기존 방화벽(레거시 방화벽)의 단점
1. IP 변경시 정책변경 필요
방화벽 정책이 IP 기반으로 수립돼 있어 사용자 IP가 변경이 되면 방화벽 정책 IP도 변경해야 합니다. 따라서 DHCP 같이 동적인 IP를 할당하는 환경에서는 IP별 정책 수립을 할 수 없습니다.
2. 사용자 중심 트래픽 모니터링 한계
기존 방화벽의 경우 IP기반 방화벽 정책으로 트래픽 로그 또한 IP로 남기 때문에 IP 변경시 변경 전후 트래픽에 대한 연결 고리가 끊어져 사용자 트래픽 모니터링을 할수 없습니다.
3. 어플리케이션 제어 한계
포트와 프로토콜 기반 정책을 설정할 경우 동일한 포트를 사용하는 여러 어플리케이션에 대한 정밀한 콘트롤을 할 수 없습니다.
차세대 방화벽 조건
1. IP 변경에 대한 유연성
사용자 기반 방화벽 정책은 IP가 아닌 사용자, 그룹 ID로 정책을 수립하여 사업장 이동, 조직개편, DHCP 등 사용자 IP가 변경되더라도 방화벽 정책을 그대로 유지할 수 있어야 합니다.
2. 공용 PC의 사용자별 제어
공융 PC의 경우 다수의 사용자가 동일한 IP를 사용하는데 이 경우 사용자를 식별해 해당 사용자의 정책을 활성화하고 이를 통해 사용자별 다른 정책을 적용합니다.
3. AD SSO
차세대 방화벽이 지원하는 대표적인 사용자 연동을 위한 인증 시스템으로 사용자, 그룹의 계정 및 권한 관리를 수행합니다. 방화벽은 LDAP 프로토콜을 이용해 AD의 사용자 및 그룹 정보를 기반으로 정책을 수립하며 사용자 및 그룹 변경에 대한 방화벽 정책에 실시간으로 반영합니다. 사용자 PC에 로그온 시 IP 정보를 수집하여 사용자 정책을 활성화 합니다. 다수의 방화벽이 AD와 연동해야 하는 경우 AD의 부하 분산 및 장애 대응 방안이 마련돼 있습니다.
4. 오픈 API SSO
AD와 같이 표준화된 방법이 없는 경우 방화벽에서 제공하는 오픈API를 통해 SSO를 지원합니다. LDAP, RA-DIUS와 같은 인증 시스템에 사용자 로그온 시 오픈API를 통해 방화벽에 사용자 정보를 전달해 정책과 연동할 수 있습니다.
5. 외부 솔루션과 연동 SSO
내 PC지키미, NAC 와 같이 사용자 ID, IP 정보를 관리하는 외부 솔루션이 이미 구축돼 있는 경우 해당 솔루션의 사용자 및 IP 정보를 통해 연동이 가능합니다.
차세대 방화벽 트래픽 처리 방법
1. 어플리케이션, 사용자 포함 정책 설정
어플리케이션과 사용자를 인지하여 보안 정책을 수립할 수 있습니다.
2. 위협 탐지, 차단 위한 IPS 기능 지원
어플리케이션 인지를 통해 트래픽을 세분화하여 어플리케이션이 가지는 보안 취약점을 사전에 탐지하고 차단 할 수 있는 IPS 기능을 동시에 지원합니다.
3. SSL 암호화 세션에 대한 복호화
보안에 대한 인식이 확대되고 암호화된 웹 서비스(HTTPS) 를 제공하는 포털 등이 증가함에 따라 SSL 을 통한 암호화 세션이 급증하고 있습니다. 따라서 암호화된 세션에 대한 어플리케이션을 인지하고 보안 정책 수립을 위해 차세대 방화벽 은 HTTPS 트래픽을 포트와 상관없이 인지하고 복호화 할 수 있어야 합니다.
차세대 방화벽은 SSL 세션의 중간에 위치해 SSL 세션으로 암호화된 콘텐츠에 대한 보안기능을 수행합니다.
차세대 방화벽에 요구되는 필수 요소에 대해 알아보았는데 차세대 방화벽은 장비 도입으로 끝나는 것이 아니라 네트워크를 통해 지속적으로 분석하고 그 결과를 빠르게 장비의 보안 정책에 반영할 수 있는 시스템을 가지고 있는 대응 센터의 역할이 무엇보다 중요합니다.
방문해 주셔서 감사합니다.
행복하세요~
내용은 차세대 보안 인텔리전스 내용을 참고하였습니다.
'ICT이야기' 카테고리의 다른 글
| DNS 기본 개념과 구성요소 (0) | 2017.12.08 |
|---|---|
| 비밀번호 해독 하는 대표방법 2가지 (0) | 2017.12.05 |
| 알파고 제로 는 알파고 진화의 완성일까? (0) | 2017.11.12 |
| USB 쓰기금지 해제 하는 방법 소개 (0) | 2017.11.07 |
| ssl vpn 이란 무엇일까요? (0) | 2017.11.02 |
