청주홈페이지제작 아이비텍

◆쇼핑몰구축 컨설팅
[쇼핑몰구축과 운영]
[오픈마켓 판매노하우]
[몰디자인과 상품페이지]
[쇼핑몰 홍보와 광고전략]
[쇼핑몰구축 묻고답하기]

고객지원

| 아이비텍 고객지원

IBTech Customer

먼저 로그인 해야합니다.

Date : 2000/11/29, Hit : 2341


제목		방화벽(Firewall) 구축에 관한 기본적 이해

작성자		운영자

화일

네트웍 보안을 생각하면 Firewall을 빼 놓을 수 없다.

Firewall로 상당히 튼튼한 보안시스템을 구축할 수 있는 것이 사실이다. 하지만 기본적인 기능에 대한 사실들과 작동 원리를 고려하여 구축방법과 보안의 전체 전략을 마련해야 한다.

일반적으로 Firewall을 설치하면 보안은 모두 해결된다는 인식이라든지, Firewall을 설치하면 제공서비스의 속도가 느려진다든지 하는 잘못된 인식들에 대한 올바른 시각을 가지는 것이 필요하다.

보통 Firewall이라고 하면 하나의 Machine으로 이루어진 것으로 잘못 생각하는 수가 많다. 하지만 Firewall은 여러 구성요소로 이루어져 있으며 실제로 트래픽의 길목의 위치에 한다는 점을 고려한다면 단 한대로 운영한다는 것은 장애에 대해 대단한 위험부담을 갖고 가야 한다는 의미가 된다.

즉 Firewall 자체의 장애도 곧 바로 메인 서비스의 장애로 여겨지게 되기 때문이다. 또한 서비스의 속도가 느려진다는 것도 이런 구조하에서는 타당한 이야기가 될 수 있다. 이런 전반적인 Firewall에 구축에 관한 기본적인 사항들을 SANS에서 보여주는 자료를 참고로 알아 보고자 한다.

사전에 알고 있어야 할 내용들

Firewall은 기본적으로 Internet과 Intranet이 접합하는 부분에서 위치하게 된다.

구체적으로 이야기하면 Internet의 종단 부분 Router와 Intranet 종단 부분의 Router에서 각각 네트웍을 구성하고 Firewall역할을 서버가 각 Network에 접속하게 된다. 그래서 Firewall은 반드시 2개이상의 NIC를 갖고 있다.

Firewall은 외부의 침입자에 대한 대응은 되지만 Intranet 구간내에 있는 내부자에 의한 침입에 대한 방편은 되지 않는다. Firewall은 단지 네트웍 보안이나 서버보안, 사용자의 보안의식 등과 함께할 때만 완성되는 보안정책중의 하나임을 분명히 인식하고 있어야 한다.

Firewall은 지나는 모든 트래픽에 대한 통제와 거부가 가능하다. 하지만 Firewall 설치시 기능을 세팅할 때 트래픽을 우회시키는 기능을 적용하게 되면 이런 통제나 logging이 불가능할 수 있다. 실제 네트웍의 성능향상을 위하여 특정의 트래픽에 대하여 우회시키기도 한다.

또한 Firewall은 네트웍상의 트래픽을 분석하는 방법으로 적용되는 보안 툴이다. 그래서 Virus에 대한 방어는 아직까지 불가능하며, 외부의 모든 침입에 대해서도 방어할 수 있는 것은 아니다. 그래서 지속적으로 Log파일을 분석하여 대비하고 기능을 업그레이드해야 한다.

직접 구축시의 기술적인 배경

먼저 네트웍에서의 서버와 서버간에 통신에 대한 부분을 이해하여야 한다. 인터넷에서 사용되는 프로토콜들을 보면 IP, TCP, UDP, FTP, HTTP, SMTP, NetBIOS, Telnet 등이 주로 사용되어 진다. 이해 대한 개괄적인 특성들을 알고 있는 것이 도움이 될 것이다.

실제로 인터넷이라는 거대한 네트웍에서 움직이는 데이터들은 이러한 통신규약(프로토콜)에 따라 움직이게 된다. 인터넷 즉 TCP/IP 네트웍에서의 자신과 목적지간의 통신을 하기 위한 5대 요소는 자신의 MAC Address, 대상의 MAC Address, 자신의 IP Address, 대상의 IP Address, 그리고 서비스 Port 번호라 할 수 있다. 이들 요소 정보들을 기반으로 동작하는 것이 네트웍이고 그것을 통제하는 것이 네트웍 보안이라고 할 수 있다.

더 세부적으로 알아야 할 내용으로는 한 서버내에서 다중 NIC를 구성하는 방법, Subnet Mask를 구성하는 방법, NAT(Network Address Translation)/PAT(Port Address Translation)에 대하여 이해 하는 것을 좋을 것이다. 물론 제공되는 서비스의 내용도 알고 있어야 한다.

Firewall 디자인

Firewall의 디자인에 있어서 처음에 언급한 것과 같이 단 한대로 구성할 것인가에 대해 고려해 보아야 한다. 물론 한대로써도 보안에 관한 기능을 충족할 수도 있고, 할 수 있다고 제시되는 솔루션들도 많이 있다. 하지만 Firewall을 설치하는 궁극적인 목적을 먼저 생각해 보아야 한다.

Firewall은 기본적으로 모든 Traffic에 대한 packet Filtering을 수행하게 된다. 당연이 트래픽의 양에 의존적인 성능구조를 생각할 수 밖에 없다. 그리고 만약 장애가 발생하면 바로 사용자는 메인 서비스의 장애로 인식하게 된다.

아무리 보안을 철저히 한다 하더라도 서비스 자체가 불가능하다면 아무 소용없을 것이다. 그래서 비용이 허락하는 한 병렬/분산구조가 타당할 것이다. 트래픽의 분산처리와 Firewall자체의 장애를 부분화 시킬 수 있기 때문이다.

그리고 현재 구성되어 있는 네트웍을 고려한 위치 선정이 중요하다.
단순히 Internet과 Intranet의 접합부분에 둘 것이지, DMZ 앞단과 뒷단 모두에 둘 것인지 등에 대한 처한 입장이 다를 수 있다. 결국은 이 모든 것이 보안이 수준과 연관되는 문제이다.

보안정책의 문제이다.

네트웍의 상에서의 위치, 어떤 프로토콜을 통제할 것인지, 어떤 IP 주소 혹은 주소그룹을 통제할 것인지, 어떤 서비스 Port 번호를 통제할 것인지 내부적인 정책을 수립하는 것이 중요하다. 그래야만 적정한 성능의 Firewall 아키텍츠를 선택할 수 있을 것이다.

Firewall은 단지 구입하여 설치하기만 하는 장비가 아니다. 미리 보안 정책이 수립되어 있어야 하고, 기반 기술에 대한 이해가 필요하고, 현재의 네트웍 구조와 보안 수준에 따른 네트웍의 구조에 대한 이해도 필요하다. 그래도 가장 중요한 것은 사용자나 관리자의 보안 의식이다.

2000.11.29

:: Hide ::

쪽지 보내기

Send E-mail