1. Fortigate Security Appliance(Firewall) Configuration

1.1 솔루션 개요
Public VLAN에 대한 보안강화를 위하여 선택적으로 전용의 Hardware Firewall 자원(Fortigate)의 구성이 가능하다.

해당 방화벽은 Public VLAN 단위로 구성이 가능하며, 구성 위치는 FCR 하단에 전용장비 형태로 구성되므로 구성 이후 해당 VLAN 내의 Subnet 자원은 Fortigate를 통한 보안제어를 받게 된다.

1.2 Fortigate Security Appliance 생성하기
Dedicated Hardware Firewall 생성 전 아래의 구성 관련정보를 확인한다

– 대상 Data center 및 Frontend Customer Router

– Fortigate 하단에 위치할 대상 Public VLAN의 선정

– 대상 자원에 대한 Security Requirement

Step1: Bluemix Infra portal 접속(www.softlayer.com)

Step2: Fortigate Security Appliacne Ordering menu

Security > FortiGate Security Appliance Go to VLANs

FortiGate Security Appliance 선택 후 대상 Public VLAN List 확인

Step3: 방화벽 서비스 대상 Vlan 선정 및 Adding
FortiGate Security Appliance를 받을 Public VLAN 자원선정 후 Rules -> Add 메뉴를 통해 Order Process 진행

Step4: Order 항목 확인 후 완료
FortiGate Security Appliance Option 선택 후 적용 데이터센터 및 대상 자원, 금액 확인 후 생성작업 완료

1.3 Fortigate Security Appliance 방화벽 구성하기
Firewall 구성은 Firewall object 및 Pre-defined Service 생성 -> Firewall Policy 생성 -> 생성된 Policy의 조정 -> Monitoring 등 4가지 단계를 통해 구성된다.

1.3.1 Firewall Object 생성

최초 Firewall Policy에 할당될 자원(IP 대역, IP, Service)들을 사전에 등록하는 작업을 수행한다. 해당 작업을 통해 Firewall Policy 설정을 보다 명확하고 효율적으로 구성할 수 있다

1) Firewall Portal 접속

Hardware Firewall 생성완료 후 Network> IP Management > VLANs 접속

접속 후 자원 VLAN list 중 Firewall이 생성된 대상 VLAN 항목의 Manage 버튼 클릭으로 Hardware firewall (Fortigate) Management Web 접속정보 확인 후 Web 접속

2) Firewall object 등록

– Address 등록

Management Web 항목 중 Firewall Object > Address 메뉴를 통하여 Firewall Policy에 설정될 IP Address 자원(Host, IP Range, Subnet)을 사전 등록한다

Address > Create New Menu를 선택 후 Custom Address 등록을 위한 대상 IP자원, Interface 등을 설정한다.

해당 Address를 Grouping하여 Group Object 생성도 가능하다

– Custom Service 등록

Management Web 항목 중 Firewall Object > Service 메뉴를 통하여 Firewall Policy에 설정될 Custom Service를 사전 등록한다

Service > Create New Menu를 선택 후 Custom Service 등록을 위한 Name, Protocol Type, Protocol range 등을 설정한다.

1.3.2 Firewall Policy 생성

Fortigate는 GUI 방식으로 직관적인 Policy 생성 Interface를 제공한다. management Web 좌측의 Policy menu 선택 후 최초 Default Policy와 사용자 Policy를 추가 생성할 수 있다.

모든 Rule의 최 하단은 Implicit Deny Rule이 적용되어 있으므로, 상단에 서비스 상관관계를 고려하여 Rule을 생성한다.

화면 상단의 Create New 메뉴를 통해 Custom Policy Rule을 생성할 수 있다.

Policy 구성단계는 Source Interface 및 Address object 설정 > destination Interface 및 Address object 설정 > 해당 Service Object 설정 > Action 설정 단계로 구성된다

상기 설정항목 외에 선택적으로 Rule 적용 스케줄 및 NAT, Logging, Security Function 등의 설정이 가능하다

1.3.3 Firewall Policy 조정

  • Firewall Policy 생성 후 Policy Editing 기능을 통하여 Policy간 순서의 조정 및 Object의 변경 적용이 가능하다.
  • Policy 적용 순서의 변경: 해당 Policy에 마우스 우측 버튼 메뉴 중 Move to 항목을 통하여 적용 Policy의 순서 변경이 가능하다