KR100897930B1 - 보안장치 장애로부터 네트워크의 안정된 통신상태를 보장하는 통신시스템 - Google Patents

보안장치 장애로부터 네트워크의 안정된 통신상태를 보장하는 통신시스템 Download PDF

Info

Publication number
KR100897930B1
KR100897930B1 KR1020090009353A KR20090009353A KR100897930B1 KR 100897930 B1 KR100897930 B1 KR 100897930B1 KR 1020090009353 A KR1020090009353 A KR 1020090009353A KR 20090009353 A KR20090009353 A KR 20090009353A KR 100897930 B1 KR100897930 B1 KR 100897930B1
Authority
KR
South Korea
Prior art keywords
data
queue
server
client
outbound queue
Prior art date
Application number
KR1020090009353A
Other languages
English (en)
Inventor
박천오
백순용
진선태
Original Assignee
주식회사 피앤피시큐어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 피앤피시큐어 filed Critical 주식회사 피앤피시큐어
Priority to KR1020090009353A priority Critical patent/KR100897930B1/ko
Application granted granted Critical
Publication of KR100897930B1 publication Critical patent/KR100897930B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • H04L41/0622Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Quality & Reliability (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 주소변환 방식의 프록시 모드로 동작중인 보안장치들이 일체의 변경 없이도 자동으로 투명 프록시 모드로 동작함과 동시에 해당 보안장치에 장애가 발생해도 클라이언트와 서버 간 통신상태를 안정적으로 유지할 수 있도록 하는 보안장치 장애로부터 네트워크의 안정된 통신상태를 보장하는 통신시스템에 관한 것으로, 클라이언트(10); 클라이언트(10)로부터 송신된 데이터를 수신하는 인바운드 큐(31)와, 인바운드 큐(31)로부터 데이터를 전달받아 보안처리하는 어플리케이션데몬(33)과, 보안처리된 데이터를 전달받아 송신하는 아웃바운드 큐(34)를 구비한 보안장치(30); 아웃바운드 큐(34)가 송신한 데이터를 수신 및 처리하는 서버(20)를 포함하는 통신시스템에 있어서, 상기 인바운드 큐(31)는 클라이언트(10)로부터 수신한 데이터를 분기해 아웃바운트 큐(34)와 어플리케이션데몬(33)으로 각각 전달하고; 인바운드 큐(31)와 아웃바운드 큐(34)에 적재된 데이터를 확인하고, 인바운드 큐(31)에서 분기된 데이터를 어플리케이션데몬(33)으로 안내하며, 데이터가 아웃바운드 큐(34)에 전달된 후 설정 시간 전에 어플리케이션데몬(33)으로부터 보안처리된 데이터가 전달되면 보안처리된 데이터가 서버(20)에 송신되도록 하고, 설정 시간을 초과하면 아웃바운트 큐(34)에 적재된 데이터가 서버(20)에 송신되도록 아웃바운드 큐(34')의 데이터 송신을 제어하는 세션워치독(36); 및 데이터가 어플리케이션데몬(33)으로 전달되도록 전달위치정보를 설정하고, 어플리케이션데몬(33)에서 보안처리된 데이터가 아웃바운드 큐(34)로 전달되도록 전달위치정보를 설정하는 가 상NAT(37)을 더 포함하는 것이다.

Description

보안장치 장애로부터 네트워크의 안정된 통신상태를 보장하는 통신시스템{Communication system guaranteeing to maintain network on in the communications hit}
본 발명은 주소변환 방식의 프록시 모드로 동작중인 보안장치들이 일체의 변경 없이도 자동으로 투명 프록시 모드로 동작함과 동시에 해당 보안장치에 장애가 발생해도 클라이언트와 서버 간 통신상태를 안정적으로 유지할 수 있도록 하는 보안장치 장애로부터 네트워크의 안정된 통신상태를 보장하는 통신시스템에 관한 것이다.
기존 네트워크 보안장치는 네트워크 구간에서 소통되는 정보를 모니터링하고 탐지 및 차단하는 Inline bridge, Proxy gateway, Sniffing 형태가 주를 이루고 있다.
도 1은 종래 통신시스템의 모습을 도시한 블록도인 바, 이를 참조해 설명한다.
전술한 종래 보안장치(30)는 클라이언트(10)와 서버(20)를 중개하는 프록시 모드 타입으로 되어서, 클라이언트(10) 및 서버(20)로부터 송수신되는 각종 데이터를 통상적으로 보안 처리한다.
문제는 대부분의 보안장치들이 내부의 오류나 외부의 물리적/논리적인 장애에 대한 Fail open 기능이 매우 제한적이며, 특히 게이트웨이 제품의 경우 코어 어플리케이션이 재가동되거나 장애 등이 발생하면 접속된 모든 네트워크 세션이 끊기도록 되므로, 서버에 접속한 클라이언트의 사용자는 안정적이면서 지속적인 통신서비스를 제공받지 못한다는 것이다.
좀 더 구체적으로 설명하면, 클라이언트(10)로부터 송신된 데이터는 보안장치(30)의 커널영역에 설치된 인바운드 큐(31; inbound queue)가 수신하고, TCP/IP소켓(32)을 통해 데이터 보안처리를 진행하는 어플리케이션데몬(33)으로 전달된다. 어플리케이션데몬(33)은 해당 데이터를 보안 처리하고, 상기 과정의 역순으로 보안 처리된 데이터를 전달해서 아웃바운드 큐(34; outbound queue)가 데이터를 수신하도록 된다. 아웃바운드 큐(34)는 세팅된 정보에 따라 상기 데이터를 서버(20)로 전송하고, 이를 통해 보안장치(30)를 매개로 한 클라이언트(10)와 서버(20) 간 통신이 안정성을 유지한다.
그런데, 전술한 방식에 따른 데이터의 전달과정은 보안장치(30)에 문제가 발생할 경우, 데이터의 전달이 중단될 수밖에 없으므로, 클라이언트(10)와 서버(20) 통신은 중단되고, 결국 클라이언트(10)를 이용해 서버(20)의 서비스를 제공받는 사용자는 큰 불편을 느끼게 된다.
종래 보안장치에 대한 문제점을 실 예를 들어 설명한다.
1 Inline bridge 방식(예: F/W, IPS)
세션의 변경 없이 동작하는 Inline bridge 기반의 보안장치(30)는 FOD와 연동하는 기술 중에서 가장 안전하게 장애에 대한 fail open을 제공하는 기술이다. 단 해당 기술의 아크텍쳐 기반에 보안기능을 붙이기 위해서는 Socket 통신 기반의 기존 어플리케이션을 커널영역으로 내리거나, 통신 인터페이스를 다른 방식으로 대폭 변경하여야 하기 때문에 기능의 제한이 있거나 개발 측면에 추가적인 비용을 요구하게 된다.
2 커널과 어플리케이션 사이에 별도의 인터페이스(예: Netfilter ip_queue를 이용한 IPS)를 구성하는 방식
Netfilter의 ip_queue를 이용한 방식은 Inline bridge 방식의 일종으로서 커널의 ip_queue를 어플리케이션에서 읽을 수 있게 하여 패킷을 탐지/차단하는 방식이다. 본 방식도 어플리케이션에서 동작하는 보안장치(30)에 장애가 발생하거나 재부팅할 경우 보안장치(30)가 정상적으로 복구될 때까지 네트워크가 차단되는 문제가 있으며, 이와 같은 방식으로 보안장치(30)를 구성할 경우 일반적인 packet sniffing이나 TCP/IP socket 방식이 아닌 별도의 패킷 수집 및 차단 구조를 가져야 하는 어려움을 가지고 있다.
3 Application proxy 방식(예: Mail 보안)
다양한 보안 기능을 어플리케이션 영역에서 제공 가능하다는 장점을 가지나, 접속 트래픽에 대하여 별도 네트워크 세션을 발생시켜서 중개하는 방식이 기본이므로, 해당 보안장치(30)의 어플리케이션에 문제가 발생하거나, FOD로 연동된 상태에서 Fail open 상태로 전환되면 현재 접속 중인 모든 세션은 끊어지는 문제가 있고, 클라이언트(10)의 IP주소나 서버(20)의 IP주소를 proxy 서버의 IP 주소로 변경하기 때문에 서버(20)에 별도의 보안 프로그램이 설치되어 있다고 하더라도 서버(20)에 설치된 보안 프로그램에서는 모든 접속자가 중개역할을 했던 proxy 서버의 IP로 기술되는 문제가 있다. 또한, 장애가 아니더라도 새로운 업그레이드를 위해서 프로세스를 재부팅하더라도 모든 세션이 끊어지는 문제가 있다.
4 Transparent proxy 방식(예: UTM, Mail 보안)
현존하는 Transparent Proxy는 커널영역의 네트워크 주소 변경 기능과 패킷 데이터 중개 기능을 이용하여 클라이언트들이 Proxy 존재를 느끼지 못하게 하면서 보안 기능을 그대로 수행할 수 있는 장점을 가지나, 해당 기술 역시 Proxy를 적용하기 전의 세션과는 다른 세션을 발생시켜 해당 장치의 장애 발생시 모든 세션이 끊어지는 문제가 있다. 비용 측면에서는 해당 기술의 아크텍쳐에 기존 보안 어플리케이션을 이식시키는 것이 Inline bridge 기반에 이식하는 것보다는 상대적으로 저렴하지만, 해당 기술 역시 이식성이나 비용적인 측면의 어려움으로 인해 제한적으로 활용되고 있다.
5 Sniffing 방식(예: IDS 및 각종 네트워크 감시 도구)
전술한 기존 기술을 적용한 보안 제품의 장애로 인한 가용성 저해를 경험한 사용자는 Sniffing 기술을 적용한 보안장치(30)를 선호하지만, Sniffing 기술은 패킷 손실과 높은 차단 실패율 및 정보 조작이 용이치 못하다는 한계로 인하여, 핵심 보안기능에는 활용되지 못하고 보조적으로만 활용되고 있다.
참고로, 미 설명한 인출번호 "35"는 "ACL"을 가리키는 것으로, 인바운드 큐(31)와 아웃바운드 큐(34)에 삽입되어서, Protocol/IP/Port의 접근 제어를 수행하는 것이다.
이에 본 발명은 상기와 같은 문제를 해소하기 위해 안출된 것으로, 클라이언트와 서버를 중개하는 보안장치에 장애가 발생해도 세션의 끊김없이 통신상태를 안정적으로 유지할 수 있고, 보안장치를 구성하는 프로그램영역의 실질적인 수정없이 손쉽게 적용할 수 있는 보안장치 장애로부터 네트워크의 안정된 통신상태를 보장하는 통신시스템의 제공을 기술적 과제로 한다.
상기의 기술적 과제를 달성하기 위하여 본 발명은,
클라이언트; 클라이언트로부터 송신된 데이터를 수신하는 인바운드 큐와, 인바운드 큐로부터 데이터를 전달받아 보안처리하는 어플리케이션데몬과, 보안처리된 데이터를 전달받아 송신하는 아웃바운드 큐를 구비한 보안장치; 아웃바운드 큐가 송신한 데이터를 수신 및 처리하는 서버를 포함하는 통신시스템에 있어서,
상기 인바운드 큐는 클라이언트로부터 수신한 데이터를 분기해 아웃바운트 큐와 어플리케이션데몬으로 각각 전달하고;
인바운드 큐와 아웃바운드 큐에 적재된 데이터를 확인하고, 인바운드 큐에서 분기된 데이터를 어플리케이션데몬으로 안내하며, 데이터가 아웃바운드 큐에 전달된 후 설정 시간 전에 어플리케이션데몬으로부터 보안처리된 데이터가 전달되면 보안처리된 데이터가 서버에 송신되도록 하고, 설정 시간을 초과하면 아웃바운트 큐에 적재된 데이터가 서버에 송신되도록 아웃바운드 큐의 데이터 송신을 제어하는 세션워치독; 및
데이터가 어플리케이션데몬으로 전달되도록 전달위치정보를 설정하고, 어플리케이션데몬에서 보안처리된 데이터가 아웃바운드 큐로 전달되도록 전달위치정보를 설정하는 가상NAT;
을 더 포함하는 보안장치 장애로부터 네트워크의 안정된 통신상태를 보장하는 통신시스템이다.
상기의 본 발명은, 기존 기술의 네트워크 보안장치(Inline bridge와 Application proxy 및 Transparent proxy)는 장애 발생시 네트워크 전체에 장애를 유발시키거나 처리 중인 세션이 손실되지 않도록 안정된 통신상태를 유지시키고, 보안장치 자체에 장애가 발생해도 이미 연결되어 있는 세션이나 신규 세션 모두에게 영향을 주지 않는 효과가 있다.
또한, 보안장치가 Proxy 모드(Transparent Proxy 방식 제외)인 경우, 출발지 IP주소가 보안장치의 IP주소로 변경되어 목적지 서버에서는 누가 접속했었는지 알 수 없었으나, 본 발명에 따른 통신시스템에서는 IP주소는 물론 어떠한 세부적인 세션 정보도 변경하지 않으므로, 서버에서 실제 접속한 클라이언트의 IP주소를 정확히 알 수 있으므로 목적지 서버의 보안감사기능을 수행할 수 있는 효과가 있다.
또한, 기존 보안장치의 어플리케이션에 대한 어떠한 수정 및 대체도 없이 적용가능하므로, 초기 설치에 대한 부담을 최소화하는 효과가 있다.
이하 본 발명을 첨부된 예시도면에 의거하여 상세히 설명한다.
도 2는 본 발명에 따른 통신시스템의 제1실시예를 도시한 블록도인 바, 이를 참조해 설명한다.
본 발명에 따른 통신시스템은 서로 통신하는 클라이언트(10) 및 서버(20)와, 클라이언트(10) 및 서버(20)의 통신을 중개하는 보안장치(30')를 포함하고, 상기 보안장치(30')는 클라이언트(10)로부터 전송된 데이터를 수신하고 이를 분기하는 인바운드 큐(31')와, 인바운드 큐(31') 및 아웃바운드 큐(34')가 상호 지속적으로 통신하면서 아웃바운드 큐(34')의 구동을 제어하는 세션워치독(36)과, 인바운드 큐(31')로부터 분기된 데이터가 어플리케이션데몬(33)에 정확히 전달되도록 새로운 세션으로 재구성하는 가상NAT(Network Address Translation; 37)과, 가상NAT(37)에 의해 재구성된 데이터를 TCP/IP소켓(32)을 통해 수신한 후 보안처리하는 어플리케이션데몬(33)으로 구성된다.
본 발명에 따른 통신시스템의 각 구성에 대한 보다 상세한 설명을 위해, 보안장치(30')를 매개로한 클라이언트(10)와 서버(20)의 데이터 송수신 과정을 순차 설명한다.
1. 클라이언트의 데이터 송신
클라이언트(10)는 특정 서버(20)에 접속하고, 상기 서버(20)로 데이터를 전송한다.
2. 인바운드 큐 수신
클라이언트(10)로부터 전송된 데이터(패킷)는 서버(20)가 수신하기 전에 보안장치(30')가 수신하고, 이렇게 수신한 데이터는 인바운드 큐(31')가 확인한다.
인바운드 큐(31')는 클라이언트(10)가 전송한 데이터를 수신해서 어플리케이션데몬(33)과 아웃바운드 큐(34')로 각각 분기해 전달하는 것으로, 수신한 데이터를 아웃바운드 큐(34')로 전달하는 경우엔 특별한 처리없이 수신 데이터 그대로 전달한다.
3. 데이터의 전달위치정보 설정
전술한 바와 같이 인바운드 큐(31')는 클라이언트(10)로부터 수신한 데이터를 분기해서 아웃바운드 큐(34')와 어플리케이션데몬(33)으로 각각 전달한다. 하지만, 보안장치(30')는 보안성을 확보하기 위해 데이터의 분기를 제한하므로, 어플리케이션데몬(33)으로 데이터가 전달되면 분기된 다른 하나의 데이터는 전달위치를 상실한다.
가상NAT(37)는 인바운드 큐(31')에서 분기된 다른 하나의 데이터가 어플리케이션데몬(33)으로 전달될 수 있도록 전달위치정보를 제공한다. 한편, 어플리케이션데몬(33)에서 보안처리된 데이터의 원본을 찾아 아웃바운드 큐(34')에 전달하거나, 어플리케이션데몬(33)에서 보안처리된 데이터를 원본 데이터에 맞춰 변경 처리한 후 아웃바운드 큐(34')에 전달할 수도 있다.
4. 데이터의 보안처리
어플리케이션데몬(33)은 가상NAT(37)로부터 전달된 데이터를 수신해서 보안처리한다. 여기서, 가상NAT(37)는 커널영역이므로 어플리케이션영역에서 데이터의 정상적인 통신 및 처리를 위해 TCP/IP소켓(32)을 통해 변조처리될 것이다.
5. 아웃바운드 큐 수신
어플리케이션데몬(33)에서 보안처리된 데이터는 TCP/IP소켓(32)을 통해 변조처리된 후 커널영역의 가상NAT(37)로 전달되고, 가상NAT(37)는 이를 수신해서 아웃바운드 큐(34')로 전달한다.
6. 서버로의 데이터 송신
아웃바운드 큐(34')는 가상NAT(37)로부터 데이터를 수신하면, 인바운드 큐(31')로부터 직접 수신한 데이터는 폐기하고, 가상NAT(37)로부터 수신한 데이터를 서버(20)로 송신한다.
결국, 인바운드 큐(31')에서 서버(20)로 데이터를 전달하지 않고 아웃바운드 큐(34')를 통하는 이유는 어플리케이션데몬(33)의 보안처리된 데이터를 받아 기존에 아웃바운드 큐(34')에 기저장된 데이터와 교체 전달하기 위함이다. 이때, 데이터의 ID나 TCP Sequence 번호는 바뀌지 않고 payload의 내용과 payload의 길이만 변경해서 TCP/IP head의 재연산 후 서버(20)에 데이터를 전달하면, 보안처리 의도에 따라 서버(20)에서는 변조된 데이터를 수신한다.
한편, 어플리케이션데몬(33)은 구조적인 변경 없이 커널영역을 통해 받은 데이터 및 정보들을 종래 보안장치(30)의 어플리케이션데몬과 동일하게 처리한 후, 송수신하면 된다. 여기서, 어플리케이션데몬(33)이 송신한 데이터는 어플리케이션데몬(33)이 데이터를 수신하기 위해 가상NAT(37)가 가상의 IP(전달위치정보)를 목적지로 설정한 것이므로, 가상NAT(37)는 기존의 원본 트래픽과 맵핑되어 아웃바운드 큐(34')에 적재되고, 최종 목적지인 서버(20)로 전달된다.
가상NAT(37)는 인바운드 큐(31')에서 분기된 데이터를 전달받는 어플리케이션데몬(33)의 Process ID를 맵핑 하여 관리할 것이다.
7. 세션워치독 확인
한편, 전술한 순서에 따라 보안장치(30')의 데이터 처리가 진행되는 동안 세션워치독(36)은 인바운드 큐(31')와 아웃바운드 큐(34')와 통신하면서, 데이터의 처리 지연을 확인한다.
즉, 어플리케이션데몬(33)에 장애가 발생하거나, 보안장치(30')의 재부팅으로 인해 보안장치(30')의 정상적인 구동이 정지될 경우, 아웃바운드 큐(34')는 어플리케이션데몬(33)으로부터 데이터를 전달받지 못하게 된다. 이때, 세션워치독(36)은 이를 감지해서, 아웃바운드 큐(34')에 대기 중인 데이터를 서버(20)에 송신한다. 좀 더 상세히 설명하면, 세션워치독(36)은 인바운드 큐(31')가 임의 데이터를 수신하면 시간을 카운트해서 설정 시간 이내에 아웃바운드 큐(34')가 당해 데이터를 전달받지 못하면, 아웃바운드 큐(34')에 대기 중인 데이터를 서버(20)로 송 신하는 것이다.
또한, 지속적인 장애가 인지될 경우 세션워치독(36)은 인바운드 큐(31')를 제어해서 데이터의 분기를 중지시키고, 수신한 데이터를 아웃바운드 큐(34')로 직접 전달한다. 물론, 아웃바운드 큐(34')는 수신한 데이터를 지연없이 서버(20)에 송신한다.
참고로, 세션워치독(36)의 설정 시간은 변경 가능하고, 본 발명에 따른 실시예에서는 통상적인 default를 0.1초로 하였다.
도 3은 본 발명에 따른 통신시스템의 제2실시예를 도시한 블록도인 바, 이를 참조해 설명한다.
본 발명에 따른 보안장치(30")는 FOD H/W(40)와 연결되고, 세션워치독(36)과 FOD H/W(40) 간의 통신을 매개하는 FOD워치독(38)을 더 포함한다.
클라이언트(10)로부터 송신된 데이터는 본 발명에 따른 보안장치(30")가 수신하기 전 FOD H/W(40)에 수신된다. FOD H/W(40)는 FOD워치독(38)으로부터 신호를 수신하면서, 정상일 경우 상기 데이터를 보안장치(30")로 전달한다.
보안장치(30")로 전달된 데이터는 제1실시예에서 설명한 바와 같이 처리 및 전달되므로, 이에 대한 설명은 생략한다.
한편, 보안장치(30")에 설치된 세션워치독(36)은 주기적으로 FOD워치독(38)에 보안장치(30")의 이상 여부에 관한 신호를 전달하고, FOD워치독(38)은 세션워치독(36)의 신호를 확인해 FOD H/W(40)의 데이터 전달을 제어한다. 따라서, 세션워 치독(36)은 보안장치(30")의 커널영역, 어플리케이션영역 또는 보안장치(30") 전체에 대한 장애가 확인되면, 장애 신호를 FOD워치독(38)에 전달하거나, 주기적인 신호를 전달하지 못하므로, FOD워치독(38)은 FOD H/W(40)를 제어해서 클라이언트(10)로부터 수신한 데이터를 바이패스해 서버(20)로 송신한다.
결국, 보안장치(30") 자체에 장애가 발생하더라도 세션 연결이 유지되는 이유는 정상 동작 시 유입된 데이터(네트워크 트래픽)를 인바운드 큐(31')에서 세션 변경없이 그대로 아웃바운드 큐(34')에 전달하므로, (1)보안장치(30")의 어플리케이션영역에 문제가 발생할 경우, 세션워치독(36)은 당해 데이터에 대한 정상적인 보안처리를 확인받지 못하므로, 아웃바운드 큐(34')에 위치한 데이터를 서버(20)로 전송하고, (2)보안장치(30") 전체에 문제가 발생할 경우 세션워치독(36)은 FOD워치독(38)에 주기적인 신호를 전달하지 못하므로, FOD워치독(38)은 FOD H/W(40)에 바이패스 신호를 보내서 FOD H/W(40)에 보류된 당해 데이터를 서버(20)로 전송한다.
물론, 세션워치독(36)은 FOD워치독(38)으로 FOD H/W(40)에 위치한 데이터에 대한 바이패스 명령을 능동적으로 내릴 수도 있을 것이다. 즉, FOD워치독(38)은 세션워치독(36)의 바이패스 명령 또는 주기적인 확인신호의 미수신 중 하나의 사건이 발생하면, FOD H/W(40)에 위치한 데이터를 서버(20)로 직접 전송하므로, 클라이언트(10)와 서버(20) 간 통신상태는 보안장치(30")의 이상 유무에 상관없이 안정되게 유지될 수 있다.
도 1은 종래 통신시스템의 모습을 도시한 블록도이고,
도 2는 본 발명에 따른 통신시스템의 제1실시예를 도시한 블록도이고,
도 3은 본 발명에 따른 통신시스템의 제2실시예를 도시한 블록도이다.

Claims (2)

  1. 클라이언트(10); 클라이언트(10)로부터 송신된 데이터를 수신하는 인바운드 큐(31)와, 인바운드 큐(31)로부터 데이터를 전달받아 보안처리하는 어플리케이션데몬(33)과, 보안처리된 데이터를 전달받아 송신하는 아웃바운드 큐(34)를 구비한 보안장치(30); 아웃바운드 큐(34)가 송신한 데이터를 수신 및 처리하는 서버(20)를 포함하는 통신시스템에 있어서,
    상기 인바운드 큐(31)는 클라이언트(10)로부터 수신한 데이터를 분기해 아웃바운트 큐(34)와 어플리케이션데몬(33)으로 각각 전달하고;
    인바운드 큐(31)와 아웃바운드 큐(34)에 적재된 데이터를 확인하고, 인바운드 큐(31)에서 분기된 데이터를 어플리케이션데몬(33)으로 안내하며, 데이터가 아웃바운드 큐(34)에 전달된 후 설정 시간 전에 어플리케이션데몬(33)으로부터 보안처리된 데이터가 전달되면 보안처리된 데이터가 서버(20)에 송신되도록 하고, 설정 시간을 초과하면 아웃바운트 큐(34)에 적재된 데이터가 서버(20)에 송신되도록 아웃바운드 큐(34)의 데이터 송신을 제어하는 세션워치독(36); 및
    데이터가 어플리케이션데몬(33)으로 전달되도록 전달위치정보를 설정하고, 어플리케이션데몬(33)에서 보안처리된 데이터가 아웃바운드 큐(34)로 전달되도록 전달위치정보를 설정하는 가상NAT(37);
    을 더 포함하는 것을 특징으로 하는 보안장치 장애로부터 네트워크의 안정된 통신상태를 보장하는 통신시스템.
  2. 제 1 항에 있어서,
    세션워치독(36)과 일정주기로 통신하면서 보안장치(30)의 이상 여부를 확인하는 FOD워치독(38); 및
    클라이언트(10)와 보안장치(30)의 통신을 중개토록 설치되어서 클라이언트(10)로부터 데이터를 우선 수신 및 대기하고, 상기 FOD워치독(38)으로부터 정상신호가 수신되면 상기 데이터를 보안장치(30)로 송신하며, 이상신호가 수신되거나 설정 시간 이내에 정상신호가 미수신되면 상기 데이터를 서버(20)에 직접 송신하는 FOD H/W(40);
    를 더 포함하는 것을 특징으로 하는 보안장치 장애로부터 네트워크의 안정된 통신상태를 보장하는 통신시스템.
KR1020090009353A 2009-02-05 2009-02-05 보안장치 장애로부터 네트워크의 안정된 통신상태를 보장하는 통신시스템 KR100897930B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090009353A KR100897930B1 (ko) 2009-02-05 2009-02-05 보안장치 장애로부터 네트워크의 안정된 통신상태를 보장하는 통신시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090009353A KR100897930B1 (ko) 2009-02-05 2009-02-05 보안장치 장애로부터 네트워크의 안정된 통신상태를 보장하는 통신시스템

Publications (1)

Publication Number Publication Date
KR100897930B1 true KR100897930B1 (ko) 2009-05-14

Family

ID=40862146

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090009353A KR100897930B1 (ko) 2009-02-05 2009-02-05 보안장치 장애로부터 네트워크의 안정된 통신상태를 보장하는 통신시스템

Country Status (1)

Country Link
KR (1) KR100897930B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050085014A (ko) * 2002-11-18 2005-08-29 에이알엠 리미티드 보안 처리 시스템 내의 예외 타입
KR20080113087A (ko) * 2006-03-27 2008-12-26 텔레콤 이탈리아 소시에떼 퍼 아찌오니 이동 통신 장치상의 보안 정책 강화 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050085014A (ko) * 2002-11-18 2005-08-29 에이알엠 리미티드 보안 처리 시스템 내의 예외 타입
KR20080113087A (ko) * 2006-03-27 2008-12-26 텔레콤 이탈리아 소시에떼 퍼 아찌오니 이동 통신 장치상의 보안 정책 강화 방법

Similar Documents

Publication Publication Date Title
US9965368B2 (en) High-availability cluster architecture and protocol
US10079894B2 (en) Method and apparatus for dynamic destination address control in a computer network
US8346919B1 (en) Failover and migration for full-offload network interface devices
US20170310641A1 (en) Data center system
US8462767B2 (en) Internet protocol compliant private branch electronic exchange and a method for redundantly configuring terminal interfaces
US20120079143A1 (en) Wireless host i/o using virtualized i/o controllers
US7751401B2 (en) Method and apparatus to provide virtual toe interface with fail-over
JP2008083897A (ja) 負荷低減システム、負荷低減方法、及びプログラム
WO2009147652A2 (en) Ethernet switch-based network monitoring system and methods
CN102597986A (zh) 用于联网设备的安全远程管理的通过安全壳的串行端口转发
MX2008012786A (es) Resistencia de sesion en una red inalambrica.
JP5419907B2 (ja) ネットワークシステム、及び通信復旧方法
CN110351233A (zh) 一种基于安全隔离网闸的双向透明传输技术
US10608841B2 (en) Autonomous system bridge connecting in a telecommunications network
JP5262145B2 (ja) クラスタシステムおよび情報処理方法
WO2020242474A1 (en) Routing nvme-over-fabric packets
US11121960B2 (en) Detecting and managing relocation of network communication endpoints in a distributed computing environment
JP4964666B2 (ja) 冗長化された通信経路を切り替える計算機、プログラム及び方法
US20170180184A1 (en) Remote Access Over Internet Using Reverse Session-Origination (RSO) Tunnel
JP2007208502A (ja) 通信システム、バックアップルータ、その冗長化処理プログラムおよびその冗長化処理方法
KR100897930B1 (ko) 보안장치 장애로부터 네트워크의 안정된 통신상태를 보장하는 통신시스템
JPWO2010046977A1 (ja) 通信制御プログラム、通信制御装置、通信制御システムおよび通信制御方法
WO2014044088A1 (zh) L2tp网络的保护方法、装置及系统
KR20210037178A (ko) 단방향 통신을 이용한 이종 망간 통신 시스템 및 방법
EP2842271B1 (en) Network management

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120508

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20130228

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150430

Year of fee payment: 7