TheKoguryo's 기술 블로그

 Version 2024-11-29

5. 방화벽 구성을 위해 Security Rules 적용하기

네트워킹 서비스는 네트워크 패킷 레벨에서 트래픽을 제어하기 위해 Security Rule을 사용하는 2가지 가상 방화벽을 제공합니다.

  • Security Lists: 네트워킹 서비스에서 처음부터 제공하던 가상 방화벽
  • Network security groups(NSGs): 조금 다른 형태의 애플리케이션 컴포넌트를 위해 추가적으로 디자인된 가상 방화벽으로 지원하는 OCI 서비스가 한정되어 있습니다.

Security Lists와 Network Security Groups의 차이

Security tool 적용대상 적용 방법 제약사항
Security lists 해당 Security List를 사용하는 서브넷에 있는 모든 VNIC 적용됨 서브넷에서 사용할 Security List를 추가 서브넷당 최대 5개의 Security List
Network Security Groups 같은 VCN내에 선택한 VNIC에만 적용됨 Security Group에 VNIC을 추가 VNIC당 최대 5개의 Network Security Group
  • 두 가지를 혼용해서 사용할 수 있습니다. Network Security Group는 개별 VNIC 단위로 적용할 수 있어, 대상 Subnet상에 속한 모든 인스턴스이 꼭 필요한 대상에만 방화벽을 개방할 수 있게 합니다.

Security Rule을 통해 들어오고, 나가는 방화벽 정책을 구생하게 됩니다. 마법사로 VCN을 생성시 22 포트만 개방되어 있는데, 커스텀 애플리케이션(예, Apache HTTP Server)를 사용시 추가 포트를 개방하는 절차를 Securit List와 Network Security Group을 통해 알아봅니다. 여기서 추가해 개별 Compute 인스턴스에서는 OS 레벨에서 자체 방화벽을 활성화되어 있으면, 여기에서도 개방이 필요합니다. 그에 따른 절차를 차례대로 수행해 봅니다.

  • Step #1: 대상 Application 설치
  • Step #2: OS 방화벽에 예외 포트 설정
  • Step #3: OCI Security 규칙에 등록
    • 방법 #1. Security List에 수신할 Source IP와 Port 등록
    • 방법 #2. Network Security Group에 수신할 Source IP와 Port 등록


이 글은 개인으로서, 개인의 시간을 할애하여 작성된 글입니다. 글의 내용에 오류가 있을 수 있으며, 글 속의 의견은 개인적인 의견입니다.

Last updated on 7 Jan 2019