CentOS/방화벽 - Firewalld - Multi Zone - 다중영역 설정방법





    이번 포스팅에서는 Firewalld 에서 Multi Zone 설정 방법에 대해서 알아보도록 하겠습니다.



    관련 글 : 


    IPTABLES 용어와 옵션 알아보기 - https://server-talk.tistory.com/169


    IPTABLES 용어와 옵션 알아보기 - https://server-talk.tistory.com/170


    IPTABLES 사용해보기 - https://server-talk.tistory.com/171



    이전 글:


    CentOS/방화벽 - Firewalld 알아보기 - https://server-talk.tistory.com/330


    CentOS/방화벽 - Firewalld 설치 및 데몬 설정하기 - https://server-talk.tistory.com/331


    CentOS/방화벽 - Firewalld - Zone(영역) 이해하기 - https://server-talk.tistory.com/333


    CentOS/방화벽 - Firewalld - Zone(영역) 정보 확인하기 - https://server-talk.tistory.com/334


    CentOS/방화벽 - Firewalld - Zone(영역) 추가, 변경, 삭제하기 - https://server-talk.tistory.com/335


    CentOS/방화벽 - Firewalld - Interfaces 지정하기 - https://server-talk.tistory.com/336


    CentOS/방화벽 - Firewalld - 런타임(Run Time), 영구적(Permanent) 적용해 보기 - https://server-talk.tistory.com/332


    CentOS/방화벽 - Firewalld - Zone(영역) - 서비스 추가, 삭제하기 - https://server-talk.tistory.com/337


    CentOS/방화벽 - Firewalld - Zone(영역) - 포트 추가, 삭제하기 - https://server-talk.tistory.com/338


    CentOS/방화벽 - Firewalld - Zone(영역) - IP 허용하기 - https://server-talk.tistory.com/339







     

     Firewalld - Multi Zone(다중 영역) 이해하기






    방화벽을 운영하시다 보면 특정 IP 만 접속을 허용하거나 차단하는 경우가 많이 필요합니다 그렇다고 전부 허용하면 서버 보안에 위협이 노출이 되고, 전부 거부하면 서버의 어떠한 서비스를 사용할 수 없습니다


    기존에 사용하던 1개의 영역으로는 특정 IP에 접속 권한을 주기에는 설정도 복잡하고 가독성도 떨어 집니다






    위 그림과 같이 접속을 허용할 Zone(영역) 그룹과 차단할 Zone(영역) 그룹을 나누게 된다면 관리의 효율도 높아지게 되며, 여러 개의 Zone(영역)을 사용할 경우 Multi Zone(다중 영역)을 사용한다고 표현 합니다.









     

     Firewalld - Multi Zone(다중 영역) 처리 방식



    Firewalld 는 공용으로 사용되는 기본 Zone 과 기본 Zone이 아닌 내부 Zone 이 있습니다




    위 그림과 같이 방화벽 사용자는 Firewalld 처리 순서는 내부 Zone 을 지나서 공용 Zone을 지나게 됩니다






    위 그림은 좀 더 상세하게 그린 그림입니다 내부 Zone은 Nomal Zone에 정의 되어 있는 IP(192.168.0.1) 는 내부 Zone에서 처리하게 되며, 내부 Zone 에 정의 되어 있는 IP가 없을 경우 공용 Zone에서 처리하게 됩니다 


    그리고 여러 Zone 을 사용하고 지정할 때  Multi Zone 이라고 부르며 지정할 때 다중 영역을 지정한다고 합니다.









     

     Firewalld - Multi Zone(다중 영역) 설정하기



    Multi Zone을 설정할 경우 허용 또는 거부하게 될 IP와 서비스(Services) 혹은 포트(ports)를 정하셔야 됩니다.

    그리고 Multi Zone 을 정책을 적용할 Zone 을 추가로 생성하거나, Firewalld 에서 기본적으로 제공하는 Zone 으로 지정하셔도 됩니다.




    주의 사항 : Services 지정하실 경우 HTTP, HTTPS 등등 사용자에게 서비스를 제공하는 경우에는 공용 Zone을 통해 서비스 포트를 오픈 하시는 것을 권장 드리며, SSH, FTP 등등 보안적으로 위협이 되는 서비스 포트는 기본 포트로 사용하지 않고 프로세스 단에서 포트를 변경하여 Multi Zone에 허가된 사용자에게만 적용하는 것을 권장 드립니다.





    1. Multi Zone - 서비스 포트 추가하기



    사용법 : firewall-cmd --permanent --zone=[Zone Name] --add-port=[포트번호]/tcp


    [root@firewalld ~]# firewall-cmd --permanent --zone=firewall_web --add-port=9000/tcp
    





    2. Multi Zone - 허용 IP 추가하기



    사용법 : IP 허용 : firewall-cmd --permanent --zone=[Zone Name] --add-source=[허용할 IP]



    [root@firewalld ~]# firewall-cmd --permanent --zone=firewall_web --add-source=192.168.0.1
    





    3. Multi Zone - 설정 적용하기



    사용법 : firewall-cmd --reload


    [root@firewalld ~]# firewall-cmd --reload
    





    4. Multi Zone - 정책 확인하기



    사용법 : firewall-cmd --zone=[Zone Name] --list-all



    [root@firewalld ~]# firewall-cmd --zone=firewall_web --list-all
    firewall_web (active)
      target: default
      icmp-block-inversion: no
      interfaces: 
      sources: 192.168.0.1
      services: ssh
      ports: 9000/tcp
      protocols: 
      masquerade: no
      forward-ports: 
      source-ports: 
      icmp-blocks: 
      rich rules:
    











     

     Firewalld - Multi Zone(다중 영역) 삭제하기





    1. Multi Zone - 허용 IP 삭제하기


    사용법 : IP 허용 : firewall-cmd --permanent --zone=[Zone Name] --remove-source=[삭제 IP]


    [root@firewalld ~]# firewall-cmd --permanent --zone=firewall_web --add-source=192.168.0.1
    





    2. Multi Zone - 설정 적용하기


    사용법 : firewall-cmd --reload


    [root@firewalld ~]# firewall-cmd --reload
    





    3. Multi Zone - 방화벽 재시작



    사용법 : systemctl firewalld restart


    [root@firewalld ~]# firewall-cmd --reload
    


    Posted by 서버이야기