SharedIT | 묻고 답하기(AMP)

방화벽 정책 설정시 동일한 망끼리 정책이 설정 가능한가요?

redhairadol
2021.01.13 () | 0 추천 | 6개의 답변

내부망(존)이 여기저기 퍼져있어 개발서버들은 개발망 하나로, 운영서버들도 운영망 하나로 통합할 계획입니다.


지금 상황을 간단하게 표현하면..


위 처럼 개발1망, 개발2망 이렇게 개발용 서버들이 각자 망에 존재합니다.

그래서 정책 설정시

[개발1망] 개발DB -> [개발2망] 개발웹서버  /  TCP 1433 포트(MS-SQL) 오픈
[개발1망] ALL -> [개발2망] ALL  /  ALL deny
[개발1망] 개발DB -> [업무망] 개발자PC  /  TCP 1433 포트(MS-SQL) 오픈
[개발1망] ALL -> [업무망] ALL  /  ALL deny

위처럼 정책 설정이 되어 있습니다

이 개발1망과 2망을 하나의 망으로 통합하여 

[개발망], [업무망] 이런식으로 통합 계획입니다. 여기서 궁금한 것은

[개발망] 개발DB -> [개발망] 개발웹서버 /  TCP 1433 포트(MS-SQL) 오픈

이렇게 동일한 망끼리 방화벽 정책 설정이 가능한가요?

방화벽 장비는 포티게이트 장비를 사용하고 있습니다.

이게 방화벽 장비의 정책으로 가능한 것인지, 아니면 방화벽이 아닌 서버 자체 방화벽 에서 정책을 따로 먹여야 하는 것인지 궁금합니다. (윈도우즈 서버 사용중이라 아래 그림처럼 윈도우즈 방화벽이 됩니다)


괜히 정책 잘못 먹였다가 꼬일까봐 무서운 상황입니다 ;;;

6개의 답변이 있습니다.

inside07
  0 추천 | 3년 이상 전

방화벽은 보통 내부<->외부 네트워크에 대한 보안 기능을 하죠

내부에서 내부에 대한 네트워크 보안을 설정 할때는 보통 스위치에서  acl 작업을 하는데,

acl 가능한 스위치를 사용하고 계신지 부터 확인을 해보셔야 할 것 같아요 ! 

가능하다면 acl쪽 작업을 하시면 될 거 같고, acl 설정 가능한 스위치가 아니라면 

말씀하셨던대로 윈도우 방화벽 인바운드,아웃바운드 설정 하시면 될 것 같습니다

wansoo
  0 추천 | 3년 이상 전

방화벽은 지나가는 길목에서 감시하는 형태의 제품이 되겠는데요.

어떤 곳에 위치해 있냐에 따라 정책의 효과 여부가 결정될수 있겠고요.

네트워크 방화벽은 네트워크 망과 망 사이에 존재하면서 지나 가는 길목을 지키는 네트워크 장비 형태의 하드웨어 방화벽이 되겠고요.

네트워크 방화벽의 정책 효과가 영향을 미칠 수 있는 범위는 트래픽이 네트워크 방화벽을 지나가냐 지나가지 않냐를 확인해 보면 되겠는데요.

동일망 안의 호스트(컴퓨터 등, IP를 가진 기기)들은 네트워크 방화벽을 거치지 않고 스위치 네트워크 장비를 통해서 호스트들간에 직접 연결해서 통신을 하는 형태이기 때문에 네트워크 방화벽이 제 역할을 하기 어렵고요.

10.10.4.x와 10.10.6.x는 subnet mask 값에 따라 같은 망이 될 수도, 다른 망이 될 수도 있겠는데요.

net mask값이 255.255.0.0일 경우에는 10.10.4.x와 10.10.6.x는 같은 망이 되겠고, net mask  값이 255.255.255.0일 경우에는 다른 망이 되어 서로 통신을 할 수 있으려면 둘을 서로 연결해 줄수 있는 문 역할을 하는 게이트웨이 기기를 통해야 되겠고요.

10.10.4.x와 10.10.6.x 사이에 방화벽을 두어 서로 통신하는 트래픽을 제어하고 싶다면 net mask를 255.255.255.0으로 설정해서 둘 사이에 gateway 장비를 두고, 라우팅 설정을 하고, 방화벽 정책을 설정한다면 서로간의 통신을 제어할 수 있게 만들수 있겠고요.


같은 망안에 있는 호스트들간의 방화벽 정책을 설정하고 싶다면, 네트워크 방화벽을 사용해서는 안되고, 각 컴퓨터에서 작동하는 소프트웨어 방화벽의 정책을 설정하면 되겠고요.

윈도 방화벽이나 Linux의 ipchain, iptable 등의 소프트웨어 방화벽을 이용해서 방화벽 정책을 설정한다면 동일한 네트워크 망에 대해서도 방화벽 정책 효과를 적용할 수 있겠네요.

danis78
  0 추천 | 3년 이상 전 | 제이컴즈 | 010-2871-8756

방화벽에서 동일한 망끼리 정책 설정은 가능하지만 무용지물이겠죠? 

예를 들어 개발 DB 서버에서 개발 웹서버로 접근을 하는데 방화벽 통해서 가지 않잖아요 

즉, 방화벽을 통해서 들어오고 나가는 패킷들만 통제 가능하겠죠 

danis78 | 3년 이상 전

예를 들어 동일한 ip 대역을 사용하지만 방화벽을 거쳐서 나가는 패킷들 

Genghis Khan
  0 추천 | 3년 이상 전

서비스를 위해 웹 과 DB는 별도 존 구성을 해야하고

특정 포트로 연결하면 됩니다

개발 목적으로 웹과 DB를 별도 분리하는건 아닌듯 하구요

같은 클래스ip 대역으로 방화벽 설정은 무의미 합니다 

차바라기
  0 추천 | 3년 이상 전

같은망 IP에 대한 룰정책을 만들어서 외부에서 접속할때 개발서버든 업무망 룰을 적용해주세요~

그런데 회선이 하나면 룰정책으로 나눈다고 해도 크게 변하지 않을듯합니다.

빨간신발
  0 추천 | 3년 이상 전

다른 네트워크로 통신할때 네트워크에서

라우팅 경로를 어떻게 설정하느냐에 따라서

방화벽을 통한 제어 가/부가 결정되겠네요

같은 네트워크에서는 방화벽이 관여하기는 힘들어요

사무실에서 이동하는 것은 정문에서 통제할 수 없는 것과 비슷합니다


원본 페이지 보기