KR20030064990A - 방화벽 및 그 운용방법 - Google Patents
방화벽 및 그 운용방법 Download PDFInfo
- Publication number
- KR20030064990A KR20030064990A KR1020020005099A KR20020005099A KR20030064990A KR 20030064990 A KR20030064990 A KR 20030064990A KR 1020020005099 A KR1020020005099 A KR 1020020005099A KR 20020005099 A KR20020005099 A KR 20020005099A KR 20030064990 A KR20030064990 A KR 20030064990A
- Authority
- KR
- South Korea
- Prior art keywords
- user
- security level
- verifier
- firewall
- access
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
저렴한 비용으로 구축가능하고 신뢰성 면에서도 만족할 수 있는 수준의 방화벽 및 그 운용방법에 관한 것으로, 인터넷 망을 통해 접속하려는 사용자의 ID/패스워드 확인과 사용자의 보안등급에 따라 자체적으로 인증을 수행하거나 외부로부터의 인증여부를 확인하여 접속을 허가 또는 차단하는 검증기와, 접속 인증 목적으로 관리자와의 전화연결을 수행하기 위한 전화접속 모듈과, 사용자가 소정 보안등급 이상일 경우 전화접속 모듈을 통해 관리자에게 해당 사용자의 접속 인증 여부를 확인하고 그 확인결과에 따라 사용자의 접속을 허용하도록 검증기를 제어하는 인증기를 포함하므로 가격 경쟁력을 향상시킬 수 있고 사용자에 대한 편의를 제공함은 물론이고 시스템의 효율 또한 향상시킬 수 있으며, 시스템의 신뢰성도 극대화시킬 수 있다.
Description
본 발명은 방화벽에 관한 것으로 특히, 홈 네트워크 등 개인 사용자를 위해 저렴한 비용으로 설치가 가능하며 신뢰성 또한 높일 수 있도록 한 방화벽 및 그 운용방법에 관한 것이다.
인터넷 망이 확산돼 가면서 인터넷 망을 이용한 네트워킹 기술이 기업, 학교 등 단체뿐만 아니라, 가전제품을 하나의 네트워크로 구축하여 제어 및 모니터링할 수 있는 홈 네트워킹이라는 기술로 가정에도 보급되고 있다.
인터넷 기술발달에 따라 불법적으로 정보를 획득하는 해킹기술 또한 발전하고 있다. 따라서 해킹을 방지하기 위한 보안기술로 기업 등의 대규모 네트웍망의 경우 방화벽이 사용되고 있는데, 아직까지는 보안측면에서 취약한 홈 네트워크 등 개인 네트워크에도 보안의 중요성이 대두되고 있다.
일반적으로 방화벽은 외부로부터 내부 네트워크 망을 보호하기 위한 네트워크 구성요소중 하나로서, 하드웨어 및 소프트웨어를 총칭한다.
이와 같은 방화벽은 내부의 신뢰성 있는 네트웍과 외부의 신뢰성 없는 네트웍 사이에 위치하는데, 그 위치에 따라 듀얼 홈드 호스트 아키텍쳐(Dual-Homed Host Architecture), 스크린드 호스트 아키텍쳐(Screened Host Architecture), 스크린드 서브넷 아키텍쳐(Screened Subnet Architecture)와 같은 구축형태의 이름이 붙여진다.
먼저, 듀얼 홈드 호스트 아키텍쳐(Dual-Homed Host Architecture)는 외부 네트웍과 내부 네트웍 사이에 2개의 인터페이스를 가지면서 라우팅기능이 없는 방화벽을 설치하는 형태이다.
다음으로, 스크린드 호스트 아키텍쳐(Screened Host Architecture)는 패킷 필터링 또는 스크리닝 라우터의 한 포트는 외부망에 연결되어 있고 다른 포트는 내부망에 연결되어 있다. 또한 내부망에 베스쳔 호스트가 연결된 구조이다.
다음으로, 스크린드 서브넷 아키텍쳐(Screened Subnet Architecture)는 상기 스크린드 호스트 아키텍쳐의 보안상 문제를 보완하기 위해서 외부 네트웍과 내부 네트웍 사이에 하나 이상의 경계 네트웍을 두어 내부 네트웍을 외부 네트웍으로부터 분리하기 위한 구조이다.
상술한 방화벽의 차폐방법에는 몇 가지가 있다. 단순한 방법 중 하나는 들어오는 요구가 받아들일만한(즉, 이전에 확인된) 도메인 이름이나 IP 주소로부터 오는 것인지를 확인하는 것이다. 이동중인 사용자들을 위해서는 보안접속절차나 인증확인 등을 통해 사설 네트웍에 원격접속 할 수 있도록 허용한다.
또한 방화벽에 포함되어야할 기능으로는, 사용기록, 보고, 공격이 시작된 시점에서의 자동경보, 그리고 방화벽의 제어를 위한 그래픽사용자 인터페이스 등이 있다.
종래의 기술에 따른 방화벽은 다음과 같은 문제점이 있다.
첫째, 대규모 네트웍이 필요한 기업을 대상으로 기술개발이 이루어졌으므로 방화벽의 설치와 운용에 따른 막대한 비용이 요구되고 그에 따라 개인이 자신의 홈 네트웍에 방화벽을 구축하기에는 경제적으로 많은 부담이 된다. 이러한 경제적 부담에 의해 각 가정에 대해 방화벽을 구축하지 않고 가정들의 그룹에 대해 기업의 방화벽을 적용한 경우 방화벽 내부의 해킹에 대해 취약하다. 예를 들어, 아파트 단지에 대해 방화벽을 구축한 경우 아파트 밖에서의 해킹을 차단할 수 있지만 아파트 단지 내에서의 해킹은 차단하기 어렵다.
둘째, 개인용 방화벽이 존재하지만 소프트웨어적 구성으로 이루어지므로 인증에 대한 보안의 신뢰성이 매우 떨어진다.
따라서 본 발명은 상기한 종래의 문제점을 해결하기 위하여 안출한 것으로서, 저렴한 비용으로 구축가능하고 신뢰성 면에서도 만족할 수 있는 수준의 방화벽 및 그 운용방법을 제공함에 그 목적이 있다.
도 1은 본 발명에 따른 방화벽의 구성을 나타낸 블록도
도 2는 본 발명에 따른 방화벽의 운용방법을 나타낸 플로우챠트
도면의 주요부분에 대한 부호의 설명
10: 인터넷 단말기 20: 사용자/관리자
30: 홈 네트워크 40; 방화벽
41: 검증기 42: 전화접속 모듈
43: 인증기
본 발명에 따른 방화벽은 인터넷 망을 통해 접속하려는 사용자의 ID/패스워드 확인과 사용자의 보안등급에 따라 자체적으로 인증을 수행하거나 외부로부터의 인증여부를 확인하여 접속을 허가 또는 차단하는 검증기와, 접속 인증 목적으로 관리자와의 전화연결을 수행하기 위한 전화접속 모듈과, 사용자가 소정 보안등급 이상일 경우 전화접속 모듈을 통해 관리자에게 해당 사용자의 접속 인증 여부를 확인하고 그 확인결과에 따라 사용자의 접속을 허용하도록 검증기를 제어하는 인증기를 포함함을 특징으로 한다.
본 발명에 따른 방화벽 운용방법은 사용자의 접속요구시 보안등급을 판단하는 단계와, 보안등급 판단결과 설정된 보안등급 미만이면 해당 사용자의 ID 또는 패스워드를 검사하고 검사결과에 따라 보안등급 접속을 허용하는 단계와, 보안등급 판단결과 설정된 보안등급 이상이면 관리자에게 전화를 연결하고 관리자가 해당 사용자의 접속을 허용하는지 여부를 판단하여 해당 사용자의 접속을 허용하는 단계를 포함함을 특징으로 한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 방화벽 및 그 운용방법의 바람직한 일실시예를 상세히 설명하면 다음과 같다.
도 1은 본 발명에 따른 방화벽의 구성을 나타낸 블록도이고, 도 2는 본 발명에 따른 방화벽의 운용방법을 나타낸 플로우챠트이다.
먼저, 방화벽을 포함하는 전체 시스템을 살펴보면, 도 1과 같이 사용자/관리자(20) 그리고 인터넷 단말기(10)가 각각 인터넷 망과 전화 망과 연결되고, 상기 인터넷 망/전화 망과 홈 네트워크(30) 사이에 본 발명의 방화벽(40)이 설치된다.
그리고 방화벽은, 인터넷 단말기(10)로 인터넷 망을 통해 접속하려는 사용자의 IP/ID/패스워드 확인과 상기 사용자의 보안등급(일반/1 등급/2 등급)에 따라 자체적으로 인증을 수행하거나 외부 인증여부를 확인하여 접속을 허가 또는 차단하는 검증기(41), 접속 인증 목적으로 관리자와의 전화연결을 수행하기 위한 전화접속 모듈(42), 인터넷 망을 통해 접속하려는 사용자가 소정 보안등급 이상일 경우 상기 전화접속 모듈(42)을 통해 관리자에게 해당 사용자의 접속 인증여부를 확인하고 그 확인결과에 따라 상기 검증기(41)를 제어하는 인증기(43)를 포함하여 구성된다.
이때 본 발명의 방화벽(40)은 필요에 따라 간단한 암호화 기능을 설치할 수도 있다. 간단한 암호화 기능의 경우 시스템의 고사양을 요구하지 않는다.
이와 같이 구성된 본 발명에 따른 방화벽의 운용방법을 도 2를 참조하여 상세히 설명하면 다음과 같다.
먼저, 검증기(41)는 외부 사용자(20)가 인터넷 단말기(10) 즉, 컴퓨터, PDA 혹은 인터넷이 가능한 이동통신 단말기로 인터넷 망을 통해 홈 네트워크(30)에 접속을 요청하는지 판단한다(S21).
이어서 상기 판단결과(S21), 사용자가 접속을 요청하였으면 해당 보안등급이 2단계(데이터 읽기/쓰기/홈 네트워크 제어)인지 판단한다(S22).
그리고 상기 판단결과(S22), 보안등급이 2단계가 아니면 즉, 보안등급1단계(단순한 내용의 데이터 읽기)이면 방화벽(40)의 검증기(41)는 사용자가 ID 및 패스워드를 입력하도록 요구하고 그에 따라 사용자가 입력한 ID 및 패스워드를 검사한다(S23).
이어서 검증기(41)는 기저장된 데이터베이스를 검색하여 상기 사용자가 입력한 ID 및 패스워드가 등록되었는지 판단하고(S24), 기등록된 것으로 판단되면 보안등급 1단계 접속을 허용한다(S25). 따라서 사용자는 단순히 홈 네트워크의 데이터를 모니터링할 수 있다. 그리고 상기 판단결과(S24), ID 및 패스워드가 등록되지 않았으면 접속을 차단한다(S26).
한편, 상기 판단결과(S22), 보안등급이 2단계이면 검증기(41)는 보안등급 2단계 접속 인증 여부를 인증기(43)에게 확인한다. 따라서 인증기(43)는 전화접속 모듈(42)을 통해 기저장된 관리자 전화번호로 연결하고 관리자에게 사용자 인증을 요청한다(S27).
이때 관리자는 음성인식 또는 비밀번호 설정 등의 방법으로 방화벽(40)에게 적법한 관리자임을 확인하는 관리자 인증 과정을 거친 다음, 해당 사용자 인증여부를 통보한다.
이어서 인증기(43)는 상기 관리자가 사용자를 인증하였는지 즉, 접속을 허용하는지 판단하고(S28), 접속을 허용하였으면 상기 검증기(41)를 제어하여 상기 사용자가 보안등급 2단계로 접속할 수 있도록 한다(S29). 그리고 상기 판단결과(S28), 접속을 허용하지 않았으면 접속을 차단한다(S30).
따라서 보안등급 2단계 접속이 허용된 사용자는 홈 네트워크(30)의 데이터를읽고, 쓰거나 각종 홈 네트워크 제품의 동작을 제어할 수 있다.
그리고 검증기(41)는 상기 사용자가 접속을 해제하는지 판단하여(S31), 접속을 해제하면 초기 루틴으로 복귀하여 새로운 접속요청을 대기한다.
상술한 본 발명의 방화벽과 종래기술의 방화벽의 가장 큰 차이점을 살펴보면, 종래의 방화벽은 방화벽 자체적으로 기설정된 암호화코드 등을 이용하여 사용자를 접속 또는 차단시키지만, 본 발명의 방화벽은 상술한 전화접속 모듈과 인증기를 통해 관리자에게 직접 연락하여 사용자 접속요청에 대한 인증을 수행한다.
본 발명에 따른 방화벽 및 그 운용방법은 다음과 같은 효과가 있다.
첫째, 고성능의 서버를 필요로하는 복잡한 암호화코드 등을 이용하지 않으므로 저가의 시스템 구축이 가능하여 가격 경쟁력을 향상시킬 수 있다.
둘째, 보안등급에 따라 방화벽 자체에서 인증을 수행하거나 관리자를 통해 인증을 수행하므로 사용자에 대한 편의를 제공함은 물론이고 시스템의 효율 또한 향상시킬 수 있다.
셋째, 각 가정에 설치할 수 있으므로 방화벽 내부의 해킹 등이 완벽하게 차단되고 보안등급에 따라 관리자를 통한 인증이 수행되므로 시스템의 신뢰성을 극대화시킬 수 있다.
Claims (4)
- 인터넷 망을 통해 접속하려는 사용자의 ID/패스워드 확인과 상기 사용자의 보안등급에 따라 자체적으로 인증을 수행하거나 외부로부터의 인증여부를 확인하여 접속을 허가 또는 차단하는 검증기,접속 인증 목적으로 관리자와의 전화연결을 수행하기 위한 전화접속 모듈,상기 사용자가 소정 보안등급 이상일 경우 상기 전화접속 모듈을 통해 관리자에게 해당 사용자의 접속 인증 여부를 확인하고 그 확인결과에 따라 상기 사용자의 접속을 허용하도록 상기 검증기를 제어하는 인증기를 포함하는 방화벽.
- 기설정된 관리자와의 전화연결이 가능하고 소정 시스템의 접속을 제한하기 위한 방화벽에 있어서,소정 사용자의 접속요구시 보안등급을 판단하는 단계,상기 보안등급 판단결과 설정된 보안등급 미만이면 해당 사용자의 ID 또는 패스워드를 검사하고 검사결과에 따라 보안등급 접속을 허용하는 단계,상기 보안등급 판단결과 설정된 보안등급 이상이면 관리자에게 전화를 연결하고 상기 관리자가 해당 사용자의 접속을 허용하는지 여부를 판단하여 해당 사용자의 접속을 허용하는 단계를 포함하는 방화벽 운용방법.
- 제2 항에 있어서,상기 설정된 보안등급은 상기 시스템의 데이터를 편집하거나 시스템의 동작을 제어할 수 있는 등급임을 특징으로 하는 방화벽 운용방법.
- 제2 항에 있어서,상기 관리자에게 전화를 연결하고 상기 관리자가 해당 사용자의 접속을 허용하는지 여부를 판단하는 단계는 전화를 받은 관리자의 적법성 인증단계를 포함함을 특징으로 하는 방화벽 운용방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020020005099A KR20030064990A (ko) | 2002-01-29 | 2002-01-29 | 방화벽 및 그 운용방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020020005099A KR20030064990A (ko) | 2002-01-29 | 2002-01-29 | 방화벽 및 그 운용방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20030064990A true KR20030064990A (ko) | 2003-08-06 |
Family
ID=32219748
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020020005099A KR20030064990A (ko) | 2002-01-29 | 2002-01-29 | 방화벽 및 그 운용방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20030064990A (ko) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000349926A (ja) * | 1999-06-08 | 2000-12-15 | Sega Enterp Ltd | ダイヤルアップ接続用サーバ |
| KR20010087098A (ko) * | 2000-03-03 | 2001-09-15 | 배태화 | 통합 서버 관리 시스템 및 관리 방법 |
| KR100298280B1 (ko) * | 1999-08-31 | 2001-11-01 | 김지윤 | 인증 서버와 결합된 방화벽 시스템 |
| KR20020010884A (ko) * | 2001-11-22 | 2002-02-06 | 허기행 | 네트워크 접근 제어 방법 |
| KR100358518B1 (ko) * | 2000-07-03 | 2002-10-30 | 주식회사 지모컴 | 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템 |
| KR20030059355A (ko) * | 2001-12-29 | 2003-07-10 | 엘지전자 주식회사 | 망 관리 시스템 및 방법 |
-
2002
- 2002-01-29 KR KR1020020005099A patent/KR20030064990A/ko not_active Application Discontinuation
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000349926A (ja) * | 1999-06-08 | 2000-12-15 | Sega Enterp Ltd | ダイヤルアップ接続用サーバ |
| KR100298280B1 (ko) * | 1999-08-31 | 2001-11-01 | 김지윤 | 인증 서버와 결합된 방화벽 시스템 |
| KR20010087098A (ko) * | 2000-03-03 | 2001-09-15 | 배태화 | 통합 서버 관리 시스템 및 관리 방법 |
| KR100358518B1 (ko) * | 2000-07-03 | 2002-10-30 | 주식회사 지모컴 | 임베디드 하드웨어와 범용 컴퓨터가 결합된 방화벽 시스템 |
| KR20020010884A (ko) * | 2001-11-22 | 2002-02-06 | 허기행 | 네트워크 접근 제어 방법 |
| KR20030059355A (ko) * | 2001-12-29 | 2003-07-10 | 엘지전자 주식회사 | 망 관리 시스템 및 방법 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11604861B2 (en) | Systems and methods for providing real time security and access monitoring of a removable media device | |
| US20100197293A1 (en) | Remote computer access authentication using a mobile device | |
| US7707630B2 (en) | Remote authentication caching on a trusted client or gateway system | |
| US8266683B2 (en) | Automated security privilege setting for remote system users | |
| US20050138417A1 (en) | Trusted network access control system and method | |
| US20090199286A1 (en) | Method and appartus for network security using a router based authentication system | |
| US20100199086A1 (en) | Network transaction verification and authentication | |
| CN114598540B (zh) | 访问控制系统、方法、装置及存储介质 | |
| CN111193737B (zh) | 云服务器的访问方法、系统、OpenVPN服务器和LDAP认证系统 | |
| AU6564601A (en) | Method and computer system for controlling access by applications to this and other computer systems | |
| JP2004510215A (ja) | 適合化可能なマルチ階層認証システム | |
| CA2375206A1 (en) | Internet/network security method and system for checking security of a client from a remote facility | |
| US10848489B2 (en) | Timestamp-based authentication with redirection | |
| US20120159586A1 (en) | Method and apparatus for implementing security measures on network devices | |
| CN110781465B (zh) | 基于可信计算的bmc远程身份验证方法及系统 | |
| WO2020122977A1 (en) | Timestamp-based authentication with redirection | |
| US6711610B1 (en) | System and method for establishing secure internet communication between a remote computer and a host computer via an intermediate internet computer | |
| KR101160219B1 (ko) | 네트워크 보안을 위한 접속 경로 추적시스템과 추적방법 | |
| CN114915427B (zh) | 访问控制方法、装置、设备及存储介质 | |
| US9143510B2 (en) | Secure identification of intranet network | |
| CN105451225A (zh) | 一种接入认证方法及接入认证设备 | |
| US20210306300A1 (en) | Portable, hardware-based authentication client to enforce user-to-site network access control restrictions | |
| Cisco | Security Configuration Guide Cisco IOS Release 11.3 | |
| KR20030064990A (ko) | 방화벽 및 그 운용방법 | |
| JP2001211479A (ja) | データ通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| N231 | Notification of change of applicant | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application |