방화벽의 구성 형태
- 방화벽의 구성 형태는 네트워크 망에서 방화벽을 어떤 방식으로 어느 위치에 두느냐에 따라
크게 5가지로 나눌 수 있다.
① 스크리닝 라우터 ( Screening Router )
장점)
- 라우터 차원에서 IP, TCP, UDP 헤더 부분에 포함된 내용만 분석하여 동작하며,
내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 허용 또는 거부하는 패킷 필터링 규칙 적용
- 매우 저렴
단점)
- 세부적인 규칙 적용에는 한계가 있고, 접속이 폭주할 경우 부하가 걸려 효과적이지 못함.
② 배스천 호스트 ( Bastion host )
장점)
- 내부 네트워크와 외부 네트워크 사이에 게이트웨이 역할을 하는 만능(?) 방어정책이 구현되어 있는 시스템.
( 꼭 하나의 디바이스라고 볼 수는 없음 )
- 접근 제어를 기본으로 프록시 기능을 사용하며, 인증, 모니터링, 로깅 등의 여러 작업을 수행.
- 가장 중요한 방화벽 호스트로, Attacker 의 공격 목표가 되기 쉽기 때문에 해킹의 대상이 될 어떠한
조건도 두지 않는 가장 완벽한 시스템으로서 운영이 되도록 해야 함.
- 스크리닝 라우터보다 안전하고 로그 정보 생성/관리가 편리하며, 접근 제어와 인증 기능 제공.
단점)
- 배스천 호스트 손상 시 내부망이 손상됨.
- 로그인 정보가 유출될 시 내부망 침해가 가능함.
③ 듀얼-홈드 호스트( 게이트웨이 ) ( Dual-Homed Host or Dual-Homed Gateway )
장점)
- 2개의 NIC ( Network Interface Card ) 를 가진 배스천 호스트로서,
각각 내부 네트워크 및 외부 네트워크와 연결됨.
- 배스천 호스트는 내/외부 네트워크 간에 직접적으로 IP 패킷을 라우팅 하지 않고 Proxy 역할을 수행
- 정보 지향적인 공격 방어가 가능하며, 로깅 정보 생성/관리가 편리, 또한 설치 및 유지 보수가 편함.
단점)
- 배스천 호스트 자체가 보안 위반을 초래할 수 있으며, 간단한 서비스 구성의 경우 유지 보수가
편하지만 서비스가 늘어날수록 유지 보수가 힘들어짐
④ 스크린드 호스트 ( Screened Host )
장점)
- 스크리닝 라우터와 배스천 호스트가 함께 구성되어 있는 구조.
이때 스크리닝 라우터는 내/외부 네트워크에서 발생하는 패킷 통과 여부를 결정하며,
외부에서 내부로 유입되는 트래픽 중 필터링 된 패킷을 배스천 호스트에게 전송.
배스천 호스트는 스크리닝 라우터로부터 받은 필터링된 패킷에 대하여
내/외부 네트워크 시스템에 대한 인증을 담당.
보통 스크리닝 라우터는 L3, L4 에 대해서 접근 제어 / 배스천 호스트는 L7에 대한 접근 제어.
- L3 부터 L7에 이르기 까지 여러 계층에 대한 방어로 안전하며, 융통성이 우수하고
듀얼 홈드의 장점을 그대로 유지
단점)
- 스크리닝 라우터의 정보가 변경되면 방어가 불가능
- 구축 비용이 매우 많이 듦
⑤ 스크린드 서브넷 ( Screened Subnet )
장점)
- 스크린드 호스트의 보안 문제점을 해결한 것으로, 내/외부 네트워크 간에 하나 이상의
경계 네트워크를 두고 내부 네트워크를 외부 네트워크와 분리하기 윈한 구조
- 일반적으로 1개의 배스천 호스트와 2개의 스크리닝 라우터로 구성
- 스크린드 호스트의 장점을 유지하고, 이에 보안을 강화한 구조
단점)
- 설치 및 관리가 어렵고, 서비스 속도가 느려질 수 있음
- 구축 비용이 가장 높음
참고
'IT 지식 > IT 정보' 카테고리의 다른 글
| NAT ( Network Address Translation ) 설명 (0) | 2022.12.16 |
|---|---|
| 해시 ( Hash ) 개념 (0) | 2022.12.15 |
| 방화벽 ( Firewall ) 개념 , 기능, 동작 방식 (0) | 2022.12.13 |
| SEED 암호화 개념 (0) | 2022.12.12 |
| RSA 공개키 암호화 알고리즘 (0) | 2022.12.09 |
