i can do ik!

방화벽 Zone 구조와 정책 처리 원리

보안 장비에서 ‘Zone’이라는 개념은 트래픽을 구분하고 정책을 논리적으로 적용하기 위한 핵심 단위다.
Zone 단위로 네트워크 영역을 분리함으로써 복잡한 환경에서도 일관성 있는 보안 정책을 설정할 수 있다.

Zone이란 무엇인가

Zone은 물리적 포트나 서브넷 단위의 구간을 논리적으로 하나의 보안 영역으로 분류한 것이다.
예를 들어, 내부망과 외부망을 구분할 때 ‘Inside Zone’, ‘Outside Zone’처럼 명칭을 붙이고,
각 Zone 간 트래픽에 대해 개별 정책을 적용한다.

장비에 따라 ‘Trust’, ‘Untrust’, ‘DMZ’처럼 기본 Zone을 제공하기도 하며,

사용자가 직접 ‘VPN Zone’, ‘Guest Zone’ 등 커스터마이징 할 수도 있다.

Zone 간 정책 처리 방식

방화벽은 ‘Zone-to-Zone’ 방식으로 정책을 처리한다.
즉, 같은 Zone 내에서는 보통 기본 허용되지만 Zone 간에는 명시적 정책이 없으면 트래픽이 차단된다.

예시 흐름:

• 사용자가 내부망(Inside Zone)에서 외부 인터넷(Outside Zone)으로 접속 시도
• 방화벽은 Source Zone: Inside, Destination Zone: Outside로 인식
• 이 Zone-to-Zone 흐름에 대한 정책이 있어야 통신 허용됨
• 정책이 없으면 Drop 처리됨

이 구조 덕분에 단순한 IP 기반 정책보다 더 구조적이고 일관된 보안 구성이 가능하다.

실제 구성 시 고려 사항

• Zone 정의는 서브넷, 인터페이스, 사용자 그룹 단위로 유연하게 구성 가능
• Zone-to-Zone 정책을 구성할 때는 Source/Destination IP뿐 아니라 Zone 이름 기반으로 접근 흐름을 판단해야 한다
• VPN, DMZ, Guest 등은 각각 별도의 Zone으로 구분하여 과도한 권한 부여를 막는 것이 일반적이다

정리

• Zone은 네트워크를 보안 영역별로 나눈 논리적 단위
• 방화벽은 Zone 간 트래픽 흐름에 따라 정책을 적용
• Zone-to-Zone 정책 없으면 기본적으로 차단
• 명확한 Zone 분리는 보안성과 관리 효율성 모두에 중요

VPN 인증 방식의 종류와 특징 정리

VPN 연결 시에는 사용자나 장비의 신원을 확인하기 위한 인증 과정이 필수적이다.
이 글에서는 VPN에서 사용되는 주요 인증 방식들을 정리하고, 각 방식의 특징과 차이를 비교해본다.

1. VPN 인증의 목적

VPN 인증은 접속을 시도하는 사용자가 신뢰 가능한지 확인하는 과정이다.
터널 수립 전에 인증을 거치지 않으면, 외부에서 임의로 접속할 수 있어 네트워크 전체가 위험에 노출될 수 있다.
따라서 모든 VPN 구성에는 인증 절차가 반드시 포함된다.

2. 주요 인증 방식 분류

VPN 인증은 방식에 따라 다음과 같이 분류할 수 있다.

3. 각 인증 방식의 특징

1) ID / Password 인증

• 가장 단순한 인증 방식
• 일반적으로 SSL VPN에서 널리 사용
• 사용자 계정(ID)과 비밀번호로 로그인

장점

• 구현과 사용이 간단
• 거의 모든 환경에서 기본 제공

단점

• 유출 시 계정 탈취 위험
• 비밀번호 재사용, 관리 부실 시 보안 취약

2) 인증서 기반 인증 (X.509)

• 서버와 클라이언트가 서로의 인증서를 검증
• 공개키 기반(PKI) 인증 체계를 활용
• 보통 기업 내부 인증 인프라 필요

장점

• 매우 높은 보안성
• 비밀번호 없이도 자동 인증 가능

단점

• 인증서 발급·배포·폐기 등 관리 복잡
• 초기 인프라 구성 필요

3) OTP / MFA

• OTP: 1회용 비밀번호(예: 모바일 앱, 하드웨어 토큰 등)
• MFA: ID/PW 외에 추가 인증 요소를 요구 (앱 인증, 생체인증 등)

장점

• 계정 정보 유출 시에도 추가 방어선 제공
• 최근 대부분의 기업에서 기본 적용 추세

단점

• 인증 수단 분실 시 복구 절차 필요
• 사용자 불편 요소 존재

4) Pre-shared Key (PSK)

• 주로 IPSec VPN에서 장비 간 터널 연결 시 사용
• 사전에 공유된 비밀 키를 이용해 인증 수행

장점

• 구성 단순, 설정 속도 빠름
• 인증 서버 없이도 터널 구성 가능

단점

• 키 유출 시 터널 전체 위협
• 키를 주기적으로 변경/배포하는 게 번거로움

4. 비교 요약

5. 일반적인 적용 예시

• SSL VPN 사용자 접속: ID/PW + OTP (2단계 인증)
• 지사 간 IPSec 터널: PSK 또는 인증서 기반 인증
• 대규모 조직 환경: RADIUS/LDAP 인증 + MFA 연동
• 보안 민감 환경: 클라이언트 인증서 + OTP 이중 인증 조합

VPN이란? 구조와 역할 정리

예전에 VPN에 대해 간단히 개념만 정리한 적이 있었지만,
이번에는 VPN의 전체 구조와 보안 장비에서의 역할까지 포함해
조금 더 기술적인 시선에서 다시 정리해보게 되었다.

1. VPN이란?

VPN(Virtual Private Network)은
공용 네트워크(예: 인터넷)를 통해 사설 네트워크처럼 통신할 수 있게 해주는 기술이다.
서로 다른 지점에 있는 두 네트워크나 사용자 간의 트래픽을
암호화된 터널로 연결함으로써 보안을 확보한다.

2. 왜 VPN을 사용하는가?

VPN은 다음과 같은 목적에서 사용된다.

• 원격 근무 지원: 외부에서 회사 내부망에 접속 가능
• 지사 간 연결: 본사와 지사 간 안전한 통신 경로 확보
• 보안 통신 구현: 데이터가 인터넷을 통과해도 암호화되어 안전
• 접근 제어: 인증된 사용자만 내부 자원 접근 가능

3. VPN의 기본 구성 요소

공부한 내용을 기준으로 VPN은 다음과 같은 요소들로 구성된다.

• VPN 클라이언트
  • 사용자가 설치한 프로그램 또는 장비
• VPN 게이트웨이 (서버 역할)
  • 방화벽, 라우터 등 VPN 접속을 수립하고 관리하는 장비
• 터널링 프로토콜
  • 데이터를 암호화·캡슐화하는 기술 (IPSec, SSL 등)
• 인증 체계
  • ID/비밀번호, 인증서, OTP 등 사용자의 신원을 확인하는 절차

4. VPN 연결 흐름

VPN 연결은 다음과 같은 흐름으로 동작한다.

[지사 라우터] ←→ [인터넷] ←→ [본사 방화벽/VPN 게이트웨이] ←→ [내부망 서버]
                             ↑
               [원격 사용자 - SSL VPN 접속]

• 클라이언트는 게이트웨이에 접속을 요청
• 인증 절차를 거친 뒤 암호화된 통신 터널을 수립
• 이후 내부 자원에 안전하게 접근할 수 있다

5. 방화벽에서 VPN이 하는 역할

VPN 기능이 탑재된 방화벽 장비에서는 다음과 같은 역할을 수행한다.

• VPN 터널 관리: 사용자별 또는 장비 간 터널 수립
• 트래픽 암복호화: 암호화된 트래픽을 해석하고 내부망에 전달
• 사용자 인증 및 접근 제어: 인증된 사용자만 특정 네트워크 자원에 접근 가능
• 세션 및 로그 관리: 접속 기록과 상태 정보 저장

6. 구성 예시 (자료 기반 참고)

[지사 라우터] ←→ [인터넷] ←→ [본사 방화벽/VPN 게이트웨이] ←→ [내부망 서버]
                             ↑
               [원격 사용자 - SSL VPN 접속]

• 지사와 본사 간에는 IPSec VPN이,
• 개인 사용자(원격 근무)에게는 SSL VPN이 주로 사용된다.

마무리

VPN은 단순히 "원격 접속"을 가능하게 하는 기술이 아니라,
암호화, 인증, 터널링, 접근 제어까지 포함한 종합적인 보안 통신 수단이다.

1. Zone이란?

Zone은 방화벽 내부에서 네트워크를 논리적으로 분리하기 위한 구획이다.
물리적인 포트나 IP 주소 단위가 아니라, 역할에 따라 구간을 나누는 방식이다.

Zone은 보통 다음과 같이 구성된다.

• trust: 내부 사용자 영역
• untrust: 외부(인터넷) 영역
• dmz: 외부 접근이 필요한 서버 영역 (웹, 메일 등)
• guest: 별도의 임시 네트워크 구간

Zone은 여러 인터페이스나 서브넷을 묶을 수 있어,
실제 물리 구성이 복잡해도 정책은 Zone 단위로 간단하게 관리할 수 있다.

2. Zone 기반 정책 구성 방식

Zone이 설정된 상태에서는 정책도 Zone 간의 흐름을 기준으로 작성된다.
방화벽 정책은 다음처럼 구성된다:

• 출발지 Zone → 목적지 Zone
• 조건: IP, 포트, 프로토콜
• 액션: 허용(Allow) 또는 차단(Deny)

예를 들어:

• trust → untrust : HTTPS(443) 허용
• dmz → trust : SMTP(25) 차단

이런 식으로 Zone 간 통신 흐름을 기준으로 정책을 관리하는 방식이다.

3. Zone 구조의 장점

• 정책 관리가 단순해진다: Zone 간 관계만 정의하면 되기 때문에, 장비 포트나 IP 변경 시에도 정책을 수정할 필요가 적다.
• 역할 기반 분리 가능: 사용자 네트워크, 서버 영역, 외부망 등을 논리적으로 구분해 보안 관리에 유리하다.
• 정책 재사용이 쉽다: 동일 Zone 구성에서는 비슷한 정책을 그대로 적용할 수 있다.

4. 트래픽 흐름 예시 (참고 구성)

Zone 개념을 이해하기 위해 문서를 참고하여 정리한 예시 흐름은 다음과 같다.

[ 내부 사용자 (trust) ]
        ↓
  방화벽 (trust → untrust)
        ↓
[ 인터넷 서버 (untrust) ]

이 구성에서는 trust에서 untrust로 나가는 트래픽에 대해 443번 포트(HTTPS)를 허용하는 정책이 설정되어야 외부 접근이 가능하다.
반대로 untrust에서 trust로 직접 들어오는 트래픽은 기본적으로 허용되지 않는 경우가 많다고 설명되어 있었다.

5. Zone 흐름 참고 구성 예시

정리하면서 여러 자료에서 자주 언급된 기본 Zone 흐름 예시는 다음과 같았다:

• trust → untrust: 내부 사용자의 외부 접근 허용
• trust → dmz: 내부에서 서버 접근 허용 (필요한 포트만 개방)
• untrust → dmz: 외부에서 DMZ 접근 허용 (웹, 메일 등)
• untrust → trust: 일반적으로 차단

1. 패킷 필터링(Packet Filtering)

패킷 필터링은 가장 기본적인 트래픽 검사 방식이다.
각 패킷이 방화벽을 통과할 때마다, 다음 조건들을 기준으로 허용/차단 여부를 판단한다.

• 출발지 IP / 포트
• 목적지 IP / 포트
• 프로토콜 (TCP, UDP 등)

이 방식은 각 패킷을 독립적으로 처리하기 때문에
이전 트래픽이나 세션 상태는 고려하지 않는다.

장점

• 구조가 단순하고 처리 속도가 빠름
• 과거 장비나 간단한 환경에서는 충분히 사용 가능

단점

• 세션 상태를 인식하지 못해 비정상 트래픽 탐지가 어려움
• 응답 트래픽도 별도 정책을 추가해야 함 (예: 서버 → 클라이언트 방향 따로 설정)

2. 상태 기반 검사(Stateful Inspection)

상태 기반 검사는 세션을 추적하면서 트래픽을 처리하는 방식이다.
TCP 핸드셰이크 등을 통해 연결 상태를 인식하고,
한 번 허용된 세션의 응답 트래픽은 자동 허용된다.

방화벽은 세션 테이블에 연결 상태 정보를 저장하며,
정상적인 연결만 유지하고 비정상 흐름은 차단할 수 있다.

장점

• 응답 트래픽 자동 허용 → 정책 수가 줄어듦
• 세션 기반으로 비정상 연결 탐지가 가능
• 대부분의 최신 방화벽이 기본적으로 사용하는 방식

단점

• 상태를 기억하기 때문에 메모리/리소스를 사용
• 복잡한 상태 추적이 필요한 환경에서는 성능에 영향을 줄 수 있음

3. 비교 요약

1. 세션(Session)이란?

네트워크에서의 '세션'은 두 장비 간의 연결 상태를 의미한다.
TCP 연결을 기준으로 보면, 3-way 핸드셰이크를 통해 세션이 시작되고,
FIN이나 RST 패킷으로 종료된다.

방화벽은 이러한 세션 정보를 기억해서
상태 기반 검사(Stateful Inspection)를 가능하게 한다.

2. 세션 테이블이란?

세션 테이블은 방화벽 내부에서
현재 통신 중인 트래픽의 상태를 저장하고 추적하는 메모리 기반의 테이블 구조다.

이 테이블은 다음과 같은 항목들을 포함한다:

• Source IP / Port
• Destination IP / Port
• Protocol (TCP, UDP 등)
• Interface or Zone
• 세션 상태 (ESTABLISHED, TIME_WAIT 등)
• 타이머 (비활성 시간 후 세션 종료)
• 정책 ID 또는 처리 결과

3. 왜 세션 테이블이 필요한가?

패킷 하나만 보고 허용/차단을 결정하는 것은 한계가 있다.
세션 정보를 기억하면, 다음과 같은 이점이 있다:

• 응답 트래픽 자동 허용: 클라이언트 → 서버 요청을 허용하면, 응답도 자동 허용
• 불필요한 정책 중복 제거: 한 방향만 정책 설정해도 양방향 통신 가능
• 비정상 연결 탐지 가능: 연결 없이 응답만 오는 경우, 세션 없는 패킷으로 차단
• 속도 개선: 매번 정책을 새로 확인하지 않고, 세션 테이블만 조회해 빠르게 처리

4. 세션 흐름 예시 (TCP 기준)

1. 클라이언트 → 서버 : SYN
   → 방화벽은 정책에 따라 허용 여부 판단 → 허용 시 세션 테이블 등록
2. 서버 → 클라이언트 : SYN-ACK
   → 기존 세션과 일치하면 통과 (추가 정책 검사 없이)
3. 클라이언트 → 서버 : ACK
   → 세션 활성화, 이후 트래픽은 세션 기반으로 흐름 유지
4. 통신 종료 시 : FIN or RST
   → 세션 종료 처리 및 테이블에서 삭제

5. 세션 테이블 관련 고려사항

• 세션 타임아웃 설정 (TCP, UDP 별로 다르게 적용됨)
• 동시 세션 수 제한 → 방화벽 용량과 성능과 직결
• 세션 테이블 조회 CLI 명령 (show session, get session, 등)
• DDoS 대응 시 세션 기반 임계치 탐지 사용

.

1. 방화벽 정책의 기본 요소

방화벽은 네트워크 트래픽을 허용하거나 차단하기 위해 여러 조건을 설정하는데,
이때 적용되는 규칙을 정책(Policy)이라고 한다.

보통 한 개의 정책은 다음 항목들로 구성된다.

• Source (출발지): 내부 또는 외부의 IP, 포트, Zone
• Destination (목적지): 접근 대상의 IP, 포트, Zone
• Service: HTTP, HTTPS, FTP 등 특정 프로토콜/포트
• Action: 허용(Allow) 또는 차단(Deny)
• Schedule (선택적): 특정 시간에만 허용하는 설정
• Log: 해당 정책 적용 시 로그를 남길지 여부

방화벽은 정책을 위에서 아래 순서로 적용하며,
가장 먼저 일치하는 조건의 정책을 적용한다. 이를 선순위 처리(Top-down)라고 한다.

2. Zone 기반 정책 구성

요즘 대부분의 방화벽은 Zone 기반 정책 관리 방식을 사용한다.

• 예시:
  • trust → untrust: 내부에서 외부로 나가는 트래픽
  • dmz → trust: DMZ에서 내부 서버로 접근 시

Zone을 활용하면 물리적 인터페이스보다 논리적 그룹 단위로 정책을 관리할 수 있어,
복잡한 네트워크 환경에서도 정책을 간결하게 유지할 수 있다.

3. 정책 작성 시 유의할 점

• 정책 범위는 좁게: 출발지/목적지/서비스 범위를 구체화해야 보안성이 높아진다.
• ANY 사용은 최소화: 편하지만 위험도 크다. 테스트 외에는 최소한으로 사용
• 정책 설명 작성: 정책별로 설명을 남기면 운영 중 유지보수나 인수인계 시 도움이 된다.
• 정책 순서 중요: 상위 정책이 먼저 적용되므로 유사 정책이 있다면 순서 조정에 유의해야 한다.

4. 정책 예시 정리

아래는 학습 중 참고한 문서들을 기반으로 정리한 일반적인 정책 예시 구성이다.

이 예시는 내부 사용자에게 HTTPS만 허용하고,
나머지 외부 접근은 차단하는 기본적인 정책 구조이다.

마무리

• 방화벽 정책은 트래픽 제어를 위한 조건 집합이다.
• 보안성과 효율성을 위해 Zone 기반 구성과 정책 순서에 대한 이해가 필요하다.
• 실무에서 자주 등장하는 정책들을 참고하며 기초 개념을 체계적으로 정리해두는 것이 중요하다.

Stateful Inspection이란? – 상태 기반 방화벽의 동작 방식

방화벽은 네트워크 보안을 위해 다양한 방식으로 트래픽을 검사합니다.
그 중 많이 사용되는 방식이 Stateful Inspection(상태 기반 검사)입니다.

이번 글에서는 Stateful Inspection의 원리를 간단히 정리해봅니다.

Stateless vs Stateful

먼저 Stateless Filtering과 비교해보면 이해가 쉬워집니다.

• Stateless Filtering
  • IP, 포트, 프로토콜 등 패킷의 단편적인 정보만 보고 판단
  • 연결 상태는 고려하지 않음
  • 빠른 처리 가능하지만 정밀한 제어는 어려움
• Stateful Inspection
  • 연결의 상태(세션)를 추적하며 전체 흐름을 기준으로 판단
  • TCP 핸드셰이크, 세션 유지/종료 여부 등을 실시간으로 관리
  • 정밀하고 안전한 트래픽 제어가 가능

Stateful Inspection의 동작 방식

1. 초기 패킷 감지
   • 새로운 연결 요청이 들어오면, 세션 테이블에 해당 세션 정보를 등록
2. 세션 추적
   • 이후 들어오는 패킷은 기존 세션과 일치하는지 확인하여 처리
   • TCP 상태(3-way 핸드셰이크, 연결 유지, FIN 종료 등)를 추적
3. 비정상 트래픽 판단
   • 세션 정보와 일치하지 않거나, 예상되지 않은 방향의 트래픽은 차단
4. 세션 종료 처리
   • 연결 종료 시 세션 테이블에서 해당 항목 삭제

장점은 무엇일까

• 단순 필터링보다 정확한 보안 제어 가능
• 응답 트래픽만 허용하거나, 세션 없는 비정상 트래픽 차단 등 세부 정책 설정 가능
• 대부분의 현대적인 방화벽(FortiGate, Palo Alto 등)에서 기본 적용되는 방식

요약

Stateful Inspection은 세션 상태를 추적해 트래픽을 판단하는 방화벽 기술입니다.
연결의 흐름 전체를 이해하므로 보다 정밀하고 효과적인 보안이 가능합니다.
현재 대부분의 보안 장비에 기본 적용되어 있으며, 네트워크 보안에서 핵심적인 역할을 합니다.