방화벽 정책 설정 문의 (FortiGate 201E) :: 2cpu, 지름이 시작되는 곳!

쓰기

방화벽 정책 설정 문의 (FortiGate 201E)

cho609495

2022-12

2022-12-15 10:07:00

조회 1933 추천 0

안녕하세요 방화벽 정책 설정 문의 드릴려고 합니다.

애초에 장비가격 빼고 매월 기술지원 명목으로만 10~20만 지급하고 있었는데

기술지원 업체는 처음다루는 신입 앉혀서 처리해주고 있고..(정책설정에 대해 아예 문외한 느낌)

방화벽 구매한 업체는 그런 업체랑 연결해줬던게 너무 화가나

우선 업체 싹다 끊으려고 하긴 합니다...

이 회사를 오기전에 전임자가 컨택한 사람들인데 바꿔야할게 너무 많더라고요

우선 방화벽 정책 설정부터 말 안되게 설정되어 있어서..

wan1 -> Internal 구간에 all->all 서비스 all 허용 이런식으로 되어있네요 (방화벽 왜 쓴건지..)

서버 백신프로그램을 확인해보니 외부에서 원격접속시도가 평균 1분당 100회 시도가 있더라고요??

위험할 것 같아서

우선 정책 설정으로 3389(RDP) 포트를 제 PC외에는

전부 불가능하게 하려고 합니다. (사내모든PC/사외모든PC)

기술지원(초보)와 제가 이것 저것 정책 설정 시도해보았는데 저흰 잘 몰라서 그러는지

모든 인원 다 막히거나 다 가능하게만 되거나 이렇게 되더라고요

혹시 제가 어떻게 설정해야 제 PC 외에는 전부 불가하게 설정가능할까요?

* 요약 및 운영 현황

IDC 방화벽 장비 : FortiGate 201E (IDC) / 101E (회사)

101E(회사) <- IPsec 터널링 -> 201E((IDC)

정책 현황 : 201E (IDC) wan -> Internal 구간에 all->all all 허용중...

목적 : 101E에 물려있는 제 PC 1대만 201E에 있는 모든 것들 원격 가능(3389 허용)

감사합니다..

짧은글 일수록 신중하게.



제온프로 2022-12 1. RDP 가능 (3389포트 쓰지 마시고 8889 나 다른 포트 쓰세요..) 2. XXX 가능 3. CCC 가능 4. All 불가능 ------------------------------------------- 이렇게 예외를 앞단에 두고 뒤에서 모두.. 모두 막아 버리세요.. 1. RDP 가능 (3389포트 쓰지 마시고 8889 나 다른 포트 쓰세요..) 2. XXX 가능 3. CCC 가능 4. All 불가능 ------------------------------------------- 이렇게 예외를 앞단에 두고 뒤에서 모두.. 모두 막아 버리세요..



김황중 2022-12 4번 항목은 넣을 필요가 없죠 어차피 방화벽은 디폴트가 all 차단이 우선정책이닌까요 열어줄것만 넣어주면 됩니다 저는 포티 영업에 더 가깝기에 기본적인 셋팅만 하므로 전문가 분들이 자세한 정책값 남겨주시기에 패스합니다 4번 항목은 넣을 필요가 없죠 어차피 방화벽은 디폴트가 all 차단이 우선정책이닌까요 열어줄것만 넣어주면 됩니다 저는 포티 영업에 더 가깝기에 기본적인 셋팅만 하므로 전문가 분들이 자세한 정책값 남겨주시기에 패스합니다



cho609495 2022-12 답변 감사합니다! 답변 감사합니다!



제온프로 2022-12 맞습니다....저도 그렇게 생각하는데. 방화벽 전문가님이 확실한게 좋다고.. 여러개의 정책을 다 올려 쓰고는 선택적으로 사용하더라구요.. 정책은 쓰던 안쓰던 다 올리고.. Enable / Disable 로 맞습니다....저도 그렇게 생각하는데. 방화벽 전문가님이 확실한게 좋다고.. 여러개의 정책을 다 올려 쓰고는 선택적으로 사용하더라구요.. 정책은 쓰던 안쓰던 다 올리고.. Enable / Disable 로



cho609495 2022-12 나중에는 전문가님께 작업의뢰를 맡기고 모든 것을 차단하고 사용하는 것만 열은 뒤에 가능성 있는 것들 Disable 방향으로 다 설정 미리 해놓고 싶네요.. 나중에는 전문가님께 작업의뢰를 맡기고 모든 것을 차단하고 사용하는 것만 열은 뒤에 가능성 있는 것들 Disable 방향으로 다 설정 미리 해놓고 싶네요..



술이 2022-12 아웃바운드 ALL 로 열어준 이유가 있을겁니다. 제가 관리하는데는 아웃바운드 전부 차단한 상태에서 공통 프로토콜 몇개만(HTTP/HTTPS DNS) 오픈하고 나머지는 수동으로 출발지 도착지 다 수동으로 넣어주고 있습니다. 이런일은 유지보수업체에서 못합니다. 기술이 없어서 못하는게 아니라 실시간으로 바로 대처하는 현장 직원이 있어야 합니다. 그렇다면 그 회사 직원이 그 역할을 해야됩니다. 각종 결제사이트 및 뱅킹 그리고 입찰이나 택배 기타등등 몇년지나면 해당 업체 업그레이트 개편하면서 포트 바꾸고 하다보니 바로 즉각 대응하면서 룰 열어주지 않으면 직원들 난리칠건 뻔합니다. 아웃바운드 정책을 차단하고 원하는 서비스만 사용하게끔 하면 장점이 그나마 보안 리스크가 최대한 줄어듭니다. 직원들 P2P 안쓰고 뻘짓 안하고 일만 하게 됩니다. 아웃바운드 ALL 로 열어준 이유가 있을겁니다. 제가 관리하는데는 아웃바운드 전부 차단한 상태에서 공통 프로토콜 몇개만(HTTP/HTTPS DNS) 오픈하고 나머지는 수동으로 출발지 도착지 다 수동으로 넣어주고 있습니다. 이런일은 유지보수업체에서 못합니다. 기술이 없어서 못하는게 아니라 실시간으로 바로 대처하는 현장 직원이 있어야 합니다. 그렇다면 그 회사 직원이 그 역할을 해야됩니다. 각종 결제사이트 및 뱅킹 그리고 입찰이나 택배 기타등등 몇년지나면 해당 업체 업그레이트 개편하면서 포트 바꾸고 하다보니 바로 즉각 대응하면서 룰 열어주지 않으면 직원들 난리칠건 뻔합니다. 아웃바운드 정책을 차단하고 원하는 서비스만 사용하게끔 하면 장점이 그나마 보안 리스크가 최대한 줄어듭니다. 직원들 P2P 안쓰고 뻘짓 안하고 일만 하게 됩니다.



cho609495 2022-12 아웃바운드로 ALL로 열어준 이유는 유지보수 업체에서 예로 사내에서 사용하는 그룹웨어 관련 포트들을 열려고 하는데 포트 정확하게 파악이 안되어 포기하고 전부 허용을 했다고합니다. 아웃바운드로 ALL로 열어준 이유는 유지보수 업체에서 예로 사내에서 사용하는 그룹웨어 관련 포트들을 열려고 하는데 포트 정확하게 파악이 안되어 포기하고 전부 허용을 했다고합니다.



술이 2022-12 그러니까요. 저거 서비스 담당자들이 통보해줘야 합니다. 방화벽 관련 일하는 사람들이 일일이 그거 파악 못해요. 저도 처음에 저리 할때 2-3개월 노발대발 싫은소리 들어가며 대응해서 겨우 메뉴얼화 했습니다. 보통 인원좀 많은 회사들이 포트 한개라도 누락되면 그에대한 책임 전부 뒤집어 쒸울수 있으니 그냥 첨부터 깔끔하게 포기했을겁니다. 그러니까요. 저거 서비스 담당자들이 통보해줘야 합니다. 방화벽 관련 일하는 사람들이 일일이 그거 파악 못해요. 저도 처음에 저리 할때 2-3개월 노발대발 싫은소리 들어가며 대응해서 겨우 메뉴얼화 했습니다. 보통 인원좀 많은 회사들이 포트 한개라도 누락되면 그에대한 책임 전부 뒤집어 쒸울수 있으니 그냥 첨부터 깔끔하게 포기했을겁니다.



제온프로 2022-12 솔루션 업체에서.. 우리 IIS, Apache는 몇번 포트 쓰고.. DB 는 몇번 포트가 필요하고.. 출입통제 솔루션은 몇번이고.. 기타 등등 다 알려 줘야 하는데.. 방화벽 설치 설정 하러 와서는 않된다고 하니 일단 다 열고 간 것이죠. 나중에 설정할 생각으로 .. 솔루션에서. 아니면 전산담당자가 정보를 줘야 하는데. 이런 상황 같습니다. 솔루션 업체에서.. 우리 IIS, Apache는 몇번 포트 쓰고.. DB 는 몇번 포트가 필요하고.. 출입통제 솔루션은 몇번이고.. 기타 등등 다 알려 줘야 하는데.. 방화벽 설치 설정 하러 와서는 않된다고 하니 일단 다 열고 간 것이죠. 나중에 설정할 생각으로 .. 솔루션에서. 아니면 전산담당자가 정보를 줘야 하는데. 이런 상황 같습니다.



제온프로 2022-12 wan1 -> Internal 구간에 all->all 서비스 all 허용 처음에 방화벽을 장착 후 적용 할때.. 설정중에 임시로 모두 열어서 원복 효과 또는 여기. 저기서 안되요.. 안되 할 때.. 급히 열어주는 설정입니다.. 아주 다급히 모든 것을 열어 주어야 할 때 wan1 -> Internal 구간에 all->all 서비스 all 허용 처음에 방화벽을 장착 후 적용 할때.. 설정중에 임시로 모두 열어서 원복 효과 또는 여기. 저기서 안되요.. 안되 할 때.. 급히 열어주는 설정입니다.. 아주 다급히 모든 것을 열어 주어야 할 때



cho609495 2022-12 흐 머리 안아프게 모든 것을 ALL로 열고 블랙리스트 제도로 운영해야겠네요 답변 감사합니다! 흐 머리 안아프게 모든 것을 ALL로 열고 블랙리스트 제도로 운영해야겠네요 답변 감사합니다!

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

381/5677

번호	제목Page 381/5677	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (726)	정은준1	2014-05	4937459	0
[필독] 처음 오시는 분을 위한 안내 (726) 2014-05 4937459 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1474446	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1474446 1 백메가
105923	안드로이드 OS에 대해 아시는 분 (8)	매니아1	2022-12	1630	0
안드로이드 OS에 대해 아시는 분 (8) 2022-12 1630 1 매니아1
105922	해외 어댑터 Removable Plug(?) 를 파는 곳이 있을까요? (3)	Psychophysi…	2022-12	1219	0
해외 어댑터 Removable Plug(?) 를 파는 … (3) 2022-12 1219 1 Psychophysi…
105921	시놀로지 나스 방화벽 포트 질문입니다... (2)	회원	2022-12	1187	0
시놀로지 나스 방화벽 포트 질문입니다... (2) 2022-12 1187 1 회원
105920	[Q&A] Dell Latitude Laptop E7270에 램 SSD 문의 (4)	명철이	2022-12	1994	0
[Q&A] Dell Latitude Laptop E7270에 램 S… (4) 2022-12 1994 1 명철이
105919	[Q&A] Dell Latitude Laptop E7270에 램 SSD 문의	명철이	2022-12	1049	0
[Q&A] Dell Latitude Laptop E7270에 램 S… 2022-12 1049 1 명철이
105918	mellanox 스위치 질문드립니다 (2)	cncn	2022-12	1179	0
mellanox 스위치 질문드립니다 (2) 2022-12 1179 1 cncn
105917	[질문]삼성 커브드 모니터 특정부분 어두어짐 관련 문의입니다 (9)	콘스탄틴	2022-12	3080	0
[질문]삼성 커브드 모니터 특정부분 어두… (9) 2022-12 3080 1 콘스탄틴
105916	알리에서 구입한 전자제품이 통관지연된것 같습니다. (10)	장동건2014	2022-12	2332	0
알리에서 구입한 전자제품이 통관지연된것… (10) 2022-12 2332 1 장동건2014
105915	PCIe SSD 관련 질문 (5)	서현석	2022-12	1769	0
PCIe SSD 관련 질문 (5) 2022-12 1769 1 서현석
105914	리눅스 멀티 nic 라우팅 문제 (13)	다이다이	2022-12	3370	0
리눅스 멀티 nic 라우팅 문제 (13) 2022-12 3370 1 다이다이
105913	IBM 1723-8bx 18.5" 콘솔모니터 사이드레일 브라켓 문의 드립니다.	슬루프	2022-12	2059	0
IBM 1723-8bx 18.5" 콘솔모니터 사이… 2022-12 2059 1 슬루프
105912	방화벽 정책 설정 문의 (FortiGate 201E) (11)	cho609495	2022-12	1934	0
방화벽 정책 설정 문의 (FortiGate 201E) (11) 2022-12 1934 1 cho609495
105911	웹페이지를 PDF화일로 변환 (2)	전설속의미…	2022-12	2166	0
웹페이지를 PDF화일로 변환 (2) 2022-12 2166 1 전설속의미…
105910	노트북 느림증상(이해가안감) (10)	짱짱맨	2022-12	2307	0
노트북 느림증상(이해가안감) (10) 2022-12 2307 1 짱짱맨
105909	노트북 느림증상(이해가안감) (1)	PCMaster	2022-12	1857	2
노트북 느림증상(이해가안감) (1) 2022-12 1857 1 PCMaster
105908	그리고 다나와에 64비트만 적혀있는 CPU 말이에요 (26)	푸르린	2022-12	2406	0
그리고 다나와에 64비트만 적혀있는 CPU … (26) 2022-12 2406 1 푸르린
105907	h730p 컨트롤러에 ssd 24개 레이드10 속도 문의 (24)	홀릭0o0	2022-12	2402	0
h730p 컨트롤러에 ssd 24개 레이드10 속도… (24) 2022-12 2402 1 홀릭0o0
105906	h730p 컨트롤러에 ssd 24개 레이드10 속도 문의 (1)	간장게장	2022-12	1161	0
h730p 컨트롤러에 ssd 24개 레이드10 속도… (1) 2022-12 1161 1 간장게장
105905	SFP+ 랜카드 안빠질때 (6)	무법자	2022-12	1502	1
SFP+ 랜카드 안빠질때 (6) 2022-12 1502 1 무법자
105904	SFP+ 랜카드 안빠질때 (2)	박문형	2022-12	1444	0
SFP+ 랜카드 안빠질때 (2) 2022-12 1444 1 박문형