防火壁 (네트워킹)

防火壁 (防火壁) 또는 파이어월 ( firewall )은 미리 定義된 保安規則에 基盤한, 들어오고 나가는 네트워크 트래픽 을 모니터링하고 制御하는 네트워크 保安 시스템이다. ^[1] 防火壁은 一般的으로 信賴할 수 있는 內部 네트워크, 信賴할 수 없는 外部 네트워크(예: 인터넷 ) 間의 障壁을 構成한다. ^[2] 서로 다른 네트워크 를 지나는 데이터를 許容하거나 拒否하거나 檢閱, 修正하는 하드웨어 나 소프트웨어 裝置이다.

役割 [ 編輯 ]

防火壁의 基本役割은 信賴水準이 다른 네트워크 九干들 사이에 놓여서 信賴水準이 낮은 네트워크로부터 오는 害로운 트래픽이 信賴水準이 높은 네트워크로 오지 못하게 막는 것이다. 흔히 네트워크 管理者의 立場에서 높은 信賴度를 갖는 區間은 內部 네트워크 區間이라 하고, 낮은 信賴度를 갖는 區間을 인터넷 區間 또는 外部 네트워크 區間이라고 한다. 이 밖에도 外部에 서비스를 提供하는 서버들을 爲한 DMZ 區間이 있으며 인터넷으로부터 內部 네트워크로의 侵入을 막는 同時에 內部 네트워크에서 인터넷과 自由롭게 通信할 수 있도록 도와 준다. ^[3]

大部分의 防火壁은 政策基盤의 防火壁이며 다양한 水準의 政策으로 네트워크 間의 트래픽을 制御한다.

一般水準의 政策 : 外部에서 內部로 電送되는 모든 트래픽을 遮斷하거나 許容
高級水準의 政策 : "外部의 競爭會社.com으로부터 內部 서버 假짜情報.net으로 오는 길이 500바이트 以上의 http 트래픽을 許容하되 로그를 남긴다."와 같은 複雜한 政策.

歷史 [ 編輯 ]

防火壁 이라는 用語는 元來建物內火災를 制限하기 위해 考案된 防壁을 의미했다. ^[4] 나중에 이 用語는 1980年代末 네트워크 技術에 適用되었는데, 全世界的인 利用 및 連結面에서 인터넷이 매우 새롭게 登場한 當時登場하였다. ^[5] 네트워크 保安을 위한 防火壁의 前身은 1980年代末에 使用된 라우터였는데, 그 理由는 이들이 네트워크를 다른 네트워크와 分離시켰으므로 한 네트워크에서 다른 네트워크로 問題를 傳播하는 것을 막아주었기 때문이다. ^[6]

1世代防火壁 : 패킷 필터 [ 編輯 ]

패킷 自體만을 보고 미리 設定된 政策에 따라 許容 또는 拒否를 決定하는 草創期防火壁은 1世代防火壁이라고 한다. 防火壁內部에서 狀態(세션)를 管理하지 않는 基本形態의 防火壁이다. 이 防火壁은 特定한 IP 를 許容 또는 拒否하거나 特定한 포트를 許容 또는 拒否하는 用途로 使用된다.

2世代防火壁 : 스테이트풀 인스펙션 [ 編輯 ]

패킷 필터 防火壁은 매우 效率的이긴 하지만 다음과 같은 몇 가지 問題가 있다.

모든 패킷이 모든 政策에 該當되는지 檢査하므로 政策이 많아질수록 處理速度가 느려진다.
돌아오는 패킷을 許容하는 政策으로 인해 保安이 脆弱해질 수 있다.
FTP 와 같이 派生 세션을 만드는 一部 프로토콜 을 支援하기 위해 모든 포트를 다 열어야 될 수도 있다.

이러한 問題들을 解決하기 위해서 考案된 것이 패킷 單位의 檢査가 아닌 세션 單位의 檢査를 하는 스테이트풀 檢査이다.

基本的인 스테이트풀 檢査는 다양한 派生 세션을 모두 處理하지 못하는 境遇가 있는데, FTP의 能動的/受動的 데이터 세션等複雜한 派生세션을 別途의 政策追加 없이 모두 處理할 수 있는 擴張된 스테이트풀 檢査를 하는 防火壁度 있다.

3世代防火壁 : 애플리케이션 防火壁 [ 編輯 ]

草創期에 네트워크를 基盤으로 하던 攻擊 패턴이 漸次發達하여 日常的인 트래픽과 같은 特性을 가지면서 시스템을 攻擊하는 形態로 發展하게 되었다. 패킷 필터 基盤의 防火壁으로는 이러한 攻擊을 防禦하기 어려워지면서 패킷의 內容을 檢査하고 더 나아가서는 애플리케이션에 어떠한 影響을 미칠지를 分析하는 防火壁이 出現하기 始作한다. IPS , WAF , UTM 等으로 불리는 네트워크 裝備들이 애플리케이션 防火壁이라고 할 수 있다.
다른 發展方向으로는 IP 住所나 MAC 住所 같이 使用者가 記憶하거나 理解하기 어려운 對象을 利用해서 防火壁政策을 樹立하던 過去의 防火壁과는 달리 새로운 防火壁들은 使用者에게 보다 친숙한 사람의 이름이나 도메인 住所 를 利用해서 政策을 樹立할 수 있게 하는 防火壁들도 續續登場하고 있다.

分類 [ 編輯 ]

機能과 構成에 따른 分類 [ 編輯 ]

패킷 필터 [ 編輯 ]

패킷을 檢査하여 미리 設定된 政策에 맞지 않을 境遇 통과시키지 않도록 하는 形態의 防火壁을 패킷 필터라 한다. 패킷을 다룬다는 側面에서 TCP/IP의 네트워크 階層에서 動作하는 防火壁이다. 防火壁管理者는 保護할 네트워크에 適用할 規則 또는 政策을 設定하여야 하고 設定이 되어 있지 않다면 基本政策이 適用된다. 흔히 커널 레벨에서 遂行되고 프록시 方式에 비해 制限된 檢査만을 遂行하여 더 많은 트래픽을 處理할 수 있다는 長點이 있다.
패킷 필터 防火壁은 純粹하게 패킷 自體를 볼 것인지, 패킷이 屬하는 TCP 또는 UDP 세션 (또는 플로우 라고도 函)도 같이 管理할 것인지에 따라 다시 두 種類로 分類할 수 있다.
패킷 自體를 본다면 內部的으로 狀態를 管理할 必要가 없으므로 이 種類를 스테이트리스 또는 무狀態防火壁이라 한다. 이 種類의 防火壁은 쉽게 具現할 수 있지만, 모든 패킷에 對해서 每番政策을 檢査하여야 하므로 政策이 많아질수록 速度가 느려지는 短點이 있다.
패킷이 屬하는 세션을 管理하여 이 세션에 屬하는 패킷들에 對해서 모두 同一한 處理를 하게 하는 防火壁의 種類를 스테이트 풀 防火壁이라 하고 "狀態가 있는 防火壁" 또는 유상태 防火壁이라 飜譯할 수 있다. 防火壁은 두 通信當事者間에 세션이 生成될 수 있는 패킷 組合을 感知하여 動的政策을 內部的으로 管理하며 이 세션에 屬하는 패킷들은 防火壁管理者에 依해서 한番設定된 後 자주 바뀌지 않는 靜寂政策에 比해서 빠르게 檢索할 수 있는 動的政策에 依해서 먼저 許容 또는 拒否되므로 무狀態防火壁에 비해서 一般的으로 높은 速度를 提供할 수 있다.
유닉스 系列의 OS는 ipfw(FreeBSD), pf( OpenBSD 및 다른 BSD系列), ipf(多樣한 유닉스에서 支援), iptables/ipchain(리눅스) 等의 다양한 커널 基盤의 防火壁을 提供한다.

프록시 (Proxy) [ 編輯 ]

세션에 包含되어 있는 情報의 有害性을 檢査하기 위해서 防火壁에서 세션을 終了하고 새로운 세션을 形成하는 方式의 防火壁. 出發地에서 目的地로 가는 세션을 明示的으로 또는 暗示的으로 가로채어서 出發地에서 防火壁까지의 세션과 防火壁에서 目的地까지의 두 세션으로 만든 다음 하나의 세션에서 다른 세션으로 情報를 넘겨주기 前에 檢査를 遂行하는 形態이다. 패킷 필터에 比해서 防火壁에 더 많은 部下를 주어서 速度는 느리지만 더 많은 檢事를 遂行할 수 있고, 프로토콜 變更等追加的인 機能을 遂行할 수 있다.

네트워크 住所變換 (NAT) [ 編輯 ]

많은 防火壁은 네트워크 住所變換 (NAT) 機能을 가진다. 內部 네트워크에서 使用하는 IP 住所와 外部에 드러나는 住所를 다르게 維持할 수 있기 때문에 內部 네트워크에 對한 어느 程度의 保安機能을 한다. 또한 內部에서 使用하는 IP 住所數보다 더 적은 外部 IP 住所 수만 使用할 수 있기 때문에 인터넷 通信을 위해서 使用하는 모든 컴퓨터 數 만큼의 IP 住所를 購買할 必要가 없어져 經濟的이다. 同時에 IPv4 住所를 더 效率的으로 利用할 수 있게 해서 IPv4 住所의 完全枯渴을 늦추고 있는 機能이기도 하다.
內部 IP 住所個數보다 더 적은 外部 IP 住所를 使用하므로 하나의 外部 IP 住所黨 여러 內部 IP 住所가 짝 지어져야 한다. 이 때 內部에서는 서로 다른 세션이 外部에서는 하나의 세션으로 보일 境遇가 생기며, 이처럼 세션 衝突이 생겼을 境遇出發地 포트를 變更하여 衝突을 避하는데 이를 포트 住所變換 (PAT)라고 부르기도 한다.
네트워크 住所變換을 위해서도 防火壁政策과 같은 政策을 樹立하여야 한다. 一般的으로 RFC1918에 定해진 內部 네트워크 帶域인 10.0.0.0, 172.16.0.0, 192.168.0.0 代役을 內部 네트워크의 住所로 하고 이 네트워크 全體가 적은 數의 外部 IP 住所로 變換되도록 政策이 만들어져야 한다.

<NAT 政策 예>

變換展內部 (出發地:172.16.0.0 /12 目的地:Any ) ≪=≫ 變換後外部 (出發地: AAA.BBB.CCC.D1, AAA.BBB.CCC.D2 目的地: Org)
內部에서 使用하는 네트워크 住所 172.16.0.0/12街外部에서는 AAA.BBB.CCC.D1 또는 D2로 보이게 變換하는 目的의 政策으로 內部 네트워크에서 外部의 어떤 (Any) 서버나 컴퓨터랑 連結할 때, 出發地는 變換이 되지만 目的地는 元來 그대로(Org)로 維持하도록 하겠다는 政策이다. 이 政策은 패킷이 外部로 나갈 때도 適用되어야 하지만, 外部로부터 돌아오는 應答 패킷에도 同一하게 適用되어야 한다.

具現方法에 따른 分類 [ 編輯 ]

소프트웨어 防火壁 [ 編輯 ]

흔히 求할 수 있는 CPU 를 裝着한 네트워크 裝備(實際로는 PC와 같은 컴퓨터)에 純粹하게 소프트웨어를 利用하여 防火壁機能을 具現한 防火壁이다.

오픈소스 소프트웨어 防火壁種類 - IPCOP, IPFIRE, PFSENSE, ENDIAN, MONOWALL, SMOOTHWALL

하드웨어 防火壁 [ 編輯 ]

네트워크가 複雜해지고 트래픽이 增加하면서 防火壁이 設置되는 네트워크 關門을 通過하는 네트워크 트래픽의 量은 純粹 소프트웨어 方式의 防火壁으로 處理할 수 있는 限界를 넘어서기 始作했다. 소프트웨어의 發展速度보다 네트워크 트래픽의 增加速度가 더 빠르기 때문이다. 이에 對한 解決法으로 사람들에 依해서 考案된 것이 ASIC 等을 利用하여 防火壁의 秒當 패킷處理數를 늘리는 것이다.

NPU 基盤의 防火壁 [ 編輯 ]

소프트웨어 基盤의 防火壁은 速度를 빠르게 하기 힘들고, 純粹 하드웨어 基盤의 防火壁은 柔軟性이 떨어지기 때문에 兩쪽의 長點만을 取하는 方法이 發達하기 始作했다. 共通으로 使用되는 패킷處理函數를 하드웨어로 具現하되 프로그래밍도 可能한 NPU 가 그 中 하나이다.

멀티코어 프로세서 基盤의 防火壁 [ 編輯 ]

NPU 基盤의 防火壁이 뛰어난 性能에 柔軟性을 兼備하였으나, 많은 境遇 너무 프로그래밍하기가 어렵다. 따라서, 製品開發에 所要되는 時間이 製品의 全體壽命週期의 많은 部分을 차지하게 되는 問題가 있다. 市場에서 흔하게 팔리고 있는 CPU와 같은 命令語를 가지고 있어서 開發者에게 익숙한 處理單位(CPU의 코어)를 가지고 있어서 한 番에 많은 量의 패킷을 處理할 수 있게 한 것이 멀티코어 프로세서 基盤의 防火壁이다.

같이 보기 [ 編輯 ]

위키미디어 共用 에 關聯된
미디어 分類가 있습니다.

防火壁

各州 [ 編輯 ]

↑ Boudriga, Noureddine (2010). 《Security of mobile communications》. Boca Raton: CRC Press. 32?33쪽. ISBN 0849379423 .
↑ Oppliger, Rolf (May 1997). “Internet Security: FIREWALLS and BEYOND”. 《Communications of the ACM》 40 (5): 94. doi : 10.1145/253769.253802 .
↑ Hwang, Sunghan; Jeon, Seongwoo; Namkung, Seungpil; Hwang, Hyunho; Henderson, Joseph P. (2019年 6月 30日). “Establishment of an Effective Preparation System for the Preservation of DMZ Natural Ecosystem” . 《Journal of Environmental Policy and Administration》 27 (2): 39?67. doi : 10.15301/jepa.2019.27.2.39 . ISSN 1598-835X .
↑ Canavan, John E. (2001). 《Fundamentals of Network Security》 1板. Boston, MA: Artech House. 212쪽. ISBN 9781580531764 .
↑ Liska, Allan (2014年 12月 10日). 《Building an Intelligence-Led Security Program》. Syngress. 3쪽. ISBN 0128023708 .
↑ Ingham, Kenneth; Forrest, Stephanie (2002). “A History and Survey of Network Firewalls” (PDF) . 2011年 11月 25日에 確認함 .

[1] Boudriga, Noureddine (2010). 《Security of mobile communications》. Boca Raton: CRC Press. 32?33쪽. ISBN 0849379423 .

[Oppliger_1997_94-2] Oppliger, Rolf (May 1997). “Internet Security: FIREWALLS and BEYOND”. 《Communications of the ACM》 40 (5): 94. doi : 10.1145/253769.253802 .

[3] Hwang, Sunghan; Jeon, Seongwoo; Namkung, Seungpil; Hwang, Hyunho; Henderson, Joseph P. (2019年 6月 30日). “Establishment of an Effective Preparation System for the Preservation of DMZ Natural Ecosystem” . 《Journal of Environmental Policy and Administration》 27 (2): 39?67. doi : 10.15301/jepa.2019.27.2.39 . ISSN 1598-835X .

[4] Canavan, John E. (2001). 《Fundamentals of Network Security》 1板. Boston, MA: Artech House. 212쪽. ISBN 9781580531764 .

[5] Liska, Allan (2014年 12月 10日). 《Building an Intelligence-Led Security Program》. Syngress. 3쪽. ISBN 0128023708 .

[report_unm-6] Ingham, Kenneth; Forrest, Stephanie (2002). “A History and Survey of Network Firewalls” (PDF) . 2011年 11月 25日에 確認함 .

[1]

[2]

[3]

[4]

[5]

[6]

v t e 惡性 소프트웨어 主題
感染性	웜 目錄 컴퓨터 바이러스 컴퓨터 바이러스와 웜의 年表
隱蔽性	루트킷 백도어 좀비 컴퓨터 中間者 클릭再킹 트로이 木馬
李允盛	假짜 백신 프로그램 랜섬웨어 봇넷 私生活侵害 소프트웨어 Fraudulent dialer 스케어웨어 스파이웨어 애드웨어 웹 攻擊 Malbot 크라임웨어 樣式奪取 키로깅
運營體制別	리눅스 매크로 모바일 팜 OS
保護	네트워크 保安 모바일 保安 바이러스 檢査 소프트웨어 防禦的 컴퓨팅 防火壁 브라우저 保安 안티 키로거 인터넷 保安資料損失豫防 소프트웨어 侵入探知 시스템 엔드포인트 威脅探知 및 對應
對應	허니팟 안티 스파이웨어 衝突