이 글은 방화벽 운영에 필요한 기본 개념을 정리한 글입니다.

Swtich와 기타장비

1. L2 Switch

OSI Layer 2를 기반으로 Ethernet 프로토콜을 사용하여 연결을 스위칭한다. 연결 단위는 Frame이며, 헤더에는 출발지 MAC 주소와 도착치 MAC주소가 포함되어있다. 기본적으로 브로드캐스팅 방식으로 연결 요청을 하며, MAC Table에서 도착지 MAC과 스위치 장비의 포트번호를 비교하여 보내준다..

2. L3 Switch

OSI Layer 3를 기반으로 IP 프로토콜을 이용하여 연결을 스위칭한다. 연결 단위는 Packet이며, 헤더에는 출발지 IP주소와 목적이 IP주소가 포함된다. 라우터와 비슷하게 IP 네트워크를 구분하고, 최적의 경로를 찾을 때 사용하며, 하나 이상의 통신망에 대한 연결 중계를 담당한다. 라우터와는 다르게 하드웨어로 라우팅하며, IP프로토콜만 지원하고, L3 Switch의 속도가 더 빠르다. 이종의 프로토콜을 전환해야하는 WAN영역을 지원하지 않기 때문에 게이트웨이로는 사용할 수 없다.

3. L4 Switch

OSI Layer 4를 기반으로 TCP/IP 프로토콜을 이용하여 연결을 스위칭한다. L3 Swtich와는 다르게 부하 분산 기능에 특화되어 있으며, 포트 번호를 이용한 스위칭까지도 가능하다.

4. L7 Switch

L4 Swich와 동일한 기능을 하며, URL등 컨텐츠 기반으로 연결 제어 기능도 제공한다. L4 Switch와는 다르게 CPU 부하가 많은 편이며, URL기반 필터링, 패킷 분석등을 지원한다.

5. NIDS

네트워크 연결에서 발생하는 공격을 탐지하는 보안 장비로 3가지 방식을 사용합니다. 이미 알려진 공격에 대한 시그니쳐와 비교하는 탐지방식, 비정상적인 트래픽이나 임계치 이상의 연결등을 탐지하는 행위기반 방식, 정의된 규칙을 활용하여 탐지하는 룰 기반 방식이 있다. 또한, Routed방식하고 유사한 in-Line 방식과 TP모드와 유사한 트래픽 Mirroing방식을 사용하는 SPAN방식이 있다. SPAN 방식은 공격 차단의 정확성에 한계가 있고, 트래픽이 과도하게 발생할 경우 일부 트래픽이 누락되는 경우가 있다.

6. WAF

웹 방화벽이란, 네트워크 보안에서 고려되지 못하던 웹 공격에 대한 방어를 제공한다. 패턴 또는 시나리오 형태로 공격 로직을 제공하고 자체 엔진을 통해 탐지한다.