[FCF] Cybersecurity 2.0 - Lession 01 : Firewalls (방화벽)

A. 개요

네트워크가 성장하기 시작하고 서로 상호 연결되어 궁극적으로 인터넷에 연결됨에 따라 네트워크 트래픽 흐름을 제어하는 것이 중요해졌습니다. 방화벽은 네트워크와 함께 진화하고 변화해야 하는 제어 수단이 되었습니다. 이는 상태 비저장 방화벽, 2세대 상태 저장 방화벽, 3세대 방화벽 및 차세대 방화벽(NGFW)이 라고도 알려진 1세대 패킷 필터 방화벽으로 정의되는 세대로 분류됩니다.
 

B. 세대별 방화벽

1. 1세대 방화벽

1-1 개요

상태 비저장 방화벽이라고도 알려진 패킷 필터 방화벽입니다. 소스 및 대상 네트워크 주소, 프로토콜 및 포트 번호와 같은 라우팅 및 전송 계층 프로토콜 정보를 검사합니다. 방화벽 정책은 이러한 속성을 사용하여 통과가 허용되는 패킷을 정의합니다. 규칙은 목록으로 정렬되며 잠재적인 일치는 위에서 아래로 순서대로 수행됩니다. 마지막 방화벽 정책은 기본적으로 패킷을 거부하는 암시적일 수도 있고, 구성된 해당 작업을 수행하거나 패킷을 허용하거나 거부하는 명 시적일 수도 있습니다.
 
상태 비저장 방화벽은 네트워크 주소, 프로토콜 및 포트 번호가 방화벽 정책과 일치하는 경우 패킷 통과를 허용합니다. 그렇지 않으면 패킷이 자동으로 삭제되거나 차단됩니다.
 

1-2. 단점 

상태 비저장 방화벽의 단점은 적절한 수준의 보호를 제공하기 위해 추가 구성이 필요하다는 것입니다. 예를 들어 세션의 반환 트래픽에 대한 추가 방화벽 정책이 필요합니다. 또한 프로토콜을 적절하게 관리하지도 못합니다. 상태 비저장 방화벽은 임의의 포트를 열고 제어 및 데이터 연결을 통해 FTP와 같은 여러 연결을 사용합니다.
 
상태 비저장 방화벽은 "일률적인" 접근 방식을 사용하여 트래픽 통과를 허용할지 여부를 결정합니다. 이러한 개방형 접근 방식으로 인해 악의적인 행위자는 잠재적으로 방화벽 규칙을 우회하고 허용 가능한 프로토콜 및 포트를 통해 악성 패킷을 삽입하거나 컴퓨터 네트워킹 소프트웨어의 버그를 악용할 수 있습니다.

 

2. 2세대 방화벽 

2-1. 개요

상태 저장 방화벽으로 알려진 2세대 방화벽은 트래픽을 차단하거나 허용하기 위한 추가 기준을 개발하여 상태 비저장 방화벽의 한계를 상쇄합니다. 상태 저장 방화벽은 5튜플 검사와 세션 테이블의 연결 상태를 추적하여 시간 경과에 따른 네트워크 연결을 관찰하도록 설계되었습니다. 새로운 네트워크 연결이 만들어지는 것을 관찰하고 끝점 사이를 오가는 트래픽을 지속적으로 검사합니다. 연결이 부적절하게 동작하거나 반환 트래픽이 해당 들어오는 트래픽 과 일치하지 않는 경우 방화벽은 해당 연결을 차단합니다. 알려진 대화에 속하지 않거나 허용된 방화벽 정책과 일치하지 않는 모든 패킷은 삭제됩니다.
 

2-2. 단점

상태 저장 방화벽은 개선되었지만 HTTP와 같은 허용 가능한 프로토콜을 사용하는 경우 여전히 악성 패킷을 차단할 수 없습니다. 월드 와이드 웹(World Wide Web)의 폭발적인 성장으로 HTTP는 가장 자주 사용되는 네트워크 프로토콜 중 하나로 승격되었습니다. 문제는 HTTP가 정적 텍스트 콘텐츠, 전자 상거 래, 파일 호스팅 및 기타 여러 유형의 웹 애플리케이션과 같은 다양한 방식으로 사용된다는 것입니다. 모두 동일한 포트 번호를 사용하기 때문에 방화벽은 이들을 구별할 수 없습니다.
 
네트워크 관리자는 승인된 애플리케이션과 악성 애플리케이션을 구별하여 어떤 애플리케이션을 통과하거나 차단할지 결정해야 합니다. 방화벽은 HTTP와 같은 프로토콜이 사용되는 방식을 결정하기 위해 데이터 페이로드를 더 자세히 조사해야 합니다.
 

3. 3세대 방화벽

3-1. 개요

3세대 방화벽은 데이터 페이로드를 더 깊이 조사합니다. 상태를 유지하면서 이러한 방화벽은 애플리케이션 계층 프로토콜을 이해하고 동일한 기본 프로토콜의 다양한 사용을 제어 합니다. 이를 애플리케이션 계층 필터링이라고 합니다. 애플리케이션 계층 필터링을 구현하는 방화벽은 HTTP, FTP, DNS와 같은 프로토콜을 이해할 수 있습니다.
 
HTTP는 브라우저 트래픽, 블로그, 파일 공유 사이트, 전자 상거래, 소셜 미디어, VoIP(voice-over-IP) 및 이메일을 구분할 수 있습니다. UTM 방화벽은 또한 바이러스 백신, 스 팸 방지, 침입 방지 시스템(IPS), 가상 사설망(VPN)과 같은 추가 보호 기능을 결합합니다.
 
 

4. 차세대 방화벽 

4-1. 개요

오늘날 인터넷의 보급으로 인해 일하고, 놀고, 즐기고, 거래하는 방식이 바뀌었습니다. 기업은 더 저렴한 멀티 클라우드 서비스를 활용하도록 진화했으며, 모바일 과 IoT 장치의 편의성으로 인해 네트워크 엣지가 획기적으로 확장되어 공격 표면이 늘어났습니다.
 
인터넷이 발전한 것처럼 위협 행위자도 진화했습니다. 공격 방법과 정교함의 측면에서 계속해서 변화하고 있습니다. 이제 무의식적으로 또는 악의적인 의도로 맬웨어를 확산시키 는 신뢰할 수 있는 사용자, 장치 및 애플리케이션에서 공격이 발생할 수 있습니다.
 
방화벽은 네트워크의 모든 가장자리에서 진화하는 사이버 공격을 방지하는 동시에 보안, 안정성 및 네트워크 성능을 제공해야 합니다. FortiGate와 같은 차세대 방화벽은 이러한 고급 보안 기능을 제공합니다.
 

4-2. 작동원리

차세대 방화벽은 첫번째로, 차세대 방화벽은 패킷을 살펴보고 규칙에 따라 트래픽을 허용할지 아니면 삭제할지 결정합니다.다음으로, 검사를 통해 금지된 패킷이나 악성코드를 포함한 패킷이 들어 있는지 확인합니다. 이는 차세대 방화벽이 심층 패킷 검사(DPI)를 수행하는 방식과 유사합니다. 비슷한 맥락에서 차세대 방화벽은 추가 분석을 위해 악성 콘텐츠를 샌드박스로 보냅니다.
 

4-3. 특징

네트워크가 계속 발전하고 새로운 과제가 등장함에 따라 차세대 방화벽도 계속해서 발전하고 있습니다. 예를 들어, 차세대 방화벽은 분류 또는 사용자가 누구인지에 따라 애플리케이션을 제어할 수 있습니다. 애플리케이션 수준 보안은 공격과 위협으로부터 웹 브라우징 클라이언트를 보호하는 데 도움이 됩니다.
 
차세대 방화벽은 또한 비즈니스 요구 사항에 맞게 사용자, 장치 및 애플리케이션을 분리하는 다양한 분할 접근 방식을 채택했습니다. 방화벽은 플랫 네트워크를 사용하는 대신 네트워크를 분할함으로써 단일 진입 지점을 제거하는 데 도움이 되며, 이를 통해 사이버 범죄자가 네트워크에 더 쉽게 진입하고 위협을 네트워크 전체에 확산시킬 수 있 습니다. 이러한 과제 속에서 방화벽은 인공 지능을 사용하여 보안 정책을 시행하는 반응적 장치에서 사전 예방적 장치로 진화하고 있습니다.
 
또한 차세대 방화벽은 저하가 거의 또는 전혀 없이 고성능 검사와 향상된 네트워크 가시성을 제공하여 복잡한 하이브리드 IT 인프라 내에 위치한 현대적인 분산 데이터 센터를 지원하고 보호합니다. 하이브리드 데이터 센터는 비즈니스에 더 큰 민첩성, 유연성, 수요에 따른 확장성을 제공할 뿐만 아니라 똑같이 진화된 보안 전략이 필요한 확장된 공격 표면을 제공합니다. 고성능 검사에는 애플리케이션, 컴퓨팅 리소스, 분석, 인프라 전반에 걸쳐 이동하는 암호화된 데이터, 여러 프라이빗 및 퍼블릭 클라우드에 걸친 데이터 스토리지가 포함됩니다