방화벽 (네트워킹): 두 판 사이의 차이
내용 삭제됨 내용 추가됨
using AWB |
|||
34번째 줄:
패킷 자체를 본다면 내부적으로 상태를 관리할 필요가 없으므로 이 종류를 스테이트리스 또는 무상태 방화벽이라 한다. 이 종류의 방화벽은 쉽게 구현할 수 있지만, 모든 패킷에 대해서 매번 정책을 검사하여야 하므로 정책이 많아질수록 속도가 느려지는 단점이 있다.<br />
패킷이 속하는 세션을 관리하여 이 세션에 속하는 패킷들에 대해서 모두 동일한 처리를 하게 하는 방화벽의 종류를 스테이트 풀 방화벽이라 하고 "상태가 있는 방화벽" 또는 유상태 방화벽이라 번역할 수 있다. 방화벽은 두 통신 당사자 간에 세션이 생성될 수 있는 패킷 조합을 감지하여 동적 정책을 내부적으로 관리하며 이 세션에 속하는 패킷들은 방화벽 관리자에 의해서 한번 설정된 후 자주 바뀌지 않는 정적 정책에 비해서 빠르게 검색할 수 있는 동적 정책에 의해서 먼저 허용 또는 거부되므로 무상태 방화벽에 비해서 일반적으로 높은 속도를 제공할 수 있다.<br />
유닉스 계열의 OS는 ipfw(FreeBSD), pf(OpenBSD 및 다른 BSD계열), ipf(다양한 유닉스에서 지원), iptables/ipchain(리눅스) 등의 다양한 커널 기반의 방화벽을 제공한다.
==== 프락시 ====
43번째 줄:
내부 IP 주소 개수보다 더 적은 외부 IP 주소를 사용하므로 하나의 외부 IP 주소 당 여러 내부 IP 주소가 짝 지어져야 한다. 이 때 내부에서는 서로 다른 세션이 외부에서는 하나의 세션으로 보일 경우가 생기며, 이처럼 세션 충돌이 생겼을 경우 출발지 포트를 변경하여 충돌을 피하는데 이를 포트 주소 변환 (PAT)라고 부르기도 한다. <br />
네트워크 주소 변환을 위해서도 방화벽 정책과 같은 정책을 수립하여야 한다. 일반적으로 RFC1918에 정해진 내부 네트워크 대역인 10.0.0.0, 172.16.0.0, 192.168.0.0 대역을 내부 네트워크의 주소로 하고 이 네트워크 전체가 적은 수의 외부 IP 주소로 변환되도록 정책이 만들어져야 한다.
'''<NAT 정책 예>'''
''변환전 내부'' (출발지:172.16.0.0 /12 목적지:Any ) «=» ''변환 후 외부'' (출발지: AAA.BBB.CCC.D1, AAA.BBB.CCC.D2 목적지: Org)<br />
내부에서 사용하는 네트워크 주소 172.16.0.0/12가 외부에서는 AAA.BBB.CCC.D1 또는 D2로 보이게 변환하는 목적의 정책으로 내부 네트워크에서 외부의 어떤 (Any) 서버나 컴퓨터랑 연결할 때, 출발지는 변환이 되지만 목적지는 원래 그대로(Org)로 유지하도록 하겠다는 정책이다. 이 정책은 패킷이 외부로 나갈 때도 적용되어야 하지만, 외부로부터 돌아오는 응답 패킷에도 동일하게 적용되어야 한다.
=== 구현 방법에 따른 분류 ===
| |||