보안 인프라 실습 — ESXi 기반 멀티 네트워크 보안 환경 구축
🛡️ VMware ESXi · pfSense · ModSecurity · OWASP CRS · VyOS 기반 실전 보안 실습
Network Segments
구성한 가상 네트워크
5개 세그먼트
WAN / DMZ / SOC / DEV / FW
WAF Rule Coverage
OWASP CRS 적용 범위
30개+ 공격 카테고리
SQLi · XSS · LFI · RCE 포함
Troubleshooting
직접 해결한 이슈
6건 해결
라우팅 · 빌드 · 룰 충돌 등
실습 목적
이론으로만 배운 보안 솔루션을 실제 인프라 위에서 직접 구축하고, 트래픽 차단·허용 정책을 설정하며 동작을 검증하는 것을 목표로 했습니다. 단순 설치에 그치지 않고, 방화벽 룰 우선순위 오류·비대칭 라우팅·빌드 의존성 누락 등 실전에서 마주치는 트러블슈팅을 직접 해결하는 과정을 중심으로 진행했습니다.
VMware ESXi 위에 5개의 네트워크 세그먼트를 설계하고, VyOS 라우터 → pfSense 방화벽 → ModSecurity WAF까지 보안 레이어를 단계별로 쌓아올렸습니다.
실습 구성 요약
총 2개 실습 시리즈(5편)와 독립 실습 1편으로 구성되어 있습니다.
환경 구성
2편
ESXi 설치
Ubuntu + Kali 배포
Ubuntu + Kali 배포
네트워크
3편
가상 스위치
VyOS · pfSense
VyOS · pfSense
WAF
1편
ModSecurity
OWASP CRS
OWASP CRS
검증
TCPdump
패킷 분석으로
동작 확인
동작 확인
실습 상세
실습 환경 구성 시리즈 1 / 2
Type 1 하이퍼바이저인 VMware ESXi를 물리 서버에 직접 설치하여 보안 실습용 가상화 환경의 기반을 마련했습니다. Type 1(베어메탈)과 Type 2(호스트 OS 기반) 가상화 방식의 성능·격리 차이를 비교하고 ESXi 선택 근거를 분석했습니다.
게시글 보기 실습 환경 구성 시리즈 2 / 2
WAF, LB, IPS 설치 대상 Ubuntu 20.04 서버(CPU 1코어, 100GB)를 ESXi에 배포했습니다. 침투 테스트 전용 OS인 Kali Linux를 함께 구성하여 공격자 관점의 검증 환경을 준비하고, Metasploit 등 수백 개의 내장 보안 도구와 OSCP 인증 연계 구조를 파악했습니다.
게시글 보기 인프라 네트워크 구성 시리즈 1 / 3
5개의 가상 네트워크 구간(route-att-net / route-fw-net / dmz-net / soc-net / dev-net)을 VMware 가상 스위치로 분리하여 실제 기업 보안망에 준하는 토폴로지를 설계했습니다. 공격자 VM(10.44.44.44), 방화벽, WAF, LB, 웹서비스, 정보보호본부, 개발망을 각 세그먼트에 배치했습니다.
게시글 보기 인프라 네트워크 구성 시리즈 2 / 3
Linux 기반 소프트웨어 라우터 VyOS를 OVA 형식으로 ESXi에 배포하고, 멀티 NIC 환경에서 NAT 대역(192.168.111.0/24)을 설정했습니다. NIC의 MAC 주소를 직접 확인하여 인터페이스를 정확히 매핑하고, 라우팅 설정을 CLI로 구성·검증했습니다.
게시글 보기 인프라 네트워크 구성 시리즈 3 / 3
FreeBSD 기반 오픈소스 방화벽 pfSense를 5-NIC 구성으로 설치하고, WAN/LAN 인터페이스에 고정 IP를 부여한 뒤 WebUI로 관리 환경을 마련했습니다. DMZ 구간에 취약한 웹앱(bWAPP/bee-box)을 OVF로 배포하고, VyOS Static Route와 pfSense 포트포워딩 규칙을 조합해 외부 접근 허용·차단 정책을 구현했습니다. Squid, SquidGuard, Darkstat 패키지를 추가 설치하여 방화벽 기능을 확장하고, pfSense 버전 업그레이드(2.7.0 → 2.7.2) 트러블슈팅도 직접 수행했습니다.
게시글 보기 독립 실습
Ubuntu 20.04 + Nginx 환경에 ModSecurity v3를 소스 컴파일로 설치하고 동적 모듈로 로드했습니다. 커스텀 SecRule을 작성하여 특정 파라미터가 포함된 요청을 403으로 차단하는 동작을 TCPdump 패킷 분석으로 검증했습니다. 도메인 기반 리버스 프록시 설정으로 WAF → 실제 웹서비스 흐름을 구현하고, OWASP CRS v3.2.0으로 SQLi, XSS, LFI, RCE 등 30개+ 공격 카테고리를 탐지하는 환경을 완성했습니다.
게시글 보기 기술 스택
가상화
VMware ESXi
VMware Workstation
OVA / OVF 배포
VMware Workstation
OVA / OVF 배포
네트워크
VyOS
Static Route
NAT / VLAN 분리
Static Route
NAT / VLAN 분리
방화벽
pfSense
Firewall Rule
포트포워딩 / NAT
Firewall Rule
포트포워딩 / NAT
웹 보안
ModSecurity v3
OWASP CRS 3.2
Nginx 리버스 프록시
OWASP CRS 3.2
Nginx 리버스 프록시
분석 / 모니터링
TCPdump
Squid / SquidGuard
Darkstat
Squid / SquidGuard
Darkstat
OS / 플랫폼
Ubuntu 20.04
Kali Linux
Linux Mint
Kali Linux
Linux Mint
Key Learnings
→ pfSense에서 허용 규칙이 없는 네트워크 대역은 묵시적 차단(Implicit Deny)됨을 실험으로 직접 확인
→ VyOS Static Route 없이는 방화벽 너머 대역의 패킷이 돌아오지 못하는 비대칭 라우팅 문제를 경험하고 해결
→ pfSense Rule 우선순위 오류로 포트포워딩이 동작하지 않는 문제를 디버깅하고, Reserved Networks 옵션 해제로 해결
→ pfSense 패키지 설치 실패 원인 파악 후
certctl rehash로 인증서를 갱신하고 2.7.0 → 2.7.2로 수동 업그레이드→ ModSecurity 빌드 시
libmodsecurity-dev 의존성 누락 오류를 파악하고 추가 설치로 해결→ HTTPS 구간에서 IPS/IDS가 탐지하지 못하는 암호화 트래픽을 WAF가 복호화 후 7계층 검사하는 구조를 이해
→ OWASP CRS와 커스텀 룰의 ID 충돌 문제를 설정 파일 주석 처리로 해결하고 nginx를 무중단 재시작으로 적용
'보안 > 보안 도구 실습' 카테고리의 다른 글
| [인프라 네트워크 구성] - 3. 방화벽(pfSense) 및 DMZ 설정 (0) | 2026.03.05 |
|---|---|
| [인프라 네트워크 구성] - 2. VyOS 라우터 설치와 기본 네트워크 설정 (0) | 2026.02.15 |
| [인프라 네트워크 구성] - 1. 가상 스위치를 사용한 네트워크 분리 (0) | 2026.02.15 |
| [실습 환경 구성] - 2. Ubuntu 설치 및 KaliLinux 배포 (0) | 2026.02.15 |
| [실습 환경 구성] - 1. VMWare ESXi 개념 및 설치 (0) | 2026.02.15 |