방화벽 기본 규칙 설계 가이드
방화벽 설정에서 가장 중요한 원칙은 단 하나, '필요한 것만 열어둔다'입니다.
기본 거부 원칙
방화벽은 기본적으로 모든 인바운드 트래픽을 차단하고, 실제로 필요한 서비스 포트만 예외적으로 허용하는 화이트리스트 방식으로 구성하는 것이 안전합니다.
일반적으로 열어두는 포트
| 포트 | 용도 |
|---|---|
| 22 | SSH (가능하면 포트 변경 권장) |
| 80 | HTTP |
| 443 | HTTPS |
ufw 설정 예시
ufw default deny incoming
ufw default allow outgoing
ufw allow 22/tcp
ufw allow 80,443/tcp
ufw enable흔한 실수
- 테스트를 위해 임시로 연 포트를 다시 닫지 않는 경우
- 데이터베이스 포트를 외부에 그대로 노출하는 경우
- 방화벽 규칙 변경 후 SSH 접속이 끊겨 서버에 접근하지 못하는 경우
특히 마지막 경우를 방지하기 위해 SSH 포트 규칙을 가장 먼저, 그리고 신중하게 추가해야 합니다.