KR102340901B1 - 방화벽 정책 시각화 방법 및 그 장치 - Google Patents

방화벽 정책 시각화 방법 및 그 장치 Download PDF

Info

Publication number
KR102340901B1
KR102340901B1 KR1020200070483A KR20200070483A KR102340901B1 KR 102340901 B1 KR102340901 B1 KR 102340901B1 KR 1020200070483 A KR1020200070483 A KR 1020200070483A KR 20200070483 A KR20200070483 A KR 20200070483A KR 102340901 B1 KR102340901 B1 KR 102340901B1
Authority
KR
South Korea
Prior art keywords
policy
firewall
firewall policy
source address
graph
Prior art date
Application number
KR1020200070483A
Other languages
English (en)
Other versions
KR20210133830A (ko
Inventor
이현정
현정훈
조현규
Original Assignee
주식회사 코스콤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 코스콤 filed Critical 주식회사 코스콤
Publication of KR20210133830A publication Critical patent/KR20210133830A/ko
Application granted granted Critical
Publication of KR102340901B1 publication Critical patent/KR102340901B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

방화벽 정책 시각화 방법 및 그 장치가 개시된다. 방화벽정책시각화장치는 네트워크에 적용된 복수의 방화벽 정책을 읽고, 방화벽 정책을 정의하는 순서, 출발지 주소, 목적지 주소, 목적지 포트 및 정책내용 중 적어도 하나 이상을 기초로 주소 구간별 상기 방화벽 정책의 존재여부를 격자 그래프로 표시하거나, 오용정책의 존재여부를 병렬 그래프로 표시한다.

Description

방화벽 정책 시각화 방법 및 그 장치{Method for visualizing firewall policy and apparatus therefor}
본 발명의 실시 예는 네트워크 방화벽 정책을 시각화하는 방법 및 그 장치에 관한 것이다.
방화벽이란 신뢰할 수 있는 네트워크와 그 외 외부 네트워크 사이에 장벽을 구성하고 정의된 보안 규칙을 적용하여 방화벽을 통과하는 네트워크 트래픽을 제어하는 네트워크 보안 시스템을 의미한다. 방화벽은 기업의 서비스 구성시 서버 등의 인프라 시스템과 함께 도입되어야 하는 기업의 최소한의 보안 시스템으로 여겨지고 있다.
방화벽이 오랜 기간 운영되는 경우 방화벽 정책의 복잡도가 증가하므로 다음과 같은 여러 가지 문제점이 발생할 수 있다. 첫째, 방화벽 정책에 연관된 서비스 확인의 어려움이다. 증가하는 방화벽 정책 개수로 인해 방화벽 교체나 장애시에 연관된 서비스를 파악하거나 담당 업무 팀을 확인하기가 어려울 수 있다. 둘째, 방화벽 성능의 저하이다. 불필요한 정책이나 중복 정책 등 사용되지 않거나 잘못 사용되는 정책이 증가하여 방화벽 시스템 성능에 부하를 준다. 방화벽 정책 라인 수가 증가하고 방화벽 시스템이 동작하면서 참조해야 할 정책이 증가하는 현상은, 방화벽 성능이 저하되는 주요 원인이다. 셋째, 방화벽 정책상 허용된 서비스의 가시성 확보 불가이다. 정책의 개수가 증가함에 따라 정책의 복잡도 역시 증가하여 허가되어서는 안되는 정책이나 취약점이 있는 서비스를 인지하기 어렵다. 이러한 문제를 해결하기 위하여 과거부터 다양한 방화벽 정책 최적화에 대한 요구사항이 증가해왔다. 방화벽 정책 최적화에 대해 요구사항이 증가함에도 불구하고 정책을 잘못 적용하거나, 정상 정책을 불필요한 정책으로 오인하여 삭제했을 경우 발생할 수 있는 리스크로 인해 실제 방화벽을 운영하는 입장에서 정책 변경안을 적용하기는 쉽지 않는 것이 사실이다.
본 발명이 이루고자 하는 기술적 과제는, 네트워크에 적용된 복수의 방화벽 정책의 존재 여부 또는 오용정책 등을 직관적으로 파악할 수 있도록 방화벽 정책을 그래프로 시각화하는 방법 및 그 장치를 제공하는 데 있다.
상기의 기술적 과제를 달성하기 위한, 본 발명의 실시 예에 따른 방화벽 정책 시각화 방법의 일 예는, 네트워크에 적용된 방화벽 정책을 로딩하는 단계; 및 방화벽 정책을 정의하는 순서, 출발지 주소, 목적지 주소, 목적지 포트 및 정책내용 중 적어도 하나 이상을 기초로 주소 구간별 상기 방화벽 정책의 존재여부를 격자 그래프로 표시하거나, 오용정책의 존재여부를 병렬 그래프로 표시하는 단계;를 포함한다.
상기의 기술적 과제를 달성하기 위한, 본 발명의 실시 예에 따른 방화벽 정책 시각화 장치의 일 예는, 네트워크에 적용된 복수의 방화벽 정책을 읽는 로딩부; 및 방화벽 정책을 정의하는 순서, 출발지 주소, 목적지 주소, 목적지 포트 및 정책내용 중 적어도 하나 이상을 기초로 주소 구간별 상기 방화벽 정책의 존재여부를 격자 그래프로 표시하거나, 오용정책의 존재여부를 병렬 그래프로 표시하는 시각화부;를 포함한다.
본 발명의 실시 예에 따르면, 방화벽 정책의 시각화를 통해 비인가 정책과 오용, 중복 정책, 불필요한 정책의 삭제 등 방화벽 정책을 최적화하여 방화벽 정책 복잡도를 해결할 수 있다. 또한, 비인가 정책의 사용 여부를 쉽게 파악하거나, 취약한 서비스 또는 관련 서비스의 허용 여부의 확인, 변경안 적용 여부를 보다 직관적으로 결정할 수 있다.
도 1은 본 발명의 실시 예에 적용되는 방화벽 정책의 일 예를 도시한 도면,
도 2는 본 발명의 실시 예에 적용되는 방화벽 정책 사이의 관계를 도시한 도면,
도 3은 본 발명의 실시 예에 따른 방화벽정책시각화장치의 일 예의 구성을 도시한 도면,
도 4는 본 발명의 실시 예에 따른 인터넷주소의 계층적 구조의 일 예를 도시한 도면,
도 5는 본 발명의 실시 예에 따른 격자 그래프를 이용한 시각화 방법의 일 예를 도시한 도면,
도 6 내지 도 8은 본 발명의 실시 예에 따라 방화벽 정책의 출발지주소를 계층적으로 선택하였을 때 격자 그래프를 이용한 시각화 결과의 일 예를 도시한 도면,
도 9 내지 도 13은 네트워크에 적용된 방화벽 정책들 중 오용 정책을 용이하게 파악할 수 있도록 병렬 그래프로 시각화하는 방법에 관한 것,
도 14는 중복의 오용정책이 발생하는 경우를 본 발명의 실시 예에 따른 병렬 그래프로 표시한 도면,
도 15는 분산 방화벽 환경에서 오용정책의 분석이 가능하도록 각 방화벽의 방화벽 정책을 병렬 그래프로 표시한 도면,
도 16은 분산 방화벽 환경에서 쉐도잉 오용정책이 발생하는 경우를 병렬 그래프로 표시한 도면,
도 17은 분산 방화벽 환경에서 허위성(spuriousness) 오용정책이 발생하는 경우를 병렬 그래프로 표시한 도면,
도 18은 분산 방화벽 환경에서 중복 오용정책이 발생하는 경우를 병렬 그래프로 표시한 도면,
도 19는 분산 방화벽 환경에서 상관 관계 오용정책이 발생하는 경우를 병렬 그래프로 표시한 도면,
도 20은 본 발명의 실시 예에 따른 방화벽 정책 시각화 방법의 일 예를 도시한 도면이다.
이하에서 첨부된 도면들을 참조하여 본 발명의 실시 예에 따른 방화벽 정책 시각화 방법 및 그 장치에 대해 상세히 설명한다.
도 1은 본 발명의 실시 예에 적용되는 방화벽 정책의 일 예를 도시한 도면이다.
도 1을 참조하면, 방화벽 정책(100)은 순서(order), 프로토콜, 출발지주소(Source IP(Internet Protocol) address), 목적지주소(Destination IP address), 목적지포트(Destination port), 정책내용(action) 등의 요소로 정의될 수 있다. 다만, 도 1에 도시된 방화벽 정책(100)은 이해를 돕기 위한 하나의 예일 뿐 방화벽 정책은 다양한 형태로 정의될 수 있으며, 도 1의 예로 한정되는 것은 아니다.
방화벽 정책(100)의 순서는 방화벽의 우선순위를 나타내며, 순서가 낮을수록 우선순위가 높다. 예를 들어, 1번 순서의 방화벽 정책과 2번 순서의 방화벽 정책이 존재하는 경우에 1번 순서의 방화벽 정책이 우선한다.
정책내용은 방화벽 정책(100)이 트래픽을 차단(deny)하는지 허용(allow)하는지를 나타낸다. 예를 들어, 1번 방화벽 정책은 TCP(Transmission Control Procotol) 프로토콜의 트래픽 중에서 출발지주소가 140.192.37.2이고 목적지주소가 161.120.33.40 ~ 161.120.33.46 사이이며 목적지 포트가 20인 트래픽을 차단(deny)하는 정책이다.
도 2는 본 발명의 실시 예에 적용되는 방화벽 정책 사이의 관계를 도시한 도면이다.
도 2를 참조하면, 방화벽 정책들은 내포(IM, Inclusivley Matched)(도 2a), 완전일치(EM, Exactly Matched)(도 2b), 부분일치(PM, Partially Matched)(도 2c), 완전분리(CD, Completely Disjoint)(도 2d), 상관(C, Correlated)(도 2e) 등의 관계에 있을 수 있다.
먼저, 내포(IM) 관계(도 2a)는 한 방화벽 정책이 다른 방화벽 정책의 일부에 속하는 경우이다. 다시 말해, 두 방화벽 정책 Rx,Ry가 존재할 경우에 Rx의 전체가 Ry의 일부에 속하는 경우이다. 방화벽 정책 Rx의 순서가 방화벽 정책 Ry의 순서보다 낮다면, 방화벽 정책 Rx는 불필요하게 중복되는 오용 정책이다.
완전일치(EM) 관계(도 2b)는 두 방화벽 정책이 완전히 일치하는 경우이다. 즉, 방화벽 정책 Rx, Ry가 존재할 경우에 Rx=Ry의 관계이며, 두 방화벽 정책 중 순서가 낮은 방화벽 정책은 불필요한 오용 정책이 된다.
부분일치(PM) 관계(도 2c)는 두 방화벽 정책 중 일부가 중첩되는 경우이다. 예를 들어, 방화벽 정책 Rx의 일부과 방화벽 정책 Ry의 일부가 서로 중첩되는 경우로서, 중첩되는 부분에 대한 방화벽 정책의 정리가 필요하다.
완전분리(CD) 관계(도 2d)는 두 방화벽 정책이 서로 중첩되지 않고 서로 다른 경우이다.
상관(C) 관계(도 2e)는 두 방화벽 정책 사이의 일부가 서로 중첩되고, 중첩되는 영역의 정책내용이 서로 다른 경우이다. 예를 들어, 두 방화벽 정책 Rx, Ry 사이에 중첩되는 영역이 존재하고, 중첩되는 영역에서 Rx는 '거부(deny)'의 정책내용을 포함하고, Ry는 '허용(allow)'의 정책내용을 포함하는 경우이다.
도 3은 본 발명의 실시 예에 따른 방화벽정책시각화장치의 일 예의 구성을 도시한 도면이다.
도 3을 참조하면, 방화벽정책시각화장치(300)는 로딩부(310) 및 시각화부(320)를 포함한다. 시각화부(320)는 계층적시각화부(330), 오용정책시각화부(340) 및 분산방화벽시각화부(350)를 포함할 수 있다.
로딩부(310)는 네트워크에 적용된 방화벽 정책을 로딩한다. 예를 들어, 방화벽 정책이 적어도 하나 이상의 파일 형태로 네트워크 시스템에 저장되어 있다면, 로딩부(300)는 방화벽 정책을 정의한 파일을 읽어 메모리에 저장한다. 다른 예로 도 13과 같이 네트워크에 복수의 방화벽이 존재하고, 각 방화벽의 방화벽 정책을 정의한 데이터가 복수 개 존재하면, 로딩부(310)는 각 방화벽의 방화벽 정책 데이터를 로딩할 수 있다.
시각화부(320)는 로딩부(310)가 읽은 방화벽 정책을 그래프 형태로 표시한다. 예를 들어, 시각화부(320)는 주소 구간별(예를 들어, 출발지 주소의 구간) 방화벽 정책의 존재여부를 격자 그래프를 이용하여 표시하거나, 오용정책의 존재여부를 병렬 그래프로 표시할 수 있다. 시각화부(320)는 앞서 살핀 바와 같이 시각화부(330), 오용정책시각화부(340) 및 분산방화벽시각화부(350)를 포함할 수 있다.
먼저, 계층적시각화부(330)는 방화벽 정책의 출발지주소를 구성하는 최상위 계층의 옥텟부터 적어도 하나 이상의 하위 계층의 옥텟을 계층적으로 선택받으면, 선택된 각 계층의 옥텟 값을 가진 출발지 주소를 포함하는 방화벽 정책을 파악하고, 파악된 방화벽 정책을 기초로 출발지 주소와 목적지 주소를 각 축으로 하는 격자 그래프의 각 격자에 방화벽 정책의 존재 여부를 표시한다. 격자 그래프를 이용한 시각화 방법에 대해서는 도 5 내지 도 8에서 다시 살펴본다.
오용정책시각화부(340)는 방화벽 정책을 정의하는 각 요소의 값을 선으로 상호 연결하여 표시하는 병렬 그래프를 표시한다. 오용정책시각화부는 하나의 병렬 그래프에 복수의 방화벽 정책을 중첩하여 표시하므로, 병렬 그래프를 통해 사용자는 오용 정책을 용이하게 파악할 수 있다. 오용정책시각화부(340)가 병렬 그래프를 이용하여 시각화하는 방법에 대해서는 도 9 내지 도 12에서 살펴본다.
분산방화벽시각화부(350)는 네트워크에 복수의 방화벽 정책이 존재하는 경우에 각 방화벽 사이의 오용정책을 용이하게 파악할 수 있도록 병렬 그래프로 시각화한다. 오용정책시각화부(340)가 단일 방화벽을 기준으로 오용정책을 시각화하는 구성인 반면, 분산방화벽시각화부(350)는 복수의 방화벽 사이의 오용정책을 시각화하는 구성이다. 분산방화벽시각화부(350)의 시각화 방법에 대해서는 도 13 내지 도 18에서 다시 살펴본다.
도 4 내지 도 9는 본 발명의 실시 예에 따른 격자 그래프를 이용하여 방화벽 정책의 시각화 방법을 설명하기 위한 도면이다. 우선 도 4에서 인터넷주소의 계층적 구조를 살펴보고, 도 5 내지 도 8에서 인터넷 주소의 계층적 구조를 이용하여 출발지주소의 범위를 기초로 방화벽 정책의 존재여부를 격자 그래프로 시각화하는 방법에 대해 살펴본다.
도 4는 본 발명의 실시 예에 따른 인터넷주소의 계층적 구조의 일 예를 도시한 도면이다.
도 4를 참조하면, 인터넷주소(예를 들어, 출발지주소 또는 목적지주소)는 옥텟 단위로 A,B,C,D의 네 영역으로 구분할 수 있다. 인터넷주소는 A옥텟을 최상위 계층으로 하고 D옥텟을 최하위 계층으로 하는 계층적 구조로 표현될 수 있다. 예를 들어, 인터넷 주소가 "140.31.130.20'이라면, 최상위 계층인 A옥텟은 140, 그 다음 계층인 B옥텟은 31, 그 다음 계층인 C옥텟은 130, 마지막 계층인 D옥텟은 20이 된다. 복수의 방화벽 정책에 대하여, A,B,C 계층의 특정 값을 선택하여 영역을 좁히면 원하는 인터넷 주소 범위와 관련된 방화벽 정책을 확인할 수 있다.
도 5는 본 발명의 실시 예에 따른 격자 그래프를 이용한 시각화 방법의 일 예를 도시한 도면이다.
도 5를 참조하면, 사용자는 복수의 방화벽 정책에 존재하는 출발지 주소의 최상위 계층의 옥텟부터 적어도 하나 이상의 하위 계층의 옥텟을 순차적으로 선택할 수 있다.
예를 들어, 사용자가 A옥텟의 값으로 140을 선택한 경우에, 방화벽정책시각화장치(300)의 계층적시각화부(330)는 A옥텟이 140인 출발지주소를 포함하는 방화벽 정책을 선별하여 제1 격자 그래프(500)로 표현할 수 있다. 제1 격자 그래프(500)의 두 축은 출발지주소 및 목적지주소의 A옥텟 및 B옥텟을 조합한 값이 된다.
사용자는 A옥텟의 값을 선택한 후 B옥텟의 값을 추가 선택하여 방화벽 정책의 표시 범위를 좁힐 수 있다. 예를 들어, A옥텟에서 140, B옥텟에서 31이 선택되면, 계층적시각화부(330)는 A옥텟 140, B옥텟 31을 가지는 출발지주소를 포함하는 방화벽 정책을 선별하여 제2 격자 그래프(510)로 표현할 수 있다. 제2 격자 그래프(510)의 두 축은 출발지주소 및 목적지주소의 A옥텟, B옥텟 및 C옥텟을 조합한 값이 된다.
사용자는 A,B,C 옥텟의 값을 선택하여 방화벽 정책의 표시 범위를 더 좁힐 수 있다. 예를 들어, A옥텟 140, B옥텟 31, C옥텟 130이 선택되면, 계층적시각화부(330)는 A옥텟 140, B옥텟 31, C옥텟 130을 가지는 출발지주소를 포함하는 방화벽 정책을 선별하여 제3 격자 그래프(520)로 표현할 수 있다. 제3 격자 그래프의 두 축은 출발지주소 및 목적지주소의 A옥텟, B옥텟, C옥텟 및 D옥텟을 조합한 값이 된다.
도 6 내지 도 8은 본 발명의 실시 예에 따라 방화벽 정책의 출발지주소를 계층적으로 선택하였을 때 격자 그래프를 이용한 시각화 결과의 일 예를 도시한 도면이다.
도 6 내지 도 8을 참조하면, 방화벽정책시각화장치(300)는 시각화를 위한 화면 인터페이스(600,700,800)를 제공할 수 있다. 화면 인터페이스(600,700,800)는 네트워크 방화벽 정책을 시각화 방법을 선택하기 위한 메뉴(640)를 포함할 수 있다. 또한 화면 인터페이스(600,700,800)는 격자 그래프에 표시되는 방화벽 정책의 리스트(650)를 표시할 수 있다. 본 실시 예는 계층적시각화(Hierarchy View)를 선택한 경우이다. 계층적시각화가 선택된 경우에, 화면 인터페이스(600)는 출발지주소를 계층적으로 선택할 수 있는 주소선택창(615)과 선택된 주소 범위에 방화벽 정책이 존재하는지 여부를 격자(630)를 이용하여 시각적으로 나타내는 격자그래프(620,720,820)를 표시한다.
먼저 도 6을 참조하면, 계층적시각화부(330)는 로딩된 방화벽 정책의 출발지주소로 구성되는 A옥텟의 값을 파악하여 주소선택창(615)에 표시하며, 사용자는 표시된 A옥텟 리스트(610)에서 어느 하나를 선택할 수 있다. 본 실시 예의 경우, 사용자가 A옥텟의 리스트(610)에서 '141'을 선택한 경우이다.
계층적시각화부(330)는 사용자가 선택한 A옥텟 값 '141'을 가진 출발지주소를 포함하는 방화벽 정책을 선별하고, 선별한 방화벽 정책에서 출발지주소의 B옥텟 값의 리스트(710)를 파악하여 주소선택창에 표시한다. 도 7의 예에서 출발지주소의 A옥텟 값 '141'을 가진 방화벽 정책의 B옥텟 값은 '31'과 '32'이다.
계층적시각화부(330)는 사용자가 선택한 A옥텟 값 '141'과 이의 하위 계층의 B옥텟을 조합한 값(예를 들어, 141.31, 141.32)을 격자 그래프(620)의 한 축(본 실시 예는 X축)에 할당한다. 또한, 계층적시각화부(330)는 A옥텟 값 '141'을 가진 출발지주소를 포함하는 방화벽 정책에서 목적지주소를 파악하고, 목적지주소의 A옥텟과 B옥텟으로 구성된 값을 격자 그래프의 다른 축(본 실시 예는 Y축)에 할당한다.
계층적시각화부(330)는 격자 그래프(620)의 각 격자(630)에 해당하는 출발지주소 및 목적지주소를 가진 방화벽정책의 존재 여부를 시각적으로 표시한다. 예를 들어, 출발지주소의 A-B옥텟이 141.31이고 목적지주소의 A-B옥텟이 160.245인 방화벽 정책이 존재하면, 이에 해당하는 격자(630)를 기 정의된 색상으로 표시한다. 다른 예로, 출발지주소의 A-B옥텟이 141.32이고 목적지주소의 A-B옥텟이 160.245를 가진 방화벽 정책이 존재하지 않으면, 그 격자에는 아무런 표시를 하지 않는다. 본 실시 예는 방화벽정책이 존재하는 격자를 색상으로 구분하여 표시하는 예를 도시하고 있으나, 이에 한정되는 것은 아니며 시각적으로 구분할 수 있는 다양한 형태로 표시할 수 있다.
도 7을 참조하면, 사용자가 도 6에서 출발지주소의 A옥텟 리스트(610)에서 '141'을 선택한 후 B옥텟 리스트(710)에서 31을 선택한 경우이다. 즉, A-B 옥텟 값 141.31을 선택한 경우이다.
계층적시각화부(330)는 사용자가 선택한 A-B옥텟 값 '141.31'을 가진 출발지주소를 포함하는 방화벽정책을 선별하고, 선별한 방화벽정책에서 출발지주소의 C옥텟 값의 리스트를 파악하여 주소선택창에 표시한다. 도 7의 예에서 출발지주소에 A-B옥텟 값 '141.31'을 가진 방화벽정책의 C옥텟 값은 '10', '130', '145'이다.
계층적시각화부(330)는 사용자가 선택한 A-B옥텟 값 '141.31'과 이의 하위 계층의 C옥텟을 조합한 값(예를 들어, 141.31.10, 141.31.130, 141.31.145)을 격자 그래프의 한 축(본 실시 예는 X축)에 할당한다. 또한, 계층적시각화부(330)는 A-B옥텟 값 '141.31'을 가진 출발지주소를 포함하는 방화벽 정책에서 목적지주소의 A-B-C옥텟 값의 리스트를 파악한 후 이를 격자 그래프의 다른 축(본 실시 예는 Y축)에 할당한다. 그리고, 계층적시각화부(330)는 격자 그래프(720)에 각 격자의 주소에 해당하는 방화벽 정책이 존재하는지 표시한다.
도 8을 참조하면, 사용자가 도 6 및 도 7에서 출발지주소의 A-B옥텟 '141.31'을 선택한 후 C옥텟 리스트(810)에서 '130'을 선택한 경우이다. 즉, A-B-C 옥텟 값 141.31.130을 선택한 경우이다.
계층적시각화부(330)는 사용자가 선택한 A-B-C옥텟 값 '141.31.130'을 가진 출발지주소를 포함하는 방화벽정책을 선별하고, 선별한 방화벽정책에서 출발지주소의 D옥텟 값의 리스트를 파악하여 주소선택창에 표시한다.
계층적시각화부(330)는 사용자가 선택한 A-B-C옥텟 값 '141.31.130'과 이의 하위 계층의 D옥텟을 조합한 값을 격자 그래프의 한 축(본 실시 예는 X축)에 할당한다. 또한, 계층적시각화부(330)는 A-B-C옥텟 값 '141.31.130'을 가진 출발지주소를 포함하는 방화벽 정책에서 목적지주소의 A-B-C-D옥텟 값 리스트를 파악한 후 이를 격자 그래프(820)의 다른 축(본 실시 예는 Y축)에 할당한다. 그리고, 계층적시각화부(330)는 격자 그래프(820)에 각 격자의 주소에 해당하는 방화벽 정책이 존재하는지 표시한다.
다른 실시 예로, 계층적시각부(330)는 격자 그래프(820)에 각 격자에 해당하는 방화벽 정책의 허용 또는 차단된 포트의 수를 색상 또는 숫자로 표시할 수 있다. 예를 들어, 격자 그래프의 좌상단 격자에 해당하는 출발지주소 '141.31.130.10'과 목적지주소 '141.31.130.14'를 가진 적어도 하나 이상의 방화벽 정책이 존재하고, 그 격자에 해당하는 방화벽 정책에서 '허용'인 포트의 수가 2개이면, 해당 격자에 숫자 2를 표시한다. 또는 허용된 포트의 수에 따라 색상을 서로 다르게 표시할 수 있다. 예를 들어, 허용된 포트의 수가 많을 수록 격자의 색상을 더 진하게 표시할 수 있다. 본 실시 예는 허용된 포트의 수를 숫자로 표시하는 경우를 도시하고 있으나, 계층적시각화부(330)는 사용자의 선택에 따라 차단된 포트의 수를 표시할 수도 있다.
도 9 내지 도 12는 네트워크에 적용된 방화벽 정책들 중 오용 정책을 용이하게 파악할 수 있도록 병렬 그래프를 이용하여 시각화하는 방법을 설명하기 위한 도면이다.
도 9는 본 발명의 실시 예에 따른 방화벽 정책을 병렬 그래프로 시각화한 예를 도시한 도면이다. 도 6에서 설명한 화면 인터페이스(600)의 시각화 방법 선택 메뉴(640)에서 오용정책시각화 방법(Anomaly View)를 선택한 경우이다.
도 9를 참조하면, 방화벽정책시각화장치(300)의 오용정책시각화부(340)는 방화벽 정책을 정의하는 정책순서, 정책내용, 출발지 주소, 목적지 주소 및 목적지 포트의 각 요소를 병렬로 배치하고 이를 선으로 연결하여 표시하는 병렬 그래프를 생성한다. 하나의 병렬 그래프에 복수의 방화벽 정책을 표시하되, 선의 일부 또는 전부가 겹치는 방화벽 정책을 기 정의된 색상으로 표시하여 사용자로 하여금 오용 정책을 용이하게 파악할 있도록 한다. 오용정책시각화부는 방화벽 정책에 대한 리스트를 화면 아래에 함께 표시할 수 있다. 오용정책이 발생하는 경우를 병렬 그래프로 표시한 예에 대하여 도 10 내지 도 12에서 각각 살펴본다.
도 10은 쉐도잉 오용정책(shadowing anomaly)이 발생하는 경우를 본 발명의 실시 예에 따른 병렬 그래프로 표시한 도면이다.
쉐도잉 오용정책은 동일한 출발지주소, 목적지주소 및 포트를 가진 두 정책이 서로 다른 정책내용을 가지는 경우이다. 순서가 하위인 정책은 상위 정책에 의해 비활성화된다. 즉, 더 낮은 순서를 가진 방화벽정책이 작동하지 않으므로 불필요한 정책이다. 이러한 쉐도잉 오용정책이 발생하는 경우를 두 방화벽 정책 Rx,Ry로 표시하면 다음과 같다.
(1) Rx[order] < Ry[order], Rx EM Ry, Rx[action]≠Ry[action]
(2) Rx[order] < Ry[order], Rx IM Ry, Rx[action]≠Ry[action]
여기서, R[order]은 방화벽 정책 R의 순서를 의미하고, R[action)은 방화벽 정책 R의 정책내용(즉, 허용(allow) 또는 차단(deny))을 의미한다. EM, IM 등은 도 2에서 살펴본 방화벽 정책 관계를 나타낸다.
위 (1)은 Ry가 더 높은 순위를 가지며, Rx와 Ry의 관계는 완전일치(EM) 관계이고, 두 방화벽 정책의 정책 내용이 서로 다른 경우이다. 위 (2)는 Ry가 더 높은 순위를 가지며, Rx와 Ry의 관계가 내포(IM) 관계이며, 두 방화벽 정책의 정책 내용이 서로 다른 경우이다.
Ry의 정책 내용이 차단(deny)이고 하위 순서인 Rx의 정책 내용이 허용(allow)인 경우 또는 그 반대인 경우에, 상위 정책과 하부 정책이 모순되므로, 하위 순서의 방화벽 정책 Rx는 비활성화(즉, shadowing)된다. 즉 하위 정책은 불필요한 정책이다. 오용정책시각화장치(340)는 쉐도잉 오용정책에 해당하는 방화벽 정책을 찾아 도 10과 같이 병렬 그래프로 표시할 수 있다.
도 10을 참조하면, 3번 순서의 방화벽 정책을 정의하는 각 요소를 연결하면 11개의 서로 다른 출발지주소를 지나는 11개의 선이 존재한다. 4번 순서의 방화벽 정책을 병렬 그래프에 그리면, 3번 순서의 방화벽 정책의 선과 일부 중첩되는 구간(즉, 출발지주소 141.192.37.1 - 목적지주소 161.120.33.41)이 존재한다.
오용정책시각화장치(340)는 더 높은 순위를 가진 방화벽 정책과 중첩되는 구간을 가진 하위 순위의 방화벽 정책의 선을 다른 색으로 표시하여 사용자가 직관적으로 오용 정책이 존재함을 알 수 있도록 할 수 있다.
도 11은 상관 관계의 오용정책이 발생하는 경우를 본 발명의 실시 예에 따른 병렬 그래프로 표시한 도면이다.
상관 관계의 오용정책은 상위 정책과 하위 정책이 상호 포함 관계에 있고, 정책 내용이 서로 다른 경우이다. 이를 두 방화벽 정책 Rx,Ry로 표시하면 다음과 같다.
Rx C Ry, Rx[action]≠Ry[action]
오용정책시각화장치(340)는 상관 관계 오용정책에 해당하는 방화벽 정책을 찾아 도 11과 같이 병렬 그래프로 표시할 수 있다
도 11을 참조하면, 상관 관계에 있는 1번 방화벽 정책과 3번 방화벽 정책이 도시되어 있다. 1번 방화벽 정책과 3번 방화벽 정책의 일부가 중첩되며, 그 중첩되는 정책의 정책 내용이 서로 다르다. 예를 들어, 1번 방화벽 정책 정책의 출발지 주소 140.192.37.2에서 목적지주소 161.120.33.41로 향하는 트래픽에 대한 정책은 차단(deny)이므로, 3번 정책의 일부인 출발지 주소 140.192.37.2에서 목적지주소 161.120.33.41로 향하는 트래픽에 대한 허용 정책은 활성화되지 않는다.
도 12는 일반화 오용정책이 발생하는 경우를 본 발명의 실시 예에 따른 병렬 그래프로 표시한 도면이다.
일반화 오용정책은 하위 정책이 상위 정책을 포함하나, 두 방화벽 정책의 정책 내용이 서로 다른 경우이다. 도 10에서 앞서 살핀 쉐도잉 오용정책과 유사해 보이나, 쉐도잉 오용정책은 상위 방화벽 정책이 하위 방화벽 정책을 포함하거나 일치하는 경우이나, 도 12의 일반화 오용정책은 하위 방화벽 정책이 상위 방화벽 정책을 포함하는 경우이다. 이를 두 방화벽 정책 Rx,Ry로 표시하면 다음과 같다.
Rx[order] < Ry[order], Ry IM Rx, Rx[action]≠Ry[action]
오용정책시각화장치(340)는 일반화 오용정책에 해당하는 방화벽 정책을 찾아 도 12와 같이 병렬 그래프로 표시할 수 있다
도 12를 참조하면, 범위가 큰 6번 하위 방화벽 정책의 정책 내용이 차단으로 정의되고 있고, 우선순위가 높은 5번 방화벽 정책의 정책 내용이 허용으로 되어 있다. 즉, 5번 방화벽 정책은 6번 방화벽 정책의 일반화이며, 이는 일종의 경고에 가깝다.
도 13은 중복 오용정책이 발생하는 경우를 본 발명의 실시 예에 따른 병렬 그래프로 표시한 도면이다.
중복 오용정책은 방화벽의 필터링 규칙의 크기를 증가시켜 방화벽 처리 시간을 증가시키는 원인이 되므로, 방화벽 성능 관리를 위하여 최적화하여야 할 오용 케이스이다. 중복 오용정책은 하위 방화벽 정책의 모든 요소가 상위 방화벽 정책에 포함되거나 일치하면서 정책 내용 또한 일치하는 경우이다. Ry가 Rx에 중복되는 경우를 표시하면 다음과 같다.
(1) Rx[order] < Ry[order], Rx EM Ry, Rx[action]=Ry[action]
(2) Rx[order] < Ry[order], Rx IM Ry, Rx[action]=Ry[action]
Rx가 Ry에 중복되는 경우는 다음과 같이 표시될 수 있다.
Rx[order] < Ry[order], Ry IM Rx, Rx[action]=Ry[action]
오용정책시각화장치(340)는 중복 오용정책에 해당하는 정책을 찾아 도 13과 같이 병렬 그래프로 표시할 수 있다. 도 13을 참조하면, 7번 방화벽 정책은 출발지주소, 목적지주소, 목적지포트, 정책 내용 등이 2번의 상위 방화벽 정책과 중복된다.
도 14 내지 도 19는 분산 방화벽 정책을 병렬 그래프로 시각화하는 방법을 설명하기 위한 도면이다. 먼저 도 14에서 분산 방화벽 네트워크에 대하여 살펴보고, 도 15 내지 도 19에서 분산 방화벽 정책을 병렬 그래프로 시각화하는 방법에 대해 살펴본다.
도 14는 본 발명의 실시 예가 적용되는 분산 방화벽 네트워크의 일 예를 도시한 도면이다.
도 14를 참조하면, 네트워크는 구간별로 다수의 방화벽이 존재할 수 있다. 3-Tier 인프라 환경이 분리된 구성 또는 대규모의 네트워크가 분리된 환경에서는 구간별로 다수의 방화벽을 배치하여 운영하는 경우가 존재한다. 이러한 대규모 환경에서 방화벽을 운영하는 운영자들은 서비스를 제공하는 네트워크 성능 관리 측면에서 단일 방화벽의 오용 정책을 확인하는 작업과 함께 전체 네트워크에서 연관된 방화벽의 정책을 확인하는 작업이 필요하다.
이하의 실시 예에서, 분산 방화벽 환경에서 네트워크의 가장 외곽에 위치하는 방화벽을 업스트림 방화벽(FW[A])이라고 하고, 가장 안쪽에 위치하는 방화벽을 다운스트림 방화벽(FW[B])이라고 명명한다.
분산 방화벽 환경에서 발생하는 오용정책으로 (1) 쉐도잉(shawding) 오용정책 (2) 허위성(spuriousness) 오용정책 (3) 중복 오용정책 (4) 상관관계 오용정책 등이 존재하며, 각 오용정책을 병렬 그래프로 표시하면 도 13와 같다.
도 15는 분산 방화벽 환경에서 오용정책의 분석이 가능하도록 각 방화벽의 방화벽 정책을 병렬 그래프로 표시한 도면이다.
도 15를 참조하면, 분산방화벽시각화부는 업스트림 방화벽에 대한 방화벽 정책과 다운스트림 방화벽에 대한 방화벽 정책을 로딩한 후 이를 병렬 그래프에 그려 오용정책이 존재하는지 여부를 시각적으로 표시한다. 앞서 살핀 도 9 내지 도 13의 병렬 그래프는 어느 한 방화벽에 적용되는 복수의 방화벽 정책을 선으로 표시하여 선의 일부 또는 전부가 중첩되는 오용정책을 시각적으로 표시하는 구성인 반면, 도 15 내지 도 19의 병렬 그래는 업스트림 방화벽의 정책과 다운스트림 방화벽의 정책 사이의 오용정책을 시각적으로 표시하는 구성인 점에서 서로 다르다. 분산 방화벽 환경에서 오용정책이 발생하는 경우를 병렬 그래프로 표시한 예에 대하여 도 16 내지 도 19에서 각각 살펴본다.
도 16은 분산 방화벽 환경에서 쉐도잉 오용정책이 발생하는 경우를 병렬 그래프로 표시한 도면이다.
분산 방화벽 환경에서 쉐도잉 오용정책은 업스트림 방화벽(FW(A))에서 차단 처리된 정책을 다운스트림 방화벽(FW(B))에서 허용 처리할 때 발생한다. 쉐도잉 오용정책이 발생하는 경우는 다음과 같다.
(1) Rd EM Ru, Ru[action]=deny, Rd[action]=allow
(2) Rd IM Ru, Ru[action]=deny, Rd[action]=allow
(3) Ru IM Rd, Ru[action]=deny, Rd[action]=allow
(4) Ru IM Rd, Ru[action]=allow, Rd[action]=deny
분산방화벽시각화부(350)는 두 방화벽의 방화벽 정책을 로딩한 후 쉐도잉 오용정책이 발생하는 경우를 병렬 그래프로 표시할 수 있다. 도 16을 참조하면, 다운스트림 방화벽의 1번 정책이 업스트림 방화벽의 10번 정책에 의해 차단(block)되는 것을 시각적으로 확인할 수 있다.
도 17은 분산 방화벽 환경에서 허위성(spuriousness) 오용정책이 발생하는 경우를 병렬 그래프로 표시한 도면이다.
허위성 오용정책은 다운스트림 방화벽에서 차단 처리한 정책을 업스트림 방화벽에서 허용하는 경우에 발생한다. 허위성 오용정책이 발생하는 경우는 다음과 같다.
(1) Ru EM Rd, Ru[action]=allow, Rd[action]=deny
(2) Ru IM Rd, Ru[action]=allow, Rd[action]=deny
(3) Rd IM Ru, Ru[action]=allow, Rd[action]=deny
(4) Rd IM Ru, Ru[action]=allow, Rd[action]=deny
(5) Ru IM Rd, Ru[action]=deny, Rd[action]=allow
분산방화벽시각화부(350)는 두 방화벽의 방화벽 정책을 로딩한 후 허위성 오용정책이 발생하는 경우를 병렬 그래프로 표시할 수 있다. 도 17을 참조하면, 다운스트림 방화벽의 3번 정책은 업스트림 방화벽에서 허용한 12번 정책을 차단함으로써 결과적으로 12번 정책의 일부가 블록된다.
도 18은 분산 방화벽 환경에서 중복 오용정책이 발생하는 경우를 병렬 그래프로 표시한 도면이다.
중복 오용정책은 업스트림 방화벽에서 차단 처리한 정책을 다운스트림 방화벽에서 차단하는 경우에 발생한다. 중복 오용정책이 발생하는 경우는 다음과 같다.
(1) Rd EM Ru, Ru[action]=deny, Rd[action]=deny
(2) Rd IM Ru, Ru[action]=deny, Rd[action]=deny
분산방화벽시각화부(350)는 두 방화벽의 방화벽 정책을 로딩한 후 중복 오용정책이 발생하는 경우를 병렬 그래프로 표시할 수 있다. 도 18을 참조하면, 다운스트림 방화벽에서 2번 정책은 업스트림 방화벽의 10번 정책의 일부와 정책내용이 동일하여 완전히 중복되므로, 중복 오용에 해당한다.
도 19는 분산 방화벽 환경에서 상관 관계 오용정책이 발생하는 경우를 병렬 그래프로 표시한 도면이다.
다중 방화벽 환경에서 상관관계 오용정책은 방화벽 사이의 정책이 서로 상호 포함관계에 있고, 정책 내용이 동일하거나 상이할 때 발생한다. 상관관계 오용정책이 발생하는 경우는 다음과 같다.
(1) Rd C Ru, Ru[action]=allow, Rd[action]=allow
(2) Rd C Ru, Ru[action]=deny, Rd[action]=deny
(3) Rd C Ru, Ru[action]=allow, Rd[action]=deny
(4) Rd C Ru, Ru[action]=deny, Rd[action]=allow
분산방화벽시각화부(350)는 두 방화벽의 방화벽 정책을 로딩한 후 상관 관계 오용정책이 발생하는 경우를 병렬 그래프로 표시할 수 있다. 도 19를 참조하면, 업스트림 방화벽의 13번 정책과 다운스트림 방화벽의 5번 정책은 상호 포함 관계를 가지면서 정책 내용이 모두 허용이므로, 상관관계 오용정책에 해당한다.
도 20은 본 발명의 실시 예에 따른 방화벽 정책 시각화 방법의 일 예를 도시한 도면이다.
도 20을 참조하면, 방화벽정책시각화장치(이하, '장치'라 함)(300)는 방화벽 정책을 로딩한다(S2000). 예를 들어, 단일 방화벽에 대한 시각화를 수행하고자 하는 경우에, 장치(300)는 해당 방화벽에 대한 방화벽 정책이 기술된 파일 등을 로딩한다. 다른 예로, 다중 방화벽 환경에서 각 방화벽 사이의 오용정책 등을 시각화하고자 할 경우에, 장치는 각 방화벽에 대한 방화벽 정책을 로딩한다.
장치(300)는 복수의 시각화 방법 중 어느 하나를 선택할 수 있다(S2010). 예를 들어, 장치(300)는 시각화 방법을 선택할 수 있는 화면 인터페이스를 제공하고 사용자로부터 어느 하나의 시각화 방법을 입력받을 수 있다.
계층적 시각화 방법이 선택되면, 장치(300)는 도 6 내지 8과 같이 격자 그래프를 이용하여 출발지주소를 계층적으로 탐색하여 특정 출발지주소의 구간에 대한 방화벽 정책의 존재 여부 등을 표시한다(S2020).
오용정책 시각화 방법이 선택되면, 장치(300)는 도 9와 같은 병렬 그래프를 이용하여 오용정책의 존재 여부를 시각적으로 표시할 수 있다(S2030).
분산 방화벽 시각화 방법이 선택되면, 장치(300)는 도 15와 같은 병렬 그래프를 이용하여 각 방화벽 사이의 오용정책의 존재 여부를 시각적으로 표시할 수 있다(S2040).
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 프로그램 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (12)

  1. 삭제
  2. 네트워크에 적용된 방화벽 정책을 로딩하는 단계; 및
    방화벽 정책을 정의하는 순서, 출발지 주소, 목적지 주소, 목적지 포트 및 정책내용 중 적어도 하나 이상을 기초로 주소 구간별 상기 방화벽 정책의 존재여부를 격자 그래프로 표시하거나, 오용정책의 존재여부를 병렬 그래프로 표시하는 단계;를 포함하고,
    상기 격자 그래프로 표시하는 단계는,
    출발지 주소를 구성하는 최상위 계층의 옥텟부터 적어도 하나 이상의 하위 계층의 옥텟을 계층적으로 선택받는 단계;
    상기 선택된 각 계층의 옥텟 값을 가진 출발지 주소를 포함하는 방화벽 정책을 파악하는 단계; 및
    상기 파악된 방화벽 정책을 기초로, 출발지 주소와 목적지 주소를 각 축으로 하는 격자 그래프의 각 격자에 방화벽 정책의 존재 여부를 표시하는 단계;를 포함하는 것을 특징으로 하는 방화벽 정책 시각화 방법.
  3. 제 2항에 있어서, 상기 옥텟을 계층적으로 선택받는 단계는,
    방화벽 정책에 존재하는 출발지 주소로 구성되는 A옥텟의 리스트에서 제1 옥텟 값을 선택받는 단계;
    상기 제1 옥텟 값을 포함하는 방화벽 정책의 출발지 주소로 구성되는 B옥텟의 리스트에서 제2 옥텟값을 선택받는 단계; 및
    상기 제1 옥텟값 및 상기 제2 옥텟값을 포함하는 방화벽 정책의 출발지 주소로 구성되는 C옥텟의 리스트에서 제3 옥텟값을 선택받는 단계;를 포함하는 것을 특징으로 하는 방화벽 정책 시각화 방법.
  4. 제 2항에 있어서,
    상기 격자 그래프의 각 격자에 해당하는 방화벽 정책에서 허용 또는 차단된 포트의 수를 각 격자에 표시하는 단계;를 더 포함하는 것을 특징으로 하는 방화벽 정책 시각화 방법.
  5. 제 2항에 있어서, 상기 병렬 그래프로 표시하는 단계는,
    방화벽 정책을 정의하는 순서, 정책내용, 출발지 주소, 목적지 주소 및 목적지 포트의 각 요소를 선으로 상호 연결하여 표시하는 병렬 그래프를 생성하는 단계;를 포함하는 것을 특징으로 하는 방화벽 정책 시각화 방법.
  6. 제 5항에 있어서,
    상기 병렬 그래프에서 각 방화벽 정책을 나타내는 선의 일부 또는 전부가 다른 방화벽 정책의 선과 중첩되면 중첩되는 방화벽 정책의 선을 기 정의된 색상으로 표시하는 단계;를 포함하는 것을 특징으로 하는 방화벽 정책 시각화 방법.
  7. 제 2항에 있어서,
    상기 네트워크는 적어도 둘 이상의 방화벽으로 구성되고,
    상기 병렬 그래프로 표시하는 단계는,
    각 방화벽 사이의 방화벽 정책의 오용을 파악할 수 있도록 각 방화벽에 속한 방화벽 정책의 정책순서, 정책내용, 출발지 주소, 목적지 주소 및 목적지 포트의 각 요소를 선으로 연결하여 표시하는 병렬 그래프를 생성하는 단계;를 포함하는 것을 특징으로 하는 방화벽 정책 시각화 방법.
  8. 삭제
  9. 네트워크에 적용된 복수의 방화벽 정책을 읽는 로딩부; 및
    방화벽 정책을 정의하는 순서, 출발지 주소, 목적지 주소, 목적지 포트 및 정책내용 중 적어도 하나 이상을 기초로 주소 구간별 상기 방화벽 정책의 존재여부를 격자 그래프로 표시하거나, 오용정책의 존재여부를 병렬 그래프로 표시하는 시각화부;를 포함하고,
    상기 시각화부는,
    출발지 주소를 구성하는 최상위 계층의 옥텟부터 적어도 하나 이상의 하위 계층의 옥텟을 계층적으로 선택받고, 상기 선택된 각 계층의 옥텟 값을 가진 출발지 주소를 포함하는 방화벽 정책을 파악하고, 출발지 주소와 목적지 주소를 각 축으로 하는 격자 그래프의 각 격자에 방화벽 정책의 존재 여부를 표시하는 계층적시각화부;를 포함하는 것을 특징으로 하는 방화벽 정책 시각화 장치.
  10. 제 9항에 있어서, 상기 시각화부는,
    방화벽 정책을 구성하는 순서, 정책내용, 출발지 주소, 목적지 주소 및 목적지 포트의 각 요소를 선으로 연결하여 표시하는 병렬 그래프를 생성하는 오용정책시각화부;를 포함하는 것을 특징으로 하는 방화벽 정책 시각화 장치.
  11. 제 9항에 있어서,
    상기 네트워크는 적어도 둘 이상의 방화벽으로 구성되고,
    상기 시각화부는, 각 방화벽 사이의 방화벽 정책의 오용을 파악할 수 있도록 각 방화벽에 속한 방화벽 정책의 정책순서, 정책내용, 출발지 주소, 목적지 주소 및 목적지 포트의 각 요소를 선으로 연결하여 표시하는 병렬 그래프를 생성하는 분산방화벽시각화부;를 포함하는 것을 특징으로 하는 방화벽 정책 시각화 장치.
  12. 제 2항 내지 제 7항 중 어느 한 항에 기재된 방법을 수행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020200070483A 2020-04-28 2020-06-10 방화벽 정책 시각화 방법 및 그 장치 KR102340901B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20200051823 2020-04-28
KR1020200051823 2020-04-28

Publications (2)

Publication Number Publication Date
KR20210133830A KR20210133830A (ko) 2021-11-08
KR102340901B1 true KR102340901B1 (ko) 2021-12-21

Family

ID=78485862

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200070483A KR102340901B1 (ko) 2020-04-28 2020-06-10 방화벽 정책 시각화 방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR102340901B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102605510B1 (ko) 2022-10-06 2023-11-23 충북대학교 산학협력단 방화벽 정책을 점검하기 위한 정보 제공 방법 및 이를 수행하기 위한 장치

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102623276B1 (ko) * 2021-12-10 2024-01-11 주식회사 코스콤 방화벽 정책 시각화 방법 및 그 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101593897B1 (ko) 2014-12-11 2016-02-15 고려대학교 산학협력단 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101415850B1 (ko) * 2012-11-30 2014-07-09 한국전자통신연구원 방화벽 정책 점검 장치 및 방법
KR20190028059A (ko) * 2017-09-08 2019-03-18 포항공과대학교 산학협력단 오픈플로우 네트워크에서 트래픽을 제어하는 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101593897B1 (ko) 2014-12-11 2016-02-15 고려대학교 산학협력단 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102605510B1 (ko) 2022-10-06 2023-11-23 충북대학교 산학협력단 방화벽 정책을 점검하기 위한 정보 제공 방법 및 이를 수행하기 위한 장치

Also Published As

Publication number Publication date
KR20210133830A (ko) 2021-11-08

Similar Documents

Publication Publication Date Title
RU2677378C2 (ru) Системы и способы анализа сети и обеспечения отчетов
Williams et al. An interactive attack graph cascade and reachability display
US8176561B1 (en) Assessing network security risk using best practices
US8701177B2 (en) Method and apparatus for graphical presentation of firewall security policy
US8132260B1 (en) Methods and apparatus for prioritization of remediation techniques for network security risks
US7930752B2 (en) Method for the detection and visualization of anomalous behaviors in a computer network
US20160072815A1 (en) Systems and methods for creating and modifying access control lists
KR102340901B1 (ko) 방화벽 정책 시각화 방법 및 그 장치
RU2679179C1 (ru) Системы и способы для создания и модификации списков управления доступом
US20090198707A1 (en) System and method for managing firewall log records
US7860698B2 (en) Network design processing device and method, and program therefor
US20220123996A1 (en) Segmentation management including visualization, configuration, simulation, or a combination thereof
CA3044909A1 (en) Computer network security configuration visualization and control system
US11956208B2 (en) Graphical representation of security threats in a network
Kim et al. Firewall ruleset visualization analysis tool based on segmentation
US20090300748A1 (en) Rule combination in a firewall
CN107276858A (zh) 一种访问关系梳理方法及系统
US20040143658A1 (en) Method and apparatus for permitting visualizing network data
US20240146799A1 (en) System and method for analyzing network objects in a cloud environment
Lee et al. HSViz: Hierarchy simplified visualizations for firewall policy analysis
CN105683943B (zh) 使用基于逻辑多维标签的策略模型的分布式网络安全
JP7121437B1 (ja) クラウドセキュリティートポロジー可視化装置、並びにこれを用いた統合クラウドワークロード運営及びセキュリティー管理システム
Cisco Sensor Signatures
KR102623276B1 (ko) 방화벽 정책 시각화 방법 및 그 장치
Thwin et al. Classification and discovery on intra-firewall policy anomalies

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant