존재하는 방화벽과 그 차이점은 무엇입니까

2022 년 5 월 8 일 매트 밀스 팁과 트릭 0

방화벽 또는 방화벽이라고도 하는 방화벽은 가정이나 회사의 경계 보안에서 기본적인 요소입니다. 우리 모두가 집에 가지고 있는 가정용 라우터에는 방화벽 외부로부터의 연결을 허용하거나 거부하는 것은 우리에게 가해질 수 있는 공격으로부터 우리 자신을 보호할 목적으로 회사에서도 마찬가지입니다. 이러한 유형의 기술은 둘 이상의 네트워크 간의 액세스를 허용하거나 차단하는 데 사용됩니다. 오늘 이 기사에서 우리는 존재하는 방화벽의 유형과 그 강점과 약점을 설명할 것입니다.

존재하는 방화벽과 차이점은 무엇입니까

방화벽이란 무엇이며 무엇을 위한 것입니까?

방화벽 또는 방화벽이라고도 하는 방화벽은 서로 다른 네트워크 간의 트래픽을 허용하거나 거부할 목적으로 서로 다른 네트워크에서 들어오고 나가는 모든 연결을 모니터링하는 하드웨어 및/또는 소프트웨어 시스템입니다. 방화벽은 컴퓨터나 최종 호스트에 설치할 수 있지만 방화벽이 통합된 라우터에도 설치할 수 있으며 다른 네트워크 간의 모든 연결을 제어하는 ​​전용 라우터에도 설치할 수 있습니다.

컴퓨터나 최종 호스트에 방화벽을 설치하면 IP 수준에서 데이터 트래픽을 차단하거나 허용할 수 있습니다. 즉, 원하는 연결을 허용하거나 차단할 수 있으며 특정 장비만 영향을 받습니다. 로컬 네트워크의 나머지 컴퓨터가 아닙니다. 라우터에 방화벽이 있거나 전용 방화벽이 직접 있으면 가정이든 전문이든 상관없이 로컬 네트워크의 모든 장치에서 네트워크 트래픽을 허용하거나 차단할 수 있습니다.

방화벽의 목적은 연결 시도를 허용하거나 차단하고, 승인되지 않은 사용자가 다른 유형의 패킷을 보내는 것을 방지하고, 컴퓨터에 설치된 응용 프로그램에서 수행하는 트래픽을 보고 차단할 수 있으며, 또한 구성할 수도 있습니다. 기능 향상을 목표로 탐지 시스템 및 침입 방지.

오늘날 소프트웨어 방화벽과 하드웨어 방화벽이 모두 있으며 논리적으로 하드웨어 방화벽에는 허용 또는 차단할 네트워크 트래픽을 평가하는 데 필요한 모든 기능을 갖춘 운영 체제가 포함되어 있습니다. 그러나 방화벽을 구성하는 방법과 기능에 따라 다양한 유형의 방화벽이 있습니다. 다음으로 오늘날 존재하는 다양한 유형에 대해 자세히 설명하겠습니다.

방화벽의 종류

현재 우리는 서로 다른 유형을 가지고 있습니다. 둘 다 Windows 운영 체제는 물론 방화벽 전용 기타 소프트웨어도 포함됩니다. 다른 유형의 차이점을 아는 것은 관심 있는 유형을 선택하는 데 매우 중요합니다.

상태 비저장 방화벽 또는 상태 비저장 방화벽

이러한 유형의 방화벽은 존재하는 가장 기본적인 것으로 "상태 비저장 방화벽" 또는 "패킷 필터링이 있는 방화벽"으로 알려져 있습니다. 이것은 우리가 가지고 있는 가장 오래되고 간단한 유형입니다. 이 유형의 방화벽은 일반적으로 네트워크 경계 내에 설치되며 어떤 유형의 패킷도 라우팅하지 않으며 허용된 다른 연결이 설정되었는지 여부도 모릅니다. 이 유형의 방화벽은 미리 정의된 몇 가지 기본 규칙을 기반으로 작동합니다. 여기에서 다른 패킷을 수락하거나 거부해야 하지만 연결이 설정되었는지, 수동 FTP 프로토콜에서 발생하는 것처럼 다른 포트와 관련되어 있는지, 연결이 잘못되었습니다.

    

장점

  • 유지 보수에 많은 돈이 들지 않습니다.
  • 기본적인 네트워킹 기술이 있는 경우 소규모 네트워크에서 쉽게 설정할 수 있습니다.
  • 패킷 처리는 매우 빠르며 대상 소스 IP가 있는 헤더를 제어하고 다른 프로토콜 중에서 TCP 또는 UDP 포트도 제어합니다.
  • 단일 팀이 네트워크의 모든 트래픽 필터링을 처리할 수 있습니다.

    

단점

  • 네트워크가 중간 규모 또는 대규모인 경우 설정 및 유지 관리가 어려울 수 있습니다.
  • 설정, 관련 또는 유효하지 않은 연결은 제어하지 않습니다.
  • 공격이 애플리케이션 수준에서 수행되면 탐지 및 완화할 수 없습니다.
  • 존재하는 데이터 네트워크에 대한 모든 공격에 대한 보호 기능이 없습니다.

좋은 보안을 유지하고 침입을 방지하려면 SPI(Stateful Packet Inspection)를 사용하지 않고 이 유형을 사용하지 않는 것이 좋습니다.

 

상태 저장 패킷 검사

이 유형의 방화벽은 이전 유형보다 더 발전되었으며 이 유형을 "상태 저장"이라고 하며 연결이 설정되었는지, 관련이 있는지 또는 유효하지 않은지 알 수 있습니다. 이 유형은 외부 위협으로부터 완전히 보호되어야 하는 최소한의 것입니다. 상태 저장 방화벽이기 때문에 활성 연결을 모니터링하고 지정된 컴퓨터에서 동시 연결 수를 추적하고 제한하여 DoS 공격으로부터 보호할 수 있습니다. 다른 매우 중요한 기능은 실시간으로 연결을 모니터링하고 무단 액세스 시도를 감지할 수 있기 때문에 악성 트래픽이 내부 네트워크에 액세스하는 것을 방지할 수 있다는 것입니다.

장점

  • 무국적자나 무국적자보다 우리를 훨씬 더 잘 보호합니다.
  • 들어오고 나가는 연결을 모니터링하고 감독할 수 있습니다.
  • 연결이 설정되었는지 여부와 동시 연결 수까지 알고 있습니다.
  • 모든 트래픽을 효율적이고 빠르게 기록할 수 있습니다.

단점

  • Stateless보다 구성하기가 더 복잡합니다.
  • 응용 프로그램 수준 공격으로부터 보호하지 않습니다.
  • 일부 프로토콜에는 UDP와 같은 상태 정보가 없으므로 이러한 연결이 설정되었는지 확인할 수 없습니다.
  • 모든 연결 상태를 저장해야 하므로 더 많은 컴퓨터 리소스를 소비합니다.

이 유형의 방화벽은 우리가 전용 하드웨어를 사용할 때 일반적으로 사용되는 방화벽입니다. Linux 서버 및 기타 장치. 항상 이전 것 대신에 이것을 사용하는 것이 좋습니다.

 

애플리케이션 수준 게이트웨이 방화벽

ALG(응용 프로그램 수준 방화벽)는 응용 프로그램 보안을 제공하는 일종의 프록시이며 이러한 유형의 방화벽의 목적은 특정 규칙에 따라 들어오는 트래픽을 필터링하는 것입니다. 우리가 정기적으로 사용하는 모든 응용 프로그램이 ALG에서 지원되는 것은 아닙니다(예: FTP, SIP, 다양한 VPN 프로토콜, RSTP 및 BitTorrent 프로토콜이 지원합니다. ALG의 작동 방식은 다음과 같습니다.

  • 클라이언트가 원격 응용 프로그램에 연결하려고 할 때 클라이언트는 최종 응용 프로그램에 직접 연결하지 않고 실제로 프록시 서버에 연결합니다.
  • 프록시 서버는 애플리케이션과의 연결을 담당하고 메인 서버와 통신을 설정하는 서버가 됩니다.
  • 클라이언트와 주 서버 간에 통신이 있지만 항상 프록시를 통해 이동합니다.

아래에서 장점과 단점을 볼 수 있습니다.

장점

  • 모든 것이 프록시를 통과하기 때문에 모든 트래픽을 쉽게 기록할 수 있습니다.
  • 일반적으로 그래픽 사용자 인터페이스가 있기 때문에 특정 경우에 쉽게 구성할 수 있습니다.
  • 로컬 네트워크 외부에서 직접 연결을 허용하지 않으므로 보안이 향상됩니다.

단점

  • 존재하는 모든 응용 프로그램을 지원하지는 않습니다.
  • 그 사이에 프록시를 사용하면 성능에 영향을 줄 수 있습니다.

우리는 이 ALG 유형을 대부분의 국내 라우터에서 사용할 수 있으며 물론 전문 라우터에서도 사용할 수 있습니다.

 

차세대 방화벽

NG-방화벽이라고도 하는 차세대 방화벽은 기술적으로 매우 진보된 방화벽입니다. 그들은 Stateful Packet Inspection 기술을 가지고 있으며 다른 프로토콜 중에서 IP, TCP 또는 UDP 패킷의 헤더를 보는 것 이상으로 모든 패킷에 대한 심층 검사를 수행하며 전송되는 페이로드를 볼 수 있습니다. 목표는 보다 정교한 공격으로부터 우리를 보호합니다. 이러한 유형의 방화벽은 응용 프로그램 수준 검사를 제공하므로 OSI 모델의 계층 7까지 내려갑니다.

일반적으로 SPI 방화벽과 동일한 이점을 제공하지만 모든 수신 및 발신 네트워크 연결을 보호하기 위해 고급 VPN 지원과 함께 동적 및 정적 패킷 필터링 정책을 적용할 수 있어 더욱 발전되었습니다. NGFW는 모든 통신을 보호하기 위해 중대형 기업에서 가장 많이 사용됩니다.

장점

  • 그들은 가장 안전합니다.
  • 일어나는 모든 일에 대한 매우 상세한 기록.
  • 원활한 보호를 위해 OSI 레벨 L7을 포함하여 심층 패킷 검사를 지원합니다.

단점

  • 하드웨어 및 소프트웨어 라이센스 및 유지 관리 비용이 매우 비쌉니다.
  • 기존 리소스보다 더 많은 하드웨어 리소스가 필요합니다.
  • 가음성 또는 긍정성을 제한하려면 올바르게 조정하는 훈련 시간이 필요합니다.

SPI와 ALG의 장점을 접목하여 네트워크를 보호하기 위한 기능 추가는 물론, 모든 기능을 완벽하게 지원하므로 비즈니스 환경에서 가장 추천하는 유형입니다.

 

결론

컴퓨터에 방화벽을 설치하는 것은 매우 기본적인 일이며 Windows 또는 Linux 운영 체제 자체에도 방화벽이 통합되어 있습니다. 국내 환경에서 WiFi 모든 라우터의 펌웨어가 Linux를 기반으로 하기 때문에 iptables가 가장 많이 사용되는 장비 자체에 통합되어 있으므로 이러한 유형의 SPI(Stateful Packet Inspection) 방화벽이 있습니다. 좀 더 발전된 환경에 있고 네트워크 수준에서 모든 것을 보호하려면 pfSense 또는 유사한 플랫폼이 있는 Netgate 어플라이언스와 같은 하드웨어 방화벽을 사용하는 것이 좋습니다. 특히 IDS 및 IPS, VPN 서버를 쉽고 빠르게 설치하고 구성할 수 있습니다.

모든 컴퓨터 또는 로컬 네트워크에는 최소한 하나의 SPI 방화벽이 있어야 합니다. 물론 중견 기업과 대기업은 항상 훨씬 더 발전된 NGFW를 사용하여 공격을 탐지하고 맬웨어를 완화할 수도 있습니다. 전문 로컬 네트워크의 모든 컴퓨터를 보호하기 위해 L7 수준에서 심층 패킷 검사를 수행합니다.