KR20090027050A - Apparatus and method for user authentication of network security system - Google Patents

Apparatus and method for user authentication of network security system Download PDF

Info

Publication number
KR20090027050A
KR20090027050A KR1020070092228A KR20070092228A KR20090027050A KR 20090027050 A KR20090027050 A KR 20090027050A KR 1020070092228 A KR1020070092228 A KR 1020070092228A KR 20070092228 A KR20070092228 A KR 20070092228A KR 20090027050 A KR20090027050 A KR 20090027050A
Authority
KR
South Korea
Prior art keywords
network
user
user information
security system
traffic data
Prior art date
Application number
KR1020070092228A
Other languages
Korean (ko)
Other versions
KR101440154B1 (en
Inventor
윤여원
Original Assignee
주식회사 엘지씨엔에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지씨엔에스 filed Critical 주식회사 엘지씨엔에스
Priority to KR1020070092228A priority Critical patent/KR101440154B1/en
Publication of KR20090027050A publication Critical patent/KR20090027050A/en
Application granted granted Critical
Publication of KR101440154B1 publication Critical patent/KR101440154B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Abstract

An apparatus and a method for authenticating a user of a network security system are provided to prevent external aggression due to an unnecessarily opened port by applying a predetermined firewall rule to each user regardless of a change of a user terminal. An apparatus for authenticating a user of a network security system comprises a storage part(201), a user authentication server(200), and a firewall(120). The storage part stores at least one or more firewall rule corresponding to predetermined user information. The user authentication server determines traffic data allowance of a packet unit inputted from a terminal inside a network after inputting the user information based on a predetermined firewall rule corresponding to the user information inputted in an initial network contact. The firewall transmits an allowed traffic data to network outside. The user information is a user ID(Identification number).

Description

네트워크 보안시스템의 사용자 인증 장치 및 방법{Apparatus and method for user authentication of network security system}Apparatus and method for user authentication of network security system

본 발명은 네트워크 보안시스템의 방화벽 룰 최적화를 위해 사용자를 인증하는 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for authenticating a user for optimizing a firewall rule of a network security system.

도 1은 종래의 네트워크 보안시스템의 구성블럭도이다.1 is a block diagram of a conventional network security system.

종래의 네트워크 보안시스템에서 라우터(router)(10)는, 랜을 연결하여 정보를 주고 받을 때 송신정보 즉, 패킷(packet)에 담긴 수신 단말기의 주소를 읽고 가장 적절한 통신통로를 이용하여 다른 통신망으로 전송한다.In the conventional network security system, the router 10 reads the transmission information, that is, the address of the receiving terminal included in the packet, and transmits the information to the other communication network by using the most appropriate communication path. send.

또한, 방화벽(20)은 입력되는 네트워크 패킷을 임시저장한다. In addition, the firewall 20 temporarily stores the incoming network packet.

또한, 침입탐지모듈(30)은 방화벽(20)에 임시저장된 네트워크 패킷을 독출한 후 상기 독출된 네트워크 패킷의 헤더(header) 부분을 제외한 나머지 부분 즉 페이로드(payload) 부분만을 방화벽(20)으로 다시 송신한다.In addition, the intrusion detection module 30 reads the network packet temporarily stored in the firewall 20, and then only the remaining portion, ie, the payload portion, except for the header portion of the read network packet to the firewall 20. Send again.

상기 방화벽(20)은, 침입탐지모듈(30)로부터 수신된 네트워크 패킷{페이로 드(payload) 부분}을, 기 저장된 소정 개수의 침입 패턴(pattern) 즉 룰과 순차적으로 비교한 후, 상기 침입 패턴 비교결과를 침입탐지모듈(30)로 송신한다.The firewall 20 sequentially compares a network packet (payload portion) received from the intrusion detection module 30 with a predetermined number of pre-stored intrusion patterns, that is, rules. The pattern comparison result is transmitted to the intrusion detection module 30.

또한 상기 침입탐지모듈(30)은, 방화벽(20)으로부터 전송된 상기 침입 패턴 비교결과를 수신받아 상기 수행된 비교결과 즉 로그(log)를 저장하고 상기 비교결과에 따라 선택적으로 해당 네트워크 패킷의 입력을 차단시키는 네트워크 침입 방지 기능, NAT 기능, QoS 기능을 수행한다.In addition, the intrusion detection module 30 receives the intrusion pattern comparison result transmitted from the firewall 20, stores the comparison result, that is, a log, and selectively inputs the corresponding network packet according to the comparison result. It performs network intrusion prevention function, NAT function, and QoS function to block the system.

그리고, 스위칭 허브(switching hub)(40)는, 네트워크 내부의 단말기(PC1, PC2, PC3, ...)의 집선 장치로 이용되는 스위칭 기능을 가진 통신장비로써, 여러 개의 포트 입력을 동시에 받을 수 있으며, 데이터 수신시 단말기의 주소 번지를 파악하여 특정 포트로만 데이터를 보내기도 한다.In addition, the switching hub 40 is a communication device having a switching function used as a concentrator of terminals (PC1, PC2, PC3, ...) in a network, and may receive multiple port inputs simultaneously. When receiving data, it checks the address of terminal and sends data only to specific port.

상기와 같이 구성되는 종래의 네트워크 보안시스템에서 방화벽(20)은, 화이트리스트(white list)(주:기본적으로 모든 트래픽을 차단하며 허용되는 트래픽에 대한 룰을 추가 및 관리함) 형태가 기본이며, 이후 업무상 필요한 경우에 한해 소스 ip(고정부여된 경우에 한해) 각각에 대응하여 룰을 추가하는 방식으로 관리되었었다(도 2 참조).In the conventional network security system configured as described above, the firewall 20 has a form of a white list (Note: basically blocks all traffic and adds and manages rules for allowed traffic). Only when necessary for the business was managed by adding a rule corresponding to each of the source ip (if fixed) (see Figure 2).

그런데, 네트워크 내부 단말기(PC1, PC2, PC3, ...)의 신청에 의한 방화벽(20)의 룰 추가 및 삭제시, 기존의 룰에 대한 고려 없이 필요한 룰을 추가하기만 하고, 수백~수만의 사용자 대비 현저히 적은 관리인원으로 인하여 정확한 룰의 히스토리 관리에 한계가 있어 적정한 룰의 삭제가 이루어지지 않았다. By the way, when adding and deleting the rules of the firewall 20 by the application of the network internal terminals (PC1, PC2, PC3, ...), only add the necessary rules without considering the existing rules, hundreds of thousands Due to the relatively small number of administrators compared to the user, there is a limit in the history management of accurate rules. Therefore, the proper rule was not deleted.

이에 따라, 일정 시간이 경과하면 불필요한 룰이 쌓이게 되고 이렇게 적체된 불필요한 룰에 의해 허용된 포트는 외부 공격자의 사전 침입시도의 위험에 노출되어 네트워크 보안망을 위협하는 심각한 문제점을 초래하였다.Accordingly, when a certain time passes, unnecessary rules are accumulated, and the ports allowed by the accumulated unnecessary rules are exposed to the risk of advance intrusion attempt by an external attacker, which causes a serious problem that threatens the network security network.

따라서, 본 발명은 상기와 같은 문제점을 해결하기 위해 창작된 것으로서, 사용자 인증을 이용하여 방화벽 룰의 최적화를 도모한 네트워크 보안시스템의 사용자 인증 장치 및 방법을 제공하는데 그 목적이 있다.Accordingly, an object of the present invention is to provide an apparatus and method for authenticating a user's network security system, which is designed to solve the above problems and to optimize firewall rules using user authentication.

상술한 목적을 달성하기 위한 본 발명의 제 1 실시예에 따른 네트워크 보안시스템의 사용자 인증장치는, 소정의 사용자 정보에 대응되는 적어도 하나 이상의 방화벽 룰을 저장하는 저장수단; 네트워크 최초 접속시 입력된 사용자 정보에 대응하여 기 저장된 방화벽 룰에 근거하여, 상기 사용자 정보 입력 이후 네트워크 내부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단하는 판단수단; 그리고 상기 판단결과 허용된 트래픽 데이터를 네트워크 외부로 전송하는 전송수단을 포함한다.A user authentication apparatus of a network security system according to a first embodiment of the present invention for achieving the above object includes: at least one firewall means for storing at least one firewall rule corresponding to predetermined user information; Judging means for judging whether or not to allow traffic data in a packet unit input from a terminal inside the network after inputting the user information based on a firewall rule previously stored corresponding to the user information input when the network is first accessed; And a transmission means for transmitting the allowed traffic data to the outside of the network as a result of the determination.

상기 사용자 정보는, 사용자 ID(identification number)일 수 있다.The user information may be a user identification number.

상기 방화벽 룰은, 목적 ip 및 목적 port일 수 있다.The firewall rule may be a destination ip and a destination port.

또한, 본 발명의 제 2 실시예에 따른 네트워크 보안시스템의 사용자 인증장치는, 소정의 사용자 정보에 대응되는 적어도 하나 이상의 방화벽 룰을 저장하는 저장수단; 네트워크 최초 접속시 입력된 사용자 정보에 대응하여 기 저장된 방화벽 룰에 근거하여, 상기 사용자 정보 입력 이후 네트워크 외부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단하는 판단수단; 그리고 상기 판단결과 허용된 트래픽 데이터를 네트워크 내부로 전송하는 전송수단을 포함한다.In addition, the user authentication apparatus of the network security system according to the second embodiment of the present invention, the storage means for storing at least one or more firewall rules corresponding to the predetermined user information; Judging means for judging whether to allow traffic data in a packet unit input from a terminal external to the network after inputting the user information based on a firewall rule previously stored corresponding to the user information input when the network is first accessed; And means for transmitting the allowed traffic data into the network as a result of the determination.

상기 사용자 정보는, 사용자 ID(identification number)일 수 있다.The user information may be a user identification number.

상기 방화벽 룰은, 목적 ip 및 목적 port일 수 있다.The firewall rule may be a destination ip and a destination port.

또한, 본 발명의 제 1 실시예에 따른 네트워크 보안시스템의 사용자 인증방법은, 네트워크 최초 접속시 사용자 정보의 입력을 요청하는 제 1 단계; 상기 요청결과 입력된 사용자 정보에 대응하여 기 저장된 방화벽 룰에 근거하여, 상기 사용자 정보 입력 이후 네트워크 내부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단하는 제 2 단계; 그리고 상기 판단결과 허용된 트래픽 데이터를 네트워크 외부로 전송하는 제 3 단계를 포함한다.In addition, the user authentication method of the network security system according to the first embodiment of the present invention, the first step of requesting input of the user information when the network first access; A second step of determining whether to allow traffic data in a packet unit input from a terminal inside a network after inputting the user information, based on a pre-stored firewall rule corresponding to the user information input as a result of the request; And a third step of transmitting the allowed traffic data to the outside of the network as a result of the determination.

상기 사용자 정보는, 사용자 ID(identification number)일 수 있다.The user information may be a user identification number.

상기 방화벽 룰은, 목적 ip 및 목적 port일 수 있다.The firewall rule may be a destination ip and a destination port.

또한, 본 발명의 제 2 실시예에 따른 네트워크 보안시스템의 사용자 인증방 법은, 네트워크 최초 접속시 사용자 정보의 입력을 요청하는 제 1 단계; 상기 요청결과 입력된 사용자 정보에 대응하여 기 저장된 방화벽 룰에 근거하여, 상기 사용자 정보 입력 이후 네트워크 외부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단하는 제 2 단계; 그리고 상기 판단결과 허용된 트래픽 데이터를 네트워크 내부로 전송하는 제 3 단계를 포함한다.In addition, the user authentication method of the network security system according to a second embodiment of the present invention, the first step of requesting the input of the user information when the network first access; A second step of determining whether to allow traffic data in a packet unit input from a terminal external to the network after inputting the user information, based on a pre-stored firewall rule corresponding to the user information input as a result of the request; And a third step of transmitting the allowed traffic data into the network as a result of the determination.

상기 사용자 정보는, 사용자 ID(identification number)일 수 있다.The user information may be a user identification number.

상기 방화벽 룰은, 목적 ip 및 목적 port일 수 있다.The firewall rule may be a destination ip and a destination port.

이상과 같은 구성과 흐름에 의해, 본 발명에 따른 네트워크 보안시스템의 사용자 인증 장치 및 방법은, 사용자 인증을 이용하여 방화벽 룰의 최적화를 도모하는 것이다.With the above configuration and flow, the user authentication apparatus and method of the network security system according to the present invention aims to optimize the firewall rule using user authentication.

상술한 바와 같이, 본 발명에 따른 네트워크 보안시스템의 사용자 인증 장치 및 방법은 사용자 인증을 이용하여 방화벽 룰의 최적화를 도모함으로써, 사용자에 부여된 단말기의 변경에 관계없이 각 사용자에 소정의 방화벽 룰을 할당 적용하여 불필요하게 열린 포트로 인해 공격에 노출되지 않도록 한 매우 유용한 발명인 것이다.As described above, the user authentication apparatus and method of the network security system according to the present invention by using the user authentication to optimize the firewall rules, so that each user is given a predetermined firewall rule regardless of the change of the terminal given to the user This is a very useful invention that does not expose an attack due to an unnecessary open port by applying an assignment.

상기한 바와 같은 본 발명의 목적들 외에, 본 발명의 다른 목적들, 다른 이점들 및 다른 특징들은 첨부된 도면을 참조한 바람직한 실시예의 상세한 설명을 통하여 명백하게 드러날 것이다.In addition to the objects of the present invention as described above, other objects, other advantages and other features of the present invention will become apparent from the detailed description of the preferred embodiment with reference to the accompanying drawings.

이하, 첨부된 도면과 결부되어 본 발명의 바람직한 실시예들이 상세히 설명될 것이다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 3은 본 발명의 바람직한 제 1 및 제 2 실시예에 적용되는 네트워크 보안시스템의 사용자 인증장치의 구성블럭도이고, 도 4는 본 발명에 따른 제 1 및 제 2 실시예에 적용되는 사용자 ID에 대응되는 방화벽 룰을 예시한 표이다.3 is a block diagram of a user authentication apparatus of a network security system applied to the first and second preferred embodiments of the present invention, and FIG. 4 is a user ID applied to the first and second embodiments according to the present invention. This table illustrates the corresponding firewall rules.

본 발명의 바람직한 제 1 실시예에 적용되는 네트워크 보안시스템의 사용자 인증장치에서, 사용자 인증서버(200)는 소정의 사용자 정보 예를 들면, 사용자 ID(identification number)에 대응되는 적어도 하나 이상의 방화벽 룰을 저장하는 저장부(201)를 포함한다.In the user authentication apparatus of the network security system applied to the first preferred embodiment of the present invention, the user authentication server 200 implements at least one firewall rule corresponding to predetermined user information, for example, a user identification number. It includes a storage unit 201 for storing.

또한, 사용자 인증서버(200)는 네트워크에 최초 접속된 네트워크 내부의 단말기(PC1, PC2, PC3, ...)에 사용자 ID의 입력을 요청하고, 상기 요청에 따라 입력된 사용자 ID에 대응하여 기 저장된 방화벽 룰 예를 들면, 목적 ip 및 목적 port에 근거하여(도 4 참조), 상기 사용자 정보 입력 이후 네트워크 내부의 단말기(PC1, PC2, PC3, ...)로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단한다.In addition, the user authentication server 200 requests the input of the user ID to the terminals (PC1, PC2, PC3, ...) inside the network initially connected to the network, in response to the user ID entered in accordance with the request Based on the stored firewall rule, for example, based on the destination ip and the destination port (see FIG. 4), the traffic data in packet units input from the terminals (PC1, PC2, PC3, ...) inside the network after the user information is input. Determine whether to allow.

상기 사용자 인증서버(200)에 의해 수행되는 트래픽 데이터의 허용 여부 판단동작에 대해, 도 4를 참조하여, 보다 상세히 설명하면 다음과 같다.The operation of determining whether to allow traffic data performed by the user authentication server 200 will be described in more detail with reference to FIG. 4 as follows.

상기 요청에 따라 네트워크에 최초 접속된 네트워크 단말기(PC1, PC2, PC3, ...)를 통해 사용자 ID, 즉 'user1'이 입력된 후, 해당 단말기(PC1, PC2, PC3, ...)로부터 패킷 단위의 트래픽 데이터가 입력되면, 사용자 인증서버(200)는 상기 입력된 트래픽 데이터의 헤더(header) 부분으로부터 목적 ip 및 목적 port를 추출한다.According to the request, after a user ID, ie, 'user1' is input through a network terminal (PC1, PC2, PC3, ...) first connected to the network, the terminal (PC1, PC2, PC3, ...) is inputted from the corresponding terminal. When traffic data in packet units is input, the user authentication server 200 extracts a destination ip and a destination port from a header portion of the input traffic data.

그리고, 사용자 인증서버는(200)는 추출된 목적 ip 및 목적 port가, 기 입력된 사용자 ID 'user1'에 대응하여 저장부(201)에 저장된 목적 ip 및 목적 port '10.1.1.100 및 7000, ...' 내에 포함되는지 여부를 확인하고, 상기 확인결과 트래픽 데이터로부터 추출된 목적 ip 및 목적 port가 사용자 ID 'user1'에 대응하여 기 저장된 목적 ip 및 목적 port '10.1.1.100 및 7000, ...' 내에 포함되면, 사용자 인증서버는(200)는 해당 트래픽 데이터를 허용된 트래픽 데이터로 판단한다.And, the user authentication server 200 is the extracted destination ip and destination port, the destination ip and destination port '10 .1.1.100 and 7000, stored in the storage unit 201 corresponding to the user ID 'user1' previously input. .. 'and whether the destination ip and destination port extracted from the traffic data are previously stored destination ip and destination port '10 .1.1.100 and 7000, ... corresponding to user ID' user1 '. ', The user authentication server 200 determines the traffic data as allowed traffic data.

이어, 방화벽(120)은 해당 단말기(PC1, PC2, PC3, ...)로부터 스위칭 허브(140) 및 침입차단모듈(130)을 거쳐 입력되는 허용된 패킷 단위의 트래픽 데이터를 라우터(110) 및 인터넷망을 통해 네트워크 외부로 전송한다.Subsequently, the firewall 120 transmits the traffic data in the allowed packet unit inputted through the switching hub 140 and the intrusion blocking module 130 from the corresponding terminals PC1, PC2, PC3,... Transmit outside the network via the Internet.

도 5는 본 발명에 따른 바람직한 제 1 실시예에 적용되는 네트워크 보안시스템의 사용자 인증방법의 흐름도로서, 이하에서는 상기와 같이 구성되는 본 발명의 바람직한 제 1 실시예에 따른 네트워크 보안시스템의 사용자 인증장치의 동작에 대 해, 도 5의 흐름도와 병행하여 상세히 설명하기로 한다.5 is a flowchart of a user authentication method of a network security system applied to a first preferred embodiment of the present invention. Hereinafter, the user authentication apparatus of the network security system according to the first preferred embodiment of the present invention configured as described above. The operation of will be described in detail in parallel with the flowchart of FIG.

먼저, 사용자 인증서버(200)는 네트워크에 최초 접속된 네트워크 내부의 단말기(PC1, PC2, PC3, ...)에 사용자 ID의 입력을 요청한다(S501).First, the user authentication server 200 requests input of a user ID to terminals (PC1, PC2, PC3, ...) inside the network first connected to the network (S501).

상기 요청에 따라 사용자 ID 'user1'이 입력된 후(S502의 "예"), 해당 단말기(PC1, PC2, PC3, ...)로부터 패킷 단위의 트래픽 데이터가 입력되면(S503의 "예"), 사용자 인증서버(200)는 상기 입력된 트래픽 데이터의 헤더(header) 부분으로부터 목적 ip 및 목적 port를 추출한다(S504).After the user ID 'user1' is input in response to the request (YES in S502), when traffic data in packet units is input from the corresponding terminal PC1, PC2, PC3, ... (YES in S503). The user authentication server 200 extracts the target ip and the target port from the header portion of the input traffic data (S504).

그리고, 사용자 인증서버는(200)는 추출된 목적 ip 및 목적 port가, 기 입력된 사용자 ID 'user1'에 대응하여 저장부(201)에 저장된 목적 ip 및 목적 port '10.1.1.100 및 7000, ...' (도 4 참조)내에 포함되는지 여부를 확인한다.And, the user authentication server 200 is the extracted destination ip and destination port, the destination ip and destination port '10 .1.1.100 and 7000, stored in the storage unit 201 corresponding to the user ID 'user1' previously input. .. '(see FIG. 4).

상기 확인결과 트래픽 데이터로부터 추출된 목적 ip 및 목적 port가 사용자 ID 'user1'에 대응하여 기 저장된 목적 ip 및 목적 port '10.1.1.100 및 7000, ...' 내에 포함되면(S505의 "예"), 사용자 인증서버는(200)는 해당 트래픽 데이터를 허용된 트래픽 데이터로 판단한다(S506).If the destination ip and destination port extracted from the traffic data are included in the previously stored destination ip and destination ports '10 .1.1.100 and 7000, ... 'corresponding to the user ID' user1 '(YES in S505). The user authentication server 200 determines the corresponding traffic data as allowed traffic data (S506).

이어, 방화벽(120)은 해당 단말기(PC1, PC2, PC3, ...)로부터 스위칭 허브(140) 및 침입차단모듈(130)을 거쳐 입력되는 허용된 패킷 단위의 트래픽 데이터를 라우터(110) 및 인터넷망을 통해 네트워크 외부로 전송한다(S507).Subsequently, the firewall 120 transmits the traffic data in the allowed packet unit inputted through the switching hub 140 and the intrusion blocking module 130 from the corresponding terminals PC1, PC2, PC3,... It transmits to the outside of the network through the Internet network (S507).

또한, 본 발명의 바람직한 제 2 실시예에 적용되는 네트워크 보안시스템의 사용자 인증장치에서도, 도 3에 도시된 바와 같이, 사용자 인증서버(200)는 소정의 사용자 정보 예를 들면, 사용자 ID(identification number)에 대응되는 적어도 하나 이상의 방화벽 룰을 저장하는 저장부(201)를 포함한다.In addition, in the user authentication apparatus of the network security system applied to the second preferred embodiment of the present invention, as shown in Fig. 3, the user authentication server 200 is a predetermined user information, for example, a user ID (identification number) It includes a storage unit 201 for storing at least one firewall rule corresponding to).

그리고, 사용자 인증서버(200)는 네트워크에 최초 접속된 네트워크 외부의 단말기(PC4, ...)에 사용자 ID의 입력을 요청하고, 상기 요청에 따라 입력된 사용자 ID에 대응하여 기 저장된 방화벽 룰 즉, 목적 ip 및 목적 port에 근거하여(도 4 참조), 상기 사용자 정보 입력 이후 네트워크 외부의 단말기(PC4, ...)로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단한다.In addition, the user authentication server 200 requests input of a user ID to a terminal (PC4, ...) external to the network initially connected to the network, and according to the request, the pre-stored firewall rule, that is, On the basis of the destination ip and the destination port (see FIG. 4), it is determined whether to allow the packet data traffic input from the terminal (PC4, ...) outside the network after the user information input.

이 경우에도, 방화벽(120)은 해당 단말기(PC4, ...)로부터 인터넷망 및 라우터(110)를 통해 입력되는 허용된 패킷 단위의 트래픽 데이터를 침입차단모듈(130) 및 스위칭 허브(140)를 통해 네트워크 내부로 전송한다.Even in this case, the firewall 120 may block the traffic data of the allowed packet unit input through the Internet network and the router 110 from the terminal PC4, ..., the intrusion blocking module 130 and the switching hub 140. It is transmitted through the network through.

도 6은 본 발명에 따른 바람직한 제 2 실시예에 적용되는 네트워크 보안시스템의 사용자 인증방법의 흐름도로서, 이하에서는 상기와 같이 구성되는 본 발명의 바람직한 제 2 실시예에 따른 네트워크 보안시스템의 사용자 인증장치의 동작에 대해, 도 6의 흐름도와 병행하여 상세히 설명하기로 한다.6 is a flowchart of a user authentication method of a network security system applied to a second preferred embodiment of the present invention. Hereinafter, a user authentication apparatus of a network security system according to a second preferred embodiment of the present invention configured as described above. The operation of will be described in detail in parallel with the flowchart of FIG.

먼저, 사용자 인증서버(200)는 네트워크에 최초 접속된 네트워크 외부의 단말기(PC4, ...)에 사용자 ID의 입력을 요청한다(S601).First, the user authentication server 200 requests input of a user ID to a terminal (PC4, ...) outside the network initially connected to the network (S601).

상기 요청에 따라 사용자 ID 'user1'이 입력된 후(S602의 "예"), 해당 단말기(PC4, ...)로부터 패킷 단위의 트래픽 데이터가 입력되면(S603의 "예"), 사용자 인증서버(200)는 상기 입력된 트래픽 데이터의 헤더(header) 부분으로부터 목적 ip 및 목적 port를 추출한다(S604).After the user ID 'user1' is input in response to the request (YES in S602), when traffic data in packet units is input from the corresponding terminal PC4, ... (YES in S603), the user authentication server 200 extracts a destination ip and destination port from the header portion of the input traffic data (S604).

그리고, 사용자 인증서버는(200)는 추출된 목적 ip 및 목적 port가, 기 입력된 사용자 ID 'user1'에 대응하여 저장부(201)에 저장된 목적 ip 및 목적 port '10.1.1.100 및 7000, ...' (도 4 참조)내에 포함되는지 여부를 확인한다.And, the user authentication server 200 is the extracted destination ip and destination port, the destination ip and destination port '10 .1.1.100 and 7000, stored in the storage unit 201 corresponding to the user ID 'user1' previously input. .. '(see FIG. 4).

상기 확인결과 트래픽 데이터로부터 추출된 목적 ip 및 목적 port가 사용자 ID 'user1'에 대응하여 기 저장된 목적 ip 및 목적 port '10.1.1.100 및 7000, ...' 내에 포함되면(S605의 "예"), 사용자 인증서버는(200)는 해당 트래픽 데이터를 허용된 트래픽 데이터로 판단한다(S606).If the destination ip and destination port extracted from the traffic data is included in the previously stored destination ip and destination ports '10 .1.1.100 and 7000, ... 'corresponding to the user ID' user1 '(YES in S605) The user authentication server 200 determines the corresponding traffic data as allowed traffic data (S606).

이어, 방화벽(120)은 해당 단말기(PC4, ...)로부터 인터넷망 및 라우터(110)를 통해 입력되는 허용된 패킷 단위의 트래픽 데이터를 침입차단모듈(130) 및 스위칭 허브(140)를 통해 네트워크 내부로 전송한다(S507).Subsequently, the firewall 120 transmits the traffic data of the allowed packet unit input through the Internet network and the router 110 from the terminal PC4, ... through the intrusion blocking module 130 and the switching hub 140. It transmits into the network (S507).

상술한 바와 같이, 본 발명이 도면에 도시된 실시예를 참고하여 설명되었으나, 이는 예시적인 것들에 불과하며, 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자라면 본 발명의 요지 및 범위를 벗어나지 않으면서도 다양한 변형, 변경 및 균등한 타 실시예들이 가능하다는 것을 명백하게 알 수 있을 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.As described above, the present invention has been described with reference to the embodiments shown in the drawings, which are merely exemplary, and those of ordinary skill in the art to which the present invention pertains should not depart from the spirit and scope of the present invention. It will be apparent that various modifications, changes and equivalent other embodiments are possible without departing. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

도 1은 종래의 네트워크 보안시스템의 구성블럭도이다.1 is a block diagram of a conventional network security system.

도 2는 종래의 네트워크 보안시스템에 적용되는 소스ip에 대응되는 방화벽 룰을 예시한 표이다.2 is a table illustrating a firewall rule corresponding to the source ip applied to the conventional network security system.

도 3은 본 발명에 따른 제 1 및 제 2 실시예에 적용되는 네트워크 보안시스템의 사용자 인증장치의 구성블럭도이다.3 is a configuration block diagram of a user authentication device of a network security system applied to the first and second embodiments according to the present invention.

도 4는 본 발명에 따른 제 1 및 제 2 실시예에 적용되는 사용자 ID에 대응되는 방화벽 룰을 예시한 표이다.4 is a table illustrating a firewall rule corresponding to a user ID applied to the first and second embodiments according to the present invention.

도 5는 본 발명에 따른 제 1 실시예에 적용되는 네트워크 보안시스템의 사용자 인증방법의 흐름도이다.5 is a flowchart of a user authentication method of a network security system applied to the first embodiment according to the present invention.

도 6은 본 발명에 따른 제 2 실시예에 적용되는 네트워크 보안시스템의 사용자 인증방법의 흐름도이다.6 is a flowchart of a user authentication method of a network security system applied to a second embodiment according to the present invention.

<도면의 주요부분에 대한 부호의 설명>          <Description of the symbols for the main parts of the drawings>

110 : 라우터 120 : 방화벽110: router 120: firewall

130 : 침입차단모듈 140 : 스위칭 허브130: intrusion blocking module 140: switching hub

200 : 사용자 인증서버 201 : 저장부200: user authentication server 201: storage unit

Claims (12)

소정의 사용자 정보에 대응되는 적어도 하나 이상의 방화벽 룰을 저장하는 저장수단;Storage means for storing at least one firewall rule corresponding to predetermined user information; 네트워크 최초 접속시 입력된 사용자 정보에 대응하여 기 저장된 방화벽 룰에 근거하여, 상기 사용자 정보 입력 이후 네트워크 내부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단하는 판단수단; 그리고Judging means for judging whether or not to allow traffic data in a packet unit input from a terminal inside the network after inputting the user information based on a firewall rule previously stored corresponding to the user information input when the network is first accessed; And 상기 판단결과 허용된 트래픽 데이터를 네트워크 외부로 전송하는 전송수단을 포함하는 네트워크 보안시스템의 사용자 인증장치.And a transmission means for transmitting the allowed traffic data to the outside of the network as a result of the determination. 제 1항에 있어서, 상기 사용자 정보는,The method of claim 1, wherein the user information, 사용자 ID(identification number)인 것을 특징으로 하는 네트워크 보안시스템의 사용자 인증장치.A user authentication device of a network security system, characterized in that the user identification (identification number). 제 1항 또는 제 2항에 있어서, 상기 방화벽 룰은,According to claim 1 or 2, wherein the firewall rule, 목적 ip 및 목적 port인 것을 특징으로 하는 네트워크 보안시스템의 사용자 인증장치.User authentication device of a network security system, characterized in that the target ip and the target port. 소정의 사용자 정보에 대응되는 적어도 하나 이상의 방화벽 룰을 저장하는 저장수단;Storage means for storing at least one firewall rule corresponding to predetermined user information; 네트워크 최초 접속시 입력된 사용자 정보에 대응하여 기 저장된 방화벽 룰에 근거하여, 상기 사용자 정보 입력 이후 네트워크 외부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단하는 판단수단; 그리고Judging means for judging whether to allow traffic data in a packet unit input from a terminal external to the network after inputting the user information based on a firewall rule previously stored corresponding to the user information input when the network is first accessed; And 상기 판단결과 허용된 트래픽 데이터를 네트워크 내부로 전송하는 전송수단을 포함하는 네트워크 보안시스템의 사용자 인증장치.And a transmission means for transmitting the allowed traffic data into the network as a result of the determination. 제 4항에 있어서, 상기 사용자 정보는,The method of claim 4, wherein the user information, 사용자 ID(identification number)인 것을 특징으로 하는 네트워크 보안시스템의 사용자 인증장치.A user authentication device of a network security system, characterized in that the user identification (identification number). 제 4항 또는 제 5항에 있어서, 상기 방화벽 룰은,The method of claim 4 or 5, wherein the firewall rule, 목적 ip 및 목적 port인 것을 특징으로 하는 네트워크 보안시스템의 사용자 인증장치.User authentication device of a network security system, characterized in that the target ip and the target port. 네트워크 최초 접속시 사용자 정보의 입력을 요청하는 제 1 단계;A first step of requesting input of user information upon network first access; 상기 요청결과 입력된 사용자 정보에 대응하여 기 저장된 방화벽 룰에 근거하여, 상기 사용자 정보 입력 이후 네트워크 내부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단하는 제 2 단계; 그리고A second step of determining whether to allow traffic data in a packet unit input from a terminal inside a network after inputting the user information, based on a pre-stored firewall rule corresponding to the user information input as a result of the request; And 상기 판단결과 허용된 트래픽 데이터를 네트워크 외부로 전송하는 제 3 단계를 포함하는 네트워크 보안시스템의 사용자 인증방법.And a third step of transmitting the allowed traffic data to the outside of the network as a result of the determination. 제 7항에 있어서, 상기 사용자 정보는,The method of claim 7, wherein the user information, 사용자 ID(identification number)인 것을 특징으로 하는 네트워크 보안시스템의 사용자 인증방법.User authentication method of a network security system, characterized in that the user identification (identification number). 제 7항 또는 제 8항에 있어서, 상기 방화벽 룰은,The method of claim 7 or 8, wherein the firewall rule, 목적 ip 및 목적 port인 것을 특징으로 하는 네트워크 보안시스템의 사용자 인증방법.User authentication method of a network security system, characterized in that the target ip and the target port. 네트워크 최초 접속시 사용자 정보의 입력을 요청하는 제 1 단계;A first step of requesting input of user information upon network first access; 상기 요청결과 입력된 사용자 정보에 대응하여 기 저장된 방화벽 룰에 근거 하여, 상기 사용자 정보 입력 이후 네트워크 외부의 단말기로부터 입력되는 패킷 단위의 트래픽 데이터의 허용 여부를 판단하는 제 2 단계; 그리고A second step of determining whether to allow traffic data in a packet unit input from a terminal external to the network after inputting the user information, based on a pre-stored firewall rule corresponding to the user information input as a result of the request; And 상기 판단결과 허용된 트래픽 데이터를 네트워크 내부로 전송하는 제 3 단계를 포함하는 네트워크 보안시스템의 사용자 인증방법.And a third step of transmitting the allowed traffic data into the network as a result of the determination. 제 10항에 있어서, 상기 사용자 정보는,The method of claim 10, wherein the user information, 사용자 ID(identification number)인 것을 특징으로 하는 네트워크 보안시스템의 사용자 인증방법.User authentication method of a network security system, characterized in that the user identification (identification number). 제 10항 또는 제 11항에 있어서, 상기 방화벽 룰은,The method of claim 10 or 11, wherein the firewall rule, 목적 ip 및 목적 port인 것을 특징으로 하는 네트워크 보안시스템의 사용자 인증방법.User authentication method of a network security system, characterized in that the target ip and the target port.
KR1020070092228A 2007-09-11 2007-09-11 Apparatus and method for user authentication of network security system KR101440154B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070092228A KR101440154B1 (en) 2007-09-11 2007-09-11 Apparatus and method for user authentication of network security system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070092228A KR101440154B1 (en) 2007-09-11 2007-09-11 Apparatus and method for user authentication of network security system

Publications (2)

Publication Number Publication Date
KR20090027050A true KR20090027050A (en) 2009-03-16
KR101440154B1 KR101440154B1 (en) 2014-09-12

Family

ID=40694810

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070092228A KR101440154B1 (en) 2007-09-11 2007-09-11 Apparatus and method for user authentication of network security system

Country Status (1)

Country Link
KR (1) KR101440154B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101278656B1 (en) * 2013-04-22 2013-06-25 전은희 System and method for distinguishing minor
KR20180049476A (en) * 2016-11-02 2018-05-11 주식회사 시큐아이 Network security method and apparatus thereof

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102005376B1 (en) 2019-02-19 2019-07-30 유비웨어 주식회사 A network monitoring, access control and intrusion prevention system based on the virtual network overlays

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7308711B2 (en) * 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
KR20060044049A (en) * 2004-11-11 2006-05-16 한국전자통신연구원 Security router system and method for authentication of the user who connects the system
WO2006069041A2 (en) * 2004-12-21 2006-06-29 Mistletoe Technologies, Inc. Network interface and firewall device
KR20060096986A (en) * 2006-02-27 2006-09-13 노키아 코포레이션 Personal remote firewall

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101278656B1 (en) * 2013-04-22 2013-06-25 전은희 System and method for distinguishing minor
KR20180049476A (en) * 2016-11-02 2018-05-11 주식회사 시큐아이 Network security method and apparatus thereof

Also Published As

Publication number Publication date
KR101440154B1 (en) 2014-09-12

Similar Documents

Publication Publication Date Title
US9369434B2 (en) Whitelist-based network switch
Li et al. A survey on OpenFlow-based Software Defined Networks: Security challenges and countermeasures
US7716729B2 (en) Method for responding to denial of service attacks at the session layer or above
US6237037B1 (en) Method and arrangement relating to communications systems
KR101217647B1 (en) Method and apparatus for defending against denial of service attacks in IP networks based on specified source/destination IP address pairs
CN104967609A (en) Intranet development server access method, intranet development server access device and intranet development server access system
KR101252787B1 (en) Security management system with multiple gateway servers and method thereof
KR100723864B1 (en) Method for blocking network attacks using the information in packet and apparatus thereof
US20220021653A1 (en) Network security device
EP3800564A1 (en) Secure communication method and system using network socket proxying
Brandt et al. Security analysis of software defined networking protocols—openflow, of-config and ovsdb
Smyth et al. Exploiting pitfalls in software-defined networking implementation
Zhao et al. ESLD: An efficient and secure link discovery scheme for software‐defined networking
KR101440154B1 (en) Apparatus and method for user authentication of network security system
RU2684575C1 (en) METHOD FOR CONTROL OF DISTRIBUTED INFORMATION SYSTEM DATA STREAMS IN DDoS ATTACKS
Sanjeetha et al. Mitigation of controller induced DDoS attack on primary server in high traffic scenarios of software defined networks
Saharan et al. Prevention of DrDoS amplification attacks by penalizing the attackers in SDN environment
US20210377220A1 (en) Open sesame
KR101033510B1 (en) Method for preventing leakage of internal information using messenger and network contents security system thereof
RU2509425C1 (en) Method and apparatus for controlling distributed information system data streams
KR102046612B1 (en) The system for defending dns amplification attacks in software-defined networks and the method thereof
KR101976794B1 (en) Network security method and apparatus thereof
FI115284B (en) Method and arrangement for terminal authentication
KR102246290B1 (en) Method, apparatus and computer program for network separation of software defined network
KR102174507B1 (en) A appratus and method for auto setting firewall of the gateway in network

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170703

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180703

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190708

Year of fee payment: 6