네트워크 보안장비 관련 글 보기
네트워크 보안장비 이해하기 1(IDS 알아보기)
Firewall(방화벽)
외부 침입으로부터 내부를 보호하고자 정책 기반으로 이를 지원하는 하드웨어 또는 소프트웨어
1. 방화벽 방식
패킷 필터링(Packet Filtering) 방식(1세대 방식)
Network, transport layer(TCP/IP 프로토콜)에서 동작
정해진 룰에 따라 Source IP, Destination IP, Port 이용해서 접속 제어
일반적으로 스크린 라우터를 이용한 방식으로 사용
속도 빠르고 새로운 서비스에 연동 수월하지만 spoofing 공격(IP 변조)에 취약
응용 게이트웨이(Application Gateway) 방식(2세대 방식)
Application layer에서 동작
외부 네트워크와 내부 네트워크가 방화벽 proxy만을 이용해 연결(proxy gateway라고도 함)
Application layer에서 동작하므로 네트워크에 부하 많이 걸리고 하드웨어 의존적
서킷 게이트웨이 방식(Circuit Gateway) 방식
하나의 일반 게이트웨이로 모든 서비스 처리
Session, Presentation, Application layer에서 동작
게이트웨이 사용을 위한 수정된 모듈 필요
지원 불가한 프로토콜 발생 가능
상태 검사(Stateful Inspection) 방식
패킷 필터링 방식 기반에 추가적으로 일정시간동안의 프로토콜 상태정보를 유지
패킷 필터링, 응용 게이트웨이, 서킷 게이트웨이 방식 단점 보완
보안성 높아지는 만큼 관리가 어렵고 복잡해짐
2. 침입 차단 시스템 구축 형태
간단히 보면 다음과 같은 구성 방식이 있다.
베스쳔 호스트 : 게이트웨이 역할
스크리닝 라우터 구조 : 라우터를 이용 I/O 패킷 필터링 진행
이중 네트워크(듀얼 홈드) 호스트 구조 : 두개의 인터페이스 가짐, 베스천 호스트 역할
스크린드 호스트 게이트웨어 구조 : 듀얼 홈드 / 스크리닝 결함 구조
스크린드 서브넷 구조 : DMZ 완충 지역 역할
베스쳔 호스트(Bastion Host)
내/외부 사이 게이트웨이 역할
라우터(스크리닝 라우터 역활) 뒤에 구성되는 방식, 방화벽 구성 시 필수 요소
외부 공격에 방어 정책이 구현되어 있는 네트워크에서 외부 접속에 대한 일차적인 연결을 받는 시스템
베스천호스트가 손상되면 내부 네트워크 보호 불가
스크리닝 라우터(Screening Router)
라우터에서 IP, TCP, UDP 헤더 분석해서 패킷 트래픽 허용 여부 결정하는 방식
필터링 속도 빠르고 구성 간단함
듀얼 홈드 호스트(Dual-Homed Host Gateway)
내/외부 네트워크 사이에 2개의 인터페이스 가짐(하나의 인터페이스는 내부와 연결, 다른 하나는 외부와 연결)
라우팅 기능 없는 방화벽을 설치하는 형태
모든 패킷 검사 및 필터링 하므로 높은 성능이 요구
소규모 네트워크에 적합
스크린드 호스트(Screened Host Gateway)
스크리닝 라우터 + 듀얼 홈드 게이트웨이
1차로 스크리닝 라우터가 network, transport layer 필터링
2차로 배스천 호스트가 application layer 체크
스크린드 서브넷(Screened Subnet Gateway)
2개의 스크린드 호스트 + 듀얼 홈드 게이트웨이
1차로 스크린 라우터에서 필터링 후 베스천호스트에서 검증, 다시 라우터에서 필터
내부 네트워크 윗단에 DMZ(Demilitarized Zone) 두고 여기서 완충지역 역할 수행
강력한 보안성 제공하지만 그만큼 돈이 들어가는 문제
3. 방화벽 정책
Whitelist 방식(Deny All 정책)
모든 트래픽 차단 후 허용할 트래픽에 대해서만 정책에 등록하는 방식
주로 외부에서 내부로 들어오는 트래픽에 대하여 다음의 방식 사용
Blacklist 방식(Permit All 정책)
모든 트래픽 허용 후 차단할 트래픽에 대해서만 정책에 등록하는 방식
주로 내부에서 외부로 나가는 트래픽에 대하여 다음의 방식 사용
