오래된 질문입니다. 나는 이에 대해 양방향으로 응답하는 것을 보았지만 신뢰할 수 있는 네트워크 내에서 방화벽을 활성화하려는 이유에 대한 포괄적인 답변은 결코 없습니다. "신뢰할 수 있다"는 것은 (일반적으로) 이미 활성 방화벽 뒤에 있는 LAN을 의미합니다.
나는 당신이 이것을 원하는 이유에 대한 포괄적인 이유를 갖고 싶습니다. 내가 들어본 유일한 주장은 신뢰할 수 있는 네트워크 내에서 방화벽이 비활성화되면 "바삭바삭하고 딱딱한" 외부 방화벽을 위반하면 "부드러운" 내부 시스템이 모두 노출되는 "바삭바삭하고 쫄깃한" 보안 배열로 이어진다는 것입니다.
답변1
네트워크 내에 방화벽을 두는 것은 여러 가지 이유로 좋은 일이라고 생각합니다.
- 민감한 내부 데이터가 수정/도난/삭제되지 않도록 보호하세요. 회사의 모든 최종 사용자가 모든 프로덕션 데이터베이스 서버에 대한 네트워크 액세스 권한을 갖고 있다면 암호는 데이터를 보호하는 전부입니다. 어떤 경우에는(SQL 계정과 도메인 계정) 전체 개발 직원이 이러한 모든 DB에 대한 쓰기 액세스 비밀번호를 갖는 것이 일반적입니다. 내가 본 대부분의 통계에 따르면 외부 공격자보다 내부 공격을 받을 가능성이 훨씬 더 높습니다. 불만을 품은 직원은 동기가 극도로 높아질 수 있습니다.
- 민감한 내부 데이터가 유출되지 않도록 보호하세요.우연히수정/삭제되었습니다. 실수로 프로덕션 DB 서버에서 Stage 웹 서버를 가리키는 일은 생각보다 훨씬 자주 발생합니다. Prod 웹 서버와 DBA만 연결할 수 있도록 Prod DB 서버를 방화벽으로 차단하면 이 위험이 크게 완화됩니다.
- 보다 강력하고 계층화된 접근 방식입니다. 합리적인 보안 계층을 더 많이 추가할수록 좋습니다. 어떤 사람들은 이것에 약간 열광할 수 있지만 전반적으로 이것은 좋은 생각입니다.
- 네트워크가 커지면 스스로 보호해야 합니다. 악성 액세스 포인트든 랩톱이든 네트워크의 모든 항목이 보안 정책을 준수한다고 100% 확신하는 것은 거의 불가능합니다.
답변2
예, 국경에 방화벽만 있으면 단일 실패 지점이 있기 때문입니다. 해당 방화벽에 우회할 수 있는 버그가 있으면 보안이 사라진 것입니다.
보안은 가능할 때마다 각 계층에 보안을 적용하거나 최소한 비용 효율적이고 위험 수준에 적합한 계층화된 접근 방식이어야 합니다.
모든 보안 조언과 마찬가지로 시스템이 손상된 경우 관련된 실제 위험을 고려해야 합니다. 데이터가 없는 중요하지 않은 상자만 잃어버리면 그다지 중요하지 않을 수 있습니다. 국가 기밀, 은행 계좌 또는 의료 정보를 보호하려는 경우 훨씬 더 많은 계층을 사용해야 합니다.
답변3
바이러스가 가득한 노트북을 집에서 가져와 백본에 연결하는 다른 직원의 능력을 과소평가하지 마십시오.
답변4
이를 보는 한 가지 방법은 다음과 같습니다.
당신 회사에는 일종의 경계 보안 장치가 있어요, 그렇죠? 즉, 울타리가 있는 대문집 등입니다.
이것을 기본 방화벽이라고 생각하십시오.
그럼에도 불구하고 건물을 잠그고, 건물의 일부를 잠그고, 개별 사무실 등을 잠급니다. 스캔한 배지가 있는 경우 일부 사람들의 배지는 개별 사무실은 물론이고 일부 건물의 구역에도 들어가지 못하게 합니다.
잠긴 각 섹션은 또 다른 방화벽과 같습니다.
방화벽을 보호 수단으로 사용하려면 네트워크 섹션을 서로 격리시키는 것을 고려해야 합니다. 패킷이 경계 내부에 있다는 이유만으로 패킷이 좋다고 가정해서는 안 됩니다.