게이트웨이 / 방화벽

게이트웨이란?

다른 네트워크로 나가거나 다른 네트워크에서 들어오도록 하기 위해 꼭 필요한 통신 기기(로컬 호스트 중 하나)의 일부분이며, 통신 데이터가 다른 네트워크의 호스트와 통신하기 위해서 반드시 통과해야 하는 내부의 출입문이라 할 수 있다.

 

게이트웨이는 왜 필요할까?

동일한 네트워크에 있는 소수의 호스트 컴퓨터 간에 통신은 대상 간에 직접 통신을 하면 되기 때문에 통신 경로가 아주 단순하다. 그냥 서로 통신하면 된다.

 

그러나 서로 다른 네트워크에 있는 다수의 호스트 컴퓨터들이 서로 통신을 할 경우에는, 대상 간의 직접 통신은 통신 경로가 아주 방대해지고 복잡해지기 때문에 비효율적이고 관리가 어렵다.

 

따라서 통신 경로를 단순화하고, 연결 회선을 효율적으로 관리하기 위해서 다수의 호스트들을 여러 그룹으로 나누고, 각 그룹의 호스트들은 한 지점에 공통적으로 접속하게 하며, 각 그룹의 공통된 지점을 다시 서로 연결하면, 다수 간의 통신 경로가 매우 단순화된다. 그리고 이때 각 그룹의 공통된 접속지점을 바로 게이트웨이라 한다. 즉, 게이트웨이는 네트워크의 복잡한 연결을 단순화하고 효율적으로 관리하기 위해 반드시 필요한 기술이다.

 

게이트웨이의 특징

• 게이트웨이는 라우터를 포괄하고 있으며 L4 이상에서 이용한다.
• 기계, 장비가 아니라 인터넷 방향으로 나갈 때 찾아가야할 IP주소이다. (즉 장비가 아닌 개념적 의미 - 통로, 출입구)
• 일반적으로 게이트웨이의 IP주소는 해당 네트워크 안 컴퓨터에 할당된 IP주소 중 끝자리만 다른 형태이다.                 ( 보통 1로 지정하며, 예시로 IP주소가 123.123.123.123이라면, 게이트웨이 주소는 123.123.123.1이 된다.)
• 통신 데이터가 내부에서 외부로 통신(아웃바운드)하는 것은 자유롭지만, 외부에서 내부로 통신(인바운드)하는 것은  기본적으로 차단되어 있다. 
• 게이트웨이를 거칠 때마다 네트워크 부하도 증가하여 전송 속도가 느려질 수 있다.

 

방화벽이란?

- 방화벽은 미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 시스템이다.

- 일반적으로 신뢰할 수 있는 내부 네트워크와 신뢰할 수 없는 외부 네트워크 간의 장벽을 구성하여, 서로 다른 네트워크를 지나는 데이터를 허용 및 거부, 검열, 수정 등의 기능을 갖춘 소프트웨어 또는 그러한 소프트웨어를 구동시키는 하드웨어 장치를 말한다.

 

방화벽의 기능

1. 접근 통제 ( Access Control ) 

  - 허용된 서비스나 전자우편 서버, 공개정보 서버와 같은 특정 호스트를 제외하고는, 외부에서 내부 네트워크에 접속하는      것을 패킷 필터링, 프록시 방식으로 접근을 통제하는 기능

2. 인증 ( Authentication ) 

  - 메세지 인증 : VPN과 같은 신뢰할 수 있는 통신선을 통해 전송되는 메세지의 신뢰성 보장

  - 사용자 인증 : 방화벽을 지나가는 트래픽에 대한 사용자가 누군지에 대해 증명하는 기능 ( OTP, 토큰기반, 패스워드 등 )

  - 클라이언트 인증 : 모바일 사용자처럼 특수한 경우에 접속을 요구하는 호스트에 대해 인가된 호스트인지 확인

3. 감사 및 로그 기능 ( Auditing / Logging )

  - 정책 설정 및 변경, 관리자 접근, 네트워크 트래픽 허용 또는 차단과 관련한 사항 등 접속 정보를 로그로 남김

4. 프라이버시 보호 ( Privacy Protection ) 

  - 이중 DNS, 프록시 기능, NAT 기능 등을 제공하므로써 내부 네트워크와 외부 네트워크 간의 중개자 역할을 하여 내부 네

    트워크의 정보 유출을 방지함

5. 서비스 통제 ( Service Control ) 

  - 안전하지 않거나 위험성있는 서비스를 필터링함으로써 내부 내트워크의 호스크가 가지고 있는 취약점을 감소시킴

6. 데이터 암호화 ( Data Encryption )

  - 방화벽에서 다른 방화벽까지 전송되는 데이터를 암호화하여 보내는 것으로, 보통 VPN의 기능을 이

 

방화벽의 종류

1. 패킷 필터링 ( Packet Filtering ) 방식

• 가장 초기적인 방화벽 방식으로 네트워크 계층과 전송 계층에서 동작한다.
• 데이터 링크 계층에서 네트워크 계층으로 전달되는 패킷을 가로채서 해당 패킷 안의 IP주소와 서비스 포트를 검색하여 정의된 보안 규칙에 따라 서비스의 접근 허용 여부를 결정한다.

● 장점 

  - 다른 방식에 비해 처리가 빠르고, 비용이 적게 든다.

  - 비교적 낮은 계층에서 동작하기 때문에 기존 애플리케이션과 연동이 쉽다.

● 단점 

  - TCP/IP 프로토콜의 구조적 문제로 인하여 패킷 헤더의 조작이 가능하다.

  - 패킷 내의 데이터에 대한 공격을 차단하지 못한다. 

  - 2, 3세대 방화벽에 비해 로깅 기능 및 사용자 인증 기능 제공을 기대하긴 어렵다.

 

2. 상태추적 ( Stateful Inspextion ) 방식

•   2세대 방화벽으로, 패킷 필터링 방식의 내부 데이터를 이용한 공격 취약성을 보완했다.
• 네트워트 계층에서 패킷을 처리하면서도 프로토콜의 상태 정보 테이블을 유지하여, 프로토콜 특성에 따른 변화를 동적으로 대응해준다.
• 기존 패킷 필터링 기능에 session추적기능을 추가하여 일련의 네트워크 서비스의 순서를 추적해 순서에 위배되는 패킷을 모두 차단한다.

● 장점 

  - 모든 통신채널에 대해 추적 가능하다.

  - 한 차원 높은 패킷 필터링 기능을 제공한다.

  - 어플리케이션 게이트웨어 방식과 같은 성능 감소가 발생하지 않는다.

● 단점 

  - 상태 목록에 DoS나 DDoS공격으로 인해 거짓 정보가 가득차게 되면 장비가 일시적으로 정지하거나 재가동이 필요하다.

  - 방화벽을 재구동시 현재 연결에 대한 모든 정보를 잃게 되고 정당한 패킷에 대해 거부가 발생할 수 있다.

 

3. 응용 게이트웨이 ( Application Gateway ) 방식  (2세대냐 3세대냐)

•  OSI 7계층까지 동작하며 통과하는 패킷의 헤더 안의 Data영역까지도 체크하여 통제한다.
• 해당 서비스 별로 프록시가 구동되어 각 서비스 요청에 대하여 방화벽이 접근 규칙을 적용하고 연결을 대신하는 역할을 수행한다.

● 장점 

  - 내부와 외부가 프록시 서버를 통해서만 연결되고, 직접 연결은 허용하지 않기 때문에 내부 네트워크에 대한 경계선 방어 및 내부 네트워크에 대한 정보를 숨길 수 있다.

  - 패킷 필터링 방식보다 높은 보안 설정이 가능하고, 일회용 패스워드를 이용한 강력한 사용자 인증을 제공한다.

  - Session에 대한 정보를 추적할 수 있고, Content Security가 가능하다.

● 단점 

  - 응용 계층에서 동작하므로 네트워크에 많은 부하를 줄 수 있다.

  - 하드웨어에 의존적이다.

  - 일부 서비스에 대해 투명성을 제공하기 어렵다.

  - 미리 정의된 Application만 수용 가능하므로 다양하고 빠르게 발전하는 인터넷 Application에 대응하지 못한다.

 

4. 서킷 게이트웨이 ( Circuit Gateway ) 방식

•   

● 장점 

 

● 단점 

 

5. 하이브리드 방식

•   

● 장점 

 

● 단점 

 

방화벽의 한계점(L3계층)

1. 악의적인 내부 사용자의 공격에 대한 한계

  

2. 방화벽을 경유하지 않는 공격에 대한 한계

  - 내부와 외부 또는 DMZ와 외부 등의 네트워크를 연결하는 경로 중에 방화벽을 경유하지 않는 경로가 있을 때, 방화벽은

   이러한 경로를 통한 공격에 무기력하다.

3.전혀 새로운 형태의 공격에 대한 한계 

  - 방화벽은 예측된 접속에 대한 규칙을 세우고 이에 대해서만 방어하므로 새로운 형태의 공격에는 능동적으로 적용하기

   어렵다.

4. 방화벽은 데이터에 실려있는 악성 코드나 바이러스를 막을 수 없음

  - 방화벽은 패킷의 IP주소와 포트번호로 접근 제어를 수행하여 패킷의 데이터 내용, 프로그램 내부는 검사하지 않기 때문

    에 전송 데이터에 실려있는 악성코드나 바이러스를 탐지하여 방어하는 것에는 어려움이 있다.

 

출처

https://m.blog.naver.com/kangyh5/223175392071

게이트웨이의 개념과 이해

https://blog.naver.com/kjh97852003/220607199121

NTerms, 게이트웨이(Gateway)

https://hstory0208.tistory.com/entry/Gateway%EA%B2%8C%EC%9D%B4%ED%8A%B8%EC%9B%A8%EC%9D%B4%EB%9E%80-Router%EB%9D%BC%EC%9A%B0%ED%84%B0%EB%9E%80-%EA%B0%81-%EA%B0%9C%EB%85%90%EA%B3%BC-%EC%B0%A8%EC%9D%B4%EC%A0%90%EC%97%90-%EB%8C%80%ED%95%B4-%EC%95%8C%EC%95%84%EB%B3%B4%EC%9E%90

Gateway(게이트웨이)란 ? Router(라우터)란? 각 개념과 차이점에 대해 알아보자.

https://co-no.tistory.com/entry/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EB%B0%A9%ED%99%94%EB%B2%BDFirewall

[네트워크] 방화벽(Firewall) (1) - 개념, 기능, 동작방식

 

https://m.blog.naver.com/wnrjsxo/221066364387

침입차단시스템(방화벽, Firewall)의 종류

https://m.blog.naver.com/printf7/221365892493

[08-03] Layer 3 방화벽의 한계와 보안 정책 디자인

https://sjh9708.tistory.com/147

[CS] 분산 시스템 간의 Communication과 RPC(Remote Procedure Call)