방화벽 구축 형태

○ Fire wall 종류
- 스크리닝 라우터 : IP, TCP, UDP 헤더 부분에 포함된 내용만 분석하여 동작하며 내부 네트워크와 외부 네트워크 사이의 패킷 트래픽을 Perm/Drop하는 라우터 

- 배스천호스트 : 내부 네트워크  전면에서 내부 네트워크 전체를 보호하며 외부 인터넷과 내부 네트워크를 연결하는 라우터 뒤에 위치한다. Lock down 된 상태에 있으며 인터넷에서 접근이 가능한 서버이다. 

중세 성곽의 가장 중요한 수비 부분을 의미 하는 단어로, 방화벽 시스템 관리자가 중점 관리하는 시스템을 말하며 액세스 제어 및 응용 시스템 게이트웨이로서 프록시 서버의 설치, 인증, 로그 등을 담당하는 호스트를 말한다.

- 듀얼 홈드 호스트 : 2개의 네트워크 인터페이스를 가진 배스천호스트로서 하나의 NIC는 내부 네트워크와 연결하고 다른 NIC는 외부 네트워크와 연결한다. 방화벽은 하나의 네트워크에서 다른 네트워크로 IP 패킷을 라우팅하지 않기 때문에 프록시 기능을 부여한다. 

두 개의 인터페이스를 가지는 장비를 말하며, 하나의 인터페이스는 외부 네트워크와 연결되고 다른 인터페이스는 내부 네트워크로 연결되며, 라우팅 기능이 없는 방화벽을 설치하는 형태이다.

- 스크린드 호스트 : 패킷 필터링 호스트와 배스천호스트로 구성되어 있다. 패킷 필터링 라우터는 외부 및 내부 네트워크(인터넷 쪽)에서 발생하는 패킷을 통과시킬 것인지를 검사하고 외부에서 내부로 유입되는 패킷(라우터와 내부 네트워크 사이)에 대해서는 배스천호스트로 검사된 패킷을 전달한다. 배스천호스트는 내부 및 외부 네트워크 시스템에 대한 인증을 담당한다. 

듀얼-홈드 게이트웨이와 스크리닝 라우터를 결합한 형태로 내부 네트워크에 놓여 있는 베스천호스트와 외부 네트워크 사이에 스크리닝 라우터를 설치하여 구성한다. 

- 스크린드 서브넷 : 스크린드 호스트의 보안상 문제점을 보완한 모델이다. 외부 네트워크와 내부 네트워크 사이에 하나 이상의 경계 네트워크를 두어 내부 네트워크를 외부 네트워크로 분리하기 위한 구조이다. 

스크리닝 라우터들 사이에 듀얼홈드 게이트웨이가 위치하는 인터넷과 내부 네트워크 사이에 DMA라는 네트워크 완충지역 역할을 하는 서브넷을 운영하는 방식이다.

 

○ 단일 홈 게이트웨이와 듀얼 홈 게이트웨이의 비교
- 듀얼 홈 게이트웨이 : 
> 네트워크 카드가 두 개 이상 있는 방화벽으로 외부, 내부 네트워크 카드가 구별되어 운용된다.
> 네트워크 카드가 한 개 더 많기 때문에 단일 홈 게이트웨이보다 효율적인 트래픽 관리
> 단일 홈 게이트이와는 달리 패킷이 이중 홈 게이트웨이를 지날 수밖에 없는 구조

- 단일 홈 게이트웨이 :
> 일반적으로 이 구조를 베스천 호스트라고 부르며 접근제어, 프록시, 인증, 로깅 등 방화벽의 가장 기본적인 기능을 수행하며 윈도우 NT, 유닉스 등에 설치되어 운용된다.
> 단점 : 방화벽이 손상되면 내부 네트워크에 무조건적인 접속이 허용될 수 있다.