방화벽 관련해서 궁금한게 있습니다. 굉장히 기초적인 질문인데, 좀 부끄럽지만 문의를 드려봅니다.
첫번째 질문은 방화벽에는 1세대, 2세대, 3세대 이렇게 종류가 있다고 알고 있는데요. 그럼 현재 기업에 도입되는 방화벽은 기본적으로 3세대 방화벽이라고 이해를 하면 될까요? 아니면 비용문제로 1,2세대 방화벽도 도입해서 쓰나요?
두번째 질문은 방화벽에 상태저장(stateful) 기능이 있다고 들었습니다. 기본적으로 이 기능을 활성화 하나요? 아니면 회사마다, 망 보안수준마다 다른가요?
그리고 세번째 질문은 방화벽에서 정책을 설정할 때 숫자가 낮은 순서로 우선순위가 높다고 알고 있습니다. 즉, 맨 첫번째 규칙을 맨 처음 적용하고 그 다음 번호 정책을 적용하는 걸로 알고 있는데요. 그럼 기본적으로 첫번째는 무조건 any-any allow로 설정을 해놓고 그 다음에 deny 정책을 반영하는 게 맞는 건가요? 아니면 맨 처음에 1번 정책에는 any-any deny로 설정해놓고 allow 정책을 반영하는게 맞나요?
뉴비라 모르는게 많습니다ㅜ
10개의 답변이 있습니다.
첫번째 질문은 방화벽에는 1세대, 2세대, 3세대 이렇게 종류가 있다고 알고 있는데요. 그럼 현재 기업에 도입되는 방화벽은 기본적으로 3세대 방화벽이라고 이해를 하면 될까요? 아니면 비용문제로 1,2세대 방화벽도 도입해서 쓰나요?
-> 일반적으로, 방화벽을 세대별로 나누는 기준은 방화벽의 기능, 기술 수준, 트래픽 처리 방식, 보안 위협 대응 방식에 따라 정의하고 있습니다.
1세대는 패킷 필터링, 2세대는 상태 기반, 3세대는 애플리케이션, 4세대는 차세대 위협 대응 등의 특징을 가지고 있다고 정의 하고 있습니다.
세대별, 현재 사이버위협의 수준을 봤을 때 기업,기관들에서 3,4세대 방화벽을 도입하고 있다고 볼 수 있을 것 같습니다. 예산을 고려해 1,2세대 방화벽을 고려한다면 기본적인 보안이 필요한 소규모 네트워크 환경이나 제한된 트래픽 제어만 필요하다면 가능할 것 같습니다.
두번째 질문은 방화벽에 상태저장(stateful) 기능이 있다고 들었습니다. 기본적으로 이 기능을 활성화 하나요? 아니면 회사마다, 망 보안수준마다 다른가요?
-> 현재 출시되고 있는 방화벽이라면 상태저장 기능은 대부분 기본적으로 활성화 되어 있을 것입니다.
기능적으로 본다면 트래픽이 생성한 세션상태 정보를 추적하여 들어오는 패킷이 유효한 세션의 일부인지 판단하는 것인데 방화벽의 아주 기본적인 기능 아닐까요?
다만, 특정 고성능 환경에서 상태저장으로 인한 성능 저하를 피하기 위해 비활성화 하기 위한 방안으로일부 방화벽의 경우는 사용자 지정으로 설정할 수 있는 옵션을 제공하는 것도 있습니다. 장단점이죠.
그리고 세번째 질문은 방화벽에서 정책을 설정할 때 숫자가 낮은 순서로 우선순위가 높다고 알고 있습니다. 즉, 맨 첫번째 규칙을 맨 처음 적용하고 그 다음 번호 정책을 적용하는 걸로 알고 있는데요. 그럼 기본적으로 첫번째는 무조건 any-any allow로 설정을 해놓고 그 다음에 deny 정책을 반영하는 게 맞는 건가요? 아니면 맨 처음에 1번 정책에는 any-any deny로 설정해놓고 allow 정책을 반영하는게 맞나요?
-> 비교를 해본다면,
1번 규칙을 any-any-allow 로 한경우
(장점)
- 초기 네트워크 연결 및 서비스 동작 확인이 쉽고,
- 방화벽 정책 적용 후 예상치 못한 연결 차단 이슈가 없음
(단점)
- 초기 상태에서 보안이 약함(차단 정책을 제대로 설계하지 않으면 취약)
- 실수로 특정 트래픽 차단 규칙을 누락할 경우 허용된 상태로 남을 위험
1번 규칙을 any-any-deny 로 한경우
(장점)
- 기본적으로 모든 트래픽을 차단하여 보안 수준이 높음
- 허용된 트래픽만 네트워크를 통과하므로 불필요한 트래픽을 최소화
(단점)
- 초기 설정 시 서비스 연결이 차단될 수 있어 구성 및 테스트에 영향을 줌
- 허용해야 할 트래픽을 모두 정의하지 않으면 운영에 지장이 생길 가능성 있음
참고로, 대부분의 방화벽에서 보안 사고를 방지하기 위해 암묵적으로 차단 정책을 기본으로 적용합니다. 명시적으로 허용되지 않는 모든 트래픽은 자동으로 차단된다고 볼 수 있습니다.
권장한다면,
1.명시적으로 허용해야 할 트래픽만 정책으로 추가
2.정책 하단에 any-any-deny를 명시적으로 추가하거나 암묵적 차단을 보강
하면 어떨까 생각합니다.
(예를 들면)
1.Allow 내부 네트워크 -> 외부 네트워크 (HTTP/HTTPS)
2.Allow 특정 IP -> 내부 서버 (SSH, RDP)
3. Deny 특정 국가 IP -> 내부 네트워크
4. Deny 특정 포트 -> 모든 네트워크
5. Deny 모든 트래픽 (any-any deny)
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입모든 장비들이 1~2~3세대 순으로 나오고 있는데요, 말 그대로 기능 및 성능 향상이
점차적으로 이루어 지고 있는 것이라서 최신에 나온 제품을 구매하는게 제일 좋겠지만,
비용이 안된다면 기능이 조금 떨어지는 제품을 구매할 수 밖에 없는거겠죠.
방화벽 정책은 보안을 제대로 적용하려면 All deny 해 놓고, 필요한 것만 여는 것이 좋습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입방화벽은 세대별 상관없이 그냥 세대가 갈수록 추가 기능이 있다고 생각하면 됩니다.
방화벽의 원래 개념은 그냥 중간에 문역할을 하면서 들어오는 패킷이랑 나가는 패킷 정책에 의해 열어주고 차단한다고 생각하면 됩니다. 그 이상도 그 이하도 아닙니다.
세대가 지날수록 app쪽 차단 기능도 추가되면서 약간 UTM개념으로 IPS, WAF 역할할 수 있는 기능들이 추가된다고 생각하시면 됩니다.
그리고 상태저장은 당연히 있는 기능이니 사용하시면 됩니다. 위에 자세한 설명들이 있으니 생략 하겠습니다.
그리고 방화벽은 기본적으로 whitelist 기반입니다. 즉, 무슨말이냐하면 기본이 차단이고, 허용하고 싶으면 정책을 넣고 정책을 넣지않으면 기본적으로 차단된다고 생각하면 됩니다.
즉, any any deny 이 기본이고 그게 가장 바닥에 기본으로 보이지 않아도 들어가 있다고 생각하면됩니다.
그래서 정책 하나씩 추가될때마다 위에 쌓이는거고, 방화벽은 기본적으로 위에서 아래로 정책이 순서대로 적용된다고 생각하시고 정책을 만드시면 됩니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입답변 참고합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입1.답변 : 현재 3세대와 4세대 혼합으로 보면 됩니다.
비교 요약
특징
1세대
2세대
3세대
4세대
보안 수준
기본
향상된 상태 추적
고급 위협 탐지
AI 및 클라우드 기반 고도화된 보안
적용 범위
단순 네트워크 트래픽 제어
세션 기반 트래픽 제어
애플리케이션 및 통합 보안
클라우드, IoT, 모바일 등 다양한 환경 지원
기술 복잡성
낮음
보통
높음
매우 높음
비용
낮음
보통
높음
매우 높음
적용 예시
소규모 네트워크 보호
기업 내부 네트워크 보호
대기업 및 고급 보안 요구 조직
클라우드 기반 서비스 및 분산 네트워크 환경
2. 상태저장(Stateful)
상태저장(Stateful) 기능은 네트워크 트래픽의 세션 상태를 추적하여 합법적인 연결만 허용하고, 비정상적인 트래픽을 차단함으로써 보안을 강화합니다.
이를 통해 효율적인 트래픽 관리와 성능 최적화를 실현합니다.
상태저장(Stateful) 기능은 협업 환경에서도 보안과 효율성을 제공하여 잘 활용됩니다.
3.정책을 세울때 숫자별로 하지만 숫자의 의미보다 any/deny를 설정했을때 우선순위를 따릅니다.
예를들어 외부 ip를 allow와 any를 했는데 앞단에서 deny를 할경우 뒤에 allow를 하였더라도
차단되어 서비스가 안되는거죠
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입모른다고 부끄러울건 없을 것 같네요.
모두다 아는 사람은 존재할 수 없는 것이고요.
실력 있어 보이는 사람도 어떤 사람이 보기에는 아주 기본적인 내용을 모르고 있을 수도 있겠고요.
모르면 잘 아는 사람에게 물어 보거나 스스로 시행착오를 겪으면서 연구하거나 등등으로 찾아야 하겠고요.
부끄럽다고 모르는 걸 그냥 덮어 두고 있는 것 보다는 알려고 노력하는 것이 잘하는 거라 생각되고요.
초창기 방화벽은 노하우도 부족하고, 하드웨어 성능도 낮기 때문에 가장 기본적인 3계층, 4계층 중심의 차단을 중심으로 할 수 밖에 없었을 거라 생각되고요.
그러다가 노하우도 발전하고, 하드웨어 기술도 발전하면서 2세대, 3세대로 발전하면서 7계층까지 차단하는 기능을 넣어도 충분한 성능을 유지할 수 있는 단계까지 진화된 거라 생각되고요.
3세대 방화벽은 차세대 방화벽, UTM이라는 이름으로 조금 다른 관점으로 만들어졌다가 둘 모두 비슷비슷할 기능이다가 통합되어 가게 된게 아닐까 싶어 보이고요.
요즘 방화벽이라는 이름으로 출시되는 장비들은 3~7계층까지 관리할 수 있는 능력을 갖춘 제품이 아닐까 싶고요.
요즘 나오는 저가형 인터넷 공유기가 1세대 방화벽에 해당된다고 보면 되지 않을까 싶고요.
상태 저장 기능을 활성화하냐, 비활성화하냐는 장비 성능과 트래픽 부하 정도를 고려해서 설정하면 되지 않을까 싶어 보이고요.
화이트 리스트 정책 설정으로 가장 하단은 모두 거부 처리를 해 두고, 허용해야할 내용들을 위쪽에 하나 하나 차례대로 등록 시켜서 정책 설정을 해 나가면 되지 않을까 싶네요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입첫 정책을 any-any allow로 하면 모두 허용됩니다. 아래 정책은 적용되지 않습니다.
any-any allow는 맨 끝에...
방화벽 정책은 위에서 아래로 내려오면서 해당하는 정책을 만나면 처음 만나는 정책이 적용되고...
그 다음 정책들은 적용이 안됩니다.
고로 전체 허용, 전체 차단 같은 정책은 맨 후단에 두셔야 합니다.
반드시 차단하거나, 허용해야 할 정책을 우선순위에 두시고, 전체에 적용되는 정책을 후순위에 두시면 됩니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입다른 분과 큰 차이는 없는데요.
1. 방화벽의 세대 구분은 방화벽 보안 기술의 발전을 반영한 부분이라고 보시면 됩니다.
1세대: 패킷필터링 > 2세대: 패킷필터링+상태정보 > 3세대: OSI7계층까지 검사할 수 있는
어플리케이션 방화벽이라고 보시면 됩니다.
3세대 높아짐에 따라 고도화 보안 위협이 더 유연하게 대응할 수 있죠.
2. 최신 방화벽의 일반적인 기능입니다. 보통 활성화해서 많이 사용합니다.
3. 진화하는 보안 위협에 대응하기 위해서는 any-deny(화이트리스트) 기반으로 구성하는게
일반적입니다. 언제든 없던 보안 위협은 발생할 수 있습니다. 그리고 관리도 더 수월하구요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입첫번째 질문의 답변은 OSI 계층기준으로 보시면 될 듯 해요, 방화벽 세대에 따라 3계층,3~4계층, 7계층 작동 및 식별 범위가 달라졌다고 보시면 됩니다. 계층에 따른 프로토콜 분석 범위가 달라졌습니다.
두번째 질문의 답변은 최신 방화벽은 대부분 상태 저장이 포함되어 있습니다. 요청 세션을 기록했다가 해당 요청에 대한 응답이 오면 허용해줄 수 있으므로 예상치 못한 패킷을 차단하는 등 네트워크 연결 상태 추적하고 트래픽을 안전하게 관리하기 위함 입니다.
세번째 질문의 답변은 방화벽은 화이트리스트 기반으로 모든 트래픽 차단으로 하고 필요한 트래픽만 허용하는게 보편적입니다 ~ (이 부분은 회사마다 다를 순 있으나 방화벽은 정책은 보통 화이트리스트 기반 입니다.)
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입현재 기업들은 대부분 차세대 방화벽(3세대)을 도입하는 추세로. 클라우드 및 원격근무 환경에서 필수적이며, 애플리케이션 인식과 사용자 기반 정책 적용이 가능한 장점이 있습니다
상태저장(stateful) 방화벽은 동적 패킷 필터링을 제공하여 이전의 네트워크 활동 데이터를 기반으로 새로운 위협을 파악할 수 있기 때문에 더 적합한 방화벽입니다.
방화벽 정책 우선순위 설정 같은경우는 다음과 같은 순서로 정책 설정하는 것이 권장됩니다
1. 모든 트래픽을 차단하는 규칙 any deny
2. 특정 시스템을 허용 또는 차단하는 규칙 https allow, http deny
3. 특정 응용 프로그램, 네트워크 서비스 및 포트를 허용/차단하는 규칙
일반적으로 차단정책(ANY-ANY-DENY)을 기반으로 정책을 수립하며,
이는 ACL의 가장 하단에 위치하여 상단의 방화벽 정책 외의 나머지는 전부 차단하도록 설정합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입