KR20110012479A - Apparatus for managing a fire wall - Google Patents
Apparatus for managing a fire wall Download PDFInfo
- Publication number
- KR20110012479A KR20110012479A KR1020090070212A KR20090070212A KR20110012479A KR 20110012479 A KR20110012479 A KR 20110012479A KR 1020090070212 A KR1020090070212 A KR 1020090070212A KR 20090070212 A KR20090070212 A KR 20090070212A KR 20110012479 A KR20110012479 A KR 20110012479A
- Authority
- KR
- South Korea
- Prior art keywords
- policy
- firewall
- management
- terminal device
- identification information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 발명은 방화벽 관리 장치에 관한 것이다. The present invention relates to a firewall management device.
최근, IPTV(Internet Procotol TeleVision), VoIP(Voice over Internet Procotol)등 IP(Internet Procotol) 네트워크를 기반으로 하는 서비스가 대규모로 제공되기 시작하면서, IPTV의 셋톱박스(set-top box, STB)나 VoIP 단말기에 방화벽을 설치하여 보안에 대비할 필요가 생겨나고 있다.Recently, services based on IP (Internet Procotol) networks such as Internet Prototol TeleVision (IPTV) and Voice over Internet Procotol (VoIP) have begun to be provided on a large scale, and thus, IPTV set-top box (STB) or VoIP There is a need to prepare for security by installing a firewall on the terminal.
근래에는 셋톱박스에 대한 해킹사건이 빈번히 발생하게 되어, 방송사와 셋톱박스 업체 등이 수익에 타격을 입게 되었다. 셋톱박스가 해킹을 당하면 정당한 가입자가 아니어도 방송을 시청할 수도 있으며, 셋톱박스가 해킹되어 해킹제품이 시중에 유통될 수도 있다. Recently, hacking cases of set-top boxes have occurred frequently, and broadcasters and set-top box companies have been hit hard. If the set-top box is hacked, even if the subscriber is not a legitimate subscriber, they may watch the broadcast.
통상, 보안을 위해 방화벽을 PC(Personal Computer)나 서버, 네트워크에 설치한다. 방화벽은 자신의 조직과 네트워크가 연결되는 지점에 위치하여 외부로부터의 공격을 막아주거나 조직 내에서 인터넷에 접속할 때 특정 서비스만 가능하도록 하기 위해 사용된다. Typically, a firewall is installed in a personal computer (PC), a server, or a network for security. Firewalls are used at the point where your organization and your network connect to prevent attacks from the outside or to enable only certain services when accessing the Internet from within your organization.
그런데 종래의 방화벽은 물리적(H/W, S/W)인 개별 방화벽을 기준으로 정책을 적용하도록 되어 있다. 즉 관리자는 특정 방화벽에 적용할 정책을 입력하여 목록화한다. 그리고 관리자 UI(User Interface) 내의 특정 방화벽을 선택하여 특정 방화벽 UI를 출력한다. 그리고 특정 방화벽에 적용할 정책을 목록화한 정책들 중에서 선택한다. 만약, 관리자가 관리해야할 방화벽이 여러 개라면 상기 단계들을 방화별 별로 모두 수행해야 한다. 100개의 방화벽에 5줄짜리 방화벽 정책을 입력하는 경우, 최소 500개의 입력이 요구되는 것이다. However, the conventional firewall is to apply the policy based on the individual firewall (physical (H / W, S / W)). That is, the administrator enters and lists the policies to apply to a specific firewall. In addition, a specific firewall UI is output by selecting a specific firewall in the administrator UI (User Interface). Select from the list of policies that apply to a specific firewall. If there are several firewalls to be managed by the administrator, the above steps should be performed for each fire. If you enter a five-line firewall policy for 100 firewalls, at least 500 entries are required.
따라서, 네트워크 방화벽과 같이 대규모의 방화벽 관리를 수행하는 경우는 몰라도 개별 수백만 개의 방화벽을 관리해야 하는 경우 종래의 개별 방화벽을 기준으로 한 관리는 비효율적이다. 2008년 12월 기준으로 서비스 제공자가 최대 약 100만대의 방화벽의 정책을 관리하여야 한다고 볼 때 관리의 부담은 상당하다.Therefore, if a large-scale firewall management such as a network firewall is performed, but management of millions of individual firewalls is required, conventional management based on individual firewalls is inefficient. As of December 2008, the burden on management is significant given that service providers must manage the policies of up to approximately 1 million firewalls.
게다가 종래의 방화벽은 관리자가 관리하는 시점에 방화벽이 작동 중이어서 정책의 적용을 즉시 시행할 수 있다. 그러나, STB나 VoIP 단말과 같이 개별 단말은 항시 작동하는 것이 아니기에 이러한 개별 단말에 방화벽을 설치하여 관리하고자 할 경우, 관리자가 STB나 VoIP 단말의 방화벽 정책을 관리하는 시점에서 해당 기기가 작동 중이라고 보장할 수 없어 관리가 어려운 문제점이 있다. In addition, the conventional firewall is in operation at the time the administrator manages, so that the application of the policy can be immediately implemented. However, since individual terminals such as STBs or VoIP terminals do not always operate, if a user wants to install and manage a firewall on such individual terminals, the administrator may guarantee that the device is operating at the time of managing the firewall policy of the STB or VoIP terminal. There is a problem that is difficult to manage.
또한, 기존 방화벽은 그 관리를 위해서 내부에서만 접근하도록 하는 것이 일반적이었지만, STB이나 VoIP 단말은 그 관리를 위해서는 외부에서 접근해야 함으로 정책 관리를 위한 통신과 행위에 대하여 추가적인 관리 부담이 발생한다. In addition, the existing firewall was generally only to be accessed internally for its management, but since the STB or VoIP terminal should be accessed from the outside for its management, an additional management burden is generated for communication and actions for policy management.
발명이 이루고자 하는 기술적 과제는 정책 단위로 방화벽을 관리하는 장치를제공하는 것이다. An object of the present invention is to provide an apparatus for managing a firewall on a policy basis.
본 발명의 한 실시예에 따르면, 방화벽 관리 장치가 제공된다. 이 장치는, 네트워크에서 수신되는 패킷을 정책에 따라 차단 또는 허용하는 방화벽이 탑재된 하나 이상의 단말장치에 적용될 정책을 생성하는 생성부; 및 상기 정책을 적용시킬 하나 이상의 단말장치를 선택하고 선택한 하나 이상의 단말장치로 상기 정책을 전송하고, 정책 단위로 상기 하나 이상의 단말장치를 관리하는 관리부를 포함한다.According to one embodiment of the present invention, a firewall management apparatus is provided. The apparatus includes a generation unit for generating a policy to be applied to one or more terminal devices equipped with a firewall for blocking or allowing packets received from a network according to a policy; And a management unit for selecting one or more terminal devices to which the policy is to be applied, transmitting the policy to the selected one or more terminal devices, and managing the one or more terminal devices on a policy basis.
본 발명의 한 실시예에 따르면, 다량의 개별 단말에 탑재되는 방화벽을 관리자의 부담을 최소화하면서 사업자가 일괄적으로 원격 관리할 수 있다. According to one embodiment of the present invention, the operator can remotely manage the firewall mounted on a large number of individual terminals while minimizing the burden on the administrator.
또한, 기존에 개별 방화벽마다 적용될 정책을 별도로 관리해야 했으나 적용된 정책을 기준으로 방화벽을 관리하기 때문에 정책 관리가 단순하다. 예를 들어, 100개의 방화벽에 5줄짜리 방화벽 정책을 입력하는 경우, 종래 방법으로는 최소 500개의 입력이 요구되지만, 제안내용에 따르면 최대 105개의 입력만 요구된다. 따라서 동일한 작업 수행시 약 80%의 입력이 줄어들어 관리 효율이 향상된다. In addition, although the policy to be applied to each individual firewall had to be managed separately, policy management is simple because the firewall is managed based on the applied policy. For example, if a five-line firewall policy is input to 100 firewalls, at least 500 inputs are required in the conventional method, but according to the proposal, only up to 105 inputs are required. This reduces the input by about 80% when performing the same task, improving management efficiency.
또한, 기존에 방화벽에서 정책을 확인하는 경우 적용된 개별 정책을 일일이 확인해야 했으나, 방화벽에 적용될 정책이 하나의 정책으로 일원화되어 해쉬값으로 적용된 정책을 간단히 확인할 수 있어 시스템의 복잡도가 감소된다. 또한, 리소스 사용을 최소화해야 하는 환경에서는 방화벽 정책을 확인하기 위하여 소요되는 리소 스를 획기적으로 줄일 수 있다. In addition, when checking the policy in the firewall, the individual policy applied to the firewall had to be checked individually, but the policy applied to the firewall was unified into one policy, so that the policy applied as the hash value can be easily checked, thereby reducing the complexity of the system. In addition, in an environment where resource usage should be minimized, the resources required to check the firewall policy can be significantly reduced.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 시퀀스를 붙였다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and similar drawings are attached to similar parts throughout the specification.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. Throughout the specification, when a part is said to "include" a certain component, it means that it can further include other components, without excluding other components unless specifically stated otherwise.
이제, 본 발명의 실시예에 따른 방화벽 관리 장치에 대하여 도면을 참고로 하여 상세하게 설명한다.Now, a firewall management apparatus according to an embodiment of the present invention will be described in detail with reference to the drawings.
도 1은 본 발명의 실시예에 따른 방화벽 관리 시스템의 구성도이다. 1 is a block diagram of a firewall management system according to an embodiment of the present invention.
도 1을 참조하면, 방화벽 관리 시스템은 복수의 단말장치(100', 100")가 IP(Internet Procotl) 네트워크(200)를 통해 관리서버(또는 방화벽 관리 장치)(300)와 연결된다. 관리서버(또는 방화벽 관리 장치)(300))는 복수의 단말장치(100', 100")를 원격으로 관리한다. 1, in the firewall management system, a plurality of
복수의 단말장치(100', 100")는 IP 네트워크(200)에 접속되어 데이터를 송수신하는 지역적으로 광범위한 위치에 설치되는 통신 단말장치이다. 특정 사업자가 제공하는 서비스를 수신하기 위한 전용 단말일 수 있다. 예컨대 데이터 방송을 수신하기 위한 셋톱박스(100') 또는 인터넷 전화 서비스를 제공하는 VoIP(Voice over Internet Procotol) 단말(100")일 수 있다. 이때, 복수의 단말장치(100', 100")는 방화벽(120)을 각각 구비한다. The plurality of
관리서버(또는 방화벽 관리 장치)(300))는 복수의 단말장치(100', 100") 각각을 식별하고, 복수의 단말장치(100', 100") 각각에 탑재된 방화벽(120)을 원격으로 제어한다. 관리서버(또는 방화벽 관리 장치)(300))는 정책을 생성하여 복수의 단말장치(100', 100") 중에서 정책을 적용시킬 하나 이상의 단말장치를 선택한다. 그리고 선택한 하나 이상의 단말장치로 정책을 전송하며, 정책 단위로 정책이 적용된 단말장치를 관리한다. The management server (or firewall management device) 300 identifies each of the plurality of
그러면, 도 2 및 도 3을 참조하여 복수의 단말장치(100', 100") 및 관리서버(또는 방화벽 관리 장치)(300))의 세부적인 구성에 대해 설명한다. Next, a detailed configuration of the plurality of
도 2는 본 발명의 실시예에 따른 단말장치의 세부 구성을 나타낸 블록도이다. 2 is a block diagram showing a detailed configuration of a terminal device according to an embodiment of the present invention.
도 2를 참조하면, 복수의 단말장치(100', 100") 각각은 방화벽(120), 에이전트(140), 정책 DB(160) 및 통신부(180)를 포함한다. Referring to FIG. 2, each of the plurality of
방화벽(120)은 IP 네트워크(200)로부터 수신되는 패킷을 정책에 따라 차단 또는 허용한다. 즉 방화벽(120)은 수신된 패킷의 정보를 수집하여 정책 DB(160)에 저장된 정책들과 비교하여 허가된 패킷이 아닌 경우 패킷을 차단한다. 방화벽(120)은 수신된 패킷에 여러가지 비정상적인 데이터, 악성 코드 및 스파이웨어 등의 포 함 유무를 감시하여 복수의 단말장치(100', 100")에 대한 공격을 차단한다.The
에이전트(140)는 방화벽(120)의 동작을 제어하고, 관리서버(또는 방화벽 관리 장치)(300))와 통신하여 정책을 적용하거나 또는 기 적용된 정책을 갱신한다. 즉 신규 혹은 갱신된 정책을 관리서버(또는 방화벽 관리 장치)(300))로부터 수신하여 이를 실제로 구현하도록 방화벽(120)에 적용한다. The
에이전트(140)는 아래 표 1과 같은 기능을 수행한다.
ㅇ기존 정책 갱신에도 현 정책을 삭제하는 이유는 갱신을 위해서 기존 정책을 파싱(Parsing)하는 행위를 줄여, 단말 리소스를 효율적으로 사용하기 위함이고, 정책 갱신 중 단말 장애가 발생하는 경우에 갱신되다 중단된 사유로 단말이 잘못되는 것을 방지하기 위해서임This function deletes all currently applied policies and is used to apply new policies or update existing policies.
The reason why the current policy is deleted even when updating the existing policy is to reduce the parsing of the existing policy for the update, so that the terminal resource can be efficiently used, and when the terminal failure occurs during the policy update, it is updated and stopped. The reason is to prevent the terminal from going wrong.
ㅇ관리서버가 단말에 현재 적용된 정책을 확인할 수 있게 함ㅇ Check the currently applied policy
ㅇ The management server can check the policy currently applied to the terminal.
ㅇ관리서버가 단말에 현재 적용된 정책의 무결성을 확인함ㅇ Confirmed that the policy applied to the terminal was not tampered with
ㅇ The management server checks the integrity of the policy currently applied to the terminal.
또한, 에이전트(140)는 표 1에 나열된 기능 이외에 자체적으로 생성한 정책의 보안정보 즉 해쉬값과 관리서버(또는 방화벽 관리 장치)(300))로부터 정책과 함께 수신된 이미 계산된 정책의 해쉬값을 비교하여 일치 여부에 따라 정책의 적용 여부를 결정한다. 즉 일치하지 않으면 정책을 저장하지 않고 널(Null) 값을 관리서버(또는 방화벽 관리 장치)(300))로 반환한다. 그러나 일치하면 정책을 정책 DB(160)에 저장하고 방화벽(120)에 적용한다. In addition, the
정책 DB(160)는 방화벽의 동작을 제어하기 위한 정책 정보가 저장된다. 정책 정보는 정책명, 정책 식별정보, 정책의 세부내용 및 관리서버(또는 방화벽 관리 장치)(300))로부터 정책과 함께 수신한 정책의 보안정보, 자체적으로 계산한 정책의 보안정보를 포함한다. 이때, 정책의 보안정보는 정책명, 정책 식별정보 및 정책의 세부내용을 토대로 해쉬 (Hash)알고리즘에 의해 연산된 값이다. The
통신부(180)는 관리서버(또는 방화벽 관리 장치)(300))와 데이터 통신을 수행하며, TCP(Transmission Control Protocol) 통신을 수행한다. 통신부(180)는 관리서버(또는 방화벽 관리 장치)(300))와 보안통신을 수행하여 관리서버(또는 방화벽 관리 장치)(300))와 상호인증을 수행한다. 그리고 세션 리미트(Limit)에 허용된 수만큼 연결 세션을 허용한다. 통신부(180)는 관리서버(또는 방화벽 관리 장치)(300))와 상시(Always on) 접속하여 관리서버(또는 방화벽 관리 장치)(300))로부터 수신되는 정책 및 제어 시그널을 에이전트(140)로 전달한다. The
도 3은 본 발명의 실시예에 따른 관리서버의 세부 구성을 나타낸 블록도이다. 3 is a block diagram showing a detailed configuration of a management server according to an embodiment of the present invention.
도 3을 참조하면, 관리서버(또는 방화벽 관리 장치)(300))는 생성부(320), 정책관리 DB(340) 및 관리부(360)를 포함한다. Referring to FIG. 3, the management server (or firewall management device) 300 includes a
생성부(320)는 정책을 생성하여 복수의 단말장치(100', 100") 중에서 정책을 적용시킬 하나 이상의 단말장치를 선택하고 선택한 하나 이상의 단말장치로 정책을 전송한다. 그리고 생성부(320)는 생성한 하나 이상의 정책의 식별정보 별로 생성된 하나 이상의 정책이 적용된 하나 이상의 단말장치의 식별정보가 매핑된 정책 관리 정보를 생성한다. The
또한, 생성부(320)는 하나 이상의 정책으로 구성된 정책 세트를 생성할 수 있다. 그리고 이러한 정책 세트의 식별정보 별로 하나 이상의 단말장치의 식별정보를 매핑한 정책 관리 정보를 생성할 수 있다. In addition, the
정책관리 DB(340)는 관리대상 단말정보, 정책 정보, 생성부(320)가 생성한 정책 관리 정보를 저장한다. 여기서, 관리대상 단말정보는 방화벽이 설치되어 있고 관리서버(또는 방화벽 관리 장치)(300))가 원격으로 제어하는 단말장치들의 식별정보 및 단말장치 각각의 세부정보를 저장한다. 생성부(320)가 생성한 정책 정보는 아래 표 2와 같이 구성될 수 있다. The
세부정보Policy
Details
2. ALLOW FROM 10.10.10.2:ALL TO 211.10.10.112:1011
3. DROP ALL1.ALLOW FROM 10.10.10.1:ALL TO 211.10.10.112:1010
2.ALLOW FROM 10.10.10.2:ALL TO 211.10.10.112:1011
3.DROP ALL
정책명은 관리자에 임의로 작성된 정책의 이름이다. 정책정책 식별정보(ID, Identification)는 자동으로 생성되며, 신규, 갱신 여부에 관계없이 무조건 새로운 값으로 생성된다. 이는 단말에 적용된 정책을 명확히 구분하기 위해서이다. 생성일과 생성자는 정책이 신규 또는 갱신된 날짜이다. 생성자는 정책을 신규로 등록한 관리자의 이름이다. 갱신자는 정책을 마지막으로 갱신한 사람의 이름이다. 정책 세부정보는 방화벽에 실질적으로 적용되는 정책의 내용으로서, 방화벽의 종류, 제조사 등에 의해 달라질 수 있다. 정책 해쉬는 정책 이름, 정책 ID 및 정책 세부정보를 토대로 해쉬 알고리즘에 의해 연산된 보안정보이다. 정책의 무결성 관리에 사용되며, 자동으로 생성된다. The policy name is the name of a policy written arbitrarily in the administrator. Policy policy identification information (ID, Identification) is automatically generated and created with new value regardless of whether it is new or updated. This is to clearly distinguish the policy applied to the terminal. The creation date and creator are the dates when the policy is new or updated. The creator is the name of the administrator who newly registered the policy. The updater is the name of the person who last updated the policy. The policy details are the contents of a policy that is substantially applied to the firewall, and may vary depending on the type and manufacturer of the firewall. A policy hash is security information computed by a hash algorithm based on policy name, policy ID, and policy details. It is used to manage policy integrity, and it is automatically generated.
관리부(360)는 정책의 변경, 정책 적용 대상의 변경, 정책의 정당성 여부 확인을 포함하는 방화벽(120)의 정책 관리를 수행하는 수단이다. The
관리부(360)는 정책을 변경해야 하는 경우, 정책관리 DB(340)를 검색하여 변경할 정책의 식별정보에 매핑된 단말장치의 식별정보에 해당하는 단말장치로 변경된 정책을 전송한다. 또한, 정책 적용 대상을 변경해야 하는 경우, 정책의 식별정보와 매핑된 단말장치의 식별정보 중에서 특정 단말장치의 식별정보를 추가 또는 삭제하여 정책 적용 대상을 변경한다. If it is necessary to change the policy, the
또한, 관리부(360)는 관리대상 단말정보에 저장된 단말장치들(100', 100")에 저장된 정책의 보안정보를 확인하여 정책관리 DB(340)에 저장된 정책의 보안정보와 비교하여 일치 여부에 따라 단말장치들(100', 100")에 저장된 정책의 정당성을 확인한다. In addition, the
이제, 이상 설명한 방화벽 관리 시스템이 방화벽을 관리하는 방법에 대해 설명한다. Now, a description will be given of how the firewall management system described above manages the firewall.
도 4는 본 발명의 제1 실시예에 따른 방화벽 관리 방법을 나타낸 흐름도이다. 4 is a flowchart illustrating a firewall management method according to a first embodiment of the present invention.
도 4를 참조하면, 관리서버(또는 방화벽 관리 장치)(도 1, 3의 300)는 정책을 생성한 후 정책을 적용시킬 하나 이상의 단말장치(도 1, 2의 100', 100")를 선택한다. Referring to FIG. 4, the management server (or firewall management device) 300 (FIGS. 1 and 3) selects one or more terminal devices (100 ′ and 100 ″ in FIGS. 1 and 2) to apply the policy after generating the policy. do.
한편, 복수의 단말장치(100', 100")는 업데이트 타입이 수동인지 또는 능동인지를 판단하거나 혹은 비정상 종료 상태인지를 판단한다(S105).On the other hand, the plurality of terminal devices (100 ', 100 ") determines whether the update type is passive or active or whether the abnormal termination state (S105).
이때, 업데이트 타입이 수동인 경우 복수의 단말장치(100', 100")는 수신 대기 상태이다. In this case, when the update type is manual, the plurality of
그러나 업데이트 타입이 능동인 경우, 주기 도래 여부를 판단한다(S107). 즉 관리서버(또는 방화벽 관리 장치)(300))로부터 사전에 요청받은 예약 시간이 도래하였는지를 판단한다. However, if the update type is active, it is determined whether a cycle arrives (S107). That is, it is determined whether the reservation time requested in advance from the management server (or firewall management device) 300 has arrived.
그러면 S107 단계에서 주기가 도래한 경우와, S105 단계에서 비정상 종료 상태로 판단된 경우, 관리서버(또는 방화벽 관리 장치)(300))로 정책 업데이트를 요청한다(S109). Then, when the cycle arrives in step S107 and when it is determined that the abnormal termination state in step S105, the management server (or firewall management device) 300 requests a policy update (S109).
관리서버(또는 방화벽 관리 장치)(300))는 복수의 단말장치(100', 100")의 요청에 따라 정책을 전송한다(S111). 또한, 복수의 단말장치(100', 100")의 업데이트 타입이 수동인 경우에는 정책이 생성된 즉시 혹은 관리서버(또는 방화벽 관리 장치)(300)) 자체의 타임 스케줄에 따라 정책을 전송한다(S111). 여기서, S111 단계에서는 정책의 식별정보, 정책의 상세정보 및 보안정보를 포함하는 정책을 전송할 수 있다. The management server (or firewall management apparatus) 300 transmits a policy in response to a request of a plurality of
복수의 단말장치(100', 100")는 정책이 수신되면 기 저장된 정책의 유무를 판단한다(S113). 이때, 기 저장된 정책이 존재하는 경우, 기 저장된 정책을 삭제한다(S115). 그리고 나서 수신한 정책의 보안정보를 생성한다(S117).When a plurality of
S117 단계에서 생성한 보안정보와 S111 단계에서 수신한 보안정보를 비교하여 일치하는지를 판단한다(S119). 일치하는 경우, 수신한 정책을 저장한다(S121). 일치하지 않는 경우, 널 값을 관리서버(또는 방화벽 관리 장치)(300))로 전송한다(S123). The security information generated in step S117 and the security information received in step S111 are compared to determine whether they match (S119). If there is a match, the received policy is stored (S121). If it does not match, the null value is transmitted to the management server (or firewall management device) 300 (S123).
도 5는 본 발명의 제2 실시예에 따른 방화벽 관리 방법을 나타낸 순서도이다. 특히, 관리서버(또는 방화벽 관리 장치)(300))의 방화벽 관리 동작을 상세히 나타낸 순서도이다. 5 is a flowchart illustrating a firewall management method according to a second embodiment of the present invention. In particular, it is a flowchart illustrating the firewall management operation of the management server (or firewall management device) 300 in detail.
도 5를 참조하면, 관리서버(또는 방화벽 관리 장치)(도 1, 3의 300)는 하나 이상의 정책의 식별정보 별로 해당 정책을 적용한 하나 이상의 단말장치(도 1, 2의 100', 100")의 식별정보를 매핑한 정책 관리 정보를 생성한다(S201). Referring to FIG. 5, the management server (or the firewall management device) (300 in FIGS. 1 and 3) may include one or more terminal devices (100 ′ and 100 ″ in FIGS. 1 and 2) to which the corresponding policy is applied for each identification information of one or more policies. The policy management information mapped with the identification information is generated (S201).
이후, 정책을 변경(S203)해야할 경우, 변경된 정책의 식별정보를 확인한다(S205). 그리고 확인한 정책의 식별정보에 매핑된 하나 이상의 단말장치(100', 100")의 식별정보를 검색한다(S207). 그리고 검색한 식별정보에 해당하는 하나 이상의 단말장치(100', 100")로 변경된 정책을 전송한다(S209). Thereafter, when the policy needs to be changed (S203), the identification information of the changed policy is checked (S205). In operation S207, identification information of one or more
또한, 정책이 적용된 단말장치를 변경(S211)해야할 경우, 변경 내용이 삭제인지 또는 추가인지를 판단한다(S213). In addition, when it is necessary to change the terminal device to which the policy is applied (S211), it is determined whether the change is deletion or addition (S213).
삭제인 경우, 삭제가 필요한 단말장치의 식별정보와 매핑된 정책의 식별정보를 검색(S215)하여 단말장치의 식별정보를 삭제한다(S217). 그리고 삭제한 식별정보에 해당하는 단말장치로 정책 삭제를 요청한다(S219). In the case of the deletion, the identification information of the policy mapped to the identification information of the terminal device that needs to be deleted is searched (S215) and the identification information of the terminal device is deleted (S217). The terminal requests the policy deletion to the terminal device corresponding to the deleted identification information (S219).
또한, S213 단계에서 판단한 정책 변경 사항 추가인 경우, 추가가 필요한 정책의 식별정보를 검색(S221)하여 단말장치의 식별정보를 추가(S223)한다. 그리고 추가된 식별정보에 해당하는 단말장치로 정책의 추가를 요청한다(S225). In addition, when the policy change addition determined in step S213 is added, the identification information of the policy to be added is searched for (S221), and the identification information of the terminal device is added (S223). The terminal requests the addition of a policy to the terminal device corresponding to the added identification information (S225).
도 6은 본 발명의 제3 실시예에 따른 방화벽 관리 방법을 나타낸 흐름도이다. 6 is a flowchart illustrating a firewall management method according to a third embodiment of the present invention.
도 6을 참조하면, 관리서버(또는 방화벽 관리 장치)(도 1, 3의 300)는 복수의 단말장치(도 1, 2의 100', 100")로 정책 확인을 요청한다(S301). Referring to FIG. 6, the management server (or firewall management apparatus) 300 (FIGS. 1 and 3) requests policy confirmation from a plurality of
복수의 단말장치(100', 100")는 저장된 정책을 검색(S303)하여 보안정보를 생성(S305)하여 관리서버(또는 방화벽 관리 장치)(300))로 전송한다(S307).The plurality of
관리서버(또는 방화벽 관리 장치)(300))는 S307 단계에서 수신한 보안정보와 해당 단말장치의 식별정보와 매핑된 정책의 기 저장된 보안정보를 비교한다(S309). 그리고 S309 단계에서 비교 결과가 일치하는지를 판단한다(S311). The management server (or firewall management device) 300 compares the security information received in step S307 with previously stored security information of the mapped policy and the identification information of the terminal device (S309). In operation S309, it is determined whether the comparison results match.
일치하는 경우, 보안정보 확인 결과가 성공하였음을 알리는 보안정보 확인을 전송한다(S313). 그러나 일치하지 않는 경우, 해당 단말장치의 무결성에 문제가 있는 것으로 간주하여 기 정의된 동작을 실행한다(S315). 이때, 기 정의된 동작은 해당 단말장치 저장된 모든 정책의 삭제를 요청하고 신규 정책의 다운로드를 요청할 수 있다. 또는, 단말장치로 서비스 중지를 실행할 수 있다. If there is a match, the security information confirmation indicating that the security information verification result is successful is transmitted (S313). However, if it does not match, it is assumed that there is a problem in the integrity of the terminal device to perform a predefined operation (S315). In this case, the predefined operation may request the deletion of all policies stored in the terminal device and request the download of a new policy. Alternatively, the service may be suspended by the terminal device.
이러한 과정을 통해 복수의 단말장치(100', 100")에 실제로 적용된 정책과 관리서버(또는 방화벽 관리 장치)(300))상의 내용의 불일치 내역을 확인하는 것 이외에도 혹시 외부 침입에 의하여 정책이 변경된 경우도 대비할 수 있는 것이다. Through this process, in addition to checking the inconsistency between the policy actually applied to the plurality of
도 7은 본 발명의 실시예에 따른 단말장치와 관리서버간의 접속 절차는 나타낸 흐름도이다. 7 is a flowchart illustrating an access procedure between a terminal device and a management server according to an exemplary embodiment of the present invention.
도 7을 참조하면, 복수의 단말장치(도 1, 2의 100', 100")는 관리서버(또는 방화벽 관리 장치)(도 1, 3의 300)로 접속을 요청한다(S401). 즉 복수의 단말장치(100', 100")는 에이전트(140)의 동작이 준비(Ready)을 관리서버(또는 방화벽 관리 장치)(300))로 알린다. 만약, 관리서버(또는 방화벽 관리 장치)(300))로부터 지정된 시간동안 연결 시도가 없으면 다시 접속을 요청한다. Referring to FIG. 7, a plurality of
관리서버(또는 방화벽 관리 장치)(300))로부터 접속응답이 수신(S403)되면, 복수의 단말장치(100', 100")와 관리서버(또는 방화벽 관리 장치)(300))는 상호 인증(Mutual Aion)을 수행한다(S405, S407). 그리고 세션을 연결(S409)하여 정책 시그널링 수신 대기 상태가 된다. When the connection response is received from the management server (or firewall management device 300) (S403), the plurality of terminal devices (100 ', 100 ") and the management server (or firewall management device) 300) mutual authentication ( Mutual Aion) is performed (S405 and S407), and a session is connected (S409) to a state of waiting for policy signaling.
이후, 관리서버(또는 방화벽 관리 장치)(300))는 주기적으로 복수의 단말장치(100', 100")와의 세션이 얼라이브(Alive) 상태인지를 체크한다. 즉 관리서버(또는 방화벽 관리 장치)(300))는 얼라이브 체크 타임이 도래하면(S409), 복수의 단말장치(100', 100")로 얼라이브 체크 시그널을 전송한다(S411). Thereafter, the management server (or firewall management apparatus) 300 periodically checks whether sessions with the plurality of
관리서버(또는 방화벽 관리 장치)(300))는 S411 단계에서 얼라이브 체크 시그널을 전송한 복수의 단말장치(100', 100")로부터 얼라이브 체크 응답이 수신되는지를 판단하여 얼라이브 체크의 성공 여부를 판단한다(S413). The management server (or firewall management device) 300 determines whether the alive check response is successful by determining whether an alive check response is received from the plurality of
이때, 성공하는 경우 세션 연결을 유지한다(S417). 만약, 실패하는 경우 기 설정된 반복 횟수가 만료(S419)할 때까지 반복해서 얼라이브 체크를 요청(S411)하고 그래도 실패하면 세션 연결을 요청하여 세션 연결 절차를 재수행한다(S419). 이러한 절차를 통해 복수의 단말장치(100', 100")와 관리서버(또는 방화벽 관리 장치)(300)) 간에 상시(Always on) 접속 상태가 된다. At this time, if successful, the session is maintained (S417). If it fails, it repeatedly requests the alive check repeatedly (S411) until the preset number of repetitions expires (S419). If it fails, the session connection procedure is performed again by requesting a session connection (S419). Through such a procedure, a plurality of
도 8은 본 발명의 실시예에 따른 단말장치와 관리서버 간의 통신 프로토콜 구조를 나타낸다. 8 illustrates a communication protocol structure between a terminal device and a management server according to an embodiment of the present invention.
도 8을 참조하면, 관리서버(또는 방화벽 관리 장치)(도 1, 3의 300)가 복수의 단말장치(도 1, 2의 100', 100")가 정책을 전송하기 위한 시그널 프로토콜(400)의 구조를 나타낸다. Referring to FIG. 8, a
시그널 프로토콜(400)은 시그널 헤더(401), 정책 ID(403), 정책 사이즈(405), 정책 데이터(407), 정책 해쉬값(409) 및 페이로드 해쉬(411)를 포함한다.
시그널 헤더(401)는 전송 프로토콜(400)의 기 정의된 정보가 수록된다. 주로 시그널을 생성한 시간이 수록되는 시그널링 타임, 발신자 IP 즉 관리서버(또는 방화벽 관리 장치)(300))의 IP 주소가 수록되는 소스 IP, 수신자 IP 즉 단말장치(100', 100")의 IP 주소가 수록되는 데스티네이션 IP, 시그널의 종류를 표시하여 수신자가 시그널을 파싱할 수 있게 하는 시그널 타입, 시그널링 타임에서 시그널 타입까지 값의 해쉬값으로 구성된다. The
시그널 프로토콜(400)의 페이로드는 시그널 타입에 따라 그 크기와 종류가 결정된다. 그리고 정책에 할당된 ID를 나타내는 정책 ID(403), 정책 데이터가 수록된 필드의 크기를 나타내는 정책 사이즈(405), 실제 전송되는 정책의 내용이 수록되는 정책 데이터(407), 정책 해쉬값(409) 및 정책 ID에서 정책 해쉬값까지의 해쉬값을 나타내는 페이로드 해쉬(411)를 포함한다. The payload of the
이와 같이, 복수의 단말장치(100', 100")와 관리서버(또는 방화벽 관리 장치)(300)) 간에는 항시 헤더와 페이로드 부분에 해쉬값을 포함하는 프로토콜을 사용하여 통신 무결성을 보장한다. As such, between the plurality of
본 발명의 실시예는 이상에서 설명한 장치 및/또는 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하기 위한 프로그램, 그 프로그램이 기록된 기록 매체 등을 통해 구현될 수도 있다.Embodiments of the present invention are not implemented only through the above-described apparatus and / or method, but may be implemented through a program for realizing a function corresponding to the configuration of the embodiments of the present invention, a recording medium on which the program is recorded, and the like. It may be.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of rights.
도 1은 본 발명의 실시예에 따른 방화벽 관리 시스템의 구성도이다. 1 is a block diagram of a firewall management system according to an embodiment of the present invention.
도 2는 본 발명의 실시예에 따른 단말장치의 세부 구성을 나타낸 블록도이다. 2 is a block diagram showing a detailed configuration of a terminal device according to an embodiment of the present invention.
도 3은 본 발명의 실시예에 따른 관리서버의 세부 구성을 나타낸 블록도이다. 3 is a block diagram showing a detailed configuration of a management server according to an embodiment of the present invention.
도 4는 본 발명의 제1 실시예에 따른 방화벽 관리 방법을 나타낸 흐름도이다. 4 is a flowchart illustrating a firewall management method according to a first embodiment of the present invention.
도 5는 본 발명의 제2 실시예에 따른 방화벽 관리 방법을 나타낸 순서도이다. 5 is a flowchart illustrating a firewall management method according to a second embodiment of the present invention.
도 6은 본 발명의 제3 실시예에 따른 방화벽 관리 방법을 나타낸 흐름도이다. 6 is a flowchart illustrating a firewall management method according to a third embodiment of the present invention.
도 7은 본 발명의 실시예에 따른 단말장치와 관리서버간의 접속 절차는 나타낸 흐름도이다. 7 is a flowchart illustrating an access procedure between a terminal device and a management server according to an exemplary embodiment of the present invention.
도 8은 본 발명의 실시예에 따른 단말장치와 관리서버 간의 통신 프로토콜 구조를 나타낸다. 8 illustrates a communication protocol structure between a terminal device and a management server according to an embodiment of the present invention.
Claims (5)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090070212A KR20110012479A (en) | 2009-07-30 | 2009-07-30 | Apparatus for managing a fire wall |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090070212A KR20110012479A (en) | 2009-07-30 | 2009-07-30 | Apparatus for managing a fire wall |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20110012479A true KR20110012479A (en) | 2011-02-09 |
Family
ID=43772392
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090070212A KR20110012479A (en) | 2009-07-30 | 2009-07-30 | Apparatus for managing a fire wall |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20110012479A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102013227201A1 (en) | 2013-10-22 | 2015-04-23 | Hyundai Motor Company | Coating layer of a graphene-ceramic hybrid material and method for producing the same |
US20170034128A1 (en) * | 2011-08-24 | 2017-02-02 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
-
2009
- 2009-07-30 KR KR1020090070212A patent/KR20110012479A/en not_active Application Discontinuation
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170034128A1 (en) * | 2011-08-24 | 2017-02-02 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
US10701036B2 (en) * | 2011-08-24 | 2020-06-30 | Mcafee, Llc | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
DE102013227201A1 (en) | 2013-10-22 | 2015-04-23 | Hyundai Motor Company | Coating layer of a graphene-ceramic hybrid material and method for producing the same |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11108738B2 (en) | Communication apparatus and communication system | |
US20090178110A1 (en) | Communication Control Device, Communication Control System, Communication Control Method, and Communication Control Program | |
CN109804610B (en) | Method and system for limiting data traffic transmission of network enabled devices | |
JP5340041B2 (en) | Access control system, access control method, and program | |
US20080189404A1 (en) | Method for executing managment operation by communication terminal and a terminal and system thereof | |
US9225585B2 (en) | Method and system for device management, and server | |
JP2018133692A (en) | Communication apparatus, system, and method | |
US9438603B2 (en) | Method for managing access right of terminal to resource by server in wireless communication system, and device for same | |
US9635017B2 (en) | Computer network security management system and method | |
JP4681620B2 (en) | Method and apparatus for controlling access to a multicast IP flow | |
US20160227406A1 (en) | Broadcast apparatus and method of authenticating broadcast data | |
CN103810420A (en) | Application uninstall preventing method and system | |
US20040193601A1 (en) | Method and contact list server for modifying the entry names in a contact list | |
KR101522139B1 (en) | Method for blocking selectively in dns server and change the dns address using proxy | |
KR20110012479A (en) | Apparatus for managing a fire wall | |
JP2008052325A (en) | Terminal equipment security decision program | |
CN105656927B (en) | A kind of safety access method and system | |
KR101672962B1 (en) | Adaptive device software management system and management method of device software | |
JP5277149B2 (en) | Access control system, access control method, and program | |
CN111143857B (en) | Data sharing method, robot controller and storage medium | |
EP3186968B1 (en) | Broadcast apparatus and method of authenticating broadcast data | |
KR101992985B1 (en) | An access control system of controlling hard-coded passwords and commands for enhancing security of the servers | |
CN109460654B (en) | Service control method, service control system, server and computer storage medium | |
KR101757202B1 (en) | Method for managing a password of image information processing apparatus, and computer readable recording medium applying the same | |
KR101070522B1 (en) | System and method for monitoring and blocking of spoofing attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Withdrawal due to no request for examination |