방화벽

보안/정보보안기사 / / 2020. 3. 9. 11:45
반응형

침입 차단 시스템(Firewall)


가장 기본적인 네트워크 보안 장비이다,

네트워크를 경유해서 내부 시스템으로 진입하는 트래픽을 모니터링하고 접근통제를 적용하며 시스템에 접근이 허용 가능한 사용자,IP,Port를 결정한다.반대로 접근 못하는 블랙리스트IP를 등록하고 차단할 수도 있다.



-인바운드

외부 네트워크에서 내부 네트워크로 들어오는것을 의미

-아웃바운드

내부에서 외부로 나가는 것을 의미


시스템 구현 방식에 따른 유형


-패킷 필터링

Network계층과 transport 계층에서 작동

OSI7계층에서 네트워크 계층과 트랜스포트 계층에 있는 데이터를 가지고 인바운드와 아웃바운드 서비스를 제공하는 것

네트워크 계층은 IP주소,트랜스포트 계층은 포트번호와 프로토콜 종류

특정IP,프로토콜,포트차단 및 허용을 할수 있다.



-애플리케이션 게이트웨이

Application 계층에서 작동

어플리케이션 게이트웨이는 응용계층에서 기동하기 때문에 접근통제,로그관리등의 막강한 기능을 하고 있지만 성능이 느리다는 단점이 있다.

Proxy를 이용한다.

가장 강력한 Logging 과 Audit 기능을 제공

새로운 서비스에 대한 유연성이 결여



-회선 게이트웨이

Application~Session계층 상이


-상태 기반 패킷 검사

OSI전계층

OSI 전계층에서 패킷의 콘텐츠를 해석해서 침입 차단을 제공하는 가장 강력한 기능

방화벽 표준

서비스에 대한 특성 및 통신 상태를 관리할 수 있기 때문에 돌아다가는 패킷에 대해서는

동작으로 접근 규칙을 자동 생성




침입 차단 시스템 구축 유형


https://realforce111.tistory.com/62

위사이트 참조


스크리닝 라우터



IP,TCP,UDP헤더 부분에 포함된 내용만 분석하여 동작하며 내부 네트워크와 외부네트워크 사이의 트래픽을 perm/drop하는 라우터


장점

필터링 속도가 빠르고 비용이 적다.

클라이언트와 서버 환경 변화 없이 설치가 가능


단점

OSI3,4계층만 방어하여 필터링 규칙을 검증하기 어려움

패킷내의 데이터는 차단불가 및 로그 관리가 어려움






베스천호스트


내부 네트워크 전면에서 내부 네트워크 전체를 보호하며 외부 인터넷과 내부 네트워크를 연결하는 라우터 뒤에 위치

Lock down 된 상태에 있으며 인터넷에서 접근이 가능한 서버


장점

스크리닝 라우터보다 안전

Logging정보 생성 관리가 편리

접근 제어와 인증 및 로그 기능 제공


단점

Bastion Host 손상시 내부망 손상

로그인 정보 유출시 내부망 침해 가능





듀얼 홈드 호스트



2개의 네트워크 인터페이스를 가진 Bastion Host로서 하나의 NIC는 내부 네트워크와 연결하고 다른 NIC는 외부 네트워크와 연결

방화벽은 하나의 네트워크에서 다른 네트워크 IP패킷을 라우팅 하지 않기 때문에 Proxy기능을 부여


장점

정보 지향적인 공격 방어

Logging 정보 생성 관리가 쉬움

설치 및 유지보수가 쉬움


단점

방화벽에서 보안 위반 초래가능

서비스가 증가할수록 Proxy 구성 복잡



스크린드 호스트



Packet Filtering router와  Bastion Host로 구성

Packet Filtering Router는 외부 및 내부 네트워크에서 발생하는 패킷을 통과시킬 것인지를 검사하고 외부 에서 내부로 유입되는 패킷에 대해서는 Bastion Host로 검사된 패킷을 전달

Bastion Host는 내부 및 외부 네트워크 시스템에 대한 인증을 담당


장점

네트워크 계층과 응용계층의 2단계 방어이므로 매우안전

가장 많이 사용,융통성 우수

Dual-Homed장점유지


단점

스크리닝 라우터의 정보가 변경되면 방어가 불가능

구축 비용이 높음






스크린드 서브넷




Screened Host  보안상의 문제점을 보완

외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크를 두어 내부 네트워크를 외부 네트워크로 분리하기 위한 구조

일반적으로 두개의 스크리닝 라우터와 한개의 Bastion Host를 이용하여 구축


장점

스크린드 호스트 구조의 장점 유지

가장 안전한 구조


단점

설치 및 관리가 어려움

구축비용이 높고 서비스 속도가 느림



반응형
저작자표시 비영리 변경금지

'보안 > 정보보안기사' 카테고리의 다른 글

VLAN  (0) 2020.03.11
WAP 계층구조  (0) 2020.03.09
라우팅 프로토콜  (0) 2020.03.08
로그 파일들  (0) 2020.03.08
해시함수  (0) 2020.03.06
  • 네이버 블러그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 카카오스토리 공유하기
보안/정보보안기사 관련 글
글 더보기

티스토리툴바