방화벽

[ 보호 ]

• 내부 정보가 안에서 밖으로 나가는 것을 막음

 

[ 보안 ]

• 밖에서 안으로 들어오는 것 막음

 

[ 용어 ]

• 침입 차단 시스템(Intrusion Blocking System) : (인터넷) 방화벽
• 침입 탐지 시스템(Intrusion Detection System) : IDS
• 침입 방지 시스템(Intrusion Prevention System) : IPS = IDS + FW + 기타기능
• 통합 위협 관리(Unified Threat Management) : IPS + Virus 탐지
• 각 회사마다 약간씩 이름을 다르게 부름 (차별화를 위한 마케팅 방식)
• 인트라넷 = 내부망

 

[ 라우터(Router) ]

• 서로 다른 네트워크를 연결하는 장치 = 공유기도 라우터의 일종임
• ex) 이더넷과 Wi-fi, 이더넷과 PPP를 연결, 이더넷과 HDLC 연결 등
• LAN과 WAN을 연결
• LAN 종류: Ethernet(Xerox), Token Ring, FDDI, Wi-Fi
• WAN 종류: PPP, HDLC, ATM, X.25 등
• IP 주소 대역이 다른 네트워크 연결(L3) → Routing Table에서 관리
• Router에 ACL(Access Control List)를 설치하면 Screen Router라고 함
• ACL(액클, 접근 통제 목록): 패킷이 지나가는 것을 허용 또는 거부 (Permit or Deny)
• ACL에는 허용 / 거부할 IP주소 등이 적혀 있음(살생부)

 

[ Bastion ]

• 성벽 중간에 크고 높고 앞으로 돌출되어 있는 시설
• 성벽을 공략하기 전에 Bastion을 먼저 무력화 시켜야 함
• 네트워크에서 모든 트래픽이 지나가도록 설정되어 있는 시스템

 

[ 스크린 라우터(Screen Router) ]

• 패킷 헤더 내용(ip, port, TTL)을 필터링 할 수 있는 라우터,
• OSI 3 또는 4계층에서 동작

 

[ 베스천 호스트(Bestion Host) ]

• 내부와 외부 네트워크 사이에서 일종의 게이트웨이 역할
• FW에서 가장 중요한 역할
• proxy 많이 사용
• 구매시 속도를 고려함

 

[ 1세대 방화벽 - 패킷 필터링(Packet filtering) ]

• IP헤더(IP 주소), TCP/UDP헤더(Port 번호)를 보고 허용, 거부 결정
• 헤더만 보기 때문에 속도 매우 빠름
• IP Spoofing(출발지 주소를 속임)에 취약 → DoS/DDoS 공격에 취약

 

[ 2세대 방화벽 - Application Level(Proxy - 중계) Firewall ]

• 7계층 헤더를 보고 허용, 거부 결정
• 특정 프로토콜의 동작(Upload 차단, 다운로드 허용)을 보고 통제 가능
• 서비스마다 별도의 데몬(Daemon)이 존재 → 데몬이 많아지고 설정 복잡
• 7계층까지 갔다와야하고 데몬도 많기 때문에 매우 느림 = 잘 안팔림
• ex) MS-ISA (Proxy Firewall)
• 세부 설정(프로토콜마다 다른 설정)이 가능하다는 장점

 

참고) Circuit Gateway Firewall

• 하나의 데몬이 모든 서비스 통제 (허용, 거부)
• 덜 복잡하고 덜 느림

 

[ 3세대 방화벽 - Stateful Packet Inspection (SPI) : 상태 기반 방화벽 ]

• State Table(상태 테이블)에 트래픽의 정보를 저장하고 관리하는 방식: 출IP, 목IP, 출Port, 목Port, 프로토콜, 방향 등등
• 3, 4 계층을 위주로 판단, 트래픽 상황을 보고 판단 → 안전 + 빠름 (잘 팔림) : Check Point
• cf) HW는 Nokia에서 만들고, SW는 CheckPoint를 사용해서 Appliance(일체형) 형태로 판매
• 내부망에서 요청한 트래픽을 기록하기 때문에 외부에서 들어오는 응답 트래픽은 허용(네트워크의 정황(context)을 고려)
• Stateful: 네트워크의 흐름을 고려해서 처리한다는 의미

 

[ 4세대 방화벽 - Dynamic Packer Filter ]

• 능동적으로 차단하는 기능이 있는 방화벽
• 요청 개수가 임계값을 초과하는 경우 → 공격으로 간주 → 스스로 차단
• 2, 3세대 조합해서 만든 방화벽

 

[ 5세대 방화벽 - Kernel Proxy, Secure OS 개념 도입 ]

• 최근에는 HW 일체형 방화벽(Appliance) → 이미 설정이 되어있기 때문에 선을 연결하기만 하면 됨
• 방화벽 배치 방법 - Screened Host
• 모든 트래픽은 Bation Host(Proxy Server)를 들렀다가 가야 함
• 웹 브라우저에서 Proxy 주소를 Bation Host로 설정하면 됨 (안하면 인터넷 연결이 안됨)
• 외부에서 Bastion Host 외에는 보이지 않기 때문에 가려진 호스트(Screened Host)라고 함
• Screened Host - Bastioon host 뒤에 있는 호스트는 보이지 않기 때문에 screented host라고 부름
• 방화벽 = packet filtering router + bastion host

 

[ 방화벽 배치 방법 - Dual Home ]

• 외부 내부 인터페이스가 다르게 되어있는 것
• 외부망을 연결하는 포트와 내부망을 연결하는 포트가 따로 분리되어 있음 (물리적인 분리)
• 트래픽을 내부망과 외부망으로, 서로 다른 네트워크로 구성할 수 있음(내부망은 사설 IP, 외부망은 공인 IP → NAT 설정해야 인터넷 가능)
• 방화벽이 문제가 생기면 네트워크를 분리된 상태가 되므로 상당히 안전함

 

[ 방화벽 배치 방법 - Screened Subnet ]

• 밖에서는 DMZ까지만 접근 가능, 따라서 네트워크 제한 가능
• 외부망(인터넷)과 내부망 사이에 DMZ 구간을 두어서 네트워크를 분리하는 방식
• 외부망에서는 DMZ까지만 접근이 가능, 내부망은 접근할 수 없도록 설정
• 내부망에서는 DMZ까지만 접근이 가능, 외부망으로는 나갈 수 없음
• DMZ - 완충지대 역할
• DMZ - 외부에서 접근이 많은 로그인 서버, 웹서버, 메일 서버, DNS 등을 배치
• DB 서버는 내부망에 배치 → 뱅킹 서버에서는 DB 서버에 접근이 가능하지만 외부망에서는 DB 서버에 접근 불가능 (은행 네트워크 등에서 많이 쓰임)

 

[ CheckPoint.iso ]

• Module: 방화벽 본체
• Smart Console: 방화벽을 관리하는 컴퓨터

 

[ 방화벽 규칙 작성 방법 (Rule Set) ]

• 맨 마지막 줄에는 모두 거부를 배치 (Deny All Philosophy: 모두 거부 원칙)
• 최소한 하나의 허용이 있어야 함
• 큼 조건은 아래로 배치, 작은 조건은 위에 배치 → 위에서부터 내려가면서 적용되기 때문에 큰 조건이 위에 있으면 아래는 무력화 됨
• 자주 참조될수록 위쪽에 배치 (효율성 측면)

 

[ 방화벽 적용 방법 ]

• 위에서 내려가면서 적용
• 해당 규칙을 찾으면 그 조건을 적용
• 해당 규칙을 찾지 못하면 마지막 줄에서

다른 방화벽이 CheckPoint를 보고 만들기 때문에(다른 것도 비슷한 화면) 실습에 사용