FIREWALLS
미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템
역할
신뢰 수준이 다른 네트워크 구간들 사이에 놓여서 신뢰 수준이 낮은 네트워크(인터넷 구간 또는 외부 네트워크 구간)로부터 오는 해로운 트래픽이 신뢰 수준이 높은 네트워크(내부 네트워크 구간)로 오지 못하게 막는 것
1. 패킷 필터 방화벽
미리 세워둔 정책에 따라 패킷을 필터링하는 방화벽으로, 방화벽 내부 세션은 관리하지 않는 방화벽
- 특정한 IP를 허용 또는 거부하거나 특정한 포트를 허용 또는 거부하는 용도
단점
- 모든 패킷이 모든 정책에 해당되는지 검사하므로 정책이 많아질수록 처리 속도가 느려진다.
- 허용된 포트로 공격자가 터널링하여 접근할 가능성이 있다.
- 세션을 생성하는 프로토콜을 이용하여 공격하면 막을 도리가 없다.
2. 스테이트풀 인스펙션
세션 단위로 검사하는 방화벽
- 패킷 필터보다 보안에 강하며, 파생 세션도 별도의 정책 추가없이 처리할 수 있는 확장 기능도 갖추고 있다.
3. 애플리케이션 방화벽 (프록시 방화벽)
어플리케이션 계층에서 동작하는 방화벽, 어플리케이션에 어떤 영향을 미칠지 분석한다.
내부 네트워크와 트래픽 소스 간의 트래픽을 확인하며, 트래픽을 먼저 프록시 서버(또는 다른 클라우드 기반 솔루션)를 통해 전달하여 수신 데이터 패킷을 검사한 다음 네트워크로 전달하도록 허용합니다.
방화벽의 기능
1. 패킷 필터
네트워크 계층에서 동작하는 방화벽, 정책에 위반되는 패킷은 거른다.
- 커널 레벨에서 수행되고, 제한된 검사를 하여 처리 가능한 트래픽 양이 많다.
- stateless 방화벽 : 패킷 자체만을 검사
- statefull 방화벽 : 패킷이 속하는 세션을 관리하여 이 세션에 속하는 패킷들은 모두 똑같은 처리
2. proxy
세션에 포함된 유해성을 검사하기 위해 기존 세션(출발지-목적지)을 종료시키고 새로운 세션(출발지-방화벽, 방화벽-목적지)을 형성
- 검사를 많이 해서 부하가 크지만, 좀 더 안전하며 프로토콜 변경 등 추가적인 기능도 수행할 수 있다.
3. NAT(Network Address Translation)
내부 네트워크에서 사용하는 IP주소와 외부에 드러나는 주소를 다르게 유지
PAT : NAT의 외부에서 내부 네크워크에 접근할 때 세션 충돌이 일어날 가능성을 방지하고자 포트를 변경하여 충돌을 피하는 방식
방화벽의 형태
1. Screening router를 이용한 구조
패킷 필터 기능이 있는 스크린 라우터를 이용한 구조
2. Dual-homed host 구조
호스트가 두 개의 네트워크 인터페이스(NIC)를 사용하는 구조.
하나는 외부 네트워크에, 다른 하나는 내부 네트워크에 연결하여 구성한다.
3. Screened Host 구조
내부 네트워크에 Bastion Host를 두고 Screening Router가 외부/내부에 하나씩 연결되어 있는 방식
모든 통신은 Bastion Host를 통해서만 가능하며, 직접 엑세스가 불가능하다.
4. Screened Subnet 구조
외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크(DMZ 등)를 두는 구조
두 개의 Screening Router를 사용하며, 하나는 외부와 DMZ, 하나는 내부와 DMZ를 연결한다.
Bastion Host를 DMZ 상에 두면 Bastion Host는 내부 네트워크에서 분리되어 상대적으로 보안에 강함(외부 라우터 - Bastion Host - 내부 라우터를 뚫고 들어와야 하므로)
DMZ
조직의 내부 네트워크와 외부 네트워크 사이에 위치한 서브넷
내부 네트워크와 외부 네트워크가 DMZ로 연결할 수 있도록 허용하면서도, DMZ 내의 컴퓨터는 오직 외부 네트워크에만 연결할 수 있도록 한다.
출처
https://plummmm.tistory.com/423
https://ko.wikipedia.org/wiki/비무장지대_(컴퓨팅)
https://ko.wikipedia.org/wiki/전송제어프로토콜
https://ko.wikipedia.org/wiki/방화벽_(네트워킹)
https://nordvpn.com/ko/blog/what-is-firewall/
