지난 포스팅 '방화벽 (1)' 에서는 방화벽의 기본 개념과 동작방식 등에 대하여 알아봤다.
이번 포스팅에서는 방화벽이 실제 네트워크 구축에서 어떠한 형태로 구축되는지에 따른 유형과 그 특징들을 알아보도록 하자!
방화벽의 구성 형태
방화벽의 구성형태는 네트워크 망에서 방화벽을 어떠한 방식으로 어느 위치에 두느냐에 따라 크게 5가지로 나눌 수 있다.
스크리닝 라우터 (Screening Router) 도식화 - 스크리닝 라우터
- 라우터 차원에서 IP, TCP, UDP 헤더 부분에 포함된 내용만 분석하여 동작하며, 내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 허용 또는 거부하는 패킷 필터링 규칙 적용 - 매우 저렴 - 세부적인 규칙 적용에는 한계가 있고, 접속이 폭주할 경우 부하가 걸려 효과적이지 못함.
배스천 호스트 (Bastion Host) 도식화 - 배스천 호스트
- 내부 네트워크와 외부 네트워크 사이에 게이트웨이 역할을 하는 만능(?) 방어정책이 구현되어 있는 시스템 (꼭 하나의 디바이스라고 볼 수는 없음) - 접근 제어를 기본으로 프록시 기능을 사용하며, 인증, 모니터링, 로깅 등의 여러 작업을 수행 - 가장 중요한 방화벽 호스트로, Attacker의 공격 목표가 되기 쉽기 때문에 해킹의 대상이 될 어떠한 조건도 두지 않는 가장 완벽한 시스템으로서 운영이 되도록 해야 함. - 스크리닝 라우터보다 안전하고 로그 정보 생성/관리가 편리하며, 접근 제어와 인증 기능 제공 - 배스천 호스트 손상 시 내부망이 손상됨 - 로그인 정보가 유출될 시 내부망 침해가 가능함
듀얼-홈드 호스트(게이트웨이) (Dual-Homed Host or Dual-Homed Gateway) 도식화 - 듀얼 홈드 호스트
- 2개의 NIC(Network Interface Card)를 가진 배스천 호스트로서, 각각 내부 네트워크 및 외부 네트워크와 연결됨 - 배스천 호스트는 내외부 네트워크 간에 직접적으로 IP패킷을 라우팅하지 않고 Proxy 역할을 수행 - 정보 지향적인 공격 방어가 가능하며, 로깅 정보 생성/관리가 편리. 또한 설치 및 유지 보수가 편함 - 배스천 호스트 자체가 보안 위반을 초래할 수 있으며, 간단한 서비스 구성의 경우 유지 보수가 편하지만 서비스가 늘어날수록 유지 보수가 힘들어짐
스크린드 호스트 (Screened Host) 도식화 - 스크린드 호스트
- 스크리닝 라우터와 배스천 호스트가 함께 구성되어 있는 구조. 이때 스크리닝 라우터는 내외부 네트워크에서 발생하는 패킷 통과 여부를 결정하며, 외부에서 내부로 유입되는 트래픽 중 필터링된 패킷을 배스천 호스트에게 전송. 배스천 호스트는 스크리닝 라우터로부터 받은 필터링된 패킷에 대하여 내외부 네트워크 시스템에 대한 인증을 담당. 보통 스크리닝 라우터는 L3, L4에 대해서 접근 제어 / 배스천 호스트는 L7에 대한 접근 제어 - L3 부터 L7에 이르기까지 여러 계층에 대한 방어로 안전하며, 융통성이 우수하고 듀얼 홈드의 장점을 그대로 유지 - 스크리닝 라우터의 정보가 변경되면 방어가 불가능 - 구축 비용이 매우 많이 듦
스크린드 서브넷 (Screened Subnet) 도식화 - 스크린드 서브넷
- 스크린드 호스트의 보안 문제점을 해결한 것으로, 내외부 네트워크 간에 하나 이상의 경계 네트워크를 두고 내부 네트워크를 외부 네트워크와 분리하기 위한 구조 - 일반적으로 1개의 배스천 호스트와 2개의 스크리닝 라우터로 구성 - 스크린드 호스트의 장점을 유지하고, 이에 보안을 강화한 구조 - 설치 및 관리가 어렵고, 서비스 속도가 느려질 수 있음 - 구축 비용이 가장 높음
최근댓글