EdgeRouter - EdgeRouter에서 게스트 네트워크를 보호하기 =========================================================== download at 2017-02-07T01:01:52Z `origin `_ Overview -------------- 이 문서는 게스트 VLAN을 인터넷, DNS, DHCP에 접근 중인 동안 다른 LAN에서의 접근을 보호하기 위한 방법에 대하여 서술합니다. `step 5 (optional) <#allow%20devices>`__ 에서는 게스트 VLAN을 보호된 LAN의 특정 장비(프린터 등)로 접근을 허용하는 방법에 대하여 서술합니다. .. Note:: 게스트 VLAN이 이전에 다음 문서를 기준으로 생성되었다고 가정합니다. \ `문서 `__ 선택적으로 DHCP 서버를 다음 `문서 `__ 를 기준으로 VLAN에 생성 할 수도 있습니다. *Note: 문서에서 사용한 명령어는 설정 모드에서 사용하였습니다. CLI에 접근하고 "configure" 명령어를 입력하여 설정 모드로 진입하십시오. 설정 사항을 활성화하려면 "commit" 명령어를 입력하고 "save" 명령어를 입력하여 저장 내용을 꼭 업데이트 해야합니다. 설정 모드를 나가서 운용 모드로 돌아가려면 "exit"을 입력하십시오.* Table of Contents -------------- `네트워크 그룹 생성하기 <#create%20a%20network%20group>`__ `PROTECT\_IN 방화벽 생성하기 <#protect_in>`__ #. 룰셋 생성하기 #. 기본 액션 설정하기 #. 허용 룰 쌩성하기 #. 거절(Drop) 룰 생성하기 `PROTECT\_LOCAL 방화벽 셍성하기 <#protect_local>`__ #. 룰셋 생성하기 #. 기본 액션 설정하기 #. DNS 허용 룰 생성하기 #. DHCP 허용 룰 생성하기 `룰셋을 인터페이스에 할당하기 <#set%20rulesets>`__ `(선택) 장치 접근 허용하기 <#allow%20devices>`__ `관련 문서 <#related%20articles>`__  Step 1: 네트워크 그룹 만들기 -------------- `맨위로 가기 <#top>`__ 모든 로컬 네트워크 주소의 네트워크 그룹을 생성하는 것은 모든 그룹 내에 있는 로컬 네트워크 주소에서 방화벽 룰을 생성하는 작업을 매우 손쉽게 하도록 합니다. 이 네트워크를 여러분의 환경에 맞추어서 조정하십시오. 예를 들어, 특정 서브넷이 있다면 해당 서브넷에 게스트 네트워크에서의 접근을 허용하십시오. :: configure set firewall group network-group LAN_NETWORKS set firewall group network-group LAN_NETWORKS description "LAN Networks" set firewall group network-group LAN_NETWORKS network 192.168.0.0/16 set firewall group network-group LAN_NETWORKS network 172.16.0.0/12 set firewall group network-group LAN_NETWORKS network 10.0.0.0/8 commit Step 2: PROTECT\_IN 방화벽을 생성하기 -------------- `맨위로 가기 <#top>`__ 이 방화벽은 네트워크 그룹에 있는 모든 서브넷에서의 게스트 VLAN으로의 접근을 차단합니다. #. 룰셋 생성 :: set firewall name PROTECT_IN #. 기본 행위 정의 :: set firewall name PROTECT_IN default-action accept #. 허용 룰 생성 :: set firewall name PROTECT_IN rule 10 action accept set firewall name PROTECT_IN rule 10 description "Accept Established/Related" set firewall name PROTECT_IN rule 10 protocol all set firewall name PROTECT_IN rule 10 state established enable set firewall name PROTECT_IN rule 10 state related enable #. 거부 룰 생성 :: set firewall name PROTECT_IN rule 20 action drop set firewall name PROTECT_IN rule 20 description "Drop LAN_NETWORKS" set firewall name PROTECT_IN rule 20 destination group network-group LAN_NETWORKS set firewall name PROTECT_IN rule 20 protocol all commit  Step 3: PROTECT\_LOCAL 방화벽 생성 -------------- `맨위로 가기 <#top>`__ 이 방화벽은 게스트 VLAN이 라우터로부터 DNS, DHCP 정보를 얻어올 수 있도록 허용합니다. #. 룰셋 생성 :: set firewall name PROTECT_LOCAL #. 기본 행위 정의 :: set firewall name PROTECT_LOCAL default-action drop #. DNS 허용 룰 생성 :: set firewall name PROTECT_LOCAL rule 10 action accept set firewall name PROTECT_LOCAL rule 10 description "Accept DNS" set firewall name PROTECT_LOCAL rule 10 destination port 53 set firewall name PROTECT_LOCAL rule 10 protocol udp #. DHCP 허용 룰 생성 :: set firewall name PROTECT_LOCAL rule 20 action accept set firewall name PROTECT_LOCAL rule 20 description "Accept DHCP" set firewall name PROTECT_LOCAL rule 20 destination port 67 set firewall name PROTECT_LOCAL rule 20 protocol udp commit  Step 4: 인터페이스에 룰셋 적용 -------------- `맨위로 가기 <#top>`__ *Note: eth2 vif 10 인터페이스는 환경에 따라 다를 수 있습니다. 방화벽을 인터페이스에 맞는 VLAN에 할당하십시오.* :: set interfaces ethernet eth1 vif 10 firewall in name PROTECT_IN set interfaces ethernet eth1 vif 10 firewall local name PROTECT_LOCAL commit save exit  Step 5: (선택사항) 장치 접근을 허용하기 -------------- `맨위로 가기 <#top>`__ 장치 접근을 허용하는 것은 게스트 VLAN 바깥 특정 장비에서 접근이 필요할 때 사용합니다. (예를 들어 제한된 LAN 서브넷에 위치한 프린터) *Note: 이 룰은 PROTECT\_IN 룰셋에서 거부 룰 **이전에** 위치해야 합니다.* :: set firewall name PROTECT_IN rule 19 action set firewall name PROTECT_IN rule 19 action accept set firewall name PROTECT_IN rule 19 description "Accept Printer" set firewall name PROTECT_IN rule 19 destination address 192.168.1.150 commit save exit 관련 문서 -------------- - `SSH로 커넥션을 생성하는 방법 `__ - `EdgeMAX - VLAN 아이디로 가상 인터페이스 생성하기 `__ - `EdgeMAX - EdgeRouter에서 DHCP 서버를 설정하기 `__ - `EdgeMAX - 샘플 엔터프라이즈 토폴로지를 사용하여 EdgeSwitch VLAN 따라하기 `__