CISCO 네트워크 - 방화벽

Screening Router

 

개요
 - Packet Filtering Router
 - OSI참조모델의 3,4 Layer사이에서 동작
 - 통신 프로토콜의 형태, source/destination address, port번호를 분석해서

   패킷 트래픽을 Permit/Deny하는 역할을 수행

 

장점
 - Filtering속도가 빠르다
 - 구축비용이 적게 든다
 - 사용자에 대한 투명성을 유지

 

단점
 - 네트워크 계층과 트랜스포트 계층 관점에서만 방어가 가능
 - Packet내의 데이터에 대한 공격은 차단 불가
 - Log 정보의 생성 및 관리가 곤란

Bastion Router (Bastion Host)

 

개요
 - 외부 네트워크와 내부 네트워크 사이에서 방화벽 시스템 역할을 함
 - 내부 네트워크로의 접근을 원할 경우 우선 Bastion Host를 통과해야만 

   내부 네트워크로 접근이 가능
 - 내부 네트워크 전면에서 전체의 보안을 책임지는호스트이기 때문에 

   공격자의 공격 목표가 되기 쉬움

 

장점
 - Screening Router보다 안전
 - 정보 지향적인 공격에 대해 방어가 가능
 - Log 정보의 생성 및 관리가능

 

단점
 - Bastion Host가 손상되면 내부 네트워크의 보호가 불가능
 - Login정보가 유출되면 내부 네트워크의 보호가 불가능

 

*

동일한 서버(HP서버 or IBM서버)를 사용하면 문제가 생길때 같은 문제로 서버 전체가 마비가 될수있기때문에

군데군데 다른 서버를 사용하여 그 문제를 방지하고자 한다.

*

Dual Homed Gateway

 

개요
 - 2개의 NIC (네트워크 인터페이스)를 가진 Bastion Host임
 - 한 개는 외부 네트워크에 연결, 다른 하나는 내부 네트워크에 연결

 

장점
 - Screening Router나 Bastion Host보다 안전
 - 정보 지향적인 공격에 대해 방어가 가능
 - Log 정보의 생성 및 관리가 용이

 

단점
 - Gateway가 손상되면 내부 네트워크 보호가 불가능
 - Login정보가 유출되면 내부 네트워크의 보호가 불가능

 

Screened Host Gateway

 

개요
 - Screening Router + Bastion Host(또는 Dual Homed Gateway)

 

장점
 - 네트워크 계층과 응용 계층에서 방어함
 - 가장 많이 사용되는 방화벽 시스템

 

단점
 - Screening Router의 Routing Table이 변경되면 방어가 불가능함
 - 구축비용이 많음

 

*

특정 호스트를 막는 용도로 사용된다.

*

 

Screened Subnet Gateway

 

개요
 - 외부 네트워크와 내부 네트워크를 Screened Gateway를 통해서 연결함
 - 외부 네트워크와 Screened Subnet사이 및 Screened Subnet과 

   내부 네트워크 사이에 각각 Screened Router를 사용

 

장점
 - 매우 안전함
 - Screened Host Gateway의 장점을 그대로 적용
 - 융통성이 뛰어남

 

단점
 - 구현이 어렵고, 관리하기가 어려움
 - 구축비용이 많이 듦
 - 서비스 속도가 느림

 - 외부에서는 공개서버 까지만 허용

 - 2단계 방식x 다단계 방식으로 구성