KR101472685B1 - 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템 - Google Patents
망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템 Download PDFInfo
- Publication number
- KR101472685B1 KR101472685B1 KR1020130109561A KR20130109561A KR101472685B1 KR 101472685 B1 KR101472685 B1 KR 101472685B1 KR 1020130109561 A KR1020130109561 A KR 1020130109561A KR 20130109561 A KR20130109561 A KR 20130109561A KR 101472685 B1 KR101472685 B1 KR 101472685B1
- Authority
- KR
- South Korea
- Prior art keywords
- network
- gateway server
- address
- internal
- packet
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
본 발명은 패킷의 세션 정보를 관리하고 세션 정보 내의 출발지 주소와 목적지 주소를 조작함으로써 외부망과 내부망이 물리적으로는 서로 분리되어 있지만 사용자에게는 마치 하나의 연결된 망처럼 보이게 하는 완벽한 투명성(transparency)을 제공한다. 본 발명의 망 연계 게이트웨이는 비표준 네트워크 케이블과 비호환 프로토콜로 연결된 외부망 게이트웨이 서버와 내부망 게이트웨이 서버를 포함한다. 외부망 게이트웨이 서버와 내부망 게이트웨이 서버 각각은 출발지 주소와 도착지 주소를 변경하는 패킷 조작부와 애플리케이션 계층 간의 세션을 관리·구축하는 세션 관리부를 포함한다.
Description
본 발명은 망 분리 기술에 관한 것이다. 좀 더 구체적으로 본 발명은 패킷 조작을 통해 실제로는 물리적으로 분리되어 있는 2개의 망이 사용자에게는 마치 하나의 연결된 망처럼 보이도록 하는 완벽한 투명성을 제공하는 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템에 관한 것이다.
사이버 공격이 APT (Advanced Persistent Threat)와 같이 지능화되고 핵심 정보의 유출로 인한 피해가 증가하면서 망 분리 기술이 주목을 받고 있다. 국가 기관과 금융 기관을 중심으로 망 분리 기술이 도입되었고, 대규모 개인정보 유출사고가 빈발하면서 일정 규모 이상의 개인정보를 취급하는 자 또는 매출액이 일정액 이상인 정보통신 서비스 제공자의 컴퓨터는 업무망과 인터넷망을 분리하도록 의무화하기에 이르렀다. 여기서 망 분리란 "외부 인터넷망을 통한 불법적인 접근과 내부 정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단 조치"를 말한다(개인정보의 기술적·관리적 보호조치 기준 제2조 제5호).
업무망과 인터넷망 즉, 내부망과 외부망을 분리하는 방법은 물리적 망 분리와 논리적 망 분리로 구분할 수 있다. 물리적 망 분리는 통신망, 장비 등을 물리적으로 이원화하여 내부 업무망과 외부 인터넷망의 접근 경로를 단절하는 것을 말한다. 논리적 망 분리는 물리적으로는 하나의 통신망, 장비를 사용하지만 가상화, 접근차단 등의 방법으로 내부 업무망과 외부 인터넷 망이 서로 접근할 수 없도록 구성하는 것을 말한다.
물리적 망 분리는 망을 구성하는 모든 자원을 물리적으로 분리하여 외부망과 내부망을 단절하는 기술을 말한다. 물리적 망 분리는 국가 기관이나 공공 기관에서 많이 사용하며 보안성이 뛰어나지만 망 구축 비용이 많이 들고 업무 효율성이 떨어진다는 단점이 있다.
논리적 망 분리는 보안정책 적용 등 관리가 쉬워 효율성은 우수하지만 보안 신뢰성이 낮다는 단점이 있다. 논리적 망 분리 기술을 이용한 종래 특허로는 "호스트 기반의 망분리 장치 및 방법"(공개번호 10-2011-0006399), "가상환경을 이용한 네트워크 기반 망분리 장치, 시스템 및 방법"(공개번호 10-2011-0100952) 등이 있다.
물리적 망 분리와 논리적 망 분리 기술의 장단점을 고려할 때, 각각의 장점은 유지하면서 각 기술의 단점을 보완할 수 있는 새로운 망 분리 기술이 요구된다.
본 발명은 높은 보안성 확보를 위해 외부망과 내부망을 물리적으로 분리하면서도 구축 비용이 적게 들고 효율성이 높은 망 연계 기술을 제공하는 것을 목적으로 한다.
본 발명의 다른 목적은 외부의 공격을 좀 더 원천적으로 차단하고 내부 데이터의 외부 유출을 막을 수 있으며 사용자에게 서로 연결된 하나의 망처럼 보이게 하여 사용자의 적응이 빠른 망 분리 기술을 제공하는 것이다.
이러한 과제를 해결하기 위하여 본 발명은 패킷의 세션 정보를 관리하고 세션 정보 내의 출발지 주소와 목적지 주소를 조작함으로써 외부망과 내부망이 물리적으로는 서로 분리되어 있지만 사용자에게는 마치 하나의 연결된 망처럼 보이게 하는 완벽한 투명성(transparency)을 제공한다.
본 발명은 TCP/IP를 이용하는 네트워크 환경에서 외부망의 TCP/IP 프로토콜의 요청과 내부망의 TCP/IP 프로토콜 응답 사이를 다른 프로토콜로 변환함으로써 외부망과 내부망을 단절하고 따라서 외부의 침입과 내부의 정부 유출을 미리 차단할 수 있도록 한다.
특히 본 발명은 기존 주소, 포트 변경 방식이나 패킷 필터링 방식의 DMZ 구간을 가진 방화벽의 기능을 포함하며, 데이터 전송부에서 비호환 프로토콜을 사용한 데이터 필터링이 추가로 이루어지기 때문에 인터넷망 변환 장치가 침입을 당하더라도 침입자는 내부망으로 들어올 수 없도록 하는 내외부 네트워크 망 구성이 가능해진다.
외부의 침입 요청이 발생하면 프로토콜 변환 장치에서 판단하여 요청을 거절할 수 있는데, 이는 일정한 요건이나 기준을 충족한 요청만 허용하는 소위 화이트 리스트(white list)를 통해 구현할 수 있다.
본 발명의 일실시예에 따른 망 연계 게이트웨이는 외부망 게이트웨이 서버와 내부망 게이트웨이 서버를 포함한다. 외부망 게이트웨이 서버와 외부망은 표준 네트워크 케이블 및 표준 프로토콜로 연결되고, 내부망 게이트웨이 서버 역시 내부망과 표준 네트워크 케이블 및 표준 프로토콜로 연결된다. 한편 외부망 게이트웨이 서버와 내부망 게이트웨이 서버는 비표준 네트워크 케이블과 비호환 프로토콜로 연결되며, 외부망 게이트웨이 서버와 내부망 게이트웨이 서버 각각은 출발지 주소와 도착지 주소를 변경하는 패킷 조작부와 애플리케이션 계층 간의 세션을 관리·구축하는 세션 관리부를 포함한다.
발명의 일실시예에 따르면, 망 연계 게이트웨이는 패킷이 상기 2개의 게이트웨이 서버 중 어느 한 게이트웨이 서버에서 다른 게이트웨이 서버로 전달되기 전에 출발지와 목적지의 주소와 포트를 추출한 다음 원래의 출발지 주소와 목적지 주소를 삭제하고, 이 정보들은 세션 테이블로 관리하여 상기 어느 한 게이트웨이 서버에서 상기 다른 게이트웨이 서버로 보내며, 상기 패킷이 상기 다른 게이트웨이 서버로 전달된 다음 상기 세션 테이블의 정보를 사용하여 패킷의 출발지 주소와 목적지 주소를 다시 할당하고, 목적지 주소로 패킷을 전송한다.
본 발명은 이러한 망 연계 게이트웨이를 비롯하여 인터넷 전용 클라이언트 및 업무용 전용 클라이언트를 포함하는 컴퓨터 네트워크 시스템을 제공한다.
또한 본 발명은 제1 게이트웨이 서버와 제2 게이트웨이 서버를 포함하는 망 연계 게이트웨이를 이용한 망 분리 방법을 제공한다. 여기서 제1 게이트웨이 서버는 출발지 호스트가 접속되어 있는 망과 연결되어 있고, 제2 게이트웨이 서버는 목적지 호스트가 접속되어 있는 망과 연결되어 있다.
본 발명의 망 분리 방법에 따르면, 제1 게이트웨이 서버의 패킷 계층에서 목적지 호스트의 IP 주소를 상기 제1 게이트웨이 서버의 주소로 변경하는 단계와, 제1 세션 테이블의 제1 세션 정보를 사용하여 최초 출발지 호스트의 주소와 TCP 소켓을 연결하는 단계와, 이렇게 연결된 TCP 소켓 정보를 제1 세션 테이블에 저장하는 단계와, 이렇게 저장된 제1 세션 테이블 정보를 제2 게이트웨이 서버로 송신하는 단계와, 비표준 프로토콜로 데이터를 제1 게이트웨이 서버의 애플리케이션 계층에서 제2 게이트웨이 서버의 애플리케이션 계층으로 전달하는 단계와, 제2 게이트웨이 서버에서 제1 세션 정보를 수신한 후 이를 제2 세션 테이블에 저장하고 최종 목적지 호스트 주소로 TCP 소켓을 연결하는 단계와, 제2 세션 테이블에서 세션 정보를 가져와 패킷의 출발지 주소를 제2 게이트웨이 서버 주소에서 최초 출발지 호스트의 주소로 변경하는 단계가 수행된다.
본 발명에 따르면 내부 업무망과 외부 인터넷 망을 물리적으로 분리하면서 완벽한 투명성을 제공하기 때문에, 높은 보안성을 유지하면서도 구축 비용과 관리 비용이 적고 효율성이 높아진다. 일반적으로 망을 물리적으로 분리하면 기존에 운영 중이던 서비스 또는 애플리케이션에 대한 수정(customizing) 작업이 필요하여 초기 구축 및 유지 보수에 추가 비용이 필요하다(분리된 망에 대한 인터페이스 작업이 필요하기 때문에). 그러나 본 발명은 완벽한 투명성을 제공하기 때문에 기존에 운영 중이던 서비스 또는 애플리케이션에 대한 수정 작업이 필요없고 기존의 망을 그대로 사용할 수 있으므로 도입 비용이 적고 기존의 업무 환경을 유지하고 서버를 통합 관리하기 때문에 효율성이 높고 관리도 쉽다.
또한 본 발명에서는 비호환 프로토콜을 사용하고 완벽한 투명성을 제공하기 때문에 외부로부터의 공격을 원천적으로 차단하고 전송되는 데이터가 외부에 유출되지 않도록 보호할 수 있으며 독립적인 프로세스로 기존 업무에는 영향을 주지 않으며 사용자에게는 연결된 하나의 망처럼 보여 사용자의 적응이 빠르다.
또한 초고속 내부 설계로 빠른 전송 속도를 보장하며 스트리밍 인터페이스로 빠른 데이터 처리를 보장할 수 있다.
도 1은 본 발명에 따른 망 분리 장치의 전체 구조를 보여주는 네트워크 구성도.
도 2는 본 발명에 따른 망 연계 게이트웨이의 블록 구성도.
도 3은 최초 출발지가 외부망이고 최종 목적지가 내부망인 경우의 세션 연결 과정을 보여주는 흐름도.
도 4는 최초 출발지가 외부망이고 최종 목적지가 내부망인 경우의 데이터 전달 과정을 보여주는 흐름도.
도 5는 최초 출발지가 내부망이고 최종 목적지가 외부망인 경우의 세션 연결 과정을 보여주는 흐름도.
도 6은 최초 출발지가 내부망이고 최종 목적지가 외부망인 경우의 데이터 전달 과정을 보여주는 흐름도.
도 2는 본 발명에 따른 망 연계 게이트웨이의 블록 구성도.
도 3은 최초 출발지가 외부망이고 최종 목적지가 내부망인 경우의 세션 연결 과정을 보여주는 흐름도.
도 4는 최초 출발지가 외부망이고 최종 목적지가 내부망인 경우의 데이터 전달 과정을 보여주는 흐름도.
도 5는 최초 출발지가 내부망이고 최종 목적지가 외부망인 경우의 세션 연결 과정을 보여주는 흐름도.
도 6은 최초 출발지가 내부망이고 최종 목적지가 외부망인 경우의 데이터 전달 과정을 보여주는 흐름도.
도면을 참조로 본 발명의 구체적인 실시예를 설명한다.
도 1은 본 발명에 따른 망 분리 장치의 전체 구조를 보여주는 네트워크 구성도이다.
본 발명의 망 분리 장치가 적용되는 시스템(100)은 인터넷 망(10), 망 연계 게이트웨이(20) 및 업무망(30)으로 구성되어 있다.
인터넷 망(10)은 클라이언트(40)가 외부 인터넷(60)에 방화벽(70)을 통해 접속할 수 있도록 한다. 또한 인터넷 망(10)은 내부 업무망(30)에 접속할 수 있도록 한다.
업무망(30)은 가령 정보처리 시스템(32)과 업무 서버(34)를 포함하도록 구성할 수 있다. 정보처리 시스템(32)은 개인 정보나 사내의 중요 정보들을 처리하는 서버 컴퓨터를 말한다. 예를 들어, 포털과 같은 정보통신서비스 제공자의 경우 이용자의 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 처리하기 위한 서버 시스템이 정보처리 시스템(32)이며, 일반 기업의 경우 기업 내의 중요 정보를 처리하는 시스템이 정보처리 시스템(32)이다. 정보처리 시스템(32)에는 개인정보를 이용한 데이터 처리를 위해 체계적으로 구성하는 데이터베이스 관리 시스템과 개인 정보 데이터베이스에 접근하기 위한 중계서버와 애플리케이션 등도 포함한다. 업무 서버(34)는 내부 업무의 처리에 필요한 기능을 수행하는 컴퓨터 시스템을 말한다.
도 1에서 보는 것처럼 인터넷 망(10)과 업무망(30)은 물리적으로 분리되어 있다. 이러한 물리적 망 분리를 위해 망 연계 게이트웨이(20)는 인터넷 망 게이트웨이(22)와 내부망 게이트웨이(24)가 비표준 네크워크 케이블(25)과 비표준 프로토콜로 연결되어 있다. 또한, 본 발명에 따른 망 연계 게이트웨이(20)는 외부 인터넷 망과 내부 업무망이 물리적으로 분리되어 있지만 이용자에게는 하나의 연결된 망처럼 보이도록 하는 완전한 투명성을 제공한다. 이러한 투명성에 대해서는 도 2에서 도 6을 참조로 후술한다.
외부 인터넷 망(10)과 연결된 인터넷 망 게이트웨이(22)와 내부 업무망(30)과 연결된 업무망 게이트웨이(24)는 표준 네트워크와 호환되지 않는 망 연계 미들웨어와 초고속 전용 라인(25)을 통해 데이터를 주고받는다. 여기서 초고속 전용 라인(25)은 빠른 응답 속도를 위해 40Gbps 이상의 초고속 전송속도를 지원하는 인피니밴드(InfiniBand) 기반으로 설계하는 것이 바람직하다.
인터넷 전용 클라이언트(40)와 업무 전용 클라이언트(50)는 서로 다른 컴퓨터 시스템일 수도 있고, 가상화 기법을 통해 인터넷용과 업무용으로 구분한 하나의 컴퓨터 시스템일 수도 있다. 업무 전용 클라이언트(50)에는 개인정보 취급자의 컴퓨터를 포함한다.
도 2는 본 발명에 따른 망 연계 게이트웨이의 블록 구성도이다. 도 2의 구성도는 OSI (Open Systems Interconnection Reference Model) 모델을 기준으로 한 것이다.
도 2에 나타낸 것처럼, 망 연계 게이트웨이(20)의 구성을 하드웨어(110a, 110b) 관점에서 설명하면, 외부망 게이트웨이 서버(22)와 내부망 게이트웨이 서버(24) 및 이 서버들을 연결하는 비호환 케이블(25)로 망 연계 게이트웨이(20)가 구성되어 있다고 할 수 있다. 한편 망 연계 게이트웨이(20)의 구성을 소프트웨어(120a, 120b) 관점에서 설명하면, 각각의 게이트웨이 서버(22, 24)는 패킷 조작부(124a, 124b), 세션 관리부(126a, 126b)를 포함하며, 각각의 게이트웨이 서버(22, 24)의 애플리케이션 계층(128a, 128b) 간의 데이터 전달을 담당하는 데이터 전송부(130)를 포함하도록 망 연계 게이트웨이(20)가 구성되어 있다고 할 수 있다.
패킷 조작부(124a, 124b)는 패킷 계층(122a, 122b)에 있는 출발지 주소와 목적지 주소를 변경하고, 세션 관리부(126a, 126b)는 애플리케이션 계층(128a, 128b) 간의 세션을 관리하고 구축한다.
데이터 전송부(130)는 비호환 프로토콜을 사용하여 데이터를 외부망 게이트웨이 서버(22)에서 내부망 게이트웨이 서버(24)로 또는 내부망 게이트웨이 서버(24)에서 외부망 게이트웨이 서버(22)로 보낸다. 여기서 비호환 프로토콜은 TCP/IP 기반의 네트워크 통신에서 사용하는 표준 프로토콜(TCP, IP, 이더넷 등) 이외의 통신 프로토콜을 말한다. 본 발명의 일실시예에 따르면 이 비호환 프로토콜은 RDMA (Remote Direct Memory Access) 인터페이스를 사용하여 애플리케이션 계층에서 데이터를 직접 전송함으로써 빠른 응답 속도를 제공한다. 또한 세션 정보를 통해 세션 ID를 할당하여 이를 통해 연결을 관리한다. 세션 정보에는 프로토콜, 출발지 IP, 출발지 포트, 목적지 IP, 목적지 포트가 포함된다. 이러한 세션 정보는 분리된 망에서 출발지 또는 목적지까지 패킷을 전송하기 위해 필요한 정보이다.
도 3과 도 4는 최초 출발지가 외부망이고 최종 목적지가 내부망인 경우의 세션 연결 과정(도 3)과 데이터 전달 과정(도 4)을 설명하기 위한 흐름도이다.
먼저 도 3을 참조하면, 최초 출발지에 해당하는 호스트(102)가 최종 목적지 호스트(104)로 TCP 소켓 연결을 시도한다(3-①). 여기서 최초 출발지의 IP 주소는 A이고 최종 목적지의 IP 주소는 B이다. IP 주소는 IPv4 주소이거나 IPv6 주소이다.
최초 출발지 호스트(102)의 인터넷 망(60)을 통한 TCP 소켓 연결 시도는 외부망 게이트웨이 서버(22)에서 접수되고, 패킷 조작부(124a)에서 최종 목적지 주소를 B에서 a로 변경한다(3-②). 여기서 주소 a는 외부망 게이트웨이 서버(22)의 IP 주소이다. 또한 패킷 조작부(124a)는 SYN 패킷에서 세션 정보를 외부망 세션 테이블에 저장하는데, 여기서 저장되는 세션 정보에는 최초 출발지 주소(A)와 포트 번호, 최종 목적지 주소(B)와 포트 번호 및 통신 프로토콜이 포함된다.
그 다음 애플리케이션 계층(128a)에서 외부망 세션 테이블의 세션 정보를 사용하여 최초 출발지 주소(A)와 TCP 소켓을 연결하고, 외부망 세션 테이블에 연결된 TCP 소켓 정보를 저장한다(3-③). 그리고 비호환 프로토콜을 사용하여 내부망 게이트웨이 서버(44) 주소(b)에 외부망 세션 테이블 정보를 보낸다(3-④).
이렇게 전달되는 외부망 세션 테이블 정보는 도 3의 3-⑤로 나타낸 것처럼, 출발지 주소(a), 목적지 주소(b), 최초 출발지 주소(A), 최초 출발지 포트, 최종 목적지 주소(B), 최종 목적지 포트, 외부망 TCP 소켓 정보를 포함한다.
내부망 게이트웨이 서버(24)는 애플리케이션 계층(128b)에서 비호환 프로토콜을 사용하여 외부망 게이트웨이 서버 주소(a)에서 외부망 세션 테이블 정보를 받고(3-⑥), TCP 소켓으로 최종 목적지 주소(B)와 세션을 연결한다(3-⑦). 이 때 출발지 주소는 내부망 게이트웨이 서버(24)의 주소(b)이고 목적지 주소는 최종 목적지 호스트(104)의 주소(B)이다.
그 다음 내부망 게이트웨이 서버(24)의 패킷 조작부(124b)는 내부망 세션 테이블에서 세션 정보를 가져와서 SYN 패킷의 출발지 주소(b)를 최초 출발지 주소(A)로 변경한다(3-⑧).
이렇게 하여 최초 출발지 주소(A)와 최종 목적지 주소(B) 간의 TCP 소켓 연결이 완료된다(3-⑨).
다음으로 도 4를 참조로 데이터 전달 과정을 설명한다.
최초 출발지 호스트(102)가 최종 목적지 호스트(104)로 데이터 송신을 시작하면(4-①), 외부망 게이트웨이 서버(22)의 패킷 조작부(124a)가 DAT 패킷의 목적지 주소(B)를 외부망 게이트웨이 서버(22)의 주소(a)로 변경한다(4-②). 그 다음 애플리케이션 계층(128a)에서 최초 출발지 주소(A)와 연결된 TCP 소켓으로부터 데이터를 수신하고(4-③), 외부망 세션 테이블로부터 연결된 TCP 소켓의 세션 테이블 정보를 찾은 후 세션 테이블 정보와 데이터를 내부망 게이트웨이 서버(24)의 주소(b)에 데이터를 송신한다(4-④).
이 때 외부망 게이트웨이 서버(22)의 애플리케이션 계층(128a)에서 내부망 게이트웨이 서버(24)의 애플리케이션 계층(128b)으로 데이터 전달은 앞에서 설명했던 비호환 프로토콜을 이용하여 이루어진다(4-⑤).
내부망 게이트웨이 서버(24)의 애플리케이션 계층(128b)은 서버 주소(a)로부터 외부망 세션 테이블 정보와 데이터를 수신하고(4-⑥), 외부망 세션 테이블 정보를 기반으로 최종 목적지 주소(B)와 연결된 TCP 소켓을 통해 데이터를 수신한다(4-⑦).
그 다음 내부망 게이트웨이 서버(24)의 패킷 조작부(124b)는 세션 테이블에서 출발지 주소(B)와 목적지 주소(B)를 가져와서, DAT 패킷의 출발지 주소(b)를 최초 출발지 주소(A)로 변경한다(4-⑧). 이렇게 하여 최종 목적지 호스트(104)는 최초 출발지 호스트(102)가 전송한 데이터의 수신을 완료한다(4-⑨).
다음으로 최초 출발지가 내부망이고 최종 목적지가 외부망인 경우의 세션 연결 과정과 데이터 전달 과정을 도 5 및 도 6을 참조로 설명한다.
먼저 도 5를 참조하면, 최초 출발지에 해당하는 호스트(104)가 최종 목적지 호스트(102)로 TCP 소켓 연결을 시도한다(5-①). 여기서 최초 출발지의 IP 주소는 B이고 최종 목적지의 IP 주소는 A이다.
최초 출발지 호스트(104)의 인트라넷(30)을 통한 TCP 소켓 연결 시도는 내부망 게이트웨이 서버(24)에서 접수되고, 패킷 조작부(124b)에서 최종 목적지 주소를 A에서 b로 변경한다(5-②). 그리고 패킷 조작부(124b)는 SYN 패킷에서 세션 정보를 내부망 세션 테이블에 저장하는데, 여기서 저장되는 세션 정보에는 최초 출발지 주소(B)와 포트 번호, 최종 목적지 주소(A)와 포트 번호 및 통신 프로토콜이 포함된다.
그 다음 애플리케이션 계층(128b)에서 내부망 세션 테이블의 세션 정보를 사용하여 최초 출발지 주소(B)와 TCP 소켓을 연결하고, 내부망 세션 테이블에 연결된 TCP 소켓 정보를 저장한다(5-③). 그리고 비호환 프로토콜을 사용하여 외부망 게이트웨이 서버(24) 주소(a)에 내부망 세션 테이블 정보를 보낸다(5-④).
이렇게 전달되는 외부망 세션 테이블 정보는 도 5의 5-⑤로 나타낸 것처럼, 출발지 주소(b), 목적지 주소(a), 최초 출발지 주소(B), 최초 출발지 포트, 최종 목적지 주소(A), 최종 목적지 포트, 내부망 TCP 소켓 정보를 포함한다.
외부망 게이트웨이 서버(22)는 애플리케이션 계층(128a)에서 비호환 프로토콜을 사용하여 내부망 게이트웨이 서버 주소(b)에서 내부망 세션 테이블 정보를 받고(5-⑥), TCP 소켓으로 최종 목적지 주소(A)와 세션을 연결한다(5-⑦). 이 때 출발지 주소는 외부망 게이트웨이 서버(22)의 주소(a)이고 목적지 주소는 최종 목적지 호스트(102)의 주소(A)이다.
그 다음 외부망 게이트웨이 서버(22)의 패킷 조작부(124A)는 외부망 세션 테이블에서 세션 정보를 가져와서 SYN 패킷의 출발지 주소(a)를 최초 출발지 주소(B)로 변경한다53-⑧).
이렇게 하여 최초 출발지 주소(B)와 최종 목적지 주소(A) 간의 TCP 소켓 연결이 완료된다(5-⑨).
다음으로 도 6을 참조로 데이터 전달 과정을 설명한다.
최초 출발지 호스트(104)가 최종 목적지 호스트(102)로 데이터 송신을 시작하면(6-①), 내부망 게이트웨이 서버(24)의 패킷 조작부(124b)가 DAT 패킷의 목적지 주소(A)를 내부망 게이트웨이 서버(24)의 주소(b)로 변경한다(6-②). 그 다음 애플리케이션 계층(128b)에서 최초 출발지 주소(B)와 연결된 TCP 소켓으로부터 데이터를 수신하고(6-③), 내부망 세션 테이블로부터 연결된 TCP 소켓의 세션 테이블 정보를 찾은 후 세션 테이블 정보와 데이터를 외부망 게이트웨이 서버(22)의 주소(a)에 데이터를 송신한다(6-④).
이 때 내부망 게이트웨이 서버(24)의 애플리케이션 계층(128b)에서 외부망 게이트웨이 서버(22)의 애플리케이션 계층(128a)으로 데이터 전달은 앞에서 설명했던 비호환 프로토콜을 이용하여 이루어진다(6-⑤).
외부망 게이트웨이 서버(22)의 애플리케이션 계층(128a)은 서버 주소(b)로부터 내부망 세션 테이블 정보와 데이터를 수신하고(6-⑥), 내부망 세션 테이블 정보를 기반으로 최종 목적지 주소(A)와 연결된 TCP 소켓을 통해 데이터를 수신한다(6-⑦).
그 다음 외부망 게이트웨이 서버(22)의 패킷 조작부(124a)는 세션 테이블에서 출발지 주소(A)와 목적지 주소(B)를 가져와서, DAT 패킷의 출발지 주소(a)를 최초 출발지 주소(B)로 변경한다(6-⑧). 이렇게 하여 최종 목적지 호스트(102)는 최초 출발지 호스트(104)가 전송한 데이터의 수신을 완료한다(6-⑨).
10: 인터넷 망
20: 망 연계 게이트웨이
22: 외부망 게이트웨이 서버
24: 내부망 게이트웨이 서버
25: 비호환 네트워크 케이블
30: 업무망
102: 최초 출발지 호스트
104: 최종 목적지 호스트
124a, 124b: 패킷 조작부
126a, 126b: 세션 관리부
130: 데이터 전송부
20: 망 연계 게이트웨이
22: 외부망 게이트웨이 서버
24: 내부망 게이트웨이 서버
25: 비호환 네트워크 케이블
30: 업무망
102: 최초 출발지 호스트
104: 최종 목적지 호스트
124a, 124b: 패킷 조작부
126a, 126b: 세션 관리부
130: 데이터 전송부
Claims (11)
- 서로 분리되어 있는 외부망과 내부망 사이에서 이 외부망과 내부망을 연계하는 망 연계 게이트웨이로서,
외부망 게이트웨이 서버와 내부망 게이트웨이 서버를 포함하며,
상기 외부망 게이트웨이 서버는 상기 외부망과 표준 네트워크 케이블 및 표준 프로토콜로 연결되고,
상기 내부망 게이트웨이 서버는 상기 내부망과 표준 네트워크 케이블 및 표준 프로토콜로 연결되며,
상기 외부망 게이트웨이 서버와 내부망 게이트웨이 서버는 비표준 네트워크 케이블과 비호환 프로토콜로 연결되며,
상기 외부망 게이트웨이 서버와 내부망 게이트웨이 서버 각각은 출발지 주소와 도착지 주소를 변경하는 패킷 조작부와 애플리케이션 계층 간의 세션을 관리구축하는 세션 관리부를 포함하며,
상기 패킷 조작부와 세션 관리부는,
패킷이 상기 2개의 게이트웨이 서버 중 어느 한 게이트웨이 서버에서 다른 게이트웨이 서버로 전달되기 전에 출발지와 목적지의 주소와 포트를 추출한 다음 원래의 출발지 주소와 목적지 주소를 삭제하고, 이 정보들은 세션 테이블로 관리하여 상기 어느 한 게이트웨이 서버에서 상기 다른 게이트웨이 서버로 보내며,
상기 패킷이 상기 다른 게이트웨이 서버로 전달된 다음 상기 세션 테이블의 정보를 사용하여 패킷의 출발지 주소와 목적지 주소를 다시 할당하고, 목적지 주소로 패킷을 전송하는 것을 특징으로 하는 망 연계 게이트웨이. - 삭제
- 제1항에서,
상기 비호환 프로토콜은 TCP/IP 기반 네트워크 통신에서 사용하는 프로토콜 이외의 통신 프로토콜인 것을 특징으로 하는 망 연계 게이트웨이. - 제3항에서,
상기 비호환 프로토콜은 애플리케이션 계층에서 데이터를 직접 전송하는 것을 특징으로 하는 망 연계 게이트웨이. - 외부 인터넷 망, 망 연계 게이트웨이, 내부 업무망, 상기 외부 인터넷 망과 연결된 인터넷 전용 클라이언트, 상기 내부 업무망과 연결된 업무용 전용 클라이언트를 포함하는 컴퓨터 네트워크 시스템으로서,
상기 망 연계 게이트웨이는 상기 외부 인터넷 망과 연결되는 외부망 게이트웨이 서버와 상기 내부 업무망과 연결되는 내부망 게이트웨이 서버를 포함하며,
상기 외부 인터넷 망과 인터넷 전용 클라이언트, 외부 인터넷 망과 외부망 게이트웨이 서버, 내부 업무망과 업무용 전용 클라이언트, 내부 업무망과 내부망 게이트웨이 서버는 각각 표준 네트워크 케이블과 표준 프로토콜로 서로 연결되고,
상기 외부망 게이트웨이 서버와 내부망 게이트웨이 서버는 비표준 네트워크 케이블과 비표준 프로토콜로 서로 연결되며,
상기 외부망 게이트웨이 서버와 내부망 게이트웨이 서버 각각은 출발지 주소와 도착지 주소를 변경하는 패킷 조작부와 애플리케이션 계층 간의 세션을 관리구축하는 세션 관리부를 포함하고,
상기 패킷 조작부와 세션 관리부는,
패킷이 상기 2개의 게이트웨이 서버 중 어느 한 게이트웨이 서버에서 다른 게이트웨이 서버로 전달되기 전에 출발지와 목적지의 주소와 포트를 추출한 다음 원래의 출발지 주소와 목적지 주소를 삭제하고, 이 정보들은 세션 테이블로 관리하여 상기 어느 한 게이트웨이 서버에서 상기 다른 게이트웨이 서버로 보내며,
상기 패킷이 상기 다른 게이트웨이 서버로 전달된 다음 상기 세션 테이블의 정보를 사용하여 패킷의 출발지 주소와 목적지 주소를 다시 할당하고, 목적지 주소로 패킷을 전송하는 것을 특징으로 하는 컴퓨터 네트워크 시스템. - 제5항에서,
상기 업무용 전용 클라이언트는 개인정보 취급자의 컴퓨터를 포함하는 것을 특징으로 하는 컴퓨터 네트워크 시스템. - 제5항에서,
상기 인터넷 전용 클라이언트와 업무용 전용 클라이언트는 서로 다른 컴퓨터 시스템이거나, 가상화 기법을 통해 인터넷용과 업무용으로 구분한 하나의 컴퓨터 시스템인 것을 특징으로 하는 컴퓨터 네트워크 시스템. - 출발지 호스트가 접속되어 있는 망과 연결된 제1 게이트웨이 서버와, 목적지 호스트가 접속되어 있는 망과 연결된 제2 게이트웨이 서버를 포함하는 망 연계 게이트웨이를 이용하여 상기 2개의 망을 분리하는 망 분리 방법으로서,
상기 제1 게이트웨이 서버의 패킷 계층에서 목적지 호스트의 IP 주소를 상기 제1 게이트웨이 서버의 주소로 변경하는 단계와,
제1 세션 테이블의 제1 세션 정보를 사용하여 최초 출발지 호스트의 주소와 TCP 소켓을 연결하는 단계와,
상기 연결된 TCP 소켓 정보를 제1 세션 테이블에 저장하는 단계와,
이렇게 저장된 제1 세션 테이블 정보를 제2 게이트웨이 서버로 송신하는 단계와,
비표준 프로토콜로 데이터를 제1 게이트웨이 서버의 애플리케이션 계층에서 제2 게이트웨이 서버의 애플리케이션 계층으로 전달하는 단계와,
제2 게이트웨이 서버에서 제1 세션 정보를 수신한 후 이를 제2 세션 테이블에 저장하고 최종 목적지 호스트 주소로 TCP 소켓을 연결하는 단계와,
제2 세션 테이블에서 세션 정보를 가져와 패킷의 출발지 주소를 제2 게이트웨이 서버 주소에서 최초 출발지 호스트의 주소로 변경하는 단계를 포함하며,
상기 망 분리 방법은 패킷이 상기 제1 게이트웨이 서버 또는 제2 게이트웨이 서버 중 어느 한 게이트웨이 서버에서 다른 게이트웨이 서버로 전달되기 전에 출발지와 목적지의 주소와 포트를 추출한 다음 원래의 출발지 주소와 목적지 주소를 삭제하고, 이 정보들은 세션 테이블로 관리하여 상기 어느 한 게이트웨이 서버에서 상기 다른 게이트웨이 서버로 보내며, 상기 패킷이 상기 다른 게이트웨이 서버로 전달된 다음 상기 세션 테이블의 정보를 사용하여 패킷의 출발지 주소와 목적지 주소를 다시 할당하고, 목적지 주소로 패킷을 전송하는 것을 특징으로 하는 망 분리 방법. - 제8항에서,
상기 최초 출발지 호스트는 외부 인터넷 망에 접속되어 있고 상기 제1 게이트웨이 서버는 외부망 게이트웨이 서버이며, 상기 제1 세션 테이블은 외부망 세션 테이블이고,
상기 최종 도착지 호스트는 내부 업무망에 접속되어 있고 상기 제2 게이트웨이 서버는 내부망 게이트웨이 서버이며, 상기 제2 세션 테이블은 내부망 세션 테이블인 것을 특징으로 하는 망 분리 방법. - 제8항에서,
상기 최초 출발지 호스트는 내부 업무망에 접속되어 있고 상기 제1 게이트웨이 서버는 내부망 게이트웨이 서버이며, 상기 제1 세션 테이블은 내부망 세션 테이블이고,
상기 최종 도착지 호스트는 외부 인터넷 망에 접속되어 있고 상기 제2 게이트웨이 서버는 외부망 게이트웨이 서버이고, 상기 제2 세션 테이블은 외부망 세션 테이블인 것을 특징으로 하는 망 분리 방법. - 제8항에서,
상기 제1 게이트웨이 서버에서 제2 게이트웨이 서버로 전달되는 제1 세션 테이블 정보는 출발지 주소(제1 게이트웨이 서버 주소), 목적지 주소(제2 게이트웨이 서버 주소), 최초 출발지 주소, 최초 출발지 포트, 최종 목적지 주소, 최종 목적지 포트, 외부망 TCP 소켓 정보를 포함하는 것을 특징으로 하는 망 분리 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130109561A KR101472685B1 (ko) | 2013-09-12 | 2013-09-12 | 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130109561A KR101472685B1 (ko) | 2013-09-12 | 2013-09-12 | 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101472685B1 true KR101472685B1 (ko) | 2014-12-16 |
Family
ID=52678851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020130109561A KR101472685B1 (ko) | 2013-09-12 | 2013-09-12 | 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101472685B1 (ko) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101792695B1 (ko) * | 2016-12-30 | 2017-11-02 | 이준엽 | 보안 스트리밍 방법 및 보안 스트리밍 시스템 |
| KR20170127852A (ko) * | 2016-05-13 | 2017-11-22 | (주)이센티아 | 하나의 서브넷에서 망분리를 구현하는 방법과 그에 따라 망분리된 네트워크 세그먼트간 arp 프로토콜을 지원하는 방법 |
| KR20180028742A (ko) * | 2016-09-09 | 2018-03-19 | 한국전자통신연구원 | 모드 변경이 가능한 양방향 통신 장치 및 방법 |
| KR20180058539A (ko) * | 2016-11-24 | 2018-06-01 | (주)이센티아 | 분리망 연계 시스템 및 그 제어방법 |
| KR101871159B1 (ko) * | 2016-07-05 | 2018-07-02 | (주)인더스웰 | 성능 최적화를 위한 고속 망 변환 장치 및 이를 이용하는 대내 분리 환경에서의 고속 망 변환 네트워크 시스템 |
| KR101862050B1 (ko) * | 2016-05-24 | 2018-07-05 | (주)비트러스트 | 경로 최적화를 위한 고속 망 변환 장치 및 이를 이용하는 대내 분리 환경에서의 고속 망 변환 네트워크 시스템 |
| KR102510300B1 (ko) | 2022-12-06 | 2023-03-15 | (주)씨크랩 | 망분리 환경에서의 간접연동 시스템 및 이를 이용한 간접연동 방법 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100827752B1 (ko) * | 2006-11-28 | 2008-05-07 | 곽기영 | 무선광역통신망 환경하에서 모바일 웹 게이트웨이서버를통한 웹 브라우징 성능 개선시스템 |
-
2013
- 2013-09-12 KR KR1020130109561A patent/KR101472685B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100827752B1 (ko) * | 2006-11-28 | 2008-05-07 | 곽기영 | 무선광역통신망 환경하에서 모바일 웹 게이트웨이서버를통한 웹 브라우징 성능 개선시스템 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170127852A (ko) * | 2016-05-13 | 2017-11-22 | (주)이센티아 | 하나의 서브넷에서 망분리를 구현하는 방법과 그에 따라 망분리된 네트워크 세그먼트간 arp 프로토콜을 지원하는 방법 |
| KR101996588B1 (ko) * | 2016-05-13 | 2019-10-01 | (주)이센티아 | Arp 프로토콜을 지원하는 분리망 연계장치 및 그 제어방법 |
| KR101862050B1 (ko) * | 2016-05-24 | 2018-07-05 | (주)비트러스트 | 경로 최적화를 위한 고속 망 변환 장치 및 이를 이용하는 대내 분리 환경에서의 고속 망 변환 네트워크 시스템 |
| KR101871159B1 (ko) * | 2016-07-05 | 2018-07-02 | (주)인더스웰 | 성능 최적화를 위한 고속 망 변환 장치 및 이를 이용하는 대내 분리 환경에서의 고속 망 변환 네트워크 시스템 |
| KR20180028742A (ko) * | 2016-09-09 | 2018-03-19 | 한국전자통신연구원 | 모드 변경이 가능한 양방향 통신 장치 및 방법 |
| KR101881061B1 (ko) * | 2016-09-09 | 2018-07-24 | 한국전자통신연구원 | 모드 변경이 가능한 양방향 통신 장치 및 방법 |
| KR20180058539A (ko) * | 2016-11-24 | 2018-06-01 | (주)이센티아 | 분리망 연계 시스템 및 그 제어방법 |
| KR101896551B1 (ko) * | 2016-11-24 | 2018-09-10 | (주)이센티아 | 분리망 연계 시스템 및 그 제어방법 |
| KR101792695B1 (ko) * | 2016-12-30 | 2017-11-02 | 이준엽 | 보안 스트리밍 방법 및 보안 스트리밍 시스템 |
| KR102510300B1 (ko) | 2022-12-06 | 2023-03-15 | (주)씨크랩 | 망분리 환경에서의 간접연동 시스템 및 이를 이용한 간접연동 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101472685B1 (ko) | 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템 | |
| US9888010B2 (en) | System and method for providing an integrated firewall for secure network communication in a multi-tenant environment | |
| EP2569902B1 (en) | Interconnecting members of a virtual network | |
| KR100225574B1 (ko) | 상호 연결된 컴퓨터 네트워크를 위한 보안 시스템 | |
| JP3819295B2 (ja) | ユーザによって構成可能なファイアウォールを有する公衆網アクセス・サーバ | |
| EP1444775B1 (en) | Method and apparatus to manage address translation for secure connections | |
| US8776207B2 (en) | Load balancing in a network with session information | |
| US8868757B1 (en) | Two-way web service router gateway | |
| US20070101422A1 (en) | Automated network blocking method and system | |
| EP3720100A1 (en) | Service request processing method and device | |
| CN103746956A (zh) | 虚拟蜜罐 | |
| CN101420455A (zh) | 反向http网关数据传输系统和/或方法及其网络 | |
| US20040039847A1 (en) | Computer system, method and network | |
| JPH08314835A (ja) | 被サービス装置、センタ装置、サービス装置、及び遠隔操作システム | |
| CN110351233A (zh) | 一种基于安全隔离网闸的双向透明传输技术 | |
| US8072978B2 (en) | Method for facilitating application server functionality and access node comprising same | |
| CN111131448B (zh) | ADSL Nat的运维管理的边缘管理方法、边缘端代理设备及计算机可读存储介质 | |
| CN109450841A (zh) | 一种基于云+端设备按需联动模式的大规模DDoS攻击检测与防御系统及防御方法 | |
| CN108737407A (zh) | 一种劫持网络流量的方法及装置 | |
| Kang et al. | Defense technique against spoofing attacks using reliable ARP table in cloud computing environment | |
| CN102752266A (zh) | 访问控制方法及其设备 | |
| JP2002084326A (ja) | 被サービス装置、センタ装置、及びサービス装置 | |
| KR20170111305A (ko) | 망 분리된 네트워크 간 udp 프로토콜을 지원하는 망 연계 방법과 컴퓨터 네트워크 시스템 | |
| KR101996588B1 (ko) | Arp 프로토콜을 지원하는 분리망 연계장치 및 그 제어방법 | |
| CN115883256B (zh) | 基于加密隧道的数据传输方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20171205 Year of fee payment: 4 |
|
| FPAY | Annual fee payment |
Payment date: 20181210 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20191205 Year of fee payment: 6 |