KR20110036419A - System and method for firewalling wide area network - Google Patents
System and method for firewalling wide area network Download PDFInfo
- Publication number
- KR20110036419A KR20110036419A KR1020090094080A KR20090094080A KR20110036419A KR 20110036419 A KR20110036419 A KR 20110036419A KR 1020090094080 A KR1020090094080 A KR 1020090094080A KR 20090094080 A KR20090094080 A KR 20090094080A KR 20110036419 A KR20110036419 A KR 20110036419A
- Authority
- KR
- South Korea
- Prior art keywords
- fire protection
- policy
- distributed
- client
- arson
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
Description
본 발명은 네트워크 방화 장치에 관한 것으로, 좀 더 상세하게는 네트워크 방화 정책 생성자로부터 생성된 방화 정책을 상기 방화 정책에 포함된 패킷의 출발지 주소와 패킷의 도착지 주소를 연결하는 네트워크 경로 상에 위치한 적어도 하나 이상의 호스트 또는 네트워크 노드에 배포하여 유해한 트래픽이 공중 인터넷으로 유입되는 것을 차단하기 위한 분산 방화 장치 및 방법에 관한 것이다.The present invention relates to a network arson apparatus, and more particularly, at least one arson policy generated from a network arson policy creator located on a network path connecting a source address of a packet included in the arson policy and a destination address of the packet. The present invention relates to a distributed fire protection apparatus and method for distributing harmful traffic to the public Internet by distributing to the host or network node.
컴퓨터 네트워크 분야에서 방화 장치 또는 방화벽(firewall)이란 네트워크 혹은 컴퓨터의 사용자가 원하지 않는 네트워크 트래픽을 차단 혹은 제어하기 위해 사용되는 소프트웨어, 하드웨어 또는 소프트웨어와 하드웨어가 결합된 형태의 장치를 말한다.In the field of computer networks, a fire protection device or firewall refers to a software, hardware, or a combination of hardware and software used to block or control network traffic that is not desired by a user of a network or computer.
방화 장치는 설치되는 위치에 따라 서버측 방화 장치와 클라이언트측 방화 장치로 구분할 수 있다.The fire protection device may be classified into a server side fire protection device and a client side fire protection device according to the installed position.
서버측 방화 장치는 웹 서버, 메일 서버, 파일 서버 등의 응용 서버를 보호하기 위하여 응용 서버 내에 소프트웨어 형태로 설치되거나 응용 서버의 앞단에 응 용 서버와 물리적으로 분리된 네트워크 장비로 구현될 수 있다. 응용 서버의 관리자는 유해한 트래픽이 응용 서버로 유입되는 것을 차단하기 위하여 서버측 방화 장치를 적절히 설정한다. 예를 들어 특정 클라이언트가 고의적으로 응용 서버에 부하를 발생시키기 위해 의미없는 트래픽을 계속 보내서 응용 서버에 과부하를 발생시킨다면 서버측 방화 장치에서 해당 클라이언트로부터 응용 서버로 전송되는 트래픽을 차단함으로써 응용 서버에 유해한 트래픽이 도달하는 것을 차단할 수 있다. 또한, 특정 클라이언트가 무차별 대입 공격(brute force attack)을 통해 희생자(victim) 사용자의 아이디 혹은 비밀번호를 알아내려는 시도가 발견된 경우, 해당 클라이언트를 서버측 방화 장치에서 차단시킴으로써 무차별 대입 공격을 차단할 수 있다.The server-side fire protection device may be installed in software form in an application server to protect an application server such as a web server, a mail server, or a file server, or may be implemented as a network device physically separated from the application server in front of the application server. The administrator of the application server properly configures the server-side fire protection device to block harmful traffic from entering the application server. For example, if a client overloads an application server by deliberately sending nonsense traffic to intentionally overload the application server, the server-side firewall can block traffic from that client to the application server, which is harmful to the application server. You can block traffic from reaching it. In addition, if a specific client attempts to find out the ID or password of a victim user through a brute force attack, the brute force attack can be prevented by blocking the client from the server-side firewall. .
클라이언트측 방화 장치는 주로 개인 컴퓨터를 보호하기 위해 개인 컴퓨터 내에 소프트웨어 형태로 설치되거나 개인 컴퓨터 앞단에 개인 컴퓨터와 물리적으로 분리된 네트워크 장비로 설치될 수 있다. 클라이언트측 방화 장치는 네트워크를 통해 전파되는 바이러스가 운영체제의 버그 등을 이용하여 바이러스를 감염시키려는 시도를 차단할 수 있으며, 컴퓨터 사용자의 의도에 따라 원하지 않는 트래픽이 내부로 유입되거나 혹은 외부로 유출되는 것을 차단하기 위하여 사용될 수 있다.The client side fire protection device may be installed in the form of software in the personal computer mainly to protect the personal computer, or may be installed in front of the personal computer as network equipment physically separated from the personal computer. The client-side firewall can block attempts to infect viruses by using a bug in the operating system, such as viruses spreading through the network, and block unwanted traffic from entering or exiting according to the intention of the computer user. Can be used to
도 3은 종래 기술에 따른 방화 장치의 구성도이다. 도 3에 따르면 510a 내지 510c는 응용 서버(540)로 서비스를 요청하는 개인 컴퓨터이고, 520a 내지 520e는 네트워크 경로상에 위치한 네트워크 장비들(라우터, 스위치 등)이고, 540은 개인 컴퓨터들에게 서비스를 제공하는 응용 서버이고, 530은 응용 서버의 앞단에 설치된 서버측 방화 장치이다. 이때 개인 컴퓨터 510a와 510c가 DDOS 공격을 위한 유해한 트래픽을 응용 서버(540)로 전송한다면, 서버측 방화 장치(530)를 이용하여 이러한 유해한 트래픽을 차단할 것이다. 유해한 트래픽을 차단하기 위한 서버측 방화 장치(530)의 설정은 응용 서버의 관리자에 의해 수동으로 달성될 수도 있을 것이며, 응용 서버(540)의 자동화된 탐지에 의해 달성될 수도 있을 것이다.3 is a block diagram of a fire protection device according to the prior art. According to FIG. 3, 510a to 510c are personal computers requesting service to the
상기와 같은 종래 기술에 의한 유해한 트래픽의 차단은 개인 컴퓨터 510a와 510c로부터 발생되는 DDOS 공격을 위한 유해한 트래픽이 응용 서버로 도달하는 것은 차단할 수 있으나, 근본적으로 그 트래픽이 공중 인터넷으로 유입되는 것을 억제하지는 못한다는 문제점이 있다. 상기와 같은 예에서 서버측 방화 장치(530)가 DDOS 공격을 위한 유해한 트래픽을 차단하였기 때문에 서버측 방화 장치(530)와 응용 서버(540) 구간에서는 DDOS 공격을 위한 유해한 트래픽이 사라졌지만 개인 컴퓨터(510a, 510c)부터 서버측 방화 장치(530)에 이르는 구간에는 여전히 유해한 트래픽이 계속 발생되어 공중 인터넷의 혼잡 상태는 계속되고 있다. 따라서, 상기의 예에서 개인 컴퓨터 510b는 유해한 트래픽을 생성하지 않음에도 불구하고 응용 서버(540)에 이르는 네트워크 경로가 혼잡 상태를 겪고 있기 때문에, 응용 서버(540)로 원활하게 접속할 수 없는 문제점이 있다. 뿐만 아니라, 응용 서버(540)의 관리자는 서버측 방화 장치(530)를 이용하여 유해한 트래픽을 차단하였더라도 서버측 방화 장치(530)까지는 유해한 트래픽이 계속 도달하기 때문에, 네트워크 회선 자원을 낭비하게 되고 불필요한 회선 사용료을 추가적으로 지출해야 하는 피해가 발생되는 문제점이 있다.The blocking of harmful traffic according to the prior art may block harmful traffic for DDOS attacks from
상기와 같은 종래 기술에 의한 유해한 트래픽 차단의 또 다른 문제점은 트래픽이 차단된 개인 컴퓨터의 사용자에게 아무런 안내 과정 없이 차단이 된다는 점이다. 특히, DDOS 공격을 위한 유해한 트래픽이 발생되는 경우에는 보통 DDOS 공격을 하는 개인 컴퓨터로부터 응용 서버(540)로 전달되는 모든 패킷을 거부(REJECT) 또는 폐기(DROP)하는 경우가 많기 때문에, 개인 컴퓨터 입장에서는 응용 서버가 다운된 것처럼 보이게 된다. 만약 DDOS 공격을 위한 유해한 트래픽을 발생시키는 개인 컴퓨터 510a 또는 510c의 사용자가 자신의 의도에 의해 응용 서버(540)를 공격하고 있는 것이 아니라 바이러스나 악성 코드에 의해 자신의 의도에 반하여 응용 서버(540)를 공격하는 경우, 개인 컴퓨터 510a 또는 510c의 사용자는 이유도 모르는 채로 응용 서버(540)로의 접속이 차단되고, 응용 서버(540)로부터 서비스를 제공받을 수 없게 된다. 이와 같이 서버측 방화 장치에 의해 특정 개인 컴퓨터로부터 전달되는 패킷이 거부(REJECT) 또는 폐기(DROP)되는 경우, 종래 기술에서는 개인 컴퓨터의 사용자에게 차단 이유 및 문제의 해결 방법을 설명할 수 있는 자동화된 방법을 제공하지 못했으며, 전화 연락과 같은 재래식 수단을 이용하여 개인 컴퓨터의 사용자에게 트래픽 차단의 원인에 대한 안내 및 해결 방법을 알려주는 형태를 이용하였다.Another problem of the harmful traffic blocking according to the prior art is that the traffic is blocked without any guidance to the user of the blocked personal computer. In particular, when harmful traffic for a DDOS attack is generated, it is common to reject (REJECT) or drop (DROP) all packets from the personal computer in the DDOS attack to the
본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 방화 정책 생성자로부터 생성된 방화 정책을 상기 방화 정책에 포함된 패킷의 출발지 주소와 패킷의 도착지 주소를 연결하는 네트워크 경로 상에 위치한 적어도 하나 이상의 호스트 또는 네트워크 노드에 배포하여 유해한 트래픽이 공중 인터넷으로 유입되는 것을 차단하기 위한 분산 방화 장치 및 방법을 제공하는 것을 그 목적으로 한다.The present invention has been made to solve the above-mentioned problems of the prior art, and is located on a network path that connects the origination address of the packet included in the arson policy and the destination address of the packet to the arson policy generated from the arson policy creator. It is an object of the present invention to provide a distributed fire protection apparatus and method for distributing harmful traffic to the public Internet by distributing it to at least one host or network node.
본 발명의 다른 목적은 방화 장치에 의해 네트워크 트래픽이 차단된 경우 트래픽을 발생시키는 컴퓨터의 사용자에게 트래픽 차단에 대한 안내 메시지를 출력해 줄 수 있는 장치 및 방법을 제공하는 것이다.Another object of the present invention is to provide an apparatus and method for outputting a guide message for blocking traffic to a user of a computer generating traffic when network traffic is blocked by a fire protection device.
본 발명의 다른 목적은 현존하는 다양한 서버측 방화 장치, 클라이언트측 방화 장치, 네트워크 노드의 방화 장치에게 일관된 인터페이스를 제공하여 현존하는 방화 장치를 활용하여 인터넷 전역적으로 분산된 방화 장치를 구축할 수 있는 장치 및 방법을 제공하는 것이다.It is another object of the present invention to provide a consistent interface to various existing server-side fireproof devices, client-side fireproof devices, and network node fireproof devices, and to use the existing fireproof devices to build a globally distributed fireproof device. It is to provide an apparatus and method.
본 발명의 다른 목적은 방화 정책 생성자로부터 생성된 방화 정책에 포함된 패킷의 출발지 주소와 패킷의 도착지 주소를 연결하는 네트워크 경로 상에 위치한 호스트 또는 네트워크 노드에만 방화 정책을 선별적으로 배포하는 장치 및 방법을 제공하는 것이다.Another object of the present invention is an apparatus and method for selectively distributing a fire protection policy only to a host or a network node located on a network path connecting a source address of a packet and a destination address of a packet included in a fire policy generated from a fire policy creator. To provide.
본 발명의 다른 목적 및 장점들은 하기에 설명될 것이다.Other objects and advantages of the invention will be described below.
상기 목적을 달성하기 위한 본 발명은 네트워크 트래픽을 제어하는 방화 장치로서, 분산 방화 장치 서버; 상기 분산 방화 장치 서버와 접속된 적어도 하나 이상의 분산 방화 장치 클라이언트;를 포함하고, 상기 분산 방화 장치 서버는, 방화 정책 생성자로부터 방화 정책을 입력받는 방화 정책 입력 인터페이스부; 상기 방화 정책 입력 인터페이스부를 통해 입력받은 방화 정책을 분산 방화 장치 클라이언트에게 배포하는 방화 정책 배포부;를 포함하고, 상기 분산 방화 장치 클라이언트는, 상기 방화 정책 배포부로부터 방화 정책을 수신하는 방화 정책 수신부; 상기 방화 정책 수신부에서 수신된 방화 정책을 타겟 방화 장치로 출력하는 방화 정책 출력 인터페이스부;를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a fire protection apparatus for controlling network traffic, comprising: a distributed fire prevention apparatus server; At least one distributed fire protection device client connected to the distributed fire protection device server, wherein the distributed fire protection device server comprises: a fire protection policy input interface configured to receive a fire protection policy from a fire protection policy generator; A fire protection policy distribution unit for distributing the fire protection policy received through the fire protection policy input interface unit to a distributed fire protection device client, wherein the distributed fire protection device client comprises: a fire protection policy receiving unit receiving a fire policy from the fire policy distribution unit; And a fire protection policy output interface unit for outputting the fire protection policy received by the fire protection policy receiver to a target fire protection device.
바람직하게는 상기 분산 방화 장치 서버는 분산 방화 장치 서버가 배포하는 방화 정책을 수신하기를 원하는 분산 방화 장치 클라이언트로부터 클라이언트 정보를 등록받는 클라이언트 등록부; 분산 방화 장치 클라이언트가 클라이언트 등록부를 통해 분산 방화 장치 서버에 등록할 때 전송한 클라이언트 정보를 컴퓨터의 기억 장치에 저장하는 클라이언트 정보 저장부; 방화 정책 입력 인터페이스부를 통해 방화 정책 생성자로부터 입력된 방화 정책을 컴퓨터의 기억 장치에 저장하는 방화 정책 저장부; 방화 정책 입력 인터페이스부로 접속하여 방화 정책을 입력하는 방화 정책 생성자 또는 클라이언트 등록부로 접속하여 클라이언트 정보를 등록하는 분산 방화 장치 클라이언트에 대해 인증을 수행하는 인증부;를 더 포함하는 것을 특징으로 한다.Preferably, the distributed fire prevention server includes: a client register configured to register client information from a distributed fire protection device client that wants to receive a fire protection policy distributed by the distributed fire protection server; A client information storage unit for storing the client information transmitted when the distributed fire protection device client registers with the distributed fire protection device server through the client registration unit; A fire prevention policy storage unit for storing the fire prevention policy inputted from the fire protection policy creator through the fire protection policy input interface unit in a storage device of a computer; And an authentication unit configured to authenticate the distributed fire protection device client that accesses the fire protection policy input interface unit to input the fire protection policy or to the client registration unit to register the client information.
바람직하게는 상기 분산 방화 장치 클라이언트는, 방화 정책 수신부로부터 수신된 방화 정책에 포함된 안내 메시지를 사용자에게 출력하는 사용자 안내부;를 더 포함하는 것을 특징으로 한다.Preferably, the distributed fire protection device client further comprises a user guide unit for outputting a guide message included in the fire protection policy received from the fire protection policy receiver to the user.
상기 목적을 달성하기 위한 본 발명은 네트워크 트래픽을 제어하는 방화 방법으로서, 분산 방화 장치 서버가 방화 정책 생성자로부터 방화 정책을 입력받는 방화 정책 입력 단계; 분산 방화 장치 서버가 상기 방화 정책 입력 단계에서 입력받은 방화 정책을 분산 방화 장치 클라이언트에게 배포하는 방화 정책 배포 단계; 분산 방화 장치 클라이언트가 상기 방화 정책 배포 단계에서 배포된 방화 정책을 수신하는 방화 정책 수신 단계; 분산 방화 장치 클라이언트가 상기 방화 정책 수신 단계에서 수신한 방화 정책을 타겟 방화 장치로 출력하는 방화 정책 출력 단계;를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention provides a fire prevention method for controlling network traffic, comprising: a fire prevention policy input step of receiving a fire protection policy from a fire prevention policy generator by a distributed fire protection device server; A fire protection policy distribution step of distributing the fire protection policy received in the fire protection policy input step to a distributed fire protection device client by a distributed fire protection device server; An arson policy receiving step of receiving, by the distributed arson apparatus client, the arson policy distributed in the arson policy distribution step; And a fire prevention policy output step of outputting the fire prevention policy received at the fire prevention policy receiving step by the distributed fire protection device client to the target fire protection device.
바람직하게는 상기 분산 방화 방법은, 분산 방화 장치 서버가 배포하는 방화 정책을 수신하기를 원하는 분산 방화 장치 클라이언트로부터 클라이언트 정보를 등록받는 클라이언트 등록 단계; 클라이언트 등록 단계에서 분산 방화 장치 클라이언트로부터 클라이언트 정보를 등록받기 전에 분산 방화 장치 클라이언트에 대해 인증을 수행하는 클라이언트 인증 단계; 클라이언트 등록 단계에서 분산 방화 장치 클라이언트가 분산 방화 장치 서버에 등록할 때 전송한 클라이언트 정보를 컴퓨터의 기억 장치에 저장하는 클라이언트 정보 저장 단계; 방화 정책 입력 단계에서 방화 정책 생성자로부터 방화 정책을 입력받기 전에 방화 정책 생성자에 대해 인증을 수행하는 방화 정책 생성자 인증 단계; 방화 정책 입력 단계에서 방화 정책 생성자 로부터 입력된 방화 정책을 컴퓨터의 기억 장치에 저장하는 방화 정책 저장 단계; 방화 정책 수신 단계에서 수신된 방화 정책에 포함된 안내 메시지를 사용자에게 출력하는 사용자 안내 단계;를 더 포함하는 것을 특징으로 한다.Preferably, the distributed fire prevention method comprises: a client registration step of registering client information from a distributed fire protection device client that wants to receive a fire protection policy distributed by a distributed fire protection device server; A client authentication step of authenticating the distributed fire protection device client before receiving client information from the distributed fire protection device client in the client registration step; A client information storing step of storing, in the storage device of the computer, client information transmitted when the distributed fire protection device client registers with the distributed fire protection server in the client registration step; An arson policy generator authentication step of authenticating the arson policy generator before receiving the arson policy from the arson policy creator in the arson policy input step; A fire prevention policy storing step of storing a fire prevention policy inputted from a fire prevention policy creator in a fire protection policy input step in a storage device of a computer; And a user guide step of outputting a guide message included in the fire prevention policy received in the fire prevention policy receiving step to the user.
본 발명에 따르면, DDOS 공격과 같은 유해한 트래픽이 발생될 때 공격을 당하는 서버측 방화 장치에서 유해한 트래픽을 차단함과 동시에 상기 유해한 트래픽을 발생시키는 컴퓨터 혹은 그와 가까운 방화 장치로 방화 정책을 배포하여 유해한 트래픽이 인터넷으로 유입되는 것을 최소화할 수 있다. 따라서, 인터넷이 유해한 트래픽으로 인해 혼잡 상태를 겪는 것을 방지할 수 있으며 유해한 트래픽으로 인해 공격을 당하는 컴퓨터의 관리자는 회선 자원이 유해한 트래픽으로 잠식당하는 것을 방지할 수 있게 된다.According to the present invention, when harmful traffic such as a DDOS attack is generated, the server-based fire protection device that blocks the harmful traffic and at the same time distributes a fire protection policy to a computer or a fire protection device that generates the harmful traffic, and distributes the harmful policy. Minimize traffic to the Internet. Therefore, the Internet can be prevented from being congested due to harmful traffic, and an administrator of a computer that is attacked by the harmful traffic can prevent a circuit resource from being eroded by harmful traffic.
또한, 본 발명에 따른 분산 방화 장치 및 방법은, 개인 컴퓨터로부터 응용 서버로 전달되는 트래픽이 차단된 경우에 차단에 대한 경고 또는 안내 메시지를 개인 컴퓨터의 사용자에게 출력해 줄 수 있게 되어, 개인 컴퓨터의 사용자는 트래픽이 차단된 이유와 해결 방법 등에 관하여 자동화된 안내를 받을 수 있게 된다.In addition, the distributed fire prevention apparatus and method according to the present invention, when the traffic from the personal computer to the application server is blocked, it is possible to output a warning or guidance message about the block to the user of the personal computer, The user can receive automated guidance as to why the traffic was blocked and how to resolve it.
또한, 본 발명에 따른 분산 방화 장치 및 방법은, 현존하는 서버측 방화 장치, 클라이언트 방화 장치, 네트워크 노드의 방화 장치에게 일관된 인터페이스를 제공함으로써, 현존하는 방화 장치들을 활용하여 인터넷 광역적인 분산 방화 장치를 구축할 수 있게 된다. 따라서 기존의 방화 장치나 네트워크 구조를 크게 변경할 필요 없이 인터넷상에서 분산되어 작동되는 분산 방화 장치를 구축할 수 있게 된다.In addition, the distributed fire prevention apparatus and method according to the present invention provides a consistent interface to the existing server-side fire prevention apparatus, the client fire protection device, and the network node fire prevention device, thereby utilizing the existing fire prevention devices to provide the Internet wide area fire prevention device. You can build it. Therefore, it is possible to build a distributed fire protection device that is distributed and operated on the Internet without significantly changing the existing fire protection device or network structure.
또한, 본 발명에 따른 분산 방화 장치 및 방법은, 방화 정책 생성자로부터 생성된 방화 정책에 포함된 패킷의 출발지 주소와 패킷의 도착지 주소 간를 연결하는 네트워크 경로 상에 위치한 호스트 또는 네트워크 노드에만 방화 정책을 선별적으로 배포하기 때문에, 수많은 호스트 및 네트워크 노드가 연결된 인터넷 환경에서도 최소한의 트래픽만 사용하여 방화 정책을 배포할 수 있게 된다.In addition, the distributed fire prevention apparatus and method according to the present invention, selects a fire protection policy only to a host or a network node located on a network path that connects the packet between the source address of the packet and the destination address of the packet included in the fire policy generated from the fire policy creator. As a result, the fire protection policy can be deployed using a minimum amount of traffic even in an Internet environment in which many hosts and network nodes are connected.
이하 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 상세히 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 바람직한 실시예에 따른 분산 방화 장치의 블록도이다. 도 1을 참조하면 분산 방화 장치는 분산 방화 장치 서버(200)와 이와 접속된 적어도 하나 이상의 분산 방화 장치 클라이언트(300)로 구성되어 있다. 분산 방화 장치 서버(200)는 방화 정책 생성자(100)와 접속되어 있으며, 분산 방화 장치 클라이언트(300)는 타겟 방화 시스템(400)과 접속되어 있다.1 is a block diagram of a distributed fire protection apparatus according to a preferred embodiment of the present invention. Referring to FIG. 1, the distributed fire protection device includes a distributed fire
방화 정책 생성자(100)는 방화 정책을 분산 방화 장치 서버(200)로 입력하는 장치 혹은 사람을 나타낸다. 방화 정책 생성자(100)는 유해한 트래픽을 최초로 감지하여 해당 트래픽에 대한 방화 정책을 최초로 생성하는 소스 방화 시스템(예를 들면 응용 서버 앞단에 설치된 방화 장치)일 수도 있으며, 유해한 트래픽으로부터 공격을 받고 있는 응용 서버의 시스템 관리자일 수도 있으며, 유해한 트래픽으로부터 공격을 받고 있음을 감지한 응용 서버 자체일 수도 있으며, 본 발명에 따른 분 산 방화 장치 클라이언트일 수도 있다. 또한, 시스템 관리자가 분산 방화 장치 서버로 방화 정책을 입력하기 위한 웹 기반의 입력 장치, 명령어 라인 인터페이스 기반의 입력 장치, 그래픽 사용자 인터페이스 기반의 입력 장치 등일 수도 있다. 시스템 관리자는 응용 서버의 시스템 관리자는 물론, 응용 서버 앞단에 설치된 방화 장치의 시스템 관리자, 본 발명에 따른 분산 방화 장치의 시스템 관리자를 모두 포함할 수 있다.The
타겟 방화 장치(400)는 상기 방화 정책 생성자(100)로부터 입력된 방화 정책을 본 발명에 따른 분산 방화 장치(200, 300)를 이용하여 전달받아 방화 정책을 수행하는 방화 장치이다. 타겟 방화 장치(400)는 개인 컴퓨터에 설치되어 있는 개인 방화벽 소프트웨어, 개인 컴퓨터의 앞단에 설치된 방화벽 장비, 네트워크 중간 노드에 설치되어 있는 방화벽 장비, 응용 서버 앞단에 설치되어 있는 방화벽 장비, 응용 서버 내에 설치되어 있는 방화벽 소프트웨어 등일 수 있다. 또한 본 발명에 따른 분산 방화 장치가 체이닝(chaining) 방식으로 운용되는 경우에는 또 다른 분산 방화 장치의 분산 방화 장치 서버일 수도 있다.The target
부언하면 소스 방화 장치라는 용어는 본 발명에 따르는 분산 방화 장치로 방화 정책을 입력하는 방화 장치라는 의미이고, 타겟 방화 장치라는 용어는 본 발명에 따른 분산 방화 장치로부터 방화 정책을 수신하는 방화 장치라는 의미로 사용된다.In other words, the term source fire protection device means a fire protection device for inputting a fire protection policy into the distributed fire protection device according to the present invention, and the term target fire protection device means a fire protection device that receives a fire protection policy from the distributed fire protection device according to the present invention. Used as
분산 방화 장치 서버(200)는 방화 정책 생성자(100)로부터 방화 정책을 입력받는 방화 정책 입력 인터페이스부(220), 상기 방화 정책 입력 인터페이스부(220) 를 통해 입력받은 방화 정책을 분산 방화 장치 클라이언트(300)에게 배포하는 방화 정책 배포부(260)을 포함한다.The distributed fire
더 바람직하게는 분산 방화 장치 서버(200)는 분산 방화 장치 서버가 배포하는 방화 정책을 수신하기를 원하는 분산 방화 장치 클라이언트로부터 클라이언트 정보를 등록받는 클라이언트 등록부(240), 방화 정책 입력 인터페이스부(220)로 방화 정책을 입력하는 방화 정책 생성자(100) 또는 클라이언트 등록부(240)로 접속하여 클라이언트 정보를 등록하는 분산 방화 장치 클라이언트(300)에 대해 인증을 수행하는 인증부(210), 분산 방화 장치 클라이언트(300)가 클라이언트 등록부(240)를 통해 분산 방화 장치 서버(200)에 등록할 때 전송한 클라이언트 정보를 컴퓨터의 기억 장치에 저장하는 클라이언트 정보 저장부(250), 방화 정책 입력 인터페이스부(220)를 통해 방화 정책 생성자(100)로부터 입력된 방화 정책을 컴퓨터의 기억 장치에 저장하는 방화 정책 저장부(230)를 더 포함한다.More preferably, the distributed
분산 방화 장치 클라이언트(300)는 상기 분산 방화 장치 서버(200)의 방화 정책 배포부(260)로부터 방화 정책을 수신하는 방화 정책 수신부(310), 상기 방화 정책 수신부(310)에서 수신된 방화 정책을 타겟 방화 장치(400)로 출력하는 방화 정책 출력 인터페이스부(330)를 포함한다.The distributed fire
더 바람직하게는 분산 방화 장치 클라이언트(300)는 방화 정책 수신부(310)로부터 수신된 방화 정책에 포함된 안내 또는 경고 메시지를 사용자에게 출력하는 사용자 안내부(320)를 더 포함한다.More preferably, the distributed fire
도 4는 본 발명의 바람직한 실시예에 따른 분산 방화 장치의 구성도이다. 도 4를 참조하여 방화 정책 생성자(100), 분산 방화 장치 서버(200), 분산 방화 장치 클라이언트(300), 타겟 방화 시스템(400)의 구성 관계에 대해 설명한다.4 is a block diagram of a distributed fire prevention apparatus according to a preferred embodiment of the present invention. Referring to FIG. 4, a configuration relationship between the fire
도 4를 참조하면 시스템 관리자 또는 시스템 관리자의 입력 장치(550), 응용 서버의 앞단에 설치된 방화 장치(530), 응용 서버(540) 등은 방화 정책 생성자(100)에 해당한다. 방화 정책 생성자(100)는 방화 정책을 생성하여 분산 방화 장치 서버(200)로 방화 정책을 입력하며, 도 4를 참조하면 560이 분산 방화 장치 서버에 해당한다. 도 4의 분산 방화 장치 서버(560)는 상기 방화 정책 생성자(530, 540, 550)로부터 입력된 방화 정책을 소정의 판단 과정을 거쳐 분산 방화 장치 클라이언트로 배포한다. 도 4를 참조하면 분산 방화 장치 서버(560)로부터 방화 정책을 수신하는 510a, 510b, 520c가 분산 방화 장치 클라이언트에 해당한다. 분산 방화 장치 클라이언트(510a, 510b, 520c) 내에는 분산 방화 장치 클라이언트(300)와 분산 방화 장치 클라이언트(300)로부터 출력되는 방화 정책을 이용하여 실제로 방화 정책을 수행하는 타겟 방화 장치(400)가 구비된다.Referring to FIG. 4, the
분산 방화 장치 서버(200)는 도 4에 예시된 것과 같이 방화 정책 생성자(530, 540, 550)와 물리적으로 분리된 장비(560)로 구현될 수도 있으며, 방화 정책 생성자(530, 540, 550)와 물리적으로 통합된 하나의 장비 또는 서버 내에 구현될 수도 있으며, 네트워크로 연결된 다수의 컴퓨터 시스템을 이용한 분산 시스템으로 구현될 수도 있다. 분산 방화 장치 서버(200)가 방화 정책 생성자(100)와 물리적으로 통합된 하나의 장비 또는 서버의 형태로 구현되는 예로는, 응용 서버 내에서 실행되는 프로세스 형태로 분산 방화 장치 서버가 구현되는 경우가 될 수 있을 것이다.The distributed
도 4의 분산 방화 장치 클라이언트(510a, 510b, 520c)는 분산 방화 장치 서버(200)로부터 타겟 방화 시스템(400)에 적용할 방화 정책을 수신하여 타겟 방화 시스템(400)으로 방화 정책을 출력하여 타겟 방화 시스템(400)이 방화 정책을 수행할 수 있도록 한다. 타겟 방화 장치(400)는 종래의 개인 컴퓨터나 네트워크 장비 내에 구현되어 있는 방화 장치일 수도 있으며, 본 발명에 따른 분산 방화 장치를 실시하기 위하여 별도로 제작된 방화 장치일 수도 있다. 또한, 본 발명에 따른 분산 방화 장치가 체이닝 방식으로 운용될 때에는 또 다른 분산 방화 장치를 구성하는 분산 방화 장치 서버일 수도 있다.The distributed fire
이하 도 1을 참조하여 분산 방화 장치 서버(200)와 분산 방화 장치 클라이언트(300)를 구성하는 각 요소와 그 작용에 대하여 상세히 설명한다.Hereinafter, each element constituting the distributed fire
분산 방화 장치 서버(200)의 방화 정책 입력 인터페이스부(220)는 방화 정책 생성자(100)로부터 방화 정책을 입력받는다. 이 때 방화 정책 입력 인터페이스부(220)는 다양한 방화 정책 생성자(100)로부터 방화 정책을 입력받기 위해 일관된 인터페이스를 다양한 방화 정책 생성자(100)에게 제공하는 것이 바람직하다. 인터페이스의 형태는 TCP/IP와 같은 네트워크 통신을 이용한 형태, IPC(Inter Process Communication)를 이용한 형태, 웹 서비스를 이용한 형태, 명령어 라인 인터페이스를 이용한 형태, 그래픽 사용자 인터페이스를 이용한 형태 등 어떠한 형태도 모두 가능하며, 인터페이스를 통해 입력되는 방화 정책을 담은 메시지는 텍스트 기반, 바이너리 기반, XML 기반 등 어떠한 형태도 모두 가능하다.The fire protection
방화 정책 생성자(100)로부터 분산 방화 장치 서버(200)로 입력되는 방화 정책은 패킷의 출발지 정보, 패킷의 도착지 정보, 패킷에 적용할 규칙을 포함하고 더 바람직하게는 전송 계층 프로토콜(TCP, UDP 등), 안내 메시지를 더 포함할 수 있다. 패킷의 출발지 정보는 패킷의 출발지 주소를 포함하고 바람직하게는 패킷의 출발지 포트 번호를 더 포함한다. 패킷의 도착지 정보는 패킷의 도착지 주소를 포함하고 바람직하게는 패킷의 도착지 포트 번호를 더 포함한다. 이 때 패킷의 출발지 또는 도착지 주소는 IP 주소, 도메인 네임 주소, FQDN(Fully Qualified Domain Name) 등의 형태를 가질 수 있으며, 특정 호스트 또는 네트워크 노드를 나타내는 주소이거나 특정 네트워크 대역을 포함하는 주소일 수 있다. 예를 들어 192.168.0.0/24의 형태로 192.168.0.1부터 192.168.0.255를 포함하는 네트워크 대역을 나타낼 수도 있으며, *.example.com의 형태로 example.com을 부모 도메인 네임으로 가지는 모든 서브 도메인 네임 주소의 호스트 또는 네트워크 노드를 포함할 수도 있다.The fire protection policy input from the fire
분산 방화 장치 서버(200)의 방화 정책 배포부(260)는 방화 정책 입력 인터페이스부(220)를 통해 입력된 방화 정책을 분산 방화 장치 클라이언트(300)로 배포한다. 이 때 분산 방화 장치 서버(200)에게 알려진 모든 분산 방화 장치 클라이언트(300)로 방화 정책을 배포할 수도 있으나, 좀 더 바람직하게는 방화 정책에 포함된 패킷의 출발지 주소와 도착지 주소를 연결하는 네트워크 경로 상에 위치한 분산 방화 장치 클라이언트에게만 방화 정책을 배포한다.The fire protection
분산 방화 장치 클라이언트(300)의 방화 정책 수신부(310)는 상기 방화 정책 배포부(260)로부터 배포되는 방화 정책을 수신한다. 방화 정책 배포부(260)와 방화 정책 수신부(310)가 접속되는 방법은 TCP/IP 통신, IPC 통신 등의 디지털 데이터 통신에 적합한 수단이면 모두 가능하다. 또한, 방화 정책 배포부(260)로부터 방화 정책 수신부(310)로 전송되는 방화 정책을 포함한 메시지는 텍스트 기반, 바이너리 기반, XML 기반 등 어떠한 형태도 모두 가능하다. 데이터를 프로세스간 또는 네트워크 노드간 전송하는 다양한 실시예는 당업자에게 널리 알려져 있는 주지관용 기술이므로 더 상세한 설명은 생략한다.The fire protection
분산 방화 장치 클라이언트(300)의 방화 정책 출력 인터페이스부(330)는 상기 방화 정책 수신부(310)에서 수신한 방화 정책을 타겟 방화 장치(400)으로 출력한다. 이 때 방화 정책 출력 인터페이스부(330)는 다양한 타겟 방화 장치(400)에게 일관된 인터페이스를 제공하는 것이 바람직하다. 방화 정책을 타겟 방화 시스템(400)으로 출력하는 방식은, TCP/IP 통신, IPC 통신, 공유된 자료구조를 이용한 통신, 소정의 변수를 이용한 방식, 소정의 함수(function) 또는 프로시져(procedure)를 호출하는 방식, 소정의 명령(instruction)을 실행하는 형태 등 어떠한 형태도 모두 가능하다.The fire protection policy
분산 방화 장치 서버(300)는 바람직하게는 방화 정책 저장부(230)를 더 포함한다. 방화 정책 저장부(230)는 방화 정책 입력 인터페이스부(220)를 통해 입력된 방화 정책을 컴퓨터의 기억 장치에 저장하는 역할을 한다.The distributed fire
방화 정책 저장부(230)를 구비하는 이유는 방화 정책 입력 인터페이스부(220)를 통해 방화 정책을 입력받았을 때에, 그 방화 정책에 포함된 패킷의 출발지 주소와 패킷의 도착지 주소를 연결하는 네트워크 경로상에 위치하는 모든 분산 방화 장치 클라이언트(300)가 여러가지 이유로 인해 분산 방화 장치 서버(200)와 연결되어 있는 상태가 아닌 오프라인 상태에 있을 수도 있기 때문이다. 분산 방화 장치 클라이언트(300)가 오프라인 상태에 있는 이유는 일시적으로 분산 방화 장치 클라이언트(300)가 포함된 시스템이 재부팅 중일 수도 있으며, 네트워크 관련 장애 때문일 수도 있으며, 분산 방화 장치 클라이언트(300)가 포함된 시스템이 꺼져 있기 때문일 수도 있다. 따라서 이런 경우에는 방화 정책과 연관된 네트워크 경로상에 위치하는 분산 방화 장치 클라이언트(300)가 나중에 분산 방화 장치 서버(200)로 연결되어 방화 정책을 수신할 준비가 될 때까지 방화 정책을 보관하고 있을 필요가 있으며, 이 때 방화 정책 저장부(230)가 그 역할을 한다.The reason why the fire prevention
방화 정책 저장부(230)를 구현하는 컴퓨터의 기억 장치는 컴퓨터의 주 기억 장치, 컴퓨터의 보조 기억 장치, 관계형 데이터베이스 관리 시스템, 분산 시스템을 이용한 저장 시스템 등 어떠한 형태도 모두 가능하며, 이러한 다양한 형태의 실시예는 당업자에게 널리 알려진 주지관용 기술이므로 더 상세한 설명은 생략한다.The storage device of the computer implementing the arson
도 6은 본 발명의 바람직한 실시예에 따른 방화 정책 저장부(230)가 저장하는 방화 정책 데이터베이스의 예시도이다. 도 6을 참조하면 방화 정책 데이터베이스는 패킷의 출발지 정보(703), 패킷의 도착지 정보(704), 조건이 일치하는 트래픽에 적용할 규칙 정보(705)를 포함하고, 더 바람직하게는 전송 계층 프로토콜 정보(702), 사용자에게 출력될 안내 메시지(706), 방화 정책을 생성한 방화 정책 생성자(100)를 고유하게 식별할 수 있는 방화 정책 생성자 식별자(701)를 더 포함한다. 패킷의 출발지 정보(703)와 패킷의 도착지 정보(704)는 주소 정보를 포함하고 바람직하게는 포트 정보를 더 포함한다.6 is an exemplary view of a fire policy database stored by the fire
방화 정책 생성자 식별자(701)는 방화 정책을 분산 방화 장치 서버(200)로 입력한 방화 정책 생성자(100)를 고유하게 식별할 수 있는 정보이다. 방화 정책 생성자 식별자(701)는 각 방화 정책을 입력한 방화 정책 생성자(100)를 식별하기 위한 관리의 목적으로 존재한다. 방화 정책 생성자 식별자(701)로는 방화 정책 생성자(100)의 주소, 방화 정책 생성자(100)와 연결된 소켓 디스크립터(socket descriptor) 번호, 사전에 방화 정책 생성자(100)에게 할당된 ID 등이 사용될 수 있다.The arson
전송 계층 프로토콜 정보(702)는 방화 정책을 적용할 트래픽의 조건 중 전송 계층 프로토콜의 종류를 나타낸다. 널리 사용되는 전송 계층 프로토콜에는 TCP와 UDP가 있으나, 그 이외의 프로토콜일 수도 있다.The transport
패킷의 출발지 정보(703)는 방화 정책을 적용할 트래픽의 조건 중 패킷의 출발지에 대한 정보를 나타낸다. 패킷의 출발지에 대한 정보는 패킷의 출발지 주소와 패킷의 출발지 포트 번호를 포함할 수 있다. 패킷의 출발지 주소는 IP 주소, 도메인 네임 주소, FQDN(Fully Qualified Domain Name) 등 어떠한 형태도 모두 가능하다. IP 주소의 경우 특정 네트워크 주소를 모두 포함할 수도 있을 것이며, 도메인 네임의 경우 특정 서브 도메인을 모두 포함할 수도 있을 것이다. 패킷의 출발지 포트 번호는 패킷의 조건을 특정 포트 번호로 제한할 수도 있을 것이며, 모든 포트 번호를 포함할 수도 있을 것이다. 이러한 형태로 방화 장치에서 패킷의 조건을 설정하는 것은 널리 실시되고 있는 주지관용 기술이므로 더 상세한 설명은 생략한다.The source information 703 of the packet indicates information on the source of the packet among the conditions of the traffic to which the arson policy is to be applied. Information about the source of the packet may include a source address of the packet and a source port number of the packet. The source address of the packet can be in any form, such as an IP address, a domain name address, or a fully qualified domain name (FQDN). In the case of an IP address, it may contain all of a specific network address, and in the case of a domain name, it may include all of a specific subdomain. The source port number of a packet may restrict the condition of the packet to a particular port number and may include all port numbers. Since the setting of the condition of the packet in the fire prevention apparatus in this form is a technique widely known for the public administration, a detailed description thereof will be omitted.
패킷의 도착지 정보(704)는 방화 정책을 적용할 조건 중 패킷의 도착지에 대한 정보를 나타낸다. 패킷의 도착지에 대한 정보는 패킷의 도착지 주소와 패킷의 도착지 포트 번호를 포함할 수 있으며, 그 상세한 내용은 상기 패킷의 출발지 정보(703)와 유사하므로 더 상세한 설명은 생략한다.The destination information 704 of the packet indicates information on the destination of the packet among the conditions to which the arson policy is applied. The information on the destination of the packet may include the destination address of the packet and the destination port number of the packet, and details thereof are similar to the source information 703 of the packet, and thus a detailed description thereof will be omitted.
규칙 정보(705)는 패킷이 조건에 맞을 때 적용할 규칙을 나타낸다. 규칙은 차단과 허용이 있을 수 있으며 그 외에 트래픽량을 소정의 수치 이하로 제한(예를 들면 500KB/s)하는 등의 형태도 가능하다.The rule information 705 represents a rule to apply when the packet meets the condition. Rules can be blocked and allowed, and other forms of traffic can be limited below a predetermined number (eg 500 KB / s).
안내 메시지(706)는 트래픽의 차단 혹은 제한이 적용될 때 사용자에게 이에 대한 안내 또는 경고등을 출력해주기 위한 메시지이다. 종래의 기술에서는 응용 서버로의 DDOS 공격과 같은 유해한 트래픽이 감지되면 DDOS 공격 트래픽 전체를 모두 거부(REJECT) 또는 폐기(DROP)해 버리기 때문에 DDOS 공격 트래픽을 발생하고 있는 컴퓨터의 사용자는 응용 서버로 접속을 할 수 없게 되고, 왜 차단이 발생되었는지, 어떻게 공격을 중지시킬 수 있는지, 차단 해제를 요청하려면 어디로 연락해야 하는지 등에 대한 정보를 제공받을 수 없었다. 따라서 이러한 경우 종래의 기술에서는 전화 연락과 같은 재래적 수단을 이용하여 트래픽이 차단된 컴퓨터의 사용자에게 연락하여 안내를 하였다. 안내 메시지(706)는 그러한 종래 기술의 문제점을 해결하기 위한 것으로, 트래픽을 방화 장치에서 차단 또는 제한하는 경우에 그에 대한 안내 또는 경고 메시지를 분산 방화 장치 클라이언트(300)를 이용하여 컴퓨터의 사용 자에게 출력해주기 위한 것이다.The guide message 706 is a message for outputting a guide or warning light to the user when the blocking or restriction of traffic is applied. In the related art, when harmful traffic such as a DDOS attack to an application server is detected, all the DDOS attack traffic is rejected or dropped (DROP). Therefore, the user of the computer generating the DDOS attack traffic accesses the application server. They couldn't be provided with information about why the blocking occurred, how to stop the attack, and where to contact to request an unblocking. Therefore, in this case, the prior art has contacted and guided the user of a computer whose traffic was blocked by using conventional means such as telephone contact. The guidance message 706 is to solve the problems of the prior art, and when the traffic is blocked or restricted in the fire protection device, the guidance message or warning message is sent to the user of the computer using the distributed fire
분산 방화 장치 서버(200)는 바람직하게는 클라이언트 등록부(240)와 클라이언트 정보 저장부(250)를 더 포함한다. 클라이언트 등록부(240)는 분산 방화 장치 서버(200)의 방화 정책 배포부(260)로부터 방화 정책을 수신하기를 원하는 분산 방화 장치 클라이언트(300)의 방화 정책 수신부(310)로부터 클라이언트 정보를 수신하고, 클라이언트 정보 저장부(250)는 클라이언트 등록부(240)에서 수신된 클라이언트 정보를 저장한다. 즉, 방화 정책 수신부(310)는 방화 정책 배포부(260)로부터 방화 정책을 수신하기 전에 클라이언트 등록부(240)로 접속하여 분산 방화 장치 클라이언트(300)에 대한 정보를 분산 방화 장치 서버(200)에 등록한다.The distributed
클라이언트 등록부(240) 및 클라이언트 정보 저장부(250)의 효과 및 작용에 대해 도 4를 참조하여 예를 들어 설명한다.Effects and operations of the
먼저 클라이언트 등록부(240) 및 클라이언트 정보 저장부(250)가 없어도 본 발명에 따른 분산 방화 장치의 작동에 큰 무리가 없는 경우를 예를 들면, 응용 서버(540)의 주소가 192.168.0.100이고 개인 컴퓨터 510a의 주소가 192.168.0.2라고 가정한다. 이 때, 개인 컴퓨터 510a가 응용 서버(540)로 DDOS 공격을 시도하면, 응용 서버(540)는 개인 컴퓨터 510a로부터 DDOS 공격 트래픽이 발생되는 것을 탐지하고 서버측 방화 장치(530)를 이용하여 192.168.0.2로부터 192.168.0.100으로 전송되는 트래픽을 차단함과 동시에 본 발명에 따른 분산 방화 장치 서버(560)로 192.168.0.2로부터 192.168.0.100으로 전송되는 트래픽을 차단하라는 방화 정책을 입력한다. 그러면 분산 방화 장치 서버(560)는 192.168.0.2의 주소를 가진 개인 컴 퓨터 510a 내에 구비된 분산 방화 장치 클라이언트로 방화 정책을 배포하고 개인 컴퓨터 510a 내의 분산 방화 장치 클라이언트는 수신된 방화 정책을 개인 컴퓨터 510a 내에 구비된 타겟 방화 장치로 출력하여 방화 정책을 수행할 수 있도록 한다. 그러면 DDOS 공격 트래픽은 개인 컴퓨터 510a 내에서 차단이 되기 때문에, 유해한 트래픽이 공중 인터넷으로 유입되기 전에 차단시킬 수가 있으며, 공중 인터넷이 유해한 트래픽으로 혼잡 상태를 겪는 것은 방지할 수 있다.First, in the case where there is no great difficulty in the operation of the distributed fire protection apparatus according to the present invention even without the
상기한 예의 경우에는 분산 방화 장치 서버(200)에 클라이언트 등록부(240) 및 클라이언트 정보 저장부(250)가 별도로 구비되지 않았음에도 본 발명에 따른 분산 방화 장치가 무리없이 작동한다. 그러나 이것은 상기의 예에서 192.168.0.2의 주소를 가진 개인 컴퓨터 510a 내에 분산 방화 장치 클라이언트 및 타겟 방화 장치가 구비되어 있었기 때문이다.In the case of the above example, the distributed fire protection device according to the present invention operates without difficulty even though the
다시 도4를 참조하여 클라이언트 등록부(240) 및 클라이언트 정보 저장부(250)가 반드시 필요한 경우의 예를 들면, 응용 서버(540)의 주소가 192.168.0.100이고 개인 컴퓨터 510c의 주소가 192.168.0.4라고 가정한다. 그리고 개인 컴퓨터 510c는 본 발명에 따른 분산 방화 장치 클라이언트 및 타겟 방화 장치가 구비되어 있지 않으며, 개인 컴퓨터 510c의 앞단에 설치된 라우터겸 방화벽 장비 520c에 본 발명에 따른 분산 방화 장치 클라이언트 및 타겟 방화 장치가 구비되어 있다고 가정한다. 이 때, 개인 컴퓨터 510c가 응용 서버(540)로 DDOS 공격을 위한 유해한 트래픽을 전송하면, 응용 서버(540)는 개인 컴퓨터 510c로부터 DDOS 공격 트래픽이 발생되는 것을 탐지하고 서버측 방화 장치(530)를 이용하여 192.168.0.4로부터 192.168.0.100으로 전송되는 트래픽을 차단함과 동시에 본 발명에 따른 분산 방화 장치 서버(560)로 192.168.0.4로부터 192.168.0.100으로 전송되는 트래픽을 차단하라는 방화 정책을 입력한다. 그러면 분산 방화 장치 서버(560)는 192.168.0.4의 개인 컴퓨터 510c 내의 분산 방화 장치 클라이언트로 방화 정책을 배포하려고 시도하지만, 개인 컴퓨터 510c는 분산 방화 장치 클라이언트를 구비하고 있지 않기 때문에, 개인 컴퓨터 510c로는 방화 정책을 배포할 수 없다. 그러나 이 경우 개인 컴퓨터 앞단에 설치되어 있는 라우터겸 방화벽 520c로 방화 정책을 배포한다면 유해한 트래픽이 공중 인터넷으로 유입되는 초기 단계에서 유해한 트래픽을 차단할 수 있을 것이다.Referring again to FIG. 4, for example, when the
이 때, 라우터겸 방화벽 520c 내에 구비된 본 발명에 따르는 분산 방화 장치 클라이언트(300)의 방화 정책 수신부(310)는 사전에 분산 방화 장치 서버(200)의 클라이언트 등록부(240)로 접속하여 라우터겸 방화벽 520c가 개인 컴퓨터 510c의 트래픽을 제어할 수 있는 위치에 있음을 분산 방화 장치 서버(200)로 등록하고, 클라이언트 등록부(240)는 상기 클라이언트 정보를 클라이언트 정보 저장부(250)에 저장한다. 그러면 도 4의 분산 방화 장치 서버(560)는 개인 컴퓨터 510c로부터 발생되는 트래픽을 차단하는 방화 정책을 라우터겸 방화벽인 520c로 배포하여 개인 컴퓨터 510c로부터 유입되는 유해한 트래픽을 차단할 수 있게 된다.At this time, the fire protection
만약 본 발명에 따르는 분산 방화 장치가 작은 규모의 인터네트워크(inter network)에서 실시된다면 인터네트워크 내의 분산 방화 장치 클라이언트 및 타겟 방화 장치를 구비한 모든 호스트 및 네트워크 노드로 방화 정책을 배포할 수도 있 을 것이다. 그러나 수많은 호스트와 네트워크 노드가 연결되어 있는 인터넷(Internet) 전역적인 환경에서는 방화 정책을 모든 호스트 및 네트워크 노드로 배포한다면 방화 정책의 배포에 상당한 트래픽이 사용될 수 있으므로, 클라이언트 등록부(240)를 이용하여 각 분산 방화 장치 클라이언트(300)가 담당하는 트래픽 소스의 주소를 사전에 등록받아, 방화 정책에 포함된 패킷의 출발지 주소와 패킷의 도착지 주소를 연결하는 네트워크 경로 상에 위치하는 호스트 및 네트워크 노드로만 방화 정책을 선별적으로 배포하는 것이 바람직하다.If the distributed fire protection device according to the present invention is implemented in a small scale internetwork, it may be possible to distribute the fire protection policy to all hosts and network nodes having the distributed fire protection client and the target fire protection device in the internetwork. . However, in an Internet-wide environment in which many hosts and network nodes are connected, if the arson policy is distributed to all hosts and network nodes, a considerable amount of traffic may be used for the distribution of the arson policy. Only the host and network nodes located on the network path connecting the source address of the packet included in the fire prevention policy and the destination address of the packet included in the address of the traffic source in charge of the distributed fire
본 발명의 바람직한 실시예에 따른 클라이언트 정보 저장부에 저장되는 클라이언트 정보 데이터베이스의 예시도를 나타내는 도5를 참조하면, 클라이언트 정보는 클라이언트 식별자(601)와 적어도 하나 이상의 트래픽 소스 주소(602)를 포함한다.Referring to FIG. 5, which shows an exemplary diagram of a client information database stored in a client information store in accordance with a preferred embodiment of the present invention, the client information includes a client identifier 601 and at least one traffic source address 602. .
클라이언트 식별자(601)는 분산 방화 장치 클라이언트(300)를 고유하게 식별할 수 있는 식별자로, 분산 방화 장치 클라이언트(300)가 구비된 호스트 또는 네트워크 노드의 IP 주소, 도메인 네임 주소, 소켓 디스크립터 번호 등 어떠한 것이라도 가능하다. 클라이언트 식별자(601)는 분산 방화 장치 클라이언트(300)가 명시적으로 전송할 수도 있고, 묵시적으로 전송할 수도 있다. 명시적으로 클라이언트 식별자(601)를 전송하는 경우의 예는 분산 방화 장치 클라이언트(300)가 직접 자신의 식별자를 소정의 응용 프로토콜을 이용하여 전송하는 경우이며, 묵시적으로 클라이언트 식별자(601)를 전송하는 경우의 예는 클라이언트 등록부(240)가 분산 방화 장치 클라이언트(300)의 방화 정책 수신부(310)와 성립된 통신 채널로부터 관련 정보 를 추출하는 경우이다. 예를 들면 클라이언트 등록부(240)와 방화 정책 수신부(310)가 TCP/IP 소켓으로 연결되었다면 클라이언트 등록부(240)는 상기 소켓 연결로부터 분산 방화 장치 클라이언트의 IP 주소를 추출할 수 있게 된다.The client identifier 601 is an identifier for uniquely identifying the distributed
트래픽 소스 주소(602)는 분산 방화 장치 클라이언트(300)와 접속된 타겟 방화 장치(400)가 관리하는 트래픽 소스의 주소를 나타낸다. 트래픽 소스란 트래픽을 발생시키는 호스트나 네트워크 노드를 말한다. 트래픽 소스 주소(602)란 타겟 방화 장치(400)가 보호하는 트래픽 소스의 주소를 의미하며, 상기의 예에서 라우터겸 방화벽 520c은 개인 컴퓨터 510c를 내부 네트워크의 호스트로 가지므로, 라우터겸 방화벽 520c이 관리하는 트래픽 소스 주소는 192.168.0.4라고 할 수 있다. 분산 방화 장치 클라이언트(300)가 트래픽 소스와 물리적으로 동일한 컴퓨터 내에 구비되는 경우에는 트래픽 소스 주소가 해당 컴퓨터의 주소이므로 트래픽 소스 주소(602)는 1개이지만, 분산 방화 장치 클라이언트(300)가 트래픽 소스와 물리적으로 분리된 네트워크 장비(예를 들면 라우터)인 경우에는 분산 방화 장치 클라이언트(300)의 트래픽 소스 주소(602)가 하나 이상일 수도 있다. 왜냐하면 라우터, 스위치, 독립된 방화벽 장비 등은 하나 이상의 호스트와 연결되어 하나 이상의 호스트를 대상으로 방화 기능을 수행할 수 있기 때문이다.The traffic source address 602 represents the address of the traffic source managed by the target
따라서 상기의 예에서 라우터겸 방화벽 520c 내에 구비된 분산 방화 장치 클라이언트(300)의 방화 정책 수신부(310)는 분산 방화 장치 서버(200)의 클라이언트 등록부(240)로 접속하여 클라이언트 식별자와 함께 트래픽 소스의 주소인 192.168.0.4를 전송한다. 그리고, 이 때 방화 정책 입력 인터페이스부(220)로 패킷 의 출발지 주소가 192.168.0.4인 방화 정책이 입력되면 방화 정책 배포부(260)는 트래픽 소스 주소가 192.168.0.4로 등록되어 있는 분산 방화 장치 클라이언트를 검색하여 검색된 분산 방화 장치 클라이언트로 방화 정책을 배포하게 된다. 그러면 비록 라우터겸 방화벽(520c)는 192.168.0.4의 주소를 가지고 있는 호스트는 아니지만, 192.168.0.4의 호스트를 관리하는 분산 방화 장치 클라이언트임을 분산 방화 장치 서버로 등록하였기 때문에, 192.168.0.4의 주소에서 출발하는 패킷을 차단하라는 방화 정책을 수신하고, 수신한 방화 정책을 라우터겸 방화벽 520c 내에서 수행할 수 있게 된다.Therefore, in the above example, the fire protection
클라이언트 정보 저장부(250)는 상기 클라이언트 등록부(240)에서 수신한 클라이언트 정보를 저장하고, 방화 정책 배포부(260)가 방화 정책을 배포하기 전에 어느 분산 방화 장치 클라이언트(300)로 방화 정책을 배포해야 할지 결정하는 판단 자료로 사용된다. 만약 클라이언트 등록부(240)만 구비하고 클라이언트 정보 저장부(250)를 구비하지 않는 경우에는 분산 방화 장치 클라이언트(300)의 방화 정책 수신부(310)가 주기적인 시간 간격으로 계속 클라이언트 정보를 클라이언트 등록부(240)로 전송하여 자신이 수신할 방화 정책이 있는지를 조사하여야 할 것이다. 이러한 방식을 폴링(polling)이라고 하는데, 소규모 네트워크 환경에서만 적용 가능한 방식이며, 인터넷을 대상으로 하는 대규모 장치에서는 실제적으로 적용하기 어려운 비효율적인 방식이다. 따라서 이러한 비효율적인 운용을 피하기 위해서는 클라이언트 등록부(240)를 구비할 때에는 반드시 클라이언트 정보 저장부(250)를 함께 구비하는 것이 바람직하다.The client
분산 방화 장치 서버(200)는 방화 정책 입력 인터페이스부(220)로 접속하는 방화 정책 생성자(100) 또는 클라이언트 등록부(240)로 접속하는 분산 방화 장치 클라이언트(300)에 대한 인증을 수행하기 위한 인증부(210)를 더 포함하는 것이 바람직하다. 특히 방화 정책을 분산 방화 장치 서버(200)로 입력하는 방화 정책 생성자(100)의 경우에는 소정의 인증 절차를 거쳐 인증이 통과된 경우에만 방화 정책 입력 인터페이스부(220)를 통해 방화 정책을 입력받는 것이 바람직하다. 그렇지 않으면 악의적인 의도를 가진 해커가 잘못된 방화 정책을 입력하여 네트워크 방화 체계를 교란시킬 수도 있기 때문이다. 이와 마찬가지로 분산 방화 장치 클라이언트(300)가 방화 정책을 수신하려고 할 때에도 적법한 분산 방화 장치 클라이언트(300)가 맞는지 인증 절차를 거치는 것이 보안 측면에서 더욱 바람직하다.The distributed fire
인증부(210)가 방화 정책 생성자(100) 또는 분산 방화 장치 클라이언트(300)를 인증하는 방법은 대칭키 또는 공개키를 이용하는 방법, ID와 암호 쌍을 이용하는 방법, 방화 정책 생성자(100) 또는 분산 방화 장치 클라이언트(300)의 네트워크 주소를 이용하는 방법 등 어떠한 방법도 모두 가능하며, 이러한 다양한 실시예는 당업자에게 널리 알려져 있으므로 더 상세한 설명은 생략한다.The
분산 방화 장치 클라이언트(300)는 방화 정책 수신부(310)로부터 수신된 방화 정책에 포함된 안내 메시지를 사용자에게 출력해주는 사용자 안내부(320)를 더 포함하는 것이 바람직하다. 종래의 기술에서는 서버측 방화 장치에 의해 개인 컴퓨터가 전송하는 트래픽이 거부(REJECT) 또는 폐기(DROP)되는 경우 개인 컴퓨터의 사용자는 아무런 이유 또는 안내도 통보받지 못한 채 서버로 접속을 할 수 없었다. 따라서 종래에는 개인 컴퓨터의 사용자와 응용 서버의 관리자가 전화 연락과 같은 재래식 수단을 이용하여 트래픽 차단의 이유 등을 설명하곤 하였다. 사용자 안내부(320)는 이와 같이 응용 서버측에서 개인 컴퓨터가 전송하는 트래픽을 거부(REJECT) 또는 폐기(DROP)하는 경우에도 이와 관련된 안내 메시지를 개인 컴퓨터의 사용자에게 출력해주는 기능을 하며, 이로 인해 개인 컴퓨터의 사용자는 트래픽이 차단된 이유나, 해결 방법 등에 대해 즉시 안내를 받을 수 있게 된다.The distributed fire
사용자 안내부(320)가 구현되는 방법은 사용자 컴퓨터의 화면상에 메시지가 출력된 윈도우를 이용하는 방법, 팝업창을 이용하는 방법, 사용자가 응용 서버의 웹 페이지를 접속하려고 할 때 안내 메시지를 HTML 페이지 형태로 웹브라우저 내에서 출력해주는 방법 등 어떠한 형태도 모두 가능하다. 이러한 다양한 실시예는 당업자에게 널리 알려져 있으므로 그 상세한 설명은 생략한다.The
본 발명에 따르는 분산 방화 장치의 운용 방식은 여러 가지 형태가 가능하다.The operation method of the distributed fire protection apparatus according to the present invention can take various forms.
먼저 도 4에 예시된 것처럼 분산 방화 장치 서버(560)에 적어도 하나 이상의 방화 정책 생성자(530, 540, 550)와 적어도 하나 이상의 분산 방화 장치 클라이언트(510a, 510b, 520c)가 접속될 수 있다. 이러한 형태의 운용 방식은 관리가 용이하고, 네트워크 연결의 복잡도가 낮다는 점에서 장점이 있다.First, as illustrated in FIG. 4, at least one fire
또 다른 운용 형태로는 본 발명에 따르는 복수개의 분산 방화 장치가 체이닝(chaining) 방식으로 연결될 수도 있다. 이러한 운용 형태에서는 방화 정책 생성자(100)가 제 1 분산 방화 장치 서버(200)의 방화 정책 입력 인터페이스부(220)로 접속되고, 제 1 분산 방화 장치 서버(200)의 방화 정책 배포부(260)는 제 1 분산 방화 장치 클라이언트(300)의 방화 정책 수신부(310)로 접속되고, 제 1 분산 방화 장치 클라이언트(300)의 방화 정책 출력부(330)는 제 2 분산 방화 장치 서버(200)의 방화 정책 입력 인터페이스부(220)로 접속되어 방화 정책을 입력할 수 있다. 이 때 제 1 분산 방화 장치 클라이언트(300)와 접속된 타겟 방화 장치(400)는 제 2 분산 방화 장치의 분산 방화 장치 서버(200)가 되는 것이며, 제 2 분산 방화 장치의 분산 방화 장치 서버(200)와 접속된 방화 정책 생성자(100)는 제 1 분산 방화 장치의 분산 방화 장치 클라이언트(300)가 되는 것이다. 이러한 식으로 본 발명에 따르는 복수개의 분산 방화 장치가 체이닝 방식으로 연결될 수가 있다. 이러한 형태의 운용 방식은 본 발명에 따르는 분산 방화 장치를 중앙집중적으로 운용하지 않고 지역적으로 분산시키기 때문에 하나의 분산 방화 장치로 부하가 집중되는 현상을 완화할 수 있는 장점이 있다.In another mode of operation, a plurality of distributed fire protection devices according to the present invention may be connected in a chaining manner. In this operation mode, the fire
이하, 도 2를 참조하여 본 발명의 바람직한 실시예에 따른 분산 방화 방법에 대하여 설명한다. 설명에 있어, 상기한 설명과 중복되는 부분은 생략한다.Hereinafter, a dispersion fire prevention method according to a preferred embodiment of the present invention will be described with reference to FIG. 2. In the description, portions overlapping with the above description are omitted.
도 2는 본 발명의 바람직한 실시예에 따른 분산 방화 방법의 흐름도이다. 도 2를 참조하면 분산 방화 방법은 분산 방화 장치 서버가 방화 정책 생성자로부터 방화 정책을 입력받는 방화 정책 입력 단계(S105), 상기 방화 정책 입력 단계에서 입력받은 방화 정책을 분산 방화 장치 서버가 분산 방화 장치 클라이언트에게 배포하는 방화 정책 배포 단계(S107), 분산 방화 장치 클라이언트가 상기 방화 정책 배포 단계에서 배포된 방화 정책을 수신하는 방화 정책 수신 단계(S108), 분산 방화 장 치 클라이언트가 상기 방화 정책 수신 단계에서 수신한 방화 정책을 타겟 방화 장치로 출력하는 방화 정책 출력 단계(S110)를 포함한다.2 is a flowchart of a distributed fire prevention method according to a preferred embodiment of the present invention. Referring to FIG. 2, in the distributed fire protection method, a fire protection policy input step (S105) in which a distributed fire protection device server receives a fire protection policy from a fire protection policy generator, and the fire protection policy distributed in the fire protection policy server in the fire protection policy server Fire protection policy distribution step for distributing to the client (S107), Fire prevention policy receiving step (S108), the distributed fire protection device client receives the fire protection policy distributed in the fire protection policy distribution step, Distributed fire protection device client in the fire protection policy receiving step And a fire protection policy output step S110 of outputting the received fire protection policy to the target fire protection device.
더 바람직하게는 상기 분산 방화 방법은, 분산 방화 장치 서버가 배포하는 방화 정책을 수신하기를 원하는 분산 방화 장치 클라이언트로부터 클라이언트 정보를 등록받는 클라이언트 등록 단계(S102), 상기 클라이언트 등록 단계(S102)에서 분산 방화 장치 클라이언트로부터 클라이언트 정보를 등록받기 전에 분산 방화 장치 클라이언트에 대해 인증을 수행하는 클라이언트 인증 단계(S101), 상기 클라이언트 등록 단계(S102)에서 분산 방화 장치 클라이언트가 분산 방화 장치 서버로 전송한 클라이언트 정보를 컴퓨터의 기억 장치에 저장하는 클라이언트 정보 저장 단계(S103), 상기 방화 정책 입력 단계(S105)에서 방화 정책 생성자로부터 방화 정책을 입력받기 전에 방화 정책 생성자에 대해 인증을 수행하는 방화 정책 생성자 인증 단계(S104), 상기 방화 정책 입력 단계(S105)에서 방화 정책 생성자로부터 입력된 방화 정책을 컴퓨터의 기억 장치에 저장하는 방화 정책 저장 단계(S106), 상기 방화 정책 수신 단계(S108)에서 수신된 방화 정책에 포함된 안내 메시지를 사용자에게 출력하는 사용자 안내 단계(S109)를 더 포함한다.More preferably, the distributed fire prevention method, in the client registration step (S102), the client registration step (S102) to receive the client information from the distributed fire protection device client that wants to receive the fire protection policy distributed by the distributed fire prevention device server Before the client information is registered from the fire protection client, the client authentication step of performing authentication on the distributed fire protection device client (S101), and the client information transmitted from the distributed fire protection device client to the distributed fire protection server in the client registration step (S102). Client information storage step (S103) for storing in the storage device of the computer, the fire policy generator authentication step (S104) to perform authentication for the fire policy creator before receiving the fire policy from the fire policy producer in the fire policy input step (S105). ), The above fire prevention policy Fire protection policy storage step (S106) of storing the fire protection policy inputted from the fire protection policy creator in the storage device (S105) in the storage device of the computer, the user guide message contained in the fire protection policy received in the fire protection policy receiving step (S108). It further includes a user guide step (S109) to output.
클라이언트 인증 단계(S101)에서는 분산 방화 장치 클라이언트(300)의 방화 정책 수신부(310)가 분산 방화 장치 서버(200)의 클라이언트 등록부(240)로 접속하여 소정의 인증 과정을 거친다.In the client authentication step (S101), the fire
클라이언트 등록 단계(S102)에서는 상기 클라이언트 인증 과정(S101)을 통과한 분산 방화 장치 클라이언트(300)가 분산 방화 장치 클라이언트(300)와 접속된 타겟 방화 시스템(400)이 관리하는 트래픽 소스의 주소 정보와 분산 방화 장치 클라이언트(300)를 고유하게 식별할 수 있는 클라이언트 식별자를 포함하는 클라이언트 정보를 클라이언트 등록부(240)에 전송하여 분산 방화 장치 클라이언트(300)를 분산 방화 장치 서버(200)에 등록한다.In the client registration step (S102), the distributed fire
클라이언트 정보 저장 단계(S103)에서는 클라이언트 등록부(240)가 상기 클라이언트 등록 단계(S102)에서 수신한 클라이언트 정보를 클라이언트 정보 저장부(250)에 저장한다.In the client information storing step (S103), the
방화 정책 생성자 인증 단계(S104)에서는 새로운 방화 정책을 분산 방화 장치 서버(200)로 입력하고자 하는 방화 정책 생성자(100)가 방화 정책 입력 인터페이스부(220)로 접속하여 소정의 인증 과정을 거친다.In the arson policy generator authentication step (S104), the
방화 정책 입력 단계(S105)에서는 상기 방화 정책 생성자 인증 단계(S104)를 통과한 방화 정책 생성자(100)로부터 방화 정책을 입력받는다.In the arson policy input step (S105), the arson policy is received from the
방화 정책 저장 단계(S106)에서는 상기 방화 정책 입력 단계(S105)에서 입력받은 방화 정책을 방화 정책 저장부(230)에 저장한다.In the arson policy storage step (S106), the arson policy received in the arson policy input step (S105) is stored in the arson
방화 정책 배포 단계(S107)에서는 상기 방화 정책 입력 단계(S105)에서 입력된 방화 정책을 분산 방화 장치 클라이언트(300)에게 배포한다. 방화 정책을 배포할 방화 장치 클라이언트(300)는 방화 정책에 포함된 패킷의 출발지 주소와 패킷의 도착지 주소를 연결하는 네트워크 경로상에 위치한 호스트 또는 네트워크 노드인 것이 바람직하며, 상기 클라이언트 등록 단계(S102)에서 미리 등록받은 분산 방화 장치 클라이언트 정보가 있다면 이를 이용하여 상기 방화 정책에 포함된 패킷의 출 발지 주소를 트래픽 소스 주소로 가지는 분산 방화 장치 클라이언트에게 방화 정책을 배포한다.In the arson policy distribution step (S107), the arson policy input in the arson policy input step (S105) is distributed to the distributed fire
방화 정책 수신 단계(S108)에서는 분산 방화 장치 클라이언트(300)의 방화 정책 수신부(310)가 상기 방화 정책 배포부(260)로부터 방화 정책을 수신한다.In the arson policy receiving step (S108), the
사용자 안내 단계(S109)에서는 상기 방화 정책 수신 단계(S108)에서 수신한 방화 정책에 포함된 안내 메시지를 사용자에게 출력한다.In the user guide step (S109), the guide message included in the fire prevention policy received in the fire prevention policy receiving step (S108) is output to the user.
방화 정책 출력 단계(S110)에서는 상기 방화 정책 수신 단계(S108)에서 수신된 방화 정책을 분산 방화 장치 클라이언트(300)와 접속된 타겟 방화 장치(400)로 출력하여 타겟 방화 장치가 소정의 방화 정책을 수행할 수 있도록 한다.In the arson policy output step (S110), the arson policy received in the arson policy receiving step (S108) is outputted to the
이상과 같이 본 발명의 구체적인 내용을 한정된 실시예와 도면을 통하여 설명하였으나 본 발명은 이에 의하여 한정되지 아니하며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술적 사상과 아래에 기재된 특허 청구범위의 균등 범위 내에서 다양한 수정 및 변형이 가능함은 자명한 사실이다. 따라서 아래에 기재된 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미치는 것으로 이해하여야 한다.As described above, the specific contents of the present invention have been described through the limited embodiments and the drawings, but the present invention is not limited thereto, and the technical spirit of the present invention will be described by those skilled in the art to which the present invention pertains. It is obvious that various modifications and variations are possible within the scope of the equivalent claims. Therefore, it is understood that the technical spirit of the present invention to the extent that various changes or modifications can be made by those skilled in the art without departing from the gist of the present invention claimed in the claims below. shall.
도 1은 본 발명의 바람직한 실시예에 따른 분산 방화 장치의 블록도이고,1 is a block diagram of a distributed fire protection apparatus according to a preferred embodiment of the present invention,
도 2는 본 발명의 바람직한 실시예에 따른 분산 방화 방법의 흐름도이고,2 is a flowchart of a distributed fire prevention method according to a preferred embodiment of the present invention,
도 3은 종래 기술에 따른 방화 장치의 구성도이고,3 is a block diagram of a fire protection device according to the prior art,
도 4는 본 발명의 바람직한 실시예에 따른 분산 방화 장치의 구성도이고,4 is a block diagram of a distributed fire prevention apparatus according to a preferred embodiment of the present invention,
도 5는 본 발명의 바람직한 실시예에 따른 클라이언트 정보 저장부에 저장된 클라이언트 정보 데이터베이스의 예시도이고,5 is an exemplary diagram of a client information database stored in a client information storage unit according to a preferred embodiment of the present invention.
도 6은 본 발명의 바람직한 실시예에 따른 방화 정책 저장부에 저장된 방화 정책 데이터베이스의 예시도이다.6 is an exemplary diagram of a fire prevention policy database stored in a fire prevention policy storage unit according to a preferred embodiment of the present invention.
< 도면의 주요 부호에 대한 설명 ><Description of Major Symbols in Drawing>
100: 방화 정책 생성자100: Arson Policy Constructor
200: 분산 방화 장치 서버200: distributed fireproof server
300: 분산 방화 장치 클라이언트300: distributed fireproofing client
510a, 510b, 510c: 개인 컴퓨터510a, 510b, 510c: personal computer
520a, 520b, 520c, 520d, 520e: 네트워크 장비520a, 520b, 520c, 520d, 520e: network equipment
530: 서버측 방화 장치530: server side fire protection device
540: 응용 서버540: application server
550: 시스템 관리자550: system administrator
560: 분산 방화 장치 서버560: distributed fireproof server
Claims (3)
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020090094080A KR20110036419A (en) | 2009-10-01 | 2009-10-01 | System and method for firewalling wide area network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020090094080A KR20110036419A (en) | 2009-10-01 | 2009-10-01 | System and method for firewalling wide area network |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20110036419A true KR20110036419A (en) | 2011-04-07 |
Family
ID=44044369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020090094080A KR20110036419A (en) | 2009-10-01 | 2009-10-01 | System and method for firewalling wide area network |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR20110036419A (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014025222A1 (en) * | 2012-08-10 | 2014-02-13 | 주식회사 아이디어웨어 | Apparatus and method for detecting application and recording medium |
-
2009
- 2009-10-01 KR KR1020090094080A patent/KR20110036419A/en not_active Application Discontinuation
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014025222A1 (en) * | 2012-08-10 | 2014-02-13 | 주식회사 아이디어웨어 | Apparatus and method for detecting application and recording medium |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Dayal et al. | Research trends in security and DDoS in SDN | |
| De Vivo et al. | Internet security attacks at the basic levels | |
| US7474655B2 (en) | Restricting communication service | |
| Chang et al. | Deciduous: Decentralized source identification for network-based intrusions | |
| EP1678567A1 (en) | Method and system for intrusion prevention and deflection, | |
| US11595385B2 (en) | Secure controlled access to protected resources | |
| US20160127316A1 (en) | Highly secure firewall system | |
| WO2015174100A1 (en) | Packet transfer device, packet transfer system, and packet transfer method | |
| Nehra et al. | FICUR: Employing SDN programmability to secure ARP | |
| Almaini et al. | Lightweight edge authentication for software defined networks | |
| Mukkamala et al. | A survey on the different firewall technologies | |
| Krit et al. | Overview of firewalls: Types and policies: Managing windows embedded firewall programmatically | |
| Sahri et al. | Protecting DNS services from IP spoofing: SDN collaborative authentication approach | |
| Lee et al. | Countermeasures against large-scale reflection DDoS attacks using exploit IoT devices | |
| Almaini et al. | Delegation of authentication to the data plane in software-defined networks | |
| Dakhane et al. | Active warden for TCP sequence number base covert channel | |
| US20160205135A1 (en) | Method and system to actively defend network infrastructure | |
| RU2684575C1 (en) | METHOD FOR CONTROL OF DISTRIBUTED INFORMATION SYSTEM DATA STREAMS IN DDoS ATTACKS | |
| KR20100133859A (en) | Distributed firewall system and method thereof | |
| Sahri et al. | Collaborative spoofing detection and mitigation--SDN based looping authentication for DNS services | |
| Alosaimi et al. | Mitigation of distributed denial of service attacks in the cloud | |
| KR20110036419A (en) | System and method for firewalling wide area network | |
| Chatterjee | Design and development of a framework to mitigate dos/ddos attacks using iptables firewall | |
| Cisco | Increasing Security on IP Networks | |
| JP2006501527A (en) | Method, data carrier, computer system, and computer program for identifying and defending attacks against server systems of network service providers and operators |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E601 | Decision to refuse application |