본문 바로가기

320x100
Network Know-how 기록하기 15

반응형
[AWS / Palo Alto]Palo Alto Firewall(EC2) 설치 및 GWLB 연동 AWS에서 제공되는 Palo Alto VM-Series는 기본적으로 유료(구독 필요)이며 Free-Trial을 통해 일정 기간동안 무료로 사용할 수 있습니다. 팔로알토 방화벽 OS는 일정 기간에 한해 무료이지만 EC2에 대한 비용은 별도 청구입니다.Palo Alto Firewall(이하 팔로알토 방화벽)의 AWS EC2 설치 및 Gateway Load Balancer(이하 GWLB) 연동 과정에 대한 설명AWS Console 접속, EC2 > 인스턴스 > 인스턴스 시작 클릭애플리케이션 및 OS 이미지 검색란에 "Palo Alto" 혹은 아래와 같이 제품 이미지 입력아래 이미지와 같이 Free Trial로 표기된 OS를 사용해야 Palo Alto 방화벽 자체에 대한 구독료를 내지 않고 일정기간 무료로 사용.. 2024. 5. 26.
[AWS]Gateway Load Balancer #4(Idle Timeout & Failover) Gateway Load Balancer의 Idle Timeout Gateway Load Balancer(이하 GWLB)의 Idle Timeout 값은 TCP 350초, 비 TCP(UDP 포함)의 값은 120초로 고정되어 있음 Idle Timeout : Connection(이하 커넥션)가 유휴 상태일 때, 커넥션이 유지되는 시간 이는 고정값으로 변경이 불가능함 GWLB의 고정된 Idle Timeout을 고려하여 부하분산 대상이 되는 Appliance(이하 어플라이언스)의 Idle Timeout 값을 결정해야 함 예를 들어 GWLB를 통해 방화벽 인스턴스(어플라이언스)의 부하분산을 실시할 경우, GWLB의 Idle Timeout값인 TCP 350초, 비 TCP 120초보다 낮게 잡는 것이 좋음 GWLB보다 .. 2024. 2. 4.
[AWS]Gateway Load Balancer #3(GENEVE Protocol) 틀린 부분이 있다면 꼭 지적해 주시면 감사하겠습니다. VXLAN & GENEVE Protocol L2 네트워크에서 VLAN은 최대 4096개까지 생성 가능함 이더넷 프레임에서 VLAN 번호를 나타내는 VID(Vlan ID)가 12bit인 탓에 2의 12 제곱인 4096개까지 가능한 것 과거에는 VLAN 4096개 넉넉한 숫자였을 수도 있지만 현재에는 부족한 숫자임 가상화 기술의 등장은 물리 네트워크를 논리적으로 나눠 쓰는 방법을 극대화시킴 VLAN의 한계인 최대 개수 문제를 해결한 것이 바로 Virtual Extensible LAN, VLXAN VLAN(4096개 각각) 내부에 또 다른 VLAN 4096개를 생성하는 방법을 사용하여 사용 가능한 VLAN 개수를 비약적으로 늘려 최대 1600만 개의 VLA.. 2023. 12. 4.
[AWS]Gateway Load Balancer #2(라우팅) 구성도 / VPC, Subnet, Endpoint, GWLB 설정 Ingress Routing(외부 인터넷 Request - > EC2) 사용자(외부 인터넷)가 EC2(Application Subnet)의 Public IP를 목적지로 삼아 유입될 때의 경로 VPC 내부로 진입하는 트래픽의 첫번째 관문은 Internet Gateway(IGW) 이 때, IGW는 Ingress Routing Table을 생성하여 라우팅을 추가 설정해야 함 사용자가 원하는 목적지에 대해 GWLB Endpoint(이하 GWLBe)를 타도록 라우팅을 강제해야 하기 때문 추가로 Ingress Routing Table에는 IGW를 Edge Association에 지정해야 함 IGW를 Ingress Routing Table에 설정함으로.. 2023. 8. 6.
[AWS]Gateway Load Balancer #1(개요) 틀린 부분이 있다면 지적 부탁드립니다! Gateway Load Balancer(GWLB)를 사용하면 방화벽, 침입 탐지 및 방지 시스템, 심층 패킷 검사 시스템과 같은 가상 어플라이언스를 배포, 확장 및 관리할 수 있습니다. 투명한 네트워크 게이트웨이(즉, 모든 트래픽에 대한 단일 진입 및 종료 지점)를 결합하고 수요에 따라 가상 어플라이언스를 조정하면서 트래픽을 분산합니다. 출처 : AWS 설명서(https://docs.aws.amazon.com/ko_kr/elasticloadbalancing/latest/gateway/introduction.html) On-premise(이하 온프레미스)에서 사용되는 네트워크 장비 혹은 보안 장비 등의 OS Image를 AWS EC2에 올려 장비의 고유 기능을 AWS.. 2023. 7. 23.
[Secui Bluemax]방화벽 도메인 객체 활용 방화벽의 도메인 객체 활용 Secui를 비롯한 대부분의 방화벽은 허용 혹은 차단 정책에 도메인 객체를 적용할 수 있음 허용 혹은 차단 정책에 IP를 기입하면 기입된 IP만을 허용하거나 차단할 수 있음 도메인 객체를 적용하게 되면 허용 혹윽 차단 정책의 출발지 혹은 목적지에 IP가 아닌 도메인이 적용되며 도메인 쿼리에 반환되는 IP를 정책에 활용함 도메인 객체를 사용하게 되면 도메인 쿼리에 의해 반환되는 IP를 정책 적용에 활용할 수 있으므로 IP가 주기적으로 변경되는 출발지 혹은 목적지에 대해 즉각 대응할 수 있음 다시 말해 변경된 IP에 대해 허용 혹은 차단 정책을 적용할 수 있으므로 원활한 허용 / 차단 제어가 가능해짐 도메인 객체의 IP 수집 및 관리 Secui 방화벽이 도메인 객체의 IP를 수집하.. 2023. 5. 31.