리눅스마스터1급: 방화벽(Firewall) 시스템 구축 방안

리눅스마스터1급: 방화벽(Firewall) 시스템 구축 방안

방화벽 시스템을 구축하는 개념의 두 가지 유형은 다음과 같다.

∙네트워크 레벨(Network Level) 방화벽 시스템

∙응용 레벨(Application Level) 방화벽 시스템

이러한 두 가지 유형에 대해 어떤 것이 좋고 어떤 것이 나쁘다는 식의 판단을 내리기는 어려운 점이 있지만 기관의 요구 사항에 어떤 것이 부합되는지를 잘 판단해야 한다.

네트워크 레벨의 시스템은 IP 패킷의 Source/Destination 주소와 포트에 의해 결정된다.

단순한 라우터는 낡은 방식의 네트워크 레벨 방화벽을 제공하는데, 이것은 어떤 패킷이 동작하는지 어떠한 네트워크에서 왔는지를 판단해야 하는 복잡한 규칙에 대해 판단하기 어렵다.

하지만 현재의 네트워크 레벨 방화벽은 매우 복잡해져서 허용된 접속들의 상태와 어떤 종류의 데이터 내용 등을 관리할 수 있다.

한 가지 중요한 차이점은 네트워크 레벨 방화벽이 라우터를 직접 제어할 수 있으며, 할당된 IP 블록을 정당하게 사용할 수 있도록 해 준다는 점이다.

네트워크 레벨 방화벽은 매우 빠르며, 사용자에게 투명한 서비스를 보장한다.

∙네트워크 레벨 방화벽의 사례 : “스크린 호스트 방화벽”이라고 할 수 있으며, 호스트에 대한 액세스 제어가 네트워크 레벨에서 동작하는 라우터에서 이루어지며, 이때의 호스트가 배스천 호스트이다.

∙네트워크 레벨 방화벽의 사례 : “스크린 서브넷 방화벽”으로 구현될 수 있으며 이것은 네트워크 레벨에서 동작하는 라우터가 하나의 전체 네트워크에 대한 액세스 제어를 할 수 있음을 말한다.

스크린 호스트의 네트워크란 점만 빼면 스크린 호스트와 유사하다.

응용 레벨 방화벽은 2개의 네트워크 간에 항상 직접적인 트래픽을 막고, 트래픽에 대해 로그, Audit 기능 등이 지원되는 프록시를 실행하는 기계를 말한다.

프록시 응용 방화벽의 소프트웨어 부분이므로 많은 로그와 액세스 제어 기능을 제공하는 것이 좋다.

응용 레벨 방화벽은 주소 변환기로서 사용될 수 있다.

어느 한쪽에서 들어와 다른 쪽으로 나가기 때문에 처음 시도한 접속에 대해 효과적인 마스킹을 할 수 있다.

이렇게 중도에 응용을 가지는 것은 어떤 경우에는 성능에 문제를 가질 수 있으며, 투명성이 보장되지 않는다.

TIS 툴 킷 등에 구현된 것과 같은 초기 응용 레벨 방화벽은 일반 사용자에게 투명하지도 않으며, 연습이 필요하다.

최근의 응용 레벨 방화벽은 투명성이 보장되며, 보다 상세한 감사 보고와 네트워크 레벨 방화벽 보다 안전한 모델을 제공하고 있다.

∙응용 레벨 방화벽 사례 : 이중 네트워크 게이트웨이가 있을 수 있으며, 프록시를 실행하는 고도의 보안 기능이 제공되는 시스템이다.

이것은 2개의 네트워크 인터페이스를 가지고 하나의 네트워크 인터페이스에 대해서는 모든 트래픽이 그냥 통과되는 것을 막는다.

새로운 방화벽 시스템은 네트워크 레벨과 응용 레벨 방화벽의 혼합형에 해당된다.

이는 네트워크 레벨에서는 보다 상위의 기능을 가지려 하고 응용 레벨에서는 보다 하위 기능을 갖고자 하기 때문이다.