THe 쉬운 네트워크 기초 : 방화벽 기본 개념(Easy Ver)

 

오늘 포스팅은 방화벽 장비에 대한 간단한 원리를 이야기 하고자 한다.

 

예전에도 포스팅을 한 적이 있으니 아래 포스팅도 같이 보면 좋다. 

 

▽▼ ▽▼ ▽▼ ▽▼ ▽▼

THE 쉬운 네트워크 기초 : 방화벽(화이트리스트, 블랙리스트)

 

 

방화벽이 정말 어려운 장비라고 생각을 하는 사람들이 많다.

방화벽은 관리만 잘하면 정말 이렇게 손이 잘 안가는 장비가 없다.

 

하지만 방화벽을 잘 다루려면 ACL, L2, L3 네트워크와 TCP/IP에대한 개념은 가지고 있어야 한다.

 

---

 

 

방화벽은 L2, L3 기능이 지원이 되는 네트워크 장비다.

BGP를 제외한 OSPF/ Static 라우팅 구성이 가능하다.

(벤더사 또는 장비마다 기능 지원 여부가 다르니 해당 장비 카탈로그를 참고 하자)

 

방화벽은 고가의 장비이기 때문에 교과서에서 나오는 이론적 구성이 쉽게 되기가 어렵다.

그래서 다양한 신규 구축 방법을 하는 방법을 오늘 소개 하려고 한다.

 

박스형 스크린라우터 방식 구성

 

정보보안기사 필기시험에 나오는 전형적인 스크린라우터 방식 이중화 구성이다.

스크린 라우터 방식은 주로 내부 서비스와 대국민 서비스(DMZ)를 망 분리를 할 때 사용하는 방식이다.

쉽게 말해서 망 분기점 역활을 할 때 사용하는 방식이다. 

 

라우터나 백본 장비등 L3 기능이 지원되는 장비의 용도는 네트워크 관문(GateWay) 또는 망 분기점(Juction Point)  목적으로 사용하는 경우가 많다. 

 

---

 

그럼 방화벽을 두는 이유는 무엇일까?

 

방화벽은 네트워크에서 검문소 역활을 한다고 보면 된다.

 

음주단속 장면(출처 : 전북도민일보)

 

길을 가다가 갑자기 경찰관들이 음주운전 단속을 한다. 

방화벽 정책이라고 생각 해보자

 

"혈중 알콜농도 0.03 초과하는 사람은 운전을 할 수 없다."

 

출발지 객체 : 혈중 알콜농도 0.03 초과 운전자
목적지 객체 : any

서비스포트: 자동차 직접 운전

통신 여부 : 차단(Deny)

 

이렇게 방화벽 정책에 위의 내용이 등록이 되면 혈중 알콜농도 0.03 초과 운전자 패킷은 방화벽에서 차단이 된다. 

 

그럼 술을 마시지 않은 운전자는?

당연히 패킷이 Allow가 되어서 통과를 한다.

 

바로 네트워크 보안의 가장 기초적이고 최소안의 안전장치라는 것이다.

 

L2, L3 스위치 기능도 있지만 주로 ACL(Access Control List) 기능이 강화가 된 네트워크 장비라고 보면 된다.

 

ACL에서 자세히 알고 싶으면 아래의 포스팅을 참고 하면 된다.

▽▼ ▽▼ ▽▼ ▽▼ ▽▼

THE 쉬운 실전 네트워크 : ACL 알고보면 쉽니다.

 

---

 

여기서 그냥 일반적인 L3, L2 스위치에 ACL 걸면 방화벽 처럼 쓸수 있지 않을까? 하는 생각을 하시는 분이 계실 것이다.

 

(실제로 방화벽 기능이 지원이 되는 CISCO 라우터가 있다.)

 

반은 맞고 반은 틀리다.

 

방화벽처럼 사용 얼마든지 가능하다!

하지만 2가지 이유로 사용하지 않는 걸 권장한다.

 

1. 네트워크 스위치에 ACL이 너무 많으면 CPU 이슈로 네트워크 속도가 저하가 된다.

2. 100% CLI로 입력을 해야 되서 정책이 관리가 안되서 머리가 아플 수 있다. 

    특히 네트워크 담당자가 변경이 되면 후임 담당자는 엄청난 멘탈 붕괴가 와서 도망칠 수 있다.

   (방화벽은 벤더사마다 GUI 디자인이 달라도 정책부분은 직관적으로 잘 되어 있다.)

 

즉 성능에 이슈가 생기고 관리적인 부분도 엉망이 되기 때문에 사용하지 않았으면 하는 것이다.

 

---

 

----- 정 리 ----

 

1. 방화벽은 L3 / L2 스위치 기능을 가지고 있는 기본 보안장비다.

2. 방화벽은 네트워크 트래픽 패킷을 검사하여서 정해진 정책에 의해 통신을 허용하거나 차단하는 장비다.

3. 일반적인 L3 / L2 스위치를 방화벽처럼 사용이 가능하지만 퍼포먼스와 관리적 문제로 사용을 권하지 않는다.

 

 

같이 보면 좋은 포스팅

 

THe 쉬운 네트워크 기초 : 방화벽 IP NAT Part. 01 개념

 

THe 쉬운 네트워크 기초 : 방화벽 IP NAT Part. 02 Dynamic NAT

 

THe 쉬운 네트워크 기초 : IP NAT PART 03. Static NAT

 

 

다음 시간에는 방화벽의 장애처리 방법에서 대해서 이야기 해보겠다.

 

---

 

 

※ 조사부 소개

- 정보통신, 미래IT공학(인공지능) 전공

- 現 중앙 정부부처 네트워크 운영 관리

- 다수 유지보수 및 SI 프로젝트 참여

 

출처 있는 포스팅 무단배포 사랑합니다!

 

 

구독과 좋아요는 사랑입니다. ㅠㅠ

 

 

네트워크 강의 / 야간, 주말 기술 지원 / 네트워크 컨설팅 / 네트워크 설계 

서적, 장비, 강의 리뷰 / PPL등등

조사부의 손길이 필요하시면 아래의 연락처로 연락 주세요.

▽▼▽▼▽▼▽▼▽▼▽▼▽▼▽▼

 

이메일 : josaboo@kakao.com

카카오톡 ID : dr.josaboo

 

 

 

여기로 문의주시면 감사하겠습니다. 

 

 

IT 취업 / 프리랜서 구인/구직/

 

 

님버스테크 손병희 상무이사

M. 010 7657 6215

E-MAIL. s1024323@nimbustech.co.kr

 

 

 

 

네트워크 추천 서적