KR101976794B1 - Network security method and apparatus thereof - Google Patents

Network security method and apparatus thereof Download PDF

Info

Publication number
KR101976794B1
KR101976794B1 KR1020170016091A KR20170016091A KR101976794B1 KR 101976794 B1 KR101976794 B1 KR 101976794B1 KR 1020170016091 A KR1020170016091 A KR 1020170016091A KR 20170016091 A KR20170016091 A KR 20170016091A KR 101976794 B1 KR101976794 B1 KR 101976794B1
Authority
KR
South Korea
Prior art keywords
packet
address
network
internal network
directionality
Prior art date
Application number
KR1020170016091A
Other languages
Korean (ko)
Other versions
KR20180091215A (en
Inventor
정연권
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020170016091A priority Critical patent/KR101976794B1/en
Publication of KR20180091215A publication Critical patent/KR20180091215A/en
Application granted granted Critical
Publication of KR101976794B1 publication Critical patent/KR101976794B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 내부망 및 외부망 간에 송수신되는 패킷에 대한 보안 처리를 수행하는 네트워크 보안 장치의 네트워크 보안 방법에 있어서, 패킷이 수신되면, 상기 패킷의 IP 주소가 내부망 IP 주소에 대응되는지 여부를 기초로 상기 패킷의 방향성을 판단하는 단계, 상기 패킷의 IP 주소가 상기 내부망 IP 주소에 대응하지 않으면, 상기 패킷의 IP 주소가 내부망 네트워크 대역에 포함되는지 여부를 기초로 상기 패킷의 상기 방향성을 판단하는 단계 및 상기 판단된 방향성을 기초로 네트워크 보안을 수행하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 방법에 관한 것이다. A network security method for a network security device that performs security processing on packets transmitted and received between an internal network and an external network, the method comprising: upon receipt of a packet, determining whether an IP address of the packet corresponds to an internal network IP address Determining the directionality of the packet based on whether the IP address of the packet is included in the internal network bandwidth if the IP address of the packet does not correspond to the internal network IP address; And performing network security on the basis of the determined directionality.

Description

네트워크 보안 방법 및 그 장치{Network security method and apparatus thereof}Network security method and apparatus < RTI ID = 0.0 >

본 발명은 네트워크 보안 방법 및 그 장치에 관한 것으로, 보다 구체적으로 본 발명은 패킷 미러링이 단일 포트로 구성되는 네트워크 환경에서 네트워크 보안 장치가 패킷의 방향성을 구분할 수 있도록 하는 네트워크 보안 방법 및 그 장치에 관한 것이다. BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a network security method and apparatus, and more particularly, to a network security method and a device for enabling a network security apparatus to distinguish packet direction in a network environment in which packet mirroring is configured with a single port will be.

네트워크 보안 장비 중 침입 탐지 시스템(Intrusion Detection System; IDS)와 같이 직접적인 패킷 차단을 수행할 필요가 없는 장비의 경우에는, TAP 장비를 이용한 패킷 미러링을 통하여 패킷을 전달받을 수 있다. In the case of an apparatus that does not need to perform direct packet blocking such as Intrusion Detection System (IDS) among network security apparatuses, packets can be received through packet mirroring using TAP equipment.

TAP 장비는 단일 포트 또는 멀티 포트로 네트워크 보안 장비와 연결될 수 있는데, TAP 장비가 단일 포트로 네트워크 보안 장비에 연결되는 경우, 네트워크 보안 장비는 미러링된 패킷이 내부망으로부터 유입된 것인지 또는 외부망으로부터 유입된 것인지 방향성을 판단할 수 없게 된다. When a TAP device is connected to a network security device with a single port, the network security device can determine whether the mirrored packet is from the internal network or from the external network It can not be judged whether it has been made or direction.

본 발명은 상기한 문제를 해결하기 위한 것으로, 단일 포트를 통하여 미러링된 패킷을 수신하는 네트워크 보안 장치가 수신된 패킷의 방향성을 판단할 수 있도록 하는 네트워크 보안 방법 및 그 장치를 제공한다. SUMMARY OF THE INVENTION The present invention provides a network security method and apparatus for allowing a network security device that receives a mirrored packet through a single port to determine the directionality of a received packet.

상술한 과제를 해결하기 위한 본 발명에 따른 네트워크 보안 방법은, 내부망 및 외부망 간에 송수신되는 패킷에 대한 보안 처리를 수행하는 네트워크 보안 장치의 네트워크 보안 방법에 있어서, 패킷이 수신되면, 상기 패킷의 IP 주소가 내부망 IP 주소에 대응되는지 여부를 기초로 상기 패킷의 방향성을 판단하는 단계, 상기 패킷의 IP 주소가 상기 내부망 IP 주소에 대응하지 않으면, 상기 패킷의 IP 주소가 내부망 네트워크 대역에 포함되는지 여부를 기초로 상기 패킷의 상기 방향성을 판단하는 단계 및 상기 판단된 방향성을 기초로 네트워크 보안을 수행하는 단계를 포함하는 것을 특징으로 한다. According to another aspect of the present invention, there is provided a network security method for a network security apparatus that performs security processing on packets transmitted and received between an internal network and an external network, Determining the directionality of the packet based on whether the IP address corresponds to the internal network IP address or not if the IP address of the packet does not correspond to the internal network IP address, Determining the directionality of the packet based on whether the packet is included or not, and performing network security based on the determined directionality.

또한, 상기 내부망 IP 주소는, 상기 내부망에 연결된 적어도 하나의 사용자 단말에 할당된 IP 주소인 것을 특징으로 한다. The internal network IP address is an IP address assigned to at least one user terminal connected to the internal network.

또한, 상기 패킷의 IP 주소가 상기 내부망 IP 주소에 대응되는지 여부를 기초로 상기 패킷의 방향성을 판단하는 단계는, 상기 패킷의 출발지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계 및 상기 패킷의 목적지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계를 포함하는 것을 특징으로 한다. The step of determining the directionality of the packet on the basis of whether the IP address of the packet corresponds to the internal network IP address may include determining whether the packet corresponds to the internal network IP address, And determining the directionality of the packet as the incoming packet from the external network if the destination IP address of the packet corresponds to the internal network IP address. .

또한, 상기 내부망 네트워크 대역은, 상기 네트워크 보안 장치에 적용된 규약에 의하여 미리 정의되는 것으로, 상기 내부망에 연결되는 적어도 하나의 사용자 단말을 위하여 할당될 수 있는 IP 주소의 범위인 것을 특징으로 한다.In addition, the internal network bandwidth is defined in advance by a protocol applied to the network security apparatus, and is a range of IP addresses that can be allocated for at least one user terminal connected to the internal network.

또한, 상기 패킷의 IP 주소가 상기 내부망 네트워크 대역에 포함되는지 여부를 기초로 상기 패킷의 상기 방향성을 판단하는 단계는, 상기 패킷의 출발지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계 및 상기 패킷의 목적지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계를 포함하는 것을 특징으로 한다. The step of determining the directionality of the packet based on whether an IP address of the packet is included in the internal network band includes: if the source IP address of the packet corresponds to the internal network band, Determining the directionality of the packet from the external network if the destination IP address of the packet corresponds to the internal network bandwidth, and determining the directionality of the packet from the external network .

또한, 상기 패킷의 IP 주소가 상기 내부망 네트워크 대역에 포함되지 않으면, 상기 패킷의 방향성을 알 수 없음으로 판단하는 단계를 더 포함하는 것을 특징으로 한다. The method may further include determining that the direction of the packet is unknown if the IP address of the packet is not included in the internal network bandwidth.

또한, 상기 패킷은, 상기 내부망 및 상기 외부망 간을 연결하고, 상기 네트워크 보안 장치와 단일 포트로 연결되는 TAP 장비로부터 수신되는 미러링 패킷인 것을 특징으로 한다. The packet is a mirroring packet transmitted from the TAP equipment which connects the internal network and the external network and is connected to the network security apparatus through a single port.

또한, 상술한 과제를 해결하기 위한 본 발명에 따른 네트워크 보안 장치는, 내부망 및 외부망 간에 송수신되는 패킷을 수신하는 통신부 및 상기 패킷의 IP 주소가 내부망 IP 주소에 대응되는지 여부 및 상기 패킷의 IP 주소가 내부망 네트워크 대역에 포함되는지 여부 중 적어도 하나를 기초로 상기 패킷의 방향성을 판단하고, 상기 판단된 방향성을 기초로 네트워크 보안을 수행하는 제어부를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a network security apparatus including a communication unit for receiving packets transmitted and received between an internal network and an external network, and a communication unit for determining whether an IP address of the packet corresponds to an internal network IP address, And a controller for determining a direction of the packet based on at least one of whether an IP address is included in an internal network band and performing network security based on the determined direction.

또한, 상기 내부망 IP 주소는, 상기 내부망에 연결된 적어도 하나의 사용자 단말에 할당된 IP 주소이고, 상기 내부망 네트워크 대역은, 상기 네트워크 보안 장치에 적용된 규약에 의하여 미리 정의되는 것으로, 상기 내부망에 연결되는 적어도 하나의 사용자 단말을 위하여 할당될 수 있는 IP 주소의 범위인 것을 특징으로 한다.The internal network IP address is an IP address allocated to at least one user terminal connected to the internal network. The internal network bandwidth is defined in advance according to a protocol applied to the network security apparatus, And the IP address is a range of IP addresses that can be allocated for at least one user terminal connected to the Internet.

또한, 상기 제어부는, 상기 패킷의 출발지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하고, 상기 패킷의 목적지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 것을 특징으로 한다. If the source IP address of the packet corresponds to the internal network IP address, the control unit determines that the packet is received from the internal network and determines that the destination IP address of the packet is the internal network IP address And determines the directionality of the packet as the packet is received from the external network.

또한, 상기 제어부는, 상기 패킷의 IP 주소가 상기 내부망 IP 주소에 대응하지 않으면, 상기 패킷의 IP 주소가 내부망 네트워크 대역에 포함되는지 여부를 기초로 상기 패킷의 상기 방향성을 판단하는 것을 특징으로 한다. The control unit may determine the directionality of the packet based on whether an IP address of the packet is included in an internal network band band if the IP address of the packet does not correspond to the internal network IP address do.

또한, 상기 제어부는, 상기 패킷의 출발지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하고, 상기 패킷의 목적지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 것을 특징으로 한다. If the source IP address of the packet corresponds to the internal network bandwidth, the control unit determines that the packet is received from the internal network. If the destination IP address of the packet is within the internal network bandwidth And determines the directionality of the packet as the packet is received from the external network.

또한, 상기 제어부는, 상기 패킷의 IP 주소가 상기 내부망 네트워크 대역에 포함되지 않으면, 상기 패킷의 방향성을 알 수 없음으로 판단하는 것을 특징으로 한다. In addition, the controller determines that the direction of the packet is unknown if the IP address of the packet is not included in the internal network bandwidth.

또한, 상기 통신부는, 상기 내부망 및 상기 외부망 간을 연결하는 TAP 장비와 단일 포트로 연결되고, 상기 단일 포트를 통하여 상기 TAP 장비로부터 미러링 패킷을 수신하는 것을 특징으로 한다. The communication unit is connected to the TAP equipment connecting between the internal network and the external network through a single port, and receives the mirroring packet from the TAP equipment through the single port.

또한, 상기 내부망 IP 주소를 포함하는 내부망 IP 주소 목록 및 상기 내부 네트워크 대역에 관한 정보를 저장하는 저장부를 더 포함하는 것을 특징으로 한다.The apparatus may further include a storage unit for storing the internal network IP address list including the internal network IP address and the internal network bandwidth information.

본 발명에 따른 네트워크 보안 방법 및 그 장치는, 외부망 및 내부망으로부터 전달되는 패킷이 미러링되고, 네트워크 보안 장치에서 혼합되어 수신되는 경우에도, 네트워크 보안 장치가 패킷의 방향성을 판단할 수 있도록 한다. The network security method and apparatus according to the present invention allow a network security device to determine the directionality of a packet even when packets transmitted from an external network and an internal network are mirrored and mixed in a network security device.

도 1은 네트워크 보안 장치가 인라인에서 직접 패킷을 수신하는 네트워크 구조를 나타낸 도면이다.
도 2는 네트워크 보안 장치가 멀티 포트를 통하여 미러링된 패킷을 수신하는 네트워크 구조를 나타낸 도면이다.
도 3은 네트워크 보안 장치가 단일 포트를 통하여 미러링된 패킷을 수신하는 네트워크 구조를 나타낸 도면이다.
도 4는 본 발명의 실시 예에 따른 네트워크 보안 방법을 나타낸 순서도이다.
도 5는 본 발명의 실시 예에 따른 네트워크 보안 장치의 구조를 나타낸 블록도이다. Figure 1 is a diagram illustrating a network architecture in which a network security device receives packets directly in-line.
2 is a diagram illustrating a network structure in which a network security apparatus receives a mirrored packet through a multiport.
3 is a diagram illustrating a network structure in which a network security apparatus receives a mirrored packet through a single port.
4 is a flowchart illustrating a network security method according to an embodiment of the present invention.
5 is a block diagram illustrating a structure of a network security apparatus according to an embodiment of the present invention.

본 명세서의 실시 예를 설명함에 있어 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략될 수 있다. In the description of the embodiments of the present invention, if it is determined that a detailed description of known configurations or functions related to the present invention can not be applied to the present invention, detailed description thereof may be omitted.

본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다." 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.  Quot ;, " include, " " include, " as used herein. And the like are intended to indicate the presence of disclosed features, operations, components, etc., and are not intended to limit the invention in any way. Also, in this specification, " include. &Quot; Or "have." , Etc. are intended to designate the presence of stated features, integers, steps, operations, components, parts, or combinations thereof, may be combined with one or more other features, steps, operations, components, It should be understood that they do not preclude the presence or addition of combinations thereof.

본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.As used herein, the singular forms "a", "an" and "the" include plural referents unless the context clearly dictates otherwise.

이하, 첨부된 도면을 참조하여 본 발명을 설명한다. Hereinafter, the present invention will be described with reference to the accompanying drawings.

본 발명의 실시 예에 따른 네트워크 보안 장치는 기설정된 보안 정책에 따라 네트워크에서 패킷의 송수신을 제어하는 장치로, 패킷 송수신의 허용/차단을 직접 수행하지는 않으나, 패킷 분석, 통계 정보 수집 등을 통하여 패킷 송수신 제어를 관리하는 장치일 수 있다. 다양한 실시 예에서, 네트워크 보안 장치는 침입 방지 시스템(Intrusion Prevention System; IPS), 침입 탐지 시스템(Intrusion Detection System; IDS) 등으로 구성될 수 있다. The network security apparatus according to an embodiment of the present invention controls transmission and reception of packets in a network according to a predetermined security policy. It does not directly allow or block packet transmission / reception, And may be a device for managing transmission / reception control. In various embodiments, the network security device may comprise an Intrusion Prevention System (IPS), an Intrusion Detection System (IDS), and the like.

도 1은 네트워크 보안 장치가 인라인에서 직접 패킷을 수신하는 네트워크 구조를 나타낸 도면이다. Figure 1 is a diagram illustrating a network architecture in which a network security device receives packets directly in-line.

일반적으로, 네트워크는 논리상 내부망(1)과 외부망(2)으로 구분될 수 있다. 외부망(2)은 인터넷 구간을 포함할 수 있으며, 사용자 단말은 내부망(1)을 통하여 외부망(2)에 접속할 수 있다. Generally, a network may be logically divided into an internal network 1 and an external network 2. The external network 2 may include an Internet section and the user terminal may access the external network 2 through the internal network 1. [

네트워크 보안 장치(10)는 사용자 단말과 인터넷 구간 간에 송수신되는 패킷의 보안 처리를 수행할 수 있다. 이를 위하여 네트워크 보안 장치(10)는 내부망(1)과 외부망(2) 사이에 구비될 수 있으며, 내부망(1)에 연결된 사용자 단말들의 IP 주소 목록(이하, 내부망 IP 주소 목록)을 미리 저장할 수 있다. The network security device 10 can perform security processing of packets transmitted and received between the user terminal and the Internet section. The network security device 10 may be provided between the internal network 1 and the external network 2 and may include an IP address list of user terminals connected to the internal network 1 Can be stored in advance.

도 1에서, 네트워크 보안 장치(10)는 내부망(1)과 외부망(2)을 연결하는 라인 상에 구비되어, 내부망(1)과 외부망(2) 사이를 오가는 패킷을 직접 수신한다. 네트워크 보안 장치(10)는 기설정된 보안 프로토콜에 따라 수신된 패킷에 관한 정보를 수집하거나, 패킷의 송수신 제어를 위한 동작을 수행할 수 있다. 1, a network security apparatus 10 is provided on a line connecting an internal network 1 and an external network 2, and receives a packet directly between the internal network 1 and the external network 2 . The network security apparatus 10 may collect information on a received packet according to a predetermined security protocol, or may perform an operation for controlling transmission and reception of a packet.

도 2는 네트워크 보안 장치가 멀티 포트를 통하여 미러링된 패킷을 수신하는 네트워크 구조를 나타낸 도면이다. 2 is a diagram illustrating a network structure in which a network security apparatus receives a mirrored packet through a multiport.

도 2에서, 네트워크 보안 장치(20)는 내부망(1)과 외부망(2)을 연결하는 라인 상에 구비되는 TAP 장비(3)와 멀티 포트(4, 5)를 통해 연결된다. 2, the network security apparatus 20 is connected to the TAP equipment 3 provided on the line connecting the internal network 1 and the external network 2 via the multiport 4, 5.

TAP 장비(3)는 내부망(1) 또는 외부망(2)으로부터 수신된 패킷을 지정된 포트로 전송함과 동시에, 해당 패킷과 동일하게 복사된 패킷을 생성(미러링)하여 미러링 포트, 즉 네트워크 보안 장치(20)와 연결된 포트로 전달할 수 있다. The TAP equipment 3 transmits a packet received from the internal network 1 or the external network 2 to a designated port and generates (mirror) a packet copied in the same manner as the corresponding packet to generate a mirroring port, To the port connected to the device 20.

도 2에서, TAP 장비(3)는 내부망(1)으로부터 유입된 패킷의 미러링 패킷은 제1 포트(4)를 통하여, 외부망(2)으로부터 유입된 패킷의 미러링 패킷은 제2 포트(5)를 통하여 네트워크 보안 장치(20)로 전달할 수 있다. 2, the TAP equipment 3 receives the mirroring packet of the packet received from the internal network 1 through the first port 4 and the mirroring packet of the packet received from the external network 2 through the second port 5 To the network security device 20 via the Internet.

네트워크 보안 장치(20)는 패킷이 수신되는 포트를 기초로, 해당 패킷의 방향성을 판단할 수 있다. 즉, 네트워크 보안 장치(20)는 제1 포트(4)를 통하여 유입되는 패킷의 경우, 내부망(1)으로부터 외부망(2)으로 전송되는 패킷으로 판단하고, 제2 포트(5)를 통하여 유입되는 패킷의 경우, 외부망(2)으로부터 내부망(1)으로 전송되는 패킷으로 판단할 수 있다. The network security apparatus 20 can determine the directionality of the packet based on the port on which the packet is received. That is, in the case of a packet flowing through the first port 4, the network security apparatus 20 determines that the packet is transmitted from the internal network 1 to the external network 2, In the case of an incoming packet, it can be determined that the packet is transmitted from the external network 2 to the internal network 1. [

도 3은 네트워크 보안 장치가 단일 포트를 통하여 미러링된 패킷을 수신하는 네트워크 구조를 나타낸 도면이다.3 is a diagram illustrating a network structure in which a network security apparatus receives a mirrored packet through a single port.

도 3에서, 네트워크 보안 장치(30)는 내부망(1)과 외부망(2)을 연결하는 라인 상에 구비되는 TAP 장비(3)와 단일 포트(6)를 통해 연결된다. 3, the network security device 30 is connected to the TAP equipment 3 provided on the line connecting the internal network 1 and the external network 2 via the single port 6.

TAP 장비(3)는 내부망(1)으로부터 유입된 패킷의 미러링 패킷 및 외부망(2)으로부터 유입된 패킷의 미러링 패킷을 모두 단일 포트(6)를 통하여 네트워크 보안 장치(30)로 전달할 수 있다. The TAP equipment 3 can transmit the mirroring packet of the packet received from the internal network 1 and the mirroring packet of the packet received from the external network 2 to the network security device 30 through the single port 6 .

도 3의 실시 예에서, 네트워크 보안 장치(30)는 단일 포트(6)를 통하여 모든 미러링 패킷을 수신하기 때문에, 도 2의 실시 예와 달리 패킷이 유입되는 포트를 이용하여 패킷의 방향성을 판단할 수 없다. In the embodiment of FIG. 3, since the network security device 30 receives all the mirroring packets through the single port 6, unlike the embodiment of FIG. 2, the network security device 30 determines the directionality of the packet I can not.

일반적으로 네트워크 통신에서 해커 등 공격자에 의한 공격성 트래픽(위험한 트래픽)은 외부망(2)으로부터 유입되는 경우가 많다. 또한, 네트워크 보안 장치(30)를 이용하여 사용자 단말의 특정 도메인 접속을 제한하고자 하는 경우, 내부망(1)으로부터 유입된 패킷을 제어해야 하는 경우가 많다. 결과적으로, 네트워크 보안에 있어서 패킷의 방향성에 대한 판단 여부는 중요한 요인으로 작용할 수 있다. Generally, in network communication, aggressive traffic (dangerous traffic) caused by an attacker such as a hacker is often input from the external network (2). In addition, when the network security device 30 is used to restrict access to a specific domain of a user terminal, it is often necessary to control packets flowing from the internal network 1. [ As a result, whether or not to judge the directionality of packets in network security can be an important factor.

네트워크 보안 장치(30)가, 도 3의 실시 예와 같이, 단일 포트(6)를 통하여 미러링된 패킷을 수신하도록 구현되는 경우, TAP 장비(3)와 네트워크 보안 장치(30)를 연결하는 인터페이스가 하나만 요구되기 때문에, 장비 구조의 복잡도나 네트워크 망 구조의 복잡도가 낮아질 수 있다. 그러나 상술한 바와 같이 단일 포트(6)를 통하여 네트워크 보안 장치(30)로 미러링된 패킷이 전달되는 경우, 네트워크 보안 장치(30)가 패킷의 방향성을 판단할 수 없게 되므로, 네트워크 보안에 있어서 효율성이 낮아지게 된다. If the network security device 30 is implemented to receive a mirrored packet over a single port 6, as in the embodiment of FIG. 3, an interface connecting the TAP equipment 3 and the network security device 30 Since only one is required, the complexity of the equipment structure and the complexity of the network structure can be reduced. However, when the mirrored packet is delivered to the network security device 30 through the single port 6 as described above, since the network security device 30 can not determine the directionality of the packet, .

이러한 문제점을 해결하기 위하여, 본 발명에서는 도 3과 같이 구성된 네트워크에서, 내부망(1)에 대한 네트워크 대역을 정의한 정보를 기초로, 패킷 미러링이 단일 포트로 구성되는 네트워크에서 네트워크 보안 장치가 패킷의 방향성을 판단할 수 있도록 한다. In order to solve such a problem, according to the present invention, in a network configured as shown in FIG. 3, in a network in which packet mirroring is configured by a single port based on information defining a network band for the internal network 1, So that the directionality can be judged.

도 4는 본 발명의 실시 예에 따른 네트워크 보안 방법을 나타낸 순서도이다.4 is a flowchart illustrating a network security method according to an embodiment of the present invention.

도 4를 참조하면, 본 발명에 따른 네트워크 보안 장치는, 패킷이 수신되는 경우(401), 먼저 해당 패킷의 출발지 IP 주소가 내부망 IP 주소인지 여부를 판단할 수 있다(402).Referring to FIG. 4, when a packet is received (401), the network security apparatus according to the present invention may determine whether a source IP address of the packet is an internal network IP address (402).

여기서, 네트워크 보안 장치로 수신되는 패킷은 TAP 장비로부터 유입되는 미러링 패킷일 수 있으나, 이로 한정하지는 않는다.Here, the packet received by the network security device may be a mirroring packet received from the TAP equipment, but is not limited thereto.

네트워크 보안 장치는 내부망 IP 주소들을 포함하는 내부망 IP 주소 목록을 미리 저장할 수 있다. 내부망 IP 주소 목록은, 내부망에 연결된 적어도 하나의 사용자 단말의 IP 주소를 포함하는 목록일 수 있다. The network security device may store in advance a list of internal network IP addresses including internal network IP addresses. The internal network IP address list may be a list including an IP address of at least one user terminal connected to the internal network.

다양한 실시 예에서, 내부망 IP 주소 목록은 네트워크 보안 장치의 사용자(예를 들어, 관리자)를 통하여 직접 입력되거나, 네트워크로부터 수신되어 미리 저장될 수 있다. In various embodiments, the list of internal network IP addresses may be entered directly via a user (e.g., a manager) of the network security device, or received from the network and stored in advance.

네트워크 보안 장치는 수신된 패킷의 헤더로부터 추출되는 출발지 IP 주소가 기저장된 내부망 IP 주소 목록에 포함되어 있는지 여부를 판단할 수 있다. The network security apparatus can determine whether the source IP address extracted from the header of the received packet is included in the pre-stored internal network IP address list.

출발지 IP 주소가 내부망 IP 주소인 경우, 네트워크 보안 장치는 해당 패킷이 내부망으로부터 유입된 것으로 판단할 수 있다(403).If the source IP address is an internal network IP address, the network security device may determine that the packet is received from the internal network (403).

한편, 출발지 IP 주소가 내부망 IP 주소가 아닌 경우, 네트워크 보안 장치는 해당 패킷의 목적지 IP 주소가 내부망 IP 주소인지 여부를 판단할 수 있다(404). If the source IP address is not the internal network IP address, the network security device may determine whether the destination IP address of the packet is an internal network IP address (404).

네트워크 보안 장치는 패킷의 헤더로부터 추출되는 목적지 IP 주소가 기저장된 내부망 IP 주소 목록에 포함되어 있는지 여부를 판단할 수 있다. The network security apparatus can determine whether the destination IP address extracted from the header of the packet is included in the pre-stored internal network IP address list.

패킷의 목적지 IP 주소가 내부망 IP 주소인 경우, 네트워크 보안 장치는 해당 패킷이 외부망으로부터 유입된 것으로 판단할 수 있다(405).If the destination IP address of the packet is an internal network IP address, the network security device can determine that the packet is received from the external network (405).

상기에서는 네트워크 보안 장치가 출발지 IP 주소가 내부 IP 주소인지를 먼저 판단한 후에, 목적지 IP 주소가 내부 IP 주소인지를 판단하는 것으로 예를 들어 설명하였으나, 본 발명의 기술 사상은 이에 한정되지는 않는다.In the above description, the network security apparatus first determines that the source IP address is the internal IP address, and then determines whether the destination IP address is the internal IP address. However, the present invention is not limited thereto.

즉, 다른 실시 예에서 네트워크 보안 장치는 목적지 IP 주소가 내부 IP 주소인지를 먼저 판단한 후에 출발지 IP 주소가 내부 IP 주소인지를 판단하거나, 출발지 IP 주소 또는 목적지 IP 주소 중 어느 하나가 내부 IP 주소에 대응하는지 여부를 판단할 수 있다. That is, in another embodiment, the network security device first determines whether the destination IP address is the internal IP address, and then determines whether the source IP address is the internal IP address or whether the source IP address or the destination IP address corresponds to the internal IP address Or not.

한편, 목적지 IP 주소가 내부망 IP 주소가 아닌 경우, 네트워크 보안 장치는 패킷의 출발지 IP 주소가 기정의된 내부망 네트워크 대역에 포함되는지 여부를 판단할 수 있다(406).If the destination IP address is not the internal network IP address, the network security device may determine whether the source IP address of the packet is included in the predetermined internal network bandwidth (406).

내부망 네트워크 대역은, 네트워크 보안 장치에 적용된 규약에 의하여 미리 정의될 수 있는 것으로, 내부망에 연결되는 사용자 단말들을 위하여 할당될 수 있는 IP 주소의 범위일 수 있다. The internal network bandwidth may be predefined by a protocol applied to a network security device and may be a range of IP addresses that can be allocated for user terminals connected to the internal network.

일 실시 예에서 내부망 네트워크 대역은 IETF에서 정의된 것일 수 있으며, 내부망 네트워크 대역은 10.0.0.0 내지 10.255.255.255, 172.16.0.0 내지 172.31.255.255, 또는 192.168.0.0 내지 192.168.255.255 등과 같이 정의될 수 있다. In one embodiment, the internal network bandwidth may be defined in the IETF, and the internal network bandwidth may be defined as 10.0.0.0 to 10.255.255.255, 172.16.0.0 to 172.31.255.255, or 192.168.0.0 to 192.168.255.255, etc. .

네트워크 보안 장치는 패킷의 헤더로부터 추출되는 출발지 IP 주소가 기정의된 내부망 네트워크 대역에 포함되는지 여부를 판단할 수 있다. The network security apparatus can determine whether the source IP address extracted from the header of the packet is included in the predetermined internal network network band.

패킷의 출발지 IP 주소가 기정의된 내부망 네트워크 대역에 포함되는 경우, 네트워크 보안 장치는 해당 패킷이 내부망으로부터 유입된 것으로 판단할 수 있다(403).If the source IP address of the packet is included in the predefined internal network bandwidth, the network security device may determine that the packet is received from the internal network (403).

한편, 패킷의 출발지 IP 주소가 기정의된 내부망 네트워크 대역에 포함되지 않는 경우, 네트워크 보안 장치는 패킷의 목적지 IP 주소가 기정의된 내부망 네트워크 대역에 포함되는지 여부를 판단할 수 있다(407). On the other hand, if the source IP address of the packet is not included in the predefined internal network band, the network security device may determine whether the destination IP address of the packet is included in the predefined internal network band (407) .

패킷의 목적지 IP 주소가 기정의된 내부망 네트워크 대역에 포함되는 경우, 네트워크 보안 장치는 해당 패킷이 외부망으로부터 유입된 것으로 판단할 수 있다(405). If the destination IP address of the packet is included in the predefined internal network band, the network security device may determine that the packet is received from the external network (405).

상기에서는 네트워크 보안 장치가 출발지 IP 주소가 내부망 네트워크 대역에 포함되는지를 먼저 판단한 후에, 목적지 IP 주소가 내부망 네트워크 대역에 포함되는지 여부를 판단하는 것으로 예를 들어 설명하였으나, 본 발명의 기술 사상은 이에 한정되지는 않는다.In the above description, the network security apparatus first determines whether the source IP address is included in the internal network band, and then determines whether the destination IP address is included in the internal network band. However, But is not limited thereto.

즉, 다른 실시 예에서 네트워크 보안 장치는 목적지 IP 주소가 내부망 네트워크 대역에 포함되는지를 먼저 판단한 후에, 출발지 IP 주소가 내부망 네트워크 대역에 포함되는지 여부를 판단하거나, 출발지 IP 주소 또는 목적지 IP 중 어느 하나가 내부망 네트워크 대역에 포함되는지 여부를 판단할 수 있다. That is, in another embodiment, the network security apparatus first determines whether the destination IP address is included in the internal network band, and then determines whether the source IP address is included in the internal network band, It is possible to determine whether one is included in the internal network network band.

한편, 출발지 IP 주소 및 목적지 IP 주소가 모두 내부망 IP 주소가 아니고 내부망 네트워크 대역에 포함되지 않는 경우, 네트워크 보안 장치는 해당 패킷의 방향성을 알 수 없음으로 판단하고(408), 관련된 정보를 저장 및 관리할 수 있다.If the source IP address and the destination IP address are both not the internal network IP address and are not included in the internal network band, the network security device determines that the direction of the packet is unknown (408) And manage.

추가로, 네트워크 보안 장치는 상술한 동작에 따라 판단된 패킷의 방향성을 기초로 기설정된 보안 프로토콜에 따른 네트워크 보안을 수행할 수 있다. 일 예로, 네트워크 보안 장치는 판단된 패킷의 방향성을 기초로 트래픽 분석, 통계 분석, 공격 패킷 여부 판단 등을 수행할 수 있고, 수행 결과를 화면에 출력하거나 관리자에게 보고하는 등 다양한 동작을 수행할 수 있다. In addition, the network security device may perform network security according to a predetermined security protocol based on the directionality of the packet determined according to the operation described above. For example, the network security device can perform traffic analysis, statistical analysis, determination of whether or not an attack packet is performed based on the direction of the determined packet, and can perform various operations such as outputting the result to the screen or reporting to the administrator have.

도 5는 본 발명의 실시 예에 따른 네트워크 보안 장치의 구조를 나타낸 블록도이다. 5 is a block diagram illustrating a structure of a network security apparatus according to an embodiment of the present invention.

도 5를 참조하면, 본 발명의 실시 예에 따른 네트워크 보안 장치(50)는 통신부(51), 제어부(52) 및 저장부(53)를 포함하여 구성될 수 있다. 5, a network security device 50 according to an embodiment of the present invention may include a communication unit 51, a control unit 52, and a storage unit 53.

통신부(51)는 외부와 통신을 수행할 수 있다.The communication unit 51 can communicate with the outside.

본 발명의 다양한 실시 예에서, 통신부(51)는 내부망 및 외부망을 연결하는 라인 상에 구비되는 TAP 장비와 단일 포트로 연결될 수 있고, 단일 포트를 통하여 TAP 장비로부터 내부망과 외부망 간 송수신되는 패킷의 미러링 패킷을 수신할 수 있다. In the various embodiments of the present invention, the communication unit 51 may be connected to the TAP equipment provided on the line connecting the internal network and the external network through a single port, and may transmit and receive data from the TAP equipment through the single port, Lt; RTI ID = 0.0 > packet. ≪ / RTI >

제어부(52)는 본 발명에 따른 네트워크 보안 방법을 수행하기 위하여 네트워크 보안 장치(50)의 각 구성 요소들을 제어할 수 있다. The control unit 52 may control each component of the network security device 50 to perform the network security method according to the present invention.

구체적으로, 제어부(52)는 TAP 장비를 통하여 미러링 패킷이 수신되면, 수신된 패킷의 출발지 IP 주소 및 목적지 IP 주소 중 어느 하나가 내부망 IP 주소인지 여부를 기초로 패킷의 방향성을 판단할 수 있다. 또한, 제어부(52)는 내부망 IP 주소인지 여부를 기초로 패킷의 방향성을 판단할 수 없을 때, 패킷의 출발지 IP 주소 및 목적지 IP 주소 중 어느 하나가 기정의된 내부망 네트워크 대역에 포함되는지 여부를 기초로 패킷의 방향성을 판단할 수 있다. Specifically, when the mirroring packet is received through the TAP equipment, the control unit 52 can determine the directionality of the packet based on whether one of the source IP address and the destination IP address of the received packet is an internal network IP address . In addition, when the direction of the packet can not be determined based on whether or not the IP address is the internal network IP address, the controller 52 determines whether any one of the source IP address and the destination IP address of the packet is included in the predetermined internal network bandwidth It is possible to determine the directionality of the packet based on the packet.

제어부(52)의 구체적인 동작은 도 4를 참조하여 설명한 바와 동일하므로, 자세한 설명은 생략한다.Since the specific operation of the control unit 52 is the same as that described with reference to FIG. 4, a detailed description will be omitted.

저장부(53)는 네트워크 보안 장치(50)의 동작을 위한 프로그램, 데이터 등을 저장할 수 있다. 이를 위하여, 저장부(53)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 xD 메모리 등), 램(Random Access Memory, RAM), SRAM(Static Random Access Memory), 롬(Read-Only Memory, ROM), EEPROM(Electrically Erasable Programmable Read-Only Memory), PROM(Programmable Read-Only Memory), 자기 메모리, 자기 디스크, 광디스크 중 적어도 하나의 타입의 저장매체를 포함할 수 있다.The storage unit 53 may store a program, data, and the like for the operation of the network security apparatus 50. The storage unit 53 may be a flash memory type, a hard disk type, a multimedia card micro type, a card type memory (for example, SD or xD memory A static random access memory (SRAM), a read-only memory (ROM), an electrically erasable programmable read-only memory (EEPROM), a programmable read-only memory (PROM) Magnetic disk, magnetic disk, magnetic disk, or optical disk.

본 발명의 다양한 실시 예에서, 저장부(53)는 네트워크 보안 장치(50)와 연결된 내부망의 IP 주소 목록 및 기정의된 내부망 네트워크 대역에 관한 정보 등을 저장할 수 있다. In various embodiments of the present invention, the storage unit 53 may store an IP address list of an internal network connected to the network security apparatus 50, information on a predetermined internal network network band, and the like.

본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It is to be understood that both the foregoing general description and the following detailed description of the present invention are exemplary and explanatory and are intended to provide further explanation of the invention as claimed. Accordingly, the scope of the present invention should be construed as being included in the scope of the present invention, all changes or modifications derived from the technical idea of the present invention.

50: 네트워크 보안 장치
51: 통신부
52: 제어부
53: 저장부50: Network security device
51:
52:
53:

Claims (15)

내부망 및 외부망 간에 송수신되는 패킷에 대한 보안 처리를 수행하는 네트워크 보안 장치의 네트워크 보안 방법에 있어서,
멀티 포트를 이용하는 미러링 장비로부터 제1 패킷이 수신되면, 상기 제1 패킷이 전송된 포트 정보에 기초하여 상기 제1 패킷의 방향성을 판단하는 단계;
단일 포트를 이용하는 미러링 장비로부터 제2 패킷이 수신되면, 상기 제2 패킷의 IP 주소가 내부망 IP 주소에 대응되는지 여부를 기초로 상기 제2 패킷의 방향성을 1차 판단하는 단계;
상기 제2 패킷의 IP 주소가 상기 내부망 IP 주소에 대응하지 않으면, 상기 제2 패킷의 IP 주소가 내부망 네트워크 대역에 포함되는지 여부를 기초로 상기 제2 패킷의 상기 방향성을 2차 판단하는 단계; 및
상기 판단된 방향성을 기초로 네트워크 보안을 수행하는 단계를 포함하되,
상기 내부망 네트워크 대역은,
상기 네트워크 보안 장치에 적용된 규약에 의하여 미리 정의되는 것으로, 상기 네트워크 보안 장치가 상기 내부망에 연결되는 적어도 하나의 사용자 단말을 위하여 할당할 수 있도록 허용된 IP 주소의 범위인 것을 특징으로 하는 네트워크 보안 방법. A network security method of a network security apparatus for performing security processing on packets transmitted and received between an internal network and an external network,
Determining a directionality of the first packet based on the port information on which the first packet is transmitted when the first packet is received from the mirroring equipment using the multiport;
Determining a directionality of the second packet based on whether an IP address of the second packet corresponds to an internal network IP address when a second packet is received from a mirroring device using a single port;
Determining a direction of the second packet based on whether an IP address of the second packet is included in an internal network bandwidth band if the IP address of the second packet does not correspond to the internal network IP address ; And
And performing network security based on the determined directionality,
Wherein the internal network bandwidth comprises:
Wherein the network security device is defined in advance by a protocol applied to the network security device and is a range of IP addresses allowed to be allocated for at least one user terminal connected to the internal network . 제1항에 있어서, 상기 내부망 IP 주소는,
상기 내부망에 연결된 적어도 하나의 사용자 단말에 할당된 IP 주소인 것을 특징으로 하는 네트워크 보안 방법. [2] The method of claim 1,
Wherein the IP address is an IP address assigned to at least one user terminal connected to the internal network. 제1항에 있어서, 상기 제2 패킷의 방향성을 1차 판단하는 단계는,
상기 제2 패킷의 출발지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 제2 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계; 및
상기 제2 패킷의 목적지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 제2 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 방법. 2. The method of claim 1, wherein the first determining the directionality of the second packet comprises:
Determining the directionality that the second packet is received from the internal network if the source IP address of the second packet corresponds to the internal network IP address; And
And determining the directionality that the second packet is received from the external network if the destination IP address of the second packet corresponds to the internal network IP address. 삭제delete 제1항에 있어서, 상기 제2 패킷의 상기 방향성을 1차 판단하는 단계는,
상기 제2 패킷의 출발지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 제2 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계; 및
상기 제2 패킷의 목적지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 제2 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 단계를 포함하는 것을 특징으로 하는 네트워크 보안 방법. 2. The method of claim 1, wherein the first determining of the directionality of the second packet comprises:
Determining the directionality that the second packet is received from the internal network if the source IP address of the second packet corresponds to the internal network bandwidth; And
And determining the directionality that the second packet is received from the external network if the destination IP address of the second packet corresponds to the internal network bandwidth. 제1항에 있어서,
상기 제2 패킷의 IP 주소가 상기 내부망 네트워크 대역에 포함되지 않으면, 상기 제2 패킷의 방향성을 알 수 없음으로 판단하는 단계를 더 포함하는 것을 특징으로 하는 네트워크 보안 방법. The method according to claim 1,
And determining that the directionality of the second packet is unknown if the IP address of the second packet is not included in the internal network bandwidth. 제1항에 있어서, 상기 미러링 장비는,
상기 내부망 및 상기 외부망 간을 연결하는 TAP 장비인 것을 특징으로 하는 네트워크 보안 방법. The apparatus of claim 1,
Wherein the TAP equipment is a TAP equipment for connecting the internal network and the external network. 내부망 및 외부망 간에 송수신되는 패킷을 수신하는 통신부; 및
멀티 포트를 이용하는 미러링 장비로부터 제1 패킷이 수신되면, 상기 제1 패킷이 전송된 포트 정보에 기초하여 상기 제1 패킷의 방향성을 판단하고, 단일 포트를 이용하는 미러링 장비로부터 제2 패킷이 수신되면, 상기 제2 패킷의 IP 주소가 내부망 IP 주소에 대응되는지 여부 및 상기 제2 패킷의 IP 주소가 내부망 네트워크 대역에 포함되는지 여부 중 적어도 하나를 기초로 상기 제2 패킷의 방향성을 판단하고, 상기 판단된 방향성을 기초로 네트워크 보안을 수행하는 제어부를 포함하되,
상기 내부망 IP 주소는,
상기 내부망에 연결된 적어도 하나의 사용자 단말에 할당된 IP 주소이고,
상기 내부망 네트워크 대역은,
네트워크 보안 장치에 적용된 규약에 의하여 미리 정의되는 것으로, 상기 내부망에 연결되는 적어도 하나의 사용자 단말을 위하여 할당할 수 있도록 허용된 IP 주소의 범위인 것을 특징으로 하는 네트워크 보안 장치. A communication unit for receiving a packet transmitted and received between an internal network and an external network; And
When the first packet is received from the mirroring equipment using the multi port, the directionality of the first packet is determined based on the port information on which the first packet is transmitted, and when the second packet is received from the mirroring equipment using the single port, Determining a directionality of the second packet based on at least one of whether an IP address of the second packet corresponds to an internal network IP address and whether an IP address of the second packet is included in an internal network band, And a controller for performing network security based on the determined directionality,
Wherein the internal network IP address includes:
An IP address allocated to at least one user terminal connected to the internal network,
Wherein the internal network bandwidth comprises:
Wherein the network security device is defined in advance by a protocol applied to a network security device and is a range of IP addresses allowed to be allocated for at least one user terminal connected to the internal network. 삭제delete 제8항에 있어서, 상기 제어부는,
상기 제2 패킷의 출발지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 제2 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하고, 상기 제2 패킷의 목적지 IP 주소가 상기 내부망 IP 주소에 대응하면, 상기 제2 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 것을 특징으로 하는 네트워크 보안 장치. 9. The apparatus according to claim 8,
If the source IP address of the second packet corresponds to the internal network IP address, determines that the second packet is received from the internal network and determines that the destination IP address of the second packet is the internal network IP address And determines the directionality that the second packet is received from the external network. 제8항에 있어서, 상기 제어부는,
상기 제2 패킷의 IP 주소가 상기 내부망 IP 주소에 대응하지 않으면, 상기 제2 패킷의 IP 주소가 내부망 네트워크 대역에 포함되는지 여부를 기초로 상기 제2 패킷의 상기 방향성을 판단하는 것을 특징으로 하는 네트워크 보안 장치. 9. The apparatus according to claim 8,
And determines the directionality of the second packet based on whether the IP address of the second packet is included in the internal network band if the IP address of the second packet does not correspond to the internal network IP address Network security device. 제8항에 있어서, 상기 제어부는,
상기 제2 패킷의 출발지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 제2 패킷이 상기 내부망으로부터 유입된 것으로 상기 방향성을 판단하고, 상기 제2 패킷의 목적지 IP 주소가 상기 내부망 네트워크 대역에 대응하면, 상기 제2 패킷이 상기 외부망으로부터 유입된 것으로 상기 방향성을 판단하는 것을 특징으로 하는 네트워크 보안 장치. 9. The apparatus according to claim 8,
And determines the directionality that the second packet is received from the internal network if the source IP address of the second packet corresponds to the internal network band, and determines that the destination IP address of the second packet is the internal network band And determines the directionality that the second packet is received from the external network. 제8항에 있어서, 상기 제어부는,
상기 제2 패킷의 IP 주소가 상기 내부망 네트워크 대역에 포함되지 않으면, 상기 제2 패킷의 방향성을 알 수 없음으로 판단하는 것을 특징으로 하는 네트워크 보안 장치. 9. The apparatus according to claim 8,
And determines that the direction of the second packet is unknown if the IP address of the second packet is not included in the internal network bandwidth. 제8항에 있어서, 상기 통신부는,
상기 내부망 및 상기 외부망 간을 연결하는 TAP 장비와 연결되고, 상기 단일 포트 또는 상기 멀티 포트를 통하여 상기 TAP 장비로부터 미러링 패킷을 수신하는 것을 특징으로 하는 네트워크 보안 장치. The communication device according to claim 8,
Wherein the network security device is connected to a TAP equipment that connects the internal network and the external network and receives a mirroring packet from the TAP equipment through the single port or the multiport. 제8항에 있어서,
상기 내부망 IP 주소를 포함하는 내부망 IP 주소 목록 및 상기 내부망 네트워크 대역에 관한 정보를 저장하는 저장부를 더 포함하는 것을 특징으로 하는 네트워크 보안 장치.9. The method of claim 8,
Further comprising: a storage unit configured to store a list of internal network IP addresses including the internal network IP address and information on the internal network bandwidth.
KR1020170016091A 2017-02-06 2017-02-06 Network security method and apparatus thereof KR101976794B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170016091A KR101976794B1 (en) 2017-02-06 2017-02-06 Network security method and apparatus thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170016091A KR101976794B1 (en) 2017-02-06 2017-02-06 Network security method and apparatus thereof

Publications (2)

Publication Number Publication Date
KR20180091215A KR20180091215A (en) 2018-08-16
KR101976794B1 true KR101976794B1 (en) 2019-05-09

Family

ID=63443400

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170016091A KR101976794B1 (en) 2017-02-06 2017-02-06 Network security method and apparatus thereof

Country Status (1)

Country Link
KR (1) KR101976794B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102006149B1 (en) * 2018-09-10 2019-08-01 이준엽 Apparatus and method for monitoring and controlling relay network in separated network environment

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120163196A1 (en) * 2009-08-13 2012-06-28 International Business Machines Corporation Automatic Address Range Detection for IP Networks
CN103368868A (en) * 2012-04-05 2013-10-23 中国移动通信集团江苏有限公司 Network flow bandwidth control method, device and system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120163196A1 (en) * 2009-08-13 2012-06-28 International Business Machines Corporation Automatic Address Range Detection for IP Networks
CN103368868A (en) * 2012-04-05 2013-10-23 中国移动通信集团江苏有限公司 Network flow bandwidth control method, device and system

Also Published As

Publication number Publication date
KR20180091215A (en) 2018-08-16

Similar Documents

Publication Publication Date Title
US7474655B2 (en) Restricting communication service
CN105681353B (en) Defend the method and device of port scan invasion
US7472411B2 (en) Method for stateful firewall inspection of ICE messages
EP3449600B1 (en) A data driven intent based networking approach using a light weight distributed sdn controller for delivering intelligent consumer experiences
US8073936B2 (en) Providing support for responding to location protocol queries within a network node
US7830898B2 (en) Method and apparatus for inter-layer binding inspection
US20140020067A1 (en) Apparatus and method for controlling traffic based on captcha
CN104967609A (en) Intranet development server access method, intranet development server access device and intranet development server access system
US20160173452A1 (en) Multi-connection system and method for service using internet protocol
US10505976B2 (en) Real-time policy filtering of denial of service (DoS) internet protocol (IP) attacks and malicious traffic
KR100723864B1 (en) Method for blocking network attacks using the information in packet and apparatus thereof
US10375076B2 (en) Network device location information validation for access control and information security
US9641485B1 (en) System and method for out-of-band network firewall
US20200067883A1 (en) Port Authentication Control For Access Control and Information Security
US7904950B2 (en) Dynamic network security
US10462141B2 (en) Network device information validation for access control and information security
KR101976794B1 (en) Network security method and apparatus thereof
KR101522139B1 (en) Method for blocking selectively in dns server and change the dns address using proxy
CN112565217B (en) Protocol-based confusion communication method, client terminal, server and storage medium
KR101440154B1 (en) Apparatus and method for user authentication of network security system
KR102056641B1 (en) Sdn controller for resolving arp poisoning attack and method for managing the same
US20090158386A1 (en) Method and apparatus for checking firewall policy
US20170331838A1 (en) Methods and computing devices to regulate packets in a software defined network
KR101686990B1 (en) Method for Controlling Connection to Service Server Port
KR101871146B1 (en) Network switch apparatus for blocking an unauthorized terminal and Blocking method for the unauthorized terminal

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant