정보보안) 방화벽 기능, 목적

방화벽 기능 및 목적

출처 :  정보 보안 개론과 실습 개정판 (한빛 미디어)

방화벽

- 성문과 같은 역할

- 보안을 높이는 일차적인 도구(IP와 포트를 통해 제어)

- 신뢰하지 않는 외부 네트워크나 정해놓은 규칙에 따라 패킷을 차단하는 하드웨어나 소프트웨어

방화벽의 기능

- 접근 제어 (Access Control)

통과시킬 접근과 그렇지 않은 접근을 명시해준다.

접근제어 방식은 패킷 필터링과 프록시 방식으로 나뉜다

- 로깅(Logging)과 감사 추적(Auditing)

허가된 접근과 거부된 접근에 대한 기록을 유지

- 인증 (Authentication)

메시지 인증, 사용자 인증, 클라이언트 인증

- 데이터 암호화

VPN을 통해서 가능

** 방화벽은 패킷의 IP 주소와 포트 번호로 접근 제어하는 것이 보통이다.

** 데이터 내용 자체를 검사하지 않기 때문에 바이러스를 막을 수 없다.

** 새로운 형태의 공격을 막을 수 없다.

방화벽의 구조

* 베스천 호스트 - 독일어로, 성곽의 모서리 둥근 부분을 지칭하는 말(단일 홈 게이트웨이)

  베스천 호스트 위치 중 한 곳에 방화벽이 놓인다.

* 스크리닝(screening) 라우터

- 3계층과 4계층에서 실행되며, IP 주소와 포트에 대한 접근 제어만 가능하다.

- 방화벽과 비슷한 기능을 하지만, 로깅과 세부적인 규칙 적용이 불가능하다.

- 저가로 효과적인 접근 제어가능

* 단일 홈 게이트웨이

- 접근 제어, 프록시, 인증, 로깅 등 방화벽의 가장 기본 기능을 수행

- 윈도우 NT, 유닉스 등과 같은 운영체제에 설치되어 운용된다.

- 강력한 보안 정책 실행 가능

* 이중 홈 게이트웨이

- 네트워크 카드를 둘 이상 갖춘 방화벽

- 내부 네트워크 카드와 외부 네트워크 카드를 구분하여 운영

* 스크린된 호스트 게이트웨이

- 스크리닝 라우터 + 단일 홈 게이트웨이(이중 홈 게이트웨이도 가능)

- 스크리닝 라우터가 해킹 당하면 베스천 호스트를 거치지 않고 내부 네트워크 접근 가능

- 또한 구축 비용이 많이 든다

* 스크린된 서브넷 게이트웨이(Screened Subnet Gateway)

- 외부 네트워크와 내부 네트워크 사이에 완충지대를 두는 것

- 완충지대의 네트워크를 서브넷이라 부르고, 여기에 DMZ가 위치