보안 격리 게이트웨이란 무엇인가요?

보안 격리 게이트웨이는 방화벽, IPS, 콘텐츠 필터링, 바이러스 백신, 웹 보안입니다.

보안 게이트웨이는 다양한 기술이 유기적으로 통합되어 중요하고 독특한 보호 역할을 합니다. 그 범위는 프로토콜 수준 필터링에서 매우 복잡한 애플리케이션 수준 필터링까지입니다. 방화벽에는 세 가지 주요 유형이 있습니다. 패킷 필터링 회로 게이트웨이 애플리케이션 게이트웨이

참고: 세 가지 유형 중 하나만 필터이고 나머지는 게이트웨이입니다. 이 세 가지 메커니즘은 종종 조합되어 사용됩니다. 필터는 합법적인 패킷과 스푸핑된 패킷을 구별하는 매핑 메커니즘입니다. 각 방법에는 고유한 기능과 제한 사항이 있으므로 보안 요구 사항에 따라 신중하게 평가해야 합니다.

1. 패킷 필터

패킷 필터링은 보안 매핑의 가장 기본적인 형태입니다. 라우팅 소프트웨어는 패킷의 소스 주소, 대상 주소 또는 포트 번호를 기반으로 권한을 설정할 수 있습니다. 포트 번호 필터링은 FTP, rlogin 등과 같은 인터넷 프로토콜을 차단하거나 허용할 수 있습니다. 필터는 들어오거나 나가는 데이터에 대해 작동하며, 네트워크 계층에서 필터링을 구현하면 라우터가 모든 애플리케이션에 보안 매핑 기능을 제공할 수 있습니다. 라우터의 (논리적으로) 상주하는 부분으로서 이 필터링은 라우팅 가능한 모든 네트워크에서 자유롭게 사용할 수 있지만 패킷 필터링에는 많은 약점이 있지만 없는 것보다 낫습니다.

패킷 필터링은 제대로 수행하기 어렵습니다. 특히 보안 요구 사항이 제대로 정의되지 않고 상세하지 않은 경우 더욱 그렇습니다. 이 필터링도 쉽게 깨집니다. 패킷 필터링은 각 패킷을 비교하고 패킷 헤더 정보를 라우터의 액세스 목록과 비교하여 통과/실패 결정을 내립니다. 이 기술에는 많은 잠재적인 약점이 있습니다. 첫째, 권한 집합을 올바르게 프로그래밍하기 위해 라우터 관리자에게 직접 의존합니다. 이 경우 오타는 치명적일 수 있으며 특별한 기술 없이도 깨질 수 있는 방어에 구멍이 생길 수 있습니다. 관리자가 권한을 정확하게 설계하더라도 논리는 완벽해야 합니다. 경로를 설계하는 것은 간단해 보일 수 있지만, 길고 복잡한 권한 세트를 개발하고 유지하는 것은 번거로울 수 있습니다. 새로 추가된 서버는 방화벽의 권한 세트와 비교하여 일상적인 변경 사항을 이해하고 평가해야 합니다.

시간이 지남에 따라 액세스 조회로 인해 라우터의 전달 속도가 느려질 수 있습니다. 라우터는 패킷을 수신할 때마다 패킷이 목적지에 도달하기 위해 통과해야 하는 다음 홉 주소를 식별해야 하며, 이는 필연적으로 CPU를 많이 사용하는 또 다른 작업을 수반합니다. 즉, 도달이 허용되는지 확인하기 위해 액세스 목록을 확인합니다. 목적지. 액세스 목록이 길수록 이 프로세스에 더 많은 시간이 소요됩니다.

패킷 필터링의 두 번째 결점은 패킷 헤더 정보를 유효한 것으로 간주하여 패킷의 소스를 확인할 수 없다는 것입니다. 헤더 정보는 네트워크에 능숙한 사람이 쉽게 변조할 수 있으며 이러한 변조를 흔히 "스푸핑"이라고 합니다.

패킷 필터링의 다양한 약점으로 인해 네트워크 리소스를 보호하기에는 충분하지 않습니다. 단독으로 사용하는 것보다 더 복잡한 다른 필터링 메커니즘과 함께 사용하는 것이 가장 좋습니다.

2. 링크 게이트웨이

링크 수준 게이트웨이는 비공개 보안 네트워크 환경에서 발생하는 요청을 보호하는 데 이상적입니다. 이 게이트웨이는 TCP 요청은 물론 일부 UDP 요청까지 가로채고 데이터 소스를 대신하여 요청된 정보를 얻습니다. 프록시 서버는 World Wide Web에서 정보에 대한 요청을 수신하고 데이터 소스를 대신하여 요청을 이행합니다. 실제로 게이트웨이는 소스를 대상에 연결하는 선처럼 작동하지만 소스가 네트워크의 보안되지 않은 영역을 통과할 위험으로부터 해방됩니다.

3. 애플리케이션 게이트웨이

애플리케이션 게이트웨이는 패킷 필터링의 가장 극단적인 반대입니다. 패킷 필터링은 네트워크 계층 패킷 필터링 장비를 통과하는 모든 데이터에 대해 보편적인 보호를 구현하는 반면, 애플리케이션 게이트웨이는 보호해야 하는 각 호스트에 고도로 전문화된 애플리케이션 소프트웨어를 배치하여 패킷 필터링 트랩을 방지하고 각 호스트의 견고한 보안을 실현합니다.

애플리케이션 게이트웨이의 예로는 데스크톱 컴퓨팅의 주요 요소 중 하나가 된 특수 소프트웨어인 바이러스 스캐너가 있습니다. 시작 시 메모리에 로드되고 백그라운드에 상주하며 알려진 바이러스 감염 및 시스템 파일 변경 사항에 대해 파일을 지속적으로 모니터링합니다. 바이러스 스캐너는 피해가 발생하기 전에 바이러스로 인한 잠재적 피해로부터 사용자를 보호하도록 설계되었습니다.

이러한 수준의 보호는 각 패킷의 내용을 검사하고, 출처를 확인하고, 올바른 네트워크 경로를 결정하고, 내용이 의미가 있는지 또는 사기성인지 판단해야 하는 네트워크 계층에서는 불가능합니다. . 이 프로세스는 감당할 수 없는 과부하를 발생시키고 네트워크 성능에 심각한 영향을 미칩니다.

4. 결합 필터링 게이트웨이

결합 필터링 방식을 사용하는 게이트웨이는 패킷, 링크 및 애플리케이션 필터링을 포함할 수 있는 중복 및 중첩 필터를 통해 상당히 강력한 액세스 제어를 제공합니다. 기구. 이러한 보안 게이트웨이의 가장 일반적인 구현은 센트리(종종 에지 게이트웨이 또는 방화벽이라고도 함)와 같은 개인 네트워크 세그먼트의 에지에서 진입점과 종료점을 보호하는 것입니다. 이 중요한 책임에는 적절한 방어를 제공하기 위해 다양한 여과 기술이 필요한 경우가 많습니다. 아래 그림은 라우터와 프로세서라는 두 가지 구성 요소로 구성된 보안 게이트웨이를 보여줍니다. 결합되면 프로토콜, 링크 및 애플리케이션 수준 보호를 제공합니다.

이러한 전용 게이트웨이는 다른 유형의 게이트웨이처럼 변환 기능을 제공할 필요가 없습니다. 네트워크 가장자리에 있는 게이트웨이로서 이들의 책임은 들어오고 나가는 데이터 흐름을 제어하는 ​​것입니다. 당연히 이런 종류의 네트워크로 연결된 내부 네트워크와 외부 네트워크 모두 IP 프로토콜을 사용하므로 프로토콜 변환이 필요 없으며 필터링이 가장 중요합니다.

외부 네트워크의 무단 접근으로부터 내부 네트워크를 보호해야 하는 이유는 분명하다. 아웃바운드 액세스를 제어하는 ​​이유는 덜 명확합니다. 외부로 전송되는 데이터를 필터링해야 하는 경우도 있습니다. 예를 들어, 사용자의 검색 기반 부가 서비스는 대량의 WAN 트래픽을 생성할 수 있으며, 이를 제어하지 않으면 네트워크의 다른 애플리케이션 전송 능력에 쉽게 영향을 미칠 수 있으므로 이러한 데이터를 전체적으로 또는 전체적으로 차단해야 합니다. 부분.

네트워킹의 주요 프로토콜인 IP는 네트워크 세그먼트 간의 통신을 구현하도록 설계된 개방형 프로토콜입니다. 이것이 주요 강점이자 가장 큰 약점입니다. 두 IP 네트워크 간의 상호 연결을 제공하면 본질적으로 하나의 대규모 IP 네트워크가 생성되며, 네트워크 가장자리를 보호하는 경비원인 방화벽은 합법적인 데이터와 사기성 데이터를 구별하는 임무를 맡습니다.

5. 구현 시 고려 사항

보안 게이트웨이 구현은 요구 사항 정의, 신중한 설계 및 허점 없는 구현에 달려 있습니다. 첫 번째 작업은 보안과 비용에 대한 깊은 이해를 바탕으로 허용 가능한 절충안을 정의하는 포괄적인 규칙을 설정하는 것입니다. 이러한 규칙은 보안 정책을 설정합니다.

보안 정책은 완화되거나 엄격하거나 그 중간일 수 있습니다. 극단적으로 말하면, 보안 정책의 기본 약속은 보안 아키텍처에 명시적으로 구축된 관리 가능한 소수의 예외를 제외하고 모든 데이터가 통과하도록 허용하는 것입니다. 이 전략은 구현하기 쉽고 예측이 필요하지 않으며 아마추어에게도 최소한의 보호를 보장합니다. 다른 극단은 매우 엄격합니다. 이 전략에서는 전달되는 모든 데이터가 허용되는 대로 명확하게 명시되어야 합니다. 이를 위해서는 신중하고 의도적인 설계가 필요하며 유지 관리 비용이 높지만 네트워크 보안에 무형의 가치가 있습니다. 보안 정책 관점에서 볼 때 이것이 유일하게 수용 가능한 솔루션입니다. 구현 용이성, 사용 및 유지 관리 비용 간의 균형을 제공하는 이러한 두 극단 사이에는 많은 솔루션이 있으며 올바른 균형을 위해서는 위험과 비용에 대한 신중한 평가가 필요합니다.