주:

• 이 자습서에서는 Oracle Cloud에 액세스해야 합니다. 무료 계정에 등록하려면 Oracle Cloud Infrastructure Free Tier 시작하기를 참조하십시오.
• Oracle Cloud Infrastructure 자격 증명, 테넌시 및 구획에 예제 값을 사용합니다. 실습을 완료했으면 이러한 값을 자신의 클라우드 환경과 관련된 값으로 대체하십시오.

pfSense 방화벽을 사용하여 도메인 이름 시스템 아키텍처에 보안 추가

소개

OraStage 재생 에너지 솔루션과 혁신적인 전력 기술을 전문으로 하는 에너지 분야의 선도적인 기업인 이 회사는 성능, 확장성 및 보안을 강화하기 위해 워크로드를 Oracle Cloud Infrastructure(OCI)로 마이그레이션하는 전략적 결정을 발표했습니다.

OraStage에서 설명한 특정 요구 사항과 조건을 고려하면 클라우드에 하이브리드 DNS(Domain Name System) 솔루션이 필요하며, 하이브리드 방식에서는 자체 Berkeley Internet Name Domain 버전 9(BIND9) DNS 시스템을 OCI DNS 서비스와 함께 사용합니다. 여기서 빌드하려는 최종 아키텍처는 다음 이미지에 나와 있습니다.

OraStage DNS 요구 사항:

• 이 회사는 여러 내부 도메인과 하위 도메인을 보유하고 있으며, 이 모든 도메인은 OCI의 BIND9 DNS를 통해 해결되어야 하며, 여기서 OraStage는 모든 관련 영역과 레코드를 관리합니다. 이러한 도메인 중 하나는 이 자습서에서 사용할 orastage.com입니다. 따라서 orastage.com에 대한 질의를 BIND9로 전달해야 합니다.

• 경우에 따라 OCI 네이티브 도메인(oraclevcn.com, oraclecloud.com 등)을 계속 분석해야 하며, 이는 OCI 프라이빗 DNS 구성요소(프라이빗 뷰, 전달 끝점 및 규칙, 수신 끝점)를 사용하여 수행됩니다.

• 모든 질의는 pfSense 방화벽 인스턴스에서 검사해야 합니다.

• 단일 장애 지점을 방지하기 위해 OraStage는 다른 DNS 서버를 사용하고 OCI 로드 밸런서를 활용하여 기본 DNS와 보조 DNS 간에 쿼리를 분산할 계획입니다.

이 자습서 시리즈는 위의 요약된 요구 사항을 충족하고 전체 솔루션을 처음부터 구축할 수 있도록 단계별로 안내합니다. 아래 목록에서 각 자습서로 쉽게 이동할 수 있습니다.

• 자습서 1: OCI에서 BIND9 DNS를 구성합니다. BIND9를 OCI의 두 테스트 환경용 로컬 DNS 서버로 만들어 컴퓨팅 인스턴스에 설치하고 구성하는 방법을 알아봅니다. 이러한 환경은 각각 별도의 스포크 네트워크에서 호스팅되는 "프론트엔드" 및 "백엔드" 서버로 구성됩니다. BIND9 서버는 orastage.com로 지정된 모든 DNS 질의를 처리합니다.

• 자습서 2: OCI의 BIND9 DNS 시나리오에서 고가용성 구현. 이 사용지침서에서는 보조 BIND9 서버를 추가하고 NLB(네트워크 로드 밸런서)를 구성하여 두 서버 간에 DNS 트래픽을 분산하는 방법을 중점적으로 설명합니다. orastage.com에 대한 DNS 질의는 기본 서버와 보조 BIND9 서버 간의 로드 균형을 조정하는 NLB IP로 지정됩니다. 한 서버를 사용할 수 없게 되면 서비스 중단 없이 DNS 확인이 계속됩니다.

• 자습서 3: OCI DNS를 사용하여 네이티브 도메인 확인. oraclevcn.com 및 oraclecloud.com와 같은 네이티브 도메인을 분석해야 하는 경우를 대비해 OCI에서 네이티브 DNS 구성요소를 활용하는 특정 사용 사례에만 집중할 수 있습니다. BIND9 DNS는 이 자습서에서 사용되지 않습니다.

• 자습서 4: pfSense 방화벽을 사용하여 DNS 구조에 보안 추가. OCI의 허브 VCN에 pfSense 방화벽을 설치하는 데 중점을 두고, 검사할 방화벽을 통해 DNS 쿼리를 포함한 모든 동서 트래픽(이전 자습서에서 완료)을 라우팅하는 데 필요한 네트워크 구성을 수행합니다.

개요

이 사용지침서에서는 오픈 소스 방화벽 및 라우터 플랫폼인 pfSense를 활용하여 DNS 아키텍처의 보안을 강화하는 방법에 대해 알아봅니다.

DNS는 네트워크 인프라의 중요한 구성 요소이지만 종종 DNS 스푸핑, 캐시 중독 및 분산 서비스 거부 (DDoS)와 같은 공격에 취약합니다. pfSense를 DNS 보안 수단과 통합하면 강력한 보호 계층을 추가하여 네트워크의 DNS 트래픽이 안전하고 탄력적으로 유지되도록 할 수 있습니다. 따라서 DNS 쿼리를 필터링하고, 악성 도메인을 차단하고, 전반적인 DNS 무결성을 강화하는 방식으로 방화벽을 구성하는 것이 좋습니다.

pfSense 방화벽을 DNS 서버 앞에 배치하면 어떤 이점이 추가됩니까?

• 트래픽 필터링 및 액세스 제어

  • 방화벽은 권한이 부여된 IP 주소 또는 특정 네트워크만 DNS 질의를 보낼 수 있도록 DNS 서버에 대한 액세스를 제한할 수 있습니다. 이렇게 하면 권한이 없는 사용자나 시스템이 서버를 질의하거나 악용하는 것을 방지할 수 있습니다.

  • 액세스 제어 정책을 적용하여 합법적인 DNS 트래픽만 서버에 도달하도록 보장하고 잠재적으로 유해하거나 원치 않는 트래픽을 차단할 수 있습니다.

• DNS 기반 공격으로부터 보호

  • DNS 증폭/반사 공격 방지: 방화벽은 공격자가 스푸핑된 요청을 보내 서버를 압도하는 DNS 증폭 공격을 감지하고 완화할 수 있습니다. 방화벽은 DNS 쿼리 트래픽을 제한하거나 속도를 제한하여 이러한 공격의 영향을 최소화합니다.

  • DNS 스푸핑 방지: 방화벽은 악의적이거나 악의적인 DNS 응답을 차단할 수 있습니다. 이 응답은 DNS 스푸핑 또는 중독 공격으로 사용자를 사기성 웹사이트로 잘못 유도하는 데 사용됩니다.

  • DDoS 완화: 방화벽은 비정상적인 DNS 트래픽 볼륨을 모니터링하고 제한하여 공격자가 DNS 인프라를 압도하지 못하도록 함으로써 분산 서비스 거부(DDoS) 공격에 대한 방어 메커니즘을 제공합니다.

• DNS 쿼리 검사 및 로깅

  • 방화벽은 DNS 쿼리에서 알려진 악성 도메인에 대한 쿼리 등 의심스러운 패턴을 검사할 수 있습니다. DNS 서버에 도달하기 전에 이러한 쿼리를 차단하여 위험한 사이트에 대한 액세스를 방지할 수 있습니다.
  • 감사 목적으로 DNS 쿼리 로그를 기록하여 비정상적인 동작을 감지하거나 잠재적인 보안 인시던트를 보다 효과적으로 조사할 수 있습니다.

• DNS 터널링 방지

  • DNS 터널링은 공격자가 DNS 쿼리를 통해 데이터를 추출하거나 손상된 시스템과 통신하는 데 사용하는 기술입니다. 방화벽은 DNS 터널링 활동을 감지 및 차단하여 중요한 데이터 유출 벡터를 차단할 수 있습니다.

• 비율 제한 및 리소스 보호

  • 방화벽은 단일 소스에서 수신되는 DNS 요청 수(속도 제한)를 제한하여 DNS 서버의 오버로드를 방지할 수 있습니다. 이를 통해 서버의 성능이나 가용성을 저하시킬 수 있는 무차별 DNS 쿼리 공격이나 과도한 DNS 쿼리 공격으로부터 보호할 수 있습니다.

• 네트워크 세분화

  • DNS 서버를 방화벽 뒤에 배치하면 보호된 네트워크 세그먼트(예: DMZ) 내에서 격리하여 DNS 서버가 손상되더라도 공격자의 나머지 네트워크 액세스가 제한되도록 할 수 있습니다.

• 보안 DNS 프로토콜 지원

  • 방화벽은 HTTPS를 통한 DNS(DoH) 또는 TLS를 통한 DNS(DoT)와 같은 보안 DNS 프로토콜을 적용하여 DNS 트래픽이 암호화되도록 할 수 있습니다. 이는 DNS 쿼리 및 응답을 통한 도청 또는 변조를 방지하여 중간 사용자 공격으로부터 사용자를 보호합니다.

• 공격 영역 감소

  • DNS 서버의 실제 IP 주소를 방화벽 뒤에 숨기면 잠재적 공격자에 대한 노출이 줄어듭니다. 방화벽은 중개자 역할을 하여 공용 인터넷과 DNS 인프라 간의 방어 계층을 제공합니다.

전반적으로 방화벽을 DNS 서버 앞에 배치하면 무단 액세스를 방지하고 악의적인 트래픽을 감지하며 광범위한 DNS 관련 위협에 대한 강력한 보호를 제공하여 서버의 보안, 성능 및 복원성이 향상됩니다.

목표

• 이 자습서의 주요 목적은 DNS 쿼리를 포함한 모든 동서 트래픽을 검사할 pfSense 방화벽을 통해 라우팅하는 것입니다. 또한 방화벽의 패킷 캡처 기능을 사용하여 일부 요청을 모니터링합니다.

• 또한 OCI VCN, 특히 pfSense 방화벽 내에서 다른 전용 인스턴스를 관리하기 위한 액세스 지점 역할을 하는 공용 Windows 점프 서버를 배포합니다.

• 이 자습서가 끝나면 허브 및 스포크 네트워크 아키텍처 모델을 구축하는 것이 목표입니다. 이 설정은 허브를 통해 네트워크 간의 라우팅 제어를 중앙 집중화하여 보안을 강화하고 OraStage에 대한 네트워크 관리를 간소화하며 확장성을 높여 회사가 언제든지 기존 허브에 새 네트워크를 추가할 수 있도록 합니다.

참고:

• 이 자습서에서는 DNS 특정 공격에 대한 보호 기능을 다루지 않습니다. 대신 pfSense 방화벽을 배포하고 이를 기존 환경에 통합하여 이를 통해 모든 트래픽을 라우팅하는 데 중점을 둡니다(예: FE-VM - BE-VM, FE-VM - DNS-NLB 등). 방화벽에서 기본 액세스 제어 규칙을 구성하는 방법도 설명합니다.

• OCI Network Firewall 또는 Palo Alto 또는 FortiGate과 같은 마켓플레이스 네트워크 방화벽과 같은 다른 유형의 방화벽 솔루션이 이미 마련되어 있더라도 이 자습서를 계속 사용할 수 있습니다.

최종 아키텍처

필요 조건

• OCI 테넌시 및 필요한 네트워크, 컴퓨트 및 오브젝트 스토리지 서비스를 관리할 수 있는 권한에 액세스합니다.

• OCI 네트워크 라우팅 및 보안과 기능에 대한 기본적인 이해: VCN(가상 클라우드 네트워크), 라우트 테이블, DRG(동적 라우팅 게이트웨이), 보안 목록, 배스천 및 OCI 네트워크 로드 밸런서.

• 일반적으로 DNS에 대한 기본적인 이해.

• 다음 자습서를 완료해야 합니다.

  1. Oracle Cloud Infrastructure에서 BIND9 도메인 이름 시스템을 구성합니다.
  2. Oracle Cloud Infrastructure의 BIND9 Domain Name System에서 고가용성 구현
  3. Oracle Cloud Infrastructure DNS를 사용하여 네이티브 도메인 해결.

• 하나의 VCN이 필요합니다. VCN 내에서 필요한 모든 기본 구성 요소를 가져와서 DRG에 연결할 수 있도록 마법사를 사용하여 생성해야 합니다. 자세한 내용은 작업 1.3: DRG에 VCN 연결을 참조하십시오.

  • 허브-VCN: 퍼블릭 서브넷이 점프 서버를 호스트하고 프라이빗 서브넷이 pfSense 방화벽을 호스트합니다.

• 위의 필요 조건에 따라 이미 다음 구조를 구축했어야 합니다.

작업 1: 경로 지정 및 보안 네트워크 구성 요소 설정

작업 1.1: 가상 클라우드 네트워크 생성(허브 VCN)

Hub-Private-Subnet(10.4.0.0/24) 및 Hub-Public-Subnet(10.4.1.0/24)을 포함하는 Hub-VCN(10.4.0.0/16)이 이미 생성되어 있는지 확인하세요.

• 왼쪽 상단 모서리에서 햄버거 메뉴 (≡)를 클릭합니다.

  

  1. 네트워킹을 누릅니다.
  2. 가상 클라우드 네트워크를 누릅니다.

  

• 앞에서 언급한 대로 VCN이 제자리에 표시되므로 마법사를 사용하여 생성해야 하므로 기본적으로 다음 구성요소가 제공됩니다. 게이트웨이 3개, 라우트 테이블이 있는 공용 서브넷 1개, 보안 목록이 연결된 공용 서브넷 1개, 라우트 테이블과 보안 목록이 연결된 전용 서브넷 1개.

참고:

• 이제부터 경로 테이블 및 보안 목록 구성의 일부 부분 내에서 모든 네트워크(DNS-VCN(10.0.0.0/16), Frontend-VCN(10.1.0.0/16), 백엔드-VCN(10.2.0.0/16), LSN-VCN(10.3.0.0/16), 허브-VCN(10.4.0.0/16))을 하나의 주소 블록(10.0.0.0/8)으로 집계하여 관리가 용이해지므로 규칙 수가 줄어듭니다.

• 일부 시나리오에서는 허브 및 스포크 토폴로지 내에서 더 나은 보안을 위해 트래픽이 방화벽을 통과하기 위해 스포크 네트워크가 허브 네트워크에서 인터넷에 액세스해야 할 수 있습니다. 따라서 스포크 서브넷 레벨에서 모든 트래픽을 DRG로 라우팅하려고 합니다. 그러나 이 튜토리얼에서는 인터넷 액세스 시나리오를 시연하지 않습니다.

작업 1.2: 허브-VCN에 대한 경로 지정 및 보안 구성

• 이 작업은 두 서브넷 각각에서 수행해야 합니다. VCN 페이지로 이동하여 허브-VCN을 누릅니다.

  

• 퍼블릭 서브넷부터 시작하겠습니다. 눌러 주십시오.

  

• 지정된 경로 테이블인 경로 테이블을 누릅니다.

• 다음 규칙을 추가합니다.

  • 0.0.0.0/0 - 인터넷 게이트웨이: 인터넷에 양방향으로 액세스할 수 있습니다. 공용 IP 주소를 사용하여 점프 서버에 액세스하려면 이 주소가 필요합니다.

  

• 퍼블릭 서브넷에 대한 보안을 수행합니다. 서브넷 세부정보 페이지로 이동하여 지정된 보안 목록을 누릅니다.

• 어디에서나 수신 트래픽 허용: RDP 트래픽(TCP/포트 3389)

  

• 모든 송신 트래픽을 허용합니다.

  

• VCN 페이지로 돌아가서 전용 서브넷을 누릅니다.

  

• 지정된 경로 테이블인 경로 테이블을 누릅니다.

• 다음 규칙을 추가합니다.

  • 0.0.0.0/0 - NAT 게이트웨이: 인터넷에 단방향으로 액세스하려면 필요한 경우 패키지 또는 패치를 설치합니다. 이 자습서에는 중요한 구성 요소가 아니지만 pfSense에 인터넷 액세스가 필요한 경우 사용하는 것이 좋습니다.

  • 10.0.0.0/8 - DRG: Frontend-VCN, Backend-VCN, DNS-VCN 또는 LSN-VCN으로 향하는 트래픽을 DRG로 라우팅합니다. 방화벽이 트래픽 검사를 통해 수행될 때와 마찬가지로 허용된 트래픽을 전달하여 이 라우트 테이블을 사용하여 DRG로 전송합니다.

  

• 프라이빗 서브넷에 대한 보안을 수행합니다. 서브넷 세부정보 페이지로 이동하여 지정된 보안 목록을 누릅니다.

  

• 수신 트래픽 허용: Frontend-VCN, Backend-VCN, DNS-VCN 및 LSN-VCN의 모든 트래픽 유형입니다.

  

• 모든 송신 트래픽을 허용합니다.

  

작업 1.3: LSN-VCN에 대한 경로 지정 및 보안 구성

• 이 작업은 서브넷 레벨에서 수행해야 합니다. VCN 페이지로 이동하여 LSN-VCN을 누릅니다.

  

• 전용 서브넷을 누릅니다.

  

• 지정된 경로 테이블인 경로 테이블을 누릅니다.

  

• 모든 규칙을 삭제할 것입니다.

  

• 다음 규칙을 모두 하나의 규칙으로 바꿉니다.

  • 0.0.0.0/0 - DRG: 다른 모든 VCN으로 이동하는 트래픽과 인터넷으로 이동하는 트래픽을 포함하는 모든 트래픽을 DRG로 라우팅합니다.

  

• 이제 보안을 하자. 서브넷 세부정보 페이지로 이동하여 지정된 보안 목록을 누릅니다.

  

• DNS 트래픽을 허용하는 모든 수신 규칙이 삭제됩니다.

  

• 다음 규칙을 이 두 가지 규칙으로만 대체합니다.

  

  주: 송신 규칙에서 아무것도 변경하지 마십시오.

작업 1.4: DNS-VCN에 대한 경로 지정 및 보안 구성

• 이 작업은 서브넷 레벨에서 수행해야 합니다. VCN 페이지로 이동하여 DNS-VCN을 누릅니다.

  

• 전용 서브넷을 누릅니다.

  

• 지정된 경로 테이블인 경로 테이블을 누릅니다.

  

• 다음 규칙을 모두 삭제합니다.

  

• 다음 규칙을 하나의 규칙으로만 바꿉니다.

  • 0.0.0.0/0 - DRG: 다른 모든 VCN으로 이동하는 트래픽과 인터넷으로 이동하는 트래픽을 포함하는 모든 트래픽을 DRG로 라우팅합니다.

  

• 이제 보안을 하자. 서브넷 세부정보 페이지로 이동하여 지정된 보안 목록을 누릅니다.

  

• DNS 트래픽을 허용하는 모든 수신 규칙이 삭제됩니다.

  

• 다음 규칙을 이 두 가지 규칙으로만 대체합니다.

  

  주: 송신 규칙에서 아무것도 변경하지 마십시오.

작업 1.5: 프론트엔드-VCN에 대한 경로 지정 및 보안 구성

• 이 작업은 서브넷 레벨에서 수행해야 합니다. VCN 페이지로 이동하여 프론트엔드-VCN을 누릅니다.

  

• 전용 서브넷을 누릅니다.

  

• 지정된 경로 테이블인 경로 테이블을 누릅니다.

  

• 다음 규칙을 모두 삭제합니다.

  

• 다음 규칙을 이 두 가지 규칙으로 대체합니다.

  • 0.0.0.0/0 - DRG: 다른 모든 VCN으로 이동하는 트래픽과 인터넷으로 이동하는 트래픽을 포함하는 모든 트래픽을 DRG로 라우팅합니다.

  • Oracle Services Network의 모든 LIN 서비스 - 서비스 게이트웨이: 밀라노 지역의 Oracle 서비스에 대한 액세스를 제공하려면 그렇지 않은 경우 OCI Bastion 서비스와의 연결을 유지하는 데 필요합니다. 여기에 인터넷 또는 Oracle 서비스에 액세스하기 위한 규칙이 있으면 배스천을 사용하여 FE-VM에 액세스할 수 없는 배스천 플러그인에 오류가 발생합니다.

  

  주: 수신 및 송신 규칙에서 아무것도 변경하지 마십시오.

작업 1.6: 백엔드 VCN에 대한 경로 지정 및 보안 구성

• 이 작업은 서브넷 레벨에서 수행해야 합니다. VCN 페이지로 이동하여 백엔드-VCN을 누릅니다.

  

• 전용 서브넷을 누릅니다.

  

• 지정된 경로 테이블인 경로 테이블을 누릅니다.

  

• 다음 규칙을 모두 삭제합니다.

  

• 다음 규칙을 이 두 가지 규칙으로 대체합니다.

  • 0.0.0.0/0 - DRG: 다른 모든 VCN으로 이동하는 트래픽과 인터넷으로 이동하는 트래픽을 포함하는 모든 트래픽을 DRG로 라우팅합니다.

  • Oracle Services Network의 모든 LIN 서비스 - 서비스 게이트웨이: 밀라노 지역의 Oracle 서비스에 대한 액세스를 제공하려면 그렇지 않은 경우 OCI Bastion 서비스와의 연결을 유지하는 데 필요합니다. 여기에 인터넷 또는 Oracle 서비스에 액세스하기 위한 규칙이 있으면 배스천을 사용하여 BE-VM에 액세스할 수 없는 배스천 플러그인에 오류가 발생합니다.

  

주: 수신 및 송신 규칙에서 아무것도 변경하지 마십시오.

작업 1.7: DRG에서 Spoke VCN 경로 지정 구성

이 작업의 목적은 네트워크(DNS/LSN/프론트엔드/백엔드)에서 전송되고 DRG에서 수신된 모든 트래픽이 허브로 라우팅되도록 하여 방화벽에서 검사하도록 하는 것입니다.

• 왼쪽 상단 모서리에서 햄버거 메뉴 (≡)를 클릭합니다.

  

  1. 네트워킹을 누릅니다.
  2. 동적 경로 지정 게이트웨이를 누릅니다.

  

• DRG를 누릅니다.

  

  1. VCN 연결을 누릅니다. VCN 연결은 VCN을 DRG에 연결하여 VCN과 외부 네트워크 또는 다른 VCN 간의 네트워크 트래픽을 활성화하는 링크를 나타냅니다.
  2. 모든 VCN이 연결되어 있음을 알게 될 것입니다.

  

  1. DRG 경로 테이블을 누릅니다.
  2. Create DRG route table을 누릅니다.
  3. 경로 테이블의 이름을 입력합니다.
  4. 경로 규칙 추가: 모든 항목을 허브 연결로 경로 지정하는 0.0.0.0/0 및 허브 VCN 연결을 선택합니다.
  5. Create DRG route table을 누릅니다.
  6. 경로 테이블이 성공적으로 생성되었습니다.

  

  

  

• 백엔드 VCN 연결부터 모든 스포크 VCN 연결에 경로 테이블을 지정하고 누릅니다.

  

  1. 편집을 누릅니다.
  2. 고급 옵션 표시를 누릅니다.
  3. DRG 경로 테이블을 누릅니다.
  4. Spoke-DRG-RT를 선택합니다.
  5. 변경사항 저장을 누릅니다.
  6. DRG 경로 테이블이 백엔드 VCN 연결에 성공적으로 지정되었습니다. 이제 백엔드-VCN에서 DRG로 전송되는 모든 트래픽이 허브-VCN으로 경로 지정됩니다.

  

  

  

• 나머지 첨부 파일에 대해 1-6단계를 반복합니다.

  

작업 2: Windows 점프 서버 프로비전

• 이 작업에서는 새 Windows 컴퓨팅 인스턴스를 프로비저닝하고 이를 사용하여 다른 전용 리소스와 연결합니다. 의도된 용도는 다음과 같습니다.

  • (필수) 브라우저(HTTP/S)를 통해 pfSense 방화벽에 액세스하고 관리합니다.

  • (선택사항) FE-VM 인스턴스에 액세스하여 테스트를 수행합니다. OCI Bastion 서비스를 사용하거나 이 서버를 새로운 점프 박스로 사용할 수 있습니다.

• 왼쪽 상단 모서리에서 햄버거 메뉴 (≡)를 클릭합니다.

  

  1. Compute(컴퓨트)를 누릅니다.
  2. 인스턴스를 누릅니다.

  

• 인스턴스 생성을 누릅니다.

  

• 인스턴스 이름을 입력합니다.

  

  1. 이미지 변경을 누릅니다.
  2. Windows를 선택합니다.
  3. Windows Server 2016 Standard 이미지를 선택합니다.
  4. 사용 약관에 동의하려면 선택합니다.
  5. 이미지 선택을 누릅니다.
  6. 인스턴스의 OS(운영체제)가 Windows Server 2016 Standard로 성공적으로 변경되었습니다.

  

  

  

• 기본 VNIC 정보 섹션에 다음 정보를 입력합니다.

  1. 허브-VCN을 선택합니다.
  2. 인스턴스에 공용 IP 주소가 할당되도록 공용 서브넷을 선택합니다.
  3. 인스턴스에 전용 IP 주소 10.4.1.5을 지정합니다.

  

  

  1. Windows 시스템을 만들 때 인스턴스 생성 후 초기 비밀번호가 생성됨을 알리는 메모가 표시됩니다. 차이점은 Linux OS와 SSH 키가 인증에 사용되는 경우입니다.
  2. Create를 누릅니다.

  

• 점프 서버 컴퓨트 인스턴스가 성공적으로 생성되었습니다. 인스턴스에 액세스할 때 다음 세부정보를 기록해 두십시오.

  1. 퍼블릭 IP 주소.
  2. 사용자 이름.
  3. 초기 비밀번호.

  

• Windows 개인용 컴퓨터에서 점프 서버에 액세스하려면 원격 데스크톱 접속을 열고 인스턴스의 공용 IP를 입력한 다음 접속을 누릅니다.

  

• 예를 누릅니다.

  

• 인스턴스 페이지에 제공된 초기 비밀번호를 입력하고 다음을 누릅니다.

  

• 로그인하기 전에 비밀번호를 변경하고 확인을 눌러야 합니다.

  

• 새 비밀번호를 두 번 입력합니다.

  

• 비밀번호가 성공적으로 변경되었습니다. 계속하려면 확인을 누르십시오.

  

• 새 암호를 입력하고 Next를 누릅니다.

  

• 점프 서버에 성공적으로 접속되었습니다.

  

• 아키텍처는 다음 그림과 같이 표시되어야 합니다.

  

작업 3: pfSense 방화벽 설치 및 구성

주: 이미 다른 유형의 방화벽 솔루션이 있는 경우 작업 3.1을 3.7로 건너뛰고 3.8을 진행할 수 있습니다.

작업 3.1: pfSense 이미지 다운로드

• Netgate 웹 사이트에서 pfSense 이미지를 다운로드합니다. memstick-serial 버전을 다운로드해야 합니다. 사용 중인 이미지의 파일 이름은 pfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img.gz입니다. 자세한 내용은 Netgate을 참조하십시오.

  

• 설치된 파일은 .gz 형식입니다. 추출한 후 이미지 파일 이름은 pfSense-CE-memstick-serial-2.7.2-RELEASE-amd64.img입니다.

  

작업 3.2: OCI 오브젝트 스토리지 버킷 생성

이 작업에서는 pfSense 이미지를 업로드하는 데 사용할 OCI Object Storage 버킷을 생성하고 이 객체 이미지를 사용하여 OCI에서 사용자정의 이미지를 생성합니다.

• 왼쪽 상단 모서리에서 햄버거 메뉴 (≡)를 클릭합니다.

  

  1. Storage를 누릅니다.
  2. 버킷을 누릅니다.

  

  1. 버킷 생성을 누릅니다.
  2. 버킷 이름을 입력합니다.
  3. 표준 스토리지 계층을 기본 스토리지 계층으로 선택합니다.
  4. 생성을 누릅니다.

  

  

• 저장 영역 버킷이 생성된 것을 확인할 수 있습니다.

  

작업 3.3: pfSense 이미지를 저장 영역 버킷에 업로드

• 버킷 세부정보 페이지로 이동합니다.

  1. 버킷 페이지에서 아래로 스크롤합니다.
  2. 업로드를 누릅니다.

  

• 객체 업로드 페이지에서 다음 정보를 입력합니다.

  1. 파일 선택을 누르고 pfSense 이미지를 선택합니다.
  2. 업로드를 누릅니다.

  

• pfSense 이미지를 스토리지 버킷으로 업로드하는 동안 진행률을 모니터할 수 있습니다.

  

  1. pfSense 이미지가 완전히 업로드되면 진행 상태가 완료됨이 됩니다.
  2. 닫기를 누릅니다.

  

작업 3.4: 사용자 정의 이미지 만들기

pfSense 이미지를 업로드했습니다. 이제 OCI 커스텀 이미지를 생성해야 합니다. 이 사용자정의 이미지는 pfSense 방화벽 인스턴스를 생성하는 데 사용됩니다.

• 왼쪽 상단 모서리에서 햄버거 메뉴 (≡)를 클릭합니다.

  

  1. Compute(컴퓨트)를 누릅니다.
  2. 사용자 정의 이미지를 누릅니다.

  

• 이미지 임포트를 누릅니다.

• 이미지 임포트 페이지에서 다음 정보를 입력합니다.

  1. 이름을 입력하십시오.
  2. Generic Linux를 Operating system으로 선택합니다.
  3. 오브젝트 스토리지 버킷에서 임포트를 선택합니다.
  4. 이미지를 업로드한 스토리지 버킷을 선택합니다.
  5. 객체 이름에서 버킷에 업로드한 객체(pfSense 이미지)를 선택합니다.
  6. VMDK를 이미지 유형으로 선택합니다.
  7. 반가상화 모드를 선택합니다.
  8. 이미지 임포트를 누릅니다.

  

  

• 사용자 정의 이미지는 IMPORTING입니다.

  

• 몇 분 후 상태는 AVAILABLE입니다.

  

작업 3.5: 사용자 정의 pfSense 이미지로 인스턴스 생성

• 왼쪽 상단 모서리에서 햄버거 메뉴 (≡)를 클릭합니다.

  

  1. Compute(컴퓨트)를 누릅니다.
  2. 인스턴스를 누릅니다.

  

• 인스턴스 생성을 누릅니다.

  

• 방화벽 인스턴스에 대한 이름을 입력합니다.

  

  1. 이미지 변경을 누릅니다.
  2. 내 이미지를 선택합니다.
  3. 사용자정의 이미지를 누릅니다.
  4. 작업 3.4에서 만든 사용자 정의 이미지를 선택합니다.
  5. 이미지 선택을 누릅니다.
  6. pfSense 이미지가 선택되어 있습니다.

  

  

  

• 기본 VNIC 정보 섹션에 다음 정보를 입력합니다.

  1. 허브-VCN을 선택합니다.
  2. 프라이빗 서브넷을 선택합니다.
  3. 인스턴스에 전용 IP 주소 10.4.0.5을 지정합니다.

  

  

  1. No SSH Keys를 선택합니다.
  2. Create를 누릅니다.

  

• pfSense 방화벽 컴퓨트 인스턴스가 성공적으로 생성됩니다.

  

작업 3.6: 인스턴스에 pfSense 설치

pfSense 방화벽의 초기 설치 및 설정을 수행해야 합니다. 이미 실행 중인 인스턴스가 있습니다.

• pfSense 방화벽 소프트웨어를 설치하려면 콘솔 접속을 생성해야 합니다. 방화벽 인스턴스 페이지에서 아래로 스크롤합니다.

  1. 콘솔 연결을 누릅니다.
  2. Launch Cloud Shell connection을 누릅니다.

  

• 몇 가지 시작 메시지가 나타납니다. ENTER 키를 누릅니다.

  

• 저작권 메시지를 읽고 Accept를 선택하고 ENTER를 누릅니다.

  

  1. Install pfSense를 선택합니다.
  2. OK를 선택하고 ENTER를 누릅니다.

  

  1. Manual Disk Setup (experts)을 선택합니다.
  2. OK를 선택하고 ENTER를 누릅니다.

  

  1. da0 - 47GB MBR을 선택합니다.
  2. Create를 선택하고 ENTER를 누릅니다.

  

  1. 유형에 freebsd를 입력합니다.
  2. 크기에 46GB를 입력합니다.
  3. Mountpoint(마운트 지점)를 입력합니다.
  4. OK를 선택하고 ENTER를 누릅니다.

  

  1. da0s4에서 46GB BSD를 선택합니다.
  2. Create를 선택하고 ENTER를 누릅니다.

  

  1. 유형에 freebsd-ufs를 입력합니다.
  2. 크기에 40GB를 입력합니다.
  3. Mountpoint(마운트 지점)에 /를 입력합니다.
  4. OK를 선택하고 ENTER를 누릅니다.

  

  1. /에 대해 마운트 지점이 만들어집니다.
  2. da0s4에 46GB BSD를 입력합니다.
  3. Create를 선택하고 ENTER를 누릅니다.

  

  1. 유형에 freebsd-swap을 입력합니다.
  2. 크기에 5670MB를 입력합니다.
  3. Mountpoint(마운트 지점)를 입력합니다.
  4. OK를 선택하고 ENTER를 누릅니다.

  

  1. 스왑에 대한 마운트 지점이 만들어집니다.
  2. Finish를 선택하고 ENTER를 누릅니다.

  

• Commit을 선택하고 ENTER를 누릅니다.

  

  

• Reboot를 선택하고 ENTER를 누릅니다.

  

• 처음 재부트하면 WAN 인터페이스를 구성하는 몇 가지 구성 옵션이 제공됩니다. Should VLANS be set up에 대해 n을 입력하고 ENTER를 누릅니다.

  

• WAN 인터페이스 이름 입력 또는 자동 감지(vtnet0 또는 a)의 경우 'a'에 vtnet0를 입력합니다.

  

• 이 설정에서는 인터페이스가 하나뿐인 방화벽을 만들고 있으므로 LAN 인터페이스를 구성하지 않습니다. 따라서 ENTER the LAN interface name or 'a' for auto-detection에 대해 ENTER를 눌러 이 인터페이스 설정을 건너뜁니다.

  

  1. WAN 인터페이스 이름을 확인합니다.
  2. Do you want to continue에 y를 입력하고 ENTER를 누릅니다.

  

• 일부 메시지가 표시되고 구성이 수행됩니다. pfSense OS가 전체 부트를 수행합니다.

  1. IP 주소가 DHCP를 사용하여 구성됨을 알 수 있습니다.
  2. 몇 가지 기본 구성을 추가로 수행하려면 pfSense 메뉴를 참조하십시오.

  

• 아키텍처는 다음 그림과 같이 표시되어야 합니다.

  

작업 3.7: pfSense GUI(웹 그래픽 사용자 인터페이스)에 연결하고 초기 설정을 완료합니다.

설치가 완료되었습니다. 이제 pfSense 방화벽의 웹 GUI에 연결해야 합니다. 하지만 그 전에 Hub-Public-Subnet에서 오는 HTTP/HTTPS 트래픽이 여기에 배치된 Jump-Server의 방화벽 GUI에 연결되도록 허용해야 합니다. 이미 모든 VCN(10.0.0.0/8)의 모든 트래픽이 작업 1.2의 방화벽을 통과하도록 허용했습니다.

• pfSense 방화벽 IP 주소를 입력합니다.

  1. Windows 인스턴스에서 브라우저를 열고 HTTPS를 사용하여 pfSense 방화벽 IP로 이동합니다.
  2. 고급을 누릅니다.

  

• 계속을 누릅니다.

  

  1. 기본 유저 이름으로 admin을 입력합니다.
  2. 기본 암호로 pfsense를 입력합니다.
  3. 사인인을 누릅니다.

  

• 다음을 누릅니다.

  

• 다음을 누릅니다.

  

  1. 호스트 이름을 입력합니다.
  2. 도메인 이름을 입력하거나 도메인 이름을 기본값으로 유지하십시오.
  3. 아래로 스크롤하여 Next를 누릅니다.

  

• 다음을 누릅니다.

  

  주: 이 경우 작동 방식은 Oracle이 DHCP 서버에 정적 IP를 예약하고 이 주소를 pfSense 방화벽에 지정한다는 것입니다. 따라서 pfSense 방화벽은 항상 동일한 IP 주소를 얻지만 OCI 관점에서 정적 IP이며 pfSense 관점에서 DHCP 주소가 됩니다.

  1. WAN 인터페이스 구성 섹션에서 DHCP를 선택합니다.
  2. 아래로 스크롤하여 다른 모든 항목을 기본값으로 유지하고 다음을 누릅니다.

  

  1. 새 관리자 비밀번호를 입력하십시오.
  2. Admin Password AGAIN을 입력합니다.
  3. 다음을 누릅니다.

  

• 재로드를 누릅니다.

  

• pfSense 방화벽 구성이 다시 로드되고 있습니다.

  

• 아래로 스크롤하여 완료를 누릅니다.

  

• 허용을 누릅니다.

  

• 닫기를 누릅니다.

  

  pfSense 방화벽이 인터넷에 연결할 수 없는 경우 대시보드 페이지를 로드하는 데 약간의 시간이 걸립니다. 그러나 pfSense가 작업 1.2에서 이미 수행한 OCI NAT 게이트웨이를 사용하여 인터넷에 액세스하도록 허용하면 이 문제를 해결할 수 있습니다. 이 이미지에는 pfSense가 설치되어 있고 대시보드가 표시됩니다.

  

작업 3.8: 트래픽을 pfSense 방화벽으로 라우팅

작업 1에서는 스포크에서 전송된 모든 트래픽이 허브 네트워크(녹색 화살표)로 들어가도록 강제하는 방식으로 VCN 및 DRG에서 라우팅을 구성했습니다. 이 작업은 이 모든 트래픽을 pfSense 방화벽(빨간색 화살표)으로 경로 지정하는 방법에 대한 답변을 제공합니다.

수신 경로 테이블(전송 경로 테이블)을 생성하여 이 작업을 수행합니다. 기본적으로 VCN 레벨에서 생성하는 경로 테이블이지만, 허브로 들어가는 트래픽이 선택한 특정 대상(시나리오의 경우 pfSense 방화벽)으로 경로 지정되도록 DRG에서 지정합니다.

• pfSense 방화벽 인스턴스로 이동합니다.

  1. Compute(컴퓨트)를 누릅니다.
  2. 인스턴스를 누릅니다.

  

• Firewall(방화벽)을 누릅니다.

  

• 아래로.

  1. Attached VNICs(연결된 VNIC)를 누릅니다.
  2. 세 점을 클릭합니다.
  3. Edit VNIC(VNIC 편집)를 누릅니다.
  4. 소스/대상 검사 건너뛰기를 선택합니다. 이 단계를 놓친 경우 경로 규칙을 작성할 때 문제가 발생합니다.
  5. 변경사항 저장을 누릅니다.

  

  

• VCN 페이지로 이동하여 허브-VCN을 입력합니다.

  

• 아래로.

  1. 경로 테이블을 누릅니다.
  2. 경로 테이블 생성을 누릅니다.
  3. 경로 테이블에 대한 이름을 입력합니다.
  4. 다른 경로 규칙을 누릅니다.
  5. Private IP를 Target Type으로 선택합니다.
  6. 0.0.0.0/0을 대상 CIDR 블록으로 입력합니다.
  7. pfSense의 Private IP를 입력합니다.
  8. Create를 누릅니다.
  9. 경로 테이블이 성공적으로 생성되었습니다. 이제 지정해야 합니다.

  

  

  

  

• DRG 페이지로 이동하여 허브 VCN 연결을 누릅니다.

  

• 편집을 누릅니다.

  

• 고급 옵션 표시를 누릅니다.

  

  1. VCN 경로 테이블을 누릅니다.
  2. 경로 테이블 연관에서 기존 항목 선택을 선택합니다.
  3. 생성한 경로 테이블을 선택합니다.
  4. 변경사항 저장을 누릅니다.

  

• VCN 경로 테이블이 성공적으로 지정되었습니다.

  

  주: DRG 연결에서 두 가지 유형의 경로 테이블을 지정할 수 있습니다.

  1. DRG 경로 테이블: 작업 1.7에서 스포크 연결에 대해 생성한 테이블입니다. 이 테이블은 VCN 연결을 전송할 때마다 확인됩니다.
  2. VCN 라우트 테이블: 이 작업 3.8에서 생성한 라우트 테이블입니다. 이 테이블은 트래픽이 수신되고 VCN 연결 내부로 전송될 때 확인됩니다.

• 이 단계에서는 모든 OCI 관련 구성을 완료하여 이 아키텍처에서 두 리소스 간의 트래픽이 먼저 검사를 위해 pfSense를 통해 경로 지정되도록 합니다. 이제 FE-VM에서 BE-VM을 핑하여 빠른 테스트를 수행했다면 어떻게 작동합니까?

  

  관찰한 바와 같이, pfSense는 사용자가 명시적으로 허용할 때까지 발생하는 모든 트래픽을 차단하며, 향후 작업에서 이 작업을 수행합니다.

작업 3.9: 트래픽이 pfSense를 통과하도록 허용

이 자습서에서는 pfSense의 두 가지 기능을 활용하려고 합니다.

• 액세스 규칙: 프로토콜, 포트 번호, 소스 주소 및 대상 주소를 기준으로 트래픽을 허용하거나 거부합니다.

• 패킷 캡처: IP 주소, 패킷 유형, 포트 번호 등을 기준으로 필터를 적용하여 방화벽이 검사할 패킷 레벨에서 수신 및 송신 트래픽을 분석합니다.

pfSense를 사용하면 더 많은 작업을 수행할 수 있지만 OCI에서 pfSense를 설치하고 기존 네트워크 아키텍처에 통합하여 OCI에서 적절한 라우팅 및 보안을 구현하는 데 중점을 둡니다.

• 이 작업에서는 일부 시나리오에서 필요한 트래픽을 허용하려고 합니다. 이 자습서 시리즈의 농도는 DNS에 있으므로 추가되는 규칙은 특히 DNS 트래픽(Native 및 BIND9 기반)과 관련이 있습니다. 이제 pfSense 웹 관리 인터페이스로 이동합니다.

  1. Firewall(방화벽)을 누릅니다.
  2. 규칙을 누릅니다.

  

• pfSense 방화벽의 기본 규칙을 확인합니다.

  

첫번째 규칙(선택 사항):

• 접속 세부 정보.

  • 출처: 점프 서버(10.4.1.5).
  • 대상: FE-VM(10.1.0.5).
  • 프로토콜: SSH.
  • 포트 번호: 22.
  • 조치: 통과.
  • 정당화: 점프 서버에서 FE-VM에 액세스하려고 합니다. 배스천을 사용하여 연결할 수 있으므로 이 규칙은 선택적 규칙입니다.

• 추가를 누릅니다.

  

  1. 작업을 선택하여 통과합니다.
  2. 프로토콜 - TCP를 선택합니다.
  3. Source Address를 10.4.1.5로 입력합니다.
  4. 대상 주소를 10.1.0.5에 입력합니다.
  5. Destination Port를 22에 입력합니다.
  6. Save를 누릅니다.
  7. 변경사항 적용을 누릅니다.
  8. 변경 사항이 성공적으로 적용되었음을 나타내는 메시지가 표시됩니다.
  9. 규칙이 추가되었습니다.

  

  

  

  

두번째 규칙:

• 접속 세부 정보.

  • 출처: FE-VM(10.1.0.5).
  • 대상: BE-VM(10.2.0.5).
  • 프로토콜: ICMP.
  • 조치: 통과.
  • 정당화: 테스트 목적으로 BE-VM에 대해 FE-VM을 사용으로 설정해야 합니다.

• 추가를 누릅니다.

  

  1. 작업을 선택하여 통과합니다.
  2. 프로토콜에서 ICMP로, 하위유형에서 임의로 선택합니다.
  3. Source Address를 10.1.0.5로 입력합니다.
  4. 대상 주소를 10.2.0.5에 입력합니다.
  5. Save를 누릅니다.
  6. 변경사항 적용을 누릅니다.
  7. 변경 사항이 성공적으로 적용되었음을 나타내는 메시지가 표시됩니다.
  8. 규칙이 추가되었습니다.

  

  

  

  

세번째 규칙:

• 접속 세부 정보.

  • 출처: Frontend-VCN(10.1.0.6)을 전달합니다.
  • 대상: LSN(10.3.0.6).
  • 프로토콜: TCP 및 UDP.
  • 포트 번호: 53.
  • 조치: 통과.
  • 정당화: FE-VM이 BE-VM(be-vm.beprivatesubnet.backendvcn.oraclevcn.com)을 해결할 수 있도록 하려고 합니다. 이를 위해서는 Frontend-VCN이 리스너를 질의할 수 있어야 합니다. 따라서 DNS 트래픽이 허용되어야 합니다.

• 추가를 누릅니다.

  

  1. 작업을 선택하여 통과합니다.
  2. Protocol to TCP/UDP을 선택합니다.
  3. Source Address를 10.1.0.6로 입력합니다.
  4. 대상 주소를 10.3.0.6에 입력합니다.
  5. Destination Port를 53에 입력합니다.
  6. Save를 누릅니다.
  7. 변경사항 적용을 누릅니다.
  8. 변경 사항이 성공적으로 적용되었음을 나타내는 메시지가 표시됩니다.
  9. 규칙이 추가되었습니다.

  

  

  

  

네 번째 규칙:

• 접속 세부 정보.

  • 출처: Frontend-VCN(10.1.0.6)을 전달합니다.
  • 대상: DNS-NLB(10.0.0.110).
  • 프로토콜: TCP 및 UDP.
  • 포트 번호: 53.
  • 조치: 통과.
  • 정당화: FE-VM이 BE-VM(be.orastage.com)을 해결할 수 있도록 하려고 합니다. 이를 위해 Frontend-VCN은 DNS-NLB를 쿼리할 수 있어야 하며, 이로 인해 트래픽이 백엔드 BIND9 DNS 서버 중 하나로 전송됩니다. 따라서 DNS 트래픽이 허용되어야 합니다.

• 추가를 누릅니다.

  

  1. 작업을 선택하여 통과합니다.
  2. Protocol to TCP/UDP을 선택합니다.
  3. Source Address를 10.1.0.6로 입력합니다.
  4. 대상 주소를 10.0.0.110에 입력합니다.
  5. Destination Port를 53에 입력합니다.
  6. Save를 누릅니다.
  7. 변경사항 적용을 누릅니다.
  8. 변경 사항이 성공적으로 적용되었음을 나타내는 메시지가 표시됩니다.
  9. 규칙이 추가되었습니다.

  

  

  

  

다섯 번째 규칙:

• 접속 세부 정보.

  • 출처: 백엔드-VCN 전방(10.2.0.6)
  • 대상: LSN(10.3.0.6).
  • 프로토콜: TCP 및 UDP.
  • 포트 번호: 53.
  • 조치: 통과.
  • 정당화: BE-VM이 FE-VM(fe-vm.feprivatesubnet.frontendvcn.oraclevcn.com)을 분석할 수 있도록 합니다. 이를 위해서는 백엔드-VCN이 리스너를 쿼리할 수 있어야 합니다. 따라서 DNS 트래픽이 허용되어야 합니다.

  참고: 세번째 규칙에서 수행한 단계를 반복합니다. 그러나 이번에는 소스가 백엔드-VCN(10.2.0.6)과 다릅니다.

여섯 번째 규칙:

• 접속 세부 정보.

  • 출처: 백엔드-VCN 전방(10.2.0.6)
  • 대상: DNS-NLB(10.0.0.110).
  • 프로토콜: TCP 및 UDP.
  • 포트 번호: 53.
  • 조치: 통과.
  • 정당화: BE-VM이 FE-VM(fe.orastage.com)을 분석할 수 있도록 합니다. 이를 위해서는 백엔드-VCN이 DNS-NLB를 쿼리할 수 있어야 합니다. 이로 인해 백엔드 BIND9 DNS 서버 중 하나로 트래픽이 전송됩니다. 따라서 DNS 트래픽이 허용되어야 합니다.

  참고: 네번째 규칙에서 수행한 단계를 반복합니다. 그러나 이번에는 소스가 백엔드-VCN(10.2.0.6)과 다릅니다.

작업 4: 테스트 및 검증

• FE-VM 인스턴스에서만 테스트합니다.

  주:(선택사항) Windows 점프 서버를 사용하여 FE-VM에 연결하려고 합니다. 원하는 경우 배스천을 통해 연결할 수 있습니다.

  1. OCI Cloud Shell에서 사용한 프라이빗 키를 과거 자습서에서 Windows 인스턴스로 복사합니다.
  2. 서버에 OpenSSH를 설치합니다. 자세한 내용은 Technical : Install OpenSSH SFTP on Windows Server 2016을 참조하십시오.
  3. SSH 명령을 실행합니다.
  4. FE-VM 인스턴스에 성공적으로 로그인했습니다.

  

테스트 시나리오 1

• 고유 도메인 *.oraclevcn.com를 테스트합니다. FE-VM 클라이언트 시스템은 be-vm.beprivatesubnet.backendvcn.oraclevcn.com를 분석할 수 있어야 합니다. 이미 pfSense에서 이 트래픽을 허용했습니다. 이 테스트에서는 pfSense의 패킷 캡처 기능을 사용하여 트래픽이 이를 통과하는지 확인합니다.

• 전송 트래픽:

  

• 응답 트래픽:

  

• Windows 시스템에서 pfSense에 액세스합니다.

  1. 진단을 누릅니다.
  2. Packet Capture를 누릅니다.
  3. 소스 IP(FWD - 10.1.0.6) 및 대상 IP(LSN - 10.3.0.6)를 채웁니다.
  4. 53을 포트 번호로 입력합니다.
  5. 시작을 누릅니다.
  6. FWD에서 LSN으로 이동하는 DNS 트래픽을 모니터할 수 있습니다.

  

  

  

• FE-VM에서 BE-VM 고유 도메인 be-vm.beprivatesubnet.backendvcn.oraclevcn.com를 핑합니다.

  

• 패킷 캡처에서 질의를 수행할 때마다 핑이 발생합니다.

  

• 핑 트래픽을 모니터하도록 필터를 변경합니다.

• 전송 트래픽:

  

• 응답 트래픽:

  

  1. 소스 IP(FE-VM - 10.1.0.5) 및 대상 IP(BE-VM - 10.2.0.5)를 채웁니다.
  2. Protocol을 ICMPv4로 입력합니다.
  3. 시작을 누릅니다.
  4. FE-VM에서 BE-VM으로 이동하는 핑 트래픽을 모니터할 수 있습니다.

  

  

• FE-VM에서 BE-VM be-vm.beprivatesubnet.backendvcn.oraclevcn.com에 대해 다른 핑을 수행합니다.

  

• Packet Capture(패킷 캡처)에서 핑 트래픽을 확인합니다.

  

• 테스트를 마칠 때 패킷 캡처를 중지하려면 위쪽으로 스크롤하고 Stop을 누릅니다.

  

• 다른 캡처를 시작하려면 캡처 지우기를 누릅니다.

  

  주: BE-VM에서 FE-VM fe-vm.feprivatesubnet.frontendvcn.oraclevcn.com까지 테스트에서 동일한 단계를 따를 수 있지만 반대 방향으로 진행할 수 있습니다. 이 시나리오에는 트래픽이 이미 허용됩니다.

테스트 시나리오 2

• 회사의 BIND9 관리 도메인 *.orastage.com를 테스트합니다. FE-VM 클라이언트 시스템은 be.orastage.com를 분석할 수 있어야 합니다. 이미 pfSense에서 이 트래픽을 허용했습니다. 이 테스트에서는 트래픽이 이를 통과하는지 확인하기 위해 pfSense의 패킷 캡처 기능을 사용합니다.

• 전송 트래픽:

  

• 응답 트래픽:

  

• 점프 서버에서 pfSense에 액세스합니다.

  1. 진단을 누릅니다.
  2. Packet Capture를 누릅니다.
  3. 소스 IP(FWD - 10.1.0.6) 및 대상 IP(DNS-NLB - 10.0.0.110)를 채웁니다.
  4. 53을 포트 번호로 입력합니다.
  5. 시작을 누릅니다.
  6. FWD에서 DNS-NLB로 이동하는 DNS 트래픽을 모니터링할 수 있습니다.

  

  

  

• FE-VM에서 BE-VM 도메인 be.orastage.com를 핑합니다.

  

• 패킷 캡처에서 질의를 수행할 때마다 핑이 발생합니다.

  

• 핑 트래픽을 모니터하도록 필터를 변경합니다.

• 전송 트래픽:

  

• 응답 트래픽:

  

  1. 소스 IP(FE-VM - 10.1.0.5) 및 대상 IP(BE-VM - 10.2.0.5)를 채웁니다.
  2. Protocol을 ICMPv4로 입력합니다.
  3. 시작을 누릅니다.
  4. FE-VM에서 BE-VM으로 이동하는 핑 트래픽을 모니터할 수 있습니다.

  

  

• FE-VM에서 BE-VM be.orastage.com에 대해 다른 핑을 수행합니다.

  

• Packet Capture(패킷 캡처)에서 핑 트래픽을 확인합니다.

  

• 테스트를 마칠 때 패킷 캡처를 중지하려면 위쪽으로 스크롤하고 Stop을 누릅니다.

  

• 테스트를 완료했으므로 캡처 지우기를 누릅니다.

  

  주: BE-VM에서 FE-VM fe.orastage.com까지 테스트에서 동일한 단계를 따를 수 있지만 반대 방향으로 진행할 수 있습니다. 이 시나리오에는 트래픽이 이미 허용됩니다.

결론

축하합니다! 마침내 DNS 여정이 끝났습니다.

이 자습서에서는 다양한 DNS 기반 공격 및 취약성에 대한 중요한 방어 계층을 제공하는 pfSense를 사용하여 OraStage의 DNS 아키텍처를 향상시키는 데 중점을 두었습니다. OraStage는 트래픽 필터링, 보안 DNS 프로토콜 적용, 악성 도메인 차단을 통해 DNS 서버가 안전하고 효율적으로 작동하도록 보장할 수 있습니다.

시리즈 전반에 걸쳐 OCI에서 몇 가지 중요한 기술을 선택했습니다. 각 튜토리얼은 마지막 튜토리얼을 기반으로 구축되어 점진적 학습 접근 방식에 의존하면서 OCI의 견고한 기반을 제공합니다. 이러한 기술을 통해 클라우드 인프라를 효과적으로 관리하고 최적화할 수 있습니다.

• VCN(가상 클라우드 네트워크) 라우팅 및 보안을 설정합니다.
• DRG(동적 경로 지정 게이트웨이)를 설정합니다.
• OCI 배스천을 설정하고 사용하여 프라이빗 인스턴스에 액세스합니다.
• Windows 점프 서버를 설정하고 사용하여 프라이빗 인스턴스에 액세스합니다.
• OCI에서 BIND9 DNS 솔루션을 설치하고 구성합니다.
• 고가용성을 위해 OCI Network Load Balancer를 구성하고 사용합니다.
• OCI 프라이빗 DNS 구성요소를 구성 및 사용하여 고유 도메인을 분석합니다.
• OCI에서 pfSense 방화벽을 설치 및 구성하여 허브 및 스포크 아키텍처에 통합합니다.

확인

• 작성자 - Anas abdallah(클라우드 네트워킹 전문가)

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스하세요. 또한 Oracle Learning Explorer가 되려면 education.oracle.com/learning-explorer을 방문하십시오.

제품 설명서는 Oracle Help Center를 참조하십시오.

---

제목 및 저작권 정보

<

Adding Security to the Domain Name System Architecture using pfSense Firewall

G19400-02

Copyright ©2025, Oracle and/or its affiliates.