KR20040032461A - Positive contact list firewall and the operating method - Google Patents
Positive contact list firewall and the operating method Download PDFInfo
- Publication number
- KR20040032461A KR20040032461A KR1020020061602A KR20020061602A KR20040032461A KR 20040032461 A KR20040032461 A KR 20040032461A KR 1020020061602 A KR1020020061602 A KR 1020020061602A KR 20020061602 A KR20020061602 A KR 20020061602A KR 20040032461 A KR20040032461 A KR 20040032461A
- Authority
- KR
- South Korea
- Prior art keywords
- internet
- designated
- list information
- packet
- sites
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
지금까지 방화벽은 방화벽의 개념은 모두 접속을 차단해야할 대상을 한정하는 방식의 방화벽(이하 "접속차단한정방화벽"이라 한다)의 개념으로 형성되어있다. 이는 접속을 차단해야 할 유해사이트의 개념을 정의하고 이를 검색하는 엔진을 제작하여 인터넷을 통해 들어오는 정보를 실은 패킷을 통상 오에스아이(OSI) 3 단계 혹은 4 단계까지 검색하여 유해사이트라고 판단되면 접속을 차단하는 방식을 채택하고 있다.Until now, the firewall has been formed with the concept of a firewall (hereinafter referred to as a "blocking firewall") in which all the concepts of a firewall limit a connection to be blocked. It defines the concept of harmful site that should be blocked and creates an engine to search for it, and normally searches up to 3rd or 4th stage of OSI for packets containing information coming from the Internet. Blocking method is adopted.
이러한 접속차단 형식의 방화벽은 사용자에게 비교적 자유로운 인터넷 사용환경을 제공하면서도 사용자를 유해사이트로부터 접촉을 제한 할 수 있게 한다는 점에서 상당히 그 가치를 인정 받아왔다. 하지만 사회 전반적으로 컴퓨터를 다루는 기술이 향상됨에 따라 이러한 형식의 방화벽은 그리 어렵지 않게 다양한 회피 방법에 의하여 유명무실화하는 경우가 많았다. 예를 들면, 아이피(IP) 주소로 웹사이트에 접속하면 어떤 사이트라도 접속이 가능하다. 특히 이러한 방법들은 정보를 담고 들어오는 패킷의 분석이 오에스아이층(OSI Layer) 3 레벨 정도만을 분석하여 유해 사이트를 걸러줌으로써 근본적으로 모든 유해 사이트를 봉쇄하는 방화벽으로서의 기능을 완벽하게 수행하기는 근본적으로 어려운 측면이 있고, 소수라도 유해 사이트로의 접속이 가능하다면 대부분 유해 사이트가 유사한 유해 사이트 등과 상호 링크 기능을 가지고 있는 등 접속차단한정방식의 방화벽을 회피하는 방법이 쉽게 찾아질 수 있으므로 그 실효성이 의문시되는 경우가 많았다.This type of firewall has been recognized for its value in that it provides users with a relatively free Internet environment while restricting users from harmful sites. However, as the technology of handling computers has improved throughout the society, these types of firewalls are not too difficult to be famous by various evasion methods. For example, any site can be accessed by connecting to a website using an IP address. In particular, these methods are fundamentally difficult to fully function as a firewall that basically blocks all malicious sites by analyzing incoming packets that contain only the level of OSI Layer 3 to filter out harmful sites. There are aspects, and if a few can access harmful sites, the effectiveness of the firewall can be easily found, as most malicious sites have similar links with similar sites. There were many cases.
따라서 이는 접속차단한정방화벽의 내재적인 불완전성에서 기인하는 것으로 이를 보완하는 방법은 그리 쉬운 일이 아니다.Therefore, this is due to the inherent imperfections of the connection blocking firewall. It is not easy to compensate for this.
이를 좀 더 구체적으로 살펴보자.Let's look at this more specifically.
우선 접속차단형식 방화벽시스템에서 유해사이트와의 접속가능성을 줄이는 방법으로 차단해야 할 범위를 유해의 가능성이 낮은 단어나 사이트까지 확대하는 것을 생각해볼 수 있다. 하지만 이를 경우 정상적인 인터넷이용도 비례하여 방해를 받게 되므로 바람직하지 않은 측면이 있고 그 적용에 있어서도 한계가 있으며 인터넷의 속도도 떨어지게 된다.First of all, it is possible to consider extending the scope of the blocking-type firewall system to words or sites with a low possibility of harmfulness by reducing the possibility of access to harmful sites. However, in this case, the normal Internet use is also proportionally disturbed, so there is an undesirable aspect, there is a limit in the application, and the speed of the Internet decreases.
다음으로 유해사이트의 접속가능성을 낮추는 방법으로 생각할 수 있는 것은 패킷을 검색의 정도를 오에스아이(OSI) 4 단계 보다 올려 사이트의 내용까지 검색하여 유해사이트로의 접근을 봉쇄하는 방법이다. 하지만 이는 검색 및 사이트 접속속도를 엄청나게 느리게 만들어 인터넷의 효용 가치를 현저히 떨어뜨릴 것이므로 이 방법 또한 그 적용에 한계가 있다.Next, what can be thought of as a way to reduce the accessibility of harmful sites is to block the access to harmful sites by searching the contents of the site by raising the level of the packet to 4 levels of OSI. However, this method is also limited in its application because it will greatly slow down the search and site access speeds and significantly reduce the utility value of the Internet.
그러므로 대부분의 선생님이나 학부형이 비록 방화벽을 설치한 컴퓨터라 할 지라도 유해환경에 접속할 가능성 때문에 학생들이 인터넷을 통해 학습을 하는 것을 탐탁하게 생각하지 않고 있으며, 사용자 특히 호기심이 많은 학생의 입장에서도 학습도중에 본인의 의지만으로 유해사이트로부터의 유혹을 모두 물리치기가 어려운 경우가 많아 인터넷상으로 학습하는 것을 부정적으로 보는 경향이 있다.Therefore, most teachers and parents do not consider students to learn through the Internet because of the possibility of accessing harmful environments even though computers with firewalls are installed. It is difficult to resist all the temptations from harmful sites because of the will.
본 발명은 초 ·중 ·고등학생들이 인터넷을 통해 교육을 받을 때 학생들이 공부 중에 인터넷의 유해사이트로 접속하는 것을 원천적으로 봉쇄함으로써 학부형 혹은 선생님들이 안심하고 자녀나 학생에게 안심하고 양질의 인터넷교육을 제공할 수 있도록 개발된 것이다.When the elementary, middle and high school students are educated via the Internet, the school blocks the access to harmful sites on the Internet while the students are studying. It was developed to do that.
또한 기업의 경우에도 접속해야 할 사이트의 수가 비교적 적은 수인 경우에는 본 발명의 접속지정한정방화벽을 응용하면 업무의 집중도를 크게 향상할 수 있다.In addition, even in the case of a company, if the number of sites to be accessed is relatively small, the application of the designated designated firewall of the present invention can greatly improve the concentration of work.
이를 통해 이러한 환경이 학생을 대상으로 하는 인터넷사업의 경우 학생들이유해 사이트에 접속하는 길을 원천적으로 봉쇄함으로써 학습에만 집중토록 하게 할 수 있고 학부형, 교사 등도 안심하고 인터넷학습시스템에 자식이나 학생들에게 제공할 수 있게 된다.Through this environment, the Internet business that targets students can block students' access to the site at the source, so that they can concentrate only on learning, and provide parents and teachers to children or students in the Internet learning system with confidence. You can do it.
도 1은 접속지정한정방화벽 구성도.1 is a block diagram of a designated designated firewall.
도 2는 종래기술의 방화대상리스트정보 구성방법.2 is a method for constructing fire prevention list information of the prior art;
도 3은 본 발명의 접속지정리스트정보 구성방법.3 is a method of constructing connection designation list information according to the present invention;
도 4는 종래기술의 유해사이트판단엔진의 판단방법.Figure 4 is a method for determining the harmful site judgment engine of the prior art.
도 5는 본 발명의 접속사이트판단엔진의 판단방법.5 is a method for determining a connected site determination engine of the present invention.
도 6은 사용자 인터페이스.6 is a user interface.
도7은 접속지정한정방화벽의 4가지 운용환경.7 shows four operating environments of the designated designated firewall.
1. 본원발명의 구성1. Composition of the present invention
본원발명은 종래의 방식과는 달리 접속지정한정방화벽 방식을 도입하고 있다. 접속지정한정방화벽이라는 방식은 접속이 필요한 사이트만을 선별하여 그 사이트만을 접속할 수 있도록 하고 여타 사이트는 접속을 금지시키도록 방화벽을 설정하는 방식으로서 그 리스트를 형성하는 방식에 있어서, "고정형"과 "가변형"이 있고 가변형은 다시 "수동식가변형"과 "자동식가변형"이 있으며, 그리고 수동과 자동의 방식이 혼합된 경우도 있다.Unlike the conventional method, the present invention introduces a connection-specified constant firewall method. The designated firewall is a method that selects only the sites that require access and allows the access to only those sites, and configures the firewall to prohibit access from other sites. "Variable type" is again "manual variable" and "automatic variable", and there is a mixture of manual and automatic methods.
접속지정리스트의 내용을 저장하는 매체로는 메모리(ROM, EPROM 등)나 보조 기억정치(디스켓, CD, 하드디스크) 등의 저장 매체를 사용할 수 있다. 저장 매체에 따라 저장된 내용이 읽기만 허용되고 쓰기가 허용되지 않는 매체는 고정형에 사용될 수 있고 이 경우는 저장 매체를 교환하지 않고는 그 리스트를 변경할 수 없다. 반면, 읽기와 쓰기 모두 허용되는 저장 매체는 가변형의 경우에 사용된다.As a medium for storing the contents of the connection designation list, a storage medium such as a memory (ROM, EPROM, etc.) or an auxiliary storage device (diskette, CD, hard disk) can be used. Depending on the storage medium, the stored contents are only allowed to be read and not allowed to be written. The medium can be used for fixed type, in which case the list cannot be changed without exchanging the storage medium. On the other hand, storage media that allow both reading and writing are used in the case of variable type.
수동식가변형 방식은 허용하는 사이트의 범위를 수동적으로 설정하고, 수동으로 저장 매체에 따라 리스트의 변경이 가능하게 하는 방법이다.The manual variable method is a method of manually setting a range of sites to allow and manually changing a list according to a storage medium.
자동식가변형 방식은 패킷을 검색하여 자동적으로 허용하는 범주를 설정하도록 한다. 먼저 어떤 조건을 설정해 놓으면 접속하려는 사이트가 그 조건에 맞는지여부를 판단하는 장치 혹은 소프트웨어 등의 수단을 통해 자동으로 허용하는 사이트의 리스트를 설정하는 방법이 있다. 그러나 실제 이를 적용함에 있어서는 상기의 어느 한 방법만을 쓰기보다는 둘 이상의 방법을 상황에 따라 주합하여 사용할 수도 있다. 예를 들어 접속이 허용되는 아이피(IP)주소 리스트를 고정된 아이피(IP) 주소를 담고 있는 부분과 쉽게 변경될 수 있는 부분으로 나누어 변동 가능한 부분은 특정한 상황 설정에 따라 추가 또는 삭제가 가능하도록 하여 리스트 형성에 탄력성을 부여하는 방법을 병행할 수 있을 것이다. 이때 변동 가능한 리스트는 수동에 의해 가능할 수도 있고 특정한 목적 사이트 확인 기능을 가진 소프트웨어에 의해 자동으로 설정될 수도 있다. 이는 종래의 방화벽에서 접속차단한정방화벽에 의한 사이트를 걸러내는 방식과는 그 개념이 구별되는 것이다. 보다 구체적으로Automatic variable transformations allow you to search for packets and set the categories to allow automatically. First, there is a method of setting a list of sites that are automatically allowed through a means such as a device or software that determines whether a site to be accessed meets the condition. In practice, however, two or more methods may be used in combination depending on the situation, rather than using any one of the above methods. For example, the list of IP addresses that are allowed to access is divided into parts containing fixed IP addresses and parts that can be easily changed, so that the parts that can be changed can be added or deleted according to specific circumstances. You may be able to add some flexibility to list construction. The variable list may be manually enabled or may be automatically set by software having a specific destination site identification function. This concept is distinguished from the method of filtering a site by a blocked access firewall in a conventional firewall. More specifically
예를 들어보면 초 ·중 ·고등학생의 학교 공부를 보충하기 위한 특수사이트를 위한 전용 컴퓨터의 경우에는 학생들의 공부 집중을 위해 유해 사이트의 접속을 원천적으로 봉쇄할 수 있는 읽기만 허용되는 저장 매체를 사용하여 저장 매체를 교환하지 않고는 변경이 불가능한 방화벽(이하 "고정형 접속지정한정방화벽"이라 한다)이 보다 바람직한 경우도 있고, 읽기 ·쓰기가 가능한 저장 매체를 사용하여 필요한 경우 변경이 가능하도록 적절히 환경을 설정한 방화벽(이하 "가변형 접속지정한정방화벽"이라 한다)이 경우에 따라서는 바람직 할 수 있을 것이다.For example, a dedicated computer for special sites to supplement elementary, middle, and high school students may use a read-only storage medium that can block access to harmful sites to help students concentrate on their studies. In some cases, a firewall that cannot be changed without exchanging the storage media (hereinafter referred to as a “fixed access firewall”) is more desirable, and a storage medium that can be read and written is appropriately set up so that changes can be made if necessary. A firewall (hereinafter referred to as a "variable connection designated firewall") may be desirable in some cases.
2. 작동 원리2. Working principle
기본 원리는 클라이언트가 원하는 사이트만 접속이 가능하게 한다는 점이다. 기존에는 방화벽으로 차단하고자 하는 특정 컨텐츠가 포함된 리스트를 미리 정의하거나 만들고 그 리스트의 컨텐츠가 포함된 사이트를 차단하는 방식인 반면, 본 발명에서는 접속을 하고자 하는 사이트를 미리 정의하거나 리스트화해서 그 리스트에 있거나 정의된 내용에 합치된 사이트만을 통과시키고 그 외 사이트는 차단하는 방식이라 할 수 있다. 이 경우 목적 사이트의 주소만을 접속 가능하게 하는 방식은 고정형이든 수동식가변형이든 자동식가변형이든 읽기/쓰기가 가능한 저장 매체를 이용할 경우 별 문제가 없다고 할 수 있을 것이다. 또한, 목적하는 사이트를 정의해 놓고 이를 자동적으로 패킷의 검색을 통해 접속하게 하는 방식도 다음의 방식에 의해 기술적으로 구현할 수 있다. 이를 간단히 이야기하면 접속하고자 하는 사이트의 정의를 바탕으로 패킷을 분석하여 그 정의와 합치할 경우 접속을 허락하는 방식이다. 그리고 이와 아울러 그 정의와 합치된 아이피(IP)주소는 자동적으로 혹은 재점검 프로그램에 의해 재점검 후 접속이 허용되는 아이피(IP)주소 명단에 등록되도록 할 수도 있다.The basic principle is that only clients can access the site. Conventionally, a method of pre-defining or creating a list containing specific contents to be blocked by a firewall is made, and blocking the sites including the contents of the list, whereas in the present invention, the list of sites to be connected to is predefined or listed. Only sites that are in or match the defined content are allowed to pass and other sites are blocked. In this case, there is no problem in using a storage medium capable of accessing only the target site address, whether it is a fixed type, a manual variable type, or an automatic variable type. In addition, a method of defining a desired site and automatically accessing it through packet search can be technically implemented by the following method. In short, it analyzes the packet based on the definition of the site to be accessed and allows access if it matches the definition. In addition, the IP address conforming to the definition may be automatically registered or re-checked by a re-checking program and registered on the IP address list which is allowed to access.
정보 리스트를 보다 세부적으로 설명하면, 리스트 구성은 외부로부터 입력되는 패킷을 분석하면 아이피명칭(IP name), 아이피주소(IP address), 포트 번호를 통한 서비스 종류, 실제 데이터 등을 파악하여 유해 사이트인지를 체크하여 접속을 해도 무방한 사이트이라고 판단되면 리스트에 추가하는 방식으로 리스트를 자동적으로 구성될 수 있다. 따라서, 이 경우에는 초기에는 리스트가 비어있는(null) 상태이고, 점차적으로 접속해도 좋은 사이트가 리스트에 하나하나 추가 등록될 수 있다. 따라서, 리스트 구성 방법이 기존의 방식과는 새로운 방식이다. 즉, 기존 방식은 리스트가 미리 정의되었거나 수동으로 추가/삭제되지만, 본 방법은 패킷을 분석하여 유해 사이트인지를 판단하여 자동적으로 리스트를 구성한다. 또한, 리스트에 내용도 기존 방식은 유해 사이트 정보를 가지고 있지만 본 방식은 접속해도 좋은 사이트 정보를 가지고 있다.If the list of information is described in more detail, the list structure analyzes packets input from the outside to identify IP names, IP addresses, service types through port numbers, and actual data. If it is determined that the site can be accessed by checking the list can be automatically configured by adding to the list. Therefore, in this case, the list is initially null, and sites that may be gradually accessed may be added to the list one by one. Therefore, the list construction method is new from the existing method. That is, in the existing method, the list is predefined or manually added / deleted, but the present method analyzes the packet to determine whether it is a harmful site and automatically constructs the list. In addition, the contents of the list have harmful site information while the existing method has harmful site information.
제어 흐름은 2 단계로 나누어진다. 1 단계는 오에스아이층(OSI Layer) 3 레벨에서 기존의 방법과 유사하지만 정보 리스트의 내용이 다르므로 기존의 방법은 유해 사이트에 속하는지를 판별하는 것이고 본 방법은 접속 가능한 사이트에 속하는지를 체크한다. 2 단계는 오에스아이층(OSI Layer) 4 레벨에서 서비스 종류, 오에스아이층(OSI Layer) 7 레벨에서 실제 데이터 정보등을 가지고 접속해도 무방한 사이트인지를 체크하여 접속 가능한 사이트이면 리스트에 패킷의 정보 리스트를 갱신한다.The control flow is divided into two stages. Step 1 is similar to the existing method at the OSI Layer 3 level, but since the contents of the information list are different, the existing method determines whether it belongs to a harmful site and the method checks whether it belongs to an accessible site. The second step is to check whether the site can be accessed with service type at OSI Layer 4 level and actual data information at OSI Layer 7 level. Update the list.
본 발명은 유해 사이트를 완벽하게 차단할 수 있는 능력에 주안점을 두었다. 따라서, 대규모 랜(LAN) 환경에서 초당 많은 처리가 요구되는 환경에서는 상기 방법에서 2 단계로 체크하는 부분을 사용하지 않고 1 단계만 사용하면 된다. 또한, 처리 속도 향상을 위해 보조 기억 장치에 있는 리스트는 주 기억장치에 상주시켜서 접근 시간을 단축시킬 수 있고, 또한 본 발명의 패키지를 개인용컴퓨터(PC) 내에 네트워크 장치(NIC, 모뎀 등)나 네트워크 장비(스위치, 라우터, 모뎀, IP 공유기 등) 내장하여 사용함으로써 소기의 목적을 달성할 수 있다.The present invention focused on the ability to completely block harmful sites. Therefore, in an environment where a large amount of processing per second is required in a large-scale LAN environment, only one step may be used instead of using the part checked in the second step. In addition, the list in the auxiliary storage device can be located in the main storage device to shorten the access time for improving the processing speed, and the package of the present invention can be stored in a personal computer (PC) or a network device (NIC, modem, etc.) or network. By using equipment (switch, router, modem, IP router, etc.) built-in, the desired purpose can be achieved.
3. 구현 방법3. Implementation method
능동적 방화벽의 구현은 소프트웨어, 하드웨어 또는 소프트웨어와 하드웨어로 구현이 가능하다. 접속지정한정방화벽의 구성 요소는 도면 1에서와 같이 오에스아이층(OSI Layer) 3/4 레벨 혹은 경우에 따라서는 오에스아이(OSI Layer) 7레벨까지 패킷을 분석하여 유해 사이트 여부를 결정하는 유해사이트 판단 엔진, 이 엔진을 통해 얻은 정보를 가지고 점차적으로 구성된 정보 리스트, 능동적 방화벽을 유지 관리할 수 있는 사용자 인터페이스로 구성된다. 여기에서 유해 사이트 판단 엔진은 하드웨어나 소프트웨어로 구성이 가능하다.An active firewall can be implemented in software, hardware, or software and hardware. As shown in Fig. 1, the component of the designated designated firewall is a harmful site that analyzes packets up to OSI Layer 3/4 level or, in some cases, OSI Layer 7 level to determine the harmful site. It consists of a decision engine, a progressively organized list of information with information from the engine, and a user interface to maintain an active firewall. Here, the harmful site determination engine can be configured by hardware or software.
정보 리스트 구성 방법은 도면 2에서와 같이 기존의 방법은 유해 사이트에 관련 정보 즉, 차단 정보로 구성되는 반면, 본 발명에서는 접속 가능한 사이트에 대한 정보로 구성된다.In the method of constructing the information list, as shown in FIG. 2, the existing method is composed of related information, that is, blocking information, on a harmful site, whereas in the present invention, the information list is composed of information on accessible sites.
유해 사이트 판단 엔진은 도면 3에서와 같이 패킷이 들어오면 1 단계로 오에스아이층(OSI Layer) 3 레벨에서 패킷의 소스의 아이피명칭/주소(IP name/address) 정보를 이용하여 해당 내용이 리스트에 존재하는지를 체크하여 존재하면 패킷을 접수하면 된다. 또 다른 경우로서 리스트에 존재하지 않으면 2 단계로 패킷의 세부 정보인 오에스아이층(OSI Layer) 4 레벨에서 서비스 종류, 오에스아이층(OSI Layer) 7 레벨에서 실제 데이터 정보 등을 통하여 유해 사이트인지를 체크하여 유해 사이트이면 패킷을 차단하고, 유해 사이트가 아니면 리스트에 패킷의 아이피명칭/주소(IP name/address)를 등록하고 패킷을 접수하는 방식이 될 수도 있다. 여기에서 패킷의 세부 정보를 가지고 유해 사이트인지를 체크할 때에 보다 더 정확한 결정을 위하여 필요하다면 사전에 유해 사이트에 대한 정보가 있다면 이를 활용할 수 있다. 또한, 리스트를 보완할 필요가 없을 경우에는 패킷의 세부 정보를 분석하는 상기 2 단계를 건너뛸 수 있다. 따라서, 기존 방식의 제어 흐름은 단지 오에스아이층(OSI Layer) 3 레벨에서 패킷의 아이피명칭(IP name)이 미리 정의된 리스트에 존재하면 차단하지만, 본 방식은 패킷의 아이피명칭(IP name)이 리스트에 존재하면 접수하고, 자동식가변형접속지정방화벽의 경우에는 존재하지 않으면 OSI Layer 4와 OSI Layer 7 레벨에서 패킷의 세부 정보를 분석하여 유해 사이트인지를 파악하여 접속 여부를 결정하고 리스트를 자동 갱신한다.The harmful site determination engine uses the IP name / address information of the packet source at the OSI Layer 3 level when the packet comes in as shown in FIG. Check if it exists and accept the packet if it exists. In another case, if it does not exist in the list, it is determined in step 2 whether it is a harmful site through service type at the OSI Layer 4 level, which is the detailed information of the packet, and actual data information at the OSI Layer 7 level. If the malicious site is checked, the packet is blocked. If the malicious site is not, the IP address / address of the packet may be registered in the list and the packet may be received. Here, if it is necessary to make a more accurate decision when checking whether the harmful site is based on the packet details, it can be used if there is information about the harmful site in advance. In addition, if the list does not need to be supplemented, step 2 of analyzing the detailed information of the packet may be skipped. Therefore, the conventional control flow blocks only if the IP name of the packet exists in the predefined list at the OSI Layer 3 level, but the present method does not allow the IP name of the packet. If it exists in the list, it is accepted. In the case of automatic variable access designated firewall, if it does not exist, it analyzes the packet details at OSI Layer 4 and OSI Layer 7 level to determine whether it is a harmful site and decide whether to connect and update the list automatically. .
사용자 인터페이스는 도면 4에서와 같이 지유아이(GUI) 부분, 정보리스트 관리 부분, 유해 사이트 판단 엔진 관리 부분으로 구성된다. 지유아이(GUI) 부분은 사용자가 용이하고 편리하게 사용할 수 있도록 자바 애플렛 또는 그래픽을 사용하여 정보 리스트와 유해 사이트 판단 엔진 관리를 위한 브라우저를 만든다. 사용자는 이를 통하여 정보 리스트를 수동적으로 구성 또는 변경할 수 있고, 유해 사이트 판단 엔진에 대한 시작, 종료, 그리고 정책 결정(1단계, 2단계, 또는 모두)을 설정할 수 있다.The user interface is composed of a GUI part, an information list management part, and a harmful site determination engine management part as shown in FIG. The GUI part uses a Java applet or graphics to make a browser for managing information lists and harmful site determination engines for easy and convenient use by users. This allows the user to manually configure or change the information list and to set up start, end, and policy decisions (1st, 2nd, or both) for the malicious site determination engine.
4. 운용 환경4. Operating Environment
접속지정한정방화벽의 운용 환경은 도면 5에서처럼 네 가지로 나누어 볼 수 있다. 첫번째로 해당 개인용컴퓨터(PC) 장비내에 직접 설치하는 방법으로 이 경우에는 방화벽 시스템이 소프트웨어로 구성되어 있다. 두번째로 개인용컴퓨터의 닉(NIC) 카드, 모뎀 등 네트워크 장치에 내장하는 방법이다. 세번째는 스위치, 라우터, 아이피(IP) 공유기 등 네트워크 장비내에 내장하는 방법이다. 마지막으로 독립된 하드웨어로 구성되어 해당 개인용컴퓨터(PC) 전단부에 위치하는 방법이다. 여기서, 방화벽의 범위는 접속지정한정방화벽 설치 위치에 따라 오직 해당 개인용컴퓨터(PC) 또는 가정 내에 모든 장비로 범위가 결정된다. 먼저, 소프트웨어인 경우는 능동적 방화벽을 설치하고자 하는 개인용컴퓨터(PC), 아이피(IP) 공유기, 스위치 등에 직접 설치하면 된다. 해당 개인용컴퓨터(PC)만 외부 유해 사이트로부터 보호를 받고자 할 때는 해당 개인용컴퓨터(PC)에 설치하면 된다. 방화벽 범위를 확대하고 싶다면 직접 개인용컴퓨터(PC)에 설치하지 않고 아이피(IP) 공유기나 스위치에 설치하여 이들 경로 상에 연결된 모든 장비가 유해 사이트로부터 보호를 받을 수 있다.The operation environment of the designated designated firewall can be divided into four as shown in FIG. Firstly, it is installed directly in the personal computer (PC) equipment. In this case, the firewall system is composed of software. Second, it is embedded in network devices such as NICs and modems in personal computers. The third is to embed it in network equipment such as switches, routers, and IP routers. Lastly, it is composed of independent hardware and located at the front end of the personal computer (PC). Here, the scope of the firewall is limited to all equipment in the personal computer (PC) or home only according to the designated location of the installation firewall. First, in the case of software, it is necessary to directly install a personal computer (PC), an IP (IP) router, a switch, etc., to install an active firewall. If only the personal computer (PC) wants to be protected from an external harmful site, it can be installed on the personal computer (PC). If you want to extend the range of your firewall, you can install it on an IP router or switch rather than on a personal computer (PC), so that all devices connected to these paths are protected from harmful sites.
접속지정한정방화벽의 응용 환경은 가정 또는 독서실 등의 소규모 환경에서 교육 시스템에 연계하는 환경에서 학생들로부터 유해 사이트를 차단하는 것이 일차적 목적이다. 따라서, 본 방식에서는 처리 능력에 주안점을 두기보다는 보다 안전하게 유해 사이트로부터 학생을 보호하는데 주안점이 있다. 기존에 방화벽은 주로 기업체, 정부, 연구소 등 수백대에서 수천대의 개인용컴퓨터(PC)가 연결된 대규모 인터넷 환경에서 초당 처리 능력, 가용성등에 주안점을 두고, 대개는 오에스아이층(OSI Layer) 3 레벨에서 방화벽을 접속을 차단하는 범위를 한정하는 방법으로 구현하였지만, 본 방법에서는 안정성에 주안점을 두고 오에스아이층(OSI Layer) 3 또는 오에스아이층(OSI Layer) 4 레벨뿐만 아니라 오에스아이층(OSI Layer 7) 레벨까지 패킷 정보를 분석하여 방화벽을 능동적으로 수행할 수 있도록 하였다.The primary purpose of the application environment of designated designated firewall is to block harmful sites from students in the environment that connects to educational system in small environment such as home or reading room. Therefore, this approach focuses on protecting students from harmful sites more securely rather than on processing power. Traditionally, firewalls mainly focus on processing power and availability per second in large Internet environments with hundreds to thousands of personal computers (PCs) such as corporations, governments, and research institutes. In this method, the OSI Layer 7 or OSI Layer 4 level as well as OSI Layer 3 or OSI Layer 4 level are focused on stability. By analyzing the packet information, the firewall can be actively executed.
학생을 대상으로 하는 인터넷학습 및 교육사업의 경우 학생들이 유해사이트에 접속하는 길을 원천적으로 봉쇄함으로써 사용자들이 학습에만 집중토록 하게 할 수 있고 학부형, 교사 등도 안심하고 인터넷학습시스템에 자식이나 학생들에게 제공할 수 있게 된다.In the case of internet learning and education projects for students, students can block the access to harmful sites so that users can concentrate on learning only, and parents and teachers can be provided to their children or students on the Internet learning system with confidence. You can do it.
Claims (5)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020020061602A KR20040032461A (en) | 2002-10-09 | 2002-10-09 | Positive contact list firewall and the operating method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020020061602A KR20040032461A (en) | 2002-10-09 | 2002-10-09 | Positive contact list firewall and the operating method |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20040032461A true KR20040032461A (en) | 2004-04-17 |
Family
ID=37332358
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020020061602A KR20040032461A (en) | 2002-10-09 | 2002-10-09 | Positive contact list firewall and the operating method |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20040032461A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101296222B (en) * | 2007-04-25 | 2011-02-02 | 北京天融信网络安全技术有限公司 | Method for improving hardware acceleration performance of fire wall chip |
KR101024006B1 (en) * | 2009-05-25 | 2011-03-29 | (주)트리니티소프트 | A collecting method white URL in web firewall and web firewall having a function of white URL collecting |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR19990027166A (en) * | 1997-09-29 | 1999-04-15 | 구자홍 | How to restrict website access |
US5996011A (en) * | 1997-03-25 | 1999-11-30 | Unified Research Laboratories, Inc. | System and method for filtering data received by a computer system |
KR20000054675A (en) * | 2000-06-16 | 2000-09-05 | 정철현 | Internet browser for protecting from harmful sites |
KR20000058929A (en) * | 2000-07-05 | 2000-10-05 | 김완호 | System and method for controlling connection of internet according to age of user |
KR20000058701A (en) * | 2000-06-26 | 2000-10-05 | 김동회 | An Adaptor Card For Deciding The Access To A Special Web-Site Selectively |
KR20020074344A (en) * | 2001-03-20 | 2002-09-30 | (주) 세이프아이 | Method and system for restricting access to specific internet sites and LAN card for the same |
-
2002
- 2002-10-09 KR KR1020020061602A patent/KR20040032461A/en not_active Application Discontinuation
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5996011A (en) * | 1997-03-25 | 1999-11-30 | Unified Research Laboratories, Inc. | System and method for filtering data received by a computer system |
KR19990027166A (en) * | 1997-09-29 | 1999-04-15 | 구자홍 | How to restrict website access |
KR20000054675A (en) * | 2000-06-16 | 2000-09-05 | 정철현 | Internet browser for protecting from harmful sites |
KR20000058701A (en) * | 2000-06-26 | 2000-10-05 | 김동회 | An Adaptor Card For Deciding The Access To A Special Web-Site Selectively |
KR20000058929A (en) * | 2000-07-05 | 2000-10-05 | 김완호 | System and method for controlling connection of internet according to age of user |
KR20020074344A (en) * | 2001-03-20 | 2002-09-30 | (주) 세이프아이 | Method and system for restricting access to specific internet sites and LAN card for the same |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101296222B (en) * | 2007-04-25 | 2011-02-02 | 北京天融信网络安全技术有限公司 | Method for improving hardware acceleration performance of fire wall chip |
KR101024006B1 (en) * | 2009-05-25 | 2011-03-29 | (주)트리니티소프트 | A collecting method white URL in web firewall and web firewall having a function of white URL collecting |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10922403B1 (en) | Methods and systems for implementing a secure application execution environment using derived user accounts for internet content | |
US9270704B2 (en) | Modeling network devices for behavior analysis | |
US8146147B2 (en) | Combined firewalls | |
US8151337B2 (en) | Applying firewalls to virtualized environments | |
US6717949B1 (en) | System and method for IP network address translation using selective masquerade | |
Moore et al. | Attack modeling for information security and survivability | |
Deibert et al. | Firewalls and power: An overview of global state censorship of the Internet | |
KR101203331B1 (en) | Url based filtering of electronic communications and web pages | |
EP1832037B1 (en) | Template access control lists | |
US20170373923A1 (en) | System and method for determining and forming a list of update agents | |
AU2004200909B2 (en) | Network zones | |
KR20060028390A (en) | Security checking program for communication between networks | |
KR20040032461A (en) | Positive contact list firewall and the operating method | |
US8495721B1 (en) | Data network security policies | |
KR19990027166A (en) | How to restrict website access | |
JP4390263B2 (en) | Visualization display method of process access authority in secure OS | |
Gallus et al. | Security analysis of the Raspbian Linux operating system and its settings to increase resilience against attacks via network interface | |
CN1181645C (en) | Control method of network access of user to log on | |
JP2003044441A (en) | Network access control management system | |
Chu | CCNA Cyber Ops SECOPS–Certification Guide 210-255: Learn the skills to pass the 210-255 certification exam and become a competent SECOPS associate | |
Guster et al. | A firewall configuration strategy for the protection of computer networked labs in a college setting | |
Mohamed | Study of bypassing Microsoft Windows Security using the MITRE CALDERA Framework [version 1; peer review | |
Cobbaut | Linux Security | |
JP4262284B2 (en) | Packet filtering system and method | |
Brotzman | Wrap a security blanket around your computer |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |