KR100512273B1 - 단일 부하분산기를 이용한 네트워크 보안장비 부하분산 및이중화 시스템 및 그 방법과 이를 이용한 네트워크보안장비의 부하분산 및 이중화와 부하분산기의 이중화시스템 및 그 방법 - Google Patents

단일 부하분산기를 이용한 네트워크 보안장비 부하분산 및이중화 시스템 및 그 방법과 이를 이용한 네트워크보안장비의 부하분산 및 이중화와 부하분산기의 이중화시스템 및 그 방법 Download PDF

Info

Publication number
KR100512273B1
KR100512273B1 KR1020050045379A KR20050045379A KR100512273B1 KR 100512273 B1 KR100512273 B1 KR 100512273B1 KR 1020050045379 A KR1020050045379 A KR 1020050045379A KR 20050045379 A KR20050045379 A KR 20050045379A KR 100512273 B1 KR100512273 B1 KR 100512273B1
Authority
KR
South Korea
Prior art keywords
load
internal
external
packet
network
Prior art date
Application number
KR1020050045379A
Other languages
English (en)
Inventor
권희웅
정윤재
전용배
김주연
왕정석
정규식
Original Assignee
펌킨넷코리아 (주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 펌킨넷코리아 (주) filed Critical 펌킨넷코리아 (주)
Priority to KR1020050045379A priority Critical patent/KR100512273B1/ko
Application granted granted Critical
Publication of KR100512273B1 publication Critical patent/KR100512273B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0695Management of faults, events, alarms or notifications the faulty arrangement being the maintenance, administration or management system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • H04L47/125Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 침입방지시스템(Intrusion Prevention System), 방화벽(Firewall), 가상사설망(Virtual Private Network) 등의 네트워크 보안장비에 관한 것으로서, 네트워크의 구조를 단순화하고 편리하게 관리하며 제조비용 및 관리비용을 절감하는 외부망 및 내부망 겸용 단일 부하분산기를 이용한 네트워크 보안장비의 부하분산 및 이중화 시스템 및 그 방법, 그리고 부하분산기 이중화까지 고려한 네트워크 보안장비 부하분산 및 이중화 시스템 및 그 방법에 관한 것이다.
본 발명의 보안장비의 부하분산 및 이중화 시스템은 네트워크상의 트래픽에 대한 보안정책을 적용하는 보안장비에 대한 부하분산을 수행하는 부하분산기가 작동하는 시스템에 있어서, 외부망(310)과 내부망(340)이 상기 부하분산기(100)의 포트에 직접 연결이 되며; 보안장비#1(331)의 외부망 인터페이스와 내부망 인터페이스 모두 부하분산기(100)의 포트로 연결이 되며; 보안장비#2(332)의 외부망 인터페이스와 내부망 인터페이스 모두 부하분산기(100)의 포트에 연결되어 구성되어 있으며; 본 발명의 네트워크 보안장비의 부하분산 및 이중화와, 부하분산기의 이중화 시스템은 네트워크상의 트래픽에 대한 보안정책을 적용하는 보안장비에 대한 부하분산 및 이중화와, 부하분산기의 이중화 시스템에 있어서, 외부망(310)과 패킷을 송수신하기 위하여 보안장비#1(331)과 보안장비#2(332)가 외부망(310)으로부터 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(351); 상기 L2 스위치(351)와 연결되어 있으며 외부망에 대한 부하분산을 우선적으로 수행하며 내부(외부)부하분산기(122)의 장애시에 내부망에 대한 부하분산을 수행하는 외부(내부)부하 분산기(121); 내부망에 대한 부하분산을 우선적으로 수행하며 상기 외부(내부)부하분산기(121)의 장애시에 외부망에 대한 부하분산을 수행하는 내부(외부)부하 분산기(122); 보안장비#1(331)의 외부망 인터페이스와 상기 외부(내부)부하분산기(121) 및 내부(외부)부하분산기(122)로 각각 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(352); 보안장비#2(332)의 외부망 인터페이스와 상기 외부(내부)부하분산기(121) 및 내부(외부)부하분산기(122)로 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(353); 보안장비#1(331)의 내부망 인터페이스와 상기 외부(내부)부하분산기(121) 및 내부(외부)부하분산기(122)로 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(354); 보안장비#2(332)의 내부망 인터페이스와 상기 외부(내부)부하분산기(121) 및 내부(외부)부하분산기(122)로 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(355); 그리고 내부망(340)과 패킷을 송수신을 위하여 외부(내부)부하분산기(121)와 내부(외부)부하분산기(122)를 통하여 패킷을 내부망(340)으로 전달 할 수 있는 경로를 만들어주는 L2 스위치(356)를 포함한다.

Description

단일 부하분산기를 이용한 네트워크 보안장비 부하분산 및 이중화 시스템 및 그 방법과 이를 이용한 네트워크 보안장비의 부하분산 및 이중화와 부하분산기의 이중화 시스템 및 그 방법{FAIL-OVER SYSTEM AND METHOD THEREOF OF NETWORK SECURITY EQUIPMENT USING SINGLE LOAD BALANCER, AND FAIL-OVER SYSTEM AND METHOD THEREOF OF NETWORK SECURITY EQUIPMENT AND LOAD BALANCERS USING THE SAME}
본 발명은 침입방지시스템(Intrusion Prevention System), 방화벽(Firewall), 가상사설망(Virtual Private Network) 등의 네트워크 보안장비에 관한 것으로서, 보다 상세하게는 네트워크의 구조를 단순화하고 편리하게 관리하며 제조비용 및 관리비용을 절감하는 외부망 및 내부망 겸용 단일 부하분산기를 이용한 네트워크 보안장비의 부하분산 및 이중화 시스템 및 그 방법, 그리고 이를 이용한 네트워크 보안장비의 부하분산 및 이중화와, 부하분산기의 이중화 시스템에 관한 것이다.
일반적으로 네트워크 침입방지시스템, 방화벽, 가상사설망 등의 보안장비들은 네트워크 상을 지나다니는 패킷들에 대하여 암호화를 수행하거나, 규칙에 의한 검사를 통하여 유해한 트래픽을 차단하거나 관리자에게 이러한 상황을 알리는 기능을 수행한다. 이러한 작업은 단일 패킷단위 뿐만 아니라 동일 출발지와 목적지로 향하는 패킷의 흐름인 세션단위의 검사를 수행한다.
대부분의 보안 장비들은 암호화나 패킷의 검사에 있어서 기본적으로 세션의 적합성에 대한 검사를 수행하는데 현재 패킷이 사용하고 있는 프로토콜의 스펙에 지정된 순서대로 패킷이 전달되는지를 파악한다.
상기와 같은 사항들을 위하여 보안장비는 통과하고 있는 세션들에 대한 기록과 이를 추적하기 위한 정보를 세션 DB에 보관한다.
보안장비는 일반적으로 내부망과 외부망 사이에 위치하며 내부에서 외부로 또는 외부에서 내부로 유입되는 트래픽들을 처리한다. 이러한 구성에서 단일 보안장비를 이용하여 네트워크를 구성할 경우에는 장비의 장애가 발생하면 내부와 외부의 네트워크 단절을 초래한다.
이를 방지하기 위하여 일반적으로 보안장비에 대한 이중화를 적용하여 네트워크의 안정성을 높이며, 보다 높은 성능을 낼 수 있다. 이러한 이중화의 방법은 보안장비 자체에서 제공하는 방식과 부하분산기(L4 스위치)를 이용한 이중화가 있다.
보안장비에서 자체적으로 제공하는 이중화방식은 두 대의 보안장비가 병렬로 구성이 되며, 일반적으로 액티브-스탠바이(Active-Standby) 구조로 설치가 되어 한대의 장비만이 액티브 장비로 이용되어 트래픽을 처리하고 나머지 한대의 장비는 스탠바이 장비로서 액티브 장비의 장애를 대비하기 위한 용도로 사용한다.
이 경우에는 상기 설명하였던 세션에 대한 기록을 전혀 가지고 있지 않아 사용자들의 접속이 끊기는 현상이 발생하는 문제점이 있다. 이와 같은 문제점을 보완하기 위하여 작동 중에 두 대의 장비가 서로 통신을 하여 동일한 세션 정보를 유지 할 수 있도록 하는 기능도 최근에 개발되고 있지만, 이 방법은 세션 동기화에 대한 부하, 메모리 사용량이 증가되며, 또한 세션 동기화의 문제로 장비를 증설하더라도 처리량이 그다지 늘어나지 않는 단점이 있다.
부하분산기를 이용한 방법은 도1에 도시한 바와 같이 외부망(310)과 내부망(340) 사이에 두 대의 보안장비(331)(332)가 나란히 설치하고 있으며 상기 보안장비들을 기준으로 위쪽의 외부망(310)과 연결된 외부 부하분산기(321), 아래쪽의 내부망(340)과 연결된 내부 부하분산기(322)를 이용하여 구성한다.
부하분산기가 외부망과 내부망에 위치하여야 하는 이유는 보안장비의 경우 방화벽(Firewall), 침입방지시스템(IPS) 등은 패킷의 흐름이 TCP/IP 프로토콜에 위배하는지 검사하는 SPI(Stateful Packet Inspection)를 위하여 세션을 유지하여야 하며, 가상사설망(VPN)과 같은 경우 터널 정보의 유지를 위하여 세션을 유지하여야 하기 때문이다.
일반적으로 이러한 상태에 대한 검증은 출발지와 목적지 주소, 그리고 필요한 경우에 부가적으로 TCP나 UDP의 포트정보를 부가적으로 활용하는데, 동일 출발지와 목적지로 향하는 패킷의 흐름을 일반적으로 세션이라고 하며, 하나의 세션의 패킷들은 단일 보안장비에서 처리되어야 패킷의 흐름에 영향을 주지 않는다. 따라서 부하분산기는 이러한 세션을 보안장비에 적절하게 배분하는 책임과 더불어 단일 세션에 대하여 단일 보안장비가 처리할 수 있도록 하여야 한다.
도 1의 부하분산기(321)(322)가 외부망(310)과 내부망(340)에 각각 연결되어 있는 이유는 부하부산과 더불어 외부망(310)에서 내부망(340)으로 향한 세션에 대하여 부하분산기(321)는 부하가 적은 보안장비를 선택하고, 내부망 부하분산기(322)는 들어오는 세션의 지정한 보안장비와 세션이 연결되었는지를 기억하며, 동일 세션이 내부망(340)에서 외부망(310)으로 향해 전송되는 경우에 동일한 보안장비로 전송될 수 있도록 하기 위해서이다.
외부망을 통해 들어온 특정 출발지와 목적지를 가진 패킷이 외부 부하분산기(321)의 부하분산정책을 이용하여 보안장비(331)(332)중의 한대를 통과한 후 내부 부하분산기(322)를 경유하여 내부의 특정 호스트에 전달되는 과정을 거친다. 이때 내, 외부망 부하분산기(321)(322)는 패킷의 출발지와 목적지에 대한 정보를 기억하여 외부망(310)에서 들어오는 동일한 출발지와 목적지를 가지는 세션에 대하여 동일한 보안장비를 경유할 수 있도록 하며, 또한 내부망(340)에서 외부망(310)으로 패킷이 전송될 경우에 동일한 세션을 가지는 패킷에 대해서도 동일한 보안장비를 경유하여 패킷이 전달 될 수 있도록 한다.
또한, 보안장비(331)(332)중에 한대가 장애가 발생하여 패킷이 보안장비를 통과할 수 없는 경우에는 해당 보안장비를 부하분산 대상에서 제거하도록 하여 정상적으로 작동하는 보안장비를 통해서만 패킷이 지나다니도록 함으로써 장애요소를 제거하는 데 도움을 준다.
그러나 도 1과 같은 구성은 두 대의 보안장비 중 한대의 보안장비의 장애 대처는 할 수 있지만 부하분산기의 장애로 인하여 전체 네트워크가 마비될 수 있다. 이러한 모든 장애에 대비하기 위해서는 보안장비뿐 아니라 부하분산기까지 이중화하여야 한다.
부하분산기까지 이중화할 경우의 구성은 도 2a 에 도시되어 있다. 부하분산기는 외부부하분산기#1(321)과 외부부하분산기#2(322) 사이에 이중화가 적용되며, 내부부하분산기#1(323)과 내부부하분산기#2(324)사이에 이중화가 적용된다. 또한, L2스위치(351,352,353,354,355,356)를 이용하여 부하분산기의 장애시에 패킷의 흐름이 보안장비를 거쳐 외부망에서 내부망으로 이어질 수 있도록 구성이 된다.
외부부하분산기#1(321)과 외부부하분산기#2(322), 그리고 내부부하분산기#1(323)과 내부부하분산기#2(324)는 VRRP(Virtual Router Redundancy Protocol. IETF RFC 2338)를 통해 이중화되어 있다. VRRP는 외부에서 패킷을 수신할 수 있는 대표주소에 대해 다수의 부하분산기가 우선순위를 기반으로 하여 외부로부터 패킷을 수신할 수 있는 대표주소를 획득할 수 있도록 만들어 준다.
외부망(310)에 대해서는 외부부하분산기#1(321)이 외부부하분산기#2(322)보다 높은 우선순위를 가지도록 설정하여 외부망 대표주소에 대한 우선권을 가지며, 내부망(340)에 대해서는 내부부하분산기#1(323)이 내부부하분산기#2(324)보다 높은 우선순위를 가져 내부망에 대한 대표 주소를 가진다. 따라서 모든 부하분산기가 정상일 경우에는 외부부하분산기#1(321)과 내부부하분산기#1(323)이 패킷을 수신할 수 있는 대표주소를 가지고 통신을 하게 되며, 도 2b와 같은 패킷의 흐름을 보인다.
만일, 외부부하분산기#1(321)에 장애가 발생한 경우에는 외부부하분산기#2(322)가 VRRP를 통하여 외부망 대표주소를 할당하며, 도 2c와 같은 경로로 패킷의 흐름이 변경된다.
이상과 같이 종래의 보안장비 및 부하분산기의 이중화는 보안장비 대수보다 동일하거나 그 이상 대수의 부하 분산기를 사용하기 때문에 구성상의 복잡도가 증가하며 구성상에 있어 비용 상승 문제가 따른다. 또한, 다수의 장비를 이용하여 구성하여야 함으로써 설치 이후에 장비에 대한 관리의 어려움이 따를 수 있다는 단점이 존재한다.
네트워크 중간에 설치되는 보안장비는 전체 네트워크의 성능과 안정성을 확보하기 위하여 이중화에 대한 필요성이 절실히 요구되지만, 장애시 대처 능력, 관리의 편의성과 비용 절감을 위해서 보다 단순한 네트워크 구성이 절실히 필요하다고 할 수 있다.
본 발명은 전술한 종래 기술의 문제점을 해결하기 위해서 안출된 것으로서, 본 발명은 네트워크 보안장비의 부하분산을 단일의 부하분산기를 이용하여 구성함으로써 종래 외부망과 보안장비 사이 그리고 내부망과 보안장비 사이에 각각 부하분산기를 배치하여 구성하는 방식에 비하여 네트워크의 구조를 단순화 하고 관리를 편리하게 하며 비용을 절감할 수 있는 외부망 및 내부망 겸용 단일 부하분산기를 이용한 네트워크 보안장비의 부하분산 및 이중화 시스템을 제공하는데 그 목적이 있다.
본 발명의 다른 목적은 네트워크 보안장비의 부하분산, 그리고 부하분산기의 이중화를 외부망 부하분산기 한대와 내부망 부하분산기 한대를 이용하여 구성함으로써 종래 외부망 부하분산기 두 대와 내부망 부하분산기 두대를 이용하는 방식에 비하여 네트워크의 구조를 단순화 하고 관리를 편리하게 하며 비용을 절감할 수 있는 네트워크 보안장비의 부하분산 및 이중화와, 부하분산기의 이중화 시스템을 제공하는데 있다.
본 발명의 또 다른 목적은 네트워크 보안장비의 부하분산을 단일 부하분산기를 이용하여 구성함으로써 종래 외부망과 보안장비 사이 그리고 내부망과 보안장비 사이에 각각 부하분산기를 배치하여 구성하는 방식에 비하여 네트워크의 구조를 단순화 하고 관리를 편리하게 하며 비용을 절감할 수 있는 외부망 및 내부망 겸용 단일 부하분산기를 이용한 네트워크 보안장비의 부하분산 및 이중화 방법을 제공하는데 있다.
본 발명의 또 다른 목적은 네트워크 보안장비의 부하분산, 그리고 부하분산기의 이중화를 외부망 부하분산기 한대와 내부망 부하분산기 한대를 이용하여 구성함으로써 종래 외부망 부하분산기 두 대와 내부망 부하분산기 두대를 이용하는 방식에 비하여 네트워크의 구조를 단순화 하고 관리를 편리하게 하며 비용을 절감할 수 있는 네트워크 보안장비의 부하분산 및 이중화와, 부하분산기의 이중화 방법을 제공하는데 있다.
상기 한 목적을 달성하기 위한 본 발명의 네트워크 보안장비의 부하분산 및 이중화 시스템은 네트워크상의 트래픽에 대한 보안정책을 적용하는 보안장비에 대한 부하분산을 수행하는 부하분산기가 작동하는 시스템에 있어서, 외부망과 내부망이 상기 부하분산기의 포트에 직접 연결이 되며; 보안장비#1의 외부망 인터페이스와 내부망 인터페이스 모두 부하분산기의 포트로 연결이 되며; 보안장비#2의 외부망 인터페이스와 내부망 인터페이스 모두 부하분산기의 포트에 연결이 되어 있는 것을 특징으로 한다.
상기 다른 목적을 달성하기 위한 본 발명의 네트워크 보안장비의 부하분산 및 이중화와, 부하분산기의 이중화 시스템은 외부망과 패킷을 송수신하기 위하여 보안장비#1과 보안장비#2가 외부망으로부터 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치; 상기 L2 스위치와 연결되어 있으며 외부망에 대한 부하분산을 우선적으로 수행하며 내부(외부)부하분산기의 장애시에 내부망에 대한 부하분산을 수행하는 외부(내부)부하 분산기; 내부망에 대한 부하분산을 우선적으로 수행하며 상기 외부(내부)부하분산기의 장애시에 외부망에 대한 부하분산을 수행하는 내부(외부)부하 분산기; 보안장비#1의 외부망 인터페이스와 상기 외부(내부)부하분산기 및 내부(외부)부하분산기로 각각 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치; 보안장비#2의 외부망 인터페이스와 상기 외부(내부)부하분산기 및 내부(외부)부하분산기로 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치; 보안장비#1의 내부망 인터페이스와 상기 외부(내부)부하분산기 및 내부(외부)부하분산기로 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치; 보안장비#2의 내부망 인터페이스와 상기 외부(내부)부하분산기 및 내부(외부)부하분산기로 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치; 그리고 내부망과 패킷을 송수신을 위하여 외부(내부)부하분산기와 내부(외부)부하분산기를 통하여 패킷을 내부망(340)으로 전달 할 수 있는 경로를 만들어주는 L2 스위치를 포함것을 특징으로 한다.
상기 또 다른 목적을 달성하기 위한 본 발명의 네트워크 보안장비의 부하분산 및 이중화 방법은 네트워크상의 트래픽에 대한 보안정책을 적용하는 보안장비에 대한 부하분산 및 이중화를 수행하는 방법에 있어서, 패킷수신부에서 수신한 패킷이 장애감시용 패킷인지의 여부를 장애감시부에서 판단하는 단계; 상기 단계에서 수신한 패킷이 장애감시용 패킷이라고 판단한 경우에 장애감시부에서 처리하는 단계; 상기 단계에서 수신한 패킷에 대하여 장애감시용 패킷이 아니라고 판단한 경우에 부하엔진정책엔진에서 기존에 동일한 출발지와 목적지를 가지는 세션에 대한 기록이 부하분산엔트리 DB 내에 기록이 있는지 검색하는 단계 ; 상기 단계에서 패킷의 출발지와 목적지 주소가 부하분산 엔트리 DB내에 동일하게 일치한 기록이 있는 경우에 부하분산 엔트리 DB내의 엔트리정보에 기록된 보안장비로 전송하는 단계; 상기 단계에서 출발지와 목적지 주소가 뒤바뀐 형태로 부하분산 엔트리 DB의 기록과 일치하는 경우에 패킷의 목적지 주소가 향하는 곳으로 패킷을 전송하는 단계; 상기 부하분산 엔트리 DB에 해당 패킷의 출발지와 목적지의 주소, 혹은 주소가 뒤바뀐 엔트리가 존재하지 않는 경우, 상기 패킷의 목적지 주소가 일치하는 대표주소를 가지는 부하분산 정책이 존재하는지 판단하는 단계; 상기 단계에서 일치하는 부하분산 정책이 존재하지 않는 경우 해당 패킷의 처리를 상위 TCP/IP 스택에서 처리하게 하는 단계; 상기 단계에서 일치한 부하분산 정책에 포함하는 보안장비 중에 장애가 발생하지 않은 하나의 보안장비를 선택하는 단계; 상기 단계에서 선택된 보안장비에 대한 정보와 패킷의 출발지 목적지 주소 등의 정보를 부하분산 엔트리 DB에 저장하는 단계; 그리고 상기 단계의 처리가 끝난 패킷을 선택된 보안장비로 전송하는 단계를 포함하는 것을 특징으로 한다.
상기 또 다른 목적을 달성하기 위한 본 발명의 네트워크 보안장비의 부하분산 및 이중화 와, 부하분산기의 이중화 방법은 네트워크상의 트래픽에 대한 보안정책을 적용하는 보안장비의 부하분산 및 이중화와, 부하분산기의 이중화를 수행하는 방법에 있어서, 부하분산기의 이중화를 위하여 VRRP를 통하여 외부(내부) 부하분산기에 대하여 외부망 부하분산정책에 대한 대표주소에 높은 우선순위를 가지도록 할당하며, 내부망 부하분산정책에 대한 대표주소를 낮은 우선순위를 가지도록 할당하고, 내부(외부) 부하분산기에 대하여 내부망 부하분산정책의 대표주소에 높은 우선순위를 가지도록 할당하며, 내부망 부하분산정책의 대표주소를 낮은 우선순위를 가지도록 할당하는 단계; 상기 부하분산기들이 장애가 발생하지 않은 경우 VRRP의 우선순위를 통하여 외부(내부) 부하분산기는 외부망 부하분산정책의 대표주소를 가지게 되며, 내부(외부) 부하분산기는 내부망 부하분산정책의 대표주소를 가지게 되는 단계; 상기 부하분산기들 중 외부(내부) 부하분산기에 장애가 발생하였을 경우에VRRP를 통하여 내부(외부) 부하분산기가 외부(내부)부하분산기의 외부망 부하분산 정책의 대표주소를 할당하는 단계; 그리고 상기 부하분산기들 중 내부(외부) 부하분산기에 장애가 발생하였을 경우에 VRRP를 통하여 외부(내부) 부하분산기가 내부(외부)부하분산기의 내부망 부하분산 정책의 대표주소를 할당하는 단계 를 포함하는 것을 특징으로 한다.
이하 본 발명을 첨부도면을 참조하여 보다 상세히 설명하면 다음과 같다.
도 3은 본 발명에 따른 네트워크 보안장비의 부하분산 및 이중화 시스템의 구성도이고, 도 4는 본 발명에 따른 부하분산기 내부의 부하분산 정책의 구조도이며, 도 5는 본 발명에 따른 네트워크 보안장비의 부하분산 및 이중화 시스템의 구성요소인 부하분산기의 내부 구조를 나타내는 블록도이고, 도 6은 도 5의 부하분산기의 구성요소인 부하분산 엔트리DB의 내부 자료를 나타내는 표이다.
본 발명의 네트워크 보안장비의 부하분산 및 이중화 시스템은 도 3에 도시되어 있는 바와 같이 6개의 포트를 가진 단일의 부하분산기(100)를 이용하여 그 포트1을 외부망(310)과 연결하고, 포트2를 내부망(340)과 연결하며, 포트3과 포트4를 보안장비#1(331)과 연결하고, 포트5과 포트6을 보안장비#2(332)와 연결하도록 구성되어 있다.
본 발명은 도1에서 두 대의 부하분산기를 이용하여 보안장비의 부하를 분산하는 방식을 단일의 부하분산기(100)를 이용하여 수행함으로써 기능적으로 동일한 효과를 얻을 수 있으면서도 네트워크의 구조를 단순화 하여 내부 관리적 측면과 비용절감 효과를 얻을 수 있게 하고 있다.
단일 부하분산기(100)를 통하여 보안장비에 대한 부하분산을 하기 위해서 외부인터넷망인 외부망(310)과 내부망(340)은 부하분산기(100)의 포트1과 포2에 각각 연결된다. 그리고 각 보안장비#1(331)과 보안장비#2(332)의 내부망 및 외부망 인터페이스는 각각 부하분산기(100)의 포트3,4와 포트5,6에 연결된다. 따라서 외부망에서 내부망으로 향하는 패킷이 도착하였을 때, 부하분산기(100)의 포트1로 수신이 되며, 이 패킷은 부하분산정책에 따라 부하분산기(100)의 포트 3이나 포트 5를 통하여 보안장비#1(331)이나 보안장비#2(332)로 전송이 되며, 보안장비를 통과한 패킷은 보안장비의 내부망 인터페이스를 통하여 부하분산기(100)의 포트4 또는 포트6으로 수신이 된다.
부하분산기(100)는 보안장비#1(331) 또는 보안장비#2(332)로부터 수신한 패킷은 패킷내의 목적지 주소를 확인하여 내부망의 해당 주소를 가지는 호스트로 전송한다. 내부망(340)에서 외부망(310)으로 패킷을 전송하는 경우에는 전술한 과정이 역으로 수행된다.
또한, 일정 시간 간격으로 보안장비#1(331) 및 보안장비#2(332)의 장애검사를 수행하며, 장애가 발생한 경우에 해당 보안장비를 부하분산대상에서 제외하여 패킷의 흐름이 지속될 수 있도록 한다.
상기 부하분산기(100)는 도 4에 도시된 바와 같은 외부망의 부하분산정책(510)과 내부망의 부하분산정책(520)에 대한 자료 구조를 구비하고 있다.
외부망의 부하분산정책(510)과 내부망의 부하분산정책(520)은 각각 기본정보(511)(521), 보안장비 목록DB(512)(522), 그리고 보안장비 장애검사정책(513,523)을 구비하고 있다.
상기 기본정보(511)(521)는 부하분산정책을 식별할 수 있는 식별자, 외부로부터 패킷을 수신할 수 있는 대표주소와 인터페이스를 지정하도록 되어 있고, 보안장비 목록DB(512)(522)는 부하분산기와 연결되어 부하분산 대상이 되는 보안장비목록을 나타내며, 보안장비의 고유 식별자, IP주소, 연결되어 있는 인터페이스 및 장애정보를 포함하고 있다. 보안장비의 고유 식별자는 외부망과 내부망의 부하분산정책(510)(520)에 각각 등록이 되며 물리적으로 동일 장비에 대해서는 동일한 식별자를 가지며 이는 보안장비의 장애검사 시에 사용된다.
보안장비 장애검사정책(513)(523)은 부하분산정책에서 사용하는 보안장비들에 대한 장애 검사방법을 나타내며, 장애검사 주기와 검사 회수를 포함하도록 하여 지정된 시간단위로 장애검사를 수행하도록 한다. 만일 지정된 회수만큼 연달아 검사에 실패하면 보안장비목록DB(512)(522)의 해당 보안장비 및 내, 외부 부하분산정책내의 보안장비 목록DB(512)(522)상의 동일 식별자를 가지는 보안장비 목록에 모두 장애를 표시하여 내, 외부로부터 전달되는 패킷이 장애가 발생하지 않은 보안장비를 통과하도록 하여 패킷의 흐름이 지속적으로 연결 될 수 있도록 한다.
도 5는 본 발명에 따른 네트워크 보안장비의 부하분산 및 이중화 시스템의 구성요소인 부하분산기의 내부 구조를 나나내는 블록도이다.
부하분산기(100)는 부하분산기 외부로부터 패킷을 수신하기 위한 패킷수신부(410), 부하분산기로부터 패킷을 외부로 전송하기 위한 패킷송신부(480), 상기 패킷 수신부(410)로부터 수신한 패킷중 장애감시 패킷 발생부(470)에서 송신한 장애 패킷을 부하분산정책DB(440)의 장애감시 정책에 의하여 보안장비의 장애여부를 판단하며, 장애 여부를 부하분산정책DB(440)의 보안장비 목록에 기록하는 장애감시부(420), 보안장비의 장애를 검사하기 위해, 부하분산정책DB(440)의 보안장비 목록에 있는 보안장비로 장애 감시용 패킷을 부하분산정책DB(440)의 장애감시 정책에 따라 패킷송신부(480)를 통해 전송할 수 있는 장애감시 패킷 발생부(470), 보안장비에 대한 부하분산 및 이중화를 하기 위한 것으로 패킷을 수신하기 위한 대표주소, 부하분산 및 이중화 대상이 되는 보안장비 목록, 보안장비에 대한 장애 검사 방법을 구비한 부하분산정책DB(440), 초기 수신한 패킷의 출발지와 목적지 주소를 기억하며, 이 이후의 동일 출발지와 목적지 주소를 가지는 패킷에 대하여 항상 같은 보안장비를 통과할 수 있도록 출발지와 목적지 주소, 보안장비 주소 및 보안장비의 인터페이스 정보를 구비하는 부하분산 엔트리 DB(450), 수신한 패킷에 대하여 기존에 전송하였던 기록이 있는 출발지와 목적지를 가지는 패킷에 대하여 부하분산 엔트리DB(450)을 통하여 해당 보안장비로 패킷을 전송하며, 신규 출발지와 목적지를 가지는 경우에 부하분산정책 DB(440)내의 보안장비 목록에서 장애가 없는 보안장비를 선택하며, 출발지, 목적지, 보안장비 주소 및 연결된 인터페이스 정보를 부하분산 엔트리 DB(450)에 기록하고 상기 패킷을 패킷송신부(480)을 통해 전송하는 역할을 담당하는 부하분산정책엔진(430)을 포함한다.
상기 부하분산기(100)는 패킷을 송, 수신할 수 있는 패킷수신부(410), 패킷송신부(480)가 구성되어 있는데 이들은 물리적으로는 포트로 구성되며, 논리적으로는 인터페이스라고 지칭한다. 패킷 송, 수신부는 부하분산기(100)에서의 포트1부터 포트6까지를 모두 나타낸 것이다.
장애감시부(420)는 장애 감시용 패킷의 수신여부를 판단하여 보안장비에 장애여부를 판단한다. 부하분산정책(510)(520)의 보안장비 목록DB(512)(522)와 보안장비 장애검사 정책(513)(523)을 이용하여 보안장비의 장애감시 패킷 발생부(470)에서 장애 감시용 패킷을 보안장비 목록DB(512)(522)상의 보안장비로 장애 감시용 패킷을 전송하며, 장애감시부(420)에서는 장애 감시용 패킷의 수신여부를 판단하여 보안장비에 장애여부를 판단한다.
부하분산정책DB(440)는 부하분산을 하기 위한 정보를 포함하고 있는 자료구조로 도 4의 부하분산 정책(510)(520)을 의미하며 내, 외부망으로부터 패킷을 수신하기 위한 대표 IP주소와 인터페이스 정보, 부하분산 대상이 되는 보안장비목록과 연결된 인터페이스 및 장애 정보를 포함한다.
부하분산 엔트리DB(450)는 부하분산 정책엔진(430)에서 부하분산이 결정된 패킷에 대한 세션을 기록하는 곳이다. 도 6은 부하분산 엔트리DB를 나타내며 부하분산기(100)내에 처음 도달한 패킷에 대하여 부하분산정책(430)을 적용하여 보안장비를 결정하였을 경우에 동일한 출발지와 목적지를 가지는 패킷에 대하여 지속적으로 동일 보안장비로 패킷이 전달될 수 있도록 하기 위해 사용된다. 따라서 도 6의 부하분산 엔트리DB에는 부하분산 정책 식별자, 출발지 및 목적지 주소, 보안장비의 주소 및 보안장비가 연결된 인터페이스 정보를 포함한다.
부하분산 정책엔진(430)에서 패킷을 전달할 보안장비가 결정 되면, 패킷의 다음 목적지를 보안장비로 지정한다. 이는 일반적인 라우팅에서 패킷이 거쳐가야 하는 다음 홉(Next Hop)을 지정하는 방식과 동일한 방식으로, 패킷의 출발지나 목적지 주소의 변경 없이, 패킷이 거쳐가야 하는 라우터인 보안장비의 목적지 주소인 보안장비의 주소와 보안장비와 연결된 인터페이스를 지정하여 패킷을 전송한다.
도 7은 본 발명의 단일의 부하분산기를 이용한 보안장비의 부하 분산 및 이중화 방법을 나타내는 흐름도이다.
패킷수신부(410)에서 수신한 패킷은 단계 F110에서 장애감시용 패킷인지의 여부를 판단하는데, 패킷이 ICMP에 대한 응답 패킷이며 출발지의 주소가 보안장비 중 하나며, 목적지 주소가 부하분산기일 경우 이를 장애감시 패킷으로 간주한다. 장애감시용 패킷일 경우에는 F115단계의 장애감시부(420)에서 별도의 처리를 한다.
장애감시 패킷이 아닌 경우에는 부하분산과 관련된 패킷임으로 부하분산 정책엔진(430)에서 해당 패킷을 처리한다(F120단계).
패킷의 출발지와 목적지 주소를 추출하여 부하분산 엔트리 DB(450)에 동일한 주소를 가지는 엔트리가 존재하는지 판단하는데, 이는 기존에 연결된 세션이 존재하는지 판단하는 것이며, 기존에 연결된 세션에 대해서는 동일한 보안장비를 통하여 패킷이 전달 될 수 있도록 하는데 목적이 있다. 세션에 대한 정보는 부하분산엔트리DB에서 출발지와 목적지 주소가 동일한 엔트리가 존재하는지, 혹은 출발지와 목적지 주소의 순서가 뒤바뀐 엔트리가 존재하는지를 이용하여 검출한다.
출발지와 목적지가 동일한 엔트리가 발견된 경우에는 외부망이나 내부망에서 보안장비로 패킷을 전송한 경우로 부하분산 정책엔진(430)은 부하분산엔트리내의 보안장비주소와, 보안장비가 연결된 인터페이스 정보를 이용하여 해당 보안장비로 패킷을 전송한다(F130, F135단계).
출발지와 목적지가 뒤바뀐 엔트리가 발견된 경우에는 보안장비에서 내부망이나 외부망으로 패킷을 전송하는 단계임으로 패킷의 목적지 정보와 연결된 보안장비와 연결된 인터페이스 정보를 이용하여 패킷을 목적지로 전송한다(F140, F145단계).
일치하는 부하분산 엔트리가 존재하지 않는 경우에 이 패킷에 대한 세션정보가 존재하지 않는 경우로 신규패킷이 부하분산기에 도착한 경우이다. 이 경우 추출한 패킷의 목적지 주소와 일치하는 부하분산 정책DB(440)가 존재하는지 검색하고(F150단계), F160단계에서 일치하는 부하분산 정책이 존재하는 경우에는 부하분산정책을 적용하여 보안장비를 선택한 후(F170단계), 부하분산 엔트리DB(450)에 패킷의 목적지 및 출발지 주소 그리고 선택한 보안장비의 주소와 부하분산기와 연결된 인터페이스 정보를 부하분산 엔트리DB(450)에 저장하고(F180단계), 상기의 정보를 이용하여 해당 패킷을 해당 보안장비로 전송한다(F190단계).
다음에 보안장비에 대한 장애 감시에 대하여 설명한다.
장애감시는 도 5의 장애감시부(420)와 장애감시패킷발생부(470)에 의해서 수행되며 부하분산정책DB (440)의 정보를 이용하여 장애감시를 수행한다.
장애감시를 수행하기 위해서 장애감시 패킷 발생부(470)는 부하분산정책DB(440)내의 각각의 부하분산정책(510)(520)내의 보안장비에 대하여 장애감시 패킷을 전송한다. 장애감시 패킷은 일반적으로 네트워크 장비의 장애를 검사하기 위해 사용하는 PING과 동일한 ICMP패킷을 전송하며 보안장비상의 내부망 인터페이스 및 외부망 인터페이스에서 ICMP에 대한 정상적인 응답을 이용하여 장애여부를 판단한다.
장애감시 부하분산정책에서 지정된 주기로 지속적으로 전송이 되며, 출발지 주소로 보안장비가 외부와 통신할 수 있는 주소를 사용하며, 목적지로는 부하분산기의 지정된 인터페이스와 연결된 보안장비의 인터페이스의 주소를 사용한다.
보안장비는 일반적으로 패킷의 흐름을 제어하기 때문에 보안장비의 장애를 검사하기 위해서는 보안장비의 외부망이나 내부망의 단일 인터페이스에 대한 검사만으로는 보안장비에 대한 검사가 정상적으로 이루어질 수 없다.
따라서 보안장비의 내, 외부 인터페이스가 모두 응답을 하는 경우에 보안장비가 정상적인 것으로 판단하며, 만일 내, 외부 인터페이스 중 단 하나에 대해서라도 응답이 없으면 이는 보안장비에 이상이 있는 것으로 판단하며, 보안장비 장애검사정책(513)(523)에 지정된 횟수만큼 장애검사 패킷에 대한 응답을 수신하지 못했을 경우에 보안장비에 장애가 발생한 것으로 판단하고, 보안장비 목록DB(512)(522)에 장애를 기록한다.
장애 기록시에는 만일 외부망의 S1 보안장비가 장애로 판단되었다면, 부하분산정책(520)의 보안장비목록DB(522)의 보안장비 식별자 S1에 장애기록을 하고, 내부망의 부하분산정책(510)의 보안장비목록DB(512)에 보안장비식별자가 S1인 보안장비에 장애를 기록한다.
그리고 장애가 기록된 보안장비에 대해서는 부하분산정책엔진(450)에서 해당 보안장비로 패킷이 전송되지 않도록 장애가 발생한 보안장비를 배제시킨다.
다음은 상기 설명한 부하분산기 두 대를 이용하여 네트워크 보안장비의 부하분산 및 이중화뿐만 아니라 부하분산기의 이중화를 구현하는 시스템에 대하여 설명한다.
도 8a는 본 발명에 따른 네트워크 보안장비의 부하분산 및 그 이중화와, 부하분산기의 이중화 시스템의 구성도이고, 도 8b는 도 8a의 시스템에서 외부(내부)부하분산기와 내부(외부)부하분산기에 모두 장애가 발생하지 않았을 경우의 패킷의 경로가 나타나 있는 시스템의 구성도이며, 도 8c는 도 8a의 시스템에서 내부(외부) 부하분산기에 장애가 발생한 경우의 패킷의 경로가 나타나 있는 시스템의 구성도이고, 도 8d는 도 8a의 시스템에서 외부(내부) 부하분산기에 장애가 발생한 경우의 패킷의 경로가 나타나 있는 시스템의 구성도이다.
본 발명의 네트워크상의 트래픽에 대한 보안정책을 적용하는 보안장비에 대한 부하분산 및 이중화와 부하분산기의 이중화 시스템은 외부망(310)과 패킷을 송수신하기 위하여 보안장비#1(331)과 보안장비#2(332)가 외부망(310)으로부터 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(351); 상기 L2 스위치(351)와 연결되어 있으며 외부망에 대한 부하분산을 우선적으로 수행하며 내부(외부)부하분산기(122)의 장애시에 내부망에 대한 부하분산을 수행하는 외부(내부)부하 분산기(121); 내부망에 대한 부하분산을 우선적으로 수행하며 상기 외부(내부)부하분산기(121)의 장애시에 외부망에 대한 부하분산을 수행하는 내부(외부)부하 분산기(122); 보안장비#1(331)의 외부망 인터페이스와 상기 외부(내부)부하분산기(121) 및 내부(외부)부하분산기(122)로 각각 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(352); 보안장비#2(332)의 외부망 인터페이스와 상기 외부(내부)부하분산기(121) 및 내부(외부)부하분산기(122)로 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(353); 보안장비#1(331)의 내부망 인터페이스와 상기 외부(내부)부하분산기(121) 및 내부(외부)부하분산기(122)로 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(354); 보안장비#2(332)의 내부망 인터페이스와 상기 외부(내부)부하분산기(121) 및 내부(외부)부하분산기(122)로 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(355); 그리고 내부망(340)과 패킷을 송수신을 위하여 외부(내부)부하분산기(121)와 내부(외부)부하분산기(122)를 통하여 패킷을 내부망(340)으로 전달 할 수 있는 경로를 만들어주는 L2 스위치(356)를 포함한다.
도 8a는 본 발명에서 두 대의 부하분산기(121)(122)를 이용하여 도 2a와 동일한 작동을 할 수 있는 구성을 제공한다. 두 대의 부하분산기중 하나에서 장애가 발생되면 다른 부하분산기가 외부 및 내부 부하분산기 기능을 동시에 담당하게 되는데, 이는 도 3과 같은 방식으로 작동하게 된다.
도 2a에서 외부부하분산기 #1(321)과 내부 부하분산기 #1(323)이 도 8a에서는 외부(내부)부하분산기(121)에 해당되고, 도 2a에서 외부 부하분산기 #2(322)와 내부 부하분산기 #2(324)가 도 8a에서는 내부(외부)부하분산기(122)에 해당된다.
여기서 외부(내부) 부하분산기라 함은 외부를 주로 담당하고 내부를 보조로 담당할 수 있는데 만일 내부를 담당하는 다른 부하분산기에 장애가 발생할 경우 내부도 담당하게 된다. 내부(외부) 부하분산기에도 같이 적용된다.
또한 구성시에 사용한 L2스위치(351,352,353,354,355,356)는 부하분산기(121)(122)에 장애가 발생하지 않았을 때와 부하분산기에 장애가 발생하였을 경우 패킷이 전달 될 수 있는 경로를 만들어 주는 역할을 하는데, 이는 도 8b, 8c, 8d에서 보이는 바와 같다.
부하분산기의 장애 검출은 앞서 설명하였던 VRRP를 통해서 이루어진다. 부하분산기(121)와 부하분산기(122)는 도 5에서 나타난 바와 같은 외부망 및 내부망에 대한 두 개의 부하분산 정책을 가지고 있다. 이 부하분산 정책은 모두 작동할 수 있는 상태로 되어 있으며, 두 대의 부하분산기가 동일한 설정을 가진다. 부하분산기의 작동은 대표 주소가 부하분산기에 할당되어야 외부로부터 패킷을 수신하여 부하분산을 할 수 있으며 대표주소가 할당이 되지 않은 경우에는 외부로부터 패킷을 수신할 수 없기 때문에 실질적으로 작동은 하지 않는다.
대표주소에 대한 할당은 VRRP를 통해 이루어지는데, 외부망에 대한 대표 주소 할당 정책은 부하분산기(121)가 외부망 대표 주소를 선점하기 위하여 부하분산기(122)보다 높은 우선순위를 가지며, 내부망에 대해서는 부하분산기(122)가 내부망에 대한 대표주소를 선점하기 위하여 부하분산기(121)에 비해 높은 우선순위를 가진다.
따라서 두 대의 부하분산기에 정상적으로 작동하는 경우에는 도 8b와 같은 경로를 통하여 외부망과 내부망 사이에 통신이 이루어진다. 이는 도 1에서와 같은 일반적인 부하분산 구조와 동일하다고 할 수 있으며 패킷의 흐름은 다음과 같다.
보안장비 #1(331)의 경우
외부망에서 내부망 :
310 -> 351 -> 121 -> 352 -> 331 -> 354 -> 122 -> 356 -> 340
내부망에서 외부망 :
340 -> 356 -> 122 -> 354 -> 331 -> 352 -> 121 -> 351 -> 310
보안장비 #2(332)의 경우
외부망에서 내부망:
310 -> 351 -> 121 -> 353 -> 332 -> 355 -> 122 -> 356 -> 340
내부망에서 외부망:
340 -> 356 -> 122 -> 355 -> 332 -> 353 -> 121 -> 351 -> 310
내부망의 내부(외부) 부하분산기(122)에 장애가 발생한 경우에는 도 8c와 같은 형태의 패킷흐름이 일어난다. 이는 내부망 내부(외부) 부하분산기(122)의 장애로 인하여 VRRP를 통하여 내부망의 대표 주소가 외부망 외부(내부) 부하분산기(121)로 옮겨 갔기 때문이다. 이 경우에는 도 3의 단일 부하분산기를 이용하여 부하분산을 하는 경우에서와 같은 패킷의 흐름이 일어나며, 패킷의 흐름은 다음과 같은 경로를 통하여 이루어진다.
보안장비 #1(331)의 경우
외부망에서 내부망:
310 -> 351 -> 121 -> 352 -> 331 -> 354 -> 121 -> 356 -> 340
내부망에서 외부망:
340 -> 356 -> 121 -> 354 -> 331 -> 352 -> 121 -> 351 -> 310
보안장비 #2(332)의 경우
외부망에서 내부망:
310 -> 351 -> 121 -> 353 -> 332 -> 355 -> 121 -> 356 -> 340
내부망에서 외부망:
340 -> 356 ->121 -> 355 -> 332 -> 353-> 121 -> 351 -> 310
외부망 외부(내부) 부하분산기(121)에 장애가 발생한 경우에는 VRRP를 통하여 외부망의 대표 주소가 내부망 내부(외부) 부하분산기(122)로 옮겨가게 됨으로 도 8d에 도시한 바와 같은 경로로 패킷의 흐름이 일어나며 자세한 패킷의 흐름은 다음과 같다.
보안장비 #1(331)의 경우
외부망에서 내부망:
310 -> 351 -> 122 -> 352 -> 331 -> 354 -> 122 -> 356 -> 340
내부망에서 외부망:
340 -> 356 -> 122 -> 354 -> 331 -> 352 -> 122 -> 351 -> 310
보안장비 #2(332)의 경우
외부망에서 내부망:
310 -> 351 ->122 -> 353 -> 332 -> 355 -> 122 -> 356 -> 340
내부망에서 외부망:
340 -> 356 -> 122 -> 355 -> 332 -> 353 -> 122 -> 351 -> 310
본 발명은 기재된 구체예에 대해서만 상세히 설명되었지만 본 발명의 사상과 범위 내에서 다양하게 변경 또는 변형할 수 있음은 본 발명이 속하는 기술 분야의 당업자에게는 명백한 것이며, 따라서 그러한 변경 또는 변형은 첨부된 특허청구의 범위에 속한다 해야 할 것이다.
이상과 같이 본 발명의 단일 부하분산기를 이용한 네트워크 보안장비의 부하 분산 및 이중화 시스템, 및 그 방법에 따르면 단일 부하분산기를 이용하여 보안장비의 부하 분산을 수행하고, 이 부하분산기를 두 대 이용하여 부하분산기 이중화를 수행할 수 있음으로 종래의 부하 분산 시스템 또는 부하 분산 이중화 방식에 비하여 네트워크의 구조를 단순화 하고 관리하기에 편리할 뿐 만 아니라 제조비용 및 관리비용을 절감할 수 있는 효과를 발휘한다.
도 1은 종래 네트워크 보안장비의 부하분산 및 이중화 시스템의 구성도,
도 2a는 종래 네트워크 보안장비 부하분산 및 이중화와, 부하분산기의 이중화 시스템의 구성도,
도 2b는 도 2a의 시스템에서 모든 부하분산기가 정상일 경우에 패킷의 흐름이 나타나 있는 시스템의 구성도,
도 2c는 도 2a의 시스템에서 외부부하분산기#1에 장애가 발생한 경우에는 패킷의 흐름이 나타나 있는 시스템의 구성도,
도 3은 본 발명에 따른 네트워크 보안장비의 부하분산 및 이중화 시스템의 구성도,
도 4는 본 발명에 따른 부하분산기 내부의 부하분산 정책의 구조도,
도 5는 본 발명에 따른 네트워크 보안장비의 부하분산 및 이중화 시스템의 구성요소인 부하분산기의 내부 구조를 나타내는 블록도,
도 6은 도 5의 부하분산기의 구성요소인 부하분산 엔트리DB의 내부 자료를 나타내는 표,
도 7은 본 발명에 따른 네트워크 보안장비의 부하분산방법에 대한 흐름도,
도 8a는 본 발명에 따른 네트워크 보안장비의 부하분산 및 이중화와 부하분산기 이중화 시스템의 구성도,
도 8b는 도 8a의 시스템에서 외부(내부)부하분산기와 내부(외부)부하분산기에 모두 장애가 발생하지 않았을 경우의 패킷의 경로가 나타나 있는 시스템의 구성도,
도 8c는 도 8a의 시스템에서 내부(외부) 부하분산기에 장애가 발생한 경우의 패킷의 경로가 나타나 있는 시스템의 구성도,
도 8d는 도 8a의 시스템에서 외부(내부) 부하분산기에 장애가 발생한 경우의 패킷의 경로가 나타나 있는 시스템의 구성도이다.
<도면의 주요부분에 대한 부호의 설명>
100: 부하분산기 121: 외부(내부)부하분산기
122: 내부(외부)부하분산기
310: 외부망 321, 323: 외부부하분산기
322, 324: 내부 부하분산기 331: 보안장비#1
332: 보안장비#2 340: 내부망
351, 352, 353, 354, 355, 356: L2스위치
410: 패킷수신부 420: 장애감시부
430: 부하분산정책엔진 440: 부하분산정책 DB
450: 부하분산엔트리 DB 470: 장애감시 패킷 발생부
480: 패킷송신부
510: 부하분산정책(외부망) 511: 기본정보
512: 보안장비목록DB 513: 보안장비 장애검사정책
520: 부하분산정책(내부망) 521: 기본정보
522: 보안장비목록DB 523: 보안장비 장애검사정책

Claims (6)

  1. 네트워크상의 트래픽에 대한 보안정책을 적용하는 보안장비에 대한 부하분산 및 이중화를 수행하는 시스템에 있어서,
    외부망(310)과 내부망(340)이 상기 부하분산기(100)의 포트에 직접 연결이 되어 있고;
    보안장비#1(331)의 외부망 인터페이스와 내부망 인터페이스 모두 부하분산기(100)의 포트로 연결이 되어 있으며; 그리고
    보안장비#2(332)의 외부망 인터페이스와 내부망 인터페이스 모두 부하분산기(100)의 포트에 연결되어 있는 것을 특징으로 하는 외부망 및 내부망 겸용 부하분산기를 이용한 네트워크 보안장비의 부하분산 및 이중화 시스템.
  2. 제1항에 있어서, 상기 부하분산기(100)는,
    부하분산기 외부로부터 패킷을 수신하기 위한 패킷수신부(410),
    부하분산기로부터 패킷을 외부로 전송하기 위한 패킷송신부(480),
    상기 패킷 수신부(410)로부터 수신한 패킷 중 장애감시 패킷 발생부(470)에서 송신한 장애 패킷을 부하분산정책DB(440)내의 장애감시 정책에 지정된 회수만큼 장애 감시 패킷을 수신하지 못한 경우에 보안장비의 장애로 판단하며, 장애 여부를 부하분산정책DB(440)의 보안장비 목록에 기록하는 장애감시부(420),
    보안장비의 장애를 검사하기 위해, 부하분산정책DB(440)의 보안장비 목록에 있는 보안장비로 장애 감시용 패킷을 부하분산정책DB(440)의 장애감시 정책에 지정된 주기 시간에 따라 패킷송신부(480)를 통해 전송할 수 있는 장애감시 패킷 발생부(470),
    보안장비에 대한 부하분산 및 이중화를 하기 위한 것으로 패킷을 수신하기 위한 대표주소, 부하분산 및 이중화 대상이 되는 보안장비 목록, 보안장비에 대한 장애 검사 방법을 구비한 부하분산정책DB(440),
    초기 수신한 패킷의 출발지와 목적지 주소를 기억하며, 이 이후의 동일 출발지와 목적지 주소를 가지는 패킷에 대하여 항상 같은 보안장비를 통과할 수 있도록 출발지와 목적지 주소, 보안장비 주소 및 보안장비의 인터페이스 정보를 구비하는 부하분산 엔트리 DB(450), 그리고
    수신한 패킷에 대하여 기존에 전송하였던 기록이 있는 출발지와 목적지를 가지는 패킷에 대하여 부하분산 엔트리DB(450)을 통하여 해당 보안장비로 패킷을 전송하며, 신규 출발지와 목적지를 가지는 경우에 부하분산정책 DB(440)내의 보안장비 목록에서 장애가 없는 보안장비를 선택하며, 출발지, 목적지, 보안장비 주소 및 연결된 인터페이스 정보를 부하분산 엔트리 DB(450)에 기록하고 상기 패킷을 패킷송신부(480)를 통해 전송하는 역할을 담당하는 부하분산정책엔진(430)을 포함하는 것을 특징으로 하는 외부망 및 내부망 겸용 부하분산기를 이용한 네트워크 보안장비의 부하분산 및 이중화 시스템.
  3. 네트워크상의 트래픽에 대한 보안정책을 적용하는 보안장비에 대한 부하분산 및 이중화와, 부하분산기의 이중화 시스템에 있어서,
    외부망(310)과 패킷을 송수신하기 위하여 보안장비#1(331)과 보안장비#2(332)가 외부망(310)으로부터 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(351);
    상기 L2 스위치(351)와 연결되어 있으며 외부망에 대한 부하분산을 우선적으로 수행하며 내부(외부)부하분산기(122)의 장애시에 내부망에 대한 부하분산을 수행하는 외부(내부)부하 분산기(121);
    내부망에 대한 부하분산을 우선적으로 수행하며 상기 외부(내부)부하분산기(121)의 장애시에 외부망에 대한 부하분산을 수행하는 내부(외부)부하 분산기(122);
    보안장비#1(331)의 외부망 인터페이스와 상기 외부(내부)부하분산기(121) 및 내부(외부)부하분산기(122)로 각각 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(352);
    보안장비#2(332)의 외부망 인터페이스와 상기 외부(내부)부하분산기(121) 및 내부(외부)부하분산기(122)로 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(353);
    보안장비#1(331)의 내부망 인터페이스와 상기 외부(내부)부하분산기(121) 및 내부(외부)부하분산기(122)로 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(354);
    보안장비#2(332)의 내부망 인터페이스와 상기 외부(내부)부하분산기(121) 및 내부(외부)부하분산기(122)로 패킷을 전송할 수 있는 경로를 만들어 주는 L2 스위치(355); 그리고
    내부망(340)과 패킷을 송수신을 위하여 외부(내부)부하분산기(121)와 내부(외부)부하분산기(122)를 통하여 패킷을 내부망(340)으로 전달 할 수 있는 경로를 만들어주는 L2 스위치(356)를 포함하는 것을 특징으로 하는 네트워크 보안장비의 부하분산 및 이중화와, 부하분산기의 이중화 시스템.
  4. 제3항에 있어서, 상기 외부(내부)부하 분산기(121)와 내부(외부)부하 분산기(122)는 각각,
    부하분산기 외부로부터 패킷을 수신하기 위한 패킷수신부(410),
    부하분산기로부터 패킷을 외부로 전송하기 위한 패킷송신부(480),
    상기 패킷 수신부(410)로부터 수신한 패킷 중 장애감시 패킷 발생부(470)에서 송신한 장애 패킷을 부하분산정책DB(440)내의 장애감시 정책에 지정된 회수만큼 장애 감시 패킷을 수신하지 못한 경우에 보안장비의 장애로 판단하며, 장애 여부를 부하분산정책DB(440)의 보안장비 목록에 기록하는 장애감시부(420),
    보안장비의 장애를 검사하기 위해, 부하분산정책DB(440)의 보안장비 목록에 있는 보안장비로 장애 감시용 패킷을 부하분산정책DB(440)의 장애감시 정책에 지정된 주기 시간에 따라 패킷송신부(480)를 통해 전송할 수 있는 장애감시 패킷 발생부(470),
    보안장비에 대한 부하분산 및 이중화를 하기 위한 것으로 패킷을 수신하기 위한 대표주소, 부하분산 및 이중화 대상이 되는 보안장비 목록, 보안장비에 대한 장애 검사 방법을 구비한 부하분산정책DB(440),
    초기 수신한 패킷의 출발지와 목적지 주소를 기억하며, 이 이후의 동일 출발지와 목적지 주소를 가지는 패킷에 대하여 항상 같은 보안장비를 통과할 수 있도록 출발지와 목적지 주소, 보안장비 주소 및 보안장비의 인터페이스 정보를 구비하는 부하분산 엔트리 DB(450), 그리고
    수신한 패킷에 대하여 기존에 전송하였던 기록이 있는 출발지와 목적지를 가지는 패킷에 대하여 부하분산 엔트리DB(450)을 통하여 해당 보안장비로 패킷을 전송하며, 신규 출발지와 목적지를 가지는 경우에 부하분산정책 DB(440)내의 보안장비 목록에서 장애가 없는 보안장비를 선택하며, 출발지, 목적지, 보안장비 주소 및 연결된 인터페이스 정보를 부하분산 엔트리 DB(450)에 기록하고 상기 패킷을 패킷송신부(480)를 통해 전송하는 역할을 담당하는 부하분산정책엔진(430)을 포함하는 것을 특징으로 하는 외부망 및 내부망 겸용 부하분산기를 이용한 네트워크 보안장비의 부하분산 및 이중화와 부하분산기의 이중화 시스템.
  5. 네트워크상의 트래픽에 대한 보안정책을 적용하는 보안장비에 대한 부하분산 및 이중화를 수행하는 방법에 있어서,
    패킷수신부(410)에서 수신한 패킷이 장애감시용 패킷인지의 여부를 장애감시부(420)에서 판단하는 단계(F110);
    상기 단계(F110)에서 수신한 패킷이 장애감시용 패킷이라고 판단한 경우에 장애감시부(420)에서 처리하는 단계(F115);
    상기 단계(F110)에서 수신한 패킷에 대하여 장애감시용 패킷이 아니라고 판단한 경우에 부하엔진정책엔진(430)에서 기존에 동일한 출발지와 목적지를 가지는 세션에 대한 기록이 부하분산엔트리 DB(450) 내에 기록이 있는지 검색하는 단계(F120) ;
    상기 단계(F130)에서 패킷의 출발지와 목적지 주소가 부하분산 엔트리 DB(450)내에 동일하게 일치한 기록이 있는 경우에 부하분산 엔트리 DB(450)내의 엔트리정보에 기록된 보안장비로 전송하는 단계(F130, F135);
    상기 단계(F120) 에서 출발지와 목적지 주소가 뒤바뀐 형태로 부하분산 엔트리 DB의 기록과 일치하는 경우에 패킷의 목적지 주소가 향하는 곳으로 패킷을 전송하는 단계(F140, F145);
    상기 부하분산 엔트리 DB(450)에 해당 패킷의 출발지와 목적지의 주소, 혹은 주소가 뒤바뀐 엔트리가 존재하지 않는 경우, 상기 패킷의 목적지 주소가 일치하는 대표주소를 가지는 부하분산 정책이 존재하는지 판단하는 단계( F150);
    상기 단계( F150)에서 일치하는 부하분산 정책이 존재하지 않는 경우 해당 패킷의 처리를 상위 TCP/IP 스택에서 처리하게 하는 단계(F160, F165);
    상기 단계(F160)에서 일치한 부하분산 정책에 포함하는 보안장비 중에 장애가 발생하지 않은 하나의 보안장비를 선택하는 단계(F170);
    상기 단계(F170)에서 선택된 보안장비에 대한 정보와 패킷의 출발지 목적지 주소 등의 정보를 부하분산 엔트리 DB(450)에 저장하는 단계(F180); 그리고
    상기 단계(F180)의 처리가 끝난 패킷을 선택된 보안장비로 전송하는 단계(F190)를 포함하는 특징으로 하는 외부망 및 내부망 겸용 부하분산기를 이용한 네트워크 보안장비의 부하분산 및 이중화 방법.
  6. 네트워크상의 트래픽에 대한 보안정책을 적용하는 보안장비의 부하분산 및 이중화와, 부하분산기의 이중화를 수행하는 방법에 있어서,
    부하분산기의 이중화를 위하여 VRRP를 통하여 외부(내부) 부하분산기(121)에 대하여 외부망 부하분산정책에 대한 대표주소에 높은 우선순위를 가지도록 할당하며, 내부망 부하분산정책에 대한 대표주소를 낮은 우선순위를 가지도록 할당하고, 내부(외부) 부하분산기(122)에 대하여 내부망 부하분산정책의 대표주소에 높은 우선순위를 가지도록 할당하며, 내부망 부하분산정책의 대표주소를 낮은 우선순위를 가지도록 할당하는 단계;
    상기 부하분산기들이 장애가 발생하지 않은 경우 VRRP의 우선순위를 통하여 외부(내부) 부하분산기(121)는 외부망 부하분산정책의 대표주소를 가지게 되며, 내부(외부) 부하분산기(122)는 내부망 부하분산정책의 대표주소를 가지게 되는 단계;
    상기 부하분산기들 중 외부(내부) 부하분산기(121)에 장애가 발생하였을 경우에VRRP를 통하여 내부(외부) 부하분산기(122)가 외부(내부)부하분산기의 외부망 부하분산 정책의 대표주소를 할당하는 단계; 그리고
    상기 부하분산기들 중 내부(외부) 부하분산기(122)에 장애가 발생하였을 경우에 VRRP를 통하여 외부(내부) 부하분산기(121)가 내부(외부)부하분산기의 내부망 부하분산 정책의 대표주소를 할당하는 단계; 를 포함하는 것을 특징으로 하는 네트워크 보안장비의 부하분산 및 이중화와 부하분산기 이중화 방법.
KR1020050045379A 2005-05-30 2005-05-30 단일 부하분산기를 이용한 네트워크 보안장비 부하분산 및이중화 시스템 및 그 방법과 이를 이용한 네트워크보안장비의 부하분산 및 이중화와 부하분산기의 이중화시스템 및 그 방법 KR100512273B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050045379A KR100512273B1 (ko) 2005-05-30 2005-05-30 단일 부하분산기를 이용한 네트워크 보안장비 부하분산 및이중화 시스템 및 그 방법과 이를 이용한 네트워크보안장비의 부하분산 및 이중화와 부하분산기의 이중화시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050045379A KR100512273B1 (ko) 2005-05-30 2005-05-30 단일 부하분산기를 이용한 네트워크 보안장비 부하분산 및이중화 시스템 및 그 방법과 이를 이용한 네트워크보안장비의 부하분산 및 이중화와 부하분산기의 이중화시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR100512273B1 true KR100512273B1 (ko) 2005-09-05

Family

ID=37304552

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050045379A KR100512273B1 (ko) 2005-05-30 2005-05-30 단일 부하분산기를 이용한 네트워크 보안장비 부하분산 및이중화 시스템 및 그 방법과 이를 이용한 네트워크보안장비의 부하분산 및 이중화와 부하분산기의 이중화시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR100512273B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100750371B1 (ko) 2006-05-09 2007-08-17 한정보통신 주식회사 배터리 내장형 fod 장비
KR100794520B1 (ko) * 2006-05-11 2008-01-14 주식회사 엘지씨엔에스 보안 시스템 및 트래픽 제어방법
KR101252529B1 (ko) 2013-02-19 2013-04-09 삼덕전기 주식회사 이중화를 지원하는 배전반용 보안 시스템
KR101357036B1 (ko) * 2013-02-06 2014-02-03 채현철 Cctv 감시장치 망분리 컴퓨터 단방향 보안 데이터 전송장치 전송방법
KR101449422B1 (ko) 2014-03-06 2014-10-13 삼덕전기 주식회사 스카다시스템에서 플랜트 자동복구 및 보안 시스템
KR101551537B1 (ko) 2013-10-15 2015-09-08 에스2정보 주식회사 정보유출방지장치
KR101565136B1 (ko) * 2013-11-20 2015-11-04 학교법인 신일학원 이중화를 실현하는 사이버교육 종합정보시스템

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100750371B1 (ko) 2006-05-09 2007-08-17 한정보통신 주식회사 배터리 내장형 fod 장비
KR100794520B1 (ko) * 2006-05-11 2008-01-14 주식회사 엘지씨엔에스 보안 시스템 및 트래픽 제어방법
KR101357036B1 (ko) * 2013-02-06 2014-02-03 채현철 Cctv 감시장치 망분리 컴퓨터 단방향 보안 데이터 전송장치 전송방법
KR101252529B1 (ko) 2013-02-19 2013-04-09 삼덕전기 주식회사 이중화를 지원하는 배전반용 보안 시스템
KR101551537B1 (ko) 2013-10-15 2015-09-08 에스2정보 주식회사 정보유출방지장치
KR101565136B1 (ko) * 2013-11-20 2015-11-04 학교법인 신일학원 이중화를 실현하는 사이버교육 종합정보시스템
KR101449422B1 (ko) 2014-03-06 2014-10-13 삼덕전기 주식회사 스카다시스템에서 플랜트 자동복구 및 보안 시스템

Similar Documents

Publication Publication Date Title
US7505401B2 (en) Method, apparatus and program storage device for providing mutual failover and load-balancing between interfaces in a network
US10389634B2 (en) Multiple active L3 gateways for logical networks
US7991914B2 (en) Technique for addressing a cluster of network servers
US9503371B2 (en) High availability L3 gateways for logical networks
CA2499343C (en) Ip redundancy with improved failover notification
US6392990B1 (en) Method for implementing interface redundancy in a computer network
US7734752B2 (en) Intelligent integrated network security device for high-availability applications
US7881208B1 (en) Gateway load balancing protocol
US9934112B2 (en) High-availability cluster architecture and protocol
US8121051B2 (en) Network resource teaming on a per virtual network basis
CN109743197B (zh) 一种基于优先级配置的防火墙部署系统和方法
CN110753137B (zh) 一种实现一对一网络地址转换网关水平扩展的方法
US7769862B2 (en) Method and system for efficiently failing over interfaces in a network
KR100512273B1 (ko) 단일 부하분산기를 이용한 네트워크 보안장비 부하분산 및이중화 시스템 및 그 방법과 이를 이용한 네트워크보안장비의 부하분산 및 이중화와 부하분산기의 이중화시스템 및 그 방법
US11290319B2 (en) Dynamic distribution of bidirectional forwarding detection echo sessions across a multi-processor system
US10924397B2 (en) Multi-VRF and multi-service insertion on edge gateway virtual machines
EP2014018B1 (en) Configurable resolution policy for data switch feature failures
US12088493B2 (en) Multi-VRF and multi-service insertion on edge gateway virtual machines
CN111314215A (zh) 数据报文转发控制方法及计算装置
Vadivelu et al. Design and performance analysis of complex switching networks through VLAN, HSRP and link aggregation
US20240348658A1 (en) Method and apparatus for security application balancing using a packet switch
US20240195743A1 (en) Application-layer load balancing and high availability via lacp bonding in a network
KR101406999B1 (ko) 부하분산 장치 및 방법
CN115941582A (zh) 通信设备的路由切换方法、装置、通信设备及存储介质
CN118748649A (zh) 聚合多发路由冗余的报文转发方法、装置、设备及介质

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
O035 Opposition [patent]: request for opposition
O132 Decision on opposition [patent]
J210 Request for trial for objection to revocation decision
J301 Trial decision

Free format text: TRIAL NUMBER: 2007103000021; TRIAL DECISION FOR APPEAL AGAINST DECISION OF CANCELLATION REQUESTED 20070130

Effective date: 20070830

S901 Examination by remand of revocation
O132 Decision on opposition [patent]
O074 Maintenance of registration after opposition [patent]: final registration of opposition
G170 Publication of correction
FPAY Annual fee payment

Payment date: 20120810

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20130705

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20140825

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20150820

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20160812

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20170824

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20180821

Year of fee payment: 14