Network Firewall을 생성하기 위한 절차와 생성 이후 콘솔을 사용하는 방법을 설명합니다.
Network Firewall을 사용하기 위해서는 가장 먼저 Network Firewall 서비스를 활성화합니다.
Network Firewall 생성에 필요한 최소 네트워크 서비스 자원은 아래와 같습니다.
[참고] Network Firewall > 개요에서 Network Firewall 서비스 구성도를 참조하세요.
[1개의 프로젝트 구성 시 준비 사항]
[1개의 프로젝트 내 2개의 Spoke VPC 구성 시 준비 사항]
[1개 이상의 프로젝트 구성 시 준비 사항]
[다른 리전 간 프로젝트 구성 시 준비 사항]
[단일 VPC 내 여러 개의 서브넷 구성 시 준비 사항]
[참고] * 위의 서비스 자원은 [Network] 카테고리에서 생성 가능합니다.
- Network Firewall 생성은 프로젝트당 1개씩만 생성 가능합니다.
[참고]
- 생성된 Network Firewall은 사용자의 프로젝트에 노출되지 않습니다.
- 서브넷, NAT, 외부 전송에 사용하는 서브넷은 모두 다른 서브넷으로 선택해야 합니다.
- 가급적 NHN Cloud 콘솔에서 생성할 수 있는 최소 단위(28비트)로 생성할 것을 권장합니다.
- Network Firewall이 속할 VPC의 라우팅 테이블에 인터넷 게이트웨이가 연결되어 있어야 생성 가능합니다.
- Network Firewall 서비스는 가용 영역을 분리하여 이중화를 기본으로 제공합니다.
- Security Groups와는 별개의 서비스이므로 Network Firewall을 사용하면 두 서비스를 모두 허용해야 인스턴스에 접근할 수 있습니다.
- Network Firewall이 소유하고 있는 CIDR 대역과 연결이 필요한 CIDR 대역은 중복되지 않아야 합니다.
- Network > Network Interface에서 Virtual_IP 타입으로 생성되어 있는 IP는 Network Firewall에서 이중화 용도로 사용 중이므로 삭제할 경우 통신이 차단될 수 있습니다.
- 단일 또는 이중화 구성을 선택하여 Network Firewall을 생성한 뒤 변경이 필요할 경우 옵션 탭에서 구성을 변경할 수 있습니다.
[예시] Network Firewall이 사용하는 VPC(Hub)는 10.0.0.0/24이고, Network Firewall과 연결이 필요한 VPC(Spoke)는 172.16.0.0/24일 때
Network > Routing으로 이동하여 Spoke VPC를 선택한 후 라우팅 테이블을 변경합니다.
Network > Peering Gateway로 이동하여 피어링을 생성합니다.
Network > Routing으로 이동하여 Hub VPC를 선택한 후 아래의 라우팅을 설정합니다.
Network > Routing으로 이동하여 Spoke VPC를 선택한 후 아래의 라우팅을 설정합니다.
Network > Peering Gateway로 이동하여 라우팅을 설정합니다.
위의 라우팅 설정이 완료되면 Spoke VPC에 있는 인스턴스가 Network Firewall을 경유하여 공인 통신을 할 수 있습니다. (Network Firewall > NAT 탭에서 NAT 추가 필요)
만약 Spoke VPC의 서브넷이 2개 이상이고, Network Firewall을 통해 서브넷 간 트래픽 제어가 필요한 경우 아래의 라우팅을 추가합니다.
[예시] Spoke VPC(172.16.0.0/24)의 서브넷이 172.16.0.0/25와 172.16.0.128/25일 때
만약 Spoke VPC가 2개 이상이라면 아래의 라우팅을 추가합니다.
[예시] Spoke VPC1(172.16.0.0/24)과 Spoke VPC2(192.168.0.0/24)일 때
[참고] 연결 설정의 5와 같이 Spoke VPC2-Hub 간 VPC 피어링에도 라우트 추가 설정이 필요합니다.
위의 라우팅 설정이 완료되면 서로 다른 Spoke VPC 간 Network Firewall을 경유하여 사설 통신을 할 수 있습니다. (Network Firewall > 정책 탭에서 정책 추가 필요)
Network Firewall 서비스 구성도를 참고하여 고객의 환경에 맞게 연결을 설정하세요.
Network Firewall 생성과 연결 설정을 완료하면 Network Firewall의 여러 기능을 활용하여 접근 제어를 구성할 수 있습니다.
Network Firewall을 생성하면 정책 초기 페이지로 이동합니다.
정책 탭에서는 Network Firewall과 연결된 VPC 간 트래픽과 인바운드/아웃바운드 트래픽을 제어할 수 있는 정책을 관리할 수 있습니다.
[참고] default-deny 정책을 통해 차단된 로그는 옵션 탭의 기본 차단 정책 로그 설정을 사용으로 변경한 후 로그 탭에서 확인 가능합니다.
[주의] 한번 삭제한 정책은 복구할 수 없으며, default-deny 정책은 삭제할 수 없습니다.
객체 탭에서는 정책을 생성할 때 사용할 IP와 포트를 생성하고 관리합니다.
필수 항목을 입력하여 객체를 생성합니다. IP와 포트는 아래의 타입과 프로토콜을 추가할 수 있습니다.
삭제를 클릭해 객체를 삭제할 수 있습니다.
[주의] 정책에서 사용 중인 객체는 삭제 후 ALL 객체로 변경됩니다.
[참고]
- 인스턴스와 관계없이 단순히 인스턴스의 이름과 사설 IP 주소만 참고하여 객체를 생성합니다.(생성 후에는 객체 탭에서 관리)
NAT(네트워크 주소 변환) 탭에서는 외부에서 접속할 인스턴스와 전용으로 사용할 공인 IP를 선택하여 연결합니다.
[참고]
- NAT는 목적지 기반 및 1:1 방식만 제공합니다.
- 포트 기반의 NAT는 제공하지 않습니다.
- NAT를 생성한 뒤 정책 탭에 허용 정책을 추가해야만 공인 통신이 가능합니다.
- NAT에 설정된 NAT 후 사설 IP를 소유한 인스턴스에 직접 Floating IP를 할당할 경우 통신에 문제가 있을 수 있습니다.
- NAT 삭제 후 사용하지 않는 NAT 전 공인 IP는 Network > Floating에서 직접 삭제하세요.
[참고]
- 인스턴스 접속은 NAT를 추가하면서 설정한 NAT 전 공인 IP로 접속 가능합니다. (인스턴스에 직접 Floating IP 연결 불필요)
VPN 탭에서는 사이트간 암호화된 터널을 통해 안전한 사설 통신을 지원합니다.
[참고]
- VPC와 서브넷은 수정할 수 없습니다.
- 게이트웨이는 최대 10개까지 생성 가능합니다.
[설정 시 주의 사항]
- 모든 설정은 피어 VPN 장비와 동일하게 설정합니다.
- 로컬 ID는 피어 VPN 장비의 설정 방식에 따라 선택적으로 설정합니다.
- Phase 2 추가는 최대 3개까지 가능합니다.
- Phase 2의 프라이빗 IP는 /24비트 이하로 설정하세요. /24비트 이상의 값을 설정해야 할 경우 서브넷 범위를 사전에 확인하여 서브넷의 시작 IP로 입력하세요.
- [예시]
- 192.168.100.0/20 (X) → 192.168.96.0/20 (O)
- 172.16.30.0/21 (X) → 172.16.24.0/21 (O)
- 10.0.50.0/22 (X) → 10.0.48.0/22 (O)
- 로컬 프라이빗 IP와 피어 프라이빗 IP는 서로 중복되지 않아야 합니다. 이 범위는 VPC 피어링을 포함한 Network Firewall과 연결되는 모든 사설 대역이 포함됩니다.
- 아래의 CIDR은 로컬 프라이빗 IP와 피어 프라이빗 IP에 추가할 수 없으며, 추가할 경우 Network Firewall을 경유하는 통신에 문제가 있을 수 있습니다.
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
[참고]
- 상태 열에서 색상별로 터널의 상태를 확인할 수 있습니다.
- 녹색: 피어 VPN 장비와 정상적으로 연결 중인 상태
- 빨간색: 설정값 또는 통신 상태 등의 문제로 피어 VPN 장비 간 연결이 실패된 상태
- 회색: 연결 대기 상태(새로 생성된 터널)
- 주황색: 중지 버튼을 클릭해 피어 VPN 장비간 연결이 중지된 상태
[참고]
- 이벤트에서는 터널에 대한 이벤트 로그만 검색할 수 있습니다.
- VPN 터널을 통한 통신 로그 또는 터널 생성과 삭제 등의 감사 로그는 로그 탭에서 확인하세요.
로그 탭에서는 Network Firewall에서 생성된 로그를 검색할 수 있습니다.
트래픽: Network Firewall을 경유할 때 허용 또는 차단 정책에 의해 생성된 트래픽 로그를 검색
Audit: 정책 생성 및 삭제 등 Network Firewall의 변경 사항에 대한 로그를 검색
모니터 탭에서는 Network Firewall의 상태를 실시간으로 확인할 수 있습니다. 검색은 최대 24시간(1일) 내에서만 가능합니다.
옵션 탭에서는 Network Firewall 운영에 필요한 옵션을 설정할 수 있습니다.
[참고] 트래픽, NAT 이더넷의 기본 MTU 크기는 1450Byte입니다.
[참고]
- 구성 방식 변경 시 몇 분 정도의 시간이 소요되며, 구성 변경이 완료되기 전까지 서비스에 영향이 있을 수 있습니다.
- 정책, NAT 등 Network Firewall 변경 작업은 구성 방식 변경이 완료된 뒤 진행할 것을 권장합니다.
[삭제 시 주의 사항]
- 운영 중인 Network Firewall을 삭제할 경우 Network Firewall과 연결된 다른 서비스를 고려하여 진행하세요.
프로젝트 관리 > 이용 중인 서비스에서 Network Firewall 서비스를 비활성화할 수 있습니다.
[참고]
- Network Firewall 서비스 비활성화는 한국(판교) 리전과 한국(평촌) 리전에 모두 적용됩니다. 예를 들어 Network Firewall 서비스를 동일한 프로젝트의 한국(판교) 리전과 한국(평촌) 리전에 모두 활성화한 경우 두 리전 중 하나의 Network Firewall 서비스만 비활성화할 수 없습니다.
- 비활성화하려면 한국(판교) 리전과 한국(평촌) 리전에서 각각 Network Firewall을 삭제한 뒤 진행하세요.