DMZ에서 LAN으로 오고 가는 모든 트래픽을 차단하려면 규칙을 어떻게 생성해야하나요?

쓰기

DMZ에서 LAN으로 오고 가는 모든 트래픽을 차단하려면 규칙을 어떻게 생성해야하나요?

howl2010

2023-07

2023-07-06 23:14:18

조회 2086 추천 0

일단 DMZ에 허니팟을 둘 예정이라 내부망으로 공격이 들어올 것을 우려하여 접근 자체를 일단 다 막고 추후에 필요한 부분만 뚫는 화이트리스트 방식으로 진행할 예정인데 제가 생성한 규칙은

interface: LAN

action: block

derection: in

source: DMZ net

destination: LAN net

interface: LAN

action: block

derection: out

source: LAN net

destination: DMZ net

이렇게 해서 첫번째는 DMZ에서 LAN으로 오는 inbound 트래픽을 차단하려고 한 것이고 두번째는 LAN에서 DMZ로 가는 outbound를 차단하려고 만든 규칙입니다. 근데 제가 방화벽 만진지 얼마 안되어서 이게 맞는 규칙인지 잘 모르겠습니다. 그리고 나중에 DMZ의 로그를 LAN으로 전달할 필요가 생길텐데 그 때도 최대한 보안상 덜 위험한 방향으로 어떻게 해야 할 지도 고민입니다.

짧은글 일수록 신중하게.



술이 2023-07 기본값 출발은 ANY to ANY 인아웃 차단으로 시작합니다. 끝순위... 그다음 허용 규칙으로 하나씩 시작합니다. 기본값 출발은 ANY to ANY 인아웃 차단으로 시작합니다. 끝순위... 그다음 허용 규칙으로 하나씩 시작합니다.



howl2010 2023-07 아 제가 용어를 잘못 사용한 것 같네요. DMZ to LAN을 전부 다 막고 하나씩 뚫을 예정으로 말씀드린 것이었습니다 실수했습니다 아 제가 용어를 잘못 사용한 것 같네요. DMZ to LAN을 전부 다 막고 하나씩 뚫을 예정으로 말씀드린 것이었습니다 실수했습니다



엠브리오 2023-07 DMZ 기능은 비활성화 시키고 포트포워딩으로 하나씩 지정하면 됩니다. DMZ 기능은 비활성화 시키고 포트포워딩으로 하나씩 지정하면 됩니다.



sbg2005 2023-07 저렇게 하면 1번 규칙은 목적지인 랜에서 소스인 DMZ으로 인바운드 되는 트래픽을 막는거고 2번 규칙은 소스인 랜에서 목적지인 DMZ으로 아웃바운드 되는 트래픽을 막는거네요. 결국은 1,2번 둘다 랜에서 DMZ으로 가는 트래픽을 막는 중복되는 규칙이 되는 것으로 보입니다. 소스를 랜, 목적지를 DMZ으로 고정 또는 소스를 DMZ 목적지를 LAN 으로 고정 해서 인,아웃 두개 만들면 될거같습니다. 저렇게 하면 1번 규칙은 목적지인 랜에서 소스인 DMZ으로 인바운드 되는 트래픽을 막는거고 2번 규칙은 소스인 랜에서 목적지인 DMZ으로 아웃바운드 되는 트래픽을 막는거네요. 결국은 1,2번 둘다 랜에서 DMZ으로 가는 트래픽을 막는 중복되는 규칙이 되는 것으로 보입니다. 소스를 랜, 목적지를 DMZ으로 고정 또는 소스를 DMZ 목적지를 LAN 으로 고정 해서 인,아웃 두개 만들면 될거같습니다.



sbg2005 2023-07 아니면 소스 랜, 목적지 DMZ 으로 인,아웃 블럭, 소스 DMZ 목적지 랜 으로 인,아운 블럭. 아예 규칙을 4개 써서 확실하게 틀어막아도 되겠네요. 아니면 소스 랜, 목적지 DMZ 으로 인,아웃 블럭, 소스 DMZ 목적지 랜 으로 인,아운 블럭. 아예 규칙을 4개 써서 확실하게 틀어막아도 되겠네요.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

407/5716

번호	제목Page 407/5716	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (736)	정은준1	2014-05	5201694	0
[필독] 처음 오시는 분을 위한 안내 (736) 2014-05 5201694 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (234)	백메가	2015-12	1734465	25
(광고) 단통법 시대의 인터넷가입 가이드(… (234) 2015-12 1734465 1 백메가
106193	슈마 AOC-S3908L-H8IR-16DD-O RAID CARD bios 에서 진입하는 방법 (질문2) (1)	술이	2023-04	2081	0
슈마 AOC-S3908L-H8IR-16DD-O RAID CARD b… (1) 2023-04 2081 1 술이
106192	다산ap w110 메뉴얼 구할수 있나요? (4)	뽀칠이	2023-06	2081	0
다산ap w110 메뉴얼 구할수 있나요? (4) 2023-06 2081 1 뽀칠이
106191	주차장 회전중 사고 과실비율 판단이 가능할까요? (동영상) (17)	안규민	2022-05	2081	0
주차장 회전중 사고 과실비율 판단이 가능… (17) 2022-05 2081 1 안규민
106190	UTM과 L2스위치로 내부망 구성중 두뇌 지능부족으로 과부하에 빠졌습니다 (13)	치킨좋아요	2023-11	2081	0
UTM과 L2스위치로 내부망 구성중 두뇌 지… (13) 2023-11 2081 1 치킨좋아요
106189	스마트 수도 계량기를 읽을 수 있을까요? (5)	배상0원	2021-11	2081	0
스마트 수도 계량기를 읽을 수 있을까요? (5) 2021-11 2081 1 배상0원
106188	(헤놀로지)2개랜 사용중인데,무선랜카드로 3개본딩 가능할까요? (2)	타기님	2021-10	2081	0
(헤놀로지)2개랜 사용중인데,무선랜카드로… (2) 2021-10 2081 1 타기님
106187	DIMM 랭크에서 2R 외에 앞의 2SR 2DR 의미는 뭔가요? (12)	딥마인드	2023-03	2082	0
DIMM 랭크에서 2R 외에 앞의 2SR 2DR 의미… (12) 2023-03 2082 1 딥마인드
106186	lsi 9207 카드로 4tb 2개 각각 단일 드라이브로 사용 가능할까요? (12)	아리강강	2023-05	2082	0
lsi 9207 카드로 4tb 2개 각각 단일 드라… (12) 2023-05 2082 1 아리강강
106185	슈마 X10DRL-i 설정 관련 질문있습니다. (1)	다두	2023-07	2082	0
슈마 X10DRL-i 설정 관련 질문있습니다. (1) 2023-07 2082 1 다두
106184	DIY PC Test Bench ITX MATX ATX Motherboard Open Air Frame 포함된 것의 용도가 뭔… (8)	죠슈아	2023-05	2082	0
DIY PC Test Bench ITX MATX ATX Motherbo… (8) 2023-05 2082 1 죠슈아
106183	end Kernel panic ??? (3)	네이쳐	2024-06	2082	0
end Kernel panic ??? (3) 2024-06 2082 1 네이쳐
106182	놋북용 제온시피유는 GPU(?)가 없나요? (3)	NiteFlite9	2020-01	2082	0
놋북용 제온시피유는 GPU(?)가 없나요? (3) 2020-01 2082 1 NiteFlite9
106181	케이블 타이 문의 드립니다. (8)	제주김재민	2022-07	2082	0
케이블 타이 문의 드립니다. (8) 2022-07 2082 1 제주김재민
106180	TV가 켜고 한참 후에 켜지면 이게 백라이트 문제라고 해야 하나요? (2)	신은왜	2021-02	2083	0
TV가 켜고 한참 후에 켜지면 이게 백라이… (2) 2021-02 2083 1 신은왜
106179	게이트웨이 관련 (2)	데놉	2020-11	2083	0
게이트웨이 관련 (2) 2020-11 2083 1 데놉
106178	채굴 해보신분 P106 100과 Rx470 질문 점... (14)	승리의샌디…	2024-06	2083	0
채굴 해보신분 P106 100과 Rx470 질문 점.… (14) 2024-06 2083 1 승리의샌디…
106177	미크로틱에서 ISP, ASN 차단 (4)	파리대왕	2023-06	2083	0
미크로틱에서 ISP, ASN 차단 (4) 2023-06 2083 1 파리대왕
106176	Intel UHD Graphics 630 에서 HDIMI 소리 출력이 안되네요. (4)	정상억	2024-06	2083	0
Intel UHD Graphics 630 에서 HDIMI 소리 … (4) 2024-06 2083 1 정상억
106175	혹시 hp dl380 gen8 spp가지고 계신분 공유가능할까요? (2)	김동혁1	2022-01	2083	0
혹시 hp dl380 gen8 spp가지고 계신분 … (2) 2022-01 2083 1 김동혁1
106174	areca 1880 raid controller 부팅 인식.. 도와주세요	박문형	2021-06	2084	0
areca 1880 raid controller 부팅 인식.. … 2021-06 2084 1 박문형