방화벽 및 접근 제어 방식

방화벽(Firewall)

내외부간 접근제한을 통한 정책으로 정보자산을 보호할 수 있는 장비다.

 

패킷 필터링 방화벽(Packet Filtering Firewall)
1세대 방화벽으로 4계층에서 동작한다.

송수신 IP 및 Port번호를 이용하여 특정 트래픽을 허용하거나 차단한다.

프록시 방화벽(Proxy Firewall)
2세대 방화벽으로 7계층에서 동작한다.
클라이언트와 외부 네트워크와의 중개인의 역할을 하며 패킷 정보를 7계층까지 확인 후 이상이 없는 패킷만을 목적지로 전달한다. 7계층까지 확인하기 때문에 패킷 필터링 방화벽에 비해 높은 수준에 보호 능력을 제공한다.

응용 게이트웨이 방식(Application Gateway)
7계층에서 동작한다.

각각의 서비스별로 Proxy데몬이 존재하고, 외부에 대한 내부 망의 완벽한 구분이 가능하다.
내부의 IP주소를 숨기는 것이 가능하고, 데이터 부분의 제어에 따른 높은 로깅 및 감시가 가능하다.

 

서킷 게이트웨이 방식(Circuit Gateway)
6~7계층에서 동작한다.
서비스별 전용 데몬이 존재하지 않고 공용 가능한 일반적인 Proxy가 존재한다.

 

상태 기반 조사 방식(Stateful Inspection)
3세대 방화벽으로 패킷 필터링 방식과 응용 게이트웨이 방식의 장점을 혼합한 것이다.

스크리닝 라우터(Screening Router)
망과 망 사이에 라우터를 설치하고 라우터에 ACL을 구성한다.

 

베스쳔 호스트(Bastion Host)
7계층에서 동작하는 방화벽이다.
방어 기능을 가진 호스트 시스템이라 할 수 있다. 인증기능과 모니터링, 로깅 등의 기능이 있다.

 

듀얼 홈드 게이트웨이(Dual Homed Gateway)
두개의 네트워크 인터페이스를 가진 베스천 호스트를 이용한 구성한다.
논리적으로만 구분하는 베스천 호스트에 비해서 물리적으로 구분이 있으므로 훨씬 안전하다.

 

스크린드 호스트 게이트웨이(Screened Host Gateway)
스크리닝 라우터와 베스천호스트의 혼합구성. 네트워크, 트랜스포트 계층에서 스크리닝 라우터가 1차로 필터링 하고 어플리케이션 계층에서 2차로 베스천 호스트가 방어한다.

 

스크린드 서브넷 게이트웨이(Screened Subnet Gateway)
일반적으로 DMZ 구간을 운영하는 구축 형태에 해당한다.
가장 안전하지만 가장 비싸고 가장 느리다.