슬라이드 1

WAF User Guide

목차 1. 제품정보 ------------------------------------------------------------------------- 1.1 개요 ------------------------------------------------------------------------------ 1.2 주요보안기능 ------------------------------------------------------------------- 1.3 특징 ----------------------------------------------------------- 2. 운영환경 ------------------------------------------------------------------ 3. 설치전준비 --------------------------------------------------------- 3.1 운영네트워크구성및설치위치결정 ---------------------------------------- 3.2 리버스프락시 (reverse proxy) 구성방식 --------------------------------------- 3.3 운영네트워크구성에따른설치예시 ----------------------------------------- 3.4 기본네트워크자원확보 ------------------------------------------------------- 4. 신청및구성 ------------------------------------------------------------- 4.1 신청 -------------------------------------------------------------- 4.2 웹서버등록및서비스등록 --------------------------------------------------- 5. Console 관리도구직접사용 ----------------------------------------------------- 6. 서비스상담및장애신고 ----------------------------------------------------- 6.1 FAQ 및매뉴얼 ------------------------------------------------------------- 6.2 전화상담 ------------------------------------------------------------------- 6.3 게시판상담 ----------------------------------------------------------------- 3 3 3 4 6 7 7 7 8 8 10 10 12 16 17 17 17 17 2

1. 제품정보 본장은 WAF을소개하는장으로제품의주요기능및특징과운영환경에대해서기술합니다 1.1 개요 WAF은지능형웹애플리케이션방화벽입니다. WAF은웹서버앞단에위치하여외부로부터들어오는 HTTP/HTTPS 프로토콜트래픽을감시합니다. 이때웹애플리케이션에대한악의적인공격이탐지되면해당공격이웹서버에도달하기전에차단하는역할을수행합니다. [ 그림 1 WAF의역할 ] 이보여주는바와같이 WAF은방화벽 (Firewall) 에서걸러주지못하는위험한유해트래픽을웹서버에도달하지못하도록근본적으로차단합니다. WAF은고도로지능화, 다양화되고있는웹공격을효율적으로탐지및차단하여안정적이고신뢰할수있는웹애플리케이션의운영을가능하게합니다 1.2 주요보안기능 WAF은다음과같은보안기능을제공합니다. - HTTP 기반의웹공격방지 - OWASP1 Top 10 Attacks 탐지및차단 - PCI-DSS Copliance 의요구사항지원 - Known/Unknown Worm 탐지및차단예 ) Code Red, Nimda - 웹보안요소방어 - Cookie 변조및도용방지 - Hidden Field 변조방지 3

- Hidden Field 변조방지 - 표준암호알고리즘사용 (AES, SEED) - 웹콘텐츠필터링 - 개인정보포함파일업로드 / 다운로드탐지차단 - 주민등록번호, 신용카드번호, 이메일주소, 주소, 전화번호탐지 - MS-Office, Open Office, PDF, MS Outlook Message, hwp 등 30 여종의파일검색 - 지정한금지단어입력시자동변환예 ) 나쁜말 ( 금지단어 ) -> 고운말 ( 등록된표현 ) - 해커에의해변조된페이지노출차단및자동복구 1.3 특징 WAF은다음과같은특징을가집니다. 보안성 - 웹공격에대한 3 중방어구조 WAF은 Positive Security 보안모듈의 URI 접근제어 와, Negative Security 보안모듈의 룰탐지, White/Black list of IP 주소관리기능인 IP Filtering / IP Block 의웹클라이언트접근제어의 3중방어구조를기반으로확실하고안정적인웹공격의탐지와차단을제공합니다. - 암호화트래픽지원 WAF은 SSL과같은암호화된트래픽을지원합니다. 암호화된트래픽내에웹공격이들어있는경우에도이를신속하게복호화한후에공격을탐지하여차단할수있습니다. 성능 - 다수웹사이트 / 웹서버동시보호 WAF 은여러웹사이트들과다수의웹서버들을동시에보호하는것이가능합니다. 안정성 -Watchdog 지원 Watchdog 프로세스는지속적이고안정적인웹서비스제공을위해 WAF의동작을감시합니다. WAF에문제가발생하는경우, watchdog 프로세스는문제의증상을파악하고이에따라보안및웹서비스유지를위해대응하도록구성되어있습니다. 4

편리성 - 대시보드 (Dashboard) 지원 WAF은 WAF과웹서버의운영상태를그래프와차트를통해한눈에실시간으로파악할수있는대시보드기능을지원합니다. WAF의대시보드는 22가지의다양한그래프와차트형식을제공하여운영자가원하는형태로데이터를가공할수있도록지원합니다. - 설정마법사지원 WAF의모든설정작업은설정마법사를통하여이루어집니다. 설정마법사는 WAF의복잡한설정과정을간단하고편리하게수행할수있도록도와줍니다. 자유롭고유연한화면구성 WAF은로그화면과각종대시보드화면등을메인화면상에운영자가원하는형태로자유롭게배치할수있습니다. 또한각각의화면내용에각기다른조건을부여하여다양한정보를동시에확인할수있습니다. 이러한유연한화면구성은운영자의필요에따른적절한정보확인을가능하게해주어관리도구사용의편의성을높여줍니다. 5

2. 운영환경 WAF 시스템은다음과같은환경에서운영되어야합니다. - WAF 은하드웨어, 운영체제및내부데이터베이스가안정적으로작동하며웹보안게이트웨이애플리케이션방화벽으로만동작되도록설계되고구성된전용서버이므로, 내부구성을변경하거나다른목적으로사용하는것을보증하지않습니다. - WAF 은인가된관리자만이접근하여야합니다. - WAF 은 HTTP/HTTPS 트래픽에대한보안을위하여만들어졌습니다. 따라서추가적으로방화벽이나침입탐지시스템과병행하여운영되어야합니다. - WAF 은네트워크상에웹클라이언트와웹서버간의물리적또는논리적중간지점에위치해야하며, 양자간의 HTTP(S) 통신은 WAF 을통해서만이루어져야합니다. - 네트워크구성변경, 웹사이트의증감등으로 WAF 이설치된내부네트워크환경이변화될때에는반드시변화된환경에맞추어보안정책을반영하여야합니다. - WAF 은관제시스템과같은외부시스템과의연동시 SNMP trap, Syslog 등을사용할수있으며, 이때신뢰된네트워크구간내에서안전하게유지되도록관리해야합니다. - WAF 시스템은 ISSAC-Web 으로암호화된트래픽에대해서도안전한키관리를통해패킷을복호화하여, 공격을탐지하고차단합니다. - WAF 은제품유지보수절차를통해최신의보안패치가적용된상태로운영되도록해야합니다. - WAF 은신뢰할수있는타임스탬프를제공합니다. 안전한운영을위해관리도구용 PC 에대해서도 OS 가제공하는타임스탬프동기화기능을적용하여일관성을유지해야합니다. - WAF 은인가된관리자에의해안전한방식으로구성, 관리, 사용되어야합니다. - 관리자는 WAF 관리기능에대해적절히교육받아야하고, 관리자지침에따라정확하게의무를수행하여야합니다. - WAF 관리도구는최신의보안패치가적용된 OS 가설치된안전한관리자 PC 에서사용되어야합니다. - 관리도구는신뢰된네트워크구간에서만접속가능하도록하여야합니다. - 관리도구를통해 WAF 에접속하는경우, SSL 로암호화된트래픽을통해정보를전달하므로정보의비밀성을유지합니다 6

3. 설치전준비 이번장은 WAF을설치하기전에준비할것들과결정해야할것들에대해기술합니다. WAF을정상적으로설치하기위하여 설치전준비 장을숙독합니다. 3.1 특징 WAF의설치위치는인가된관리자만이접근가능한안전한환경에위치해야합니다. 이후관리자는운영형태에맞춰 WAF의 network를구성합니다. KT WAF의네트워크구성방법은리버스프락시방식입니다. 3.2 리버스프락시 (reverse proxy) 구성방식리버스프락시구성은 WAF을일반적인웹프락시서버와동일한구성으로위치시킵니다. WAF의물리적인네트워크와 IP의설정등은일반적인웹프락시와동일하게구성합니다. 이러한구성에서특정웹사이트를 WAF로보호하려면웹사이트의 DNS를재설정하거나 L4/L7 스위치의설정을수정하여웹서버로갈커넥션이 WAF을향하도록수정해주어야합니다. 이러한리버스프락시구성에서는 WAF이프락시로동작하기때문에웹서버의접속로그에는실제웹브라우저사용자의 IP 주소가아닌 WAF의IP 주소만이남게됩니다. 7

3.3 운영네트워크구성에따른설치예시운영네트워크구성과함께 WAF의설치위치를정합니다. 상황에따라여러변수가있을수있으나, 대부분의환경에서는다음과같은위치에설치하는것이일반적입니다. - 단일웹서버머신 1 대만을보호할때 (Single 상품 ) Routter-VM 하단단일웹서버사이에 Proxy 방식으로구성설치합니다. - VPX 를사용하여 2 대이상의웹서버를로드밸런싱하여사용할때 (Dual 상품 ) VPX SW L4로로드밸런싱한서비스를 Router_VM에서포트포워딩한후 Router_VM과웹서버사이에 Proxy 방식으로구성설치합니다. 3.4 기본네트워크자원확보 기존에서비스되는포트포워딩룰을확인합니다. - Single WAF 상품 : Router VM 및 Web 서버로구성된 1:1 구성입니다. 기존에서비스되고있는포트포워딩룰이있다면해당포트포워딩룰을삭제합니다. - Dual WAF 상품 : Dual WAF 상품은 VPX 로드밸런서부가서비스와 2 개의 WAF, N 개의 Web 서버로구성된상품입니다. Network 구성을위해서기존에서비스되고있는포트포워딩룰이있다면해당포트포워딩룰을삭제합니다. WAF의서비스구성을위해서 public ip에매핑된 4개의 public port가필요합니다 8

5950 ~ 5999 Port 대역중 4개를선택하여설정해야하니아래설정하여야할포트대역이중복이되지않는지확인합니다. - Console: WAF 를원격에서 TCP/IP 를통해서관리할수있는관리포트입니다. - API: WAF 에대한 Network 구성을자동으로처리해주기위한 API 연결포트입니다. - SSH: WAF VM 에원격으로접속하기위한연결포트입니다. - DB: WAF 관리도구에서사용하는 PostgreSQL DB 에 Network 을설정하기위한포트입니다. 9

4. 신청및구성 이번장은 WAF를신청하고운영에관련한기본적인환경설정방법을설명합니다. 설치가완료된후웹사이트보호를위해적절한탐지및운영정책을설정할수있습니다 4.1 신청 WAF은일반적으로다음과같은설치순서를따릅니다. 클라우드제품 > 보안 > 웹방화벽을선택합니다. 상품신청을선택합니다. 10

WAF 명을입력한뒤구성및사용을선택합니다. 원하시는정보입력후신청을하시면입금확인및 WAF-VM 생성후고객님의메일로정보를 보내드리고연락을드립니다. 11

4.2 웹서버등록및서비스등록 이후클라우드콘솔 > 웹방화벽으로이동후 WAF 와 WEB 서버간의서비스구성작업을진행 합니다. 웹서버구성을위해서웹서버구성버튼을클릭합니다 12

- WAF 가보호해야하는웹서버를선택합니다. -서비스 Port 입력 : 웹서버가서비스하고있는서비스포트를선택합니다. (80, 8080, 443) - SSL 사용여부를체크합니다. 기본은 SSL 사용하지않음입니다. SSL 을사용하는경우사용으로체크하시고세부설정은관리도구에서설정가능합니다. - Router-VM 및 WAF 간의 Proxy 포트를입력합니다. Single 의경우 (80, 8080, 443) - 모든사항이입력되었으면추가버튼을클릭하고확인버튼을선택합니다. 최종내역은웹방화벽리스트에서확인할수있습니다. 13

WAF 가보호해야하는 URI 또는 IP 를등록을위해웹사이트구성을클릭합니다. - 서비스사이트의사이트명을등록합니다. DNS 서비스에등록되어있는 URI 와동일하게등록합니다. - URI 가없는경우 IP 를입력합니다. - ncloud24.com 또는 1.1.1.1 - 사이트를보호하는보안정책수준을설정합니다. 표준보안정책 : 기본보안정책보다한단계높은보안수준의정책으로, 일반적인웹환경에가장최적화된보안정책기본보안정책 : 기본적인웹공격을방어하기위한보안정책으로, 대중화되고영향도가높은웹공격을방어탐지 : 기본적인탐지부분은 [ 기본보안정책 ] 과동일하나탐지된위반행위에대해차단하지않는정책탐지없이통과 : 웹사이트에대한보안위반탐지행위를전혀하지않는정책 14

확인버튼을클릭하여서비스등록을완료합니다. 서비스타입이 Dual 인경우는로드밸런서설정을할수있습니다. 15

5. Console 관리도구직접사용 1 인가된관리자만이접근가능하도록합니다. 2 Microsoft(MS) 사의 WINDOWS계열 OS가설치된관리자용 PC를최신버전으로업데이트합니다. 3 웹브라우저에서관리도구기동화면이뜨면, [ 시작 ] 버튼을눌러관리도구프로그램을수행합니다. 만일관리자의 PC에.Net 4.0 이설치되어있지않은경우에는이를먼저설치한후에관리도구프로그램을수행합니다. 4 설정마법사를기동하여 [ 네트워크설정 ] 기능을사용하여 WAF가보호하고자하는웹서버들의 IP 주소정보를설정합니다. 5 설정마법사의 [ 웹사이트설정 ] 기능을사용하여보호하고자하는웹사이트를등록하고이를적절한보안정책에맵핑합니다. 필요한경우보안정책을추가하거나변경합니다. 6 설정이끝나면서비스포트에네트워크라인을연결하고정상적으로웹서버에접속할수있는지의여부와 WAF가웹트래픽을모니터링하고웹공격을탐지및차단하는지확인합니다. 16

6. 서비스상담및문의 엔클라우드 24 상품의모든상담및장애신고방법은전화상담과게시판상담을 통해이루어집니다. 6.1 FAQ 및매뉴얼각종사용매뉴얼및 FAQ는엔클라우드24 고객센터의 FAQ 게시판 ( 자주하는질문 ) 및자료실을통하여확인하실수있습니다. 6.2 전화상담상품문의는엔클라우드24 고객센터 (1544-9302, 1번클라우드제품기술문의 ) 를통하여상담받으실수있습니다. 6.3 게시판상담엔클라우드24 로그인후, 고객센터 1:1 문의하기게시판에문의사항및장애상황을작성후답변을확인하시면됩니다. 클라우드기술전문가가해당내용에대해기술적문의사항에대해지원을해줍니다. 17