영업: 1-800-867-1380

네트워크 ACL(액세스 제어 목록) 정보

업데이트 날짜: 2014년 10월

네트워크 ACL(액세스 제어 목록)은 Azure 배포를 위해 제공되는 보안 향상 기능입니다. ACL을 사용하면 가상 컴퓨터 끝점에 대해 트래픽을 선택적으로 허용하거나 거부할 수 있습니다. 이러한 패킷 필터링 기능은 추가적인 보안 계층을 제공합니다. 현재까지는 끝점에 대해서만 네트워크 ACL을 지정할 수 있습니다. 가상 네트워크 또는 가상 네트워크에 포함된 특정 서브넷에 대해서는 ACL을 지정할 수 없습니다. ACL은 PowerShell 또는 관리 포털을 사용하여 구성할 수 있습니다. PowerShell을 사용하여 네트워크 ACL을 구성하려면 PowerShell을 사용하여 끝점에 대한 ACL(액세스 제어 목록) 관리를 참조하고, 관리 포털을 사용하여 네트워크 ACL을 구성하려면 가상 컴퓨터에 대한 끝점을 설정하는 방법을 참조하십시오.

Important중요
VM이 VNet에 있는 경우에는 네트워크 ACL이 아닌 NSG(네트워크 보안 그룹)를 구성합니다. NSG는 보다 세부적인 제어 기능을 제공하며, VNet에 배포되는 VM에 대해서만 사용 가능합니다. See 네트워크 보안 그룹 정보.

네트워크 ACL을 사용하면 다음을 수행할 수 있습니다.

  • 원격 서브넷 IPv4 주소 범위를 기반으로 가상 컴퓨터 입력 끝점에 대해 들어오는 트래픽을 선택적으로 허용하거나 거부합니다.

  • 블랙리스트 IP 주소를 작성합니다.

  • 가상 컴퓨터 끝점당 여러 규칙을 만듭니다.

  • 가상 컴퓨터 끝점당 최대 50개의 ACL 규칙을 지정합니다.

  • 지정된 가상 컴퓨터 끝점에 올바른 규칙 집합이 적용되도록 규칙 순서를 사용합니다(낮은 수에서 높은 수의 순서).

  • 특정 원격 서브넷 IPv4 주소에 대해 ACL을 지정합니다.

ACL은 규칙 목록이 포함된 개체입니다. ACL을 만들고 이를 가상 컴퓨터 끝점에 적용하면 VM의 호스트 노드에서 패킷 필터링이 수행됩니다. 즉, 원격 IP 주소로부터 들어오는 트래픽이 VM 대신 일치하는 ACL 규칙에 대한 호스트 노드에서 필터링됩니다. 따라서 VM이 패킷 필터링 시 귀중한 CPU 사이클을 소비하지 않도록 방지합니다.

가상 컴퓨터를 만들면 들어오는 모든 트래픽을 차단하도록 기본 ACL이 배치됩니다. 하지만 포트 3389에 대해 끝점을 만들면 해당 끝점에 대해 모든 인바운드 트래픽을 허용하도록 기본 ACL이 수정됩니다. 그런 다음 모든 원격 서브넷으로부터 인바운드 트래픽이 해당 끝점에 대해 허용되며 방화벽 프로비전은 필요하지 않습니다. 이러한 포트에 대해 끝점을 만들지 않으면 다른 모든 포트의 인바운드 트래픽이 차단됩니다. 아웃바운드 트래픽은 기본적으로 허용됩니다.

예 - 기본 ACL 표

 

규칙 번호 원격 서브넷 Endpoint 허용/거부

100

0.0.0.0/0

3389

허용

"허용" 또는 "거부"를 지정하는 규칙을 만들어서 가상 컴퓨터 입력 끝점에 대해 네트워크 트래픽을 선택적으로 허용하거나 거부할 수 있습니다. 기본적으로 끝점을 만들면 해당 끝점에 대해 모든 트래픽이 거부됩니다. 따라서 가상 컴퓨터 끝점에 연결을 허용하도록 선택한 네트워크 트래픽을 세부적으로 제어하기 위해서는 허용/거부 규칙을 만들고 올바른 우선 순위에 따라 배치하는 방법을 이해해야 합니다.

다음 사항을 고려하십시오.

  1. ACL 없음 – 기본적으로 끝점을 만들면 해당 끝점에 대한 모든 트래픽이 허용됩니다.

  2. 허용 - 하나 이상의 "허용" 범위를 추가하면 기본적으로 다른 모든 범위가 거부됩니다. 허용된 IP 범위의 패킷만 가상 컴퓨터 끝점과 통신할 수 있습니다.

  3. 거부 - 하나 이상의 "거부" 범위를 추가하면 기본적으로 다른 모든 범위의 트래픽이 허용됩니다.

  4. 허용 및 거부 조합 - 허용 또는 거부하려는 특정 IP 범위를 세부적으로 조정하기 위해서는 "허용"과 "거부"를 조합해서 사용할 수 있습니다.

네트워크 ACL은 특정 가상 컴퓨터 끝점에 설정할 수 있습니다. 예를 들어 가상 컴퓨터에서 만든 RDP 끝점에 대해 특정 IP 주소에 대한 액세스를 잠그는 네트워크 ACL을 지정할 수 있습니다. 아래 표에서는 RDP에 대한 액세스를 허용하기 위해 특정 범위의 공용 VIP(가상 IP)에 대한 액세스 권한을 부여하는 방법을 보여줍니다. 다른 모든 원격 IP는 거부됩니다. 여기에서는 가장 낮은 항목 우선 적용 규칙 순서를 따릅니다.

아래 예제에서 두 개의 공용 IPv4 주소 범위(65.0.0.0/8 및 159.0.0.0/8)에 해당하는 RDP 끝점에 대해서만 액세스를 허용하려면 다음 두 개의 허용 규칙을 지정하면 됩니다. 여기에서는 가상 컴퓨터에 대해 기본적으로 RDP가 생성되기 때문에 원격 서브넷을 기반으로 RDP 포트에 대한 액세스를 잠가야 할 수 있습니다. 아래 예제에서는 RDP에 대한 액세스를 허용하기 위해 특정 범위의 공용 VIP(가상 IP)에 대한 액세스 권한을 부여하는 방법을 보여줍니다. 다른 모든 원격 IP는 거부됩니다. 이러한 방식은 네트워크 ACL을 특정 가상 컴퓨터 끝점에 대해 설정할 수 있으며, 액세스가 기본적으로 거부되기 때문에 가능합니다.

예 - 다중 규칙

 

규칙 번호 원격 서브넷 Endpoint 허용/거부

100

65.0.0.0/8

3389

허용

200

159.0.0.0/8

3389

허용

하나의 끝점에 여러 규칙을 지정할 수 있으므로 우선 적용할 규칙을 결정할 수 있도록 규칙을 구성하는 방법이 필요합니다. 우선 순위는 규칙 순서에 따라 지정됩니다. 네트워크 ACL은 가장 낮은 항목 우선 적용 규칙 순서를 따릅니다. 아래 예제에서 포트 80의 끝점에는 특정 IP 주소 범위에 대해서만 액세스 권한이 선택적으로 부여됩니다. 이렇게 구성하려면 175.1.0.1/24 공간의 주소에 대해 거부 규칙(규칙 번호 100)을 설정합니다. 그런 다음 우선 순위 200으로 175.0.0.0/8의 다른 모든 주소에 대해 액세스를 허용하는 두 번째 규칙을 지정합니다.

예 – 규칙 우선 순위

 

규칙 번호 원격 서브넷 Endpoint 허용/거부

100

175.1.0.1/24

80

거부

200

175.0.0.0/8

80

허용

네트워크 ACL은 부하 분산된 집합(LB 집합) 끝점에 지정할 수 있습니다. ACL이 LB 집합에 대해 지정된 경우 해당 LB 집합의 모든 가상 컴퓨터에 대해 네트워크 ACL이 적용됩니다. 예를 들어 LB 집합이 "포트 80"으로 생성되었고 LB 집합에 3개의 VM이 포함되어 있으면 하나의 VM 끝점에 대해 "포트 80"에서 만든 네트워크 ACL이 다른 두 개의 VM에도 자동으로 적용됩니다.

네트워크 ACL 및 부하 분산된 집합

참고 항목

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.
표시:
© 2015 Microsoft