KR101480263B1 - 보안이 강화된 가상 사설망 서비스 시스템 및 방법 - Google Patents

보안이 강화된 가상 사설망 서비스 시스템 및 방법 Download PDF

Info

Publication number
KR101480263B1
KR101480263B1 KR1020140026981A KR20140026981A KR101480263B1 KR 101480263 B1 KR101480263 B1 KR 101480263B1 KR 1020140026981 A KR1020140026981 A KR 1020140026981A KR 20140026981 A KR20140026981 A KR 20140026981A KR 101480263 B1 KR101480263 B1 KR 101480263B1
Authority
KR
South Korea
Prior art keywords
gateway server
client terminal
network
host computer
private network
Prior art date
Application number
KR1020140026981A
Other languages
English (en)
Inventor
이종명
홍성호
Original Assignee
(주) 퓨전데이타
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 퓨전데이타 filed Critical (주) 퓨전데이타
Priority to KR1020140026981A priority Critical patent/KR101480263B1/ko
Application granted granted Critical
Publication of KR101480263B1 publication Critical patent/KR101480263B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 가상 사설망 서비스 시스템 및 방법에 관한 것이다. 개시된 가상 사설망 서비스 시스템 및 방법은, 가상화 환경에서의 가상 사설망 서비스 시스템에 있어서, 중립지대에 위치하며 외부 네크워크에서 접속하는 클라이언트 단말의 목적지가 되는 게이트웨이 서버; 내부 네트워크에 위치하며 가상화 환경을 제공하는 호스트 컴퓨터; 및 상기 호스트 컴퓨터에 탑재되어 상기 게이트웨이와 통신하며, 실행된 화면값을 상기 게이트웨이 서버에 전달하는 가상머신을 포함하는 것을 특징으로 하는 가상 사설망 서비스 시스템 및 이를 위한 방법을 제공한다. 본 발명에 의하면, 다양하고 지능화된 방식으로 기업 내부정보의 도용을 시도하더라도, 시스템 구조적으로 기업의 내부의 정보에 대한 직접적인 접근이 불가하여, 가상 사설망 환경에서 기업 내부 정보를 안전하게 보호할 수 있다는 이점이 있다.

Description

보안이 강화된 가상 사설망 서비스 시스템 및 방법{System and Method for Virtual Private Network with Enhanced Security}
본 발명은 가상 사설망 서비스 시스템 및 방법에 관한 것으로, 더욱 상세하게는 가상화 환경에서 가상 사설망 서비스의 보안을 강화하기 위한 시스템 및 이를 위한 방법에 관한 것이다.
이 부분에 기술된 내용은 단순히 본 발명의 실시예에 대한 배경 정보를 제공할 뿐 종래기술을 구성하는 것은 아니다.
가상화(Virtualization)란 물리적으로 다른 시스템을 논리적으로 통합하거나 반대로 하나의 시스템을 논리적으로 분할해 자원을 효율적으로 사용케 하는 기술을 말하며, 최근에는 서버나 PC에서도 이러한 기능이 절대적으로 요구되고 있다.
가상화의 종류에는 어플리케이션 가상화, 데스크탑 가상화, 서버 가상화, 스토리지 가상화, 네트워크 가상화 등으로 구분될 수 있다.
어플리케이션 가상화는 사용자의 로컬PC에 필요한 어플리케이션을 매번 설치하지 않고도 가상화를 통해 제공하는 기술이다. 데스크탑 가상화는 기존 데스크탑 수준의 성능을 가진 가상머신들을 중앙의 서버에 생성하고 관리자에 의해 사용자들에게 할당하여, 사용자는 데스크탑이나 다양한 모바일 기기를 이용해 할당 받은 계정으로 인증하고 로그인하면 언제 어디서든 인터넷용 가상화 PC 또는 업무용 가상화 PC를 자신만의 가상 데스크탑처럼 사용할 수 있는 기술을 말한다.
네트워크 가상화의 예로는 가상 사설망(VPN, virtual private network) 서비스가 대표적이다. 가상 사설망 서비스란 인터넷망을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호화기법을 제공하는 서비스로 기업 본사와 지사 또는 지사 간에 전용망을 설치한 것과 같은 효과를 거둘 수 있으며, 기존 사설망의 고비용 부담을 해소하기 위해 사용한다. 기업의 통신망과 인터넷서비스 제공자와 연결만 하면 되기 때문에 별도로 값비싼 장비나 소프트웨어를 구입하고 관리할 필요가 없어, 기존 전용선에 비해 비용 절감효과를 얻을 수 있다. 뿐만 아니라 사용자의 이동성 보장과 편리한 네트워크 구성 등이 장점이 있다.
하지만, 가상 사설망 서비스는 일반 공중망에서 사설망을 구축하여 운영하는 것이기 때문에 공중망에 존재하는 보안의 취약점을 보완할 수 있는 보안기술이 필수적으로 뒷받침되어야 한다. 가상 사설망 서비스 보안을 위한 기법으로는 전통적으로 IP 기반에서 구성되는 IPsec(IP Security) VPN을 예로 들 수 있다. 하지만, IPsec VPN 구성을 위해서는 반드시 security통신을 위한 VPN 장비가 구성되어 있어야 하며, NAT(Network Access Translation) 등에 대한 제약, 장비간 구성방법의 차이 등으로 어려운 점이 있었다.
이러한 단점이 보완된 SSL VPN(Secure Sockets Layer Virtual Private Network)은 서버를 두고 여러 클라이언트(PC, 스마트폰, thin client pc, 테블릿 pc, 노트북 등)들이 웹 브라우저를 통해 메인 서버에 접근하고 인증을 통과하면 사설망이 구성되는 방식이다. 기존의 IPsec이 network계층에서의 VPN이었다면 SSL은 전송계층, 어플리케이션 계층에서의 VPN 구성이다. 따라서 IPsec을 해줄 장비의 필요없이 언제 어디에서든 웹 브라우저로 인터넷 통신만 가능하다면 이동중에도 VPN 통신이 가능하게 되었다.
SSL VPN이 도입됨에 따라서 언제 어디서나 효율적으로 업무의 연장성을 보장할 수 있게 되었으나, 그로 인하여 기업내부 정보유출 등의 보안위협이 문제되고 있다. 최근 정보도용 기법의 발달하고 있고, 특히 금융업 등의 경우 기업내부의 고객 개인정보 유출 등은 기업 이미지에도 심각한 타격을 주게 된다.
이에, 본 발명에서는, 전술한 기술적 제약을 해소시킬 수 있는 가상화 환경에서 보안이 강화된 가상 사설망 서비스 시스템 및 방법을 제안하고자 한다.
한국공개특허 제10-2010-0033698, 2010년 3월 31일 공개(명칭:가상사설망 서비스방법 및 그 시스템)
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 전술한 목적을 달성하기 위한 본 발명의 일 양상은 가상화 환경의 가상 사설망 서비스에 있어서, 기업 내부 네트워크의 정보에 대한 외부 네트워크 클라이언트 단말의 직접적인 접근을 차단함으로써 보안성을 강화한 시스템 및 방법을 제안한다.
본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
전술한 목적을 달성하기 위한 본 발명의 일 양상은, 가상화 환경에서의 가상 사설망 서비스 시스템에 있어서, 중립지대에 위치하며 외부 네크워크에서 접속하는 클라이언트 단말의 목적지가 되는 게이트웨이 서버; 내부 네트워크에 위치하며 가상화 환경을 제공하는 호스트 컴퓨터; 및 상기 호스트 컴퓨터에 탑재되어 상기 게이트웨이와 통신하며, 실행된 화면값을 상기 게이트웨이 서버에 전달하는 가상머신을 포함하는 것을 특징으로 하는 가상 사설망 서비스 시스템을 제공한다.
본 발명의 다른 일 양상은, 가상화 환경에서의 가상 사설망 서비스 방법에 있어서, 중립지대에 위치한 게이트웨이 서버가 외부 네크워크에서 접속하는 클라이언트 단말로부터 정보를 요청받는 단계; 상기 요청된 정보를 내부 네트워크에 위치한 호스트 컴퓨터에 탑재된 가상머신으로 포워딩 하는 단계; 상기 가상머신에서 상기 요청된 정보를 처리하는 단계; 상기 가상머신의 상기 처리된 화면값을 상기 게이트웨이 서버에 전달하는 단계; 및 상기 게이트웨이 서버가 전달받은 화면값을 상기 클라이언트 단말에 전달하는 단계를 포함하는 것을 특징으로 하는 가상 사설망 서비스 방법을 제공한다.
본 발명의 가상화 환경의 가상 사설망 서비스 시스템 및 방법에 의하면, 다양하고 지능화된 방식으로 기업 내부정보의 도용을 시도하더라도, 시스템 구조적으로 기업의 내부의 정보에 대한 직접적인 접근이 불가하다는 효과가 있다.
또한, 시스템 구조, SSL 보안 및 방화벽 기술을 통하여 중복적으로 내부 정보를 안전하게 보호할 수 있다는 효과가 있다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명에 관한 이해를 돕기 위해 상세한 설명의 일부로 포함되는, 첨부 도면은 본 발명에 대한 실시예를 제공하고, 상세한 설명과 함께 본 발명의 기술적 특징을 설명한다.
도 1은 종래 기술에 따른 가상화 환경에서의 가상 사설망 서비스 시스템의 개략적인 구성도이다.
도 2는 본 발명의 일 실시예에 따른 보안이 강화된 가상 사설망 서비스 시스템의 개략적인 구성을 예시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 보안이 강화된 가상 사설망 서비스 방법을 예시한 도면이다.
이하, 본 발명에 따른 바람직한 실시 형태를 첨부된 도면을 참조하여 상세하게 설명한다. 첨부된 도면과 함께 이하에 개시될 상세한 설명은 본 발명의 예시적인 실시형태를 설명하고자 하는 것이며, 본 발명이 실시될 수 있는 유일한 실시형태를 나타내고자 하는 것이 아니다. 이하의 상세한 설명은 본 발명의 완전한 이해를 제공하기 위해서 구체적 세부사항을 포함한다. 그러나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 이러한 구체적 세부사항 없이도 실시될 수 있음을 안다.
몇몇 경우, 본 발명의 개념이 모호해지는 것을 피하기 위하여 공지의 구조 및 장치는 생략되거나, 각 구조 및 장치의 핵심기능을 중심으로 한 블록도 형식으로 도시될 수 있다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함(comprising 또는 including)"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. 또한, "일(a 또는 an)", "하나(one)", "그(the)" 및 유사 관련어는 본 발명을 기술하는 문맥에 있어서(특히, 이하의 청구항의 문맥에서) 본 명세서에 달리 지시되거나 문맥에 의해 분명하게 반박되지 않는 한, 단수 및 복수 모두를 포함하는 의미로 사용될 수 있다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하, 첨부된 도면들을 참조하여 본 발명의 실시예에 대해 살펴보기로 한다.
도 1은 종래 기술에 따른 가상화 환경에서의 가상 사설망 서비스 시스템의 개략적인 구성도이다.
여기서 가상 사설망 서비스는 SSL VPN 기술 기반으로 설명하도록 한다. 클라이언트 단말(100)은 불특정 다수의 외부 네트워크에 위치하는 외부 사용자 접속 단말기를 말한다. 클라이언트 단말(100)의 예로는 퍼스널 컴퓨터, 랩탑 컴퓨터, PDA(personal digital assistant), 셀룰러 전화, 메인프레임(mainframe) 컴퓨터, 미니(mini)컴퓨터 및 Web TV와 같은 인터넷 액세스 디바이스이다.
나아가, 클라이언트 단말(100)은 바람직하게는 MICROSOFT INTERNET EXPLORER, MOZILLAFIREFOX 등과 같은 웹 브라우저 소프트웨어를 장착하여 임의의 알려진 데이터 통신 네트워킹 기술을 사용하여 통신망(300)에 연결된다.
호스트 컴퓨터(200)는 가상화 환경을 구축하여 클라이언트 단말(100)에 제공하는 기업 등의 내부 네트워크(202) 내에 존재하는 서버이다. 물리적으로 1대의 시스템상에서 윈도즈나 리눅스 등 각기 다른 운영 체계(OS)의 다양한 어플리케이션을 효율적으로 운영할 수 있다.
호스트 컴퓨터(200)는 단일 서버뿐 아니라 서버팜(Server Farm) 형태로 있을 수도 있다. 서버팜은 한 집단으로 수용되어 동작되는 서버 그룹으로 서버클러스터라고도 하며, 클라이언트망과 분리하여 따로 관리된다. 각 서버들은 어떤 서버가 중단되더라도 다른 서버가 즉시 대체되어 서비스의 중단을 막을 수 있어 서버 안정화에 유용하다.
호스트 컴퓨터(200)에는 게스트 가상머신(210)이 탑재되어 있다. 가상머신(210)은 실재하는 컴퓨터상에 소프트웨어로 논리적으로 만들어낸 컴퓨터를 말한다. 중앙처리장치(CPU), 입출력장치(I/O) 등 컴퓨터의 모든 자원을 가상화하는 것이며, 1대의 컴퓨터상에서 여러 사용자의 클라이언트 단말(100)이 접속하여 여러 개의 시스템을 동작시키는 것이 가능하다.
게스트 가상머신(210) 상에서는 가상의 게스트 OS가 운영체제로 구동할 수 있으며, 운영체제는 CP/M, MS-DOS, Windows, 유닉스, 리눅스, VMS, OS/2 등 어떠한 형태도 될 수 있다.
클라이언트 단말(100)과 호스트 컴퓨터(200)간에는 안정적인 통신 기반을 유지하기 위한 터널링(Tunneling, 320)으로 구성된다.
가상 사설망 서비스는 알 수 없는 공중망을 거치는 연결을 통하지만 그 안에서 소프트웨어적으로 가상의 회선을 직접 연결한 것과 같은 효과를 내게 된다.  여기에서 가상의 회선을 구현하는 방식에 따라 가상 사설망 서비스 방식을 분류하게 되는데 공통적으로 터널링 기술이 사용된다. 터널링은 실제 통신을 위해 사용을 원하는 특정프로토콜을 이를 지원하지 못하는 네트워크 프로토콜이나 신뢰성이 부족한 네트워크(공중망)에 캡슐화를 통해 전달하는 기술이다.
바람직하게, 본 발명의 일실시예에 의한 터널링(320) 은 VPN SSL 환경에서는 SSL 세션 터널링(Session Tunneling)방식이 활용된다.
종래 기술에 의한 가상화 환경에서의 가상 사설망 서비스 시스템은 SSL VPN 서비스를 연계해주는 게이트웨이서버(미도시)와 호스트 컴퓨터(200)가 포트 포워딩(Port Forwarding)을 통하여 클라이언트 단말(100)과 가상머신(210)간에 직접적인 세션 터널링(320)이 이루어진다.
포트포워딩 기능은 네트워크의 공인IP를 특정 포트와 연결하여 사설 IP대역에서만 접근이 가능한 컨텐츠를 외부에서도 접근이 가능하도록 해주는 역할을 한다.
통신망(300)은 클라이언트 단말(100)과 호스트 컴퓨터(200)간에 접속을 제공할 수 있는 연결수단을 말한다. 바람직하게는 인터넷과 같은 글로벌 공공 통신 네트워크(Global Public Communication Network)이지만, WAN(wide area network), LAN(local area network), 인트라넷, CDMA(Code Division Multiple Access), WCDMA(Wideband Code Division Multiple Access), GSM(Global System for Mobile Communications), LTE(Long Term Evolution) 등의 이동통신망 또는 그 명칭 여부에 불구하고 향후 구현될 어떠한 형태의 네트워크일 수 있다.
이하 도2를 중심으로 본 발명의 일 실시예에 따른 가상 사설망 서비스 시스템의 구성요소들을 상세히 설명하도록 한다.
도 2는 본 발명의 일 실시예에 따른 보안이 강화된 가상 사설망 서비스 시스템의 개략적인 구성을 예시한 도면이다.
종래 기술에 의한 가상 사설망 서비스는 도1과 같이 클라이언트 단말(100)과 호스트 컴퓨터(200)간에 직접적인 터널링(320)이 이루어진다. 하지만, 본 발명의 일 실시예에서는 게이트웨이 서버(400)를 중립지대(420, Demilitarized Zone)에 별도로 구축한다.
중립지대(420)는 외부 네트워크(102)와 내부 네트워크(202)가 서로 연결되지 않도록 하는 공간으로 일종의 호스트 또는 네트워크를 말한다. 외부 사용자가 기업의 정보를 담고 있는 내부 네트워크(202) 내부 서버에 직접 접근하는 것을 방지하며, 외부 사용자가 중립지대 호스트의 보안을 뚫고 들어오더라도 기업 내부의 정보는 유출되지 않는다.
중립지대(420)는 외부 네트워크(102)와 내부 네트워크(202) 간에 일종의 separation 서비스를 제공할 수 있다.
본 발명에 의한 실시예에서 중립지대(420)는 모든 외부 네트워크(102)의 목적지(Destination)가 되며, 내부 네트워크(202)는 외부 네트워크(102)와 직접 통신을 하지 않는다.
외부 네트워크(102)와 게이트웨이 서버(400)간, 게이트웨이 서버(400)와 가상머신(210)간에는 보안을 강화하기 위하여 터널링(320)을 통하여 정보를 주고 받는다. 바람직하게는 터널링 방식은 SSL 세션 터널링을 통한다.
내부 네트워크(202)의 가상머신(210)에서 실행된 화면값은 터널링(320)을 통하여 게이트웨이 서버(400)에 전달되며, 클라이언트 단말(100)은 게이트웨이 서버(400)에 전달된 화면값을 보게 된다.
이로 인하여 해커가 중간에 패킷을 캡쳐하여 정보도용을 시도하더라도, 출발지(Source)와 목적지(destination)을 식별할 수 없게 되고, 외부 네트워크(102)로부터 접속하는 불특정 다수의 클라이언트 단말(100)로부터 내부 네트워크(202)의 내부정보를 안전하게 지킬 수 있게 된다.
외부 네트워크(102)와 게이트웨이 서버(400)간, 게이트웨이 서버(400)와 가상머신(210)간에는 추가적으로 보안을 강화하기 위하여, 방화벽(Firewall, 501,502)을 설치할 수 있다.
방화벽(501,502)은 내부 네트워크(202)와 통신망(300) 간에 전송되는 정보를 선별하여 수용, 거부, 수정하는 역할을 한다. 외부 통신망(300) 과 조직 내부의 내부 네트워크(202) 경계에 건물의 방화벽과 같은 기능을 가진 시스템, 즉 라우터나 응용 게이트웨이 등을 설치하여 모든 정보의 흐름이 이들을 통해서만 이루어진다.
이하, 본 발명의 실시예에 따른 보안이 강화된 가상 사설망 서비스 방법에 대해 설명하도록 한다.
도 3은 본 발명의 일 실시예에 따른 보안이 강화된 가상 사설망 서비스 방법을 예시한 도면이다.
클라이언트 단말(100)에서 웹브라우저의 주소창이나, 하이퍼링크, 서브밋버튼 등을 사용하여 서비스를 요청하면 그 패킷을 캡슐화, 암호화하여 터널링을 통하여 게이트웨이 서버(400)로 전달한다(S310).
게이트웨이 서버(400)는 내부 네트워크(202)의 가상머신(210)에 포워딩(Forwarding)을 통하여 서비스를 요청한다. 게이트웨이 서버(400)와 가상머신(210)간에는 SSL 세션 터널링(320)을 통하여 패킷을 캡슐화, 암호화한다(S320).
가상머신(210)의 가상OS에서 요청 정보를 실행하고(S330) 실행된 화면값은 게이트웨이 서버(400)에 전달되며(S340), 클라이언트 단말(100)은 게이트웨이 서버(400)에서 다시 화면값을 전달받게 된다(S350).
도 3에서는 단계 S310 내지 단계 S350를 순차적으로 실행하는 것으로 기재하고 있으나, 이는 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 도 3에 기재된 순서를 변경하여 실행하거나 단계 S310 내지 단계 S350 중 하나 이상의 단계를 병렬적으로 실행하는 것으로 다양하게 수정 및 변형하여 적용 가능할 것이므로, 도 3은 시계열적인 순서로 한정되는 것은 아니다.
본 명세서에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 클라이언트 단말
102: 외부 네트워크
200: 호스트 컴퓨터
210: 가상머신
202: 내부 네트워크
300: 통신망
320: 터널링
400: 게이트웨이 서버
420: 중립지대
501,502: 방화벽

Claims (8)

  1. 가상화 환경에서의 가상 사설망 서비스 시스템에 있어서,
    내부 네트워크에 위치하며 가상화 환경을 제공하는 호스트 컴퓨터;
    상기 호스트 컴퓨터에 탑재되어 게이트웨이와 통신하며, 실행된 화면값을 상기 게이트웨이 서버에 전달하는 가상머신;
    중립지대에 위치하며 외부 네트워크에서 접속하는 클라이언트 단말의 목적지가 되고, 상기 가상머신과 포워딩을 통하여 통신을 수행하며 상기 가상머신에서 실행된 화면값을 전달받아 상기 클라이언트 단말에 전달하여 내부 네트워크가 외부 네트워크간 직접 통신을 하지 않도록 하는 게이트웨이 서버; 및
    상기 클라이언트 단말과 게이트웨이 서버간 및 상기 게이트웨이 서버와 상기 호스트 컴퓨터간에 설치되며, 내부 네트워크와 통신망 간에 전송되는 정보를 선별하여 수용, 거부, 수정할 수 있는 하나 이상의 방화벽;
    을 포함하는 것을 특징으로 하는 가상 사설망 서비스 시스템.
  2. 제1항에 있어서,
    상기 클라이언트 단말과 게이트웨이 서버간 및 상기 게이트웨이 서버와 상기 호스트 컴퓨터 간에는 SSL 세션 터널링을 통하여 정보가 전달되는 것을 특징으로 하는 가상 사설망 서비스 시스템.
  3. 삭제
  4. 삭제
  5. 삭제
  6. 가상화 환경에서의 가상 사설망 서비스 방법에 있어서,
    중립지대에 위치한 게이트웨이 서버가 외부 네트워크에 접속하는 클라이언트 단말로부터 정보를 요청받는 단계;
    상기 게이트웨이 서버가 상기 요청된 정보를 내부 네트워크에 위치한 호스트 컴퓨터에 탑재된 가상머신으로 포워딩 하는 단계;
    상기 가상머신이 상기 요청된 정보를 처리하는 단계;
    상기 가상머신이 상기 처리된 화면값을 상기 게이트웨이 서버에 전달하는 단계; 및
    내부 네트워크가 외부 네트워크간 직접 통신을 하지 않도록 하는 상기 게이트웨이 서버가 전달받은 화면값을 상기 클라이언트 단말에 전달하는 단계;
    를 포함하고,
    상기 클라이언트 단말과 게이트웨이 서버간 및 상기 게이트웨이 서버와 상기 호스트 컴퓨터 간에는 하나 이상의 방화벽을 통하여 정보를 선별하여 수용, 거부, 수정하는 것을 특징으로 하는 가상 사설망 서비스 방법.
  7. 제 6항에 있어서,
    상기 클라이언트 단말과 게이트웨이 서버간 및 상기 게이트웨이 서버와 상기 호스트 컴퓨터 간에는 SSL 세션 터널링을 통하여 정보가 전달되는 것을 특징으로 하는 가상 사설망 서비스 방법.

  8. 삭제
KR1020140026981A 2014-03-07 2014-03-07 보안이 강화된 가상 사설망 서비스 시스템 및 방법 KR101480263B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140026981A KR101480263B1 (ko) 2014-03-07 2014-03-07 보안이 강화된 가상 사설망 서비스 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140026981A KR101480263B1 (ko) 2014-03-07 2014-03-07 보안이 강화된 가상 사설망 서비스 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101480263B1 true KR101480263B1 (ko) 2015-01-12

Family

ID=52588514

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140026981A KR101480263B1 (ko) 2014-03-07 2014-03-07 보안이 강화된 가상 사설망 서비스 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101480263B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130047151A1 (en) * 2011-08-16 2013-02-21 Microsoft Corporation Virtualization gateway between virtualized and non-virtualized networks

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130047151A1 (en) * 2011-08-16 2013-02-21 Microsoft Corporation Virtualization gateway between virtualized and non-virtualized networks

Similar Documents

Publication Publication Date Title
US11425097B2 (en) Cloud-based virtual private access systems and methods for application access
CN113950816B (zh) 使用边车代理机构提供多云微服务网关的系统和方法
US10382401B1 (en) Cloud over IP for enterprise hybrid cloud network and security
US11218483B2 (en) Hybrid cloud security groups
US10348767B1 (en) Cloud over IP session layer network
JP6594449B2 (ja) モバイルプラットフォーム用のマイクロvpnトンネリング
US8464335B1 (en) Distributed, multi-tenant virtual private network cloud systems and methods for mobile security and policy enforcement
EP2798768B1 (en) System and method for cloud based scanning for computer vulnerabilities in a network environment
US8549613B2 (en) Reverse VPN over SSH
US11546444B2 (en) Traffic forwarding and disambiguation by using local proxies and addresses
US20190372937A1 (en) Systems and methods for split network tunneling based on traffic inspection
US11477165B1 (en) Securing containerized applications
CN114070577A (zh) 基于云的安全服务的大规模本地化
US20220045984A1 (en) Implementing a multi-regional cloud based network using network address translation
WO2019246331A1 (en) System and method for creating a secure hybrid overlay network
EP3247082B1 (en) Cloud-based virtual private access systems and methods
KR101473607B1 (ko) 가상 사설망 접근 제어장치 및 방법
US11374903B1 (en) Systems and methods for managing devices
US11201858B2 (en) Apparatus and method for secure router device
KR101480263B1 (ko) 보안이 강화된 가상 사설망 서비스 시스템 및 방법
EP3644576B1 (en) Replication of an encrypted volume
US12010099B1 (en) Identity-based distributed cloud firewall for access and network segmentation
US20240211625A1 (en) Systems and Methods for Providing Improved Account Management Services
US11888869B2 (en) System and method for securing network users in an enterprise network through cybersecurity controls
US11652822B2 (en) Deperimeterized access control service

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181210

Year of fee payment: 5