홈페이지 Enterprise UniFi Network 9.0.92 Early Access: Zone 기반 방화벽의 작동
Enterprise네트워킹

UniFi Network 9.0.92 Early Access: Zone 기반 방화벽의 작동

by 딜런 도허티
작성자 : 딜런 도허티

Ubiquiti는 UniFi Network 9.0.92에 대한 Early Access 업데이트를 출시했습니다. 영역 기반 방화벽 (ZBF)관리자의 네트워크 보안 관리가 간소화됩니다.

Ubiquiti는 UniFi Network 9.0.92 Early Access 업데이트를 출시하여 소개했습니다. 영역 기반 방화벽(ZBF). 이 중요한 업그레이드는 관리자에게 네트워크 보안을 관리하기 위한 간소화되었지만 강력한 툴셋을 제공합니다. 이 업데이트는 Cloud Gateway Ultra를 통해 배포한 게이트웨이 및 클라우드 게이트웨이와 관련이 있습니다. 드림 머신 프로 맥스.

이 혁신은 VLAN, WAN, VPN과 같은 인터페이스를 논리적 영역으로 그룹화하는 데 중점을 두어 보다 직관적인 정책 생성, 더 나은 세분화, 강화된 보안을 가능하게 합니다.

주요 기능 및 이점

간소화된 정책 관리

복잡한 네트워크에서 다루기 힘들 수 있는 인터페이스별 구성의 시대는 사라졌습니다. 새로운 존 매트릭스 영역 간 트래픽 흐름을 명확하게 시각적으로 표현하여 관리자가 보안 정책을 빠르게 평가하고 수정할 수 있도록 합니다. 이러한 직관적인 접근 방식은 경험이 부족한 네트워크 관리자에게도 정책 관리에 더 쉽게 접근할 수 있게 해줍니다.

향상된 네트워크 세분화

UniFi의 ZBF는 내부, 외부, DMZ, VPN, 핫스팟을 포함한 사전 정의된 구역을 도입하여 각각 일반적인 보안 요구 사항에 맞게 조정합니다. 이러한 구역은 트래픽 흐름에 대한 세부적인 제어를 보장하여 관리자가 다양한 네트워크 요소에 특정 규칙을 적용할 수 있도록 합니다. 이 설계는 IoT 장치를 격리하고, 민감한 데이터 서버를 보호하고, 내부 네트워크를 위험에 빠뜨리지 않고 게스트 트래픽을 관리하는 데 도움이 됩니다.

유연성을 위한 맞춤 정책

사전 정의된 규칙은 설정을 간소화하는 반면, 사용자 정의 정책 기능을 통해 관리자는 보안 설정을 고유한 조직 요구 사항에 맞게 조정할 수 있습니다. 특정 프로토콜을 차단하든, 신뢰할 수 있는 장치에 대한 예외를 만들든, 트래픽 유형을 우선시하든, 사용자 정의 정책의 유연성 덕분에 ZBF는 가장 복잡한 네트워크 환경에도 적응할 수 있습니다.

가시성 및 제어

ZBF에는 게이트웨이로의 DHCP 및 DNS 트래픽과 같은 중요한 흐름을 보호하기 위한 내장 규칙이 포함되어 있어 필수 서비스가 실수로 중단되지 않도록 합니다. syslog를 통한 향상된 로깅 기능은 트래픽 패턴과 잠재적 위협에 대한 자세한 통찰력을 제공합니다. 또한 관리자는 변경되는 우선순위 또는 요구 사항을 반영하도록 규칙을 쉽게 재정렬하여 감독 및 적응성을 개선할 수 있습니다.

(ZBF)의 실제 응용

ZBF 프레임워크는 복잡성을 줄이는 동시에 보안을 강화하도록 설계되어 모든 규모의 조직에 귀중한 추가 기능이 됩니다.

IoT 네트워크 보안

IoT 기기는 종종 내장된 보안이 제한적이어서 공격에 취약합니다. ZBF를 사용하면 관리자는 모든 IoT 기기를 전용 구역에 배치하고 다음과 같은 정책을 만들 수 있습니다.

  • IoT 기기가 중요한 내부 네트워크에 접근하는 것을 차단합니다.
  • IoT 기기가 특정 외부 서비스나 리소스와만 통신하도록 허용합니다.

게스트 트래픽 격리

게스트 사용자는 인터넷 접속만 허용하는 전용 구역으로 제한될 수 있으며, 이를 통해 내부 장치나 중요한 데이터와 상호 작용하지 못하도록 할 수 있습니다.

내부 및 외부 트래픽 균형 조정

사전 정의된 "내부 대 외부" 정책은 잠재적 위협에 대한 강력한 보호 기능을 유지하면서도 내부 사용자에게 안전한 인터넷 액세스를 제공하는 균형 잡힌 접근 방식을 제공합니다.

고급 사용자 정의

조직에서는 개발자 환경, 테스트 랩, 원격 VPN 사용자를 분리하는 등 특정한 요구 사항에 맞춰 추가적인 구역을 만들 수 있으며, 이를 통해 구역 간 통신에 대한 세밀한 제어가 보장됩니다.

배포를 위한 고려 사항

ZBF가 방화벽 관리를 간소화하는 반면, 의도치 않은 결과를 피하기 위해서는 신중한 계획이 필수적입니다. 관리자는 다음을 수행해야 합니다.

  • 존 동작 이해: 영역 간에 네트워크를 이동하거나 게이트웨이로의 트래픽을 차단하는 경우(DHCP 및 DNS와 같은 서비스에 필수적임) 신중하게 관리하지 않으면 작업이 중단될 수 있습니다.
  • 트래픽 흐름 감사: ZBF를 구현하기 전에 현재의 교통 패턴을 검토하여 필수 통신 경로가 유지되는지 확인하세요.
  • 테스트 규칙: 새로운 규칙을 점진적으로 테스트하면 특히 신뢰 수준이 엇갈린 대규모 환경에서 광범위한 중단을 방지하는 데 도움이 됩니다.
  • 레버리지 로깅: 로깅 기능을 사용하여 변경 사항의 영향을 모니터링하고 개선이 필요한 영역을 식별합니다.

ZBF 구성 예시

UniFi의 Zone-Based Firewall(ZBF)은 네트워크 보안을 간소화하고 강화하는 데 중요한 단계입니다. 기존의 인터페이스별 구성에서 Zone 기반 접근 방식으로 전환하면 관리자는 복잡한 설정과 씨름하는 대신 의도적인 보안 결과에 집중할 수 있습니다. 직관적인 디자인과 강력한 사용자 정의 옵션으로 소규모 및 엔터프라이즈 배포에 이상적입니다.

실제 구현을 설명하기 위해 새 설정 방법의 예는 다음과 같습니다. 게스트/IoT 존 최신 업데이트에서 UniFi의 ZBF를 사용합니다. 목표는 게스트 및 IoT 기기를 격리하여 내부 보안을 위협하지 않고 외부 리소스에 대한 액세스를 제어하는 ​​것이었습니다.

EA 릴리스 업데이트

EA 릴리스 네트워크 9.0.92로 업데이트하려면 아래 단계를 따르세요.

    1. We Buy Orders 신청서를 클릭하세요. 설정 > 제어 평면 > 업데이트 UniFi 컨트롤러에서.
    2. 업데이트 확인 또는 업데이트 최신 EA 버전을 설치하세요.
    3. 사용 초기 액세스 아직 활성화되어 있지 않으면 같은 메뉴에서 활성화하세요.


다음으로, 아래 단계에 따라 ZBF(Zone-Based Firewall)를 활성화하세요.

  1. We Buy Orders 신청서를 클릭하세요. 설정 > 방화벽 및 보안.
  2. 사용 존 기반 방화벽.
  3. 다음을 사용하여 영역을 구성하고 트래픽 정책을 설정합니다. 존 매트릭스.

존 구성 예

새 영역을 만들어 시작합니다. 먼저 기본 영역을 보고 다음을 클릭합니다. 영역 생성 옵션을 선택합니다.

Create Zone을 클릭하면 새 영역을 설정하는 구성 화면으로 이동합니다. 이 예에서는 이름을 다음과 같이 지정했습니다. 게스트/IoT 존. 이 새로운 영역과 연결하기 전에 VLAN이 생성되었거나 이미 존재하는지 확인하는 것이 중요합니다. 우리의 예에서 우리는 다음을 사용했습니다. VLAN 30. 이 VLAN이나 네트워크에 연결된 기존 규칙은 새 영역을 만들 때 일시 중지되거나 제거될 수 있습니다.

존을 설정한 후 왼쪽 상단 모서리에 있는 뒤로 가기 버튼을 클릭하여 메인 페이지로 돌아갑니다. 로컬 기기 통신을 차단하면서 인터넷 접속만 허용하는 격리된 게스트/IoT 네트워크를 만들려면 세 개의 방화벽 규칙이 필요합니다.

먼저 관리를 클릭합니다. 또는 게스트/IoT 존 행으로 필터링하고 내부 열에서 첫 번째 옵션을 선택할 수 있습니다. 이렇게 하면 인터페이스에서 이 존과 관련된 모든 관련 규칙도 표시됩니다.

규칙1: IoT/게스트가 내부 영역에 접근하는 것을 차단합니다.

규칙2: 외부 영역을 통해 IoT/게스트가 인터넷에 액세스하도록 허용:

Rule3: IoT/Guest가 게이트웨이 영역을 통해 DHCP 및 DNS를 위해 게이트웨이와 통신하도록 허용합니다.

테스트 규칙

규칙이 생성되면 테스트를 진행할 수 있습니다. 이 테스트에서는 VLAN 24.04.1으로 태그가 지정된 VNET 네트워크에 연결된 Ubuntu 서버 30 VM을 사용합니다. VM은 UDM-SE에서 DHCP를 수신하여 네트워크 구성 및 영역 규칙이 예상대로 작동하는지 확인합니다.

명령으로 시작하여, 아이피 Ubuntu VM이 VLAN 10.30.50.113의 (10.30.0.0/18) 네트워크에서 (30)의 DHCP 임대를 성공적으로 수신했음을 보여줍니다. 첫 번째 테스트는 게이트웨이와의 통신을 확인하고 주 UDM 게이트웨이(192.168.1.1)에 성공적으로 ping을 보냅니다.

다음으로, 내부 네트워크의 모든 장치에 도달하지 못하도록 차단합니다. (192.168.1.32)에서 도메인 컨트롤러에 ping을 보내려는 시도는 실패하고, (192.168.1.202)에서 관리형 스위치에 ping을 보내려고 할 때도 마찬가지입니다. 추가 테스트로 관리형 스위치에 SSH 연결을 시도했지만 실패했습니다. 이를 통해 격리 규칙이 게스트/IoT 영역에 대해 예상대로 작동한다는 것이 확인되었습니다.

마지막으로 Google에 ping을 보내 VM이 외부에서 접속 가능한지 테스트하고, 게스트/IoT 네트워크가 내부 네트워크에서 격리된 상태에서도 인터넷에 접속할 수 있는지 확인합니다.

Nmap 테스트

다음 테스트에서는 Nmap을 사용하여 설치했습니다. sudo apt 설치 nmap 다음 명령이 이어진다 sudo nmap -sP 192.168.1.0/24 기본 네트워크 범위를 스캔합니다. Nmap은 네트워크에서 장치를 발견하고 해당 장치에서 열려 있는 포트를 확인할 수 있는 네트워크 스캔 도구입니다. 이 테스트는 192.168.1.0/24 범위의 장치가 격리된 네트워크에서 액세스할 수 없음을 확인하여 게스트/IoT 네트워크가 내부 네트워크에서 적절하게 격리되었는지 확인합니다.
기본 네트워크에 있는 다른 192.168.1.1개 장치는 보이지 않고 게이트웨이(192.168.1.2)와 허니팟(28)만 보입니다.

결론

UniFi의 새로운 Zone-Based Firewall은 네트워크 보안 및 세분화에 대한 직관적이고 효율적인 접근 방식을 제공합니다. StorageReview와 같은 랩을 포함하여 모든 규모의 네트워크에 귀중한 자산으로, 전문가가 기능을 활용할 수 있습니다. 격리된 영역의 생성을 간소화하고 기존의 복잡성 없이 강력한 트래픽 제어 및 안전한 VPN 정책을 가능하게 함으로써, 이 도구는 관리자가 고급 테스트, 개발 및 일상 운영을 지원하는 확장 가능하고 안전한 환경을 설계할 수 있도록 지원합니다.

Ubiquiti (제휴 링크)

StorageReview에 참여

뉴스레터 | 유튜브 | 팟캐스트 iTunes/스포티 파이 | 인스타그램 | 트위터 | 틱톡 서비스 | RSS 피드

Cisco 네트워킹, IP 보안 및 NAC 솔루션에 대한 전문 지식을 갖춘 K-12 네트워크 관리자. UniFi 애호가이자 홈 래버로 네트워킹 및 보안 제품을 테스트하고 검토합니다.

Copyright © 1998-2024 Flying Pig Ventures, LLC 오하이오주 신시내티. 판권 소유.