네트워크 방화벽의 종류

방화벽

: 미리 정의된 보안 규칙에 기반하여 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 보안 시스템

: 서로 다른 네트워크를 지나는 데이터를 허용 및 거부, 검열, 수정하는 등의 기능을 갖춘 소프트웨어 혹은 그러한 소프트웨어를 구동시키는 하드웨어 장치

 

 

 

 

방화벽의 기능

접근 통제 (Access Control)

: 허용된 서비스, 이메일 서버, 공개정보 서버와 같은 특정 호스트를 제외한 외부에서의 접속을 패킷 필터링이나 프록시를 통해 통제

 

 

인증 (Authentication)

- 메시지 인증

: VPN과 같이 신뢰할 수 있는 통신선을 통해 전송되는 메시지 신뢰성 보장

 

- 사용자 인증

: 방화벽을 지나가는 트래픽에 대해 사용자가 누구인지 증명 (OTP, 토큰, 패스워드 등)

 

- 클라이언트 인증

: 모바일과 같이 특수한 클라이언트에 대해 인가된 호스트인지 확인

 

 

감사 및 로그 (Auditing / Logging)

: 정책 설정 및 변경, 관리자 접근, 네트워크 트래픽 허용 또는 차단과 관련한 사항등 접속 정보를 로그로 저장

 

 

프라이버시 보호 (Privacy Protection)

: 이중 DNS, 프록시, NAT 등을 통한 내부 네트워크와 외부 네트워크 간 중개

 

 

서비스 통제 (Service Control)

: 안전하지 못하거나 위험성이 존재하는 서비스 필터링

 

 

데이터 암호화 (Data Encryption)

: 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화

 

 

 

 

방화벽의 한계점 

- 악성 소프트웨어 침투 방어

: 방화벽은 패킷의 IP 주소와 포트번호로의 접근제어만 수행하기 때문에 바이러스, 웜, XSS 코드와 같이 문서나 프로그램 내부의 악성코드를 탐지할 수 없음

 

- 내부 사용자의 공격

: 내부 사용자가 방화벽을 우회하여 접속할 경우 방어 불가

 

- 새로운 형태의 공격

: 방화벽은 예측된 접속에 대한 규칙을 세우고 이에 대해서만 방어를 수행

 

 

 

 

방화벽의 동작 방식

패킷 필터링

: 데이터링크 계층에서 네트워크 계층으로 전달되는 패킷을 가로채고 패킷 안의 주소와 서비스 포트를 검색하여 정의된 보안 규칙에 따라 서비스의 허용 여부 결정

: 가장 기초적인 방화벽 방식으로 네트워크 및 전송 계층에서 동작

 

- 장점

: 다른 방식에 비해 필터링 속도가 빠르고 낮은 네트워크 계층에서 동작하기 때문에 기존 애플리케이션과 연동이 용이함

 

- 단점

: 하드웨어에 의존적이지 않으나, 강력한 로깅 기능이나 사용자 인증이 힘듦

: 패킷 내의 데이터를 활용한 공격차단 불가

 

 

 

상태 추적

: 2세대 방화벽으로, 내부 데이터를 이용한 공격 취약성이 보완됨

: 네트워크 계층에서 패킷을 처리하면서도 프로토콜의 상태 정보 테이블을 유지하여 프로토콜 특성에 따른 병화를 동적으로 대응

 

- 장점

: 패킷 필터링 가능에 세션 추적 기능울 추가하여 네트워크 서비스의 순서를 추적하고 순서에 위배되는 패킷들은 모두 차단

: 모든 통신 채널에 대해 추적이 가능하며 UDP와 RPC 패킷 또한 추적 가능

 

- 단점

: 상태 테이블에 DOS나 DDOS 공격에 의한 거짓 정보가 가득찰 경우 장비가 다운될 수 있음

: 재구동 시 현재 연결에 대한 모든 정보를 잃어버려 정당한 패킷에 대한 거부 발생 가능 

 

 

 

애플리케이션 게이트웨이

: 3세대 방화벽으로, 애플리케이션 계층까지 동작하여 패킷의 헤더 내 데이터 영역까지 검사 가능

: 서비스 별로 프록시가 구동되어 각 서비스 요청에 대해 방화벽 접근 규칙 적용 및 대신 연결도 가능

: 패킷 필터링 방식보다 높은 보안 설정이 가능하며, OTP를 이용한 사용자 인증 제공

 

- 장점

: 세션에 대한 정보를 추적할 수 있으며 컨텐츠 보안이 가능

 

- 단점

: 네트워크에 많은 부하를 주며, 하드웨어에 의존적임

: 미리 정의된 애플리케이션만 수용 가능

 

 

 

서킷 게이트웨이

: 세션 계층과 애플리케이션 계층 사이에서 접근 제어

: 사용자 측 PC에는 방화벽의 대표 프록시와 통신하기 위한 수정된 클라이언트 프로그램 필요

 

- 장점

: 대표 프록시를 이용하기 대문에 어느 서비스 프로토콜에도 방화벽 적용 가능

: 수정된 클라이언트 프로그램이 설치된 사용자에 대해서는 별도의 인증 절차 없이 투명한 서비스 제공

 

- 단점

: 사용자들에게 수정된 클라이언트 프로그램을 배포해야함

 

 

 

하이브리드

: 패킷 필터링과 애플리케이션 방식을 혼합한 방식

: 다양한 응용 서비스의 수용을 패킷 필터링 방식으로 필터링 수행

 

- 장점

: 내부 보안 정책 및 애플리케이션 등에 맞춰 선택적인 보안 설정 가능

: 여러 유형의 방화벽 특징을 보유하므로 커버할 수 있는 범위가 넓음

 

- 단점

: 관리가 복잡하여 전문적인 네트워크 컨설팅이 필요

 

 

 

 

 

Reference

[네트워크] 방화벽(Firewall) (1) - 개념, 기능, 동작방식