네트워크 보안 - 방화벽 구축 방법

---

네트워크 보안 - 방화벽 구축 방법

---

다음 지문에서 설명하고 있는 침입차단시스템은?    4
[보기] 
외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크를 두어 내부 네트워크를 외부 네트워크로부터 분리하기 의 한 구조이다. 비무장 지대(DMZ)라고 불리는 경계 네트워크에는 서비스를 위해 외부에서 접속이 많은 시스템을 구성하고 보호할 정보가 많은 시스템은 내부 네트워크 안에 구성한다.

① 스크리닝 라우터(Screening Router) 
② 스크린된 호스트 게이트웨이(Screened Host Gateway)
③ 이중 홈 게이트웨이(Dual-homed Gateway) 
④ 스크린된 서브넷 게이트웨이(Screened Subnet Gateway)

---

 

방어용 라우터, Screening Router

통신망에서 패킷을 전달하고 경로를 배정할 뿐만 아니라 패킷의 헤더 내용을 보고 필터링하는 라우터. 

방어용 라우터만으로도 어느 정도 수준의 보안 접근 제어를 통해 방화벽 시스템 환경을 구현할 수 있으나 라우터에서 구현된 펌웨어 수준으로는 제한점이 많고, 복잡한 정책을 구현하기 어렵다.

방어용 라우터, Screening Router

 

 

방어 호스트 게이트웨이, Screened Host Gateway

패킷 필터링을 하는 방어용 라우터(screening router) 뒤에 있는 호스트 방화벽. 방어 호스트에 대한 접근 빈도는 라우터의 접속 규칙에 좌우된다. 방어 호스트 방화벽은 라우터의 서브넷(subnet)에 위치한 응용 게이트웨이와 허용된 패킷만 통과시키는 방어용 라우터을 혼합하여 구성한다. 그리고 이중 홈 게이트웨이(DHG: Dual-Homed Gateway) 방화벽보다 더 융통성이 필요한 사이트에 적당하다

방어 호스트 게이트웨이, Screened Host Gateway

 

 

이중 홈 게이트웨이, Dual-Homed Gateway, DHG

최소한 두 개의 네트워크 접속을 가진 한 개의 시스템으로 구성되어진 침입 차단 시스템방식．
한 네트워크로부터 다른 네트워크로 직접 패킷이 전송되지 않도록 게이트웨이로 정의된 장치와 통신하게 되며, 양방향의　직접적인 IP 트래픽을 제한한다. 이와 같은 환경에서 외부 네트워크간의 응용 프로그램 패킷을 전달하는 역할을 담당하는 대리자(proxy) 프로그램이 있어서 클라이언트와 서버가 직접 통신을 하지 않고 서로 대리자와 통신하게 되는 것이다. 대리자 프로그램은 주로 패킷의 근원지 주소, 목적지 주소 혹은 포트 번호를 이용하여 통신 패킷의 전달을 제한하게 된다

이중 홈 게이트웨이, Dual-Homed Gateway, DHG

 

 

 

방어 서브넷 게이트웨이, screened subnet gateway

서브넷에 방화벽 시스템을 사용하고, 서브넷이나 내부 네트워크 간은 방어용 라우터(screening router)로 보호하는 서브넷 게이트웨이. 인터넷과 내부 네트워크는 방어용 게이트웨이를 통해서 연결한다.

스크린 서브넷은 일명 DMZ의 역할을 외부 네트워크와 내부 네트워크 사이에 두겠다는 것으로 완충 지역 개념의 서브넷을 운영하는 것이다. 

방어 서브넷 게이트웨이, screened subnet gateway