[오픈소스] Firewall 방화벽 : IPFire 와 pfSense

최근의 방화벽을 단순히 Firewall이라 부르는 것이 맞는지, IDS/IPS가 통합된 UTM으로 부르는 것이 맞는지는 잘 모르겠다. 사용하기에 따라 단순 인터넷 공유기가 될 수도, 방화벽이 될 수도, UTM이 될 수도, 바이러스 월이 될 수도 심지어 L4/L7 스위치가 될 수도 있다.

오픈소스 방화벽에는 여기서 소개하는 IPFire와 pfSense 이외에도 여러가지가 있다. 그 중 이 두가지를 소개하는 이유는 "무료"로 가장 폭 넓은 기능을 제공하기 때문이다.

IPFire

홈페이지에 가면 불타는 펭귄 캐릭터가 눈에 확 들어온다. 펭귄을 보면 리눅스를 기반으로한 제품임을 알 수 있다. Pakfire라는 자체 패키지 관리 시스템을 통해서 패키지를 추가해서 기능을 추가할 수도 있다.

집에서 미니 PC에 IPFire를 올려서 UTM으로 사용하고 있다. 가장 큰 이유는 더 많은 무선랜카드를 지원하기 때문이다. 미니 PC에 내장된 인텔 무선랜카드를 pfSense는 지원하지 않는다. UTM에 무선공유기 역할까지 통합하고 싶었기에 선택의 여지가 없었다. 그렇다고 무선랜카드를 새로 구입하기도 그렇고... 대신 이 펭귄을 볼 때마다 귀엽다는 생각이 든다 ^^

웹 프록시, 컨텐츠 필터링(SquidGuard 기반), 바이러스 스캐닝(ClamAV 기반), VPN, IDS(Snort 기반), QoS 모두 지원한다.

숨은 장점 하나는 가상화 환경과 잘 어울린다는 점이다. 어지간한 하이퍼바이저 모두 지원한다. 특히 VPN 성능을 좌우하는 암호화 부분에서 하드웨어 가속을 지원한다. AMD Geode CPU, VIA Padlock 뿐만 아니라 AES-NI까지 지원한다. 가상화 환경에서 부하가 줄어드니 딱 좋다.

사용자 인터페이스는 2000년으로 돌아간 것 같은 느낌이다. 그래도 웹 UI를 제공하는게 어디냐하는 생각으로 쓰고 있다. 전혀 모던하지 않다. 이건 각오하고 써보기 바란다.

pfSense

오픈소스 방화벽으로 가장 유명한 제품일 것 같다. 대다수의 방화벽들이 리눅스 기반인 것에 반해서 pfSense는 FreeBSD 기반이다. IPfire에게 펭귄이 있다면 pfSense는 삼지창으로 유명한 그 daemon이 있다. 다만, 이것을 방화벽으로 형상화한 캐릭터는 없다(좀 아쉽).

최근 pfSense는 하드웨어 어플라이언스 판매를 넘어서 AWS와 Azure에서 가상 어플라이언스 형태로도 제공하고 있다. 

일반적으로는 홈페이지에서 ISO 이미지를 받아서 설치해서 사용하면 된다. IPfire에 비하면 정말 훌륭한 Web UI를 제공한다. 특히, 2.3 올라오면서 였던가... 이전에 비해서 상당히 이뻐졌다. 그전의 UI가 화장전이라면 지금은 화장후라고 해야할까... 사용성 측면에서 꽤 좋아졌다.

기능적인 측면은 필요한거 다 지원한다고 생각하면 쉽다. 특히, 손쉬운 페일오버 구성은 압권인 것 같다. 가상화 위에서 게이트웨이 용으로 페일오버까지 해 놓으면 딱 좋다. VPN 구성 사례도 쉽게 찾을 수 있어 FW+VPN용으로 사용하기도 쉽다. 개인이야 큰 의미 없지만 ^^

최근에는 업데이트 되면서 650쪽에 달하는 설명서를 무료로 공개했다. 방화벽(UTM)을 좀 깊이 있게 사용하려는 분들에게 추천한다.

정리

• 펭귄이 좋다 -> IPfire
• 이쁜 UI가 좋다 -> pfSense
• 난 무선랜을 써야 한다 -> IPfire. 단, pfSense를 써야한다면 사전에 호환 제품으로 구입
• 난 다 귀찮다 -> 공유기

끝으로, 

유지보수 제대로 안하는 상용 방화벽 장비보다, 업데이트 잘되는 오픈소스가 더 훌륭하다고 생각한다. 보안은 관심이고, 프로세스니까!