[방화벽] 방화벽 구축 방식의 종류

 사전지식-
https://haekt-log.tistory.com/85

[방화벽] Bastion Host 란?

---

방화벽을 구축하는 방식의 종류를 알아보자.

1. Screening Router
2. Single-home Gateway
3. Multi-home Gateway
4. HA(High Availabliity)

 

1. Screening Router 

중소기업에서 자주 사용하는 방식으로,
라우터를 Bastion Host 위치에 놓아 라우터가 ACL을 이용해 방화벽과 같은 패킷 필터링 기능을 하도록 하는 것을 말한다.
구축 비용이 매우 저렴하고, 규칙을 잘 설정하면 빠른처리속도를 자랑한다.
 
하지만 세부 필터링 설정이 어렵고, 많은 규칙을 설정하면 라우터에 부하가 걸려
대역폭을 효과적으로 이용할 수 없게 된다.
 
 

2. Single-home Gateway

한개의 Bastion Host 로 구현하는 방식으로,
Screening Router를 이용한 방법보다 비교적 강력한 보안정책 실행이 가능하다.
하지만, 2계층 공격을 통한 방화벽 우회가 가능하며, 손상시 모든 접속을 허용하게 될 수 있다.
 
이 방법으로 구현하기 위한 조건은 아래와 같다 
 

• 일반 사용자 계정을 모두 삭제
• 방화벽 기능 외 모든 기능 삭제
• 대용량의 모니터링과 로깅이 가능
• IP 포워딩 및 소스 라우팅 기능 제거

 

3. Multi-home Gateway

 

두개이상의 게이트웨이가 존재하는 방식으로,
내부 서버와 내부 컴퓨터, 외부네트워크를 서로 연결시키는 구조로 만들 때에 사용한다. 
 
firewall 을 제외한 우회 경로가 제공되지 않아 안전하며 2개 이상의 네트워크를 구성가능하다는 장점이 있다.
상용 firewall 대부분이 채택하는 방식이다.
 
하지만 Network delay 가 발생할 가능성이 있으며, SPOF(Single Point of Failure) 로 동작이 제대로 되지 않으면
전체 시스템이 마비될 수 있다.
 

4. HA(High Availabliity)

두개 이상의 방화벽으로 부하를 분산시키는 방식이다. 
 
이 구성 방식에도 종류가 있다. 

• Primary Backup(추천)
• Load Sharing
• Service Sharing

- Primary Backup (추천)

동일한 방화벽으로 하나는 Active, 또 다른 하나는 Stand-by 로 설정하는 방식이다.
IP 및 Mac 주소를 동일하게 한 후, 장애나 과부하가 발생했을 경우 Ping 과 같은 방식으로 장애여부를 확인한 후 전환된다.
가장 추천되는 방식이다.
 

- Load Sharing

N개의 방화벽을 배치하여 부하를 분산시키는 방식이다.
부하를 여러개의 방화벽으로 분산하는 만큼, 많은 양의 트래픽을 감당할 수 있고 안정적이다.
하지만 추가적인 자본이 든다는 단점이 있다.
 

- Service Sharing 

방화벽이 내부 네트워크와 외부네트워크 사이에서 트래픽을 중계하는 역할을 하는 구조로, 트래픽 관리에 효과적
출처 : https://www.infosecinstitute.com/resources/network-security-101/firewall-types-and-architecture/