방화벽 규칙 관리
ECI 가상 네트워크의 방화벽 규칙 기능을 통해 네트워크 트래픽을 세밀하게 제어할 수 있습니다. 이 매뉴얼은 방화벽 규칙의 생성, 수정, 삭제 및 순서 관리 방법을 안내합니다.
주요 기능
- 방화벽 규칙 추가/수정/삭제
- 규칙 순서 변경 (드래그 앤 드롭 또는 버튼)
- 실시간 규칙 적용 및 검증
- 직관적인 웹 인터페이스
방화벽 규칙 기본 개념
방화벽 규칙이란?
방화벽 규칙은 네트워크 트래픽이 가상 네트워크를 통과할 때 적용되는 보안 정책입니다.
규칙 구성 요소
| 요소 | 설명 | 예시 |
|---|---|---|
| 프로토콜 | 통신 프로토콜 | TCP, UDP, ICMP, ALL |
| 소스 | 트래픽 출발지 IPv4 주소/CIDR | 192.168.1.0/24, 0.0.0.0/0 |
| 대상 | 트래픽 목적지 IPv4 주소/CIDR | 10.0.0.0/8, 172.16.0.1 |
| 포트 | TCP/UDP 포트 번호 (선택사항) | 80, 443, 80-8080 |
| 액션 | 트래픽 처리 방식 | ACCEPT (허용), DROP (차단) |
| 설명 | 규칙에 대한 설명 | "웹 서버 접근 허용" |
규칙 평가 순서
중요: 방화벽 규칙은 위에서 아래 순서로 평가됩니다. 첫 번째로 일치하는 규칙이 적용되므로 순서가 매우 중요합니다.
방화벽 규칙 관리
방화벽 규칙 페이지 접근
- ECI 포털 로그인
- 네트워크 > 가상 네트워크 메뉴 선택
- 대상 가상 네트워크 클릭
- 방화벽 규칙 섹션 확인
규칙 목록 보기
방화벽 규칙 섹션에서 다음 정보를 확인할 수 있습니다:
- 순서: 규칙 평가 순서 (1, 2, 3...)
- 프로토콜: TCP, UDP, ICMP, ALL
- 소스: 출발지 IP 주소 또는 CIDR
- 대상: 목적지 IP 주소 또는 CIDR
- 포트: 포트 번호 또는 범위
- 액션: ACCEPT 또는 DROP
- 설명: 규칙에 대한 설명
- 관리: 수정/삭제 버튼
규칙 추가/수정
새 규칙 추가
- 규칙 추가 버튼 클릭
- 규칙 정보 입력:
입력 필드 가이드
프로토콜 (필수)
ALL: 모든 프로토콜 허용TCP: 웹, 이메일, 파일 전송 등UDP: DNS, 스트리밍, 게임 등ICMP: 핑, 네트워크 진단
소스 (필수)
- 트래픽이 시작되는 곳의 IPv4 주소 또는 CIDR 블록
- 예시:
192.168.1.0/24(서브넷),0.0.0.0/0(모든 IP)
대상 (필수)
- 트래픽이 도착하는 곳의 IPv4 주소 또는 CIDR 블록
- 예시:
10.0.0.0/8(내부 네트워크),172.16.0.1(특정 서버)
포트 (TCP/UDP만 해당)
- port: 단일 포트 또는 포트 범위의 시작 번호
- 단일 포트:
port=80→ 포트 80만 적용 - 범위 시작:
port=1000, portEnd=2000→ 포트 1000-2000 범위 적용
- 단일 포트:
- portEnd (선택사항): 포트 범위의 종료 번호
- 지정하지 않으면 단일 포트로 처리됩니다
액션 (필수)
ACCEPT: 트래픽 허용DROP: 트래픽 차단
설명 (선택사항)
- 규칙의 목적을 설명하는 텍스트 (최대 256자)
- 예시: "웹 서버 접근 허용", "SSH 관리자 전용"
- 규칙 추가 버튼 클릭하여 저장
기존 규칙 수정
- 수정할 규칙의 관리 열에서 ⋮ 버튼 클릭
- 수정 메뉴 선택
- 필요한 정보 수정
- 저장 버튼 클릭
규칙 삭제
- 삭제할 규칙의 관리 열에서 ⋮ 버튼 클릭
- 삭제 메뉴 선택
- 확인 대화상자에서 삭제 버튼 클릭
규칙 순서 관리
순서 변경 방법
방화벽 규칙의 순서는 매우 중요합니다. 다음 방법으로 순서를 변경할 수 있습니다:
- 순서 변경 버튼 클릭
- 각 규칙의 관리 열에 ↑ ↓ 버튼이 나타남
- 원하는 방향으로 규칙 이동
- 완료 버튼 클릭하여 변경사항 저장
- 취소 버튼으로 변경사항 취소 가능
순서 배치 원칙
올바른 방화벽 규칙 순서:
1. 구체적인 허용 규칙 (특정 IP, 특정 포트)
2. 일반적인 허용 규칙 (서브넷, 일반 서비스)
3. 구체적인 차단 규칙 (특정 위험 IP)
4. 포괄적인 차단 규칙 (전체 차단)
예시:
1. TCP 192.168.1.100 → 10.0.0.1:22 ACCEPT (관리자 SSH 허용)
2. TCP 192.168.1.0/24 → 10.0.0.1:80 ACCEPT (내부망 웹 접근)
3. TCP 0.0.0.0/0 → 10.0.0.1:80 ACCEPT (외부 웹 접근)
4. ALL 0.0.0.0/0 → 0.0.0.0/0 DROP (나머지 모든 트래픽 차단)
실제 사용 예시
웹 서버 보안 설정
시나리오: 웹 서버(10.0.0.100)에 대한 접근 제어
| 순서 | 프로토콜 | 소스 | 대상 | 포트 | 액션 | 설명 |
|---|---|---|---|---|---|---|
| 1 | TCP | 192.168.1.0/24 | 10.0.0.100 | 22 | ACCEPT | 내부망 SSH 접근 |
| 2 | TCP | 0.0.0.0/0 | 10.0.0.100 | 80 | ACCEPT | HTTP 웹 서비스 |
| 3 | TCP | 0.0.0.0/0 | 10.0.0.100 | 443 | ACCEPT | HTTPS 웹 서비스 |
| 4 | ALL | 0.0.0.0/0 | 10.0.0.100 | - | DROP | 나머지 트래픽 차단 |
데이터베이스 서버 보안
시나리오: 데이터베이스 서버(10.0.0.200)는 웹 서버에서만 접근 허용
| 순서 | 프로토콜 | 소스 | 대상 | 포트 | 액션 | 설명 |
|---|---|---|---|---|---|---|
| 1 | TCP | 192.168.1.0/24 | 10.0.0.200 | 22 | ACCEPT | 관리용 SSH |
| 2 | TCP | 10.0.0.100 | 10.0.0.200 | 3306 | ACCEPT | 웹서버→DB 연결 |
| 3 | ALL | 0.0.0.0/0 | 10.0.0.200 | - | DROP | 나머지 모든 차단 |
개발 환경 설정
시나리오: 개발 서버는 개발팀 IP에서만 접근 가능
| 순서 | 프로토콜 | 소스 | 대상 | 포트 | 액션 | 설명 |
|---|---|---|---|---|---|---|
| 1 | TCP | 203.0.113.0/24 | 10.0.1.0/24 | 22 | ACCEPT | 개발팀 SSH |
| 2 | TCP | 203.0.113.0/24 | 10.0.1.0/24 | 80-8080 | ACCEPT | 개발 웹 서비스 |
| 3 | ALL | 0.0.0.0/0 | 10.0.1.0/24 | - | DROP | 나머지 차단 |
주의사항 및 모범 사례
주의사항
-
순서가 중요합니다
- 첫 번째 일치 규칙이 적용됩니다
- 잘못된 순서로 인해 의도하지 않은 차단이 발생할 수 있습니다
-
0.0.0.0/0 사용 시 주의
- 모든 IP를 의미하므로 신중하게 사용하세요
- 보안상 필요한 경우에만 사용하세요
-
DROP 규칙 배치
- 포괄적인 DROP 규칙은 가장 마지막에 배치하세요
- 필요한 허용 규칙을 먼저 설정하세요
모범 사례
1. 최소 권한 원칙
좋은 예: TCP 192.168.1.100 → 10.0.0.1:22 ACCEPT
나쁜 예: ALL 0.0.0.0/0 → 0.0.0.0/0 ACCEPT
2. 명확한 설명 작성
좋은 예: "웹 서버 HTTP/HTTPS 접근 허용"
나쁜 예: "웹"
3. 규칙 그룹화
좋은 순서:
1. SSH 관리 규칙들
2. 웹 서비스 규칙들
3. 데이터베이스 규칙들
4. 차단 규칙들
4. 정기적인 검토
- 불필요한 규칙 제거
- 보안 요구사항 변경 반영
- 규칙 순서 최적화
문제 해결
자주 발생하는 문제
Q1. 규칙을 추가했는데 트래픽이 여전히 차단됩니다
A1. 다음을 확인하세요:
- 규칙 순서가 올바른지 확인
- 더 상위에 있는 DROP 규칙이 있는지 확인
- IP 주소/CIDR 형식이 정확한지 확인
- 포트 번호가 정확한지 확인
Q2. 모든 트래픽�이 차단되어 서버에 접근할 수 없습니다
A2. 긴급 복구 방법:
- ECI 포털에서 가상 네트워크 접근
- 방화벽 규칙에서 임시 허용 규칙 추가:
ALL 0.0.0.0/0 → 0.0.0.0/0 ACCEPT (임시) - 서버 접근 후 올바른 규칙으로 수정
Q3. 규칙 순서를 변경했는데 적용되지 않습니다
A3. 다음을 시도하세요:
- 페이지 새로고침
- 순서 변경 후 반드시 완료 버튼 클릭
- 브라우저 캐시 삭제
Q4. 포트 범위 설정이 작동하지 않습니다
A4. 확인사항:
- 프로토콜이 TCP 또는 UDP인지 확인
- 시작 포트 ≤ 종료 포트인지 확인
- 포트 번호가 1-65535 범위인지 확인
추가 지원
문제가 지속되는 경우:
- ECI 포털의 홈 > 지원팀 문의하기 메뉴 이용
- 시스템 관리자에게 문의
- 방화벽 규칙 설정 스크린샷과 함께 문의