다양한 유형의 방화벽에 대한 기본 사항,방화벽 간의 차이점 및 각 유형이 다양한 방식으로 네트워크를 보호하는 방법에 대해 알아보십시오.
방화벽은 개인 네트워크와 외부 세계 사이의 장벽 역할을하는 기본적이지만 필수적인 보안 계층입니다. 1 세대 상태 비저장 방화벽에서 차세대 방화벽에 이르기까지 방화벽 아키텍처는 지난 40 년 동안 엄청나게 발전해 왔습니다. 오늘날 조직은 애플리케이션 수준 게이트웨이(프록시 방화벽),상태 저장 검사 방화벽 및 회로 수준 게이트웨이를 비롯한 여러 유형의 방화벽 중에서 선택할 수 있으며 심층적이고 포괄적인 보안 솔루션을 위해 여러 유형을 동시에 사용할 수도 있습니다.
방화벽이란 무엇이며 무엇을 위해 사용됩니까?
방화벽은 수신 및/또는 발신 네트워크 트래픽을 모니터링하여 사전 정의된 규칙에 따라 악의적인 데이터 패킷을 탐지하고 차단하여 합법적인 트래픽만 개인 네트워크에 들어갈 수 있도록 하는 보안 도구입니다. 하드웨어,소프트웨어 또는 둘 다로 구현되는 방화벽은 일반적으로 조직의 내부 네트워크 및 시스템에 연결하려는 맬웨어,바이러스 및 공격자에 대한 첫 번째 방어선입니다.
건물 정문에 있는 금속 탐지기 문과 마찬가지로 물리적 방화벽이나 하드웨어 방화벽은 각 데이터 패킷을 검사하기 전에 검사합니다. 소스 및 대상 주소를 확인하고 미리 정의된 규칙에 따라 데이터 패킷이 통과해야 하는지 여부를 결정합니다. 데이터 패킷이 조직의 인트라넷 안에 있으면 소프트웨어 방화벽은 트래픽을 추가로 필터링하여 컴퓨터 시스템의 특정 포트 및 응용 프로그램에 대한 액세스를 허용하거나 차단하여 내부자 위협으로부터 더 나은 제어 및 보안을 제공 할 수 있습니다.
액세스 제어 목록은 신뢰할 수 없는 특정 인터넷 프로토콜 주소를 정의할 수 있습니다. 방화벽은 그 유도능력에서 오는 모든 데이터 패킷을 삭제합니다. 또는 액세스 제어 목록에 신뢰할 수 있는 소스 연결망이 지정될 수 있으며 방화벽은 나열된 연결망에서 오는 트래픽만 허용합니다. 방화벽을 설정하는 방법에는 여러 가지가 있습니다. 또한 제공하는 보안 범위는 일반적으로 방화벽 유형 및 방화벽 구성 방법에 따라 다릅니다.
방화벽의 유형은 무엇입니까?
구조적으로 방화벽은 소프트웨어,하드웨어 또는 둘의 조합 일 수 있습니다. 소프트웨어 방화벽은 개별 장치에 별도로 설치됩니다. 그들은 다른 사람을 차단하면서 그들은 하나의 응용 프로그램 또는 기능에 대한 액세스를 허용 할 수 있다는 점에서,보다 세분화 된 제어를 제공합니다. 따라서 관리자는 각 장치에 대해 개별적으로 구성 및 관리해야 합니다. 또한 인트라넷 내의 모든 장치는 단일 소프트웨어 방화벽과 호환되지 않을 수 있으며 여러 다른 방화벽이 필요할 수 있습니다.
반면 하드웨어 방화벽은 물리적 장치이며 각각 고유 한 컴퓨팅 리소스가 있습니다. 내부 네트워크와 인터넷 사이의 게이트웨이 역할을하여 개인 네트워크 외부의 신뢰할 수없는 소스에서 데이터 패킷 및 트래픽 요청을 유지합니다. 물리적 방화벽은 동일한 네트워크에 많은 장치가 있는 조직에 매우 편리합니다. 이 엔드 포인트 중 하나에 도달하기 전에 그들은 잘 악성 트래픽을 차단하는 동안,그들은 내부자 공격에 대한 보안을 제공하지 않습니다. 따라서 소프트웨어 방화벽과 하드웨어 방화벽을 함께 사용하면 조직의 네트워크에 최적의 보안을 제공할 수 있습니다.
방화벽은 또한 작동 방식에 따라 분류되며 각 유형은 소프트웨어 또는 물리적 장치로 설정할 수 있습니다. 그들의 작동 방법에 따라 네 가지 유형의 방화벽이 있습니다.
패킷 필터링 방화벽
패킷 필터링 방화벽은 가장 오래되고 가장 기본적인 유형의 방화벽입니다. 네트워크 계층에서 작동,그들은 단순히 패킷을 전달하거나 폐기할지 여부를 결정하기 위해 미리 정의 된 규칙에 대해 그 소스 아이피 및 대상 아이피,프로토콜,소스 포트 및 대상 포트에 대한 데이터 패킷을 확인합니다. 패킷 필터링 방화벽은 기본적으로 상태 비저장이며,설정된 연결 또는 이전에 해당 연결을 통과 한 패킷을 추적하지 않고 각 패킷을 독립적으로 모니터링합니다. 따라서 이러한 방화벽은 고급 위협 및 공격으로부터 보호 할 수있는 용량이 매우 제한적입니다.
패킷 필터링 방화벽은 빠르고 저렴하며 효과적입니다. 그러나 그들이 제공하는 보안은 매우 기본적인 것입니다. 이러한 방화벽은 데이터 패킷의 내용을 검사 할 수 없기 때문에,그들은 신뢰할 수있는 소스 만능 개발자에서 오는 악성 데이터 패킷으로부터 보호 할 수 없습니다. 상태 비저장이기 때문에 소스 라우팅 공격 및 작은 조각 공격에도 취약합니다. 그러나 최소한의 기능에도 불구하고 패킷 필터링 방화벽은 강력하고 심층적 인 보안을 제공하는 최신 방화벽의 길을 열었습니다.3507>
회로 수준 게이트웨이
세션 계층에서 작업하면서 회로 수준 게이트웨이는 설정된 전송 제어 프로토콜 연결을 확인하고 활성 세션을 추적합니다. 단일 검사를 수행하고 최소한의 리소스를 활용한다는 점에서 패킷 필터링 방화벽과 매우 유사합니다. 그러나 그들은 개방형 시스템 상호 연결 모델의 더 높은 계층에서 기능합니다. 주로 그들은 설정된 연결의 보안을 결정합니다. 내부 장치가 원격 호스트와의 연결을 시작할 때 회로 수준 게이트웨이는 내부 장치를 대신하여 가상 연결을 설정하여 내부 사용자의 아이덴티티 및 아이피 주소를 숨깁니다.
회로 수준 게이트웨이는 비용 효율적이고 단순하며 네트워크 성능에 거의 영향을 미치지 않습니다. 그러나 데이터 패킷의 내용을 검사 할 수 없기 때문에 자체적으로 불완전한 보안 솔루션이 될 수 있습니다. 멀웨어가 포함된 데이터 패킷은 합법적인 핸드셰이크가 있는 경우 회로 수준 게이트웨이를 쉽게 우회할 수 있습니다. 그렇기 때문에 다른 유형의 방화벽이 추가 보호를 위해 회로 수준 게이트웨이 위에 구성되는 경우가 많습니다.
상태 저장 검사 방화벽
회로 수준 게이트웨이보다 한 단계 앞선 상태 저장 검사 방화벽은 설정된 연결을 확인하고 추적하는 것 외에도 패킷 검사를 수행하여 보다 효과적이고 포괄적인 보안을 제공합니다. 이 도구는
상태 저장 검사 방화벽은 소스 및 대상 연결망뿐만 아니라 합법적인 연결을 검사하여 통과할 수 있는 데이터 패킷을 확인합니다. 이러한 추가 검사는 고급 보안을 제공하지만 많은 시스템 리소스를 소비하며 트래픽 속도가 상당히 느려질 수 있습니다. 따라서 디도스(분산 서비스 거부 공격)가 발생하기 쉽습니다.
응용 프로그램 수준 게이트웨이(프록시 방화벽)
프록시 방화벽이라고도 하는 응용 프로그램 수준 게이트웨이는 프록시 장치를 통해 응용 프로그램 계층에서 구현됩니다. 외부인이 내부 네트워크에 직접 액세스하는 대신 프록시 방화벽을 통해 연결이 설정됩니다. 외부 클라이언트는 프록시 방화벽에 요청을 보냅니다. 프록시 방화벽은 요청의 신뢰성을 확인한 후 클라이언트 대신 내부 장치 또는 서버 중 하나에 전달합니다. 대안적으로,내부 장치는 웹페이지에 대한 액세스를 요청할 수 있고,프록시 장치는 내부 장치 및 네트워크의 신원 및 위치를 숨기면서 요청을 전달할 것이다.
패킷 필터링 방화벽과 달리 프록시 방화벽은 상태 저장 및 심층 패킷 검사를 수행하여 사용자 정의 규칙 집합에 대해 데이터 패킷의 컨텍스트 및 내용을 분석합니다. 결과에 따라 패킷을 허용하거나 폐기합니다. 내부 시스템과 외부 네트워크 간의 직접 연결을 방지하여 민감한 리소스의 신원과 위치를 보호합니다. 그러나 최적의 네트워크 보호를 달성하도록 구성하는 것은 약간 어려울 수 있습니다. 프록시 방화벽은 기본적으로 호스트와 클라이언트 사이에 추가 장벽이 되어 상당한 속도 저하를 야기합니다.
차세대 방화벽이란 무엇입니까?
차세대 방화벽은 기존 방화벽의 한계를 극복하고 몇 가지 추가 보안 기능을 제공하기위한 것입니다. 유연한 기능 및 아키텍처에도 불구하고 방화벽을 진정한 차세대로 만드는 것은 포트/프로토콜 및 표면 수준의 패킷 검사 외에도 심층 패킷 검사를 수행 할 수있는 능력입니다. 가트너에 따르면 구체적이고 합의 된 정의는 없지만 차세대 방화벽은”포트/프로토콜 검사 및 차단을 넘어 애플리케이션 수준 검사,침입 방지 및 방화벽 외부에서 정보를 가져 오는 딥 패킷 검사 방화벽”입니다.”
차세대 방화벽은 네트워크 성능에 영향을 주지 않고 다른 유형의 방화벽의 기능을 단일 솔루션으로 결합합니다. 그들은 더 강력 하 고 그들의 전임자 보다 광범위 하 고 깊은 보안을 제공 합니다. 이상과 멀웨어를 탐지하기 위해 심층 패킷 검사를 수행하는 것 외에도 지능형 트래픽 및 리소스 분석을 위한 애플리케이션 인식 기능이 제공됩니다. 이러한 방화벽은 디도스 공격을 완전히 차단할 수 있습니다. 암호화된 애플리케이션에서 데이터 유출 시도를 식별하고 차단할 수 있도록 애플리케이션 전반에 걸쳐 완벽한 가시성을 확보할 수 있는 보안 소켓 계층 복호화 기능이 있습니다.
차세대 방화벽은 사용자와 사용자 역할을 식별할 수 있지만,그 이전의 방화벽은 주로 시스템의 아이피 주소에 의존했다. 이 획기적인 기능을 통해 사용자는 유연한 작업 환경에서 광범위한 보안을 제공하는 동시에 무선 휴대용 장치를 활용하고 자체 장치 정책을 가져올 수 있습니다. 또한 보안에 대한보다 포괄적 인 접근 방식을 제공하기 위해 안티 바이러스 및 침입 방지 시스템(만능 개발)과 같은 다른 기술을 통합 할 수 있습니다.
차세대 방화벽은 건강 보험 이식성 및 책임 법 또는 지불 카드 산업 규칙을 준수해야 하는 기업이나 여러 보안 기능을 단일 솔루션에 통합하려는 기업에 적합합니다. 그러나 그들은 방화벽의 다른 유형보다는 고가 점에 오고,너가 선택하는 방호벽에 따라서,너의 행정관은 다른 안전 시스템에 그들을 형성한것을 필요로 할지도 모른다.
내 조직에 가장 적합한 방화벽 유형은 무엇입니까?
모든 조직의 고유한 보안 요구 사항을 충족할 수 있는 단일 크기에 맞는 솔루션은 없습니다. 실제로,방화벽의 다른 유형의 각자는 그것의 자신의 이득 및 제한이 있다. 패킷 필터링 방화벽은 단순하지만 제한된 보안을 제공하는 반면 상태 저장 검사 및 프록시 방화벽은 네트워크 성능을 손상시킬 수 있습니다. 차세대 방화벽은 완전한 패키지로 보이지만 모든 조직이 성공적으로 구성하고 관리할 수 있는 예산이나 리소스를 갖추고 있는 것은 아닙니다.
공격이 더욱 정교 해짐에 따라 조직의 보안 방어가 따라 잡아야합니다. 외부 위협으로부터 내부 네트워크의 경계를 보호하는 단일 방화벽만으로는 충분하지 않습니다. 개인 네트워크 내의 각 자산은 자체 개인 보호가 필요합니다. 단일 방화벽의 기능에 의존하는 대신 보안에 대한 계층화 된 접근 방식을 채택하는 것이 가장 좋습니다. 또한 조직의 보안 요구 사항에 맞게 특별히 최적화된 아키텍처에서 여러 방화벽의 이점을 활용할 수 있을 때 한 가지 문제를 해결할 수 있습니다.
패러랠 라스를 사용하여 데이터 액세스 보호
끊임없이 진화하는 위협 환경에서 사이버 공격을 탐지하고 완화하는 것은 매우 중요합니다. 그들이 얼마나 정교한 지에 관계없이 방화벽만으로는 충분한 보호 기능을 제공 할 수 없습니다. 가동 가능한 일 환경 및 일에서 가내 사업 모델이 주류가 되기 때문에,고용주와 직원은 비슷하게 긴박한 위협을 진지하게 가지고 가야 한다. 내부 리소스에 원격으로 액세스하려는 직원은 가상 사설망을 통해 액세스해야 하며 조직의 정책을 준수하는 장치를 사용해야 합니다.
패러랠즈 원격 애플리케이션 서버는 멀티 클라우드 환경에서 애플리케이션과 데이터를 모니터링하고 보호하는 다양한 도구와 기능을 제공합니다. 그것은 허용하거나 게이트웨이,미디어 액세스 제어(맥)주소,클라이언트 유형,아이피 주소,특정 사용자 또는 사용자 역할에 따라 액세스를 제한하는 고급 액세스 제어 및 세분화 된 클라이언트 정책을 제공합니다.
패러랠 라스 향상된 데이터 보안은 민감한 데이터를 보호하고 고도로 세분화 된 권한 정책뿐만 아니라 암호화 및 다중 요소 인증을 통해 무단 액세스를 방지 할 수 있습니다. 패러랠 라스,직원은 모든 위치에서 장치 및 액세스 온-프레미스 데이터 및 응용 프로그램 사이를 전환 할 수 있습니다,모든 동안 자원은 내부 네트워크 내에서 안전하게 유지.
패러랠 라스 향상된 데이터 보안은 기업 데이터를 보호 할 수있는 방법에 대한 자세한 학습에 관심이 있으십니까? 오늘 30 일 평가판을 다운로드하십시오!