본문 바로가기
IT 이론/정보보호

방화벽의 동작 구분과 여러가지 구성 방법

by 지식id 2018. 2. 24.
반응형

주로 망과 망 사이에 설치되어 모든 트래픽들이 통과 하도록 설치된 시스템을 말한다. 하드웨어 장비일수도 있고 소프트웨어일수도 있다.


방화벽은 동작 원리로 아래외 같이 구분할 수 있다.


1. 패킷 필터링 : OSI7계층 중 3~4계층(네트워크, 트랜스포트 계층)에서 동작한다. 패킷 안의 주소와 포트를 보고 접근 허용여부를 결정한다. 어플리케이션에 무관하게 동작 가능하지만 일반적으로 세션 추적이 불가능하다. 일부 세션 추적 기능을 보완한 State Inspection 방식도 있다.

2. 응용 케이트웨이 : 프록시 서버 방식이라고도 부른다. 어플리케이션 단에서 동작하는 방화벽으로, 미리 정의된 어플리케이션이나 포트만 제어가 가능하다.

3. 하이브리드 게이트웨이 ; 패킷 필터링 + 응용 게이트웨이 기능을 모두 제공하는 방화벽

4. 서킷 레벨 : 특정 프로토콜을 이용하여 방화벽 시스템에 접근을 의뢰하며, 접근 의뢰 과정에서 허용여부를 결정한다. 이용이 불편하고 융통성이 없어 지금은 거의 사용되지 않는다.



방화벽 구축 형태는 아래와 같이 구분될 수 있다.


Screening Router

스크리닝 라우터

망과 망 사이에 라우터를 설치하고 라우터에 ACL을 구성한다.

응용프로그램 환경변화에 무관하게 동작하므로 투명한 구성이 가능하다. 속도가 빠르지만 라우터에 부하를 준다. 



Bastion Host

베스쳔(요새) 호스트

어플리케이션 계층에서 동작하는 방화벽이다. 방어 기능을 가진 호스트 시스템이라 할 수 있다. 인증기능과 모니터링, 로깅 등의 기능성이 좋다. 베스천 호스트가 공격당하면 모든 내부 네트워크 자원이 보호받지 못한다.



Dual Homed Gateway

듀얼 홈드 게이트웨이

투게의 네트워크 인터페이스를 가진 베스천 호스트를 이용한 구성으로, 논리적으로만 구분하는 베스천호스트에 비해서 물리적으로 구분이 있으므로 훨씬 안전하다.



Screened Host Gateway

스크린드 호스트 게이트웨이

스크리닝 라우터와 베스천호스트의 혼합구성. 네트워크, 트렌스포트 계층에서 스크리닝 라우터가 1차로 필터링 하고 어플리케이션 계층에서 2차로 베스천 호스트가 방어를 하므로 더 안전하다.



Screened Subnet Gateway

스크린드 서브넷 게이트웨이

스크리닝 라우터 2개 사이에 하나의 서브넷(망)을 구성하고, 서브넷에 베스천 호스트를 적용한다. 결국 [스크리닝 라우터 -> 베스천 호스트 서브넷 -> 스크리닝 라우터 -> 내부망] 이렇게 접근한다. 가장 안전하지만 자장 비싸고 가장 느리다.


반응형

댓글