네트워크 관리 : 방화벽 프로토콜 - 더미

LAN으로 들어오고 나가는 모든 네트워크 트래픽은 방화벽을 통과해야 네트워크에 대한 무단 액세스가 차단됩니다. 불행한 방문자를 네트워크에서 보호하기 위해 방화벽이 사용하는 네 가지 기술이 있습니다. 이 기술들 중 세 가지가 여기에 설명되어 있습니다. 네 번째, 패킷 필터링은이 기사에서 다루지 않습니다.

Stateful packet inspection (SPI)

Stateful 패킷 검사 ( 는 SPI라고도 함)는 간단한 패킷 필터링의 지능화 단계입니다. 상태 저장 패킷 검사 기능이있는 방화벽은 패킷을 개별적으로보기보다는 그룹으로 봅니다. 방화벽을 통과 한 패킷을 추적하고 무단 액세스를 나타내는 패턴을 감지 할 수 있습니다.

어떤 경우 방화벽은 패킷의 승인 여부를 결정하기에 충분한 정보를 방화벽이 수집 할 때까지 패킷이 도착할 때 패킷을 보류 할 수 있습니다.

스테이트 풀 패킷 검사는 고가의 엔터프라이즈 급 라우터에서만 발견되었습니다. 그러나 이제 SPI 방화벽은 중소 규모 네트워크에서 사용할 수있을만큼 충분히 경제적입니다.

회선 레벨 게이트웨이

A9999 회로 레벨 게이트웨이는 TCP / IP 주소와 포트 번호를 기반으로 클라이언트와 서버 간의 연결을 관리합니다. 연결이 설정된 후 게이트웨이는 시스템간에 흐르는 패킷을 간섭하지 않습니다. 예를 들어 텔넷 회선 수준 게이트웨이를 사용하여 텔넷 연결 (포트 23)을 특정 서버에 허용하고 해당 서버에 대한 다른 유형의 연결을 금지 할 수 있습니다. 연결이 설정된 후 회선 레벨 게이트웨이는 패킷이 연결을 통해 자유롭게 흐르도록합니다. 결과적으로 회선 레벨 게이트웨이는 텔넷 사용자가 특정 프로그램을 실행하거나 특정 명령을 사용하는 것을 막을 수 없습니다. 응용 프로그램 게이트웨이

는 패킷 필터링 방화벽, 상태 보존 형 패킷 검사 또는 회로 수준 게이트웨이 방화벽보다 지능적인 방화벽 시스템입니다. 패킷 필터는 모든 TCP / IP 패킷을 동일하게 취급합니다. 반대로 응용 프로그램 게이트웨이는 방화벽을 통과하는 패킷을 생성하는 응용 프로그램에 대한 세부 정보를 알고 있습니다.

예를 들어 웹 응용 프로그램 게이트웨이는 HTTP 패킷의 세부 정보를 알고 있습니다. 따라서 원본 및 대상 주소와 포트 이외의 패킷을 검사하여 패킷이 방화벽을 통과해야하는지 여부를 결정할 수 있습니다. 또한 응용 프로그램 게이트웨이는 프록시 서버로 작동합니다.간단히 말해서, 프록시 서버

는 클라이언트 컴퓨터와 실제 서버 사이에 위치하는 서버입니다. 프록시 서버는 실제 서버를위한 패킷을 가로 채서 처리합니다.

프록시 서버는 패킷을 검사하여 실제 서버로 전달하거나 패킷을 거부 할 수 있습니다. 또는 프록시 서버는 실제 서버를 포함하지 않고 패킷 자체에 응답 할 수 있습니다. 예를 들어, 웹 프록시는 자주 사용되는 웹 페이지의 사본을 로컬 캐시에 저장합니다. 사용자가 원격 웹 서버에서 웹 페이지를 요청하면 프록시 서버는 요청을 가로 채어 캐시에 이미 페이지 복사본이 있는지 확인합니다. 그렇다면 웹 프록시는 페이지를 사용자에게 직접 반환합니다. 그렇지 않은 경우 프록시는 요청을 실제 서버로 전달합니다. 애플리케이션 게이트웨이는 다양한 유형의 TCP / IP 서버가 TCP / IP 패킷 시퀀스를 처리하는 방법에 대한 세부 사항을 파악하여 수신 패킷이 합법적인지 또는 공격의 일부인지에 대해보다 현명한 결정을 내릴 수 있습니다. 따라서 응용 프로그램 게이트웨이는 한 번에 하나의 패킷 만 처리 할 수있는 단순한 패킷 필터링 방화벽보다 안전합니다.

향상된 애플리케이션 게이트웨이의 보안은 가격이 비싸다. 응용 프로그램 게이트웨이는 패킷 필터보다 구입 비용 및 구성 및 유지 보수 비용 측면에서 더 비쌉니다. 또한 응용 프로그램 게이트웨이는 전달을 허용하기 전에 패킷을보다 자세히 검사하기 때문에 네트워크 성능을 저하시킵니다.