모든 사람은 맬웨어 및 무단 액세스로부터 네트워크를 보호하는 방화벽의 기본 기능을 이해합니다. 그러나 방화벽이 작동하는 방식의 정확한 세부 사항은 덜 알려져 있습니다.
방화벽(firewall) 이란 정확히 무엇입니까 ? 다양한 유형의 방화벽은 어떻게 작동합니까? 그리고 아마도 가장 중요한 것은 - 어떤 유형의 방화벽이 가장 좋습니까?
방화벽 101
간단히 말해서(Simply) 방화벽은 또 다른 네트워크 끝점일 뿐입니다. 특별한 점은 들어오는 트래픽이 내부 네트워크에 들어가기 전에 가로채서 스캔하여 악의적인 행위자가 액세스하지 못하도록 차단하는 기능입니다.
각 연결의 인증 확인, 해커로부터 대상 IP 숨기기, 각 데이터 패킷의 내용 스캔까지 방화벽이 모든 작업을 수행합니다. 방화벽은 일종의 체크포인트 역할을 하여 들어오는 통신 유형을 신중하게 제어합니다.
패킷 필터링 방화벽
패킷 필터링 방화벽은 가장 간단하고 리소스 집약적인 방화벽 기술입니다. 요즘은 인기가 없지만 오래된 컴퓨터에서 네트워크 보호의 필수 요소였습니다.
패킷 필터링 방화벽은 패킷 수준에서 작동하여 네트워크 라우터에서 들어오는 각 패킷을 검색합니다. 그러나 실제로 데이터 패킷의 내용을 스캔하지 않고 헤더만 스캔합니다. 이를 통해 방화벽은 소스 및 대상 주소, 포트 번호 등과 같은 메타데이터를 확인할 수 있습니다.
예상할 수 있듯이 이러한 유형의 방화벽은 그다지 효과적이지 않습니다. 패킷 필터링 방화벽이 할 수 있는 일은 액세스 제어 목록에 따라 불필요한 네트워크 트래픽을 줄이는 것뿐입니다. 패킷의 내용 자체는 확인되지 않기 때문에 멀웨어는 여전히 통과할 수 있습니다.
회로 수준 게이트웨이
네트워크 연결의 합법성을 확인하는 또 다른 리소스 효율적인 방법은 회로 수준 게이트웨이입니다. 개별 데이터 패킷의 헤더를 확인하는 대신 회로 수준 게이트웨이는 세션 자체를 확인합니다.
다시 한 번, 이와 같은 방화벽은 전송 자체의 내용을 통과하지 않으므로 호스트를 악의적인 공격에 취약하게 만듭니다. 즉 , OSI 모델 의 세션 계층에서 TCP ( 전송 제어 프로토콜(Transmission Control Protocol) ) 연결을 확인하는 것은 리소스를 거의 사용하지 않으며 바람직하지 않은 네트워크 연결을 효과적으로 차단할 수 있습니다.
이것이 회로 수준 게이트웨이가 종종 대부분의 네트워크 보안 솔루션, 특히 소프트웨어 방화벽에 내장되는 이유입니다. 이러한 게이트웨이는 또한 모든 세션에 대한 가상 연결을 생성하여 사용자의 IP 주소를 마스킹하는 데 도움이 됩니다.
상태 기반 검사 방화벽
패킷 필터링 방화벽(Packet-Filtering Firewall) 과 회로 수준 게이트웨이(Circuit Level Gateway) 는 모두 상태 비저장 방화벽 구현입니다. 이는 정적 규칙 집합에서 작동하여 효율성을 제한함을 의미합니다. 모든 패킷(또는 세션)은 별도로 처리되므로 매우 기본적인 검사만 수행할 수 있습니다.
반면에 상태 기반 검사 방화벽(Inspection Firewall) 은 이를 통해 전송된 모든 패킷의 세부 정보와 함께 연결 상태를 추적합니다. 연결 기간 동안 TCP 핸드셰이크 를 모니터링하여 상태 기반 검사 방화벽은 소스 및 대상의 IP 주소와 포트 번호가 포함된 테이블을 컴파일하고 들어오는 패킷을 이 동적 규칙 집합과 일치시킬 수 있습니다.
덕분에 상태 기반 검사 방화벽을 통해 악성 데이터 패킷을 몰래 빠져나가기가 어렵습니다. 반면에 이러한 종류의 방화벽은 리소스 비용이 더 많이 들기 때문에 성능이 저하되고 해커가 시스템에 대해 DDoS ( 분산 서비스(Denial-of-Service) 거부 ) 공격을 사용할 기회가 생깁니다.
프록시 방화벽
(Better)애플리케이션 수준 게이트웨이(Application Level Gateways) 로 더 잘 알려진 프록시 방화벽 은 (Proxy Firewalls)OSI 모델 의 전면 레이어인 애플리케이션 레이어에서 작동 합니다. 네트워크에서 사용자를 분리하는 마지막 계층인 이 계층은 성능을 희생하면서 가장 철저하고 비용이 많이 드는 데이터 패킷 검사를 허용합니다.
회로 수준 게이트웨이(Circuit-Level Gateways) 와 유사하게 프록시 방화벽(Proxy Firewalls) 은 호스트와 클라이언트 사이를 중재하여 대상 포트의 내부 IP 주소를 난독화하여 작동합니다. 또한 애플리케이션 수준 게이트웨이는 심층 패킷 검사를 수행하여 악의적인 트래픽이 통과할 수 없도록 합니다.
이러한 모든 조치는 네트워크 보안을 크게 향상시키는 동시에 들어오는 트래픽의 속도를 늦춥니다. 이와 같은 상태 저장 방화벽이 수행하는 리소스 집약적 검사로 인해 네트워크(Network) 성능이 저하되므로 성능에 민감한 애플리케이션에는 적합하지 않습니다.
NAT 방화벽
많은 컴퓨팅 설정에서 사이버 보안의 핵심은 사설 네트워크를 보장하여 해커와 서비스 제공업체 모두로부터 클라이언트 장치의 개별 IP 주소를 숨기는 것입니다. 이미 보았듯이 프록시(Proxy) 방화벽이나 회로 수준 게이트웨이를 사용하여 이 작업을 수행할 수 있습니다.
IP 주소를 숨기는 훨씬 간단한 방법은 NAT ( Network Address Translation ) 방화벽(Firewall) 을 사용하는 것 입니다. NAT 방화벽은 작동하는 데 많은 시스템 리소스가 필요하지 않으므로 서버와 내부 네트워크 사이를 이동해야 합니다.
웹 애플리케이션 방화벽
응용 프로그램 계층에서 작동하는 네트워크 방화벽(Network Firewalls) 만 프록시 방화벽(Proxy Firewall) 이나 WAF ( 웹 응용 프로그램 방화벽(Web Application Firewall) ) 와 같은 데이터 패킷의 심층 스캔을 수행할 수 있습니다.
WAF 는 네트워크 또는 호스트 내에서 작동 하여 다양한 웹 응용 프로그램에서 전송되는 모든 데이터를 통과하여 악성 코드가 통과하지 못하도록 합니다. 이러한 유형의 방화벽 아키텍처는 패킷 검사에 특화되어 있으며 표면 수준 방화벽보다 더 나은 보안을 제공합니다.
클라우드 방화벽
하드웨어 방화벽과 소프트웨어 모두와 같은 기존 방화벽은 확장성이 좋지 않습니다. 높은 트래픽 성능 또는 낮은 네트워크 트래픽 보안에 중점을 두어 시스템 요구 사항을 염두에 두고 설치해야 합니다.
그러나 Cloud Firewall(Cloud Firewalls) 은 훨씬 더 유연합니다. 클라우드에서 프록시 서버로 배포되는 이 유형의 방화벽은 네트워크 트래픽이 내부 네트워크에 들어가기 전에 가로채고, 각 세션에 권한을 부여하고, 들어오기 전에 각 데이터 패킷을 확인합니다.
가장 좋은 점은 이러한 방화벽이 필요에 따라 용량을 확장 및 축소할 수 있고 다양한 수준의 수신 트래픽에 맞게 조정할 수 있다는 것입니다. 클라우드 기반 서비스로 제공되며 하드웨어가 필요하지 않으며 서비스 공급자가 자체적으로 유지 관리합니다.
차세대 방화벽
차세대는 오해의 소지가 있는 용어일 수 있습니다. 모든 기술 기반 산업은 이와 같은 유행어를 던지는 것을 좋아하지만 실제로 의미하는 바는 무엇입니까? 어떤 유형의 기능이 차세대 방화벽으로 간주될 수 있습니까?
사실 엄격한 정의는 없습니다. 일반적으로 다양한 유형의 방화벽을 하나의 효율적인 보안 시스템으로 결합하는 솔루션을 차세대 방화벽(Next-Generation Firewall) ( NGFW )으로 고려할 수 있습니다. 이러한 방화벽은 DDoS(DDoS) 공격 을 무시하는 동시에 심층 패킷 검사가 가능 하여 해커에 대한 다계층 방어를 제공합니다.
대부분의 차세대 방화벽은 VPN(VPNs) , IPS ( 침입 방지 시스템(Intrusion Prevention Systems) ) 및 바이러스 백신과 같은 여러 네트워크 솔루션을 하나의 강력한 패키지로 결합하는 경우가 많습니다. 아이디어는 모든 유형의 네트워크 취약성을 해결하는 완벽한 솔루션을 제공하여 절대적인 네트워크 보안을 제공하는 것입니다. 이를 위해 일부 NGFW 는 (NGFWs)SSL ( Secure Socket Layer ) 통신도 해독할 수 있으므로 암호화된 공격도 감지할 수 있습니다.
어떤 유형(Type) 의 방화벽 이 (Firewall)네트워크(Your Network) 를 보호하는 데 가장 적합 합니까?
방화벽의 문제는 다른 유형의 방화벽 이 네트워크를 보호하기 위해(protect a network) 다른 접근 방식을 사용한다는 것입니다 .
가장 단순한 방화벽은 내용에 대해 아무 것도 하지 않고 세션과 패킷만 인증합니다. 게이트웨이(Gateway) 방화벽은 가상 연결을 생성하고 사설 IP 주소에 대한 액세스를 방지하는 것에 관한 것입니다. 상태 저장 방화벽은 (Stateful)TCP 핸드셰이크 를 통해 연결을 추적 하여 정보로 상태 테이블을 작성합니다.
그런 다음 위의 모든 프로세스를 심층 패킷 검사 및 기타 네트워크 보호 기능과 결합하는 차세대 방화벽이 있습니다. (Next-Generation)NGFW 가 시스템에 가능한 최고의 보안을 제공할 것이라는 것은 분명 하지만 이것이 항상 정답은 아닙니다.
네트워크의 복잡성과 실행 중인 애플리케이션 유형에 따라 가장 일반적인 공격으로부터 보호하는 더 간단한 솔루션이 시스템에 더 나을 수 있습니다. 가장 좋은 아이디어는 타사 클라우드 방화벽(third-party Cloud firewall) 서비스를 사용하여 방화벽의 미세 조정 및 유지 관리를 서비스 제공업체에 전가하는 것입니다.
8 Types of Firewalls Explained
Everyone understands the basic function of a firewall – to рrotect your network from malware and υnauthorized access. But the exact specifics of how firewalls work are lesser-known.
What exactly is a firewall? How do the different types of firewalls work? And perhaps most importantly – which type of firewall is best?
Firewall 101
Simply put, a firewall is just another network endpoint. What makes it special is its ability to intercept and scan incoming traffic before it enters the internal network, blocking malicious actors from gaining access.
Verifying the authentication of each connection, hiding the destination IP from hackers, and even scanning the contents of each data packet – firewalls do it all. A firewall serves as a checkpoint of sorts, carefully controlling the type of communication that’s let in.
Packet-Filtering Firewalls
Packet-filtering firewalls are the simplest and least resource-intensive firewall technology out there. While it’s out of favor these days, they were the staple of network protection in old computers.
A packet-filtering firewall operates at a packet level, scanning each incoming packet from the network router. But it doesn’t actually scan the contents of the data packets – just their headers. This allows the firewall to verify metadata like the source and destination addresses, port numbers, etc.
As you might suspect, this type of firewall isn’t very effective. All that a packet filtering firewall can do is to cut down on unnecessary network traffic according to the access control list. Since the packet’s contents themselves are not checked, malware can still get through.
Circuit Level Gateways
Another resource-efficient way of verifying the legitimacy of network connections is a circuit-level gateway. Instead of checking the headers of individual data packets, a circuit-level gateway verifies the session itself.
Once again, a firewall like this doesn’t go through the contents of the transmission itself, leaving it vulnerable to a host of malicious attacks. That being said, verifying Transmission Control Protocol (TCP) connections from the sessions layer of the OSI model takes very little resources, and can effectively shut down undesirable network connections.
This is why circuit-level gateways are often built into most network security solutions, especially software firewalls. These gateways also help mask the IP address of the user by creating virtual connections for every session.
Stateful Inspection Firewalls
Both Packet-Filtering Firewall and Circuit Level Gateway are stateless firewall implementations. This means that they operate on a static ruleset, limiting their effectiveness. Every packet (or session) is treated separately, which allows for only very basic checks to be carried out.
A Stateful Inspection Firewall, on the other hand, keeps track of the state of the connection, along with the details of every packet transmitted through it. By monitoring the TCP handshake throughout the duration of the connection, a stateful inspection firewall is able to compile a table containing the IP addresses and port numbers of the source and the destination and match up incoming packets with this dynamic ruleset.
Thanks to this, it’s difficult to sneak in malicious data packets past a stateful inspection firewall. On the flip side, this kind of firewall has a heavier resource cost, slowing down performance and creating an opportunity for hackers to use Distributed Denial-of-Service (DDoS) attacks against the system.
Proxy Firewalls
Better known as Application Level Gateways, Proxy Firewalls operate at the front-facing layer of the OSI model – the application layer. As the final layer separating the user from the network, this layer allows for the most thorough and expensive checking of data packets, at the cost of performance.
Similar to Circuit-Level Gateways, Proxy Firewalls work by interceding between the host and the client, obfuscating internal IP addresses of the destination ports. In addition, application-level gateways perform a deep packet inspection to ensure no malicious traffic can get through.
And while all of these measures significantly boost the security of the network, it also slows down the incoming traffic. Network performance takes a hit due to the resource-intensive checks conducted by a stateful firewall like this, making it a poor fit for performance-sensitive applications.
NAT Firewalls
In many computing setups, the key lynchpin of cybersecurity is to ensure a private network, concealing the individual IP addresses of client devices from both hackers and service providers. As we have already seen, this can be accomplished using a Proxy firewall or a Circuit-level gateway.
A much simpler method of hiding IP addresses is to use a Network Address Translation (NAT) Firewall. NAT firewalls do not require many system resources to function, making them the go-to between servers and the internal network.
Web Application Firewalls
Only Network Firewalls that operate at the application layer are able to perform deep scanning of data packets, like a Proxy Firewall, or better yet, a Web Application Firewall (WAF).
Operating from within the network or the host, a WAF goes through all the data transmitted by various web applications, making sure that no malicious code gets through. This type of firewall architecture specializes in packet inspection and provides better security than surface-level firewalls.
Cloud Firewalls
Traditional firewalls, both hardware firewalls as well as software, don’t scale well. They have to be installed with the needs of the system in mind, either focusing on high-traffic performance or low network traffic security.
But Cloud Firewalls are far more flexible. Deployed from the cloud as a proxy server, this type of firewall intercepts network traffic before it enters the internal network, authorizing each session and verifying each data packet before letting it in.
The best part is that such firewalls can be scaled up and down in capacity as needed, adjusting to different levels of incoming traffic. Offered as a cloud-based service, it requires no hardware and is maintained by the service provider itself.
Next-Generation Firewalls
Next-Generation can be a misleading term. All tech-based industries love to throw buzzwords like this around, but what does it really mean? What type of features qualifies a firewall to be considered next-gen?
In truth, there is no strict definition. Generally, you can consider solutions that combine different types of firewalls into a single efficient security system to be a Next-Generation Firewall (NGFW). Such a firewall is capable of deep packet inspection while also shrugging off DDoS attacks, providing a multilayer defense against hackers.
Most Next-Generation firewalls will often combine multiple network solutions, such as VPNs, Intrusion Prevention Systems (IPS), and even an antivirus into one powerful package. The idea is to offer a complete solution that addresses all types of network vulnerabilities, giving absolute network security. To this end, some NGFWs can decrypt Secure Socket Layer (SSL) communications as well, allowing them to notice encrypted attacks as well.
Which Type of Firewall is the Best to Protect Your Network?
The thing about firewalls is that different types of firewalls use different approaches to protect a network.
The simplest firewalls just authenticate the sessions and packets, doing nothing with the contents. Gateway firewalls are all about creating virtual connections and preventing access to private IP addresses. Stateful firewalls keep track of connections through their TCP handshakes, building a state table with the information.
Then there are Next-Generation firewalls, which combine all of the above processes with deep packet inspection and a bevy of other network protection features. It is obvious to say that an NGFW would provide your system with the best security possible, but that isn’t always the right answer.
Depending on the complexity of your network and the type of applications being run, your systems might be better off with a simpler solution that safeguards against the most common attacks instead. The best idea might be to just use a third-party Cloud firewall service, offloading the fine-tuning and upkeep of the firewall to the service provider.
