안녕하세요! 네크워크 초보 어린이 질문드립니다.
보통 기업에서 보안/관리목적으로 망을 여러개로 분리해서 운영하는거로 아는데요,
(예: cloud망, OA망, R&D망)
이렇게 대역대를 분리하고, 실제 망간 통신을 통제하기 위해 분리된 망마다
방화벽을 두는게 일반적인가요?
즉, Cloud망으로의 inbound/outbound 통신 컨트롤을 위한 cloud 방화벽,
oa방화벽, r&d망 방화벽.. 이렇게요.
혹시 중간에 있는 l3, l4 스위치에서 컨트롤 하는 경우는 없을까요? (가능한거로 알고있습니다..!)
감사합니다.
9개의 답변이 있습니다.
분리된 망마다 방화벽을 두는게 정석이지만.
그렇게 되면 관리나 운영이 너무 힘들어지죠.
보통 VLAN이 합리적인 대안이고.
보안이 중요하거나 규정(금감원)때문이면
망연계솔루션과 함께 사용하기도 합니다
같은 건물안에 있다면 L3스위치에 VLAN 구성해서 사용하시면 될 것 같고,
R&D나 공장이 다른 지역에 있다면 방화벽 두면 될 것 같습니다.
일반적으로 방화벽을 두고 DMZ 그리고
아래 L3에서 vlan으로 각 구간별 구성 해주면 됩니다
분리된 내부 네트워크 각각에 방화벽을 두어 관리하는 경우는 많지 않을 걸로 보이네요.
관리에 있어 번거로운점이 가장 많은 구성 방식이 아닐까 싶어 보이고요.
일반적으로 많이 사용하는 내부 네트워크를 분리하는 방법은 다른 분들도 언급한 것 처럼 VLAN을 이용하는 방법이라 생각되고요.
VLAN을 이용한 내부 네트워크 분리도 물리적으로 분리한 것과 거의 같다고 볼 수 있을 것 같고요.
대부분 스위치들이 VLAN을 지원하기 때문에 네트워크 스위치에서 지원하는 기능을 이용하여 내부 네트워크를 분리하는 방법이 일반적이긴 하지만...
VLAN이 모든 스위치들 간에 모두 호환된다는 보증은 하지 못하고, 간혼 VLAN을 지원하지 않은 스위치 장비도 있기 때문에...
호환성에 문제될 가능성은 있어 보이고요.
가장 쉽고, 관리의 편리성을 추구할 수 있는 방법은 IP 대역대를 달리해서 서브넷 마스크를 이용해서 분리하는 방법이 아닐까 하는 생각이 드네요.
물리적인 분리보다는 보안 강도가 낮은 편이긴 하지만...
내부 네트워크를 분리해서 사용하는 용도로는 IP 대역대 분리를 통한 논리적으로 네트워크를 분리해서 사용하는 방식이 관리의 편리성도 있고, 네트워크 스위치의 영향을 받지 않고 사용할 수 있는 장점이 있고... 목적에 따라 유연성 있기 장점을 살려서 사용할 수 있어 가장 괜찮은 방법이 아닐까 하는 생각을 하네요.
일반적인 경우는 VLAN 등으로 엑세스 제어하는 경우가 많습니다.
보안이 민감하거나 중요도가 높은 경우는 core f/w를 망 중간에 두고 통제하구요.
회사의 규모, 망의 중요도에 따라 다르다고 보시면 됩니다.
보통 업무별 부서별 VLAN 구성하고 스위치에서 어느 정도 제한하기 합니다.
꼭 필요한 경우 방화벽 두기도 합니다.
꼭 방화벽을 둘 필요는 없고요.
L3 등으로 접근 제어만 하시면 됩니다.
분리된 망마다 방화벽을 두는 경우도 있지만 꼭 분리된 망마다 방화벽을 구성하지 않아도 됩니다.
대신 현재 망 기준 위치나 구성 등을 사전에 고려하셔야 할 것 같습니다.
기재해주신 망 기준으로 예를 들어 설명 드리자면,
cloud망, OA망, R&D망 중, OA망, R&D망는 본사 기준으로 생각하고 같은 곳에 위치해 있을 경우,
cloud망과 본사 방화벽망(OA망, R&D망) 2개로 나누면 되지 않을까 싶어요
cloud망이야 외부일테니 별도로 구성하시고,
본사 방화벽망 (OA망, R&D망)은 vlan 나눈 다음 L4,L3에서 acl 설정해서 운영하시면
접근 통제 가능하니 방화벽 밑에 L4,L3로 제어하시면 될 것 같습니다.
간혹,정보보안인증 받으면서 아예 분리하라고 하는 경우도 자주 있습니다.
혹시 인증 받고 있는 게 있으면 미리 확인하셔서 진행하시는 게 도움 될 것 같네요 !
보통은 Topology 맨 상단에 방화벽을 두는게 일반적이고, 물리적으로 L3 스위치를 통해 대역을 나누기도 합니다.
VLAN 1이 내부망 172.24.1.XXX 라고 한다면 VLAN 2가 외부망 172.24.2.XXX 이런식으로 나누게 되죠