KR20070000606A - 방화벽 설정 방법 - Google Patents

방화벽 설정 방법 Download PDF

Info

Publication number
KR20070000606A
KR20070000606A KR1020050056083A KR20050056083A KR20070000606A KR 20070000606 A KR20070000606 A KR 20070000606A KR 1020050056083 A KR1020050056083 A KR 1020050056083A KR 20050056083 A KR20050056083 A KR 20050056083A KR 20070000606 A KR20070000606 A KR 20070000606A
Authority
KR
South Korea
Prior art keywords
information
source
destination
port
firewall
Prior art date
Application number
KR1020050056083A
Other languages
English (en)
Other versions
KR100726814B1 (ko
Inventor
이신열
Original Assignee
이신열
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이신열 filed Critical 이신열
Priority to KR1020050056083A priority Critical patent/KR100726814B1/ko
Publication of KR20070000606A publication Critical patent/KR20070000606A/ko
Application granted granted Critical
Publication of KR100726814B1 publication Critical patent/KR100726814B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 방화벽 설정 방법에 관한 것으로, 보다 자세하게는 출발지 주소와 도착지 주소를 방화벽에 포함시켜 정해진 규칙에 따라서 전송 또는 차단하는 방화벽의 운용 방법에 관한 것이다.
본 발명의 방화벽 설정 방법은 IP/포트 정보와 IP 대역 또는 출발지/도착지 포트를 통합하는 단계; 상기 통합된 정보를 정책 정보에 반영하는 단계; 상기 정보의 IP 대역 또는 출발지/도착지 포트를 정책 정보의 정보에 반영하고 IP/포트 정보의 IP 대역 또는 출발지/도착지 포트를 삭제하는 단계; 상기 정책 정보의 중복된 정보를 통합하여 전송규칙을 추가 및 삭제하는 단계 및 상기 전송규칙에 우선순위를 부여하는 단계로 이루어짐에 기술적 특징이 있다.
따라서, 본 발명의 방화벽 설정 방법은 출발지 IP 정보와 도착지 IP 정보, 서비스 포트 정보 및 정책 정보가 중복될 경우에 전송 규칙의 각 인자들의 중복되는 자료를 제거함으로써 방화벽 운용을 최적화할 수 있는 장점이 있고, 그에 따라 해당 장비의 자원을 절약하고, 데이터 전송 속도를 향상시키며 운용자의 노력을 경감시키는 효과가 있다.
방화벽 설정, 우선순위, 전송규칙, 정책 설정

Description

방화벽 설정 방법{Method for setting the fire wall}
도 1은 종래의 방화벽 설정을 나타내는 도면이다.
도 2a 내지 도 2f는 본 발명에 따른 방화벽 설정을 나타내는 도면이다.
<도면의 주요 부분에 대한 부호의 설명>
100 : 출발지 IP 정보 200 : 도착지 IP 정보
300 : 서비스 포트 정보 400 : 정책 정보
본 발명은 방화벽 설정 방법에 관한 것으로, 보다 자세하게는 출발지 주소와 도착지 주소를 방화벽에 포함시켜 정해진 규칙에 따라서 전송 또는 차단하는 방화벽의 운용 방법에 관한 것이다.
네트워크 프로토콜은 개방형 데이터 교환을 통해 네트워크 디바이스들 간의 통신을 용이하게 하도록 설계되었다. 개방형 데이터 교환은 네트워크 디바이스를 사용한 태스크 수행을 상당히 개선시키지만, 네트워크 프로토콜이 네트워크 보안을 위해 설계된 것이 아니며 또한 일반적으로 네트워크 보안을 제공하지 않기 때문에 문제점이 발생하기도 한다.
LAN(Local Area Network), WAN(Wide Area Network), 인트라넷, 인터넷 등의 공중 네트워크와 사설 네트워크 모두에 접속된 컴퓨터는 직접 또는 간접적으로 네트워크에 연결된 다른 네트워크 디바이스에 의해 행해지는 악의적 공격에 취약하다. 이러한 악의적 공격으로는 데이터 도난, DOS(Denial of Service) 공격, 컴퓨터 바이러스 유포 등이 있다.
방화벽은 일반적으로 개인 사용자, 네트워크 디바이스 및 네트워크를 악의적 공격으로부터 보호하는 데 사용되는 도구로 정책(Policy)을 구현함으로써 네트워크를 통한 데이터 교환을 제어하는 능력을 가지고 있다. 방화벽은 네트워크 패킷을 검사하고, 상기 패킷들이 네트워크를 통과하는 것이 허가될지 차단될지를 판단함으로써 정책을 구현한다.
방화벽을 통해 구현되는 정책은 하나 이상의 필터에 의해 정의된다. 각각의 필터는 필터 파라미터 및 이에 연관된 액션(Action)을 포함한다. 필터 파라미터는 방화벽 정책의 적용을 받는 네트워크 패킷을 식별하는 데 사용되는 것으로서, MAC(Media Access Control) 주소와 같은 하드웨어 주소, IP 주소와 같은 네트워크 주소, TCP(Transprot Control Protocol)와 같은 프로토콜 타입, 포트 번호 등의 정보를 포함한다.
네트워크 디바이스는 계층적 네트워크 아키텍처를 포함하는 네트워크 스택(Network Stack)을 통해 패킷을 송수신함으로써 데이터를 교환한다. 다른 네트워크 아키텍처 모델들도 존재하지만, 그 대부분은 적어도 응용 계층, 전송 계층, 네트워크 계층 및 연결 계층을 포함한다. 네트워크 패킷은 각 계층을 순차적으로 통과하며, 각 계층을 통과할 때마다 처리를 받는다.
아웃바운드 패킷(Outbound Packet)의 경우, 응용 계층은 HTTP(Hypertext Transfer Protocol), FTP(File Transfer Protocol), SMTP(Simple Mail Transfer Protocol) 등의 응용 프로토콜에 따라 데이터를 처리한다. 네트워크 계층, 전송 계층 등의 기타 계층들은 TCP 헤더 및 IP 헤더에 데이터를 임베딩(Embedding)함으로써 해당 데이터를 패킷화한다.
도 1은 종래의 방화벽 설정을 나타내는 도면이다. 도 1을 참조하면, 방화벽은 출발지 IP 정보(10), 도착지 IP 정보(20), 서비스 포트 정보(30) 및 정책 정보(40)를 필요로 한다. IP 정보(10, 20)는 해당 시스템의 IP 주소나 IP 대역에 이름(Nick)을 할당하여 사용하며, 일반적으로 내부(Trust)와 외부(Untrust), DMZ로 구분하여 사용한다.
서비스 포트 정보(30)는 출발지 포트, 도착지 포트로 구성되고, 정책 정보(40)는 네트워크 방향에 따라 입력/출력, 접속의 허용 여부에 따라 허용/차단, 해당 IP들의 정보로 구성되어 있다.
출발지 IP 정보(10)는 방화벽 내부 시스템들의 정보를 가지고, 도착지 IP 정보(20)는 방화벽 외부 시스템들의 정보를 갖는다. 서비스 포트 정보(30)는 출발지 포트와 도착지 포트의 정보를 가지고, 정책 정보(40)는 각각의 네트워크 상황에 따 른 접속 허용 여부에 대한 정보를 가진다.
상기 정책에 따르면, 방화벽 내부의 A서버(S IP ADDRESS 1)의 S Port 1에서 방화벽 외부의 O서버(D IP ADDRESS 6)의 D Port 1로 접속하는 것이 허용된다. 이는 정책 설정에 있어서, 방화벽 운용 기간이 장기화될수록 주소, 서비스 및 정책의 정보량이 증가되어 이에 대한 신규 등록, 변경, 삭제시 복잡도가 증가하여 방화벽의 운용 효율을 저하시키고 유지 비용이 증가하는 문제점이 있었다.
따라서, 본 발명은 상기와 같은 종래 기술의 제반 단점과 문제점을 해결하기 위한 것으로, 출발지 IP 정보와 도착지 IP 정보, 서비스 포트 정보 및 정책 정보가 중복될 경우에 전송 규칙의 각 인자들의 중복되는 자료를 제거하여 방화벽의 최적화를 구축하여 방화벽 운용을 최소화 시킬 수 있는 방화벽 설정 방법을 제공함에 본 발명의 목적이 있다.
본 발명의 상기 목적은 IP/포트 정보와 IP 대역 또는 출발지/도착지 포트를 통합하는 단계; 상기 통합된 정보를 정책 정보에 반영하는 단계; 상기 정보의 IP 대역 또는 출발지/도착지 포트를 정책 정보의 정보에 반영하고 IP/포트 정보의 IP 대역 또는 출발지/도착지 포트를 삭제하는 단계; 상기 정책 정보의 중복된 정보를 통합하여 전송규칙을 추가 및 삭제하는 단계 및 상기 전송규칙에 우선순위를 부여 하는 단계를 포함하여 이루어진 방화벽 설정 방법에 의해 달성된다.
본 발명의 상기 목적과 기술적 구성 및 그에 따른 작용효과에 관한 자세한 사항은 본 발명의 바람직한 실시예를 도시하고 있는 도면을 참조한 이하 상세한 설명에 의해 보다 명확하게 이해될 것이다.
도 2a 내지 도 2f는 본 발명에 따른 방화벽 설정을 나타내는 도면이다. 도 2a 내지 도 2f에서는 종래기술인 도 1에서 A서버와 D서버의 IP 주소와 IP 대역이 S IP ADDRESS 1로 동일하기에 출발지 IP 정보, 도착지 IP 정보, 전송규칙 등을 감소하여 최적화하기 위한 것이다.
도 2a에 도시된 바와 같이, 상기 종래기술의 A서버와 D서버의 IP 주소와 IP 대역을 A_D서버(100)로 통합하였다. 상기 IP 대역은 출발지 IP 정보(100)의 IP 주소이다. 이는 출발지 IP 정보(100)의 인자중 중복되는 자료를 제거하고 상기 출발지 IP 정보(100)의 A_D서버(110)를 통합함으로써, 정책 정보(400)의 출발지 정보 중 1번째(120)와 7번째(130)도 A_D서버로 변경되었다.
도 2b에 도시된 바와 같이, 도 2a의 출발지 IP 정보(100)의 F 대역이 A서버, B서버로 되어 있기 때문에, 출발지 IP 정보(100)에서 F서버를 삭제하고, 정책 정보(400)의 기존 A서버를 도면부호 140과 같이 변경하고, 기존 B서버를 도면부호 150과 같이 변경한다.
이는 도 2a의 정책 정보(400)의 전송규칙 8과 출발지 IP 정보(100)의 F서버를 삭제하고, 전송규칙 9, 10을 추가한 것이다. 또한, 정책 정보(400)에서 전송규칙 3은 전송규칙 6에 의해 허용되지 않기 때문에 삭제되어 도 2c와 같이 나타낼 수 있다.
도 2d에 도시된 바와 같이, 도 2c의 출발지 정보와 서비스 정보가 같은 정책 정보(400)의 전송규칙 1, 6을 통합하여 전송규칙 11을 추가하고, 상기 전송규칙 1, 6을 삭제한다. 또한, 정책 정보(400)의 전송규칙 1, 6은 도착지 정보가 각각 O서버, P서버이므로 S그룹(160)으로 새로 만들어 도착지 IP 정보(200)에 추가한다. 상기 S그룹(160)은 O서버, P서버이다.
이는 상기 출발지 정보와 서비스 정보를 통합할 경우에는 정책 정보의 기존 전송 규칙을 삭제하고 새로운 전송규칙을 추가한 후, 도착지 IP 정보에도 새로운 정보를 추가하는 것이다.
또한, 도 2c의 출발지 정보와 도착지 정보가 같은 정책 정보(400)의 전송규칙 2, 10을 통합하여 전송규칙 12를 추가하고, 상기 전송규칙 2, 10을 삭제한다. 또한, 정책 정보(400)의 전송규칙 2, 10은 서비스 정보가 각각 Service3, Service2이므로 Service가(170)로 새로 만들어 서비스 포트 정보(300)에 추가한다. 상기 Service가(170)은 Service2, Service3이다.
이는 상기 출발지 정보와 도착지 정보를 통합할 경우에 정책 정보의 기존 전송규칙을 삭제하고 새로운 전송규칙을 추가한 후, 서비스 포트 정보에도 새로운 정보를 추가하는 것이다.
또한, 도 2c의 출발지 정보와 서비스 정보가 같은 정책 정보(400)의 전송규칙 4, 6을 통합하여 전송규칙 13을 추가하고, 상기 전송규칙 4, 6을 삭제한다. 또한, 정책 정보(400)의 전송규칙 4, 6은 도착지 정보가 각각 P서버, Q서버이므로 T 그룹(180)으로 새로 만들어 도착지 IP 정보(200)에 추가한다. 상기 T그룹(180)은 P서버, Q서버이다.
도 2e를 참조하면, 방화벽의 전송규칙당 비교 시간이 t라고 할 때, 평균 트래픽 지연시간은
((3-1)t×100 + (1-1)t×9 + (4-1)t×40 + (2-1)t×1 + (5-1)t×50)/(100 + 9 + 40 + 1 + 50)
= (200t + 0t + 120t + t + 200t)/200
= 521t/200
= 2.6 t
가 된다.
전송규칙 11에 해당하는 트래픽 양이 100Mbps이고, 상기 트래픽은 우선순위에 따라, 전송규칙 9, 12와 검사한 다음 전송규칙 11에 적용되어 외부로 전송된다. 그러나 트래픽의 양에 따라 우선순위를 재정렬하면,
도 2f에 도시된 바와 같이, 평균 트래픽 지연시간은
((1-1)t×100 + (4-1)t×9 + (3-1)t×40 + (5-1)t×1 + (2-1)t×50)/(100 + 9 + 40 + 1 + 50)
= (0t + 27t + 80t + 4t + 50t)/200
= 161t/200
= 0.805 t
가 된다.
상기와 같은 우선순위 트래픽(패킷)을 모니터링하여, 이를 근거로 전송규칙이 많이 전송되는 상기 전송규칙에 우선순위를 부여하여 전체적으로 트래픽 전송을 빠르게 하는 것이다.
또한, 상기와 같은 최적화 방법은 적용 순서와 상관없이 각각 독립적으로 시행될 수도 있으며, 독립적인 적용만으로도 방화벽의 운용에 대한 효율을 높일 수 있다.
따라서, 본 발명에 따른 방화벽 설정 방법은 출발지 IP 정보, 도착지 IP 정보, 전송규칙 등의 중복되는 내용을 삭제하고, 정책 정보를 변경한다. 이를 구현하기 위해 정책 정보의 출발지 정보, 도착지 정보, 서비스 정보를 토대로 정렬하고, 필요없는 전송규칙이나 중복 전송규칙을 삭제하며, 그룹핑이 가능한 전송규칙은 병합한 후, 상기 그룹핑한 정보를 해당 출발지 IP 정보, 도착지 IP 정보, 서비스 포트 정보에 추가함으로써 최적의 방화벽 설정이 가능하다.
상기 방화벽 설정 방법을 정리하면, 먼저 IP 주소가 같은 이름을 가진 출발지 IP 정보와 IP 대역을 통합하고, 상기 통합된 출발지 IP 정보를 정책 정보에 반영한다. 이후, 상기 출발지 IP 정보의 IP 대역을 정책 정보의 출발지 정보에 반영한 후, 출발지 IP 정보의 IP 대역을 삭제하고, 상기 정책 정보의 중복된 정보를 통합하여 전송규칙을 추가 및 삭제하는 것이다.
또한, 본 발명의 일시예인 방화벽 설정은 출발지 IP 정보를 기준으로 설명하였으나, 도착지 IP 정보 또는 서비스 포트 정보를 기준으로 최적의 방화벽 설정이 가능하다.
본 발명은 이상에서 살펴본 바와 같이 바람직한 실시예를 들어 도시하고 설명하였으나, 상기한 실시예에 한정되지 아니하며 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변경과 수정이 가능할 것이다.
따라서, 본 발명의 방화벽 설정 방법은 출발지 IP 정보와 도착지 IP 정보, 서비스 포트 정보 및 정책 정보가 중복될 경우에 전송 규칙의 각 인자들의 중복되는 자료를 제거함으로써 방화벽 운용을 최적화할 수 있는 장점이 있고, 그에 따라 해당 장비의 자원을 절약하고, 데이터 전송 속도를 향상시키며 운용자의 노력을 경감시키는 효과가 있다.

Claims (4)

  1. 방화벽 설정 방법에 있어서,
    (a) IP/포트 정보와 IP 대역 또는 출발지/도착지 포트를 통합하는 단계;
    (b) 상기 통합된 정보를 정책 정보에 반영하는 단계;
    (c) 상기 정보의 IP 대역 또는 출발지/도착지 포트를 정책 정보의 정보에 반영하고 IP/포트 정보의 IP 대역 또는 출발지/도착지 포트를 삭제하는 단계;
    (d) 상기 정책 정보의 중복된 정보를 통합하여 전송규칙을 추가 및 삭제하는 단계; 및
    (e) 상기 전송규칙에 우선순위를 부여하는 단계
    를 포함하여 이루어짐을 특징으로 하는 방화벽 설정 방법.
  2. 제 1항에 있어서,
    상기 IP/포트 정보는
    IP 주소가 같은 출발지 IP 정보;
    IP 주소가 같은 도착지 IP 정보; 및
    서비스 포트가 같은 출발지 포트 또는 도착지 포트 중 어느 하나인 것을 특징으로 하는 방화벽 설정 방법.
  3. 제 1항에 있어서,
    상기 (d) 단계의 중복된 정보의 통합은 정책 정보의 출발지 정보와 도착지 정보가 동일하거나 정책 정보의 출발지 정보와 서비스 정보가 동일할 때 통합하는 것을 특징으로 하는 방화벽 설정 방법.
  4. 제 1항에 있어서,
    상기 (e) 단계의 우선순위는 트래픽을 모니터링하여 많이 전송되는 전송규칙에 우선순위를 부여하는 것을 특징으로 하는 방화벽 설정 방법.
KR1020050056083A 2005-06-28 2005-06-28 방화벽 설정 방법 KR100726814B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050056083A KR100726814B1 (ko) 2005-06-28 2005-06-28 방화벽 설정 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050056083A KR100726814B1 (ko) 2005-06-28 2005-06-28 방화벽 설정 방법

Publications (2)

Publication Number Publication Date
KR20070000606A true KR20070000606A (ko) 2007-01-03
KR100726814B1 KR100726814B1 (ko) 2007-06-11

Family

ID=37868384

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050056083A KR100726814B1 (ko) 2005-06-28 2005-06-28 방화벽 설정 방법

Country Status (1)

Country Link
KR (1) KR100726814B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624940A (zh) * 2011-01-25 2012-08-01 精工爱普生株式会社 Ip地址管理方法、其程序以及网络通信装置
KR20190026185A (ko) * 2017-09-04 2019-03-13 삼성에스디에스 주식회사 방화벽 정책 분석 방법 및 그 장치

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020012855A (ko) * 2000-08-09 2002-02-20 전창오 통합로그 분석 및 관리 시스템 및 그 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102624940A (zh) * 2011-01-25 2012-08-01 精工爱普生株式会社 Ip地址管理方法、其程序以及网络通信装置
CN102624940B (zh) * 2011-01-25 2015-03-18 精工爱普生株式会社 Ip地址管理方法、其程序以及网络通信装置
KR20190026185A (ko) * 2017-09-04 2019-03-13 삼성에스디에스 주식회사 방화벽 정책 분석 방법 및 그 장치

Also Published As

Publication number Publication date
KR100726814B1 (ko) 2007-06-11

Similar Documents

Publication Publication Date Title
US11496497B2 (en) Protecting networks from cyber attacks and overloading
JP3298832B2 (ja) ファイアウォールサービス提供方法
EP0909074B1 (en) Methods and apparatus for a computer network firewall with multiple domain support
US6141749A (en) Methods and apparatus for a computer network firewall with stateful packet filtering
US6170012B1 (en) Methods and apparatus for a computer network firewall with cache query processing
CN101019405B (zh) 用于在通信网络中缓解拒绝服务的方法和系统
US6154775A (en) Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US8904514B2 (en) Implementing a host security service by delegating enforcement to a network device
EP1540921B1 (en) Method and apparatus for inspecting inter-layer address binding protocols
KR100726814B1 (ko) 방화벽 설정 방법
Haixin et al. Policy based access control framework for large networks
JP4542053B2 (ja) パケット中継装置、パケット中継方法及びパケット中継プログラム
RU2812087C1 (ru) Система и способ анализа входящего потока трафика
EP4080822B1 (en) Methods and systems for efficient threat context-aware packet filtering for network protection
McRae High speed packet classification
Jo et al. Integrated Security Management Framework for Secure Networking

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130604

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140603

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150701

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee