1. 이게 뭔가요?
- 이 이미지는 FortiGate라는 네트워크 장비를 관리하는 훈련 자료의 일부예요.
- 여기서는 방화벽 정책을 만들 때, 데이터가 어디서 오는지(출발지)를 IP 주소나 사용자, 또는 인터넷 서비스(ISDB 객체)로 지정하는 방법을 보여줍니다.
2. 출발지(Source) 매칭이 뭔가요?
- 출발지 매칭은 네트워크 트래픽(데이터)이 어디서 시작되는지를 확인해서, 그 데이터를 허용하거나 차단하는 규칙을 만드는 거예요.
- 예를 들어, "이 컴퓨터에서 오는 데이터는 허용하고, 저 컴퓨터에서 오는 데이터는 막는다" 같은 설정을 말합니다.
3. 두 가지 예시 비교
이 이미지는 두 가지 방식으로 출발지를 매칭하는 방법을 보여줍니다. 하나씩 아주 쉽게 설명할게요:
(1) 출발지 매칭: IP 주소와 사용자(Address, User)
- 왼쪽 화면은 일반적인 IP 주소와 사용자를 기준으로 출발지를 설정하는 예시입니다.
- 설정 내용:
- 정책 이름: "Training"
- 스케줄: "always"(항상 적용)
- 동작: "ACCEPT"(허용)
- 들어오는 인터페이스: LAN(port3)
- 나가는 인터페이스: ISP1(port1)
- 출발지(Source): "LOCAL_SUBNET"(로컬 네트워크 범위, 예: 192.168.1.0/24)으로 설정.
- 사용자(User/group): "student"(학생 그룹)으로 설정.
- 의미: 로컬 네트워크(LOCAL_SUBNET)에서 오고, "student" 그룹에 속한 사용자가 보내는 트래픽을 허용합니다.
- 왜 중요한가요?: 특정 네트워크나 사람(학생)에서 오는 트래픽만 허용해서 보안을 강화하거나 관리할 수 있습니다.
(2) 출발지 매칭: ISDB 객체(Internet Service Database Objects)
- 오른쪽 화면은 인터넷 서비스(ISDB 객체)를 기준으로 출발지를 설정하는 예시입니다.
- 설정 내용:
- 정책 이름: "Training"
- 스케줄: "always"(항상 적용)
- 동작: "ACCEPT"(허용)
- 들어오는 인터페이스: LAN(port3)
- 나가는 인터페이스: ISP1(port1)
- 출발지(Source): "Alibaba-AlibabaCloud"와 "Amazon-AWS"라는 ISDB 객체로 설정.
- 사용자(User/group): "student"(학생 그룹)으로 설정.
- 의미: Alibaba Cloud나 Amazon AWS에서 오는 트래픽이, "student" 그룹 사용자가 보내는 경우 허용합니다.
- 왜 중요한가요?: 특정 클라우드 서비스(Alibaba, Amazon)에서 오는 트래픽을 세밀하게 제어할 수 있어서, 예를 들어 클라우드 사용을 제한하거나 허용할 때 유용합니다.
4. ISDB 객체란 뭔가요?
- ISDB는 인터넷 서비스 데이터베이스(Internet Service Database)를 말해요.
- 오른쪽 화면 오른쪽에 있는 메뉴는 FortiGate GUI에서 ISDB 객체를 선택하는 창이에요.
- "Internet Service"에서 "Alibaba-AlibabaCloud"나 "Amazon-AWS" 같은 서비스를 선택할 수 있습니다. 이 서비스들은 특정 회사(Alibaba, Amazon)와 관련된 인터넷 트래픽을 나타냅니다.
- 이 객체를 사용하면, 특정 클라우드 서비스에서 오는 트래픽을 쉽게 제어할 수 있습니다.
'Fortinet Certification > NSE4' 카테고리의 다른 글
| 14. Security Profiles (0) | 2025.03.30 |
|---|---|
| 13. Matching by Destination (0) | 2025.03.30 |
| 11. Geographic-Based ISDB (0) | 2025.03.30 |
| 10. Matching by Source (0) | 2025.03.30 |
| 9. Selecting Multiple Interfaces or Any Interface (0) | 2025.03.30 |