리눅스마스터1급: 방화벽(Firewall)시스템의 기본 개념

리눅스마스터1급: 방화벽(Firewall)시스템의 기본 개념

방화벽(Firewall)의 원래 의미는 건물에서 발생한 화재가 더 이상 번지는 것을 막는 것이다.

이 의미를 인터넷에 적용한다면, 네트워크의 보안 사고나 위협이 더 이상 확대되지 않도록 막고 격리하는 것이라고 할 수 있다.

이는 특히 어떤 기관의 내부 네트워크를 보호하기 위해서는 외부에서의 불법적인 트래픽이 들어오는 것을 막고, 허가하거나 인증된 트래픽만 허용하는 적극적인 방어 대책이라고 할 수 있다.

방화벽(Firewall) 시스템의 기본 목표는 네트워크 사용자에게 가능한 한 투명성을 보장하면서 위험 지대를 줄이고자 하는 적극적인 보안 대책을 제공하는 것이다.

방화벽 시스템의 구축은 호스트에 대한 보안을 강화시킴으로써 사이트에 많은 이점을 제공한다.

방화벽을 구축, 사용함에 있어서의 이점을 요약하면 다음과 같다.

① 위협에 취약한 서비스에 대한 보호

방화벽은 네트워크에 대한 보안을 강화하고, 기본적으로 안전하지 않은 서비스를 필터링(Filtering)하여 서브넷상에 있는 호스트에 위험을 감소시킬 수 있다.

즉, 단지 선택된 프로토콜만이 방화벽을 통과시킴으로써 서브넷 네트워크 환경은 위험에 노출이 덜 된다.

② 호스트 시스템에 대한 액세스 제어

방화벽은 또한 호스트 시스템에 대한 액세스를 제어할 수 있다.

예를 들면, 외부 네트워크에서 내부 네트워크에 있는 호스트로 접속하고자 할 때, 원하지 않는 액세스는 차단할 수 있다.

따라서 사이트는 메일서버나 NIS 같은 특별한 경우를 제외하고 외부로부터의 액세스를 차단할 수 있다.

③ 보안의 집중

방화벽은 대부분의 수정된 소프트웨어와 추가되는 보안 소프트웨어를 여러 호스트에 분산시키는 것과는 달리 원하는 호스트에 방화벽을 설치할 수 있다는 점에서 실제적으로 경제적일 수 있다.

특별히 일회용(One-time) 패스워드 시스템과 그 밖의 추가적인 인증 소프트웨어를 방화벽에 설치할 수 있다.

④ 확장된 프라이버시

프라이버시는 대체적으로 해가 되지 않는 것으로 생각되는 정보가 실제로 공격에 유용하게 사용할 수 있는 실마리를 제공할 수 있기 때문에 어떤 사이트에서는 중요시된다.

방화벽을 사용하면, 원하는 사이트는 finger와 DNS(Domain Name Service)와 같은 서비스를 막을 수 있다.

finger는 마지막로깅 시간과 메일과 다른 아이템을 읽었는지와 같은 사용자 정보를 알려준다.

그러나 finger는 침입자에게 시스템이 얼마나 자주 사용되는지, 시스템에 연결된 유저가 있는지, 그리고 침해될 수 있는지에 관한 정보를 알려줄 수 있다.

방화벽은 또한 사이트 시스템에 관한 DNS 정보를 막을 수 있다.

그래서 사이트 명과 IP 주소를 인터넷 호스트가 사용할 수 없게 해 준다.

원하는 사이트는 이러한 정보를 막음으로써 침입자에 유용한 정보를 숨길 수 있다.

⑤ 네트워크 사용에 대한 로깅과 통계 자료

시스템에 대한 모든 액세스가 방화벽을 통과한다면, 방화벽은 액세스를 로그인할 수 있고,네트워크 사용에 대한 유용한 통계 자료를 제공한다.

의심이 가는 활동에 대해 적절한 경고 기능을 제공하는 방화벽은 방화벽과 네트워크가 침입 시도를 받고 있는지 또는 침입되었는지에 대한 세부 사항을 제공해 준다.

⑥ 정책 구현

방화벽은 네트워크 액세스 제어 정책에 대한 구현을 제공한다.

사실상 방화벽은 사용자와 서비스에 대한 액세스를 제어할 수 있다.

그래서 네트워크 액세스 정책은 방화벽에 의해서 구현될 수 있다.

그러나 방화벽이 없다면 이러한 정책들은 전적으로 사용자의 협조에 의존해야 한다.

사이트에서는 사용자의 협조에 의존할 수도 있으나 일반적으로 인터넷 사용자에게는 의존할 수 없다.