1. 개요 및 기획 의도
기존 실습을 통해 익숙해진 pfSense 외에도, 오픈소스 방화벽 시장에서 주목받고 있는 OPNsense를 실무 환경에 직접 도입해 보고자 이중 방화벽 구조를 설계 했습니다.
단순히 동일한 장비를 복제하는 것이 아니라, 각 솔루션의 특징을 파악하고 적재적소에 배치하여 기술적인 스택 확장과 경계 보안 강화라는 두 가지 목적을 달성하고자 했습니다.
2. 이중화 구성 및 역할 분담
- OPNsense
- 도입 배경 : 기존 실습을 통해 익숙해진 pfSense를 벗어나 OPNsense를 직접 구축하여 설정 편의성과 성능을 경험하고자 선택했습니다.
- 주요 역할 : 외부 접점(WAN)에서 발생하는 DDoS 공격 및 비정상 트래픽에 대한 1차 완충 역할을 수행합니다. 내부망으로 들어오기 전 불필요한 트래픽을 먼저 걷어내는 '트래픽 정제' 역할에 집중합니다
- pfSense
- 도입 배경 : 그동안 다양한 실습을 통해 기술적 숙련도를 쌓은 솔루션으로, 가장 안정적이고 숙련도가 있기 때문에 하단에는 pfSense를 배치하는 선택을 했습니다.
- 주요 역할 : 핵심적인 NAT 처리와 내부 네트워크 라우팅을 전담합니다. 익숙한 인터페이스를 활용해 복잡한 정책 설정을 오류 없이 수행하고, 전체적인 트래픽 흐름을 관리합니다.
3. 네트워크 구성의 핵심 요소
- 기술적 도전 : 서로 다른 OS 기반의 방화벽 간 TRANSIT(Lan Segment) 구간을 설정하여 이기종 장비간의 라우팅 및 통신 호환성을 검증했습니다.
- 단계별 방어 : OPNsense에서 가볍게 트래픽을 정리한 후, pfSense에서 정교하게 NAT 및 ACL 정책을 적용함으로써 시스템의 안정성을 극대화 했습니다.
- 단계별 방어 간단 Flooding 테스트
OPNsense와 pfSense는 TRANSIT 네트워크로 직렬 연결되어 있으며, pfSense의 게이트웨이가 OPNsense로 설정되어 있기 때문에, 외부에서 들어오는 모든 트래픽은 반드시 OPNsense를 거쳐야 내부로 유입됩니다.
실험 결과 대량 SYN Flood 공격 시 OPNsense 구간에서 트래픽이 집중적으로 처리되어 내부 pfSense 및 WEB서버 구간의 부하 증가가 최소화됨을 확인하였습니다.
4. 성과 및 배운 점
- 성과 라고 한다면, 구조적 안정성을 이뤄낸것에 만족 스럽습니다.
각기 다른 방화벽을 직렬로 배치함으로써, 특정 솔루션의 취약점이 발견되더라도 다른 계층에서 방어할 수 있는 심층 방어 구조로 만든것이 성과 일것 같네요
또한 pfSense에 머물지 않고 OPNsense라는 새로운 오픈소스 방화벽을 적용함으로서, 솔루션별 특장점을 비교 분석할 수 있는 능력을 갖게된 것이 만족스러웠던 파트였던것 같습니다.
이로써 외부 위협을 1차적으로 걸러내고 내부 트래픽을 정교하게 제어할 수 있는 튼튼한 성벽을 구축했습니다.
하지만 성벽만으로는 성 안으로 숨어든 은밀한 공격자까지 잡아내기 어렵습니다.
다음 장에서는 이 성벽 위에서 실시간으로 패킷의 내용을 들여다보며 위협을 탐지하고 차단하는 'IPS(Snort) 구축 및 정책 적용' 과정을 살펴보겠습니다.
'프로젝트 > 인프라보안 프로젝트' 카테고리의 다른 글
| [인프라보안 프로젝트6]SIEM 기반 보안 로그 수집·이벤트 분석 및 AI 연동 실시간 보안 알림 자동화 시스템 구축 (0) | 2026.01.14 |
|---|---|
| [인프라보안 프로젝트5] WAF(Nginx + ModSecurity)를 활용한 애플리케이션 계층(L7)보안 강화 (0) | 2026.01.13 |
| [인프라보안 프로젝트4] IPS(Snort)를 활용한 공격 탐지 및 차단 정책 적용 (0) | 2026.01.13 |
| [인프라보안 프로젝트2] ESXi가상화 & 네트워크 분리 설계 (0) | 2026.01.13 |
| [인프라보안 프로젝트1] 티켓팅 사이트의 인프라 보안 구축 (0) | 2026.01.12 |