사내 내부망에서 아웃바운드 보안 방화벽 포트 허용 신청 방법
사내 정보보안팀이 있는 경우
현재 회사는 모든 IP, 포트에 대해 아웃바운드가 막혀있어 따로 허용하지 않으면 대부분 접근할 수 없습니다.
AWS Codecommit Git은 방화벽 개방 없이도 접근이 가능하지만,
AWS EC2 서버 등은 정보보안팀 담당자에게 요청해서 방화벽을 뚫어줘야 접근할 수 있습니다.
기존에는 메일로 요청했었으나, 정보보안팀 요청 게시판이 생겨 더 간편하게 요청할 수 있게 되었습니다.
방화벽 허용 요청 예시
| 제목 | ~ 프로젝트 개발을 위한 DB/개발서버/운영VPN 접근 허용 요청의 건 |
| 출발지 IP | 192.168.17.~ (서비스개발팀 송하영) |
| 목적지 IP | DB서버명.ck39dp9w2h39.ap-northeast-2.rds.amazonaws.com (MySQL 개발 DB) 3.37.191.~ (AWS EC2 개발서버) https://sslvpn-kr-vpc-~.gov-ncloud.com (네이버클라우드 운영서버 VPN) |
| Port | TCP_3306 (MySQL 개발 DB) TCP_22, TCP_8080 관리자, TCP_8081 사용자, TCP_8082 API (AWS EC2 개발서버) TCP_8443, TCP_443, TCP_12000~13000 (네이버클라우드 운영서버 VPN) |
| 기간 | 2023-01-03 13:40 ~ 2029-12-31 00:00 |
Public 망 NCP 서버 → API 서버 아웃바운드 통신 방화벽 허용 시 참고
Public 망에 있는 NCP 서버 공인 IP를 기준으로 방화벽 허용하면 됩니다.
NCP 서버 ACG Outbound 규칙은 프로토콜 : TCP, 목적지 : 0.0.0.0/0, 허용 포트 1-65535로 설정해야 합니다.
API 서버 → Public 망 NCP 서버 인바운드 통신 방화벽 허용 시 참고
API 서버 방화벽 아웃바운드 설정에서 NCP 서버 공인 IP를 허용해야 통신이 가능합니다.
NCP 서버 ACG inbound 규칙은 프로토콜 : TCP, 목적지 : APIReal서버IP/0, 허용 포트 1-65535로 설정해야 합니다.
API 서버 앞 VIP(=로드밸런서) IP가 아니라, Real IP 각각에 대해 ACG 방화벽 허용해야 요청받을 수 있습니다.
Private 망 NCP 서버 → API 서버 아웃바운드 통신 방화벽 허용 시 참고
Private 망에 있는 네이버클라우드 서버에서 API 서버로 요청 시 NAT Gateway 공인 IP를 통해 전송됩니다.
API 서버 방화벽 인바운드 설정에서 NCP 서버 NAT Gateway 공인IP를 허용해야 통신이 가능합니다.
NCP 서버 앞 로드밸런서는 인바운드 시 요청 분기 역할이므로, 로드밸러서 IP를 허용할 필요는 없습니다.
NCP 서버 ACG Outbound 규칙은 프로토콜 : TCP, 목적지 : 0.0.0.0/0, 허용 포트 1-65535로 설정해야 합니다.
프로토콜 : ICMP, 목적지 : 0.0.0.0/0 설정은 없어도 정상적으로 통신이 되는 것을 확인하였습니다.
API 서버 → Private 망 NCP 서버 인바운드 통신 방화벽 허용 시 참고
API 서버 방화벽 아웃바운드 설정에서 NCP 서버 앞, LB 앞에 위치한 WAF LB IP를 허용해야 합니다.
Private 망 NCP 서버는 공인IP가 없으므로, 로드밸런서 IP 또는 WAF LB IP를 통해서 통신합니다.
WAF Security 상품 사용 시, 로드밸런서 앞에 추가된 WAF LB IP를 통해 통신합니다.
이 경우 nslookup NCP서버도메인 시 나오는 공인 IP가 WAF LB 공인 IP입니다.
WAF IP에 대한 방화벽 허용 시, NCP 서버 도메인으로 요청이 가능합니다.
NCP 서버 ACG inbound 규칙은 프로토콜 : TCP, 목적지 : APIReal서버IP/0, 허용 포트 1-65535로 설정해야 합니다.
API 서버 앞 VIP(=로드밸런서) IP가 아니라, Real IP 각각에 대해 ACG 방화벽 허용해야 요청받을 수 있습니다.
Leave a comment