FIREWALL POLICY

방화벽 정책 판단

ACL과 NGFW는 허용/차단 목록이 아니라 위에서 아래로 평가되는 규칙, 기본 거부, 연결 상태 추적, egress 통제로 구성되는 정책 엔진이다.

01

입력 조건 추출

source, destination, port, protocol, interface, app/user 정보를 읽는다.

match fields
02

규칙 순서 평가

상단 rule부터 내려가며 첫 매칭 항목의 allow/deny/log 액션을 적용한다.

first match
03

상태 확인

이미 허용된 outbound 세션의 응답이면 state table로 빠르게 통과시킨다.

established
04

기본 정책 적용

어떤 규칙에도 맞지 않으면 default deny로 막고 로그/알림 정책을 적용한다.

least privilege
가려진 규칙
위 규칙이 아래 규칙을 영원히 가림 넓은 allow가 먼저 있으면 뒤의 deny가 실행되지 않는다.
order audit
any-any
임시 허용이 영구 백도어가 됨 출처, 목적지, 포트, 만료일을 좁히고 티켓과 연결한다.
exception expiry
egress open
나가는 트래픽을 모두 허용 침해 후 C2 통신과 데이터 유출을 막기 어렵다.
outbound control
stateless ACL
응답 트래픽도 별도 규칙 필요 stateful 방화벽과 달리 양방향 흐름을 직접 설계해야 한다.
반환 경로

정책 검증 절차

패킷 추적 테스트 패킷이 어떤 규칙 번호에서 매칭되는지 추적한다.
로그 샘플 deny 로그가 너무 많으면 정책 순서나 예외 범위를 조정한다.
기본 거부 새 서비스는 explicit allow 전에는 통신되지 않아야 한다.