초기 방화벽 개념
- 패킷필터링 방화벽
- 애플리케이션 게이트웨이 방화벽
이 방식은 방화벽 기능을 수행하지 못하거나 속도저하 문제의 단점을 지니고 있다.
이 단점을 극복하고자 장점만 가지고 구현한 새로운 개념이 바로 Stateful Inpection 방식
이스라엘의 방화벽 업체 '체크포인트'사가 최초로 사용한 용어로,
네트워크 계층(3계층)에서 패킷을 처리하면서 프로토콜의 상태정보 테이블을 유지하여
프로토콜 특성에 따른 변화를 동적으로 대응해 주는 기능으로 최근 방화벽 시스템에서 채용되어 사용되고 있다.
이 기술의 장점은 하나의 서비스에 대한 접근규칙(Access Rule)을 생성할 때 마다
되돌아가는 flow에 대한 또 다른 규칙을 생성할 필요가 없다는 것이다.
패킷 필터링 방식의 방화벽의 경우
내부 서버에 대한 허용을 위해 인바운드 규칙을 설정하였다면 나가는 아웃바운드 규칙도 설정해주어야 한다.
하지만
이 기능이 채용된 방화벽에서는 관리자가 인바운드 규칙을 생성하였다면 동적으로 아웃바운그 규칙을 자동생성한다.
단점으로는 데이터 내부에 악의적인 정보를 포함할 수 있는 프로토콜에 대한 대응은 어렵다는 것이다.
| Packet filtering 방화벽은 Stateful Inspection 방화벽에 비해 다음과 같은 단점이 존재한다. | |
|
| |
|
| |
|
첫째, 하나의 서비스를 허용하기 위해서는 패킷이 들어오는 방향과 나가는 방향에 대한 접근규칙을 정의해야 하므로 두 개 이상의 Rule 설정이 필요하다. 이는 단순히 한두 번의 일을 더하게 되므로 귀찮은 일일 뿐만 아니라 여러 개 규칙을 관리하면서 발생할 수 있는 관리자의 실수 등으로 인해 보안상의허점이 나타날 수도 있다. | |
 | |
| 둘째, 가변적인 통신포트(Dynamic Port)를 사용하는 서비스나 FTP처럼 다중 포트를 사용하는 서비스를 처리하기가 매우 어렵습니다. 때문에 Packet Filtering 방화벽을 사용하게 되면, 명시적으로 차단하는 서비스에 대해서만 차단하고 나머지 서비스를 모두 허용하는 정책을 적용할 수 밖에 없다. | |
| |
|
이에 비하여 Statful Inspection 방화벽에서는 클라이언트의 요청 정보를 내부에 저장하고 있다가 되돌아가는 통신에 대하여 그 유효성을 검증한 후 필요하다면 스스로 임시적인 정책을 순간적으로 만들어 서버로부터 클라이언트로의 통신을 허용해 준다. 따라서 가변 포트를 사용하는 서비스나 다중 포트를 사용하는 서비스에 효과적으로 대응할 수 있다. | |