방화벽 시스템 구축하는 법
로빈아빠
본문
방화벽 시스템을 구축하려면 개념적으로 네트워크 레벨(Network Level) 방
화벽 시스템과 응용 레벨(Application Level) 방화벽 시스템으로 구분할 수 있다.
이러한 2가지 타입에 대해 어떤 것이 좋고 어떤 것이 나쁘다는 식의 판단을 내리
기는 어려운 점이 있지만 기관의 요구사항에 어떤 것이 부합되는지를 잘 판단하
는 것이 좋다.
1)네트워크 레벨 방화벽
네트워크 레벨의 시스템은 IP 패킷의 'Source/Destination' 어드레스와 포트
에 의해 결정하게 된다. 단순한 라우터는 낡은 방식의 네트워크 레벨 방화벽을
제공하는데, 이것은 어떤 패킷이 동작하는지 어떠한 네트워크에서 왔는지를 판단
해야 하는 복잡한 규칙에 대해 판단하기 어렵다. 현재의 네트워크 레벨 방화벽은
매우 복잡해져서 허용된 접속들의 상태와 어떤 종류의 데이터 내용 등을 관리할
수 있다.
한가지 중요한 구별점은 네트워크 레벨 방화벽이 라우트를 직접 제어할 수
있으며, 할당된 IP 블럭을 정당하게 사용할 수 있도록 해준다는 점이다. 네트워크
레벨 방화벽은 매우 빠르며, 사용자에게 투명한 서비스를 보장한다.
'스크린 호스트 방화벽' 이라고 할 수 있으며, 하나의 호스트에서의 접근제어
가 네트워크 레벨에서 동작하는 라우터에서 이루어지며, 이때의 하나의 호스트란
'Bastion Host'이다.
또한, '스크린 서브네트 방화벽'이라는 것으로 구현될 수 있으며 이것은 네트
워크 레벨에서 동작하는 라우터가 하나의 전체 네트워크에 대한 접근제어를 할
수 있음을 말한다. 스크린호스트의 네트워크란 점만 빼면 스크린 호스트와 유사
한다.
2)응용 레벨 방화벽
응용 레벨 방화벽은 2개의 네트워크 간에 항상 직접적인 트래픽을 막고, 트
래픽에대해 로그, Audit 기능 등이 지원되는 프록시를 실행하는 기계를 말한다.
프록시 응용은 방화벽의 소프트웨어 부분이므로 많은 로그와 접근 제어 기능을
주는 것이 좋은 것이다. 응용레벨 방화벽은 어드레스 번역기로 사용될 수 있다.
어떤 쪽에서 들어와 다른 쪽으로 나가기 때문에 처음 시도한 접속에 대해 효과적
인 마스킹을 할 수 있는 것이다. 이렇게 중도에 응용을 가지는 것은 어떤 경우에
는 성능에 문제를 가질 수 있으며, 투명성이 보장되지 않는다. TIS 툴킷 등에 구
현된 것과 같은 초기 응용 레벨 방화벽은 일반 사용자에게 투명하지도 않으며,
어떤 연습이 필요하였다. 최근의 응용 레벨 방화벽은 투명성이 보장되며, 보다 상
세한 결산 보고와 네트워크 레벨 방화벽보다 보다 온전한 보안 모델을 제공하고
있다.
'이중 네트워크 게이트웨이(Dual-Homed Gateway)'가 있을 수 있다. 이는
프록시를 실행하는 고도의 보안이 제공되는 시스템. 2개의 네트워크 인터페이스
를 가지고 하나의 네트워크 인터페이스에 대해서는 모든 트래픽이 그냥 통과되는
것을 막는다.
미래의 방화벽시스템은 네트워크 레벨과 응용 레벨 방화벽의 복합형이될 것
으로 예상된다. 이것의 의미는 네트워크레벨에서는 보다 상위의 기능을 가지려
하고 응용레벨에서는 보다 하위 기능을 가지려 하기 때문이다. 최종 결과는 아마
매우 빠른 패킷 스크린 기능과 모든 트래픽에 대한 로그와 심사 등이 예측되며,
특히 네트워크를 통해 전달되는 트래픽의 보호를 위해 암호 기법이 사용되리라고
보여진다.
화벽 시스템과 응용 레벨(Application Level) 방화벽 시스템으로 구분할 수 있다.
이러한 2가지 타입에 대해 어떤 것이 좋고 어떤 것이 나쁘다는 식의 판단을 내리
기는 어려운 점이 있지만 기관의 요구사항에 어떤 것이 부합되는지를 잘 판단하
는 것이 좋다.
1)네트워크 레벨 방화벽
네트워크 레벨의 시스템은 IP 패킷의 'Source/Destination' 어드레스와 포트
에 의해 결정하게 된다. 단순한 라우터는 낡은 방식의 네트워크 레벨 방화벽을
제공하는데, 이것은 어떤 패킷이 동작하는지 어떠한 네트워크에서 왔는지를 판단
해야 하는 복잡한 규칙에 대해 판단하기 어렵다. 현재의 네트워크 레벨 방화벽은
매우 복잡해져서 허용된 접속들의 상태와 어떤 종류의 데이터 내용 등을 관리할
수 있다.
한가지 중요한 구별점은 네트워크 레벨 방화벽이 라우트를 직접 제어할 수
있으며, 할당된 IP 블럭을 정당하게 사용할 수 있도록 해준다는 점이다. 네트워크
레벨 방화벽은 매우 빠르며, 사용자에게 투명한 서비스를 보장한다.
'스크린 호스트 방화벽' 이라고 할 수 있으며, 하나의 호스트에서의 접근제어
가 네트워크 레벨에서 동작하는 라우터에서 이루어지며, 이때의 하나의 호스트란
'Bastion Host'이다.
또한, '스크린 서브네트 방화벽'이라는 것으로 구현될 수 있으며 이것은 네트
워크 레벨에서 동작하는 라우터가 하나의 전체 네트워크에 대한 접근제어를 할
수 있음을 말한다. 스크린호스트의 네트워크란 점만 빼면 스크린 호스트와 유사
한다.
2)응용 레벨 방화벽
응용 레벨 방화벽은 2개의 네트워크 간에 항상 직접적인 트래픽을 막고, 트
래픽에대해 로그, Audit 기능 등이 지원되는 프록시를 실행하는 기계를 말한다.
프록시 응용은 방화벽의 소프트웨어 부분이므로 많은 로그와 접근 제어 기능을
주는 것이 좋은 것이다. 응용레벨 방화벽은 어드레스 번역기로 사용될 수 있다.
어떤 쪽에서 들어와 다른 쪽으로 나가기 때문에 처음 시도한 접속에 대해 효과적
인 마스킹을 할 수 있는 것이다. 이렇게 중도에 응용을 가지는 것은 어떤 경우에
는 성능에 문제를 가질 수 있으며, 투명성이 보장되지 않는다. TIS 툴킷 등에 구
현된 것과 같은 초기 응용 레벨 방화벽은 일반 사용자에게 투명하지도 않으며,
어떤 연습이 필요하였다. 최근의 응용 레벨 방화벽은 투명성이 보장되며, 보다 상
세한 결산 보고와 네트워크 레벨 방화벽보다 보다 온전한 보안 모델을 제공하고
있다.
'이중 네트워크 게이트웨이(Dual-Homed Gateway)'가 있을 수 있다. 이는
프록시를 실행하는 고도의 보안이 제공되는 시스템. 2개의 네트워크 인터페이스
를 가지고 하나의 네트워크 인터페이스에 대해서는 모든 트래픽이 그냥 통과되는
것을 막는다.
미래의 방화벽시스템은 네트워크 레벨과 응용 레벨 방화벽의 복합형이될 것
으로 예상된다. 이것의 의미는 네트워크레벨에서는 보다 상위의 기능을 가지려
하고 응용레벨에서는 보다 하위 기능을 가지려 하기 때문이다. 최종 결과는 아마
매우 빠른 패킷 스크린 기능과 모든 트래픽에 대한 로그와 심사 등이 예측되며,
특히 네트워크를 통해 전달되는 트래픽의 보호를 위해 암호 기법이 사용되리라고
보여진다.
관련링크
댓글목록
등록된 댓글이 없습니다.