방화벽(Firewall) 심화
방화벽은 네트워크 경계에서 패킷 필터링으로 허가된 트래픽만 통과시키는 보안 장비입니다. 세대별 발전과 규칙 작성이 네트워크관리사 핵심 출제 영역입니다.
방화벽 세대별 발전
- 1세대 (패킷 필터링): IP, 포트, 프로토콜 기반 단순 필터링. 상태 추적 없음
- 2세대 (상태 추적, Stateful Inspection): 세션 테이블로 연결 상태 추적. 정상 응답 트래픽 자동 허용
- 3세대 (애플리케이션 게이트웨이/프록시): L7 애플리케이션 레이어 검사. 딥 패킷 인스펙션
- 4세대 (NGFW, Next-Generation Firewall): 2세대 + L7 인식 + IPS + SSL 검사 + 사용자 식별
방화벽 규칙 작성 원칙
- 기본 거부 원칙(Default Deny): 명시적으로 허용되지 않은 모든 트래픽 차단
- 최소 권한 원칙: 필요한 트래픽만 최소한으로 허용
- 규칙 순서: 위에서 아래로 순차 적용, 첫 번째 일치 규칙 적용 후 종료
- 구체적인 규칙을 위에, 일반적인 규칙을 아래에 배치
ACL 예시 (Cisco)
- permit tcp 192.168.1.0 0.0.0.255 any eq 80 → 내부망에서 HTTP 허용
- deny ip any any → 나머지 모두 차단 (묵시적 deny)
IDS vs IPS
- IDS(침입 탐지 시스템): 공격 탐지만, 차단 불가. 인라인 아닌 미러 모드로 배치
- IPS(침입 방지 시스템): 탐지 + 자동 차단. 반드시 인라인 배치 (트래픽 경로상)
탐지 방식
- 시그니처(Signature) 기반: 알려진 공격 패턴 데이터베이스 비교. 빠르지만 알려지지 않은 공격 탐지 불가
- 이상 행위(Anomaly) 기반: 정상 행위 기준선(Baseline) 대비 이상 탐지. 제로데이 탐지 가능, 오탐(False Positive) 높음
- 상태 기반(Stateful) 분석: 프로토콜 상태 머신으로 비정상 프로토콜 사용 탐지
UTM (Unified Threat Management)
방화벽, IPS, VPN, 안티바이러스, 웹 필터링, 스팸 필터 등 다양한 보안 기능을 하나의 플랫폼에 통합한 장비입니다.
- 중소기업에 적합: 단일 장비로 다기능 보안
- 단점: 단일 실패점, 성능 저하 가능
NGFW (Next-Generation Firewall)
- 애플리케이션 인식(App-ID): 포트·프로토콜 무관 실제 앱 식별 (Facebook, YouTube 차단 등)
- 사용자 인식(User-ID): IP 대신 사용자 계정 기반 정책
- SSL/TLS 복호화 검사
- 위협 방지: IPS, 안티바이러스 통합
시험 핵심 포인트
- 상태 추적 방화벽: 세션 테이블로 응답 트래픽 자동 허용
- IDS: 탐지만 (미러 포트) / IPS: 탐지+차단 (인라인)
- 시그니처 기반: 알려진 공격 / 이상 행위 기반: 제로데이
- UTM: 다기능 통합, 중소기업 / NGFW: 앱·사용자 인식, 기업
- 방화벽 기본 정책: Default Deny (명시적 허용 외 모두 차단)
마무리
네트워크 보안 장비의 세대별 특징과 IDS/IPS의 배치 방식 차이는 반드시 숙지해야 합니다. NGFW의 앱·사용자 인식 기능이 기존 방화벽과의 핵심 차이점입니다.