방화벽 관련 3가지

■동적 포트

(안랩 방화벽에서는 "Helper" 칭함)

 

1. 기능 설명

  - FTP 제어명령포트(TCP20) 방화벽 정책 허용 시, 파일전송포트(TCP21) 자동 허용 됨

 

2. 안랩 방화벽 기준 지원 프로토콜

  - SIP

  - H.323

  - FTP

  - PPTP

  - TFTP

 

3. 설정 시 주의

  - 우선순위 1 방화벽 정책 : port 20 허용

  - 우선순위 2 방화벽 정책 : port 21 차단

  - 위와 같이 설정 시에도 방화벽은 Top-Down 방식으로 트래픽은 아래 차단 정책을 타지 않음 -> 20,21번 포트 모두 허용 됨

 

■방화벽 정책 순서

1. 정형화 된 방화벽 정책 순서는 없으나 관리 편의성 및 가독성을 위하여 관리자에게 아래와 같이 일반적으로 가이드 함

※엔지니어 개인 의견

 

2. 순서(1 - Top, 5 - Bottom)

  1) Inbound 차단

  2) Inbound 허용(주요서비스)

  3) Outbound 차단

  4) Outbound 허용

  5) all all 차단

 

3. 부연 설명

  - Wan 구간과 Lan 구간만 있을 때의 예시이며 DMZ등의 구간이 증가할 경우 구간 별로 나눠서 방화벽 정책을 수립

  - Zone의 순서는 방화벽의 퍼포먼스나 출발지 또는 목적지 범위가 큰정책이 하단에 위치하도록 하는 등(hitcount 및 로그 검색등을 통하여 트래픽 파악을 위한)의 차이가 있지만 일반적으론 미약하므로 특별한 니즈가 없으면 고려하지 않음

  - 정책수정이 자주 이뤄지거나 검토를 자주 해야하는 방향을 관리자 편의상 Top에 위치함. 많은 경우에 Inbound 정책이 해당하므로 Top에 위치 함

  - 방화벽 정책은 Top-Down 방식으로 차단 정책이 의도치 않게 허용되지 않도록 차단을 허용보다 Top에 위치함

 

■IP관련 설정 주의 사항

1. 개요

- 방화벽을 지나는 패킷이 IP가 변환되는 경우 : NAT, IPSec VPN

- 방화벽의 라우팅, 방화벽정책, IPS등과 같은 컨텐츠 필터 정책에서 변경되는 IP에 대한 동작과정의 예시 기술

- 해당 로직은 벤더별로 상이하며 아래 내용은 안랩방화벽을 기준으로 기술 함

 

2. 패킷처리순서

  1) Inbound

    ㄱ. DDoS 차단

    ㄴ. IPSec/SSL VPN 복호화

    ㄷ. NAT-목적지 주소 변환

    ㄹ. 정책 예외

    ㅁ. 접근 차단

    ㅂ. 방화벽 정책(Content Filters, IPS등)

    ㅅ. NAT-출발지 주소 변환

    ㅈ. 넥스트홉에 패킷 전달(라우팅)

  2) Outbound

    ㄱ. NAT-목적지 주소 변환

    ㄴ. 정책 예외

    ㄷ. 접근 차단

    ㄹ. 방화벽 정책(Content Filters, IPS등)

    ㅁ. NAT-출발지 주소 변환

    ㅂ. IPSec/SSL VPN 암호화

    ㅅ. 넥스트홉에 패킷 전달(라우팅)

 

3. 설정 시 주의 사항

  1) 보안 정책 설정(방화벽 정책 및 컨텐츠필터,정책예외 등)

    - 보안정책은 모든 패킷을 NAT(목적지) 변환 후에 검사 함

    - 보안정책은 모든 패킷을 검사 후에 NAT(출발지) 변환 함

    - 따라서, 보안정책은 출발지 : 변환전 / 목적지 : 변환후 기준으로 정책을 수립

  2) 보안정책설정 예시

    - 구성

    - 출발지 : 불특정다수(all)

    - 목적지 : 112.112.112.112 요청 -> FW에서 NAT(목적지) -> 192.168.0.10

    - NAT(목적지)는 변환 후의 IP로 보안정책을 설정해야 하므로 방화벽설정은 아래와 같이 설정

    - 출발지 : all / 목적지 : 192.168.0.10 / 처리방법 : 허용

  3) VPN

    - VPN 터널을 통해 들어온 패킷은 터널에서 사용한 헤더는 제거되고 원래 IP 헤더가 방화벽 정책이 검사 함

    - VPN 터널로 보낼 패킷은 보안정책 검사를 한 후에 VPN 터널을 거침