게이트웨이란 무엇입니까?
현재 세 가지 주요 게이트웨이가 있습니다.
프로토콜 게이트웨이 WNx "
게이트웨이 o:JWN 적용
보안 게이트웨이 전자 상거래
보존의 유일한 공통된 의미는 서로 다른 두 도메인 또는 시스템 간의 게이트웨이로서 극복해야 할 차이의 성격에 따라 필요한 게이트웨이 유형이 결정된다는 것입니다.
게이트웨이란 무엇입니까?
게이트웨이는 이해하기 쉬운 개념이었다. 인터넷 초기에는 게이트웨이라는 용어가 라우터였다. 라우터는 네트워크가 로컬 네트워크를 뛰어 넘는 표시입니다. 이 알 수 없는 "게이트웨이" 는 과거와 현재 모두 라우팅을 계산하고 패킷을 원래 네트워크 외부의 부분으로 전달하는 데 사용되었습니다. 따라서 인터넷에 대한 포털로 간주됩니다. 시간이 지남에 따라 라우터는 더 이상 신기하지 않으며 공용 IP 기반 광역 네트워크의 출현과 성숙은 라우터의 성장을 촉진합니다. 이제 라우팅 기능도 호스트와 스위치 허브에 의해 작동할 수 있습니다. 게이트웨이는 더 이상 신비한 개념이 아닙니다. 이제 라우터는 다기능 네트워크 장치가 되어 LAN 을 여러 네트워크 세그먼트로 나누고, 사설 WAN 의 관련 LAN 을 상호 연결하고, WAN 을 상호 연결하여 인터넷을 구성하므로 라우터는 원래 게이트웨이의 개념을 잃게 됩니다. 그러나 "게이트웨이" 라는 용어는 여전히 사용되고 있으며 여러 가지 기능에 자주 적용됩니다. 게이트웨이를 정의하는 것은 더 이상 쉽지 않습니다.
현재 세 가지 주요 게이트웨이가 있습니다.
프로토콜 게이트웨이 WNx "
게이트웨이 o:JWN 적용
보안 게이트웨이 전자 상거래
보존의 유일한 공통된 의미는 서로 다른 두 도메인 또는 시스템 간의 게이트웨이로서 극복해야 할 차이의 성격에 따라 필요한 게이트웨이 유형이 결정된다는 것입니다.
I. 프로토콜 게이트웨이
프로토콜 게이트웨이는 일반적으로 서로 다른 프로토콜을 사용하는 네트워크 영역 간에 프로토콜 변환을 수행합니다. 이러한 변환 프로세스는 OSI 참조 모델의 레이어 2, 레이어 3 또는 레이어 2 와 레이어 3 사이에서 발생할 수 있습니다. 그러나 변환 기능을 제공하지 않는 두 가지 프로토콜 게이트웨이, 즉 보안 게이트웨이와 파이프가 있습니다. 두 상호 연결된 네트워크 영역 간의 논리적 차이로 인해 보안 게이트웨이는 기술적으로 유사한 두 네트워크 영역 간의 필수 중개자입니다. 전용 광역 통신망, 공용 인터넷 등. 이 예외는 물리적 프로토콜 변환을 위한 프로토콜 게이트웨이에 초점을 맞춘 아래의' 조합 필터링 게이트웨이' 에서 설명합니다.
1, 파이프 게이트웨이
파이프는 호환되지 않는 네트워크 영역을 통해 데이터를 전송하는 일반적인 기술입니다. 패킷은 전송 네트워크에서 인식할 수 있는 프레임으로 캡슐화됩니다. 패킷이 대상에 도달하면 수신 호스트는 캡슐화된 정보를 압축 해제하고 폐기함으로써 패킷을 원래 형식으로 복원합니다.
파이프 기술은 SNA 에서 IPv6 까지의 3 계층 프로토콜에만 사용할 수 있습니다. 파이프 기술은 특정 네트워크 토폴로지 제한을 극복할 수 있는 장점이 있지만 단점도 있습니다. 파이프 라인의 본질은 받아들여서는 안 되는 패킷을 숨길 수 있다. 간단히 말해서, 파이프는 방화벽을 캡슐화하여 필터링해야 할 데이터를 개인 네트워크 영역으로 전송할 수 있습니다.
2. 전용 게이트웨이
많은 전용 게이트웨이가 기존 호스트 시스템과 빠르게 성장하는 분산 처리 시스템 사이에 다리를 놓을 수 있습니다. 일반적인 전용 게이트웨이는 PC 기반 클라이언트를 LAN 에지 변환기에 연결하는 데 사용됩니다. 변환기는 X.25 네트워크를 통해 메인프레임 시스템에 대한 액세스를 제공합니다. 쉿
이러한 게이트웨이는 일반적으로 LAN 에 연결된 컴퓨터에 설치해야 하는 저렴하고 기능적인 단일 회로 기판으로, 매우 저렴하고 쉽게 업그레이드할 수 있습니다. 위 예에서 단일 기능 게이트웨이는 메인프레임 시대의 하드와이어 터미널과 터미널 서버를 PC 와 LAN 으로 업그레이드했습니다.
3, 2 계층 프로토콜 게이트웨이
레이어 2 프로토콜 게이트웨이는 LAN 에서 LAN 으로의 변환을 제공합니다. 이를 프로토콜 게이트웨이가 아닌 변환 브리지라고 합니다. 이러한 변환은 서로 다른 프레임 유형이나 클럭 주파수를 사용하는 LAN 간의 상호 연결에 필요할 수 있습니다.
(1) 서로 다른 프레임 형식은 IEEE802 호환 LAN * * * 공유 공통 미디어 액세스 레이어를 공유하지만 프레임 구조와 미디어 액세스 메커니즘으로 인해 직접 통신할 수 없습니다.
변환 브리지는 MAC 주소와 같은 두 계층의 유사성을 사용하여 프레임 구조의 서로 다른 부분에 대한 동적 변환을 제공하여 서로 통신할 수 있도록 합니다. 1 세대 LAN 은 변환 브리지를 제공하기 위해 별도의 장비가 필요합니다. 오늘날의 멀티 프로토콜 스위칭 허브는 일반적으로 고대역폭 백본을 제공하며 서로 다른 프레임 유형 간의 변환 브리지로 사용할 수 있습니다. 현재 번역교의 배후 성질은 이런 프로토콜 전환을 모호하게 하여, 더 이상 독립된 번역 설비가 필요하지 않게 되었다. (윌리엄 셰익스피어, 번역, 번역, 번역, 번역, 번역, 번역) 다기능 스위칭 허브는 본질적으로 2 계층 프로토콜 변환 게이트웨이 기능을 갖추고 있습니다.
레이어 2 장치 (예: 변환 브리지 또는 멀티 프로토콜 스위칭 허브) 만 사용하는 것 외에도 레이어 3 장치인 라우터를 사용할 수 있습니다. 라우터는 오랫동안 LAN 백본 네트워크의 중요한 구성 요소였다. 라우터가 LAN 과 WAN 을 상호 연결하는 데 사용되는 경우 일반적으로 표준 LAN 인터페이스를 지원합니다. 적절한 구성을 통해 라우터는 서로 다른 프레임 유형을 쉽게 변환할 수 있습니다. 이 시나리오의 단점은 3 계층 장치를 사용하는 경우 라우터가 소프트웨어 기능인 차트를 확인해야 하고 스위치, 허브 등 2 계층 장치의 기능은 하드웨어에 의해 구현되므로 더 빨리 실행할 수 있다는 것입니다.
(2) 전송 속도 차이
많은 과거 LAN 기술이 전송 속도를 높였습니다. 예를 들어 IEEE 802.3 이더넷에는 현재 10Mbps, 100Mbps 및 1bps 버전이 있습니다. 프레임 구조는 동일합니다. 주요 차이점은 물리적 계층과 미디어 액세스 메커니즘입니다. 전송 속도는 다양한 차이 중에서 가장 큰 차이입니다. 토큰 링 네트워크는 또한 전송 속도를 향상시킵니다. 이전 버전의 작업 속도는 4Mbps 였으며, 현재 16Mbps, 100Mbps 의 FDDI 는 토큰 링 네트워크에서 직접 개발되었으며, 일반적으로 토큰 링 네트워크의 백본으로 사용됩니다. 클럭 주파수가 다른 이러한 LAN 기술은 다른 측면에서 호환 가능한 두 LAN 간의 버퍼 인터페이스를 제공하는 메커니즘이 필요합니다. 오늘날의 멀티 프로토콜, 고대역폭 스위칭 허브는 속도 차이를 버퍼링할 수 있는 강력한 백플레인을 제공합니다! 54438+0494!
2 게이트웨이란 무엇입니까
이제 멀티 프로토콜 LAN 은 동일한 LAN 기술의 다른 속도 버전에 대해 내부 속도 버퍼를 제공하거나 다른 802 호환 LAN 에 대해 2 계층 프레임 변환을 제공합니다. 라우터도 속도 차이를 버퍼링할 수 있습니다. 스위치 허브에 비해 메모리는 확장 가능하다는 장점이 있습니다. 메모리는 수신 및 송신 패킷을 어느 정도 캐시하여 적용할 액세스 목록 (필터링) 이 있는지 확인하고 다음 홉을 결정합니다. 이 스토리지를 사용하여 다양한 네트워크 토폴로지에서 발생할 수 있는 속도 차이를 캐시할 수도 있습니다.
둘째, 애플리케이션 게이트웨이
응용 프로그램 게이트웨이는 서로 다른 데이터 형식 간에 데이터를 변환하는 시스템입니다. 일반적인 응용 프로그램 게이트웨이는 한 가지 형식의 입력을 받고, 번역하고, 새로운 형식으로 전송합니다. 입력 및 출력 인터페이스는 독립적이거나 동일한 네트워크 연결을 사용할 수 있습니다.
한 응용 프로그램에 여러 응용 프로그램 게이트웨이가 있을 수 있습니다. 메시지가 여러 형식을 구현할 수 있는 경우 메시지를 제공하는 서버는 다양한 형식의 메일 서버와 상호 작용해야 할 수 있으며, 이 기능을 구현하는 유일한 방법은 다양한 게이트웨이 인터페이스를 지원하는 것입니다.
Application gateway 는 LAN 클라이언트와 외부 데이터 소스에 연결하여 로컬 호스트에 원격 대화형 응용 프로그램에 대한 연결을 제공하는 데도 사용할 수 있습니다. 애플리케이션 논리와 실행 코드를 LAN 에 배치하여 WAN 의 대역폭이 낮고 지연 시간이 길다는 단점을 방지하고 클라이언트의 응답 시간을 단축합니다. 게이트웨이를 적용하여 적절한 컴퓨터에 요청을 보내고, 데이터를 얻고, 필요한 경우 데이터 형식을 클라이언트가 요구하는 형식으로 변환합니다.
이 문서에서는 모든 응용 프로그램 게이트웨이 구성에 대해 자세히 설명하지는 않지만 이러한 예에서는 응용 프로그램 게이트웨이의 각 분기를 요약해야 합니다. 일반적으로 네트워크 데이터의 교차점에 있습니다. 이러한 교차를 완벽하게 지원하려면 LAN 과 WAN 을 포함한 다양한 네트워크 기술을 결합해야 합니다. 테즈
셋째, 보안 게이트웨이
보안 게이트웨이는 프로토콜 수준에서 매우 복잡한 어플리케이션 수준 필터링에 이르기까지 중요하고 고유한 보호 기능을 갖춘 다양한 기술의 흥미로운 융합입니다. 패킷 필터링 회로 게이트웨이와 응용 프로그램 게이트웨이의 세 가지 주요 방화벽 유형이 있습니다.
참고: 세 가지 유형 중 하나는 필터이고 다른 하나는 게이트웨이입니다. 이 세 가지 메커니즘은 일반적으로 함께 사용됩니다. 필터는 합법적인 패킷과 스푸핑 패킷을 구분하는 매핑 메커니즘입니다. 각 방법에는 고유한 능력과 한계가 있으므로 보안 요구에 따라 신중하게 평가해야 합니다.
1, 패킷 필터
패킷 필터링은 가장 기본적인 보안 매핑 형태입니다. 라우팅 소프트웨어는 패킷의 소스 주소, 대상 주소 또는 포트 번호를 기준으로 권한을 설정할 수 있습니다. 잘 알려진 포트 번호를 필터링하면 FTP 및 rlogin 과 같은 인터넷 프로토콜을 차단하거나 허용할 수 있습니다. 필터는 들어오는 데이터 및/또는 나가는 데이터를 조작할 수 있습니다. 네트워크 계층에서 필터링을 수행한다는 것은 라우터가 모든 애플리케이션에 보안 매핑 기능을 제공할 수 있음을 의미합니다. 라우터의 상주 부분 (논리적 의미) 으로서 이러한 필터링은 모든 라우팅 가능한 네트워크에서 자유롭게 사용할 수 있지만 만능으로 오해하지 마십시오. 가방 여과에는 많은 약점이 있지만, 없는 것보다 낫다.
패킷 필터링은 특히 보안 요구 사항이 잘 정의되고 자세히 설명되지 않은 경우 잘 하기 어렵습니다. 이런 여과도 쉽게 깨진다. 패킷 필터링은 각 패킷을 비교하고 헤더 정보와 라우터의 액세스 목록 간의 비교를 기준으로 통과/실패 결정을 내립니다. 이 기술에는 많은 잠재적 약점이 있다. 첫째, 라우터 관리자가 사용 권한 집합을 올바르게 컴파일하는 데 직접 의존합니다. 이 경우 맞춤법 오류는 치명적이며 방어선에 허점을 만들 수 있으며 특별한 기술 없이도 이를 깨뜨릴 수 있습니다. 관리자가 권한을 정확하게 설계해도 논리는 완벽해야 한다. 라우트를 설계하는 것은 간단해 보이지만 복잡한 권한 체인을 개발하고 유지 관리하는 것도 번거로울 수 있습니다. 방화벽의 사용 권한 집합에 따라 일상적인 변경 사항을 이해하고 평가해야 합니다. 새로 추가된 서버가 명확하게 보호되지 않으면 돌파구가 될 수 있습니다.
시간이 지남에 따라 액세스 권한을 조회하면 라우터의 전달 속도가 느려집니다. 라우터가 패킷을 수신할 때마다 패킷이 대상에 도달하는 데 필요한 다음 홉 주소를 확인해야 하며, 이는 CPU 를 소비하는 또 다른 작업인 액세스 목록을 확인하여 대상에 도달할 수 있는지 여부를 확인하는 것과 함께 수행되어야 합니다. 방문 목록이 길수록 이 프로세스에 더 많은 시간이 소요됩니다.
패킷 필터링의 두 번째 단점은 헤더 정보가 유효하며 패킷 출처를 확인할 수 없다는 것입니다. 헤더 정보는 네트워크에 능숙한 사람들에 의해 쉽게 변조됩니다. 이런 변조는 흔히' 사기' 라고 불린다.
패킷 필터링의 약점은 네트워크 리소스를 보호하기에 충분하지 않습니다. 단독으로 사용하는 대신 다른 복잡한 필터링 메커니즘과 함께 사용하는 것이 좋습니다.
2. 게이트웨이 연결
링크 수준 게이트웨이는 사설 보안 네트워크 환경의 요청을 보호하는 데 이상적입니다. 이 게이트웨이는 TCP 요청, 심지어 일부 UDP 요청을 가로채고 데이터 소스를 대신하여 요청된 정보를 얻습니다. 프록시 서버는 월드 와이드 웹의 정보에 대한 요청을 수신하고 데이터 소스를 대신하여 요청을 완료합니다. 실제로 이 게이트웨이는 소스와 대상을 연결하는 선과 비슷하지만 소스가 안전하지 않은 네트워크 영역을 통과할 위험을 방지합니다.
3 게이트웨이란 무엇입니까
이러한 에이전트 요청 방식은 에지 게이트웨이의 보안 관리를 단순화합니다. 액세스 제어가 잘 되면 프록시 서버를 제외한 모든 송신 데이터 흐름이 차단됩니다. 이 서버는 고유한 주소를 가지고 있으며 내부 네트워크 세그먼트에 속하지 않는 것이 좋습니다. 이는 부주의하게 잠재적으로 안전하지 않은 영역에 노출되는 정보의 양을 최소화하며, 외부는 보안 영역 내의 각 네트워크로 연결된 컴퓨터의 네트워크 주소가 아닌 프록시 서버의 네트워크 주소만 얻을 수 있습니다.
3. 게이트웨이 적용
응용 프로그램 게이트웨이는 패킷 필터링의 가장 극단적인 반대입니다. 패킷 필터링은 네트워크 계층 패킷 필터링 장치를 통한 모든 데이터에 대한 공통 보호를 제공하며, 애플리케이션 게이트웨이는 보호가 필요한 각 호스트에 고도로 전문화된 애플리케이션 소프트웨어를 배치하여 패킷 필터링의 트랩을 방지하고 각 호스트에 대한 강력한 보안을 제공합니다.
응용 프로그램 게이트웨이의 예로는 데스크탑 컴퓨팅의 주요 제품 중 하나가 된 바이러스 스캐너가 있습니다. 시작 시 메모리를 호출하고 백그라운드에 남아 알려진 바이러스에 감염된 파일, 심지어 시스템 파일의 변화를 지속적으로 모니터링합니다. 바이러스 스캐너는 잠재적인 바이러스 손상으로부터 사용자를 보호하기 위한 것입니다.
이러한 수준의 보호는 네트워크 계층에서 이루어질 수 없습니다. 각 패킷의 내용을 확인하고, 출처를 확인하고, 정확한 네트워크 경로를 결정하고, 내용이 의미가 있는지 기만적인지 확인해야 합니다. 이 프로세스는 감당할 수 없는 과부하를 일으켜 네트워크 성능에 심각한 영향을 미칠 수 있습니다.
4. 조합 필터링 게이트웨이
조합 필터링 체계를 사용하는 게이트웨이는 그룹화, 링크 및 애플리케이션 레벨 필터링 메커니즘을 포함할 수 있는 중복 및 중첩 필터를 통해 상당히 강력한 액세스 제어를 제공합니다. 이 보안 게이트웨이의 가장 일반적인 구현은 보초병처럼 개인 네트워크 세그먼트의 가장자리를 보호하는 액세스 포인트이며, 이를 에지 게이트웨이 또는 방화벽이라고도 합니다. 이 중요한 책임은 일반적으로 충분한 방어를 제공하기 위해 다양한 필터링 기술이 필요합니다. 다음 그림은 라우터와 프로세서라는 두 가지 구성 요소로 구성된 보안 게이트웨이를 보여줍니다. 프로토콜, 링크 및 애플리케이션 수준 보호를 함께 제공합니다.
다른 게이트웨이 유형과 달리 이 전용 게이트웨이는 변환 기능을 제공해야 합니다. 네트워크 가장자리의 게이트웨이로서, 그들의 임무는 들어오고 나가는 데이터 흐름을 제어하는 것이다. 분명히 이 게이트웨이가 연결된 인트라넷과 엑스트라넷은 모두 IP 프로토콜을 사용하며 프로토콜 변환이 필요 없고 필터링이 가장 중요하다.
인트라넷을 무단 외부 네트워크 액세스로부터 보호하는 이유는 분명합니다. 아웃바운드 액세스를 제어하는 이유는 분명하지 않습니다. 경우에 따라 외부로 전송되는 데이터를 필터링해야 할 수도 있습니다. 예를 들어, 사용자가 브라우징을 기반으로 하는 부가 가치 서비스는 대량의 WAN 트래픽을 생성할 수 있으며, 이를 제어하지 않으면 다른 애플리케이션을 호스팅하는 네트워크의 능력에 쉽게 영향을 줄 수 있으므로 이러한 데이터의 전체 또는 일부를 마스킹해야 합니다.
IP 는 네트워크의 주요 프로토콜이며 네트워크 세그먼트 간의 통신을 위해 설계된 개방형 프로토콜입니다. 이것은 그것의 주요 장점이자 가장 큰 약점이다. 두 IP 네트워크에 상호 연결을 제공하는 것은 본질적으로 대규모 IP 네트워크를 만들고, 네트워크 가장자리를 지키는 작업인 방화벽은 합법적인 데이터와 사기성 데이터를 구분하는 것입니다.
5. 구현 고려 사항
보안 게이트웨이를 실현하는 것은 쉬운 일이 아니며, 그 성공은 수요 정의, 세심한 설계, 원활한 구현에 달려 있습니다. 첫 번째 작업은 보안과 오버 헤드에 대한 심층적 인 이해를 바탕으로 포괄적 인 규칙을 수립하고 허용 가능한 절충안을 정의하는 것입니다. 이러한 규칙은 보안 정책을 설정합니다.
보안 정책은 느슨하거나 엄격하거나 둘 사이일 수 있습니다. 극단적인 경우, 보안 정책의 기본 약속은 모든 데이터가 통과할 수 있도록 하는 것입니다. 예외는 거의 없고 관리가 쉬우며 이러한 예외는 보안 시스템에 명시적으로 추가됩니다. 이런 전략은 쉽게 실현될 수 있으며, 선견지명이 없어도 아마추어 선수라도 최소한의 보호를 보장할 수 있다. 또 다른 극단은 매우 엄격하다. 이러한 전략에서는 전달할 모든 데이터가 허용된다는 것을 명확하게 나타내야 하며, 이를 위해서는 세심한 설계가 필요하며 유지 관리 비용이 많이 들지만 네트워크 보안에 무형의 가치가 있어야 합니다. 보안 정책 관점에서 볼 때 이것이 유일하게 받아들일 수 있는 해결책이다. 이 두 극단 사이에는 구현, 사용 및 유지 보수가 용이한 비용을 절충하는 여러 가지 방안이 있습니다. 올바른 트레이드 오프는 위험과 비용을 신중하게 평가해야합니다.