각 방화벽마다 인터페이스 포트 수가 다르고 종류도 다르다. 이게 무슨역할인지 알아보자
내가 찾고싶은 방화벽의 모델명을 알면 구글에 아래와 같이 Datasheet 를 쳐보면된다
나는 예시로 Fortinet 장비를 가져왔다.
데이터 시트를 들어가면 아래와 같이 하드웨어가 어떻게 생겼는지 ?
그리고 아래와 같이 물리적인 포트의 수를 확인 할 수 있다.
각 포트별로 사용 용도는 아래과 같습니다.
사전에 내부 환경을 어떻게 구성할건지 확인하고, 그에 맞는 장비를 들여야 합니다.
참고로 아래 방화벽 인터페이스는, 이름만 달라요
DMZ, MGMT 같은 이름은 사용자가 실무에서 헷갈리지 않게 쓰라고 만들어 놓은 가이드라인이고,
관리자가 설정하기에 따라 바꾸어서 사용 가능합니다.
| 인터페이스 이름 | 주요 역할 | 실제 연결 대상 (실무) |
| WAN (외부망) | 인터넷 세계와 통하는 관문 (공인 IP 세팅) | KT, SKB, LGU+ 등 통신사 모뎀 또는 광인입선 |
| LAN / Internal (내부망) | 사내 직원들이 사용하는 안전한 구역 (사설 IP) | 사내 메인 L3/L2 스위치, 업무용 PC, 무선 AP |
| DMZ (비무장지대) | 외부에 서비스를 제공하되 내부망과 격리하는 구역 | 회사 홈페이지(웹서버), 메일 서버, 외부 연동 NAS |
| MGMT (관리용) | 방화벽 설정(GUI/CLI) 및 모니터링 전용 포트 | 관리자 전용 PC 또는 사내 관리 전용 스위치 |
| HA (이중화) | 방화벽 2대를 묶어 무중단 환경을 만드는 동기화 포트 | 다른 한 대의 방화벽 HA 포트와 다이렉트 연결 |
물리적으로 가깝거나 (100m 이하) 사용자가 적고 속도가 덜 중요한 경우 RJ45 로 대체 가능하고,
거리가 멀고 (수백m ~ 수십km) 사용자가 많고 속도가 중요한 경우 SFP 로 구성해야 합니다.
방화벽은 각각 인터페이스별로 설정하므로, 물리적으로 분리하면됩니다.
만약 방화벽 포트가 부족할땐 VLAN 을 활용하면 됩니다.
VLAN = 물리포트 1가닥에 가상포트 수십개 만들어서 사용가능하여 논리적으로 분리 가능
실제 이렇게 구성하고, 방화벽 정책은 각 인터페이스별로 설정합니다
예시 ) Port 1 -> Port 5.
Port 1의 출발지 IP -> Port 5의 목적지 IP , 특정 포트 허용
그래서 논리적으로 많이 나누면 관리는 힘들지만 보안에는 좋겠죠 ?