[기본개념] 3. Routing
in Concept on Management
이 글은 방화벽 운영에 필요한 기본 개념을 정리한 글입니다.
Routing
1. Routing 개념
라우팅 이란, 네트워크 연결 상에서 내부 네트워크(로컬 서브넷)과 외부 네트워크(인터넷 혹은 다른 로컬 서브넷)과의 연결을 도와주는 경로의 개념이다. 라우팅 장비를 통해서 라우팅이 이루어지며, 미리 경로를 정해 놓거나 라우팅 프로토콜에 따라서 동적으로 경로를 설정할 수 있다.
미리 경로를 설정해 놓는 것을 정적 라우팅이라고 하며, 라우팅 장비 운영자가 직접 네트워크 구성에 맞추어 설정해 준다. 라우팅 프로토콜의 최단 경로 연산이 없으므로 장비의 성능이 좋아지지만, 외부 혹은 내부의 장비 또는 IP 주소가 변경되면 매번 수정해 줘야하는 단점이 있다. 소규모 망이나. 라우팅 장비 간의 설정에 자주 사용한다.
라우팅 프로토콜에 따라서 매번 최적의 경로를 찾는 방법을 동적 라우팅이라고 한다. 계산한 경로는 라우팅 테이블 이라는 구조에 입력을 하며, 라우팅 경로에 설정에 따라 2가지 개념의 프로토콜이 존재한다. 최단 거리를 계산 하는 방법과 링크 상태에 따라 최소 비용을 계산 하는 방법이 있다. 최단 거리를 계산하는 대표적인 프로토콜은 RIP와 IGRP가 있으며, 링크 상태에 따라 최소 비용을 계산하는 대표적인 프로토콜은 EIGRP와 다익스트라 알고리즘으로 유명한 OSPF가 있다. 이러한 동적 라우팅은 기업이나 교육기관 등 대규모 망에 적합하다.
출처: http://www.ktword.co.kr/abbr_view.php?m_temp1=1668
1. 스위치와 라우터의 차이점
라우터는 IP 서브넷 혹은 CIDR 주소를 확인하여 내, 외부를 연결하지만, 스위치는 내부 네트워크(로컬 서브넷)의 장비간 연결을 지원하여 LAN(Local Area Network)를 구성해준다. 장비의 MAC주소와 포트번호가 기록된 MAC주소 테이블을 작성하여 장치 간의 연결을 지원해준다. 새로운 장치에 대한 검색을 위해서 스위치에 연결된 모든 장치에 MAC주소를 물어보는 브로드캐스트(전체 연결)요청을 보내는 특징이 있다. 스위치에 연결된 장비가 많을수록 이로 인해 장비의 성능 저하가 발생하거나 연결 간의 충돌이 발생하기도 한다. 내부는 Router, 외부는 Gateway라고 부른다.
2. 방화벽과 라우터
방화벽과 라우터를 한 장치에서 동시에 서비스 한다면, 별도의 장치를 준비하지 않고도 두가지 기능을 할 수 있다는 장점이 있다. 하지만 방화벽에 많은 필터링 규칙을 넣는다면 라우터의 성능은 급격히 낮아질 수 있다.
2. Routed 모드
Routed모드는 OSI Layer 3 장비처럼 목적지 IP 주소를 가지고 패킷을 보내준다. 가장 일반적인 방화벽 구성의 형태이며, 각각의 인터페이스가 별개의 네트워크로 분리되어 구성한다. 별개의 네트워크에 대한 경로설정 기능이 기본적으로 필요하며 일반적으로 정적 경로설정(Static Routing)을 기본으로 한다. 필요에 따라 RIPv2나 OSPF등 동적 경로설정(Dynamic Routing)을 제공하는 경우도 있으며, NAT기능도 제공한다.
출처: http://blog.naver.com/PostView.nhn?blogId=bestrouting&logNo=50094136714&parentCategoryNo=35&categoryNo=&viewDate=&isShowPopularPosts=true&from=search
3. TP 모드
방화벽에는 크게 두 가지의 모드가 지원된다. TP(Transparent)모드, Routed모드. 그 중에서 TP모드는 스위치나 브릿지 같은 OSI Layer 2 장비처럼 목적지 MAC을 가지고 Ethernet Fame을 보내준다. 일반적으로 방화벽은 라우팅을 기본으로 하여 차단한다. 따라서 침입자들도 방화벽의 설치 유무와 위치를 쉽게 알아낼 수 있다. 이러한 단점을 보완하기 위해 최근에는 스위치나 브릿지처럼 동작하는 TP모드 방화벽이 등장하였다. 하지만, 사설 IP를 변환 해주는 NAT(Network Address Translation)기능을 사용할 수 없는 등 몇가지 사용상의 제약이 다른다. TP모드의 최대 장점은 기존의 네트워크 구조를 변경하지 않고 방화벽만 추가하면 된다. 또한 방화벽에 장애가 생겼을 때, 방화벽만 제거하면 서버들의 네트워크가 정상적으로 작동한다.
Layer 2 스위치와 차이점은 MAC table에 없는 주소의 경우 스위치와는 다르게 Flooding 하지 않고 버린다. 또한, Routing을 지원해주지 않는다. 기본 정책으로는 나가는 프레임은 허용하고, 들어오는 프레임은 차단한다. ARP는 예외적으로 항상 허용되지만 차단할 수도 있다.
“firewall tansparent”명령어로 모드 설정이 가능하며 Access-list 에서 들어오는 패킷은 security-level 100으로, 나가는 패킷은 security-level 0으로 설정한다.
출처: http://blog.naver.com/PostView.nhn?blogId=bestrouting&logNo=50094136714&parentCategoryNo=35&categoryNo=&viewDate=&isShowPopularPosts=true&from=search
