[Network & Security] 방화벽 정책 구성의 기본 개념

 

1. 방화벽 정책의 기본 요소

방화벽은 네트워크 트래픽을 허용하거나 차단하기 위해 여러 조건을 설정하는데,
이때 적용되는 규칙을 정책(Policy)이라고 한다.

보통 한 개의 정책은 다음 항목들로 구성된다.

• Source (출발지): 내부 또는 외부의 IP, 포트, Zone
• Destination (목적지): 접근 대상의 IP, 포트, Zone
• Service: HTTP, HTTPS, FTP 등 특정 프로토콜/포트
• Action: 허용(Allow) 또는 차단(Deny)
• Schedule (선택적): 특정 시간에만 허용하는 설정
• Log: 해당 정책 적용 시 로그를 남길지 여부

방화벽은 정책을 위에서 아래 순서로 적용하며,
가장 먼저 일치하는 조건의 정책을 적용한다. 이를 선순위 처리(Top-down)라고 한다.

---

2. Zone 기반 정책 구성

요즘 대부분의 방화벽은 Zone 기반 정책 관리 방식을 사용한다.

• 예시:
  • trust → untrust: 내부에서 외부로 나가는 트래픽
  • dmz → trust: DMZ에서 내부 서버로 접근 시

Zone을 활용하면 물리적 인터페이스보다 논리적 그룹 단위로 정책을 관리할 수 있어,
복잡한 네트워크 환경에서도 정책을 간결하게 유지할 수 있다.

---

3. 정책 작성 시 유의할 점

• 정책 범위는 좁게: 출발지/목적지/서비스 범위를 구체화해야 보안성이 높아진다.
• ANY 사용은 최소화: 편하지만 위험도 크다. 테스트 외에는 최소한으로 사용
• 정책 설명 작성: 정책별로 설명을 남기면 운영 중 유지보수나 인수인계 시 도움이 된다.
• 정책 순서 중요: 상위 정책이 먼저 적용되므로 유사 정책이 있다면 순서 조정에 유의해야 한다.

---

4. 정책 예시 정리

아래는 학습 중 참고한 문서들을 기반으로 정리한 일반적인 정책 예시 구성이다.

 

순서	Source Zone	Destination Zone	Service	Action	Log
1	trust	untrust	HTTPS (443)	Allow	Yes
2	trust	untrust	ANY	Deny	Yes

이 예시는 내부 사용자에게 HTTPS만 허용하고,
나머지 외부 접근은 차단하는 기본적인 정책 구조이다.

---

마무리

• 방화벽 정책은 트래픽 제어를 위한 조건 집합이다.
• 보안성과 효율성을 위해 Zone 기반 구성과 정책 순서에 대한 이해가 필요하다.
• 실무에서 자주 등장하는 정책들을 참고하며 기초 개념을 체계적으로 정리해두는 것이 중요하다.