DMZ¿¡¼ LANÀ¸·Î ¿À°í °¡´Â ¸ðµç Æ®·¡ÇÈÀ» Â÷´ÜÇÏ·Á¸é ±ÔÄ¢À» ¾î¶»°Ô »ý¼ºÇؾßÇϳª¿ä?
일단 DMZ에 허니팟을 둘 예정이라 내부망으로 공격이 들어올 것을 우려하여 접근 자체를 일단 다 막고 추후에 필요한 부분만 뚫는 화이트리스트 방식으로 진행할 예정인데 제가 생성한 규칙은
interface: LAN
action: block
derection: in
source: DMZ net
destination: LAN net
interface: LAN
action: block
derection: out
source: LAN net
destination: DMZ net
이렇게 해서 첫번째는 DMZ에서 LAN으로 오는 inbound 트래픽을 차단하려고 한 것이고 두번째는 LAN에서 DMZ로 가는 outbound를 차단하려고 만든 규칙입니다. 근데 제가 방화벽 만진지 얼마 안되어서 이게 맞는 규칙인지 잘 모르겠습니다. 그리고 나중에 DMZ의 로그를 LAN으로 전달할 필요가 생길텐데 그 때도 최대한 보안상 덜 위험한 방향으로 어떻게 해야 할 지도 고민입니다.
±×´ÙÀ½ Çã¿ë ±ÔÄ¢À¸·Î Çϳª¾¿ ½ÃÀÛÇÕ´Ï´Ù.
Æ÷Æ®Æ÷¿öµùÀ¸·Î Çϳª¾¿ ÁöÁ¤ÇÏ¸é µË´Ï´Ù.
2¹ø ±ÔÄ¢Àº ¼Ò½ºÀÎ ·£¿¡¼ ¸ñÀûÁöÀÎ DMZÀ¸·Î ¾Æ¿ô¹Ù¿îµå µÇ´Â Æ®·¡ÇÈÀ» ¸·´Â°Å³×¿ä.
°á±¹Àº 1,2¹ø µÑ´Ù ·£¿¡¼ DMZÀ¸·Î °¡´Â Æ®·¡ÇÈÀ» ¸·´Â Áߺ¹µÇ´Â ±ÔÄ¢ÀÌ µÇ´Â °ÍÀ¸·Î º¸ÀÔ´Ï´Ù.
¼Ò½º¸¦ ·£, ¸ñÀûÁö¸¦ DMZÀ¸·Î °íÁ¤
¶Ç´Â ¼Ò½º¸¦ DMZ ¸ñÀûÁö¸¦ LAN À¸·Î °íÁ¤ Çؼ ÀÎ,¾Æ¿ô µÎ°³ ¸¸µé¸é µÉ°Å°°½À´Ï´Ù.
¼Ò½º DMZ ¸ñÀûÁö ·£ À¸·Î ÀÎ,¾Æ¿î ºí·°.
¾Æ¿¹ ±ÔÄ¢À» 4°³ ½á¼ È®½ÇÇÏ°Ô Æ²¾î¸·¾Æµµ µÇ°Ú³×¿ä.