방화벽을 설정하는 6단계

새 무선 라우터를 설정한 후에는 방화벽을 설정할 수 있습니다. 방화벽 설정 작업은 까다로워 보일 수도 있습니다. 하지만 여기서 설명하는 간단한 6단계를 따르면 방화벽을 쉽게 설정하여 네트워크 보안을 철저하게 유지할 수 있습니다. 방화벽 설정 단계는 다음과 같습니다.

1단계: 방화벽 보호

방화벽 관리를 위한 액세스 권한은 신뢰할 수 있는 사용자에게만 제공해야 합니다. 공격자의 액세스를 차단하려면 다음 설정 작업 중 하나 이상을 수행하여 방화벽을 보호하십시오.

• 벤더에서 권장하는 최신 펌웨어로 방화벽을 업데이트합니다.
• 기본 사용자 계정을 삭제/비활성화하거나 이름을 바꾸고 기본 암호를 모두 변경합니다. 복잡하고 안전한 암호만 사용합니다.
• 방화벽 관리자가 여러 명이면 업무에 따라 권한이 제한된 계정을 추가로 생성합니다. 공유 사용자 계정은 사용하지 않습니다. 변경을 수행한 사용자, 변경된 내용 및 변경 이유를 추적합니다. 변경 시의 책임 소재를 분명히 하면 효율적인 실사가 가능합니다.
• 변경을 수행할 수 있는 사용자를 제한하여 공격 표면을 줄입니다. 가령 기업 내 신뢰할 수 있는 서브넷에서만 변경이 가능하도록 설정할 수 있습니다.

2단계: 방화벽 영역 및 IP 주소 설계

네트워크 자산을 가장 효율적으로 보호하려면 먼저 보호 대상 자산을 파악해야 합니다. 업무/애플리케이션 관련 요구와 유사한 민감도 레벨/기능에 따라 자산이 그룹화되어 네트워크(영역)로 결합되는 구조를 계획합니다. 더 쉬운 설계를 위해 모든 자산을 플랫 네트워크 하나에 포함해서는 안 됩니다. 네트워크를 쉽게 설계할수록 공격을 받기도 쉽기 때문입니다.

이메일, VPN 등 웹 기반 서비스를 제공하는 모든 서버는 전용 영역으로 구성해야 합니다. 대개 DMZ(비무장 지대)라고도 하는 이 영역은 인터넷의 인바운드 트래픽을 제한합니다. 또는 인터넷에서 직접 액세스하지 않는 서버를 내부 서버 영역에 배치해야 합니다. 이러한 영역에는 대개 데이터베이스 서버, 워크스테이션, 그리고 POS(Point of Sale) 또는 VoIP(Voice over IP) 디바이스가 포함됩니다.

IP 버전 4를 사용 중이라면 모든 내부 네트워크에 내부 IP 주소를 사용해야 합니다. 그리고 필요 시 내부 디바이스가 인터넷에서 통신할 수 있도록 NAT(네트워크 주소 변환)를 구성해야 합니다.

네트워크 영역 구조를 설계하고 해당 IP 주소 체계를 설정한 후에는 방화벽 영역을 생성하여 방화벽 인터페이스나 하위 인터페이스에 할당할 수 있습니다. 네트워크 인프라를 구축할 때는 VLAN(가상 LAN)을 지원하는 스위치를 사용해 네트워크를 2레벨로 분리해야 합니다.

3단계: 액세스 제어 목록 구성

네트워크 영역을 설정하여 인터페이스에 할당한 후에는 ACL(액세스 제어 목록)이라는 방화벽 규칙 생성을 시작합니다. ACL에 따라 각 영역에서 전송/수신할 수 있는 권한이 필요한 트래픽이 결정됩니다. 즉, ACL은 서로 통신할 수 있는 요소를 결정하는 구성 요소라 할 수 있습니다. ACL에서 통신을 허용하는 요소 외의 항목은 차단됩니다. 가능한 경우에는 항상 각 방화벽 인터페이스나 하위 인터페이스에 적용하는 ACL을 최대한 구체적으로 생성해야 합니다. 즉, 정확한 소스 및/또는 대상 IP 주소와 포트 번호를 포함해야 합니다. 승인되지 않은 트래픽을 필터링하려면 모든 ACL 끝에 "모두 거부" 규칙을 생성합니다. 그런 다음 각 인터페이스에 인바운드 ACL과 아웃바운드 ACL을 모두 적용합니다. 가능한 경우에는 방화벽 관리 인터페이스의 공용 액세스를 비활성화합니다. 앞에서도 설명한 것처럼, 이 단계에서는 애플리케이션이 정상 작동하는지를 테스트해야 할 뿐 아니라 액세스를 허용하지 않을 항목을 최대한 구체적으로 설정해야 합니다. 차세대 레벨 흐름을 제어하는 방화벽 기능을 확인하여 웹 범주를 기준으로 트래픽을 차단할 수 있는지, 고급 파일 스캔을 설정할 수 있는지, 일정 레벨의 IPS 기능이 포함되어 있는지를 파악합니다. 이러한 고급 기능은 유료이므로 이와 같은 "다음 단계"를 꼭 진행해야 합니다.

4단계: 기타 방화벽 서비스 및 로깅 설정

원하는 경우 방화벽이 DHCP(Dynamic Host Configuration Protocol) 서버, NTP(Network Time Protocol) 서버, IPS(침입 방지 시스템) 등으로 작동하도록 설정하고 사용하지 않으려는 서비스는 비활성화합니다.

PCI DSS(Payment Card Industry Data Security Standard) 요구 사항을 충족하려면 로깅 서버에 보고를 하도록 방화벽을 설정하고, PCI DSS의 요구 사항 10.2~103을 충족할 수 있는 세부 정보가 포함되는지 확인합니다.

5단계: 방화벽 설정 테스트

먼저 방화벽이 ACL 설정에 따라 차단해야 하는 트래픽을 차단하는지를 확인합니다. 이 과정에서는 취약점 스캔과 침투 테스트를 모두 진행해야 합니다. 오류가 발생할 경우에 대비해 방화벽 설정의 보안 백업을 보관해 두어야 합니다. 모든 확인이 완료되면 방화벽을 프로덕션 환경에 적용할 수 있습니다. 마지막으로, 원래 설정으로 되돌리는 프로세스를 테스트합니다. 방화벽을 변경하기 전에 복구 절차를 문서로 작성하고 테스트합니다.

6단계: 방화벽 관리

방화벽을 설정하여 실행한 후에는 최적 상태로 작동하도록 유지 보수해야 합니다. 펌웨어를 업데이트하고, 로그를 모니터링하고, 취약점 스캔을 수행하고, 6개월마다 설정 규칙을 검토하십시오.

다음 단계

이 문서에서 설명한 단계를 따르면 방화벽을 쉽게 설정할 수 있습니다. 이제 네트워크 보안 전문가가 되었다고 해도 과언이 아닙니다. 추가 지원을 받으려면 중소기업 커뮤니티를 방문하십시오. 이 커뮤니티에서는 자주 하는 질문과 답변을 확인할 수 있습니다. 그리고 사업 유형과 겪고 있는 IT 관련 문제가 비슷한 타 업체의 사례도 살펴볼 수 있습니다.