ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 방화벽의 원리와 유형
    카테고리 없음 2016. 7. 14. 14:15
    반응형


    방화벽은 외부에서 유입되는 네트워크 트래픽이 컴퓨터에 들어오지 못하도록 차단한다. 방화벽의 중요성을 알려주는 단적인 사례로 20038월 패치하지 않은 윈도 XP 운영체제에서 방화벽 없이 인터넷에 연결하면 윈도 XP 네트워크 서비스 취약점을 악용하는 Blaster 웜이 몇 분 안에 시스템을 감염시킬 수 있었던 경우를 들 수 있다.

     

    이러한 방화벽에는 하드웨어 방화벽과 소프트웨어 방화벽이 있으며 라우터는 하드웨어 방화벽의 역할을 하는 반면 소프트웨어 방화벽의 경우 윈도 운영체제에 기본으로 내장돼 있으며 제3자 솔루션을 사용할 수도 있다. 그런데 라우터를 통해 하드웨어 방화벽이 이미 구비돼 있다면 별도의 소프트웨어 방화벽이 필요한지가 문제된다.

     

     

    라우터의 하드웨어 방화벽 기능

     

    가정용 라우터는 네트워크주소변환(network address translation, NAT)을 통해 인터넷서비스제공자(internet service provider, ISP)가 부여한 단일 IP주소를 가정 내 여러 컴퓨터에서 공유 사용할 수 있도록 한다. 이 때 인터넷에서 유입되는 외부 트래픽이 라우터에 도달하면 라우터는 해당 트래픽을 어떤 컴퓨터로 보내야 하는지 모르기 때문에 그 트래픽을 폐기한다. 결과적으로 NAT는 외부 요청이 컴퓨터에 도달하지 못하도록 차단하는 역할을 하는 셈이다.

     

    라우터에 따라서는 설정변경을 통해 특정한 유형의 트래픽이 나가지 못하도록 할 수 있다. 또한 포트포워딩(port-forwarding)을 통해 라우터가 일부 트래픽의 유입을 허용하도록 하거나 외부트래픽 전체를 DMZ(안전지대, demilitarized zone)에 유입되도록 설정하여 그 DMZ가 모든 트래픽을 특정 컴퓨터로 전달하도록 할 수도 있다.


     

     

    소프트웨어 방화벽

     

    소프트웨어 방화벽은 컴퓨터 내에서 작동하면서 외부 트래픽을 차단하고 일부 트래픽은 통과시키는 문지기 역할을 한다. 윈도 운영체제는 윈도 XP 서비스팩2(SP2)부터 소프트웨어 방화벽을 기본 내장하게 됐다. 소프트웨어 방화벽은 컴퓨터 내부에서 구동되므로 어플리케이션의 인터넷 접근을 모니터링할 수 있으며 어플리케이션별로 트래픽 통과 허용여부를 결정할 수 있다. 라우터 없이 컴퓨터를 인터넷에 직접 연결시킬 경우 소프트웨어 방화벽이 있어야 하는데 윈도 운영체제의 경우 방화벽이 기본적으로 내장돼 있으므로 따로 염려할 필요는 없다.


     

     

    하드웨어 방화벽과 소프트웨어 방화벽의 장단점

     

    하드웨어 방화벽과 소프트웨어 방화벽의 중요 공통점은 다음과 같다.

    요청하지 않은 외부 트래픽을 기본적으로 차단하여 네트워크 서비스를 보호

    특정 유형의 내부 트래픽을 차단(일부 라우터 제외)

     

    소프트웨어 방화벽의 장점은 다음과 같다.

    하드웨어 방화벽은 컴퓨터와 인터넷 사이에 위치하는 반면 소프트웨어 방화벽은 컴퓨터와 네트워크 사이에 위치한다. 이 경우 네트워크 내부의 다른 컴퓨터가 감염된다 해도 소프트웨어 방화벽은 그 위협을 차단할 수 있다.

    소프트웨어 방화벽은 어플리케이션 단위로 네트워크접근을 손쉽게 제어할 수 있다. 어떤 어플리케이션이 인터넷에 접근하려 할 경우 이를 사용자에게 알려 그 어플리케이션의 네트워크 접속을 막도록 할 수 있다. 3자 방화벽은 이 기능을 간편하게 사용할 수 있도록 구비하고 있으며 물론 윈도 방화벽을 통해서도 어플리케이션의 인터넷 연결을 차단할 수 있다.

     

    하드웨어 방화벽의 장점은 다음과 같다.

    하드웨어 방화벽은 컴퓨터와 분리되기 때문에 예컨대 웜이 컴퓨터를 감염시켜 소프트웨어 방화벽을 작동 중지시킨다 해도 하드웨어 방화벽에는 관여할 수 없다.

    하드웨어 방화벽을 통해 네트워크를 중앙 제어할 수 있으며 특히 대규모 네트워크의 경우 하나의 기기를 통해 방화벽 설정을 전체 적용할 수 있다는 점이 편리하다. 이는 개별 사용자들이 컴퓨터에서 방화벽 설정을 변경할 수 없도록 방지하는 역할도 한다.

     

     

    이와 같은 하드웨어 방화벽과 소프트웨어 방화벽은 각자 나름의 장단점이 있으며 둘 다 사용한다면 더욱 좋다. 라우터를 이미 사용하고 있는 경우 윈도 방화벽을 기본 설정대로 작동시킨다면 별도의 비용 없이 이중으로 방화벽을 사용하는 효과를 누릴 수 있으며 다만 방화벽에 관련된 다양한 기능을 사용하고 싶다면 윈도 방화벽이 아닌 제3자 방화벽을 사용하는 것도 하나의 방법이다.

     

     

     

    Chris Hoffman, HTG Explains: I Have a Router, Do I Need a Firewall?, 8. 19. 2012.

    http://www.howtogeek.com/122065/htg-explains-i-have-a-router-do-i-need-a-firewall/

     

    번역요약: madfox




    참고링크 


    <유료안티바이러스 제품소개>

    반응형

    댓글

Designed by Tistory.