[ Security ] Firewall

방화벽 [ Firewall ]이란 인터넷이나 외부 네트워크에 연결되어 있는 

내부 네트워크의 중요한 정보와 자원을 외부 네트워크를 통한 불법적인 침입으로부터 안전하게 보호하기 위한 시스템이다.

방화벽 시스템의 구축 방법에 따른 장, 단점 및 기능을 알아보자.

※ 실질적으로 네트워크에서 방화벽 역할을 하는 것이 라우터이다.

   라우터 속에 방화벽이 존재한다. 

 라우터가 하나의 방화벽이 된다.

       라우터는 네트워크의 최전방에 위치 ( 입구에 위치 )

          -> 외부망에서 들어오는 것을 차단 할수있다.  

            구조상의 문제 -> 스위치와 스위치사이의 내부망에서의 해킹 및 침입은 방지 할 수 없다.

↑방화벽의 주요기능

↑방화벽의 종류

※ 방화벽 구축 방법 ※

1. Screening Router

통신 프로토콜의 형태로 수신지 및 목적지 주소, 제어필드, 포트번호를 분석하여 패킷 트래픽의 허가 및 거절을 하는 라우터

IP, TCP, UDP 패킷 헤더를 분석 허가, 거절 판별

연결 요청 패킷의 진입 허용 시 연결 단절 전까지 모든 패킷이 허용 된다.

2.Dual-Homed Gateway

하나의 네트워크 인터페이스는 외부 네트워크에 연결하며, 다른 하나는 내부 네트워크에 연결하는 Bastion host

( 인터넷 등 외부망과 내부망을 연결 해 주는 방화벽 시스템 역할을 하는 호스트로 접근 기록, 감사 추적 및 모니터링 가능 )

3. Screened Host Gateway

Dual - homed Gateway ( 베스천 호스트 ) 와 Screening Router를 혼합한 방화벽

외부에서 들어오는 패킷 트래픽을 스크리닝 라우터에서 패킷 필터링하여 1차 방어

스크리닝 라우터 통과 트래픽은 Dual - Homed Gateway에서 2차 점검

4. Screened Subnet Gateway

- 스크리닝 라우터들 사이에 Dual - Homed Gateway가 위치하는 구조의 방화벽

- 인터넷과 내부 네트워크 사이에 Screened Subnet , 완충지역(DMZ) 개념의 서브넷을 운영

- Screen Subnet에 설치된 Bastion 호스트는 proxy 서버를 이용하여 명확히 진입이 허용되지 않은 모든 트래픽을 거절하는 기능 수행

※ 방화벽의 한계 및 대응방안 ※

- 한계 

백도어 : Convert Channel을 통한 백도어 생성 및 침입 방어 문제

바이러스 검사 한계 : 패킷 내용 검사 불가로 e-mail 등 바이러스 대처 불가

내부 사용자 침해에 무방비

다이얼 모뎀 방어 곤란

- 대응방안

TCP Wrapper 설치 : Host별 접근 제어

보안 감시/점검 리스트 활용

주기적 백업과 최신 Patch 적용

IDS, IPS 기술과의 접목 등 개선된 침입방어 기술적용