UFW(Uncomplicated Firewall)
UFW는 IPTables 방화벽 규칙을 관리하기 위한 사용자 친화적인 front-end이며, 주된 목표는 IPT를 보다 쉽게 관리하거나 이름이 복잡하지 않게 하는 것이다. 리눅스의 핵심인 커널은 server에 대한 client의 네트워크 접속을 제어하는 넷필터라는 모듈을 가지고 있는데, 그것을 활용하여 서버 접속에 대한 네트워크 정책을 세우고 관리하기 용이하게 해주는 프로그램이다.
IPTable
시스템 관리자가 다른 Netfilter 모듈 로 구현된 Linux 커널 방화벽 의 IP 패킷 필터 규칙 을 구성 할 수 있도록 하는 사용자 공간 유틸리티 프로그램이다. 필터는 네트워크 트래픽 패킷을 처리하는 방법에 대한 규칙 체인을 포함하는 여러 테이블로 구성된다.
Netfilter
Linux 커널 에서 제공 하는 프레임워크 로 다양한 네트워킹 관련 작업을 맞춤형 처리기 형태로 구현할 수 있고, 패킷 필터링 , 네트워크 주소 변환 및 포트 변환 을 위한 다양한 기능과 작업을 제공한다. 이러한 기능은 네트워크를 통해 패킷을 전달하고 패킷이 네트워크 내의 중요한 위치에 도달 하는 것을 방지 하는 데 필요한 기능을 제공한다.
방화벽 사용 이유
•
보안이 필요한 네트워크의 통로를 단일화하여 관리함으로써 외부의 불법침입으로부터 내부의 정보자산을 보호하기 위한 시스템이다.
•
사용자 인증, 주소변환, 감사기록 등이 장점이다.
•
강력한 접근제어를 제공하기 위해 외부망과 내부망의 구성을 위한 별개의 네트워크를 가진다.
•
바이러스와 같은 맬웨어 형태로 존재하는 위협은 방어할 수 없다.
UFW 활용
•
default deny 설정 후 꼭 필요한 포트만 열어둔다.
•
내부 비공개 서비스 포트는 기본값이 아닌 임의 포트로 변경한다.
•
특정 컴퓨터 IP에서만 내부 비공개 서비스 포트로 접속한다.
UFW 설정하기
1.
dpkg -l ufw으로 ufw 설치되어 있는 지 확인. 없다면 apt-get install ufw으로 설치
2.
sudo ufw status verbose를 통해 ufw 상태 확인(기본 inactive로 설정되어있다)
3.
sudo ufw enable으로 ufw 동작 후 sudo ufw default deny로 설정하고 sudo ufw allow <port 번호 / IP 주소>으로 원하는 포트 번호 / IP 주소 설정
UFW 설정 명령어
•
sudo ufw status verbose : ufw의 현재 상태와 rule(allow port, deny port)을 표시한다.
•
sudo ufw enable/disable : ufw를 켜고 끈다.(기본 default는 inactive)
•
sudo ufw allow <port 번호> : 외부에서 내부로 진입을 허용할 port 규칙을 추가한다.
•
sudo ufw deny <port 번호> : 특정 port의 외부에서 내부/내부에서 외부로의 통신을 차단하는 규칙을 추가한다.
•
sudo ufw default deny : 따로 규칙을 지정한 port 외에 default 규칙으로 외부에서 내부로 진입하는 모든 시도를 deny로 설정한다.
•
sudo ufw delete <rule> : 추가 되어있는 규칙을 삭제한다.