Firewall?
Firewall이란 방화벽이라는 뜻으로 침입차단시스템이라고 부르기도 한다.
방화벽은 미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템이다.
방화벽은 일반적으로 신뢰할 수 있는 내부 네트워크, 신뢰할 수 없는 외부 네트워크 간의 장벽을 구성한다.
쉽게 말해, 외부 네트워크로부터 내부 네트워크 혹은 내부자산을 보호하는 보안장비로 이해하면 된다.
방화벽의 주요기능
- 접근통제
- 외부에서 내부 네트워크로 접근하는 것을 패킷필터링을 통해 통제하는 기능이다.
- 패킷필터링이란 내부 네트워크로 접근하는 패킷의 IP, Port 등 검열하여 내,외부 네트워크에 대한 접근을 통제하는 것
- 외부에서 내부 네트워크로 접근하는 것을 패킷필터링을 통해 통제하는 기능이다.
- 인증
- 메시지 인증: VPN과 같은 신뢰할 수 있는 통신선을 통해 전송되는 메시지 신뢰성을 보장
- 사용자 인증: 방화벽을 지나가는 트래픽에 대한 사용자가 누군지에 대해 증명하는 기능(OTP, 토큰기반 인증, 패스워드 인증)
- 클라이언트 인증: 모바일 사용자처럼 특수한 경우에 접속을 요구하는 호스트 자체에 대해 인가된 호스트인지 확인
- 프록시 기능
- 보안정책에 따라 실제 서비스를 수행하는 서버로, 클라이언트의 서비스 요청을 받아 전달, 결과를 수신하여 사용자에게 전달하는 기능
- NAT기능
- Network Address Translation의 약자로 주소변환 기능이다. 외부 호스트의 IP나 목적지 호스트 IP를 전송단계에서 변환하여 전달하는 기능으로, 외부망과 내부망을 나눠주는 기능
방화벽의 주요 기능들은 외부 네트워크로부터 접근하는 악의적인 해커에 대하여 내부 네트워크를 지키고자 하는 용도로 사용하게 되는 가장 기본이 되는 보안시스템이다.
DMZ?
DMZ는 비무장지대라는 의미로 아군과 적군 어느 쪽인드 무장을 하지 않는 지리적 군사 영역을 의미한다.
네트워크에도 이러한 DMZ라는 것이 있다.
컴퓨팅과 네트워크를 사용하는 기관들은 보안의 목적으로 폐쇄 형태의 내부 네트워크만 사용하여 각종 인트라넷이나 내부 시스템을 운영하는 벙법도 있지만 이 경우엔 네트워크로는 단절되어 웹 검색이나 이메일링, DNS 사용, FTP 등의 기본적인 인터넷 서비스를 사용할 수 없다.
위와 같은 이유로 내부 네트워크만 사용할 경우 외부 네트워크와 연결되지 않기 때문에 매우 불편한 상황이 생기게 된다.
이러한 상황을 DMZ로 해결 할 수 있다.
DMZ는 내부 네트워크에 존재하지만, 외부에서 접근할 수 있는 특수한 네트워크 영역을 의미한다.
DMZ의 활용 예제를 살펴보면, 아래와 같다.
회사에서 IT 시스템은 외부에서 접속해야 할 웹 서버/이메일 서버/FTP 서버 시스템이 존재한다.
이 시스템 영역을 A라고 가정해보자.
회사에서 IT 시스템은 내부에서만 사용하는 시스템 도한 존재한다.
이 시스템 영역을 B라고 가정해보자.
외부에 열린 A에서 B로의 접속은 보안상 해킹의 우려가 있으므로 접속을 막는다.
B에서 A로의 접속은 보안상 우려가 없고 A가 가진 정보가 필요한 경우가 있으므로 접속을 허가한다.
따라서 내부 시스템은 외부 인터넷을 통해 얻은 정보를 내부 DB, 스토리지 등에 저장하고 활용할 수 있다.
위 시나리오를 다이어그램으로 표현한 것이다.
외부 연결이 필요한 시스템들을 DMZ에 배치한다.
그렇다고 모두 연결이 DMZ로 가능한 것이 아니라 알맞은 서비스만 연결이 되도록 방화벽 설정이 필요하다.
DMZ에서 내부로의 연결은 불가능하지만 반대로 내부에서 DMZ로의 연결은 가능하다.
이는 또 다른 방화벽에서의 설정으로 구현 가능하다.
