[Network] 방화벽(Firewall) 개념 및 동작원리

- 방화벽(Firewall)

• 서로 다른 보안레벨의 네트워크 경로 사이에 위치하며(방화벽에 트래픽을 집중시킴), 지나 다니는 트래픽을 보고 통과시킬지 말지(정책에 따라. 기본적으로 IP, Port를 봄.)를 결정합니다.(접근 제어)
• Proxy 방식, Packet Filtering, Stateful inspection - UTM, NGFW
• 대부분 요즘 방화박은 Stateful inspection 기반이고 네트워크 방화벽과 호스트 기반 방화벽의 두 가지 일반적인 유형으로 나뉩니다.
• 호스트 기반 방화벽(컴퓨터 방화벽): 개별 컴퓨터 또는 호스트 시스템에 설치 운영. 호스트가 외부 네트워크와 통신할 때만 네트워크 트래픽 분석 관리. 네트워크 내부의 다른 호스트에 직접 영향을 주지 않음.
• 네트워크 방화벽: 네트워크 경계에 설치되어 네트워크 전체에 걸쳐 보안을 적용. 네트워크의 모든 트래픽을 검사하고 분석하여 보안 정책에 따라 차단 허용. 내부->외부, 외부-> 내부 트래픽에 모두 영향을 미침.
• 보안 기능 외 네트워크 장비로서의 기능과 관리(모니터링)기능, 정책관리
• 이중화 방식, 세션 테이블 관리(TCP, UDP, Timeout), 로깅/관제

 

- Stateful insepection이란?

• 패킷 필터링 방식을 기반으로 하는 보안 메커니즘(네트워크 트래픽을 통과하는 모든 패킷을 분석, 이전의 트래픽 상태를 추적하여 패킷 허용 또는 차단)
• 패킷 헤더 정보뿐만 아니라 패킷의 내용도 분석하여 보안 정책 적용
• 일반적으로 TCP/IP 네트워크에서 동작
• 패킷을 처리할 때, 네트워크 연결의 시작과 종료를 추적
• 허용된 연결은 내부 상태 테이블에 기록하여 다음에 해당 연결과 관련된 패킷이 들어올 떄는 추가적인 분석 없이 빠르게 허용

 

- UTM(United Threat Management)

• 단일 대시보드에 여러 가지 중요한 보안 기능을 통합하여 보안에 대한 최신 접근방식을 제공합니다.
• 상태 기반 검사 방화벽의 요소와 바이러스 방지, 침입 방지 시스템(IPS) [g1], 스팸 방지 기능, 가상 사설 네트워크(VPN)등과 같은 다른 주요 보안 요소를 결합합니다.
• 일반적으로 단일 보안 솔루션으로 배포되어 여러 보안 기능을 제공하빈다.
• 제한된 직원 또는 리소스로 네트워크를 보호하고 방허하는 작업을 수행할 때, 복잡성을 줄여줍니다.

 

- NGFW(Next-getneration firewall, 차세대 방화벽)

• 네트워크 트래픽을 처리하고 잠재적으로 위험한 트래픽을 차단하는 규칙을 적용하는 보안 장치 입니다.
• 기존 방화벽의 기능을 발전시키고 확장합니다. 최신 위협을 차단하도록 설계된 UTM 방화벽과 유사합니다.
• 방화벽의 모든 기능을 수행하면서 더 강력하고 추가 기능을 제공합니다.

 

- ACL(Access Control List)

• 시스템 리소스에 대한 접근을 제어하기 위해 사용
• 특정한 사용자나 그룹이 특정 작업을 수행할 수 있는 권한을 정의
• 패킷을 분석하여 출발지 IP 주소, 목적지 IP 주소, 포트번호, 프로토콜 등과 같은 특성을 기반하여 트래픽을 차단할지 허용할지 결정
• 일반적으로 네트워크 장비인 라이투나 스위치, 방화벽 등에 사용 (따라서 방화벽이 ACL보다 더 높은 검사를 수행함)
• 패킷만 보므로 Stateful inspection 보다는 속도가 빠름