방화벽 구성 방식

방화벽(Firewall)은 외부로부터 불법 침입을 방지하며 접근제어, 사용자 인증, 감사 및 로그, 네트워크 주소변환 등의 기능을 수행한다.

 

방화벽은 다양한 구현 방식으로 나뉘는데

 

패킷필터링은 네트워크 계층(L3)에서 동작하며, 헤더를 참조하여 패킷을 허용/차단한다.

 

스테이트 풀 인스펙션은 전송계층(L4)에서 동작하며, 패킷의 헤더 뿐만 아니라 내용까지 모두 검사하여 최초 세션 연결 시도를 분석할 수 있게 해준다.

 

서킷 게이트웨이는 세션계층(L5)에서 동작하며, 세션 자체의 안정성을 확인해주는 이점이 있다.

 

애플리케이션 프록시는 애플리케이션 계층(L7)에서 동작하며, 별도 전담 프로세스가 메모리에 상주하여 단위명령까지 상세히 제어할 수 있게 해준다.

 

하이브리드 방식은 여러 방식들을 혼합한 형태이다.

 

 

1. 스크리닝 라우터(Screening Router)

- 라우터 차원에서 IP, TCP, UDP 헤더 부분에 포함된 내용만 분석하여 동작하며, 내/외부 네트워크 사이의 패킷 트래픽 허용 또는 차단하는 패킷 필터링 규칙을 적용한다.

- 구축 비용이 저렴하고 적용 범위가 넓다.

- 세부적인 규칙 적용에는 한계가 있으며 접속이 폭주할 경우 부하가 걸려 효과적이지 못하다.

 

 

2. 배스천 호스트(Bastion Host)

- 내/외부 네트워크 사이에 게이트웨이 역할을 하는 시스템을 두고 보안정책을 수립한다.

- 인증기법, 접근통제, 로그기록, 모니터링 기능을 제공한다.

- 배스천 호스트 손상 시 내부망이 손상된다.

- 자체 보안성취약 존재, 관리자에 의한 정기적인 점검과 감지가 필요하다.

 

 

3. 듀얼-홈드 게이트웨이(Dual-Homed Gateway)

- 2개의 네트워크카드를 내장한 배스천 호스트로 내부 및 외부 네트워크와 각각 연결된다.

- 배스천 호스트는 내/외부 네트워크 간에 라우팅 기능을 하지 않고 프록시 역할을 수행한다.

- 기록 생성 및 관리가 쉬우며, 설치 및 유지보수 편하다.

- 단, 제공되는 서비스 증가할수록 비용이 상승하고 유지보수가 힘들어진다.

 

 

4. 스크린드 호스트 게이트웨이(Screened Host)

- 스크리닝 라우터와 배스천 호스트가 함께 구성되어 있다.

- 외부에서 내부 인입할 때 스크리닝 라우터를 통해 1차 패킷 필터링 거친 후 필터링된 패킷을 배스천 호스트에게 전송한다.

- 배스천 호스트는 필터링된 패킷에 대하여 내외부 네트워크에 대한 인증을 담당한다.

- 스크리닝 라우터는 L3, L4에 대해서 접근제어를 수행하고 배스천 호스트는 L7에 대한 접근제어를 수행한다.

- 단계적 보안점검으로 네트워크 계층에서 응용계층까지 공격에 효과적인 방어를 수행한다.

- 해커에 의해 스크리닝 라우터 라우팅 테이블이 변경되면 방어가 불가능하다.

- 구축비용이 많이 든다.

 

 

5. 스크린드 서브넷 게이트웨이

- 스크린드 호스트의 보안 문제점을 해결한 구성방식으로, 내부 네트워크와 외부 네트워크가 분리된 구성이다.

- 2개의 스크리닝 라우터와 1개의 배스천 호스트로 구성되어 있다.

- 더욱 강력한 보안 기능을 제공한다.

- 서비스 속도 느려질 수 있다.(지연)

- 구축비용이 가장 비싸다.