KR101323852B1 - 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법 - Google Patents
공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법 Download PDFInfo
- Publication number
- KR101323852B1 KR101323852B1 KR1020070070158A KR20070070158A KR101323852B1 KR 101323852 B1 KR101323852 B1 KR 101323852B1 KR 1020070070158 A KR1020070070158 A KR 1020070070158A KR 20070070158 A KR20070070158 A KR 20070070158A KR 101323852 B1 KR101323852 B1 KR 101323852B1
- Authority
- KR
- South Korea
- Prior art keywords
- security policy
- virtual
- firewall
- packet
- database
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명에 따른 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템은 외부로부터 패킷이 수신되면, 해당 패킷의 가상 보안 정책 모듈을 확인하는 보안 정책 판단부; 보안 정책이 저장된 공용 보안 정책 데이터베이스; 및 로컬 보안 정책 데이터베이스를 포함하고 있으며, 로컬 보안 정책 데이터베이스를 포함하고 있으며, 수신된 패킷에 대하여 공용 보안 정책 데이터베이스를 통한 보안 정책의 적용 여부를 확인한 후 공용 보안 정책 데이터베이스를 통해 보안 정책을 적용하면 로컬 보안 정책 데이터베이스를 적용하지 않는 적어도 하나 이상의 가상 보안 정책 모듈을 포함하는 것으로, 프로토콜 기반의 가상 방화벽에만 방화벽 정책이나 터널링 프로토콜 정책을 설정하면 모든 가상 방화벽에서 모두 적용 가능하게 되어 관리자의 설정이나 복구가 쉽고 편리한 것이다.
Description
본 발명은 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그 제어방법에 관한 것이다.
가상 방화벽 시스템은 프로토콜에 가상 방화벽을 확장시켜, IPv4와 IPv6를 지원하는 시스템의 보안 기능을 개선한 새로운 방법이다.
IPv4와 IPv6를 동시에 사용하는 듀얼 스택(Dual Stack)을 지원하는 보안 어플리케이션이 점차 증가하고 있다.
일반적으로 방화벽과 터널링 프로토콜(IPSec, L2TP, PPTP, GRE, IPinIP) 등을 동시에 사용하는 보안 어플리케이션 환경에 적합하다.
여기서, 가상 방화벽의 개념은 이미 몇몇의 상용 방화벽에서 소개된 바 있다. 이 가상 방화벽은 하나의 시스템에서 여러 개의 방화벽 환경으로 분리하여 사용할 수 있으며, 라우팅 프로토콜에서 사용되는 가상 라우터(Virtual Router)와 유사한 기능이다.
본래의 가상 방화벽이 유연한 개념일지라도, 각 가상 방화벽이 정의하는 정책(Policy)은 사용자로 하여금 혼란을 야기 할 수 있다.
게다가 복잡한 터널링 프로토콜과 같은 복잡하고 가상 방화벽과 직접적으로 관련이 없는 기능을 추가적으로 설정하려고 할 때는 보다 복잡성(Complexity)이 증가하게 된다.
많은 경우에 사용자는 실제 환경에서 가상 방화벽의 필요성이 없어도 복잡하게 얽힌 다른 터널링 프로토콜을 지원하기 위해 이것을 사용할 수밖에 없는 경우도 있다.
이러한 종래의 보안 기술은 고전적인 방화벽과 터널링 프로토콜이 서로 분리되어 있어 각기 별도의 모듈로 동작하는 방법과, 기존의 고전적인 방화벽과 터널링 프로토콜의 기능을 하나의 가상 방화벽에서 처리하고 이러한 가상 방화벽을 각 특성별로 정의하여 필요한 용도에 맞게 여러 개의 가상 방화벽을 설정하여 사용할 수 있는 기술이다.
그러나 종래의 보안 기술 중 고전적 방화벽은 터널링 프로토콜과 분리된 개념으로 터널링 프로토콜을 원활하게 처리하기 위해서는 방화벽을 처리하고 터널링 프로토콜 모듈을 호출하여 터널링 처리를 한 후 다시 방화벽을 처리하게 된다.
이 기술은 고전적 방화벽에는 터널링에 대한 정보가 없어 모든 패킷에 대해 반드시 터널링 적용이 필요한지 터널링 프로토콜 모듈을 호출해야 하므로 성능 상에 문제가 발생하게 된다.
이러한 문제로 도 1에 도시된 바와 같이 가상 방화벽과 터널링 프로토콜이 하나의 모듈 안에 전재하는 방화벽과 터널링 프로토콜의 기능을 처리하는 방식이 나오게 되었다.
그러나 방화벽과 터널링 프로토콜의 기능을 하나의 모듈에서 처리하는 기술은 가상 방화벽이 필요하지 않는 경우에도 터널링 프로토콜을 위해서는 불필요한 장비 설정이 필요하게 되며, 터널링 프로토콜의 정책들을 모든 가상 방화벽에 설정해야하며, 변경이 필요하면 각각 모든 가상 방화벽의 터널링 프로토콜의 정책을 변경해야 하는 문제점이 있었다.
따라서 본 발명은 상기와 같은 종래의 문제점을 해결하기 위한 것으로서, 본 발명의 목적은 사용자에 의해 다양한 환경에 맞게 고전적 방화벽, 가상 방화벽 기능을 유동적으로 적용할 수 있는 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그 제어방법을 제공하는 데 있다.
상기한 목적을 달성하기 위한 본 발명에 따른 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템의 일 측면에 따르면, 외부로부터 패킷이 수신되면, 해당 패킷의 가상 보안 정책 모듈을 확인하는 보안 정책 판단부; 보안 정책이 저장된 공용 보안 정책 데이터베이스; 및 로컬 보안 정책 데이터베이스를 포함하고 있으며, 수신된 패킷에 대하여 공용 보안 정책 데이터베이스를 통한 보안 정책의 적용 여부를 확인한 후 공용 보안 정책 데이터베이스를 통해 보안 정책을 적용하면 로컬 보안 정책 데이터베이스를 적용하지 않는 적어도 하나 이상의 가상 보안 정책 모듈을 포함한다.
상기 가상 보안 정책 모듈은, 공용 보안 정책 데이터베이스를 통해 보안 정책을 적용하지 않을 경우 로컬 보안 정책을 적용하여 패킷을 라우팅한다.
그리고 상기 공용 보안 정책 데이터베이스와 로컬 보안 정책 데이터베이스는, 방화벽 정책 데이터베이스와, 터널링 정책 데이터베이스를 각각 포함하며, IPv4와 IPv6를 적용한 방화벽 정책 데이터베이스와 터널링 정책 데이터베이스를 각각 포함한다.
본 발명에 따른 공용 보안 정책을 기반으로 하는 가상 방화벽 제어방법의 일 측면에 따르면, 보안 시스템의 보안 정책 판단부가 외부로부터 패킷이 수신되면 해당 패킷의 가상 보안 정책 모듈을 확인하는 단계; 해당 가상 보안 정책 모듈이 수신된 패킷에 대하여 공용 보안 정책 데이터베이스를 통한 보안 정책 적용 여부를 판단하는 단계; 및 수신된 패킷에 대하여 상기 공용 보안 정책 데이터베이스를 통한 보안 정책 적용 여부를 판단하는 단계에서 공용 보안 정책 데이터베이스를 통해 패킷의 보안 정책 적용이 가능하면, 상기 가상 보안 정책 모듈이 공용 보안 정책 데이터베이스를 통해 패킷의 보안 정책을 적용한 후 패킷을 라우팅하는 단계를 포함한다.
여기서 상기 가상 보안 정책 모듈이 패킷을 라우팅 하는 단계는, 가상 방화벽 프로세스와 가상 터널링 프로세스를 방화벽 기능과 터널링 기능을 선택적으로 적용한다.
상기 공용 보안 정책 데이터베이스를 통한 패킷의 보안 정책 적용 여부를 판단하는 단계에서 공용 보안 정책 데이터베이스를 통해 패킷의 보안 정책을 적용하지 않으면, 상기 가상 보안 정책 모듈이 로컬 보안 정책 데이터베이스를 통해 패킷의 보안 정책을 적용하여 패킷을 라우팅하는 단계를 포함한다.
여기서 상기 공용 보안 정책 데이터베이스와 로컬 보안 정책 데이터베이스 는, 방화벽 정책 데이터베이스와, 터널링 정책 데이터베이스를 각각 포함하며, IPv4와 IPv6를 적용한 방화벽 정책 데이터베이스와 터널링 정책 데이터베이스를 각각 포함한다.
상술한 바와 같이 본 발명에 의한 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그 제어방법에 의하면, 프로토콜 기반의 가상 방화벽에만 터널링 프로토콜을 설정할 경우 가상 방화벽 없이 사용할 수 있기 때문에 가상 방화벽 내에서 방화벽 기능과 터널링 프로토콜의 기능을 동시에 지원하면서 발생되는 문제점을 보완하는 효과가 있다.
또한 프로토콜 기반의 가상 방화벽에만 방화벽 정책이나 터널링 프로토콜 정책을 설정하면 모든 가상 방화벽에서 모두 적용 가능하게 되어 관리자의 설정이나 복구가 쉽고 편리한 효과가 있다.
전역적 정책 설정과 지역적 정책 설정이 가능함으로써 종래 가상 방화벽 시스템 보다 유연하고 사용자의 선택적인 기능 제공이 가능하게 되는 효과가 있다.
이하, 본 발명에 따른 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그 제어방법에 대한 바람직한 실시 예에 대하여 첨부한 도면을 참조하여 상세하게 살펴보기로 한다. 이 때, 아래에서 설명하는 시스템 구성은 본 발명의 설명 을 위해서 인용한 시스템으로써 아래 시스템으로 본 발명을 한정하지 않음을 이 분야의 통상의 지식을 가진 자라면 이해해야할 것이다.
도 2는 본 발명에 따른 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템의 구성을 나타낸 도면으로서, 본 발명에 따른 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템은 보안 정책 판단부(100), 공용 보안 정책 데이터베이스(200) 및 로컬 보안 정책 데이터베이스(400)를 포함하고 있으며 적어도 하나 이상의 가상 보안 정책 모듈(300)을 포함한다. 한편, 상기 공용 보안 정책 데이터베이스(200)는 제 1 방화벽 정책 데이터베이스(210), 제 1 터널링 정책 데이터베이스(220)를 포함하고 있으며, 상기 제 1 방화벽 정책 데이터베이스(210)는 IPv6 제 1 방화벽 정책 데이터베이스(211), 및 IPv4 제 1 방화벽 정책 데이터베이스(212)를 각각 포함한다. 그리고 제 1 터널링 정책 데이터베이스(220)는 IPv6 제 1 터널링 정책 데이터베이스(221)와 IPv4 제 1 터널링 정책 데이터베이스(222)를 각각 포함한다.
그리고 상기 가상 보안 정책 모듈(300)은 가상 방화벽 프로세스(310)와 가상 터널링 프로세스(320)를 포함한다.
한편, 상기 가상 보안 정책 모듈(300)의 로컬 보안 정책 데이터베이스(400)는, 제 2 방화벽 정책 데이터베이스(410), 제 2 터널링 정책 데이터베이스(420)를 포함한다. 그리고 상기 제 2 방화벽 정책 데이터베이스(410)는 IPv6 제 2 방화벽 정책 데이터베이스(411)와 IPv4 제 2 방화벽 정책 데이터베이스(412)를 각각 포함하며, 제 2 터널링 정책 데이터베이스(420)는 IPv6 제 2 터널링 정책 데이터베이스(421)와 IPv4 제 2 터널링 정책 데이터베이스(422)를 각각 포함한다.
상기 보안 정책 판단부(100)는 외부로부터 패킷이 수신되면 해당 패킷의 가상 보안 정책 모듈(300)을 확인한다.
즉, 상기 보안 정책 판단부(100)는 가상 보안 정책 모듈의 정보를 포함하는 테이블(도시되지 않음)을 포함하고 있다.
상기 테이블은 출발지의 IP 주소, 목적지의 IP 주소와 가상 보안 정책 모듈(300)이 매칭되어 있다.
따라서 상기 보안 정책 판단부(100)는 수신되는 패킷의 출발지 IP 주소 또는 목적지 IP 주소를 확인한 후 매칭되는 가상 보안 정책 모듈(300)을 선택한다.
그리고 적어도 하나 이상의 가상 보안 정책 모듈(300)은 로컬 보안 정책 데이터베이스(400)를 포함하고 있으며, 상기 보안 정책 판단부(100)를 통해 수신된 패킷은 공용 보안 정책 데이터베이스(200)를 통해 보안 정책의 적용 여부를 확인한 후 로컬 보안 정책을 적용하여 처리한다.
여기서 상기 가상 보안 정책 모듈(300)은, 공용 보안 정책 데이터베이스(200)를 통해 패킷의 보안 정책이 적용되면 로컬 보안 정책은 적용하지 않고 패킷을 라우팅 한다.
이러한 상기 가상 보안 정책 모듈(300)은 가상 방화벽 프로세스(310)와 가상 터널링 프로세스(320)를 포함한다.
상기한 각 구성들에 대한 일반적인 기능 및 각각의 상세한 동작에 대하여는 그 설명을 생략하고, 본 발명에 상응하는 동작 위주로 그 동작들을 설명하기로 한 다.
먼저, 보안 정책이 저장된 공용 보안 정책 데이터베이스(200)와 로컬 보안 정책 데이터베이스(400)를 포함하는 적어도 하나 이상의 보안 정책 모듈이 구성되며, 상기 공용 보안 정책 데이터베이스(200)는, 제 1 방화벽 정책 데이터베이스(210)와, 제 1 터널링 정책 데이터베이스(220)를 포함한다.
그러면, 상기 보안 정책 판단부(100)의 테이블은 아래 [표 1]과 같다.
출발지 IP 주소 | 목적지 IP 주소 | 가상 보안 정책 모듈 | 공용 보안 정책 데이터베이스 | |
1 | 169.100.100.001~169.100.100.099 | · | 제 1 모듈 | 0 |
2 | 169.100.100.100~169.100.100.199 | · | 제 2 모듈 | 1 |
... | ... | · | ... | ... |
n | · | 192.100.100.100~192.100.100.199 | 제 1 모듈 | 0 |
여기서, 가상 보안 정책 모듈은 방화벽과 터널링 정보를 독립적으로 적용될 수도 있다.
상기 테이블은 사설 IP 주소를 사용하는 사설 네트워크의 예이나, 공용 IP 주소를 적용할 수도 있다.
따라서 외부로부터 패킷이 수신되면, 상기 보안 정책 판단부(100)는 해당 패킷의 가상 보안 정책 모듈(300)을 확인한다.
만약, 상기 보안 정책 판단부(100)를 통해 적어도 하나 이상의 가상 보안 정책 모듈(300) 중 하나가 선택되면, 해당 가상 보안 정책 모듈(300)은 수신된 패킷을 공용 보안 정책 데이터베이스(200)를 통해 보안 정책의 적용 여부를 확인한 후 로컬 보안 정책을 적용하여 처리한다.
한편, 공용 보안 정책 데이터베이스(200)를 통해 패킷의 보안 정책이 적용되면 상기 가상 보안 정책 모듈(300)은 로컬 보안 정책은 적용하지 않고 패킷을 라우팅 한다.
그러면, 상기와 같은 구성을 가지는 본 발명에 따른 공용 보안 정책을 기반으로 하는 가상 방화벽 제어방법에 대해 도 3을 참조하여 설명하기로 한다.
먼저, 보안 시스템의 보안 정책 판단부(100)가 외부로부터 패킷이 수신되면 해당 패킷의 가상 보안 정책 모듈(300)을 확인한다(S1).
이어서, 해당 가상 보안 정책 모듈(300)이 공용 보안 정책 데이터베이스(200)를 통해 수신된 패킷의 보안 정책의 적용 여부를 판단한다(S2).
만약, 상기 공용 보안 정책 데이터베이스(200)를 통한 패킷의 보안 정책의 적용 여부를 판단하는 단계(S2)에서 공용 보안 정책 데이터베이스(200)를 통한 패킷의 보안 정책이 가능하면(YES), 상기 가상 보안 정책 모듈(300)은 공용 보안 정책 데이터베이스(200)를 통해 패킷의 보안 정책을 적용한 후 패킷을 라우팅 한다(S3). 여기서, 상기 가상 보안 정책 모듈(300)이 패킷을 라우팅 하는 단계(S3)는, 가상 방화벽 프로세스(310)와 가상 터널링 프로세스(320)를 방화벽 기능과 터널링 기능을 선택적으로 적용할 수 있다.
한편, 상기 공용 보안 정책 데이터베이스(200)를 통한 패킷의 보안 정책의 적용 여부를 판단하는 단계(S2)에서 공용 보안 정책 데이터베이스(200)를 통한 패킷의 보안 정책이 가능하지 않으면(NO), 상기 가상 보안 정책 모듈(300)은 로컬 보안 정책 데이터베이스(400)를 통해 패킷의 보안 정책을 적용하여 패킷을 라우팅 한다(S4).
하기에서는 사용자는 공용 보안 정책 데이터베이스(200)와 로컬 보안 정책 데이터베이스(400)의 설정을 변경함으로써 다양한 방화벽 및 터널링 프로토콜 기능을 제공하는 실시 예들을 살펴보기로 한다.
먼저, 가상 방화벽 기능은 없고 일반 방화벽 기능과 터널링 프로토콜만 설정한 경우에 대하여 도 4를 참조하여 설명한다.
먼저, 상기 보안 정책 판단부(100)를 통해 패킷이 수신되고 가상 보안 정책 모듈(300)이 확인(S110)되면, 해당 가상 보안 정책 모듈(300)은 공용 보안 정책 데이터베이스(200)를 통해 적용된 캐싱 패킷인지를 판단한다(S120).
여기서, 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)를 통해 적용된 캐싱 패킷이 아니면(NO), 상기 가상 보안 정책 모듈(300)의 가상 방화벽 프로세스(310)는 해당 패킷을 첫 번째 패킷으로 판단하여 상기 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)를 확인하여 보안 정책을 적용한다(S130).
상기 가상 보안 정책 모듈(300)의 가상 터널링 프로세스(320)는 제 1 터널링 정책 데이터베이스(220)를 통해 터널링 정책을 적용한다(S140).
해당 가상 보안 정책 모듈(300)은 공용 보안 정책 데이터베이스(200)를 통해 적용된 캐싱 패킷인지를 판단한다(S150).
여기서, 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)를 통해 적용된 캐싱 패킷이 아니면(NO), 상기 가상 보안 정책 모듈(300)의 가상 방화벽 프로세스(310)는 해당 패킷을 첫 번째 패킷으로 판단하여 상기 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)를 확인하여 보안 정책을 적용한다(S160).
상기 가상 보안 정책 모듈(300)의 가상 터널링 프로세스(320)는 제 1 터널링 정책 데이터베이스(220)를 통해 터널링 정책을 적용한다(S170).
이후, 상기 가상 방화벽 프로세스(310)는 상기 제 1 방화벽 정책 데이터베이스(210)를 통해 패킷의 통과 여부를 확인하여 통과 가능 패킷일 경우 패킷의 라우팅을 적용하는 한편, 통과할 수 없는 패킷일 경우 상기 가상 방화벽 프로세스(310)는 해당 패킷을 수신을 거부한다(S180).
한편, 상기 제 1 방화벽 정책 데이터베이스(210)는 IPv6 제 1 방화벽 정책 데이터베이스(211) 또는 IPv4 제 1 방화벽 정책 데이터베이스(212)를 이용할 수 있다.
가상 방화벽 모듈의 방화벽 기능만 설정된 경우에 대하여 도 5를 참조하여 설명한다.
먼저, 상기 가상 보안 정책 모듈(300)을 통해 가상 보안 정책 모듈(300)이 확인(S210)되면, 해당 가상 보안 정책 모듈(300)의 가상 방화벽 프로세스(310)는 수신된 패킷이 캐싱된 패킷인지를 판단한다(S220).
만약, 수신된 패킷이 캐싱되지 않은 패킷이면(no), 상기 가상 보안 정책 모듈(300)의 가상 방화벽 프로세스(310)는 처음 수신된 패킷으로 판단하여 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)의 방화벽 정책과 일치하는지의 여부를 판단한다(S230).
이때, 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)의 방화벽 정책과 일치할 경우(YES) 상기 가상 방화벽 프로세스(310)는 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)를 확인하여 패킷의 방화벽 정책을 적용한다(S240).
한편, 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)의 방화벽 정책과 일치하지 않을 경우(NO) 상기 가상 보안 정책 모듈(300)의 가상 방화벽 프로세스(310)는 로컬 보안 정책 데이터베이스(400)의 제 2 방화벽 정책 데이터베이스(410)를 확인하여 방화벽 정책을 패킷에 적용한다(S250).
이후, 패킷이 제 2 방화벽 정책 데이터베이스(410)의 방화벽 정책에 적용되어 통과될 경우 상기 가상 보안 정책 모듈(300)의 가상 방화벽 프로세스(310)는 해당 패킷을 라우팅 한다(S260).
한편, 가상 방화벽 내에서 터널링 프로토콜과 방화벽 기능을 동시에 설정한 경우에 대하여 도 6을 참조하여 설명한다.
상기 가상 보안 정책 모듈(300)을 통해 가상 보안 정책 모듈(300)이 확인(S310)되면, 해당 가상 보안 정책 모듈(300)의 가상 방화벽 프로세스(310)는 수신된 패킷이 캐싱된 패킷인지를 판단한다(S320).
만약, 수신된 패킷이 캐싱되지 않은 패킷이면(NO) 상기 가상 보안 정책 모듈(300)의 가상 방화벽 프로세스(310)는 처음 수신된 패킷으로 판단하여 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)의 방화벽 정책과 일치하는지의 여부를 판단한다(S330).
만약, 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)의 방화벽 정책과 일치할 경우(YES) 상기 가상 방화벽 프로세스(310)는 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)를 확인하여 패킷의 방화벽 정책을 적용한다(S340).
이어서, 상기 가상 보안 정책 모듈(300)의 가상 터널링 프로세스(320)는 공용 보안 정책 데이터베이스(200)의 제 1 터널링 정책 데이터베이스(220)의 터널링 정책과 일치하는지의 여부를 판단한다(S350).
만약, 공용 보안 정책 데이터베이스(200)의 제 1 터널링 정책 데이터베이스(220)의 터널링 정책과 일치할 경우(YES) 상기 가상 터널링 프로세스(320)는 공용 보안 정책 데이터베이스(200)의 제 1 터널링 정책 데이터베이스(220)를 확인하여 패킷의 터널링 정책을 적용한다(S360).
이후, 해당 가상 보안 정책 모듈(300)의 가상 방화벽 프로세스(310)는 수신된 패킷이 캐싱된 패킷인지를 판단한다(S370).
만약, 수신된 패킷이 캐싱되지 않은 패킷이면(NO) 상기 가상 보안 정책 모듈(300)의 가상 방화벽 프로세스(310)는 처음 수신된 패킷으로 판단하여 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)의 방화벽 정책과 일치하는지의 여부를 판단한다(S380).
만약, 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)의 방화벽 정책과 일치할 경우(YES) 상기 가상 방화벽 프로세스(310)는 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)를 확인하여 패킷의 방화벽 정책을 적용하여 해당 패킷의 라우팅을 적용한다(S390).
만약, 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)의 방화벽 정책과 일치하지 않을 경우(NO) 상기 가상 보안 정책 모듈(300)의 가상 방화벽 프로세스(310)는 로컬 보안 정책 데이터베이스(400)의 제 2 방화벽 정책 데이터베이스(410)를 확인하여 방화벽 정책을 패킷에 적용한다(S331).
만약, 공용 보안 정책 데이터베이스(200)의 제 1 터널링 정책 데이터베이스(220)의 터널링 정책과 일치하지 않을 경우(NO) 상기 가상 보안 정책 모듈(300)의 가상 터널링 프로세스(320)는 로컬 보안 정책 데이터베이스(400)의 제 2 터널링 정책 데이터베이스(420)를 확인하여 터널링 정책을 패킷에 적용한다(S351).
만약, 공용 보안 정책 데이터베이스(200)의 제 1 방화벽 정책 데이터베이스(210)의 방화벽 정책과 일치하지 않을 경우(NO) 상기 가상 보안 정책 모듈(300)의 가상 방화벽 프로세스(310)는 로컬 보안 정책 데이터베이스(400)의 제 2 방화벽 정책 데이터베이스(410)를 확인하여 방화벽 정책을 패킷에 적용한다(S381).
한편, 만약, 수신된 패킷이 캐싱된 패킷이면(YES) 상기 가상 보안 정책 모듈(300)의 가상 방화벽 프로세스(310)는 수신된 패킷을 라우팅한다(S321, S371).
반면에, 방화벽 기능 없이 터널링 프로토콜만 설정하여 사용하기 위해서는, 상기에서와 같이 일반 방화벽과 터널링 프로토콜 정책을 공용 보안 정책 데이터베이스(200)에만 설정하여 모든 패킷은 공용 보안 정책 데이터베이스(200)만 지나도록 한다.
따라서 방화벽 처리 시 모든 패킷의 처리 여부 결과는 항상 통과가 되고 터널링 정책만 처리하도록 유도한다.
한편, 가상 방화벽에서 방화벽 기능만 설정하면, 패킷이 수신될 경우 해당 가상 방화벽의 로컬 정책 방화벽 데이터베이스를 적용하고 이 패킷이 캐싱된 패킷인 경우 방화벽 결과를 적용하고, 캐싱되지 않은 경우 첫 번째 패킷으로 간주하여 공용 보안 정책 데이터베이스(200)를 통해 정책이 일치하는 경우 해당 패킷의 보안 정책을 적용하는 한편, 정책이 없는 경우 해당 가상 방화벽의 로컬 보안 정책 데이터베이스(400)를 적용하여 처리한다.
이상에서 본 발명은 기재된 구체적인 실시 예에 대해서만 상세히 설명하였지만 본 발명의 기술 사상 범위 내에서 다양한 변형 및 수정이 가능함은 당업자에게 있어서 명백한 것이며, 이러한 변형 및 수정이 첨부된 특허청구범위에 속함은 당연한 것이다.
도 1은 종래 가상 방화벽 시스템의 구성을 나타낸 도면.
도 2는 본 발명에 따른 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템의 구성을 나타낸 기능블록도.
도 3은 본 발명에 따른 공용 보안 정책을 기반으로 하는 가상 방화벽 제어방법을 나타낸 순서도.
도 4는 도 3에 따른 공용 보안 정책을 기반으로 하는 가상 방화벽 제어방법 중 가상 방화벽 기능은 없고 일반 방화벽 기능과 터널링 프로토콜만 설정하여 제어하는 방법을 나타낸 순서도.
도 5는 도 3에 따른 공용 보안 정책을 기반으로 하는 가상 방화벽 제어방법 중 가상 방화벽 모듈의 방화벽 기능만 설정하여 제어하는 방법을 나타낸 순서도.
도 6은 도 3에 따른 공용 보안 정책을 기반으로 하는 가상 방화벽 제어방법 중 가상 방화벽 내에서 터널링 프로토콜과 방화벽 기능을 동시에 설정하여 제어하는 방법을 나타낸 순서도이다.
<도면의 주요 부분에 대한 부호의 설명>
100 : 보안 정책 판단부 200 : 공용 보안 정책 데이터베이스
210 : 제 1 방화벽 정책 데이터베이스
220 : 제 1 터널링 정책 데이터베이스
211 : IPv6 제 1 방화벽 정책 데이터베이스
212 : IPv4 제 1 방화벽 정책 데이터베이스
221 : IPv6 제 1 터널링 정책 데이터베이스
222 : IPv4 제 1 터널링 정책 데이터베이스(222)
300 : 가상 보안 정책 모듈 310 : 가상 방화벽 프로세스
320 : 가상 터널링 프로세스 400 : 로컬 보안 정책 데이터베이스
410 : 제 2 방화벽 정책 데이터베이스
420 : 제 2 터널링 정책 데이터베이스
411 : IPv6 제 2 방화벽 정책 데이터베이스
412 : IPv4 제 2 방화벽 정책 데이터베이스
421 : IPv6 제 2 터널링 정책 데이터베이스
422 : IPv4 제 2 터널링 정책 데이터베이스
Claims (10)
- 적어도 하나 이상의 가상 보안 정책 모듈을 포함하는 가상 방화벽 시스템에 있어서,외부로부터 패킷이 수신되면, 해당 패킷의 가상 보안 정책 모듈을 확인하는 보안 정책 판단부;보안 정책이 저장된 공용 보안 정책 데이터베이스; 및로컬 보안 정책 데이터베이스를 포함하고 있으며, 수신된 패킷에 대하여 공용 보안 정책 데이터베이스를 통한 보안 정책의 적용 여부를 확인한 후 공용 보안 정책 데이터베이스를 통해 보안 정책을 적용하면 로컬 보안 정책 데이터베이스를 적용하지 않는 적어도 하나 이상의 가상 보안 정책 모듈을 포함하는 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템.
- 제 1항에 있어서,상기 보안 정책 판단부는,패킷의 출발지 주소 정보, 목적지 주소 정보 및 가상 보안 정책 모듈 정보를 포함하는 테이블을 구비하고, 수신된 패킷의 출발지 주소 정보 또는 목적지 주소 정보를 확인하여 해당하는 가상 보안 정책 모듈을 선택하는 것을 특징으로 하는 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템.
- 제 1항에 있어서,상기 가상 보안 정책 모듈은,공용 보안 정책 데이터베이스를 통해 보안 정책을 적용하지 않을 경우 로컬 보안 정책을 적용하여 패킷을 라우팅하는 것을 특징으로 하는 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템.
- 제 1항에 있어서,상기 공용 보안 정책 데이터베이스와 로컬 보안 정책 데이터베이스는,방화벽 정책 데이터베이스와, 터널링 정책 데이터베이스를 각각 포함하는 것을 특징으로 하는 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템.
- 제 1항 또는 제 4항에 있어서,상기 공용 보안 정책 데이터베이스와 로컬 보안 정책 데이터베이스는,IPv4와 IPv6를 적용한 방화벽 정책 데이터베이스와 터널링 정책 데이터베이스를 각각 포함하는 것을 특징으로 하는 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템.
- 적어도 하나 이상의 가상 보안 정책 모듈을 포함하는 보안 시스템에서의 보안 방법에 있어서,보안 시스템의 보안 정책 판단부가 외부로부터 패킷이 수신되면 해당 패킷의 가상 보안 정책 모듈을 확인하는 단계;해당 가상 보안 정책 모듈이 수신된 패킷에 대하여 공용 보안 정책 데이터베이스를 통한 보안 정책 적용 여부를 판단하는 단계; 및수신된 패킷에 대하여 상기 공용 보안 정책 데이터베이스를 통한 보안 정책 적용 여부를 판단하는 단계에서 공용 보안 정책 데이터베이스를 통해 패킷의 보안 정책 적용이 가능하면, 상기 가상 보안 정책 모듈이 공용 보안 정책 데이터베이스를 통해 패킷의 보안 정책을 적용한 후 패킷을 라우팅하는 단계를 포함하는 공용 보안 정책을 기반으로 하는 가상 방화벽 제어방법.
- 제 6항에 있어서,상기 보안 시스템의 보안 정책 판단부가 외부로부터 패킷이 수신되면 해당 패킷의 가상 보안 정책 모듈을 확인하는 단계는,패킷의 출발지 주소 정보, 목적지 주소 정보 및 가상 보안 정책 모듈 정보를 포함하는 기 설정된 테이블을 통해 수신된 패킷의 출발지 주소 정보 또는 목적지 주소 정보를 확인하여 해당하는 가상 보안 정책 모듈을 선택하는 것을 특징으로 하는 공용 보안 정책을 기반으로 하는 가상 방화벽 제어방법.
- 제 7항에 있어서,상기 공용 보안 정책 데이터베이스를 통한 패킷의 보안 정책 적용 여부를 판단하는 단계에서 공용 보안 정책 데이터베이스를 통해 패킷의 보안 정책을 적용하지 않으면, 상기 가상 보안 정책 모듈이 로컬 보안 정책 데이터베이스를 통해 패킷의 보안 정책을 적용하여 패킷을 라우팅하는 단계를 포함하는 공용 보안 정책을 기반으로 하는 가상 방화벽 제어방법.
- 제 6항에 있어서,상기 공용 보안 정책 데이터베이스와 로컬 보안 정책 데이터베이스는,방화벽 정책 데이터베이스와, 터널링 정책 데이터베이스를 각각 포함하는 것을 특징으로 하는 공용 보안 정책을 기반으로 하는 가상 방화벽 제어방법.
- 제 6항 또는 제 9항에 있어서,상기 공용 보안 정책 데이터베이스와 로컬 보안 정책 데이터베이스는,IPv4와 IPv6를 적용한 방화벽 정책 데이터베이스와 터널링 정책 데이터베이스를 각각 포함하는 것을 특징으로 하는 공용 보안 정책을 기반으로 하는 가상 방화벽 제어방법.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070070158A KR101323852B1 (ko) | 2007-07-12 | 2007-07-12 | 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법 |
US12/218,176 US8099775B2 (en) | 2007-07-12 | 2008-07-11 | Virtual firewall system based on commons security policy and method of controlling the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070070158A KR101323852B1 (ko) | 2007-07-12 | 2007-07-12 | 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090006632A KR20090006632A (ko) | 2009-01-15 |
KR101323852B1 true KR101323852B1 (ko) | 2013-10-31 |
Family
ID=40254230
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070070158A KR101323852B1 (ko) | 2007-07-12 | 2007-07-12 | 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8099775B2 (ko) |
KR (1) | KR101323852B1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101951208B1 (ko) | 2018-09-28 | 2019-02-25 | 주식회사 루터스시스템 | 방화벽에이전트를 이용해 네트워크 트래픽을 감시하는 방화벽 시스템 |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8201168B2 (en) * | 2008-12-25 | 2012-06-12 | Voltaire Ltd. | Virtual input-output connections for machine virtualization |
US8904511B1 (en) * | 2010-08-23 | 2014-12-02 | Amazon Technologies, Inc. | Virtual firewalls for multi-tenant distributed services |
US8881258B2 (en) * | 2011-08-24 | 2014-11-04 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
KR101408034B1 (ko) * | 2011-08-24 | 2014-06-17 | 주식회사 케이티 | 클라우드 컴퓨팅 서버 시스템의 가상머신 정책 설정 시스템, 가상머신 정책 설정 방법 및 가상머신 정책 제공 방법 |
US10154067B2 (en) | 2017-02-10 | 2018-12-11 | Edgewise Networks, Inc. | Network application security policy enforcement |
US10439985B2 (en) | 2017-02-15 | 2019-10-08 | Edgewise Networks, Inc. | Network application security policy generation |
WO2019094655A1 (en) | 2017-11-10 | 2019-05-16 | Edgewise Networks, Inc. | Automated load balancer discovery |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100456626B1 (ko) | 2002-11-29 | 2004-11-10 | 한국전자통신연구원 | 인터넷에서 아이피섹을 위한 통합 키 관리 방법 |
KR100522090B1 (ko) | 2002-11-28 | 2005-10-18 | 한국전자통신연구원 | IPv6 계층에서의 패킷 보호 방법 |
KR20060079782A (ko) * | 2006-06-14 | 2006-07-06 | 문영성 | 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템 |
KR100656483B1 (ko) | 2006-02-09 | 2006-12-11 | 삼성전자주식회사 | IPv4-IPv6 네트워크에서의 보안 장치 및 방법 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6330562B1 (en) * | 1999-01-29 | 2001-12-11 | International Business Machines Corporation | System and method for managing security objects |
US7093280B2 (en) * | 2001-03-30 | 2006-08-15 | Juniper Networks, Inc. | Internet security system |
US9392002B2 (en) * | 2002-01-31 | 2016-07-12 | Nokia Technologies Oy | System and method of providing virus protection at a gateway |
US7062566B2 (en) * | 2002-10-24 | 2006-06-13 | 3Com Corporation | System and method for using virtual local area network tags with a virtual private network |
US20040249958A1 (en) * | 2003-06-04 | 2004-12-09 | Ozdemir Hasan Timucin | Method and apparatus for secure internet communications |
ES2279308T3 (es) * | 2004-06-01 | 2007-08-16 | France Telecom | Control de acceso a una red de un terminal fuente que utiliza un tunel en modo bloqueante. |
US7603696B2 (en) * | 2005-06-10 | 2009-10-13 | Intel Corporation | Hybrid distributed firewall apparatus, systems, and methods |
US8127347B2 (en) * | 2006-12-29 | 2012-02-28 | 02Micro International Limited | Virtual firewall |
-
2007
- 2007-07-12 KR KR1020070070158A patent/KR101323852B1/ko active IP Right Grant
-
2008
- 2008-07-11 US US12/218,176 patent/US8099775B2/en not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100522090B1 (ko) | 2002-11-28 | 2005-10-18 | 한국전자통신연구원 | IPv6 계층에서의 패킷 보호 방법 |
KR100456626B1 (ko) | 2002-11-29 | 2004-11-10 | 한국전자통신연구원 | 인터넷에서 아이피섹을 위한 통합 키 관리 방법 |
KR100656483B1 (ko) | 2006-02-09 | 2006-12-11 | 삼성전자주식회사 | IPv4-IPv6 네트워크에서의 보안 장치 및 방법 |
KR20060079782A (ko) * | 2006-06-14 | 2006-07-06 | 문영성 | 아이피버젼포와 아이피버젼식스 혼재 망에서의 상호 운용성향상을 위한 보안 시스템 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101951208B1 (ko) | 2018-09-28 | 2019-02-25 | 주식회사 루터스시스템 | 방화벽에이전트를 이용해 네트워크 트래픽을 감시하는 방화벽 시스템 |
Also Published As
Publication number | Publication date |
---|---|
KR20090006632A (ko) | 2009-01-15 |
US20090019518A1 (en) | 2009-01-15 |
US8099775B2 (en) | 2012-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101323852B1 (ko) | 공용 보안 정책을 기반으로 하는 가상 방화벽 시스템 및 그제어방법 | |
US10116556B2 (en) | Techniques for routing and forwarding between multiple virtual routers implemented by a single device | |
US8121134B2 (en) | Spoof checking within a label switching computer network | |
US7401355B2 (en) | Firewall load balancing using a single physical device | |
US7894456B2 (en) | Routing data packets from a multihomed host | |
US8432914B2 (en) | Method for optimizing a network prefix-list search | |
US7107609B2 (en) | Stateful packet forwarding in a firewall cluster | |
EP3429140B1 (en) | Routing control method, network device and controller | |
WO2005036831A1 (ja) | フレーム中継装置 | |
US20070271362A1 (en) | Implementation of reflexive access control lists on distributed platforms | |
US8954601B1 (en) | Authentication and encryption of routing protocol traffic | |
EP1317112B1 (en) | Handling connections moving between firewalls | |
EP3447975A1 (en) | Methods and appartuses for routing data packets in a network topology | |
US6970920B2 (en) | Methods, systems and computer program products for communicating with unconfigured network devices on remote networks | |
JP4895793B2 (ja) | ネットワーク監視装置及びネットワーク監視方法 | |
EP1379037B1 (en) | Packet routing based on user ID in virtual private networks | |
EP1423949B2 (en) | Router discovery protocol on a mobile internet protocol based network | |
JP2005136739A (ja) | データ中継方法、データ中継装置、データ中継システム | |
Cisco | Cisco IOS AppleTalk and Novell IPX Configuration Guide Release 12.2 | |
Cisco | Release Notes for Catalyst 4000 Family Layer 3 Services Module | |
Cisco | IP Routing and Bridging | |
KR20240117337A (ko) | 가상 방화벽 시스템 | |
CN109714259B (zh) | 一种流量处理方法及装置 | |
JP2002236627A (ja) | ファイアウォールの動的ポート変更方法 | |
WO2007051490A1 (en) | Distributing routing information in autonomous systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20160929 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20170927 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20180921 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20190926 Year of fee payment: 7 |