게이트웨이란 무엇인가요?

게이트웨이는 예전에는 이해하기 쉬운 개념이었습니다. 인터넷 초기에는 게이트웨이라는 용어가 라우터를 의미했습니다. 라우터는 로컬 네트워크를 넘어서는 네트워크의 마커입니다. 이 "게이트"는 경로를 계산하고 원본을 넘어 네트워크의 일부로 전달하는 데 사용되었으며 여전히 사용되는 것으로 간주됩니다. 인터넷으로의 관문. 시간이 지나면서 라우터는 더 이상 마법의 존재가 아니며, 공용 IP 기반 WAN의 출현과 성숙은 라우터의 성장을 촉진했습니다. 이제 라우팅 기능은 호스트와 스위칭 허브에서도 수행될 수 있으므로 게이트웨이는 더 이상 신비한 개념이 아닙니다. 이제 라우터는 다기능 네트워크 장치가 되었습니다. LAN을 여러 네트워크 세그먼트로 나누고, 개인 WAN에서 관련 LAN을 상호 연결하고, WAN을 상호 연결하여 인터넷을 형성할 수 있습니다. . 개념. 그러나 게이트웨이라는 용어는 계속해서 사용되고 있으며 다양한 기능에 계속해서 사용되고 있습니다. 게이트웨이를 정의하는 것은 더 이상 쉬운 작업이 아닙니다.

현재 게이트웨이에는 세 가지 주요 유형이 있습니다:

·프로토콜 게이트웨이 WNx"N

·애플리케이션 게이트웨이 o: JWN

·보안 게이트웨이 E-c

유일하게 공통적으로 유지되는 의미는 두 개의 서로 다른 도메인이나 시스템 사이의 중개자로서의 게이트웨이라는 것입니다. 극복해야 할 차이점의 성격에 따라 필요한 게이트웨이 유형이 결정됩니다.

게이트웨이란 무엇입니까

게이트웨이는 한때 인터넷 초기에 라우터를 지칭하는 용어로 사용되었으며 여전히 이해하기 쉽습니다. 경로를 계산하고 원래 네트워크 외부의 부분으로 패킷을 전달하므로 시간이 지남에 따라 라우터는 더 이상 마법이 아니며 공용 IP 기반 WAN이 등장했습니다. 이제 라우터는 호스트와 스위칭 허브를 통해서도 라우팅 기능을 수행할 수 있게 되었습니다. 이제 게이트웨이는 근거리 통신망을 여러 네트워크 세그먼트로 나눌 수 있는 다기능 네트워크 장치가 되었습니다. , 사설 WAN에서 관련 LAN을 상호 연결하고, WAN을 상호 연결하여 인터넷을 형성함으로써 라우터는 게이트웨이라는 원래 개념을 잃었습니다. 그러나 게이트웨이라는 용어는 여전히 사용되며 다양한 기능에 지속적으로 사용됩니다. 게이트웨이는 더 이상 쉬운 작업이 아닙니다.

현재 게이트웨이에는 세 가지 주요 유형이 있습니다:

·프로토콜 게이트웨이 WNx"N

·애플리케이션 게이트웨이o. : JWN

·보안 게이트웨이 E-c

유일하게 유지되는 일반적인 의미는 두 개의 서로 다른 도메인이나 시스템 사이의 중개자 역할을 하는 게이트웨이라는 것입니다. 극복해야 할 차이점의 성격에 따라 유형이 결정됩니다. 게이트웨이가 필요합니다.

1. 프로토콜 게이트웨이

프로토콜 게이트웨이는 일반적으로 서로 다른 프로토콜을 사용하여 네트워크 영역 간의 프로토콜 변환을 수행합니다. 이 변환 프로세스는 OSI 참조 모델의 레이어 2, 레이어 3 또는 레이어 2와 3 사이에서 발생할 수 있습니다. 그러나 변환 기능을 제공하지 않는 프로토콜 게이트웨이에는 보안 게이트웨이와 파이프라인이 두 가지 있습니다. 상호 연결된 두 네트워크 영역 간의 논리적 차이로 인해 보안 게이트웨이는 기술적으로 유사한 두 네트워크 영역 사이에 필요한 중개자입니다. 개인 광역 네트워크 및 공용 인터넷과 같은. 이 특별한 경우는 나중에 물리적 프로토콜 변환을 수행하는 프로토콜 게이트웨이에 초점을 맞춘 "결합 필터링 게이트웨이"에서 설명합니다.

1. 파이프라인 게이트웨이

파이프라인은 호환되지 않는 네트워크 영역을 통해 데이터를 전송하는 비교적 일반적인 기술입니다. 데이터 패킷은 전송 네트워크에서 인식할 수 있는 프레임으로 캡슐화되어 목적지에 도달하면 수신 호스트는 이를 캡슐화 해제하고 캡슐화된 정보를 폐기하여 패킷을 원래 형식으로 복원합니다.

파이프라인 기술은 SNA에서 IPv6까지 레이어 3 프로토콜에만 사용할 수 있습니다. 파이프 기술은 특정 네트워크 토폴로지 제한을 극복할 수 있다는 장점이 있지만 단점도 있습니다. 파이프의 특성상 허용해서는 안 되는 패킷을 숨길 수 있습니다. 간단히 말해서 파이프는 캡슐화를 통해 방화벽을 뚫고 필터링해야 하는 데이터를 개인 네트워크 영역으로 전달할 수 있습니다.

2. 전용 게이트웨이

많은 전용 게이트웨이는 기존 메인프레임 시스템과 빠르게 발전하는 분산 처리 시스템 사이에 브리지를 구축할 수 있습니다. 일반적인 전용 게이트웨이는 PC 기반 클라이언트를 LAN 가장자리의 스위치에 연결하는 데 사용됩니다. 이 변환기는 X.25 네트워크를 통해 메인프레임 시스템에 대한 액세스를 제공합니다. shoO

이러한 게이트웨이는 일반적으로 LAN에 연결된 컴퓨터에 설치해야 하는 값싼 단일 기능 회로 기판이므로 저렴하고 쉽게 업그레이드할 수 있습니다. 위의 예에서 단일 기능 게이트웨이는 메인프레임 시대의 유선 터미널과 터미널 서버를 PC와 LAN으로 업그레이드합니다.

3. 레이어 2 프로토콜 게이트웨이

레이어 2 프로토콜 게이트웨이는 LAN 간 변환을 제공하며 일반적으로 프로토콜 게이트웨이가 아닌 변환 브리지라고 합니다. 이 변환은 서로 다른 프레임 유형이나 클럭 주파수를 사용하는 LAN 간의 상호 연결에 필요할 수 있습니다.

(1) 프레임 형식 차이점 IEEE802 호환 LAN은 공용 미디어 액세스 계층을 공유하지만 프레임 구조 및 미디어 액세스 메커니즘으로 인해 직접 상호 운용이 불가능합니다.

변환 브리지는 MAC 주소와 같은 레이어 2의 공통 지점을 활용하여 프레임 구조의 다양한 부분을 동적으로 변환하여 상호 운용성을 가능하게 합니다. 1세대 LAN에서는 변환 브리지를 제공하기 위해 별도의 장치가 필요했습니다. 오늘날의 다중 프로토콜 스위칭 허브는 다양한 프레임 유형 간의 변환 브리지 역할을 하는 고대역폭 백본을 제공하는 경우가 많습니다. 이제 변환 브리지의 배후 특성으로 인해 이러한 프로토콜이 변환됩니다. 더 복잡해지고 독립적인 번역 장비가 더 이상 필요하지 않으며 다기능 스위칭 허브는 본질적으로 레이어 2 프로토콜 변환 게이트웨이의 기능을 갖습니다.

변환 브리지나 다중 프로토콜 스위칭 허브와 같은 레이어 2 장치만 사용하는 대신 레이어 3 장치인 라우터를 사용하는 것입니다. 라우터는 오랫동안 LAN 백본의 중요한 부분이었습니다. 라우터를 사용하여 LAN과 WAN을 상호 연결하는 경우 일반적으로 표준 LAN 인터페이스를 지원하며 적절한 구성을 사용하면 라우터가 다양한 프레임 유형의 변환을 쉽게 제공할 수 있습니다. 이 솔루션의 단점은 레이어 3 장치 라우터를 사용하는 경우 소프트웨어 기능인 테이블 조회가 필요한 반면 스위치, 허브 등 레이어 2 장치의 기능은 하드웨어로 구현되어 더 빠르게 실행할 수 있다는 점입니다.

(2) 전송 속도 차이

과거의 많은 LAN 기술은 전송 속도를 향상시켰습니다. 예를 들어 IEEE 802.3 이더넷에는 현재 10Mbps, 100Mbps 및 1bps 버전이 있습니다. 마찬가지로 주요 차이점은 물리 계층과 미디어 액세스 메커니즘에 있습니다. 다양한 차이점 중에서 전송 속도가 가장 눈에 띄는 차이점입니다. 토큰링 네트워크는 전송 속도도 향상되었으며 초기 버전은 4Mbps의 속도로 작동했으며 현재 버전은 100Mbps FDDI가 토큰링에서 직접 개발되었으며 일반적으로 백본으로 사용됩니다. 토큰링 네트워크. 클럭 주파수만 다른 이러한 LAN 기술에는 호환 가능한 두 LAN 간에 버퍼링된 인터페이스를 제공하는 메커니즘이 필요합니다. 오늘날의 다중 프로토콜, 고대역폭 스위칭 허브는 1494 속도 차이를 버퍼링할 수 있는 강력한 백플레인을 제공합니다. p>

2 게이트웨이란 무엇입니까?

오늘날 다중 프로토콜 LAN은 동일한 LAN 기술의 다양한 속도 버전에 대해 내부 속도 버퍼링을 제공할 수 있으며, 서로 다른 802 호환 LAN에 대해 2개도 제공할 수 있습니다. 레이어 프레임 변환. 라우터는 속도 차이에 대한 버퍼링 작업도 수행할 수 있습니다. 스위칭 허브에 비해 라우터의 장점은 메모리 확장이 가능하다는 것입니다. 해당 메모리는 적용할 해당 액세스 목록(필터링)이 있는지 여부를 결정하는 정도까지 들어오고 나가는 패킷을 캐시하고 다음 홉을 결정하는 데에도 사용할 수 있습니다. 다양한 네트워크 간에 존재할 수 있는 속도 차이. 토폴로지.

2. Application Gateway

Application Gateway는 다양한 데이터 형식 간에 데이터를 변환하는 시스템입니다. 일반적인 애플리케이션 게이트웨이는 한 가지 형식의 입력을 받아 변환한 후 새로운 형식으로 보냅니다. 입력 및 출력 인터페이스는 별개이거나 동일한 네트워크 연결을 사용할 수 있습니다.

애플리케이션에는 여러 개의 애플리케이션 게이트웨이가 있을 수 있습니다.

예를 들어, 이메일은 다양한 형식으로 구현될 수 있으며, 이메일을 제공하는 서버는 다양한 형식의 메일 서버와 상호 작용해야 할 수 있습니다. 이 기능을 구현하는 유일한 방법은 다중 게이트웨이 인터페이스를 지원하는 것입니다.

애플리케이션 게이트웨이는 LAN 클라이언트를 외부 데이터 소스에 연결하는 데에도 사용할 수 있습니다. 이 게이트웨이는 로컬 호스트에 원격 대화형 애플리케이션에 대한 연결을 제공합니다. LAN 클라이언트에 애플리케이션 로직과 실행 코드를 배치하면 대역폭이 낮고 대기 시간이 긴 WAN의 단점이 방지되어 클라이언트 응답 시간이 단축됩니다. 애플리케이션 게이트웨이는 해당 컴퓨터에 요청을 보내고 데이터를 얻은 후 필요한 경우 데이터 형식을 클라이언트가 요구하는 형식으로 변환합니다.

이 문서에서는 모든 애플리케이션 게이트웨이 구성에 대한 자세한 설명을 제공하지 않습니다. 이러한 예에서는 애플리케이션 게이트웨이의 다양한 분기를 요약해야 합니다. 이는 일반적으로 네트워크 데이터의 교차점에 위치합니다. 이러한 교차점을 완벽하게 지원하려면 LAN 및 WAN을 포함한 여러 네트워크 기술의 조합이 필요합니다. Tys

3. 보안 게이트웨이

보안 게이트웨이는 다양한 기술의 흥미로운 융합이며 프로토콜 수준 필터링부터 매우 복잡한 애플리케이션 수준 필터링에 이르기까지 중요하고 고유한 보호 기능을 갖추고 있습니다. . 방화벽에는 세 가지 주요 유형이 있습니다. 패킷 필터링 회로 게이트웨이 애플리케이션 게이트웨이

참고: 세 가지 유형 중 하나만 필터이고 나머지는 게이트웨이입니다. 이 세 가지 메커니즘은 종종 조합되어 사용됩니다. 필터는 합법적인 패킷과 스푸핑된 패킷을 구별하는 매핑 메커니즘입니다. 각 방법에는 고유한 기능과 제한 사항이 있으므로 보안 요구 사항에 따라 신중하게 평가해야 합니다.

1. 패킷 필터

패킷 필터링은 보안 매핑의 가장 기본적인 형태입니다. 라우팅 소프트웨어는 패킷의 소스 주소, 대상 주소 또는 포트 번호를 기반으로 권한을 설정할 수 있습니다. 포트 번호 필터링은 FTP, rlogin 등과 같은 인터넷 프로토콜을 차단하거나 허용할 수 있습니다. 필터는 들어오거나 나가는 데이터에 대해 작동하며, 네트워크 계층에서 필터링을 구현하면 라우터가 모든 애플리케이션에 보안 매핑 기능을 제공할 수 있습니다. 라우터의 (논리적으로) 상주하는 부분으로서 이 필터링은 라우팅 가능한 모든 네트워크에서 자유롭게 사용할 수 있지만 패킷 필터링에는 많은 약점이 있지만 없는 것보다 낫습니다.

패킷 필터링은 제대로 수행하기 어렵습니다. 특히 보안 요구 사항이 제대로 정의되지 않고 상세하지 않은 경우 더욱 그렇습니다. 이 필터링도 쉽게 깨집니다. 패킷 필터링은 각 패킷을 비교하고 패킷 헤더 정보를 라우터의 액세스 목록과 비교하여 통과/실패 결정을 내립니다. 이 기술에는 많은 잠재적인 약점이 있습니다. 첫째, 권한 집합을 올바르게 프로그래밍하기 위해 라우터 관리자에게 직접 의존합니다. 이 경우 오타는 치명적일 수 있으며 특별한 기술 없이도 깨질 수 있는 방어에 구멍이 생길 수 있습니다. 관리자가 권한을 정확하게 설계하더라도 논리는 완벽해야 합니다. 경로를 설계하는 것은 단순해 보일 수 있지만, 길고 복잡한 권한 세트를 개발하고 유지하는 것은 번거로울 수 있습니다. 새로 추가된 서버는 방화벽의 권한 세트와 비교하여 일상적인 변경 사항을 이해하고 평가해야 합니다.

시간이 지남에 따라 액세스 조회로 인해 라우터의 전달 속도가 느려질 수 있습니다. 라우터는 패킷을 수신할 때마다 패킷이 목적지에 도달하기 위해 통과해야 하는 다음 홉 주소를 식별해야 하며, 이는 필연적으로 CPU를 많이 사용하는 또 다른 작업을 수반합니다. 즉, 도달이 허용되는지 확인하기 위해 액세스 목록을 확인합니다. 목적지. 액세스 목록이 길수록 이 프로세스에 더 많은 시간이 소요됩니다.

패킷 필터링의 두 번째 결점은 패킷 헤더 정보를 유효한 것으로 간주하여 패킷의 소스를 확인할 수 없다는 것입니다. 헤더 정보는 네트워크에 능숙한 사람이 쉽게 변조할 수 있으며 이러한 변조를 흔히 "스푸핑"이라고 합니다.

패킷 필터링의 다양한 약점으로 인해 네트워크 리소스를 보호하기에는 충분하지 않습니다. 단독으로 사용하는 것보다 더 복잡한 다른 필터링 메커니즘과 함께 사용하는 것이 가장 좋습니다.

2. 링크 게이트웨이

링크 수준 게이트웨이는 비공개 보안 네트워크 환경에서 발생하는 요청을 보호하는 데 적합합니다. 이 게이트웨이는 TCP 요청은 물론 일부 UDP 요청까지 가로채고 데이터 소스를 대신하여 요청된 정보를 얻습니다. 프록시 서버는 World Wide Web에서 정보에 대한 요청을 수신하고 데이터 소스를 대신하여 요청을 이행합니다.

실제로 게이트웨이는 소스를 대상에 연결하는 선처럼 작동하지만 소스가 네트워크의 보안되지 않은 영역을 통과할 위험으로부터 해방됩니다.

3 게이트웨이란 무엇인가요?

이러한 프록시 요청 방법은 Edge 게이트웨이의 보안 관리를 단순화합니다. 액세스 제어가 잘 이루어지면 프록시 서버를 제외한 모든 아웃바운드 데이터 흐름이 원활해집니다. 차단되었습니다. 이상적으로 이 서버는 내부적으로 사용되는 네트워크 세그먼트에 속하지 않는 고유한 주소를 갖습니다. 이는 보안되지 않은 영역에 부주의하고 미묘하게 노출되는 정보의 양을 절대적으로 최소화합니다. 보안 영역에 있는 모든 네트워크 컴퓨터의 네트워크 주소가 아닌 프록시 서버의 네트워크 주소만 외부에서 사용할 수 있습니다.

3. 애플리케이션 게이트웨이

애플리케이션 게이트웨이는 패킷 필터링의 가장 극단적인 반대입니다. 패킷 필터링은 네트워크 계층 패킷 필터링 장비를 통과하는 모든 데이터에 대해 보편적인 보호를 구현하는 반면, 애플리케이션 게이트웨이는 보호해야 하는 각 호스트에 고도로 전문화된 애플리케이션 소프트웨어를 배치하여 패킷 필터링 트랩을 방지하고 각 호스트의 견고한 보안을 실현합니다.

애플리케이션 게이트웨이의 예로는 데스크톱 컴퓨팅의 주요 요소 중 하나가 된 특수 소프트웨어인 바이러스 스캐너가 있습니다. 시작 시 메모리에 로드되고 백그라운드에 상주하며 알려진 바이러스 감염 및 시스템 파일 변경 사항에 대해 파일을 지속적으로 모니터링합니다. 바이러스 스캐너는 피해가 발생하기 전에 바이러스로 인한 잠재적 피해로부터 사용자를 보호하도록 설계되었습니다.

이러한 수준의 보호는 각 패킷의 내용을 검사하고, 출처를 확인하고, 올바른 네트워크 경로를 결정하고, 내용이 의미가 있는지 또는 사기성인지 판단해야 하는 네트워크 계층에서는 불가능합니다. . 이 프로세스는 감당할 수 없는 과부하를 발생시키고 네트워크 성능에 심각한 영향을 미칩니다.

4. 결합 필터링 게이트웨이

결합 필터링 방식을 사용하는 게이트웨이는 패킷, 링크 및 애플리케이션 필터링을 포함할 수 있는 중복 및 중첩 필터를 통해 상당히 강력한 액세스 제어를 제공합니다. 기구. 이러한 보안 게이트웨이의 가장 일반적인 구현은 센트리(종종 에지 게이트웨이 또는 방화벽이라고도 함)와 같은 개인 네트워크 세그먼트의 에지에서 진입점과 종료점을 보호하는 것입니다. 이 중요한 책임에는 적절한 방어를 제공하기 위해 다양한 여과 기술이 필요한 경우가 많습니다. 아래 그림은 라우터와 프로세서라는 두 가지 구성 요소로 구성된 보안 게이트웨이를 보여줍니다. 결합되면 프로토콜, 링크 및 애플리케이션 수준 보호를 제공합니다.

이러한 전용 게이트웨이는 다른 유형의 게이트웨이처럼 변환 기능을 제공할 필요가 없습니다. 네트워크 가장자리에 있는 게이트웨이로서 이들의 책임은 들어오고 나가는 데이터 흐름을 제어하는 ​​것입니다. 당연히 이런 종류의 네트워크로 연결된 내부 네트워크와 외부 네트워크 모두 IP 프로토콜을 사용하므로 프로토콜 변환이 필요 없으며 필터링이 가장 중요합니다.

외부 네트워크의 무단 접근으로부터 내부 네트워크를 보호해야 하는 이유는 분명하다. 아웃바운드 액세스를 제어하는 ​​이유는 덜 명확합니다. 외부로 전송되는 데이터를 필터링해야 하는 경우도 있습니다. 예를 들어, 사용자의 검색 기반 부가 서비스는 대량의 WAN 트래픽을 생성할 수 있으며, 이를 제어하지 않으면 네트워크의 다른 애플리케이션 전송 능력에 쉽게 영향을 미칠 수 있으므로 이러한 데이터를 전체적으로 또는 전체적으로 차단해야 합니다. 부분.

네트워킹의 주요 프로토콜인 IP는 네트워크 세그먼트 간의 통신을 구현하도록 설계된 개방형 프로토콜입니다. 이것이 주요 강점이자 가장 큰 약점입니다. 두 IP 네트워크 간의 상호 연결을 제공하면 본질적으로 하나의 대규모 IP 네트워크가 생성되며, 네트워크 가장자리를 보호하는 경비원인 방화벽은 합법적인 데이터와 사기성 데이터를 구별하는 임무를 맡습니다.

5. 구현 시 고려 사항

보안 게이트웨이 구현은 요구 사항 정의, 신중한 설계 및 허점 없는 구현에 달려 있습니다. 첫 번째 작업은 보안과 비용에 대한 깊은 이해를 바탕으로 허용 가능한 절충안을 정의하는 포괄적인 규칙을 설정하는 것입니다. 이러한 규칙은 보안 정책을 설정합니다.

보안 정책은 완화되거나 엄격하거나 그 중간일 수 있습니다. 극단적으로 말하면, 보안 정책의 기본 약속은 보안 아키텍처에 명시적으로 구축된 관리 가능한 소수의 예외를 제외하고 모든 데이터가 통과하도록 허용하는 것입니다. 이 전략은 구현하기 쉽고 예측이 필요하지 않으며 아마추어에게도 최소한의 보호를 보장합니다.

다른 극단은 매우 엄격합니다. 이 전략에서는 전달되는 모든 데이터가 허용되는 대로 명확하게 명시되어야 합니다. 이를 위해서는 신중하고 의도적인 설계가 필요하며 유지 관리 비용이 많이 들지만 네트워크 보안에 무형의 가치가 있습니다. 보안 정책 관점에서 볼 때 이것이 유일하게 수용 가능한 솔루션입니다. 구현 용이성, 사용 및 유지 관리 비용 간의 균형을 제공하는 이러한 두 극단 사이에는 위험과 비용에 대한 신중한 평가가 필요합니다.