방화벽 (Firewall) | 역할 | 구분 | 방화벽 구조 | VPN


1) 역 할


방화벽의 기본적인 역할은 외부 네트워크로부터 내부 네트워크로 들어오는 패킷을 필터링 하여 내부 네트워크로 오지 못하게 하는 것이다. 방화벽은 소프트웨어나 하드웨어로 존재할 수 있으며, 네트워크를 통해 유입되는 불필요한 패킷, 트래픽을 차단하는 것이기 때문에 방화벽은 물리적으로 동작을 해야 한다.

 

 

2) 구 분

방화벽은 OSI 7계층에서 어느 계층에 위치해 있느냐에 따라 크게 구분이 된다.

 

2-1) 네트워크 계층 방화벽 구조

주로 TCP/IP의 네트워크 계층에서 동작하는 이 방화벽은 외부 네트워크와 내부 네트워크 사이를 통과하는 패킷을 무조건 방화벽을 거치게 해서 사전에 설정해 놓은 정책을 만족시키지 못하면 통과하지 못하게 하는 형태의 방화벽이다. 패킷 필터링은 IP 패킷을 보고 송/수신처의 주소, /수신처의 포트번호, 흐르는 방향을 체크하여 통과 여부를 결정하게 된다. 장점은 사용자는 방화벽의 존재도 모를 정도로 처리 속도가 빠르며, 방화벽을 쉽게 구현할 수 있지만, 지나가는 모든 패킷에 대해 정책을 검사해야 하므로 정책이 많아진다면 처리 속도가 느려진다.


장점

단점

속도가 빠르다.

데이터를 분석할 수 없다.

가격이 저렴하다.

IP Spoofing에 취약하다.

사용자에게 투명하다.

규칙 생성과 적용이 복잡하다.

기존 서비스의 수정을 필요로 하지 않는다.

보안 기능이 약하다.


패킷 필터링 방화벽은 네트워크 계층과 전송 계층 헤더의 정보를 기반으로 한다. (IP, TCP/UDP) 그러나 정책만으로 80번 포트를 사용할 패킷에 대해서 그룹을 나눌 수 없으므로 응용 계층에서 검사를 해야 한다.

 

2-2) 응용 계층 방화벽 구조

응용 계층의 방화벽은 내부 네트워크에 프록시 서버를 설치하여 내부 네트워크와 외부 네트워크가 직접적으로 통신을 하지 않기 때문에 외부에서의 공격에서부터 보호될 수 있다. 내부 네트워크에서 외부 네트워크로 통신을 요청하면 프록시 서버에 있는 방화벽에서 유해성 검사를 위하여 방화벽에서 해당 세션을 종료한 후에 새로운 세션을 생성하여 외부 네트워크의 목적지로 전송을 하는 방식이다. 세션을 종료했을 때 검사를 하여 해당 패킷이 안전한지 아닌지를 판별한다. 패킷 필터링 방화벽보다 더 많은 부하가 걸려서 속도가 느리지만 더 많은 검사를 할 수 있으며, 포트 변경 등 추가적인 기능을 사용할 수 있다.

 

2-3) 네트워크 주소 변환 (NAT)

간단하게 인터넷 공유기를 생각하면 된다. 각 가정에서 사용하는 인터넷 공유기도 외부 네트워크 (ISP)와 내부 네트워크 (개인 PC) 사이에 위치하여 트래픽을 확인하면서 간단한 방화벽 역할을 할 수 있다. (설정 시) NAT은 내부 네트워크에서 사용하는 IP와 외부에 드러나는 IP를 다르게 보이도록 하는 기능을 하면서 보안 기능을 하게 된다. 또한 외부 IP 주소보다 더 많은 내부 IP(가상 IP)를 사용하여 통신을 할 수 있게 해주기 때문에 통신이 필요한 모든 컴퓨터 수 만큼의 IP주소가 필요가 없다.


3) VPN 사용

방화벽은 트래픽을 검사하는 것 이상의 일을 해야 할 경우가 있다. 내부 네트워크와 외부 네트워크가 통신을 할 때의 트래픽을 암호화, 복호화 하는 것이다. VPN은 가상 사설망으로 사용자가 외부에서 인터넷을 사용하여 내부 네트워크에 원격 접속을 할 수 있도록 해준다. 외부에서 접속을 하기 때문에 신뢰된 회선을 통해서만 연결 해야만 하므로 보안 네트워크 연결을 제공할 때 사용된다. 주로 VPN은 여러 지역에 퍼져있는 기업에서 사용 되서 다른 지역에 있지만 사내 내부 네트워크를 사용할 수 있도록 만들어 준다.

많이 사용되는 VPN 구조는 호스트-호스트, 호스트-게이트웨이, 게이트웨이-게이트웨이 이다. 이 중 게이트웨이-게이트웨이가 가장 많이 사용되며 위에 언급한 여러 지역에 퍼져있는 기업에서 본사와 지사를 인터넷으로 망을 연결해서 사내 네트워크를 구성하게 된다. 게이트웨이 끼리 연결되어 있으니 일반 사용자는 다른 설정이 필요 없다. 호스트-게이트웨이 구조는 개인이 인터넷을 사용하여 원격지의 게이트웨이에 연결하여 게이트웨이의 보안수준, 게이트웨이의 내부 네트워크를 사용하는 것이다. 호스트-호스트 구조는 서버에서 서버로 연결을 하여 원격 관리를 하는데 사용을 한다.

게이트웨이-게이트웨이와 호스트-게이트웨이 구조는 대개 VPN이 방화벽 자체에 포함이 되어있다. 만약 VPN이 방화벽보다 하단에 있다면 보안된 VPN은 암호화가 되어 방화벽을 통과하게 되므로 방화벽에서는 암호화된 VPN 트래픽을 검사하지 않도록 해야 한다. 방화벽에서 VPN을 사용하면 VPN 트래픽의 양과 사용하는 암호화 기법에 따라서 추가적인 자원이 필요하기 때문에 VPN을 포함한 방화벽을 구축할 때는 사용할 VPN의 종류와 예상되는 처리 용량을 고려해서 구축하여야 한다.

 



자료를 이용할 때는 출처를 밝히시기 바랍니다.

+ Recent posts