인터넷이 안되는 폐쇄망을 운용중입니다.
그런데 폐쇄망에서도 업무를 위해 특정 url은 허용 해야 하는 상황입니다.
*.megascans.se
*.quixel.com
이런식으로 원하는 url만 허용 하는 방법이 있을까요?
포티게이트 같은 방화벽을 사용하면 된다는 얘기를 얼핏 들었는데,
방화벽은 사용 해본 경험이 없어서 질문 드립니다.
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
8개의 답변이 있습니다.
방화벽이나 지란지교에서 제공하는 솔루션을 알아보시기 바람니다.
솔루션상담실을 통하여
방화벽에서 해결 됩니다. *.AAA.COM 예외정책, IP별로 예외정책 모두 다 가능합니다.
특정 사이트에서 특정서비스만 오픈해 주는것도 가능하구요
폐쇄망이라고 해도,
방화벽 통해서 외부와 연결이 가능한 상태여야 하고요.
방화벽에서 도메인 등록해서 허용 해주시면
말씀하신 내용이 해결 됩니다.
안녕하세요 포티넷 파트너 (주)코레이즈입니다.
ISP 회선(인터넷) 만 연결되어 있다면, 포티게이트를 통해 FQDN이나 URL 을 통해 정책 관리가 가능합니다.
추가로 궁금하신 사항이 있으시면 알려주세요
감사합니다.
코레이즈 드림
인터넷이 안된다는 건...
인터넷을 차단 시켜뒀다는 의미이기도 하지만, 인터넷으로 나갈 수 있게 해 주는 길이 만들어져 있지 않다는 의미이기도 하겠네요.
방화벽 등을 이용해서 인터넷을 차단해 둔 상태라면 방화벽 등의 인터넷으로 나가는 길목을 지키는 장비에서 인터넷 접속이 가능하게 하고 싶은 URL에 대해 허용 처리하면 되는 간단한 문제가 되겠고요.
인터넷으로 나가는 길이 만들어져 있지 않아 인터넷이 안되는 상태라면 인터넷이 되게 하는 길부터 만들어야 합니다.
통신사를 통해서 인터넷 회선을 새로 신청하거나 기존에 사용하고 있는 인터넷 회선을 이용하는 방법을 찾거나 해서, 내부 인트라넷과 인터넷 회선을 연결 시켜 주는 게이트웨이 장비 ( 방화벽, 인터넷 공유기, 라우터, ... ) 설정을 해 줘야 하겠고요.
게이트웨이 장비에서 접속하고 싶은 URL만 허용 처리하고, 나머지 모든 대상에 대해서는 차단 처리해 주면 해결될 내용입니다.
프록시를 별도로 세워서 내부에서 해당 도메인 요청 시 프록시타고 나가게 구성하시는걸 추천드립니다.
포티넷의 도메인 기반 오브젝트는 버전에 따라서 엣지 네트워킹이 지원이 달라서 귀찮습니다.
할수있다! | 일 년 이상 전
넵 프록시도 검토해봐야겠군요. 감사합니다. ^^
돈이 좀 들더라도 폐쇄망에서 접속 가능한 VDI를 구성해주시고
VDI안에서 갈 수 있는 곳을 지정하셔서 관리하시는 정도가 어떨까 싶습니다.
폐쇄망에서 외부로 갈 수 있는 연결통로를 대놓고 직접연결해둔다는건 망분리로 볼 때 취약점으로 느껴집니다.
말씀하신대로 화이트리스트 형태의 리스트업된 접근제어는 가능합니다만, 망분리를 하신 느낌이라 좀 애매합니다.
할수있다! | 일 년 이상 전
답변 감사합니다. 지금 폐쇄망에서 VDI로 인터넷을 이용 하고 있습니다.
하지만 업무에 필수로 사용 해야하는 어플리케이션들 unreal, quixel... 등등이 제작사의 인터넷 연결이 안되면 사용이 어려워서요.
회사에 전문 방화벽장비가 없고, 저 역시 사용 해본 경험이 없는데.
포티게이트 같은 방화벽은.
ip주소가 아니라 *.aaa.com 이런식으로 도메인 명으로 허용 할 수 있다고 들었는데.
포티게이트 같은 방화벽을 구매하면 되는건지 궁금해서 질문 올렸습니다.
미생 | 일 년 이상 전
정책상에서 모든 http 등을 다 때려막아버리고, 10번정도 우선순위를 주고
5번정도 우선순위에서 해당하시는 정책 부여를 하시면 컨트롤이 될거에요
기본은 다 막아라. 하지만 저 주소는 통과시켜라 정도를 하시는 것은 방화벽단에서 처리가 가능하십니다.
근데 그걸 하려면 결국 방화벽단에 외부 인터넷이 되는 회선이 같이 연결되어야 할 상황이 온다는거니까 이걸 논리적 망분리로 어디까지가 커버될 수 있느냐가 이제 문제가 될 것으로 보입니다. 해당 문제를 빼고 보면 얼마든지 가능하십니다.
할수있다! | 일 년 이상 전
넵 감사합니다. ^^
외부와 연결은 되어있지만 방화벽에서 아웃바운드를 차단했으면 가능한데
물리적으로 분리되어있음 안되겠죠
할수있다! | 일 년 이상 전
인터넷에 연결은 되어 있습니다. 인터넷기반 PMS처럼 업무에 필요한 필수 어플리케이션 ip만 허용하고 나머지는 모두 드롭시키는 방식으로 폐쇄망이 구현되어 있습니다.
라우터에 포함된 방화벽 기능으로 화이트리스트를 관리중입니다만.. ip로 관리하는게 쉽지 않아서요.
포티게이트 같은 방화벽은.
ip주소가 아니라 *.aaa.com 이런식으로 도메인 명으로 허용 할 수 있다고 들었는데.
포티게이트 같은 방화벽을 구매하면 되는건지 궁금해서 질문 올렸습니다.