참고)
https://blueyikim.tistory.com/m/953
[보안] 웹 관리 콘솔 접속 제어
보안상 이유로 WebLogic 관리 콘솔 접속 허용을 WAS 관리자 또는 특정 사용자에게만 허용하고자 하는 경우에는 방화벽을 활용할 수도 있지만, WebLogic에서 제공하는 보안 필터 클래스를 활용하여 설
blueyikim.tistory.com
보안 등의 이유로 웹로직 admin 콘솔을 특정 ip만 접근 가능하게 하고 나머지 ip는 차단하도록 설정할 수 있다
1. 콘솔 - 도메인명 - 보안 - 필터 탭 클릭
2. 접속 필터 설정
weblogic.security.net.ConnectionFilterImpl
3. 접속 필터 규칙 설정
[규칙 포맷]
[TargetAddress] [LocalAddress] [LocalPort] [Action] [Protocols]
TargetAddress : 한 개 이상의 대상 시스템 (ip 또는 호스트명)
LocalAddress : WebLogic 인스턴스가 기동중인 호스트 정보 (* 표시는 모든 로컬 주소를 의미)
LocalPort : WebLogic 인스턴스가 Listening 하고 있는 로컬 포트 (WebLogic Admin Console에 대한 설정이면 AdminServer 포트 입력)
Action : allow 또는 deny
Protocols : http, https, t3, t3s 등 프로토콜(설정하지 않으면 모든 프로토콜에 해당됨)
* 각 규칙은 한 줄에 작성 (enter로 구분)
* 규칙의 토큰은 공백으로 구분됨
* 파운드 기호(#)는 주석 문자. 줄에서 파운드 기호 뒤의 모든 것은 무시됨
* 규칙 앞이나 뒤의 공백은 무시됨
* 공백이나 주석으로만 구성된 줄은 건너뜀
* 필터는 도메인의 모든 서버에 대해 활성화됨
* 필터는 config.xml 파일에 저장됨
ex) 192.168.1.0 ~ 192.168.1.255 (C클래스) 범위의 ip에서만 7001 포트 접근을 허용하는 설정
192.168.1.0/255.255.255.0 * 7001 allow
※ /255.255.255.0과 /24는 동일한 의미
ex) 192.168.x.x 대역을 가진 ip에서만 8002 포트 접근을 차단하는 설정
192.168.1.0/16 * 8002 deny
※ /255.255.0.0과 /16은 동일한 의미
ex) 모든 ip에 대해 7001 포트로 Listen하는 http, https 프로토콜에 대해 접근을 차단하는 설정 (t3, t3s 가능)
* * 7001 deny http https
ex) 특정 ip만(C클래스) 어드민 콘솔 접근 가능하고 나머지는 차단하는 설정
client ip : A.A.A.A
console ip : B.B.B.B
A.A.A.A/24 B.B.B.B 7002 allow
* B.B.B.B 7002 deny http https (t3, t3s도 차단하면 서버 기동/중지가 안됨)
!! deny 설정의 경우 0.0.0.0/0으로 설정할 수도 있지만 이 경우 다른 서비스 포트까지 막을 수 있음에 유의
ex) 0.0.0.0/0 192.168.56.1 7001 deny -> * 192.168.56.1 7001 deny
4. 설정 저장 후 변경 내용 활성화
5. admin, managed 서버 재기동 후 서비스 정상 동작 확인
※ 필터 설정이 잘못되어 서버가 기동 안되는 경우
1. 서버 중지
2. config.xml에서 <connection-filter>, <connection-fileter-rule> 태그 부분 삭제
3. 서버 재기동
'WAS > WEBLOGIC' 카테고리의 다른 글
| 41. 웹로직 thread 확인 및 튜닝 (0) | 2024.05.28 |
|---|---|
| 40. 웹로직 인코딩 에러 (0) | 2024.05.28 |
| 38. wlst를 사용한 데이터소스 패스워드 변경 (0) | 2024.05.27 |
| 37. 데이터 소스 옵션 (0) | 2024.05.24 |
| 36. 웹로직 도메인명 변경 (0) | 2024.05.24 |
