Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

1장. firewalld사용 및 구성

방화벽은 외부에서 원하지 않는 트래픽으로부터 시스템을 보호하는 방법입니다. 사용자는 방화벽 규칙 집합을 정의하여 호스트 시스템에서 들어오는 네트워크 트래픽을 제어할 수 있습니다. 이러한 규칙은 들어오는 트래픽을 정렬하고 차단하거나 통과하는 데 사용됩니다.

firewalld 는 D-Bus 인터페이스를 사용하여 사용자 지정 가능한 동적 방화벽을 제공하는 방화벽 서비스 데몬입니다. 동적이므로 규칙이 변경될 때마다 방화벽 데몬을 다시 시작할 필요 없이 규칙을 생성, 변경 및 삭제할 수 있습니다.

firewalld 를 사용하여 대부분의 일반적인 경우에 필요한 패킷 필터링을 구성할 수 있습니다. firewalld 가 시나리오를 다루지 않거나 규칙을 완전히 제어하려면 nftables 프레임워크를 사용합니다. 자세한 내용은 nftables 시작하기 를 참조하십시오.

firewalld 는 영역, 정책 및 서비스의 개념을 사용하여 트래픽 관리를 단순화합니다. 영역은 네트워크를 논리적으로 분리합니다. 네트워크 인터페이스 및 소스를 영역에 할당할 수 있습니다. 정책은 영역 간 트래픽 흐름을 거부하거나 허용하는 데 사용됩니다. 방화벽 서비스는 들어오는 트래픽을 특정 서비스에 대해 허용하는 데 필요한 모든 설정을 처리하는 사전 정의된 규칙이며 영역 내에 적용됩니다.

서비스는 네트워크 통신에 하나 이상의 포트 또는 주소를 사용합니다. 방화벽은 포트를 기반으로 통신을 필터링합니다. 서비스에 대한 네트워크 트래픽을 허용하려면 해당 포트가 열려 있어야 합니다. firewalld 는 명시적으로 open로 설정되지 않은 포트의 모든 트래픽을 차단합니다. trusted와 같은 일부 영역에서는 기본적으로 모든 트래픽을 허용합니다.

firewalld 는 별도의 런타임 및 영구 구성을 유지 관리합니다. 이를 통해 런타임 전용 변경 사항이 허용됩니다. firewalld 를 다시 로드하거나 다시 시작한 후에는 런타임 구성이 유지되지 않습니다. 시작 시 영구 구성에서 채워집니다.

1.1. 방화벽 영역
링크 복사

firewalld 유틸리티를 사용하여 해당 네트워크 내의 인터페이스 및 트래픽과 함께 있는 신뢰 수준에 따라 네트워크를 다른 영역으로 분리할 수 있습니다. 연결은 하나의 영역의 일부일 수 있지만 많은 네트워크 연결에 해당 영역을 사용할 수 있습니다.

firewalld 는 영역과 관련하여 엄격한 원칙을 따릅니다.

  1. 트래픽 수신은 하나의 영역만 포함됩니다.
  2. 트래픽은 하나의 영역만 송신합니다.
  3. 영역은 신뢰 수준을 정의합니다.
  4. 기본적으로 Intrazone 트래픽(동일한 영역 내)이 허용됩니다.
  5. 영역 간 트래픽은 기본적으로 거부됩니다.

규칙 4와 5는 원칙 3의 결과입니다.

원칙 4는 영역 옵션 --remove-forward 를 통해 구성할 수 있습니다. 원칙 5는 새로운 정책을 추가하여 구성할 수 있습니다.

NetworkManager 는 인터페이스 영역을 firewalld 에 알립니다. 다음 유틸리티를 사용하여 인터페이스에 영역을 할당할 수 있습니다.

  • NetworkManager
  • firewall-config utility
  • firewall-cmd 유틸리티
  • RHEL 웹 콘솔

RHEL 웹 콘솔, firewall-configfirewall-cmd 는 적절한 NetworkManager 구성 파일만 편집할 수 있습니다. 웹 콘솔, firewall-cmd 또는 firewall-config 를 사용하여 인터페이스 영역을 변경하면 요청이 NetworkManager 로 전달되고 firewalld 에서 처리되지 않습니다.

/usr/lib/firewalld/zones/ 디렉터리는 사전 정의된 영역을 저장하고 사용 가능한 네트워크 인터페이스에 즉시 적용할 수 있습니다. 이러한 파일은 수정 후 /etc/firewalld/zones/ 디렉터리에 복사됩니다. 사전 정의된 영역의 기본 설정은 다음과 같습니다.

블록
  • 적합한 경우: 들어오는 모든 네트워크 연결은 IPv4 의 icmp-host-prohibited 메시지와 함께 거부되며 IPv6 용으로 icmp6-adm-prohibited가 제공됩니다.
  • accepts: 시스템 내에서 시작된 네트워크 연결만 허용합니다.
dmz
  • 적합하지 않음: 내부 네트워크에 대한 제한된 액세스로 공개적으로 액세스할 수 있는 DMZ의 컴퓨터입니다.
  • accepts: 선택한 들어오는 연결만 허용합니다.
drop

적합한 경우: 들어오는 모든 네트워크 패킷은 알림 없이 삭제됩니다.

  • accepts: 발신 네트워크 연결만 허용합니다.
external
  • 적합한 기능: 특히 라우터에 대해 마스커레이딩이 활성화된 외부 네트워크입니다. 네트워크에서 다른 컴퓨터를 신뢰하지 않는 경우입니다.
  • accepts: 선택한 들어오는 연결만 허용합니다.
  • 적합한 위치: 네트워크상의 다른 컴퓨터를 주로 신뢰하는 홈 환경입니다.
  • accepts: 선택한 들어오는 연결만 허용합니다.
internal
  • 적합한 네트워크: 네트워크의 다른 컴퓨터를 주로 신뢰하는 내부 네트워크입니다.
  • accepts: 선택한 들어오는 연결만 허용합니다.
public
  • 적합한 위치: 네트워크의 다른 컴퓨터를 신뢰하지 않는 공용 영역입니다.
  • accepts: 선택한 들어오는 연결만 허용합니다.
trusted
  • 허용: 모든 네트워크 연결.
work

적합: 네트워크의 다른 컴퓨터를 주로 신뢰하는 작업 환경.

  • accepts: 선택한 들어오는 연결만 허용합니다.

이러한 영역 중 하나는 기본 영역으로 설정됩니다. NetworkManager 에 인터페이스 연결이 추가되면 기본 영역에 할당됩니다. 설치 시 firewalld 의 기본 영역은 퍼블릭 영역입니다. 기본 영역을 변경할 수 있습니다.

참고

네트워크 영역 이름을 자체 설명하여 사용자가 신속하게 이해할 수 있도록 합니다.

보안 문제를 방지하려면 기본 영역 구성을 검토하고 요구 사항 및 위험 평가에 따라 불필요한 서비스를 비활성화합니다.

자세한 내용은 시스템의 firewalld.zone(5) 도움말 페이지를 참조하십시오.

Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동