.. _macOS-firewall:

macOS 방화벽 제어
=============================

macOS 네트워크 확장을 사용하여 사용자 네트워크의 트래픽을 제어합니다.

- 규칙에 따라 인바운드 및 아웃바운드 트래픽 허용 및 차단합니다.
- App BundleID, App Path, 프로토콜, 포트, 원격지IP 등의 규칙을 활용하여 네트워크 트래픽 제어할 수 있습니다.

macOS 방화벽 제어 옵션 구성
------------------------------------------------------------------------

#. **규칙 선택** : 일반 규칙과 Internet Kill Switch 규칙을 선택할 수 있습니다.
#. **일반 규칙** : 연결 차단 규칙을 제외한 모든 인터넷을 허용합니다. BlackList 방식으로 동작합니다.
#. **Internet Kill Switch** : 연결 허용 규칙을 제외한 모든 인터넷을 연결을 차단합니다. WhiteList 방식으로 동작합니다.
#. **연결 허용/차단 규칙** : 제어하고자하는 규칙의 조건을 방향, 앱 경로, 앱 번들아이디, 프로토콜, 원격지IP, 포트 등을 이용해 선택한다.
#. **알림 메시지** : 규칙에 해당되어 트래픽이 차단될 때 사용자에게 팝업 메시지를 표시합니다.
#. **중복 메시지 알림 방지** : 트래픽이 짧은 간격으로 다수 발생할 경우 중복된 알림 메시지를 표시하지 않는다.
#. **중복 메시지 알림 방지시간** : 지정한 시간동안 중복된 알림 메시지를 표시하지 않는다.

Internet Kill Switch
---------------------
VPN 터널이 비정상이거나 해제된 상태에서 단말의 일반 인터넷 트래픽을 자동 차단하여 데이터/IP 누출을 방지하는 기능입니다. 

- ZTNA 연결 관리자 액션의 항상 연결 (Always-On) 옵션과 함께 사용하여 VPN 연결 강제를 보장
ZTNA 연결 관리자 사용 방법은 :doc:`../system/ztna_client` 문서를 참고하십시오.

설정 방법
~~~~~~~~~~
VPN에 연결하기 위한 최소한의 정책을 할당합니다.
Internet Kill Switch 설정이 On일 경우 모든 인터넷 트래픽이 차단되며, WhiteList 방식으로 동작합니다.

1. 상단 항목의 **정책** 으로 이동합니다.
2. 왼쪽 정책 항목에서 **정책 > 노드정책** 으로 이동합니다.
3. Internet Kill Switch를 적용할 노드정책을 클릭합니다.
4. **노드액션** 항목에서 **MacOS 방화벽 제어** 노드액션을 할당합니다.
5. **Internet Kill Switch** 옵션을 활성화합니다.

ZTNA-Client 사용 시 아래와 같이 최소한의 정책을 할당합니다.

.. list-table::
    :header-rows: 1
    :widths: 7 7 7 16 20

    * - 방향
      - 앱
      - 로컬 IP
      - 원격 IP
      - 프로토콜

    * - 아웃바운드
      - 모두
      - 모두
      - ZTNA 게이트웨이 IP 또는 도메인
      - TCP, 사용자 지정 Port: 1194