방화벽
방화벽(防火壁) 또는 파이어월(firewall)이란 외부 인터넷에서 내부 네트워크으로 부정한 액세스가 들어오는 것을 방지하기 위한 네트워크 장비이다.
목차
개요
미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템이다. 방화벽은 일반적으로 신뢰할 수 있는 내부 네트워크, 신뢰할 수 없는 외부 네트워크간의 장벽을 구성한다. 서로 다른 네트워크를 지나는 데이터를 허용하거나 거부하거나 검열, 수정하는 하드웨어나 소프트웨어 장치이다.
역사
방화벽이라는 용어는 원래 건물 내 화재를 제한하기 위해 고안된 방벽을 의미했다. 나중에 이 용어는 1980년대 말 네트워크 기술에 적용되었는데, 전 세계적인 이용 및 연결 면에서 인터넷이 매우 새롭게 등장한 당시 등장하였다. 네트워크 보안을 위한 방화벽의 전신은 1980년대 말에 사용된 라우터였는데, 그 이유는 이들이 네트워크를 다른 네트워크와 분리시켰으므로 한 네트워크에서 다른 네트워크로 문제를 전파하는 것을 막아주었기 때문이다.
1세대 방화벽: 패킷 필터
- 패킷 필터링 방식은 OSI 7계층의 3계층(Network Layer)과 4계층(Transport Layer)에서 동작한다.
- IP/PORT 기반으로 미리 정의해둔 룰을 기반으로 패킷을 필터링 하며 내부 세션은 관리하지 않는다.
- 정책을 기반으로 하기에 느리고 우회접근, 패킷 헤더 조작, TCP 헤더의 데이터 영역을 확인하지 않기 때문에 바이러스에 감연된 메일에 취약하다.
- 이 방화벽은 특정한 IP를 허용 또는 거부하거나 특정한 포트를 허용 또는 거부하는 용도로 사용된다.
- FTP와 같이 파생 세션을 만드는 일부 프로토콜을 지원하기 위해 모든 포트를 다 열어야 될 수도 있다.
2세대 방화벽: 스테이트풀 익스펜션
- 패킷 필터의 단점을 해결하기 위해서 고안된 것이 패킷 단위의 검사가 아닌 세션 단위의 검사를 하는 스테이트풀 검사이다.
- 기본적인 스테이트풀 검사는 다양한 파생 세션을 모두 처리하지 못하는 경우가 있다.
- FTP의 능동적/수동적 데이터 세션 등 복잡한 파생 세션을 별도의 정책 추가 없이 모두 처리할 수 있는 확장된 스테이트풀 검사를 하는 방화벽도 있다.
3세대 방화벽: 애플리케이션 방화벽
- 패킷 필터 기반의 방화벽으로는 일상적인 트래픽과 같은 진화하는 공격 패턴을 방어하기 어려워지면서 패킷의 내용을 검사하고 더 나아가 애플리에키션에 어떤 영항을 미칠지를 분석하는 방화벽으로 출현하기 시작했다.
- IPS, 웹 방화벽(WAF), UTM 등으로 불리는 네트워크 장비들이 애플리케이션 방화벽이라고 할 수 있다.
다른 발전 방향으로는 IP 주소나 MAC 주소 같이 사용자가 기억하거나 이해하기 어려운 대상을 이용해서 방화벽 정책을 수립하던 과거의 방화벽과는 달리 새로운 방화벽들은 사용자에게 보다 친숙한 사람의 이름이나 도메인 주소를 이용해서 정책을 수립할 수 있게 하는 방화벽들도 속속 등장하고 있다.
웹 방화벽(WAF)
일반적인 네트워크 방화벽과 달리 웹 어플리케이션 보안을 위한 솔루션이며 HTTP 트래피글 검사하여 보호 대상 홈페이지 서버로 유입되는 해킹을 차단하는 정보 보호 시스템이다.
최근 웹 해킹으로부터 피해를 방지하기 위하여 홈페이지 서비스를 암호화하여 HTTPS로 서비스하는 홈페이지가 늘어나고 있다. 하지만 방화벽, IDS, IPS와 같은 솔루션들은 암화된 통신내용을 복호화 할 수 없어 웹 방화벽의 역할이 중요해지고 있다.
OSI 7 Layer의 애플리케이션 Layer에 위치하고 SQL Injection, XSS등 과 같은 웹 공격을 탐지하고 차단하는 것이다. 직접적인 웹 공격 대응 이 외에도, 정보유출 방지 솔루션, 웹 사이트 위변조방지 솔루션 등으로 활용이 가능하며 웹 방화벽 또한 방화벽과 같이 진화를 거듭해왔다.
1세대 웹 방화벽
- 블랙 & 화이트 리스트를 병행하는 방식으로 사용되었다.
- 관리자가 직접 생성 및 관리를 해야했고, 매우 큰 관리 부담으로 다가왔다.
- 공격유형이 다양해짐에 따라 등록된 시그니처의 수가 늘어나 성능이나 저하되는 문제도 발생한다.
2세대 웹 방화벽
- 보호 대상 웹 어플리케이션을 몇 주간의 모니터링을 통해 분석하여, 화이트리스트 생성을 자동으로 처리해준다.
- 관리자가 최종 검토 및 관리를 했기에 부담은 여전했다.
- 빠르게 변화는 웹 환경에 존재하는 다양한 웹 공격 유형을 파악하지 못했기에, 성능 저하 및 오탐 이슈를 피할 수 없었다.
3세대 웹 방화벽
- 웹 공격 유형별로 블랙리스트 탐지, 화이트리스트 탐지 및 웹 트래픽 컨텐츠 분석 등의 기업들을 결합하여 공격을 탐지하기에 오탐을 대폭 줄일 수 있다.
- 특정 공격 유형의 새로운 변종 공격의 경우 최소한의 시그니처 추가 만으로 변종 공격의 방어가 가능하다.
- 효율적인 관리가 가능하다.
필요성
- 인터넷의 이용이 보편화되고, 홈네트워킹, 모바일, 인터네 전화(VoIP) 등의 새로운 네트워크 인프라와 기술이 지속적으로 발전하고 있는 가운데 국내·외의 보안 침해사고가 점점 지능화, 다양화
- 과거의 단일 시스템을 대상으로 하는 공격에서 웹·바이러스, 스파이웨어처럼 네트워크 서비스 전체의 가용성을 침해하는 공격의 진화
- 외부로부터의 침입방지
- 내부로부터 나가는 네트워크의 IP주소 위장
기능
접근 제어
- 관리자가 방화벽에 통과시킬 접근과 그렇지 않은 접근을 명시하면, 방화벽은 이를 수행한다. 이러한 접근제어는 구현방법에 따라 두 가지로 나뉜다.
프록시 방식
- 세션에 포함되어 있는 정보의 유해성을 검사하기 위해서 방화벽에서 세션을 종료하고 새로운 세션을 형성하는 방식의 방화벽이며, 출발지에서 목적지로 가는 세션을 명시적으로 또는 암시적으로 가로채어서 출발지에서 방화벽까지의 세션과 방화벽에서 목적지깢지의 두 세션으로 만든 다음 하나의 세션으로 정보를 넘겨주기 전에 검사를 수행하는 형태이다.
패킷 필터링 방식
- 패킷을 다룬다는 측면에서 TCP/IP의 네트워크 계층에서 동작하는 방화벽이다. 방화벽 관리자는 보호할 네트워크에 적용할 규칙 또는 정책을 설정하여야 하고 설정 되어 있지 않다면 기본 정책이 적용된다. 흔히 커널 레벨에서 수행되고 프록시 방식에 비해 제한된 검사만을 수행하여 더 많은 트래픽을 처리할 수 있다는 장점이 있다.
로깅 및 감사 추적
- 접속 정보 기록, 네트워크 사용에 따른 통계정보를 남긴다
=
각주
참고자료
같이 보기