사내 내부망에서 아웃바운드 보안 방화벽 포트 허용 신청 방법
사내 정보보안팀이 있는 경우
현재 회사는 모든 IP, 포트에 대해 아웃바운드가 막혀있어 따로 허용하지 않으면 대부분 접근할 수 없습니다.
AWS Codecommit Git은 방화벽 개방 없이도 접근이 가능하지만,
AWS EC2 서버 등은 정보보안팀 담당자에게 요청해서 방화벽을 뚫어줘야 접근할 수 있습니다.
기존에는 메일로 요청했었으나, 정보보안팀 요청 게시판이 생겨 더 간편하게 요청할 수 있게 되었습니다.
방화벽 허용 요청 예시
| 제목 | ~ 프로젝트 개발을 위한 DB/개발서버/운영VPN 접근 허용 요청의 건 |
| 출발지 IP | 192.168.17.~ (서비스개발팀 송하영) |
| 목적지 IP |
DB서버명.ck39dp9w2h39.ap-northeast-2.rds.amazonaws.com (MySQL 개발 DB) 3.37.191.~ (AWS EC2 개발서버) https://sslvpn-kr-vpc-~.gov-ncloud.com (네이버클라우드 운영서버 VPN) |
| Port |
TCP_3306 (MySQL 개발 DB) TCP_22, TCP_8080 관리자, TCP_8081 사용자, TCP_8082 API (AWS EC2 개발서버) TCP_8443, TCP_443, TCP_12000~13000 (네이버클라우드 운영서버 VPN) |
| 기간 | 2023-01-03 13:40 ~ 2029-12-31 00:00 |
Public 망 NCP 서버 → API 서버 아웃바운드 통신 방화벽 허용 시 참고
Public 망에 있는 NCP 서버 공인 IP를 기준으로 방화벽 허용하면 됩니다.
NCP 서버 ACG Outbound 규칙은 프로토콜 : TCP, 목적지 : 0.0.0.0/0, 허용 포트 1-65535로 설정해야 합니다.
API 서버 → Public 망 NCP 서버 인바운드 통신 방화벽 허용 시 참고
API 서버 방화벽 아웃바운드 설정에서 NCP 서버 공인 IP를 허용해야 통신이 가능합니다.
NCP 서버 ACG inbound 규칙은 프로토콜 : TCP, 목적지 : APIReal서버IP/0, 허용 포트 1-65535로 설정해야 합니다.
API 서버 앞 VIP(=로드밸런서) IP가 아니라, Real IP 각각에 대해 ACG 방화벽 허용해야 요청받을 수 있습니다.
Private 망 NCP 서버 → API 서버 아웃바운드 통신 방화벽 허용 시 참고
Private 망에 있는 네이버클라우드 서버에서 API 서버로 요청 시 NAT Gateway 공인 IP를 통해 전송됩니다.
API 서버 방화벽 인바운드 설정에서 NCP 서버 NAT Gateway 공인IP를 허용해야 통신이 가능합니다.
NCP 서버 앞 로드밸런서는 인바운드 시 요청 분기 역할이므로, 로드밸러서 IP를 허용할 필요는 없습니다.
NCP 서버 ACG Outbound 규칙은 프로토콜 : TCP, 목적지 : 0.0.0.0/0, 허용 포트 1-65535로 설정해야 합니다.
프로토콜 : ICMP, 목적지 : 0.0.0.0/0 설정은 없어도 정상적으로 통신이 되는 것을 확인하였습니다.
API 서버 → Private 망 NCP 서버 인바운드 통신 방화벽 허용 시 참고
API 서버 방화벽 아웃바운드 설정에서 NCP 서버 앞, LB 앞에 위치한 WAF LB IP를 허용해야 합니다.
Private 망 NCP 서버는 공인IP가 없으므로, 로드밸런서 IP 또는 WAF LB IP를 통해서 통신합니다.
WAF Security 상품 사용 시, 로드밸런서 앞에 추가된 WAF LB IP를 통해 통신합니다.
이 경우 nslookup NCP서버도메인 시 나오는 공인 IP가 WAF LB 공인 IP입니다.
WAF IP에 대한 방화벽 허용 시, NCP 서버 도메인으로 요청이 가능합니다.
NCP 서버 ACG inbound 규칙은 프로토콜 : TCP, 목적지 : APIReal서버IP/0, 허용 포트 1-65535로 설정해야 합니다.
API 서버 앞 VIP(=로드밸런서) IP가 아니라, Real IP 각각에 대해 ACG 방화벽 허용해야 요청받을 수 있습니다.
로컬 → DB서버 방화벽 허용 시 참고
DB는 요청에 대한 응답이 바로 오니까 단방향 방화벽 허용만 하면 정상 통신이 가능합니다.
서버에서 클라이언트로 콜백 응답을 위한 연결을 시도하는 경우에만 양방향 방화벽 허용을 하면 됩니다.
DB 서버 방화벽 허용 요청 시에는 22(SSH), 3306(MySQL) 포트를 허용해야 합니다.