방화벽이란? (Fire wall)

방화벽 (Fire Wall)

- 네트워크 혹은 네트워크의 사이에서 트래픽을 모니터링하고 내부의 정보를 보호하며

  외부의 불법 정보 유입을 차단하기 위한 소프트웨어 혹은 하드웨어 기반의 보안 시스템

 

- 필요성

 : 네트워크를 필터링 함으로써 서브넷 상의 있는 호스트의 위험 감소

 : 외부의 불법 침입이나 불법 정보 유입 차단

 : 사용자의 서비스 엑세스 제어

※ 서브넷 

  = 하나의 네트워크를 분할하여 나눈 작은 네트워크

  = 서브네팅을 통해 아이피를 분할하여 생성

 

 

 

 

방화벽의 주요기능

- 접근제어

 : 외부에서 내부 네트워크에 접속하는 패킷 필터링을 이용하여 접근 통제

 

- 사용자 인증

 : 트래픽에 대한 사용자의 신분을 증명

 

- 감사 및 로그

 : 트래픽에 대한 접속 정보 기록, 네트워크 사용에 대한 통계 제공

 

- Proxy 기능

 : 포워드 프록시 (2mukee.tistory.com/98)

 

- 주소변환 (NAT)

 : 발신지 호스트의 IP주소나 목적이 호스트의 IP주소를 전송단계에서 변경하여 전달

 : 보안성 강화

 : 2mukee.tistory.com/36 참조

 

 

 

 

방화벽의 한계

- Back door

 : 통신이 허용되지 않는 프로세슨 정보를 전송하는 비밀 채널을 통한 공격에 취약

 

- 바이러스 검사

 : 패킷 내용을 검사할 수 없어 이메일 등의 바이러스 대처 불가

 

- 내부 사용자 침해에 무방비

 

- 다이얼 모뎀 방어 곤란

 : 전화선에 대한 방어 불가

 

 

 

 

대응방안

- TCP Wrapper 설치 

 : 호스트 별 접근 제어

 

- 보안 감시 / 점검 리스트 활용

 

- 주기적 백업과 최신 보안 패치 적용

 

- IDS 및 IPS와 같은이용한 침입방어 기술 적용

 

 

 

 

방화벽 적용시 고려사항

- 시스템 환경에 적합한 방화벽 구성, 확장성, 신뢰성, 가용성 고려

- 해킹 방식의 지능화와 복잡화에 대비한 다기능, 기능화 방화벽 도입 고려

- 성능 저하를 방지하기 위한 Stateful Inspection(상태기반 감시, 동정패킷 필터링, 캐시개념 적용) 알고리즘 활용

 

 

 

 

 

 

 

 

방화벽의 종류

Packet Filetering

- 네트워크 계층과 전송계층에서 동작

- 특징

 : 처리속도가 우수하며 기존 애플리케이션과의 연동이 용이함

 : 하드웨어에 비의존적

- 단점

 : 강력한 로깅기능과 사용자 인증기능 불가

 

 

 

Application Gateway

- 애플리케이션 계층에서 동작

- 특징

 : 방화벽의 Proxy를 이용한 연결

 : 높은 보안정책 실현 및 바이러스 검사기능

- 단점

 : 전용 게이트웨이 사용에 따른 애플리케이션 유연성 부족

 : 하드웨어 의존적 

 

 

 

Circuit Gateway

- 세션계층과 애플리케이션 계층에서 동작

- 특징

 : 전용 게이트웨이가 아닌 일반 게이트웨이로 서비스 처리

 : 내부 IP 은닉 기능

- 단점

 : 게이트웨이 사용을 위한 클라이언트 모듈 필요

 : 지원 불가 프로토콜 존재 가능

 

 

 

Hybrid

- 대부분의 상용 방화벽의 채택방식 

- Packet Filtering + Application Gateway

- 특징

 : 내부 보안정책, 애플리케이션 등에 맞추어 선택적용 가능

 : 패킷 필터링과 애플리케이션 게이트웨이의 장점 혼합

 

 

 

 

 

 

방화벽의 구축방법

Screening Router

- 통신 프로토콜의 형태로 발신지 및 수신지 주소, 제어필드, 포트번호를 분석하여 

   패킷 트래픽의 허가 및 거절을 행하는 라우터

 

- 기능

 : IP, TCP, UDP 패킷 헤더를 분석하여 허가와 거절 판별

 : 연결 패킷의 진입 허용시 연결 단절 전까지 모든 패킷 허용

 

- 장점

 : 필터링 속도가 우수하고 비용이 저렴함

 : 네트워크 계층에서 동작하므로 클라이언트와 서버의 변화가 불필요

 : 보호하고자 하는 네트워크의 전체 보호 가능

 

- 단점

 : 패킷 필터링 규칙 및 검증의 어려움

 : 패킷 내의 데이터에 대한 공격 차단 불가

 : 패킷 Log 기록이 어려움

 : 네트워크층과 전송층에 입각한 트래픽 방어만 가능

 

 

 

 

Dual-Homed Gateway

- 하나의 네트워크 인터페이스를 외부 네트워크에 연결하고 다른 하나는 내부 네트워크에 연결하는 Bastion Host

※ Bastion Host 

  : 외부 네트워크와 내부 네트워크를 연결해주는 방화벽 역할의 호스트

  : 접근 기록, 감사 추적 및 모니터링 가능

 

- 기능 

 : 라우터 기능은 없으며, 내부 네트워크로의 진입시 허용된 패킷만 통과시킴

 

- 장점

 : 응용서비스에 종속적이기 때문에 Screening Router 보다 안전함

 : 각종 Log 생성 및 관리 용이

 : 설치 및 유지보수 용이

 : 네트워크 계층과 응용계층에서의 보호 가능

 

- 단점

 : 서비스 제공수에 따라 Proxy 소프트웨어 가격 상승

 : Bastion Host 손상시 내부 네트워크 보호 불가

 : 로그인 정보 누출시 보안 취약

 : 해커에 의한 라우팅 테이블 교체 가능

 : 고가의 구축 비용

 

 

 

 

Screened Host Gateway

- Screening Router와 Dual Homed Gateway를 혼합한 방식의 방화벽

 : 외부에서 들어오는 패킷을 Screening Router에서 필터링하여 1차방어

 : 이후 Dual Homed Gateway에서 2차 점검

 

- 장점

 : 2단계 방어를 통한 안전성

 : 네트워크 계층과 응용계층에 대한 보호 가능

 

- 단점

 : 해커에 의한 라우팅 테이블 변경 가능

 : 고가의 구축 비용

 

 

 

 

Screened Subnet Gateway

- Screening Router 사이에 Dual Home Gateway가 위치하는 구조의 방화벽

 : 내부 네트워크과 인터넷 사이에 Screened Subnet이라는 완충지역(DMZ) 개념의 서브넷 운영

 : Screen Subnet에 설치된 Bastion Host는 proxy서버를 이용하여 진입이 명확하게 허용되지 않은

  모든 트래픽을 차단

 

- 장점

 : 다단계 방어를 통한 높은 안전성

 : 네트워크 계층과 응용계층에 대한 보호 가능

 

- 단점

 : 설치 및 관리의 어려움

 : 고가의 구축비용

 : 서비스 속도의 저하

 

 

 

 

 

 

 

 

 

 

 

Refference

[네트워크 - 방화벽(Firewall)]