기술 이모저모/[AWS] Workshop
[AWS] Fortigate를 이용한 Outbound traffic 통제, 방화벽 기능[2/2]
Kobby
2022. 9. 17. 16:34
[AWS] Fortigate를 이용한 Outbound traffic 통제 구성[1/2]
[AWS] NetworkFirewall 기능 정리 [AWS] Traffic은 어떻게 통제해야 할까? AWS 에는 EC2 또는 VPC 기준으로 트래픽을 통제하는 방법이 다양하다. 대표적으로 Route53 DNS Firewall, NetworkFirewall, SG, NACL, 3r..
dobby-isfree.tistory.com
Fortigate 구성을 해봤다면, 이제는 Fortigate 기능에 대해서 알아본다!!!
Fortigate 기능
Forigate 엔지니어가 더 잘알고 다들 있겠지만, 필자가 체험?한 기능 위주로 작성한다.
| 기능 구분 | 기능 여부 | 기능 상세 내용 | 비고 |
| IP, Port 구분 | ● | • Src/Dst IP, Port 기준으로 허용/차단 설정 가능 |
• 네트워크 정책 즉시 반영 |
| 도메인 통제 | ● | • Wildcard/하위도메인 통제 가능 - 당연한 기능이지만, Networkfirewall은 하위도메인 통제가 안된다.  • Fortigate에서 정의하는 Blacklist Catefory 기준 통제 가능 - 단, Category에 포함된 상세 URL은 확인 불가  |
• 단, URL 기준으로 도메인 통제 • Body는 IPS Conrole로 가능 |
| IPS Rule | ● | • 하위도메인에 대해 통제가 가능한지 중점적으로 검증 -Test1 : *naver.com/index.html 차단 • naver.com → 차단 안됨 • www.naver.com/index.html22 → 차단 안됨 • www. naver.com/index.html → 차단 됨 • naver.com/index.html → 차단 됨 - 차단시에 Fortigate 차단페이지 발생  |
• 인코딩된 URL 통제 어려움 |
| Managed Rule | ● | • AntiVirus : Malware ASCII 기준으로 차단 정책 적용 • Web Filter : 도메인 기반 통제 • DNS Filter : 악성 DNS 쿼리에 대한 통제(=route53 DNS Firewall) • Application Control : App 기반 통제 • Intrusion Prevention : IPS • File Filter : HTTP, FTP에 대한 파일 업로드 통제 • SSL/SSH Insepction : SSL 트래픽 스니핑을 위한 설정 |
- |
| 모니터링 | ● | • Src, Dst, Application, Domain 등등 세세하게 모니터링 가능 |
- |
| 로깅 | ● | • 각 카테고리별로 로그 확인 가능 - Forward Traffic에서는 전체 차단 내용 확인 가능  •Virus, Domain, IPS 등의 차단 상세 내용은 별도 카테고리에서 확인   |
- |
| 차단 여부 확인 | ● | • 차단 정책/Domain/IP/Port 등 상세하게 제공함  |
- |
| 비용 | - | • Fortigate 인스턴스 사용료(Forti 권장 인스턴스) - 1시간 : $0.17 - 1일 : $4.08 - 1달 : $122.4 - 1년 : $1,468.8(1,909,440원) • Fortigate 라이선스 사용료 : 업체 문의 |
- |
다른 방화벽을 사용해보진 않았지만, 요즘에는 솔루션이 다들 상향 평준화가 되어있어서 기능을 비슷비슷한거 같다.
아무래도 솔루션을 선정할때는 비용 문제이지 않을까..ㅎㅎ