방화벽 기능 Fortigate 정책 설정 방법 인터넷 차단 방법 포티넷 사용법





방화벽 기능

방화벽 기능 가장 기본적인 의미로 이야기하자면, 보안 관리의 기본으로 네트워크로 들어오고 나가는 데이터를 통제하는데 그 기능이 있습니다. 

개인 기기 단위에서는 윈도우에서 제공하는 기본 방화벽부터 네트워크 상단에 붙어 있는 방화벽 장치까지 있으며, 최근에는 방화벽 개념을 포함한 UTM(통합 보안 솔루션) 장비로 관리를 많이 하고 있습니다.




Fortigate 방화벽 정책 설정 방법

이번에 네트워크에 특정 PC들에 대해 외부로 나가는 인터넷을 전부 차단하고, 일부 사이트에 대해서만 사용이 가능하도록 조치해야 하는 일이 생겼습니다.

현재 사용중인 방화벽 장비는 Fortigate 100D 장비를 사용중이며, 해당 장비를 기준으로 설명해보겠습니다.


차단 대상 PC 정보 수집

차단 대상이 되는 PC 및 기기들에 대한 IP주소 및 MAC Address 수집이 필요합니다. 방화벽 장비에서 지원하는 DHCP 기능을 이용해 유동IP를 사용중이라면, Fortigate 관리자 페이지내에서 LAN 안에서 사용중인 기기들을 확인할 수 있습니다.
Fortigate-DHCP-서비스-클라이언트-리스트
FortiGate 장비에는 방화벽 기능외에 DHCP 및 VPN 기능이 더해져 있습니다.


  • DHCP 사용중인 기기목록 확인
    1. FortiGate 관리페이지 접속
    2. 모니터 메뉴 클릭
    3. DHCP 모니터 클릭


DHCP 유동IP 부여 예외 처리

DHCP로 유동IP를 부여 받고 있다면, 인터넷 차단 정책 대상 PC들을 IP주소로 등록할 경우 IP주소가 변경될 경우 인터넷 차단이 해제될 수 있는 상황이 발생할 수 있기 때문에, MAC Address로 등록하려고 했는데 현재 보유중인 장비에서는 정책 대상 주소지정에서 MAC Address로는 등록이 되지 않습니다.

Fortigate-DHCP-서비스-클라이언트-예외처리
MAC 예약에 등록된 기기들은 임대갱신 되지 않고 고유IP처럼 사용할 수 있습니다.


그렇다고, 일일히 기기에서 수동IP로 변경하는 번거로움을 덜기 위해 MAC 예약 + 기능을 이용하면 인터넷 차단 대상이 되는 PC들을 등록해두면 IP 갱신되지 않고, 해당IP로 계속 지정되는 기능이 있습니다.
  • DHCP 유동 IP 예외 추가 방법
    1. FortiGate 관리페이지 네트워크 메뉴 클릭
    2. 인터페이스 메뉴 접근하여, lan 더블클릭
    3. DHCP서버 고급 버튼 클릭
    4. MAC 예약 + Access Control 해당 기기 등록


차단 정책 설정 방법

차단 정책을 설정 방화벽은 정책 단위로 설정할 수 있습니다. 그리고 이 정책에는 우선순위가 있어 우선순위가 높으면 하위 정책보다 우선하여 설정이 되게 됩니다. 

예를 들어, 현재 진행하려고 하는 특정 사이트만 오픈하고 나머지 전체 인터넷을 차단하려는 정책을 설정하기 위해서는 우선적으로 상위 정책으로 특정 사이트 오픈 정책을 설정하고 그 하위에 모든 인터넷을 차단하는 정책을 설정해야 원하는 대로 설정이 이루어지게 됩니다.




차단 대상 PC 주소 등록

차단 대상이 되는 PC 및 기기에 대한 주소 등록이 사전에 이루어져야 합니다. 

Fortigate-방화벽-기기-주소등록
차단 대상이 되는 기기들에 대해 사전에 주소로 등록해 놔야 하며, 그 주소들을 묶어 그룹을 지어서 관리할 수 있습니다.

등록 방법은 Policy & Objects 하위 메뉴 주소에 접근하여 새로 생성하여 만들어 주시면 됩니다. 생성된 개별 주소들을 그룹으로 묶으면 한 번에 편하게 관리할 수 있습니다. 




허용 사이트 서비스 추가

현재 진행하려고 하는 정책은 특정 사이트를 제외한 모든 인터넷 접속을 차단하려고 하기 때문에, 허용되는 사이트에 대한 서비스 추가를 해야 합니다.

Fortigate-방화벽-서비스-등록페이지
도메인으로 등록하면 편리할 것 같으나 기능지원이 없어보입니다.


서비스 추가는 Policy & Objects 서비스 메뉴에서 진행하면 되고, 허용 사이트 IP 주소와 포트 번호를 넣어주면 되는데, IP 주소의 경우 tracert, nslookup 등의 명령어로 확인 후 넣어주시면 되고, 포트 번호의 경우 TCP의 0 ~ 65535번까지 모두 넣어주시면 되겠습니다.

정책 설정 중 허용 정책에는 NAT 실행을 체크해줘야 정상적으로 허용된 사이트에 접속이 가능합니다.



  • 방화벽 정책 설정 방법
    1. Policy & Objects -> IPv4 Policy 메뉴 접근
    2. 새로 생성 클릭
    3. 정책 이름 설정
    4. 인입 인터페이스 선택 - 내부에서 외부로 나가는 정책을 선택하기 때문에 내부 네트워크 인터페이스 인 LAN 선택
    5. Outgoing Interface 선택 - 외부 인터페이스인 WAN 을 선택
    6. 출발지 선택 - 인터넷 차단 정책 대상이 되는 기기 선택(위에서 추가한 차단 대상 주소그룹 추가)
    7. 목적지 - 허용 정책에서는 사전에 등록한 허용 사이트 주소를 선택하고 차단 정책의 경우 all을 선택해서 모든 사이트가 차단되도록 선택해야 합니다.
    8. 동작 - 허용의 경우 ACCEPT 선택 차단의 경우 DENY 선택하시면 됩니다.
    9. 허용 사이트 등록시 NAT 실행값 ON 설정


위 방법으로 허용 정책 차단 정책 설정을 완료하였다면, 이제 정책 우선순위를 설정해야 합니다. 

Fortigate-방화벽-정책-우선순위-변경
차단정책보다 허용정책이 우선순위가 높아야 합니다.


위에서 말씀드린 대로 허용 정책을 최고 우선순위 그리고 하위에 차단 정책을 위치시켜야 합니다. 정책 이동은 마우스 드래그로 하시면 됩니다.