[Network & Security] Zone 기반 방화벽 정책 구성과 트래픽 흐름

1. Zone이란?

Zone은 방화벽 내부에서 네트워크를 논리적으로 분리하기 위한 구획이다.
물리적인 포트나 IP 주소 단위가 아니라, 역할에 따라 구간을 나누는 방식이다.

Zone은 보통 다음과 같이 구성된다.

 

• trust: 내부 사용자 영역
• untrust: 외부(인터넷) 영역
• dmz: 외부 접근이 필요한 서버 영역 (웹, 메일 등)
• guest: 별도의 임시 네트워크 구간

 

Zone은 여러 인터페이스나 서브넷을 묶을 수 있어,
실제 물리 구성이 복잡해도 정책은 Zone 단위로 간단하게 관리할 수 있다.

---

2. Zone 기반 정책 구성 방식

 

Zone이 설정된 상태에서는 정책도 Zone 간의 흐름을 기준으로 작성된다.
방화벽 정책은 다음처럼 구성된다:

• 출발지 Zone → 목적지 Zone
• 조건: IP, 포트, 프로토콜
• 액션: 허용(Allow) 또는 차단(Deny)

예를 들어:

• trust → untrust : HTTPS(443) 허용
• dmz → trust : SMTP(25) 차단

이런 식으로 Zone 간 통신 흐름을 기준으로 정책을 관리하는 방식이다.

---

3. Zone 구조의 장점

 

• 정책 관리가 단순해진다: Zone 간 관계만 정의하면 되기 때문에, 장비 포트나 IP 변경 시에도 정책을 수정할 필요가 적다.
• 역할 기반 분리 가능: 사용자 네트워크, 서버 영역, 외부망 등을 논리적으로 구분해 보안 관리에 유리하다.
• 정책 재사용이 쉽다: 동일 Zone 구성에서는 비슷한 정책을 그대로 적용할 수 있다.

---

4. 트래픽 흐름 예시 (참고 구성)

 

Zone 개념을 이해하기 위해 문서를 참고하여 정리한 예시 흐름은 다음과 같다.

 

[ 내부 사용자 (trust) ]
        ↓
  방화벽 (trust → untrust)
        ↓
[ 인터넷 서버 (untrust) ]

 

 

이 구성에서는 trust에서 untrust로 나가는 트래픽에 대해 443번 포트(HTTPS)를 허용하는 정책이 설정되어야 외부 접근이 가능하다.
반대로 untrust에서 trust로 직접 들어오는 트래픽은 기본적으로 허용되지 않는 경우가 많다고 설명되어 있었다.

 

---

5. Zone 흐름 참고 구성 예시

 

정리하면서 여러 자료에서 자주 언급된 기본 Zone 흐름 예시는 다음과 같았다:

• trust → untrust: 내부 사용자의 외부 접근 허용
• trust → dmz: 내부에서 서버 접근 허용 (필요한 포트만 개방)
• untrust → dmz: 외부에서 DMZ 접근 허용 (웹, 메일 등)
• untrust → trust: 일반적으로 차단