Transcript 방화벽 설정 (게이트 어드민)

Future 방화벽 설정
게이트 어드민 설치
목차
1. 기본 구성도
2. 게이트 어드민 설정
- 오브젝트 설정
- 정책 수립
- 게이트 설정
- 로그 정보
기본 구성도
♦ 기본 구성도
SecuwayGate 1000
방화벽
203.238.174.133
라우터
203.238.174.129
ERP Server #1
203.238.174.131
ERP Server #2
203.238.174.132
인터넷
ERP Server #3
203.238.174.134
Gate Admin
203.238.174.130
본사 내부네트웍 IP
203.239.174.128 / 25
게이트 어드민 설정
⊙ Java App 설치
- GateAdmin은 java2로 제작되어 java2 rumtime 모듈이 설치되어 있어야 한다.
(java.sun.com 에 접속하여, j2re-x_x_xx-win.exe를 다운 받아 설치한다.)
- 대상 폴더 지정
- 브라우저 선택
- JAVA Jar 파일 작성 후 설치 완료
1) 어드민 실행 준비 단계
- 게이트에 콘솔을 연결해 사용할 IP를 입력하고, 설치 PC에서 Ping을 쳐서 Default Object를 생성한다.
# 주의
- 게이트에 기존 정보가 있으면 Ping이 안되므로, 콘솔에서 eraseobj all 명령을 사용하여 기존 정보를
클리어 시킨다.
게이트 콘솔에서 게이트 기존 정보를 지
우는 명령어인 Eraseobj all을 친다.
SRAM을 지울꺼라는 물음에 Y 를 입력하면
정보는 지워지고 게이트는 재부팅한다.
[GATE2@root]$ eraseobj all
Erasing All Objects...
All Objects Erased !
Are you sure to erase SRAM ? (y/n)
If you answer 'yes', the Master Key will be deleted !
SRAM Inited
SRAM Header exist. Now loading Header...
No System Info. Insert IC Card...
게이트를 관리할 수 있는 IP를 내부 인터
페이스에 할당하는 명령어
[GATE2@root]$ifconfig eth0 203.238.174.133
[GATE2@root]$ping –e eth0 203.238.174.130
PING 172.17.12.40 : 56 data bytes
64 bytes from 203.238.174.130: icmp_seq=0 ttl=128 time=0.1 ms
64 bytes from 203.238.174.130: icmp_seq=1 ttl=128 time=93.7 ms
Request timed out.
게이트 어드민을 띄우기 위해서, 내부에
연결된 PC에 Ping을 치면, Default
Object가 생성된다.
Default Object를 게이트에 write 하는
동안 Ping은 잠깐 끊어진다.
GateAdmin 초기화면
GateAdmin 연결화면
Gate에 시간전송
어드민 초기 관리자 계정과 패스워드는
admin/admin 이다.(변경가능)
2) 오브젝트 설정 – 네트웍 오브젝트
- GateAdmin의 도구상자에서 오브젝트 를 클릭한다.
(오브젝트란 ? 보안정책및 게이트 설정을 위한 구성요소. (네트웍 오브젝트, 시간오브젝트,
서비스 오브젝트)
- 내부 네트워크 범위 입력
1) 단일 IP, IP 주소 범위 등록.
(메뉴-> 오브젝트관리(O) -> 등록(R) 또는 각 오브젝트를 클릭하여 등록된 부분의
아래 공백에서 오른쪽 마우스 팝업메뉴에서 등록을 선택하여 IP 범위를 등록 대화상자
를 나타나게 한다.)
2) 오브젝트이름은 임의로 입력하고, 내부 주소 범위 설정 부에 내부네트워크 범위를
입력 후 등록 버튼을 눌러 왼쪽 리스트 BOX에 IP 범위가 추가된 것을 확인 후에
하단의 확인 버튼을 눌러 완료한다.
단일IP 오브젝트 등록
단일IP 오브젝트 등록
IP범위 오브젝트 등록
IP범위 오브젝트 등록
2) 오브젝트 설정 – 네트웍 오브젝트
- 라우팅 등록
1) 라우터 정보(디폴트 Gateway) 입력 : 네트웍 오브젝트의 라우터 를 클릭 한다. 이전과 같이
등록 대화상자를 나타나게 하고, 인터페이스는 Net3(Public)를 선택한 후, 게이트웨이 IP 주소
에 203.239.174.129를 입력한다. (네트워크IP, 서브넷 마스크는 그대로 0.0.0.0로 둔다)
# 주의 : 방화벽(게이트)이 브릿지 모드(전체 공인 IP)를 사용할 경우에는 내부와 외부를 구분
하기 위한 경우로 내부 범위 에서 게이트 웨이 IP 를 빼준다.
- 보안호스트 등록
1) 게이트를 방화벽 용도로 사용할 경우에는, 보안호스트 개념이 필요없기 때문에, 단일 IP에
등록한 Null IP를 지정한다.
라우팅 오브젝트 등록
보안호스트 등록
2) 오브젝트 설정 – 서비스 오브젝트
- 포트 등록
1) 각 정책에 사용할 포트를 등록한다 : 오브젝트의 포트를 클릭 한다. 이전과 같이 등록
대화상자를 나타나게 하고, TCP인 경우와 UDP인 경우를 나누어서 등록한다.
2) 각 오브젝트 이름은 임의로 만든다.
3) 연속된 포트는 연속하여 지정할 수 있고, 비연속 포트는 포트마다 등록해 주어야 한다.
포트 오브젝트 등록
전체 포트 오브젝트
포트 오브젝트 등록
3) SPD(보안정책) 설정
- 보안정책 등록
1) GateAdmin 상단 메뉴에서 보안정책을 클릭한다 : 좌측메뉴에서 SPD를 클릭 한다.
오른쪽창에서 마우스 오른쪽버튼을 클릭하면, 보안 정책에 관한 여러 가지 메뉴가
나오는데, 맨이의 보안정책 추가를 클릭한다.
2) 보안정책 규칙 내용 (이전 단계에서 만든 오브젝트에서 필요한 내용을 사용한다.)
> 출발 주소 : 정책이 적용되는 시작점
> 목적지 주소 : 정책이 적용될 대상
> 서비스 : 각종 서비스 (컨텐츠 필터링, 포트등.)
> 행위 : (Accept, Deny, Reject, Ipsec)
> 로그 : (Debug -> Information -> Normal -> Warning -> Serious -> Critical)
> 적용시간 : (특정 시간, 요일, 월, 날짜 -> 시간 오브젝트 생성하여 적용시킴)
> Time Out : (세션끊는 시간 -> ‘0’이면 끊지않음)
> SAR : Ipsec 통신시 사용.
> 설명 : 클릭하여 직접 작성 가능
SPD(보안정책) 수립
출발 :
목적지
서비스
행위 :
Any (모든 네트웍)
: MSN 서버군 범위
: MSN 차단 서비스
DENY
정책 1번에서 11번까지 룰에 포함되
지 않은것들은 전부 DEBY 시킴.
(참고 : 12번 규칙을 사용하면 룰에
의한 드랍, 12번 규칙이 없으면, No
Rule 드랍임)
3) SPD(보안정책) 설정 - 계속
- 사용된 오브젝트 및 내용 (전체 로그는 Normal이고, 타임 아웃은 ‘0’, 적용시간, SAR 및
설명은 Default로 지정함.)
> 1번 룰 : 모든 네트웍에서 모든 IP에대해 게이트 어드민 포트(TCP 9999)번에 Accept함.
> 2번 룰 : 모든 네트웍에서 내부 ERP 서버군에 대해 모든 서비스 Accept함.
> 3번 룰 : 내부 ERP 서버군에서 모든네트웍에 대해 모든 서비스 Accept함.
> 4번 룰 : 모든 네트웍에서 MSN 서버군에 대해, MSN 포트들을 Deny함.
> 5번 룰 : 모든 네트웍에서 NATE ON 서버군에 대해, 모든 서비스를 Deny함.
> 6번 룰 : 모든 네트웍에서 Yahoo 메신저 서버군에 대해, Yahoo 메신저 포트들은 Deny함.
> 7번 룰 : 모든 네트웍에서 Daum 메신저 서버군에 대해, 모든 서비스를 Deny함.
> 8번 룰 : 모든 네트웍에서 모든 네트웍에 대해, 버디버디 포트들을 Deny함.
> 9번 룰 : 모든 네트웍에서 모든 네트웍에 대해, 한게임 (game에 대한 호스트및 질의 차단 :
HTTP 필터링)에 대해 Deny함.
> 10번 룰 : 모든 네트웍에서 Gate IP에 대해 텔넷 Accept함.
> 11번 룰 : 내부 네트웍에서 외부로 나가는 모든 서비스에 대해 Accept함.
MSN 차단 서비스
Nate On 접속 서버
Daum 메신저 서버
버디버디 차단 서비스
한게임 URL필터링 서비스
네이버 검색창에서 game을 쳐서
query를 날리면, 질의 필터링에 의해
차단된다.
Game 호스트 필터링
Game 질의 필터링
http://www.hangame.co.kr/에 접근
하려 하였으나, URL 필터링에 의해서
차단된다. (차단메세지 : 테스트중)
3) SPD(보안정책) 설정 - 계속
- SMTP 필터링 기능 (광고 메일 차단)
> 오브젝트를 등록한다. (기타 오브젝트 설정과 동일.)
> 상단 두번째 Tab에 Match Filtering 클릭후, 메일제목에 *광고*; *광*고* 를 입력한다.
> 첨부 파일 제거및 파일 크기 제한등의 기타 옵션에 대해서도 설정할수 있다.
SMTP오브젝트 등록
‘*’: 광고 앞뒤 글자에 대한 모든걸 의미
한다. (와일드카드)
‘;’: 세미콜론을 사용하여 여러종류의 제목
을 나열할 수 있다.
SMTP 필터링 정책적용시 행위는 Accept이다.
4) 게이트 설정
- GateAdmin의 도구상자에서 게이트 를 클릭한다. (게이트 Interface IP 설정및 기타 설정들이 있다.)
- 게이트 등록 위저드 :
> 메뉴-> 게이트관리(G) -> 게이트 등록 위저드를 선택한다.
> 대화상자 15개로 이루어져 있다.
1. 게이트 기본정보 설정
> 게이트 이름 : XXXXX
> 게이트 제품 번호 : xxxxxxxx
2. 게이트 IP 정보 설정
> Net1의 IP는 203.239.174.133
> Netmask 는 255.255.255.128
> 유효내트워크는 내부네트워크 를 선택한다.
> Net3의 IP는 203.239.174.133
> Netmask 는 255.255.255.128
> 유효내트워크는 All Network 를 선택한다.
> Net2, Net4는 설정 하지 않고, 유효네트워크에 Null IP 를 선택한다.
게이트 등록 위자드
게이트 이름 설정
NET1 포트 설정
NET3 포트 설정
4) 게이트 설정 – 계속
3. DNS 서버 설정
(설정하지 않고 skip. Or Primary DNS : 168.126.63.1)
4. 보안 호스트 설정
(등록된 보안호스트 (1개뿐) ‘보안호스트’를 선택한다.)
5. 로그레벨 설정
(게이트자체에 대한 로그레벨 : 정책에 대한 로그레벨과는 다르다.)
6. 기타 옵션 설정
(방화벽이므로, IP spoofing과 stateful Inspection 체크하고 나머지는skip한다.)
7. L2TP Gate 설정
(설정하지 않고 skip, L2TP를 사용하지 않으므로 화면에 출력 안됨.)
8. DHCP 서버 설정
(게이트를 내부 DHCP서버로 사용할때 사용하고, 그 외의 경우에는 skip한다.)
9. DHCP IP 설정
(게이트를 내부 DHCP서버로 사용할때 사용하고, 그 외의 경우에는 skip한다.)
10. 게이트 통신 설정
(기본 라우팅 지정하고, 나머지는 skip한다.)
11. 로드밸런스, Failover, Dos Attack, 통계정보, 로그 전송 정보는 필요시 구성하고 그외의 경우는
skip한다.
DNS 설정
보안호스트
게이트 로그레벨
게이트 기타 설정
게이트 통신 설정
5) 게이트에 정책 전송
- 설정을 마친후 게이트 메뉴의 전송을 누른다.
- 게이트 설정시 인터페이스 IP가 변경되면 게이트를 재부팅해야 적용되므로, 재부팅시켜준다.
(초기에 어드민 연결하기위해 내부 포트에 세팅한 IP가 전체 포트의 IP가 된다.)
6) 로그 정보
- 상단 메뉴에서 Log를 클릭한후, 항목 설정 버튼을 클릭하면, 로그 테이블에 보여질 Column설정과 로그개수
및 자동 로그 Refresh Time을 지정할수 있다.
(게이트 어드민 환경에서는 관리 센터가 없기 때문에, 로그 관리가 불편한 단점이 있다.)
로그 항목 설정
클릭
6) 로그 정보 – 계속
- 로그 VIEW
: 번호, 일련번호, 생성자, 호출, 메일, 센터알림, 생성시간, 로그정보, 오류정보, 전송자, 수신자, 전송자
IP, 수신자 IP, 전송 PORT, 수신 PORT, Service 종류, 프로토콜, 인증종류, NAT 소스, NAT 변환, NAT 변환
서비스, 정보 (몇번째 룰이 적용되어서 어떤 행위를 했는지 또는 기타 정보 표시함.)
로그 VIEW
전송자 IP : 203.239.174.159
수신자 IP : 203.226.253.71
오류정보 : 패킷 버림
설명 : 수신자 IP는 Nate ON 접속서버
인데, 보안정책의 deny룰에
의해서 패킷 버려짐