방화벽(UTM)을 이용한 침입 방지 종류와 기술
방화벽(UTM)을 이용한 침입 방지 종류와 기술
시스템 운영에 있어, 최우선으로 고려해야 할 부분은 바로 “보안”이다. 날로 급증하는 보안 위협 공격에 많은 업체들이 고민일 것이다. 최근 다양하고 복잡해지는 보안 위협들을 단일 보안 솔루션으로 막아내기 힘든 상황에서 많은 업체들이 UTM 장비를 이용하고 있다.
UTM(Unified Threat Management)은 물리적인 하나의 장비에서 여러 보안 기능을 통합적으로 제공하는네트워크 보안 장비이다. UTM 장비를 흔히 네트워크 방화벽이라고 하며, 제조사별 장비의 기능 차이가있지만 보편적인 기능으로는 방화벽(Firewall) / 가설사설망(VPN) / 침입탐지 및 방지(IDS/IPS) / Web Filtering 등의기능을 포함하고 있다.
현재 UTM 장비는 각각의 특화된 보안기능을 제공하는 방화벽 장비들을 선보이고 있다.주로 많이 쓰이는 장비는 Firewall / Firewall + IPS / Web Firewall(WAF) 등 3가지의 장비들이 보편적으로 쓰이고 있다.
아래의 내용은 주로 위의 3가지 주로 사용되는 방화벽에 기능 및 차이점 등을 분류한 것이다.
▣ 방화벽 장비의 차이점
장비 구분 |
차이점 |
Firewall (네트워크 방화벽) |
• Layer 3 계층에서 Port를 제어하고 인가된 사용자에 대해서 시스템에 IP와 Port에 대한 접근 및 차단 등의 룰을 정립하여 비인가 접근을 차단 • Routing을 이용한 NAT(주소변환) 기능 제공 • 모든 서버 시스템에 대해 보호 |
IPS (침입방지 시스템) |
• Layer 3 부터 Layer 7 까지의 계층에서 IPS 룰이 가지고 있는 취약점 패턴을 이용하여 패턴과 일치하는 침입시도에 대해서만 탐지 및 차단 제공 • WAF의 기능을 가지고 있으나 HTTP 공격에 대한 패턴은 미비함. • 모든 서버 시스템에 대해 보호 |
Web Firewall (WAF) |
• Layer 7 계층에서 HTTP 프로토콜을 기본으로 하는 취약점 공격만을 탐지 및 차단 • HTTP로 시도되는 분산서비스거부(DDoS) 공격에 대한 차단 제공 • 웹서비스를 하는 웹서버에 대한 보호 |
▣ 방화벽 종류별 기능
구분 |
Firewall (네트워크 방화벽) |
IPS (침입방지 시스템) |
Web Firewall (WAF) |
필요성 |
• 방화벽 내의 시스템과 외부 시스템과의 경계선 역할 |
• 전반적 네트워크 트래픽에 대한 침입 및 침해 사고 대응 |
• 웹 취약점 공격에 대한 침해사고 대응 |
네트워크계층 |
Layer 3 (Network Level) |
Layer 3 ~ Layer 7 |
Layer 7 (Application Level) |
적용 포트 |
모든 포트 |
모든 포트 |
HTTP 및 기타 웹 프로토콜 |
보호 대상 |
방화벽 내부 구간 시스템 |
방화벽 내부 구간 시스템 |
웹 어플리케이션 서버 |
탐지 / 차단 |
• 외부와 내부 구간의 시스템 및 사용자간 IP, Port 제어 |
• 모든 프로토콜에 대한 취약점 관련 패턴을 통한 탐지 및 차단 |
• HTTP 프로토콜에 대한 특화된 취약점 관련 패턴을 통한 탐지 및 차단 |
보안정책 |
• 서버(IP)별 Port 허용 및 차단 정책에 대한 적용 룰 적용 |
• IP대역별 취약점 관련 패턴 탐지 / 차단 |
• IP(서버/도메인)별 HTTP Port 취약점 관련 패턴 탐지 / 차단 |
보안정책관리 |
• 취약점 패턴 관리를 지원 하지 않으며, IP와 Port 제어 |
• 모든 Port에 대한 취약점 패턴 관리 • IP별 세부설정 어려움 |
• HTTP 포트에 한하여 취약점 패턴 관리 • 다른 포트에 대한 관련성 없음. |
▣ 방화벽 구축 사례
현재 보편적으로 사용하는 방화벽(UTM) 장비의 경우 Firewall과 Firewall+IPS, WEB Firewall 이렇게 3가지로 나뉜다.
IP와 PORT 제어만을 사용하게 될 경우, Firewall(네트워크 방화벽)만을 사용 할 수 있다. 이러한 구성의 경우
방화벽 내부와 외부 네트워크를 구분지어 방화벽에 접근 제어 룰셋을 정의한 후 접근 가능하도록 정의해놓은
보안정책 룰에 따라 인가 여부를 확인 후 접근을 가능하도록 한다.
웹 서비스 및 불특정 다수가 이용하는 기타 서비스가 많은 시스템 구성의 경우에는 Firewall 만으로 보안 취약점에
대비하기 어렵기 때문에 이경우에는 Firewall과 IPS가 결합된 방화벽 장비를 사용하게 된다.
불특정 다수가 접근해야 하는 WEB 및 기타 서비스에서 침입 방지를 위해 IPS(침입방지 시스템)이 적용되는
Firewall + IPS 장비를 사용한다.
웹 서비스에 대한 취약점을 미연에 방지하고 싶다면 웹 어플리케이션 방화벽(WAF)를 이용해야 한다.
이경우에는 웹방화벽 자체는 웹서비스의 취야점 침입차단에 특화된 UTM 장비이기 때문에 Firewall 장비와 같이
사용하는 것을 권장한다.
자료 출처 : http://blog.naver.com/90600074?Redirect=Log&logNo=120147694895
출처: https://aonenetworks.tistory.com/132 [AoneNetwork_ IDC Service:티스토리]