안녕하세요.
네트워크 초짜가 질문 드립니다...
저희 회사 네트워크가 대략적으로 아래 그림과 같이 되어 있습니다.
F/W 1이 최상단 방화벽이고, F/W 2가 서버 대역 방화벽입니다. F/W 1에서 서버 1,2,3에 각각 공인 IP NAT를 걸어서 외부에서 접근하는 경우 공인IP로 접근하게 되어 있습니다.
내부 업무용 서버라 외부에서 접근하는 경우는 유지보수 업체에서 원격점검 들어오는 경우 정도인데 허용된 IP 외에는 방화벽 정책으로 차단하고 있습니다.
그런데 이번에 상위기관에서 보안점검을 나와서 저희 네트워크를 보고 어쨌든 내부 서버에 공인 IP가 부여되어 있으면 좋지 않으니 F/W 2에 공인IP를 부여하고 외부에서 접근이 필요한 경우 F/W 2 IP에 포트포워딩 정책을 넣어서 접속하도록 하라고 하네요.
저희 네트워크 담당 업체에서는 굳이 그럴 필요가 있냐면서(방화벽에서 포트포워딩이 안 된다고도 하는데) 의아해 하고 있는데...
요구받은대로 변경하게 되면 (변경할 수 없다던가) 뭔가 문제가 생길 요소가 있나요...?
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
8개의 답변이 있습니다.
다들 답변 주셔서 너무 감사합니다!
상위기관의 말이 맞아요
공인아이피아고 사설아이피를 둘 다 할당하지 마시고 공인아이피는 빼서 방화벽에 nat로 하세요.
근데 fw1에서 nat걸었으면 서버의 공인아이피는 필요가 없을 듯 하네요.
그리고 원격은 무조건 차단하세요. 유지보수용이라고 해도 막는게 좋습니다. 터미널, telnet, ssh 같은 os를 직접 핸들링이 가능한 서비스는 무조건 외부차단하세요. 유지보수는 접근제어솔루션을 사용하시고, 없으시면 담당자 pc를 원격으로 붙어서 다시 서버에 원격으로 점프하는 방식으로 운영하세요. 유지보수도 담당자의 확인하에 작업되어야 합니다.
내부 방화벽을 두는 목적이 무엇인지요?
내부에서도 특별히 관리 목적이 아니라면 방화벽 이중화하고
서버 ip는 사설로 두고 방화벽에서 1:1 NAT 맵핑해주면 될 듯 합니다만.
외부 서비스 목적도 아니고 단순 외부업체의 관리 목적이라면
원격 접속시에만 해당 방화벽 정책 활성화해주고, 사용 안할 경우에는 비활성화해주면 될 듯 합니다만?
서버 1~3에 공인IP를 사용하지 않고 사설IP만 사용하여 F/W2 에서 맵핑으로 필요한 서비스제공이 가능합니다. 단 이럴경우 기존 서버 1~3 끼리의 연계 Application 에서 공인 IP로 연계설정이 된 것이 있는지 체크가 필요해 보입니다. 그외 다른 이슈는 없을 것 같습니다.
현재 F/W 1 은 F/W 2와 서버 1~서버 3 에 사용하고 있는 공인 IP들에 대한 게이트웨이 역할을 하고 있는 것으로 보이고요.
F/W 2는 서버 사설 IP 및 내부에 할당한 다른 컴퓨터들의 사설 IP에 대한 게이트웨이 역할을 하고 있는게 아닐까 싶어 보이네요.
상위 기관에서 보안 문제를 언급하며 F/W 2에서 포트 포워딩하게 해서 사용하라는건...
서버 1 ~ 서버 3에 할당한 공인 IP를 제거하라는 의미가 되겠고요.
서버 1 ~ 서버 3은 이미 사설 IP가 할당되어 있고, 이 사설 IP들이 F/W 2를 게이트웨이로 해서 외부와 통신하고 있는 상황일 것이기 때문에, 내부 사설 IP들에 대해 외부에서 접속하게 하려면 F/W 2에서 포트 포워딩으로 허용해 줘야 가능한 것이겠고요.
추정컨데 F/W 2가 이미 내부 사설 IP들에 대한 게이트웨이 역할을 하고 있을 것이고, F/W 2가 NAT 역할을 하고 있을 거라 생각합니다.
F/W 2가 내부 사설 IP들에 대한 게이트웨이 역할을 하고 있지 않다면 게이트웨이 역할을 하도록 해 주어야 상위 기관에서 말한 포트포워딩으로 내부 서버들에 접속하도록 할 수 있겠고요.
보안이라는 것은 편리성과 반비례 관계이기 때문에 상급 기관에서 말한대로 하면 불편하다는 문제가 발생합니다.
그리고, 일부 기능을 포기해야 할 수도 있겠고요.
그렇지만, 보안을 위해서는 어느 정도의 편리성을 포기해야 하며, 직접적으로 구현하지 못하는 기능들은 간접적으로 돌아서 구현하거나 다른 대안들을 마련해서 구현해야 하는 것이고요.
덧붙여서 DMZ에 두면 NAT를 설정하여 통신하게 하면, 전혀 문제 없어 보입니다.
보통 DMZ망 자체가 대외서비스를 하는 서버이기때문에 보안점검시에도 별 문제 없을 것입니다.
저렇게 방화벽을 구성한 이유가 있는지요?
방화벽이 2개 있으면, 최상단 방화벽에서는 DMZ, 인터넷망 이런식으로 나누고,
하단에 중요한 내부 서버 앞단에 방화벽을 구성하는것이 더 바람직해 보입니다.
외부랑 자주 통신하는 서버를 최상단 방화벽 쪽에 DMZ로 구성하여 주고, DMZ에 있는 서버가 내부와 통신해야하면 2개의 방화벽을 거쳐 가기때문에 어떻게 보면 망분리 비슷하게 되니 그게 더 좋은 구성인것 같습니다.
yunje93 | 10달 전
네 일단 그 목적으로 저렇게 해 두긴 했는데... 그림엔 생략되어 있는데 FW1 아래에 인터넷망(일반 사용자들) 구역이 있고 FW2는 서버 구역용으로 별도로 설치되어 있는 상태입니다. 구역 구분이 되어 있긴 한데 대외 서비스 용도는 아니라서 DMZ라고 하긴 좀 그렇네요. 유지보수 외엔 외부에서 접근할 일은 없습니다.
에이스퐝 | 10달 전
FW1 아래에 사용자망이라고 하면, N:1 노멀NAT로 되어 있을 것이고,
FW2 아래는 서버가 있는데, 저렇게 구성하지 마시고,
최상단에는 어짜피 ISP 업체 - L3라우터가 있을테니 거기에 FW1, FW2 를 붙이시고,
사용하는 것이 맞을 것 같습니다.
어짜피 FW1아래에 있는 사용자망에서 원격이든 뭐든 붙여주려면 1:1 NAT를 걸어야 되는데 보통 그렇게 하진 않습니다.
그리고 FW2에서 NAT를 걸일있으면 걸어도 되고요,
F/W 1에서 서버 1,2,3에 각각 공인 IP NAT를 걸어서 외부에서 접근하는 경우 공인IP로 접근하게 되어 있고
상위기관에서 보안점검을 나와 내부 서버에 공인 IP가 부여되어 있으면 좋지 않으니 F/W 2에도 동일하게 NAT 걸면 될것 같은데요
F/W 1,2가 있는것도 보이지 않는 구성이 있을수 있겠지만 보안 취약점 내용에 나온건 조치가 필요해 보입니더
yunje93 | 10달 전
F/W2에 공인 IP NAT를 설정하면 되는 걸까요? F/W1에는 뒤에 사용자 대역이 있긴 합니다