Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
2.11. 보안 및 액세스 제어
Red Hat Enterprise Linux 6과 Red Hat Enterprise Linux 7 간의 보안, 액세스 제어 및 관련 구성 툴에 대한 변경 사항에 대한 요약은 이 섹션을 참조하십시오.
2.11.1. 새 방화벽(firewalld)
Red Hat Enterprise Linux 6에서 방화벽 기능을 제공합니다. iptables 유틸리티 및 명령줄 또는 그래픽 구성 툴을 통해 구성됨 system-config-firewall. Red Hat Enterprise Linux 7에서는 여전히 방화벽 기능을 제공합니다. iptables. 그러나 관리자는 이제 상호 작용합니다. iptables 동적 방화벽 데몬, firewalld
및 해당 구성 툴을 통해 다음을 수행합니다. firewall-config, firewall-cmd, 및 firewall-applet. (Red Hat Enterprise Linux 7 기본 설치에 포함되지 않음)
firewalld
는 동적이므로 언제든지 구성을 변경할 수 있으며 즉시 구현됩니다. 방화벽의 일부를 다시 로드할 필요가 없으므로 기존 네트워크 연결 중단이 발생하지 않습니다.
Red Hat Enterprise Linux 6과 7의 방화벽의 주요 차이점은 다음과 같습니다.
-
firewalld 구성 세부 정보는
/etc/sysconfig/iptables
에 저장되지 않습니다. 대신 구성 세부 정보는/usr/lib/firewalld
및/etc/firewalld
디렉터리의 다양한 파일에 저장됩니다. -
Red Hat Enterprise Linux 6의 방화벽 시스템이 구성 변경이 수행될 때마다 모든 규칙을 제거하고 다시 적용하는 경우
firewalld
는 구성 차이점만 적용합니다. 결과적으로firewalld
는 기존 연결을 손실하지 않고도 런타임 중에 설정을 변경할 수 있습니다.
Red Hat Enterprise Linux 7에서 방화벽 구성 및 추가 정보는 보안 가이드 를 참조하십시오.
2.11.1.1. firewalld로 규칙 마이그레이션
Red Hat Enterprise Linux OpenStack Platform과 같은 다른 Red Hat 제품과 함께 Red Hat Enterprise Linux 7을 사용하는 경우 firewalld
로 이동하는 대신 iptables
또는 ip6tables
를 계속 사용하는 것이 더 적합할 수 있습니다.
사용할 방화벽 유틸리티가 확실하지 않은 경우 제품 설명서를 확인하거나 Red Hat 지원에 문의하십시오.
firewalld
를 비활성화하고 iptables
또는 ip6tables
를 계속 사용하는 방법에 대한 지침은 https://access.redhat.com/articles/1229233 에서 확인할 수 있습니다.
Red Hat Enterprise Linux 6에서는 두 가지 방화벽 구성 방법을 제공했습니다.
-
그래픽 사용 system-config-firewall 규칙을 구성하는 툴입니다. 이 툴은
/etc/sysconfig/system-config-firewall
파일에 구성 세부 정보를 저장했으며/etc/sysconfig/
및iptables
/etc/sysconfig/
파일에 iptables 및 ip6tables 서비스에 대한 구성을 생성했습니다.ip6tables
-
/etc/sysconfig/iptables
및/etc/sysconfig/ip6tables
파일을 수동으로 편집합니다(상상 또는 에서 생성한 초기 구성 편집). system-config-firewall).
을 사용하여 Red Hat Enterprise Linux 6 방화벽을 설정하는 경우 system-config-firewall시스템을 업그레이드한 후 설치 firewalld을 사용할 수 있습니다. firewall-offline-cmd /etc/sysconfig/system-config-firewall
의 구성을 firewalld
의 기본 영역으로 마이그레이션하는 툴입니다.
$ firewall-offline-cmd
그러나 설치 후 /etc/sysconfig/iptables
또는 /etc/sysconfig/ip6tables
를 수동으로 생성하거나 편집하는 경우 firewalld, 을 사용하여 새 구성을 생성해야 합니다. firewall-cmd 또는 firewall-configfirewalld
를 사용하거나 비활성화한 후 이전 iptables
및 ip6tables
서비스를 계속 사용합니다. 새 구성 만들기 또는 firewalld
를 비활성화하는 방법에 대한 자세한 내용은 보안 가이드 를 참조하십시오.