방화벽 구축 환경

1. 베스천호스트(Bastion host)

보호된 네트워크에서 유일하게 외부에 노출되는 내외부 네트워크의 연결점으로 사용되는 호스트

장점

• 스크린라우터 방식보다 안전하다
• 각종 로깅기능 및 정보 생성 및 관리가 용이
• 방화벽 기능 외에는 유틸리티를 삭제한다
• IP포워딩 및 소스 라우팅 기능이 없어야한다

단점

• 베스천 호스트가 손상되면 내부 네트워크를 보호
• 로그인 정보가 유출되면 내부 네트워크를 보호할 수 없다.
• 2계층 공격을 통한 방화벽 우회공격에 취약하다.

 

 

 

2. 스크린 라우터(Screen Router)

일반적인 라우터 기능 외에 추가적으로 패킷 헤더 내용을 보고 패킷 통과여부를 결정할 수 있는 필터링 기능을 가지고 있다.

 

특징

• 네트워크 수준의 IP데이터그램에서 출발지 주소와 목적지 주소에 의해 스크린이 가능
• TCP/UDP 수준의 패킷에서 포트번호, 프로토콜 스크린 기능
• 라우터에 구현된 펌웨어로는 보안 정책이 어려워 스크린 라우터와 베스천 호스트를 함께 운영

장점

• 필터링 속도가 빠르고 비용이 적다
• 하나의스크린 라우터로 내부 네트워크 전체를 보호할 수 있다.
• 네트워크 계층과 트렌스포트 계층만 방어가 가능하다

단점

• 패킷 필터링 규칙을 검증하기 어렵다
• 패킷 내 데이터 고역을 차단하지 못한다
• 스크린라우터 통과 또는 거절에 대한 패킷 기록을 관리하기 어렵다

3. 듀얼 홈 게이트웨이(Dual Home GateWay)

두개의 랜카드를 가진 베스천 호스트 구조를 말한다.

 

장점

• 응용 서비스 종류에 조금 더 종속적이기 때문에 스크린 라우터보다 안전하다
• 각종기록 정보를 생성 및 관리하기 쉽다
• 설치 및 유지보수가 쉽다

단점

• 게이트웨이가 손상되면 내부네트워크를 보호할 수 없다.
• 로그인 정보가 유출 되면 내부 네트워크를 보호할 수 없다.

 

4. 스크린 호스트 게이트웨이 방식

이 방식은 베스천호스트와 스크린 라우터 방식이 혼합하여 구성된 방식이다.

 

장점

• 스크린 라우터와 베스천 호스트 두번을 거쳐야 하기 때문에 보안성이 강화된다
• 네트워크 게층과 응용계층에서 방어하기 때문에 공격이 어렵다
• 가장 많이 사용되는 방화벽 시스템이며 융통성이 좋다
• 듀얼 홈게이트웨이 장점을 그대로 가진다

단점

• 단일포인트 장애가 났을 때 전체 네트워크가 마비되고 두번 거치기 때문에 속도 지연 발생
• 스크린 라우터의 라우팅 테이블이 변경되면 이를 방어할 수 없다.
• 방화벽 시스템 구축 비용이 많다.

5. 스크린 서브넷 게이트웨이

스크린 호스트 게이트웨이와 듀얼 홈 게이트웨이가 결합된 형태로 두개의 스크린 라우터와 베스천 호스트를 이용하여 네트워크에 스크린 서브넷이 DMZ에 놓이게 되는 방식

 

장점

• 다른 방화벽 구조의장점을 가지고 있으며 다계층으로 되어있어 가장강력한 보안성 제공
• 융통성이 뛰어나다

단점

• 다른구조보다 설치하기 어렵고 관리하기 힘들다
• 방화벽 구축비용이 많이든다.
• 서비스 속도가 느리다.

6. Fail Over를 이용한 HA 방화벽 구조 구축

단일 포인트 장애에 대한 대책 방안으로 가용성을 확보하는 차원에서 이중화는 중요하다.