안녕하세요
작은 회사 IT인프라 담당자 입니다.
2개월 전에 입사했는데 하반기에 웹방화벽을 도입한다고 하더라고요
구성정보를 대략적으로 그렸는데 어디에 위치하여야 하는지 궁금해서 질문올립니다.
IDC에 물리적으로 구성되어 있습니다.
L2 밑에 서버들 붙어있습니다. (뉴타닉스)
1.위치상으로 보면 IPS 밑에다가 설치해야 하는거 같은데 정확한지 잘 모르겠습니다.
2.설치 할때 단절이 이루어지니 아무래도 작업시간동안에는 서비스가 끊어지겠죠 ?
3.단일구성으로도 가능한가요 IPS처럼? 2대 구입해서 이중화해야 하는지도 궁금합니다.
4.아 혹시 추천해주실 제품있으신가요?
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
11개의 답변이 있습니다.
방화벽 과 IPS사이에 놓으면 되지 않을까 싶네요
현재 구성에서는 IPS와 L4사이에 있으면 됩니다.
다만, 구성상에 DMZ에 대해 구분이 없는데요.
Web 방화벽은 외부 웹서버를 두는 DMZ zone 앞에 두는게 일반적입니다.
구성도 상으로는 IPS와 L4 사이가 적합하나.
전 웹서비스하는 서버들팜을 묶어두고 그 앞에 스위치로 연결하여 웹방화벽과 IPS나 방화벽연결을 추천합니다.
설치할때 물리적인 변경이 있으니 그동안은 서비스 중단됩니다.
이중화가 추천이나. 비용상 어려우면 단일과하고 장애시 바이패스하도록 많이 합니다.
쉐어드아이티 컨시어지 추천드립니다. 믿을 수 있는 곳을 추천받을 수 있습니다.
구성도에서 보면 L4 위에 두는게 맞습니다.
L4 의 역할이 외부 사용자가 내부 웹 서비스를 통해 인증하고 등록하고
업로드/ 다운로드 시 LB( load balancer)를 해줘 네트워크 트래픽을 균등하게 해주는 역할을 하죠
Genghis Khan | 7달 전
그리고 IPS 침입차단 서비스도 이중화를 해야 하죠
웹 방화벽에 다른 인터넷 웜등의 악성코드 및 해킹 등에 기인한 유해 트래픽을 차단
을 해주기 때문에 IPS 싱글로 하게 되면 문제가 될수 있죠
Genghis Khan | 7달 전
DMZ : ( 웹방화벽) - (L4) - (WEB 서버)
내부 zone : WAS - DB
이렇게 구성을 합니다.
mandu | 7달 전
여기 구성이 DMZ 구간을 안나눠 놨더라고요..
IPS도 한대인 이유가 비용 및 용도(ISMS인증심사용 탐지모드로 작동)인걸로
판단하고 있습니다.
보통 WAF 장비는 외부에 오픈 되어 있는 DMZ 서버에 상단에 설치 하는 게 정석 아닌가요?
두곳정도 업체 견적과 미팅 요청해서 제안받고 비교해보시면 좋을거 같아요.
보통 구성은 DDOS - IPS - 방화벽 - 웹방화벽 - L4 - 웹서버 구성으로 하게 됩니다.
L4가 로드발란싱을 해주는 역할이며,
주로 대기업 및 공공기관 웹구성을 위와 같이 하게 됩니다.
요즘은 DDOS - UTM(IPS + FW 기능탑재) - 웹방화벽 - L4 - 웹서버
에이스퐝 | 7달 전
웹방화벽 제품은 많이 있습니다 WEBfront 도 있고..
제가 보안운영을 많이 해봤지만 솔직히 웹방화벽은 형식상 구비하고 정책들은 기본 정책 또는 유지보수에서 제공해주는 업데이트 정도로만 운영했었습니다.
대기업, 공공기관 여러군데서 보안운영을 해보았지만 웹방화벽 로그를 열심히 분석해 정책 업데이트 하는건 거의 없었습니다.
그냥 보안 점검, 인증용으로 구축해놓은다고 해도 과언이 아닐정도입니다.
그냥 일반적인 웹방화벽 장비를 구매하셔도 무관합니다.(CC인증 받은제품으로)
mandu | 7달 전
CC인증 확인해보겠습니다.
감사합니다.
일반적으로는 Web 서버 앞단에 설치하는게 정석이고,
당연히 이중화 하면 좋지만, 비용상 어렵다면 다른분들 말씀대로 문제 발생 시
bypass 할 수 있게끔 설정을 하시면 될 듯 합니다.
너무 고민 하지 마시고, 웹방화벽 업체 미팅을 통해 제안을 받아 보세요...
그럼 제일 좋은 방안이 무엇인지 공부도 되고, 구성도 여러가지로 검토하실 수 있을꺼에요~~
그림으로 봐서는 말씀하신것 처럼 IPS 밑에 두는게 적절해 보이는데 일반적으로 웹방화벽은 웹서비스를 하는 구역을 DMZ로 하고 웹서버 앞단에 두고 운영합니다. 작은 규모의 회사면 이중화까지는 필요 없을 것 같고 장애 대비하여 바이패스 정책 적용하시구요. 그렇지 않으면 외부에서 접속이 되지 않아 시스템 장애로 볼 수 있습니다.
운영중에 설치를 하는 경우 서비스 단절은 어쩔수 없습니다. 1초든 1분이든, 그렇지만 최소화해서 실수없이 안정적으로 하는 것도 기술이니까 제조사 또는 총판 등 엔지니어와 충분하게 협의 후 진행하시면 잘 진행될것 같습니다. (점심 때 후다닥 설치만 또는 주말에 여유있게 정책적용까지 ... 서비스 이용률이 적은 시간대 선택해서 하시면 어떨까 싶습니다.)
개인적으로 작은 규모이니 국내업체로 펜타시큐리티, 시큐아이 추천합니다.
mandu | 7달 전
실시간 외부 제공 서비스때문에 민감할거 같아서 걱정입니다.
펜타시큐리티, 시큐아이 제품 확인해보겠습니다.
감사합니다.
표시된게 웹방화벽이 아니고 그냥 방화벽이죠?
웹방화벽은 웹서버 앞단에 위치시켜야 웹방화벽 문제시 bypass 됩니다.
이중화까지 필요할까 싶습니다만 해놓으면 좋긴 합니다 저흰 1대만..
mandu | 7달 전
그냥 방화벽입니다.
아직 예산이 얼만지도 몰라서 판단이 어렵네요
웹 방화벽이라면 웹 서버 앞쪽에 위치하면 되겠는데...
웹서버가 로드밸런싱으로 이중화된 상태라면...
양쪽 웹 서버 앞에 각가 위치하는 방법도 있을 것 같고, 로더밸런서 앞쪽에 위치하는 방법도 있을 것 같고요.
어떤 모델의 웹 방화벽을 선택해서 도입하냐에 따라 차이가 있을 걸로 보여지네요.
웹 방화벽 제안 받을때 웹 방화벽 업체 영업 담당자 통해서 해당 내용을 구체적으로 언급해서 적절한 제품을 제안 받고, 적절한 위치에 위치하도록 설치하면 될걸로 보여지네요.
mandu | 7달 전
네네 오늘 도입할려고 하는 제품 자료 주신다고 했는데
그거 받고 올리는게 좋았을거 같네요 ㅠ