Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.11. 보안 및 액세스 제어

Red Hat Enterprise Linux 6과 Red Hat Enterprise Linux 7 간의 보안, 액세스 제어 및 관련 구성 툴에 대한 변경 사항에 대한 요약은 이 섹션을 참조하십시오.

2.11.1. 새 방화벽(firewalld)

Red Hat Enterprise Linux 6에서 방화벽 기능을 제공합니다. iptables 유틸리티 및 명령줄 또는 그래픽 구성 툴을 통해 구성됨 system-config-firewall. Red Hat Enterprise Linux 7에서는 여전히 방화벽 기능을 제공합니다. iptables. 그러나 관리자는 이제 상호 작용합니다. iptables 동적 방화벽 데몬, firewalld 및 해당 구성 툴을 통해 다음을 수행합니다. firewall-config, firewall-cmd, 및 firewall-applet. (Red Hat Enterprise Linux 7 기본 설치에 포함되지 않음)

firewalld 는 동적이므로 언제든지 구성을 변경할 수 있으며 즉시 구현됩니다. 방화벽의 일부를 다시 로드할 필요가 없으므로 기존 네트워크 연결 중단이 발생하지 않습니다.

Red Hat Enterprise Linux 6과 7의 방화벽의 주요 차이점은 다음과 같습니다.

  • firewalld 구성 세부 정보는 /etc/sysconfig/iptables 에 저장되지 않습니다. 대신 구성 세부 정보는 /usr/lib/firewalld/etc/firewalld 디렉터리의 다양한 파일에 저장됩니다.
  • Red Hat Enterprise Linux 6의 방화벽 시스템이 구성 변경이 수행될 때마다 모든 규칙을 제거하고 다시 적용하는 경우 firewalld 는 구성 차이점만 적용합니다. 결과적으로 firewalld 는 기존 연결을 손실하지 않고도 런타임 중에 설정을 변경할 수 있습니다.

Red Hat Enterprise Linux 7에서 방화벽 구성 및 추가 정보는 보안 가이드 를 참조하십시오.

2.11.1.1. firewalld로 규칙 마이그레이션

중요

Red Hat Enterprise Linux OpenStack Platform과 같은 다른 Red Hat 제품과 함께 Red Hat Enterprise Linux 7을 사용하는 경우 firewalld 로 이동하는 대신 iptables 또는 ip6tables 를 계속 사용하는 것이 더 적합할 수 있습니다.

사용할 방화벽 유틸리티가 확실하지 않은 경우 제품 설명서를 확인하거나 Red Hat 지원에 문의하십시오.

firewalld 를 비활성화하고 iptables 또는 ip6tables 를 계속 사용하는 방법에 대한 지침은 https://access.redhat.com/articles/1229233 에서 확인할 수 있습니다.

Red Hat Enterprise Linux 6에서는 두 가지 방화벽 구성 방법을 제공했습니다.

  • 그래픽 사용 system-config-firewall 규칙을 구성하는 툴입니다. 이 툴은 /etc/sysconfig/system-config-firewall 파일에 구성 세부 정보를 저장했으며 /etc/sysconfig/ iptables /etc/sysconfig/ ip6tables 파일에 iptables 및 ip6tables 서비스에 대한 구성을 생성했습니다.
  • /etc/sysconfig/iptables/etc/sysconfig/ip6tables 파일을 수동으로 편집합니다(상상 또는 에서 생성한 초기 구성 편집). system-config-firewall).

을 사용하여 Red Hat Enterprise Linux 6 방화벽을 설정하는 경우 system-config-firewall시스템을 업그레이드한 후 설치 firewalld을 사용할 수 있습니다. firewall-offline-cmd /etc/sysconfig/system-config-firewall 의 구성을 firewalld 의 기본 영역으로 마이그레이션하는 툴입니다. 

$ firewall-offline-cmd

그러나 설치 후 /etc/sysconfig/iptables 또는 /etc/sysconfig/ip6tables 를 수동으로 생성하거나 편집하는 경우 firewalld, 을 사용하여 새 구성을 생성해야 합니다. firewall-cmd 또는 firewall-configfirewalld 를 사용하거나 비활성화한 후 이전 iptablesip6tables 서비스를 계속 사용합니다. 새 구성 만들기 또는 firewalld 를 비활성화하는 방법에 대한 자세한 내용은 보안 가이드 를 참조하십시오.