다를 수 있습니다.

      3. 설정에서 IP 구성을 선택합니다.

      4. ipconfig1을 선택합니다.

      5. 공용 IP 주소 목록에서 MyPublicIPAddress를 선택합니다.

      6. 저장을 선택합니다.

      1. Azure 홈페이지에서 모든 리소스를 선택합니다.

      2. 리소스 목록에서 MyPublicIPAddress를 선택합니다.

      3. 모니터링에서 경고를 선택합니다.

      4. 경고 규칙 만들기를 선택합니다.

      5. 경고 규칙 만들기 페이지의 범위 아래에서 리소스 편집을 선택합니다.

      6. 신호 이름으로 DDoS 공격을 받고 있는지 여부를 선택합니다.

      7. 경고 논리에서 연산자 설정을 찾아 크거나 같음을 선택합니다.

      8. 임계값에 1을 입력합니다(공격을 받고 있음을 의미).

      9. 세부 정보 탭으로 이동하여 경고 규칙 이름을 선택하고 MyDdosAlert를 입력합니다.

     10. 경고 규칙 만들기를 선택합니다.

     1.  Azure DDoS 시뮬레이션 테스트 정책 검토

     2. 승인된 테스트 파트너를 사용하여 DDoS 테스트 공격을 구성합니다. BreakingPoint Cloud를 사용하여 테스트하는 경

         우 아래 스크린샷의 설정을 사용해야 하지만(평가판 계정에서는 100k pps 테스트 크기를 선택해야 할 수 있음) 대상

         IP 주소 상자 

         에서 고유한 MyPublicIPAddress 리소스의 IP 주소(예: 51.140.137.219)를 지정합니다.

     3. Azure Portal 홈페이지에서 모든 리소스를 선택합니다.

     4. 리소스 목록에서 MyPublicIPAddress 리소스를 선택한 다음 모니터링 아래에서 메트릭을 선택합니다.

     5. 메트릭 상자의 목록에서 Under DDoS attack or not(DDoS 공격 진행 여부)을 선택합니다.

     6. 이제 DDoS 공격이 발생한 것을 볼 수 있습니다. 결과가 표시되는 데 10분이 걸릴 수 있습니다.

1. Azure Portal의 Cloud Shell 창에서 PowerShell 세션을 엽니다.

2. 다음 명령을 실행하여 이 모듈의 랩 전체에서 만든 모든 리소스 그룹을 삭제합니다.

     - 작업 1: 2개의 스포크 가상 네트워크 및 서브넷 만들기

     - 작업 2: 보안 가상 허브 만들기

     - 작업 3: 허브 및 스포크 가상 네트워크 연결

     - 작업 4: 서버 배포

     - 작업 5: 방화벽 정책 만들기 및 허브 보안

     - 작업 6: 방화벽 정책 연결

     - 작업 7: 허브로 트래픽 라우팅

     - 작업 8: 애플리케이션 규칙 테스트

     - 작업 9: 네트워크 규칙 테스트

     - 작업 10: 리소스 정리

     1. Azure Portal 홈페이지에서 검색 상자에 가상 네트워크를 입력한 다음, 가상 네트워크가 표시되면 선택합니다.

     2. 만들기를 실행합니다.

     3. 리소스 그룹에서 새로 만들기를 선택하고, 이름으로 fw-manager-rg를 입력하고, 확인을 선택합니다.

     4. 이름에 Spoke-01을 입력합니다.    

     5. 지역에서 지역을 선택합니다.

     6. 다음: IP 주소를 선택합니다.

     7. IPv4 주소 공간에 10.0.0.0/16을 입력합니다.

     8. 여기에 나열된 다른 주소 공간(예: 10.1.0.0/16)을 삭제합니다.

     9. 서브넷 이름 아래에서 기본값이라는 단어를 선택합니다.

   10. 서브넷 편집 대화 상자에서 이름을 Workload-01-SN으로 변경합니다.

   11. 서브넷 주소 범위를 10.0.1.0/24로 변경합니다.

   12. 저장을 선택합니다.

   13. 검토 + 만들기를 선택합니다.

   14. 만들기를 선택합니다.

   위의 1~14단계를 반복하여 또 다른 유사한 가상 네트워크 및 서브넷을 만듭니다. 단, 다음 정보를 사용합니다.

    - 리소스 그룹: fw-manager-rg(기존 그룹 선택)

    - 이름: Spoke-02

    - 주소 공간: 10.1.0.0/16 - (기타 나열된 주소 공간 모두 삭제)

    - 서브넷 이름: Workload-02-SN

    - 서브넷 주소 범위: 10.1.1.0/24

    1. Azure Portal 홈 페이지에서 모든 서비스를 선택합니다.

    2. 검색 상자에 firewall manager를 입력하고 Firewall Manager가 표시되면 선택합니다.

    3. Firewall Manager 페이지의 개요 페이지에서 보안 가상 허브 보기를 선택합니다.

    4. 가상 허브 페이지에서 새 보안 가상 허브 만들기를 선택합니다.

    5. 리소스 그룹에 대해 fw-manager-rg를 선택합니다.

    6. 지역에서 지역을 선택합니다.

    7. 보안 가상 허브 이름으로 Hub-01을 입력합니다.

    8. 허브 주소 공간에 10.2.0.0/16을 입력합니다.

    9. 새 vWAN을 선택합니다.

  10. Virtual WAN 이름에 Vwan-01을 입력합니다.

  11. 다음: Azure Firewall을 선택합니다. 

   12. 다음: 보안 파트너 공급자를 선택합니다.

   13. 완료되면 다음: 리뷰 + 만들기를 클릭합니다.

   14. 만들기를 실행합니다.

   15. 배포가 완료되면 Azure Portal 홈페이지에서 모든 서비스를 선택합니다.

   16. 검색 상자에 firewall manager를 입력하고 Firewall Manager가 표시되면 선택합니다.

   17. Firewall Manager 페이지에서 가상 허브를 선택합니다.

   18. Hub-01을 선택합니다.

   19. 공용 IP 구성을 선택합니다.

   20. 나중에 사용할 공용 IP 주소(예: 51.143.226.18)를 적어 둡니다.

     1. Azure Portal 홈페이지에서 리소스 그룹을 선택합니다.

     2. fw-manager-rg 리소스 그룹을 선택한 다음, Vwan-01 가상 WAN을 선택합니다.

     3. 연결에서 가상 네트워크 연결을 선택합니다.

     4. 연결 추가를 선택합니다.

     5. 연결 이름에 hub-spoke-01을 입력합니다.

     6. 허브에 대해 Hub-01을 선택합니다.

     7. 리소스 그룹에 대해 fw-manager-rg를 선택합니다.

     8. 가상 네트워크에 대해 Spoke-01을 선택합니다.

     9. 만들기를 실행합니다. 

      10.  위의 4~9단계를 반복하여 다른 유사한 연결을 만들되, hub-spoke-02라는 연결 이름을 사용하여 Spoke-02 가상

             네트워크에 연결합니다.

     1. Azure Portal 오른쪽 상단에 있는 Cloud Shell 아이콘을 선택합니다. 필요한 경우 셸을 구성합니다.

         - PowerShell을 선택합니다.

         - 스토리지 계정이 필요하지 않음과 구독을 선택한 다음 적용을 선택합니다.

         - 터미널이 생성되고 프롬프트가 표시될 때까지 기다립니다.

      2. Cloud Shell 창의 도구 모음에서 파일 관리 아이콘을 선택하고 드롭다운 메뉴에서 업로드를 선택한

          후 FirewallManager.json 및 FirewallManager.parameters.json 파일을 소스 폴더 F:\Allfiles\Exercises\M06에서

          Cloud Shell 홈 디렉토리로 하나씩 업로드합니다.

      3. 다음 ARM 템플릿을 배포하여 이 연습에 필요한 VM을 만듭니다.

      4. 배포가 완료되면 Azure Portal 홈페이지로 이동한 다음 가상 머신을 선택합니다.

      5. Srv-workload-01의 개요 페이지에서 오른쪽 창의 네트워킹 섹션 아래에 있는 개인 IP 주소(예: 10.0.1.4)를 기록해

          둡니다.

      6. Srv-workload-02의 개요 페이지에서 오른쪽 창의 네트워킹 섹션 아래에 있는 개인 IP 주소(예: 10.1.1.4)를 기록해              둡니다.

     1. Azure Portal 홈페이지에서 Firewall Manager를 선택합니다.

         - Firewall Manager 아이콘이 홈페이지에 표시되지 않으면 모든 서비스를 선택합니다. 그런 다음 검색 상자에 

           firewall manager를 입력하고 Firewall Manager가 표시되면 선택합니다.

     2. Firewall Manager의 개요 페이지에서 Azure Firewall 정책 보기를 선택합니다.

     3. Azure Firewall 정책 만들기를 선택합니다.

     4. 리소스 그룹에서 fw-manager-rg를 선택합니다.

     5. 정책 세부 정보에서 이름에 대해 Policy-01을 입력합니다.

     6. 지역에서 지역을 선택합니다.

     7. 가격 책정 계층에서 표준을 선택합니다.

     8. 다음: DNS 설정을 선택합니다.

     9. 다음: TLS 검사(미리 보기) 를 선택합니다.

   10. 다음: 규칙을 선택합니다.

   11. 규칙 탭에서 규칙 컬렉션 추가를 선택합니다.

   12. 규칙 컬렉션 추가 페이지에서 이름에 App-RC-01을 입력합니다.

   13. 규칙 컬렉션 유형에 대해 애플리케이션을 선택합니다.

   14. 우선 순위에 대해 100을 입력합니다.

   15. 규칙 컬렉션 작업이 허용인지 확인합니다.

   16. 규칙에서 이름에 Allow-msft를 입력합니다.

   17. 원본 유형에 대해 IP 주소를 선택합니다.

   18. 원본에 대해 *를 입력합니다.

   19. 프로토콜에 대해 http,https를 입력합니다.

   20. 대상 유형이 FQDN인지 확인합니다.

   21. 대상에 대해 *.microsoft.com을 입력합니다.

   22. 추가를 선택합니다.

  23. 원격 데스크톱을 Srv-workload-01 VM에 연결할 수 있도록 DNAT 규칙을 추가하려면 규칙 컬렉션 추가를 선택합니다.

  24. 이름에 대해 dnat-rdp를 입력합니다.

  25. 규칙 컬렉션 형식에 대해 DNAT를 선택합니다.

  26. 우선 순위에 대해 100을 입력합니다.

  27. 규칙에서 이름에 Allow-rdp를 입력합니다.

  28. 원본 유형에 대해 IP 주소를 선택합니다.

  29. 원본에 대해 *를 입력합니다.

  30. 프로토콜의 경우 TCP를 선택합니다.

  31. 대상 포트에 대해 3389를 입력합니다.

  32. 대상 유형에 대해 IP 주소를 선택합니다.

  33. 대상에 대해 앞에서 적어 둔 방화벽 가상 허브 공용 IP 주소(예: 51.143.226.18)를 입력합니다.

  34. 번역된 주소에 대해 앞에서 적어 둔 Srv-workload-01의 개인 IP 주소(예: 10.0.1.4)를 입력합니다.

  35. 변역된 포트에 대해 3389를 입력합니다.

  36. 추가를 선택합니다.

  37. Srv-workload-01에서 Srv-workload-02 VM으로 원격 데스크톱을 연결할 수 있도록 네트워크 규칙을 추가하려면 규칙          컬렉션 추가를 선택합니다.

  38. 이름에 vnet-rdp를 입력합니다.

  39. 규칙 컬렉션 형식에 대해 네트워크를 선택합니다.

  40. 우선 순위에 대해 100을 입력합니다.

  41. 규칙 컬렉션 작업에 대해 허용을 선택합니다.

  42. 규칙에서 이름에 Allow-vnet을 입력합니다.

  43. 원본 유형에 대해 IP 주소를 선택합니다.

  44. 원본에 대해 *를 입력합니다.

  45. 프로토콜의 경우 TCP를 선택합니다.

  46. 대상 포트에 대해 3389를 입력합니다.

  47. 대상 유형에 대해 IP 주소를 선택합니다.

  48. 대상에 대해 앞에서 적어 둔 Srv-workload-02에 대한 개인 IP 주소(예: 10.1.1.4)를 입력합니다.

  49. 추가를 선택합니다.

  50. 이제 세 개의 규칙 컬렉션이 나열됩니다.

  51. 검토 + 만들기를 선택합니다.

  52. 만들기를 선택합니다.

     1. Azure Portal 홈페이지에서 Firewall Manager를 선택합니다.

         - Firewall Manager 아이콘이 홈페이지에 표시되지 않으면 모든 서비스를 선택합니다. 그런 다음 검색 상자         

           에 firewall manager를 입력하고 Firewall Manager가 표시되면 선택합니다.

     2. Firewall Manager의 보안에서 Azure Firewall 정책을 선택합니다.

     3. Policy-01에 대한 확인란을 선택합니다.

     4. 연결 관리>허브 연결을 선택합니다.

     5. Hub-01에 대한 확인란을 선택합니다.

     6. 추가를 선택합니다.

     7. 정책이 연결되면 새로 고침을 선택합니다. 연결이 표시됩니다.

     1. Firewall Manager에서 가상 허브를 선택합니다.

     2. Hub-01을 선택합니다.

     3. 설정에서 보안 구성을 선택합니다.

     4. 인터넷 트래픽에서 Azure Firewall을 선택합니다.

     5. 프라이빗 트래픽에서 Azure Firewall을 통해 보내기를 선택합니다.

     6. 저장을 선택합니다.

     7. 작업을 완료하는 데 몇 분 정도 걸립니다.

     8. 구성이 완료되면 인터넷 트래픽 및 프라이빗 트래픽 아래에서 허브-스포크 연결 모두에 대해 Azure Firewall로 보호             됨이 표시되는지 확인합니다.

     1. PC에서 원격 데스크톱 연결을 엽니다.

     2. 컴퓨터 상자에 방화벽의 공용 IP 주소(예: 51.143.226.18)를 입력합니다.

     3. 옵션 표시를 선택합니다.

     4. 사용자 이름 상자에 TestUser를 입력합니다.

     5. 연결을 선택합니다.

     6. 사용자 인증 정보 입력 대화 상자에서 배포 시 제공한 암호를 사용하여 Srv-workload-01 서버 가상 머신에 로그인

         합니다.

     7. 확인을 선택합니다.

     8. 인증서 메시지에서 예를 선택합니다.

     9. Internet Explorer를 열고 Internet Explorer 11 설정 대화 상자에서 확인을 선택합니다.

   10. https:// <www.microsoft.com> 으로 이동합니다.

   11. 보안 경고 대화 상자에서 확인을 선택합니다.

   12. Internet Explorer 보안 경고가 나타나면 닫기를 선택합니다.

   13. Microsoft 홈페이지가 표시됩니다.

    14. https:// <www.google.com> 으로 이동합니다.

    15. 방화벽에서 차단해야 합니다.

    16. 허용된 하나의 FQDN에 연결할 수 있지만 다른 모든 것으로부터 차단된다는 것을 확인했습니다.

     1. Srv-workload-01 RDP 세션에 로그인하는 동안 이 원격 컴퓨터에서 원격 데스크톱 연결을 엽니다.

     2. 컴퓨터 상자에 Srv-workload-02의 개인 IP 주소(예: 10.1.1.4)를 입력합니다.

     3. 사용자 인증 정보 입력 대화 상자에서 사용자 이름 TestUser와 배포 중에 제공한 암호를 사용하여 Srv-workload-

          02 서버에 로그인합니다.

     4. 확인을 선택합니다.

     5. 인증서 메시지에서 예를 선택합니다.

     6. 한 서버에서 다른 가상 네트워크에 있는 다른 서버로 원격 데스크톱을 연결한 후 방화벽 네트워크 규칙이 작동하는             것을 확인했습니다.

     7. 두 RDP 세션을 모두 닫고 연결을 끊습니다.

     1. Azure Portal의 Cloud Shell 창에서 PowerShell 세션을 엽니다.

      2. 다음 명령을 실행하여 이 모듈의 랩 전체에서 만든 모든 리소스 그룹을 삭제합니다.