방화벽 (Firewall)이란? 기본 구성, 배치 방법

방화벽이란?

네트워크 트래픽을 모니터링하고 *보안 규칙에 따라 특정 트래픽을 허용 또는 차단하는 네트워크 보안 장비를 뜻한다. 방화벽 소프트웨어와 하드웨어가 일체화된 'Appliance방식'의 제품이 선호며, 주요 공급업체로 국내의 Anlab, 해외의 Paloalto, Radware 그리고 Check Point 등이 있다.

 

*보호 VS 보안

보호(Protection): 내부정보의 유출을 막는것

보안(Security): 외부의 침입을 막는 것

---

1. OSI 7 계층에 따른 보안체계

방화벽에 대한 본문에 앞서 OSI와 TCP/IP에 대한 개념을 정리한다.

 

 

 OSI (Open System Interconnection) 7계층

: 1986년 국제표준화기구 ISO에서 확립한 네트워크 통신 7단계를 말한다. 

: Physical, Data link, Network(IP), Tranport(TCP), Session, Presentation, Application

: 이보다 앞선 1974년 로버트 칸과 비트 서프에 의해 개발된 TCP/IP는 OSI의 3,4 계층에 포함된다.

암기 Tip)PDNTSPA PD가 NT를 들고 SPA에 간다.

 

 OSI 7 계층에 따른 보안 설루션

 

L1 물리계층 (Physical)

: 랜선의 전기적 신호

L2 데이터 링크 계층 (Data Link) => Switch port security --> MAC Address Filtering

: 프레임 (패킷을 실어 나르는)

-------------------------------------

[방화벽 관리 구간]

L3 네트워크 계층 (Network) => IP 헤더 존재 라우터 --> Packet Filtering, Stateful Inspection

: 패킷

L4 전송계층 (Transport) => TCP/UDP헤더 존재

: Segment

------------------------------------

L5 세션 계층 (Session)  => IDS, IPS, Proxy --> Pattern Matching

L6 표현 계층 (Presentation)

L7 응용계층 (Application)

 

 

2. 보안 설루션의 용어

침입 차단 시스템(Intrusion Blocking System): 인터넷 방화벽

침입 탐지 시스템(Intrusion Detection System): IDS

침입 방지 시스템(Intrusion Prevention SYstem): IPS (=IDS+FW+기타 기능)

위협 방지 시스템(Unified Threat Management): UTM (IPS + Virus 탐지)

==> IBS, IS, IPS 외의 보안 설루션들은 명칭이 통칭이 통합되지 않고 회사마다 다른 명칭을 가진다.

 

 

---

방화벽의 기본 구성 (스크린 라우터 + 베스천 호스트)

스크린 라우터 (Screen Router)

라우터(Router)란?

: 서로 다른 네트워크를 연결하는 장치, 주변에서 쉽게 볼 수 있는 공유기도 이더넷과 Wi-Fi을 연결하는 라우터의 일종

 

 - LAN과 WAN을 연결

  LAN의 종류: Ethernet(Dr. Metcalf가 Xerox에서 만듦), Token Ring, FDDI, Wi-Fi

  WAN의 종류: PPP, HDLC, ATM, X.25 등등

 - IP주소 대역이 다른 네트워크를 연결 --> Routing Table에서 관리

 

Router에 ACL(access Control List)을 설치 => 스크린 라우터(Screen Router)

 -ACL(액클, 접근통제목록): 패킷이 지나가는 것을 허용 또는 거부함(Permit or Deny)

 -ACL에는 허용할 IP주소, 거부할 IP주소 등이 적혀 있음 (살생부)

my. 방화벽은 하나의 기능, 라우터는 장비?

 

베스천 호스트 (Bastion Host) 

: 네트워크에서 모든 트래픽이 지나가도록 설정되어 있는 시스템을 말한다. Firewall에서 가장 중요한 역할을 수행한다.

: 방화벽 소프트웨어가 설치되어 있어 내부와 외부 네트워크 사이에서 일종의 게이트웨어 역할을 수행한다.

: 일반적으로 라우터 바로 뒤에 설치하며 라우터와 함께 최대한 가까이 존재하는 것이 바람직하다.

 

 

*Bastion : 성벽 중간마다 서있는 크고 높게 돌출되어 있는 시설, 성벽 공격 전에 먼저 Bastion을 먼저 무력화시켜야 한다.

---

방화벽의 구분

개발 순서에 따른 세대 분류, 방화벽 시스템에선 모두 혼재 사용

1세대: Packet Filtering

: IP 헤더 (IP주소), TCP/UDP헤더(Port번호)를 보고 허용 또는 거부의사를 결정

 - 장점: 헤더만 체크하기 때문에 속도가 매우 빠르다 (속도가 중시되는 편임), ALC를 기준으로 보안 정책 적용 가능

 - 단점: 헤더만 체크하기 때문에 IP Spoofing(출발지 속이기), DoS/DDoS 공격에 취약함 

 

2세대: Application level (Proxy) Firewall

: 7 계층(App)의 헤더를 보고 허용 또는 거부를 결정, 특정 프로토콜(Upload는 차단, Download만 허용)을 통제할 수 있다.

 - 장점: 서비스마다 별도의 데몬(Daemon)이 존재하기 때문에 세부 설정 가능하다 (프로토콜마다 따로따로 설정 가능)

 - 단점: 데몬이 증가할수록, 설정이 복잡 혀 속도가 느리다.

 

참고) Circuit Gateway Firewall: 하나의 데모가 모든 서비스를 통제한다. => 비교적 덜 복잡, 속도가 빠르다.

 

3세대: Stateful Packet Inspection(SPI): 상태 기반 방화벽 

: State Table(상태 테이블)에 트래픽의 정보를 저장하고 관리하는 방식을 말한다: 출발 IP, 목적 IP, 출발 Port, 목적 Port, 프로토콜, 방향 등이 저장되어 있다.

: 3 계층과 4 계층을 통해 상황을 판단하기 때문에 안전하고 매우 빠르며 인기가 좋다. --> 'Check Point'(원천기술 보유)

 

상태 기반 방화벽 동작

Stateful: 네트워크의 흐름을 고려해서 처리한다는 의미

- 내부에서 외부로 요청 송출 (출발 IP, 도착 IP와 같은 트래픽 기록)

- 외부에서 내부로 응답 유입 (정황을 고려하여 유입을 허용, ex. 출발 IP, 도착 IP 바뀜)

 

Check Point 실습 포스팅 예정

4세대: Dynamic Packet Filter

: 능동적으로 차단하는 기능이 있는 방화벽

 - 요청 개수가 임계값을 초과 => 공격으로 간주 => 차단

 - 2세대, 3세대 방화벽의 기능을 합친 개념

 

5세대: Kernel Proxy, Secure OS 개념 도입

 - 어렵기 때문에 다루기 위한 전문가 필요 (비용 발생)=> 최근 간편한 HW일체형 방화벽 방식으로 대체되고 있다. (간편)

 

---

방화벽 배치 방법

Screened Host 방식

: 패킷 필터링 라우터와 베스천 호스트 2개의 시스템으로 구성된 방화벽

: 모든 트래픽은 Bastion Host(Proxy Server)을 통과한다.

: 웹브라우저에서 Proxy주 소또 한 Bastion Host로 설정해야 사용이 가능하다.

출처 - http://sunsite.uakom.sk/sunworldonline/swol-01-1996/swol-01-firewall.html

 

Dual-Homed 방식

: 외부망 포트, 내부망 포트가 물리적으로 분리돼있는 형태

: 내부망과 외부망으로 서로 다른 트래픽으로 네트워크 구성이 가능하다 (내부망-사설 IP, 외부망-공인 IP로 NAT설정)

: 방화벽 문제 발생 시, 네트워크가 분리되기 때문에 안정성이 높다. (대부분의 공유기가 채택하는 방식임)

출처 - http://sunsite.uakom.sk/sunworldonline/swol-01-1996/swol-01-firewall.html

공유기의 내외부 포트 (분리됨) https://m.blog.naver.com/techshare/221365987781

Screend Subnet 방식

: 외부망(인터넷)과 내부망 사이에 DMZ(외부 내부 사이의 완충지대) 구간을 두어 네트워크를 완전히 분리하는 방식

: 외부망--> DMZ 접근 가능 -X->내부망  // 내부망-X->DMZ 접근 가능 --> 외부망 (DMZ를 통과해 갈 수 없다)

: DMZ에는 외부에서 접근이 많은 뱅킹 서버, 웹서버, 메일서버, DNS 서버 등을 배치한다.

: 내부망에 배치된 DB서버는 외부에서 접근이 불가능하다.

 

 

 

---

참고 다양한 보안 설루션 장비들

스위치(Switch)	L4 Switch (Load balancer)
출처-http://korean.dellemcgroup.com/sale-12090284-efficient-internet-network-switch-dell-5500-series-gigabit-ethernet-switch.html	출처- https://m.etnews.com/20200311000227
방화벽	라우터
출처-https://www.koit.co.kr/news/articleView.html?idxno=47813	출처-https://www.cisco.com/c/ko_kr/support/routers/1900-series-integrated-services-routers-isr/series.html