VyOS(Firewalld)

VyOS는 라우터에 방화벽을 설정하는 역할을 한다

VyOS는 소프트웨어 기반의 네트워크 OS로서, 방화벽, 라우팅, VPN 등의 기능을 제공합니다.
하지만 반드시 물리적 라우터에 직접 설치하는 것은 아니며, 서버에서도 VyOS를 실행하여 방화벽 역할을 수행할 수 있습니다.

오픈 소스 네트워크 운영 체제로 리눅스 기반 OS 다.

 

VyOS 의 주요기능은 다음과 같다.

1. Routing

   Static Routing

   Dynamic Routing

2. Firewall

  - iptables 기반 방화벽

      Linux iptables 를 기반으로 작동하며 다음과 같은 방식으로 패킷을 필터링 한다.

< 이름 기반 방화벽 정책 >

set firewall name <방화벽_이름> rule <번호> <설정> 

형식으로 규칙을 정의한다.

규칙의 번호가 낮을 수록 우선순위가 높다

동작방식: 패킷이 방화벽 규칙에 일치하면 즉시 처리되고 그렇지 않으면 다음 규칙을 검사한다.

 

 - ZBF ( Zone - based Firewall )

네트워크 인터페이스를 보안 Zone 으로 그룹화하고 Zone 간의 트래픽을 제어하는 방식이다.

일반적인 방화벽과는 달리 단순한 IN / Out 필터링이 아니라 네트워크 Zone 간의 트래픽을 제어하는 방식이다.

이와 같은 방식은 Cisco, VyOS 같은 네트워크 장비 및 운영체제에서 사용된다.

ZBF 의 주요개념

Zone (보안 영역): 네트워크 인터페이스들을 그룹화하여 보안 수준을 설정하는 논리적인 구역
Inter-Zone Traffic (존 간 트래픽): 서로 다른 Zone 간의 트래픽을 정책(Rule)으로 허용/차단 가능
Intra-Zone Traffic (존 내부 트래픽): 같은 Zone 내부에서는 기본적으로 통신 가능
Default Policy (기본 정책): 별도의 규칙을 설정하지 않으면, Zone 간 트래픽은 차단됨
Stateful Inspection (상태 기반 검사): 세션을 추적하여 이미 승인된 트래픽을 자동으로 허용

 

ZBF 구성 방식

① Zone 생성
네트워크를 구분할 Zone을 정의해.
예를 들어, LAN, WAN, DMZ(비무장지대) 같은 보안 영역을 만들 수 있어.

② 인터페이스를 Zone에 할당
물리적/가상 네트워크 인터페이스를 특정 Zone에 할당해.
예를 들어, eth0 → WAN, eth1 → LAN으로 지정할 수 있어.

③ Zone 간 트래픽 정책 설정
**어떤 Zone에서 어떤 Zone으로 이동하는 트래픽을 허용할 것인가?**를 정함.
기본적으로 모든 Zone 간 트래픽은 차단됨 → 허용할 트래픽을 명확히 지정해야 함.
④ Rule을 적용하고 Commit
정책을 설정한 후, 실제로 방화벽 룰을 적용하고 저장(Commit)하여 활성화.

 

  - 패킷 필터링 및 NAT

VyOS 에서는 ip tables 를 활용해 패킷 필터링과 NAT 를 조합하여 보안 설정을 할 수 있다.

패킷 필터링 예제 (ICMP 차단 / ping 차단)
set firewall name WAN-IN rule 30 action drop
set firewall name WAN-IN rule 30 protocol icmp

WAN 에서 들어오는 ping 요청 차단

 

3. VPN

4. NAT

5. 고가용성 및 클러스터링

6. DHCP, DNS 및 기타 네트워크 서비스

 

ACL vs VyOS(Firewalld) 차이점

ACL - 라우터에서 트래픽을 필터링하는 규칙

VyOS - 방화벽, VPN, NAT 등의 추가 기능을 제공하는 네트워크 운영체제 (OS) 이다.

 

ACL 은 주로 네트워크 접근 제한을 위해 사용되며 라우팅 자체를 변경하지 않고 단순히 패킷 필터링 역할을 수행한다.

VyOS 는 더 강력한 기능을 제공하는 데

방화벽 기능에서는 Zone - based Firewalld 을 통해서 네트워크 Zone 간의 트래픽을 제어할 수 있다.

그리고 세션 기반으로 트래픽을 관리하기 때문에 방화벽이 Stateful 하다.

NAT 기능으로

SNAT (Source NAT)

DNAT (Destination NAT)

두 가지 기능을 제공하며,

전용 하드웨어 라우터가 아니라도 일반서버에서도 동작할 수 있다. ( 가상화된 서버에서도 네트워크 기능을 수행할 수 있따.)