[정보보안기사] #3. 방화벽의 형태(구조)별 정의

■ 방화벽 형태별 정의 및 장/단점

 

 ※ 해당 포스트는 작성자가 정보보안기사를 공부하면서 작성한 자료로 일부 정보가 변경되거나 잘못된 부분이 있을 수 있으므로 댓글 남겨 주시면 수정하도록 하겠습니다.

                    

 ▶ 방화벽(Firewall)은 네트워크 보안의 가장 기본이 되는 장비로 외부에서 네트워크를 경유해 내부 시스템으로 진입하는 트래픽을 감사하고 접근 통제하는 시스템입니다.

 ▶ 방화벽의 구성형태를 구분하면 아래와 같이 구분할 수 있습니다.

 

 

1. 스크리닝 라우터(Screening Router)

- 내/외부 네트워크를 스크리닝 라우터(방화벽을 라우터에 탑재한 형태)로 연결

- 스크리닝 라우터로 연결에 대한 요청이 입력되면 IP, TCP/UDP의 패킷 헤더를 분석

- 출발/목적지의 주소, 포트 등을 분석하고, 패킷 필터 규칙에 적용하여 계속 진입시킬 것인지 판별

- 연결 요청이 허가되면 이후 모든 패킷은 연결 단절될 때까지 모두 허용

- 장점 : 속도가 빠름, 비용 절감, 네트워크 방어 범위가 넓음

- 단점 : 패킷 필터링 규칙 구성 어려움, 패킷내의 데이터 공격 차단 어려움, 기록을 관리하기 힘듦

 

 

2. 베스천 호스트(Bastion Host)

- 방화벽 시스템을 탑재한 호스트로 내/외부 네트워크 연결

- 베스천 호스트는 내부의 보호된 네트워크에서 유일하게 외부의 공격에 노출된 시스템 구조, 즉 내/외부 네트워크 사이의 게이트웨이 역할 담당

- 기능 : 인증기법, 접근통제, 로그기록, 모니터링 기능 제공

- 장점 : 지능적으로 정보분석

- 단점 : 베스천 호스트 자체 보안 취약성 존재, 관리자에 의한 정기적인 점검, 감시 필요

 

 

3. 듀얼 홈 게이트웨이(Dual-Homed Gateway)

- 하나의 네트워크 인터페이스는 인터넷 등 외부 네트워크에 연결되며, 다른 하나의 네트워크 인터페이스는 내부네트워크에 연결되는 Bastion 호스트

- 내외부용 2개의 네트워크 카드를 내장한 Bastion Host를 이용하여 연결

- 스크리닝 라우팅 방식과는 달리 라우팅 기능은 존재하지 않음

- 외부 네트워크에서 내부 네트워크로 진입하기 위해서는 Dual-Homed 게이트웨이를 통과해야 하며 허용된 패킷만을 통과시킴

- 장점 : 보안성 강화, 기록 생성 및 관리 쉬움, 설치 및 유지보수 쉬움

- 단점 : 제공되는 서비스가 증가할 수록 가격 상승, 로그인 정보 누출 시 네트워크 보호 힘듦

 

 

4. 스크린드 호스트 게이트웨이(Screened Host Gateway)

- Dual-Homed 게이트웨이와 스크리닝 라우터를 혼합하여 사용한 방화벽 시스템

- 인터넷과 같은 외부 네트워크로부터 내부 네트워크로 들어오는 패킷 트래픽을 스크리닝 라우터에서 패킷 필터 규칙에 의해 1차로 방어

- 스크리닝 라우터를 통과한 트래픽은 Bastion 호스트에서 2차로 필터링 하여 점검

- 장점 : 2단계 보안점검 기능, NW 계층과 응용계층에서 방어(공격에 효과적)

- 단점 : 구축 비용 많음, 해커에 의한 스크리닝 라우터의 라우팅 테이블 변경 가능

 

 

5. 스크린드 서브넷 게이트웨이(Screened Subnet Gateway)

- Screening Router를 Bastion Host 중심으로 연결하는 방화벽 구조

- 스크리닝 라우터들 사이에 응용 게이트웨이가 위치하는 구조를 가짐

- 인터넷과 내부 네트워크 사이에 Screened Subnet이라는 완충 지역(DMZ) 개념의 서브넷을 운용

- Screened Subnet에 설치된 Bastion 호스트는 Proxy 서버(응용 게이트웨이)를 이용하여 명확히 진입이 허용되지 않는 모든 트래픽을 거절하는 기능을 수행

- 장점 : 강력한 보안 기능, 스크린 호스트 게이트웨이 방식의 장점 계승, 다단계 방어로 매우 안전

- 단점 : 구축 소요 비용이 많음, 서비스 속도가 느림(지연)