WEB Firewall Self 서비스에서는 웹 서버를 보호할 수 있도록 웹 방화벽 인스턴스를 생성하고 운영할 수 있는 가이드를 제공합니다. 여기에서는 WEB Firewall Self 서비스 사용 방법을 소개합니다.
WEB Firewall 서비스를 이용하려면 NHN Cloud Console에 로그인하고, 서비스 목록에서 Security > WEB Firewall을 클릭하여 서비스를 활성화합니다.
[참고] * 인스턴스가 생성되는 즉시 이용 요금이 부과됩니다. * WAPPLE SA(PENTA WAF)의 최소 권장 인스턴스 사양은 2vCore / Memory 4GB으로 권장 미만 사양의 인스턴스 사용 시 정상적으로 동작하지 않을 수 있습니다. 따라서 반드시 권장 사양 이상의 인스턴스 타입을 사용해야 합니다.
[주의] * 웹 서비스가 웹 방화벽을 경유하여 서비스 되고 있을 때 인스턴스를 삭제할 경우 서비스 장애가 발생할 수 있습니다. * 웹 방화벽 인스턴스 삭제 시 관련 서비스를 유의하여 삭제하시기 바랍니다.
웹 방화벽 인스턴스 생성 시 참고할 수 있는 세부 절차를 가이드합니다.
[참고] ※ WAPPLE SA(PENTA WAF)의 최소 권장 인스턴스 사양은 2vCore / Memory 4GB으로 권장 사양 미만의 인스턴스 사용 시 정상적으로 동작하지 않을 수 있습니다. 따라서 반드시 권장 사양 이상의 인스턴스 타입을 사용해야 합니다.
Throughput (Mbps) | 인스턴스 타입 | vCPU | Memory(GB) |
---|---|---|---|
100 | m2.c2m4 | 2 | 4 |
300 | m2.c4m8 | 4 | 8 |
700 | m2.c8m16 | 8 | 16 |
1,500 | m2.c16m32 | 16 | 32 |
[표1. 웹 방화벽(WAPPLES SA) 권장 인스턴스 타입]
방향 | IP 프로토콜 | 포트 | 원격(CIDR) | 설명 |
---|---|---|---|---|
수신 | TCP | 80 (HTTP) | 0.0.0.0/0 | WAF 웹 서비스 포트 |
수신 | TCP | 443 (HTTPS) | 0.0.0.0/0 | WAF 웹 서비스 포트 *아래 주의사항 참고 |
수신 | TCP | 5001 | 관리자 IP | WAF 관리 도구(UI) 포트(관리자 IP만 허용) |
수신 | TCP | 22 (SSH) | 관리자 IP | WAF SSH 터미널 포트(관리자 IP만 허용) |
수신 | TCP | 5000 | WAF의 상단 LB의 IP | 상단 LB의 헬스체크(health check) 포트 |
수신 | TCP | 5984 | WAF의 보안그룹 혹은 WAF IP 대역대 | WAF 간 정책 동기화 *이중화 시 필요 |
*송신 | 임의 | - | 0.0.0.0/0 | WAF의 외부 라이선스, 시그니처 업데이트 등 통신 용도 (개별 설정 필요할 경우 [표3. WAF 송신 목록] 참고) |
[표2. 보안 그룹 설정 예시]
[참고] * 이중화(설정 동기화 기능 사용 시) 또는 Auto Scaling 사용 시 웹 방화벽 간 5984 포트 허용이 추가로 필요합니다.
위 [표2. 보안그룹 설정 예시]의 WAF의 *송신 규칙은 예시와 같이 모든 외부 통신을 허용하는 것을 권장합니다. 송신 규칙을 개별로 허용이 필요한 경우 아래 [표3. WAF 송신 목록]을 참고합니다.
방향 | IP 프로토콜 | 포트 | 원격(CIDR) | 설명 |
---|---|---|---|---|
송신 | TCP | 443 (HTTPS) | 218.145.29.166/32 | WAF 라이선스 업데이트 서버 |
송신 | TCP | 443 (HTTPS) | 218.145.29.101/32 | WAF 라이선스 업데이트 서버 |
송신 | TCP | 5001 | 218.145.29.168/32 | WAF 보안룰(custom rule) 업데이트 서버 |
송신 | UDP | 123 | 218.145.29.166/32 | Penta 시간 서버 |
송신 | UDP | 123 | 218.145.29.163/32 | Penta 시간 서버 |
*송신 | TCP | 5984 | WAF의 보안그룹 혹은 WAF IP 대역대 | WAF 간 정책 동기화 *이중화 시 필요 |
[표3. WAF 송신 목록]
[주의] * 웹 방화벽에서 보호대상 서버 TCP 443(HTTPS) 정책을 설정 하지 않았을 경우, 웹 방화벽으로 TCP 443(HTTPS) 접속 시 관리 도구(UI)에 접근 가능합니다. 따라서 위 보안그룹 ACL 중 "수신 TCP 443" 규칙은 웹 방화벽의 보호대상 서버 TCP 443 설정 후 보안그룹에서 허용합니다.
WAF 보호 대상 설정하기
보호 대상 서버 등록하기
다중: 웹 호스트명에 따라 보호대상 웹 서버(혹은 하단 LB 등)의 IP 혹은 포트로 분기하여 연결할 경우 사용합니다. (1:N 매칭)
단일 설정
[참고] * WAF가 HTTPS 서비스를 제공해야 할 경우 [네트워크 설정 > SSL 프로파일 > 인증서 추가]를 진행한 후 각 보호대상 웹 서버 추가 시 SSL 설정을 진행할 수 있습니다. * 자세한 사항은 아래 "웹 방화벽 운영" 항목에 기재된 위치의 사용자 매뉴얼을 참고합니다.
보호 정책 설정하기
[WAF 적용 시 참고 사항] * NHN Cloud 관리형 서비스 공급자(managed service provider, MSP)를 통해 고객 인프라 환경에 WAF 서비스가 적용되도록 네트워크 routing을 변경 구성합니다. * 고객 인프라 구성에 따라 WAF 플로팅 IP로 DNS 변경이 필요하거나, WAF 이중화 구성 시 상단 로드 밸런서 IP로 DNS 변경이 필요할 수 있습니다.
[참고] * Self 서비스에서는 사용 가이드만 제공되며, Managed 서비스 이용 시 운영 대행 및 24시간 보안관제 서비스를 제공합니다.