2018.11.01

트래픽 관리의 시작과 끝··· '네트워크 방화벽'의 이해

Tim Greene, Brandon Butler | Network World
방화벽은 네트워크와 블록을 출입하는 패킷을 모니터링하거나 허용 가능한 트래픽을 정의해 미리 정해진 규칙에 따라 처리하는 네트워크 장비다.



지난 수 년 동안 다양한 유형의 방화벽이 개발됐고 시간이 지남에 따라 점차 정교해지고 트래픽 통과 허용 여부를 판단할 때 더 많은 요소를 고려하게 됐다. 가장 최신 제품은 차세대 방화벽(NGF)이며 패킷 필터링 외에 다른 여러 기술이 집약돼 있다.

초기에는 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 사이의 경계에 배치됐던 방화벽이 이제는 데이터센터 등 특정 내부 네트워크를 기업의 다른 네트워크로부터 보호하는 용도로도 사용되고 있다. 방화벽은 대개 전문 업체가 개발해 기기 형태로 제공하지만, 가상 기기, 즉 도입 기업이 자체 하드웨어에 설치하는 소프트웨어 형태로도 구매할 수 있다.

이제 방화벽의 주요 유형에 관해 알아보자.

프록시(Proxy) 기반 방화벽
이 방화벽은 데이터를 요청하는 최종 사용자와 해당 데이터의 소스 사이에서 게이트웨이 역할을 한다. 호스트 기기는 프록시에 연결되고 프록시는 데이터 소스에 별도로 연결된다. 이에 대응해 소스 기기는 프록시에 연결되고 프록시는 호스트 기기에 별도로 연결된다. 대상 주소로 패킷을 전달하기 전에 프록시가 이를 필터링해 정책을 적용하고 수신인의 기기 위치를 숨기면서 수신인의 기기와 네트워크를 보호한다.

프록시 기반 방화벽의 장점은 보호되는 네트워크 외부의 기기가 네트워크에 대해 제한된 정보만 수집할 수 있다는 점이다. 직접 연결되지 않기 때문이다. 반면 단점은 유입 연결을 종료하고 외부 연결을 생성하면서 필터링까지 하면 지연이 발생해 네트워크 성능이 저하될 수 있다. 결과적으로 이를 통해 응답시간이 너무 느려지기 때문에 방화벽에서 일부 애플리케이션을 사용하지 못하게 할 수 있다.

상태 기반(Stateful) 방화벽
프록시 기반 방화벽의 성능 향상은 연결에 대한 정보의 영역을 추적해 방화벽이 모든 패킷을 검사할 필요가 없는 네트워크 연결 상태를 추적할 수 있는 방화벽의 형태다. 이를 통해 방화벽에 의한 지연이 많이 감소한다.

이런 방화벽은 연결 상태를 유지함으로써 이미 검사된 정당한 유출 연결에 대한 대응으로, 확인된 유입 패킷 검사를 미리 수행할 수 있다. 초기 검사는 연결을 허용할지 판단하며 메모리에 그 상태를 보존해 방화벽은 모든 패킷을 검사하지 않고 해당 대화의 일부인 후속 트래픽을 통해 통과할 수 있다.

차세대 방화벽
패킷은 연결 상태와 소스 및 대상 주소 외에 다른 것으로 필터링할 수 있다. 이 때, 차세대 방화벽이 필요하다. 개별 애플리케이션과 사용자가 할 수 있는 작업에 대한 규칙을 통합하고 다른 기술에서 획득한 데이터를 융합해 허용된 트래픽과 차단된 트래픽에 대해 정보를 기초로 더 나은 결정을 내릴 수 있다. 예를 들어, 일부 차세대 방화벽은 URL 필터링을 통해 SSL 연결을 종료할 수 있고 SD-WAN(Software-Defined Wide Area Networking)을 지원해 연결성에 대한 동적 SD-WAN의 효율성을 개선한다.


기존까지 별도 기기로 처리했던 기능은 이제 여러 차세대 방화벽에 포함되는 추세이며 주요 기능은 다음과 같다.

- 침입탐지시스템(IPS): 기본 방화벽 기술은 특정 유형의 네트워크 트래픽을 식별해 차단하지만 IPS는 서명 추적과 이상 감지 등 더 세부적인 보안을 이용해 네트워크 진입의 위협을 방지한다. 한 때 별도의 플랫폼이었던 IPS 기능이 점차 표준 방화벽 기능으로 자리잡고 있다.
- DPI(Deep Packet Inspection): DPI는 패킷의 출처와 목적지를 살피고 콘텐츠를 검사해 액세스하는 애플리케이션 또는 전송하는 데이터 유형 등을 알려주는 패킷 필터링 기능이다. 이 정보를 통해 방화벽이 시행할 더 지능적이고 세부적인 정책을 수립할 수 있다. DPI를 사용해 트래픽을 차단하거나 허용할 수 있고 특정 애플리케이션이 사용할 수 있는 대역폭을 제한할 수 있다. 또한 지적 재산이나 민감한 데이터가 안전한 네트워크를 벗어나지 않도록 보호하는 툴로 사용할 수도 있다.
- SSL 종료: SSL(Secure Sockets Layer) 암호화 트래픽은 내용을 읽을 수 없기 때문에 DPI의 영향을 받지 않는다. 일부 차세대 방화벽은 SSL 트래픽을 종료하고 검사한 후 의도한 대상 주소에 대한 보조 SSL 연결을 생성할 수 있다. 이를 이용해 정당한 트래픽의 흐름을 허용하면서 악의적인 직원이 민감한 정보를 안전한 네트워크 밖으로 전송하지 못하도록 할 수 있다. 데이터 보호의 관점에서는 좋지만 DPI는 프라이버시 문제를 일으킬 수 있다.
- 샌드박싱(Sandboxing): 유입되는 첨부파일 또는 외부 소스와의 통신에는 악성 코드가 포함돼 있을 수 있는데, 이때 샌드박싱을 이용하면 이런 첨부파일과 포함된 코드를 분리, 실행해 악성인지 여부를 파악할 수 있다. 이 프로세스의 단점은 많은 CPU 자원이 필요해 방화벽을 통해 흐르는 트래픽이 눈에 띄게 지연될 수 있다는 점이다.

이밖에도 차세대 방화벽에 통합할 수 있는 기능은 많다. 다른 플랫폼에서 수집한 데이터를 가져와 방화벽 정책 수립에 사용할 수도 있다. 예를 들어, 연구원이 새 악성코드 서명을 확인한 경우 방화벽은 해당 정보를 가져다가 해당 서명이 포함된 트래픽을 걸러낼 수 있다.

웹 애플리케이션 방화벽
이 방화벽은 논리적으로 웹 애플리케이션을 지원하는 서버와 인터넷 사이에서 교차 사이트 스크립팅, SQL 주입 등의 특정 HTML 공격을 방어한다. 하드웨어 또는 클라우드 기반일 수 있으며 애플리케이션 자체에 내장돼 서버에 접속하려는 각 클라이언트의 액세스를 허용해야 하는지 여부를 판단할 수 있다. ciokr@idg.co.kr



2018.11.01

트래픽 관리의 시작과 끝··· '네트워크 방화벽'의 이해

Tim Greene, Brandon Butler | Network World
방화벽은 네트워크와 블록을 출입하는 패킷을 모니터링하거나 허용 가능한 트래픽을 정의해 미리 정해진 규칙에 따라 처리하는 네트워크 장비다.



지난 수 년 동안 다양한 유형의 방화벽이 개발됐고 시간이 지남에 따라 점차 정교해지고 트래픽 통과 허용 여부를 판단할 때 더 많은 요소를 고려하게 됐다. 가장 최신 제품은 차세대 방화벽(NGF)이며 패킷 필터링 외에 다른 여러 기술이 집약돼 있다.

초기에는 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 사이의 경계에 배치됐던 방화벽이 이제는 데이터센터 등 특정 내부 네트워크를 기업의 다른 네트워크로부터 보호하는 용도로도 사용되고 있다. 방화벽은 대개 전문 업체가 개발해 기기 형태로 제공하지만, 가상 기기, 즉 도입 기업이 자체 하드웨어에 설치하는 소프트웨어 형태로도 구매할 수 있다.

이제 방화벽의 주요 유형에 관해 알아보자.

프록시(Proxy) 기반 방화벽
이 방화벽은 데이터를 요청하는 최종 사용자와 해당 데이터의 소스 사이에서 게이트웨이 역할을 한다. 호스트 기기는 프록시에 연결되고 프록시는 데이터 소스에 별도로 연결된다. 이에 대응해 소스 기기는 프록시에 연결되고 프록시는 호스트 기기에 별도로 연결된다. 대상 주소로 패킷을 전달하기 전에 프록시가 이를 필터링해 정책을 적용하고 수신인의 기기 위치를 숨기면서 수신인의 기기와 네트워크를 보호한다.

프록시 기반 방화벽의 장점은 보호되는 네트워크 외부의 기기가 네트워크에 대해 제한된 정보만 수집할 수 있다는 점이다. 직접 연결되지 않기 때문이다. 반면 단점은 유입 연결을 종료하고 외부 연결을 생성하면서 필터링까지 하면 지연이 발생해 네트워크 성능이 저하될 수 있다. 결과적으로 이를 통해 응답시간이 너무 느려지기 때문에 방화벽에서 일부 애플리케이션을 사용하지 못하게 할 수 있다.

상태 기반(Stateful) 방화벽
프록시 기반 방화벽의 성능 향상은 연결에 대한 정보의 영역을 추적해 방화벽이 모든 패킷을 검사할 필요가 없는 네트워크 연결 상태를 추적할 수 있는 방화벽의 형태다. 이를 통해 방화벽에 의한 지연이 많이 감소한다.

이런 방화벽은 연결 상태를 유지함으로써 이미 검사된 정당한 유출 연결에 대한 대응으로, 확인된 유입 패킷 검사를 미리 수행할 수 있다. 초기 검사는 연결을 허용할지 판단하며 메모리에 그 상태를 보존해 방화벽은 모든 패킷을 검사하지 않고 해당 대화의 일부인 후속 트래픽을 통해 통과할 수 있다.

차세대 방화벽
패킷은 연결 상태와 소스 및 대상 주소 외에 다른 것으로 필터링할 수 있다. 이 때, 차세대 방화벽이 필요하다. 개별 애플리케이션과 사용자가 할 수 있는 작업에 대한 규칙을 통합하고 다른 기술에서 획득한 데이터를 융합해 허용된 트래픽과 차단된 트래픽에 대해 정보를 기초로 더 나은 결정을 내릴 수 있다. 예를 들어, 일부 차세대 방화벽은 URL 필터링을 통해 SSL 연결을 종료할 수 있고 SD-WAN(Software-Defined Wide Area Networking)을 지원해 연결성에 대한 동적 SD-WAN의 효율성을 개선한다.


기존까지 별도 기기로 처리했던 기능은 이제 여러 차세대 방화벽에 포함되는 추세이며 주요 기능은 다음과 같다.

- 침입탐지시스템(IPS): 기본 방화벽 기술은 특정 유형의 네트워크 트래픽을 식별해 차단하지만 IPS는 서명 추적과 이상 감지 등 더 세부적인 보안을 이용해 네트워크 진입의 위협을 방지한다. 한 때 별도의 플랫폼이었던 IPS 기능이 점차 표준 방화벽 기능으로 자리잡고 있다.
- DPI(Deep Packet Inspection): DPI는 패킷의 출처와 목적지를 살피고 콘텐츠를 검사해 액세스하는 애플리케이션 또는 전송하는 데이터 유형 등을 알려주는 패킷 필터링 기능이다. 이 정보를 통해 방화벽이 시행할 더 지능적이고 세부적인 정책을 수립할 수 있다. DPI를 사용해 트래픽을 차단하거나 허용할 수 있고 특정 애플리케이션이 사용할 수 있는 대역폭을 제한할 수 있다. 또한 지적 재산이나 민감한 데이터가 안전한 네트워크를 벗어나지 않도록 보호하는 툴로 사용할 수도 있다.
- SSL 종료: SSL(Secure Sockets Layer) 암호화 트래픽은 내용을 읽을 수 없기 때문에 DPI의 영향을 받지 않는다. 일부 차세대 방화벽은 SSL 트래픽을 종료하고 검사한 후 의도한 대상 주소에 대한 보조 SSL 연결을 생성할 수 있다. 이를 이용해 정당한 트래픽의 흐름을 허용하면서 악의적인 직원이 민감한 정보를 안전한 네트워크 밖으로 전송하지 못하도록 할 수 있다. 데이터 보호의 관점에서는 좋지만 DPI는 프라이버시 문제를 일으킬 수 있다.
- 샌드박싱(Sandboxing): 유입되는 첨부파일 또는 외부 소스와의 통신에는 악성 코드가 포함돼 있을 수 있는데, 이때 샌드박싱을 이용하면 이런 첨부파일과 포함된 코드를 분리, 실행해 악성인지 여부를 파악할 수 있다. 이 프로세스의 단점은 많은 CPU 자원이 필요해 방화벽을 통해 흐르는 트래픽이 눈에 띄게 지연될 수 있다는 점이다.

이밖에도 차세대 방화벽에 통합할 수 있는 기능은 많다. 다른 플랫폼에서 수집한 데이터를 가져와 방화벽 정책 수립에 사용할 수도 있다. 예를 들어, 연구원이 새 악성코드 서명을 확인한 경우 방화벽은 해당 정보를 가져다가 해당 서명이 포함된 트래픽을 걸러낼 수 있다.

웹 애플리케이션 방화벽
이 방화벽은 논리적으로 웹 애플리케이션을 지원하는 서버와 인터넷 사이에서 교차 사이트 스크립팅, SQL 주입 등의 특정 HTML 공격을 방어한다. 하드웨어 또는 클라우드 기반일 수 있으며 애플리케이션 자체에 내장돼 서버에 접속하려는 각 클라이언트의 액세스를 허용해야 하는지 여부를 판단할 수 있다. ciokr@idg.co.kr

X