방화벽에서 서브넷팅해서 나눠써도 될까요?

쓰기

방화벽에서 서브넷팅해서 나눠써도 될까요?

김돼훈

2016-10

2016-10-31 19:18:30

조회 10566 추천 0

안녕하세요.

이번에 서브넷을 나누어 IP 대역대를 줄여보려고합니다.

기존 네트워크는 (보안상 사설IP) 192.168.10.0/24 대역을 가지고 있었으며, 방화벽에 지정된 룰 이외에 any IP는 차단된 상태였습니다.

그런데 점점 any IP를 요구하는 서비스가 많아져 오픈을 하려고 했으나 모든 IP(서버)가 하나의 네트워크로 연결되어 있다보니 보안상 꺼려지는 부분이였습니다.

따라서 서브넷팅을 하여 192.168.10.0/27 32개씩 4개의 네트워크 대역으로 나누어 외부 접속이 필요한 서버는 한곳에 몰아두고 나머지는 접근을 차단하려고 합니다.

막상 하려고보니 스위치가 아닌 최상위 방화벽에서 나누는 방법밖에 떠오르지 않습니다.

방화벽에서 서브넷팅하여 중간의 L3 스위치를 제거하고 각각의 스위치로 연결하고자 하는데 방화벽이 버텨줄까요?

또한 주의해야할 부분이 있으면 알려주시면 고맙겠습니다.

(p.s: 방화벽 제품은 서브넷팅 기능을 지원하는것으로 확인되었습니다.)



Blank 2016-10 방화벽은 방화벽의 기능만 하게끔 놔두는 것이 좋을 듯 합니다. 방화벽 기종에 따라서 내부-내부 의 통신에도 정책을 넣어줘야 하는 경우가 있고 내부구간에서 다른 서브넷으로 이동시에 라우팅이 되기에 방화벽의 성능을 저하 시키는 경우가 있을 듯 합니다. Before의 디자인에서 L3로 서브네팅을 하는 것이 나을듯 합니다. 방화벽은 방화벽의 기능만 하게끔 놔두는 것이 좋을 듯 합니다. 방화벽 기종에 따라서 내부-내부 의 통신에도 정책을 넣어줘야 하는 경우가 있고 내부구간에서 다른 서브넷으로 이동시에 라우팅이 되기에 방화벽의 성능을 저하 시키는 경우가 있을 듯 합니다. Before의 디자인에서 L3로 서브네팅을 하는 것이 나을듯 합니다.



파닥파닥 2016-10 L3 스위치보단 방화벽이 정책 넣기는 쉬우니 FW으로 트래픽을 올리고 방화벽에서 모든 정책을 제어하는 방법도 좋습니다. (vlan 간 정책 제어를 해야 한다면) 단 고려해야 할것이 1. 보통 많은 방화벽 장비들이 '기능을 지원한다' 와 '잘 쓸수 있다가' 많이 다릅니다. - subnet 기능과 trunk 기능을 아주 잘 지원한다가... 레퍼런스가 있지 않는한은 저가형 장비에선 믿지 않습니다. 2. vlan 간의 (inside) 트래픽과 방화벽 바깥 (outside) 의 트래픽을 모두 방화벽이 처리해야 합니다. - 보통 방화벽 장비들의 Max Throughput 은 inside 1 port ---- outside 1 port 의 구간을 측정하는 경우가 많습니다. - After 와 같이 구성하게 되면 4개 inside 인터페이스 끼리 흘러가는 트래픽과 각 4개에서 바깥으로 나가는 outside 트래픽까지 해서 총 5종류 이상의 트래픽을 방화벽이 처리해야 합니다. 3. 보통 "2번" 경우 때문에 L3 을 밑에 두고, VLAN 간의 트래픽을 간단한 정책으로 제어하는 경우가 많습니다. - 앞에 "Blank" 님 말씀처럼 Before 구성에 L3 을 사용하여 subnet 구성을 하고, L3 - FW 간을 별도의 '조그마한' 네트워크를 만들어 장비간에 route 해서 넘겨주는 것을 권장합니다. L3 스위치보단 방화벽이 정책 넣기는 쉬우니 FW으로 트래픽을 올리고 방화벽에서 모든 정책을 제어하는 방법도 좋습니다. (vlan 간 정책 제어를 해야 한다면) 단 고려해야 할것이 1. 보통 많은 방화벽 장비들이 '기능을 지원한다' 와 '잘 쓸수 있다가' 많이 다릅니다. - subnet 기능과 trunk 기능을 아주 잘 지원한다가... 레퍼런스가 있지 않는한은 저가형 장비에선 믿지 않습니다. 2. vlan 간의 (inside) 트래픽과 방화벽 바깥 (outside) 의 트래픽을 모두 방화벽이 처리해야 합니다. - 보통 방화벽 장비들의 Max Throughput 은 inside 1 port ---- outside 1 port 의 구간을 측정하는 경우가 많습니다. - After 와 같이 구성하게 되면 4개 inside 인터페이스 끼리 흘러가는 트래픽과 각 4개에서 바깥으로 나가는 outside 트래픽까지 해서 총 5종류 이상의 트래픽을 방화벽이 처리해야 합니다. 3. 보통 "2번" 경우 때문에 L3 을 밑에 두고, VLAN 간의 트래픽을 간단한 정책으로 제어하는 경우가 많습니다. - 앞에 "Blank" 님 말씀처럼 Before 구성에 L3 을 사용하여 subnet 구성을 하고, L3 - FW 간을 별도의 '조그마한' 네트워크를 만들어 장비간에 route 해서 넘겨주는 것을 권장합니다.



김돼훈 2016-11 blank님 파닥님 답변감사드립니다. 두분께서 말씀하신 방법으로 L3에서 서브넷을 나누어 진행하도록 해야겠습니다. 말씀중에 방화벽과 L3 장치에 '조그만한' 네트워크를 만들라고 하셨는데, 이 부분은 사설IP로 처리를 해야겠지요? 그리고 L3에서 서브넷을 나누어 그 아래에 있는 L2 스위치로 나눠진 IP 대역이 할당된다면 서로 다른 대역간의 통신이 불가능한지 궁금합니다. 요구사항은 '다른 대역끼리는 통신이 불가능해야한다' 이지만 어떠한 이유로 안되는건지, 또는 통신이 된다면 어떤 정책(프로토콜)을 사용해서 막아야하는건지 알고싶습니다. 감사합니다! blank님 파닥님 답변감사드립니다. 두분께서 말씀하신 방법으로 L3에서 서브넷을 나누어 진행하도록 해야겠습니다. 말씀중에 방화벽과 L3 장치에 '조그만한' 네트워크를 만들라고 하셨는데, 이 부분은 사설IP로 처리를 해야겠지요? 그리고 L3에서 서브넷을 나누어 그 아래에 있는 L2 스위치로 나눠진 IP 대역이 할당된다면 서로 다른 대역간의 통신이 불가능한지 궁금합니다. 요구사항은 '다른 대역끼리는 통신이 불가능해야한다' 이지만 어떠한 이유로 안되는건지, 또는 통신이 된다면 어떤 정책(프로토콜)을 사용해서 막아야하는건지 알고싶습니다. 감사합니다!



Blank 2016-11 방화벽-L3 사이는 사설 IP Address로 처리를 합니다. 서로 다른 IP 대역간 통신을 하려면 L3를 거쳐서 통신을 해야 합니다. L3에서 VLAN/default routing 설정이 제대로 들어갔고, L3쪽에서 정책을 따로 넣지 않으면, 모든 대역간 통신이 가능 합니다. 그러기에, 다른 대역끼리는 통신이 불가능하게 하려면 정책을 따로 만들어줘야 할 것 같네요. 프로토콜은 any 로 하심 되구요. 방화벽-L3 사이는 사설 IP Address로 처리를 합니다. 서로 다른 IP 대역간 통신을 하려면 L3를 거쳐서 통신을 해야 합니다. L3에서 VLAN/default routing 설정이 제대로 들어갔고, L3쪽에서 정책을 따로 넣지 않으면, 모든 대역간 통신이 가능 합니다. 그러기에, 다른 대역끼리는 통신이 불가능하게 하려면 정책을 따로 만들어줘야 할 것 같네요. 프로토콜은 any 로 하심 되구요.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

네트웍

쓰기

20/103

번호	제목Page 20/103	글쓴이	날짜	조회	추천
1661	스위치 하나로 스팸장비 브릿지 연결 (5)	휴가구름	2017-11	11202	0
스위치 하나로 스팸장비 브릿지 연결 (5) 2017-11 11202 1 휴가구름
1660	Mikrotik - iPhone vpn 설정 방법 (2)	생맥주	2017-08	11202	0
Mikrotik - iPhone vpn 설정 방법 (2) 2017-08 11202 1 생맥주
1659	vpn 우회접속해도 특정 사용자 구별 가능한가요? (6)	리얼쿠퍼	2016-09	11194	0
vpn 우회접속해도 특정 사용자 구별 가능… (6) 2016-09 11194 1 리얼쿠퍼
1658	시스코 RV345(0) or 325(0) 어떤가요? (8)	다함께싸다구	2018-02	11191	0
시스코 RV345(0) or 325(0) 어떤가요? (8) 2018-02 11191 1 다함께싸다구
1657	소규모 병원 네트워크 구성 문의 드립니다. (23)	국가대포	2017-06	11145	2
소규모 병원 네트워크 구성 문의 드립니다. (23) 2017-06 11145 1 국가대포
1656	녹스같은 안드로이드 에뮬레이터 네트워크 브릿지모드 사용갯수… (2)	선더더어우우	2019-07	11125	0
녹스같은 안드로이드 에뮬레이터 네트워크… (2) 2019-07 11125 1 선더더어우우
1655	MikroTik CRS510-8XS-2XQ-IN 스위치 괜찮은가요? 혹시 사용해 … (1)	농부76	2023-08	11124	0
MikroTik CRS510-8XS-2XQ-IN 스위치 괜찮… (1) 2023-08 11124 1 농부76
1654	KT 인터넷의 경우 홈 네트워크 어떻게 구성하시나요 (6)	부자되소	2016-11	11123	0
KT 인터넷의 경우 홈 네트워크 어떻게 구… (6) 2016-11 11123 1 부자되소
1653	ASUS AC58U HTTPS(SSL) 적용방법 (1)	작은악마	2018-07	11111	0
ASUS AC58U HTTPS(SSL) 적용방법 (1) 2018-07 11111 1 작은악마
1652	미크로틱에 대한 환상이 사라졌습니다. (초보자 시점) (29)	yootopia	2019-12	11102	0
미크로틱에 대한 환상이 사라졌습니다. (… (29) 2019-12 11102 1 yootopia
1651	Bond Mode-6 구성 문의 (2)	remonemo	2023-02	11085	0
Bond Mode-6 구성 문의 (2) 2023-02 11085 1 remonemo
1650	KT 10GIGA USB 젠더 속도테스트 입니다. (3)	MulGom	2019-07	11084	0
KT 10GIGA USB 젠더 속도테스트 입니다. (3) 2019-07 11084 1 MulGom
1649	MikroTik hAP ac에 대해 질문드립니다. (4)	Nautilus	2016-06	11082	1
MikroTik hAP ac에 대해 질문드립니다. (4) 2016-06 11082 1 Nautilus
1648	넷기어 R7000 멀린펌에 프린터 캐논 mx437 연결됬는� (1)	나노큐브	2017-01	11079	0
넷기어 R7000 멀린펌에 프린터 캐논 mx437… (1) 2017-01 11079 1 나노큐브
1647	소규모 랜더팜에 적당한 10G 스위치 추천좀 해주세요. (16)	jang	2016-01	11072	0
소규모 랜더팜에 적당한 10G 스위치 추천… (16) 2016-01 11072 1 jang
1646	인터넷회선이 두개있는데 어떻게활용해야할까요? (6)	행복하세	2015-10	11071	1
인터넷회선이 두개있는데 어떻게활용해야… (6) 2015-10 11071 1 행복하세
1645	옆 사무실과 내부 기가인터넷망 구축이 가능할까요? (9)	큰곰하우스	2017-11	11066	0
옆 사무실과 내부 기가인터넷망 구축이 가… (9) 2017-11 11066 1 큰곰하우스
1644	10g 랜카드 x540 (6)	po2481	2022-12	11060	0
10g 랜카드 x540 (6) 2022-12 11060 1 po2481
1643	한 방화벽에서 일부포트만 다른 방화벽으로 AP처럼 routing 없… (3)	Psychophysi…	2014-12	11056	2
한 방화벽에서 일부포트만 다른 방화벽으… (3) 2014-12 11056 1 Psychophysi…
1642	VPN을 연결한 상태에서 파일 공유가 불가능한 현상 (Network Di… (5)	TeslaLAB	2017-04	11041	2
VPN을 연결한 상태에서 파일 공유가 불가… (5) 2017-04 11041 1 TeslaLAB