320x100
320x100

방화벽

: 네트워크 중간에 위치하여 네트워크를 통과하는 트래픽을 사전에 주어진 정책에 맞춰 허용하거나 차단하는 장비

: 일반적으로 3, 4 계층에서 동작하며, 세션을 인지하는 SPI (Stateful Packet Inspection, 상태 기반 엔진)으로 동작

 

- SPI (Stateful Packet Inspection)

: 패킷의 출발지 및 목적지의 주소와 포트만 확인하던 기존 방화벽의 단점을 해소한 방화벽 엔진

: 패킷의 상태를 인지하여 패킷의 인과 관계와 방향성을 파악해 들어오고 나가는 패킷을 감지하여 방어

 

 

 

 

방화벽의 패킷 확인 순서

1) 장비에 패킷이 들어오면 방화벽에 정의된 세션 상태 테이블을 확인

2) 세션 조건에 맞는 경우 포워딩 테이블을 확인 (라우팅 및 ARP 포함)

3) 세션 조건에 맞지 않는 경우 방화벽 정책을 확인

4) 방화벽 정책에 맞지 않는 경우 암시적인 거부로 차단

5) 방화벽 정책에 맞는 경우 내용을 세션 테이블에 저장하고 포워딩 테이블을 확인

6) 포워딩 테이블에 맞지 않는 경우 패킷을 폐기

7) 포워딩 테이블에 맞는 경우 적절한 인터페이스로 패킷을 포워딩

 

- 5-튜플 데이터

: TCP/IP 연결을 구성하는 5개의 서로 다른 값의 집합

: 출발지 / 도착지 / IP / 포트 / 프로토콜로 구성

 

 

 

 

 

ALG (Application Layer Gateway)

: 애플리케이션  프로토콜을 확인하고 필요에 따라 세션을 인지해 포트를 열어주는 기능

: 일반적으로 PAT (Port Address Translation) 기능이 동작하는 방화벽에서 PAT를 통과하지 못하는 프로토콜들을 인지해 애플리케이션 정보를 변경해주거나 세션 테이블을 만들어주는 작업을 수행

 

 

 

 

 

NGFW (Next Generation FireWall)

: 다양한 보안 장비의 탑재된 방화벽으로 APT 방어 기능까지 제공

: 애플리케이션 영역의 방어 제공

 

 

 

UTM (Unified Threat Management Firewall)

: 물리적인 여러 엔진을  통합한 방화벽

: 애플리케이션 영역의 방어 제공

 

 

 

NFV (Network Function Virtualization)

: 네트워크 컴포넌트를 가상화하여 범용 하드웨어에 적용하는 기술

: x86 기반의 하드웨어에 가상화 서버 형태로 라우터, 방화벽, L4 스위치와 같은 장비를 탑재

: ASIC와 같은 전용 칩셋을 이용할 수 없어 성능에 한계는 있으나 서비스 체이닝 기술을 통해 새로운 서비스를 손쉽게 추가할 수 있다는 장점을 가짐

 

 

 

 

 

서버의 방화벽 설정 (운영체제 방화벽)

: 리눅스 및 윈도의 방화벽은 서버 보안을 강화하기 위해 최소한의 서비스 포트만 열어둔채 대부분의 서비스를 차단함

: 이로인해 netstat이나 ss 명령으로 웹 서비스 상태를 확인해도 정상인데 접속이 안되는 경우가 발생

 

- iptables / firewalld / UFW

: 리눅스 커널에 내장된 netfilter 모듈을 이용하여 패킷에 대한 필터링을 수행하는 프로그램

 

 

 

 

 

 

 

 

Reference

 

IT 엔지니어를 위한 네트워크 입문 | 고재성 - 교보문고

IT 엔지니어를 위한 네트워크 입문 | 클라우드/데브옵스 시대에 알아야 할 인프라 지식 서버실이 있고, 서버 관리자가 따로 있었던 시대를 지나 클라우드 서비스가 보편화되었다. 클라우드 서비

product.kyobobook.co.kr

300x250
728x90