정보보호론-(21) 방화벽 - 2
상태형 검사 방화벽(Stateful Inspection Firewall)
- 방화벽이 TCP 연결 상태에 대한 데이터 표(=데이터 베이스)를 만들어 이 정보를 바탕으로 패킷을 필터링하는 기법
(패킷 필터링 방화벽은 인바운드, 아웃바운드 되는 패킷의 IP, TCP 헤더를 보고 필터링함)
응용 게이트웨이 방화벽(Application Gateway Firewall)
- 외부 네트워크의 사용자가 내부 네트워크의 응용 서버 대신 접속하는 장치
- Application Layer 데이터를 검사함
- 장점 : Application 계층 취약점을 이용하는 공격 차단 가능, 로깅(Logging) 기능
- 단점 : 속도 저하
회선 게이트웨이 방화벽(Circuit Gateway Firewall)
- Transport Layer의 중계자 역할
- 내부 네트워크 호스트와 외부 네트워크 호스트간 End-to-End 연결을 허용하지 않음
- 장점 : 처리속도가 높음
- 대표적인 예 : SOCKS
스크리닝 라우터(Screening Router)
- 라우터의 기능 + 패킷 필터링 방화벽의 기능을 갖춘 라우터
- 장점 : 구현이 간편
- 단점 : Application 계층 취약점 공격에 무력
베이스천 호스트(Bastion Host)
- 응용 게이트웨이 방화벽(Application Gateway Firewall) + 회선 게이트웨이 방화벽(Circuit Gateway Firewall)의 기능을 갖춘 호스트
- 내부 네트워크에 설치됨
- 장점 : 높은 보안 성능
- 단점 : 베이스천 호스트가 공격자에 의해 뚫리면 내부 네트워크가 공격에 모두 노출됨
- Single-Homed Bastion Host( NIC가 1개 )
- Dual-Homed Bastion Host( NIC가 2개 )
DMZ 네트워크
- 내부 네트워크 스크리닝 라우터와 외부 네트워크 스크리닝 라우터간 네트워크
- 베이스천 호스트를 연결하는 네트워크와 내부 네트워크를 또 다른 스크리닝 라우터로 연결함으로써 3중 방어 체계를 갖는 가장 안전한 구성
Reference
1.
'정보보호 > 정보보호론(박승철)' 카테고리의 다른 글
정보보호론-(23) IPsec (0) | 2019.06.06 |
---|---|
정보보호론-(22) 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) (0) | 2019.06.06 |
정보보호론-(20) 방화벽 - 1 (0) | 2019.06.06 |
정보보호론-(19) 접근 제어(Access Control) (0) | 2019.06.06 |
정보보호론-(18) 생체기반 인증, 분산 인증 (0) | 2019.06.06 |