방화벽

방화벽의 역사

디지털 이큐먼트 코퍼레이션은 1988년에 최초의 방화벽을 개발했습니다.이 방화벽은 단순한 패킷 필터 방화벽이었습니다.패킷 필터 방화벽은 데이터 패킷이 소스와 대상 사이를 이동할 때 데이터 패킷을 검사합니다.패킷이 보안 규칙과 일치하는 경우 방화벽은 패킷을 삭제하고 소스에 오류 응답을 보냅니다.

90년대 초, Bell Labs는 2세대 방화벽을 발명했습니다.이러한 방화벽은 스테이트풀 필터를 사용했으며 서킷 레벨 게이트웨이라고도 불렸습니다.1세대 방화벽과 비슷하게 작동했지만 업그레이드된 버전이었습니다.상태 저장 필터링 기능이 있는 방화벽은 이전 패킷에 대한 정보를 기억하고 컨텍스트를 사용하여 보안을 강화합니다.

3세대 방화벽 필터링 인터넷 트래픽은 애플리케이션 계층에서 사용되었습니다.첫 번째 버전은 1993년에 출시되었으며 FWTK (방화벽 툴킷) 라고 불렸습니다.이러한 방화벽은 처음으로 사용자 친화적이어서 기술 전문가가 아닌 사람도 방화벽 규칙을 설정할 수 있게 되었습니다.또한 애플리케이션과 프로토콜을 이해했으며 신뢰할 수 있는 출처에서 가져온 애플리케이션 대상 악성 데이터와 같이 패킷 필터링으로 인한 위협을 방지할 수 있었습니다.

그 이후로 방화벽 기술이 많이 발전했습니다.대부분의 방화벽은 여전히 애플리케이션 계층 분석을 사용하지만 분석에 사용되는 기술이 개선되었습니다.다음으로 일반적인 유형의 최신 방화벽을 살펴보겠습니다.

방화벽 유형

모든 방화벽의 목적은 악의적인 트래픽으로부터 네트워크를 보호하는 것이지만 방화벽은 다양한 방법으로 다양한 수준의 효율성을 통해 이를 달성할 수 있습니다.네트워크가 노출되는 위협의 유형은 수년에 걸쳐 진화하고 증가했으며 이에 대응하기 위해 방화벽 기술도 변화했습니다.

패킷 필터링

첫 번째 방화벽은 패킷 필터링을 사용했습니다.패킷 필터 방화벽은 액세스 제어 목록을 사용하여 데이터 패킷을 검사하여 검사할 패킷과 패킷이 규칙과 일치할 때 어떤 조치가 취해질지 결정합니다.방화벽은 소스 및 대상 IP 주소, 프로토콜, 소스 및 대상 포트를 기준으로 패킷을 필터링할 수 있습니다.이들은 스테이트리스 (stateless) 와 스테이트풀 (Stateful) 이라는 두 가지 범주로 나뉩니다.스테이트리스 패킷 필터는 기록이나 컨텍스트를 사용하여 패킷이 악성일 수 있는 반면, 스테이트풀 필터는 악성일 수 있습니다.

프록시 방화벽

프록시 방화벽은 애플리케이션 레벨 방화벽입니다.송신 시스템과 수신 시스템 간의 중개자 역할을 합니다.요청은 방화벽으로 전송되며 방화벽은 트래픽 통과 허용 여부를 결정합니다.프록시 방화벽은 주로 HTTP 및 FTP 트래픽에 사용되며, 악성 트래픽을 탐지하기 위해 심층적인 상태 저장 패킷 검사를 사용합니다.

네트워크 주소 변환 (NAT) 방화벽

NAT 방화벽은 네트워크의 모든 장치가 단일 IP 주소를 사용하여 인터넷에 연결할 수 있도록 하여 내부 네트워크에 있는 장치의 IP 주소를 비공개로 유지합니다.이렇게 하면 공격자가 네트워크를 스캔하여 특정 디바이스에 대한 세부 정보를 가져와 보다 표적화된 공격에 사용할 수 없습니다.NAT 방화벽은 프록시 방화벽과 마찬가지로 양측 엔드 시스템 간의 중개자 역할도 합니다.

스테이트풀 멀티레이어 검사 (SMLI) 방화벽

SMLI 방화벽은 네트워크, 전송 및 애플리케이션 계층에서 패킷을 필터링하고 수신 패킷을 알려진 신뢰할 수 있는 패킷과 비교합니다.SMLI 방화벽은 각 계층의 전체 패킷을 필터링하고 해당 계층을 통과하는 패킷만 각 필터를 통과하도록 허용합니다.또한 스테이트풀이기 때문에 컨텍스트를 기반으로 패킷을 필터링하고 소스와 대상을 신뢰할 수 있는지 확인합니다.

차세대 방화벽 (NGFW)

차세대 방화벽은 기존 방화벽 기능에 추가 보안 기술을 추가하여 방화벽 기술을 개선했습니다.이러한 방화벽에서 찾을 수 있는 일부 기능으로는 바이러스 백신 검색, 암호화된 데이터 검사, 애플리케이션 인식, 클라우드 제공 위협 인텔리전스, 통합 침입 방지 등이 있습니다.또한 심층 패킷 검사 (DPI) 를 사용하여 기존 방화벽처럼 헤더뿐만 아니라 패킷 자체 내의 데이터도 검사합니다.

방화벽으로는 충분하지 않습니다

방화벽은 비즈니스 경계를 방어하고 외부 공격으로부터 네트워크를 보호하지만, 대부분의 대규모 공격은 데이터 침해 역사상 외부 공격의 결과로 일어난 것은 아닙니다.이러한 침해는 피싱 사기와 같은 내부 공격에서 비롯되었습니다.방화벽으로는 누군가가 이메일 첨부 파일을 다운로드하는 것을 막을 수 없습니다.

방화벽은 내부 트래픽을 필터링하지 않습니다.따라서 공격자가 네트워크에 침입하면 자유롭게 이동할 수 있습니다.랜섬웨어 공격은 이러한 자유 때문에 효과적이며 네트워크의 모든 애플리케이션을 중단시킬 수는 없습니다.

이 문제에 대한 해결책은제로 트러스트 세그멘테이션, 를 포함하여 마이크로 세그멘테이션특정 애플리케이션 세그먼트에 대한 보안 정책을 설정하여 네트워크를 워크로드 수준까지 보호할 수 있습니다.즉, 네트워크상의 한 시스템에 액세스할 수 있는 공격자는 다른 리소스에 액세스할 수 없으므로 위협의 측면 이동을 방지할 수 있습니다.마이크로 세그멘테이션은 방화벽의 단점을 보완할 수 있을 뿐만 아니라 네트워크 전체에 구현할 경우 방화벽의 필요성을 완전히 없앨 수 있습니다.

결론

방화벽은 들어오고 나가는 트래픽을 모니터링하여 악의적인 트래픽으로부터 네트워크를 보호하기 위해 80년대 후반에 개발되었습니다.방화벽은 수년에 걸쳐 점점 더 정교해지는 공격에 대응하기 위해 발전해 왔으며, 이러한 공격의 필수 요소로 자리잡았습니다. 네트워크 보안.하지만 현대의 공격자들은 경계 방어 방화벽을 우회하는 방법을 찾아냈고, 방화벽 안에서 대규모 데이터 침해 공격을 감행했습니다.기업은 가상 머신, 디바이스 및 리소스 수준에서 공격을 방지하기 위해 마이크로 세그멘테이션과 같은 고급 네트워크 보안이 필요합니다.

자세히 알아보기

• 방법 알아보기 Illumio 제로 트러스트 세그멘테이션은 기존 방화벽보다 성능이 뛰어납니다 랜섬웨어와 멀웨어를 물리 칠 수 있습니다.
• 에 대해 더 알아보기 일루미오 제로 트러스트 세그멘테이션 플랫폼.