[GNS3]Sophos 방화벽 구축 (2) - 방화벽 룰과 Routing

저번과 다르게 내부네트워크로 바꾸고 

사용자 pc(1.221.2.2)

외부 접속자(61.74.39.2)

포트스캔 공격자(201.147.1.2)로 나누어서 설계하였다.

일단 기본적으로 방화벽로 라우터로 봐야하기 때문에 라우팅을 해주어야 한다.

14.7.7.0에 대한 정보는 14.7.8.1로 가면 있다. 라는 라우팅을 추가해준다.

이런식으로 다른것들도 static routing을 설정한다.

이게 귀찮다면 옆에 OSPF를 사용해도 무방하다.

방화벽 입구에 패킷캡쳐를 켜두자.

공격자 PC (201.147.1.2)로 방화벽 내부(1.221.2.0)에 nmap 포트스캔을 때려보자.

패킷 확인

아주 잘 스캔되는 모습이다.

외부사용자 (61.74.39.2)에서 내부사용자(1.221.2.2)에 ping을 보내도 방화벽에서 잘 통과되는 모습이다.

따라서 방화벽 정책을 설정한다. Any(모든) 출발지,Any(모든)포트에 1.221.2.0 네트워크안으로 들어오는 패킷을 Drop한다.

이렇게 되면 외부에서 1.221.2.0 네트워크안에 접속하는 모든것을 차단한다.

내부 사용자에 대한 룰은 없기 때문에 외부사용자(61.74.39.2)로는 ping이 나갈 수 있다.

하지만 외부 사용자가 내부 사용자에게 ping보낼때는 아까는 잘 보내졌지만 지금은 차단되었다.

패킷을 확인해보면 61.74.39.2에서 1.221.2.2 가는 핑이 차단됐다.

핑이 가려면 그 아래 패킷같은 구조여야 한다.

공격자PC에서도 포트스캔이 차단되고 있는 모습이다. 

하지만 이렇게 하면 문제가 있다. 내부에 웹서버를 두었지만 방화벽에 정책때문에 외부에서 접속을 할 수 없게 되버리면 이 웹서버는 의미가 없어진다.

61.74.39.2에서 1.221.2.3에 대한 연결을 열어주어야 한다.

지금은 딱히 출발 ip가 정해지지 않았으므로 

모든 ip에서 HTTP통신 (추가하면 HTTPS통신)을 1.221.2.3에 대해 열어주면 된다.

다음과 같이 룰을 설정하고 외부에서 접속하면

접속이 잘 되는 것을 확인 할 수 있다.

HTTP포트에 대한 연결만 허용했기 때문에 외부에서 웹서버에 ping을 보낼 수는 없다.