방화벽 23.05.10

2023.05.10 - [네트워크 수업/Docker] - 방화벽개론.pdf

2023.05.10 - [네트워크 수업/Docker] - firewall v1.2_1.pdf 23.05.10

 

<<방화벽 개론>>

방화벽 : 신뢰하지않는 프로토콜을 모두 차단하는 소프트웨어

방화벽의 주된 기능 : 접근 제어, 로깅, 인증, 데이터의 암호화

 

베스천 호스트(Bastion Host)

=>방화벽은 베스천 호스트 위치 중 한 곳에 놓인다.

 

방화벽 종류

1. 스크리닝(Screening) 라우터

-3계층과 4계층에 실행된다.

-외부와 내부 경계선에 놓인다.

2. 단일 홈 게이트웨이(Single homed Gateway)

-스크리닝 라우터보다 더 강력한 방화벽 정책 가능

-2계층 공격 등을 통한 방화벽 우회 가능

-우회 가능

-LAN 카드 한개

 

3. 이중 홈 게이트웨이(Dual Homed Gateway)

이거보면 생각나는것 - UTM

-LAN카드 여러개!!

-내부와 외부가 확실하게 구분된다.(DMZ, 내부,외부 이런식으로)

-우회가 불가능하다.

 

 

 

4-1. 스크린된 호스트 게이트웨이 - 단일 홈(두개 짬뽕됨)

(단일홈은 LAN카드 두개 아님.. 그림 잘못됨)

-스크리닝 라우터에서 1차적인 방어한다.

-단일홈에서 2차적인 방어한다.

-돈이 많이든다. 딱히 좋은 구조는 아니다.

 

 

4-2. 스크린된 호스트 게이트웨이 - 이중홈

NBAR(라우터에서 7계층까지도 제어가 가능하다.)

스크리닝 라우터와 이중 홈 게이트웨이

zone마다 정책을 세우기 때문에 매우 안전. 이중으로 방어가능

 

 

5-1. 스크린된 서브넷 게이트웨이 - 단일 홈

-외부네트워크와 외부네트워크 사이에 완충 지대를 놓는것.

-완충지대로서의 네트워크를 subnet이라고 하며 보통 여기에 DMZ가 위치한다.

-속도느리고 구현도 어렵고 돈 많이든다. 사람들이 잘 안한다.

 

5-2. 스크린된 서브넷 게이트웨이 - 이중홈

-이중홈 게이트웨이

-이것도 돈 많이들고 더 빠르고 더 강력한 보안정책 실행 가능.

 

---

firewall v1.2_1.pdf

--시험문제에 나온다.

--구글링하면서 그림 보면서 차분히 암기하기.

 

1. 구성방식에 따른 분류
① 패킷 필터링(Packet Filtering)
② 서킷 게이트웨이(Circuit Gateway)
③ 애플리케이션 게이트웨이(Application Gateway)
④ 하이브리드(Hybrid) 방식

2. 형태에 의한 분류 
① 스크리닝 라우터(Screening Router)
② 베스천 호스트(Bastion Host)
③ 듀얼 홈 호스트(Dual-Homed Host)
④ 스크린 호스트 게이트웨이(Screened Host Gateway)
⑤ 스크린 서브넷 게이트웨이(Screened Subnet Gateway) 

 

 

3. 사용 기술에 따른 분류
1) 1세대 : Packet Filtering
 => ACL(Access Control List), L3/L4 기반 필터링. => Stateless
2) 2세대 : Application Layer Gateway(ALG)
3) 3세대 : Stateful Packtet Inspection(SPI)  ==>한번 세션이 맺어진것은 돌아오는것을 인지한다.
 New Generation Firewall(차세대 방화벽)
** 각 벤더마다 세대 구분이 다를 수 있다. **

 

 

◈ IOS Friewall
- Cisco Router의 경우 모델과 IOS 버전에 따라 Router에서 Firewall 기능을 구현하
는 것이 가능하다.
 1. ACL(Access Control List) 
2. RACL(Reflexive ACL) 
3. DACL(Dynamic ACL) 
4. CBAC(Context-Based ACL) 
5. ZFW(Zone-based Firewall)  -->돈안드는 방법으로 할 수 있는 최고의 기술.(zone마다 방화벽 가능)