'firewall'에 해당되는 글 1건
- 2008.07.08 linux - 침입차단 시스템
침입 차단시스템
- 네트워크 보안으 ㄴ외부의 악의적인 침입으ㅗ부터 내부의 컴퓨터를 보호하는것을 말한다.
가자아 안전한 네트워크 설계는 내부의 네트워크와 외부를 완전히 차단하여 내부에서 외부로 접속하지 못하도록 완전히 고립시키는 것이다. 하지만 이 방법은 도둑이 무서워서 집의문과 창문을 완전히 페쇄하고 집밖에 나가지 않는것과 마찬가지다.
하여 내부의 사용자는 외부의 인터넷을 이용하면서 외부에서는 내부로 침입할 수 없게 하는 방법이 보편적 방법이 되었다.
1. 내부와 외부를 분리 시키고 그 사이에 방화벽을 배치 시켜 s/w , h/w를 총체적으로 구현한 제품을 말한다.
2. 비인가자 , 불법 침입자 해커의 침입으로 인한 정보손실 변조 파괴등을 최소화 시켜준다.
3. 네트워크를 통해 흐르는 packet들에 대해 미리 정해놓은 보안정책에 따라 차단 허용 할 수 있다.
FIREWALL 주요 기능
1. access control
2. auth
3. integrity
4. logging / auditing
5. NAT
침입 차단 시스템의 동작 방식
1. packet filtering - 1세대
- osi 7laters mode 중 3,4계층에서 사용하는 source ip, destination ip, source port destination port 를 이용하는 방식
- app 7layer보다 속도 빠르고 app 보다 적용과 운용이 쉽다.
(단점)
- tcp / ip 프로토콜의 구조적 결함 때문에 패킷 헤더 조작이 가능
- 바이러스에 감염된 메일과 첨부 파일등의 전송 차단 불가
- 접속제어 규칙수에 따른 부하 증가
(목적)
- 패킷 제어
2. application gatewat -2세대
- 전체 패킷 검사하고 패킷으 실질적 내용에 기반하여 접근 허용/거부 결정을 내리는 방화벽
- osi 7계층까지 동작
- 각 서비스 별로 프락시 데몬이 구동되어 client/ server사이의 접속 관리
- 외부 시스템과 내부 시스템은 방화벽의 프락시를 통해서만 연결이 허용
- 수동 프락시 - Transparent
(장점)
- 응용 프로토콜의 종류에 따른 기록이 가능
- 네트워크의 성능을 향상시키고 부하가 줄어듬
- packet의 data부분까지 제어가능
- proxy사용의 보안성이 packet filtering보다 우수
(단점)
-해당 서비스의 데몬이 필요
- packet filering 보다 처리가 느림
- 상위 레벨에서 동작하기에 많은 부하 유발
- 특정 프로그램은 동작 하지 않는다(p2p, 메신저)
3. stateful Inspection -3 세대
- MAC layers와 ip 프로토콜의 스택사이에서 동작
- syn 패킷에 의해 생성된 접속 테이블의 정보를 이용하여 후속 패킷들에 대해 보안정책의 검사 없이 고속으로 패킷 처리
- 패킷 필터링과 게이트 웨이의 단점을 보완한 새로운 기술
-
4. dynamic packet filtering -4 세대
- 보안정책을 동적으로 수정가능
- 실제 접속상태를 감시하여 상태에 따라 네트워크 패킷들이 방화벽을 통과하도록 허용할 것인지 거부할 것인지를 결정
- ip주소와 port번호등과 같은 세션 정보를 기록/유지 함으로써 능동적인 보안관리가 가능 방화벽 시스템과 IDS와의 연동
5. hybrid - 5세대
- 대부분의 firewall 채택방식
- application + packet filtering 방식 혼합
- 사용자 편의성과 기업환경에 따른 유연성 있게 방화벽을 구성할 수 있지만 관리가 복잡하다.
- 네트워크 보안으 ㄴ외부의 악의적인 침입으ㅗ부터 내부의 컴퓨터를 보호하는것을 말한다.
가자아 안전한 네트워크 설계는 내부의 네트워크와 외부를 완전히 차단하여 내부에서 외부로 접속하지 못하도록 완전히 고립시키는 것이다. 하지만 이 방법은 도둑이 무서워서 집의문과 창문을 완전히 페쇄하고 집밖에 나가지 않는것과 마찬가지다.
하여 내부의 사용자는 외부의 인터넷을 이용하면서 외부에서는 내부로 침입할 수 없게 하는 방법이 보편적 방법이 되었다.
1. 내부와 외부를 분리 시키고 그 사이에 방화벽을 배치 시켜 s/w , h/w를 총체적으로 구현한 제품을 말한다.
2. 비인가자 , 불법 침입자 해커의 침입으로 인한 정보손실 변조 파괴등을 최소화 시켜준다.
3. 네트워크를 통해 흐르는 packet들에 대해 미리 정해놓은 보안정책에 따라 차단 허용 할 수 있다.
방화벽
호스트 기반 : INPUT OUTPUT 만 사용
네트워크 기반 : FORWARD 사용
호스트 기반 : INPUT OUTPUT 만 사용
네트워크 기반 : FORWARD 사용
FIREWALL 주요 기능
1. access control
2. auth
3. integrity
4. logging / auditing
5. NAT
침입 차단 시스템의 동작 방식
1. packet filtering - 1세대
- osi 7laters mode 중 3,4계층에서 사용하는 source ip, destination ip, source port destination port 를 이용하는 방식
- app 7layer보다 속도 빠르고 app 보다 적용과 운용이 쉽다.
(단점)
- tcp / ip 프로토콜의 구조적 결함 때문에 패킷 헤더 조작이 가능
- 바이러스에 감염된 메일과 첨부 파일등의 전송 차단 불가
- 접속제어 규칙수에 따른 부하 증가
(목적)
- 패킷 제어
2. application gatewat -2세대
- 전체 패킷 검사하고 패킷으 실질적 내용에 기반하여 접근 허용/거부 결정을 내리는 방화벽
- osi 7계층까지 동작
- 각 서비스 별로 프락시 데몬이 구동되어 client/ server사이의 접속 관리
- 외부 시스템과 내부 시스템은 방화벽의 프락시를 통해서만 연결이 허용
- 수동 프락시 - Transparent
(장점)
- 응용 프로토콜의 종류에 따른 기록이 가능
- 네트워크의 성능을 향상시키고 부하가 줄어듬
- packet의 data부분까지 제어가능
- proxy사용의 보안성이 packet filtering보다 우수
(단점)
-해당 서비스의 데몬이 필요
- packet filering 보다 처리가 느림
- 상위 레벨에서 동작하기에 많은 부하 유발
- 특정 프로그램은 동작 하지 않는다(p2p, 메신저)
3. stateful Inspection -3 세대
- MAC layers와 ip 프로토콜의 스택사이에서 동작
- syn 패킷에 의해 생성된 접속 테이블의 정보를 이용하여 후속 패킷들에 대해 보안정책의 검사 없이 고속으로 패킷 처리
- 패킷 필터링과 게이트 웨이의 단점을 보완한 새로운 기술
-
4. dynamic packet filtering -4 세대
- 보안정책을 동적으로 수정가능
- 실제 접속상태를 감시하여 상태에 따라 네트워크 패킷들이 방화벽을 통과하도록 허용할 것인지 거부할 것인지를 결정
- ip주소와 port번호등과 같은 세션 정보를 기록/유지 함으로써 능동적인 보안관리가 가능 방화벽 시스템과 IDS와의 연동
5. hybrid - 5세대
- 대부분의 firewall 채택방식
- application + packet filtering 방식 혼합
- 사용자 편의성과 기업환경에 따른 유연성 있게 방화벽을 구성할 수 있지만 관리가 복잡하다.
Prev
Rss Feed