안녕하세요, 현재 회사에서 네트워크 구조를 파악하고 변경하려고 하는 중입니다. 방화벽 세션 로그에 특정 트래픽이 남지 않아 네트워크 트래픽 흐름을 재구성하고자 합니다. 아래에 현재와 변경하려는 네트워크 구조도를 첨부하였으며, 몇 가지 질문이 있어 조언을 부탁드립니다.
1.현재 네트워크 구조도
- 공인 IP 대역(-.-.190.0/24)**을 학교망에서 할당받아 각 사무실별 AP, NAS, 복합기 등에 할당하고, 기기들은 DHCP로 자동 IP를 할당받는 구조입니다.
- 방화벽에는 L3 인터페이스(192.168.20.0/24)가 설정되어 있으며, DLP 서버는 이 사설 IP 대역을 사용하고 있습니다.
- 그러나, 현재 기기들이 DLP를 거쳐 방화벽을 경유하는 트래픽 흐름이 명확하지 않습니다. 기기들이 방화벽을 경유하지 않고 외부로 나가는 것 같아 방화벽 세션 로그에 기록되지 않는 문제가 있습니다.
질문: 이 구조에서 각 사무실의 장비들이 방화벽을 거쳐 외부로 나가게 하려면 NAT 설정을 어떻게 해야 할까요? 현재 모든 트래픽이 방화벽을 통과하고 있지 않은데, 이 구조에서 모든 트래픽을 방화벽을 거쳐 나가게 할 수 있나요?2.변경하려는 네트워크 구조도
- 방화벽에서 L3 인터페이스(192.168.0/24) 대역을 사용하여 NAS, DLP, AP 등 주요 장비에 고정 IP를 할당하고, 나머지 장비들은 DHCP로 자동 IP를 할당받도록 설정하려 합니다.
- 모든 트래픽이 방화벽을 통과하게 하고, NAT를 192.168.0.x 대역을 공인 IP(-.-.190.-)**로 설정하려고 합니다.
질문: 변경하려는 구조에서 모든 트래픽이 방화벽을 통과하도록 하려면 NAT 설정을 어떻게 해야 할까요? 공인 IP를 하나만 사용하면서 NAT를 설정하는 것이 적절할까요? 또한, 이 구조에서 AP에 연결된 클라이언트들도 방화벽을 경유하게 하려면 추가 설정이 필요한지 궁금합니다.
추가적으로 질문드리고 싶은 내용:
- VLAN 설정: 네트워크를 논리적으로 분리하는 VLAN 설정을 함께 고려하고 있는데, NAS, DLP, AP 등을 서로 다른 VLAN에 배치하는 것이 네트워크 성능 및 보안에 유리할지 궁금합니다.
구조도는 첨부된 이미지를 참고해주시면 감사하겠습니다. 어떤 방식으로 NAT와 네트워크 구조를 변경하는 것이 최적일지 조언 부탁드립니다. 감사합니다!
6개의 답변이 있습니다.
현재 네트워크에서는 장비들이 방화벽을 경유하지 않고 외부로 나가는 문제가 있는 것으로 보입니다.
1. 방화벽에서 NAT를 설정하여 사설 네트워크(192.168.20.0/24 또는 192.168.0.0/24)의 모든 트래픽을 공인 IP로 변환하게끔 해야 합니다.
방화벽을 거쳐 나가게 하려면 각 장비의 게이트웨이를 방화벽으로 설정하고, NAT 설정을 통해 모든 트래픽을 공인 IP로 변환해야 합니다.
2. VLAN을 사용하면 네트워크를 더 세분화하여 보안성과 성능을 향상시킬 수 있으며, 이 과정에서 방화벽과 스위치의 추가 설정이 필요할 수 있습니다.
VLAN 설정은 네트워크를 논리적으로 분리하여 보안성과 성능을 향상시키는 데 유리할 수 있습니다. 특히 NAS, DLP, AP 등을 각각 다른 VLAN으로 분리하면 트래픽을 격리하고, 서로 간섭을 줄일 수 있습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입부서별 또는 업무별 VLAN 구성하시고 VLAN별 사설 IP 할당,,
보통 네트워크 장비, 복합기, PC/노트북, 유무선 구분해서 VLAN과 사설 IP 개별 할당하시면 관리하시기 편합니다.
공인 IP 사용할 장비들은 DMZ에 별도로 두시고 방화벽에선 NAT이용 하시면 됩니다.
보통은 이렇게 구성합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입1.질문: 이 구조에서 각 사무실의 장비들이 방화벽을 거쳐 외부로 나가게 하려면 NAT 설정을 어떻게 해야 할까요? 현재 모든 트래픽이 방화벽을 통과하고 있지 않은데, 이 구조에서 모든 트래픽을 방화벽을 거쳐 나가게 할 수 있나요?
-> 방화벽에서 IN/OUT 바운드 형태이다 보니 모든 트래픽을 확인할 수 있습니다.
NAT는 공인 IP 1개를 가지고 설정하는 방법과 여러 서비스를 여러 공인 IP를 NAT 걸어 IN/OUT
을 할수 있습니다. 현재 여러 IP가 아닌 대표 IP로 방화벽이 모든 트래픽을 체크하고 있습니다.
2.질문: 변경하려는 구조에서 모든 트래픽이 방화벽을 통과하도록 하려면 NAT 설정을 어떻게 해야 할 까요? 공인 IP를 하나만 사용하면서 NAT를 설정하는 것이 적절할까요? 또한, 이 구조에서 AP에 연 결된 클라이언트들도 방화벽을 경유하게 하려면 추가 설정이 필요한지 궁금합니다.
--> 1번질문과 동일 합니다. 현재 방화벽 데표 IP로 IN/OUT 바운드 모든 트래픽을 체크하고 있구요
AP는 AP컨트롤러가 있다면 해당 컨트롤러에서 체크하면되고 방화벽까지 추가할 필요
가 없을것 같습니다.
추가로 NAT는 DMZ 또는 내부 Zone에서 필요한 서비스를 외부 서비스를 하기 위해 설정되는
부분으로 NAT에 대한 정확힌 인지가 필요할것 같아요
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입1.현재 구성도에 따르면 당연히 모든 트래픽이.. 방화벽을 거치지 않고 외부로 나가게 되어 있네요..
보통 회사 구성에서는 어떤식으로 하느냐면.. 일단 ISP업체가 있고 그 밑에 L3라우터가 있고 그 밑에 방화벽을 둡니다. 그리고 그 방화벽 밑에 DMZ(대외서비스용)과 내부망(백본- 사내망) 그리고 인터넷망(내부에서 외부로 나가는 인터넷구간) 이런식으로 구성합니다. 공인IP가 남아돌기때문에 그 공인IP를 방화벽 네트워크인터페이스에 물리고 공인IP를 사용하는거죠. 보통 DMZ구간은 1:1 NAT를 시켜서 사용하고 인터넷망은 당연히 Normal NAT를 사용하고요. 내부사용자 다수가 방화벽 인터페이스 1개의 IP로 나가게 하는 1:N NAT죠.
그렇게 구성해야.. 내부의 NAS든 AP 든 전부 방화벽을 거쳐서 나가게 하여 트래픽을 볼수있고 제어를 할수가있겟죠.. 지금의 구성대로라면 당연히... 모든 NAS, AP 같은것들 트래픽은 볼수가 없죠....
2. 질문: 변경하려는 구조에서 모든 트래픽이 방화벽을 통과하도록 하려면 NAT 설정을 어떻게 해야 할까요? 공인 IP를 하나만 사용하면서 NAT를 설정하는 것이 적절할까요? 또한, 이 구조에서 AP에 연결된 클라이언트들도 방화벽을 경유하게 하려면 추가 설정이 필요한지 궁금합니다.
-> 지금 변경하는 구성도라면 방화벽 밑단에 다 네트워크가 구성되어 있기때문에 모든 트래픽을 제어할수있습니다. 공인IP를 하나 두는 설정을 하게 되면,... 앞에서 설명한 바와같이.. 1:N 네트워크가 되는데 그렇게 되면 보통 사내망에서 인터넷을 사용한다고 생각하면됩니다. 그냥 외부에 접속하는 용도면 상관없는데.. NAS를 만약 사내망말고 외부에서 접속해야 한다고 하면.. 포트포워딩설정을 하면되겠지만 그렇게 되면.. 방화벽 설정도 꼬일뿐더러. 추천드리지 않습니다. 바뀐 구성도 상에서도 AP연결된 클라이언트가 당연히 방화벽을 거치죠. 근데 바뀐 구성도를 보면 각 층별로 분리를 해놓은것 같은데. 이럴경우엔 보통
메인 백본에서 각 층간스위치로 나뉘어서 그 층간스위치 밑에 AP든, 프린터든 설정을 하고 그렇게 하고 메인백본을 통해 각 층간스위치도 공유가 되는 형태로 하는게 가장 이상적일 것 같습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입방화벽 장비는 다른 네트워크(인터넷 등)로 나가는 길목에 위치하도록 구성하게 되는데요.
다른 네트워크로 나가는 길목에 있는 장비를 게이트웨이라고 부르고 있죠.
인터넷( 다른 네트워크 )으로 나가는 트래픽이 거쳐 지나가게 하기 위해서 게이트웨이를 지정하게 됩니다.
무슨 내용인지 이해 되실까요..?
네트워크 내에 여러개의 방화벽 장비를 사용할 수도 있겠는데...
필요에 따라서는 어떤 기기는 이쪽 방화벽 장비를 통해서 인터넷을 사용하고, 또 어떤 기기는 저쪽 방화벽을 통해서 인터넷을 사용할 필요가 있게 되는데...
이쪽 방화벽을 통해서 인터넷을 사용하기 위해 해당 기기의 게이트웨이 주소로 이쪽 방화벽 IP 주소를 넣어 주면 되는 것이고, 저쪽 방화벽을 통해서 인터넷을 사용하기 위해 해당 기기의 게이트웨이 주소로 저쪽 방화벽의 IP 주소를 넣어 주면 되는 것이 되겠고요.
모은 트래픽이 동일한 방화벽을 통해서 나가게 만들고 싶다면 모든 기기의 게이트웨이 주소를 동일한 방화벽 IP를 넣어 주면 된다는 의미가 되겠죠.
NAT 설정과 게이트웨이 설정과는 별개입니다.
일반적으로 방화벽 기기에 NAT 기능을 가지고 있습니다. NAT 기능을 수행하는 기기가 방화벽 역할을 하면서 게이트웨이로 작동되는 것이 일반적이고요.
클라이언트 기기에 게이트웨이를 설정해 주기위해서 고정 IP일 경우에는 직접 수작업으로 게이트웨이 주소를 넣어 주면 되겠고... 유동 IP를 할당 받는 기기일 경우에는 DHCP 서버에서 IP를 할당해 주면서 게이트웨이 주소도 함께 할당되도록 해서 사용하게 되기 때문에 DHCP 서버 설정할때 게이트웨이 주소를 거쳐 지나가야할 방화벽의 IP 주소를 지정해서 설정해 주는 되는 것이고요.
VLAN으로 네트워크를 분리하는 것은... 물리적인 분리라 하기도 어려울 것 같고, 논리적인 분리라 하기도 어려운... 펌웨어 처럼 하드웨어와 소프트웨어의 중간쯤인 물리적 분리와 논리적 분리가 합해진 개념이 아닐까 하는 생각이 들고요.
NAS 등을 다른 VLAN에 위치할 경우에... 접속하는 성능은 좋아 진다할 수 없을 거라 생각되네요.
NAS 같은 서버에 접속할때 같은 네트워크에 있을 경우에는 접속하려는 클라이언트와 NAS가 직접 연결되어 통신하게 되지만, 다른 VLAN에 있을 경우에는 게이트웨이 역할을 하는 :L3 스위치나 방화벽 등의 게이트웨이의 도움을 받아서 통신을 하게 되기 때문에... 접속하려는 양쪽 기기가 직접 통신하는 것보다는 게이트웨이를 하나 더 끼워서 통신해야 하기 때문에 성능이 더 느려질 수 있다는 요인이 생기게 되고요.
두기기가 직접 통신한다해도 스위치 네트워크 장비를 통해야 하는 것이기 때문에... 서로 통신하려는 양쪽 기기 모두가 동일한 L3 스위치에 함께 연결되어 있을 경우라면... 다른 기기를 통하지 않고 직접 연결되기 때문에 성능 저하 요인이 거의 없지 않을까 싶긴한데... 그럴 경우에도 포트 대 포트를 통해서 직접 통신하는 것보다는 라우팅을 통해서 연결되기 때문에 느끼긴 어려울지라도 성능 저하 요인이 있지 않을까 하는 추정이 느껴지네요.
NAS 등을 VLAN을 통해 분리 시켰을 경우에 보안에 있어서 유리한 점이 있을까에 대한 질문에 대해서는...
글을 적다 작성 버튼을 잘못 눌러 버렸네요.. ^^;;
NAS를 VLAN으로 분리해 둔다해서 보안의 유리한 점은 없을 거라 생각되네요.
어짜피 NAS라는 건, 로컬 네트워크내에서 클라이언트들이 접속할 목적으로 사용하는 것이고, 클라이언트가 VLAN으로 분리되어 있건 같은 VLAN 안에 있건, 직접 또는 L3 라우팅을 통해서 통신되어야 하는 상황이기 때문에 L3 라우팅이 작동하지 못하게 해 두는 것이 아니라면 보안 효과를 얻기는 어렵지 않을까 하는 생각이 드네요.
NAS에 접속되지 않아야할 클라이언트들은 VLAN으로 NAS와 분리해 둔다면 보안의 효과를 얻을 수 있다는 것은 당연한 내용이겠지만...
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입