KR102333028B1 - Apparatus and method for controling firewall policy - Google Patents

Apparatus and method for controling firewall policy Download PDF

Info

Publication number
KR102333028B1
KR102333028B1 KR1020170136029A KR20170136029A KR102333028B1 KR 102333028 B1 KR102333028 B1 KR 102333028B1 KR 1020170136029 A KR1020170136029 A KR 1020170136029A KR 20170136029 A KR20170136029 A KR 20170136029A KR 102333028 B1 KR102333028 B1 KR 102333028B1
Authority
KR
South Korea
Prior art keywords
information
user
firewall
security policy
firewall policy
Prior art date
Application number
KR1020170136029A
Other languages
Korean (ko)
Other versions
KR20190043921A (en
Inventor
김규영
이한수
김하영
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020170136029A priority Critical patent/KR102333028B1/en
Publication of KR20190043921A publication Critical patent/KR20190043921A/en
Application granted granted Critical
Publication of KR102333028B1 publication Critical patent/KR102333028B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • H04L29/06557
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

방화벽 정책 제어 장치 및 방법이 개시된다. 본 발명의 일 실시예에 따른 방화벽 정책 제어 장치는, 네트워크 접속을 위한 사용자 인증을 수행하는 인증 시스템으로부터 사용자 식별 정보 및 사용자 단말의 IP(Internet Protocol) 주소를 포함하는 사용자 정보를 수신하는 사용자 정보 수신부, 기 등록된 하나 이상의 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소를 포함하는 사용자 식별 정보별 보안 정책 정보를 저장하는 보안 정책 관리부 및 상기 사용자 식별 정보별 보안 정책 정보 중 상기 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별하고, 상기 식별된 보안 정책 정보 및 상기 사용자 정보에 기초하여 하나 이상의 방화벽에 대한 방화벽 정책을 생성하고, 상기 생성된 방화벽 정책을 상기 하나 이상의 방화벽 각각에 적용하는 방화벽 정책 제어부를 포함한다.A firewall policy control apparatus and method are disclosed. A firewall policy control apparatus according to an embodiment of the present invention includes a user information receiving unit that receives user information including user identification information and an Internet Protocol (IP) address of a user terminal from an authentication system that performs user authentication for network access. , a security policy management unit for storing security policy information for each user identification information including an allowed destination IP address for each of the one or more user identification information registered in advance, and the received user identification information among the security policy information for each user identification information A firewall policy control unit that identifies security policy information for a firewall, creates a firewall policy for one or more firewalls based on the identified security policy information and the user information, and applies the generated firewall policy to each of the one or more firewalls; include

Description

방화벽 정책 제어 장치 및 방법{APPARATUS AND METHOD FOR CONTROLING FIREWALL POLICY}FIREWALL POLICY CONTROL APPARATUS AND METHOD FOR CONTROLING FIREWALL POLICY

본 발명의 실시예들은 방화벽의 정책을 제어하기 위한 기술과 관련된다.Embodiments of the present invention relate to a technique for controlling a policy of a firewall.

최근 액티브 디렉터리(Active Directory), LDAP(Lightweight Directory Access Protocol) 등과 같은 디렉터리 서비스 통해 인증된 사용자 ID를 기반으로 네트워크 접속 제어를 함으로써 사용자 및 사용자 그룹 단위의 보안 정책 설정이 가능한 ID기반 방화벽들이 등장하고 있다. Recently, ID-based firewalls that can set security policies in units of users and user groups are emerging by controlling network access based on user IDs authenticated through directory services such as Active Directory and Lightweight Directory Access Protocol (LDAP). .

그러나, 기존 IP기반 방화벽들은 이러한 기능을 지원하지 않아 사용자 및 사용자 그룹 단위의 보안 정책설정이 불가능하므로, 출발지에서 목적지 사이에 수 많은 IP기반 방화벽들이 존재하는 경우 운영자가 출발지 IP 주소 및 목적지 IP 주소를 확인하여 모든 방화벽에 대하여 정책설정을 해줘야 하는 어려움이 있다.However, existing IP-based firewalls do not support this function, so it is impossible to set security policies for each user and user group. There is a difficulty in checking and setting policies for all firewalls.

한국등록특허 제10-1415850호 (2014.06.30. 공고)Korean Patent Registration No. 10-1415850 (2014.06.30. Announcement)

본 발명의 실시예들은 방화벽 정책 제어 장치 및 방법을 제공하기 위한 것이다.Embodiments of the present invention are to provide an apparatus and method for controlling a firewall policy.

본 발명의 일 실시예에 따른 방화벽 정책 제어 장치는, 네트워크 접속을 위한 사용자 인증을 수행하는 인증 시스템으로부터 사용자 식별 정보 및 사용자 단말의 IP(Internet Protocol) 주소를 포함하는 사용자 정보를 수신하는 사용자 정보 수신부, 기 등록된 하나 이상의 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소를 포함하는 사용자 식별 정보별 보안 정책 정보를 저장하는 보안 정책 관리부 및 상기 사용자 식별 정보별 보안 정책 정보 중 상기 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별하고, 상기 식별된 보안 정책 정보 및 상기 사용자 정보에 기초하여 하나 이상의 방화벽에 대한 방화벽 정책을 생성하고, 상기 생성된 방화벽 정책을 상기 하나 이상의 방화벽 각각에 적용하는 방화벽 정책 제어부를 포함한다.A firewall policy control apparatus according to an embodiment of the present invention includes a user information receiving unit that receives user information including user identification information and an Internet Protocol (IP) address of a user terminal from an authentication system that performs user authentication for network access. , a security policy management unit for storing security policy information for each user identification information including an allowed destination IP address for each of the one or more user identification information registered in advance, and the received user identification information among the security policy information for each user identification information A firewall policy control unit that identifies security policy information for a firewall, creates a firewall policy for one or more firewalls based on the identified security policy information and the user information, and applies the generated firewall policy to each of the one or more firewalls; include

상기 하나 이상의 방화벽은, IP 기반 방화벽을 포함할 수 있다.The one or more firewalls may include an IP-based firewall.

상기 사용자 식별 정보는, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함할 수 있다.The user identification information may include at least one of a user ID and a user group ID.

상기 방화벽 정책 제어부는, 상기 사용자 단말의 IP 주소와 상기 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로 상에 존재하는 하나 이상의 방화벽에 대해 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성할 수 있다.The firewall policy control unit is configured to release the firewall policy so that the block on the network path is released for one or more firewalls existing on a network path between the IP address of the user terminal and the destination IP address included in the identified security policy information. can create

상기 방화벽 정책 제어부는, 네트워크 토폴로지(topology) 정보를 이용하여 상기 네트워크 경로 상에 존재하는 하나 이상의 방화벽을 식별할 수 있다.The firewall policy controller may identify one or more firewalls existing on the network path by using network topology information.

상기 사용자 정보는, 접속 위치 정보를 더 포함하고, 상기 사용자 식별 정보별 보안 정책 정보는, 접속 허용 위치 정보를 더 포함할 수 있다.The user information may further include access location information, and the security policy information for each user identification information may further include access permitted location information.

상기 방화벽 정책 제어부는, 상기 접속 위치 정보와 상기 식별된 보안 정책 정보에 포함된 접속 허용 위치 정보가 일치하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성할 수 있다.The firewall policy controller may generate the firewall policy so that the block on the network path is released when the access location information and the access allowed location information included in the identified security policy information match.

상기 사용자 정보는, SSID(Service Set Identifier)를 더 포함하고, 상기 방화벽 정책 제어부는, 상기 접속 위치 정보 및 상기 SSID에 기초하여 제공 가능한 무선 네트워크 서비스가 존재하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성할 수 있다.The user information further includes a Service Set Identifier (SSID), and the firewall policy control unit releases the block on the network path when there is a wireless network service that can be provided based on the access location information and the SSID. The firewall policy can be created as much as possible.

상기 인증 시스템은, RADIUS(Remote Authentication Dial-In User Service) 프로토콜 기반 사용자 인증을 수행하는 RADIUS 서버를 포함할 수 있다.The authentication system may include a RADIUS server that performs user authentication based on a Remote Authentication Dial-In User Service (RADIUS) protocol.

본 발명의 일 실시예에 따른 방화벽 정책 제어 방법은, 네트워크 접속을 위한 사용자 인증을 수행하는 인증 시스템으로부터 사용자 식별 정보 및 사용자 단말의 IP(Internet Protocol) 주소를 포함하는 사용자 정보를 수신하는 단계, 기 등록된 하나 이상의 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소를 포함하는 사용자 식별 정보 별 보안 정책 정보 중 상기 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별하는 단계, 상기 식별된 보안 정책 정보 및 상기 사용자 정보에 기초하여 하나 이상의 방화벽에 대한 방화벽 정책을 생성하는 단계 및 상기 생성된 방화벽 정책을 상기 하나 이상의 방화벽 각각에 적용하는 단계를 포함한다.A firewall policy control method according to an embodiment of the present invention comprises the steps of: receiving user information including user identification information and an Internet Protocol (IP) address of a user terminal from an authentication system that performs user authentication for network access; Identifying security policy information for the received user identification information from among security policy information for each user identification information including an allowed destination IP address for each of one or more registered user identification information, the identified security policy information and the and generating a firewall policy for one or more firewalls based on user information, and applying the generated firewall policy to each of the one or more firewalls.

상기 하나 이상의 방화벽은, IP 기반 방화벽을 포함할 수 있다.The one or more firewalls may include an IP-based firewall.

상기 사용자 식별 정보는, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함할 수 있다.The user identification information may include at least one of a user ID and a user group ID.

상기 생성하는 단계는, 상기 사용자 단말의 IP 주소와 상기 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로 상에 존재하는 하나 이상의 방화벽에 대해 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성할 수 있다.In the generating, the firewall policy such that the block on the network path is released for one or more firewalls existing on the network path between the IP address of the user terminal and the destination IP address included in the identified security policy information. can create

상기 생성하는 단계는, 네트워크 토폴로지(topology) 정보를 이용하여 상기 네트워크 경로 상에 존재하는 하나 이상의 방화벽을 식별할 수 있다.In the generating, one or more firewalls existing on the network path may be identified using network topology information.

상기 사용자 정보는, 접속 위치 정보를 더 포함하고, 상기 사용자 식별 정보별 보안 정책 정보는, 접속 허용 위치 정보를 더 포함할 수 있다.The user information may further include access location information, and the security policy information for each user identification information may further include access permitted location information.

상기 생성하는 단계는, 상기 접속 위치 정보와 상기 식별된 보안 정책 정보에 포함된 접속 허용 위치 정보가 일치하는지 여부를 판단하는 단계 및 상기 접속 위치 정보와 상기 식별된 보안 정책 정보에 포함된 접속 허용 위치 정보가 일치하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성하는 단계를 포함할 수 있다.The generating may include determining whether the access location information and the access permitted location information included in the identified security policy information match, and the access location information and the access permitted location included in the identified security policy information If the information matches, the method may include creating the firewall policy so that the block on the network path is released.

상기 사용자 정보는, SSID(Service Set Identifier)를 더 포함하고, 상기 생성하는 단계는, 상기 접속 위치 정보 및 상기 SSID에 기초하여 제공 가능한 서비스가 존재하는지 여부를 판단하는 단계 및 상기 제공 가능한 무선 네트워크 서비스가 존재하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성하는 단계를 포함할 수 있다.The user information further includes a Service Set Identifier (SSID), and the generating may include: determining whether a service that can be provided exists based on the access location information and the SSID; and the wireless network service that can be provided. and creating the firewall policy so that the block on the network path is released when .

상기 인증 시스템은, RADIUS(Remote Authentication Dial-In User Service) 프로토콜 기반 사용자 인증을 수행하는 RADIUS 서버를 포함할 수 있다.The authentication system may include a RADIUS server that performs user authentication based on a Remote Authentication Dial-In User Service (RADIUS) protocol.

본 발명의 실시예들에 따르면, 네트워크 접속을 위한 사용자 인증을 수행하는 인증 시스템과 연동하여, 사용자 식별 정보에 기초한 방화벽 정책이 자동으로 방화벽에 적용되도록 함으로써 방화벽 운영에 대한 편의성을 향상시킬 수 있다.According to embodiments of the present invention, in conjunction with an authentication system that performs user authentication for network access, a firewall policy based on user identification information is automatically applied to the firewall, thereby improving the convenience of firewall operation.

나아가, 본 발명의 실시예들에 따르면, 인증 시스템으로부터 획득된 사용자 식별 정보를 이용하여 ID 기반 방화벽뿐 아니라 IP기반 방화벽에 대한 방화벽 정책 설정이 가능하도록 함으로써, IP 기반 방화벽에 대한 ID 기반 제어가 가능하게 된다. Furthermore, according to embodiments of the present invention, by enabling the firewall policy setting for the IP-based firewall as well as the ID-based firewall using the user identification information obtained from the authentication system, ID-based control of the IP-based firewall is possible will do

나아가, 본 발명의 실시예들에 따르면, RADIUS 서버와 연동함으로써, 무선네트워크 접속 사용자에 대한 방화벽 정책 설정이 용이하게 된다.Furthermore, according to embodiments of the present invention, by interworking with a RADIUS server, it is easy to set a firewall policy for a user accessing a wireless network.

도 1은 본 발명의 실시예들이 적용되는 시스템 환경(1)의 예시도
도 2는 본 발명의 일 실시예에 따른 방화벽 정책 제어 장치의 구성도
도 3은 본 발명의 일 실시예에 따른 방화벽 정책 제어 방법의 흐름도
도 4는 본 발명의 다른 실시예에 따른 방화벽 정책 제어 방법의 흐름도
도 5는 본 발명의 또 다른 실시예에 따른 방화벽 정책 제어 방법의 흐름도
도 6은 본 발명의 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도1 is an exemplary diagram of a system environment 1 to which embodiments of the present invention are applied.
2 is a block diagram of a firewall policy control device according to an embodiment of the present invention;
3 is a flowchart of a firewall policy control method according to an embodiment of the present invention;
4 is a flowchart of a firewall policy control method according to another embodiment of the present invention;
5 is a flowchart of a firewall policy control method according to another embodiment of the present invention;
6 is a block diagram illustrating and describing a computing environment including a computing device suitable for use in exemplary embodiments of the present invention;

이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.Hereinafter, specific embodiments of the present invention will be described with reference to the drawings. The following detailed description is provided to provide a comprehensive understanding of the methods, apparatus, and/or systems described herein. However, this is only an example, and the present invention is not limited thereto.

본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.In describing the embodiments of the present invention, if it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. In addition, the terms to be described later are terms defined in consideration of functions in the present invention, which may vary according to intentions or customs of users and operators. Therefore, the definition should be made based on the content throughout this specification. The terminology used in the detailed description is for the purpose of describing embodiments of the present invention only, and should in no way be limiting. Unless explicitly used otherwise, expressions in the singular include the meaning of the plural. In this description, expressions such as “comprising” or “comprising” are intended to indicate certain features, numbers, steps, acts, elements, some or a combination thereof, and one or more other than those described. It should not be construed to exclude the presence or possibility of other features, numbers, steps, acts, elements, or any part or combination thereof.

도 1은 본 발명의 실시예들이 적용되는 시스템 환경(1)의 예시도이다.1 is an exemplary diagram of a system environment 1 to which embodiments of the present invention are applied.

도 1을 참조하면, 본 발명의 일 실시예에 따른 시스템 환경(1)은 인증 시스템(100), 방화벽 정책 제어 장치(200), 정책 등록 시스템(300) 및 하나 이상의 방화벽(300)을 포함한다.Referring to FIG. 1 , a system environment 1 according to an embodiment of the present invention includes an authentication system 100 , a firewall policy control device 200 , a policy registration system 300 , and one or more firewalls 300 . .

인증 시스템(100)은 사용자 단말을 통해 유/무선 네트워크에 접속하고자 하는 사용자에 대한 인증을 수행한다. 구체적으로, 본 발명의 일 실시예에 따르면, 인증 시스템(100)은 예를 들어, RADIUS(Remote Authentication Dial-In User Service) 프로토콜에 기반한 사용자 인증을 수행하는 RADIUS 서버를 포함할 수 있다. 그러나, 반드시 이에 한정되는 것은 아니며, 실시예에 따라, 인증 시스템(100)은 액티브 디렉터리(Active Directory) 서버, LDAP(Lightweight Directory Access Protocol) 서버 등과 같이 아이디 기반 사용자 인증을 수행하는 하나 이상의 서버를 포함할 수 있다.The authentication system 100 authenticates a user who wants to access a wired/wireless network through a user terminal. Specifically, according to an embodiment of the present invention, the authentication system 100 may include a RADIUS server that performs user authentication based on, for example, a Remote Authentication Dial-In User Service (RADIUS) protocol. However, the present invention is not necessarily limited thereto, and according to an embodiment, the authentication system 100 includes one or more servers that perform identity-based user authentication, such as an Active Directory server, a Lightweight Directory Access Protocol (LDAP) server, and the like. can do.

구체적으로, 인증 시스템(100)은 예를 들어, 사용자 아이디 및 패스워드와 같은 사용자 인증 정보를 사용자가 접속하고자 하는 유/무선 네트워크의 네트워크 장비(예를 들어, AP(Access Point), 스위치 등)로부터 수신하여 사용자 인증을 수행할 수 있다. 이때, 사용자 인증은 예를 들어, EAP(Extensible Authentication Protocol) 인증 방식을 통해 수행될 수 있으나, 반드시 이에 한정되는 것은 아니며, 인증 시스템(100)에서 채용하고 있는 인증 방식에 따라 다양한 방식으로 수행될 수 있다.Specifically, the authentication system 100, for example, from the network equipment (eg, AP (Access Point), switch, etc.) of the wired / wireless network to which the user wants to access user authentication information, such as a user ID and password. By receiving it, user authentication can be performed. In this case, user authentication may be performed, for example, through an Extensible Authentication Protocol (EAP) authentication method, but is not limited thereto, and may be performed in various ways depending on the authentication method employed in the authentication system 100 . have.

한편, 인증 시스템(100)은 사용자 인증이 성공된 경우, 해당 사용자에 대한 사용자 정보를 방화벽 정책 제어 장치(200)로 전달한다.Meanwhile, when user authentication is successful, the authentication system 100 transmits user information about the corresponding user to the firewall policy control device 200 .

본 발명의 일 실시예에 따르면, 사용자 정보는 사용자 식별 정보 및 사용자 단말의 IP 주소를 포함할 수 있다. 또한, 사용자 식별 정보는 예를 들어, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함할 수 있다. 이때, 사용자 아이디는 특정 사용자를 식별하기 위한 아이디를 의미하며, 사용자 그룹 아이디는 특정한 사용자 그룹에 속한 사용자들을 식별하기 위한 아이디를 의미할 수 있다. 또한, 사용자 그룹이란, 예를 들어, 회사 내 특정 부서에 소속된 사용자 집단, 특정 직위에 해당하는 사용자 집단, 특정 직무를 수행하는 사용자 집단 등과 같이 복수의 사용자들을 특정한 기준에 따라 분류한 것을 의미할 수 있다. According to an embodiment of the present invention, the user information may include user identification information and an IP address of the user terminal. Also, the user identification information may include, for example, at least one of a user ID and a user group ID. In this case, the user ID may mean an ID for identifying a specific user, and the user group ID may mean an ID for identifying users belonging to a specific user group. In addition, a user group means, for example, a user group belonging to a specific department within the company, a user group corresponding to a specific position, a user group performing a specific job, etc. can

한편, 본 발명의 추가적인 실시예에 따르면, 사용자 정보는 접속 위치 정보, SSID(Service Set Identifier) 등을 더 포함할 수 있다.Meanwhile, according to an additional embodiment of the present invention, the user information may further include access location information, a service set identifier (SSID), and the like.

방화벽 정책 제어 장치(200)는 인증 시스템(100)으로부터 사용자 정보를 전달받아 사용자 식별 정보에 대응하는 보안 정책 정보를 식별하고, 사용자 정보 및 식별된 보안 정책 정보에 따라 하나 이상의 방화벽(300)에 대한 방화벽 정책을 생성한다. 이때, 방화벽(300)은 패킷에 포함된 출발지 IP와 목적지 IP에 기초하여 네트워크 트래픽을 차단하는 IP 기반 방화벽을 포함할 수 있다. 그러나, 반드시 이에 한정되는 것은 아니며, 방화벽(300)은 IP 기반 방화벽 외에도 사용자 식별 정보에 기초하여 네트워크 트래픽을 차단하는 ID 기반 방화벽을 더 포함할 수 있다.The firewall policy control device 200 receives the user information from the authentication system 100 to identify security policy information corresponding to the user identification information, and according to the user information and the identified security policy information, one or more firewalls 300 . Create a firewall policy. In this case, the firewall 300 may include an IP-based firewall that blocks network traffic based on the source IP and the destination IP included in the packet. However, the present invention is not limited thereto, and the firewall 300 may further include an ID-based firewall that blocks network traffic based on user identification information in addition to the IP-based firewall.

한편, 사용자 식별 정보에 대응하는 보안 정책은 예를 들어, 정책 등록 시스템(400)을 통해 사용자에 의해 미리 등록 될 수 있다. 구체적으로, 정책 등록 시스템(400)은 각 사용자가 사용자 식별 정보, 목적지 IP 주소, 접속할 위치, SSID 등을 입력하여 자신에 대한 보안 정책 등록을 신청하기 위한 시스템을 의미할 수 있다. 정책 등록 시스템(400)은 특정 사용자에 의해 보안 정책 등록이 신청된 경우, 해당 사용자에 의해 입력된 정보들을 방화벽 정책 제어 장치(200)로 전달하여 해당 사용자가 입력한 사용자 식별 정보에 대한 보안 정책 정보가 방화벽 정책 제어 장치(200)에 등록되도록 할 수 있다. Meanwhile, the security policy corresponding to the user identification information may be registered in advance by the user through the policy registration system 400 , for example. Specifically, the policy registration system 400 may mean a system for each user to apply for security policy registration for himself/herself by inputting user identification information, destination IP address, access location, SSID, and the like. When a security policy registration is requested by a specific user, the policy registration system 400 transmits the information input by the user to the firewall policy control device 200 and provides security policy information for the user identification information input by the user. may be registered in the firewall policy control device 200 .

도 2는 본 발명의 일 실시예에 따른 방화벽 정책 제어 장치의 구성도이다.2 is a block diagram of an apparatus for controlling a firewall policy according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 일 실시예에 따른 방화벽 정책 제어 장치(200)는 사용자 정보 획득부(210), 보안 정책 관리부(220) 및 방화벽 정책 제어부(230)를 포함한다.Referring to FIG. 2 , the firewall policy control apparatus 200 according to an embodiment of the present invention includes a user information acquisition unit 210 , a security policy management unit 220 , and a firewall policy control unit 230 .

사용자 정보 획득부(210)는 인증 시스템(100)으로부터 사용자 식별 정보 및 사용자 단말의 IP 주소를 포함하는 사용자 정보를 수신한다.The user information acquisition unit 210 receives user information including user identification information and an IP address of the user terminal from the authentication system 100 .

구체적으로, 인증 시스템(100)은 네트워크에 접속하고자 하는 사용자에 대한 사용자 인증을 수행한 후, 인증이 성공된 경우, 해당 사용자에 대한 사용자 정보를 사용자 정보 획득부(210)로 전달하고, 인증이 실패한 경우, 해당 사용자에 대한 네트워크 접속을 차단할 수 있다.Specifically, the authentication system 100 performs user authentication for a user who wants to access the network, and when authentication is successful, transmits user information about the corresponding user to the user information acquisition unit 210, and the authentication is performed. In case of failure, network access for the user may be blocked.

한편, 본 발명의 일 실시예에 따르면, 인증 시스템(100)으로부터 수신되는 사용자 정보는 예를 들어, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함할 수 있다. Meanwhile, according to an embodiment of the present invention, the user information received from the authentication system 100 may include, for example, at least one of a user ID and a user group ID.

한편, 본 발명의 추가적인 실시예에 따르면, 사용자 정보는 상술한 사용자 식별 정보 및 사용자 단말의 IP 주소 외에도 SSID, 접속 위치 등과 같이 방화벽 정책 제어를 위해 활용 가능한 다양한 정보들을 포함할 수 있다. Meanwhile, according to an additional embodiment of the present invention, the user information may include various information usable for firewall policy control, such as an SSID and an access location, in addition to the above-described user identification information and the IP address of the user terminal.

보안 정책 관리부(220)는 기 등록된 하나 이상의 사용자 식별 정보 각각에 대한 사용자 식별 정보별 보안 정책 정보를 저장한다. The security policy management unit 220 stores security policy information for each user identification information for each of one or more previously registered user identification information.

구체적으로, 본 발명의 일 실시예에 따르면, 보안 정책 관리부(220)는 정책 등록 시스템(400)을 통해 미리 등록된 사용자 아이디 및 사용자 그룹 아이디 각각에 대한 보안 정책 정보를 저장할 수 있다.Specifically, according to an embodiment of the present invention, the security policy management unit 220 may store security policy information for each of a user ID and a user group ID registered in advance through the policy registration system 400 .

또한, 본 발명의 일 실시예에 따르면, 보안 정책 관리부(220)에 저장된 사용자 식별 정보별 보안 정책 정보는 사용자 식별 정보 각각에 대해 허용되는 하나 이상의 목적지 IP 주소를 포함할 수 있다. Also, according to an embodiment of the present invention, the security policy information for each user identification information stored in the security policy management unit 220 may include one or more destination IP addresses allowed for each user identification information.

한편, 보안 정책 정보에 포함되는 정보는 목적지 IP 주소에 한정되는 것은 아니며, 실시예에 따라 목적지 IP 주소 외에도 예를 들어, 접속 허용 위치, 목적지 포트, 프로토콜(예를 들어, TCP/IP, UDP 등) 등과 같이 방화벽 정책 제어을 위해 고려될 수 있는 다양한 정보들을 포함할 수 있다.On the other hand, the information included in the security policy information is not limited to the destination IP address, and according to the embodiment, in addition to the destination IP address, for example, a connection allowed location, a destination port, a protocol (eg, TCP/IP, UDP, etc.) ), etc., may include various information that can be considered for firewall policy control.

방화벽 정책 제어부(230)는 사용자 정보 획득부(210)를 통해 수신된 사용자 정보 및 보안 정책 관리부(220)에 저장된 사용자 식별 정보별 보안 정책 정보에 기초하여 하나 이상의 방화벽(300) 각각에 대한 방화벽 정책을 생성하고, 생성된 방화벽 정책을 각 방화벽(300)에 적용한다.Firewall policy control unit 230 based on the user information received through the user information acquisition unit 210 and the security policy information for each user identification information stored in the security policy management unit 220, the firewall policy for each of one or more firewalls (300) and apply the generated firewall policy to each firewall 300 .

구체적으로, 본 발명의 일 실시예에 따르면, 방화벽 정책 제어부(230)는 보안 정책 관리부(220)에 저장된 사용자 식별 정보별 보안 정책 정보 중 인증 시스템(100)으로부터 수신된 사용자 식별 정보에 대응되는 보안 정책 정보를 식별할 수 있다. 예를 들어, 방화벽 정책 제어부(230)는 인증 시스템(100)으로부터 사용자 아이디가 수신된 경우, 보안 정책 관리부(220)에 저장된 사용자 식별 정보별 보안 정책 정보 중 수신된 사용자 아이디에 대응되는 보안 정책 정보를 식별할 수 있다.Specifically, according to one embodiment of the present invention, the firewall policy control unit 230 is a security policy corresponding to the user identification information received from the authentication system 100 among the security policy information for each user identification information stored in the security policy management unit 220 . Policy information can be identified. For example, when a user ID is received from the authentication system 100 , the firewall policy control unit 230 may include security policy information corresponding to the received user ID among the security policy information for each user identification information stored in the security policy management unit 220 . can be identified.

다른 예로, 방화벽 정책 제어부(230)는 인증 시스템(100)으로부터 사용자 아이디 및 사용자 그룹 아이디가 수신된 경우, 보안 정책 관리부(220)에 저장된 사용자 식별 정보별 보안 정책 정보 중 수신된 사용자 아이디 및 사용자 그룹 아이디 각각에 대응되는 보안 정책 정보를 식별할 수 있다.As another example, when the user ID and user group ID are received from the authentication system 100 , the firewall policy control unit 230 may include the received user ID and user group among the security policy information for each user identification information stored in the security policy management unit 220 . Security policy information corresponding to each ID may be identified.

한편, 본 발명의 일 실시예에 따르면, 사용자 식별 정보에 대응되는 보안 정책 정보가 식별된 경우, 방화벽 정책 제어부(230)는 사용자 정보에 포함된 사용자 단말의 IP 주소와 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로 상에 존재하는 하나 이상의 방화벽(300)을 식별할 수 있다. 이때, 네트워크 경로 상에 존재하는 방화벽(300)은 예를 들어, 미리 저장된 네트워크 토폴로지 정보에 기초하여 식별될 수 있다.Meanwhile, according to an embodiment of the present invention, when the security policy information corresponding to the user identification information is identified, the firewall policy control unit 230 includes the IP address of the user terminal included in the user information and the identified security policy information. It is possible to identify one or more firewalls 300 existing on a network path between the destination IP addresses. In this case, the firewall 300 existing on the network path may be identified based on, for example, network topology information stored in advance.

이후, 방화벽 정책 제어부(230)는 사용자 단말의 IP 주소와 목적지 IP 주소 사이의 네트워크 경로에 대한 차단이 해제되도록 식별된 각 방화벽(300)에 대한 방화벽 정책을 생성할 수 있다. 구체적으로, 방화벽 정책 제어부(230)는 사용자 단말의 IP 주소를 출발지로하고, 목적지 IP를 목적지로 하는 네트워크 트래픽에 대한 차단이 해제되도록 식별된 각 방화벽(300)에 대한 방화벽 정책을 생성할 수 있다. 이때, 본 발명의 일 실시예에 따르면, 보안 정책 제어부(230)는 식별된 각 방화벽(300)에 대한 제품 정보(예를 들어, 모델 정보, 제조사 정보 등)에 기초하여 각 방화벽(300)에 적합한 방화벽 정책을 생성할 수 있다.Thereafter, the firewall policy control unit 230 may generate a firewall policy for each identified firewall 300 such that a block on a network path between the IP address of the user terminal and the destination IP address is released. Specifically, the firewall policy control unit 230 may create a firewall policy for each identified firewall 300 such that the IP address of the user terminal as the source and the blocking of the network traffic destined for the destination IP is released. . At this time, according to an embodiment of the present invention, the security policy control unit 230 provides information on each firewall 300 based on the identified product information (eg, model information, manufacturer information, etc.) for each firewall 300 . You can create an appropriate firewall policy.

한편, 본 발명의 일 실시예에 따르면, 방화벽 정책 제어부(230)는 인증 시스템(100)으로부터 수신된 사용자 정보에 접속 위치 정보가 포함되어 있는 경우, 해당 접속 위치 정보가 식별된 보안 정책 정보에 포함된 접속 허용 위치와 일치하는지 여부에 따라 하나 이상의 방화벽(300)에 대한 방화벽 정책을 생성할 수 있다.Meanwhile, according to an embodiment of the present invention, when the access location information is included in the user information received from the authentication system 100 , the firewall policy control unit 230 includes the access location information in the identified security policy information. A firewall policy for one or more firewalls 300 may be created depending on whether it matches the established access allowed location.

예를 들어, 인증 시스템(100)으로부터 수신된 사용자 정보에 사용자 ID 및 사용자 단말의 IP 주소와 함께 사업장 A가 접속 위치로 포함되어 있으나, 해당 사용자 ID에 대한 보안 정책 정보에 사업장 B만이 접속 허용 위치로 등록되어 있는 경우, 방화벽 정책 제어부(230)는 별도의 방화벽 정책을 생성하지 않는다. 이에 따라, 사용자 정보에 포함된 사용자 단말의 IP 주소와 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로는 방화벽(300)에 의해 차단될 수 있다.For example, in the user information received from the authentication system 100, business place A is included as an access location along with the user ID and the IP address of the user terminal, but in the security policy information for the user ID, only business site B allows access. is registered, the firewall policy control unit 230 does not create a separate firewall policy. Accordingly, the network path between the IP address of the user terminal included in the user information and the destination IP address included in the security policy information may be blocked by the firewall 300 .

반면, 해당 사용자 ID에 대한 보안 정책 정보에 사업장 A가 접속 허용 위치로 등록되어 있는 경우, 방화벽 정책 제어부(230)는 사용자 정보에 포함된 사용자 단말의 IP 주소와 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로 상의 방화벽(300)들에 대한 방화벽 정책을 생성하여 적용함으로써, 해당 네트워크 경로에 대한 차단이 해제되도록 제어할 수 있다.On the other hand, when business A is registered as an access allowed location in the security policy information for the corresponding user ID, the firewall policy control unit 230 controls the IP address of the user terminal included in the user information and the destination IP address included in the security policy information. By creating and applying a firewall policy for the firewalls 300 on the network path between them, it is possible to control the blocking of the corresponding network path to be released.

한편, 본 발명의 일 실시예에 따르면, 방화벽 정책 제어부(230)는 인증 시스템(100)으로부터 수신된 사용자 정보에 접속 위치 정보 및 SSID가 포함되어 있는 경우, 해당 접속 위치 정보 및 SSID에 기초하여 사용자 단말로 제공 가능한 무선 네트워크 서비스가 존재하는지 여부를 판단할 수 있다. 이때, 제공 가능한 무선 네트워크 서비스가 존재하는 경우, 사용자 정보에 포함된 사용자 단말의 IP 주소와 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로 상의 방화벽(300)들에 대한 방화벽 정책을 생성하여 적용함으로써, 해당 네트워크 경로에 대한 차단이 해제되도록 제어할 수 있다.Meanwhile, according to an embodiment of the present invention, when the access location information and the SSID are included in the user information received from the authentication system 100 , the firewall policy control unit 230 controls the user based on the access location information and the SSID. It may be determined whether there is a wireless network service that can be provided to the terminal. At this time, if there is a wireless network service that can be provided, create and apply a firewall policy for the firewalls 300 on the network path between the IP address of the user terminal included in the user information and the destination IP address included in the security policy information By doing so, it is possible to control the blocking of the corresponding network path to be released.

반면, 사용자 단말로 제공 가능한 무선 네트워크 서비스가 존재하지 않는 경우, 방화벽 정책 제어부(230)는 별도의 방화벽 정책을 생성하지 않는다. 이에 따라, 사용자 정보에 포함된 사용자 단말의 IP 주소와 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로는 방화벽(300)에 의해 차단될 수 있다On the other hand, when there is no wireless network service that can be provided to the user terminal, the firewall policy controller 230 does not create a separate firewall policy. Accordingly, the network path between the IP address of the user terminal included in the user information and the destination IP address included in the security policy information may be blocked by the firewall 300 .

한편, 일 실시예에서, 도 1에 도시된 사용자 정보 획득부(210), 보안 정책 관리부(220) 및 방화벽 정책 제어부(230)는 하나 이상의 프로세서 및 그 프로세서와 연결된 컴퓨터 판독 가능 기록 매체를 포함하는 하나 이상의 컴퓨팅 장치 상에서 구현될 수 있다. 컴퓨터 판독 가능 기록 매체는 프로세서의 내부 또는 외부에 있을 수 있고, 잘 알려진 다양한 수단으로 프로세서와 연결될 수 있다. 컴퓨팅 장치 내의 프로세서는 각 컴퓨팅 장치로 하여금 본 명세서에서 기술되는 예시적인 실시예에 따라 동작하도록 할 수 있다. 예를 들어, 프로세서는 컴퓨터 판독 가능 기록 매체에 저장된 명령어를 실행할 수 있고, 컴퓨터 판독 가능 기록 매체에 저장된 명령어는 프로세서에 의해 실행되는 경우 컴퓨팅 장치로 하여금 본 명세서에 기술되는 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.On the other hand, in one embodiment, the user information acquisition unit 210, the security policy management unit 220 and the firewall policy control unit 230 shown in Figure 1 includes one or more processors and a computer-readable recording medium connected to the processor It may be implemented on one or more computing devices. The computer-readable recording medium may be internal or external to the processor, and may be connected to the processor by various well-known means. A processor within the computing device may cause each computing device to operate in accordance with the exemplary embodiments described herein. For example, the processor may execute instructions stored in a computer-readable recording medium, and the instructions stored in the computer-readable recording medium, when executed by the processor, cause the computing device to operate according to the exemplary embodiments described herein. can be configured to perform

도 3은 본 발명의 일 실시예에 따른 방화벽 정책 제어 방법의 흐름도이다.3 is a flowchart of a firewall policy control method according to an embodiment of the present invention.

도 3에 도시된 방법은 예를 들어, 도 2에 도시된 방화벽 정책 제어 장치(200)에 의해 수행될 수 있다.The method illustrated in FIG. 3 may be performed, for example, by the firewall policy control apparatus 200 illustrated in FIG. 2 .

도 3을 참조하면, 우선, 방화벽 정책 제어 장치(200)는 인증 시스템(100)으로부터 사용자 식별 정보 및 사용자 단말의 IP 주소를 포함하는 사용자 정보를 수신한다(310). 이때, 사용자 식별 정보는 예를 들어, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함할 수 있다.Referring to FIG. 3 , first, the firewall policy control apparatus 200 receives user information including user identification information and an IP address of a user terminal from the authentication system 100 ( 310 ). In this case, the user identification information may include, for example, at least one of a user ID and a user group ID.

이후, 방화벽 정책 제어 장치(200)는 사용자 식별 정보별 보안 정책 정보 중 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별한다(320). 이때, 사용자 식별 정보별 보안 정책 정보는 예를 들어, 미리 등록된 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소를 포함할 수 있다.Thereafter, the firewall policy control apparatus 200 identifies security policy information for the received user identification information from among the security policy information for each user identification information ( 320 ). In this case, the security policy information for each user identification information may include, for example, a destination IP address allowed for each pre-registered user identification information.

한편, 수신된 사용자 식별 정보에 대한 보안 정책 정보가 존재하지 않는 경우, 방화벽 정책 제어 장치(200)는 방화벽 정책 생성을 종료한다(330).On the other hand, when the security policy information for the received user identification information does not exist, the firewall policy control apparatus 200 ends the creation of the firewall policy ( 330 ).

반면, 수신된 사용자 식별 정보에 대한 보안 정책 정보가 존재하는 경우, 방화벽 정책 제어 장치(200)는 수신된 사용자 정보 및 식별된 보안 정책 정보에 기초하여 하나 이상의 방화벽에 대한 방화벽 정책을 생성한다(340). 구체적으로, 방화벽 정책 제어 장치(200)는 네트워크 토폴로지 정보에 기초하여 사용자 정보로서 수신된 사용자 단말 IP 주소와 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로에 존재하는 하나 이상의 방화벽을 식별하고, 식별된 방화벽들이 해당 네트워크 경로에 대한 차단을 해제하도록 각 방화벽에 대한 방화벽 정책을 생성할 수 있다. 이때, 방화벽 정책 제어 장치(200)는 식별된 각 방화벽의 제품 정보(예를 들어, 모델 정보, 제조사 정보 등)에 기초하여 각 방화벽에 적합한 방화벽 정책을 생성할 수 있다.On the other hand, when the security policy information for the received user identification information exists, the firewall policy control device 200 creates a firewall policy for one or more firewalls based on the received user information and the identified security policy information (340) ). Specifically, the firewall policy control device 200 identifies one or more firewalls existing in a network path between the user terminal IP address received as user information and the destination IP address included in the identified security policy information, based on the network topology information. and create a firewall policy for each firewall so that the identified firewalls unblock the corresponding network path. In this case, the firewall policy control apparatus 200 may generate a firewall policy suitable for each firewall based on the identified product information (eg, model information, manufacturer information, etc.) of each firewall.

이후, 방화벽 정책 제어 장치(200)는, 생성된 방화벽 정책을 식별된 각 방화벽에 적용한다(350).Thereafter, the firewall policy control apparatus 200 applies the generated firewall policy to each identified firewall ( 350 ).

도 4는 본 발명의 다른 실시예에 따른 방화벽 정책 제어 방법의 흐름도이다.4 is a flowchart of a firewall policy control method according to another embodiment of the present invention.

도 4에 도시된 방법은 예를 들어, 도 2에 도시된 방화벽 정책 제어 장치(200)에 의해 수행될 수 있다.The method illustrated in FIG. 4 may be performed, for example, by the firewall policy control apparatus 200 illustrated in FIG. 2 .

도 4를 참조하면, 우선, 방화벽 정책 제어 장치(200)는 인증 시스템(100)으로부터 사용자 식별 정보, 사용자 단말 IP 주소 및 접속 위치를 포함하는 사용자 정보를 수신한다(410). 이때, 사용자 식별 정보는 예를 들어, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함할 수 있다.Referring to FIG. 4 , first, the firewall policy control apparatus 200 receives user information including user identification information, a user terminal IP address, and an access location from the authentication system 100 ( 410 ). In this case, the user identification information may include, for example, at least one of a user ID and a user group ID.

이후, 방화벽 정책 제어 장치(200)는 사용자 식별 정보별 보안 정책 정보 중 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별한다(420). 이때, 사용자 식별 정보별 보안 정책 정보는 예를 들어, 미리 등록된 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소 및 접속 허용 위치를 포함할 수 있다.Thereafter, the firewall policy control apparatus 200 identifies security policy information for the received user identification information from among the security policy information for each user identification information ( 420 ). In this case, the security policy information for each user identification information may include, for example, a destination IP address and an access permission location allowed for each pre-registered user identification information.

한편, 수신된 사용자 식별 정보에 대한 보안 정책 정보가 존재하지 않는 경우, 방화벽 정책 제어 장치(200)는 방화벽 정책 생성을 종료한다(430).On the other hand, when the security policy information for the received user identification information does not exist, the firewall policy control apparatus 200 ends the creation of the firewall policy ( 430 ).

반면, 수신된 사용자 식별 정보에 대한 보안 정책 정보가 존재하는 경우, 방화벽 정책 제어 장치(200)는 사용자 정보에 포함된 접속 위치가 식별된 보안 정책 정보에 등록된 접속 허용 위치와 일치하는지 여부를 판단한다(440).On the other hand, when the security policy information for the received user identification information exists, the firewall policy control device 200 determines whether the access location included in the user information matches the access allowed location registered in the identified security policy information do (440).

이때, 일치하는 경우, 방화벽 정책 제어 장치(200)는 수신된 사용자 정보 및 식별된 보안 정책 정보에 기초하여 하나 이상의 방화벽에 대한 방화벽 정책을 생성한다(450). 구체적으로, 방화벽 정책 제어 장치(200)는 네트워크 토폴로지 정보에 기초하여 사용자 정보로서 수신된 사용자 단말 IP 주소와 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로에 존재하는 하나 이상의 방화벽을 식별하고, 식별된 방화벽들이 해당 네트워크 경로에 대한 차단을 해제하도록 각 방화벽에 대한 방화벽 정책을 생성할 수 있다. 또한, 방화벽 정책 제어 장치(200)는 식별된 각 방화벽의 제품 정보(예를 들어, 모델 정보, 제조사 정보 등)에 기초하여 각 방화벽에 적합한 방화벽 정책을 생성할 수 있다.At this time, if they match, the firewall policy control device 200 creates a firewall policy for one or more firewalls based on the received user information and the identified security policy information ( 450 ). Specifically, the firewall policy control device 200 identifies one or more firewalls existing in a network path between the user terminal IP address received as user information and the destination IP address included in the identified security policy information, based on the network topology information. and create a firewall policy for each firewall so that the identified firewalls unblock the corresponding network path. Also, the firewall policy control apparatus 200 may generate a firewall policy suitable for each firewall based on the identified product information (eg, model information, manufacturer information, etc.) of each firewall.

이후, 방화벽 정책 제어 장치(200)는, 생성된 방화벽 정책을 식별된 각 방화벽에 적용한다(460).Thereafter, the firewall policy control device 200 applies the generated firewall policy to each identified firewall ( 460 ).

한편, 440 단계에서, 사용자 정보에 포함된 접속 위치가 식별된 보안 정책 정보에 등록된 접속 허용 위치와 일치하지 않는 경우, 방화벽 정책 제어 장치(200)는 방화벽 정책 생성을 종료한다.Meanwhile, in step 440 , when the access location included in the user information does not match the access permitted location registered in the identified security policy information, the firewall policy control device 200 ends the firewall policy creation.

도 5는 본 발명의 또 다른 실시예에 따른 방화벽 정책 제어 방법의 흐름도이다.5 is a flowchart of a firewall policy control method according to another embodiment of the present invention.

도 5에 도시된 방법은 예를 들어, 도 2에 도시된 방화벽 정책 제어 장치(200)에 의해 수행될 수 있다.The method illustrated in FIG. 5 may be performed, for example, by the firewall policy control apparatus 200 illustrated in FIG. 2 .

도 5를 참조하면, 우선, 방화벽 정책 제어 장치(200)는 인증 시스템(100)으로부터 사용자 식별 정보, 접속 위치 정보, 사용자 단말 IP 주소 및 SSID를 포함하는 사용자 정보를 수신한다(510). 이때, 사용자 식별 정보는 예를 들어, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함할 수 있다.Referring to FIG. 5 , first, the firewall policy control apparatus 200 receives user information including user identification information, access location information, a user terminal IP address, and an SSID from the authentication system 100 ( 510 ). In this case, the user identification information may include, for example, at least one of a user ID and a user group ID.

이후, 방화벽 정책 제어 장치(200)는 사용자 식별 정보별 보안 정책 정보 중 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별한다(520). 이때, 보안 정책 정보는 예를 들어, 미리 등록된 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소를 포함할 수 있다.Thereafter, the firewall policy control apparatus 200 identifies security policy information for the received user identification information from among the security policy information for each user identification information ( 520 ). In this case, the security policy information may include, for example, a destination IP address allowed for each pre-registered user identification information.

한편, 수신된 사용자 식별 정보에 대한 보안 정책 정보가 존재하지 않는 경우, 방화벽 정책 제어 장치(200)는 방화벽 정책 생성을 종료한다(530).On the other hand, when the security policy information for the received user identification information does not exist, the firewall policy control apparatus 200 ends the creation of the firewall policy (530).

반면, 수신된 사용자 식별 정보에 대한 보안 정책 정보가 존재하는 경우, 방화벽 정책 제어 장치(200)는 사용자 정보에 포함된 접속 위치 정보 및 SSID에 기초하여 사용자 단말로 제공 가능한 무선 네트워크 서비스가 존재하는지 여부를 판단한다(540).On the other hand, when the security policy information for the received user identification information exists, the firewall policy control apparatus 200 determines whether a wireless network service that can be provided to the user terminal exists based on the access location information and the SSID included in the user information. is determined (540).

이때, 제공 가능한 무선 네트워크 서비스가 존재하는 경우, 방화벽 정책 제어 장치(200)는 수신된 사용자 정보 및 식별된 보안 정책 정보에 기초하여 하나 이상의 방화벽에 대한 방화벽 정책을 생성한다(550). 구체적으로, 방화벽 정책 제어 장치(200)는 네트워크 토폴로지 정보에 기초하여 사용자 정보로서 수신된 사용자 단말 IP 주소와 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로에 존재하는 하나 이상의 방화벽을 식별하고, 식별된 방화벽들이 해당 네트워크 경로에 대한 차단을 해제하도록 각 방화벽에 대한 방화벽 정책을 생성할 수 있다. 또한, 방화벽 정책 제어 장치(200)는 식별된 각 방화벽의 제품 정보(예를 들어, 모델 정보, 제조사 정보 등)에 기초하여 각 방화벽에 적합한 방화벽 정책을 생성할 수 있다.In this case, if there is a wireless network service that can be provided, the firewall policy control apparatus 200 creates a firewall policy for one or more firewalls based on the received user information and the identified security policy information ( S550 ). Specifically, the firewall policy control device 200 identifies one or more firewalls existing in a network path between the user terminal IP address received as user information and the destination IP address included in the identified security policy information, based on the network topology information. and create a firewall policy for each firewall so that the identified firewalls unblock the corresponding network path. Also, the firewall policy control apparatus 200 may generate a firewall policy suitable for each firewall based on the identified product information (eg, model information, manufacturer information, etc.) of each firewall.

이후, 방화벽 정책 제어 장치(200)는, 생성된 방화벽 정책을 식별된 각 방화벽에 적용한다(560).Thereafter, the firewall policy control device 200 applies the generated firewall policy to each identified firewall ( 560 ).

한편, 540 단계에서, 사용자 단말로 제공 가능한 무선 네트워크 서비스가 존재하지 않는 경우, 방화벽 정책 제어 장치(200)는 방화벽 정책을 생성을 종료한다.Meanwhile, in step 540 , when there is no wireless network service that can be provided to the user terminal, the firewall policy control apparatus 200 ends the creation of the firewall policy.

한편, 도 3 내지 도 5에 도시된 흐름도에서는 네트워크 접속 제어 과정을 복수 개의 단계로 나누어 기재하였으나, 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.On the other hand, in the flowcharts shown in FIGS. 3 to 5, the network access control process is described by dividing the process into a plurality of steps, but at least some of the steps are performed in a different order, are performed in combination with other steps, are performed together, are omitted, or detailed steps are performed. It may be performed by being divided into , or one or more steps not shown may be added and performed.

도 6은 본 발명의 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도이다. 도시된 실시예에서, 각 컴포넌트들은 이하에 기술된 것 이외에 상이한 기능 및 능력을 가질 수 있고, 이하에 기술되지 것 이외에도 추가적인 컴포넌트를 포함할 수 있다.6 is a block diagram illustrating and describing a computing environment including a computing device suitable for use in exemplary embodiments of the present invention. In the illustrated embodiment, each component may have different functions and capabilities other than those described below, and may include additional components other than those described below.

도시된 컴퓨팅 환경(10)은 컴퓨팅 장치(12)를 포함한다. 일 실시예에서, 컴퓨팅 장치(12)는 예를 들어, 도 2에 도시된 사용자 정보 획득부(210), 보안 정책 관리부(220) 및 방화벽 정책 제어부(230)와 같이 방화벽 정책 제어 장치(100)에 포함되는 하나 이상의 컴포넌트일 수 있다.The illustrated computing environment 10 includes a computing device 12 . In one embodiment, the computing device 12 includes, for example, the firewall policy control device 100 such as the user information acquisition unit 210, the security policy management unit 220 and the firewall policy control unit 230 shown in FIG. 2 . It may be one or more components included in .

컴퓨팅 장치(12)는 적어도 하나의 프로세서(14), 컴퓨터 판독 가능 저장 매체(16) 및 통신 버스(18)를 포함한다. 프로세서(14)는 컴퓨팅 장치(12)로 하여금 앞서 언급된 예시적인 실시예에 따라 동작하도록 할 수 있다. 예컨대, 프로세서(14)는 컴퓨터 판독 가능 저장 매체(16)에 저장된 하나 이상의 프로그램들을 실행할 수 있다. 상기 하나 이상의 프로그램들은 하나 이상의 컴퓨터 실행 가능 명령어를 포함할 수 있으며, 상기 컴퓨터 실행 가능 명령어는 프로세서(14)에 의해 실행되는 경우 컴퓨팅 장치(12)로 하여금 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.Computing device 12 includes at least one processor 14 , computer readable storage medium 16 , and communication bus 18 . The processor 14 may cause the computing device 12 to operate in accordance with the exemplary embodiments discussed above. For example, the processor 14 may execute one or more programs stored in the computer-readable storage medium 16 . The one or more programs may include one or more computer-executable instructions that, when executed by the processor 14, configure the computing device 12 to perform operations in accordance with the exemplary embodiment. can be

컴퓨터 판독 가능 저장 매체(16)는 컴퓨터 실행 가능 명령어 내지 프로그램 코드, 프로그램 데이터 및/또는 다른 적합한 형태의 정보를 저장하도록 구성된다. 컴퓨터 판독 가능 저장 매체(16)에 저장된 프로그램(20)은 프로세서(14)에 의해 실행 가능한 명령어의 집합을 포함한다. 일 실시예에서, 컴퓨터 판독 가능 저장 매체(16)는 메모리(랜덤 액세스 메모리와 같은 휘발성 메모리, 비휘발성 메모리, 또는 이들의 적절한 조합), 하나 이상의 자기 디스크 저장 디바이스들, 광학 디스크 저장 디바이스들, 플래시 메모리 디바이스들, 그 밖에 컴퓨팅 장치(12)에 의해 액세스되고 원하는 정보를 저장할 수 있는 다른 형태의 저장 매체, 또는 이들의 적합한 조합일 수 있다.Computer-readable storage medium 16 is configured to store computer-executable instructions or program code, program data, and/or other suitable form of information. The program 20 stored in the computer readable storage medium 16 includes a set of instructions executable by the processor 14 . In one embodiment, computer-readable storage medium 16 includes memory (volatile memory, such as random access memory, non-volatile memory, or a suitable combination thereof), one or more magnetic disk storage devices, optical disk storage devices, flash It may be memory devices, other forms of storage medium accessed by computing device 12 and capable of storing desired information, or a suitable combination thereof.

통신 버스(18)는 프로세서(14), 컴퓨터 판독 가능 저장 매체(16)를 포함하여 컴퓨팅 장치(12)의 다른 다양한 컴포넌트들을 상호 연결한다.Communication bus 18 interconnects various other components of computing device 12 , including processor 14 and computer readable storage medium 16 .

컴퓨팅 장치(12)는 또한 하나 이상의 입출력 장치(24)를 위한 인터페이스를 제공하는 하나 이상의 입출력 인터페이스(22) 및 하나 이상의 네트워크 통신 인터페이스(26)를 포함할 수 있다. 입출력 인터페이스(22) 및 네트워크 통신 인터페이스(26)는 통신 버스(18)에 연결된다. 입출력 장치(24)는 입출력 인터페이스(22)를 통해 컴퓨팅 장치(12)의 다른 컴포넌트들에 연결될 수 있다. 예시적인 입출력 장치(24)는 포인팅 장치(마우스 또는 트랙패드 등), 키보드, 터치 입력 장치(터치패드 또는 터치스크린 등), 음성 또는 소리 입력 장치, 다양한 종류의 센서 장치 및/또는 촬영 장치와 같은 입력 장치, 및/또는 디스플레이 장치, 프린터, 스피커 및/또는 네트워크 카드와 같은 출력 장치를 포함할 수 있다. 예시적인 입출력 장치(24)는 컴퓨팅 장치(12)를 구성하는 일 컴포넌트로서 컴퓨팅 장치(12)의 내부에 포함될 수도 있고, 컴퓨팅 장치(12)와는 구별되는 별개의 장치로 컴퓨팅 장치(12)와 연결될 수도 있다.Computing device 12 may also include one or more input/output interfaces 22 and one or more network communication interfaces 26 that provide interfaces for one or more input/output devices 24 . The input/output interface 22 and the network communication interface 26 are coupled to the communication bus 18 . Input/output device 24 may be coupled to other components of computing device 12 via input/output interface 22 . Exemplary input/output device 24 may include a pointing device (such as a mouse or trackpad), a keyboard, a touch input device (such as a touchpad or touchscreen), a voice or sound input device, various types of sensor devices, and/or imaging devices. input devices and/or output devices such as display devices, printers, speakers and/or network cards. The exemplary input/output device 24 may be included in the computing device 12 as a component constituting the computing device 12 , and may be connected to the computing device 12 as a separate device distinct from the computing device 12 . may be

이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.Although representative embodiments of the present invention have been described in detail above, those of ordinary skill in the art to which the present invention pertains will understand that various modifications are possible without departing from the scope of the present invention with respect to the above-described embodiments. . Therefore, the scope of the present invention should not be limited to the described embodiments, and should be defined by the claims described below as well as the claims and equivalents.

10: 컴퓨팅 환경
12: 컴퓨팅 장치
14: 프로세서
16: 컴퓨터 판독 가능 저장 매체
18: 통신 버스
20: 프로그램
22: 입출력 인터페이스
24: 입출력 장치
26: 네트워크 통신 인터페이스
100: 인증 시스템
200: 방화벽 정책 제어 장치
210: 사용자 정보 획득부
220: 보안 정책 관리부
230: 방화벽 정책 제어부
300: 방화벽
400: 정책 등록 시스템10: Computing Environment
12: computing device
14: Processor
16: computer readable storage medium
18: communication bus
20: Program
22: input/output interface
24: input/output device
26: network communication interface
100: authentication system
200: firewall policy control device
210: user information acquisition unit
220: security policy management unit
230: firewall policy control section
300: firewall
400: policy registration system

Claims (18)

네트워크 접속을 위한 사용자 인증을 수행하는 인증 시스템으로부터 사용자 식별 정보 및 사용자 단말의 IP(Internet Protocol) 주소를 포함하는 사용자 정보를 수신하는 사용자 정보 수신부;
기 등록된 하나 이상의 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소를 포함하는 사용자 식별 정보별 보안 정책 정보를 저장하는 보안 정책 관리부; 및
상기 사용자 식별 정보별 보안 정책 정보 중 상기 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별하고, 상기 식별된 보안 정책 정보 및 상기 사용자 정보에 기초하여 상기 사용자 단말의 IP 주소와 상기 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로 상에 존재하는 하나 이상의 방화벽을 식별하고, 식별된 하나 이상의 방화벽에 대해 상기 네트워크 경로에 대한 차단이 해제되도록 방화벽 정책을 생성하고, 상기 생성된 방화벽 정책을 상기 하나 이상의 방화벽 각각에 적용하는 방화벽 정책 제어부를 포함하는 방화벽 정책 제어 장치.
a user information receiving unit for receiving user information including user identification information and an Internet Protocol (IP) address of a user terminal from an authentication system that performs user authentication for network access;
a security policy management unit configured to store security policy information for each user identification information including a destination IP address allowed for each of one or more previously registered user identification information; and
Identifies security policy information for the received user identification information from among the security policy information for each user identification information, and based on the identified security policy information and the user information, the IP address of the user terminal and the identified security policy information Identifies one or more firewalls existing on a network path between destination IP addresses included in A firewall policy control device comprising a firewall policy control unit that applies to each of one or more firewalls.
 청구항 1에 있어서,
상기 하나 이상의 방화벽은, IP 기반 방화벽을 포함하는 방화벽 정책 제어 장치.
The method according to claim 1,
The one or more firewalls, a firewall policy control device comprising an IP-based firewall.
 청구항 1에 있어서,
상기 사용자 식별 정보는, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함하는 방화벽 정책 제어 장치.
The method according to claim 1,
The user identification information includes at least one of a user ID and a user group ID.
 삭제delete 청구항 1에 있어서,
상기 방화벽 정책 제어부는, 네트워크 토폴로지(topology) 정보를 이용하여 상기 네트워크 경로 상에 존재하는 하나 이상의 방화벽을 식별하는 방화벽 정책 제어 장치.
The method according to claim 1,
The firewall policy control unit is configured to identify one or more firewalls existing on the network path by using network topology information.
 청구항 1에 있어서,
상기 사용자 정보는, 접속 위치 정보를 더 포함하고,
상기 사용자 식별 정보별 보안 정책 정보는, 접속 허용 위치 정보를 더 포함하는 방화벽 정책 제어 장치.
The method according to claim 1,
The user information further includes access location information,
The security policy information for each user identification information, the firewall policy control device further includes access allowed location information.
 청구항 6에 있어서,
상기 방화벽 정책 제어부는, 상기 접속 위치 정보와 상기 식별된 보안 정책 정보에 포함된 접속 허용 위치 정보가 일치하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성하는 방화벽 정책 제어 장치.
7. The method of claim 6,
The firewall policy control unit, when the access location information and the access allowed location information included in the identified security policy information match, the firewall policy control device to generate the firewall policy so that the block on the network path is released.
 청구항 6에 있어서,
상기 사용자 정보는, SSID(Service Set Identifier)를 더 포함하고,
상기 방화벽 정책 제어부는, 상기 접속 위치 정보 및 상기 SSID에 기초하여 제공 가능한 무선 네트워크 서비스가 존재하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성하는 방화벽 정책 제어 장치.
7. The method of claim 6,
The user information further includes a Service Set Identifier (SSID),
The firewall policy controller is configured to generate the firewall policy so that, when there is a wireless network service that can be provided based on the access location information and the SSID, blocking of the network path is released.
 청구항 1에 있어서,
상기 인증 시스템은, RADIUS(Remote Authentication Dial-In User Service) 프로토콜 기반 사용자 인증을 수행하는 RADIUS 서버를 포함하는 방화벽 정책 제어 장치.
The method according to claim 1,
The authentication system, a firewall policy control device including a RADIUS server for performing a RADIUS (Remote Authentication Dial-In User Service) protocol-based user authentication.
 네트워크 접속을 위한 사용자 인증을 수행하는 인증 시스템으로부터 사용자 식별 정보 및 사용자 단말의 IP(Internet Protocol) 주소를 포함하는 사용자 정보를 수신하는 단계;
기 등록된 하나 이상의 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소를 포함하는 사용자 식별 정보 별 보안 정책 정보 중 상기 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별하는 단계;
상기 식별된 보안 정책 정보 및 상기 사용자 정보에 기초하여 상기 사용자 단말의 IP 주소와 상기 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로 상에 존재하는 하나 이상의 방화벽을 식별하고, 식별된 하나 이상의 방화벽에 대해 상기 네트워크 경로에 대한 차단이 해제되도록 방화벽 정책을 생성하는 단계; 및
상기 생성된 방화벽 정책을 상기 하나 이상의 방화벽 각각에 적용하는 단계를 포함하는 방화벽 정책 제어 방법.
Receiving user information including user identification information and an Internet Protocol (IP) address of a user terminal from an authentication system that performs user authentication for network access;
identifying security policy information for the received user identification information from among security policy information for each user identification information including a destination IP address allowed for each of one or more pieces of previously registered user identification information;
Identifies one or more firewalls existing on a network path between the IP address of the user terminal and the destination IP address included in the identified security policy information based on the identified security policy information and the user information, and the identified one creating a firewall policy so that the block on the network path is released for the above firewall; and
and applying the generated firewall policy to each of the one or more firewalls.
 청구항 10에 있어서,
상기 하나 이상의 방화벽은, IP 기반 방화벽을 포함하는 방화벽 정책 제어 방법.
11. The method of claim 10,
The one or more firewalls, a firewall policy control method comprising an IP-based firewall.
 청구항 10에 있어서,
상기 사용자 식별 정보는, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함하는 방화벽 정책 제어 방법.
11. The method of claim 10,
The user identification information includes at least one of a user ID and a user group ID.
 삭제delete 청구항 10에 있어서,
상기 생성하는 단계는, 네트워크 토폴로지(topology) 정보를 이용하여 상기 네트워크 경로 상에 존재하는 하나 이상의 방화벽을 식별하는 방화벽 정책 제어 방법.
11. The method of claim 10,
In the generating, the firewall policy control method identifies one or more firewalls existing on the network path by using network topology information.
 청구항 10에 있어서,
상기 사용자 정보는, 접속 위치 정보를 더 포함하고,
상기 사용자 식별 정보별 보안 정책 정보는, 접속 허용 위치 정보를 더 포함하는 방화벽 정책 제어 방법.
11. The method of claim 10,
The user information further includes access location information,
The security policy information for each user identification information, firewall policy control method further comprising access allowed location information.
 청구항 15에 있어서,
상기 생성하는 단계는, 상기 접속 위치 정보와 상기 식별된 보안 정책 정보에 포함된 접속 허용 위치 정보가 일치하는지 여부를 판단하는 단계; 및
상기 접속 위치 정보와 상기 식별된 보안 정책 정보에 포함된 접속 허용 위치 정보가 일치하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성하는 단계를 포함하는 방화벽 정책 제어 방법.
16. The method of claim 15,
The generating may include: determining whether the access location information matches the access location information included in the identified security policy information; and
and generating the firewall policy so that the block on the network path is canceled when the access location information and the access allowed location information included in the identified security policy information match.
 청구항 15에 있어서,
상기 사용자 정보는, SSID(Service Set Identifier)를 더 포함하고,
상기 생성하는 단계는, 상기 접속 위치 정보 및 상기 SSID에 기초하여 제공 가능한 무선 네트워크 서비스가 존재하는지 여부를 판단하는 단계; 및
상기 제공 가능한 무선 네트워크 서비스가 존재하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성하는 단계를 포함하는 방화벽 정책 제어 방법.
16. The method of claim 15,
The user information further includes a Service Set Identifier (SSID),
The generating may include: determining whether a wireless network service that can be provided exists based on the access location information and the SSID; and
and generating the firewall policy so that the block on the network path is released when the available wireless network service exists.
 청구항 10에 있어서,
상기 인증 시스템은, RADIUS(Remote Authentication Dial-In User Service) 프로토콜 기반 사용자 인증을 수행하는 RADIUS 서버를 포함하는 방화벽 정책 제어 방법.
11. The method of claim 10,
The authentication system includes a RADIUS server for performing remote authentication dial-in user service (RADIUS) protocol-based user authentication.
KR1020170136029A 2017-10-19 2017-10-19 Apparatus and method for controling firewall policy KR102333028B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170136029A KR102333028B1 (en) 2017-10-19 2017-10-19 Apparatus and method for controling firewall policy

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170136029A KR102333028B1 (en) 2017-10-19 2017-10-19 Apparatus and method for controling firewall policy

Publications (2)

Publication Number Publication Date
KR20190043921A KR20190043921A (en) 2019-04-29
KR102333028B1 true KR102333028B1 (en) 2021-11-29

Family

ID=66282430

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170136029A KR102333028B1 (en) 2017-10-19 2017-10-19 Apparatus and method for controling firewall policy

Country Status (1)

Country Link
KR (1) KR102333028B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102430988B1 (en) 2022-02-10 2022-08-11 (주)제너럴데이타 Method, device and system for controlling policy setting of host firewall based on artificial intelligence

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115225307A (en) * 2022-05-12 2022-10-21 马上消费金融股份有限公司 Firewall management method, system, electronic equipment and storage medium

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3852017B2 (en) * 2003-02-05 2006-11-29 日本電信電話株式会社 Firewall device

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100707805B1 (en) * 2004-03-24 2007-04-17 엑서스케이알 주식회사 Authentication system being capable of controlling authority based of user and authenticator
KR20060044494A (en) * 2004-03-24 2006-05-16 엑서스테크놀러지 주식회사 Network management system and network management server of co-operating with authentication server
KR101415850B1 (en) 2012-11-30 2014-07-09 한국전자통신연구원 Apparatus and method for checking firewall policy

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3852017B2 (en) * 2003-02-05 2006-11-29 日本電信電話株式会社 Firewall device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102430988B1 (en) 2022-02-10 2022-08-11 (주)제너럴데이타 Method, device and system for controlling policy setting of host firewall based on artificial intelligence

Also Published As

Publication number Publication date
KR20190043921A (en) 2019-04-29

Similar Documents

Publication Publication Date Title
US10652226B2 (en) Securing communication over a network using dynamically assigned proxy servers
KR102115837B1 (en) Micro VPN tunneling for mobile platforms
US10319160B2 (en) Anonymous and ephemeral tokens to authenticate elevator calls
JP6643373B2 (en) Information processing system, control method and program therefor
US10778775B2 (en) Control of network connected devices
WO2015160734A1 (en) Device registration, authentication, and authorization system and method
US9584523B2 (en) Virtual private network access control
CN106506295B (en) Method and device for accessing virtual machine to network
US10404684B1 (en) Mobile device management registration
JP2016063417A (en) Vpn access control system, operation method therefor, program, vpn router and server
US10491595B2 (en) Systems and methods for controlling email access
US11855993B2 (en) Data shield system with multi-factor authentication
KR101310631B1 (en) System and method for controlling access to network
US20230006988A1 (en) Method for selectively executing a container, and network arrangement
KR102333028B1 (en) Apparatus and method for controling firewall policy
JP6076276B2 (en) Communication system and communication method
KR101991340B1 (en) Apparatus and method for managing security
TW201721498A (en) Wired area network user management system and method with security and function scalability wherein a network controller is used to control a programmable network switch, and divert a non-authenticated terminal device to an authentication server
JP6347732B2 (en) Authentication system
US11128616B2 (en) Proximity based security
WO2018204024A1 (en) Smart card thumb print authentication
KR101897982B1 (en) Authentication server implementing wireless intranet authentication and ahthentication service method thereof
KR20230151785A (en) Two-factor authentication access control method and system for each account and service using SDP

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant