안녕하세요
사내 작은 망이 있는데, 방화벽을 예전부터 운영만 하고 정책 정리는 안하고 있었습니다.
현재 룰이 너무 많아서 정리를 하고자 하는데, 어디서부터 어디까지해야할지 감이 안오네요
제가 포트,IP를 통계내서 하나하나 정책을 등록하기엔 양이 너무 많고
그래서 현재
1) 망에 있는 솔루션, 벤더사에게 필요 IP와, 포트를 정리해달라고 하여 정책을 세울지
2) 분석해주는 전문 업체가 있다면 의뢰를 해볼까 합니다.
운영하시면서 저와 비슷한 경험을 하신 분들이 많으실거 같은데 많은 조언 부탁드리겠습니다.
7개의 답변이 있습니다.
방화벽 정책 정리는 이론과 다르게 실제로 해보면 막막하여 정해진 답은 없습니다만
저같은 경우는 아래와 같이 작업했습니다.
제조사 별로 다르지만
방화벽내에서 정책 정리를 위한 기능이 기본적으로 제공 하고 있습니다.
1차 작업으로
기간 별 미사용 정책, Shadow 정책(중복, 포함), Any 정책 등을 검색하시어서
삭제 or 미사용으로 변경 후 서비스 확인
이런것들을 먼저 쳐내시고
2차 작업으로
서비스별 정책 그룹핑을 분류 하시는것이 좋습니다.
서버 to 서버 , 지사 통신, 사용자 통신 등등
단위별 서비스를 확인
3차 작업으로
정책 관리 컨셉잡고 변경하는 작업을 합니다.
호스트단위로 만들것인지, 네트워크 단위로 할것인지
DB를 연동해서 할것인지, 객체 그룹핑을 할것인지 등 정하고
디스크립션이나 객체 명 ([용도]_IP끝자리) 을 통힐하여 보기 좋게 합니다.
이렇게 해놓아도 몇달 지나면 다시 지저분해진다는 ..
비슷한 사례로 방화벽 룰이 너무 많아
힘들었는데요
우선 각 서비스별 확인이 가장 중요 합니다
방화벽에서 csv형태로 다운로드 한다음
하나씩 정리 하는데 필요 없는것부터 하나씩 deny만 하세요
나중에 서비스 안되면 allow시켜줘야하니까요
정책 정보가 사라지면 찾기 힘드니까요
그리고 한달정도지나 deny를 삭제하시면 됩니다
정책적 ,Zone별로 따로 정리하시면 여유 시간을 가지고
순차적으로 하시면 됩니다
방화벽에서 제공되는 로그 정보들을 python이나 Excel 등으로 정리해서 통계 내는 것도 하나의 방법이 될 수 있을 것 같고요.
Wireshark 같은 툴을 활용해서 방화벽에 Tab을 물리거나 미러링 시키는 등으로 방화벽을 지나가는 트래픽을 캡쳐해서 Wireshark에서 제공하는 각종 통계 기능을 이용하는 것도 괜찮을 방법으로 추천하고 싶고요.
스플렁크, 이레스틱 등을 이용해서 통계 정보를 산출하는 것도 추천할 만하고요.
방화벽 정책 관리는 당연히 필요하다고 생각하네요.
기존에 구축되어 있는 것에 대해서 단기간에 정리하는 것은 쉽지 않을 꺼에요.
님 말씀하신데로 먼저 장비별, 솔루션별로 사용하는 Port 에 대해서
요구를 하셔서 받으시고,
현재 설정되어 있는 방화벽 설정도 정리를 하셔야 하구요...
업체에서 자료를 다 받으시면 불필요하다 싶은 설정을 정리하셔서
하나씩 막아 나가야 합니다.
막다 보면 서비스 안된다고 하는 접수를 많이 받으실거에요...
그건 어쩔 수 없이 거쳐야 하는 단계일 듯 싶네요~~~
안녕하세요. 정책정리네요. 노가다
정책 갯수와 제품은 어디꺼 사용하시나요?
방화벽 룰 및 정책은 월간 레포트 처럼 매달 해당 룰이 계속 유지할 필요가 있는지
통계도 만들고 관리를 해야 돼요
이참에 대대적으로 한번 정리하시고 월간 레포트를 만들어서 관리하시길 바랍니다.
날이좋아서 | 2년 이상 전
답변 감사합니다.
레포트는 직접 만드시는건가요?
아니면 방화벽 솔루션 내 기능인가요?
(방화벽 기능이면 제조사도 문의 드립니다)
danis78 | 2년 이상 전
제가 직접 작성해서 보고드리고 있죠 별도로 방화벽 유지보수 하는 업체가 없어서요
방화벽 유지보수하는 업체가 있다면 레포트 요청해도 되죠
danis78 | 2년 이상 전
방화벽 룰 관리는 방화벽 자체적으로 관리하기 어렵기에
(해당 룰이 필요한지 아닌지 사람이 판단해야 함) 방화벽에서 확인 가능한
각각 Rule 마다 트래픽 사용량을 보고 결국에는 누군가가 판단을 해야 겠죠
방화벽 정책 정리도 어려운 과제이지요
관리자가 아니면 정리 힘들어요
확실하게 필요한 정책
애매한 정책
삭제될 정책 분류를 하시고
애매한 정책은 일정기간 모니터링을 하시고요
모니터링 기간동안 해당정책에 대한 로그가 안쌓이면 미사용으로 분류하시고 정책 비활성하세요
그리고 또 일정시간 지나도 문제가 없으면 삭제하세요
방화벽 정책은 긴 호흡으로 가셔야 합니다
날이좋아서 | 2년 이상 전
답변 감사합니다.
정말 일정을 길게 잡아야겠네요....