네트워크 보안전략과 파이어월 구축방안
싸이버텍홀딩스社 파이어월사업팀 기술지원팀장 김형태
정보통신의 발달은 많은 컴퓨터 분야에 영향을 끼치면서 일상생활의 모든분야에 인터넷 중심의 새로운 질서를 형성시켜 나가고 있다.
그럼에도 불구하고 보안에 대해서는 대부분의 컴퓨터 사용자들이 불감증을가지고 있다.
파이어월(Firewall)은 외부 네트워크에 대한 내부 네트워크의 보호에 중점을 두고 나오기 시작했으며, 이를 제1세대 제품으로 부를 수 있다. 외부에서접근하는 시도에 대해 파이어월을 통하는 내부의 네트워크만이 보호의 대상이 된다는 뜻이다.
하지만 최근의 보안사고 70% 이상이 내부 사용자 소행으로 나타나면서부터제2세대의 파이어월 개념이 도입되기 시작했다.
「체크포인트 파이어월1」은 제2세대 개념의 파이어월로서, 다른 파이어월과 대별되는 내부 「사용자보안」개념이 도입되었다.
인터네트 보안대책 마련을 위해 다음과 같이 7단계 과정에 이르는 방법으로 보안체계를 구축한다.
1단계:전체적인 보안설계, 2단계:외부망과의 물리적 연결점 보안, 3단계:패킷 필터링, 4단계:외부망과의 접속과 응용 보안 게이트웨이, 5단계:서브넷사이의 보안격리, 6단계:호스트 보안, 7단계:사용자·관리자·경영자의 보안인지도 교육 등이 그것이다.
1단계에서는 내부에 접속된 어싱크(async)포트를 통한 내부 호스트의 직접접속, 또는 내부 LAN에 접속된 터미널 서버나 PSTN을 이용한 셸계정 서비스등의 재조정이 필수적이다.
2단계는 외부망과의 물리적 연결점의 보안으로서, 1단계에서 선행된 보안설계에 의해 내부에 두었던 각종 위험요소의 연결 포인트를 외부의 연결점으로 전환하는 작업이다. 즉 외부의 라우터에 접속시키는 과정이라 할 수 있다.
3단계는 패킷 필터링 과정인데 라우터를 통해 들어오는 모든 패킷을 접근리스트로 만들어 패킷필터링을 적용, 1차적인 접근을 제어한다.
「체크포인트 파이어월1」은 라우터를 컨트롤하는 모듈을 지원하며 3단계에서 필요한 필터링 규칙을 라우터에 세트업시킬 수 있다.
4단계에서는 일반적인 개념들의 파이어월이 설치되는 단계이다.
5단계에서는 먼 지역의 네트워크(WAN)가 존재하는 사용자의 경우 주로 연결점을 내부의 라우터로 연결하는데, 비록 신뢰하는 내부사용자라 하더라도서브넷 사이의 라인을 이용해 패킷을 분석한다. 이의 보안을 위해 「체크포인트 파이어월1」은 서브넷을 보호하기 위한 별도의 모듈을 제공한다.
6단계는 호스트 보안단계로서, 호스트에 제공되는 보안툴을 사용해 보안을하고 「체크포인트 파이어월1」에서 제공하는 원 호스트 보호용 「체크포인트 파이어월1」을 설치하면 된다.
7단계에서는 위의 과정을 통해 정의된 모든 보안대책에 대해 사용자·관리자 등에 대한 충분한 보안 인지도 교육을 시키고 이를 준수해 적용하면 된다.
「체크포인트 파이어월1」은 통합관리·애플리케이션 서비스 지원·사용자및 클라이언트의 인증·라우터 컨트롤·앤티 스푸핑(Anti spoofing)·주소번역·고속지원·완벽한 GUI환경지원 등의 기능을 가진다.
「체크포인트 파이어월1」은 소규모 사업장을 위한 솔루션으로, 「파이어월 퍼스트」가 있는 하드웨어의 벤더에게 인터넷 솔루션의 SW형태로 제공되는 파이어월이라고 할 수 있다.