방화벽 기능 Fortigate 정책 설정 방법 인터넷 차단 방법 포티넷 사용법
방화벽 기능
방화벽 기능 가장 기본적인 의미로 이야기하자면, 보안 관리의 기본으로 네트워크로 들어오고 나가는 데이터를 통제하는데 그 기능이 있습니다.
개인 기기 단위에서는 윈도우에서 제공하는 기본 방화벽부터 네트워크 상단에 붙어 있는 방화벽 장치까지 있으며, 최근에는 방화벽 개념을 포함한 UTM(통합 보안 솔루션) 장비로 관리를 많이 하고 있습니다.
Fortigate 방화벽 정책 설정 방법
차단 대상 PC 정보 수집
FortiGate 장비에는 방화벽 기능외에 DHCP 및 VPN 기능이 더해져 있습니다. |
- DHCP 사용중인 기기목록 확인
- FortiGate 관리페이지 접속
- 모니터 메뉴 클릭
- DHCP 모니터 클릭
DHCP 유동IP 부여 예외 처리
- DHCP 유동 IP 예외 추가 방법
- FortiGate 관리페이지 네트워크 메뉴 클릭
- 인터페이스 메뉴 접근하여, lan 더블클릭
- DHCP서버 고급 버튼 클릭
- MAC 예약 + Access Control 해당 기기 등록
차단 정책 설정 방법
차단 정책을 설정 방화벽은 정책 단위로 설정할 수 있습니다. 그리고 이 정책에는 우선순위가 있어 우선순위가 높으면 하위 정책보다 우선하여 설정이 되게 됩니다.
예를 들어, 현재 진행하려고 하는 특정 사이트만 오픈하고 나머지 전체 인터넷을 차단하려는 정책을 설정하기 위해서는 우선적으로 상위 정책으로 특정 사이트 오픈 정책을 설정하고 그 하위에 모든 인터넷을 차단하는 정책을 설정해야 원하는 대로 설정이 이루어지게 됩니다.
차단 대상 PC 주소 등록
차단 대상이 되는 PC 및 기기에 대한 주소 등록이 사전에 이루어져야 합니다.
차단 대상이 되는 기기들에 대해 사전에 주소로 등록해 놔야 하며, 그 주소들을 묶어 그룹을 지어서 관리할 수 있습니다. |
등록 방법은 Policy & Objects 하위 메뉴 주소에 접근하여 새로 생성하여 만들어 주시면 됩니다. 생성된 개별 주소들을 그룹으로 묶으면 한 번에 편하게 관리할 수 있습니다.
허용 사이트 서비스 추가
현재 진행하려고 하는 정책은 특정 사이트를 제외한 모든 인터넷 접속을 차단하려고 하기 때문에, 허용되는 사이트에 대한 서비스 추가를 해야 합니다.
도메인으로 등록하면 편리할 것 같으나 기능지원이 없어보입니다. |
서비스 추가는 Policy & Objects 서비스 메뉴에서 진행하면 되고, 허용 사이트 IP 주소와 포트 번호를 넣어주면 되는데, IP 주소의 경우 tracert, nslookup 등의 명령어로 확인 후 넣어주시면 되고, 포트 번호의 경우 TCP의 0 ~ 65535번까지 모두 넣어주시면 되겠습니다.
정책 설정 중 허용 정책에는 NAT 실행을 체크해줘야 정상적으로 허용된 사이트에 접속이 가능합니다. |
- 방화벽 정책 설정 방법
- Policy & Objects -> IPv4 Policy 메뉴 접근
- 새로 생성 클릭
- 정책 이름 설정
- 인입 인터페이스 선택 - 내부에서 외부로 나가는 정책을 선택하기 때문에 내부 네트워크 인터페이스 인 LAN 선택
- Outgoing Interface 선택 - 외부 인터페이스인 WAN 을 선택
- 출발지 선택 - 인터넷 차단 정책 대상이 되는 기기 선택(위에서 추가한 차단 대상 주소그룹 추가)
- 목적지 - 허용 정책에서는 사전에 등록한 허용 사이트 주소를 선택하고 차단 정책의 경우 all을 선택해서 모든 사이트가 차단되도록 선택해야 합니다.
- 동작 - 허용의 경우 ACCEPT 선택 차단의 경우 DENY 선택하시면 됩니다.
- 허용 사이트 등록시 NAT 실행값 ON 설정
위 방법으로 허용 정책 차단 정책 설정을 완료하였다면, 이제 정책 우선순위를 설정해야 합니다.
차단정책보다 허용정책이 우선순위가 높아야 합니다. |
위에서 말씀드린 대로 허용 정책을 최고 우선순위 그리고 하위에 차단 정책을 위치시켜야 합니다. 정책 이동은 마우스 드래그로 하시면 됩니다.