주식회사 누리아이티

정보자산의 보안강화를 위한 3단계 인증 보안SW(BaroPAM) 전문기업인 누리아이티

▶ Tuxedo/이슈

FireWall을 위한 Tuxedo 구성

누리아이티 2010. 5. 2. 18:14

이슈 : FireWall을 위한 Tuxedo 구성
       FireWall은 네트워크 상에서 패킷의 전송을 제한함으로써 허가되지 않은 사용자의 접근을 방지하는 일을 한다.
       FireWall은 크게 지정된 포트를 통한 데이터 전송 만을 걸러주는 패킷 필터링(Packet Filtering) 방식과 외부에서 들어오는

       패킷을 검사하여 허가된 패킷을 마치 자신이 보내는 것과 같이 재 전송하는 프록시 방식(Proxy)으로 나뉘어 진다.

       (프록시 방식은 NAT-Network Address Translation-방식이라고도 부른다.)
       이런 FireWall이 클라이언트와 서버 사이에 존재할 경우에는 Tuxedo용 패킷이 FireWall을 통과할 수 있도록 하기

       위한 설정이 필요하다.
 

조치 : 클라이언트와의 접속을 관리하는 프로세스인 WSL에는 FireWall을 위한 두 가지 옵션이 존재한다.
       먼저, 지정된 포트만을 사용해야 하는 패킷 필터링 방식을 지원하기 위해서는 WSH가 사용하는 포트를 제한하는
       -p(min. Port), -P(max. Port) 옵션을 사용하면 된다.
       예를 들어, FireWall에서 허용된 서버의 Port가 20000부터 20050번 까지라면 WSL을 다음과 같이 정의할 수 있다.
         예) CLOPT="-A -- -n //server:20000 -p 20001 -P 20050"
       그리고, 프록시 방식의 FireWall의 경우는 클라이언트로 보내지는 접속할 WSH의 IP Address를 지정하는 -H 옵션을 추가하여야 한다.
       예를 들어, FireWall의 외부 IP가 ppp.xxx.yyy.zzz이고, 허용된 포트가 20000에서 20050이라면 다음과 같이 설정할 수 있다.
         예) CLOPT="-A -- -n //server:20000 -p 20001 -P 20050 -H //ppp.xxx.yyy.zzz:20000"