Re: [KFUG] 방화벽 구축에 대해 조언 좀 해주세요..

[CHOI Junho <cjh@xxxxxxxxxxxxxx>]

회사에 이렇게 쓰고 있는데, 드림라인 메트로 이더넷입니다(6Mbps).

방화벽으로는 FreeBSD 5.2.1에 ipfw+bridge 로 필터링하고 있는데,
지금은 P-III 700 256M이지만 예전에는 P-II 350 64M로 무리없이 잘
동작하고 있었습니다.

기존 구성을 손대지 않으려면 브리지로 구성하시는 편이 가장 좋을 것
같네요.

 라우터 ---> FreeBSD ipfw+bridge ---> 메인 스위치

이런 식으로 기존 외부 선을 메인 스위치에 연결하기 전에 중간에 FreeBSD
방화벽을 끼워넣는 형태로 구성하시면 됩니다. 문제 생기면 도로 선 뽑아서
메인 스위치에 넣으면 되고요.

요즘에는 워낙 이상한 트래픽이 많아서 필터링을 꽤 하셔야 할 겁니다.

From: "sin" <sin@xxxxxxxxxx>
Subject: [KFUG] 방화벽 구축에 대해 조언 좀 해주세요..
Date: Fri, 10 Dec 2004 15:48:55 +0900

> 현재 매트로 이더넷으로 라인을 구축하려고 합니다..
> 서버 두대를 구입하려고 준비를해 두었고요..
> 그런데.. 매트로 이더넷에 대해 알아보니 보안쪽이 취약하다고 방화벽을 구축하는 것이 좋다고 많이 하네요..
> 
> 방화벽 구축은 생각하고 있지 않은터라.. 좀 걱정이 되네요..
> 방화벽이라고 해서 상용으로 돌리는 것은 아니고, 리눅스나, 프비같은 것을 설치해 패킷 필터링 정도만 하려고 합니다.
> 
> 우선 방화벽을 구축하게 되면 컴터 하나를 연결해 방화벽으로 사용하고.. 그컴에서 스위치에 연결해 각 서버를 두어야 할것 같은데.. 
> 이처럼 하면 방화벽이 모든 트래픽을 감당해야 할것 같은데.. 이런 식으로 구축하는 것이 잘못 된것 같은데..
> 어떤지 모르겠습니다..
> 
> 현재 방화벽으로 사용될 컴터는 펜티엄4 3.2GHz, 메모리 1기가의 일반 피씨이며..
> 서버는 제온 3.06 듀얼 cpu의 서버형입니다.(이 서버 두대를 방화벽 뒤에 두려고 합니다.)
> 
> 아니면 라우터(아님 공유기 ㅡ.ㅡ)를 하나 구입해 사용을 하면 괜찮을까요??
> 원래 전용선으로 하려고 했는데.. 비싸서 매트로 이더넷으로 변경한 것입니다.
> 그런데.. 알아보니 매트로 이더넷에는 라우터가 없다고 하더군요..
> 
> 아니면 방화벽 같은거 없이.. 기냥 연결해 사용을 해도 괜찮을까요??
> 
> 리눅스와 프비로 idc의 서버만 다루어서.. 방화벽 쪽은 어찌 구성을 해야 할지.. 모르겠습니다.
> 어설프게 듣은 것들만 많아서.. ㅡ.ㅡ;;
> 
> 조언이나 참조할 사이트나 문서를 알려주시면 정말 감사하겠습니다.
> 그럼 모두들 감기 조심하세요..

--
CHOI Junho <http://www.kr.FreeBSD.org/~cjh>     cjh@[kr.]FreeBSD.org
Key fingerprint = 1369 7374 A45F F41A F3C0  07E3 4A01 C020 E602 60F5
_______________________________________________
한국 FreeBSD 사용자 그룹(KFUG) questions 메일링 리스트
questions at kr.FreeBSD.org
http://www.kr.FreeBSD.org/mailman/listinfo/questions