firewall 방화벽, 침입차단시스템

개념

접근 제어 목록(ACL)을 통해 트래픽에 대한 보안 정책 설정
기능 : 접근 제어, 로깅, 인증, 암호화(데이터를 암호화해서 보냄)

유형

패킷 필터링 방화벽
- rule 기반으로 패킷 필터링
- ACL 사용
- src ip, dst ip, 라우터의 입력 interface, port을 통해 필터링
- 장점
  - 단순, 빠름, 확장성 좋음
  - 응용 프로그램에 독립적
- 단점
  - 패킷 헤더 정보만으로 필터링하므로 특정 어플리케이션의 취약점을 이용한 공격은 막지 못한다.
  - 공격자가 출발지, 목적지 주소와 포트를 조작해 우회할 수 있다.
  - 접근 제어 규칙을 제대로 설정하지 않으면 보안에 허점이 생긴다.
stateful(상태기반) 패킷 검사 방화벽
- 패킷 정보를 이용한 검사를 하며, TCP 연결에 대한 정보를 기록한다.
- tcp 순서 번호를 추적해 순서 번호를 이용한 세션 하이재킹 공격을 막을 수 있다.
- 상태 정보를 유지하는 테이블을 관리하는 점을 제외하고는 패킷 필터링 방화벽과 같다.
- 네트워크 계층, 전송 계층에서 동작하며 데이터 링크 계층에서 패킷을 전송받으면 접근제어정책에 의해 상태 테이블에 정보를 남기고 접근 여부를 결정한다.
- 장점
  - 패킷 필터링 방화벽과 동일한 성능 + 패킷 상태 정보 관리 -> 보안성이 더 높다.
- 단점
  - 상태 정보를 테이블에 저장하는데 ddos 공격으로 테이블이 overflow되면 문제가 된다.
  - 모든 상태 정보를 잃어버릴 경우 문제가 발생한다.
NAT(Network Address Translation, 네트워크 주소 변환, 공유기 기능) 방화벽
- 네트워크 계층의 주소(IP)를 변환시켜주는 기술 (ip header의 주소를 다른 주소로 바꾸는 기술)
- ip 주소 = 공인 ip + 사설 ip.. 일반적으로 사설 ip를 공인 ip로 변환하는 경우에 사용된다.
- static NAT
  출처 :&nbsp;https://blog.pages.kr/1042
  - 사설 IP 1개 : 공인 IP 1개 매핑하여 변환
  - 공인 IP를 효율적으로 쓰고자 하는 목적으로는 의미가 없다.
- dynamic NAT
  출처 :&nbsp;https://blog.pages.kr/1042
  - 사설 IP 여러개 : 공인 IP 여러개 매핑하여 변환
  - 현재 사용중이지 않은 공인 IP에 사설 IP를 동적으로 매핑한다.
  - 공인 IP를 모아놓은 그룹을 만들고 그곳에서 가져다 쓴다.
- PAT(port address translation)
  출처 :&nbsp;https://blog.pages.kr/1042
  - 사설 IP 여러개 : 공인 IP 여러개 매핑하여 변환
  - 사설 네트워크 내 각 호스트마다 포트 번호를 지정하여 사설 IP + 포트번호를 하나의 공인 IP + 공인 포트번호로 매핑한다.
  - 공인망에서 사설망으로 들어오는 패킷을 사설망 내 올바른 호스트에게 전달해주기 위해서다.
    - 사설망내에서 외부로 보내진 패킷의 경우 src ip가 이미 공인 ip로 변경되어 전송되기 때문에, 이 패킷의 response 패킷은 dst ip로 공인 ip를 입력한다. 그럼, 내부 사설망에서는 이 패킷을 어떤 호스트에게 전달해야할 지 알 수 없다.
Proxy 방화벽
- 네트워크에 들어오고 나가는 패킷 안의 모든 패킷을 검사한다.
- 외부 사용자가 서버에 접근하면 프록시 서버가 응답한다. (사용자는 프록시 서버를 실제 서버로 인식한다.)
- 실제 사용자가 요청한 데이터가 프록시 서버에 캐싱되어 있으면 곧바로 요청에 대한 응답을 하고, 그렇지 않으면 실제 서버에게 요청해 데이터를 가져오고 사용자에게 응답한다.
  - Application Level Proxy 방화벽
    - 애플리케이션 계층에서 침입차단기능을 제공한다
  - Circuit Level 방화벽
    - 전송 계층에서 동작하므로 각각의 애플리케이션들을 위한 별도의 서버가 필요 없다.
    - 내부 수신 측의 IP 주소를 변환시켜 내부 수신자를 보호할 수도 있다.