-
개요
-
방화벽 시스템의 이점
- 위협에 취약한 서비스에 대한 보호
- 호스트 시스템에 대한 엑세스 제어
- 보안의 집중
- 확장된 프라이버시
-
네트워크 사용에 대한 로깅과 통계
-
방화벽 시스템의 기본 구성 요소
-
네트워크 정책(Network Policy)
- 방화벽 시스템의 설계, 설치, 사용에 직접적으로 영향을 줄 수 있는 2가지 레벨의 네트워크 정책이 있음
- 상위 레벨 정책은 명확한 내용, 즉 제한된 네트워크로부터 서비스를 허용할 것인지 또는 명확하게 거부할 것인지를 정의하는 네트워크 엑세스 정책, 이러한 정책이나 이러한 서비스를 어떻게 사용할 것인가, 그리고 이러한 정책의 예외 조건 등을 말함
- 하위 레벨 정책은 실질적으로 액세스를 제한하고 상위 레벨의 정책에서 정의한 서비스를 필터링 할 것인가에 대한 사항
-
고급 인증 시스템(Advanced Authentication System)
- 여러가지 인증 시스템이 있지만 요즘은 일회용 비밀번호를 많이 사용함
- 매번 사용자가 로그인을 시도할 때마다 매번 새로운 패스워드를 사용하는 것으로, 이는 침입자가 최근 이용하고 있는 sniffer에 의한 패킷 가로채기를 통해, 시스템의 사용자 ID와 비밀번호를 알아내서 침입하는 것을 근본적으로 막기 위한 것
-
패킷 필터링(Packet Filtering)
-
응용 계층 게이트웨이(Application Level Gateway)
- 응용 계층 서비스는 축적 전달 방법을 이용하는 경우가 많은데, 내부와 외부 간의 모든 응용 레벨의 트래픽에 대해 로깅이나 텔넷, FTP 등에서 사용자 인증이 필요한 경우에 우수한 인증 방법을 이용
- 응용 계층의 게이트웨이는 프록시 서버(Proxy Server)라는 기능을 제공
-
스크인 라우터(Screen Router)
- 인터넷에 접속할 때 라우터라는 인터넷 패킷을 전달하고 경로 배정을 담당하는 장비를 사용하는데, 이러한 라우터는 단순 장비가 아니라 패킷의 헤더 내용을 보고 필터링(스크린) 할 수 있는 능력이 있음
- 네트워크 레벨의 IP 데이터그램에서는 출발지 및 목적지 주소에 의한 스크린, TCP 레벨의 패킷에서는 네트워크의 응용을 판단하는 포트 번호에 의한 스크린 등의 기능을 제공
- 스크린 라우터만으로도 어느 정도 수준의 보안 접근 제어를 통해 방화벽의 기능을 제공할 수 있으나, 보통은 펌웨어 수준으로 제한점이 많고 복잡한 정책을 구현하기가 어려우므로 베스천 호스트를 같이 운영
-
베스천 호스트(Bastion Hosts)
- 베스천은 중세 성곽의 가장 중요한 수비 부분을 의미하는데, 방화벽 시스템 관리자가 중점 관리하는 시스템
- 방화벽 시스템의 주요 기능으로 엑세스 제어 및 응용 시스템 게이트웨이로서, 프록시 서버의설치, 인증 로그 등을 담당
- 베스천 호스트는 외부의 침입자가 주로 노리는 시스템이므로, 일반 사용자의 계정을 만들지 않고 해킹의대상이 되지 않는 가장 완벽한 시스템으로 운영되어야 하며, 현재 판매하고 있는 방화벽이 이 베스천 호스트를 제공하는 것이라고 보면 됨
-
이중 네트워크 호스트(Dual Homed hosts)
- 2개 이상의 네트워크에 동시에 접속된 호스트를 말하며, 외부 네트워크와 내부 네트워크간의 유일한 패스를 제공하도록 조정
- 동적인 경로 배정과 경로 정보 전달이 배제되고, 모든 내.외부 트래픽은 이 호스트를 통과하므로 배스천 호스트의 기능을 여기에 구현
-
스크린 호스트 게이트웨이(Screen Host Gateway)
- 내부와 외부 사이의 경로는 '외부 네트워크 - 스크린 라우터 - 스크린 호스트 - 내부 네트워크'이고 경로는 결코 허용되지 않음
- 베스천 호스트와 이중 네트워크 호스트의 개념이 결합된 시스템
-
스크린 서브넷(Screen Subnet)
-
방화벽 시스템 구축 방안
- 네트워크 레벨의 방화벽 시스템
- 응용 레벨의 방화벽 시스템