8가지 방화벽 유형 설명

모든 사람은 맬웨어 및 무단 액세스로부터 네트워크를 보호하는 방화벽의 기본 기능을 이해합니다. 그러나 방화벽이 작동하는 방식의 정확한 세부 사항은 덜 알려져 있습니다.

방화벽(firewall) 이란 정확히 무엇입니까 ? 다양한 유형의 방화벽은 어떻게 작동합니까? 그리고 아마도 가장 중요한 것은 - 어떤 유형의 방화벽이 가장 좋습니까?

방화벽 101

간단히 말해서(Simply) 방화벽은 또 다른 네트워크 끝점일 뿐입니다. 특별한 점은 들어오는 트래픽이 내부 네트워크에 들어가기 전에 가로채서 스캔하여 악의적인 행위자가 액세스하지 못하도록 차단하는 기능입니다.

각 연결의 인증 확인, 해커로부터 대상 IP 숨기기, 각 데이터 패킷의 내용 스캔까지 방화벽이 모든 작업을 수행합니다. 방화벽은 일종의 체크포인트 역할을 하여 들어오는 통신 유형을 신중하게 제어합니다.

패킷 필터링 방화벽

패킷 필터링 방화벽은 가장 간단하고 리소스 집약적인 방화벽 기술입니다. 요즘은 인기가 없지만 오래된 컴퓨터에서 네트워크 보호의 필수 요소였습니다.

패킷 필터링 방화벽은 패킷 수준에서 작동하여 네트워크 라우터에서 들어오는 각 패킷을 검색합니다. 그러나 실제로 데이터 패킷의 내용을 스캔하지 않고 헤더만 스캔합니다. 이를 통해 방화벽은 소스 및 대상 주소, 포트 번호 등과 같은 메타데이터를 확인할 수 있습니다.

예상할 수 있듯이 이러한 유형의 방화벽은 그다지 효과적이지 않습니다. 패킷 필터링 방화벽이 할 수 있는 일은 액세스 제어 목록에 따라 불필요한 네트워크 트래픽을 줄이는 것뿐입니다. 패킷의 내용 자체는 확인되지 않기 때문에 멀웨어는 여전히 통과할 수 있습니다.

회로 수준 게이트웨이

네트워크 연결의 합법성을 확인하는 또 다른 리소스 효율적인 방법은 회로 수준 게이트웨이입니다. 개별 데이터 패킷의 헤더를 확인하는 대신 회로 수준 게이트웨이는 세션 자체를 확인합니다.

다시 한 번, 이와 같은 방화벽은 전송 자체의 내용을 통과하지 않으므로 호스트를 악의적인 공격에 취약하게 만듭니다. 즉 , OSI 모델 의 세션 계층에서 TCP ( 전송 제어 프로토콜(Transmission Control Protocol) ) 연결을 확인하는 것은 리소스를 거의 사용하지 않으며 바람직하지 않은 네트워크 연결을 효과적으로 차단할 수 있습니다.

이것이 회로 수준 게이트웨이가 종종 대부분의 네트워크 보안 솔루션, 특히 소프트웨어 방화벽에 내장되는 이유입니다. 이러한 게이트웨이는 또한 모든 세션에 대한 가상 연결을 생성하여 사용자의 IP 주소를 마스킹하는 데 도움이 됩니다.

상태 기반 검사 방화벽

패킷 필터링 방화벽(Packet-Filtering Firewall)회로 수준 게이트웨이(Circuit Level Gateway) 는 모두 상태 비저장 방화벽 구현입니다. 이는 정적 규칙 집합에서 작동하여 효율성을 제한함을 의미합니다. 모든 패킷(또는 세션)은 별도로 처리되므로 매우 기본적인 검사만 수행할 수 있습니다.

 반면에 상태 기반 검사 방화벽(Inspection Firewall) 은 이를 통해 전송된 모든 패킷의 세부 정보와 함께 연결 상태를 추적합니다. 연결 기간 동안 TCP 핸드셰이크 를 모니터링하여 상태 기반 검사 방화벽은 소스 및 대상의 IP 주소와 포트 번호가 포함된 테이블을 컴파일하고 들어오는 패킷을 이 동적 규칙 집합과 일치시킬 수 있습니다.

덕분에 상태 기반 검사 방화벽을 통해 악성 데이터 패킷을 몰래 빠져나가기가 어렵습니다. 반면에 이러한 종류의 방화벽은 리소스 비용이 더 많이 들기 때문에 성능이 저하되고 해커가 시스템에 대해 DDoS ( 분산 서비스(Denial-of-Service) 거부 ) 공격을 사용할 기회가 생깁니다.

프록시 방화벽

(Better)애플리케이션 수준 게이트웨이(Application Level Gateways)더 잘 알려진 프록시 방화벽 은 (Proxy Firewalls)OSI 모델 의 전면 레이어인 애플리케이션 레이어에서 작동 합니다. 네트워크에서 사용자를 분리하는 마지막 계층인 이 계층은 성능을 희생하면서 가장 철저하고 비용이 많이 드는 데이터 패킷 검사를 허용합니다.

회로 수준 게이트웨이(Circuit-Level Gateways) 와 유사하게 프록시 방화벽(Proxy Firewalls) 은 호스트와 클라이언트 사이를 중재하여 대상 포트의 내부 IP 주소를 난독화하여 작동합니다. 또한 애플리케이션 수준 게이트웨이는 심층 패킷 검사를 수행하여 악의적인 트래픽이 통과할 수 없도록 합니다.

이러한 모든 조치는 네트워크 보안을 크게 향상시키는 동시에 들어오는 트래픽의 속도를 늦춥니다. 이와 같은 상태 저장 방화벽이 수행하는 리소스 집약적 검사로 인해 네트워크(Network) 성능이 저하되므로 성능에 민감한 애플리케이션에는 적합하지 않습니다. 

NAT 방화벽

많은 컴퓨팅 설정에서 사이버 보안의 핵심은 사설 네트워크를 보장하여 해커와 서비스 제공업체 모두로부터 클라이언트 장치의 개별 IP 주소를 숨기는 것입니다. 이미 보았듯이 프록시(Proxy) 방화벽이나 회로 수준 게이트웨이를 사용하여 이 작업을 수행할 수 있습니다.

IP 주소를 숨기는 훨씬 간단한 방법은 NAT ( Network Address Translation ) 방화벽(Firewall) 을 사용하는 것 입니다. NAT 방화벽은 작동하는 데 많은 시스템 리소스가 필요하지 않으므로 서버와 내부 네트워크 사이를 이동해야 합니다.

웹 애플리케이션 방화벽

응용 프로그램 계층에서 작동하는 네트워크 방화벽(Network Firewalls)프록시 방화벽(Proxy Firewall) 이나 WAF ( 웹 응용 프로그램 방화벽(Web Application Firewall) ) 와 같은 데이터 패킷의 심층 스캔을 수행할 수 있습니다.

WAF 는 네트워크 또는 호스트 내에서 작동 하여 다양한 웹 응용 프로그램에서 전송되는 모든 데이터를 통과하여 악성 코드가 통과하지 못하도록 합니다. 이러한 유형의 방화벽 아키텍처는 패킷 검사에 특화되어 있으며 표면 수준 방화벽보다 더 나은 보안을 제공합니다.

클라우드 방화벽

하드웨어 방화벽과 소프트웨어 모두와 같은 기존 방화벽은 확장성이 좋지 않습니다. 높은 트래픽 성능 또는 낮은 네트워크 트래픽 보안에 중점을 두어 시스템 요구 사항을 염두에 두고 설치해야 합니다.

그러나 Cloud Firewall(Cloud Firewalls) 은 훨씬 더 유연합니다. 클라우드에서 프록시 서버로 배포되는 이 유형의 방화벽은 네트워크 트래픽이 내부 네트워크에 들어가기 전에 가로채고, 각 세션에 권한을 부여하고, 들어오기 전에 각 데이터 패킷을 확인합니다.

가장 좋은 점은 이러한 방화벽이 필요에 따라 용량을 확장 및 축소할 수 있고 다양한 수준의 수신 트래픽에 맞게 조정할 수 있다는 것입니다. 클라우드 기반 서비스로 제공되며 하드웨어가 필요하지 않으며 서비스 공급자가 자체적으로 유지 관리합니다.

차세대 방화벽

차세대는 오해의 소지가 있는 용어일 수 있습니다. 모든 기술 기반 산업은 이와 같은 유행어를 던지는 것을 좋아하지만 실제로 의미하는 바는 무엇입니까? 어떤 유형의 기능이 차세대 방화벽으로 간주될 수 있습니까?

사실 엄격한 정의는 없습니다. 일반적으로 다양한 유형의 방화벽을 하나의 효율적인 보안 시스템으로 결합하는 솔루션을 차세대 방화벽(Next-Generation Firewall) ( NGFW )으로 고려할 수 있습니다. 이러한 방화벽은 DDoS(DDoS) 공격 을 무시하는 동시에 심층 패킷 검사가 가능 하여 해커에 대한 다계층 방어를 제공합니다.

대부분의 차세대 방화벽은 VPN(VPNs) , IPS ( 침입 방지 시스템(Intrusion Prevention Systems) ) 및 바이러스 백신과 같은 여러 네트워크 솔루션을 하나의 강력한 패키지로 결합하는 경우가 많습니다. 아이디어는 모든 유형의 네트워크 취약성을 해결하는 완벽한 솔루션을 제공하여 절대적인 네트워크 보안을 제공하는 것입니다. 이를 위해 일부 NGFW 는 (NGFWs)SSL ( Secure Socket Layer ) 통신도 해독할 수 있으므로 암호화된 공격도 감지할 수 있습니다.

어떤 유형(Type)방화벽 이 (Firewall)네트워크(Your Network) 를 보호하는 데 가장 적합 합니까?

방화벽의 문제는 다른 유형의 방화벽 이 네트워크를 보호하기 위해(protect a network) 다른 접근 방식을 사용한다는 것입니다 .

가장 단순한 방화벽은 내용에 대해 아무 것도 하지 않고 세션과 패킷만 인증합니다. 게이트웨이(Gateway) 방화벽은 가상 연결을 생성하고 사설 IP 주소에 대한 액세스를 방지하는 것에 관한 것입니다. 상태 저장 방화벽은 (Stateful)TCP 핸드셰이크 를 통해 연결을 추적 하여 정보로 상태 테이블을 작성합니다.

그런 다음 위의 모든 프로세스를 심층 패킷 검사 및 기타 네트워크 보호 기능과 결합하는 차세대 방화벽이 있습니다. (Next-Generation)NGFW 가 시스템에 가능한 최고의 보안을 제공할 것이라는 것은 분명 하지만 이것이 항상 정답은 아닙니다.

네트워크의 복잡성과 실행 중인 애플리케이션 유형에 따라 가장 일반적인 공격으로부터 보호하는 더 간단한 솔루션이 시스템에 더 나을 수 있습니다. 가장 좋은 아이디어는 타사 클라우드 방화벽(third-party Cloud firewall) 서비스를 사용하여 방화벽의 미세 조정 및 유지 관리를 서비스 제공업체에 전가하는 것입니다.



About the author

저는 12년 이상의 경험을 가진 숙련된 iOS 개발자입니다. 저는 iPhone과 iPad 플랫폼 모두에서 일해 왔으며 최신 Apple 기술을 사용하여 앱을 만들고 사용자화하는 방법을 알고 있습니다. aiOS 개발자로서의 기술 외에도 Adobe Photoshop 및 Illustrator 사용과 WordPress 및 Laravel과 같은 프레임워크를 통한 웹 개발에 대한 강력한 경험이 있습니다.



Related posts