KR102020178B1 - 동적 정책 제어를 수행하는 방화벽 시스템 - Google Patents

동적 정책 제어를 수행하는 방화벽 시스템 Download PDF

Info

Publication number
KR102020178B1
KR102020178B1 KR1020190032200A KR20190032200A KR102020178B1 KR 102020178 B1 KR102020178 B1 KR 102020178B1 KR 1020190032200 A KR1020190032200 A KR 1020190032200A KR 20190032200 A KR20190032200 A KR 20190032200A KR 102020178 B1 KR102020178 B1 KR 102020178B1
Authority
KR
South Korea
Prior art keywords
information
access
policy
temporary
exception
Prior art date
Application number
KR1020190032200A
Other languages
English (en)
Inventor
김상환
Original Assignee
김상환
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김상환 filed Critical 김상환
Priority to KR1020190032200A priority Critical patent/KR102020178B1/ko
Application granted granted Critical
Publication of KR102020178B1 publication Critical patent/KR102020178B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 자동화된 보안 정책으로 외부 위협에 유연하고 빠른 대처가 가능하며 특히 내부 네트워크 내 클라이언트 시스템 사용자의 임시 접근예외 요청을 신속하고 안정적으로 처리할 수 있어 방화벽 서비스의 업무 유연성을 높이게 되는 동적 정책 제어를 수행하는 방화벽 시스템에 관한 것이다.

Description

동적 정책 제어를 수행하는 방화벽 시스템{FIRE WALL SYSTEM FOR DYNAMIC CONTROL OF SECURITY POLICY}
본 발명은 동적 정책 제어를 수행하는 방화벽 시스템에 관한 것으로, 더욱 상세하게는 자동화된 보안 정책으로 외부 위협에 유연하고 빠른 대처가 가능하며 특히 내부 네트워크 내 클라이언트 시스템 사용자의 임시 접근예외 요청을 신속하고 안정적으로 처리할 수 있어 방화벽 서비스의 업무 유연성을 높이게 되는 동적 정책 제어를 수행하는 방화벽 시스템에 관한 것이다.
건물에서 화재가 발생하면 주변으로 화재가 번지지 않게 막아주는 역할을 하는 것이 방화벽이듯이 전산에서의 방화벽 역시 네트워크의 앞 단에 설치되어 인터넷상의 보안사고 및 위협이 주변 망이나 개인에게 전파되는 것을 방지하는 역할을 수행한다. 이는 패킷을 통제하기 위한 규칙들을 방화벽 정책에 설정하여 운영 시 설정된 정책에 따라 허용된 패킷만 내부로 통과시키는 패킷 필터링 기능을 원칙으로 하기 때문이다.
그러나 관리자가 설정한 방화벽 정책의 규칙들이 증가함에 따라 규칙들 간에 이상 규칙이 생길 수 있는데, 이를 관리자가 수동으로 탐지하는 것은 상당한 노력과 시간이 필요할 뿐만 아니라 관리에 있어서도 오류를 일으킬 수 있다. 이는 방화벽의 성능 저하 및 보안 취약점으로 이어져 네트워크에 문제를 야기할 수 있다.
한국공개특허 제2009-0065423호는 방화벽 정책 내 신규 침입차단규칙에 대한 이상규칙을 탐지하는 기술을 소개하였고 한국공개특허 제2006-0058179호는 방화벽 정책 내 신규 침입차단규칙 생성 정보를 제공하는 기술을 소개하였다.
근래 네트워크 보안의 중요성이 커지게 되었는데, 네트워크 보안은 주로 정보가 권한없이 노출되는 것을 방지하는 비밀성(information security)과, 정보가 권한없이 수정되거나 파괴되는 것을 방지하는 정보 무결성(information integrity), 자원들을 신뢰성있게 운영하도록 보장하는 것에 중점을 둔다. 비밀성과 정보 무결성은 트래픽(traffic)의 암호화를 통해 달성될 수 있는데, 암호화는 네트워크의 각 계층에서 가능하고 소프트웨어나 하드웨어에 의해 구현될 수 있다. 자원들의 신뢰성있는 운영을 보장하는 것은 매우 어려운 작업인데, 호스트 보안과 더불어 네트워크 보안을 유지하기 위해서는 침입자를 정확하게 실시간으로 탐지하는 것이 중요하다.
최근에는 네트워크 침입이나 공격의 유형이 독자적인 형태에서 벗어나 네트워크를 통해 동시다발적으로 이루어지고, 우회 공격방법이 증가할 뿐만 아니라, 해킹과 바이러스 기술 영역이 통합된 형태로 발전하고 있다.
이 같이 보안의 중요성이 나날이 커지고 방화벽에 대한 의존성이 확대되어감에 따라 독자적인 내부 네트워크를 구축한 기업 등에서는 방화벽에 의한 컴퓨터 운영 제한이 늘어가고 있다. 예컨데 방화벽을 통해 내부 네트워크 내 클라이언트 시스템들의 포털 접속이나 소셜 네트워크 서비스 접속을 차단하는 기업의 사례가 늘고 있으며 온라인 메신저의 설치 및 서비스를 허용하지 않거나 특정 어플리케이션을 분석해 설치 및 활용을 차단하는 관리가 방화벽을 통해 이루어지고 있다.
이 같은 방화벽 운영 정책은 내부 네트워크 내 클라이언트 시스템들에게 공통적으로 적용되어 업무 효율을 높일 수 있도록 하는 긍정적인 작용도 하고 있지만, 이와 함께 여러 부작용도 발생되고 있다.
예컨데, 외부 인사를 사내에서 만나 업무 관련 미팅을 진행하는 사용자가 미팅 진행을 위해 자신의 클라이언트 시스템으로 소셜 네트워크 서비스에 접속할 필요가 있거나 포털 사이트에 접속해 자료를 확인할 필요가 있을 경우가 발생할 수 있다. 이 경우, 일률적으로 적용된 방화벽 운영 정책에 의해 소셜 네트워크 서비스 접속이나 포털 사이트 접속이 차단되어 있다면 사용자는 미팅 진행에 큰 차질을 빚게 될 것이다. 더군다나 이 같은 접속을 허용받기 위해서는 전산 관리자와 보안 관리자에게 허락을 받고 방화벽 정책의 규칙들을 수정해야만 하는데, 이 과정에서 많은 절차와 시간이 소요되기 때문에 사용자들이 필요한 접속을 포기하는 사례까지 생기고 있는 실정이다.
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로, 그 목적은 자동화된 보안 정책으로 외부 위협에 유연하고 빠른 대처가 가능한 방화벽 시스템을 제공하는데 있다.
또한 본 발명의 다른 목적은 내부 네트워크 내 클라이언트 시스템 사용자의 임시 접근예외 요청을 신속하고 안정적으로 처리할 수 있어 방화벽 서비스의 업무 유연성을 높이게 되는 방화벽 시스템을 제공하는데 있다.
본 발명에 따르면, 다수의 클라이언트 시스템으로 구성되는 내부 네트워크와 외부 네트워크의 사이에 위치되는 방화벽 시스템에 있어서, 상기 내부 네트워크와 외부 네트워크 사이의 패킷을 감시하고 미리 설정된 정책에 대응하여 패킷을 차단하거나 허용하는 방화벽 장치; 상기 방화벽 장치를 경유하여 클라이언트 시스템들이 접속될수 있으며, 클라이언트 시스템을 사용하는 사용자 ID에 대응한 IP 주소가 로그인 정보로 저장되어 클라이언트 시스템들의 활성화 시 사용자를 인증하는 디렉토리 서버; 및 상기 클라이언트 시스템으로부터 임시 접근예외 요청을 요청받으면 해당 클라이언트 시스템이 일정 시간 동안 정해진 접근허용 IP로 접속할 경우 사용자로부터 요청된 임시 접근예외 요청 사항에 따른 임시 정책이 해당 접근허용 IP에 부여되게 상기 방화벽 장치를 제어하는 관리 서버; 를 포함하며, 상기 관리 서버는, 방화벽 장치 및 내부 네트워크와의 접속을 위한 송수신부; 내부 네트워크의 클라이언트 시스템으로부터의 임시적인 접근예외 요청을 처리하는 접근예외 요청 처리부; 임시 접근예외 요청자의 로그인 정보를 조회하는 사용자 조회부; 임시 접근예외 요청자의 IP 정보를 실제 접근허용 시도자의 이전 IP 정보와 비교해 동일성을 검사하는 IP 검사부; 임시 접근예외 요청자의 임시 접근예외 적용에 대한 결재승인을 처리하는 결재승인 처리부; 임시 접근예외 요청에 따라 임시정책을 생성하는 정책 생성부; 상기 임시정책이 적용되는 접근허용 IP 정보를 생성하는 IP 생성부; 임시 접근예외 실행에 대한 인증정보를 생성하는 인증정보 생성부; 를 포함하는 것을 특징으로 한다.
여기에서 상기 관리 서버는, 로그인한 클라이언트 시스템으로부터 접근예외 정책 정보와 접근예외 사용시간 정보를 포함하는 임시 접근예외 요청 정보를 수신하면, 상기 사용자 조회부를 통해 해당 임시 접근예외 요청을 보낸 클라이언트 시스템의 로그인 정보를 디렉토리 서버로부터 조회하여 저장하고, 임시 접근예외 요청의 접근예외 정책 정보에 따라 상기 정책 생성부를 통해 접근예외 정책 정보에 대응하는 접근허용 정책 정보를 생성하고, 상기 IP 생성부를 통해 상기 접근허용 정책이 적용되는 접근허용 IP 정보를 생성하여 생성된 접근허용 정책 정보와 접근허용 IP 정보 그리고 접근허용시간 정보를 포함하는 임시 정책 정보를 상기 방화벽 장치로 전달해 적용시키며, 상기 인증정보 생성부를 통해 임시적인 접근허용 정책의 실행에 대한 결재승인 정보를 생성하고, 임시 접근예외 요청자에 대한 상급 관리자의 클라이언트 시스템으로 상기 접근허용 IP 정보, 접근허용시간 정보 그리고 결재승인 정보를 전송하는 것을 특징으로 한다.
또한 상기 관리 서버는, 접근허용 IP의 접속이 이루어지면, 현재 시간이 접근허용시간이고, IP 검사부를 통해 임시 접근예외 요청자의 요청시 IP 정보를 상기 사용자 조회부로부터 획득하고 현재 접근허용 시도자의 이전 IP 정보와 비교해 동일성을 검사하고, 임시 접근예외 요청자의 요청시 IP 정보와 현재 접근허용 시도자의 이전 IP 정보가 동일한 경우, 상기 결재승인 처리부를 통해 접근허용 시도자의 클라이언트 시스템으로 승인처리창을 전송해 결재승인 정보를 수신하며, 결재승인 인증에 성공한 경우 해당 접근허용 IP에 접근허용 정책이 적용되도록 상기 방화벽 장치를 제어하는 것을 특징으로 한다.
본 발명에 따르면, 자동화된 보안 정책으로 외부 위협에 유연하고 빠른 대처가 가능하게 되는 효과가 있다.
또한 내부 네트워크 내 클라이언트 시스템 사용자의 임시 접근예외 요청을 신속하고 안정적으로 처리할 수 있어 방화벽 서비스의 업무 유연성을 높이게 되는 효과도 있다.
도 1은 본 발명의 실시예에 따른 방화벽 시스템을 나타내는 도면이다.
도 2는 본 발명의 실시예에 따른 방화벽 시스템에서 내부 네트워크 및 방화벽 시스템의 관계를 설명하기 위한 도면이다.
도 3은 본 발명의 실시예에 따른 방화벽 시스템에서 방화벽 장치의 내부 구성을 설명하기 위한 도면이다.
도 4는 본 발명의 실시예에 따른 방화벽 시스템에서 관리 서버의 내부 구성을 설명하기 위한 도면이다.
도 5는 본 발명의 실시예에 따른 방화벽 시스템의 접근예외 처리 과정을 설명하기 위한 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 방화벽 시스템을 나타내는 도면이다.
먼저 본 발명의 실시예에 따른 방화벽 시스템(100)은 다수의 클라이언트 시스템(200)으로 구성되는 내부 네트워크와 외부 네트워크 사이에 위치된다.
여기에서, 상기 클라이언트 시스템(200)은 방화벽 시스템(100)을 통해 내부 네트워크 및 외부 네트워크와 접속하는 엔드 유저측의 컴퓨터로서, 랩탑 컴퓨터나 핸드헬드 PC를 채택하는 것이 바람직하지만 반드시 이에 한정되는 것은 아니며 네트워크망을 통해 데이터를 송, 수신할 수 있는 모든 정보통신단말을 포함하는 것으로 해석되어야 한다. 따라서, 스마트폰, 셀룰라폰, PCS, PDA 도 클라이언트 시스템(200)이 될 수 있다.
또한, 상기 클라이언트 시스템(200)은 통상적인 시스템 구성 요소로서, URL (Uniform Resource Locator)에 근거하여 웹페이지를 불러오고, 이를 HTML(Hyper-Text Markup Language) 코드 해석하여 모니터에 디스플레이하는 웹브라우저(browser) 프로그램 및 컴퓨터 시스템을 전체적으로 관리, 제어하는 운영 체제(OS : Operating System) 프로그램을 포함한다.
또한, 상기 내부 네트워크는 사설 IP 및/또는 공인 IP를 할당받은 다양한 형태의 시스템들을 포함할 수 있다. 일 예로, 내부 네트워크에는 일반적인 컴퓨터, 운영체제에서 지원하는 가상 머신들을 포함하는 서버, NAT(Network Address Translator) 장치에 의하여 접속되는 서버 등이 포함될 수 있다. 실제로, 본 발명에서 내부 네트워크는 현재 공지된 다양한 형태로 구현될 수 있다.
상기 방화벽 시스템(100)은 외부 네트워크와 내부 네트워크 사이의 패킷을 감시하고, 미리 설정된 정책에 대응하여 패킷을 차단하거나 허용한다. 또한, 방화벽 시스템(100)은 패킷으로부터 어플리케이션을 추가로 감지한다. 이 경우, 방화벽 시스템(100)은 정책에 대응하여 사용자별로 어플리케이션의 패킷을 차단하거나 허용할 수 있다.
일 예로, 방화벽 시스템(100)은 제 1 클라이언트 시스템으로부터 공급된 패킷이 "네이트 온" 어플리케이션으로 판단되는 경우, 해당 패킷을 차단할 수 있다. 또한, 방화벽 시스템(100)은 제 2 클라이언트 시스템으로부터 공급된 패킷이 "네이트 온" 어플리케이션으로 판단되는 경우, 해당 패킷을 허용할 수 있다. 즉, 본 발명의 실시예에 따른 방화벽 시스템(100)은 클라이언트 시스템별로 어플리케이션의 허용 및 차단을 제어할 수 있고, 이에 따라 보안의 신뢰성이 향상됨과 동시에 활용될 수 있는 영역이 확장된다.
도 2는 본 발명의 실시예에 따른 방화벽 시스템에서 내부 네트워크 및 방화벽 시스템의 관계를 설명하기 위한 도면이다.
도 2를 참조하면, 내부 네트워크에는 복수의 클라이언트 시스템(200)이 위치된다. 이와 같은 복수의 클라이언트 시스템들은 방화벽 시스템(100)의 방화벽 장치(110)를 경유하여 디렉토리 서버(120)에 접속된다. 디렉토리 서버(120)는 클라이언트 시스템들의 활성화 시 사용자를 인증하기 위한 것으로, 로그인 서버로 이용된다.
사용자는 클라이언트 시스템(200)을 활성화하고, 활성화된 클라이언트 시스템(200)에서 사용자 ID 및 패스워드를 입력한다. 사용자가 입력한 사용자 ID 및 패스워드는 디렉토리 서버(120)에서 인증되고, 이에 따라 활성화된 클라이언트 시스템(200)의 사용이 가능해진다.
이때 상기 디렉토리 서버(120)에는 사용자 ID에 대응한 IP 주소 등이 로그인 정보로 저장된다. 일 예로, 사용자가 제 1 클라이언트 시스템을 이용하여 접속한 경우, 디렉토리 서버(120)에는 사용자 ID 및 제 1 클라이언트 시스템에 대응하는 IP 주소 등이 로그인 정보로 저장될 수 있다.
상기 방화벽 장치(110)는 디렉토리 서버(120)로부터 사용자별 로그인 정보를 공급받는다. 그리고 방화벽 장치(110)는 해당 사용자의 어플리케이션 정책에 대응하여 패킷을 허용하거나 차단한다.
일 예로, 방화벽 장치(110)는 디렉토리 서버(120)로부터 사용자 정보로써 "Lee", IP 주소로써 "192.168.0.1"이 포함된 로그인 정보를 공급받을 수 있다. 이후, 방화벽 장치(110)는 해당 사용자(즉, "Lee")의 어플리케이션 정책에 대응하여 제 1 클라이언트 시스템(IP 주소 "192.168.0.1")으로부터 공급되는 패킷을 차단하거나 허용한다.
도 3은 본 발명의 실시예에 따른 방화벽 시스템에서 방화벽 장치의 내부 구성을 설명하기 위한 도면이다.
도 3을 참조하면, 본 발명의 실시예에 따른 방화벽 장치(110)는 방화벽 모듈(111), 식별 모듈(112), 규칙 관리부(113), SSL(Secure Sockets Layer) 프록시 처리부(114) 그리고, 사용자를 인증하기 위한 인증 모듈(115) 및 정책 관리부(116)를 구비한다.
상기 방화벽 모듈(111)은 미리 설정된 보안 정책에 대응하여 사용자별로 패킷을 차단하거나 허용한다. 즉, 방화벽 모듈(111)은 미리 설정된 보안 정책에 대응하여 트래픽을 제어하는 역할을 수행한다.
상기 식별 모듈(112)은 방화벽 모듈(111) 및/또는 SSL 프록시 처리부(114)로부터 패킷을 공급받고, 공급받은 패킷으로부터 데이터를 추출한다. 또한 식별 모듈(112)은 데이터로부터 시그니처를 추출하고, 추출된 시그니처를 규칙 관리부(113)에 저장된 시그니처들과 비교함으로써 어플리케이션을 식별한다.
이를 보다 상세히 설명하면, 일반적으로 패킷은 소정의 크기, 예를 들면 1460byte의 크기로 설정된다. 이와 같은 패킷은 헤더와 데이터로 구분된다. 패킷의 헤더에는 5 튜플(tuple) 정보가 저장된다. 다시 말하여, 헤더에는 소스 IP, 목적지 IP, 소스 포트, 목적지 포트 및 프로토콜 정보가 저장된다. 여기서, 소스 IP는 해당 패킷을 전송한 시스템의 주소, 목적지 IP는 해당 패킷을 전송받는 시스템의 주소, 소스 포트는 해당 패킷이 전송된 포트, 목적지 포트는 해당 패킷이 전송될 포트, 프로토콜은 TCP/IP를 포함한 통신 규약을 의미한다.
패킷의 데이터에는 시그니처를 포함한 전송하고자 하는 정보가 포함된다. 여기서, 시그니처는 어플리케이션을 구분하기 위한 정보로 이용된다. 일 예로, 어플리케이션이 "네이트 온"으로 설정되는 경우 패킷의 데이터에는 "REQS"와 같은 시그니처 정보가 포함된다. 또한, 어플리케이션이 웹 사이트, 일 예로 "네이버"로 설정되는 경우 패킷의 데이터에는 "Host: www.naver.com"과 같은 시그니처 정보가 포함된다.
시그니처 정보는 연속되는 패킷들 중 초반에 공급되는 패킷들에 포함된다. 실제로, 시그니처 정보는 연속되어 공급되는 패킷들 중 첫 번째 또는 두 번째 패킷에 포함된다.
상기 식별 모듈(112)은 패킷의 데이터로부터 시그니처 정보를 추출하고, 추출된 정보를 규칙 관리부(113)에 저장된 정보(즉, 미리 저장된 시그니처들)와 비교한다. 그리고, 식별 모듈(112)은 비교결과, 즉 어플리케이션 식별결과를 방화벽 모듈(111)로 공급한다. 일 예로, 식별 모듈(112)은 어플리케이션 정보로서 "네이트 온" 정보를 방화벽 모듈(111)로 공급할 수 있다. 그러면, 방화벽 모듈(111)은 사용자별 정책에 대응하여 해당 패킷을 허용 또는 차단한다.
한편, 어플리케이션이 식별되지 않는 경우, 식별 모듈(112)은 미식별 정보를 방화벽 모듈(111)로 공급한다. 그러면, 방화벽 모듈(111)은 사용자별 정책에 대응하여 해당 패킷을 허용 또는 차단한다.
추가적으로, 미식별 정보에는 미인식(Unknown) 및 불충분 데이터(insufficient-data)가 포함된다. 여기서, 미인식(Unknown)은 해당 패킷에 대응하는 시그니처 정보가 규칙 관리부(113)에 저장되지 않았음을 의미한다. 또한, 불충분 데이터(insufficient-data)는 미인식(Unknwon)으로 판별하기에는 너무 작은 크기의 패킷을 의미한다. 일 예로, 특정 세션으로 100byte의 패킷이 전송되는 경우, 해당 패킷은 불충분 데이터로 판단될 수 있다.
상기 규칙 관리부(113)에는 어플리케이션들의 시그니처 정보들이 저장된다. 일 예로, 규칙 관리부(113)에는 메신저들(네이트 온, 야후 메신저 등)에 대응하는 시그니처 정보들, 웹 사이트들(네이버, 트위터, 페이스북 등)에 대응하는 시그니처 정보들, 클라우드들에 대응하는 시그니처 정보들, 파일 전송 프로그램들에 대응하는 시그니처 정보들이 저장될 수 있다.
상기 SSL 프록시 처리부(114)는 SSL로 암호화되어 전송되는 패킷을 복호화하고, 복호화된 패킷을 식별 모듈(112)으로 공급한다. 그러면, 식별 모듈(112)은 복호화된 패킷으로부터 시그니처를 추출하고, 추출된 시그니처에 대응하여 어플리케이션을 식별한다.
최근 SSL 트래픽은 폭발적인 증가 추세에 있다. 기존에 운영 중인 보안 장비들은 SSL 트래픽의 복화화 기능을 제공하지 않는 경우가 대부분이며, 무분별한 복호화에 의한 개인정보보호 침해문제도 발생하고 있다.
본 발명에 따른 SSL 프록시 처리부(114)는 SSL 프로토콜 자체를 인지하여 Port 번호와 상관없이 복호화가 가능하고 POP3s, SMTPs, FTPs 등의 모든 표준 TLS 프로토콜을 지원하게 된다.
또한 복호화를 위한 가장 많은 암호화 방법의 복호화 기술을 지원하고(Cipher Suite), 복호화할 트래픽과 예외처리할 트래픽을 세심하고 명확하게 구분하여 정책설정이 가능하며, 복호화 여부에 대한 상세한 로그를 제공할 수 있다.
한편 상기 정책 관리부(116)에는 사용자별 정책이 저장되는데, 사용자별로 허용될 수 있는 어플리케이션 정보 및/또는 차단되는 어플리케이션 정보가 저장될 수 있다.
상기 인증 모듈(115)은 디렉토리 서버(120)로부터 로그인 정보를 공급받는다. 여기서, 제 1 사용자가 제 1 클라이언트 시스템으로 로그인한 경우, 로그인 정보에는 제 1 사용자, 제 1 클라이언트 시스템의 IP 주소인 "192.168.0.1"이 포함될 수 있다.
로그인 정보를 공급받은 인증 모듈(115)은 정책 관리부(116)로부터 제 1 사용자의 정책을 검색하고, 검색결과를 방화벽 모듈(111)로 공급한다. 이후, 방화벽 모듈(111)은 "192.168.0.1"의 IP 주소로부터 공급되는 패킷에 제 1 사용자 정책을 적용한다. 다시 말하여, 방화벽 모듈(111)은 제 1 사용자 정책에 대응하여 제 1 클라이언트 시스템으로부터 공급되는 패킷을 허용하거나 차단한다.
일 예로, 방화벽 모듈(111)은 식별 모듈(112)로부터의 식별정보에 대응하여 제 1 클라이언트 시스템으로부터 전송되는 패킷이 특정 메신저에 대응함을 알 수 있다. 그리고, 방화벽 모듈(111)은 인증 모듈(115)로부터 전송되는 사용자 정책에 대응하여 특정 메신저가 제 1 사용자에게 허용 또는 차단되는지를 알 수 있다. 이후, 방화벽 모듈(111)은 사용자 정책에 대응하여 특정 메신저에 해당하는 패킷을 차단 또는 허용한다. 즉, 본 발명에서는 사용자별로 어플리케이션을 차단하거나 허용할 수 있고, 이에 따라 보안의 신뢰성을 높일 수 있다.
또한 상기 정책 관리부(116)에는 각 사용자별 어플리케이션 통계 정보가 저장된다. 다시 말하여, 정책 관리부(116)에는 사용자가 사용한 클라이언트 시스템의 IP 주소, 접속 시도한 어플리케이션 정보(차단 또는 허용된 목록) 등이 저장될 수 있다. 따라서, 정책 관리부(116)에 저장된 정보에 의하여 사용자별 어플리케이션 사용정보 등을 알 수 있다.
도 4는 본 발명의 실시예에 따른 방화벽 시스템에서 관리 서버의 내부 구성을 설명하기 위한 도면이다.
상기 관리 서버(130)는 특정 클라이언트 시스템(200)으로부터 임시 접근예외 요청을 요청받으면 해당 클라이언트 시스템(200)이 일정 시간 동안 정해진 접근허용 IP로 접속할 경우 사용자로부터 요청된 임시 접근예외 요청 사항에 따른 임시 정책을 해당 접근허용 IP에 부여하여 해당 클라이언트 시스템(200)이 기존 정책 하에서 허용되지 못했던 원하는 작업을 내부 네트워크 내에서 할 수 있게 하는 기능을 한다.
전술한 바와 같이 최근 보안의 중요성이 나날이 커지고 방화벽에 대한 의존성이 확대되어감에 따라 독자적인 내부 네트워크를 구축한 기업 등에서는 방화벽에 의한 컴퓨터 운영 제한이 늘어가고 있다. 예컨데 방화벽을 통해 내부 네트워크 내 클라이언트 시스템들의 포털 접속이나 소셜 네트워크 서비스 접속을 차단하는 기업의 사례가 늘고 있으며 온라인 메신저의 설치 및 서비스를 허용하지 않거나 특정 어플리케이션을 분석해 설치 및 활용을 차단하는 관리가 방화벽을 통해 이루어지고 있다.
이 같은 방화벽 운영 정책은 내부 네트워크 내 클라이언트 시스템들에게 공통적으로 적용되어 업무 효율을 높일 수 있도록 하는 긍정적인 작용도 하고 있지만, 이와 함께 여러 부작용도 발생되고 있다.
예컨데, 외부 인사를 사내에서 만나 업무 관련 미팅을 진행하는 사용자가 미팅 진행을 위해 자신의 클라이언트 시스템으로 소셜 네트워크 서비스에 접속할 필요가 있거나 포털 사이트에 접속해 자료를 확인할 필요가 있을 경우가 발생할 수 있다. 이 경우, 일률적으로 적용된 방화벽 운영 정책에 의해 소셜 네트워크 서비스 접속이나 포털 사이트 접속이 차단되어 있다면 사용자는 미팅 진행에 큰 차질을 빚게 될 것이다. 더군다나 이 같은 접속을 허용받기 위해서는 전산 관리자와 보안 관리자에게 허락을 받고 방화벽 정책의 규칙들을 수정해야만 하는데, 이 과정에서 많은 절차와 시간이 소요되기 때문에 사용자들이 필요한 접속을 포기하는 사례까지 생기고 있는 실정이다.
이 같은 실정 하에서 상기 관리 서버(130)는 특정 클라이언트 시스템(200)으로부터 임시 접근예외 요청을 신속하고 안정적으로 처리할 수 있어 방화벽 서비스의 업무 유연성을 높이게 되는 동적 정책 제어를 가능하게 만든다.
상기 관리 서버(130)는 방화벽 장치(110) 및 내부 네트워크와의 접속을 위한 송수신부(132), 내부 네트워크의 클라이언트 시스템(200)으로부터의 임시적인 접근예외 요청을 처리하는 접근예외 요청 처리부(133), 임시 접근예외 요청자의 로그인 정보를 조회하는 사용자 조회부(134), 임시 접근예외 요청자의 IP 정보를 실제 접근허용 시도자의 이전 IP 정보와 비교해 동일성을 검사하는 IP 검사부(135), 임시 접근예외 요청자의 임시 접근예외 적용에 대한 결재승인을 처리하는 결재승인 처리부(136), 임시 접근예외 요청에 따라 임시정책을 생성하는 정책 생성부(137), 상기 임시정책이 적용되는 접근허용 IP 정보를 생성하는 IP 생성부(138), 임시 접근예외 실행에 대한 인증정보를 생성하는 인증정보 생성부(139) 및 상기 각 부를 제어하는 제어부(131)를 포함하여 구성될 수 있다.
임시 접근예외는 특정 사용자에게 통상적인 접근정책에 반하는 예외적인 권한을 부여하는 것이기 때문에 본 발명에 따른 방화벽 시스템에서는 이 같은 권한의 부여에 대해 4 가지의 보안 통과 절차를 마련하였다.
첫째, 특정 사용자가 임시 접근예외를 요청하게 되면, 이에 대한 별도의 접근허용 IP 정보를 생성함으로써 예외정책의 수혜자의 예외정책에 따른 작업결과 기록을 정확히 기존 사용자 IP의 기록과 분리하게 된다.
둘째, 특정 사용자가 임시 접근예외를 요청하게 되면, 이에 따라 접근허용 IP 정보, 접근허용시간 정보 및 결재승인 정보를 생성하고 이를 요청자가 아닌 요청자의 상급 관리자의 클라이언트 시스템으로 제공하게 된다. 이에 따라 접근예외 요청자는 자신의 상급 관리자를 통해 접근허용 IP 정보, 접근허용시간 정보 및 결재승인 정보를 얻을 수 있게 되므로 예외정책의 책임 소재를 명확히 할 수 있게 된다.
셋째, 특정 사용자가 임시 접근예외를 요청하게 되면, 해당 임시 접근예외 요청자의 요청시 IP 정보를 실제 접근허용 시도자의 이전 IP 정보와 비교해 동일성을 검사함으로써 허용되지 않은 시스템을 통한 방화벽 접근을 차단할 수 있게 된다. 예컨데, 임시 접근예외 요청자가 접근예외 요청을 보낼 당시의 IP 주소가 "192.168.0.55" 였다면, 해당 요청자에게는 접근허용 IP 주소로 "192.168.0.88"이 부여될 수 있다. 이때 관리 서버의 IP 검사부(135)는 접근허용 IP 주소인 "192.168.0.88"을 통해 접근하는 클라이언트 시스템의 이전 IP 주소가 "192.168.0.55" 인지 여부를 판단하여 동일할 경우에만 접근을 허용하는 방식이다. 이를 통해 허용되지 않은 클라이언트 시스템에 접근허용 IP 주소를 사용해 방화벽에 접근하는 케이스를 원천적으로 차단할 수 있게 된다.
넷째, 특정 사용자가 임시 접근예외를 요청하게 되면, 별도의 결재승인 정보를 생성하고 이를 통해 사용자를 검증하도록 함으로써 내부 보안을 강화할 수 있게 된다.
먼저, 상기 접근예외 요청 처리부(133)는 내부 네트워크의 클라이언트 시스템(200)들 중 하나로부터 접근예외 사이트, 접근예외 어플리케이션, 접근예외 컨텐츠 등에 관한 정책 정보와 접근예외 사용시간 정보를 포함하는 임시 접근예외 요청 정보를 수신하여 임시적인 접근예외 요청을 처리하게 된다.
상기 사용자 조회부(134)는 임시 접근예외 요청자의 로그인 정보를 디렉토리 서버(120)에 요청하여 사용자 ID 및 클라이언트 시스템에 대응하는 IP 주소를 조회하게 된다.
상기 정책 생성부(137)는 임시 접근예외 요청에 따라 접근허용 사이트, 접근허용 어플리케이션, 접근허용 컨텐츠 등에 관한 접근허용 정책 정보를 생성하게 된다.
상기 IP 생성부(138)는 임시 접근예외 요청에 따라 접근허용 정책이 적용되는 별도의 접근허용 IP 정보를 생성하게 된다.
상기 인증정보 생성부(139)는 임시적인 접근허용 정책의 실행에 대한 결재승인 정보를 생성하게 된다.
상기 IP 검사부(135)는 임시 접근예외 요청자의 요청시 IP 정보를 상기 사용자 조회부(134)로부터 획득하고 실제 접근허용 시도자의 이전 IP 정보와 비교해 동일성을 검사하게 된다.
상기 결재승인 처리부(136)는 임시적인 접근허용 정책의 실행 전에 접근허용 시도자에게 승인처리창을 통해 결재승인 정보를 요청하고, 상기 인증정보 생성부(139)에서 생성된 결재승인 정보와 비교함으로써 결재승인을 인증하게 된다.
도 5는 본 발명의 실시예에 따른 방화벽 시스템의 접근예외 처리 과정을 설명하기 위한 도면이다.
이하에서는 도 5를 참조하여 방화벽 시스템의 접근예외 처리 과정을 상세하게 설명한다.
먼저 내부 네트워크의 사용자는 클라이언트 시스템(200)을 이용하여 사용자 ID 및 패스워드를 입력한다. 사용자가 입력한 사용자 ID 및 패스워드는 디렉토리 서버(120)에 의하여 인증되어 로그인되며 방화벽 시스템(100)이 작동된다(S110).
이후, 방화벽 시스템(100)의 관리 서버(130)는 로그인한 클라이언트 시스템(200)으로부터 접근예외 사이트, 접근예외 어플리케이션, 접근예외 컨텐츠 등에 관한 접근예외 정책 정보와 접근예외 사용시간 정보를 포함하는 임시 접근예외 요청 정보를 수신하게 된다(S112).
임시 접근예외 요청을 수신한 관리 서버(130)는 사용자 조회부(134)를 통해 먼저 해당 임시 접근예외 요청을 보낸 클라이언트 시스템(200)의 로그인 정보를 디렉토리 서버(120)로부터 조회하여 저장한다(S114).
또한 관리 서버(130)는 임시 접근예외 요청의 접근예외 정책 정보에 따라 정책 생성부(137)를 통해 접근허용 사이트, 접근허용 어플리케이션, 접근허용 컨텐츠 등에 관한 접근허용 정책 정보를 생성하고, IP 생성부(138)를 통해 임시 접근예외 요청에 따라 접근허용 정책이 적용되는 별도의 접근허용 IP 정보를 생성한다(S116).
이에 따라 상기 관리 서버(130)는 생성된 접근허용 정책과 접근허용 IP 정보 그리고 접근허용시간 정보를 포함하는 임시 정책 정보를 상기 방화벽 장치(110)로 전달하여 정책 관리부(116)에 저장될 수 있게 한다(S118).
이와 별도로 상기 관리 서버(130)는 인증정보 생성부(139)를 통해 임시적인 접근허용 정책의 실행에 대한 결재승인 정보를 생성한다(S120).
그 후, 상기 관리 서버(130)는 임시 접근예외 요청자에 대한 상급 관리자의 클라이언트 시스템(200)으로 상기 접근허용 IP, 접근허용시간 정보 그리고 결재승인 정보를 전송한다(S122).
이에 따라 접근예외 요청자는 자신의 상급 관리자를 통해 접근허용 IP 정보, 접근허용시간 정보 및 결재승인 정보를 얻을 수 있게 되므로 예외정책의 책임 소재를 명확히 할 수 있게 된다.
또한 접근예외 요청자는 접근허용시간이 되면 자신의 클라이언트 시스템(200)의 IP 주소를 접근허용 IP로 변경하고 방화벽 시스템(100)에 접근하게 될 것이다.
이후, 상기 관리 서버(130)는 접근허용 IP의 접속이 이루어지고 있는지 확인하게 된다(S124).
접근허용 IP의 접속이 이루어진 경우, 상기 관리 서버(130)는 먼저 현재 시간이 접근허용시간인지 여부를 판단하여(S126), 접근허용시간이 아닌 경우 해당 접근허용 IP의 접속을 차단하게 된다(S128).
이와 달리 상기 제 S126 단계의 판단결과, 현재 시간이 접근허용시간인 경우 상기 관리 서버(130)는 IP 검사부(135)를 통해 임시 접근예외 요청자의 요청시 IP 정보를 상기 사용자 조회부(134)로부터 획득하고 현재 접근허용 시도자의 이전 IP 정보와 비교해 동일성을 검사하고(S130), 임시 접근예외 요청자의 요청시 IP 정보와 현재 접근허용 시도자의 이전 IP 정보가 동일하지 않은 경우 해당 접근허용 IP의 접속을 차단하게 된다(S128).
이를 통해 허용되지 않은 클라이언트 시스템에 접근허용 IP 주소를 사용해 방화벽에 접근하는 케이스를 원천적으로 차단할 수 있게 된다.
이와 달리 상기 제 S130 단계의 판단결과, 임시 접근예외 요청자의 요청시 IP 정보와 현재 접근허용 시도자의 이전 IP 정보가 동일한 경우, 상기 관리 서버(130)는 상기 결재승인 처리부(136)를 통해 접근허용 시도자의 클라이언트 시스템으로 승인처리창을 전송해 결재승인 정보를 요청하여 결재승인 정보를 수신하게 된다(S132).
이후 상기 관리 서버(130)는 접근허용 시도자로부터 수신된 결재승인 정보를 상기 인증정보 생성부(139)에서 생성된 결재승인 정보와 비교하여 결재승인 인증을 실시하고(S134), 결재승인 인증에 실패할 경우 해당 접근허용 IP의 접속을 차단하게 된다(S128).
이와 달리 상기 제 S134 단계의 판단결과, 결재승인 인증에 성공할 경우, 상기 관리 서버(200)는 접근허용 IP에 접근허용 정책이 적용되도록 방화벽 장치(110)를 제어하게 된다(S136).
이상과 같이 도면과 명세서에서 최적 실시 예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
100 : 방화벽 시스템 110 : 방화벽 장치
111 : 방화벽 모듈 112 : 식별 모듈
113 : 규칙 관리부 114 : SSL 프록시 처리부
115 : 인증 모듈 116 : 정책 관리부
120 : 디렉토리 서버 130 : 관리 서버
131 : 제어부 132 : 송수신부
133 : 임시 접근예외 요청 처리부 134 : 사용자 조회부
135 : IP 검사부 136 : 결재승인 처리부
137 : 정책 생성부 138 : IP 생성부
139 : 인증정보 생성부

Claims (3)

  1. 다수의 클라이언트 시스템으로 구성되는 내부 네트워크와 외부 네트워크의 사이에 위치되는 방화벽 시스템에 있어서,
    상기 내부 네트워크와 외부 네트워크 사이의 패킷을 감시하고 미리 설정된 정책에 대응하여 패킷을 차단하거나 허용하는 방화벽 장치;
    상기 방화벽 장치를 경유하여 클라이언트 시스템들이 접속될수 있으며, 클라이언트 시스템을 사용하는 사용자 ID에 대응한 IP 주소가 로그인 정보로 저장되어 클라이언트 시스템들의 활성화 시 사용자를 인증하는 디렉토리 서버; 및
    상기 클라이언트 시스템으로부터 임시 접근예외 요청을 요청받으면 해당 클라이언트 시스템이 일정 시간 동안 정해진 접근허용 IP로 접속할 경우 사용자로부터 요청된 임시 접근예외 요청 사항에 따른 임시 정책이 해당 접근허용 IP에 부여되게 상기 방화벽 장치를 제어하는 관리 서버; 를 포함하며,
    상기 관리 서버는,
    방화벽 장치 및 내부 네트워크와의 접속을 위한 송수신부;
    내부 네트워크의 클라이언트 시스템으로부터의 임시적인 접근예외 요청을 처리하는 접근예외 요청 처리부;
    임시 접근예외 요청자의 로그인 정보를 조회하는 사용자 조회부;
    임시 접근예외 요청자의 IP 정보를 실제 접근허용 시도자의 이전 IP 정보와 비교해 동일성을 검사하는 IP 검사부;
    임시 접근예외 요청자의 임시 접근예외 적용에 대한 결재승인을 처리하는 결재승인 처리부;
    임시 접근예외 요청에 따라 임시정책을 생성하는 정책 생성부;
    상기 임시정책이 적용되는 접근허용 IP 정보를 생성하는 IP 생성부;
    임시 접근예외 실행에 대한 인증정보를 생성하는 인증정보 생성부; 를 포함하고,
    상기 관리 서버는,
    로그인한 클라이언트 시스템으로부터 접근예외 정책 정보와 접근예외 사용시간 정보를 포함하는 임시 접근예외 요청 정보를 수신하면,
    상기 사용자 조회부를 통해 해당 임시 접근예외 요청을 보낸 클라이언트 시스템의 로그인 정보를 디렉토리 서버로부터 조회하여 저장하고,
    임시 접근예외 요청의 접근예외 정책 정보에 따라 상기 정책 생성부를 통해 접근예외 정책 정보에 대응하는 접근허용 정책 정보를 생성하고, 상기 IP 생성부를 통해 상기 접근허용 정책이 적용되는 접근허용 IP 정보를 생성하여 생성된 접근허용 정책 정보와 접근허용 IP 정보 그리고 접근허용시간 정보를 포함하는 임시 정책 정보를 상기 방화벽 장치로 전달해 적용시키며,
    상기 인증정보 생성부를 통해 임시적인 접근허용 정책의 실행에 대한 결재승인 정보를 생성하고, 임시 접근예외 요청자에 대한 상급 관리자의 클라이언트 시스템으로 상기 접근허용 IP 정보, 접근허용시간 정보 그리고 결재승인 정보를 전송하고,
    상기 관리 서버는,
    접근허용 IP의 접속이 이루어지면,
    현재 시간이 접근허용시간이고, IP 검사부를 통해 임시 접근예외 요청자의 요청시 IP 정보를 상기 사용자 조회부로부터 획득하고 현재 접근허용 시도자의 이전 IP 정보와 비교해 동일성을 검사하고, 임시 접근예외 요청자의 요청시 IP 정보와 현재 접근허용 시도자의 이전 IP 정보가 동일한 경우,
    상기 결재승인 처리부를 통해 접근허용 시도자의 클라이언트 시스템으로 승인처리창을 전송해 결재승인 정보를 수신하며,
    결재승인 인증에 성공한 경우 해당 접근허용 IP에 접근허용 정책이 적용되도록 상기 방화벽 장치를 제어하는 것을 특징으로 하는 방화벽 시스템.
  2. 삭제
  3. 삭제
KR1020190032200A 2019-03-21 2019-03-21 동적 정책 제어를 수행하는 방화벽 시스템 KR102020178B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190032200A KR102020178B1 (ko) 2019-03-21 2019-03-21 동적 정책 제어를 수행하는 방화벽 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190032200A KR102020178B1 (ko) 2019-03-21 2019-03-21 동적 정책 제어를 수행하는 방화벽 시스템

Publications (1)

Publication Number Publication Date
KR102020178B1 true KR102020178B1 (ko) 2019-09-09

Family

ID=67951558

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190032200A KR102020178B1 (ko) 2019-03-21 2019-03-21 동적 정책 제어를 수행하는 방화벽 시스템

Country Status (1)

Country Link
KR (1) KR102020178B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113836577A (zh) * 2021-09-09 2021-12-24 武汉市风奥科技股份有限公司 一种涉密计算机的内外网访问控制方法及访问控制系统
CN114143090A (zh) * 2021-11-30 2022-03-04 招商局金融科技有限公司 基于网络安全架构的防火墙部署方法、装置、设备及介质
CN114938288A (zh) * 2022-04-08 2022-08-23 北京指掌易科技有限公司 一种数据访问方法、装置、设备以及存储介质
KR102449417B1 (ko) 2022-04-15 2022-10-11 비토플러스 주식회사 위치정보 기반의 방화벽 시스템
US11916878B2 (en) 2021-03-04 2024-02-27 Electronics And Telecommunications Research Institute Apparatus and method for security of internet of things device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030003593A (ko) * 2001-07-03 2003-01-10 (주) 해커스랩 제한조건 동안 특정 보안정책을 적용할 수 있는 네트워크보안장치 및 네트워크 보안방법
KR100904557B1 (ko) * 2008-11-20 2009-06-25 주식회사 이글루시큐리티 이기종 방화벽 통합관리시스템 및 방법
KR101494329B1 (ko) * 2013-09-02 2015-02-23 주식회사 베일리테크 악성 프로세스 검출을 위한 시스템 및 방법
KR20170075240A (ko) * 2015-12-23 2017-07-03 주식회사 시큐아이 방화벽 장치 및 그의 구동방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030003593A (ko) * 2001-07-03 2003-01-10 (주) 해커스랩 제한조건 동안 특정 보안정책을 적용할 수 있는 네트워크보안장치 및 네트워크 보안방법
KR100904557B1 (ko) * 2008-11-20 2009-06-25 주식회사 이글루시큐리티 이기종 방화벽 통합관리시스템 및 방법
KR101494329B1 (ko) * 2013-09-02 2015-02-23 주식회사 베일리테크 악성 프로세스 검출을 위한 시스템 및 방법
KR20170075240A (ko) * 2015-12-23 2017-07-03 주식회사 시큐아이 방화벽 장치 및 그의 구동방법

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11916878B2 (en) 2021-03-04 2024-02-27 Electronics And Telecommunications Research Institute Apparatus and method for security of internet of things device
CN113836577A (zh) * 2021-09-09 2021-12-24 武汉市风奥科技股份有限公司 一种涉密计算机的内外网访问控制方法及访问控制系统
CN114143090A (zh) * 2021-11-30 2022-03-04 招商局金融科技有限公司 基于网络安全架构的防火墙部署方法、装置、设备及介质
CN114143090B (zh) * 2021-11-30 2024-02-06 招商局金融科技有限公司 基于网络安全架构的防火墙部署方法、装置、设备及介质
CN114938288A (zh) * 2022-04-08 2022-08-23 北京指掌易科技有限公司 一种数据访问方法、装置、设备以及存储介质
CN114938288B (zh) * 2022-04-08 2024-04-26 北京指掌易科技有限公司 一种数据访问方法、装置、设备以及存储介质
KR102449417B1 (ko) 2022-04-15 2022-10-11 비토플러스 주식회사 위치정보 기반의 방화벽 시스템

Similar Documents

Publication Publication Date Title
KR102020178B1 (ko) 동적 정책 제어를 수행하는 방화벽 시스템
US11190493B2 (en) Concealing internal applications that are accessed over a network
US8959650B1 (en) Validating association of client devices with sessions
US7313618B2 (en) Network architecture using firewalls
US7886339B2 (en) Radius security origin check
US20130254870A1 (en) Detecting and Thwarting Browser-Based Network Intrusion Attacks By a Virtual Machine Monitoring System, Apparatus, and Method
EP4236206B1 (en) Actively monitoring encrypted traffic by inspecting logs
US20090193503A1 (en) Network access control
US8272043B2 (en) Firewall control system
US20220345491A1 (en) Systems and methods for scalable zero trust security processing
WO2022105096A1 (zh) 一种确定信任终端的方法及相关装置
CN114598489B (zh) 一种确定信任终端的方法及相关装置
CN113347072A (zh) Vpn资源访问方法、装置、电子设备和介质
US7594268B1 (en) Preventing network discovery of a system services configuration
WO2017119916A1 (en) Secure remote authentication
JP2006260027A (ja) 検疫システム、およびvpnとファイアウォールを用いた検疫方法
Muthuraj et al. Detection and prevention of attacks on active directory using SIEM
US20160205102A1 (en) Secure Remote Authentication of Local Machine Services Using a Self Discovery Network Protocol
KR102576357B1 (ko) 제로 트러스트 보안인증 시스템
CN106576050B (zh) 三层安全和计算架构
Bertino et al. Threat Modelling for SQL Servers: Designing a Secure Database in a Web Application
US10412097B1 (en) Method and system for providing distributed authentication
KR101009261B1 (ko) 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템
KR20170051043A (ko) 정보유출방지 장치 및 방법
KR20210068832A (ko) 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant