본문 바로가기
THE 쉬운 네트워크/THE 쉬운 네트워크 기초

THE 쉬운 네트워크 기초 : 방화벽 간단하게 이론 설명

by 조사부 2022. 10. 17.
반응형

안녕하세요.
조사부입니다.
그리고 죄송합니다.

논정원 보안감사와 온갖 사업 등등으로 정말 하루 종일 멘탈을 어디에 두고 사는지 모르고 살고 있습니다.

블로그를 너무 방치한 나머지 제가 좋아하는 구독자분에게 클레임이 들어왔습니다 ㅠㅠ

그래도 다행히 구독자님께서 주제를 정해주시고 올려주셨으면 좋겠다고 하셔서 오늘 한번 짬을 내서 글을 올려 봅니다.


방화벽!!!

아니 네떡쟁이 블로그에 왠 방화벽?

원래 기초과정을 포스팅하고 올리려고 했는데 구독자 요청으로... 간략하게 올리겠습니다.
(추후 포스팅이 수정이 될 수 있습니다.)

방화벽이라고 하기 전에

침입탐지시스템인 IPS가 있고
침입방지시스템인 IDS가 있습니다.

이 둘의 차이는 뭐냐고요?

패킷 패턴 베이스냐? 아니면 IP 정책 베이스냐? 이 차이입니다.

IPS가 침입탐지시스템 바로 패킷 패턴으로 탐지를 하는 장비 이고요~
IDS가 침입방지시스템인 방화벽이라고 보시면 됩니다.

방화벽도 여러 가지 방식이 있습니다.
구성 방식, 동작 방식 등등 몇 가지가 있는데요. 오늘 다 설명을 하자면 힘들고요.

크게 두 가지 부류로 나누어집니다.

1. 화이트 리스트 방식
2. 블랙리스트 방식

그럼 화이트 리스트 방식은 무엇일까요?

여러분들이 골프장, 헬스장(피트니스센터)을 가시려면?
회원권이 있어야 입장이 가능하겠죠?

이렇게 입장권 즉! 정책에 허용된 IP와 패킷을 제외하고는 모두 다 차단을 하는 방식이 바로 화이트 리스트 방식입니다.

대표적인 장비가 내부망과 외부망의 관문 역할을 하는 망연계 솔루션이라고 보시면 됩니다.
물론 방화벽 장비에서도 화이트리스트 방식으로 설정 가능합니다.
(위 정책은 맨 마지막에 설정을 하셔야 합니다.)

그러면 블랙리스트 방식은 무었을까요?

우리가 흔히 가는 대형마트가 있습니다.
누구나 출입이 가능하죠?
근대 정말 심각한 블랙 컨슈머들 있습니다.
매장에 들어오면 다른 고객들조차도 쇼핑을 못 할 정도로 진상을 부리는 사람들도 있죠.
이런 사람들 못 들어오게 관리하는 리스트가 바로 블랙리스트입니다.

즉 정책이 모두 오픈이 되어 있지만 이건 우리 시스템에 위협이 되는 IP야, 패킷이야 하면서 따로 차단을 하는 방식을 블랙리스트 방식이라고 합니다.

정보 보호학계에서 말하는 방화벽의 구성 위치에 따른 방식이 있는데요.
이건 다음 시간에 설명을 드리겠습니다.


그럼 오늘 간단하게 방화벽의 기능들을 설명을 할 건 디유!

방화벽은 크게 2가지 기능합니다.


1. 접근 제어(정책)
2. 주소전환(NAT)

1. 접근 제어는 위에 설명드린 화이트/블랙리스트 방식처럼 누구는 허용해주고 누구는 차단을 하는 정책을 이야기를 합니다.

예) 홈페이지 서버는 누구나 HTTP(80)로 접근이 가능하다.
출발지 : any 목적지 : 홈페이지 서버(192.168.1.200) 서비스 포트 : HTTP 80, Allow

2번째 예) WAS(Web application Server)는 개발자, 관리자만 접근을 한다.
출발지 : 서버 관리자(172.16.100.50), 개발자(172.16.101.50) 목적지 : 홈페이지 WAS(192.168.1.201), 서비스 포트 : 2323(SSH), Allow

위 정책 말고는 모두 차단을 한다.
출발지 : all, 목적지 : all, 서비스포트 : all, Deny

이것을 CISCO사의 Access list 방식으로 표현을 해보겠습니다.

IP Access-list Exten HTTP_ACCESS
permit tcp any host 192.168.1.200 eq www
permit tcp host 172.16.100.50, host 192.168.1.201 eq 2323
permit tcp host 172.16.101.50, host 192.168.1.201 eq 2323
deny ip any any

△△△
ACL에 대한 설명은 나중에 자세히 하도록 하겠습니다.

2. 주소전환 NAT

NAT는 Network address Transmisson의 약자입니다.
공인 IP를 사설 IP로 변경을 해주는 기술이죠.

NAT도 2가지 있습니다.
출발지 NAT(Source NAT)과 목적지 NAT(Destination NAT)

먼저 출발지 NAT을 말하자면.

구독자님이 배가 고파서 치킨을 C팡IS를 통하여 주문을 하셨습니다.

공인 IP가 치킨집입니다. 그리고 치킨집 안에 종업원이 치킨집 안의 사설 IP로 보시면 됩니다.
구독자님은 치킨집 종업원의 이름을 모르고 조사부 치킨이라는 치킨집 상호만 알고 계십니다.
이게 바로 공인 IP입니다.

치킨집에서 주문을 받아서 맛있는 치킨을 구독자님께 배달을 합니다.
출발지가 치킨집이죠? 이게 바로 출발지 NAT입니다.


두 번째 목적지 NAT을 말하자면?

오늘 조사부가 오래간만에 올린 따끈따끈한 포스팅을 보시다가 스마트폰을 바닥에 떨어트렸습니다.
아놔... 액정이 깨져부랐네 ㅡㅡ

그럼 어디로 가야죠? 서비스 센터를 가야 합니다.

목적지가 스마트폰 서비스센터입니다.
우리는 이 서비스센터 안에 조사부라는 직원이 있는지 모릅니다. 그냥 센터 안에 수리 엔지니어만 있다는 생각만 하죠?

목적지가 바로 스마트폰 서비스센터이고 서비스센터 직원은 고객의 이름을 일일이 알수가 없죠?
수리를 받으러가는 우리가 고객이란 이름으로 공인IP가 되는 겁니다.

여기서 사설 IP 공인 IP이야기 나오는데

사설 IP는
10.0.0.0 A Class
172.16.0.0 B Class
192.168.0.0 Class

이렇게 표준화되어서 나누어집니다.

공인 IP는 전 세계 통신사에게 할당이 되어서 유상으로 사용하는 전 세계적으로 공용으로 사용되는 공식 IP입니다.


다음 시간에도 좀 더 쉽게 자세히 포스팅을 하겠습니다.

준비도 못 하고 급하게 쓰냐고 허접하겠지만

재미있게 봐주셔요~~~~

 

 

▽▼▽▼ 같이 보면 재미있는 글 ▽▼▽▼

 

방화벽 LACP 연동(L2 모드)

 

방화벽 LACP 연동(L3 모드)

 

방화벽 기초 : 화이트리스트, 블랙리스트

 

방화벽 IP NAT Part. 01 개념

 

 

※ 조사부 소개

- 정보통신, 미래IT공학(인공지능) 전공

- 現 중앙 정부부처 네트워크 운영 관리

- 다수 유지보수 및 SI 프로젝트 참여

 

출처 있는 포스팅 무단배포 사랑합니다!

 

 

구독과 좋아요는 사랑입니다. ㅠㅠ

 

 

네트워크 강의 / 야간, 주말 기술 지원 / 네트워크 컨설팅 / 네트워크 설계 

서적, 장비, 강의 리뷰 / PPL등등

조사부의 손길이 필요하시면 아래의 연락처로 연락 주세요.

▽▼▽▼▽▼▽▼▽▼▽▼▽▼▽▼

 

이메일 : s002150@kakao.com

 

 

여기로 문의주시면 감사하겠습니다. 

 

 

 

 

 

 

 

 

반응형