안녕하세요.
오늘은 Fortigate 차세대 방화벽 배포를 위한 Azure 설정을 알아보겠습니다.
이번에 Fortigate를 Azure 환경에 도입할 일이 생겨서 관련하여 공부 겸 블로그에 올려보겠습니다.
# FortiGate란?
FortiGate는 Fortinet이라는 회사에서 만든 차세대 네트워크 방화벽 솔루션입니다.
차세대 방화벽(NGFW)은 기존 전통적인 4 계층 방화벽에서 한 단계 발전된 방화벽으로 단순 IP, Port 기반 제어가 아닌 Application 단위까지 세밀하게 식별하고 제어할 수 있는 방화벽입니다.
따로 Azure에서 Fortigate를 PaaS 형태로 제공하고 있지 않기 때문에 IaaS로 배포해야 합니다.
# 배포 방법
앞서 말씀드렸듯이 IaaS로 배포를 해야 하기 때문에 VM을 배포해야 하는데요.
그렇다고 직접 빈 깡통 리눅스를 올리고 처음부터 끝까지 설치할 필요는 없습니다.
마켓 플레이스에서 제공되고 있기 때문에 해당 이미지로 배포를 하면 됩니다.
배포가 되었다면 NSG에 8443 TCP 포트 인바운드 허용 규칙을 추가해야 합니다.
해당 포트를 통해 FortiGate 관리 웹 인터페이스에 접근이 가능합니다.
그렇게 배포가 완료되었다면 NIC를 하나 더 추가해야합니다.
그 이유는 FortiGate에서는 네트워크를 Untrust와 Trust로 나누어 네트워크를 관리하기 때문입니다.
- Untrust(언트러스트) 서브넷은 신뢰하지 않는 구간, 즉 외부 네트워크나 인터넷과 연결된 부분으로 외부에서 들어오는 모든 트래픽이 불특정 하고 위험할 수 있으므로 엄격한 보안 통제 필요
- Trust(트러스트) 서브넷은 신뢰할 수 있는 내부 네트워크 구간으로, 회사 내부 시스템과 사용자들이 위치하는 곳으로 여기서는 상대적으로 신뢰할 수 있는 트래픽만 허용하고, 내부 자원을 보호
아래와 같은 형태로 하나의 VM을 위해 두 개의 대역이 필요하여 서브넷이 한 개 더 필요하게 되는 것입니다.
NIC를 생성하였으면 추가적인 설정이 필요한대요.
바로 IP 전달 사용입니다.
"IP 전달 사용"은 VM이 자신이 받은 패킷을 다른 대상으로 "전달(Forwarding)"할 수 있도록 하는 설정입니다.
# 이중화
보통 방화벽의 경우 고가용성을 위해 이중화를 합니다.
이런 경우 설정이 더 추가되는데요.
크게 Active - Active와 Active - Passive 두 가지가 있습니다.
Active - Active
Active - Active의 경우 두 방화벽이 모두 활성화되어 있기 때문에
아래 사진과 같이 부하 분산을 시켜줄 LB가 앞단에 있어야 합니다.
그리고 내부에서 밖으로 요청할 때 사용되는 Outbound용 LB도 따로 필요합니다.
Active - Passive
Active - Passive의 경우 다시 두 가지로 나뉘는데요.
LB를 사용하는 방식과 SDN 커넥터를 사용하는 방식으로 나뉩니다.
LB를 사용하는 방법의 경우 위 Active - Active 방식과 큰 차이는 없습니다.
다만 헬스체크용 서브넷(HA Sync)이 따로 필요합니다.
LB는 헬스체크 시 fail 되는 쪽으로는 트래픽을 전송하지 않으므로 평소에 Active 되어 있는 방화벽으로만 전송하다가 만약 Active 중인 방화벽에 문제가 생겨 헬스 체크가 되지 않으면 바로 Passive 중인 방화벽이 활성화되면서 LB가 해당 방화벽으로 트래픽을 보내는 방법입니다.
다른 한 가지 방법은 SDN 커넥터를 사용하는 방법으로 FortiGate가 Azure와 직접 통신하며, VM 상태·IP·라우팅 정보를 API로 자동 관리되는 방법입니다.
해당 방법의 경우 따로 LB를 배포하지 않고도 가능하다는 장점이 있지만 Azure와 API를 통해 직접 통신이 이루어지는 방법이라 페일오버까지 수십 초가 걸린다는 단점이 있습니다.
감사합니다.
참고 자료
HA for FortiGate-VM on Azure | Azure Administration Guide
docs.fortinet.com
FortiGate 배포 가이드 - Microsoft Entra ID
Fortinet FortiGate 차세대 방화벽 제품을 설정하고 사용합니다.
learn.microsoft.com