웹 서비스를 실행하는 시스템에서 IPsec을 사용하여 웹 클라이언트 요청을 제외한 모든 트래픽을 보호할 수 있습니다. 일반적으로 웹 서버와 다른 백엔드 서버 간의 네트워크 트래픽이 보호됩니다.
이 절차의 IPsec 정책에서는 웹 클라이언트가 IPsec을 우회하도록 허용할 뿐 아니라 서버가 DNS 클라이언트 요청을 하도록 허용합니다. 다른 트래픽은 모두 IPsec으로 보호됩니다.
시작하기 전에
이 절차에서는 두 서버에서 IPsec을 구성하는 IPsec을 사용하여 두 서버 간의 네트워크 트래픽을 보호하는 방법의 단계를 완료했다고 가정하므로 다음 조건이 적용됩니다.
각 시스템은 주소가 고정된 전역 영역이나 배타적 IP 영역입니다. 자세한 내용은 IPsec 및 Oracle Solaris 영역을 참조하십시오.
웹 서버와의 통신은 이미 IPsec으로 보호되고 있습니다.
키 입력 자료가 IKE에 의해 생성됩니다.
패킷이 보호되고 있는지 확인했습니다.
특정 권한이 있는 사용자는 root가 아니어도 이러한 명령을 실행할 수 있습니다.
구성 명령을 실행하려면 Network IPsec Management 권한 프로파일에 지정된 관리자여야 합니다.
IPsec 관련 시스템 파일을 편집하고 키를 만들려면 pfedit 명령을 사용합니다.
hosts 파일을 편집하려면 root 역할이거나 해당 파일을 편집할 수 있는 명시적 권한이 있어야 합니다.
자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
원격으로 관리하는 경우 Example 7–1 및 Oracle Solaris 11.2의 보안 셸 액세스 관리 의 보안 셸을 사용하여 ZFS를 원격으로 관리하는 방법에서 보안 원격 로그인 지침을 참조하십시오.
웹 서버의 경우 이러한 서비스에는 TCP 포트 80(HTTP) 및 443(보안 HTTP)이 포함됩니다. 웹 서버에서 DNS 이름 조회를 제공하는 경우 TCP 및 UDP 모두에 대해 포트 53이 서버에 포함되어야 할 수도 있습니다.
ipsecinit.conf 파일에 다음 라인을 추가합니다.
# pfedit /etc/inet/ipsecinit.conf ... # Web traffic that web server should bypass. {lport 80 ulp tcp dir both} bypass {} {lport 443 ulp tcp dir both} bypass {} # Outbound DNS lookups should also be bypassed. {rport 53 dir both} bypass {} # Require all other traffic to use ESP with AES and SHA-2. # Use a unique SA for outbound traffic from the port {} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
이 구성은 Step 1에서 설명한 우회 예외 사항과 함께 보안 트래픽만 시스템에 액세스할 수 있도록 허용합니다.
# ipsecconf -c /etc/inet/ipsecinit.conf
# svcadm refresh ipsec/policy
ike 서비스를 다시 시작합니다.
# svcadm restart ike:ikev2
키를 수동으로 구성한 경우 IPsec 키를 수동으로 만드는 방법의 지침을 따릅니다.
설정이 완료되었습니다.
다음 행을 원격 시스템의 /etc/inet/ipsecinit.conf 파일에 추가합니다.
## Communicate with web server about nonweb stuff ## {raddr webserver} ipsec {encr_algs aes encr_auth_algs sha512 sa shared}
구문을 확인한 다음 IPsec 정책을 새로 고쳐 활성화합니다.
remote-system # ipsecconf -c /etc/inet/ipsecinit.conf remote-system # svcadm refresh ipsec/policy
원격 시스템은 시스템의 IPsec 정책이 일치할 경우에만 비웹 트래픽에 대해 웹 서버와 안전하게 통신할 수 있습니다.
# ipsecconf -L -n