12방화벽 활성화 전 보안방화벽 활성화 전 보안

Boot Security 는 부팅 동안 Linux 커널의 IP Forwarding을 끄고 Default Filter 정책을 로드 해 게이트웨이와 네트워크를 보호합니다. Default Filter Policy(defaultfilter) 는 게이트웨이가 켜진 순간부터 사용자 정의 정책이 설치될 때까지 를 지킵니다.

Default Filter에는 세 가지 템플릿이 있습니다. Boot Filter(defaultfilter.boot)는 게이트웨이 인터페이스 IP를 출발지로 가진 들어오는 패킷을 드롭하고 나가는 패킷은 허용 합니다. Drop Filter(defaultfilter.drop)는 들어오고 나가는 패킷을 모두 드롭 합니다(부팅 중 다른 호스트와 통신해야 하면 쓰지 말 것). DAG Filter(defaultfilter.dag)는 동적 IP 게이트웨이용 으로, DHCP 요청·응답을 허용하면서 Boot Filter처럼 동작합니다.

Default Filter를 바꾸는 큰 줄기는 기존 파일 백업 → $FWDIR/lib의 템플릿을 $FWDIR/conf/defaultfilter.pf로 복사 → fw defaultgen으로 컴파일(default.bin/default.bin6 생성) → 컴파일된 파일을 부팅 경로에 복사 → 시리얼 콘솔 연결 후 재부팅 입니다. Check Point INSPECT 언어를 아는 관리자는 템플릿을 바탕으로 커스텀 Default Filter 도 만들 수 있는데, 이때 로깅·인증·암호화·Content Security 기능은 쓰면 안 됩니다.

Initial Policy 는 관리자가 첫 정책을 설치하기 전까지 보안을 집행합니다. Default Filter에 미리 정의된 implied rule을 더해 만들어지며, 대부분의 통신은 막되 정책 설치에 필요한 통신만 허용 합니다. 업그레이드 중, SIC 인증서 재설정 시, 라이선스 만료 시에도 게이트웨이를 보호하며(이때는 Initial Policy가 사용자 정의 정책을 덮어씀).

부팅 순서는 이렇게 흐릅니다. 부팅 → IP Forwarding 끄고 Default Filter 로드 → 인터페이스 구성 → 서비스 시작 → 로컬에서 Initial Policy fetch → 관리자가 사용자 정의 정책 설치. 이후 재부팅에서는 Default Filter 다음에 사용자 정의 정책이 바로 로드 됩니다.

구성에 따라 Initial Policy가 허용하는 범위가 다릅니다. Standalone(관리·게이트웨이 한 장비)은 CPMI 관리 통신만 허용 해 SmartConsole이 붙게 하고, Distributed(분리)는 SIC·정책 설치를 위한 cpd·fwd 통신만 허용 하며 게이트웨이를 통한 CPMI 연결은 막습니다(그래서 게이트웨이 너머의 Management Server에는 SmartConsole이 못 붙을 수 있음).

드물게 Default Filter가 부팅에 필요한 트래픽까지 막아 재부팅이 안 끝나 는 경우가 있습니다. 먼저 Default Filter가 부팅에 필요한 트래픽을 허용하는지 살피고, 그래도 안 되면 시리얼 콘솔로 접속 → 재부팅 → 부팅 중 아무 키나 눌러 Boot Menu 진입 → maintenance 모드 → fwboot bootconf set_def로 Default Filter를 다시 로드하지 않게 설정 한 뒤 재부팅합니다(boot.conf의 DEFAULT_FILTER_PATH 값 확인).

이 모든 명령(control_bootsec, comp_init_policy, fw unloadlocal, cpstat -f policy fw 등)의 자세한 사용법은 명령줄·커널 참조에서 가리키는 R82 CLI Reference Guide에 있습니다.