안녕하세요...
제가 네트워크를 잘 몰라서요...
IDC 코로케이션을 위하여 문의드립니다.
코로케이션이면 모든 장비를 구매해서 IDC RACK공간만 빌려서 운영하는 걸로 알고있는데요
현재 KT서비스를 위해서 VPN(UTM)장비 + 공용인터넷을 위한 방화벽
아래 L3 L2를 놓으면 운영에 문제 없는 네트워크 환경인지 모르겠어서요... ( 첨부파일 참조 요청 )
서버가 들어가면 L4가 반드시 들어가야하는건가요??
별도 웹 방화벽이나 이런건 안들어가도 되나요?
들어가야한다면 어느위치에 들어가야하는지...
전문가 분들이 보시기에 좀더 효율적인 네트워크 인프라가 어떻게 되는가요?
도움이 필요합니다 부탁드려요
8개의 답변이 있습니다.
기본적으로 IDC 코로케이션 서비스를 받는다면 IDC에서 제공해주는 서비스와 기술지원도 포함되어 있을 겁니다. 단순히 랙 사용, 회선 사용 정도만 하는 것이 아닙니다.
물론 보안에 대한 정책은 IDC를 이용하는 담당자가 수립하는 것이지만, IDC에도 자체적으로 그러한 고객들의 정보시스템을 보호하기 위한 자체 보안 정책이 수립되어 있습니다.
특히 KT의 경우는 이러한 부분이 잘 갖춰진 곳이기에 지원 받을 수 있는 것이 무엇인지 충분히 상담해 보시고 L4 든 , 웹방화벽이든 기타 등등 보안 솔루션을 강화해 나가면 될것입니다. 또한 솔루션 도입이 부담된다면 IDC에서 임대하여 설치, 운영도 가능하고 정기점검도 비용이 들지만 해줍니다.
회사에서 하는 업무의 특성을 고려하여 강화할 것인지 기본적인 부분만 갖출 것인지 결정하면 비용면에서도 부담은 덜 할 것이고 관리 운영면에서도 도움받을 수 있으니 충분한 상담후에 결정해보세요.
문의 내용에 대한 의견을 드린다면,
L4의 목적을 우선 파악하신 후 적용할지 말지 결정하면 될것 같은데, 그림상으로 서버 이중화가 되어 있고 영상 송출 등의 역할을 한다면 부하분산 등을 위해 L4가 도움이 될 것입니다.
그리고, 웹방화벽도 그 역할을 우선 파악하신 후 웹 취약점에 대한 보완이 필요한지 사전예방을 위해 필요하겠다 싶으면 적용하면 도움이 됩니다. 없으면 아무래도 취약한 부분이 생길 수 있는 여지가 다분하니까요. 요즘같은 사이버위협이 여기저기에서 창궐하는 세상에서는 더더욱요.
다들 전문적인 답변들을 많이 하셔서
L4는 선택사항이고 이중화와 부하분산이 목적입니다. 중요한 서비스나 부하가 큰 서비스면 필요합니다.
웹방화벽은 웹서비스하는 서버가 있으면 있어야 하는데요. 구성도에선 안보일 수 있으니 문의하셔야 합니다.
코로케이션이면 utm 방화벽을 두고 그외 web-was서비스를 중점적으로 하려면 L4를 두는게 맞습니다. 서비스를 어떻게 하느냐에 따라 다르니까요
일단 먼저 답변주신 분들 내용이면 기본 그림을 그릴 것 같고
기본 그림을 그린 후는 솔루션 업체에 문의하세요.
글쓴분의 경우는 영상 송출/수신 ~~~ 패키지를 사용하는 것 같은데
이쪽 업체에 네트웍 구성을 어떻게 하는게 좋은지 문의하시기 바랍니다.
서비스 네트웍 구성에 필요한 기본적인 요청사항이 있을 겁니다.
L3밑에 직접 붙여달라던지, L4를 놓아달라던지, 특정 포트가 필요하다던지
주는 대로 쓴다는 패키지가 대다수이긴 하지만
가끔 특이한 요청이 있는 경우도 있어서 꼭 확인해야 합니다.
L4의 경우 이중화 한다고 무조건 들어가는 것은 아닙니다.
패키지 자체에서 L4역할을 대신하는 경우도 있고,
L4가 놓일 경우 오히려 라우팅이 꼬이는 케이스도 있습니다.
패키지 업체에 확인하고 결정하는게 좋습니다.
L4 포트수가 많고 장비수가 더 적다면 L3-L4-서버 두시는게..
가능한 자중간 장비를 줄이는게 비용도 적게 들고
장애시 복구도 빠릅니다.
코로케이션 구성 장비의 규모, 보안수준 레벨에 따라 좀 다를것 같지만,
일반적으로는 UTM이나 방화벽 있으면 큰 문제는 없습니다.
L3, L2도 장비의 규모에 따라 다를 수 있습니다. 위 구성상으로는 L3정도만 있어도 될것 같구요.
외부 영상 서비스를 하시려고 하는것 같은데요.
이런 경우는 L4를 두시는게 성능, 안정성면에서 좋을것 같습니다.
L4는 부하분산도 가능하고 한쪽 서버 장애 발생했을때 다른 한쪽 서버로 계속적으로 서비스가
가능하게도 지원됩니다.
일반적으로 UTM 또는 방화벽 하나만 사용하죠.
둘 모두 사용해도 되긴하지만...
UTM이 방화벽 역할까지 하는 장비가 되겠고요.
VPN은 방화벽에 기본으로 포함되어 있는 기능이기 때문에... 방화벽 장비에 포함된 VPN 기능을 이용하면 될 것 같고요.
UTM도 방화벽 기능을 포함하고 있는 장비이기 때문에 VPN 기능이 당연히 포함되어 있고요.
어떤 특정한 목적이 있기 때문에 UTM, 방화벽을 별도 운영하는 거라면 모를까...
특정한 목적이 있는 것이 아니라면... 굳이 UTM과 방화벽 둘 모두를 함께 운영할 필요가 없을것 같습니다.
괜히 구성만 복잡해 지고, 할당해야할 공인 IP 수량도 많아지고, 장비에도 비용이 추가 투자되어야 해서 불필요한 비용의 증가와 관리의 복잡함만 증가 시키게 되는 요인이 될 것 같고요.
L4 스위치는 부하 분산이 필요한 서버 앞단에 사용하면 됩니다.
여러대의 동일한 서비스를 운영하는 서버를 두고 서버에 대한 부하 분산이 필요하다면 L4 스위치를 사용하면 되겠지만... 부하 분산이 필요한 것이 아니라면... 굳이 L4 스위치를 이용해야 할 필요가 있는 것도 아니겠고요.
스위치도 L2, L3로 구분해서 굳이 도입할 필요가 있지 않습니다.
L2 스위치나 L3 스위치나 거의 유사한 기능을 합니다.
단지 L3 스위치에 라우팅 기능이 포함되어 있기 때문에 여러개의 하위 네트워크로 구분해서 구성할 경우에 라우트 장비를 통하지 않고서 스위치 내에서 바로 라우팅을 하게 만들 필요가 있을 경우에 L3 스위치를 사용하면 되겠지만...
라우팅 기능이 필요하지 않더라도 L3 스위치로 통일해서 사용해도 무방할 것 같습니다.
라우팅 기능이 필요하지 않고, 비용을 조금이라도 더 절감하기를 바란다면 L2 스위치로 통일해서 사용해도 될 것 같고요.
wansoo | 12일 전
그리고...
웹서버를 운영할 경우에는 웹서버 앞단에 웹 방화벽을 넣어주는게 보안에 도움이 되겠고요.
보안이라는 건 없어도 기본 서비스는 되지만 만약의 경우에 발생할 위험을 대비한 것이기 때문에... 보안이 없어도 기본 운영은 되지만 보안을 고려하지 않을 경우에 위험에 대한 대비가 되지 않아 치명적인 문제가 발생할 수도 있기 때문에...
만약의 경우에 대한 위험에 대비하기 보안이 필요하다고 생각하면 되겠고요.
웹 방화벽도 웹 서비스에 대한 만약의 상황에 대한 대비가 필요하다고 생각한다면 웹 방화벽을 사용하는 것이 좋을거라 생각되네요.
■ 코로케이션이면 모든 장비를 구매해서 IDC RACK공간만 빌려서 운영하는 걸로 알고있는데요
-> 네 맞습니다. 공간이랑 전용회선(최상단 인터넷회선) 포함된 것으로 생각하시면 됩니다.
■현재 KT서비스를 위해서 VPN(UTM)장비 + 공용인터넷을 위한 방화벽
아래 L3 L2를 놓으면 운영에 문제 없는 네트워크 환경인지 모르겠어서요...
-> 네 문제 없습니다.
■ 서버가 들어가면 L4가 반드시 들어가야하는건가요??
-> L4는 보통 서버 2대가 있을 시에 로드발란싱이라고 해서, DMZ구간에 대외서비스를 하는 서버가 있으면
원할한 서비스를 위한 목적으로 설치운영합니다.
꼭 서버가 있다고 해서 L4를 할 필요는 없습니다.
- 별도 웹 방화벽이나 이런건 안들어가도 되나요?
-> 웹방화벽도 대외서비스를 하는데 있어 조금이나마 보안에 신경쓰기 위한 목적이니 꼭 하지 않아도 무방합니다.
에이스퐝 | 12일 전
추가로 만약 L4나 웹방화벽을 설치하시려고 하면,
보통 인터넷 - 라우터 - 방화벽 - 웹방화벽 - L4 - 서버
이런식으로 구성합니다.
kjm | 12일 전
대외서비스를한다라고 했을때 L4가 어느위치에 들어가야하나요?
이중화를 하고 안하고 구성이 많이 틀려지나요?
L4를 구성하는 스펙의 기준은 어떤것이 있는것인가요?
웹방화벽이 들어간다고 하면 위치가 어디 인가요?
이것도 스펙의 기준이 있나요?
에이스퐝 | 12일 전
대외서비스를 한다고 하면 보통 방화벽 밑에 사용자망, DMZ망으로 구분합니다.
그러면 방화벽 밑에 인터페이스를 하나 주고 거긴 DMZ망이라고 하고 거기 밑에 웹방화벽을 두고 그 밑에 L4를 두고 그 밑에 이중화를 할 서버를 두면 됩니다.
보통 스펙은 L4 구성하게 되면 대외서비스를 할 세션 및 트래픽양에 따라 장비 구매시 담당자가 알려줍니다.
그리고 웹방화벽도 보통 10G급 이상만 되면 무리없으리라 생각됩니다.
kjm | 12일 전
답변 감사드립니다.
혹시 제가 첨부해 드린 구성도에서 L3와 L2사이에 웹 방화벽과 L4가 오면 되는건가요??
에이스퐝 | 12일 전
아니죠.
L4는 서버 부하 분산이 필요한 서버 앞단에 설치해야 됩니다.
제가 보기에 UTM장비와 방화벽 사이의 L3는 불필요해 보입니다. L3는 라우팅을 하기 위함인데,
이미 UTM과 방화벽이 있는데 그사이에 L3는 필요가 없습니다.
KT IDC를 이용하면 UTM 장비위의 KT 라우터가 있을 테고, 그 밑에 UTM - 그리고 거기에 DMZ구간을 두면 되고 그리고 방화벽 장비는 내부에 두는게 맞을것 같습니다.