안녕하세요.
포티게이트 100F 장비를 이용하고 있습니다.
최근 DMZ존의 공격시도가 많아 국가차단 기능을 활성화 해놨습니다.
문제가 되는건 차단 국가 중 DNS 등의 문제로 차단 국가의 일부 IP를 허용으로 사용하고 싶은데..
예외 기능이 보이지가 않습니다.
유지보수 업체 말로는
Geo IP의 사용의 경우 아예 다 막던가, 열던가 둘중 하나를 선택하라고 하는데..
예외처리를할 방법이 없는걸까요?
DMZ 존의 구성 환경은 출발지를 명확히 식별하면 좋겠지만..
외부에서 단말기 테스트 환경이 있기 때문에 출발지를 보통 Any로 설정되어 있습니다.
(회사 규정 자체도 DMZ존은 침해사고 발생 시, 데이터/개인정보 등의 유출 문제가 없어야 한다는
전제 조건으로 테스트 환경을 운영하고 있습니다. )
예시
출발지 |
목적지 |
허용/차단 |
|
미국 일본 대만 중국 러시아 |
DMZ서버 |
차단 |
질의
출발지 |
목적지 |
허용/차단 |
GeoIP 미국 |
DMZ서버 |
차단 |
GeoIP 미국(예외처리 미국 IP) |
DMZ서버 |
허용 |
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
4개의 답변이 있습니다.
모든 방화벽의 정책은 우선순위가 상단 -> 하단으로 진행됩니다
문의주신 미국GEOIP -> 해당 서버 차단 정책 아래에 허용정책이 깔려있어 상위에 있는 미국전지역 IP 차단기능이 먼저 작용된것으로 판단됩니다 . 하단에 있는 혀용정책을 상단으로 올려서 테스트 해보시면 허용될 IP만 적용될 것으로 판단됩니다.
당사에서는 보안관제 및 유지보수서비스를 제공하고있습니다.
견적문의는 010-2526-7152로 전화주시면 감사하겠습니다!
young_86 | 일 년 이상 전
안녕하세요, 답변 감사합니다.
예외처리는 가능하지만 그렇게되면 정책을 이원화로 가져가는 번거로운 점이 있어서
예외설정을 찾아보고 있었습니다.
geo ip 예외 설정은 거의 대부분 벤더들이 동일한가 보네요. 예외 설정을 못하네요 ㅠㅠ
국가별차단에서 일부 IP오픈은 정책이 상충되어 방화벽장비에서 지원되지 않으면 적용이 어려울듯하네요.
둘중 하나를 포기하시던가. 국가별 IP밴드를 알아낼수있으면 밴드로 차단하셔야 할듯합니다.
young_86 | 일 년 이상 전
답변 감사합니다.
KISA에 국가별 밴드를 확인했습니다.
Band 설정하기엔 힘들것 같아 그냥 이대로 사용해야겠습니다.
topkslee | 일 년 이상 전
KISA에 이 정보가 있군요. 저도 참고할께요..
국가별 차단 보다는...
조금 번거롭지만 해킹 시도 IP들을 추려내어서 해킹 시도 IP들만을 차단 시키는게 낫지 않을까 싶어 보이네요.
young_86 | 일 년 이상 전
답변 감사합니다.
말씀해주신대로 사용하기엔 저희 DMZ가 특정 IP대역의 /24비트 전체를 사용하기 때문에
적용하기가 어렵습니다.