1. 방화벽 정책의 기본 요소

방화벽은 네트워크 트래픽을 허용하거나 차단하기 위해 여러 조건을 설정하는데,
이때 적용되는 규칙을 정책(Policy)이라고 한다.

보통 한 개의 정책은 다음 항목들로 구성된다.

• Source (출발지): 내부 또는 외부의 IP, 포트, Zone
• Destination (목적지): 접근 대상의 IP, 포트, Zone
• Service: HTTP, HTTPS, FTP 등 특정 프로토콜/포트
• Action: 허용(Allow) 또는 차단(Deny)
• Schedule (선택적): 특정 시간에만 허용하는 설정
• Log: 해당 정책 적용 시 로그를 남길지 여부

방화벽은 정책을 위에서 아래 순서로 적용하며,
가장 먼저 일치하는 조건의 정책을 적용한다. 이를 선순위 처리(Top-down)라고 한다.

2. Zone 기반 정책 구성

요즘 대부분의 방화벽은 Zone 기반 정책 관리 방식을 사용한다.

• 예시:
  • trust → untrust: 내부에서 외부로 나가는 트래픽
  • dmz → trust: DMZ에서 내부 서버로 접근 시

Zone을 활용하면 물리적 인터페이스보다 논리적 그룹 단위로 정책을 관리할 수 있어,
복잡한 네트워크 환경에서도 정책을 간결하게 유지할 수 있다.

3. 정책 작성 시 유의할 점

• 정책 범위는 좁게: 출발지/목적지/서비스 범위를 구체화해야 보안성이 높아진다.
• ANY 사용은 최소화: 편하지만 위험도 크다. 테스트 외에는 최소한으로 사용
• 정책 설명 작성: 정책별로 설명을 남기면 운영 중 유지보수나 인수인계 시 도움이 된다.
• 정책 순서 중요: 상위 정책이 먼저 적용되므로 유사 정책이 있다면 순서 조정에 유의해야 한다.

4. 정책 예시 정리

아래는 학습 중 참고한 문서들을 기반으로 정리한 일반적인 정책 예시 구성이다.

이 예시는 내부 사용자에게 HTTPS만 허용하고,
나머지 외부 접근은 차단하는 기본적인 정책 구조이다.

마무리

• 방화벽 정책은 트래픽 제어를 위한 조건 집합이다.
• 보안성과 효율성을 위해 Zone 기반 구성과 정책 순서에 대한 이해가 필요하다.
• 실무에서 자주 등장하는 정책들을 참고하며 기초 개념을 체계적으로 정리해두는 것이 중요하다.

Stateful Inspection이란? – 상태 기반 방화벽의 동작 방식

방화벽은 네트워크 보안을 위해 다양한 방식으로 트래픽을 검사합니다.
그 중 많이 사용되는 방식이 Stateful Inspection(상태 기반 검사)입니다.

이번 글에서는 Stateful Inspection의 원리를 간단히 정리해봅니다.

Stateless vs Stateful

먼저 Stateless Filtering과 비교해보면 이해가 쉬워집니다.

• Stateless Filtering
  • IP, 포트, 프로토콜 등 패킷의 단편적인 정보만 보고 판단
  • 연결 상태는 고려하지 않음
  • 빠른 처리 가능하지만 정밀한 제어는 어려움
• Stateful Inspection
  • 연결의 상태(세션)를 추적하며 전체 흐름을 기준으로 판단
  • TCP 핸드셰이크, 세션 유지/종료 여부 등을 실시간으로 관리
  • 정밀하고 안전한 트래픽 제어가 가능

Stateful Inspection의 동작 방식

1. 초기 패킷 감지
   • 새로운 연결 요청이 들어오면, 세션 테이블에 해당 세션 정보를 등록
2. 세션 추적
   • 이후 들어오는 패킷은 기존 세션과 일치하는지 확인하여 처리
   • TCP 상태(3-way 핸드셰이크, 연결 유지, FIN 종료 등)를 추적
3. 비정상 트래픽 판단
   • 세션 정보와 일치하지 않거나, 예상되지 않은 방향의 트래픽은 차단
4. 세션 종료 처리
   • 연결 종료 시 세션 테이블에서 해당 항목 삭제

장점은 무엇일까

• 단순 필터링보다 정확한 보안 제어 가능
• 응답 트래픽만 허용하거나, 세션 없는 비정상 트래픽 차단 등 세부 정책 설정 가능
• 대부분의 현대적인 방화벽(FortiGate, Palo Alto 등)에서 기본 적용되는 방식

요약

Stateful Inspection은 세션 상태를 추적해 트래픽을 판단하는 방화벽 기술입니다.
연결의 흐름 전체를 이해하므로 보다 정밀하고 효과적인 보안이 가능합니다.
현재 대부분의 보안 장비에 기본 적용되어 있으며, 네트워크 보안에서 핵심적인 역할을 합니다.

방화벽(Firewall)이란? – 기본 개념과 동작 방식 요약

최근에 네트워크 보안 관련 개념들을 다시 정리하면서,
기초적인 용어와 동작 방식을 간단하게 글로 남겨보려 합니다.
이번 글에서는 가장 대표적인 보안 장비인 방화벽(Firewall)에 대해 간단히 소개합니다.

방화벽의 역할

방화벽은 내부 네트워크를 외부의 위협으로부터 보호하기 위한 보안 장비입니다.
주요 기능은 다음과 같습니다:

• 트래픽 허용/차단: IP, 포트, 프로토콜 등을 기준으로 제어
• 비정상 트래픽 탐지 및 차단: DDoS 공격, 포트 스캔 등
• 로그 기록: 트래픽 흐름을 기록하고 분석에 활용 가능

방화벽의 동작 방식

방화벽의 동작 방식은 다음과 같이 나눌 수 있습니다:

1. 패킷 필터링 (Packet Filtering)
   • IP 주소, 포트 등 헤더 정보를 기준으로 필터링
   • 속도는 빠르지만 상태 추적은 불가능
2. 상태 기반 검사 (Stateful Inspection)
   • 연결 상태 정보를 기반으로 트래픽을 판단
   • 더 정밀한 제어가 가능함
3. 프록시 방식 (Proxy-based Firewall)
   • 요청을 대신 전달하는 중계 서버를 통해 검사
   • 보안성은 높지만 성능은 다소 떨어질 수 있음

요약

• 방화벽은 외부로부터의 공격을 막고, 내부 네트워크를 보호하는 역할을 함
• 다양한 방식으로 트래픽을 제어하며, 보안 정책을 적용함
• 네트워크 보안의 기본이 되는 장비로 자주 활용됨

FortiAnalyzer-810G

Specifications

문의

---

김 재 익 주임

Infra Biz Group / 보안사업2팀

TEL : 02)6090-7754           FAX : 02)6090-7999

Mobile : 010-7799-7277   E-mail : jikim@kcc.co.kr

[04308] 서울특별시 용산구 청파로 61길 5, 7층

FortiAnalyzer-300G

Specifications

문의

---

김 재 익 주임

Infra Biz Group / 보안사업2팀

TEL : 02)6090-7754           FAX : 02)6090-7999

Mobile : 010-7799-7277   E-mail : jikim@kcc.co.kr

[04308] 서울특별시 용산구 청파로 61길 5, 7층

FortiAnalyzer-150G

Specifications

문의

---

김 재 익 주임

Infra Biz Group / 보안사업2팀

TEL : 02)6090-7754           FAX : 02)6090-7999

Mobile : 010-7799-7277   E-mail : jikim@kcc.co.kr

[04308] 서울특별시 용산구 청파로 61길 5, 7층

DLP(Data Loss Prevention)

데이터 손실 방지를 의미, 데이터 흐름을 감시하고 기업 내부의 중요 정부에 대한 유출을 감시 및 차단하는 방식
PC, Network 등 데이터가 흐르는 영역을 암호화하는 솔루션

장점

• 편의성이 있다. 이동경로를 감시해 데이터를 보호하기에 주요 정보유출위험이 있을 시에 차단이 가능하고, 업무와 무관한 사이트 접근제어가 가능
• 보안 정책 위반에 대한 즉각적인 리포트를 받을 수 있어 해당 정보가 유출되었을 시에 빠른 파악이 가능

단점

• 한번 유출된 정보와 데이터 보호는 어렵다. 경로를 감시하고 차단하기에 한번 공격당하면 보호할 수가 없다.
• 우회가 가능하다. 이동경로를 차단을 하니 우회하는 방법을 찾아내어 접근할 수 있다.
• DLP는 내부 시스템 통제/관리하는 형태이기에 원격 근무에 올바르지 않다.

DRM(Digital Rights Management)

디지털 콘텐츠 저작권 보호 기술이자 저작권자가 배포한 디지털 자료 또는 하드웨어의 사용을 제한.
특성 자료를 저작권자가 의도한 용도로만 사용하도록 제한하는데 사용되는 모든 기술.
기업 솔루션 용어로 해석이 될 때 디지털 제약 관리에 더 가까운 의미를 둔다.
각 문서 단위에 권한을 주고, 사용권한에 따라 접근할 수 있는 범위를 제한.

장점

• 문서 및 이미지 등 정보와 데이터를 만들고 저장할 때마다 실시간 암호화되서 잠금 설정.
• 유출되더라도 외부에선 알 수 없다.
• 잠금을 해제하려면 요청을 보내 확인받아야 하기에 최초 유출자를 찾을 수 있다.
• 워터마킹으로 저작권을 보호할 수 있으며 외부 유출 시에 최초 유출자를 찾을 수 있다.
• 확장성으로 원격근무지에서 DRM 솔루션의 협업 기능으로 원격 근무지에서도 이용가능.

단점

• 편의가 떨어진다. 외부에서 문서를 열람하려면 잠금 해지가 필요하기에 요청을 해야한다.
• 주기적인 관리가 필요하다. 각 PC에 Agent를 설치해서 기업 내 주요 정보와 데이터를 보호하는 기술이기에 새로운 버전이 출시될 때마다 DRM 솔루션의 업그레이드가 필요하다.