Secure Zone Firewall

Classic 환경에서 이용 가능합니다.

사용하기 전에

Q. 네이버 클라우드 플랫폼의 Secure Zone Firewall 서비스는 무엇인가요?

• Secure zone 내 생성한 인스턴스로의 접근을 방화벽 정책을 설정해 접근 제어 기능을 제공합니다.

Q. Secure Zone Firewall 는 어떻게 이용하나요?

• Secure Zone 이용 약관 동의
• Secure Zone Fiewall 이용 신청
• Cloud Log Analytics 이용 신청 및 로그 저장소 연동
• Secure Zone VM 생성
• Secure Zone Policy 생성 / Address Group 생성
• Secure Zone Firewall Network Usage 조회

Q. Secure Zone Firewall 서비스를 사용하지 않으면 Secure Zone VM 에 접근할 수 없나요?

• Secure Zone 내부 간을 제외한 외부 통신은 모두 차단되어 있습니다.
• 일반 Zone 또는 SSL VPN 과 Secure Zone 간에 Secure Zone Firewall 에 Policy 를 생성하여 통신 허용 정책을 생성해야 Secure Zone VM 에 접근이 가능합니다.

Q. Secure Zone VM 에 접근 정책을 설정할 수 있는 ZONE 은 어디인가요?

• SSL VPN 으로 인입되는 트래픽과 Secure zone 을 제외한 Ncloud 의 모든 Zone 간의 접근입니다.

Q. Policy 가 뭔가요?

• 정의된 Source IP 와 Destination IP 간에 특정 프로토콜 및 포트에 대한 통신을 허용하거나 차단하는 보안 정책입니다.

Q. Address Group 이 뭔가요?

• 고객이 소유한 VM 을 원하는 그룹으로 묶어서 정책에서 사용할 수 있도록 하는 오브젝트입니다.

Q. Log는 뭔가요?

• Secure Zone Firewall 방화벽 정책에 따라 Secure Zone의 접속 시도가 기록된 Traffic Log입니다. Cloud Log Analytics에서도 검색/조회가 가능합니다.

Q. Excel 파일로 다운로드할 수 있나요?

• 검색 결과를 Excel 파일로 다운로드할 수 있습니다.
• Excel Download는 전체 데이터가 아니라 검색 결과 화면에 보이는 내용만 다운로드할 수 있습니다.

Secure Zone Firewall 서비스 사용하기

Secure Zone Firewall 서비스 이용 신청

Step 1. Secure Zone Firewall 이용 신청

① 콘솔에 접속 후, Security > Secure Zone > Secure Zone Firewall 메뉴로 이동합니다.

② [방화벽 생성] 버튼을 클릭합니다.

• Standard : 10. 대역 IP 를 이용한 일반 존 server - secure zone server/ bare metal server 간 통신 제어
• Advanced (Server) : 192.168 대역 Private Subnet IP 를 이용한 일반 존 server - secure zone server 간 통신 제어
• Advanced (Bare Metal) : 192.168 대역 Private Subnet IP 를 이용한 일반 존 server - secure zone bare metal server 간 통신 제어

③ 생성하고자 하는 방화벽 구분 및 방화벽 트래픽 로그 저장을 위한 CLA 연동 Cloud Log Analytics(CLA) 선택 <필수> 합니다.

④ 생성된 방화벽 리스트를 확인합니다.

Policy 설정

Policy 생성

① Security > Secure Zone > Secure Zone Firewall 메뉴에서 정책을 설정할 방화벽의 Policy 버튼을 클릭합니다.

② 선택된 Policy 탭에서 [Policy 생성] 버튼을 클릭합니다.

③ 필수 값을 입력한 후 [저장] 버튼을 클릭하여 Policy 를 생성합니다.

• Name
• Source IP
• Destination IP
• Protocol (TPC/UDP/ICMP/IP)
• Port
• Action (Allow/Deny)

Policy 변경

① 변경하고자하는 Policy 의 Name 을 클릭합니다.

② 변경하고자 하는 값을 넣어 수정 후 [저장] 버튼을 클릭하여 Policy를 변경합니다.

③ Policy 우선순위를 수정하기 위해 Policy 하나를 선택하여 순서변경 버튼으로 우선순위를 조정합니다.

Policy 삭제

① 삭제하고자하는 Policy 의 콤보박스를 다중 선택 후 [Policy 삭제] 버튼을 클릭하여 삭제합니다.

② 삭제하고자 하는 Policy 를 선택한 후 Policy 변경창에서 [삭제] 버튼을 클릭합니다.

Address Group 설정

Address Group 생성

① Security > Secure Zone > Secure Zone Firewall 메뉴에서 Address Group 설정할 방화벽의 Address Group 버튼을 클릭합니다.

② 선택된 방화벽의 Address Group 탭에서 [Address Group 생성] 버튼을 클릭합니다.

② Address 를 다중 선택하고 [저장] 버튼을 클릭하여 Address Group 을 생성합니다.

Address Group 변경

① 변경하고자 하는 Address Group 의 Name 을 클릭합니다.

② 변경하고자 하는 값을 넣어 수정 후 [저장] 버튼을 클릭하여 Address Group 을 변경합니다.

Address Group 삭제

① 삭제하고자 하는 Address Group 을 다중 선택한 수 [Address Group 삭제] 버튼을 클릭합니다.

② 삭제 대상 Address Group 체크한 후 [확인] 버튼을 클릭하여 삭제합니다.

Network Usage 조회

① Security > Secure Zone > Secure Zone Firewall > Network Usage 메뉴에서 시간대별 peak 트래픽 사용량을 조회합니다.

• 원하는 기간을 선택하여 조회할 수 있습니다. (최대 기간 설정 : 1개월)

Log

• Receive Time: 날짜 범위로 검색 가능 (보관 주기 및 사이즈는 CLA 정책에 따름)
• Source IP: 고객 소유의 VM / 사설 LB / SSL VPN
• Destination IP: 고객 소유의 VM
• Protocol: TCP / UDP / ICMP
• Port: destination port 검색 (0 ~ 65,535)
• Action
  • accept: for the end of non-TCP traffic // non tcp의 경우(icmp, udp.... tcp를 제외한) 통과를 의미,
  • deny: for traffic blocked by a firewall policy // 정책에 의한 block
  • close: for the end of TCP session closed with a FIN/FIN-ACK/RST // allow를 의미하며, fin or rst에 의한 정상 종료
  • timeout: for the end of a TCP session which is closed because it was idle. // allow는 되었지만 timeout값에 의해 결국은 block 된 경우, TCP syn은 보냈지만 remote에서 응답이 없는 경우에도 남음
  • ip-conn: for IP connection failed for the session (host is not reachable) // allow는 되었지만 fortigate가 어떤 reply packet을 받지 못해 종료된 경우. icmp request는 있으나 reply는 없음, udp request 있으나 reply 없을 때
• Policy: 해당 Log가 히트된 Policy명

Secure Zone VM 장비 IP 를 ACG 에 등록

• Secure zone 과 일반 zone 의 접근 제어를 Secure zone Firewall 정책으로 통제하기 위해서는 각각의 VM 들에 동일한 ACG 설정 및 아래와 같은 규칙을 등록해야 합니다. [필수]

Secure Zone Firewall 권한 Sub Account 적용

Sub Account 권한 상세

관리자와 사용자 권한으로 분류되고 다음과 같은 권한이 부여됩니다.

• NCP_SECURE_ZONE_FIREWALL_MANAGER

  • Secure Zone Firewall 내 오브젝트 조회 및 Policy, Address Group 생성/삭제/변경 권한을 가집니다.

• NCP_SECURE_ZONE_FIREWALL_VIEWER

  • Secure Zone Firewall 내 오브젝트 조회 권한을 가집니다.

Secure Zone Firewall 관리자 권한 부여하기

① 특정 사용자에게 Secure Zone Firewall 권한을 부여하기 위해서는 먼저 Management & Governance > Sub Accounts 메뉴로 이동합니다.

② Secure Zone Firewall 권한을 부여하고자 하는 서브 계정을 선택합니다.

③ 서브 계정 상세 화면에서 정책의 추가를 선택합니다.

④ 선택된 서브 계정의 정책에 NCP_SECURE_ZONE_FIREWALL_MANAGER 정책 또는 NCP_SECURE_ZONE_FIREWALL_VIEWER 중 부여하고자하는 정책을 선택하여 해당 권한을 추가합니다.

Secure Zone Firewall 반납

Secure Zone Firewall 반납

① Security > Secure Zone > Secure Zone Firewall에서 반납하고자하는 방화벽을 선택 후 [방화벽 반납] 버튼을 클릭합니다.

• 사용중인 방화벽을 모두 반납하면 secure zone firewall 이용이 종료됩니다.

• 소유한 secure zone server 가 있을 때 secure zone firewall 방화벽을 반납시도하는 경우 알림이 발생하고 방화벽 반납되지 않습니다.