DMZ와 LAN간의 트래픽을 전부 막고 싶습니다 규칙 관련 질문드립니다
일단 DMZ에 허니팟을 둘 예정이라 내부망으로 공격이 들어올 것을 우려하여 접근 자체를 일단 다 막고 추후에 필요한 부분만 뚫는 방식으로 진행할 예정인데 제가 생성한 규칙은
interface: LAN
action: block
derection: in
source: DMZ net
destination: LAN net
interface: LAN
action: block
derection: out
source: LAN net
destination: DMZ net
이렇게 해서 첫번째는 DMZ에서 LAN으로 오는 inbound 트래픽을 차단하려고 한 것이고 두번째는 LAN에서 DMZ로 가는 outbound를 차단하려고 만든 규칙입니다. 근데 제가 방화벽 만진지 얼마 안되어서 이게 맞는 규칙인지 잘 모르겠습니다. 그리고 나중에 DMZ의 로그를 LAN으로 전달할 필요가 생길텐데 그 때도 최대한 보안상 덜 위험한 방향으로 어떻게 해야 할 지도 고민입니다. Opnsense 사용 중 입니다
1. 정책 설정상으로는 양방향을 막은게 맞습니다.
2. 추후 Log를 보내실때 InBound에서 정책을 만드시면 됩니다.
기업 방화벽 관리관점에서는 Log를 보내는 포트를 일반적인 포트를 변경하고 해당 포트만 개방합니다만.. 개인적으로 사용하는 방화벽에선 굳이 포트를 안바꾸셔도 됩니다.(개인의 선택자유)
ex) Log보내는장비(DMZ) 192.168.0.5 Log수집장비(LAN) 172.16.144.100 / Log수집장비수신대기포트가 1515일경우
Source 192.168.0.5 SourcePort 1~65535 Destination 172.16.144.100 Destination (TCP/UDP 선택) 1515~1515 으로 inbound Accept로 해서 만들어두신 정책 위에 설정하시면 될꺼같습니다.
2등 최하단에 all deny를 두고 상단에 촘촘하게 넣으면 되기때문에 추후에 들어가는 정책들을 호스트단위나 대역단위로 잘 넣어주시면 문제없을것같네요
cmt alert
신고
"님의 댓글"
이 댓글을 신고하시겠습니까?
