Shared Hardware Firewall Configuration

1.1 솔루션 개요
공용 Hardware Firewall 자원(Fortigate)을 이용하여, 특정 VS에 대한 방화벽 서비스를 제공함, 단, Public Network에 대해서만 서비스 제공함

1.2 Shared Hardware Firewall 생성
Shared Hardware Firewall 생성 전 아래의 구성정보를 확인한다

– Public Network Interface를 가지고 있는 대상 자원의 선정

– 대상 자원에 대한 Security Requirement

Step1: Connect manage portal (https://manage.softlayer.com/)

Step2: Shared Hardware Firewall Ordering menu

Customer portal Menu bar > Security

대상 자원 List 확인 후 Standard Hardware Firewall (Single Server) 선택

Step3: 방화벽 서비스 대상자원 선정 및 Adding
Shared Firewall Service를 받을 Public 대상 자원선정 후 Ordering Hardware Firewall 메뉴를 통해 Order Process 진행

Step4: Order 항목 확인 후 완료
적용 데이터센터 및 대상 자원, 금액 확인 후 생성작업 완료 => Order 완료 후 실제 서비스 적용을 위해서는 평균 185min 시간이 소요됨

1.3 Shared hardware firewall 구성(Configuration)
1.3.1 운영 Mode의 변경

최초 모든 Rule이 적용되지 않는 bypass mode로 설정되어 있으나, Custom Rule 생성시 Processing mode로 전환되어 방화벽 Function이 자동 적용됨.

이후 해당 방화벽을 Bypass mode로 전환 필요 시에는 Bypass Rules 버튼 클릭으로 전환이 가능함

1.3.2 Security Rule 생성

Rule의 생성순서는 먼저 Permit/Deny Rule 선택 후 해당 Source IP, Destination IP, Destination Service Port를 지정하고, 필요 시 별도의 룰 설명사항을 하단 Notes에 기입 후 Update 버튼을 클릭하여 활성화

– Service Port의 설정은 Service Port range의 지정과 해당 Protocol을 선택하여 지정하며, 지원하는 Protocol은 TCP, UDP, ICMP, GRE, PPTP, AH, ESP를 지원함

– Processing mode로 전환 시 방화벽 룰의 마지막은 묵시적으로 모든 서비스에 대한 All Deny Rule로 적용 된다. 그러므로, 적용 Rule의 성격을 고려하여 순서를 선정하여야 한다.

Bluemix Infra Portal을 통해 사전에 정의된 Rule Template를 적용할 수 있다. (ex : Mail, Web…..)

1.3.3 Security Rule 조정

Rule 적용 이후 Rule간의 순서 조정이 필요한 경우 해당 Rule을 선택한 후 좌측의 방향버튼을 통해 Rule의 순서조정이 가능하다

참고로, 목적지 대상 네트워크는 해당 자원의 Public Network으로 국한되며, Private Network의 지정은 지원하지 않는다

1.4 Shared Hardware Firewall Monitoring
공유 자원이므로 별도의 Firewall 자원에 대한 Monitoring Function은 제공하지 않는다. 다만, 적용한 Security Rule에 대한 다양한 Reporting 및 Monitoring 기능을 제공한다

– Firewall Top 10 Report

대상 자원을 목적지로 접속한 Traffic (IP, Port)에 대한 TopN 정보를 제공하며, Reporting 주기는

24hour 또는 7days로 설정이 가능하다

– Firewall Full Report

대상 자원을 목적지로 접속한 Traffic (IP, Port)에 대한 설정 시간대별 Traffic 정보를 제공하며, Search option을 통하여 Flow 추적 및 분석이 가능하다