소켓 LAN 방화벽 정책 구성하기

참고

참고: 사이트 LAN 방화벽 규칙의 계정 수준 정책으로의 자동 마이그레이션 예정

최근에 계정 수준 구성과 레이어 7 강제 적용을 제공하는 Socket Next Gen LAN 방화벽을 출시했습니다. 2025년 7월 1일부터 기존 사이트 수준 LAN 방화벽 규칙을 계정 수준 정책으로 마이그레이션할 예정입니다.

  • 각 사이트 수준 규칙은 자동으로 라우팅을 지정하는 네트워크 규칙과 트래픽을 허용하거나 차단하는 방화벽 규칙으로 새로운 정책에 구성됩니다.
  • 각 사이트의 규칙은 별도의 섹션으로 규칙 베이스에 추가됩니다.
  • 이 마이그레이션은 원활한 자동 프로세스이며 서비스 중단은 예상되지 않습니다.
  • 7월 1일 전에 정책 마이그레이션에 관심이 있으시면 ea@catonetworks.com으로 연락해 주세요

개요

소켓의 기본 동작은 모든 WAN 및 인터넷 트래픽을 보안 검사를 위해 PoP로 전달하는 것입니다. 이는 사이트 내 인접 네트워크 세그먼트 간의 LAN 트래픽을 포함합니다 (예: VLANs).  일부 시나리오에서는 기본 동작을 무시하고 소켓을 사이트에서 구성하여 두 네트워크 세그먼트 간 또는 호스트 간의 통신을 허용하거나 차단하고, 트래픽을 Cato PoP로 보내지 않고 직접 소켓에서 처리할 수 있습니다.  LAN 방화벽 정책을 통해 소켓에서 직접 LAN 트래픽을 허용하거나 차단하는 규칙을 구성할 수 있습니다. 선택적으로 각 규칙에 대해 추적(이벤트)을 활성화할 수 있습니다.

참고

참고: LAN 방화벽은 로컬 라우팅 정책의 향상된 기능입니다. 더 많은 정보를 보려면 아래 LAN 방화벽 사용 전제 조건로컬 라우팅 정책을 LAN 방화벽으로 업그레이드하기를 참조하십시오.

LAN 방화벽 이해하기

LAN 방화벽을 사용하면 필요에 따라 정책을 생성하여 소켓 수준에서 특정 유형의 트래픽을 차단하거나 허용할 수 있습니다.

아래 다이어그램은 LAN1에서 LAN2로의 트래픽을 허용하는 LAN 방화벽 규칙을 보여줍니다.

image.png

이 다이어그램은 LAN1에서 LAN2로의 트래픽을 차단하는 LAN 방화벽 규칙을 보여줍니다.

image.png

LAN 방화벽 사용 - 샘플 규칙베이스

다음은 LAN 방화벽 구성 규칙 예제입니다. 각 규칙은 아래와 같이 설명됩니다:

image.png

규칙 1 - '손님 차단' - 이 규칙은 'Guest-Wifi' 네트워크를 사용하는 호스트가 사이트 내 모든 다른 호스트나 내부 리소스에 액세스하는 것을 차단하면서 이러한 이벤트를 추적합니다. 호스트는 여전히 인터넷에 접속할 수 있습니다.

규칙 2 - '파일 공유 허용' - 이 규칙은 'Corp-Users' 네트워크에 연결된 호스트만 'File-Servers' 로컬 네트워크의 서버에 HTTPS 또는 SMB (TCP/445)를 통해 연결할 수 있도록 허용합니다. 각 흐름은 이벤트에서 추적됩니다. 로컬 허용 정책을 통해 SMB와 HTTPS 간의 터널 오버헤드가 감소됩니다. 이는 트래픽이 사이트에서 로컬로 관리되어 터널을 통과하지 않기 때문입니다.

규칙 3 - 'CCTV 서버 허용' - 이 규칙은 'IOT-Cameras' 네트워크에서 HTTPS를 통해서만 'IOT-File-Servers' 네트워크에 연결할 수 있도록 허용합니다. 각 흐름은 이벤트에서 추적됩니다. 

암시적 동작 - 규칙 기반에 정의되지 않은 모든 다른 호스트 트래픽은 'File-Servers'로 돌아가기 전에 검사를 위해 Cato PoP로 전송됩니다. 예를 들어, 'Corp-Users'에서 'File-Servers'로의 TCP/21 (FTP) 트래픽은 샘플 규칙 기반과 일치하지 않으며 기본 동작(트래픽을 Cato PoP로 보내기)을 트리거합니다.

LAN 방화벽 규칙베이스 작업

LAN 방화벽 정책은 첫 번째부터 마지막으로 구성된 규칙 순서대로 처리됩니다. 일단 규칙이 일치하면 작업이 적용됩니다. 그렇지 않으면, 기본적으로 트래픽이 Cato PoP로 전송됩니다

규칙 베이스의 최상단에 있는 규칙은 우선순위가 높습니다. 이는 규칙 베이스의 하단에 있는 규칙보다 연결에 먼저 적용되기 때문입니다. 예시로, 연결이 규칙 3과 일치하면, 조치가 연결에 적용되고, 방화벽은 검사를 중지합니다. 방화벽은 연결에 대해 규칙 4 이하를 계속해서 적용하지 않습니다. LAN 방화벽의 효율성을 높이고 가장 많은 연결과 일치하는 규칙에 높은 우선순위를 부여할 수 있습니다.

LAN 방화벽의 처리량

다음 표는 각 소켓 모델에 대한 LAN 방화벽이 지원하는 처리량을 나타냅니다.

참고: 아래에 나타난 값은 실험실 환경에서 Socket v19.0 일원적 테스트를 기반으로 합니다.

소켓 모델

TCP 대역폭

UDP 대역폭

X1500

최대 1Gb/sec

최대 2Gb/sec

X1600

최대 8Gb/sec

최대 8.5Gb/sec

X1700

최대 10Gb/sec

최대 12Gb/sec

LAN 방화벽 사용을 위한 전제 조건

LAN 방화벽은 기존 로컬 라우팅 정책의 향상입니다. 이 기능은 사이트별로 활성화됩니다.

사이트의 모든 소켓이 소켓 버전 18.0 이상을 실행하고 있는지 확인하세요.

로컬 라우팅 규칙을 LAN 방화벽으로 업그레이드하기

  • 사이트에 구성된 로컬 라우팅 규칙이 없는 경우, 이를 즉시 LAN 방화벽 정책으로 업그레이드할 수 있습니다

  • 사이트에 로컬 라우팅 규칙이 구성된 경우, 해당 규칙을 LAN 방화벽으로 마이그레이션하고, 로컬 라우팅 정책을 LAN 방화벽으로 업그레이드를 참조하세요

  • LAN 방화벽으로 업그레이드한 후, 기능을 활성화하세요 (화면 오른쪽 상단의 LAN 방화벽 활성화됨 토글).

    이 기능이 비활성화되면 모든 트래픽은 PoP로 전송됩니다.

LAN 방화벽 구성하기

이 섹션은 LAN 방화벽에 대한 규칙 및 구성 가능한 객체, 포트, 서비스를 정의하는 방법을 설명합니다.

LAN 방화벽 규칙 정의

새 LAN 방화벽 규칙을 생성하고 설정을 구성하여 LAN 트래픽의 라우팅을 관리합니다. 아래에 규칙 추가 옵션을 사용하여 규칙 베이스의 적절한 위치에 쉽게 규칙을 추가할 수 있습니다.

참고

참고: 새 구성을 소켓에 적용하는 데 최대 1분이 소요될 수 있습니다.

LAN 방화벽 규칙을 정의하려면:

  1. 내비게이션 메뉴에서 네트워크 > 사이트를 클릭하고 사이트를 선택합니다.

  2. 내비게이션 메뉴에서 사이트 설정 > LAN 방화벽을 클릭합니다.

  3. 새로운을 클릭합니다. 규칙 추가 패널이 열립니다.

  4. 일반 섹션에서:

    1. 새 규칙에 대한 이름을 입력합니다.

    2. 기본적으로 규칙은 활성화됨입니다. 활성화됨 토글을 사용하여 규칙을 비활성화할 수 있습니다.

    3. 방향 아래에서, 단방향 트래픽을 활성화하려면 대상을 선택하거나, 양방향 트래픽을 활성화하려면 양방향을 선택하십시오.

    4. 규칙 순서를 선택하십시오. 보다 구체적인 규칙에 대해 높은 규칙 순서를, 덜 구체적인 규칙에 대해 낮은 규칙 순서를 정의하는 것을 권장합니다. 

      참고: 규칙 순서 구성에 대한 자세한 내용은 "LAN 방화벽 규칙베이스 작업" 섹션을 참조하십시오.

      image.png

  5. 트래픽 소스와 목적지 엔터티를 정의하려면 소스목적지 섹션을 확장하십시오.

  6. 서비스/포트 섹션을 확장하고, 규칙이 적용되는 프로토콜을 선택하십시오.

    1. 선택한 포트/프로토콜이 있으면, 프로토콜/포트 형식으로 관련 포트와 프로토콜을 원하는 대로 정의하십시오(예:. TCP/80-88, UDP/53, ICMP 등)

    2. 간단한 서비스를 선택한 경우, 관련 4계층 서비스를 예측된 대로 선택하십시오.

      사전 정의된 서비스 목록은 각 서비스의 RFC 정의를 기반으로 합니다.

  7. NAT 섹션:

    1. NAT 활성화 - 선택 사항으로, 출력 인터페이스에서 NAT를 활성화하십시오. 모든 원본 IP를 하나의 NAT IP로 변환합니다.

    image.png

  8. 작업 섹션에서:

    1. 로컬에서 허용 - 이 작업은 소켓 LAN 네트워크 간의 일치하는 로컬 트래픽을 허용합니다.

    2. 로컬에서 차단 - 이 작업은 소켓 LAN 네트워크 간의 일치하는 로컬 트래픽을 차단합니다.

    참고:  트래픽이 규칙과 일치하지 않는 경우 기본 작업은 PoP로 보내기입니다.

  9. 추적 아래의 작업 섹션에서:

    1. 선택 사항으로, 이벤트 확인란을 활성화하십시오. 일치 시, 이 규칙에 대한 이벤트가 생성됩니다.

  10. 적용을 클릭한 후 저장을 클릭하십시오.

NAT 그리고 LAN 방화벽 규칙

사이트 내의 LAN 네트워크 간에 NAT를 사용해야 하는 시나리오가 있으며, 이는 두 개(또는 그 이상의) 직접 연결된 네트워크 간 또는 라우팅된 네트워크(정적 라우트 또는 BGP 라우트) 간에 있을 수 있습니다.

  1. NAT는 대상 방향에서만 구성 가능합니다.

  2. 규칙에 대한 구성을 저장한 후, Cato 관리 애플리케이션은 규칙에 대한 아웃바운드 네트워크아웃바운드 IP를 자동으로 계산합니다.

LAN 방화벽 소스 및 목적지 객체

다음 소스 및 목적지 객체를 정의할 수 있습니다:

  • 글로벌 범위 - 사이트의 LAN 인터페이스에 대한 기본 범위입니다.

  • 호스트 - 사이트에 정의된 호스트 및 서버입니다.

  • 인터페이스 서브넷 - VLAN, 라우팅되거나 직접 범위, 또는 보조 AWS vSocket 네이티브 범위입니다.

  • 네트워크 인터페이스 - 사이트의 LAN 인터페이스에 대해 정의된 서브넷 및 네트워크 범위입니다.

  • 모든 - 사이트 내의 모든 소스 또는 목적지.

LAN 방화벽 서비스 및 포트

다음은 사용 가능한 사전 정의된 서비스 목록입니다:

서비스

포트

프로토콜

RDP

3389

TCP

MYSQL

3306

TCP

HTTP

80

TCP

HTTPS

443

TCP

SSH

22

TCP

SMTP

25

TCP

DNS TCP

53

TCP

DNS UDP

53

UDP

모니터링 및 이벤트

LAN 방화벽에서 정의된 각 규칙에 대해 이벤트 추적을 선택적으로 활성화할 수 있습니다.

참고

참고: LAN 방화벽 트래픽은 앱 및 네트워크 분석 대시보드에서 보이지 않습니다.

이벤트는 사이트 모니터링 > 이벤트 아래에 나타납니다.

  • 이벤트 유형 - 보안

  • 유형 - LAN 방화벽

LAN 방화벽 이벤트를 필터링하려면:

  1. 홈페이지 > 이벤트로 이동하십시오.

  2. 필터를 클릭하고 관련 필드, 연산자 및 값을 선택하십시오.

    1. 필드 - 필터로 여러 필드를 선택할 수 있습니다. 예를 들어 "출처 사이트" 또는 "유형"(LAN 방화벽)으로 필터링할 수 있습니다

    2. 연산자 - 특정 값(은(는), 아님) 또는 여러 값(포함됨, 포함되지 않음)을 포함하거나 제외하도록 선택하십시오. 예를 들어 "출처 사이트"가 연산자 "포함됨"을 사용하여 여러 출처 사이트를 값으로 선택할 수 있습니다.

    3. - 필드의 값입니다.

  3. 필터 추가를 클릭하십시오.

image.png

다음 예에서 LAN 방화벽 이벤트의 세부 정보를 볼 수 있습니다.

  • 작업 - 차단 또는 모니터링. (트래픽이 LAN 방화벽에 의해 로컬에서 차단되거나 허용되었습니다)

  • 구성된 호스트 이름 - 사용 가능한 경우 소스 IP에 대한 추가 호스트 정보.

  • 유형 - LAN 방화벽.  LAN 방화벽에서 생성된 모든 이벤트는 이 유형을 가집니다.

  • 규칙 - 이 이벤트를 생성한 정의된 규칙 이름.

image.png

WAN 또는 인터넷 방화벽과 달리, 여기서 이벤트는 Cato PoP에 의해 생성되고, LAN 방화벽 이벤트는 소켓 자체에서 생성됩니다. 이러한 이벤트는 사이트 터널을 통해 전송되어 Cato 관리 애플리케이션에 저장됩니다. 

터널을 통한 모든 트래픽은 기본 QoS 우선순위가 255인 LAN 방화벽 이벤트보다 우선적으로 처리되며, 추가적인 오버헤드를 생성할 수 있습니다. 

카토는 터널을 통한 추가적인 오버헤드를 피하기 위해 높은 우선순위의 LAN 방화벽 규칙만을 추적할 것을 권장합니다.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개