Network Firewall
Oracle Cloud Infrastructure(OCI) Network Firewall은 클라우드 네이티브 머신러닝 기반 방화벽으로, 자동 확장되는 Palo Alto Networks® NGFW 기술을 지원하는 고급 침입 감지 및 방지 기능이 탑재되어 있습니다.
OCI Network Firewall 사용 사례
더 많은 OCI Network Firewall 시나리오 확인하기
이 이미지는 OCI Network Firewall의 네 가지 일반적인 사용 사례를 보여줍니다.
- 관리형 네이티브 네트워크 방화벽 서비스 사용
- 온프레미스 환경과 OCI 간의 트래픽 보호
- OCI와 인터넷 간의 트래픽 보호
- 가상 클라우드 네트워크 간의 트래픽 보호
관리형 네이티브 네트워크 방화벽 서비스 사용
이 첫 번째 사용 사례에서는 네트워크 방화벽이 가상 머신 및 오브젝트 스토리지를 포함하는 다른 클라우드 네이티브 서비스와 함께 가상 클라우드 네트워크에 표시되어 있습니다.
OCI Network Firewall은 Oracle Cloud Infrastructure에 완전히 통합된 관리형 클라우드 네이티브 서비스입니다.
온프레미스 환경과 OCI 간의 트래픽 보호
두 번째 사용 사례에서는 가상 클라우드 네트워크가 고객의 온프레미스 환경에 논리적으로 연결되어 있습니다. 가상 클라우드 네트워크에는 네트워크 방화벽이 있는데, 네트워크 트래픽이 온프레미스 환경에서 이 네트워크 방화벽에 논리적으로 유입된 다음에 가상 머신이라고 표시된 가상 클라우드 네트워크의 리소스로 도달하게 됩니다.
네트워크 방화벽은 온프레미스 환경을 드나드는 모든 트래픽을 검사합니다. 네트워크 방화벽은 OCI의 리소스를 온프레미스 환경의 작업 및 트래픽으로부터 보호합니다.
OCI와 인터넷 간의 트래픽 보호
세 번째 사용 사례에서는 가상 클라우드 네트워크가 인터넷에 논리적으로 연결됩니다. 가상 클라우드 네트워크에는 네트워크 방화벽이 있으며, 인터넷의 네트워크 트래픽은 이 네트워크 방화벽으로 논리적으로 유입됩니다.
그런 다음 이 가상 클라우드 네트워크는 리소스가 있는 다른 가상 클라우드 네트워크에 논리적으로 연결됩니다. 해당 네트워크들은 여기에 가상 머신이라고 표시되어 있습니다.
네트워크 방화벽은 인터넷을 드나드는 모든 트래픽을 검사합니다. 네트워크 방화벽은 가상 클라우드 네트워크의 리소스 기능에 액세스하는 인터넷의 작업 및 트래픽으로부터 OCI의 리소스를 보호합니다.
가상 클라우드 네트워크 간의 트래픽 보호
네 번째 사용 사례에는 세 개의 가상 클라우드 네트워크가 있습니다. 첫 번째 및 세 번째 가상 클라우드 네트워크 둘 다 두 번째 가상 클라우드 네트워크에 논리적으로 연결됩니다. 첫 번째 및 세 번째 가상 클라우드 네트워크에는 가상 머신이라고 표시된 리소스가 있습니다.
첫 번째 및 세 번째 가상 클라우드 네트워크의 리소스를 오가는 트래픽은 전부 네트워크 방화벽이 있는 두 번째 가상 클라우드 네트워크를 통과해야 합니다.
네트워크 방화벽은 첫 번째 가상 클라우드 네트워크와 세 번째 가상 클라우드 네트워크 간의 모든 트래픽을 검사하여, 한 가상 클라우드 네트워크의 리소스를 나머지 가상 클라우드 네트워크의 악의적인 행위로부터 보호합니다.
OCI Network Firewall의 이점
1. OCI 네트워크에 깔끔하게 추가
OCI Network Firewall을 기존 네트워크 플로우를 방해하지 않으면서 환경에 추가할 수 있습니다.
2. 세분화된 맞춤형 보안 정책
OCI Network Firewall은 기존의 프로토콜 필터링 및 애플리케이션별 트래픽 인식을 포함한 세분화된 보안 정책을 (2024년 중반부터) 제공하여 프로토콜과 포트 수준 그 이상으로 공격 면을 줄입니다.
3. 고급 위협 보호 및 방지
OCI Network Firewall은 알려진 맬웨어, 스파이웨어, 명령 및 제어 공격, 취약점 악용에 자동 대응하도록 설계된 동급 최강의 위협 엔진을 제공합니다. Palo Alto Networks의 첨단 기술을 활용하여 침입을 감지하고 방지할 수 있습니다.
OCI Network Firewall은 어떻게 작동하나요?
OCI Network Firewall은 Palo Alto Networks를 기반으로 한 OCI VCN을 위한 차세대 관리형 네트워크 방화벽 및 침입 감지 및 방지 서비스입니다.
OCI Network Firewall은 서브넷에서 생성하는 확장 가능한 고가용성 인스턴스입니다. 방화벽은 네트워크 트래픽에 연결된 방화벽 정책에 지정된 비즈니스 로직을 적용합니다. VCN의 라우팅은 방화벽에서 트래픽을 주고받는 데 사용됩니다. OCI Network Firewall은 초당 4Gb의 처리량을 제공하지만, 요청 시 처리량을 초당 최대 25Gb로 늘릴 수 있습니다. 초기 데이터 10TB까지는 추가 비용 없이 처리됩니다.
방화벽 정책은 네트워크 프로토콜 유형, 포트 번호를 사용하는 TCP 또는 UDP 프로토콜, 와일드카드가 선택적으로 사용된 정규화된 도메인 이름, URL 및 IP 주소(IPv4 및 IPv6 모두 지원됨) 등의 속성 조합을 기반으로 트래픽을 식별합니다. 정책은 트래픽을 수락하거나, 트래픽을 거부하거나, 침입을 검사하거나, 침입으로부터 적극적으로 방어할 수 있습니다.
OCI Network Firewall은 일반적으로 온프레미스 시스템, 인터넷 및 기타 클라우드와 같은 OCI 및 외부 환경 간의 트래픽을 보호하기 위해 배포됩니다. 또한 방화벽은 내부 OCI 트래픽(예: 두 VCN 간)을 보호할 수 있습니다.
이 이미지는 리소스 및 연결의 논리적 레이아웃으로, OCI Network Firewall을 배포하여 네트워크 트래픽을 검사하고 보호하는 방법을 보여주고 있습니다.
단일 가상 클라우드 네트워크를 포함하는 일반적인 OCI 리전이 표시되어 있습니다. 가상 클라우드 네트워크에는 세 개의 서브넷이 있습니다. 첫 번째 서브넷은 가상 클라우드 네트워크 외부에서 액세스할 수 있으며 네트워크 방화벽이 포함되어 있습니다. 네트워크 방화벽의 IP 주소는 192.168.0.10입니다.
이 서브넷에는 가상 머신이라고 표시된 리소스도 있습니다. 가상 머신의 IP 주소는 192.168.0.97입니다.
두 번째 서브넷은 프라이빗이며 가변 로드 밸런서가 포함되어 있습니다. 이 두 번째 서브넷은 네트워크 방화벽이 포함된 서브넷과 양방향으로 연결됩니다. 가변 로드 밸런서의 IP 주소는 192.168.1.15입니다.
세 번째 서브넷은 프라이빗이며 여기에서는 두 개의 가상 머신으로 표시한 리소스가 포함되어 있습니다. 가상 머신의 IP 주소는 192.168.20.1 및 192.168.20.2입니다. 이 서브넷은 두 번째 서브넷에 양방향으로 연결됩니다.
첫 번째 서브넷의 네트워크 방화벽은 인터넷 게이트웨이 및 동적 경로 지정 게이트웨이에 연결되며, 둘 다 포함된 가상 클라우드 네트워크에서 사용할 수 있습니다.
인터넷 게이트웨이는 인터넷에 양방향으로 연결됩니다.
동적 라우팅 게이트웨이는 온프레미스 환경의 고객 구내 장비에 양방향으로 연결됩니다.
인터넷의 트래픽은 먼저 인터넷 게이트웨이를 통과한 다음 네트워크 방화벽으로 전달됩니다. 트래픽은 네트워크 방화벽에서 검사합니다. 트래픽이 허용되는 경우 동일한 서브넷의 리소스에 전달될 수 있습니다. 또는 두 번째 서브넷의 로드 밸런서에 전달될 수도 있는데, 그러면 트래픽이 세 번째 서브넷의 리소스로 전달됩니다.
아니면 온프레미스 환경의 트래픽이 먼저 동적 라우팅 게이트웨이를 통과한 다음 네트워크 방화벽으로 전달될 수도 있습니다. 트래픽은 네트워크 방화벽에서 검사합니다. 트래픽이 허용되는 경우 동일한 서브넷의 리소스에 전달될 수 있습니다. 또는 두 번째 서브넷의 로드 밸런서에 전달될 수도 있는데, 그러면 트래픽이 세 번째 서브넷의 리소스로 전달됩니다.
제품 둘러보기
ML 기반 네트워크 방어 설정
네트워크 방화벽 생성하기
네트워크 방화벽 인스턴스는 정책, VCN 및 VCN 내의 서브넷을 연결합니다. 추가 옵션을 지정하고, 범위를 제한하고, 태그를 첨부할 수 있습니다.
보안 규칙 생성하기
보안 정책은 보안 규칙으로 구성됩니다. 보안 규칙은 소스 주소, 대상 주소, 애플리케이션, 서비스 및 URL의 조합을 작업과 연결합니다.
애플리케이션 목록 생성하기
애플리케이션은 보안 정책을 위한 트래픽을 식별하는 데 사용할 수 있는 다양한 프로토콜 유형입니다. 일반적인 유형 목록에서 선택할 수도 있고 프로토콜 번호를 입력할 수도 있습니다.
또한 여러 애플리케이션을 편리한 애플리케이션 목록(표시되지 않음)으로 결합할 수도 있습니다.
서비스 목록 생성하기
서비스는 보안 정책을 위한 트래픽을 식별하는 데 사용할 수 있는 다양한 TCP 또는 UDP 프로토콜입니다. 한가지 범위를 입력할 수도 있고 여러 범위를 입력할 수 있습니다.
또한 여러 서비스를 편리한 서비스 목록(표시되지 않음)으로 결합할 수도 있습니다.
URL 목록 생성하기
URL은 보안 정책을 위한 트래픽을 식별하는 데 사용할 수 있는 리소스 이름(대개 웹 주소)의 목록입니다. 목록 하나당 URL을 최대 1,000개까지 입력할 수 있습니다.
주소 목록 생성하기
보안 정책을 위한 트래픽을 식별하는 데 사용할 수 있는 IP 주소 목록(IPv4 및 IPv6) 또는 CIDR 블록 범위를 생성할 수 있습니다. 목록 하나당 주소(또는 범위)를 최대 1,000개까지 입력할 수 있습니다.
참조 아키텍처
네트워크 설계를 잘 계획하면 성공적으로 구현할 시기를 마련할 수 있고, 팀과 조직이 네트워크를 더 쉽게 사용할 수 있습니다. 네트워크 설계를 배포 전에 계획하면 설계 내용이 모든 요구 사항을 충족하도록 할 수 있고 추후 성공적인 배포를 어렵게 만들 수도 있는 장벽을 미리 피할 수 있습니다.
솔루션 플레이북 및 전문가 팁
OCI Network Firewall – 개념 및 배포
이 블로그에서는 OCI Network Firewall의 일반적인 기능 및 배포 방법을 다룹니다.
OCI Network Firewall으로 웹 사이트 및 애플리케이션 보호
이 실습 튜토리얼에서는 OCI Network Firewall 및 OCI Load Balancers를 사용하여 여러 백엔드에 배포된 여러 웹 사이트 및 애플리케이션에 대한 트래픽을 보호하는 방법을 배울 수 있습니다.
SSL 인바운드 검사를 통한 OCI Network Firewall 트래픽 해독
이 블로그에서는 RSA 공개 인증서를 사용하는 OCI Network Firewall의 인바운드 SSL 해독에 대해 다룹니다.
리소스
Oracle Cloud Infrastructure Architecture Center
다운로드
Network Firewall 시작하기
Oracle Cloud Free Tier
Oracle Cloud를 사용한 애플리케이션 구축, 테스트, 배포를 무료로 체험해 보세요. 한 번 가입으로 두 가지 무료 혜택을 즐길 수 있습니다.
영업 팀에 문의하기
Oracle Cloud Infrastructure에 대해 자세히 알고 싶으신가요? Oracle의 전문가가 도와 드리겠습니다.
* Network Firewall에는 사용량 기준(Pay-As-You-Go) 또는 범용 크레딧(Universal Credits) 계약으로 유료 OCI 계정이 필요합니다.