네트워크 보안시스템중 가장 오래된 방화벽의 개념은 세상에 출현한지 무려 10년이란 시간이 흐르면서 많은 변화를 가졌죠....
1세대 방화벽이라 할수 있는 스크리닝 라우터(Screening Router)는 특정 TCP/UDP 포트 번호를 가진 패킷을 차단하는 기능을 부가적으로 가지고 있습니다. 이것을 사용해서 허용되지 않는 서비스에 대한 접근을 차단할수가 있었죵.... 이게 바로 방화벽 개념의 시초라고 할수있습니다.
2세대 방화벽은 패킷 필터링 방화벽(Packet Filtering Firewall)과 프록시 방화벽 (Application-level Proxy Firewall) 의 양대 진영으로 나뉘어 집니다. 패킷필터링 방화벽은 스크리닝 라우터와 동일한 네트워크 레벨에서 좀더 세부적이고 다양한 접근통제를 수행하며, 프록시 방화벽은 어플리케이션 레벨에서 어플리케이션 프로토콜의 각종 커멘드 및 파라미터에 기반한 접근통제를 수행하는데 많은 경우 이 두가지 방식을 혼용하는 방식을 사용합니당... 한마디록, 네트워크 트래픽이 많은 부분을 차지하는 내부사용자의 인터넷 사용등은 패킷필터링 방화벽을, 트래픽이 그리 많지 않은 외부사용자의 내부망 접속등은 프록시 방화벽으로 구성하여 효율성을 높이는 방법을 사용합니다.
요즘 기업에서 요구하는 방화벽에 대한 요구사항은 다음과 같습니다...
"대부분 유닉스 환경에서 동작하는 방화벽 시스템의 설치 및 운영 등을 전담할수 있는 전문인력이 필요하다...."
"방화벽 시스템 기능이 점점 복잡해지고 있는데, 핵심 기능만을 제공하더라도 보다 성능이 뛰어난 방화벽 시스템이 필요하다."
"전용서버, OS, 방화벽 소프트웨어를 동시에 구입하는 비용이 너무 많이 드므로, 가격대비 효율성이 뛰어난 방화벽 시스템은 없을까??"
위와 같은 요구사항으로 인해 등장한것이 3세대 방화벽 시스템인 어플라이언스 방화벽입니다. 어플라이언스 방화벽은 방화벽 시스템이 전용 서버가 필요한 소프트웨어 형태의 기존 통념을 깨고, 랙에 설치가능한 슬림서버에 전용 OS와 방화벽 기능의 소프트웨어 모듈이 통합된 형태의 네트워크 장비입니다.
현재 소프트웨어 방화벽도 많은 비중을 차지 하고 있기는 하나, 추세가 하드웨어 소프트웨어 일체형인 3세대 방화벽으로 변환하고있습니다...
아참 그리고요..... 소프트웨어 방화벽은 Sun사의 Ultra 서버에 탑재하여 많이 사용하고 있습니다... 물론 운영체제는 솔라리스겠죵... 여러분들 솔라리스 많이 익혀두세요...
2.가상사설망 솔루션(Virtual Private Network)
네트워크 3계층에서의 터널링에 그 기능이 초점이 맞추어져 있는 IPSec VPN 제품은 3계층에서 이루어지는 패킷 필터링 방화벽 시스템과 유사한 발전 과정을 거쳐왔습니다. 가상 사설망 솔루션은 소프트웨어 기반으로 전용 서버에 탑재되어 외부 인터넷과 내부네트워크 사이에 게이트웨이 역활을 하는 것입니다.
3.침입탐지시스템(Intrusion Detection System:IDS)
방화벽시스템이 허가되지 않은 네트워크 접근을 차단하여 조직의 내부네트워크를 보호하는 시스템이라면 침이밤지 시스템은 허가된 네트워크 트래픽을 분석하여 악의적인 접근이나 침입을 탐지하는 보안시스템입니다.
침입탐지 시스템은 방화벽 시스템과 함께 운영될 경우, 상호보완적인 역활을 수행할수 있어 보다 안전한 네트워크 환경을 구축할수 있습니다. 하지만 아직 이 기숭에 대한 표준화는 나오지 않았으며 현재 표준화가 진행중에 있습니다.
4.침입방지시스템(Intrusion Protection System:IPS)
IPS는 개별 패킷 헤더와 부하뿐만 아니라 더욱 심도 깊은 패킷 검사 및 분석 기능을 지원해야 한다. IPS는 악의적 활동에 대한 실시간 탐지 및 차단 기능을 요구하기 때문에 IDS보다 훨씬 더 높은 정확성이 필요하며, 따라서 IPS의 가장 중요한 기능이라고 말할 수 있다.
IPS가 공격 방지를 하기 위해서는 인라인(in-line) 운영이 필요하며, 따라서 인라인 센서가 데이터 트래픽 경로상에 위치하여 모든 패킷을 처리하게 된다. 이렇게 함으로써 모든 IP, ICMP, TCP 및 UDP 기반의 악의적 트래픽을 차단할 수 있다.
IPS는 단순히 IDS처럼 탐지만 하는것이 아니라, 공격적인 패턴이나 웜에 대한 패턴을 탐지하여 그것에 대한 접근을 거부함으로서 인공지능적인 방어 시스템이라고 할수가있다. 현재 국내에서 개발중인 곳도 있으며, 개발하여 출시된 제품들도 있지만..... 좀더 지쳐봐야 한다고 생각한다... 그 이론상의 성능이 얼마만큼 효율적인지를 말이다.... 하지만.... 현재 가장 네트워크 보안계에서는 대두시되고 있는 장비이다...
P.S.
-저의 개인적인 생각이 들어간것도 있고, 내가 배운것...본것 들은것을 토대로 하였기 때문에, 오타 및 잘못된 정의가 있을수도 있으니.... 양해해주시길 부탁드립니다......-
첫댓글 아.. 솔라리스..-0-;; vi편집기까지 배웠었다는..ㅋ 지금은 다 까먹었구요..-_-;; 랩실에 책있는데..ㅋㅋ;; 중요한거구나..-0-;; 난 별로 필요없는줄 알고 열심히 안했엇는데..ㅡ.ㅜ;;