회원K 2014-07

UTM은 라우터, 방화벽, IPS, 웹 방화벽...등으로 구성되어 있습니다.
F/W라고 되어 있는 것은 Firewall이고, Firewall은 단순히 포트제어만 합니다.

모든 장비가 공인 IP를 쓰고 있다면,
UTM의 Firewall 기능을 쓰고, 라우터 기능은 브릿지모드로 하시면 됩니다.
IPS나 웹방화벽은 부가적인 기능이라서 on/off 하고 정책만 적용하는 것들이구요.

내부통신만 해야 하는 서버나 외부에 공개되는 서버의 경우에도 관리자의 원격 접속이 필요한데
관리자의 원격접속은 vpn을 이용해서 하거나 (공개 ip + 접속 pc의 ip + 변경된 ssh 포트)로 합니다.

회원K 2014-07

통상적으로 WAN - UTM - L2 - 서버 .... 이렇게 구성하시면 됩니다.

WAN - L2 - UTM - L2 - 서버 ... 이렇게 구성하는 경우도 있지만
WAN 회선을 여러개 당기는게 더 쉽고 간결하기 때문에
WAN - UTM - L2 - 서버로 구성하는 것이 좋습니다.

UTM의 포트는 통상 4-8개인데,
WAN 이외의 포트는 ip 대역이나 목적별로 분리해서 L2 스위치를 붙이고
1포트는 미러링해서 snipper에 걸어두기도 하지만... 대부분은 그런 것까지는 안합니다.

오프라인 2014-07

요즘 UTM들이 SLB(서버부하분산)을 지원하는 제품이 많이 있습니다.
별도의 L4 없이 간단하게 부하분산 및 장애에 대비할 수 있어서 SLB를 사용하고 있습니다.
SLB의 경우 LSNAT(Load Sharing NAT)를 사용해야 하므로 UTM을 라우터모드(NAT)로
운영하고 있습니다.

라우터모드(NAT)를 사용할 경우 공인IP는 모두 UTM에 할당되며,
서버들은 DMZ 영역의 IP를 할당 후 LSNAT 또는 Static NAT로 구성합니다.

그리고 UTM이 사망하는 경우에 대비하여 2대를 Active-Active로 구성하시면 좋습니다.
이 경우 IDC에서 2회선을 대여 및 LB로 구성해야 하고, 스위치도 스택킹을 지원하는 것으로
2대를 묶어서 연결하시면 편합니다.

KSOFT이원재 2014-07

답변 감사합니다.

사무실에는 현재 Ahnlab TG50을 쓰는데 이건 구버전이고요.
작년에 바뀐 신모델은 TG50a는 스펙이 한참 차이가 나는데 이거 구라스펙인가요??
MF2랑 차이가 좀 납니다.
그리고 LSNAT라는걸 답변을 통해 오늘 처음 알았는데..
저같은 경우 사무실에서야 쓸일이 없겠지만 실제 서비스용도의 서버는 꽤 유용할것 같은데요.
TG는 지원하네요. MF2는 어떤가요??

참고로 TG관련 링크 걸어놓겠습니다.
http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=10&svccode=aa1001&contentscode=426

관제 서비스 때문이라도 회원K님의 MF2로 가는게 맞는데... 조건도 좋은거 같구요.
살짝 고민되네요. ^^

회원K 2014-07

MF2도 LSNAT 기능이 있습니다 (매뉴얼 170 페이지 참조)

LSNAT(Load Sharing NAT) 또는 Distributed NAT라고도 합니다. 하나의 외부 IP주소를 복수
개의 내부 IP 주소에 대응시켜, 외부 망에서 해당 IP 주소를 목적지로 하는 모든 세션을
할당된 각 내부의 IP 주소로 분산 변환합니다. 이 방식은 하나의 IP 주소에 많은 요청이
들어올 경우 그 부하를 분산하여 수행속도가 저하되지 않게 하는 것이 주요 목적입니다.


사무실에서 쓰는 MF2 장비는 보안관제를 제외하고 장비만 렌탈하는 형태로 변경하시면
렌탈비에 해당하는 40%의 관제비용이 빠지기 때문에 LG U+의 TG렌탈보다 저렴합니다.

MF2-200 장비의 수급이 좀 안좋아서... 300 또는 500을 같은 비용으로 공급중이라고 합니다.