방화벽의 발전 세대
방화벽은 지속적으로 진화하며 더 정교한 위협에 대응해 왔습니다. 네트워크관리사 시험에서는 NGFW 핵심 기능, SSL 복호화, 애플리케이션 인식, 샌드박스 위협 분석이 핵심 출제 범위입니다.
방화벽 세대별 특성
- 1세대 패킷 필터링: IP 주소, 포트, 프로토콜 기반. ACL 사용. 상태 추적 없음
- 2세대 Stateful Inspection: 연결 상태 추적(Connection Tracking Table). 세션 기반 필터링
- 3세대 애플리케이션 레이어 게이트웨이: L7 페이로드 검사. 프록시 방식
- 4세대 NGFW: 애플리케이션 인식 + 사용자 ID + IPS + SSL 복호화 + 위협 인텔리전스 통합
NGFW 핵심 기능
- App-ID(애플리케이션 인식): 포트/프로토콜 무관하게 실제 애플리케이션 식별. Facebook, YouTube, BitTorrent 구분
- User-ID(사용자 식별): IP 주소 대신 사용자 이름으로 정책 적용. AD/LDAP 연동
- SSL/TLS 복호화(SSL Inspection): HTTPS 트래픽 복호화 후 검사. 인증서 재서명 방식
- 통합 IPS: 트래픽 인라인에서 시그니처 기반 + 이상 탐지 위협 차단
- URL 필터링: 카테고리 기반 웹 접근 제어. 악성/피싱 사이트 차단
샌드박스 위협 분석
알 수 없는 파일을 가상 환경에서 실행하여 악성 여부를 판단하는 기술입니다.
- WildFire(Palo Alto): 클라우드 기반 샌드박스. 전 세계 파일 분석 공유
- 우회 기술: 샌드박스 탐지 후 실행 지연, VM 탐지 후 행동 변경
UTM vs NGFW
- UTM(Unified Threat Management): 방화벽+VPN+IPS+AV+스팸 필터 통합. 중소기업 단순 통합 솔루션. 성능 제한
- NGFW: 고성능 ASIC 기반. 대기업·데이터센터. App-ID, User-ID, SSL 복호화가 핵심 차별점
SASE(Secure Access Service Edge)
네트워크(SD-WAN)와 보안(CASB, ZTNA, SWG, FWaaS)을 클라우드에서 통합 제공하는 아키텍처입니다. Gartner가 2019년 제시. 원격 근무 증가로 주목받고 있습니다.
네트워크관리사 기출 핵심 정리
- 1세대 패킷 필터 → 2세대 Stateful → 3세대 ALG → 4세대 NGFW
- NGFW 핵심: App-ID + User-ID + SSL 복호화 + 통합 IPS
- SSL Inspection = HTTPS 복호화 후 검사 (인증서 재서명)
- UTM = 중소기업 통합, NGFW = 고성능 대기업
- SASE = SD-WAN + 보안(CASB·ZTNA) 클라우드 통합