티스토리 뷰
[ 목차 ]
방화벽의 기능 및 역할(2)
(가) 방화벽의 한계점
1) 방화벽은 악성 소프트웨어 침투 방어에 한계가 있다.
① 방화벽은 패킷의 IP주소와 포트번호로 접근제어를 하는 것이 보통이다. 바이러스(virus), 웜(worm), XSS(Cross
Site Scripting) 코드 등과 같이 문서나 프로그램 내부에 포함된 악성 소프트웨어를 탐지하여 방어하는데 한계를
가진다.
② 방화벽은 보통 두 네트워크 사이에 존재하며 높은 트래픽을 처리해야 하므로, 데이터 내용까지 검사하면 큰 오버
헤드(overhead)가 발생하고 네트워크 대역폭에 큰 손실을 가져오기 때문이다.
2) 방화벽은 악의적인 내부 사용자의 공격을 막을 수 없다.
① 보통 신뢰하지 않는 외부 네트워크(outbound network)로부터 신뢰하는 내부 네트워크(inbound network)를 보호
하는 것이 주요 목적이다.
② 따라서 경계에 대한 보안 정책을 수행할 뿐 내부 공격자에게 보안 정책을 적용할 수 없다.
3) 방화벽은 자신을 통과하지 않은 통신에 대한 제어 역시 불가능하다.
① 만약 내부 사용자가 방화벽을 통과하는 통신 선로가 아닌 무선(3G, LTE)이나 사설 통신 선로(모뎀)을 이용해 통
신을 한다면, 공격자는 방화벽을 우회하여 내부 네트워크로 접속할 수 있다.
② 내부 사용자 역시 방화벽을 우회하여 외부로 혀용되지 않은 접속을 시도할 수 있다.
4) 방화벽은 전혀 새로운 형태의 공격을 막을 수 없다.
① 방화벽은 예측된 접속에 대한 규칙을 세우고 이에 대해서만 방어하기 때문에 새로운 형태의 공격에는 능동적으
로 적용할 수 없다.
② 실제로 많은 해킹 공격이 방화벽을 우회하거나 통과하는데 성공하여 공격을 실행한다. 따라서 방화벽이 보안의
완성은 절대 아니다.
(나) 향후 발전방향
① 이전에는 방화벽이 망 접점에 있으면서도 네트워크 장비에 비해 성능이 크게 떨어진다고 간주되어 성능 향상이 큰 문
제점으로 부각되었다.
② 그러나 현재는 ASIC을 이용한 H/W 형태의 장비가 출시됨으로써 성능이 크게 개선되고 네트워크 장비와 비슷한 수준
의 트래픽 처리 능력을 갖추게 되어 성능문제는 어느정도 해결되었다고 볼 수 있다.
③ 최근 등장한 UTM 등의 통합 위협관리 솔루션에는 방화벽뿐만 아니라 IPS, VPN, Anti-Virus 등 다양한 보안기능이 하
나의 솔루션에 통합되어 복합 해킹 공격 등을 능동적이고 효과적으로 방어할 수 있다.
방화벽의 설계 원칙
(가) 설계 시 고려사항
① 어떤 자원을 보호할 것이며, 어떤 위협이 존재하는가?
② 어떤 사용자를 인증할 것인가?
③ 보호해야 할 자원의 중요도는 어느 정도인가?
(나) 설계 원칙
① 방화벽의 기본동작에 대해 두 부류로 요약하면, 『명시적으로 금지되지 않은 것은 허용된다(디폴트는 허용임)』와
『명시적으로 허용되지 않은 것은 금지된다(디폴트는 금지임)』이다.
② 항상 새로운 것에 관심을 갖는 사용자는 전자를 선호하고, 수십 년 간의 경험을 따르는 보안전문가는 후자 쪽을 강하
게 권한다.
③ 방화벽을 구현하고 설정하는 관리자는 방화벽 파라미터를 설정함으로써 범위는 달라질 수 있지만 앞의 두 가지 방
식 중의 하나를 선택해야 한다.
(다) 방화벽의 운영 정책
| 정책 | 상세내용 | 예시 |
| Deny All 정책 | 모든 트래핅을 먼저 차단하고, 허용해야 할 트래픽만을 선별적으로 허용하는 방식 | 중요 서버의 접속이나, 외부에서 내부망으로서의 접속차단 정책 |
| Permit All 정책 | 모든 트래픽을 허용하고, 특정 트래픽만을 선별적으로 차단하는 방식 | 주로 내부망에서 외부로의 접속차단 정책 |
