13.3. 방화벽 영역

firewalld 유틸리티를 사용하여 해당 네트워크 내의 인터페이스 및 트래픽과 함께 있는 신뢰 수준에 따라 네트워크를 다른 영역으로 분리할 수 있습니다. 연결은 하나의 영역의 일부일 수 있지만 많은 네트워크 연결에 해당 영역을 사용할 수 있습니다.

firewalld 는 영역과 관련하여 엄격한 원칙을 따릅니다.

  1. 트래픽 수신은 하나의 영역만 포함됩니다.
  2. 트래픽은 하나의 영역만 송신합니다.
  3. 영역은 신뢰 수준을 정의합니다.
  4. 기본적으로 Intrazone 트래픽(동일한 영역 내)이 허용됩니다.
  5. 영역 간 트래픽은 기본적으로 거부됩니다.

규칙 4와 5는 원칙 3의 결과입니다.

원칙 4는 영역 옵션 --remove-forward 를 통해 구성할 수 있습니다. 원칙 5는 새로운 정책을 추가하여 구성할 수 있습니다.

NetworkManager 는 인터페이스의 영역을 firewalld 에 알립니다. 다음 유틸리티를 사용하여 인터페이스에 영역을 할당할 수 있습니다.

  • NetworkManager
  • firewall-config 유틸리티
  • firewall-cmd 유틸리티
  • RHEL 웹 콘솔

RHEL 웹 콘솔, firewall-configfirewall-cmd 는 적절한 NetworkManager 구성 파일만 편집할 수 있습니다. 웹 콘솔, firewall-cmd 또는 firewall-config 를 사용하여 인터페이스 영역을 변경하면 요청이 NetworkManager 로 전달되고firewalld 에서 처리되지 않습니다.

/usr/lib/firewalld/zones/ 디렉터리는 사전 정의된 영역을 저장하고 사용 가능한 네트워크 인터페이스에 즉시 적용할 수 있습니다. 이러한 파일은 수정된 경우에만 /etc/firewalld/zones/ 디렉토리에 복사됩니다. 사전 정의된 영역의 기본 설정은 다음과 같습니다.

블록
  • 적합한 대상: 들어오는 네트워크 연결은 IPv4 에 대한 icmp-host-prohibited 메시지와 icmp6-adm-adm-prohibited IPv6 로 거부됩니다.
  • 허용: 시스템 내에서 시작된 네트워크 연결만 수행합니다.
dmz
  • 적합한 대상: DMZ의 컴퓨터는 내부 네트워크에 대한 액세스 제한으로 공개적으로 액세스할 수 있습니다.
  • 허용: 선택한 연결만 제공됩니다.
drop
적합한 대상: 들어오는 모든 네트워크 패킷은 알림 없이 삭제됩니다.

**수용 사항: 나가는 네트워크 연결만 가능합니다.

external
  • 적합한 대상: 특히 라우터에 대해 마스커레이딩이 활성화된 외부 네트워크입니다. 네트워크에서 다른 컴퓨터를 신뢰하지 않는 경우입니다.
  • 허용: 선택한 연결만 제공됩니다.
  • 적합한 대상: 네트워크상의 다른 컴퓨터를 주로 신뢰하는 홈 환경.
  • 허용: 선택한 연결만 제공됩니다.
internal
  • 적합한 대상: 네트워크에 있는 다른 컴퓨터를 주로 신뢰하는 내부 네트워크입니다.
  • 허용: 선택한 연결만 제공됩니다.
public
  • 적합한 대상: 네트워크에서 다른 컴퓨터를 신뢰하지 않는 공용 영역입니다.
  • 허용: 선택한 연결만 제공됩니다.
trusted
  • 허용: 모든 네트워크 연결
작업

적합한 대상: 네트워크에 있는 다른 컴퓨터를 주로 신뢰하는 작업 환경.

  • 허용: 선택한 연결만 제공됩니다.

이러한 영역 중 하나가 기본 영역으로 설정됩니다. 인터페이스 연결이 NetworkManager 에 추가되면 기본 영역에 할당됩니다. 설치 시 firewalld 의 기본 영역은 퍼블릭 영역입니다. 기본 영역을 변경할 수 있습니다.

참고

네트워크 영역 이름을 자체 설명하여 사용자가 신속하게 이해할 수 있도록 합니다.

보안 문제를 방지하려면 기본 영역 구성을 검토하고 요구 사항 및 위험 평가에 따라 불필요한 서비스를 비활성화합니다.

추가 리소스

  • firewalld.zone(5) 도움말 페이지.