다음 기사에서는 Cato 소켓을 WAN 연결성과 방화벽-서비스로 사용할 때의 사례를 다룹니다. 이 경우, 보안은 배포의 주요 목표입니다. 이 기사는 주로 WAN/글로벌 연결성을 위해 Cato Networks를 사용하는 상황에는 덜 관련이 있습니다.
최근까지 내부 VLAN을 관리하는 내부 L3 스위치 토폴로지를 갖는 것이 꽤 일반적이었습니다. 백본 스위치는 각 VLAN에 대해 기본 게이트웨이 역할을 하는 L3 인터페이스를 갖게 됩니다. 라우팅은 스위치 내부에서 이루어졌으며, 즉 VLAN 간 트래픽은 스위치 내부에 머물렀습니다. 인터넷 또는 WAN에 대한 트래픽만 방화벽으로 전송되었습니다. 아래 예시를 참조하십시오:
위의 토폴로지에서는 내부 VLAN 간 라우팅이 L3 백본 스위치에서 이루어집니다. 인터넷 트래픽만 L4 검사를 위해 방화벽으로 전송됩니다. 다음과 같은 이유로 내부 VLAN 간에 ACL(접근 제어 목록)을 갖는 경우는 드뭅니다:
-
관리하기 어려움 - ACL은 CLI를 사용하여 생성해야 하며, 매우 번거롭습니다.
-
차단된 트래픽 검토 - 트래픽 로그는 주로 CLI 명령어로 검토할 수 있으며, 요즘 방화벽에서 사용하는 명확한 GUI는 없습니다.
-
L3 ACL를 활성화하면 스위치의 CPU 전력을 소모합니다.
-
기업 접근 권한이 없는 격리된 VLAN을 갖는 것은 매우 복잡합니다.
결국, 대부분의 네트워크는 내부 VLAN 간 무제한 라우팅 및 액세스를 갖게 되었습니다. VLAN 중 하나에서 발생한 바이러스 확산을 제어하는 것은 매우 어렵거나 (거의 불가능합니다.
사이버 공격이 증가하고 멀웨어가 점점 커짐에 따라, 네트워크 설계가 보안 장치인 방화벽에서 L3 라우팅으로 이동하기 시작했습니다. 위의 토폴로지와 비슷하지만, 하나의 주요 차이점이 있습니다 - 모든 스위치는 L2 장치로 작동하고, 방화벽 장치는 내부 VLAN 간 L3 라우팅을 수행합니다. 아래 예시를 참조하십시오:
위의 토폴로지에서 방화벽은 Router-on-a-stick으로 작동합니다. VLAN 10 PC와 VLAN 20 PC 간 트래픽은 방화벽을 통해 전송됩니다.
당연히, 이 접근 방식은 훨씬 더 많은 제어와 보안을 제공합니다. 감염된 VLAN을 네트워크에서 격리하는 것은 매우 쉽습니다. 인터넷 전용으로 접근할 수 있는 VLAN(예: 게스트 네트워크)을 설정하는 것도 간단합니다.
카토 소켓은 (주로) 두 가지 구성을 지원합니다:
-
VLAN - 방화벽의 L3 라우팅과 유사하게, 소켓은 각 VLAN에 대해 L3 인터페이스를 갖고 기본 게이트웨이 역할을 합니다.
-
라우팅된 범위 - 정적 라우트. 소켓이 L3 스위치를 통해 내부 VLAN으로 경로를 갖는 첫 번째 토폴로지에서 사용되었습니다.
두 네트워크 디자인 모두 Cato에 의해 지원되지만, 새로운 디자인에서의 모범 사례는 VLANs입니다. 제한이나 특수 요구가 없는 한, 소켓을 구성하는 최선의 방법은 방화벽 토폴로지의 L3와 유사할 것입니다. 아래 예시를 참조하십시오:
-
관리 - 소켓은 각 VLAN의 기본 게이트웨이 역할을 하고 각 VLAN에 대한 DHCP 범위를 제공합니다. 모든 것은 Cato 관리 애플리케이션으로 관리됩니다.
-
컨트롤 - VLAN 중 하나에 바이러스가 확산되면, 이 VLAN은 WAN 방화벽 규칙 또는 해당 VLAN의 기본 게이트웨이를 삭제하여 즉시 그리고 쉽게 격리될 수 있습니다.
-
보안 - 게스트용 Wifi 같은 완전히 격리된 VLAN을 만들어야 할 때, 소켓은 쉽게 그 네트워크의 WAN/기업 접근을 차단하고 인터넷 접근만을 허용할 수 있습니다.
-
설계상 모든 WAN 트래픽이 PoP로 간다는 점에 주의하세요. 이는 사이트 간 트래픽과 VLAN 간 트래픽을 모두 포함합니다. 즉, 동일한 사무실의 VLAN 간 트래픽은 기본적으로 소켓에서 라우팅되지 않습니다. 이 점은 다음 섹션에서 다룹니다.
-
내부 VLAN 간의 보안 규칙을 생성 및 관리하기 - VLAN 간의 트래픽을 허용하는 고유 규칙을 수백개 가지는 것은 실제로는 그렇게 중요하지 않습니다. 더 중요한 능력은 감염된 VLAN을 즉시 격리할 수 있는 방법입니다. 효과적인 보안 방어는 악성코드 방지 및 IPS와 같은 Cato의 고급 보안 서비스에 의해 제공될 것입니다. 악성코드 방지와 IPS는 내부 및 외부 트래픽에 대한 진정한 L7 검사를 제공합니다.
-
성능 - 보안 장치로의 인터 VLAN 라우팅을 전환할 때 즉시 생기는 우려는 대역폭 용량입니다. 기존의 L3 스위치는 보안이 부족했지만 확실히 높은 성능을 갖추고 있었습니다. 이 문제를 해결하기 위해 몇 가지 사실을 제공하고자 합니다:
-
데이터 센터 외에도 일반 사무실에는 사용자, 프린터 및 게스트의 Wifi와 같은 몇 가지 VLANs가 있습니다. 생각해보면, 이러한 VLAN 간 트래픽을 허용할 실제 이유는 없습니다. 이들은 주로 데이터 센터의 기업 리소스에 접근하거나, 단순히 Office 365, Skype 및 세일즈포스와 같은 클라우드 서비스에 접근할 필요가 있습니다.
-
사용자에서 프린터로의 소규모 트래픽은 PoP 및 소켓으로 이동하더라도 완벽하게 작동할 수 있습니다. 사용자는 인쇄 작업이 20ms의 추가 패킷 지연이 있을 때 차이를 느끼지 못하지만, IT 관리자들은 훨씬 더 나은 보안 및 통제력을 가질 수 있습니다.
-
1Gbps의 고속 라우팅이 여전히 필수적인 경우, Cato 소켓은 로컬 라우팅 기능을 지원합니다. 로컬 라우팅은 소켓 내에서 라우팅을 허용하여, 한 쌍의 VLAN 간 트래픽이 소켓 내에 머무르도록 합니다. 이러한 종류의 구성은 Cato의 L7 보안 서비스(악성코드 방지 및 IPS)를 우회합니다. 그럼에도 불구하고 일부 감염된 워크스테이션이 외부 C&C 또는 악성 프록시와 통신하게 되면, 감지되어 알림이 전송될 것입니다.
-
댓글 0개
댓글을 남기려면 로그인하세요.