Skip to main content

방화벽 규칙 관리

ECI 가상 네트워크의 방화벽 규칙 기능을 통해 네트워크 트래픽을 세밀하게 제어할 수 있습니다. 이 매뉴얼은 방화벽 규칙의 생성, 수정, 삭제 및 순서 관리 방법을 안내합니다.

주요 기능

  • 방화벽 규칙 추가/수정/삭제
  • 규칙 순서 변경 (드래그 앤 드롭 또는 버튼)
  • 실시간 규칙 적용 및 검증
  • 직관적인 웹 인터페이스

방화벽 규칙 기본 개념

방화벽 규칙이란?

방화벽 규칙은 네트워크 트래픽이 가상 네트워크를 통과할 때 적용되는 보안 정책입니다.

규칙 구성 요소

요소설명예시
프로토콜통신 프로토콜TCP, UDP, ICMP, ALL
소스트래픽 출발지 IPv4 주소/CIDR192.168.1.0/24, 0.0.0.0/0
대상트래픽 목적지 IPv4 주소/CIDR10.0.0.0/8, 172.16.0.1
포트TCP/UDP 포트 번호 (선택사항)80, 443, 80-8080
액션트래픽 처리 방식ACCEPT (허용), DROP (차단)
설명규칙에 대한 설명"웹 서버 접근 허용"

규칙 평가 순서

중요: 방화벽 규칙은 위에서 아래 순서로 평가됩니다. 첫 번째로 일치하는 규칙이 적용되므로 순서가 매우 중요합니다.

방화벽 규칙 관리

방화벽 규칙 페이지 접근

  1. ECI 포털 로그인
  2. 네트워크 > 가상 네트워크 메뉴 선택
  3. 대상 가상 네트워크 클릭
  4. 방화벽 규칙 섹션 확인

규칙 목록 보기

방화벽 규칙 섹션에서 다음 정보를 확인할 수 있습니다:

  • 순서: 규칙 평가 순서 (1, 2, 3...)
  • 프로토콜: TCP, UDP, ICMP, ALL
  • 소스: 출발지 IP 주소 또는 CIDR
  • 대상: 목적지 IP 주소 또는 CIDR
  • 포트: 포트 번호 또는 범위
  • 액션: ACCEPT 또는 DROP
  • 설명: 규칙에 대한 설명
  • 관리: 수정/삭제 버튼

규칙 추가/수정

새 규칙 추가

  1. 규칙 추가 버튼 클릭
  2. 규칙 정보 입력:

입력 필드 가이드

프로토콜 (필수)

  • ALL: 모든 프로토콜 허용
  • TCP: 웹, 이메일, 파일 전송 등
  • UDP: DNS, 스트리밍, 게임 등
  • ICMP: 핑, 네트워크 진단

소스 (필수)

  • 트래픽이 시작되는 곳의 IPv4 주소 또는 CIDR 블록
  • 예시: 192.168.1.0/24 (서브넷), 0.0.0.0/0 (모든 IP)

대상 (필수)

  • 트래픽이 도착하는 곳의 IPv4 주소 또는 CIDR 블록
  • 예시: 10.0.0.0/8 (내부 네트워크), 172.16.0.1 (특정 서버)

포트 (TCP/UDP만 해당)

  • port: 단일 포트 또는 포트 범위의 시작 번호
    • 단일 포트: port=80 → 포트 80만 적용
    • 범위 시작: port=1000, portEnd=2000 → 포트 1000-2000 범위 적용
  • portEnd (선택사항): 포트 범위의 종료 번호
    • 지정하지 않으면 단일 포트로 처리됩니다

액션 (필수)

  • ACCEPT: 트래픽 허용
  • DROP: 트래픽 차단

설명 (선택사항)

  • 규칙의 목적을 설명하는 텍스트 (최대 256자)
  • 예시: "웹 서버 접근 허용", "SSH 관리자 전용"
  1. 규칙 추가 버튼 클릭하여 저장

기존 규칙 수정

  1. 수정할 규칙의 관리 열에서 버튼 클릭
  2. 수정 메뉴 선택
  3. 필요한 정보 수정
  4. 저장 버튼 클릭

규칙 삭제

  1. 삭제할 규칙의 관리 열에서 버튼 클릭
  2. 삭제 메뉴 선택
  3. 확인 대화상자에서 삭제 버튼 클릭

규칙 순서 관리

순서 변경 방법

방화벽 규칙의 순서는 매우 중요합니다. 다음 방법으로 순서를 변경할 수 있습니다:

  1. 순서 변경 버튼 클릭
  2. 각 규칙의 관리 열에 버튼이 나타남
  3. 원하는 방향으로 규칙 이동
  4. 완료 버튼 클릭하여 변경사항 저장
  5. 취소 버튼으로 변경사항 취소 가능

순서 배치 원칙

올바른 방화벽 규칙 순서:

1. 구체적인 허용 규칙 (특정 IP, 특정 포트)
2. 일반적인 허용 규칙 (서브넷, 일반 서비스)
3. 구체적인 차단 규칙 (특정 위험 IP)
4. 포괄적인 차단 규칙 (전체 차단)

예시:

1. TCP 192.168.1.100 → 10.0.0.1:22    ACCEPT  (관리자 SSH 허용)
2. TCP 192.168.1.0/24 → 10.0.0.1:80   ACCEPT  (내부망 웹 접근)
3. TCP 0.0.0.0/0 → 10.0.0.1:80        ACCEPT  (외부 웹 접근)
4. ALL 0.0.0.0/0 → 0.0.0.0/0          DROP    (나머지 모든 트래픽 차단)

실제 사용 예시

웹 서버 보안 설정

시나리오: 웹 서버(10.0.0.100)에 대한 접근 제어

순서프로토콜소스대상포트액션설명
1TCP192.168.1.0/2410.0.0.10022ACCEPT내부망 SSH 접근
2TCP0.0.0.0/010.0.0.10080ACCEPTHTTP 웹 서비스
3TCP0.0.0.0/010.0.0.100443ACCEPTHTTPS 웹 서비스
4ALL0.0.0.0/010.0.0.100-DROP나머지 트래픽 차단

데이터베이스 서버 보안

시나리오: 데이터베이스 서버(10.0.0.200)는 웹 서버에서만 접근 허용

순서프로토콜소스대상포트액션설명
1TCP192.168.1.0/2410.0.0.20022ACCEPT관리용 SSH
2TCP10.0.0.10010.0.0.2003306ACCEPT웹서버→DB 연결
3ALL0.0.0.0/010.0.0.200-DROP나머지 모든 차단

개발 환경 설정

시나리오: 개발 서버는 개발팀 IP에서만 접근 가능

순서프로토콜소스대상포트액션설명
1TCP203.0.113.0/2410.0.1.0/2422ACCEPT개발팀 SSH
2TCP203.0.113.0/2410.0.1.0/2480-8080ACCEPT개발 웹 서비스
3ALL0.0.0.0/010.0.1.0/24-DROP나머지 차단

주의사항 및 모범 사례

주의사항

  1. 순서가 중요합니다

    • 첫 번째 일치 규칙이 적용됩니다
    • 잘못된 순서로 인해 의도하지 않은 차단이 발생할 수 있습니다

  2. 0.0.0.0/0 사용 시 주의

    • 모든 IP를 의미하므로 신중하게 사용하세요
    • 보안상 필요한 경우에만 사용하세요

  3. DROP 규칙 배치

    • 포괄적인 DROP 규칙은 가장 마지막에 배치하세요
    • 필요한 허용 규칙을 먼저 설정하세요

모범 사례

1. 최소 권한 원칙

좋은 예: TCP 192.168.1.100 → 10.0.0.1:22 ACCEPT
나쁜 예: ALL 0.0.0.0/0 → 0.0.0.0/0 ACCEPT

2. 명확한 설명 작성

좋은 예: "웹 서버 HTTP/HTTPS 접근 허용"
나쁜 예: "웹"

3. 규칙 그룹화

좋은 순서:
1. SSH 관리 규칙들
2. 웹 서비스 규칙들
3. 데이터베이스 규칙들
4. 차단 규칙들

4. 정기적인 검토

  • 불필요한 규칙 제거
  • 보안 요구사항 변경 반영
  • 규칙 순서 최적화

문제 해결

자주 발생하는 문제

Q1. 규칙을 추가했는데 트래픽이 여전히 차단됩니다

A1. 다음을 확인하세요:

  • 규칙 순서가 올바른지 확인
  • 더 상위에 있는 DROP 규칙이 있는지 확인
  • IP 주소/CIDR 형식이 정확한지 확인
  • 포트 번호가 정확한지 확인

Q2. 모든 트래픽이 차단되어 서버에 접근할 수 없습니다

A2. 긴급 복구 방법:

  1. ECI 포털에서 가상 네트워크 접근
  2. 방화벽 규칙에서 임시 허용 규칙 추가: 
    ALL 0.0.0.0/0 → 0.0.0.0/0 ACCEPT (임시)
  3. 서버 접근 후 올바른 규칙으로 수정

Q3. 규칙 순서를 변경했는데 적용되지 않습니다

A3. 다음을 시도하세요:

  • 페이지 새로고침
  • 순서 변경 후 반드시 완료 버튼 클릭
  • 브라우저 캐시 삭제

Q4. 포트 범위 설정이 작동하지 않습니다

A4. 확인사항:

  • 프로토콜이 TCP 또는 UDP인지 확인
  • 시작 포트 ≤ 종료 포트인지 확인
  • 포트 번호가 1-65535 범위인지 확인

추가 지원

문제가 지속되는 경우:

  1. ECI 포털의 홈 > 지원팀 문의하기 메뉴 이용
  2. 시스템 관리자에게 문의
  3. 방화벽 규칙 설정 스크린샷과 함께 문의