소닉월 차세대 방화벽, 성능저하 없는 고성능 솔루션

보안 위협 상호 연계해 방어하는 능동적 보안 프레임워크 지원


차세대 방화벽은 애플리케이션 제어·사용자 역할 기반 정책 제공을 핵심 기능으로 구현해야 한다. 더불어 고성능 환경에서도 성능저하 없이 모든 보안 기능을 수행할 수 있어야 한다. 코마스가 국내에 공급하는 델 소닉월 차세대 방화벽은 성능저하 없이 차세대 방화벽 기능을 수행하는 고성능 네트워크 보안 솔루션이다.

   

차세대 방화벽은 패킷 필터링(IP, 포트 기반), 네트워크 주소 변환(NAT), 상태기반 패킷 검사(SPI)의 전통적인 방화벽의 기능을 제공하며 ▲실제 트래픽 사용자 식별 기반 제어 ▲애플리케이션 가시성 확보 및 제어 ▲상호 연결된 다중 위협 탐지·차단 ▲고성능 기반 등의 기능을 제공할 수 있어야 한다.

차세대 방화벽의 사용자 식별 기능은 네트워크에 흐르는 트래픽 소유자를 사용자 기반으로 전환시켜 ‘부서·역할기반 트래픽 흐름 제어→ 모니터링→ 추적·감사’에서 보다 효율적이고 구체적으로 운영할 수 있도록 한다.

인증을 위해 방화벽 자체의 로컬 사용자 DB 및 인증 체계를 구성하는 것은 이미 다른 인증 체계를 사용하는 내부 사용자에게 중복 인증을 요구하는 번거로움이 있다. 권고하는 방안은 타 보안 시스템에서 ‘사용자 인증 기반: IP 매핑 테이블’을 이미 보유하고 있다면, 이를 연동함으로써 사용자의 반복 인증을 제거하고 기존 인증 체계에 차세대 방화벽을 상호 연계하는 것이다.


애플리케이션 식별 및 제어
차세대 방화벽의 애플리케이션 식별 및 제어 부문은 기존 포트/서비스 기반 방화벽에서 제어할 수 없었던 TCP 데이터(Payload) 영역을 스캐닝 해 애플리케이션 자체에 대한 가시성 확보 및 제어 기술을 적용한다. 기존 패킷필터링 및 세션검사기반의 방화벽 제어 방식이 ‘허용/거부’였다면, 차세대 방화벽의 애플리케이션 트래픽 제어 방식은 애플리케이션의 종류에 따라 다양하게 제공해야 한다.

애플리케이션 식별을 통한 추가적인 보안 가시성 확보는 기존 패킷 필터링 및 세션 검사 기반의 방화벽보다 영역이 넓다. IP/포트 기반의 세션 테이블, 차단/허용 로그 파악 뿐 아니라 트래픽 상세 분석을 통한 사용자 및 애플리케이션의 흐름을 제어할 수 있으며, 실시간/누적 정보에 대한 상호 연계 가시성 확보와 추가적인 보안 감사 및 정책 수립에 대한 방향성을 제공한다.


다중 위협 탐지·차단
허용된 사용자와 허용된 애플리케이션 트래픽이라고 해도 무조건 허용해서는 안 된다. 차세대 방화벽은 위험판단 및 추가 보안 기능을 자동으로 적용해 보안 프로세스를 일괄적으로 진행한다.

SSL로 암호화된 보안 채널을 통한 다중 위협이 발생하는 경우를 예로 들면, 인증된 사용자가 SSL채널로 암호화된 트래픽을 사용할 때, 차세대 방화벽의 다양한 기능으로 어떻게 위협을 탐지하고 차단할 것인가에 대해서 실무적인 대응 시나리오가 필요하다. 또한 SSL 접속을 시도하는 ‘세션 핸드세이크(Session Handshake)’ 트래픽에 대한 가시성 확보·제어가 필요하다.

차세대 방화벽은 ▲인증서 사용여부 탐지 및 SSL 접속 제어 ▲신뢰할 수 없는 인증서 사용여부 탐지 및 SSL 접속 제어 ▲SSL 버전, 암호종류 등 보안기준이 낮은 부문 탐지 및 SSL 접속 제어 ▲유효기간이 지난 불법 인증서 사용여부 탐지 및 SSL 접속 제어가 가능하다.

SSL 접속 완료 후 DPI-SSL을 적용한 다음에도 접속 사이트 검사 및 웹 메일 첨부파일 검사가 가능하다. ▲SSL 트래픽 복호화 수행 ▲콘텐츠 필터링 보안 서비스 자동 적용 및 유해 사이트 판별 ▲게이트웨이 안티바이러스 자동 가동 및 제어 ▲게이트웨이 안티 스파이웨어 자동 가동 및 제어 ▲콘텐츠 필터링 자동 가동 및 제어 기능을 구현할 수 있다.

SSL 보안 위협에 대해서 차세대 방화벽은 ▲사용자 인증 ▲트래픽 허용 ▲SSL 접속 단계 컨트롤 ▲접속 이후 DPI-SSL단계 ▲보안서비스 적용단계 로 순차적인 프로세스 정책을 적용한다. 더불어 일반적인 HTTP, SMTP, POP3, FTP 트래픽 이외의 레거시 TCP 및 SSL 트래픽에 대해서도 보안 가시성을 확보하고 제어하는 기반을 동시에 제공한다.


고성능 보안 기능 구현
차세대 방화벽의 적용 방향성 및 기능을 살펴보면, 다수의 보안 기능을 하나의 시스템에 통합하고, 사용자·애플리케이션 식별 및 제어까지 실시간으로 수행하기 때문에 성능을 고민하지 않을 수 없다. 차세대 방화벽은 TCP 데이터 영역을 스캐닝하기 위해, DPI 기술을 사용지만 성능 이슈를 해결하지 못한 채 ASIC과 같은 하드웨어 기술에 의존하고 있다.

그 이유는 방화벽을 통과하는 트래픽은 다시 IPS, 안티 바이러스, 안티 멀웨어, DPI-SSL 등 보안 서비스의 적용을 받으면서 DPI를 개별적으로 수행하기 때문이다. 보안 서비스를 단계적으로 거칠 때마다, ‘패킷 분해→패킷 재조합’을 반복적으로 수행해 DPI 처리 지연 시간이 성능 이슈로 연결됐다.

악성코드·파일을 검사할 때, 파일을 메모리에 로딩·버퍼링 시킨 다음, 처리하는 방식을 사용해 2차적인 처리 지연 문제를 일으켰다. 델 소닉월 차세대 방화벽은 RFDPI(Re-assembly Free Deep Packet Inspection) 기술을 이용해 이러한 문제를 해결한다. 트래픽의 싱글패스 기법을 활용하며, 스트림을 패킷단위 단위로 스캐닝 한다. 한번 분해된 패킷은 모든 보안 서비스가 스캐닝을 완료할 때까지 조합하지 않아 DPI 처리 지연 시간을 최소화한다.

악성코드·파일을 검사 할 때 메모리 로딩 및 버퍼링 배제하고, RFDPI 기술을 적용한다. 트래픽의 전체 스트림을 패킷단위 로 순차 스캐닝하며, 파일 크기 제한에 상관없는 전체 파일 사이즈에 대한 보안 서비스 스캐닝을 적용한다.

차세대 방화벽은 단순히 이름만 변경된 보안 트렌드가 아니며, 네트워크 보안의 위치에서 급변하는 IT 인프라스트럭처에 대응하는 보호 방안 수립을 지원하고, 넘쳐나는 애플리케이션 변화(업데이트) 과정과 트래픽을 지속적으로 모니터링하는 방안을 제시하며, 이와 동시에 수반되는 보안 위협을 상호 연계해 방어하는 ‘능동적인 보안 프레임워크’다.


해당 기사: http://www.datanet.co.kr/news/articleView.html?idxno=74724

사용자 로그인