기본제공서비스(무료혜택)

CLOUDV - ELCAP 방화벽

| ELCAP FIREWALL 란?

WEB을 통해 자신의 서버에 접근 정책을 직접 적용 할 수 있는 방화벽입니다.

기본적으로 포트와 아이피 가반으로 패킷 필터링을 하는것은 동일하나 하나의 방화벽 정책을 여러대의 서버에서 사용 할 수 있으며, 서버에 방화벽 정책 적용과 해제하는 과정을 마우스 클릭 몇번으로 수정이 

가능하여 편리하게 이용 할 수 있습니다.

또한, Elcap 방화벽은 이중화된 10G 네트워크를  기반으로 서비스 상단 네트워크에 별도의  하드웨어 장비로 자리잡고 있기에 타사에서 제공하고 있는 방화벽 보다 탁월한 퍼포먼스를 자랑합니다.

 

 

| ELCAP FIREWALL의 용어 정리

- 일본적으로 아래의 용어를 자주 사용합니다.

용어 용어 설명
ACCEPT 패킷을 허용한다는 의미
DROP 패킷을  봉쇄한다는 의미
OPEN 서버에 열려있는  포트를 의미
서비스 포트 or 서버에서  운영중인 Contents를 의미
정책 서버에 운영중인 포트에 대한 접근 허용 여부
Elcap 정책 큰 의미의 정책으로 ACCEPT 할 정책과 DROP 할 정책을 그룹으로 모아 놓은 정책을 의미한다. (ANOYMOUS OPEN, MYAREA OPEN, ALWAYS DROP, 특정서버접근, MANAGE IP)

 

 

| ELCAP FIREWALL 기본 내역

1) 기본 설명

일반적인 방화벽은 방화벽 관리자가 정책을 세운 후 방화벽을 운영하는 방식이나, Elcap Firewall은 고객이 Web 환경을 통해 고객서버의 정책을 직접 세우고, 정책을 적용 시키는 방식입니다.

Elcap Firewall은 Elcap Firewall Web 과 Elcap Firewall 2가지로 구분하고, Elcap Firewall Web은 고객이 고객서버를 직접 Control 할 수 있는 인터페이스이며, Elcap Firewall은 방화벽을 의미합니다.

 

2) Elcap Firewall 정책 설명

2-1) ANONYMOUS OPEN

모든이가 접근 할 수 있는  서비스(포트)를 의미합니다.

EX) SMTP(25), HTTP(80), POP(110), IMAP(143)

 

2-2) MYAREA OPEN

특정한 IP or IP대역 에서만 접근할 수 있는 서비스(포트)를 의미합니다.

EX) ANONYMOUS OPEN에 입력된 서비스를 제외한 모든 서비스

 

2-3) ALWAYS DROP

특정 IP or IP대역 에서는 접근할 수 없게 하는 서비스(포트)를 의미함.

ANONYMOUS OPEN에 등록되어 있는 서비스(포트)만 입력이 가능하다.

Ex) 특정IP(210.154.145.13)에서 HTTP(80) 에 Attack을 가한다거나, 바이러스 패킷을 보낸다면, 모든 IP에서는 패킷을 ACCEPT 하나, 특정IP(210.154.145.13)를 DROP 시킬 수 있습니다.

 

2-4) 특정서버접근

위 3가지 정책 설명은 고객서버가 서버입장에서의 정책이고,

(어떤이가 고객서버로 접근할 때의 정책)

특정서버접근은 고객서버가 클라이언트 입장이 되었을 때의 정책입니다.

(고객서버에서 다른 서버로 접근할 때의 정책)

예를 들어 고객서버에서 다른 FTP서버에 접근할 경우, 고객서버에서 다른 HTTP서버에 접근할 경우, 고객서버에서 Microsoft 서버에 접속하여 Window Update 할 경우, 고객서버에서 다른 서버로 접근할 때 접근하는

서비스(포트)를 등록시켜야 합니다.

일반적으로 Window는 FTP(TCP 20포트 , TCP 21포트, UDP 20포트), SMTP(TCP 25포트), DNS(TCP 53포트, UDP 53포트), HTTP(TCP 80포트), 인터넷품질테스트(TCP 8020포트,8031포트),

Netbios-ssn(TCP 139포트) – Window directory service, Web-ssl(TCP 443포트),

Ms-sql(TCP 1433포), MSN(TCP 1864포트) Unix, Linux는 FTP(TCP 20포트 , TCP 21포트, UDP 20포트), TIME(TCP 37포트), SMTP(TCP 25포트), WHOIS(TCP 43포트), DNS (TCP 53포트, UDP 53포트),

HTTP(TCP 80포트), Web-ssl(TCP 443포트) 를 등록시켜 주어야 고객서버에서 다른서버로 접근을 할 수 있습니다. 특정서버접근 정책은 Elcap 초기화 단계에서

자동적으로 입력이 됩니다.

 

2-5) MANAGE IP

위 4가지 정책은 포트 기반의 정책이고, MANAGE IP는 아이피 기반의 정책입니다. MANAGE IP에 등록된 IP는 서비스하는 모든 포트에 접근이 가능하게 됩니다.

 

 

| ELCAP FIREWALL 처음 사용자 WORKFLOW

1. 서비스 로그인 https://www.cloudv.kr/
2. ELCAP 방화벽 접근 사용자 페이지 -> 무료  기능 안내 -> ELCAP 방화벽 설정
3. SMS 인증 SMS 인증을 합니다.
4. Elcap 초기화 Elcap 초기화의  '초기화'를  클릭합니다.
5. PORT SCAN IP에 해당하는 서버의  열려있는 PORT를 SCAN합니다. (정책초기화에 포함)
6. 권장정책 VIEW 열려있는 PORT에 대하여 권장정책을 보여주는 화면을  제공합니다. (정책초기화에 포함)
7. 설정 변경 고객이 원하는  포트별 정책을 입력합니다. (정책초기화에 포함)
8. 저장 및 이용 방화벽 설정시  내용은 바로 적용됩니다. (정책초기화에 포함)

1. https://www.cloudv.kr/에 로그인 합니다. 

2. '사용자 페이지'의 '무료 기능 안내'에서 'Elcap 방화벽 설정'을 클릭합니다.

3. SMS 인증을 합니다.

4. Elcap 초기화를 실행합니다. (위의 표 4 ~8번에 해당 합니다.)

5. Elcap 초기화 만으로 대부분의 크래커들의 공격을 막을 수 있습니다.

6. Elcap Firewall 메뉴얼을 보면서 고객서버에 맞게 정책을  하나씩 추가하시면, Elcap Firewall 활용을 아주 잘 하시는 겁니다.

 

 

| ELCAP FIREWALL WEB 인터페이스 안내

주의사항

1) Elcap Firewall Web은 한명 밖에 Login 할  수 없습니다.

2) Elcap Firewall Web에서 작업을 마무리하고 나올 때에는 Logout을 꼭해야 합니다.

    Logout을 하지 아니하고 창을 닫는다면, 한동안 Login을  할 수 없습니다.

 

Login [# 그림 1]

- https://cloudv.kr 에서 로그인을  합니다.

 

Elcap 접근 [# 그림 2]

순서대로 사용자 페이지 -> 무료 기능 안내 -> ELCAP 방화벽 설정에서 서버 관리자 SMS 인증하기를 클릭합니다.

 

SMS 인증 [# 그림 3]

서버 관리자 번호를 선택 후 인증을 합니다.

 

고객서버 리스트 [# 그림 4]

Elcap 접근 후 보이는 첫 페이지입니다.

    - No : 고객 서버 Number 입니다.

    - 서버 IP : 고객서버 IP 입니다.

    - Elcap 해제 : 기존에 등록된 정책을 모두 해제(삭제) 합니다. (모든 패킷 허용)

    - Elcap 초기화 : Elcap Firewall을 사용하기 전에 가장 먼저해야 할 사항으로 Elcap 등록을 합니다.

    - Elcap 정책설정 : 수동으로 Elcap FIrewall 정책을 설정하는 메뉴입니다.

    - Elcap 정책보기 : 고객이 설정한 정책을 보여주는 메뉴입니다.

    - 서버 PortScan : 고객서버를 PortScan 합니다.

    - 서버 PortList : 각각의 운영체제 별로 PortScan 할 PortList를  보여주는 메뉴입니다.

    - OS : 고객 서버의 운영체제 입니다. (Unix Linux 계열,  Window 계열, 스위치 계열 3가지가 있습니다.)

 

Elcap 초기화 [# 그림 5]

 

기본적으로 SMTP(25), DNS(53), HTTP(80), POP(110), IMAP(143), HTTPS(443)을 ANONYMOUS OPEN 정책으로 반영되나 변경할 수 있습니다.

그 외의 포트들은 MYAREA OPEN 정책입니다.

 

Elcap 초기화 [# 그림 6]

고객 서버를 PortSan 한 후 Connect 된 포트를 보여줍니다.

'초기화(정책확인)'를  클릭하면 Connect 된포트들을 Elcap Firewall 정책으로 변환시킵니다.

연결되지 않은  포트 리스트를 클릭하면, Connect 되지 않은 포트를 보여줍니다.

 

Elcap 초기화 [# 그림 7]

Connect 된 서비스(포트)를 ANONYMOUS OPEN, MYAREA OPEN, 특정서버접근 정책으로 변환시킨 화면입니다.

Elcap Firewall 정책 추가, 변경, 삭제가 가능합니다.

 

Elcap 초기화 4 [# 그림 8]

사용여부 : 해당 포트를 정책에 반영하면 Check (ANONYMOUS OPEN, MYAREA OPEN, 특정서버접근이 이에 해당합니다.)

정책변경 : ANONYMOUS OPEN <====> MYAREA OPEN 정책으로 서로 변경합니다. (ANONYMOUS OPEN, MYAREA OPEN이 이에 해당합니다.)

    - ANONYMOUS OPEN : ANONYMOUS OPEN 정책을 등록 할 때 사용

    - MYAREA OPEN : MYAREA OPEN 정책을 등록할 때 사용

    - 접근가능 IP : MYAREA OPEN 정책의  접근 가능 IP를  변경할 때 사용

    - Elcap 관리 IP => MANAGE IP : 등록된 MANAGE IP 정책을 등록할 때 사용

    - 특정서버접근 : 특정서버접근 정책을 등록할 때 사용

참고) 접근가능 IP, MANAGE IP 등록은 IP 입력뿐 아니라, IP 대역도 입력 가능합니다.

 

Elcap 정책설정 (ANONYMOUS OPEN, ALWAYS DROP) [# 그림 9]

ANONYMOUS OPEN : 접근 IP가 어떤 것이든 상관없이 등록된 포트로 들어오는 패킷을 모두 허용합니다.

    1. No : ANONYMOUS OPEN에 설정된 Number를 의미합니다.

    2. 서비스 이름 : 포트에 해당하는  이름을 의미합니다. 영문(1 ~ 30자), 한글 (1 ~ 15자)

    3. 포트 : 숫자로 된 포트를 의미합니다. (1 ~ 65535 범위의 포트   중 하나)

    4. 프로토콜 : TCP, UDP,  ICMP 서비스로 나뉩니다.

    5. 정책변경/삭제 : MYAREA OPEN은 해당 포트를 MYAREA OPEN 정책으로 변경합니다.

                                삭제는 해당 포트를 정책에서 삭제합니다. (해당포트가 ALWAYS DROP 정책에 등록이 되어 있다면, 등록되어 있는 포트도 자동으로 삭제됩니다.)

  

ALWAYS DROP : ANONYMOUS OPEN에 등록되어 있는 포트만 ALWAYS DROP에 등록할 수 있습니다.

                             (접근 IP가 어떤 것이든 상관없이 접근을 허용하고 싶지만, 특정 IP or 특정 IP 대역에서는접근을 봉쇄시켜야 할 경우 사용합니다.)

    1. No : ALWAYS DROP에 설정된 Number를 의미합니다.

    2. 서비스 이름 : 포트에 해당하는 이름을 의미합니다. 영문(1 ~ 30자), 한글(1 ~ 15자)

    3. 포트 : 숫자로 된 포트를 의미합니다. (1 ~ 65535 범위의 포트 중 하나)

    4. 프로토콜 : TCP, UDP, ICMP 서비스로 나뉩니다.

    5. DROP 접근 IP : 해당 포트에 접근을 봉쇄할 IP 입니다. (IP or IP 대역 입력가능)

        개별삭제 : 접근을 봉쇄할 IP or IP 대역을 정책에서 개별로 삭제합니다.

    6. 삭제 : 해당 포트를 정책에서 삭제합니다. 

 

Elcap 정책설정 (ANONYMOUS OPEN 등록) [# 그림 10]

    

서비스 이름 : 고객이 입력할 서비스 이름 (입력범위 : 한글 15자 이내, 영문 30자 이내)

                     ex) Ftp, Telnet, SSH

프로토콜 : TCP, UDP, ICMP

                TCP는 등록할 TCP 포트를 접근 IP가 어떤 것이든 상관없이 모든이에게 허용시킵니다.

                UDP는 등록할 UDP 포트를 접근 IP가어떤 것이든 상관없이 모든이에게 허용시킵니다.

                ICMP : ICMP는 ICMP를 접근 IP가 어떤 것이든 상관없이 모든이에게 허용시킵니다. 

                ex) 접근 IP가 어떤 것이든 상관없이 외부에서 고객서버로 ping을 보낼 수 있게 허용

목적지 포트 : 정책에 등록할 포트

접근 주소 : 접근 IP가 어떤 것이든 상관없이 모두가 접근 가능합니다.

 

Elcap 정책 설정

ANONYMOUS OPEN 정책이동 [# 그림 11-1]      ANONYMOUS OPEN 정책삭제 [# 그림 11-2]

                                                

정책이동 : ANONYMOUS OPEN => MYAREA OPEN으로 정책을 이동합니다.

                정책 이동시 이동하는 포트가 ALWAYS DROP에 등록이 되어 있다면, 정책에서 삭제 됩니다.

정책삭제 : ANONYMOUS OPEN의 정책을 삭제합니다.

                정책삭제시 삭제하는 포트가 ALWAYS DROP에 등록이 되어 있다면, 정책에서 삭제 됩니다.

 

Elcap 정책설정 (ALWAYS DROP 등록) [# 그림 12]

ALWAYS DROP는 ANONYMOUS OPEN에 등록되어 있는 포트만 입력이 가능합니다.

접근 IP가 어떤 것이든 상관없이 등록된 포트로 들어오는 패킷을 모두 허용하지만, 특정접근 IP 또는 IP 대역에서 패킷을 보쇄하여야 할 때 사용합니다.

서비스 이름 : 고객이 입력할 서비스 이름 (입력범위 : 한글 15자 이내, 영문 32자 이내)

                     ex) ftp, telnet, ssh

프로토콜 : TCP, UDP, ICMP

                 TCP는 등록할 TCP 포트를 접근 IP가 어떤 것이든 상관없이 모든이에게 허용하지만, 등록할 IP or IP 대역에서는 봉쇄시킵니다.

                 UDP는 등록할 UDP 포트를 접근 IP가 어떤 것이든 상관없이 모든이에게 허용하지만, 등록할 IP or IP대역에서는 봉쇄시킵니다.

                 ICMP는 ICMP 프로토콜을 접근 IP가  어떤 것이든 상관없이 모든이에게 허용하지만, 등록할 IP or IP 대역에서는  봉쇄시킵니다.

                 ex) 외부에서 고객서버로 ping을  보낼 수 있지만, 등록할 IP에서는 ping을  막습니다.

목적지 포트 : 정책에 등록할 포트

접근 주소 : 포트를 봉쇄시킬 IP 및 IP 대역을 입력

 

Elcap 정책설정

ALWAY DROP 개별삭제 [# 그림 13-1]                            ALWAYS DROP 삭제 [# 그림 13-2] ​

                                                           

정책개별삭제 : 해당포트에 포함되어 있는 해당 IP or IP 대역을  정책에서 개별 삭제합니다.

정책삭제 : 해당포트에 포함되어 있는 모든 IP or IP 대역을 정책에서 모두 삭제합니다.

 

Elcap 정책설정 (MYAREA OPEN) [# 그림 14]

MYAREA OPEN : 특정 IP or IP 대역에서만 서비스를 받을 수 있는 정책이다.

    1. No : MYAREA OPEN에 설정된 Number를 의미합니다.

    2. 서비스 이름 : 포트에 해당하는 이름을 의미합니다.

    3. 포트 : 숫자로 된 포트를 의미합니다. (1 ~ 65535 번위의 포트 중 하나)

    4. 프로토콜 : TCP, UDP, ICMP 서비스로 나뉩니다.

    5. MYAREA 접근 IP 해당 포트에 접근을  허용할 IP 입니다. (IP or IP 대역 입력가능)

        개별삭제 : 접근을 허용할 IP or IP 대역을 정책에서 개별로 삭제합니다.

    6. 삭제 : 해당 포트를 정책에서 삭제합니다.

 

Elcap 정책설정 (MYAREA OPEN 등록) [# 그림 15]

MYAREA OPEN는 ANONYMOUS OPEN에 등록되지 않은 포트만 등록 가능합니다.

서비스 이름 : 고객이 입력할 서비스 이름 (입력범위 : 한글 15자 이내, 영문 30자 이내)

                     ex) ftp, telnet, ssh 등

프로토콜 : TCP, UDP, ICMP

                TCP는  등록할 TCP 포트를  등록할 IP or IP 대역에서 접근을 허용시킵니다.

                UDP는  등록할 UDP 포트를 등록할 IP or IP 대역에서 접근을 허용시킵니다. 

                ICMP는 ICMP 프로토콜을 등록할 IP or IP 대역에서 접근을 허용시킵니다.

                ex) 등록할 IP or IP 대역에서만, 고객서버로 ping을 보낼 수 있게 허용합니다.

목적지 포트 : 정책에 등록할 포트

접근 주소 : 포트를 허용시킬 IP 및 IP 대역을 입력

 

Elcap 정책설정 (MYAREA OPEN 정책이동) [# 그림 16]

정책이동 : MYAREA OPEN => ANONYMOUS OPEN 으로 정책을 이동합니다.

 

Elcap 정책설정

MYAREA OPEN 개별삭제 [# 그림 17-1]                   MYAREA OPEN 삭제 [# 그림 17-2]        ​

                                                      

정책삭제 : 해당포트에 포함되어 있는 모든 IP or IP 대역을 정책에서 모두 삭제합니다.정책개별삭제 : 해당포트에 포함되어 있는 해당 IP or IP 대역을 정책에서 개별 삭제합니다.

 

Elcap 정책삭제 (특정서버접근) [# 그림 18]

특정서버접근 

위 3가지 정책은  고객서버로 어떤이가  접근할 때의 정책이고, 특정서버접근은 고객서버에서 다른서버로 접근할 때의 정책입니다.

(즉 위 3 가지 정책은 고객서버가 서버의 입장에서의 정책, 특정서버접근은 고객서버가 클라이언트 입장에서의 정책입니다.)

예를 들어 고객서버에서 다른 FTP서버로 접근할 경우 및 데이터를 받을 경우 고객서버에서 다른 HTTP서버로 접근할 경우 및 데이터를 받을 경우 고객서버에서 Microsoft 서버에 접속하여 Window Update 할 경우 고객서버에서 다른 서버로 접근하는 서비스(포트)를 등록시켜야 합니다.

일반적으로 Window는 FTP(TCP 20포트, TCP 21포트, UDP 20포트, UDP 21포트), SMTP(TCP 25포트), DNS (TCP 53포트, UDP 53포트), HTTP(TCP 80포트), Netbios-ssn(TCP 139포트) – Window directory service, Web-ssl(TCP 443포트), Ms-sql(TCP 1433포트), MSN(TCP 1864포트),

인터넷품질테스트(TCP 8020포트, TCP 8031포트) Unix, Linux는 FTP(TCP 20 포트 , TCP 21 포트, UDP 20 포트), SMTP(TCP 25 포트), TIME(TCP 37 포트), WHOIS(TCP 43 포트), DNS (TCP 53 포트, UDP 53 포트),HTTP(TCP 80 포트), Web-ssl(TCP 443 포트), 를 등록시켜 주어야 고객서버에서

다른 서버로 접근이 가능합니다.

주) Elcap 초기화를 할 경우 위 포트들은 자동적으로 정책에 추가됩니다.

혹 고객서버에서 다른서버로 접근이 가능하지 않을 경우, 다른서버의 서비스 포트를 특정서버접근에 등록되었는지 다시 한번 확인하여 주십시오.

 

Elcap 정책설정 (특정서버접근 등록) [# 그림 19]

정책등록 : 특정서버접근 포트를 등록시킵니다.

 

Elcap 정책설정 (특정서버접근 삭제) [# 그림 20]

정책삭제 : 해당포트를 정책에서 삭제합니다.

                예를들어 위 의 그림처럼 21 포트를  삭제한다면, 고객서버에서 다른  서버 TCP 21 포트로 접근 할  수 없습니다.

 

Elcap 정책설정 (MANAGE IP) [# 그림 21]

MANAGE IP

위 4가지 정책은 포트 기반의 정책이고, MANAGE IP 정책은 IP 기반의 정책입니다.

등록된 IP는 서비스하는 모든 포트에 접근이 가능하게 됩니다.

 

Elcap 정책설정

MANAGE IP 등록 [# 그림 22-1]                                        MANAGE IP 삭제 [# 그림 22-2]

[# 그림 22-1] MANAGE IP 등록                                             [# 그림 22-2] MANAGE IP 삭제

모든 포트에 접근 가능하게 할 IP 등록                               MANAGE IP를 삭제합니다.

 

Elcap 정책보기 [# 그림 23]

[# 그림 23] Elcap 정책보기

고객이 등록한 정책을 보여주는 페이지입니다.

 

서버 PORTSCAN [# 그림 24]

정책이 설정된 상태에서 다시 PORTSCAN 하는 페이지입니다.

 

서버 PORTLIST [# 그림 25]

고객서버에 PORTSCAN 할 리스트를 부여줍니다.

운영체제별로 PORTSCAN 할 리스트가 다릅니다.

 

Elcap Firewall 국제망 정책 설정 [# 그림 27] 

Elcap 접근 후 고객서버 리스트에서 [Elcap 방화벽 정책설정]을 클릭합니다.

- 정책설정은 초기화가 진행되어있어야 설정이 가능합니다.

 

Elcap Firewall 국제망 정책 설정 [# 그림 28]

Elcap 방화벽 정책설정에서 우측 하단에 존재하는 [국제망 접근 정책]을 클릭합니다.

 

Elcap Firewall 국제망 정책 설정 [# 그림 29]

국제망 접근 정책에서 [사용하기]를 클릭합니다.

아래의 3개의 정책들은 각각 적용이 되므로 중복 적용이 가능합니다.

 

Elcap Firewall 국제망 정책 설정 [# 그림 30]

적용중인 정책은 적생으로 상태가 바뀌어 표시되며, 중지하기를 클릭하시면 해당 정책을 다시 중지 하실 수가 있습니다.