KR101290963B1 - 가상화 기반 망분리 시스템 및 방법 - Google Patents

가상화 기반 망분리 시스템 및 방법 Download PDF

Info

Publication number
KR101290963B1
KR101290963B1 KR1020120030703A KR20120030703A KR101290963B1 KR 101290963 B1 KR101290963 B1 KR 101290963B1 KR 1020120030703 A KR1020120030703 A KR 1020120030703A KR 20120030703 A KR20120030703 A KR 20120030703A KR 101290963 B1 KR101290963 B1 KR 101290963B1
Authority
KR
South Korea
Prior art keywords
network
packet
nic
virtual
address
Prior art date
Application number
KR1020120030703A
Other languages
English (en)
Inventor
홍영기
김성윤
김남훈
김정훈
신영식
고봉수
양성욱
남강현
한재윤
고성택
Original Assignee
제주대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 제주대학교 산학협력단 filed Critical 제주대학교 산학협력단
Priority to KR1020120030703A priority Critical patent/KR101290963B1/ko
Application granted granted Critical
Publication of KR101290963B1 publication Critical patent/KR101290963B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/18Multiprotocol handlers, e.g. single devices capable of handling multiple protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 가상화 기반 망분리 방법에 있어서, 클라이언트 내 실제 운영체제와 논리적으로 분리되는 가상 환경을 생성하는 과정과, 소정의 프로세스 실행 시 상기 프로세스의 네트워크 연결시도 여부를 확인하여 네트워크 연결을 시도하고자 하는 프로세스를 식별하는 과정과, 상기 식별된 프로세스가 실제 운영체제 혹은 상기 생성된 가상환경 내에서 실행된 프로세스 여부에 따라 NIC 선택기에 의해 TCP/IP를 통해 미리 설정된 네트워크 인터페이스로 연결되는 과정과, VPN 서버에서 외부망으로 네트워크 연결을 수행하는 과정을 포함함을 특징으로 한다.

Description

가상화 기반 망분리 시스템 및 방법{SYSTEM AND METHOD FOR SEPARATING NETWORK BASED VIRTUAL ENVIRONMENT}
본 발명은 가상화 기반 망분리에 관한 것으로, 보다 상세하게는 내부망에 연결되는 다수의 클라이언트 단말에 외부망 접속을 위한 가상환경을 생성하고, 상기 가상환경 내에서 실행된 프로세스는 외부망에만 접근이 되게하고, 상기 클라이언트 단말 내의 실제 환경에서 실행된 프로세스는 내부망에만 접근이 되게 함으로써 논리적으로 망분리를 수행하고자 하는 가상화 기반 망분리 시스템 및 방법에 관한 것이다.
정보 통신의 발전으로 인하여 먼 거리와의 업무 연락 및 비즈니스의 제한 폭이 점점 좁아지며, 특히 인터넷의 발전으로 그 속도는 가속화 되고 있다.
현재 IT 발전 방향의 추세는 기업, 관공서, 기타 모든 곳에서 인터넷, 인트라넷, 익스트라넷 등을 적용하여 외부와의 업무 연속성을 활용하는데 그 목적을 둔다.
이러한 목적은 기업 내 업무 환경의 효율성 증대의 취지에서 벗어나 다양한 정보 유출에 대한 위험성을 내재하고 있다.
인터넷 망이 연결된 내부망은 외부로부터의 해커나 악성 바이러스의 위험을 초래하고 있으며 내부에서는 산업 스파이나 악의적인 내부 사용자로부터 기업 내 중요 자료를 외부로 유출시키는 피해가 계속해서 발생하고 있다. 즉, 외부로부터의 악의적 공격으로부터 안전한 환경을 조성하는 것과 더불어 내부 사용자로부터 기업 내 중요 자료를 보호해야 하는 필요성은 계속해서 대두가 되고 있다.
기업 내 주요 정보를 보호하기 위한 방안으로 데이터 암호화, 문서 보안, 이메일 보안 및 내부 데이터 손실 방지와 같은 다양한 방안 및 솔루션이 제시되고 있으나 원천적인 내부 정보 보호를 위한 업무 영역과 외부 네트워크 분리의 필요성이 부각되었고 따라서 물리적 망분리가 요구되어 왔다.
상기 물리적 망분리는 물리적으로 네트워크를 분리, 외부의 네트워크와 내부의 네트워크를 별도로 구축하며 장점은 물리적으로 분리가 되어 있기 때문에 사용자 인식률이 높아 식별 가능하며 특별한 기술이 불필요하므로, 물리적인 추가 장치를 이용하여 망 분리를 구성한다. 일반적으로 2대의 PC를 이용한 망분리와 네트워크 전환 장치를 이용한 망분리가 있다. 이에 대한 구성 방식, 장점 및 단점을 제시한다.
PC 기반의 분리는 사용자 업무 환경에 업무용 PC와 인터넷용 PC, 2대의 PC로 구성하여 한대는 내부 망 용 다른 PC는 인터넷 망을 구성하여 네트워크를 물리적 분리하는 것으로, 장점으로는 물리적인 분리를 통한 가시성을 가지며 사용자의 인식률을 높일 수 있고, 단점으로는 사용자별 2개의 PC가 필요하며 이에 따른 공간 확보와 네트워크 구축 및 추가적인 PC에 대한 비용이 발생하며 높은 전력 소비와 발열량으로 인하여 그린 IT에 역행하게 된다.
한편, 전환 장치를 이용한 분리는 하드디스크, IP, 라우팅 정보 등의 비 공유자원을 업무용과 인터넷용으로 분리하여 네트워크를 분리하고 PCI 카드형태의 전환 장치를 사용하는 것으로, 장점으로는 전환 장치로 PC 2대를 사용하는 것과 유사한 방식을 제공하고, 단점으로는 망 분리를 위해 네트워크 구축 비용의 증가를 초래하며 사용자의 측면에서는 전환 장치를 통한 망 전환 시 사용자 PC 재부팅으로 인하여 업무의 효율성을 저하 발생하며 인터넷을 통한 자료 수집에 대한 비효율성을 증대시킨다.
하지만, 논리적 망분리를 통해서 위의 물리적 망 분리의 단점을 보완할 수 있다. 현재 논리적 망분리는 가상화 기술을 기반으로 구축이 되는데, 가상화 방식에서도 SBC(Server Based Computing) 방식이 주로 사용된다. 이러한 SBC 방법은 물리적으로 PC가 한 대만 있으면 되고, 각 업무환경을 중앙 서버에서 통제함으로써 유지보수에서 특별한 장점을 가지지만 서비 기반이기 때문에 상기 서버가 해킹을 당하면 모든 사용자의 정보가 유출된다는 점이 있고 사용자 각각에 대한 시스템 자원을 서버에서 모두 처리를 해야 하기 때문에 서버 구축에 많은 비용이 들게 되고, 네트워크 속도에 의존적이라는 문제가 발생한다.
따라서 본 발명은 클라이언트 내의 실제 환경에서 실행된 프로세스는 내부망에만 접근이 되게 하고, 상기 클라이언트 가상화를 통해서 생성된 가상 환경에서 실행된 프로세스는 외부망에만 접근이 되게 함으로써 논리적 망분리가 가능한 기술을 제공하고자 한다.
본 발명의 일 견지에 따르면, 가상화 기반 망분리 방법에 있어서, 클라이언트 내 실제 운영체제와 논리적으로 분리되는 가상 환경을 생성하는 과정과, 소정의 프로세스 실행 시 상기 프로세스의 네트워크 연결시도 여부를 확인하여 네트워크 연결을 시도하고자 하는 프로세스를 식별하는 과정과, 상기 식별된 프로세스가 실제 운영체제 혹은 상기 생성된 가상환경 내에서 실행된 프로세스 여부에 따라 NIC 선택기의 제어에 의해 미리 설정된 네트워크 인터페이스로 연결되는 과정과, VPN 서버에서 외부망으로 네트워크 연결을 수행하는 과정을 포함함을 특징으로 한다.
본 발명의 다른 견지에 따르면, 가상화 기반 망분리 시스템에 있어서, 클라이언트 내 실제 운영체제와 논리적으로 분리되는 가상 환경을 생성하고, 소정의 프로세스 실행 시 상기 프로세스의 네트워크 연결시도 여부를 확인하여 네트워크 연결을 시도하고자 하는 프로세스를 식별하고, 상기 식별된 프로세스가 실제 운영체제 혹은 상기 생성된 가상환경 내에서 실행된 프로세스 여부에 따라 NIC 선택기의 제어에 의해 미리 설정된 네트워크 인터페이스로 연결되고, VPN 서버에서 외부망으로 네트워크 연결을 수행하는 것을 포함함을 특징으로 한다.
본 발명은 내부망에 연결되는 다수의 클라이언트 단말에 외부망 접속을 위한 가상환경을 생성하여 논리적으로 망분리를 수행하여 데이터를 각각의 해당하는 외부망 혹은 내부망으로 분리하여 전송시킴으로써 인터넷 등의 외부망과 내부망을 물리적으로 분리시키지 않고도 네트워크의 최소한의 변경만으로 망분리가 가능하여 외부로부터의 해킹 또는 내부자에 의한 고의적 정보 유출 등의 위협을 제거하고, 기존 시스템의 활용으로 망분리 환경을 용이하게 구축하는 기술을 제공하고자 한다.
도 1은 본 발명의 일 실시 예에 따른 가상화 기반 망분리 방법에 관한 개략적인 흐름도.
도 2는 본 발명의 일 실시 예에 따른 가상화 기반 망분리 시스템의 구성을 보인 도면.
이하 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기 설명에서는 구체적인 구성 소자 등과 같은 특정 사항들이 나타나고 있는데 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐 이러한 특정 사항들이 본 발명의 범위 내에서 소정의 변형이나 혹은 변경이 이루어질 수 있음은 이 기술 분야에서 통상의 지식을 가진 자에게는 자명하다 할 것이다.
본 발명은 가상화 기반 망분리에 관한 것으로, 보다 상세하게는 내부망에 연결되는 다수의 클라이언트 단말에 외부망 접속을 위한 가상환경을 생성하고, 상기 가상환경 내에서 실행된 프로세스는 외부망에만 접근이 되게 하고, 상기 클라이언트 단말 내의 실제 환경에서 실행된 프로세스는 내부망에만 접근이 되게 함으로써 논리적으로 망분리를 수행하여 데이터를 각각의 해당하는 외부망 혹은 내부망으로 분리하여 전송시킴으로써 인터넷 등의 외부망과 내부망을 물리적으로 분리시키지 않고도 네트워크의 최소한의 변경만으로 망분리가 가능하여 외부로부터의 해킹 또는 내부자에 의한 고의적 정보 유출 등의 위협을 제거하고, 기존 시스템의 활용으로 망분리 환경을 용이하게 구축하는 기술을 제공하고자 한다.
이하, 본 발명의 일 실시 예에 따른 가상화 기반 망분리 방법에 관해 도 1을 참조하여 자세히 살펴보기로 한다.
도 1은 본 발명의 일 실시 예에 따른 가상화 기반 망분리 방법에 관한 개략적인 흐름도이다.
도 1을 참조하면, 110 과정에서는 클라이언트 내 실제 운영체제와 논리적으로 분리되는 가상 환경을 생성한다.
상기 클라이언트는 외부망 접속을 위한 가상환경을 생성하고, 상기 가상환경 내에서 실행된 프로세스는 외부망에만 접근이 되게 하고, 상기 클라이언트 내의 실제 환경에서 실행된 프로세스는 내부망에만 접근이 되게 한다.
112 과정에서 클라이언트 내 소정의 프로세스를 실행하면, 114 과정에서 상기 실행된 프로세스의 네트워크 연결 시도여부를 확인한다. 상기 확인 결과 네트워크 연결을 시도하고자 하는 경우, 116 과정으로 이동하여 해당 프로세스를 식별한다.
118 과정에서는 상기 116 과정에서 식별된 프로세스가 실제 운영체제 혹은 상기 생성된 가상 환경 내에서 실행된 프로세스 여부를 체크한다.
118 과정에서의 체크 결과, 상기 식별된 프로세스가 클라이언트 내 실제 운영체제에서 실행된 프로세스인 경우 NIC(Network Interface Card) 선택부의 제어에 의해 물리 NIC으로 패킷이 보내진다.
120 과정에서 물리 NIC은 패킷을 전송한다. 이때, 만약 패킷의 목적지 IP 주소가 내부망인 경우에는, 상기 물리 NIC이 내부망에 연결되어 있으므로, 내부망으로 네트워크 연결이 정상적으로 이루어진다. 만약 패킷의 목적지 IP가 외부망 IP 주소인 경우에는, 물리 NIC이 내부망에만 연결되어 있으므로, 외부망으로 네트워크 연결이 이루어지지 않는다.
118 과정에서의 체크 결과, 상기 식별된 프로세스가 클라이언트 내 가상 환경 내에서 실행된 가상 프로세스인 경우 NIC(Network Interface Card) 선택부의 제어에 의해 가상 NIC으로 패킷이 보내진다.
122 과정에서 가상 NIC은 TCP/IP로 부터 받은 패킷에 대해서 패킷 터널링을 수행하여, 물리 NIC으로 보낸다. 이때, 터널링된 패킷의 목적지 IP 주소는 VPN 서버 IP 주소이다.
124 과정에서 물리 NIC은 VPN 서버로 터널링 패킷을 전송한다.
126 과정에서 VPN 서버는 패킷을 수신한다. 이후, 128 과정에서 수신된 패킷의 터널링(tunneling) 여부를 검사하여, 수신된 패킷이 터널링 패킷이 아니면 130 과정을 수행하고, 수신된 패킷이 터널링 패킷이면 132 과정을 수행한다.
130 과정에서 수신된 패킷이 터널링 패킷이 아니므로, 클라이언트 내 가상 환경 내에서 실행된 가상 프로세스에서 보낸 패킷이 아니다. 따라서 수신된 패킷을 차단한다.
132 과정에서 수신된 패킷이 터널링 패킷이므로, 클라이언트 내 가상 환경 내에서 실행된 가상 프로세스에서 보낸 패킷이다. 따라서 디캡슐화를 수행한다.
이후, 134 과정에서 디캡슐화된 패킷으로부터 고유 목적지 IP 주소를 획득하고, 136 과정에서 상기 획득된 목적지 IP 주소가 외부망이 아닌 경우 138 과정에서 네트워크 연결을 차단하고, 상기 획득된 목적지 IP 주소가 외부망인 경우 140 과정에서 네트워크 연결을 수행한다.
이상에서는 본 발명의 일 실시 예에 따른 가상화 기반 망분리 방법에 대해서 살펴보았다.
이하, 본 발명의 일 실시 예에 따른 가상화 기반 망분리 시스템에 관해 도 2를 참조하여 자세히 살펴보기로 한다.
도 2는 본 발명의 일 실시 예에 따른 가상화 기반 망분리 시스템의 구성을 보인 도면이다.
도 2를 참조하면, 본 발명이 적용된 시스템(200)은 클라이언트 단말(210)과, 내부망(228), VPN 서버(230) 및 외부망(232)를 포함한다.
상기 클라이언트 단말(210)은 실제 운영체제(216)와 논리적으로 분리되는 가상 환경(214)을 생성하고, 소정의 프로세스 실행 시 상기 프로세스의 네트워크 연결시도 여부를 확인하여 네트워크 연결을 시도하고자 하는 프로세스를 식별하고, 상기 식별된 프로세스가 실제 운영체제 내에서 실행된 프로세스인 경우, NIC(Network Interface Card) 선택부(220)의 제어에 의해 물리 NIC(226)으로 연결하여, 내부망(228)으로 네트워크 연결을 수행하고, 상기 식별된 프로세스가 가상 환경(214) 내에서 실행된 프로세스인 경우, 상기 NIC(Network Interface Card) 선택부(220)의 제어에 의해 가상 NIC(224)으로 연결하여, VPN 서버(230)를 통해서 외부망(232)으로 네트워크 연결을 수행한다.
상기 클라이언트(210)은 실제 운영체제(216) 하에 실행되는 다수의 프로세스와 상기 실제 운영체제(216)와 논리적으로 분리된 가상환경(214) 하에 실행되는 다수의 프로세스를 관리하는 작업 관리부(212)와, 상기 클라이언트(210) 내에서 실행된 프로세스의 타입에 따라 네트워크 연결을 위한 로컬 IP를 미리 설정된 NIC의 IP 주소로 TCP/IP부(222)에게 설정하는 NIC(Network Interface Card) 선택부(220)와, 상기 NIC 선택부(220)에서 설정된 네트워크 연결을 위한 로컬 IP 주소를 이용하여 라우팅 테이블에서 네트워크 연결을 위한 NIC으로 패킷을 보내는 TCP/IP부(222)를 포함하는 제어부(218)와, TCP/IP부(222)로 받은 패킷에 대해서 패킷 터널링을 수행하여 물리 NIC(226)으로 보내는 가상 NIC(224)와, TCP/IP부(222)로부터 받은 패킷 또는 가상 NIC(224)부터 받은 패킷을 전송하는 물리 NIC(226)을 포함한다.
상기 NIC 선택부(220)는 현재 실행 중인 프로세스의 네트워크 연결시도 여부를 확인하여 네트워크 연결을 시도하고자 하는 프로세스를 식별하고, 상기 식별된 프로세스가 클라이언트 내 실제 운영체제(216)에서 실행된 프로세스인 경우, 네트워크 연결을 위한 로컬 IP를 물리 NIC(226)의 IP로 TCP/IP부(222)에 설정하여, TCP/IP부(222)를 통해 물리 NIC(226)으로 패킷을 보내도록 하고, 상기 식별된 프로세스가 클라이언트 내 가상 환경(214) 내에서 실행된 프로세스인 경우, 네트워크 연결을 위한 로컬 IP를 가상 NIC(224)의 IP로 TCP/IP부(222)에 설정하여, 상기 TCP/IP부(222)를 통해 가상 NIC(224)으로 패킷을 보내도록 한다.
상기 TCP/IP부(222)는 NIC 선택부(220)에서 설정된 네트워크 연결을 위한 로컬 IP 주소를 이용하여 라우팅 테이블에서 네트워크 연결을 위한 NIC으로 패킷을 보낸다. 만약 네트워크 연결을 위한 로컬 IP 주소가 물리 NIC(226)의 로컬 IP 주소이면, 상기 물리 NIC(226)으로 패킷을 보내고, 만약 네트워크 연결을 위한 로컬 IP 주소가 상기 가상 NIC(224)의 로컬 IP 주소이면, 상기 가상 NIC(224)으로 패킷을 보낸다.
상기 가상 NIC(224)은 상기 TCP/IP부(222)로 받은 패킷에 대해서 패킷 터널링을 수행하여 상기 물리 NIC(226)으로 보낸다. 이때, 터널링된 패킷의 목적지 IP 주소는 VPN 서버(230) IP 주소이다.
상기 물리 NIC(226)은 TCP/IP부(222)로부터 받은 패킷 또는 상기 가상 NIC부(224)터 받은 패킷을 전송한다. 상기 TCP/IP부(222)로 부터 받은 패킷 전송인 경우에, 만약 패킷의 목적지 IP 주소가 내부망인 경우에는, 물리 NIC(226)이 내부망(228)에 연결되어 있으므로, 상기 내부망(228)으로 네트워크 연결이 정상적으로 이루어진다. 만약 패킷의 목적지 IP가 외부망(232) IP 주소인 경우에는, 상기 물리 NIC(226)이 내부망(228)에만 연결되어 있으므로, 외부망(232)으로 네트워크 연결이 이루어지지 않는다.
상기 가상 NIC(224)로부터 받은 패킷 전송인 경우에, 패킷이 터널링된 패킷이고 목적지 IP 주소가 VPN 서버(230) IP 주소이므로, 내부망(228)으로 전송이 안되고, VPN 서버(230)로 전송이 이루어진다.
상기 VPN 서버(230)는 패킷을 수신하여 수신된 패킷의 터널링(tunneling) 여부를 검사하여, 수신된 패킷이 터널링 패킷이 아니면 패킷을 차단하고, 터널링 패킷이면 디캡슐화하여 패킷으로부터 고유 목적지 IP 주소를 획득하고, 획득된 목적지 IP 주소가 외부망(232)이 아닌 경우 네트워크 연결을 차단하고, 획득된 목적지 IP 주소가 외부망(232)인 경우 네트워크 연결을 수행한다.
상기와 같이 본 발명에 따른 가상화 기반 망분리 방법 및 시스템에 관한 동작이 이루어질 수 있으며, 한편 상기한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나 여러 가지 변형이 본 발명의 범위를 벗어나지 않고 실시될 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 청구범위와 청구범위의 균등한 것에 의하여 정하여져야 할 것이다.
210: 클라이언트 단말 228: 내부망
230: VPN 서버 232: 외부망

Claims (18)

  1. 가상화 기반 망분리 방법에 있어서,
    클라이언트 내 실제 운영체제와 논리적으로 분리되는 가상 환경을 생성하는 과정과,
    소정의 프로세스 실행 시 상기 프로세스의 네트워크 연결 시도여부를 확인하여 네트워크 연결을 시도하고자 하는 프로세스를 식별하는 과정과,
    상기 식별된 프로세스가 실제 운영체제 혹은 상기 생성된 가상환경 내에서 실행된 프로세스 여부에 따라 선택 제어 신호에 의해 라우팅되어 TCP/IP를 통해 미리 설정된 네트워크 인터페이스로 연결되는 과정과,
    상기 프로세스에 할당된 IP 주소의 망 타입에 따라 네트워크 연결 여부를 결정하는 과정을 포함함을 특징으로 하는 가상화 기반 망분리 방법.
  2. 제1항에 있어서,
    상기 식별된 프로세스가 클라이언트 내 실제 운영체제에서 실행된 프로세스인 경우 NIC(Network Interface Card) 선택부에 의해 라우팅되어 TCP/IP를 통해 내부망에 연결된 물리 NIC로 네트워크 연결됨을 특징으로 하는 가상화 기반 망분리 방법.
  3. 제1항에 있어서,
    상기 식별된 프로세스가 가상환경 내에서 실행된 가상 프로세스인 경우 NIC(Network Interface Card) 선택부에 의해 라우팅되어 TCP/IP를 통해 가상 NIC로 네트워크 연결됨을 특징으로 하는 가상화 기반 망분리 방법.
  4. 제1항에 있어서, 상기 가상환경 내에서 실행된 프로세스는 외부망에만 접근 가능함을 특징으로 하는 가상화 기반 망분리 방법.
  5. 제1항에 있어서, 상기 클라이언트 내 실제 운영체제에서 실행된 프로세스는 내부망에만 접근 가능함을 특징으로 하는 가상화 기반 망분리 방법.
  6. 제3항에 있어서, 상기 가상 NIC는,
    패킷의 터널링을 수행하고, 상기 터널링된 패킷은 내부망에 연결된 물리 NIC로 네트워크 연결됨을 특징으로 하는 가상화 기반 망분리 방법.
  7. 제6항에 있어서, 상기 터널링된 패킷의 목적지 IP 주소에 해당하는 VPN 서버에서 상기 터널링된 패킷들 내에 네크워크 프로토콜을 디캡슐화하여 고유 목적지 IP 주소를 획득하고, 상기 획득된 고유 목적지 IP 주소가 외부망인 경우 네트워크 연결을 수행하고, 내부망 혹은 VPN 서버인 경우 네트워크 연결을 중단함을 특징으로 하는 가상화 기반 망분리 방법.
  8. 제1항에 있어서, 상기 망 타입은,
    내부망 및 외부망을 포함하는 것으로, 하나의 망으로 구축되어 클라이언트에 부여된 서로 다른 IP를 통해 상기 클라이언트에서 선택적으로 연결됨을 특징으로 하는 가상화 기반 망분리 방법.
  9. 제1항에 있어서, 상기 프로세스는,
    상기 프로세스에서 처리하는 정보 특성에 따른 정책에 따라 망 타입별로 접근 가능하도록 네트워크 망 접근 권한이 미리 할당됨을 특징으로 하는 가상화 기반 망분리 방법.
  10. 가상화 기반 망분리 시스템에 있어서,
    실제 운영체제와 논리적으로 분리되는 가상 환경을 생성하고, 소정의 프로세스 실행 시 상기 프로세스의 네트워크 연결시도 여부를 확인하여 네트워크 연결을 시도하고자 하는 프로세스를 식별하고, 상기 식별된 프로세스가 실제 운영체제 혹은 상기 생성된 가상환경 내에서 실행된 프로세스 여부에 따라 선택 제어 신호에 의해 라우팅되어 TCP/IP를 통해 미리 설정된 네트워크 인터페이스로 연결되도록 제어하고, 상기 프로세스에 할당된 IP 주소의 망 타입에 따라 네트워크 연결 여부를 결정하는 클라이언트 단말과,
    네트워크를 통해 상기 클라이언트 단말이 통신을 수행하도록 하나의 네트워크로 구축되어 상기 클라이언트에 부여된 서로 다른 IP를 통해 상기 클라이언트에서 선택적으로 연결되는 내부망 및 외부망과,
    상기 외부망에 연결된 VPN 서버를 포함함을 특징으로 하는 가상화 기반 망분리 시스템.
  11. 제10항에 있어서, 상기 클라이언트는,
    실제 운영체제 하에 실행되는 다수의 프로세스와 상기 실제 운영체제와 논리적으로 분리된 가상환경 하에 실행되는 다수의 프로세스를 관리하는 작업 관리부와,
    상기 클라이언트 내에서 실행된 프로세스의 타입에 따라 네트워크 연결을 위한 로컬 IP를 미리 설정된 NIC(Network Interface Card)의 IP로 TCP/IP부에게 설정하는 NIC 선택부와,
    상기 NIC 선택부에서 설정된 네트워크 연결을 위한 로컬 IP 주소를 이용하여 라우팅 테이블에서 네트워크 연결을 위한 상기 NIC로 패킷을 보내는 TCP/IP부로 구성된 제어부와,
    상기 TCP/IP부로부터 수신된 패킷에 대해서 패킷 터널링을 수행하여 내부망에 연결된 물리 NIC으로 출력하는 가상 NIC와,
    상기 TCP/IP부로부터 받은 패킷 또는 상기 가상 NIC로부터 받은 패킷을 전송하는 물리 NIC를 포함함을 특징으로 하는 가상화 기반 망분리 시스템.
  12. 제11항에 있어서, 상기 NIC 선택부는,
    현재 실행 중인 프로세스의 네트워크 연결시도 여부를 확인하여 네트워크 연결을 시도하고자 하는 프로세스를 식별하고, 상기 식별된 프로세스가 클라이언트 내 실제 운영체제에서 실행된 프로세스인 경우, 네트워크 연결을 위한 로컬 IP를 상기 물리 NIC의 IP로 상기 TCP/IP부에 설정하여, 상기 TCP/IP부를 통해 상기 물리 NIC으로 패킷을 보내도록 제어함을 특징으로 하는 가상화 기반 망분리 시스템.
  13. 제11항에 있어서, 상기 NIC 선택부는,
    상기 식별된 프로세스가 클라이언트 내 가상 환경 내에서 실행된 프로세스인 경우, 네트워크 연결을 위한 로컬 IP를 상기 가상 NIC의 IP로 상기 TCP/IP부에 설정하여, 상기 TCP/IP부를 통해 가상 NIC(224)으로 패킷을 보내도록 제어함을 특징으로 하는 가상화 기반 망분리 시스템.
  14. 제11항에 있어서, 상기 TCP/IP부는,
    상기 NIC 선택부에서 설정된 네트워크 연결을 위한 로컬 IP 주소를 이용하여 라우팅 테이블에서 네트워크 연결을 위한 로컬 IP 주소가 상기 물리 NIC의 로컬 IP 주소이면, 상기 물리 NIC으로 패킷을 보내고, 상기 가상 NIC(224)의 로컬 IP 주소이면, 상기 가상 NIC(224)으로 패킷을 전송함을 특징으로 하는 가상화 기반 망분리 시스템.
  15. 제11항에 있어서, 상기 가상 NIC는,
    상기 TCP/IP부로부터 수신된 패킷에 대해서 패킷 터널링을 수행하여 상기 물리 NIC로 전송함을 특징으로 하는 가상화 기반 망분리 시스템.
  16. 제11항에 있어서, 상기 물리 NIC는,
    상기 TCP/IP로부터 받은 패킷 또는 상기 가상 NIC부로부터 받은 패킷을 전송하는 것으로, 상기 패킷의 목적지 IP 주소가 내부망인 경우 연결된 내부망으로 네트워크 연결이 수행되고, 상기 패킷의 목적지 IP가 외부망 IP 주소인 경우 외부망으로 네트워크 연결이 차단됨을 특징으로 하는 가상화 기반 망분리 시스템.
  17. 제11항에 있어서, 상기 물리 NIC는,
    상기 가상 NIC로부터 받은 패킷 전송인 경우 목적지 IP 주소가 VPN 서버 IP 주소를 갖는 패킷이 터널링된 패킷이고, 상기 패킷은 내부망 전송이 차단되고, 상기 VPN 서버로 전송을 수행함을 특징으로 하는 가상화 기반 망분리 시스템.
  18. 제10항에 있어서, 상기 VPN 서버는,
    상기 클라이언트로부터 패킷을 수신하여 수신된 패킷의 터널링(tunneling) 여부를 검사하여, 수신된 패킷이 터널링 패킷이 아니면 패킷을 차단하고, 터널링 패킷이면 디캡슐화하여 패킷으로부터 고유 목적지 IP 주소를 획득하고, 상기 획득된 목적지 IP 주소가 외부망이 아닌 경우 네트워크 연결을 차단하고, 상기 획득된 목적지 IP 주소가 외부망인 경우 네트워크 연결을 수행함을 특징으로 하는 가상화 기반 망분리 시스템.
KR1020120030703A 2012-03-26 2012-03-26 가상화 기반 망분리 시스템 및 방법 KR101290963B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120030703A KR101290963B1 (ko) 2012-03-26 2012-03-26 가상화 기반 망분리 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120030703A KR101290963B1 (ko) 2012-03-26 2012-03-26 가상화 기반 망분리 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101290963B1 true KR101290963B1 (ko) 2013-07-30

Family

ID=48998261

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120030703A KR101290963B1 (ko) 2012-03-26 2012-03-26 가상화 기반 망분리 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101290963B1 (ko)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101480443B1 (ko) * 2013-09-17 2015-01-09 주식회사 하나은행 하이브리드 망 분리 시스템 및 그 방법
KR101498655B1 (ko) * 2014-01-13 2015-03-05 주식회사 윈스 트래픽 분산 제어 서비스 제공 방법 및 장치
WO2017044377A1 (en) * 2015-09-09 2017-03-16 Honeywell International Inc. System and method for scalable and efficient deployment of wireless infrastructure nodes for multiple collocated wireless field device networks
KR20180051720A (ko) 2016-11-08 2018-05-17 (주) 퓨전데이타 웹 가상화 시스템 및 서비스 방법
KR102094316B1 (ko) * 2019-08-14 2020-03-27 주식회사 이나시스템즈 계정전환 망 분리시스템
KR102094315B1 (ko) * 2019-08-14 2020-03-27 주식회사 이나시스템즈 계정별 ap 할당 기반 망분리 시스템
KR20200044708A (ko) * 2018-10-19 2020-04-29 주식회사 펜터다임 네트워크 선별형 물리적 망분리 듀얼 시스템
CN114221812A (zh) * 2021-12-15 2022-03-22 合肥赛猊腾龙信息技术有限公司 利用网络环境信任程度技术选择数据防泄露策略的方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110100839A (ko) * 2010-03-05 2011-09-15 주식회사 안철수연구소 클라이언트 가상화를 이용한 서버의 논리적 망분리 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110100839A (ko) * 2010-03-05 2011-09-15 주식회사 안철수연구소 클라이언트 가상화를 이용한 서버의 논리적 망분리 시스템 및 방법

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101480443B1 (ko) * 2013-09-17 2015-01-09 주식회사 하나은행 하이브리드 망 분리 시스템 및 그 방법
KR101498655B1 (ko) * 2014-01-13 2015-03-05 주식회사 윈스 트래픽 분산 제어 서비스 제공 방법 및 장치
WO2017044377A1 (en) * 2015-09-09 2017-03-16 Honeywell International Inc. System and method for scalable and efficient deployment of wireless infrastructure nodes for multiple collocated wireless field device networks
US9917902B2 (en) 2015-09-09 2018-03-13 Honeywell International Inc. System and method for scalable and efficient deployment of wireless infrastructure nodes for multiple collocated wireless field device networks
KR20180051720A (ko) 2016-11-08 2018-05-17 (주) 퓨전데이타 웹 가상화 시스템 및 서비스 방법
KR20200044708A (ko) * 2018-10-19 2020-04-29 주식회사 펜터다임 네트워크 선별형 물리적 망분리 듀얼 시스템
KR102195492B1 (ko) * 2018-10-19 2021-01-06 주식회사 펜터다임 네트워크 선별형 물리적 망분리 듀얼 시스템
KR102094316B1 (ko) * 2019-08-14 2020-03-27 주식회사 이나시스템즈 계정전환 망 분리시스템
KR102094315B1 (ko) * 2019-08-14 2020-03-27 주식회사 이나시스템즈 계정별 ap 할당 기반 망분리 시스템
CN114221812A (zh) * 2021-12-15 2022-03-22 合肥赛猊腾龙信息技术有限公司 利用网络环境信任程度技术选择数据防泄露策略的方法
CN114221812B (zh) * 2021-12-15 2024-02-09 合肥赛猊腾龙信息技术有限公司 利用网络环境信任程度技术选择数据防泄露策略的方法

Similar Documents

Publication Publication Date Title
KR101290963B1 (ko) 가상화 기반 망분리 시스템 및 방법
US10798063B2 (en) Enterprise grade security for integrating multiple domains with a public cloud
EP3143714B1 (en) Method to enable deep packet inspection (dpi) in openflow-based software defined network (sdn)
EP2798768B1 (en) System and method for cloud based scanning for computer vulnerabilities in a network environment
US9118716B2 (en) Computer system, controller and network monitoring method
US20190250938A1 (en) Computer system architecture and computer network infrastructure including a plurality of such computer system architectures
US11252183B1 (en) System and method for ransomware lateral movement protection in on-prem and cloud data center environments
JP2018506211A (ja) 仮想ネットワークをモニタリングするシステム及び方法
EP3343838B1 (en) Utilizing management network for secured configuration and platform management
US10484418B2 (en) Systems and methods for updating security policies for network traffic
KR20170024032A (ko) 소프트웨어 정의 네트워크에서의 보안
US11303669B1 (en) System and method for tunneling endpoint traffic to the cloud for ransomware lateral movement protection
US20190132345A1 (en) Apparatus for network function virtualization using software defined networking and operation method thereof
EP3525407B1 (en) Device and method of forwarding data packets in a virtual switch of a software-defined wide area network environment
JP5928197B2 (ja) ストレージシステム管理プログラム及びストレージシステム管理装置
KR101286015B1 (ko) 가상화 시스템 환경의 다수 가상머신들 사이의 보안감사서비스시스템 및 보안감사서비스 제어방법
CN106797378B (zh) 用于控制通信网络的装置和方法
US20150200949A1 (en) Computer Network Access Control
WO2023085791A1 (ko) 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US8762513B2 (en) Network adapter based zoning enforcement
US20160094440A1 (en) Forwarding a packet by a nve in nvo3 network
KR101076683B1 (ko) 호스트 기반의 망분리 장치 및 방법
KR101420650B1 (ko) 가상 사설망을 이용한 네트워크 기반 망분리 시스템 및 방법
EP3180705B1 (en) End point secured network
KR101473607B1 (ko) 가상 사설망 접근 제어장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160718

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee