전문가 칼럼

보안 전문가들이 얘기하는 보안의 모든 것! 전문가 칼럼에서 깊이 있는 보안 정보를 만나실 수 있습니다.

Chapter 2. 침입차단시스템(방화벽)

  • 안철수연구소
  • 2009-10-20

- 방화벽의 주요 개념,동작 방식, 올바른 운영방안 설명

대부분의 기업에서 1차적으로 도입하는 보안솔루션을 꼽으라면, PC 레벨에서는 백신 프로그램/ 네트워크 레벨에서는 방화벽을 언급할 겁니다. 그 정도로 방화벽은 보안의 기본적인 요소로써 대부분의 기업에 구축되어 있으며, 방화벽이 처음 개발된 시점인 90년대에 처음 출시된 이래로 10년 이상이 되었으므로, 네트워크 보안솔루션 시장 비중 및 솔루션의 제품완성도는 성숙기를 지나 완숙기에 접어들었을 정도로 정보보안을 언급할 경우 당연히 도입되어야 하는 필수요소로 언급되고 있습니다.  이번 Chapter에서는 이렇게 필수요소인 방화벽의 개념 및 주요기능에 대해서 설명하도록 하겠습니다.

가끔 라우터 및 스위치에서 제공하는 ACL(Access Control List)기능으로 방화벽의 기능을 대체할 수 있다고 말씀하시는 분을 만납니다. (네트워크 경력이 꽤 오래된 관리자 중에서도 이러한 견해를 가지고 계신 분이 있습니다.) ACL은 라우터 및 스위치 등에서 출발지IP/도착지IP/서비스Port의 조건으로 내/외부 방향의 트래픽을 허용 및 차단을 수행하는 기능을 말합니다. 물론 방화벽도 출발지IP/도착지IP/서비스Port의 조건으로 허용 및 차단 보안정책을 수행하나, 가장 큰 차이점은 “Stateful Inspection”이라고 불리우는 개념으로, 이 개념의 요지는 IP와 TCP헤더정보를 이용하여 방화벽에서 세션정보를 기억하여 요청했던 트래픽에 대해서는 응답 트래픽에 대해 별도 보안정책을 열어줄 필요가 없다는 겁니다. 쉽게 얘기하면, 방화벽 내부 사용자의 인터넷 사용이 가능해지려면 ACL의 경우에는 Outbound(내부에서 외부방향)/Inbound(외부에서 내부방향)로 2개의 정책이 필요합니다. 하지만, 방화벽은 내부에서 외부로 나가는 정책만 허용해주면 내부에서 외부로 나가는 요청 트래픽의 세션정보(프로토콜/출발지IP/Port,도착지IP/Port로부터 도출된 분별 가능한 값)를 바탕으로 외부로 나갔던 요청 트래픽의 응답 트래픽을 자동으로 허용해주게 됩니다.  부가적으로, 대부분의 사이트는 보안을 강화하기 위해 내부 Trust구간에 포함되어 있으면서 외부로부터 트래픽 유입이 가능한 서버구간(웹/메일 서버 등)과 내부 사용자 망 사이에 방화벽을 구성하여 별도로 “DMZ”(외부와 내부의 중첩공간)망으로 구성하여 운영하고 있습니다.


다음은 방화벽의 주요기능 중 하나인 NAT(Network Address Translation)에 대해서 설명하도록 하겠습니다.  NAT는 크게 보면 IP를 변환시키는 기능과 Port를 변환시키는 기능으로 분류할 수 있으나, 일반적으로 IP를 변환시키는 기능이 주로 사용되고 있습니다. IP를 변환시키는 기능은 출발지 IP 변환 및 도착지 IP 변환으로 분류할 수 있습니다.  출발지 IP변환 기능은 일반적으로 PAT(Port Address Translation)/General NAT의 명칭으로도 불리며, 일반적으로 PC의 사설 IP환경에서 출발지 포트 별로 최대 64,000여개의 PC를 1개의 공인 IP로 변환시켜 외부 인터넷과 통신이 가능하도록 하는 기술입니다. 일반적인 공유기에서 주로 사용되는 기술이며, L3 스위치 등에서도 구현 가능하나, 대부분 방화벽에서 NAT를 구현하는 것이 통례적입니다. 도착지 IP 변환 기능은 외부에 서비스를 제공해야 하는 내부의 서버가 사설 IP를 가지고 있을 경우, 외부에서 내부 서버와 통신할 수 있는 공인 IP와 내부 서버의 사설 IP간 1:1 매핑을 통해서 외부에서 내부 서버로 통신이 가능하도록 하는 기술입니다. 



이러한 Stateful Inspection/NAT 기능 외에 손쉬운 보안정책 설정/Audit(감사)을 위한 로그저장 기능이 방화벽에서 제공하는 주요 기능이라고 보시면 됩니다. 그 외 부가적으로 사용자 및 보안레벨에 따른 인증/QoS/Proxy 방식의 Anti-Virus, 유해사이트 차단 기능 등이 제공됩니다.

다음 Chapter에서는 방화벽으로는 방어할 수 없는 Application Level의 공격을 방어할 수 있는솔루션인 IDS/IPS(침입 탐지/방지 솔루션)의 자세한 개념 및 기능설명을 진행하도록 하겠습니다.@

조육왕 프로필 사진

조육왕 네트워크 보안전문가

취소 인쇄