18장. 방화벽 컴퓨터 생성 및 운영 (1) - 방화벽 개요

728x90
반응형

출처 : https://www.youtube.com/watch?v=iHCtJl0k2Uk&list=PLVsNizTWUw7FqN2gq79Cb3R6qkS7mqOJk&index=72

 

 

보안을 위한 네트워크 설계

  • 방화벽이란 외부의 공개된 네트워크와 내부의 사설 네트워크 사이에 자리잡고, 외부와 내부에 전달되는 트래픽을 '정책(policy)'에 의해서 허용 / 거부하는 역할을 하는 컴퓨터나 장치를 말함
  • 내부의 사용자는 외부의 인터넷을 이용하면서, 외부에서는 내부로 침입할 수 없게 하는 방법 중 가장 보편적으로 많이 사용하는 방법이 사설IP(Private IP)라고 흔히 불리는 nonroutable IP 주소를 이용함
  • 사설 IP의 주소 범위는 10.0.0.0 ~ 10.255.255.255, 172.16.0.0 ~ 172.31.255.255, 192.168.0.0 ~ 192.168.255.255 세 범위가 있다.
  • 사설 IP 주소의 컴퓨터가 외부의 인터넷으로 접속할 수 있도록 해주는 방법을 IP Masquerading 이라고 한다.

 

보편적인 회사 네트워크 구성

 

장치의 역할

  1. '사설 네트워크'는 회사의 내부라고 생각하면 된다. 이 그림에는 2대뿐이지만, 실무에서는 더 많은 컴퓨터가 있을 것이다.
  2. '외부 네트워크'는 특정한 컴퓨터가 아닌 인터넷 상의 모든 컴퓨터라고 생각하면 된다.
  3. '방화벽 컴퓨터'는 2개의 네트워크 카드(랜 카드)가 설치되어 있어야 한다. 이 그림에 나와 있듯이 하나는 내부 사설 네트워크에 연결할 네트워크 카드며, 다른 하나는 외부 인터넷과 연결할 네트워크 카드다.
  4. '허브'는 내부의 여러 대 컴퓨터와 방화벽을 연결할 장치다. 내부의 컴퓨터가 1대 뿐이라면 허브는 없어도 된다. 실무에서는 주로 성능이 좋고 고가인 스위칭 허브를 많이 사용한다.

 

작동 원리

  • 사설 네트워크 안의 컴퓨터는 외부 인터넷에 접속할 수 있어야한다. 따라서 사설 네트워크 안 컴퓨터의 네트워크 정보 중 게이트웨이 주소는 방화벽 컴퓨터의 '사설 IP 3'으로 지정되어야 한다.
  • 리눅스 클라이언트가 방화벽 컴퓨터를 통해 외부 네트워크의 '공인 IP 2'를 가진 Windows 컴퓨터에 접속했다면 외부의 Windows 컴퓨터 입장에서는 리눅스 클라이언트의 '사설 IP 1'이 접근했다는 사실을 알지 못하며 단지 방화벽 컴퓨터의 '공인 IP 1'로 접속되었다는 사실만 알 수 있다.
  • 사설 네트워크의 모든 컴퓨터가 외부 인터넷에 접속할 때는 방화벽의 '공인 IP 1'을 사용하게 된다. 이러한 기능을 Masquerading 이라고 부른다.

NAT(Network Address Translation)을 알면 이해가 쉽다. 네트워크 항목 참고.

 

4. Network Layer (Data Plane) (2)

(3) IP : Internet Protocol 네트워크 계층의 구조 네트워크 계층의 구조는 위 그림과 같다. 위로는 Transport Layer, 밑으로는 Link Layer가 있다. ​ Network Layer의 역할은 2가지가 있다. Routing과 Forwarding ​ 라우

zangwoo.tistory.com

 

실습에서 구현할 네트워크의 구성

 

  1. 현재 우리는 VMware 환경 내부에서 가상 컴퓨터를 사용하므로 사설 IP 주소 범위를 192.168.111.OOO 로 사용하고 있다. 이는 사설 IP 주소다. 그런데 이번 실습을 진행하려면 공인 IP가 2개 필요하다. 그래서 이번 실습에서는 192.168.111.OOO 과 그 외의 IP 주소는 공인 IP 주소로 취급하고 실습을 진행한다. 그리고 Client와 Server(B) 가상 머신이 포함된 사설 네트워크의 사설 IP 주소는 10.1.1.XXX를 사용한다.
  2. Client와 Server(B)에는 기존처럼 네트워크 카드 1개를 설치한다. 그런데 이번 실습에서는 VMware 프로그램에서 가상 머신의 네트워크로 지정했던 NAT(VMnet8)를 Bridged Network(VMnet0)로 변경해서 사용한다. 이러면 위 그림의 왼쪽처럼 2대의 컴퓨터를 허브(가상)로 연결해 사설 네트워크 상에 독립적으로 구성한 것과 같은 효과를 낼 수 있다. 그러면 호스트 운영체제를 비롯한 외부 컴퓨터가 사설 네트워크 안으로 접근할 수 없게 된다.
  3. Server에는 네트워크 카드를 2개 장착한다. 그 중 1개(ens224)는 사설 네트워크에 포함되도록 허브(가상)에 연결한다. VMware 프로그램의 네트워크를 Bridged Network(VMnet0)로 설정하고 IP 주소를 10.1.1.1로 사용하면 된다. 이는 사설 네트워크의 컴퓨터가 외부 인터넷에 연결될 때 필요한 게이트웨이 역할을 할 것이다. 다른 1개(ens160)에는 외부와 연결되는 공인 IP(192.168.111.100)를 할당하낟. 그러기 위해 VMware 프로그램의 네트워크를 NAT(VMnet8)로 설정한다.
  4. 호스트 운영체제 (또는 WinClient)는 외부 인터넷 상에 존재하는 컴퓨터로 사용된다. 이는 순수한 사용자 컴퓨터가 될 수도 있고, 악의적인 해커의 컴퓨터가 될 수도 있다.
  5. 위의 과정을 통해 하드웨어와 운영체제를 구성했다. 이제 '정책 수립'을 진행할 차례다. 이번 실습에서는 다음과 같은 간단한 정책을 수립한다. 이 정책은 방화벽 컴퓨터인 Server에 적용한다.
    1. 내부 컴퓨터는 외부 인터넷을 사용할 수 있다.
    2. 외부 컴퓨터는 기본적으로 내부에 접속할 수 없다.
    3. 외부 컴퓨터가 방화벽 서버의 공인 IP (192.168.111.100)로 웹 서비스를 요청할 때는 내부에 있는 Server(B) (10.1.1.20)가 서비스할 수 있도록 한다.

 

실습은 다음 장에서 진행한다.

 

728x90
반응형