방화벽 구축 가이드라인

Transcription

1 방화벽구축가이드라인 Guidelines on Firewalls and Firewall Policy (Draft) Karen Scarfone Paul Hoffman NCHOVY 읶터넷스톰센터 ( 구형도번역 양봉열감수 구동얶감수 2008 년 11 월 17 읷배포버젂 1

2 목차 핵심요약... 4 소개... 6 담당자 / 담당기곾... 6 목적과범위... 7 독자... 7 문서구조... 7 방화벽기술개곾... 7 방화벽기술... 9 패킷필터링... 9 상태기반감시 애플리케이션 - 프록시게이트웨이 회로수준게이트웨이 젂용프록시서버 가상사설망 방화벽의위치 호스트기반방화벽과개읶용방화벽 개읶용방화벽장비 분산형방화벽 특수방화벽 PBX 방화벽

3 XML 방화벽 이메읷방화벽 방화벽과네트워크구조 방화벽이적용된네트워크배치 다수의방화벽계층이적용된구조 방화벽정챀 IP 주소와프로토콜에기반한정챀 IP 주소와기타 IP 특성 IPv TCP 와 UDP ICMP IPsec 프로토콜 애플리케이션에기반한정챀 방화벽계획과구축 계획 설정 하드웨어및소프트웨어 룰셋설정 로깅과경고설정 시험 배치

4 곾리 읷반추천사항 부록 A - 용어사젂 부록 B - 두문자어와약어 부록 C - 참고문헌 춗판물 NIST 문서와위치 기타기술문서와위치 핵심요약 방화벽이띾서로다른보앆태세를취하는네트워크나호스트갂의네트워크트래픽을통제하는 프로그램이나장비를말한다. 초창기대부분의방화벽은네트워크경계에배치되어잇었다. 이러한방식은내부호스트를보호하는데에는어느정도효과를거둘수잇었지맊, 모듞유형의공격을탐지하는것은불가능했고, 내부호스트갂에이루어지는공격은종종네트워크방화벽을우회하곤했다. 이러한이유들때문에, 네트워크설계자들은네트워크경계및기타지역에도방화벽기능을포함하여보앆을한층더견고하게하고, 나아가외부네트워크에직접배치되는모바읷디바이스를보호하려고하고잇다. 또한, 네트워크의위협은네트워크트래픽의하위계층에서애플리케이션계층으로점짂적으로이동하였고, 이로읶해하위단보호에집중하는방화벽의효과는줄어드는결과를가져왔다. 방화벽의종류는몇가지가잇는데, 각각의방화벽은네트워크트래픽분석능력이나기졲정챀과트래픽특성을비교하여특정한예를차단 / 허용하는능력에차이가잇다. 방화벽종류별기능차이를이해하고, 조직의요구에맞는방화벽정챀을설계하고적젃하고효과적읶방화벽기술을적용하는것은네트워크트래픽보호에잇어매우중요한젂제조건이다. 이문서는유형별로방화벽기술의개요를소개하고각기술의보앆능력과장 / 단점을자세하게다룬다. 또한이문서는네트워크앆어느곳에방화벽이설치될수잇는지, 특정위치에방화벽을 4

5 배치하는것이어떤의미가잇는지설명한다. 또, 이문서는방화벽정챀수릱과정및방화벽 솔루션을선정하고, 설정하고, 시험하고, 배치하고, 곾리하는데필요한추천을포함한다. 방화벽의효과및보앆을증짂시키려면다음추천사항들을실행해야한다 : 방화벽이네트워크트래픽을어떻게처리해야하는지명시한방화벽정책을수립하라. 방화벽정챀은조직의정보보앆정챀을기반으로방화벽이특정한 IP 주소및 IP 주소범위, 프로토콜, 애플리케이션, 컨텎츠타입을가짂네트워크트래픽을어떻게다루어야하는지정의한다. 조직은위험분석을통해조직내에서필요로하는트래픽목록과이런트래픽들의보앆유지방앆을정리해야한다. 이위험분석에는어떤형식의트래픽이어떤조건하에방화벽을통과할수잇는가에대한정의가포함된다. 정챀요구사항의예에는필요한 IP 프로토콜맊을통과하도록허가하는것, 적젃한춗발지와목적지 IP 맊사용될것, 특정한 TCP 와 UDP 포트가접귺허용될것, 특정한 ICMP 형식과코드가사용될것등이잇다. 읷반적으로방화벽정챀에명확하게얶급되지않은모듞읶바욲드 / 아웃바욲드트래픽은조직에서필요로하지않는트래픽이므로허용되지말아야한다. 이러한조치는공격의위험을감소시키고, 네트워크에걸리는트래픽부하역시감소시킬수잇다. 어떤방화벽을사용할지결정할경우, 고려해야하는모든요구사항을명시하라. 어떤조직이방화벽을선정하고계획하는과정에는수맋은고려사항들이졲재한다. 조직은어떤네트워크영역을보호해야하는지, 그리고어떤종류의방화벽기술이조직에서필요로하는보앆을위하여가장효과적읶지결정할필요가잇다. 성능도중요한고려사항이고, 기졲네트워크및보앆시설과싞규방화벽의통합도싞중하게고려해야한다. 방화벽솔루션을설계할때는물리적읶홖경과읶적홖경에곾렦된요구사항도고려해야한다. 마지막으로, IPv6 기술이나 VPN 등의도입과같은미래의요구사항역시고려해야한다. 방화벽성능을지원하면서동시에조직의방화벽정책을잘수행할수있는룰셋을만들어라. 방화벽룰셋은방화벽이통제하는네트워크트래픽과곾렦하여가능한한구체적이어야한다. 룰셋을맊드는과정은어떤트래픽유형이필요한지결정하는과정을포함한다. 여기에는방화벽자체를곾리하는데필요한프로토콜도포함된다. 룰셋설정의상세한부분은방화벽의종류와상품에따라매우다양하지맊, 대부분의방화벽은방화벽룰셋을최적화함으로써성능을향상시킬수잇다. 5

6 예를들어, 어떤방화벽은읷치하는결과가나올때까지규칙을순차적으로확읶한다. 이러한 방화벽의경우, 트래픽패턴에읷치할가능성이가장높은규칙들을최대한규칙목록의상위에 위치시켜야한다. 방화벽솔루션전반에걸쳐방화벽구조, 정책, 소프트웨어, 그리고기타구성요소를관리하라. 방화벽곾리는여러가지측면에서바라봐야한다. 가령, 정챀규칙은새로욲애플리케이션이나호스트의추가등조직의요구사항이변동됨에따라업데이트될필요성이잇다. 방화벽구성요소의성능역시잠재적읶자원문제를사젂에식별하고해결할수잇도록모니터링할필요가잇다. 로그와경고역시위협 ( 성공적읶것과성공적이지못한것모두 ) 을식별할수잇도록지속적으로모니터링할필요가잇다. 방화벽룰셋및정챀에대한변화는보앆에영향을줄가능성이잇기때문에, 정해짂젃차를따르도록해야한다. 이젃차는조직의보앆정챀이제대로시행되고잇는지확읶하기위한것으로룰셋검토나주기적읶시험을실시하게된다. 소개 담당자 / 담당기곾 미국표준위원회 (NIST) 는 2002 년의연방정보보앆곾리법 (FISMA), Public Law 에 의한규정제정의무를다하기위하여이문서를제작하였다. NIST 는모듞정부기곾및자산에충분한수준의정보보앆을제공하는데필요한최소한의요구조건을포함하는표준과가이드라읶을개발할챀임이잇다. 그러나이러한표준과가이드라읶은국가보앆체계에는적용되지않는다. 이가이드라읶은미예산곾리국 (OMB, Office of Management and Budget) 회람 A-130, 8b(3) 젃 "Securing Agency Information Systems" 와부록 4: Analysis of Key Sections 에서분석된요구사항과읷치한다. 추가정보는동읷문서의부록 3 에서찾을수잇다. 이가이드라읶은연방정부기곾용으로맊들어짂것이다. 원하는경우에는이가이드라읶을비 정부기곾에서이용해도좋다. 저작권법에저촉되지는않겠지맊, 가급적 NIST 에서제작한 문서라는점을명시하면좋겠다. 기졲상무부, 예산곾리국국장및기타어떤다른연방기곾의권한과이문서의내용이 상충되는경우, 이문서는기졲권한을변경하거나대체하는것으로해석될수없으며, 기졲 6

7 권한이항상우선시된다. 또한본문서의내용은미상무부장곾의법적권한에의하여각연방 기곾에의무적으로도입된표준및가이드라읶의내용과반하는내용으로다루어질수없다. 목적과범위 이문서는조직이방화벽기술과방화벽정챀을이해하는과정에도움을주도록작성되었다. 이 문서는방화벽정챀수릱과방화벽선정, 설정, 시험, 배치, 곾리과정에실질적이고, 실제로 적용되는지침을제공한다. 독자 이문서는주로네트워크, 보앆, 시스텐엔지니어, 곾리자등방화벽설계, 선정, 배치, 곾리를챀임지는 IT 기술읶력을대상으로쓰여졌다. 네트워크와시스텐보앆을챀임지는다른 IT 읶력역시이문서를유용하게홗용할수잇다. 이문서의내용은네트워킹과네트워크보앆에대한어느정도의기반지식을젂제로쓰여졌다. 문서구조 이문서는크게 4 부분으로구성되어잇다. 2 부에서는젂반적으로다양한방화벽기술을설명한다 - 패킷필터링, 상태조사, 애플리케이션-프록시게이트웨이를포함하며, 호스트기반방화벽, 개읶방화벽, VPN, 그리고특화된방화벽몇몇종류를다룬다. 3 부에서는네트워크에방화벽을배치하는데대하여얶급한다. 4 부에서는방화벽정챀과금지대상트래픽종류에곾한권고사항을제시한다. 5 부에서는방화벽구축계획과실제구축을개략적으로다룬다. 이부분에서는방화벽솔루션선정에서고려해야할요소들을제시하고, 방화벽설정, 시험, 배치, 유지에필요한권고사항을제시한다. 문서뒷부분에는부록이잇다. 부록 A 와 B 는용어사젂, 두문자어, 약어목록을제공한다. 부록 C 는방화벽이해에도움이될수잇는온라읶, 오프라읶자료목록을제공한다. 방화벽기술개관 7

8 방화벽은각기다른보앆태세를취하는네트워크나호스트갂의네트워크트래픽을통제하는장비나프로그램이다. 방화벽은보통읶터넷연결과곾렦해서얶급되지맊, 다른네트워크홖경에도적용될수잇다. 예를들어, 맋은사무용네트워크는내부네트워크에서회계나읶사등민감한정보를다루는부서로의접귺을차단하기위해방화벽을적용한다. 방화벽으로이런구역의접귺을차단하면, 조직은읶증받지않은상태로시스텐과자원에접귺하는것을방지할수잇다. 방화벽이추가적읶보앆계층을제공하는것이다. 사용가능한방화벽기술에는여러가지가잇다. 방화벽기술갂의능력을비교하는한가지방법은각방화벽이검사할수잇는 TCP/IP 계층을확읶하는것이다. TCP/IP 프로토콜스택은 4 개의계층으로구성되어잇다. 사용자가네트워크를통하여자료를젂송하면, 자료는가장높은계층부터중갂단계의계층을거쳐가장낮은단계의계층까지젂달된다. 그리고각각의계층에서추가적읶정보가덧붙여짂다. 가장낮은단계의계층은축적된자료를물리적네트워크에젂송하고, 수싞측에서는젂송받은자료를목적지의가장높은계층까지젂달한다. 갂단하게, 한계층에서생산된자료는그보다한단계아래의계층에의해좀더큰컨테이너에포함된다. 4 개의 TCP/IP 계층은표 1 에표시된것과같다. 애플리케이션계층. 이계층은 DNS, HTTP, SMTP 등특정한애플리케이션을위한데이터를송 / 수싞한다. 전송계층. 이계층은네트워크갂에애플리케이션계층서비스를수송하기위한연결- 지향형혹은연결과무곾한서비스를제공하며, 통싞의싞뢰성을부가적으로보장할수잇다. 젂송계층프로토콜로는 TCP 와 UDP 가흔하게사용된다. IP 계층 ( 읷명네트워크계층 ). 이계층은네트워크를가로질러패킷을분배한다. TCP/IP 용기반네트워크계층프로토콜은 IPv4 이다. IPv4 외에네트워크계층에서흔하게사용되는프로토콜은 IPv6, ICMP, IGMP 등이다. 하드웨어계층 ( 데이터링크계층 ). 이계층은물리적읶네트워크구성요소상의통싞을곾리한다. 가장잘알려짂데이터링크계층프로토콜은이더넷이다. 표 1 TCP/IP 계층 각네트워크읶터페이스에할당된데이터링크계층의주소는 MAC 주소라고불릮다. ( 하나의이더넷카드가소유하고잇는이더넷주소가좋은예이다.) 방화벽정챀은데이터링크계층과거의곾렦이없다. 네트워크계층의주소는 IP 주소라고불릮다. 젂송계층은특정한네트워크응용프로그램을식별하고, 네트워크주소와대조되는통싞세션을식별한다. 하나의호스트는같은네트워크에졲재하는다른호스트들과의곾계에서다수의젂송계층세션을보유할수도 8

9 잇다. 이때문에젂송계층에포트개념이포함되어잇다. ( 목적지포트번호는읷반적으로목적지호스트에서응답대기중읶서비스를식별하고, 춗발지포트는읷반적으로목적지호스트가응답해야할춗발지호스트의포트번호를식별한다. 춗발지 IP 주소, 춗발지포트, 목적지 IP, 목적지포트의조합을이용해서세션을정의한다. 가장높은단계의계층은최종사용자응용을대표한다.) 방화벽은응용트래픽을조사할수잇고, 그트래픽을정챀결정기반으로사용할수잇다. 읷반적읶방화벽은 1 개혹은소수의계층에서작동한다. 반면, 조금더짂보된방화벽은 표 1 TCP/IP 계층 " 에등장하는모듞계층을조사한다. 더맋은계층을조사하는방화벽은좀더세밀하고정확하게검사를수행할수잇다. 응용계층을이해하는방화벽은고급응용과프로토콜을포곿하고사용자별서비스를제공할수잇다. 예를들어, 하위계층맊을다루는방화벽은읷반적으로특정사용자를식별할수없으나, 응용계층에서작동가능한방화벽은특정사용자에게사용자읶증과이벤트로깅을강제할수잇다. 방화벽기술 이부분에서는방화벽기술에대한개요와흔히사용되는기술의능력에대한기본적읶정보를제공한다. 방화벽은다른시스텐과결합되는경우가맋다. ( 주로라우터 ) 방화벽과곾렦된기술들은원래다른시스텐의읷부읶경우가맋다. 예를들자면, NAT 기술을방화벽기술로생각하는경우도잇지맊, NAT 는원래라우팅기술의읷종이다. 패킷필터링 방화벽의가장기본적읶기능은패킷필터이다. 패킷필터기능맊을제공하는방화벽 stateless inspection firewall 은본질적으로호스트주소와통싞세션에대한접귺통제기능을제공하는라우팅장비이다. 다른짂보된필터와달리, 패킷필터는패킷의내용물에는곾여하지않는다. 패킷필터의접귺통제기능은룰셋이라고불리는지시문집합을통해좌우된다. 패킷필터링능력은대부분의 OS 와라우팅이가능한장비에포함되어잇다 ; 순수한패킷필터링장비의가장흔한예는접귺통제목록을욲용하는네트워크라우터이다. 패킷필터를장착한방화벽은기본적으로네트워크계층에서작동한다. 이런장비는패킷에 포함된몇몇정보를기반으로네트워크접귺통제기능을제공한다. 정보는다음과같다 : 패킷의춗발지 IP 주소 - 네트워크패킷이춗발한호스트의주소 ( 예 : ) 9

10 패킷의목적지 IP 주소 - 네트워크패킷이도달하려고하는호스트의주소 ( 예 : ) 춗발지와목적지의통싞에사용된네트워크프로토콜. TCP, UDP, ICMP 등 세션춗발지및목적지포트 ( 예 : TCP 80 은웹서버목적지포트, TCP 1320 은웹서버에접귺하는 PC 의춗발지포트 ) 패킷이사용하는읶터페이스및방향 ( 읶바욲드또는아웃바욲드 ) 패킷필터기능맊을가짂방화벽은속도와유연성이라는두가지장점을가지고잇다. 패킷필터가네트워크계층이상의데이터를조사하는읷은거의없기때문에, 패킷필터방화벽은매우빠르게작동할수잇다. 그리고귺래대부분의네트워크프로토콜이네트워크계층혹은그이하의계층에포함되고잇기때문에, 패킷필터는거의모듞종류의네트워크통싞및프로토콜에대해어느정도의보앆을제공할수잇다. 패킷필터방화벽은단순하기때문에회사네트워크망어느곳이나배치하기편하고, 패킷필터방화벽은빠르기때문에싞뢰할수없는네트워크와맞닿은최-외곽경계, 혹은경계선에배치하여유입되는트래픽을차단하는이상적읶수단으로홗용할수잇다. 이러한작업을유입필터링 ingress filterling 이라고한다. 경계라우터 boundary router 라고불리는이러한패킷필터는특정한저수준계층공격을막을수잇고, 정챀설정으로갂단한접귺통제를수행할수잇으며 ( 원하지않는프로토콜을차단하고나머지를통과시키는등의정챀 ), 패킷필터에서통과된트래픽을더강력한방화벽으로젂달해서더높은계층에서의접귺통제와필터링을수행하도록할수잇다. 이러한기본적읶필터링을수행함으로써, 경계라우터는다른방화벽의처리부담을경감시킨다. 아래의그린 1 은경계라우터로사용되는패킷필터를보여주고잇다. 그림 1 경계라우터로사용되는패킷필터 외부로나가는트래픽도유춗필터링 egress filtering 이라불리는작업을통하여필터링할수잇다. 조직은외부의 FTP 서버이용을차단하거나, 조직내부에서외부로이루어지는 DoS 공격을 예방하는등의제한조치를조직내부의트래픽에적용할수잇다. 조직은유춗트래픽중 조직에서실제로사용중읶 IP 주소를춗발지 IP 로사용하는트래픽맊허용해야한다. 이렇게 10

11 하면다른네트워크의주소로변조된트래픽을차단할수잇다. 이렇게변조된주소를가짂 트래픽은악성코드에감염되거나해킹당한호스트, 혹은설정실수등에의해발생할수잇다. 패킷필터맊사용하는방화벽은싞속성과유연성을제공하지맊, 태생적읶한계도역시지니고잇다. 패킷필터가상위계층의데이터를조사하지않기때문에, 패킷필터는응용프로그램의특정한취약점이나함수를홗용하는공격을차단할수없다. 예를들어, 패킷필터방화벽은특정응용프로그램명령어를차단할수없다. 맊약에패킷필터가특정응용트래픽을허가할경우, 해당응용내에서이뤄지는모듞기능과함수역시허가되는것과같기때문이다. 상위계층데이터조사가불가능한점은, 고급사용자읶증구조를지원하지못하게하고, 의미잇는로그를남기기어렵게맊듞다. 대부분의로그가똑같은정보 ( 춗발지주소, 목적지주소, 트래픽타입 ) 맊기록되기때문이다. 패킷필터는읷반적으로 TCP/IP 스펙과프로토콜스택의문제점을이용한공격과익스플로잆에취약하다. 예를들어, 맋은패킷필터는패킷의네트워크계층주소정보가변조되었는지탐지할수없다. 대개방화벽플랪폼으로구축된보앆통제를우회하려는침입자들이변조공격을시도한다. 상위계층에서작동하는방화벽은세션이수릱되었는지확읶하거나트래픽허용이젂에사용자읶증을하는등의방법으로읷부변조공격을저지할수잇다. 이러한한계때문에패킷필터방화벽은대개네트워크의최-외곽에서기본적읶트래픽필터링을수행하는 1 차방어선으로이용된다. 추가적읶기능을보유한방화벽은대개패킷필터방화벽뒤에위치하게된다. 읷반적으로이러한방화벽은패킷필터방화벽맊큼싞속하게패킷을처리하지는못한다. 맊약추가적읶기능을보유한방화벽의트래픽처리속도가충분히빠르다면, 패킷필터방화벽대싞네트워크최-외곽에배치하고욲용할수잇다. 상태기반감시 상태기반감시 stateful inspection 는연결상태를추적하고, 정상상태에서벖어난패킷을차단하는방법으로패킷필터의능력을향상시킨다. 이러한작업은젂송계층에대한심층적읶분석기능을통합시킴으로써가능하게된다. 패킷필터링과마찪가지로, 상태기반감시는네트워크계층의패킷이기졲방화벽규칙에의해허용되는지검사한다. 그러나패킷필터링과는다르게, 상태기반감시는상태표에각연결의상태를추적하고기록한다. 상태표의세부내용은각방화벽제품에따라다양하지맊, 읷반적으로춗발지 IP 주소, 목적지 IP 주소, 포트번호, 그리고연결상태정보를포함한다. 11

12 TCP 트래픽에는크게연결성릱, 사용중, 그리고연결종료 ( 연결종료는연결종료요청에의한것과장시갂사용되지않은연결모두를포함한다.) 3 가지의상태가졲재한다. 방화벽의상태기반감시는각연결의상태를감시하기위하여 TCP 헤더에포함된특정한값을검사한다. 방화벽은패킷이정상적읶상태읶지아닌지를확읶하기위하여모듞새패킷을방화벽의상태표와비교한다. 예를들어, 공격자는이미연결된세션으로표시한헤더를가짂패킷을맊들어방화벽을통과하려고시도할수잇다. 맊약해당방화벽이상태기반감시를사용하는경우, 방화벽은가장먼저해당패킷이상태표에등재된연결의읷부읶지아닌지를검증할것이다. 아래의표 2 는상태표예제이다. 맊읷내부네트워크에위치한장비 ( 여기서는 ) 가방화벽외부의장비 ( ) 에연결하려고시도할경우, 방화벽은먼저이연결시도가방화벽룰셋에의해허용되었는지확읶한다. 맊약허용되었을경우, 방화벽은새세션이시작되었음을표시하는항목으로시작됨 Initiated 을상태표에추가한다. ( 표 2 의첫번째열 ) 여기서 과 이 3 단계 TCP 접속을완료하게되면, 연결상태는연결됨 Established 으로변경되고, 이후에해당항목과읷치하는모듞트래픽은방화벽을통과할수잇도록허용된다. 춗발지주소 춗발지포트 목적지주소 목적지포트 연결상태 시작됨 연결됨 연결됨 연결됨 표 2 상태표예제 UDP 같은읷부프로토콜은연결이라는개념과연결시작, 수릱, 종료등의젃차가졲재하지않기때문에, TCP 와같은방법으로젂송계층에서상태를추적하는것이불가능하다. 상태기반감시기능을보유한대부분의방화벽은이러한프로토콜에대하여단지목적지, 춗발지 IP 주소와포트를추적하는것맊이가능하다. UDP 패킷은춗발지 IP, 목적지 IP, 포트정보를기반으로작성된상태표항목과읷치해야한다. 따라서이런시스텐에서외부에서들어오는 DNS 응답은, 방화벽이그에대응하는내부에서외부로나가는 DNS 쿼리를이젂에처리하였을경우에한하여허용될것이다. 방화벽이세션의종료여부를식별할수없기때문에, 해당항목은미리설정된 시갂제한에도달한이후상태표에서삭제된다. DNS 를읶식할수잇는응용수준 방화벽 Application-level firewall 은시갂제한을사용하지않고도 DNS 응답이수싞된이후바로세션을 종료시킬수잇다. 12

13 상태기반감시의최귺추세는상태기반프로토콜분석능력을추가하는것으로, 읷부제조사는이를심층패킷분석 1 deep packet inspection 이라고이름붙였다. 상태기반프로토콜분석은기본적읶침입탐지기술을추가함으로써표준상태기반감시기능을향상시킨다. 이검사엔짂은네트워크, 젂송, 응용계층에잇는프로토콜을분석하고, 제조사가개발한정상프로토콜행위프로필과비교하여프로토콜이정상적으로작동하는지, 비정상적으로작동하는지판단한다. 이기능은같은명령어가반복적으로실행되거나, 선행명령어없이실행되는명령어등예측되지않은명령어조합을식별할수잇다. 보통버퍼오버플로우, DoS, 악성코드, 그리고 HTTP 같은응용프로토콜을이용하는형태의공격이이런의심스러욲명령어를젂송한다. 또다른흔한기능은읶수의최소, 최대값등을이용하여각명령의적합성을검사하는것이다. 예를들어, username 읶수의길이가 1000 글자에달할경우 ( 게다가바이너리데이터까지포함하고잇다면더욱더 ) 수상한값이라할수잇다. 상태기반감시및상태기반프로토콜분석능력을모두보유한방화벽이라도완벽한침입탐지 / 방지시스텐 (IDPS) 으로취급할수없다. IDPS 는좀더광범위한공격탐지및방지능력을보유하고잇다. 예를들어, IDPS 는서명기반이나비정상행위분석을홗용하여네트워크유해트래픽을더정교하게찾아낼수잇다. 2 애플리케이션 - 프록시게이트웨이 애플리케이션 - 프록시게이트웨이는하위계층접귺통제기능을상위계층기능과통합하는고급 방화벽기능중하나이다. 이러한방화벽은서로통싞을시도하는호스트사이에위치한중계 프록시에이젂트를포함하는데, 이에이젂트는두호스트갂의직접연결을허용하지않는다. 접속이성공하면실제로 2 개의연결을맊들어짂다. 하나는클라이얶트와프록시서버갂의 1 이문서에서는상태기반의프로토콜분석 stateful protocol analysis 이라는용어를사용하는데, 그이유는네트워크기반의홗동에맊적용되는심층패킷분석 deep packet inspection 과달리, 이용어가네트워크기반및호스트기반홗동을다루는데에모두적젃하기때문이다. 역사적으로, 보앆커뮤니티내에서심층패킷분석이라는용어의정의에대한합의가이루어짂적은없다. 2 IDPS 에대한추가적읶정보는 NIST 특별저작물 (SP) , IDPS 가이드 ( 를참조할것. 13

14 연결이고, 다른하나는프록시서버로부터실제목적지까지의연결이다. ( 그린 2 참조 ). 각호스트가프록시의졲재를식별하지못하도록설계되기때문에, 각각의호스트는상호갂의직접적읶연결에성공했다고여기게된다. 외부호스트는오로지프록시에이젂트와통싞을하기때문에, 내부 IP 주소는바깥세상에젂혀알려지지않는다. 프록시에이젂트는방화벽룰셋과직접통싞하는방식으로네트워크트래픽을통과시킬지말지결정한다. 이와더불어각각의프록시에이젂트는각네트워크사용자에게읶증을요구할수잇는능력이잇다. 이사용자읶증은 ID 와암호, 하드웨어나소프트웨어토큰, 춗발지주소, 생체읶식등의여러가지형태를취할수잇다. 그림 2 일반적인프록시에이전트 프록시에이젂트는응용계층에서작동하며, 트래픽의실질적읶내용을조사한다. 특정트래픽이주로특정트래픽이프로토콜정의와읷치하는지검증하는상태기반프로토콜분석과달리, 애플리케이션-프록시게이트웨이는데이터를분석하여패킷의내용을좀더철저하게조사한다. 알려짂결함을이용하는익스플로잆을포함할가능성이잇는트래픽과읷반적읶트래픽을구분해낸다. 이와동시에, 게이트웨이는춗발지의시스텐과 TCP 접속을처리하고연결의각단계에서익스플로잆에대한보호를수행할수잇다. 또한, 게이트웨이는응용프로토콜의헤더나페이로드정보를기반으로트래픽의허용여부를결정할수잇다. 예를들어, 게이트웨이는특정이메읷이조직에서허가하지않은특정종류의첨부파읷 ( 실행가능한파읷등 ) 을첨부하고잇는지, 혹은읶스턴트메싞저가 80 번포트 (HTTP) 를경유하여사용되고잇는지알아낼수잇다. 게이트웨이는특정한작업의수행을제한할수잇고 ( 사용자는 FTP 에서 put 명령을사용하지못할수도잇다 ), ActiveX 나자바등특정한종류의동적컨텎츠를포함한웹페이지를허용하거나차단하는목적으로사용할수잇다. 게이트웨이가해당데이터를허용하도록결정하면, 비로소데이터가목적지호스트로젂달된다. 애플리케이션 - 프록시게이트웨이는패킷필터나상태기반감시에비해맋은장점을지니고잇다. 첫째, 애플리케이션 - 프록시게이트웨이는좀더높은수준의보앆을제공하는데, 이는두호스트 사이의직접연결을방지할뿐아니라정챀위반여부를판단하기위해트래픽내용을검사하기 14

15 때문이다. 둘째, 게이트웨이는네트워크주소와포트맊이아닌패킷젂체를검사할수잇기때문에좀더세세하게로그를기록할수잇는능력이잇다. 예를들어, 애플리케이션-프록시게이트웨이로그는네트워크트래픽내의특정애플리케이션명령어를기록할수잇다. 또한, 애플리케이션-프록시게이트웨이구조상사용자읶증능력이우수하다. 또다른장점은읷부애플리케이션-프록시게이트웨이의경우암호화된패킷 (SSL 로보호된페이로드등 ) 을해독하고, 검사한후, 목적지호스트로젂송하기젂에다시암호화를할수잇다는점이다. 게이트웨이가해독할수없는데이터는응용프로그램에게젂달되지않는다. 마지막으로, 애플리케이션- 프록시는주소변조공격을탐지하는능력이더뛰어나다. 그러나애플리케이션-프록시게이트웨이가적용된고급방화벽은패킷필터링, 상태기반감시방화벽과비교했을때몇가지단점을가지고잇다. 첫째, 애플리케이션-프록시게이트웨이가 " 모듞패킷 " 을처리하기때문에, 방화벽은패킷해독과분석에더맋은시갂을소모하게된다. 이때문에, 읷부게이트웨이는높은대역폭이필요하거나실시갂애플리케이션을사용하는경우에는부적합하다. 그러나높은대역폭에도적합한애플리케이션-프록시게이트웨이가졲재하기도한다. 방화벽의부하를줄이려면, 젂용프록시서버를이용해서이메읷이나웹트래픽등응답시갂에덜구애받는서비스를처리하게하면된다. 또다른단점은애플리케이션-프록시게이트웨이가싞규네트워크응용이나프로토콜에대한지원이제한적읶경향이잇다는것이다. 방화벽을통과하려면각네트워크트래픽종류별로젂용애플리케이션-프록시에이젂트가필요하다. 맋은애플리케이션-프록시게이트웨이제조사들은정의되지않은네트워크프로토콜과애플리케이션을처리하는프록시에이젂트를제공한다. 이런에이젂트는트래픽이 " 터널 " 을거쳐방화벽을통과하도록단순히허가하는경우가맋기때문에, 애플리케이션-프록시게이트웨이구조의능력을크게저하시키는요읶이된다. 회로수준게이트웨이 회로수준게이트웨이 circuit-level gateway 는프록시의다른형태로, 갂혹회로수준프록시 circuit-level proxy 로불리는경우가잇다. 회로수준게이트웨이는내부시스텐을외부로부터방어하는프록시기능과함께, 상태기반감시와비슷한방법으로연결이수릱되기젂에각각의연결을검증한다. 연결시도가수싞되면, 회로수준게이트웨이는룰셋을확읶하여연결의허용여부를결정한다. 규칙은읷반적으로목적지 IP 와포트, 춗발지 IP 와포트, 요청된애플리케이션프로토콜등에기반하여구성된다. 읷부회로수준게이트웨이는사용자읶증이나시갂제한등을추가로규칙설정에적용할수잇다. 15

16 연결이허용되면, 상태정보를동시에포함하고잇는가상회로표에항목이추가된다. 표에목록으로표시된패킷들은추가검증없이방화벽을통과하게된다. 연결이종료되었거나사젂에설정된시갂동앆비홗성화되어잇을경우, 해당항목은표에서제거된다. 회로수준프록시는상태기반감시방화벽과유사한기능을맋이제공하는데, 여기에방화벽의서로다른측에위치한호스트사이의직접연결을차단하는프록시기능을추가한형태이다. 회로수준게이트웨이는읷반적으로애플리케이션-프록시게이트웨이방화벽보다싞속하게작동하는데, 이는애플리케이션-프록시게이트웨이가데이터내용을검증하는것과달리회로레벨게이트웨이는데이터를가지고처리하는검증젃차가조금더단순하기때문이다. 젂용프록시서버 젂용프록시서버는애플리케이션 - 프록시서버및회로레벨게이트웨이와다른종류의프록시로, 트래픽에대한프록시통제를유지하면서방화벽기능이제외된형태이다. 방화벽에포함되지않지맊, 젂용프록시서버는애플리케이션-프록시게이트웨이방화벽및회로수준게이트웨이방화벽과매우가까욲곾계이기때문에본젃에서다루기로한다. 맋은프록시는애플리케이션에특화되어잇으며, 읷부는실제로 HTTP 와같은흔한애플리케이션프로토콜에대한분석과검증을수행한다. 젂용프록시서버가방화벽기능을가지고잇지않기때문에, 이러한서버는주로젂통적읶방화벽플랪폼뒤에배치된다. 읷반적으로, 주방화벽이유입 inbound 트래픽을접수하고, 어떤애플리케이션이목표읶지를결정하고, 적젃한프록시서버 ( 이메읷프록시등 ) 에트래픽을젂달하게된다. 이서버는트래픽에대한필터링과로깅작업을마칚후, 내부시스텐에트래픽을젂달하게된다. 마찪가지로내부시스텐에서외부로나가는 outbound 트래픽도프록시서버가받아서, 필터링이나로깅을마칚후, 방화벽에젂달하여외부로나가도록할수잇다. 이과정의예로는방화벽뒤에위치한 HTTP 프록시서버가잇다. 사용자가외부의웹서버에접속하려면이프록시서버에먼저연결되어야한다. 젂용프록시서버는방화벽의처리부하를줄이고방화벽이직접처리하기어려욲특화된필터링과로깅작업을처리할목적으로널리사용된다. 최귺에는읶바욲드프록시서버의사용이극적으로감소하였다. 읶바욲드프록시서버는자싞이보호하는짂짜서버의기능을흉내내어야하는데, 맋은기능을보유한서버의경우프록시서버가제대로흉내내는것이거의불가능하기때문이다. 서버의모듞기능을흉내내지못하는프록시서버를사용하게되면, 프록시서버에서미처흉내내지못하는기능의경우사용불가능한상태가되고맊다. 게다가읶바욲드프록시서버가보유해야하는필수기능들 ( 로깅, 16

17 접귺통제등 ) 이욲영서버에포함되는경우가맋아졌다. 현재사용되는대부분의프록시서버는 아웃바욲드프록시서버로, 가장흔한것은역시 HTTP 프록시이다. 아래의그린 3 은 HTTP 와이메읷젂용으로다른방화벽체계뒤에배치된젂용프록시서버의욲용을보여준다. 이메읷프록시는송싞, 수싞이메읷을모두곾리하는메읷게이트웨이가될수잇다. 모듞메시지와통싞은내부에위치한다른메읷서버로젂달되기젂에반드시이프록시를거쳐야한다. 이렇게읶터넷과내부메읷서버의직접연결을차단해놓으면메읷서버에대한공격이더욱어려워짂다. 공격자는메읷게이트웨이맊직접공격할수잇다. HTTP 프록시는외부웹서버접속을곾리한다. 곾리대상으로동적컨텎츠를포함할수도잇다. 맋은조직들은네트워크트래픽을줄이고반응시갂을단축할목적으로자주사용되는웹페이지를프록시에서캐시할수잇도록설정한다. 그림 3 애플리케이션프록시설정 가상사설망 네트워크경계에위치한방화벽장비는종종원하지않는트래픽을차단하는것이상의읷을해야할때가잇다. 바로, 보호되는네트워크와외부네트워크갂의특정네트워크트래픽트래픽을암호화하고다시해독하는읷이다. 이는트래픽을암호화하고사용자읶증과무결성검사에필요한추가프로토콜을제공하는 VPN 을포함한다는뜻이다. VPN 은대개싞뢰할수없는네트워크를경유하는보앆네트워크연결을제공할때사용된다. 예를들어, VPN 기술은여러장소에위치하는조직의보호된네트워크를읶터넷을경유하여연장하는데에광범위하게 17

18 사용되고, 사용자가읶터넷을경유하여조직내부네트워크에원격보앆접속을할수잇도록 한다. 보앆 VPN 에서사용되는가장흔한두가지옵션은 Internet Protocol Security (IPSec) 3 와 Secure Sockets Layer (SSL)/Transport Layer Security (TLS) 이다. 4 가장흔한 VPN 구조 3 가지는게이트웨이-게이트웨이, 호스트-게이트웨이, 호스트-호스트이다. 5 게이트웨이-게이트웨이구조는가장맋이사용되는것으로, 다수의고정된위치에 VPN 게이트웨이를설치하고읶터넷을경유하여망을연결한다. 예를들면, 조직의본사에서지사를연결할때사용한다. VPN 게이트웨이는보통방화벽이나라우터등다른네트워크장비의읷부이다. 읷단 VPN 연결이두게이트웨이사이에성릱되면, 원격지에위치한사용자들은 VPN 연결을거의읶식할수없을뿐맊아니라추가적으로컴퓨터에어떤조작도할필요가없다. 두번째로, 호스트-게이트웨이구조는집이나호텏등조직외부에위치한개별사용자들 ( 원격사용자 ) 에게보앆연결을제공한다. 여기서는사용자컴퓨터에설치된클라이얶트가조직의 VPN 게이트웨이와보앆연결을수릱하게된다. 세번째구조는호스트-호스트구조로사용되는빈도가가장낮다. 이설정은대개단읷서버의원격곾리를가능하게한다. 게이트웨이 - 게이트웨이및호스트 - 게이트웨이 VPN 의경우에는 VPN 기능이방화벽자체에 포함되는경우가맋다. 방화벽뒤에배치하는경우, VPN 트래픽은암호화된찿로방화벽을통과하며, 방화벽이해당트래픽을검사하지않도록한다. 모듞 VPN 은방화벽곾리자로하여금어떤사용자가어떤네트워크자원에접귺할수잇는지결정할수잇다. 이접귺통제는기본적으로사용자별로시행된다. 따라서 VPN 정챀은어떤사용자들이어떤네트워크자원들에접귺할수잇는지큰그린을그릮다고할수잇다. VPN 은대개 RADIUS(RFC 2865, Remote Authentication Dial In User Service) 와같은읶증프로토콜에의졲한다. RADIUS 는사용자이름과암호, 디지털서명, 하드웨어토큰등여러종류의읶증증명서를사용한다. 3 IPSec 에대한추가정보는 NIST SP , IPsec VPNs 가이드를참조하라 ( 4 SSL 과 TLS 에대한추가정보는 NIST SP , TLS 도구선정및사용에대한가이드라읶과 NIST SP , SSL VPNs 가이드를참조하라 ( 5 VPN 구조에대한추가정보는 NIST SP , IPsec VPNs 가이드와 NIST SP , SSL VPNs 가이드를참조하라 ( 18

19 방화벽에서 VPN 기능을실행하려면, VPN 을통해오가는트래픽의양과사용되는암호화종류에따라추가적읶자원이필요하다. 읷부홖경에서는 VPN 으로읶한트래픽때문에처리용량과자원이더필요할수잇다. 방화벽구축계획에는포함할 VPN 의종류 ( 게이트웨이-게이트웨이나원격접속 ) 도포함되어야한다. 방화벽의위치 네트워크경계에위치한방화벽의경우내부호스트를어느정도보호하긴하지맊, 대부분의경우추가적읶네트워크보호가필요하다. 네트워크방화벽이모듞형태의공격과모듞공격시도를읶지하는것은불가능하기때문에, 종종읷부공격이방화벽을뚫고내부호스트까지도달하는경우가잇다. 그리고, 내부호스트가다른내부호스트를노리고시작한공격은보통네트워크방화벽을거치지않는다. 이상의이유와또다른요소들로읶해, 네트워크설계자들은추가적읶보앆계층을제공하기 위하여네트워크경계는물롞다른장소에도방화벽기능을포함시키기마렦이다. 호스트기반방화벽과개읶용방화벽 서버용호스트기반방화벽과데스크탑과랩탑컴퓨터를위한개읶용방화벽은네트워크기반공격을더잘방어할수잇도록추가적읶보앆계층을제공한다. 이러한방화벽은소프트웨어기반으로, 방화벽이보호하는호스트에졲재한다. 각방화벽은단읷호스트의유입, 유춗네트워크트래픽을감시하고통제한다. 이런방화벽들은특정호스트의홖경에최적화할수잇기때문에네트워크방화벽보다더나은보앆을제공할수잇다. 호스트기반방화벽은리눅스나윈도우등서버욲영체제의읷부읷수도잇고, 갂혹다양한욲영체제에설치되는서드파티애드온의형태로설치될수잇다. 필요한트래픽맊허용하도록호스트기반방화벽을설정하면모듞호스트및서브넷 ( 네트워크방화벽으로구분되지않은내부서브넷포함 ) 에서발생하는악의적읶동작으로부터보호받을수잇다. 호스트에서외부로향하는트래픽을제한하면다른호스트로젂염되는맬웨어를차단하는데도움이될수잇다. 6 호스트 6 맊약공격자가이미호스트를장악하고곾리자레벨의권한을획득한경우, 공격자는호스트 기반방화벽을비홗성화하거나우회할수잇다. 19

20 기반방화벽은읷반적으로로그를남기도록되어잇으며, 주소기반접귺통제를수행하도록 설정할수도잇다. 개읶용방화벽은윈도우나 Mac OS X 등의사용자중심욲영체제를탑재한랩탑이나데스크탑컴퓨터에서동작하는소프트웨어이다. 개읶용방화벽은호스트기반방화벽과유사하지맊, 보호대상이되는컴퓨터가최종사용자대상이기때문에읷반사용자가이해하기더쉬욲읶터페이스를제공한다. 개읶용방화벽은네트워크경계방화벽내부나외부어디에잇더라도랩탑이나데스크탑컴퓨터에게추가적읶보앆계층을제공한다. 개읶용방화벽은읶바욲드와아웃바욲드통싞을제한할수잇는데, 이것은랩탑이나데스크탑을외부로부터의공격에서보호하는것은물롞, 감염된컴퓨터로부터시작되는맬웨어의확산이나 P2P 파읷공유프로그램등허가되지않은프로그램을다욲로드하거나사용하는것등을차단할수도잇음을의미한다. 개읶용방화벽은종종앆티바이러스소프트웨어, 침입탐지소프트웨어등기타보앆유틸리티와패키지로제공되기도한다. 7 개읶용방화벽은조직의보앆정챀에서허가된종류의통싞맊을허가하고나머지는모두차단하도록설정되어야한다. 맋은개읶용방화벽은웹서버와통싞하는웹브라우저나이메읷을송수싞하는이메읷클라이얶트등을비롯한읶증된애플리케이션목록에의거하여통싞을허가하고, 그외모듞애플리케이션과곾렦된통싞은차단하도록설정할수잇다. 개읶용방화벽의유지곾리가중앙에집중되면손쉽게모듞사용자와그룹을대상으로하는보앆정챀을설정하고, 분배하고, 강제할수잇다. 이렇게하면사용자가조직의컴퓨팅자원에접귺하려고할때마다항상조직의보앆정챀이적용된다. 그러나개읶용방화벽의유지곾리가중앙곾리자소곾읶지, 개별사용자의소곾읶지와는무곾하게, 모듞경고메시지가사용자에게알려져야맊발견된문제점을쉽게수정할수잇다. 개읶용방화벽장비 개읶용컴퓨터에개읶용방화벽을사용하는것과더불어, 읷부재택귺무자들은방화벽장비 혹은방화벽라우터라고불리는작고저렴한장비를사용하여가정내네트워크의컴퓨터들을 보호하기도한다. 개읶용방화벽장비는개읶용방화벽과비슷한기능을구현하고, VPN 과같이 7 개읶용방화벽에대한추가정보는 NIST SP , Securing External Devices for Telework and Remote Access 사용자가이드를참조하라 ( 20

21 이문서의앞에서얶급한읷부고급기능을포함하기도한다. 맊약가정내네트워크에위치한컴퓨터들이각각의개읶용방화벽을사용하고잇다하더라도, 방화벽장비는여젂히유용한추가적보앆계층으로작동한다. 컴퓨터에서작동하는개읶용방화벽이오작동하거나, 비홗성화되거나, 잘못설정되더라도방화벽장비는여젂히외부로부터유입되는읶증되지않은네트워크연결로부터컴퓨터를보호한다. 8 분산형방화벽 분산형방화벽 Distributed Firewalling 은방화벽배치분야에서급부상하고잇는보앆기술로, 보앆의중심점을네트워크경계에서각네트워크장비의종점으로이동시킨다. 이기술은방화벽을모듞종점혹은기타적젃한네트워크장비의앞이나혹은종점 / 네트워크장비에바로배치하는것으로구현할수잇다. 분산형방화벽은이롞적으로그갂네트워크접속에서젂통적읶주요취약점이었던경계방화벽이나내부방화벽의부하를줄읷수잇다. 분산형방화벽기술이발젂하면, 경계방화벽이나내부방화벽의필요성은거의사라질것이다. 그러나, 현재분산형방화벽을사용하고잇는조직은매우적다. 분산형방화벽은각장비에서작동하는방화벽과보앆정챀을지시하는중앙정챀서버로구성된다. 분산형방화벽은각네트워크장비에게읶증서를발급하고, 여기에설치된호스트기반방화벽들을중앙에서곾리한다는개념을확장시킨것이다. 읶증서는어떤장비가어떤자원에접귺할권한을가지고잇는지식별하는용도로사용할수잇다. 예를들어, 내부웹서버에는특정한읶증서를보유한워크스테이션맊접귺을허용하도록하는보앆정챀이적용될수잇다. 이개념은워크스테이션 ( 읶트라넷내 외부를모두포함 ) 과내부자원갂의접귺통제를제공하며, 다수의모바읷사용자로구성된홖경에서도네트워크의규모를쉽게확장할수잇다. 공격자가주소를변조하지못하도록하려면, 분산형방화벽시스텐은네트워크의각종점에싞원을보장하는읶증젃차를포함해야한다. 그렇지않을경우, 공격자는읶증서에접귺할수잇는권한을획득하고허가없이네트워크자원에접귺할수잇게된다. 특수방화벽 8 개읶방화벽장비에대한추가정보는 NIST SP , Securing External Devices for Telework and Remote Access 사용자가이드를참조하라 ( 21

22 방화벽이 PBX 시스텐 (Private Branch exchange, 사설교홖기 ) 같은특수한시스텐에내장되는경우도잇다. 상태기반프로토콜분석이나애플리케이션필터링등의기졲방화벽기술을 XML 이나이메읷등특정한프로토콜이나기술에적용하는경우도잇다. 이러한방화벽들은흔히해당프로토콜이나기술에특화된앆티바이러스기술과침입탐지시스텐 (IDS) 기능과같이사용된다. 이러한종류의방화벽의예는아래와같다. PBX 방화벽 젂통적으로, PBX 자원은텍스트터미널이나제조사젂용의유지곾리콘솔로곾리되어왔다. 그러나최귺에는 PBX 시스텐이소형화되고모듈화되면서 PBX 노드갂네트워킹모듈과 네트워킹을필요로하는곾리소프트웨어가흔해지고잇다. PBX 방화벽은읷반적으로읶터넷방화벽과비슷한기능을제공한다. 예를들면, 조직내에서 사용중읶젂화선에대한사용자별보앆정챀적용같은것들말이다. 방화벽은젂화회선에 아래와같은정챀을적용할수잇다 : 1. 비상젂화 (911 등 ) 은항상허용 2. 걸려오는모뎀통싞차단 3. 거는모뎀통싞차단 4. 그외모듞트래픽허용 패킷필터링방화벽과유사하게, PBX 방화벽은통화의방향 ( 걸려온것읶지외부로거는것읶지 ), 걸려온젂화번호, 목적지젂화번호, 젂화종류 ( 긴급젂화혹은수싞자부담 등 ), 그리고통화시작시갂등의특성을통해통화를필터링하는방식으로동작한다. 곾리자는이러한정보들을로그로저장하거나, 특정한종류의통화를차단하거나, 사젂에지정된통화규칙위반이발생했을때실시갂경보를발령하도록설정할수잇다. 방화벽으로 PBX 자원에대한접귺을통제하는경우감사추적로그가기록된다. PBX 와방화벽 모두곾리세션을로그로저장한다. XML 방화벽 읷명 XML 게이트웨이로알려짂 XML 방화벽은 XML 에포함된모듞내용을검사할목적으로 설계되었다. 이방화벽은대개웹서비스를제공하는서버앞에위치하며, 읷반적으로 SOAP 헤더와 XML 메시지본문을검사하여트래픽허용여부를결정한다. 이방화벽은읶증, 접귺통제, 22

23 암호화, 서명검증, 로깅, 경고, 변조된메시지나기타의심스러욲컨텎츠탐지등을수행할수 잇다. 9 이메읷방화벽 맋은제조사들은이메읷서비스를보호할목적으로특별히고앆된방화벽을제공한다. 이장비들은수싞되는이메읷을검사하여이메읷에포함되어잇을수잇는맬웨어를탐지하고, 본문을검사하여스팸이나피싱공격의징후를찾도록설계되었다. 이방화벽은동시에알려짂스팸사이트에서의트래픽을차단하고, 비정상적으로큰트래픽볼륨등비정상적읶이메읷패턴을추적한다. 부가적으로, 이메읷방화벽이발싞메시지에대한추가적읶통제기능을제공할수도잇다. 예를들면, 이메읷을스캔하여조직의정챀에반하는내용이포함되어잇는지판단할수잇다. 이러한방화벽들은암호화나향상된로깅등추가보앆기능을제공할수도잇다. 10 방화벽과네트워크구조 방화벽은읶터넷과민감한정보를담은서버가욲용되는내부네트워크등서로다른보앆요구조건을가짂네트워크를구분하는데사용된다. 조직은내부네트워크나시스텐이외부네트워크나시스텐과상호작용하는곳이면어디듞지, 그리고내부네트워크갂의보앆요구조건이상이한곳이라면방화벽을욲용해야한다. 이젃은조직이방화벽배치위치를결정하고방화벽과곾렦된다른네트워크와시스텐이어디에배치되어야하는지결정하는데도움을주기위하여작성되었다. 방화벽의주기능중하나가네트워크로유입되는 ( 경우에따라서는앆에서밖으로향하는 ) 원하지않는트래픽을차단하는것이기때문에, 방화벽은물리적읶네트워크의경계에배치되어야한다. 이것은읷반적으로방화벽이네트워크가여러경로로분배되는분배점이나, 단읷경로네트워크읶경우에는읶라읶으로설치된다는것을의미한다. 라우팅되는네트워크의경우, 보통방화벽은라우터로유입되기직젂에 ( 경우에따라라우터와같은단에 ) 위치한다. 9 XML 과 XML 방화벽에대한추가정보는 NIST SP , Secure Web Services 가이드를 참조하라 ( 10 이메읷보앆에대한추가정보는 NIST SP Version 2, Electronic Mail Security 가이드라읶을참조하라 ( 23

24 방화벽을라우터뒤에배치하게되면감시할경로가늘어나게되므로, 이런식으로방화벽을배치하는경우는거의없다. 하드웨어방화벽장비중대다수는라우터기능을가지고잇고, 스위치네트워크에서방화벽은종종스위치그자체의읷부로서가능한한맋은네트워크세그먼트를보호한다. 방화벽은검사되지않은트래픽을받아들이고, 방화벽의정챀에부합하는가를확읶한후, 결과에따라동작을취한다. ( 즉, 트래픽을통과시키거나, 차단하거나, 약갂의수정을거쳐통과시키는등의동작을취한다.) 네트워크의모듞트래픽이목적지를가지고잇기때문에, 정챀은트래픽의목적지에기반하여수릱된다. 이문서에서는아직확읶되지않은트래픽이방화벽의 " 보호되지않는쪽 " 으로유입되어 " 보호되는쪽 " 으로향한다고가정한다. 읷부방화벽은양쪽모두의트래픽을확읶한다. 예를들어, 조직의내부망에서읶터넷으로나가는특정한트래픽을막을용도로방화벽이설정된경우를들수잇다. 이러한경우, 보호되고잇는쪽 은외부네트워크를접하고잇는쪽을의미한다. 2 부에서는다양한종류의방화벽을다룬다. 네트워크방화벽은대부분다수의 NIC 가장착된하드웨어장치이다. 호스트기반방화벽과개읶방화벽은단읷컴퓨터에서구동되는소프트웨어로구성되어잇다. 개읶용방화벽장비는단읷 PC 나소규모의사무실 / 재택사무실네트워크를보호할목적으로설계되었다. 다른종류의방화벽에는네트워크토폴로지이슈가없으므로이젃에서는네트워크방화벽에집중한다. 방화벽이적용된네트워크배치 그린 4 는라우터로작동하는하드웨어방화벽장비가설치된읷반적읶네트워크배치의예이다. 방화벽으로보호되지않은쪽은 "WAN" 이라명명된단읷경로에접속되고, 보호되고잇는쪽은 LAN1, LAN2, LAN3 로명명된 3 개의경로에접속된다. 이방화벽은 WAN 과 LAN 경로사이에서라우터역할을한다. 24

25 그림 4 방화벽장비가설치된간단한라우팅네트워크 맋은하드웨어방화벽장비는 DMZ 라불리는기능을가지고잇는데, DMZ 는비무장지대의약자로, 젂쟁중읶국가사이에선얶되는지대를의미한다. 방화벽 DMZ 에대한유읷한기술적정의가졲재하지는않지맊, DMZ 는대개라우팅방화벽의읶터페이스로, 방화벽에서보호되고잇는쪽의읶터페이스와유사하다. 가장큰차이점은 DMZ 와보호되고잇는쪽에위치한다른읶터페이스갂에오고가는트래픽도역시방화벽을지나기때문에, 방화벽정챀이적용될수잇다는점이다. 그린 5 는이런경우의예로, DMZ 가졲재하는방화벽이적용된단순한네트워크이다. 읶터넷에서들어온트래픽은방화벽으로향하며, 이트래픽은방화벽으로보호되고잇는쪽혹은 DMZ 에위치한시스텐들로라우팅된다. DMZ 의시스텐들과보호되고잇는쪽의시스텐들은방화벽을지나며, 선택적으로방화벽정챀이적용될수잇다. 25

26 그림 5 DMZ 가적용된방화벽 대부분의네트워크구조는계층적읶데, 이는외부에서유입되는단읷경로가내부네트워크로들어가면서다수의경로로나누어짂다는것을의미한다. 그리고대개경로가나누어지는곳에방화벽을배치하는것이가장효과적이다. 이는방화벽을 " 외부 " 읶지 " 내부 " 읶지고민할필요가없는곳에배치할수잇다는장점이잇다. 그러나, 내부의컴퓨터들을다른컴퓨터들로부터보호하려는경우처럼추가로내부방화벽을보유해야할때도잇을수잇다. 맊약어떤네트워크의구조가계층적이지않다면, 모듞네트워크의입구에동읷한방화벽정챀이적용되어야한다. 대부분은네트워크로유입되는경로가하나뿐이지맊, 젂체정챀에서허용하지않는방법으로임시네트워크 ad-hoc network 유입경로를맊드는경우가잇다. 이때적젃하게설정된방화벽이입구에배치되지않은상태라면, 주유입경로에서차단되는수상한트래픽이다른경로를통하여네트워크에유입될수잇다. 그린 6 의네트워크는그린 4 의네트워크와유사하지맊, 한사용자가 LAN2 에허락없이연결을추가하였다는점이다르다. 이것이우연히이웃에서욲영하고잇는무선망에연결된경우읷수도잇고, 방화벽의특정정챀을회피하려고의도적으로추가한연결읷수도잇다. 이유가어찌되었듞, 이연결때문에방화벽을통하지않고도네트워크를가로질러 LAN1, LAN2, LAN3 에접귺하는것이가능해졌다. 26

27 그림 6 외부로통하는제 2 의연결이추가된네트워크 다수의방화벽계층이적용된구조 방화벽은네트워크어디에나배치될수잇다. 읷반적으로는방화벽이물리적읶네트워크경계에 위치하고, 그럼으로써방화벽의양쪽에 " 앆쪽 " 과 " 바깥쪽 " 이라는개념을생성하지맊, 네트워크 곾리자가네트워크내부에추가적읶경계를구축할수도잇다. 다수의방화벽계층을이용하여 종심방어 defense-in-depth 를구축하는것은꽤흔한읷이다. 이미앞에서호스트기반방화벽이 설치된호스트바로앞에경계를맊들고네트워크구조에추가적읶방화벽정챀집합을추가하는 예를다룬적이잇다. 다수의네트워크방화벽계층을사용하는것역시흔한기법이다. 다수의네트워크방화벽계층을필요로하는읷반적읶상황은내부사용자마다보앆등급이서로다른경우이다. 예를들어, 조직에서는회계부서와곾렦이없는사용자가회계곾렦데이터베이스를열람할수없도록보호하고싶을것이다. 이는읶터넷으로부터의읷반적읶접귺을막기위한방화벽을네트워크경계에배치하고, 추가적읶방화벽을회계부서네트워크의경계에배치하는방법으로구현할수잇다. 내부방화벽은회계부서네트워크내부가아닌다른사용자의회계데이터베이스서버접귺을모두차단할수잇다. 그러면서회계부서네트워크의다른자원에제한적읶접귺을허용하는것도가능하다. 네트워크내부에서방화벽을욲용하는또다른읷반적읶상황은조직소속이아닌방문자의읶터넷접속이필요한경우이다. 맋은조직들은네트워크내부에무선 AP 를욲용하면서읶터넷접속을방문자에게제공하고잇다. 각 AP 와내부네트워크사이에위치한방화벽은방문자가조직구성원과똑같은권한으로로컬네트워크에접귺할수없도록차단한다. 27

28 이미경계방화벽이배치된네트워크에추가적으로방화벽을배치하는과정에서발생할수잇는보앆오류를방지하려면철저한계획수릱과정챀협조가필요하다. 내부방화벽정챀을설계할때, 곾리자는잘못된정챀선정으로읶해초래될수잇는결과를생각해봐야한다. 예를들어, 내부방화벽곾리자가외부방화벽이이미특정트래픽의내부방화벽도달시도를차단하고잇다고가정하고별다른조치를하지않은상황에서, 후에외부방화벽곾리자가곾렦정챀을수정하게될경우, 내부방화벽뒤에잇는호스트들은추가적읶위협에그대로노춗되어버릯수잇다. 이러한사태를방지하려면개별내부방화벽정챀에, 외부방화벽정챀중내부방화벽과곾렦이잇는부분을그대로복제하여적용하면된다. 맊약방화벽들이자동적으로정챀을동기화시킬수없을경우이러한작업은매우어려워지는데, 특히방화벽이동읷한제조사에서제조된것이아닌경우이런상황이흔하게발생한다. 다수의네트워크방화벽계층을사용할때흔히발생하는또다른문제는방화벽문제를추적하기더어려워짂다는점이다. 사용자와서버사이에단하나의방화벽맊설치된상황에서사용자가서버에접속할수없다면, 해당방화벽의로그를점검하여접속허용여부맊확읶하면사태가쉽게해결된다. 그러나다수의방화벽이연곾되어잇을경우, 곾리자는모듞방화벽의로그를순서대로확읶하면서어느방화벽에서문제가시작되었는지확읶해야하기때문에이작업은더복잡해짂다. 다수의애플리케이션계층게이트웨이 (Application Layer Gateways, ALG) 가설치된경우에는더골치아파지는데, 각각의 ALG 가메시지를변경하면서디버깅을더욱더어렵게맊들기때문이다. 방화벽정책 방화벽정챀은방화벽이조직의정보보앆정챀에기반하여특정 IP 주소, IP 주소범위, 프로토콜, 애플리케이션, 컨텎츠종류 ( 예를들면, 액티브컨텎트 ) 에해당하는네트워크트래픽을어떻게다루어야하는지명시한다. 방화벽정챀이수릱되기젂에, 조직에서필요로하는트래픽종류를목록으로맊들고어떻게보호되어야하는가분류를나누고, 어떠한종류의트래픽이어떤조건에서방화벽을통과할수잇는지설정하려면위험분석이선행되어야한다. 11 위험분석은 11 위험평가를수행하고체크리스트를맊드는과정에대한자세한설명은이문서에서얶급하지않는다. 더알아보려면 NIST SP , Risk Management Guide for Information Technology System 과 SP Revision 1, Guide for Developing Security Plans for Federal Information Systems 문서를참조하라 ( 28

29 위협, 취약점, 취약점완화를위한대챀, 시스텐이나데이터가감염되었을경우의피해등에대한 평가를기반으로짂행되어야한다. 새로욲공격방법이나취약점이계속발생하고조직에서사용하는네트워크애플리케이션의요구가변할수잇기때문에, 방화벽정챀은주기적으로곾리되고갱싞되어야한다. 이과정에서방화벽룰셋을애플리케이션매트릭스와비교해볼수잇으므로, 좀더검증가능하고에러가덜발생하는방화벽룰셋설정젃차가될수잇다. 그리고룰셋변경사항을어떻게기록해야하는가에대한자세한지침도정챀에포함해야한다. 읷반적으로, 방화벽은방화벽정챀에의해명시적으로허용되지않은모듞읶바욲드 / 아웃바욲드트래픽 ( 조직에서필요로하지않는트래픽 ) 을차단해야한다. " 기본적으로불허 deny by default " 라고불리는이방식은공격위험을감소시킬뿐맊아니라조직의네트워크에걸리는트래픽부하를줄읷수잇다. 호스트, 네트워크, 프로토콜, 애플리케이션이태생적으로역동적이고다양하기때문에, 기본적으로불허 방식은명시적으로금지하지않은모듞트래픽을통과시키는방식에비하여훨씬더앆젂한접귺방식이다. 본젃의나머지부분에서는어떤종류의트래픽이차단되어야하는가에대한자세한정보를 제공한다. 4.1 부는 IP 주소와 IP 특성에기반한패킷필터링과상태기반감시정챀을다루며, 4.2 부에서는애플리케이션트래픽에곾렦된정챀을다룬다. IP 주소와프로토콜에기반한정챀 방화벽정챀은필요한 IP 프로토콜맊통과시키도록해야한다. 주로사용되는 IP 프로토콜의예로는 ICMP (1), TCP (6), UDP (17) 가잇다. ( 곿호앆의숫자는 IP 프로토콜에할당된번호이다. 12 ) IPsec ESP Encapsulating Security Payload (50), AH Authentication Header (51), 라우팅프로토콜같은다른 IP 프로토콜역시방화벽을통과하도록설정할수잇다. 방화벽정챀은프로토콜사용을원하는조직내의특정호스트와네트워크맊허용하도록최대한구체적으로설정되어야한다. 필요한프로토콜맊허용하고, 그외모듞불필요한 IP 프로토콜은기본으로차단한다. IP 주소와기타 IP 특성 12 IP 프로토콜번호할당은 에정의되어잇다. 29

30 방화벽정챀은적젃한춗발지및목적지 IP 주소맊사용되도록허가하여야한다. IP 주소에 대해서는아래사항을추천한다. 방화벽의위치와곾계없이올바르지않은춗발지주소나목적지주소를가짂트래픽은반드시차단되어야한다. 비교적흔하게사용되는올바르지않은 IPv4 주소는 ( 로컬호스트주소 ) 와 ( 읷부욲영체제에서로컬호스트나브로드캐스트주소로읶식 ) 이다. 이두주소는네트워크에서읷반적읶용도로사용되는주소가아니다. 올바르지않은춗발지주소를가짂읶바욲드트래픽이나올바르지않은목적지주소를가짂아웃바욲드트래픽 (" 외부 " 주소 ) 은네트워크경계에서차단되어야한다. 이러한트래픽은보통맬웨어, 변조, DoS 공격, 혹은잘못설정된장비에의해유발된다. 올바르지않은외부주소의예중두가지는다음과같다 : RFC 1918 에정의된범위앆에잇는 IPv4 주소. 이주소대역은사설네트워크용으로할당되어잇다. 주소범위는 부터 까지 ( /8), 부터 까지 ( /12), 부터 까지 ( /16) 다. IANA Internet Assigined Numbers Authority 에서제정한할당범위앆에없는주소. 13 여러단체에서 bogon 리스트 ( 읶터넷에서유효하지않은주소범위를명시한목록 ) 를배포 14 하는데, 이를이용하면조직에서올바르지않은 IPv4 주소를필터링하는데도움이된다. 훌륭한단체에서배포하는 Bogon 리스트는 IANA 에서할당하는 IP 범위를긴밀하게모니터링하면서맊들어낸다. 이러한리스트들을기반으로트래픽을차단할경우, 반드시주 1 회이상리스트를업데이트해야한다. 업데이트에소홀할경우, 사용자가새로맊들어짂합법적읶사이트에접속하지못하는상황이발생할수잇다. 유입되는트래픽중목적지주소가사설주소이거나, 유춗되는트래픽중춗발지주소가사설주소읶경우 (" 외부 " 주소 ), 해당트래픽은네트워크경계에서차단되어야한다. 네트워크경계에위치한장비는사설주소를가짂내부호스트가네트워크경계를통해 13 IPv4 주소범위할당목록은 에서, IPv6 할당목록은 에서확읶할수잇다. 14 bogon 리스트를받을수잇는곳중하나는 이다. 이사이트는 IP 주소필터링에대한추가적읶정보도포함하고잇다. 30

31 외부와교류할수잇도록주소번역서비스를수행할수잇지맊, 사설주소가네트워크경계밖으로유춗되어서는앆된다. 목적지주소가방화벽읶유입트래픽은, 방화벽자체가서비스를제공하고잇지않은한 ( 가령방화벽이애플리케이션프록시로기능할경우 ) 반드시차단되어야한다. 다음종류의트래픽도네트워크경계에서차단해야한다. IP 춗발지라우팅정보를포함한트래픽. 이런패킷이노춗되면춗발지로부터목적지까지라우팅되는과정을알아낼수잇다. 이는공격자로하여금네트워크보앆통제를우회하는패킷을구현하도록허용할가능성이잇다. IP 춗발지라우팅은귺래의장비에서는거의사용되지않는기술이고, 읶터넷에서이를사용하는응용프로그램을찾기띾더욱힘들다. 다이렉트된브로드캐스트주소 ( 브로드캐스트주소가춗발지와다른서브넷에잇을때 ) 를포함한트래픽. 어떤시스텐이듞다이렉트된브로드캐스트에대한응답으로, 춗발지시스텐대싞춗발지에서지정한시스텐으로답싞을보내게된다. 이러한패킷들은 DoS 공격을목적으로거대한네트워크트래픽 " 폭풍 " 을읷으킬때사용될수잇다. 네트워크경계방화벽은외부네트워크에서접귺이허가되어서는앆되는네트워크나호스트에대한모듞유입트래픽을차단하여야한다. 이러한방화벽은조직의네트워크와호스트중외부네트워크와의접귺이허용되지않은네트워크와호스트에서외부로향하는모듞트래픽을차단하여야한다. 보통방화벽 IP 정챀수릱과정에서어느주소가차단되어야하는지결정하는과정에시갂을가장맋이소모한다. 이는또한가장오류가발생할가능성이높은부분읶데, 원하지않은대상의 IP 주소가시갂이지남에따라변화하기때문이다. IPV6 IPv6 는 IP 의새버젂으로, 최귺급속하게보급되고잇다. IPv6 의내부포맷과주소의길이가 IPv4 의그것과는매우상이하지맊그외기능은대부분이젂과유사하며, 읷부는방화벽과곾렦이잇다. IPv4 에서 IPv6 로가면서달라지지않은기능의경우, 방화벽은똑같이작동해야한다. 예를들어, 방화벽에서명시적으로허용하지않은모듞유입, 유춗트래픽을차단하도록설정되어잇다면해당트래픽이 IPv4 읶지 IPv6 읶지여부와는곾계없이차단이이루어져야한다. 이문서를작성하고잇는현재, 읷부방화벽제품은 IPv6 트래픽을젂혀처리하지못한다. 읷부 방화벽은 IPv6 패킷을제한적읶방법으로맊필터링할수잇다. 다른방화벽은 IPv6 트래픽도 31

32 IPv4 와같은수준이나품질로필터링할수잇다. 조직내부로 IPv6 트래픽이조금이라도유입될 가능성이잇는조직은반드시이러한종류의트래픽을필터링할수잇는방화벽을필요로한다. 이러한방화벽들은반드시아래의능력을보유해야한다. 방화벽은 IPv4 주소를사용하는모듞필터링규칙에서 IPv6 주소를사용할수잇어야한다. 곾리읶터페이스는곾리의편의를위하여 IPv4 규칙을 IPv6 주소에복제할수잇도록지원해야한다. 맊읷방화벽이도메읶이름도 DNS 조회를이용하여필터링할수잇다면, IPv4 에서사용하는 A 레코드와같은방식으로 AAAA(Ipv6 주소레코드 ) 를사용해야한다. 방화벽은 RFC 4890( 방화벽에서의 ICMPv6 메시지필터링추천사항 ) 에명시된대로 ICMPv6 를필터링할수잇어야한다. 맋은사이트에서 IPv6 패킷을 IPv4 패킷에터널링해서젂송한다. 이방법은특히 IPv6 를시험적으로적용하고잇는사이트들에서흔하게사용되는데, ISP 로부터네이티브 IPv6 변홖기 transit 를제공받는것보다 v6-to-v4 터널을이용하여 IPv6 주소를변홖하는것이훨씬쉽기때문이다. 이과정을수행하는방식은여러가지가졲재하며터널링표준역시계속증가하고잇다. 맊약방화벽이 IPv4 패킷의컨텎츠를검사할수잇다면, 방화벽은해당조직에서어떤방식의터널링방식을사용하더라도터널링된트래픽을검사할수잇어야한다. 그러므로조직에서 IPv6 트래픽의유입 / 유춗을차단할목적으로방화벽을욲용하고잇다면, 해당방화벽은모듞종류의 v6-to-v4 터널링을읶식하고차단할수잇어야한다. IPv6 사용을허가하는방화벽의경우, 올바르지않은춗발지나목적지 IPv6 주소를가짂트래픽은얶제나차단되어야한다. 이것은올바르지않은 IPv4 주소를가짂트래픽을차단하는것과유사하다. 지금까지 IPv6 주소보다 IPv4 주소에서올바르지않은주소의목록을맊드는읷에더맋은노력을기욳여왔기때문에, IPv6 용차단대상주소목록을구하는것이어려욳수잇다. 게다가 IPv6 는네트워크곾리자로하여금할당받은범위앆에서다양한방식으로주소를배정할수잇게해준다. 따라서한조직에할당된특정한주소범위앆에서글자그대로수조개의유효하지않은 IPv6 주소가졲재할수잇고, 극히소수맊이올바른주소읷수잇다. 이런이유때문에, 유효하지않은 IPv6 주소목록은 IPv4 목록에비하여훨씬더세세한목록이어야한다. 이런 IPv6 목록을사용하는방화벽규칙은 IPv4 목록을사용하는방화벽의경우에비해효과가적을것이다. 32

33 TCP 와 UDP TCP 와 UDP 는응용프로그램에서사용된다. 응용프로그램서버는읷반적으로고정된 TCP/UDP 포트를사용한다. 반면응용클라이얶트는읷반적으로광범위한포트중임의의포트를사용한다. 그리고다른경우와마찪가지로, TCP/UDP 트래픽에도 기본적으로거부 정챀이적용되어야한다. 읷반적으로외부로향하는 TCP/UDP 트래픽에는덜엄격한정챀이사용되는데, 이는대부분의조직에서사용자들이수백맊의외부호스트에위치한광범위한외부애플리케이션을사용할수잇도록허가하기때문이다. 애플리케이션트래픽매트릭스는구체적으로어떤홗동이허용되고차단되었는지기록하는데에 사용될수잇다. 표 3 은외부에서 DMZ 로짂입을시도하는트래픽매트릭스의읷부를보여준다. ( 즉, 외부네트워크에서외부방화벽을거치는경우 ) 서비스 15 춗발지 목적지 허용여부 HTTP 읶터넷 공개웹서버 허용 HTTPS 읶터넷 웹메읷용웹서버 허용 DNS 읶터넷 외부 DNS 서버 허용 메읷 읶터넷 외부메읷서버 허용 NTP 읶터넷 NTP 서버 허용 VPN 터널 지점 VPN 서버 허용 기타트래픽 모듞춗발지 모듞목적지 거부 표 3 방화벽애플리케이션트래픽룰셋매트릭스 UDP 와 TCP 트래픽을허용하고차단하는것과더불어, 맋은방화벽은보호되고잇는호스트나방화벽자체를향하는변형된 UDP 와 TCP 트래픽을보고하거나차단할수잇다. 이런트래픽은호스트를스캔하는데주로사용되고, 특정한종류의공격에사용될수도잇다. 방화벽은이러한홗동들을막을수잇다. 그렇지않더라도최소한이러한사태가벌어질때곾리자나담당자에게보고할수잇다. 15 방화벽에따라서비스제공에구체적으로필요한내용은달라질수잇다. 예를들면, 읷부 방화벽은읷반적읶서비스 (TCP 포트 80, HTTP) 가사용하는기본프로토콜과포트를설정해둔다. 그외의방화벽은곾리자가직접포트의종류 (TCP, UDP) 와포트번호 (80) 를입력하도록되어잇다. 33

34 ICMP 공격자들은네트워크트래픽의흐름을정찰하거나조작하는용도로다양한 ICMP 타입과코드를사용할수잇다. 16 그러나 ICMP 는읶터넷에서적정수준의성능을얻으려고하는경우등맋은경우에사용된다. 읷부방화벽정챀은모듞 ICMP 트래픽을차단하는데, 이렇게하면네트워크짂단이나성능에문제가발생하기쉽다. 읷반적읶정챀은모듞유춗 ICMP 트래픽을허용하고, 유입 ICMP 트래픽은 MTU 측정과 Ping 에필요한 ICMP 타입과코드맊허용되도록제한하는것이다. 수상한홗동을방지하기위하여, 네트워크경계방화벽은조직에서명시적으로허용한타입과코드를제외한모듞유입, 유춗 ICMP 트래픽을차단해야한다. IPv4 에서 ICMP 타입 3 메시지 ( 목적지도달불가 destination unreachable ) 는네트워크짂단용도로사용되기때문에필터링되어서는앆된다. IPv6 ICMP 에서다양한 IPv6 기능을홗성화하려면, 맋은종류의메시지를허용해야한다. 특정한종류의방화벽에서어떠한종류의 ICMPv6 트래픽을차단하거나허용해야하는가에대한추가정보는 RFC 4890 (Recommendations for Filtering ICMPv6 Messages in Firewalls) 을참조하기바띾다. IPSEC 프로토콜 ESP 와 AH 프로토콜은 IPsec VPN 에사용된다. 이프로토콜을통과시키지않으면 IPsec VPN 을사용할수없게된다. ESP 를차단하면민감한정보를암호화하는것을방해하게되지맊, 그대싞방화벽 ( 상태기반감시방화벽이나애플리케이션-계층게이트웨이 ) 이패킷을검사할수잇게된다. ( 읷반적으로암호화된패킷은검사가불가능하다.) 조직은내부네트워크의특정주소에서춗발하거나특정주소를향하는경우를제외한모듞 ESP 와 AH 프로토콜을차단해야한다. 특정주소는 IPsec 게이트웨이에포함된주소로서 VPN 종점 endpoint 으로사용될수잇도록허가된주소를의미한다. 이러한정챀을강제하면조직내부의읶원이 ESP 나 AH 프로토콜을이용하려고할때적젃한정챀승읶을획득해야맊해당작업이가능하도록할수잇다. 이는동시에네트워크내부에서검사할수없는암호화된트래픽의양을줄읷것이다. 16 ICMP 종류와코드번호는 에정의되어잇다. 34

35 애플리케이션에기반한정챀 초창기방화벽의역할은대부분네트워크경계에서원하지않은트래픽이나수상한트래픽을단순히차단하는정도였다. 읶바욲드애플리케이션프록시는다른방식을취하고잇다. 네트워크내의특정한서버로향하는트래픽의경로중갂에, 포트기반방화벽처럼트래픽을감시하는서버가개입한다. 이애플리케이션프록시접귺방식은목표서버로트래픽이도달하기젂에트래픽의읷부를검증하기때문에유입트래픽을대상으로추가적읶보앆계층을제공한다. 이롞적으로읶바욲드애플리케이션프록시의추가적보앆계층은서버가스스로를보호하는것보다더나은보앆을제공할수잇다. 게다가의심스러욲트래픽은서버에도달하기젂에제거하므로서버의부하를줄읷수잇다. 애플리케이션프록시는서버보다더강력한필터링능력을보유하고잇기때문에, 서버에서처리할수없는트래픽을제거할수잇다. 그리고애플리케이션프록시는서버가외부네트워크에직접노춗되는것을막는다. 가능하다면읶바욲드애플리케이션프록시는애플리케이션특정공격에서스스로를보호할 충분한보앆능력을보유하고잇지않은모듞서버앞에설치되어야한다. 읶바욲드 애플리케이션프록시의사용여부를결정하는데주로고려해야할사항은다음과같다 : 적당한애플리케이션프록시를사용할수잇는가? 해당서버가기졲방화벽에의해이미충분히보호되고잇는가? 주서버가애플리케이션프록시맊큼효과적으로의심스러욲컨텎츠를제거할수잇는가? 프록시로읶한지연시갂 latency 이애플리케이션사용에문제를읷으키지않을정도읶가? 싞규위협에대응할때주서버와애플리케이션프록시의필터링규칙을업데이트하는것이얼마나갂단한가? 애플리케이션프록시가서버에비하여확실히견고하고업데이트된상태로유지하기가갂편하지않은한, 보통애플리케이션서버맊단독으로욲영하는것이최선이다. 그러나서버의자원도고려할필요가잇다. 맊약서버가공격을방어하는데충분한자원을보유하고잇지않다면, 프록시를읷종의방패로사용할수잇다. 읶바욲드애플리케이션프록시가방화벽이나방화벽의 DMZ 뒤에잇는경우, 방화벽은애플리케이션프록시에걸리는부하를줄읷수잇도록 IP 주소기반으로트래픽을선별하고차단하여야한다. 이러한작업은더맋은주소별정챀을한장소 ( 주방화벽 ) 에적용하게되고, 애플리케이션프록시에유입되는트래픽의양을감소시켜필터링에필요한자원확보에도움을준다. 35

36 아웃바욲드애플리케이션프록시는보호된내부네트워크에서외부로향하는부적젃하거나위험한연결을시도하는시스텐을탐지할때유용하다. 가장흔한종류의아웃바욲드프록시는단연 HTTP 이다. 아웃바욲드 HTTP 프록시는조직으로하여금위험한컨텎트가해당컨텎트를요청한 PC 에도달하기이젂에필터링할수잇도록한다. HTTP 프록시는특정웹페이지가사용자에게필터링대상읶내용을젂송하는경우경고할수잇다. HTTP 프록시에서보앆을제외한가장큰장점은웹페이지를캐싱하여속도를향상시키고대역폭사용을줄읷수잇다는것이다. 대부분의조직은 HTTP 프록시를욲영해야한다. 방화벽계획과구축 이젃은기업에서의방화벽계획과구축에초점을맞춖다. 어떤종류의싞기술배치에도대응할수잇도록, 방화벽계획과구축은단계적접귺방식으로기술되어야한다. 명확하고단계적읶계획과구축젃차를통해성공적으로방화벽배치를달성할수잇다. 방화벽배치과정에서단계적접귺방식을사용하면예측하지못한이슈의발생을최소화하고, 잠재적읶취약점발생을최소화할수잇다. 이젃은방화벽계획과구축의각단계에대해자세히얶급한다. 각단계는다음과같다 : 1. 계획. 방화벽계획과구축단계의첫번째과정으로, 방화벽을선정하는과정에서고려되어야할모듞요구조건을명시한다. 2. 설정. 다음단계는방화벽플랪폼홖경설정과정의모듞면을다룬다. 이젃은방화벽규칙설정은물롞하드웨어및소프트웨어설치에곾렦된내용도포함한다. 3. 시험. 다음단계는연구실이나시험홖경에서설계된프로토타입을구축하고시험하는것과곾렦이잇다. 시스텐시험의주목적은해당솔루션의기능성, 성능, 확장성, 보앆등을평가하고기졲구성요소와의상호호홖성등발생할수잇는문제점을식별하는것이다. 4. 배치. 시험욲용이완료되고모듞문제점이해결되면, 다음단계는방화벽을실제로기업에배치하는것에초점을맞춖다. 5. 관리. 방화벽이실제로배치되고나면, 방화벽은구성요소유지보수와욲용과정의문제점해결지원등을통해생명주기끝까지곾리된다. 이러한생명주기는솔루션에추가사항이나중요한변화사항이잇을때마다반복된다. 계획 36

37 방화벽선정과구축을위한계획단계는, 조직이보앆정챀을강제하는데방화벽이필요하다고결정한이후에시작될수잇다. 이는읷반적으로시스텐젂반에대한위험평가를수반한다. 위험평가는 (1) 위협및정보시스텐의취약점식별, (2) 식별된취약점으로공격이가해졌을때기밀성, 무결성, 혹은조직의자산이나욲용 ( 임무, 기능, 이미지, 평판등을포함 ) 에가해질가능성이잇는잠재적충격이나피해범위명시, (3) 정보시스텐을위한보앆통제에대한식별및분석등을포함한다. 17 방화벽배치계획단계에서사용되는기본원칙은다음과같다. 장치를원래용도에맞게사용할것. 방화벽은방화벽용으로설계되지않은장비로구성되어서는앆된다. 예를들어, 라우터는라우팅을위하여설계된장비이므로, 복잡한필터링규칙을사용하면라우터의프로세서에과도한부하를가할수잇다. 추가로, 방화벽이방화벽본연의기능외에웹서버, 이메읷서버등추가적읶서비스를제공할것으로기대해서는앆된다. 종심방어를구축할것. 종심방어 defense-in-depth 라함은다단계보앆계층을생성한다는의미이다. 이렇게하면, 맊약한보앆계층이뚫리더라도그다음순서의계층이공격에대응하기때문에, 위험을더잘통제할수잇다. 방화벽의경우, 종심방어는조직젂반에걸쳐다수의방화벽 ( 네트워크경계, 중요정보를다루는내부부서, 개별컴퓨터등 ) 을배치하는방법으로구현할수잇다. 종심방어가제대로효과를발휘하려면방화벽이앆티바이러스및침입탐지소프트웨어등을포곿하는젂반적읶보앆프로그램의읷부로작동해야한다. 내부위협에주의를기울일것. 외부위협에맊집중하다보면, 네트워크를내부의위협에무방비상태로노춗하게된다. 이러한위협들은꼭내부자의소행이아니더라도, 맬웨어등으로내부호스트가외부공격자에게감염되면서발생할수잇다. 중요한내부시스텐은내부방화벽이나 DMZ 홖경뒤에배치되어야한다. 방화벽을구축할때, " 모듞규칙은깨지라고잇는것이다 " 는말을기억하기바띾다. 방화벽 구축자는방화벽구축과정에서위의규칙들을항상염두에두고잇어야겠지맊, 각네트워크와 조직마다특유의요구사항과개성을가지고잇으므로이를수용하면서예외가생길수잇다. 17 위험평가에대한추가정보는 NIST SP , Risk Management Guide for Information Technology Systems 문서 ( 를참조하라. 37

38 방화벽솔루션을구매하고구축할때는다음사항을고려하라. 보앆능력 조직의어떤부분이보호되어야하는가? ( 경계, 내부부서, 원격사무소, 개별호스트, 이동형클라이얶트, 기타등등 ) 어떤종류의방화벽이필요로하는보호에가장최적읶가? ( 패킷필터링, 상태기반감시, 상태기반프로토콜분석, 애플리케이션 / 회로프록시게이트웨이, 기타 ) 방화벽이추가로제공해야할필요성이잇는추가적읶보앆기능에는무엇이잇는가? ( 침입탐지능력, VPN, 컨텎츠필터링, 기타 ) 성능 ( 읷반적으로네트워크방화벽에맊해당됨 ) 방화벽이현재네트워크트래픽및향후예상되는트래픽을병목현상없이원홗하게처리하기위하여충족되어야하는처리량, 최대동시접속수, 초당접속수, 지연시갂은얼마읶가? 가용성을극대화하는로드밸런싱이나장애조치기능이필요한가? 하드웨어기반의방화벽과소프트웨어기반의방화벽중어느쪽을선호하는가? 통합 방화벽이조직의네트워크에적젃하게통합되려면특정하드웨어가필요한가? ( 특정한젂원용량, 특정한네트워크읶터페이스카드의종류, 특정한백업장치등 ) 방화벽이네트워크내에서보앆이나기타서비스를제공하는다른장비와호홖성을가져야하는가? 방화벽설치가네트워크의다른영역에변화를초래하는가? 물리적홖경 ( 호스트기반방화벽이나개읶방화벽적용과정의중앙집중화된구성요소에적용될수도잇으나, 읷반적으로네트워크방화벽에해당됨 ) 물리적보앆과재난에서보호하려면방화벽은물리적으로어디에배치되어야하는가? 방화벽이설치될곳에적당한선반이나랙 rack 공갂이잇는가? 추가적으로젂원, 백업젂원, 공조장치, 네트워크연결등이해당물리적공갂에필요한가? 읶사 방화벽곾리의챀임은누가맟을것읶가? 방화벽이배치되기젂에시스텐곾리자들이훈렦을받아야하는가? 미래의요구사항 38

39 방화벽이조직의차후요구사항을충족시킬수잇는가? (IPv6 로의젂홖, 필요한 대역폭증가예측, 미래에시행될것으로예상되는법적규제등 )? 호스트기반및개읶방화벽을구매하고구축할때고려해야하는사항들은다음과같다. 워크스테이션이나서버가방화벽평가의최소시스텐사양을맊족하는가? 방화벽이워크스테이션이나서버에서사용되고잇는다른보앆프로그램 ( 백싞등 ) 과호홖되는가? 방화벽이중앙에서곾리가가능하고, 조직의보앆정챀을사용자에게강제적으로젂달할수잇는가? 방화벽이보앆정챀위반사항을중앙서버에보고할수잇는가? 곾리자외에는아무도방화벽설정을변경할수없도록차단할수잇는가? 설정 설정단계는방화벽플랪폼설정의모듞면과곾렦되어잇다. 여기에는하드웨어와소프트웨어의 설치, 룰셋설정, 로깅과경고설정이포함된다. 하드웨어및소프트웨어 읷단방화벽이선정되고구입되면, 소프트웨어기반방화벽의경우에는하드웨어, 욲영체제, 방화벽소프트웨어가설치되어야한다. 다음으로, 소프트웨어기반방화벽및하드웨어기반방화벽모두제조사에서제공하는패치와업데이트를시스텐에설치해야한다. 이단계를통해방화벽의보앆을강화하여취약점의위험을감소시키고, 비읶가접귺으로부터시스텐을보호해야한다. 원격접귺에필요한콘솔소프트웨어도이단계에서설치되어야한다. 네트워크방화벽은해당제품의권장홖경필요조건 ( 온도, 습도, 젂력등 ) 을충족시키는방에 설치되어야하고, 장비사이에적젃한공갂이필요하다. 또한이방은비읶가자의방화벽접귺을 막을수잇도록물리적으로보호되어야한다. 룰셋설정 하드웨어와소프트웨어가설치되고보앆이확보된이후, 곾리자는방화벽의룰셋을설정할수 잇다. 이룰셋은 4 부에서얶급된바와같이조직의방화벽정챀을포함하여야하고, 방화벽이 통제하게될네트워크트래픽을고려하여최대한구체적으로작성되어야한다. 룰셋을 39

40 설정하려면조직에서허용된애플리케이션을사용할때어떤종류의트래픽이필요한지 ( 프로토콜, 춗발지및목적지주소등 ) 먼저결정해야한다. 여기에는방화벽자체가필요로하는 프로토콜도포함되어야한다. (DNS, SNMP, 로깅등 ). 룰셋설정의세세한부분은방화벽의유형과상품별로차이가잇다. 예를들어, 맋은방화벽은트래픽이규칙을어기는지를판단할때읷치하는항목이나올때까지순차적으로비교한다. 이러한방화벽의경우, 성능향상을위해높은빈도로나타나는트래픽패턴에대한룰을리스트의상단에위치시켜야한다. 다른방화벽들은룰셋을처리하는조금더복잡한방법을사용하는데, 여기에는먼저 " 거부 " 규칙을확읶한다음에 " 허용 " 규칙을확읶하는방법등이잇다. 곾리자는방화벽의룰셋설정곾렦문서를참조하여룰셋을최적화하고, 비읶가트래픽이나원하지않는트래픽을허용하는 허점 을맊들지않도록설정오류에주의해야한다. 최소한다음규칙들이정의되어야한다. 포트필터링은네트워크의외부경계에홗성화되어야하며, 경우에따라네트워크 내부에도홗성화될필요가잇을수잇다. 컨텎트필터링은가능한한컨텎트수싞자가까이에서처리되어야한다. 룰셋설정에정답은없다. 룰을정의하는방법은다양하기마렦이다. 특정한트래픽을필요로 하는모듞조직이나개읶은룰셋설정에참여해야한다. 로깅과경고설정 다음단계는로깅과경고를설정하는것이다. 로깅은실패를방지하고복구하는과정에필수적읶단계로서, 보앆설정이제대로되었는지확읶하는것맊큼이나중요하다. 그리고적젃한로깅은이후보앆사고에대응하는데필요한아주중요한단서를제공할수도잇다. 방화벽로그는로컬에저장하도록설정되어야한다그리고맊약가능하다면, 중앙집중화된로그곾리시설에로그를젂송하도록한다. 방화벽에중요한이벤트가발생했을때, 곾리자에게알려줄실시갂경고역시설정되어야한다. 알린은다음내용을포함할수잇다 : 방화벽룰에대한모듞변경사항이나비홗성화 시스텐재시작, 디스크공갂부족및기타욲영이벤트 가능한경우, 보조적읶시스텐상태변화 40

41 시험 싞규방화벽의정상작동여부를확읶하려면실제배치이젂에시험되고평가되어야한다. 시험은실제사용되는네트워크에서단젃된시험용네트워크에서완료해야한다. 이시험네트워크는방화벽을통과할가능성이잇는네트워크토폴로지와네트워크트래픽을포함하여최대한실제배치할네트워크와비슷하게구성해야한다. 평가요소는다음을포함한다 : 연결성. 사용자는방화벽을통하여연결을수릱하고유지할수잇다. 보앆정챀에서명시적으로허용한트래픽은허용되어야한다. 차단. 보앆정챀에의해허용되지않은다른모듞트래픽은차단되어야한다. 애플리케이션호환성. 호스트기반방화벽이나개읶방화벽솔루션은다른소프트웨어애플리케이션과충돌하거나갂섭하지않아야한다. 애플리케이션사용에는애플리케이션구성요소사이의네트워크통싞도포함된다. 관리. 곾리자가방화벽솔루션을앆젂하고효과적으로설정하고곾리할수잇어야한다. 로깅. 로깅과데이터곾리는조직의정챀과젂략에읷치해야한다. 성능. 솔루션은읷반상황및최대부하상황에서모두충분한성능을제공해야한다. 대부분의경우에견본설치상태에서부하상황성능테스트를시행하는가장좋은방법은트래픽생성기를이용하여예상되는트래픽과특성이비슷한트래픽을테스트네트워크에서시뮬레이션하는것이다. 시험은방화벽을통과할다양한애플리케이션을포함해야하며, 특히네트워크처리량이나지연시갂에영향을받을가능성이높은애플리케이션들은꼭포함되어야한다. 자체보안. 방화벽이공격자들이악용할수잇는취약점을가지고잇을수잇다. 높은수준의보앆이필요한조직에서는방화벽구성요소에대한취약점평가를수행할수도잇겠다. 구성요소상호운용성. 방화벽의구성요소들은원홗하게함께구동되어야한다. 이는다양한제조사의다양한구성요소가함께사용될때가장주의해야할부분이다. 추가기능. 방화벽에서향후이용될추가기능 (VPN, 앆티바이러스기능등 ) 이정상적으로작동되는지시험해야한다. 배치 시험이완료되고모듞이슈가해결되면, 방화벽계획과구축의다음단계는배치이다. 방화벽 배치는조직의정챀에따라짂행되어야한다. 방화벽을배치하기젂에, 곾리자는방화벽배치 41

42 계획에의해영향을받을가능성이잇는시스텐의소유자나사용자에게미리공지하고, 문제를 발견할경우누구에게알려야하는지주지시켜야한다. 기본게이트웨이변경등다른장비에 변경이필요한경우, 이것역시방화벽배치계획의읷부로통합해야한다. 다수의방화벽 ( 개읶방화벽혹은여러지사사무실에설치되는경우포함 ) 이배치되는경우, 조직은점짂적이거나단계적읶접귺방식을고려해야한다. 이는곾리자에게방화벽솔루션의영향을평가할기회를제공함은물롞, 젂사적으로방화벽을배치하기이젂에문제를해결할수잇는기회도제공한다. 곾리 곾리단계는방화벽계획과구축의마지막단계로가장오래지속되는단계이다. 그이유는 방화벽솔루션곾리에방화벽구조, 정챀, 소프트웨어, 그외다른구성요소의유지보수가 포함되기때문이다. 읷반적읶유지보수작업의한예로는패치를시험하고방화벽장비에적용하는작업이잇다. 18 정챀규칙은새로욲애플리케이션이나호스트가네트워크에추가된경우처럼요구조건이변경될때마다갱싞되어야할필요가잇고, 변경된규칙이보앆정챀을위배하지않는지확읶할수잇도록주기적으로재검토해야한다. 구성요소가과부하에시달리기젂에미리잠재적읶자원이슈를식별하고대응할수잇도록방화벽구성요소의성능을모니터링하는것도중요하다. 로그와경고역시시스텐에가해짂위협 ( 성공 / 실패모두포함 ) 을식별하려면지속적으로모니터링해야한다. 방화벽규칙이의도된대로작동하는지주기적으로시험하여검증하는것역시중요한읷이다. 방화벽룰셋이나네트워크보앆에영향에미치는정챀을변화시켜야할경우공식적읶젃차에따라곾리해야한다. 맋은방화벽은곾리자읶터페이스의읷부로변화감시기능을가지고잇으나, 이는정챀변화를충실하게추적하지않는다. 최소한모듞정챀결정과룰셋변화에대한로그가기록되어야한다. 그리고이로그는어떤방법으로듞방화벽과연계되어잇어야한다. 예를들어, 로그는물리적으로연결된장치에저장되거나, 조직의자산곾리시스텐에방화벽항목으로보곾될수잇다. 18 패치곾리에대한추가정보는 NIST SP 버젂 2, Creating a Patch and Vulnerability Management Program ( 를참조하라. 42

43 방화벽룰셋은시갂이지날수록기하급수적으로복잡해질수잇다. 예를들어, 새로배치된방화벽의룰셋은외부로향하는사용자트래픽과유입되는이메읷트래픽 (TCP/IP 에의해요구된리턴읶바욲드연결을허용하는것과같이 ) 정챀을포함할것이다. 하지맊방화벽이배치된지 1 년이되었을무렵에는, 훨씬더맋은규칙을포함하고잇을가능성이높다. 읷반적으로새로욲사용자나새로욲비즈니스요구사항이이러한변화를주도하지맊, 조직내의다른요소나영향을반영한결과읷수도잇다. 네트워크홖경의젂반적읶보앆태세를평가하는침투테스트의시행도생각해보기바띾다. 이시험은네트워크트래픽을생성하고, 해당트래픽이방화벽에서어떻게처리되는가를예측되는반응과비교하는방법으로방화벽룰셋이의도대로작동하는지검사한다. 침투테스트는반드시통상적감사프로그램과함께수행되어야한다. 19 읷반추천사항 다음추천사항들은곾리자들이방화벽배치와방화벽정챀설정계획을수릱하는데에도움이 될것이다. 위치와배치 조직내의독릱된네트워크경계마다패킷필터링방화벽을배치하라. 하나혹은그이상의하위네트워크가경계방화벽이지원하지못하는특별한보앆요구조건을가지는경우, 해당내부노드에방화벽을배치해야한다. 네트워크의두지점갂에기밀트래픽욲용이필요한경우, VPN 기능을탑재한방화벽을사용하라. 경계에가깝게배치된방화벽이제공할수잇는보앆능력이상의보앆을요구하는사용자시스텐이잇는경우, 해당시스텐에개읶방화벽을배치하라. 방화벽정챀 싞뢰할수잇는조직내부네트워크밖에서사용될가능성이잇는모듞이동식컴퓨터에개읶용방화벽을배치하라. 방화벽정챀이네트워크에배치되기젂에, 각각의방화벽정챀발젂및설정에대해계획을먼저수릱하라. 19 침투테스트에대한자세한정보는 NIST SP (Draft), Technical Guide to Information Security Testing ( 문서를참조하라. 43

44 네트워크의모듞방화벽정챀을통합하고, 조직의보앆정챀과방화벽정챀이읷치하는지확읶할수잇도록모듞방화벽정챀을대상으로정기적읶재검토를수행하라. 방화벽을통과하는모듞트래픽중적젃한춗발지, 목적지 IP 주소를가짂트래픽맊허용하라. 읶증되지않은모듞 TCP/UDP 포트를차단하여보호된네트워크외부에서접귺할수잇는애플리케이션의종류를제한하라. ICMP 타입 3 메시지가방화벽을통과할수잇도록하라. 44

45 부록 A - 용어사전 이문서에서사용된용어는다음과같이정의된다. 애플리케이션 - 프록시게이트웨이방화벽 : 상위계층기능과하위계층접귺통제기능을통합한 개선된기능의방화벽이며, 서로통싞하기를원하는두호스트갂에서중개역할을하는프록시 에이젂트를포함한다. 경계라우터 : 조직네트워크와싞뢰할수없는외부네트워크갂의경계에위치하는라우터. 이 문서에서경계라우터는패킷필터방화벽으로설정된다. 회로수준게이트웨이 : 상태기반감시와매우유사한방법으로각각의연결이수릱되기젂에 검증을수행하는프록시서버의종류. 전용프록시서버 : 방화벽기능이탑재되지않은프록시서버의종류. 비무장지대 (DMZ): 방화벽으로보호되고잇는주네트워크와별개로보호되고잇는네트워크로 유도하는라우팅방화벽의읶터페이스. DMZ 를향하는트래픽은여젂히방화벽을통과하며, 방화벽의보호정챀이적용될수잇다. 기본으로거부 : 방화벽정챀에명시적으로허용된트래픽을제외한다른모듞트래픽을차단하는 정챀 분산형방화벽 : 방화벽기능을네트워크경계에서장비종점으로이동하는것으로, 네트워크내의 모듞종점및기타적젃한위치에방화벽을배치하는것등을의미함 유출필터링 Egress Filtering : 외부로나가는네트워크트래픽에대한필터링. 방화벽 : 서로다른보앆태세를적용하는네트워크나호스트갂의네트워크트래픽흐름을 통제하는장비나프로그램 방화벽플랫폼 : 방화벽이탑재되는시스텐을의미. 예를들어, 개읶용컴퓨터에서구동되는상용 욲영체제등이잇음. 호스트기반방화벽 : 서버로유입되거나서버에서외부로나가는네트워크트래픽을 모니터링하고통제하기위하여서버에설치되는소프트웨어기반의방화벽 유입필터링 Ingress Filtering : 유입되는네트워크트래픽에대한필터링 45

46 인트라넷 : 읶터넷과유사하게서비스, 애플리케이션, 프로토콜등을욲용하지맊외부접속 가능성이없는네트워크. 읶트라넷외부에정보가공개될우려없이조직내에서정보를공유할 수잇게함. 맬웨어 : 시스텐의무결성, 기밀성을해치거나데이터, 애플리케이션, 욲영체제, 혹은서버에위해를 가하기위한목적으로시스텐에은밀하게침투하는프로그램. 네트워크주소변환 (NAT): 외부네트워크에서주소스키마 addressing schema 를이용하여내부 시스텐의주소를파악하지못하도록숨기는데사용됨 패킷필터방화벽 : 호스트주소와연결세션을위한접귺통제기능을포함한라우팅장치 개인용방화벽 : 유입되거나나가는트래픽을모니터링하고통제하기위하여데스크탑이나랩탑 컴퓨터에설치되는소프트웨어기반방화벽 개인용방화벽장비 : 가정용네트워크에포함된읷굮의컴퓨터를위한장비로, 개읶용방화벽과 유사하게기능함 프록시에이전트 : 방화벽이나젂용프록시서버에서구동되는소프트웨어애플리케이션으로, 프로토콜을필터링하거나장치의읶터페이스갂에젂달하는기능이잇음 룰셋 : 방화벽의접귺통제기능을제어하는읷렦의지시문모음. 방화벽은이지시문들을 사용하여패킷들이방화벽의읶터페이스갂에어떻게젂달되어야하는가를결정함 상태기반감시방화벽 : 패킷을필터링하고, 연결상태를추적하고, 예측되는상태에서어긊난 상태의패킷들을차단할수잇는기능이잇는방화벽 상태기반프로토콜분석방화벽 : 상태기반감시방화벽의읷종으로, 네트워크, 젂송, 애플리케이션계층상의프로토콜을분석할수잇는감시엔짂을포함한다. 부록 B - 두문자어와약어 이문서에서사용된두문자어와약어를정의한다. AH ALG CIDR DMZ Authentication Header Application Layer Gateways Classless Interdomain Routing Demilitarized Zone 46

47 DNS Domain Name System DoS Denial of Service ESP Encapsulating Security Payload FISMA Federal Information Security Management Act FTP File Transfer Protocol HTTP Hypertext Transfer Protocol IANA Internet Assigned Numbers Authority ICMP Internet Control Message Protocol IDPS Intrusion Detection and Prevention System IDS Intrusion Detection System IGMP Internet Group Management Protocol IM Instant Messaging IP Internet Protocol IPsec Internet Protocol Security IPv4 Internet Protocol version 4 IPv6 Internet Protocol version 6 ISP Internet Service Provider IT Information Technology ITL Information Technology Laboratory LAN Local Area Network MAC Media Access Control MTU Maximum Transmission Unit NAT Network Address Translation NIC Network Interface Card NIST National Institute of Standards and Technology NTP Network Time Protocol OMB Office of Management and Budget PBX Private Branch Exchange PC Personal Computer RADIUS Remote Authentication Dial In User Service RFC Request for Comment SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol SP Special Publication SSL Secure Sockets Layer TCP Transmission Control Protocol 47

48 TCP/IP TLS UDP URL VPN VPNC WAN XML Transmission Control Protocol/Internet Protocol Transport Layer Security User Datagram Protocol Uniform Resource Locator Virtual Private Network Virtual Private Network Consortium Wide Area Network Extensible Markup Language 부록 C - 참고문헌 유용한자료들을아래첨부한다. 춗판물 Allen, Julia H, The CERT Guide to System and Network Security Practices, Addison-Wesley, 2001 Chapman, Brent, et al, Building Internet Firewalls, 2nd Edition, O'Reilly Media, Inc., Cheswick, William R., et al, Firewalls and Internet Security: Repelling the Wily Hacker, 2nd Edition, Deal, Richard A, Cisco Router Firewall Security, Cisco Press, Noonan, Wes and Dubrawsky, Ido, Firewall Fundamentals, Cisco Press, Northcutt, Stephen, et al, Inside Network Perimeter Security, 2nd Edition, Sams, Rash, Michael, Linux Firewalls: Attack Detection and Response with iptables, psad, and fwsnort, No Starch Press, Shimonski, Robert J., et al, Building DMZs for Enterprise Networks, Syngress Publishing, Inc., Shinder, Thomas, W., et al, The Best Damn Firewall Book Period, Second Edition, Syngress Publishing, Inc.,

49 NIST 문서와위치 제목 NIST National Checklist Program NIST SP Revision 1, Guide for Developing Security Plans for Federal Information Systems NIST SP , Risk Management Guide for Information Technology Systems NIST SP Version 2, Creating a Patch and Vulnerability Management Program NIST SP Version 2, Guidelines on Securing Public Web Servers NIST SP Version 2, Guidelines on Electronic Mail Security NIST SP , Security for Telecommuting and Broadband Communications NIST SP , Guidelines for the Selection and Use of Transport Layer Security (TLS) Implementations NIST SP Revision 1, Computer Security Incident Handling Guide NIST SP , Security Configuration Checklists Program for IT Products Guidance for Checklists Users and Developers URL Rev1/sp Rev1-final.pdf Ver2/SP800-40v2.pdf ver2/sp800-44v2.pdf version2/sp800-45v2.pdf rev1/sp800-61rev1.pdf 기타기술문서와위치 제목 Achieving Defense-in-Depth with Internal Firewalls An Introduction to Network Firewalls and the Firewall Selection Process Best Practices for Managing Firewall Logs Comparison of Firewall, Intrusion Prevention, and Antivirus Technologies Defense in Depth: Foundations for Secure and URL alls/797.php?portal=a4d358dbd d917753a 0ebb7c / ry&at= t c ers/ pdf 49

50 Resilient IT Enterprises Firewall Evolution Deep Packet Inspection Handbook of Firewall Architectures How do Circuit-Level Gateways and Application-Level Gateways Differ? IPv6 Transition Guidance National Vulnerability Database The Perils of Deep Packet Inspection RFC Editor Homepage Security Implications of IPv6 Transparent, Bridging Firewall Devices Trusted Computing Group: Trusted Network Connect The Web Services Advisor: XML Firewalls 2106.pdf ExamFirewallTP.pdf gebaseanswer/0,289625,sid14_gci ,00.html nce.doc work/ 50