방화벽(Firewall)
: 일련의 보안 규칙을 기반으로 네트워크 트래픽을 모니터링하고 제어하는 보안 시스템
- 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 사이의 장벽
- 건축의 방화벽: 화재로 인한 피해를 줄여주는 구조물
▷ 화재 확산에 따른 재산 피해를 최소화하기 위해 화재 구역을 폐쇄하여 열기와 연기를 가두는 역할
- 서로 다른 네트워크를 지나는 데이터를 허용 및 거부, 검열, 수정하는 등의 기능을 갖춘 소프트웨어 또는 그러한 소프트웨어를 구동시키는 하드웨어 장치
- 작동 원리
▷ 외부 트래픽은 장치의 진입점(포트)을 통해서만 사설 네트워크에 도달할 수 있음
▷ 이는 일반적으로 방화벽 설정을 통해 트래픽을 보호하는 곳
▷ ‘액세스 제어 목록’이라고 하는 정의된 규칙 또는 일련의 규칙을 기반으로 데이터 패킷을 허용하거나 차단함
▷ 이러한 규칙은 IP 주소, 도메인 이름, 포트, 프로토콜, 프로그램 및/또는 키워드 기반으로도 할 수 있음
■ 방화벽의 종류
- 하드웨어 방화벽
▷ 공유기와 유사한 물리적인 기구
▷ 서버에 대한 게이트키퍼 및 바이러스 방지 솔루션 역할
▷ 일부 라우터에 포함되어 있으며, 하드웨어에 내장되어 있으므로 구성이 거의 필요하지 않음
▷ 해당 라우터의 네트워크에 연결된 모든 컴퓨터 및 기기에 대한 트래픽을 모니터링함
▷ 즉, 장비 한 대만으로도 모든 컴퓨터와 기기에 대한 액세스를 필터링할 수 있음
- 소프트웨어 방화벽
▷ 장치에 설치되는 방화벽
▷ 전체 네트워크가 아닌 개별 장치만 보호하므로 개별 네트워크 엔드 포인트를 격리하려는 경우 유용하며, 개인에게는 좋지만, 기업 네트워크에는 적합하지 않음
⚫ 엔드 포인트: 적용하는 규칙에 따라 데이터 패킷을 검사함
▷ 소프트웨어 방화벽은 자체 운영 체제가 없기 때문에 중요한 컴퓨팅 성능과 메모리를 소모하여 사용자 경험과 네트워크 보안에 영향을 줄 수 있음
- 하드웨어 방화벽과 소프트웨어 방화벽 비교
▷ 처음 구입할 때에는 소프트웨어 방화벽이 상대적으로 저렴하지만, 장기적으로는 하드웨어 방화벽이 좋음
▷ 공간이 중요한 경우에는 애플리케이션으로서 설치 공간이 필요하지 않기 때문에 소프트웨어가 더 나은 선택임
▷ 많은 소프트웨어 방화벽은 단 몇 번의 클릭만으로 작동 및 실행이 가능하지만, 하드웨어 방화벽은 전선 연결, 전원 연결 및 적절한 배치가 필요함
- 클라우드 기반 방화벽
▷ 종종 프록시 서버로 설정되는 클라우드 서버를 사용함
▷ 더 많은 용량을 추가하여 비즈니스를 확장하려는 회사에 적합함
▷ 소프트웨어 또는 하드웨어 방화벽을 사용하는 것보다 트래픽 부하를 관리하기가 훨씬 쉬움
- 다양한 필터링 유형
▷ 패킷 필터링 방화벽(Packet Filtering): 공유기를 통과하는 데이터 패킷을 확인함
⚫ 패킷 필터링 방화벽은 내용을 검사하기 위해 패킷을 ‘열지’ 않지만, 발신자와 수신자의 IP 주소, 패킷 유형, 포트 번호 및 기타 표면 수준 정보를 확인함
▷ 서킷 게이트웨이(Circuit Gateway): 게이트웨이에서 패킷의 내용을 확인하지 않고 소스만 확인함
▷ 상태 추적 기반 방화벽: 패킷 필터링과 서킷 게이트웨이 방화벽을 결합한 형태로, 패킷을 필터링하고 TCP hand shaking을 통해 적법한 소스에서 왔는지 확인하는 방식
▷ 프록시 방화벽: 데이터 패킷과 TCP hand shaking을 확인하고, 패킷의 내용을 확인하고, DPI(Deep Layer Packet Inspection)를 수행함
⚫ DPI는 OSI 7 Layer 전 계층의 모든 프로토콜과 패킷 내부의 콘텐츠를 파악하여 해킹이나 침입 시도를 탐지하고 네트워크 트래픽을 조정하기 위한 패킷 분석 기술
■ 방화벽의 기능
▷ 접근 통제(Access Control): 허용된 서비스나 전자우편 서버, 공개 정보 서버와 같은 특정 호스트를 제외하고는 외부에서 내부 네트워크에 접속하는 것을 패킷 필터링(Packet Filtering), 프록시(Proxy) 방식 등으로 접근을 통제하는 기능
▷ 인증(Authentication)
⚫ 메시지 인증: VPN과 같은 신뢰할 수 있는 통신선을 통해 전송되는 메시지 신뢰성 보장
⚫ 사용자 인증 : 방화벽을 지나가는 트래픽에 대한 사용자가 누군지에 대해 증명하는 기능
(OTP, 토큰 기반 인증, 패스워드 인증 등)
⚫ 클라이언트 인증 : 모바일 사용자처럼 특수한 경우에 접속을 요구하는 호스트에 대해 인가된 호스트인지 확인
▷ 감사 및 로그 기능(Auditing / Logging): 정책 설정 및 변경, 관리자 접근, 네트워크 트래픽 허용 또는 차단과 관련한 사항 등 접속 정보를 로그로 남김
▷ 프라이버시 보호 (Privacy Protection): 이중 DNS(Dual Domain Name System), 프록시(Proxy) 기능, NAT 기능 등을 제공함으로써 내부 네트워크와 외부 네트워크 간의 중개자 역할을 함으로써 내부 네트워크의 정보 유출을 방지함
▷ 서비스 통제(Service Control): 안전하지 못하거나 위험성이 존재하는 서비스를 필터링함으로써 내부 네트워크의 호스트가 가지고 있는 취약점을 감소시킴
▷ 데이터 암호화(Data Encryption): 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화하여 보내는 것으로, 보통 VPN의 기능을 이용
■ 방화벽의 한계
- 악성 소프트웨어 침투 방어에 대한 한계
▷ 일반적으로 방화벽은 패킷의 IP 주소와 Port 번호를 기반으로 접근 제어를 하기 때문에 악성 소프트웨어 등 내부에 포함된 악성코드를 탐지하여 방어하지 못함
- 내부 공격자 공격에 대한 한계
▷ 방화벽을 거쳐가는 통신 선로가 아닌 다른 통신 선로를 이용하여 통신을 할 경우, 공격자는 방화벽을 우회하여 내부 네트워크로 접근 가능함
- 새로운 형태의 공격에 대한 한계
▷ 일반적으로 사전에 정의된 보안 정책을 기반으로 접근 제어를 수행하기에 새로운 형태의 공격에 대해 능동적으로 대처하기 어려움
■ 방화벽 탐지
- Traceroute(윈도우: tracert): 방화벽 설치 여부를 알 수 있는 가장 쉬운 방법
▷ Traceroute를 실행했을 때 *만으로 표시되는 곳이 라우팅에서 필터링해주고 있거나 방화벽이 존재하는 것
■ 웹방화벽 공격 탐지 기술
- 공격 구문 기반 탐지(Signature-Based detection)
▷ 위협으로 판단되는 공격 트래픽을 지정하여 차단하거나, 안전한 트래픽을 지정하여 허용하는 방식으로 트래픽을 분류하고 웹 환경을 보호하는 방식
▷ 웹방화벽을 통과하는 모든 요청과 서버 응답을 시그니처와 비교하여 일치 여부를 판단함
▷ 만약 차단 리스트와 일치하는 공격 패턴을 감지하면 보안 정책에 따라 경고를 보내거나 트래픽을 차단함
- 규칙 기반 탐지(Rule-Based detection)
▷ 시그니처 방식에 AI 기능을 접목한 새로운 접근 방법
▷ 규칙 기반 탐지는 이렇게 기록된 공격 패턴을 인식하고 차단하는 방식이 아니라, 발생한 공격 패턴을 AI를 통해 분석하고 거기서 발생하는 규칙을 파악하는 것
▷ 하나의 규칙을 통해 수백 개의 공격 패턴을 식별하기 때문에 많은 종류의 패턴에 대응이 가능함
■ 방화벽 우회 기술
- VPN 사용: VPN을 통해 사용자의 IP 주소를 숨기면서 위치 또한 스푸핑하거나 숨김. 따라서 방화벽을 우회하는 데 유용함
- IP 단편화 기술: 공격자가 패킷을 조각화하여 조각 내의 악성 콘텐츠를 위장할 수 있으므로 방화벽이 탐지하고 차단하기가 더 어려워짐
- 암호화된 프로토콜을 통한 터널링: 공격자는 합법적인 프로토콜 내에 악성 트래픽을 캡슐화함으로써 방화벽 탐지로부터 자신의 활동을 숨길 수 있음
- 프로토콜 호핑: 프로토콜 호핑은 공격 중에 네트워크 프로토콜을 변경하는 작업을 할 수 있기 때문에 공격자가 여러 프로토콜을 활용하여 특정 프로토콜만 모니터링하거나 필터링하는 방화벽을 우회할 수 있음
- 애플리케이션 계층 공격: 방화벽은 종종 네트워크 계층 필터링에 중점을 두기 때문에 애플리케이션 계층이 공격에 더 취약해짐. 따라서 공격자는 특정 애플리케이션을 표적으로 삼아 이 약점을 악용할 수 있음
■ 방화벽 우회 기술 방지
- 최신 보안 수정 사항이 적용되도록 방화벽 소프트웨어와 펌웨어를 정기적으로 업데이트하고 패치해야 함
- 침입탐지 및 방지 시스템(IDS/IPS)을 구현하여 의심스러운 트래픽 패턴을 탐지하고 차단함
- 방화벽에서 로깅 및 모니터링 기능을 활성화하여 잠재적인 우회 시도를 식별하고 조사함
- 정기적으로 공격 테스트 및 취약점 평가를 수행함
참고
https://nordvpn.com/ko/blog/what-is-firewall/
https://www.cloudflare.com/ko-kr/learning/security/what-is-a-firewall/
https://www.okta.com/kr/identity-101/firewall/
방화벽: 정의와 작동 원리, 그리고 방화벽이 필요한 이유 | Okta Identity Korea
방화벽이란 송수신되는 네트워크 트래픽을 거부하거나 허용하는 보안 시스템을 말합니다. 그렇다면 방화벽이 필수일까요? 여기에서 알아보세요.
www.okta.com
[네트워크] 방화벽(Firewall) (1) - 개념, 기능, 동작방식
방화벽이란? : 방화벽(防火壁, Firewall)은 미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템. 일반적으로 신뢰할 수 있는 내부
co-no.tistory.com
🌐 DNS 개념 & 동작 ★ 알기 쉽게 정리
DNS (Domain Name System) 란? 도메인 네임 시스템 (Domain Name System, DNS) 은 호스트의 도메인네임 (www.example.com)을 네트워크주소(192.168.1.0)로 변환하거나, 그 반대의 역할을 수행하는 시스템이다. 예를 들
inpa.tistory.com
https://www.fortinet.com/kr/resources/cyberglossary/hardware-firewalls-better-than-software
하드웨어 방화벽: vs. 소프트웨어 방화벽? | Fortinet
하드웨어와 소프트웨어 방화벽의 차이점과 네트워크에 방화벽이 필요한 이유를 알아보십시오. 하드웨어 및 소프트웨어 방화벽은 어떻게 작동하며 두 기술은 어떻게 다릅니까? 하드웨어가 네트
www.fortinet.com
https://m.blog.naver.com/security_reader/221769969245
패킷의 Application Layer Level 분석, DPI(Deep Packet Inspection)
DPI는 OSI 7 Layer 전 계층의 모든 프로토콜과 패킷 내부의 콘텐츠를 파악하여 해킹이나 침입시도를...
blog.naver.com
https://oopsys.tistory.com/105
[네트워크보안개론] 방화벽 탐지 기법
방화벽 탐지 기법 방화벽 탐지 ● 방화벽 탐지 - 방화벽 설치 여부를 알 수 있는 가장 손쉬운 방법은 traceroute (윈도우 tracert) - traceroute를 실행했을 때 *만으로 표시되는 곳이 라우팅에서 필터링
oopsys.tistory.com
https://blog.naver.com/pentamkt/222084745829
[쉽게 만나는 IT] 공격 탐지 방식의 차이로 알아보는 안전한 웹방화벽
다 같은 웹방화벽이 아니다! 공격 탐지 방식의 차이 비즈니스 환경에 맞는 웹방화벽(WAF)을 선택하기 위...
blog.naver.com
https://azure.microsoft.com/ko-kr/resources/cloud-computing-dictionary/what-is-vpn
VPN이란? VPN을 사용해야 하는 이유는 무엇인가요?| Microsoft Azure
VPN이 필요한가요? 이 포괄적인 가이드를 통해 VPN이 작동하는 방식을 알아보고 온라인 보안, 개인 정보 보호 및 보호를 위해 VPN을 사용할 경우의 이점을 알아봅니다.
azure.microsoft.com
'네트워크 보안' 카테고리의 다른 글
| [네트워크] 스니핑이란? (0) | 2025.05.21 |
|---|---|
| [네트워크] SNMP에 대해서 (0) | 2025.05.20 |
| [네트워크] 포트 스캐닝에 대해서 (0) | 2025.04.13 |
| [네트워크] DHCP/DNS 서버 설정 및 패킷 흐름 분석(Packet Tracer) (0) | 2025.04.13 |
| [네트워크] DNSSEC에 대해서 (0) | 2025.04.13 |