신제품 NXG 시리즈제품소개 2003 년 06 월 18 일 시큐아이닷컴 NXG 개발 PM 나원택 (wtna@secui.com)
목차. 개요. Architecture. 성능. High Availability. Firewall. IPS. VPN. 주요기능. 부가기능. 참고자료
NXG 4000 - 개요 개발배경 - 인터넷트래픽의기하급수적증가에따른고성능보안장비의요구 작은패킷의증가, 세션수의증가 WORM, DDoS 공격위협 - 다양한보안요구 VPN, IDS, IPS, Contents Filtering, URL 통제, SSL 스위치, Virus Scan 각종서버보안및 Client 보안 Tool - 네트워크구성, 관리및통제의간소화요구 투자비및관리비용의증대 DMZ Resources URL 차단 Contents Filtering User Resources IDS XML Filters IPS FW SSL Decrypt VPN Perimeter Virus Scan Server Resources Content Core
NXG 4000 - 개요 목표 - Wire Speed 보안장비 64byte 패킷으로 1Gbps Throughput 달성 - 방화벽 /VPN 토대위의다목적보안장비 Open Security Platform : Crossbeam X40 다양한보안 Solution(IDS, Virus Scanner, SSL Switch 등 ) 을독립된형태로탑재 Simple한네트워크구조 Untrusted Network Switch Switch Load Balance Load Balance IDS, Virus, Managemen t Network F W F W F W F W F W F W VPN Firewall Trusted Network Load Balance Load Balance Switch Switch
NXG 4000 - 개요 기대효과 - All in One Solution 하나의장비로다양한보안목적을달성 단순한구성의극대화 여러보안 Application( 최대 10가지 ) 들이동시에수행 - 관리비용및투자비절감 합리적이고단순한운영 새로운보안 Solution 도입의용이성 편리한각 Solution에대한 Upgrade - 대폭적으로향상된성능 기존평균적 Gigabit 급보안장비대비최대 10배성능향상 각Solution의병렬처리로전체Latency Delay의절감 - 확장성의확보 - 안정성 자체 Redundancy ( Single Box High Availability ) 이중화구성 Firewall IDS VPN IPS SPAM mail filter Virus Scanner SSL Switch URL Filter Content Filter Dramatically Simplifies and Strengthens Your Network
NXG 4000 Architecture Network Processing Modules (NPMs) 최대 2 개모듈 고성능 NPU 탑재 Gigabit 2 Port 또는 1x1GE + 8x10/100E Backplane Dual non-blocking 구조최대 44.8 Gbps 처리 데이터 : 1.6 Gbps 관리용 : 100 Mbps Control Processing Modules (CPMs) 최대 2 개모듈 Pentium III 하드디스크탑재 10/100/1G 로그포트 10/100 관리포트 10/100 HA 포트 Modem/Console 포트 Application Processing Modules (APMs) 최대 10 개모듈 Pentium III Hardened OS 보안 Solution 탑재
NXG 4000 Architecture 10 APMs 2 NPMs 2 CPMs 각모듈연결구성도 데이터 Path 과 Control Path 로구분 데이터경로 2 개경로 Switch (NPM 당하나 ) Path 당 25 Gbps 용량각 APM 당두개의 1.6 Gbps link 가생성 Control 경로 2 개경로 Switch (CPM 당하나 ) 관리경로의 Redundancy Path 당 1.6 Gbps 용량각 APM 당 100 Mbps link 생성
NXG 4000 Architecture irewall/vpn/ips Architecture Control Intrusion Detection Log Report Graphic User Interface Command Line Interface User Authentication CPM Processes Proxy URL Filter IKE Hacking Defense NPM Dynamic Rule Kernel NAT IPsec Control Path APM Classification IPS Logging Incoming Data Outgoing Data
NXG 4000 Architecture HA Architecture VRRP/HSRP Active-Active Active-Standby Interface redundancy Control redundancy Box1 Box2 1 2 3 4 5 6 7 8 9 1011 12 1314 1 2 3 4 5 6 7 8 9 10 111213 14 Single Box HA with State Sync Dual Box HA with State Sync VRRP/HSRP
NXG 4000 Architecture 기타 Architecture 특징 수천개의 VLAN 지원 16 개의분리된별도의 DMZ port 지원 4 개의 Giga 포트또는 16 개의 10/100 포트또는이들의조합 저전력 : 최대 600W 사용 데이터경로와 Management 경로가별도로구성 : 데이터경로상의각종위협으로부터 Management 경로의안전을보장 SSH/GUI(JAVA)/HTTPS 를이용한시스템관리 이중화구성시세션동기화지원 10/100 Mbps HA 포트및 Control 포트, 1Gbps1 로깅포트별도지원
NXG 4000 성능 최대처리성능 : 4 Gbps ( 2 NPU ) 최대패킷처리성능 : 최대초당 250만패킷 ( APM 10개, 세션비동기화모드 ) 최대동시처리세션수 세션동기화모드 : 500,000 세션 세션비동기화모드 : 5,000,000 세션 (APM 10개 ) 4Gbps 성능비교 ( secuiwall-x40 APM 6 장장착시 ) APM 개수에따른초당패킷처리성능 4000 secuiwall- X40 Throughput(Mbps) 3500 3000 2500 2000 1500 secuiwall- 2000 NetScreen 1000 PIX535 Nokia Throughput (/sec) 1600000 1400000 1200000 1000000 800000 600000 1000 400000 500 200000 0 0 64 128 256 512 1024 1518 Size(Byte) 1 2 3 4 5 6 APM 개수
NXG 4000 High Availability Single Box HA 3-Bay Power Supply CPM (A) CPM (S) 관리자 Active-Standby NPMs/CPMs 선택적으로 NPM과 CPM 이중화가가능 이중화된 NPM과 CPM은 Active-Standby로구성 Active 상태의 NPM 또는 CPM Fail시 Standby 상태의모듈이즉시대체 복수 Active-Active APM 평소각 APM이부하분산을수행 특정 APM 장애시, 즉각적인세션재분산이이루어짐 세션동기화모드 : 세션단절이없음 세션비동기화모드 : Fail 된 APM 상의세션들은단절됨 Active-Standby 형태의 APM 구성도가능 Active NPM Standby NPM Standby NPM CPM (A) CPM (S) 관리자
NXG 4000 High Availability Dual Box Active-Active HA Session Synchronization 고유의독창적기술로국내외특허출원 Distributed Stateful Inspection Kernel Level에서신속히이루어지는 Session 정보의동기화 여러장비에분산되는패킷으로 Session을유지관리 Session Synchronization( 장애발생시, Session 지속보장 ) 다양한이중화네트워크구성가능 Router Mode HA : 특정인터페이스장애발생시, 해당인터페이스의가상 IP주소를정상동작중인인터페이스가사용 Bridge Mode HA 고가의 L4 Switch 없이부하분산과 HA를동시에달성 서버 Active-Standby 구성 -2 대를설치해 1 대만운영 - 변환시에세션을단절 동작 대기 기존 HA 문제점 동기화 유저 L4 Switch 를이용한로드밸런싱 - 고가의 L4 Switch 구입에부담 -4 대의장비를개별관리가곤란 L4 단독동작 L4 단독동작
NXG 4000 High Availability VPN Active-Active HA 자체 VPN 부하분산기능 L4 스위치또는 VPN 전문부하분산장비 자체 VPN 부하분산기능 가불필요 1 대의 Remote VPN Gateway가 2 대의중 101.1.1.1 동기화 앙 VPN Gateway로의가상 Tunnel 생성 (Remote VPN Gateway가 secuivpn Series인경우 ) 유저 secuivpn 인터넷 101.1.1.2 서버 VPN 세션동기화발생 L4 VPN 부하분산기능 가상 IP 주소로복수 VPN Gateway에동시 L4 VPN 부하분산기법 유입된각 VPN 패킷들을부하분산하여처 리 Remote VPN Gateway 타사제품가능 IPSec 표준을지켜야함 유저 IPSec 인터넷 L4 L4 서버 Active-Standby HA 지원 VRRP, Lease-Line-Backup 지원
NXG 4000 FIREWALL secuiwall 고유의독창적인 Classification 알고리즘 - KT 마크획득 - 국내및미국특허출원 ( 국내출원번호 : 10-2001-0020524) - 정책의수와동시접속세션수에무관한성능 - 고속의정책판별수행 Kernel Level에서의 Stateful Inspection Traffic 처리 각 APM에서고속의분산처리
NXG 4000 FIREWALL Stateful Inspection Stateful Inspection을사 Stateful Inspection을사용하지않는경우용하지않는경우 Stateful Inspection을 Stateful Inspection을이용한 FTP 처리이용한 FTP 처리 Application 특성에따라선행트래픽을기초로예측된트래픽에대한동적제어 Dynamic Port를이용하는 Application에대한 Secure Channel 제공 SUN RPC, H.323, SQL*NET, TFTP * Port 1521 등을사용하지않는 SQL*NET 처리 FTP(Passive/Active), Dialpad, WOWcall * Port 21을사용하지않는 FTP 처리 Traceroute, PING Real-Player Windows Media Player MSN 파일주고받기및음성채팅지원 X 10.0.0.1 Port:5468 210.118.82.200 Port:80 Stateful Inspection을이용한 Stateful Inspection을이용한 Return 처리 Return 처리 10.0.0.1 Port:5468 210.118.82.200 Port:80 10.0.0.1 Port:5468 Open!! Based on the previous PORT command. PORT 10.0.0.1.10.10 210.118.82.20 Port:21 210.118.82.20 Port:20
NXG 4000 유해트래픽차단 (IPS) SCAN 시도탐지및차단기능 WORM 트래픽의전형적인패턴은다음과같음 동일한발신지 IP 주소에서초당수만개의서로다른목적지IP 주소로, 동일한서비스번호로전송 이러한패턴은전형적인 SCAN 트래픽패턴 ( 즉, 어떤서비스를 OPEN하고있는호스트를찾는행위 ) NXG Series 에서 "SCAN 공격자팀지및방어 " 기능을활성화하면다음과같이동작 단, 10개의초기발생패킷의패턴을통해감지하고, SCAN 패턴의트래픽을발생시키는발신지 IP 주소를커널상의블랙리스트에설정된차단시간과함께전달 커널상의블랙리스트는 NXG Series에패킷인입시최초로비교되는리스트로서, 해당되는패킷은방화벽에진입하지못하고설정된차단시간동안삭제 10.1.1.1:1434 11.1.2.1:1434 Pattern Analysis Infected Host 1.2.3.1:1434 9.4.3.7:1434
NXG 4000 유해트래픽차단 (IPS) WEB 취약점차단기능 가장 Popular 한웹취약점공격 UNICODE Bugs CGI-Vulnerability Code-Red, Nimda WORM 전파경로 한게임 에대한시큐브레인 IDS 설치결과 50,297건탐지결과중, 웹취약점공격이 47,949 건 취약한웹서버의운영위험 Code-Red, Nimda 및이들의 30여가지변종의전파기지로전락 웹서버변조 방화벽정책으로는차단할수가없음 취약점리스트는자동 Update Vulnerable Web Server GET /default.ida?xxxxxxxxxxxxxxx Contents Filtering Port 80 opened X But, blocked
NXG 4000 유해트래픽차단 (IPS) 세션제한기능 WORM 피해의주된특징 세션폭주에따른장애 동일발신지주소에서많은세션이생성 세션제한기능으로효과적대처가가능 NXG Series의세션제한기능 정책과무관하게전체적으로각발신자주소당정해진 Threshold 이상의신규세션은차단 또는, 유연성을위해각정책별총세션수를지정하여, 발신지주소와무관하게, Threshold 이상의신규세션들을차단 정책별로각발신지주소별 Threshold 설정역시가능 Infected Host Session Limitation XX
NXG 4000 유해트래픽차단 (IPS) Keyword Filtering 기능 Slammer WORM과같은80번이외의공격 WORM의특징String을이용하여, Contents Filtering Slammer WORM의경우 : 0x 42 B0 C9 DC 01 01 01 01 로시작 KT망에폭주했던 DNS Inverse Query에대한선택적차단역시가능 in-addr 문자열필터링 Telnet, NNTP 등에서특정명령어차단가능 NXG Series 의정책별키워드 Filtering 기능 각정책별로설정가능하여, 유연성확보및문제시되는특정트래픽이외의트래픽에대한품질보장 임의의 ASCII 단어및문자열 임의크기의 0x 로시작하는 HEXA 값 Vulnerable MS*SQL Server UDP 1434 0x42B0C9DC01010101 Keyword Filtering Port 1434 opened X But, blocked
NXG 4000 유해트래픽차단 (IPS) DDoS 방어기능 패턴분석을통한각종 DDoS 방어기능 SYN Flooding 공격탐지및차단 Ping Flooding 공격탐지및차단 UDP Flooding 공격탐지및차단 DNS 질의공격탐지및차단 잘못된 Fragmented 을이용한공격차 Target X Blacklist X X XX 단 Ping of Death 공격차단 Smurf 공격차단 Black-List 의활용 모든패킷들이방화벽진입즉시블랙리스트 Trash 와비교됨 블랙리스트에의한차단은방화벽에거의부하를주지않음 listed Blacklist Verification Dynamic Rule Classification Kernel NAT Copy or Redirection Logging 위 DDoS 방어기능에의해검출된패킷은 블랙리스트에일정시간 ( 기본값 60 초 ) 과함께 등록되어, 해당패킷들은주어진시간동안 차단
NXG 4000 유해트래픽차단 (IPS) 기타패킷필터링및 IDS 연동 의심스러운모든패킷의차단 내부망 IP 주소를가지고외부에서들어오는패킷들의차단 RFC 1918 등록된비공인 IP 주소를발신지로한패킷들의차단 존재할수없는발신지 IP 주소의패킷들을차단 255.255.255.255, 127.0.0.1 Target X Blacklist X X XX IAP LAND 공격성패킷들의차단 Source Port와 Destination Port가같은TCP IDS 패킷들의차단 ICMP Destination Unreachable 패킷차단 Source Route Option IP 패킷차단 IDS 연동 IAP(Internet Alert Protocol) 을이용 국산 5 개사 IDS 제품과연동테스트성공 블랙리스트를이용한효과적차단
NXG 4000 VPN Active-Active Dual Line VPN 구성지원 : N * M 회선에서가상 Tunnel을동시에생성하여 Multipath IPsec Load-Balancing 하는기능 Privacy Enhanced Routing Config 지원 : Default Routing이내부Private Network으로지정할경우에도정상적인 Key교환가능 DPD 표준지원 Zero- Loss SA Rekeying 지원 Perfect Forward Secrecy 지원 : DH Group 1, 2, 5 PSK(Pre-shared Key), X.509 인증지원 (PKI) X-Auth 지원 LDAP 인증, RADIUS 지원 VPN Client IP Pool 할당기능 CA server 내장 하드웨어방식의암호키저장해커의물리적인탐지에도안전한키보관 자동인증서발급메카니즘탑재 X.509 v3 Certificate 지원 Verisign, Entrust certificate호환 국내인증기관인증서지원한국전자인증, External 인증서버지원 RADIUS LDAP OCSP
NXG 4000 VPN Access VPN IPSec 국제표준준수 50,000 동시터널 Transport / Tunnel Mode 암호화알고리즘 3DES, DES, AES : 고성능 HW 암호화 Blowfish, CAST128, SEED : SW 암호화 인증 : SHA-1, MD5 Multipath IPsec 지원 IPsec 에서 단위 Load-Balancing 지원 N * M 회선을이용한회선대역폭확장가능 DPD(Dead Peer Detection) 표준기능지원 : 장비 Rebooting, SA 삭제등에즉각적인 Re-keying DLD(Dead Link Detection) 기능지원 : Multipath IPsec 구성시 path 단절을감시 Split-tunneling 지원 유저 ADSL/Cable secuivpn 인터넷 표준 IPsec Tunnel Intranet VPN 인터넷 Dual ADSL/Cable 표준 IPsec Tunnel Extranet VPN secuiwall 2000 secuiwall 2000 서버 서버 협력사 / 관계사등 인터넷 표준 IPsec Tunnel 서버 표준 IPsec VPN Gateway secuiwall 2000 서버
NXG 4000 주요기능 Enterprise Manager 인터넷 원격지에분산설치된여러대의 NXG Series를그룹화하여중앙에서집중관리 정책중앙설정및관리 관리대상방화벽에대해일괄적용 각기상이한정책에대해개별적용 정책설정시객체검색가능 객체설정시 Sorting 기능 서비스별 Timeout 기능 Telnet 또는 FTP와같이 IDLE 시간이긴세션들에대한차별적인연장가능 Java를사용하여관리자콘솔의 Platform과무관한 Remote Control SSL 암호화를통한관리데이터보호 다국어지원 ( 한국어, 영어, 일본어, 중국어 ) : HTML 형태의다국어도움말지원 CLI모드하에서의콘솔및 SSH를이용한관리기능 Central Manager GUI 접속 NXG Manager Central Managing: 정책, 설정변경, 모니터링 Network A Network B Network C
NXG 4000 주요기능 Logging Activity Log 세션단위로그 (NOT Per Log) HTTP 프락시, 메일, URL 차단 NAT, 관리자, 사용자인증, 사용자활동 IDS 연동결과, 거부된패킷 Counter Log 거부또는허용된 s/bytes/session 수 인터페이스별 수 Byte 수및 BPS HTTP, Reverse HTTP Proxy 를통한 Bytes 수 메일수. 발신건수, 메일폐기건수, URL 차단건수 CPU/Memory 평균사용율 Traffic 조절건수 특정프로세스 CPU 점유율, 디스크사용량 Log File 형식 : Binary, CSV, TSV, WELF Log 파일자동압축및 FTP 자동전송지원 실시간 Graph Monitoring 및 Off-Line Log 분석기제공 다양한검색조건에따른 Filtering 제공 각 Field 별실시간 Sorting 제공 Graph 로표시 Log 의 Network Syslogd 전송기능 : ESM 연동가능
NXG 4000 주요기능 Report 리포팅생성 주기적생성 : 일간-시간, 주간-날짜 / 시간 즉석생성 : 대상로그범위를지정 리포팅종류 : Format HTML 해킹시도탐지결과 패킷허용및차단건수 패킷차단내역 설정된서비스별 Top 10 사용자 Top 10 사용자 / 서비스 시스템문제상황 네트워크사용율 최다사용 Web Site 및사용자 최다차단 Web Site 및사용자 최다메일사용자및차단메일 부하분산내역 각 Queue별트래픽조절결과 설정된호스트들의서비스사용량 IDS 연동결과 관리자 Email로리포트자동전송
NXG 4000 주요기능 Traffic Shaping Traffic Shaping 에의해제한받는 Application 의사용률 Report 특정정책에해당하는트래픽의대역폭제한을통한한정된대역폭에대한효율적사용및회선비용절감 업무용트래픽과비업무용트래픽을구분하여우선순위에따른대역폭할당 : 비업무용트래픽의대역폭과다점유문제해결 VoIP와같이실시간성이보장되어야하는트래픽에대한안정적인대역폭확보 Traffic A Traffic Shaping 결과 Report Traffic B Traffic C Traffic Shaping Traffic A Traffic B Traffic C
NXG 4000 주요기능 NAT 내부 IP Address 정보보안및공인 IP Address 자원절약 지원 Application FTP, DialPAD, WOWCall VoIP(H.323 V4) MSN File 송수신, 음성채팅 Windows Media Player, Real Player G2 형태 Static NAT : 내부비공인 IP Address 를외부공인 IP Address 로 1:1 Mapping Dynamic NAT : 한정된공인 IP Address 를 Pool 방식으로 M:N Mapping PAT : 단일공인 IP Address 에대한 M:1 Mapping SLB(Load Share Network Address Translators) : 네트워크트래픽이특정서버에집중되지않고여러개의서버풀에분산되도록하는 " 로드공유 " 기능을기반으로, 네트워크주소를변환 Server Load Balancing NAT 인터넷 HTTP://210.118.82.10 HTTP://10.10.10.1 HTTP://10.10.10.3 1st 2nd 3rd HTTP://10.10.10.2
NXG 4000 주요기능 Network 연결 설정변경 Bridge(Transparent) Mode 구성지원으로기존네트워크설정변경없이손쉽게설치 VLAN 802.1q Trunk 지원 : 각인터페이스에대한 Sub Interface 구성 External, Internal, DMZ 각각에대해 Multiple Interface 지원 ( 총 16개 10/100 포트또는 4개 1Gbps 포트 ) Internet 기존 인터넷 Routing Mode Bridge Mode 802.1Q VLAN A VLAN B VLAN C
NXG 4000 부가기능 URL Filtering www.bananatv.co.kr URL Filtering ; 유해사이트접속차단 기업내부의보안정책에의해접속이금지된사이트리스트를 Category화 사용자정의차단목록정의기능 정보통신윤리위원회 (ICEC, Information Communication Ethics Committee) 유해사이트목록기본탑재 ( 약 30만건, 주1 회자동 Update) 사용자가 URL을이용하지않고, DNS를통해알아낸 IP Address로의접속역시차단 HTTP://www.bananatv.co.kr
NXG 4000 부가기능 Secure Proxy 메일보안 각종광고성메일차단 ([ 광 * 고 ], [ 과앙고 ],[ 광 ~~ 고 ] ) 수발신메일크기제한 메일주소 / 키워드필터링 첨부파일의바이러스유무검사, 치료 (V3, ViRobot, Norton Anti-Virus 지원 ) SPAM 메일방지 HTTP 보안 내부사용자는웹브라우져상의설정변경없이 Web 사용 Java/VB Script, Java Applet, ActiveX 차단 기업내부정보유출방지를위해 Web Posting Restriction 기능 -파일첨부금지 -Posting Size 제한 Thread 방식을이용성능향상 Reverse HTTP Proxy를통한 Contents Distribution, Contents Server Load Balancing Alarm/SNMP 시스템문제상황에대한경고설정 CPU 및 Memory 과다사용 과다한트래픽및세션발생 파일시스템포화경고 인터페이스의 Down, 비정상적인트래픽발생 과다한로그및 NAT 변환등등 SNMP지원을통한 NMS( 예 : HP OpenView) 연동기능 모든 Counter Log에대해별도의 MIB 지원 경고에대해서는지정한 SNMP서버에 Trap 발생
참고자료 HA Config.(Bridge Mode) 구성도 With secuiwalls configured as bridge Active-Active HA mode Core L3 Switch Distribution L2 Switch Access Switch 부하분산 각라우터들과 Core L3 Switchs간에상호동작중인부하분산을지원하는라우팅프로토콜 (OSPF;Open Shortest Path First, EIGRP; Enhanced Internet Gateway Routing Protocol 등 ) 에의해트래픽을분산 Bridge Mode의 secuiwall은라우팅프로토콜패킷을 Transparent하게통과 장애대응 장애발생구간은라우팅프로토콜에의해자동인식되며, 이를패킷전송경로에서자동삭제한다.
참고자료 HA Config.(Router Mode) 구성도 부하분산 With secuiwalls configured as router Active-Active HA mode Routers - Core L3 Switchs - secuiwall간에부하분산을지원하는라우팅프로토콜인 OSPF;Open Shortest Path First를설정하여트래픽분산 OSPF를이용하지않을경우, 동일 Metric Static Route 부하분산을이용 장애대응 Core L3 Switch Distribution L2 Switch Access Switch 장애발생구간은 OSPF 라우팅프로토콜에의해자동인식되며, 이를패킷전송경로에서자동삭제 Static 경로이용시에는 가상IP주소기법 을이용
Q&A 감사합니다.