KR20120058670A - Unified gateway device for providing dbtabase security - Google Patents

Unified gateway device for providing dbtabase security Download PDF

Info

Publication number
KR20120058670A
KR20120058670A KR1020100106607A KR20100106607A KR20120058670A KR 20120058670 A KR20120058670 A KR 20120058670A KR 1020100106607 A KR1020100106607 A KR 1020100106607A KR 20100106607 A KR20100106607 A KR 20100106607A KR 20120058670 A KR20120058670 A KR 20120058670A
Authority
KR
South Korea
Prior art keywords
security
function
gateway device
network
integrated
Prior art date
Application number
KR1020100106607A
Other languages
Korean (ko)
Inventor
부도영
김대우
Original Assignee
(주)대성정보기술
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)대성정보기술 filed Critical (주)대성정보기술
Priority to KR1020100106607A priority Critical patent/KR20120058670A/en
Publication of KR20120058670A publication Critical patent/KR20120058670A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

PURPOSE: An integrated gateway apparatus is provided to effectively solve service delay problems by applying processing technology for packets on a network. CONSTITUTION: An integrated gateway apparatus(100,300) provides firewall, IDS(Intrusion Detection System), IPS(Intrusion Prevention System), a virtual network supported by a tunneling protocol, and a security function including the web caching of a proxy server. The integrated gateway apparatus is combined with hardware. A solution of a gateway method is applied to the integrated gateway apparatus. The integrated gateway apparatus processes database security, online hacking, and online cracking.

Description

DB 보안을 제공하는 통합 게이트웨이 장치{UNIFIED GATEWAY DEVICE FOR PROVIDING DBTABASE SECURITY}Unified gateway device that provides security for security {UNIFIED GATEWAY DEVICE FOR PROVIDING DBTABASE SECURITY}

본 발명은 DB 보안을 제공하는 통합 게이트웨이 장치에 관한 것이다.The present invention relates to an integrated gateway device that provides DB security.

DB(Database)는 각종 정보들이 시스템에 의해 묶어진 집합체라는 의미를 갖고 있다. 웹 사이트를 통해 수집되는 각종 정보들은 모두 이 DB에 저장돼 활용된다. 그 중 주민번호를 비롯한 휴대전화, 이메일 등 각종 개인정보도 DB에 포함된다.DB (Database) means that a variety of information is aggregated by the system. All information collected through the website is stored in this DB and used. Among them, various personal information such as social security number, mobile phone, and e-mail are included in DB.

예컨대 최근 어느 경매쇼핑몰의 고객정보DB가 해킹되는 사건으로 해킹사고 뿐만 아니라 이에 따른 해킹된 고객의 피해 보상에 대한 대응도 큰 화제가 되었다. 최근 등장하고 있는 법적 소송들은 개인정보를 담고 있는 이들 DB가 해킹이나 내부자의 불법적인 유출로 인해 정보 주체자의 프라이버시 침해로 이어지고 있기 때문이다.For example, in recent years, the customer information DB of an auction shopping mall has been hacked, and not only the hacking accident but also the response to the damage compensation of the hacked customer has become a big topic. Recently, lawsuits are emerging because these databases containing personal information lead to the infringement of information subject's privacy due to hacking or illegal leakage of insiders.

이런 법적 소송의 가장 핵심적 판단 기준은 고객정보가 담겨진 DB를 보호하기 위해 해당 기업이 충분히 정보보호 활동을 했는지 여부가 될 것이라고 전문가들은 보고 있다. 어느새 정보보호 활동이 기업의 정보자산을 지키는 단순한 노력뿐만 아니라, 법률적 판단 시에도 중요한 판단 근거가 되고 있어, 개인정보를 수집하는 모든 기업에게 DB 보안이라는 화두가 던져진 셈이다. 문제는 DB 보안이 결코 쉽게 접근할 수 있는 문제가 아니라는 점이다.The key criterion for such a lawsuit will be whether the company has done sufficient information protection to protect the database of customer information. As soon as information protection activities are not only an effort to protect corporate information assets, but also an important judgment basis in legal judgment, the issue of DB security has been thrown into all companies that collect personal information. The problem is that DB security is never an easily accessible problem.

DB 보안은 매우 간단한 문제처럼 보일 수 있다. DB를 특정 서버에 집중시켜 접근권한을 최소화시키고 엄격한 통제 룰을 적용한다면 DB 유출에 대한 문제는 줄어들 수 있을 것이라는 주장이 있을 수 있다. 분명 정확한 해답일 수 있지만 실질적이 적용이 두 가지 측면에서 당장은 이뤄질 수 없을 것이다. DB security can seem like a very simple problem. It may be argued that if the DB is concentrated on a specific server to minimize access and apply strict control rules, the problem of DB leakage may be reduced. It may be the correct answer, but practically it will not be possible in two ways.

우선 엄격한 통제정책은 비즈니스 관점에서 DB 사용의 편의성을 저해한다는 것이 첫 번째 문제이고, 여기저기 흩어져 관리되는 DB가 너무 많이 산재해 있다는 것을 두 번째 문제일 것이다. 비즈니스 측면에서 DB는 매우 소중한 자산임에는 분명하지만, DB정보의 완벽한 보안의 어려움과 정보유출로 인한 사회적 파장을 고려해 볼 때 DB는 기업 정보보호의 화약고임에는 분명하다.First of all, the strict control policy is to hinder the convenience of using DB from the business point of view, and the second problem is that there are too many scattered and managed DBs scattered all over the place. In terms of business, it is obvious that DB is a very valuable asset, but considering the difficulty of perfect security of DB information and the social wave caused by information leakage, it is obvious that DB is the powder of enterprise information protection.

DB 보호를 위해 최근 등장한 솔루션은 크게 접근통제 및 감사 차원의 방식과 정보유출 시에도 데이터를 숨길 수 있는 암호화 방식으로 나뉜다. 먼저 접근제어 방식의 DB 보안 솔루션은 네트워크에서 개인인증, IP, 시간대, DB 계정 등의 기준을 적용해 DB에 접근 가능한 관리자만 접근할 수 있도록 하는 것으로 제품 설치가 용이하다는 장점이 있다. 다만 DB가 담겨진 하드디스크가 물리적으로 유출될 경우 정보유출의 가능성이 높고, DB 보안 솔루션의 장애가 기업의 네트워크의 장애로 이어질 수 있다는 것이 단점으로 지적된다. Recently emerged solutions for DB protection are largely divided into access control and audit methods, and encryption methods to hide data even when information is leaked. First of all, the access control DB security solution allows easy installation of the product by allowing only administrators who can access the DB by applying criteria such as personal authentication, IP, time zone, and DB account in the network. However, if the hard disk containing the DB is physically leaked, there is a high possibility of information leakage, and the failure of the DB security solution may lead to the failure of the corporate network.

반면, 데이터를 암호화하는 DB 암호화 솔루션은 그 자체로 보안성을 유지할 수 있다는 점이 가장 큰 장점이다. 때문에 앞선 접근제어 방식의 DB 보안 솔루션이 약점을 보인 물리적 유출에도 대응이 가능해 설령, DB가 해킹에 의해 유출됐다고 해도 DB에 저장된 정보가 안전하게 보호될 수 있다. 그러나, DB를 암/복호화 하는 과정에서 물리적으로 많은 시간이 필요하다는 점과 암/복호화를 위한 에이전트의 장애가 문제점으로 지적된다.On the other hand, the biggest advantage is that DB encryption solution that encrypts data can maintain security by itself. Therefore, the previous access control DB security solution can cope with physical leakage that shows weakness. Even if the database is leaked by hacking, the information stored in the DB can be secured. However, it is pointed out that it takes a lot of time physically in the process of encrypting / decrypting DB and the failure of agent for encryption / decryption.

한편, DB 보안 솔루션은 암호화 솔루션과 접근제어 및 감사 솔루션으로 나눌 수 있으며, 접근 제어 및 감사 솔루션에는 패킷 스니핑(Packet Sniffing) 방식, 게이트웨이(Gateway) 방식 그리고 시스템에 상주하는 에이전트(Agent)방식으로 나눌 수 있다. DB security solutions can be divided into encryption solutions, access control and audit solutions, and access control and audit solutions can be divided into packet sniffing, gateway, and resident agents. Can be.

그리고, 데이터베이스 암호화 기능은 크게 DBMS 자체에 포함된 암호화 기능과 써드 파티에서 제공하는 암호화 기능으로 구분된다. 여기서, 써드 파티 제품은 제품 구현 형태에 따라서 DBMS 시스템에 소프트웨어 에이전트 형식으로 장착되는 방식과 별도의 하드웨어 어플라이언스 형태의 제품으로 구분된다. Database encryption functions are largely divided into encryption functions included in the DBMS itself and encryption functions provided by third parties. Here, the third party products are classified into a method of being installed in a DBMS system in the form of a software agent and a separate hardware appliance according to the product implementation form.

접근제어 및 감사 솔루션은 실시간 감시와 로깅에 대한 제어를 할 수 있다는 강점을 지니기 때문에 DB 액세스 관리 통제와 DB의 실시간 감사(Auditing)에 그 목적을 두고 있는 솔루션이다. 그 방식을 보면 패킷 스니핑 방식과 게이트웨이 방식이 있는데, 패킷 스니핑 방식은 DBMS 에 접속하지 않고 네트워크상의 TCP/IP 패킷을 스니핑해 SQL 패킷만을 선택하여 분석하여 사용자 정보를 실시간 추출하여 저장하는 방식이다. 하지만 이 솔루션은 추적 및 감사에 전문성을 가지고 있을 뿐 실질적으로 능동적인 보안은 되지 않기 때문에 시장에서는 점차 사장되고 있었으나 DB 보안의 중요성으로 인해 다시 이슈화 되고 있다. Access control and auditing solution has the strength to control the real-time monitoring and logging, so the solution is aimed at DB access management control and real-time auditing of DB. The packet sniffing method and the gateway method are used. The packet sniffing method is a method of sniffing TCP / IP packets on a network without connecting to a DBMS, selecting and analyzing only SQL packets, and extracting and storing user information in real time. This solution, however, has become increasingly obsolete in the market because it has expertise in tracking and auditing and is not really active security, but is being reissued due to the importance of DB security.

게이트웨이 방식의 솔루션은 사용자 PC와 DB 사이의 네트워크상에 구성되어 DB에 접근하는 모든 세션에 대한 접근 통제와 로깅 및 감사 기능을 제공한다. 하지만 모든 패킷이 게이트웨이 장비를 거치기 때문에 대용량 작업 처리시 서비스 지연 우려와 시스템 장애 발생 부담을 안고 있다. Gateway type solution is configured on network between user PC and DB and provides access control, logging and auditing function for all sessions accessing DB. However, because all packets go through the gateway equipment, there is a concern about service delay and system failure when processing a large amount of work.

따라서, DB보호를 위한 솔루션의 장점을 최대한 수용하고 단점을 최소화한 통합 솔루션을 제공할 필요성이 제기된다.Therefore, there is a need to provide an integrated solution that fully accommodates the advantages of the solution for DB protection and minimizes the disadvantages.

본 발명은 DB보호를 위한 솔루션의 장점을 최대한 수용하고 단점을 최소화한 통합 솔루션을 제공하는 DB 보안을 제공하는 통합 게이트웨이 장치를 제공하는 데에 그 목적이 있다.An object of the present invention is to provide an integrated gateway device that provides DB security that provides an integrated solution that fully accommodates the advantages of the solution for DB protection and minimizes the disadvantages.

상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 DB 보안을 제공하는 통합 게이트웨이 장치는 패킷제어, 다양한 필터링, 네트워크 보안 등의 기능과 DB 컬럼 단위 보안 제어, 구문 분석, 클라이언트 PKI 인증 등의 기능을 제공하는 각각의 모듈들 중 하나 이상을 이용하여 통합 DB 보안 솔루션을 제공한다.As a technical means for achieving the above-described technical problem, the integrated gateway device providing DB security of the present invention is a packet control, various filtering, network security and other functions, such as DB column security control, parsing, client PKI authentication Provide integrated DB security solution using one or more of each module that provides the function.

상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 DB 보안을 제공하는 통합 게이트웨이 장치는 uClibc를 이용한 커널을 사용할 수 있고, 보안게이트웨이 기술인 Firewall 기능, VPN 기능, Proxy & Caching 기능, Dual WAN기능, Traffic Shaping Qos 기능을 제공하는 각각의 모듈들을 포함한다.As a technical means for achieving the above-described technical problem, the integrated gateway device providing DB security of the present invention can use a kernel using uClibc, Firewall function, VPN function, Proxy & Caching function, Dual WAN function as a security gateway technology Each module includes a Traffic Shaping Qos function.

본 발명의 DB 보안을 제공하는 통합 게이트웨이 장치에 따르면 DB보호를 위한 솔루션의 장점을 최대한 수용하고 단점을 최소화한 통합 솔루션을 제공하는 장점이 있다.According to the integrated gateway device providing DB security of the present invention, there is an advantage of providing an integrated solution that fully accommodates the advantages of the solution for DB protection and minimizes the disadvantages.

도 1은 본 발명의 일 실시예에 따른 DB 보안을 제공하는 통합 게이트웨이 장치의 예를 도시한다.
도 2는 IG-300 모델과 타 제품을 비교한 도면이다.
도 3은 IG-300 모델와 IG-100 모델을 비교한 도면이다.
도 4는 본 발명의 일 실시예의 하나 이상의 구성 요소 또는 동작을 실시하기 위하여 사용될 수 있는 컴퓨터 시스템 아키텍쳐의 일례를 도시한다.1 illustrates an example of an integrated gateway device for providing DB security according to an embodiment of the present invention.
2 is a view comparing the IG-300 model and other products.
3 is a view comparing the IG-300 model and the IG-100 model.
4 illustrates an example of a computer system architecture that may be used to perform one or more components or operations of one embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but can be implemented in various different forms, and only the embodiments make the disclosure of the present invention complete, and the general knowledge in the art to which the present invention belongs. It is provided to fully inform the person having the scope of the invention, which is defined only by the scope of the claims. Like reference numerals refer to like elements throughout.

또한 명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.In addition, throughout the specification, when a part is "connected" to another part, it includes not only "directly connected" but also "electrically connected" with another element in between. do. In addition, when a part is said to "include" a certain component, which means that it may further include other components, except to exclude other components unless otherwise stated.

도 1은 본 발명의 일 실시예에 따른 DB 보안을 제공하는 통합 게이트웨이 장치의 예를 도시한다.1 illustrates an example of an integrated gateway device for providing DB security according to an embodiment of the present invention.

도 1의 (a) 및 (b)에 도시된 바와 같이, 본 발명의 DB 보안을 제공하는 통합 게이트웨이 장치(이하, "통합 게이트웨이 장치"라 함)는 예컨대 IG-300 모델(300) 또는 IG-100 모델(100)로 구현될 수 있다. 이때, 통합 게이트웨이 장치에는 DB 보안 솔루션 방식으로 구분하자면 게이트웨이 방식의 솔루션이 적용될 수 있다. 본 발명의 실시예에서는 게이트웨이 방식을 적용함에 있어서, 네트워크상의 패킷에 대한 처리 기술을 적용하여 서비스 지연에 대한 처리를 효과적으로 대체 보완하고, 시스템 장애를 최소화할 수 있다. 또한, 본 발명의 통합 게이트웨이 장치를 통해 DB 보안뿐만 아니라 온라인상의 해킹 및 크래킹에 효과적으로 대처할 수 있는 기능을 제공한다.As shown in (a) and (b) of FIG. 1, an integrated gateway device (hereinafter referred to as an "integrated gateway device") for providing DB security of the present invention may be, for example, an IG-300 model 300 or an IG-. 100 may be implemented as the model 100. In this case, the gateway type solution may be applied to the integrated gateway device in the DB security solution method. In the embodiment of the present invention, in the application of the gateway method, by applying the processing technique for the packet on the network, it is possible to effectively replace and compensate for the service delay, and minimize the system failure. In addition, the integrated gateway device of the present invention provides a function capable of effectively coping with online hacking and cracking as well as DB security.

보다 구체적으로, 본 발명의 통합 게이트웨이 장치는 패킷제어, 다양한 필터링, 네트워크 보안 등의 기능과 DB 컬럼 단위 보안 제어, 구문 분석, 클라이언트 PKI 인증 등의 기능을 제공하는 각각의 모듈들 중 적어도 하나 이상을 이용하여 통합 DB 보안 솔루션을 제공한다. 또한, 본 발명의 통합 게이트웨이 장치는 DB 보안 뿐 아니라 서버보안, 네트워크 보안등의 다양한 보안 기능을 제공한다.More specifically, the integrated gateway device of the present invention is at least one or more of each module providing functions such as packet control, various filtering, network security, and DB column-level security control, parsing, client PKI authentication, etc. Provide an integrated DB security solution. In addition, the integrated gateway device of the present invention provides not only DB security but also various security functions such as server security and network security.

또한, 최근 임베디드 OS를 이용한 하드웨어 일체형 제품으로 현재 시장에 출시되고 있는 대부분의 제품들이 소프트웨어 방식의 설치형 제품으로 DB관리자 혹은 정보보안 관리자의 전문성을 필요로 하며 이에 따른 비용이 제품구매 시 부담으로 작용한다. 그러나, 본 발명의 통합 게이트웨이 장치는 누구나 손쉽고 빠르게 설치 운영이 가능하다는 장점이 있다. 이는 DB 보안을 필요로 하는 중소업체 혹은 관공서 등의 SMB 시장에 접근을 쉽게 할 수 있어 현재 대기업, 대형쇼핑몰 혹은 포털업체 위주의 DB 보안 시장영역이 SMB시장 쪽으로 영역 확장이 이루어질 수 있다.In addition, most of the products currently on the market as an integrated hardware product using the embedded OS are software-based installation products that require the expertise of a DB administrator or an information security manager, and the cost is burdensome when purchasing a product. . However, the integrated gateway device of the present invention has the advantage that anyone can easily and quickly install and operate. This allows easy access to SMB markets such as SMEs or government offices that require DB security, so that the DB security market area centered on large companies, large shopping malls or portal companies can be expanded to the SMB market.

또한 본 발명의 통합 게이트웨이 장치는 기존 국내외 제품과의 품질 및 가격의 경쟁적 우위에 있게 되는 만큼 수입대체 효과를 가져 올 수 있을 것으로 기대되고 국제인증을 거쳐 DB 보안제품으로 동남아, 중국 등의 지역으로도 수출이 가능할 것이다.In addition, the integrated gateway device of the present invention is expected to have an effect of import substitution as it has a competitive advantage in quality and price with existing domestic and foreign products, and has been certified as a DB security product in regions such as Southeast Asia and China. Export will be possible.

이러한, 통합 게이트웨이 장치는 방화벽(Firewall), IDS(Intrusion Detection System), IPS(Intrusion Prevention System) 등 보안기능을 하나의 하드웨어에 통합한 네트워크 어플라이언스(Appliance)인 통합보안장치(UTM, Unified Threat Management)일 수 있다. The integrated gateway device is a unified security device (UTM), which is a network appliance that integrates security functions such as firewall, intrusion detection system (IDS), and intrusion prevention system (IPS) into one hardware. Can be.

그리고, 통합 게이트웨이 장치의 임베디드 OS에는 uClibc를 이용한 커널이 사용될 수 있고, 보안게이트웨이 기술인 Firewall 기능, VPN 기능, Proxy & Caching 기능, Dual WAN기능, Traffic Shaping Qos 기능을 수행할 수 있다.Also, the embedded OS of the integrated gateway device can be used a kernel using uClibc, and can perform the firewall function, the VPN function, the proxy function, the proxy & caching function, the dual WAN function, and the traffic shaping Qos function.

또한, 본 발명의 통합 게이트웨이 장치는 DB 컬럼 단위 보안 제어를 위한 패킷 필터링(Filtering) 기능, DB 벤더별 구문 분석 기능, 프로토콜(Protocol), 맥 주소 필터링(Mac address Filtering) 기능, 사용객체 레이블링 기능을 수행할 수 있다. 또한, 패킷정책 수립 및 이에 맞는 정책 적용, NAT 정책 수립 및 이에 맞는 정책 적용, DB 보안 정책 수립 및 이에 맞는 정책 적용으로 구현되고, 관리자 사용에 편의성을 고려한 웹 사용자 인터페이스(Web UI)를 제공한다. 이때, 각 평가항목별 평가방법은 하기 표 1과 같이 정리할 수 있다.In addition, the integrated gateway device of the present invention performs a packet filtering function, a DB vendor parsing function, a protocol, a Mac address filtering function, and a user object labeling function for DB column security control. can do. In addition, it is implemented by packet policy establishment and policy application, NAT policy establishment and policy application, DB security policy establishment and policy application, and provides web user interface (Web UI) considering convenience for administrator use. At this time, the evaluation method for each evaluation item can be summarized as shown in Table 1 below.

평가항목Evaluation item 평가방법Assessment Methods 1. 세션관리 및 보안설정1. Session management and security setting 구현된 기능을 이용한 세션별 트래픽 이용량 및 세션 수 등 통계치를 이용한 정책설정여부 및 내외부의 차단설정 기능 및 동작상태 확인Check whether policy is set by using statistics such as traffic usage and number of sessions using the implemented function, and block setting function and operation status inside and outside 2. 네트워크 로드밸런싱2. Network Load Balancing 구현시스템의 (아웃바운드 로드밸런싱 Max Download Bandwidth / Max Upload Bandwidth / Round Robin / Weighted Round Robin) 설정 및 설정별 작동상태 확인Outbound load balancing Max Download Bandwidth / Max Upload Bandwidth / Round Robin / Weighted Round Robin 3.Qos(Traffic Shaping)3.Qos (Traffic Shaping) QoS기능은 한정된 네트워크 회선에서 트래픽과 대역폭을 정책적으로 관리 가능 대역폭 설정기능 및 구현시스템의 작동상태 확인QoS function enables policy management of traffic and bandwidth in limited network line Bandwidth setting function and checking the operation status of the implemented system 4. Proxy&
Cache4. Proxy &
Cache Transparent proxy로 구현시스템이 작동상태 확인 및 캐싱 기능의 작동 여부 및 자동 업데이트 기능이 20개 사이트에 대한 업데이트 작동상태 확인Transparent proxy checks whether the system checks the operation status, whether the caching function works, and the automatic update function checks the update operation status for 20 sites 5. 구문 분석 / 접근 제어5. Parsing / Access Control Oracle 및 MySQL DB 접근 시 SQL 구문에 대한 분석과 그 분석 결과에 따른 DB 접근과 차단이 정책에 맞게 동작하는지에 대한 상태확인Analysis of SQL statements when accessing Oracle and MySQL DB and checking status of DB access and blocking according to the results of analysis 6. 정책적용의 유연성6. Flexibility of policy application 관리자가 정책을 구성 시 내부와 외부의 접근 허용 통제를 쉽고 빠르게 적용할 수 있는지 확인Verify that administrators can quickly and easily apply internal and external access control when configuring policies 7. 온라인관제 및 보고서7. Online Control and Report WEB UI를 통한 기능 설정 및 적용여부 확인
온라인을 통한 통합 관제 시스템의 작동상태 및 감사 보고서 출력상태 확인Check the function setting and application through WEB UI
Check the operation status of the integrated control system and the output of the audit report online

또한, 통합 게이트웨이 장치는 중소규모 사이트에 적합하도록 구현된 프록시(Proxy) 솔루션으로 단일의 장치에서 처리되며 침입차단, 침입탐지, 침입방지 및 가상사설망 등 정보보호에 사용되는 통합보안장치일 수 있다.In addition, the integrated gateway device is a proxy solution that is implemented to be suitable for small and medium-sized sites, and is processed in a single device and may be an integrated security device used for information protection such as intrusion prevention, intrusion detection, intrusion prevention, and virtual private network.

또한, 통합 게이트웨이 장치는 ADSL이나 저속의 전용회선을 이용하여 인터넷을 사용하는 교육망, 관공서 및 중소기업에 적합한 인터넷 게이트웨이(Internet Gateway) 장치일 수 있다. In addition, the integrated gateway device may be an Internet gateway device suitable for an education network, a public office, and a small and medium-sized business using the Internet using ADSL or a low-speed dedicated line.

또한, 통합 게이트웨이 장치는 OS의 취약점을 최소화한 전용의 보안 임베디드 OS 커널을 탑재하여 강력한 네트워크 관리 및 웹 프록시 기능, 해킹 차단기능을 제공한다. 또한, 통합 게이트웨이 장치는 시스템 설정, 성능, 오류관리 등의 기능을 통해 실시간 모니터링 및 신속한 장애처리를 수행한다.In addition, the integrated gateway device is equipped with a dedicated secure embedded OS kernel that minimizes OS vulnerabilities to provide powerful network management, web proxy function, and hacking prevention function. In addition, the integrated gateway device performs real-time monitoring and rapid troubleshooting through functions such as system configuration, performance, and error management.

그리고, 통합 게이트웨이 장치는 최적화된 임베디드 시스템으로 하드웨어 기반의 일체형 제품으로 손쉬운 관리 및 로그 분석을 통한 장애 대처, 강력한 컨텐츠 필터링을 제공한다.In addition, the integrated gateway device is an optimized embedded system, which is a hardware-based integrated product, which provides easy management and log analysis, and provides strong content filtering.

보다 구체적으로 설명하자면, 침입차단(Firewall)에 있어서, 본 발명의 통합 게이트웨이 장치는 인터넷 서비스 형태의 내외부에 따른 접속, 침입, 공격을 차단 또는 기록 접근통제 기능, 패킷 필터링, 해킹차단기능, 네트워크 변환기능을 제공한다.More specifically, in the firewall, the integrated gateway device of the present invention blocks access, intrusion, and attack according to the inside and outside of the Internet service type, or records access control function, packet filtering, hacking blocking function, and network conversion. Provide the function.

또한, 침입차단에 있어서, 본 발명의 통합 게이트웨이 장치는 Hybrid 방식을 가지고 있는 상태검사(stateful inspection) 기법, 기존 상용 OS의 취약점을 최소화한 전용 OS 사용으로 강력한 해킹 차단 기능, 컨텐트 필터링(웹 컨텐트, FTP, URL, 악성코드 필터링 등), 유해 사이트 차단(URL/Key Word), SYN Flooding, Ping Flooding, IP Spoofing, IP Fragmentation Attack, Ping of Death, ACK Storm 등 최신 해킹 자동 감지, Scripts(Java, Perl, Visual Basic), Applets(Java, Active X), Cookies, Internet shortcut을 통한 침입 등 모든 외부의 침입 차단, 세그먼트(Segment) 분리로 다양한 네트워크 구성/정책기반 네트워크 접근 통제, 내부 사용자 인터넷 사용 통제/NAT/PAT/DMZ/세션 통제관리 기능 등을 제공한다.In addition, in the intrusion blocking, the integrated gateway device of the present invention has a stateful inspection technique having a hybrid method, a strong hacking blocking function by using a dedicated OS that minimizes the vulnerability of the existing commercial OS, and content filtering (web content, FTP, URL, malware filtering, etc.), malicious site blocking (URL / Key Word), SYN Flooding, Ping Flooding, IP Spoofing, IP Fragmentation Attack, Ping of Death, ACK Storm, etc. , Visual Basic), Applets (Java, Active X), Cookies, Intrusion through Internet shortcuts, all external intrusion prevention, segment separation, various network configuration / policy based network access control, internal user internet usage control / NAT / PAT / DMZ / Session Control Management.

또한, 침입탐지(Intrusion Detection System)에 있어서, 통합 게이트웨이 장치는 네트워크 패킷 감시 후 그 데이터 및 로깅데이터를 이용하여 침입 탐지 및 접속차단을 수행할 수 있다. 또한, 미리 정의된 데이터 사용규칙을 적용하여 범위를 벗어나는 경우 침입으로 판단한다. 그리고, 로깅데이터와 사용자의 활동, 시스템 호출 등을 감시하여 침입이 탐지되면 강제 종료시킬 수 있다.In addition, in an intrusion detection system, the integrated gateway device may perform intrusion detection and access blocking using the data and logging data after monitoring the network packet. In addition, it is determined to be an intrusion if it is out of range by applying a predefined data usage rule. Logging data, user activity, and system calls can be monitored and forcedly terminated when an intrusion is detected.

또한, 침입방지에 있어서, 통합 게이트웨이 장치는 세션기반 및 패킷기반(IDS기반)의 이상 및 트래픽 감지 및 차단을 수행하고, 알려진 웜 및 바이러스를 차단한다.In addition, in intrusion prevention, the integrated gateway device performs session-based and packet-based (IDS-based) abnormality and traffic detection and blocking, and blocks known worms and viruses.

또한, 웹 캐쉬(Web Cache), 프록시(Proxy) 기능에 있어서, 통합 게이트웨이 장치는 인터넷 속도 개선을 위한 캐쉬(Caching) 기능 구현(Transparent proxy)을 제공한다.In addition, in the Web cache and proxy functions, the integrated gateway device provides a caching function transparent proxy for internet speed improvement.

또한, IPSec 및 VPN에 있어서, 통합 게이트웨이 장치는 Max 1024bit 암호화, 사용자 인증키, 국제표준인 IPSec 터널링 이용 호스트 간, 호스트 및 클라이언트 간 가상 사설망을 지원할 수 있다.In addition, in IPSec and VPN, the integrated gateway device may support virtual private networks between Max 1024-bit encryption, user authentication keys, and IPSec tunneling using hosts that are international standards.

또한, VPN에 있어서, 통합 게이트웨이 장치는 Lan-to-Lan VPN, 인증 알고리즘(MD5, SHA-1, HAS-160 등), 암호 알고리즘(AES, DES 등), 터널링 프로토콜(IPSec, L2TP), 사용자 인증(ID/Password)을 제공한다.In addition, in the VPN, the integrated gateway device includes a Lan-to-Lan VPN, an authentication algorithm (MD5, SHA-1, HAS-160, etc.), an encryption algorithm (AES, DES, etc.), a tunneling protocol (IPSec, L2TP), a user. Provide authentication (ID / Password).

그리고, 통합 게이트웨이 장치는 콘텐츠 필터링(URL, Key word) 및 유해사이트 차단, 세션관리기능, 사용자별 실시간 트래픽 확인, 동적 DNS 지원, 듀얼게이트웨이 지원을 제공한다.In addition, the integrated gateway device provides content filtering (URL, key word) and harmful site blocking, session management function, real-time traffic confirmation for each user, dynamic DNS support, and dual gateway support.

또한, DB 보안기능 제공함에 있어서, 통합 게이트웨이 장치는 Proxy & Caching 기능에 있어서, Transparent proxy/ Caching(최대 20개 사이트 자동 캐싱 업데이트)을 제공한다.In addition, in providing DB security, the integrated gateway device provides transparent proxy / caching (up to 20 site automatic caching updates) in the proxy & caching function.

그리고, Dual WAN 기능에 있어서, 아웃바운드 로드밸런싱 Max Download Bandwidth/Max Upload Bandwidth/Round Robin/Weighted Round Robin 등을 제공하고, Traffic Shaping Qos 기능에 있어서, 트래픽과 대역폭을 정책적으로 관리하여 제공한다.In addition, the dual WAN function provides outbound load balancing Max Download Bandwidth / Max Upload Bandwidth / Round Robin / Weighted Round Robin, and the Traffic Shaping Qos function provides policy management of traffic and bandwidth.

또한, DB 보안기능 제공함에 있어서, Packet 정책은 해당 네트워크를 DB 전용의 폐쇄된 네트워크로 만들 수 있다. 이때, 개발 장비의 이더넷 포트별 정책 정책을 관리자가 설정할 수 있도록 한다.In addition, in providing a DB security function, the Packet policy can make the network a closed network dedicated to the DB. At this time, the administrator can set the policy policy for each Ethernet port of the development equipment.

또한, NAT(Network Address Translation) 정책은 DB서버의 주소를 외부에는 속여서 나타낼 수 있는 NAT 기능을 추가 한다. SNAT(Source NAT)는 출발지의 주소 여러 개를 외부에는 하나의 주소로 보이게 하면 포트를 분배해서 사용한다. DNAT(Destination NAT)는 외부에서 제품을 바라볼 때 DB서버가 제품인 것처럼 속이는 기술로서 해당패킷이 도착하면 제품은 이의 목적지를 실제 DB서버로 변환하여 패킷을 전달하는 역할을 한다. ENAT(Exclude NAT)는 패킷교환의 구조상의 문제점을 해결하기 위해 만든 임시 NAT이다. DB서버와 연결 되는 포트와 내부 사용자가 연결 되어 있는 포트와 구분하여 NAT기능을 사용할 수 있게 한다.In addition, NAT (Network Address Translation) policy adds a NAT function that allows the server's address to be tricked into the outside. SNAT (Source NAT) distributes ports by making several addresses of origin appear as one address outside. DNAT (Destination NAT) is a technology that deceives the DB server as if it is a product when looking at the product from the outside. When the packet arrives, the product converts its destination to the actual DB server and delivers the packet. Exclude NAT (ENAT) is a temporary NAT created to solve the structural problem of packet exchange. NAT function can be used by distinguishing the port connected to DB server and the port connected to internal user.

또한, WEB UI는 DB 보안 정책 설정 관리 및 감사 보고서 등을 Web환경에서 볼 수 있게 구성한다.In addition, WEB UI configures DB security policy setting management and audit report to be viewed in web environment.

그리고, DB 보안기능 제공함에 있어서, 사용객체 등록 관리에 있어서, DB 보안 정책의 구현에 앞서, 사용할 객체들을 미리 등록할 수 있도록 한다. And, in providing DB security function, in the management of user object registration, it is possible to register the objects to be used in advance before implementing the DB security policy.

그리고, 네트워크나 사용자 그룹 등의 객체에 레이블을 더하여 이를 관리자가 더욱 쉽게 인지할 수 있도록 한다.It also adds labels to objects such as networks or user groups so that administrators can easily recognize them.

여기서, 사용객체의 종류와 사용용도는 다음과 같다.Here, the types of objects and their uses are as follows.

- 네트워크 : 정책에서 지칭할 네트워크의 묶음을 레이블링한 내용Network: Labeling the bundle of networks to be referred to in the policy

- 포트그룹 : 정책에서 사용할 TCP 또는 UDP 포트들을 별로로 레이블링한 내용-Port group: Contents labeled by TCP or UDP ports for use in the policy

- 시간 그룹 : Accept/Drop을 결정하는 정책의 적용시간을 시간으로 레이블링한 내용-Time group: Contents that label the time of application of the policy for determining Accept / Drop in time.

_ 사용자 그룹 : DB 보안 정책에서 해당사용자를 점검하기 위한 레이블 내용_ User group: Label content to check the user in DB security policy

또한, DB 보안 정책을 적용함에 있어서, 포트별 정책은 포트라는 단어에서 보다시피 TCP의 해당포트로 들어오는 모든 패킷을 검사하여 세부정책으로 전달할 수 있게 하고, 세부 정책은 패킷의 DB 인증 여부와 적절한 사용자인지의 여부, 그리고 프로토콜의 순서에 맞는 질의/응답인지를 검사하고, 만약 SQL 질의가 담겨 있다면 그 내용을 미리 정의된 정책에 따라서 허용/거부 할 것인지를 결정할 수 있게 한다.In addition, in applying the DB security policy, the port-specific policy checks all packets coming into the corresponding port of TCP and forwards them to the detailed policy, as shown in the word port. It checks whether or not, and whether it is a query / response according to the order of the protocol. If SQL query is included, the content can be decided according to a predefined policy.

도 2는 이러한 통합 게이트웨이 장치에서 IG-300(300) 모델과 타 제품을 비교한 도면이다. 또한 도 3은 IG-300(300) 모델와 IG-100(100) 모델을 비교한 도면이다. 예컨대, IG-300(300)은 이더넷 포트는 8개(외부회선 2개, 내부회선 5개, 서비스회선 1개)로 구성되어 있으며 IG-100(100)은 4개 (외부회선 1개, 내부회선 2개, 서비스회선 1개)로 구성되어 있다. 이러한 통합 게이트웨이 장치에 사용되는 운영체제는 네트워크에 강력하므로 많은 응용프로그램을 제공한다.2 is a view comparing the IG-300 (300) model and other products in the integrated gateway device. 3 is a view comparing the IG-300 (300) model and the IG-100 (100) model. For example, IG-300 (300) is composed of eight Ethernet ports (two external lines, five internal lines, one service line) and IG-100 (100) four (one external line, internal 2 lines and 1 service line). The operating system used for these integrated gateway devices is powerful in the network and provides many applications.

한편, 통합 게이트웨이 장치는 영어, 일본어, 중국어 등 다국어 기능을 제공하는 모듈을 탑재한다. 이때, 언어의 변경시에도 하드웨어 소스 코드의 수정없이 동작될 수 있으며, 변경된 언어에서의 관리자의 입력에 따른 정상 동작이 가능하도록 구성될 수 있다.Meanwhile, the integrated gateway device includes a module that provides multilingual functions such as English, Japanese, and Chinese. In this case, even when the language is changed, it may be operated without modification of the hardware source code, and may be configured to enable normal operation according to the input of the administrator in the changed language.

본 발명의 통합 게이트웨이 장치는 특정 실시예와 관련하여 설명되었지만, 그것들의 구성 요소 또는 동작의 일부 또는 전부는 범용 하드웨어 아키텍쳐를 갖는 컴퓨터 시스템을 사용하여 구현될 수 있다. Although the integrated gateway device of the present invention has been described in connection with specific embodiments, some or all of their components or operations may be implemented using a computer system having a general purpose hardware architecture.

도 4는 본 발명의 일 실시예의 하나 이상의 구성 요소 또는 동작을 실시하기 위하여 사용될 수 있는 컴퓨터 시스템 아키텍쳐의 일례를 도시한다.4 illustrates an example of a computer system architecture that may be used to perform one or more components or operations of one embodiment of the present invention.

하드웨어 시스템(800)은 프로세서(810), 캐쉬(815), 메모리(815) 및 상술한 기능에 관련된 하나 이상의 소프트웨어 어플리케이션 및 드라이버를 포함할 수 있다.Hardware system 800 may include a processor 810, cache 815, memory 815, and one or more software applications and drivers related to the functions described above.

추가적으로, 하드웨어 시스템(800)은 고성능 입/출력(I/O) 버스(840) 및 표준 I/O 버스(870)를 포함한다. 호스트 브릿지(820)는 프로세서(810)를 고성능 I/O 버스(840)에 결합시키고, I/O 버스 브릿지(850)는 두 개의 버스(840 및 870)를 상호 결합시킨다. 시스템 메모리(860) 및 네트워크/통신 인터페이스(830)는 고성능 I/O 버스(840)에 결합된다. 하드웨어 시스템(800)은 비디오 메모리(도시 생략) 및 그 비디오 메모리에 결합된 디스플레이 장치를 더 포함할 수 있다. 대용량 기억장치(830) 및 I/O 포트(890)는 표준 I/O 버스(870)에 결합된다. 하드웨어 시스템(800)은 키보드 및 포인팅 디바이스(pointing device), 그리고 표준 I/O 버스(870)에 결합된 디스플레이 장치(도시 생략)를 선택적으로 포함할 수 있다. 총괄적으로, 이러한 요소들은 넓은 범위의 컴퓨터 하드웨어 시스템을 표현하도록 의도되며, 인텔사에 의해 제조된 펜티엄 프로세서뿐만 아니라 다른 적절한 프로세서에 기반하는 범용 컴퓨터 시스템을 포함하나 이에 제한되지는 않는다. Additionally, hardware system 800 includes a high performance input / output (I / O) bus 840 and a standard I / O bus 870. The host bridge 820 couples the processor 810 to the high performance I / O bus 840, and the I / O bus bridge 850 couples the two buses 840 and 870 with each other. System memory 860 and network / communication interface 830 are coupled to high performance I / O bus 840. The hardware system 800 may further include a video memory (not shown) and a display device coupled to the video memory. Mass storage 830 and I / O port 890 are coupled to standard I / O bus 870. Hardware system 800 may optionally include a keyboard and pointing device, and a display device (not shown) coupled to standard I / O bus 870. Collectively, these elements are intended to represent a wide range of computer hardware systems, including but not limited to general-purpose computer systems based on Pentium processors manufactured by Intel, as well as other suitable processors.

하드웨어 시스템(800)의 구성 요소들은 아래에서 더 상세하게 설명된다. 보다 구체적으로, 네트워크 인터페이스(830)는 하드웨어 시스템과 이더넷(예를 들어, IEEE 802.3) 네트워크 등과 같은 임의의 넓은 범위의 네트워크 사이의 통신을 제공한다. 본 발명의 일 실시예의 경우, 네트워크 인터페이스(830)는 하드웨어 시스템(800)과 네트워크 사이를 접속하여 하드웨어 시스템(800)이 그것들의 데이터베이스들을 관리하도록 한다. 대용량 기억장치(830)는 데이터와 프로그래밍 명령을 위한 영구 기억장치를 제공하여 본 발명의 일 실시예에서 구현되는 상술한 기능을 수행하고, 시스템 메모리(860)(예를 들어, DRAM)는 프로세서(810)에 의하여 수행될 때 데이터 및 프로그래밍 명령을 위한 임시 기억장치를 제공한다. I/O 포트(890)는 하드웨어 시스템(800)에 결합될 수 있는 추가적인 주변 장치 간의 통신을 제공하는 하나 이상의 직렬 및/또는 병렬 통신 포트이다.The components of hardware system 800 are described in more detail below. More specifically, network interface 830 provides communication between a hardware system and any wide range of networks, such as an Ethernet (eg, IEEE 802.3) network or the like. In one embodiment of the invention, the network interface 830 connects between the hardware system 800 and the network so that the hardware system 800 manages their databases. Mass storage 830 provides permanent storage for data and programming instructions to perform the above-described functions implemented in one embodiment of the present invention, and system memory 860 (e.g., DRAM) includes a processor ( When executed by 810, it provides temporary storage for data and programming instructions. I / O port 890 is one or more serial and / or parallel communication ports that provide communication between additional peripheral devices that may be coupled to hardware system 800.

하드웨어 시스템(800)은 다양한 종류의 시스템 아키텍쳐를 포함할 수 있고, 하드웨어 시스템(800)의 다양한 구성요소가 재배치될 수 있다. 예를 들어, 캐쉬(815)는 프로세서(810)에 내장될 수 있다. 선택적으로, 캐쉬(815) 및 프로세서(810)는 “프로세서 모듈”로써 함께 묶여질 수 있고, 이 때 프로세서(810)는 “프로세서 코어”로서 지칭될 수 있다. 또한, 본 발명의 특정한 실시예는 상술한 구성 요소의 전부를 요구하거나 포함하지 않을 수 있다. 예를 들어, 표준 I/O 버스(870)에 결합되는 것으로 도시된 주변 장치들은 고성능 I/O 버스(840)에 결합할 수 있다. 추가적으로, 임의의 실시예에서 단지 하나의 버스만 존재할 수 있고, 하드웨어 시스템(800)의 구성 요소들은 그 하나의 버스에 결합될 수 있다. 더욱이, 하드웨어 시스템(800)은 추가적인 프로세서, 기억 장치 또는 메모리와 같은 추가적인 구성요소를 포함할 수 있다. 이하에서 논의되는 것처럼, 본 발명의 일 실시예의 동작은 하드웨어 시스템(800)에 의해 구동되는 일련의 소프트웨어 루틴으로서 실시될 수 있다. 이러한 소프트웨어 루틴들은 프로세서(810)와 같은 하드웨어 시스템에서 프로세서에 의하여 실행될 수 있는 복수의 또는 일련의 명령들을 포함한다. 우선, 일련의 명령들은 대용량 기억 장치(830)와 같은 기억 장치에 저장된다. 그러나 일련의 명령들은 디스켓, CD-ROM, ROM, EEPROM 등과 같은 임의의 적절한 기억 매체에 저장될 수 있다. 더욱이, 일련의 명령들은 국소적으로 저장될 필요가 없고, 네트워크/통신 인터페이스(830)를 통하여 네트워크 상의 서버 등과 같은 원격 기억 장치로부터 수신될 수 있다. 그 명령들은 대용량 기억 장치(830)와 같은 기억 장치로부터 시스템 메모리(860)로 복사되고, 프로세서(810)에 의하여 액세스되고 실행된다.Hardware system 800 may include various types of system architectures, and various components of hardware system 800 may be rearranged. For example, the cache 815 may be embedded in the processor 810. Optionally, cache 815 and processor 810 may be bundled together as a “processor module,” where processor 810 may be referred to as a “processor core”. In addition, certain embodiments of the invention may not require or include all of the foregoing components. For example, peripherals shown as being coupled to the standard I / O bus 870 may couple to the high performance I / O bus 840. In addition, in any embodiment there may be only one bus and components of hardware system 800 may be coupled to that one bus. Moreover, hardware system 800 may include additional components such as additional processors, storage devices, or memory. As discussed below, the operation of one embodiment of the present invention may be implemented as a series of software routines driven by hardware system 800. Such software routines include a plurality or series of instructions that may be executed by a processor in a hardware system such as processor 810. First, a series of instructions are stored in a storage device such as mass storage device 830. However, the sequence of instructions may be stored on any suitable storage medium, such as diskette, CD-ROM, ROM, EEPROM, or the like. Moreover, the series of commands need not be stored locally, and can be received from a remote storage device such as a server on the network via the network / communication interface 830. The instructions are copied from a storage device such as mass storage device 830 to system memory 860 and accessed and executed by processor 810.

운영 시스템은, 소프트웨어 어플리케이션(도시 생략)과의 데이터 입/출력을 포함하는 하드웨어 시스템(800)의 동작을 관리하고 제어한다. 운영 시스템은 시스템 상에서 실행되는 소프트웨어 어플리케이션과 시스템의 하드웨어 구성 요소 사이의 인터페이스를 제공한다. 본 발명의 일 실시예에 따른 운영 시스템은 마이크로소프트사의 Windows 95/98/NT/XP/VISTA 운영 시스템일 수 있다. 그러나, 본 발명은 애플 컴퓨터사의 애플 맥킨토시 운영 시스템, 유닉스(UNIX) 운영 시스템, 리눅스(LINUX) 운영 시스템 등과 같은 다른 적절한 운영 시스템에서도 사용될 수 있다.The operating system manages and controls the operation of the hardware system 800, including data input / output with software applications (not shown). The operating system provides an interface between the software applications running on the system and the hardware components of the system. The operating system according to an embodiment of the present invention may be Microsoft's Windows 95/98 / NT / XP / VISTA operating system. However, the present invention can also be used in other suitable operating systems, such as Apple Computer's Apple Macintosh operating system, UNIX operating system, Linux operating system, and the like.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.The foregoing description of the present invention is intended for illustration, and it will be understood by those skilled in the art that the present invention may be easily modified in other specific forms without changing the technical spirit or essential features of the present invention. will be. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive. For example, each component described as a single entity may be distributed and implemented, and components described as being distributed may also be implemented in a combined form.

본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present invention is shown by the following claims rather than the above description, and all changes or modifications derived from the meaning and scope of the claims and their equivalents should be construed as being included in the scope of the present invention. do.

이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.Although the embodiments of the present invention have been described above with reference to the accompanying drawings, those skilled in the art to which the present invention pertains may implement the present invention in other specific forms without changing the technical spirit or essential features thereof. I can understand that. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.

100: IG-100
300: IG-300100: IG-100
300: IG-300

Claims (5)

네트워크 및 데이터베이스 보안을 위한 통합 게이트웨이 장치에 있어서,
침입차단(Firewall), 침입탐지(IDS), 침입방지(IPS), 터널링 프로토콜인 IPSec을 이용한 가상사설망(VPN) 지원 및 프록시 서버의 웹 캐싱(Web Caching)을 포함하는 보안기능 수행을 지원하도록 구동되고, 하나의 하드웨어에 일체형으로 제작된 통합 게이트웨이 장치.
In the integrated gateway device for network and database security,
Drive to support security functions including firewall, intrusion detection (IDS), intrusion prevention (IPS), virtual private network (VPN) support using IPSec, a tunneling protocol, and web caching of proxy servers And an integrated gateway device integrated into one piece of hardware.
제 1 항에 있어서, 상기 보안기능 수행을 지원하면서, 상기 네트워크에서의 서비스 품질(Qos) 및 세션 관리, 사용자별 실시간 트래픽 확인, 듀얼 광대역 네트워크(WAN), 동적 도메인 네임 시스템(DNS), 네트워크 주소 번역(NAT) 및 웹 사용자 인터페이스 지원을 포함하는 부가기능 수행을 더 지원하도록 구동되는 통합 게이트웨이 장치.
The method of claim 1, wherein the quality of service (Qos) and session management, real-time traffic confirmation per user, dual broadband network (WAN), dynamic domain name system (DNS), and network address are supported while supporting the security function. An integrated gateway device further driven to support performing add-ons, including translation (NAT) and web user interface support.
제 1 항에 있어서, 상기 침입차단과 관련된 보안기능은 인터넷 서비스 형태의 내부 혹은 외부에서의 접속, 침입, 공격을 차단하는 기능, 기록 접근을 통제하는 기능, 패킷에 대해 필터링하는 기능, 해킹차단 기능 및 네트워크 변환 기능을 포함하는 통합 게이트웨이 장치.
The method of claim 1, wherein the security function related to the intrusion prevention function includes a function of blocking access, intrusion, and attack from inside or outside of the Internet service, a function of controlling record access, a function of filtering a packet, and a hacking blocking function. And a network translation function.
제 1 항에 있어서, 상기 침입차단과 관련된 보안기능은 하이브리드 방식을 가지는 상태검사 기법, 컨텐츠 필터링, 유해 사이트 차단, 해킹 자동 감지, 네크워크 접근 통제를 위한 세그먼트 분리 관리 및 세션 통제 관리 기능을 포함하는 통합 게이트웨이 장치.
The security function of claim 1, wherein the security function related to the intrusion prevention is integrated including a hybrid state inspection technique, content filtering, malicious site blocking, automatic detection of hacking, segment separation management and session control management for network access control. Gateway device.
제 1 항에 있어서, 상기 침입탐지와 관련된 보안기능은 네트워크 패킷에 대한 감시로부터 획득한 데이터 및 로깅데이터를 이용하여 수행되거나, 미리 정의된 데이터 사용규칙의 범위를 벗어나는가를 판단하여 수행되는 통합 게이트웨이 장치.The integrated gateway device of claim 1, wherein the security function related to the intrusion detection is performed by using data and logging data obtained from monitoring a network packet or by determining whether the security function is out of a range of a predefined data usage rule. .
KR1020100106607A 2010-10-29 2010-10-29 Unified gateway device for providing dbtabase security KR20120058670A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100106607A KR20120058670A (en) 2010-10-29 2010-10-29 Unified gateway device for providing dbtabase security

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100106607A KR20120058670A (en) 2010-10-29 2010-10-29 Unified gateway device for providing dbtabase security

Publications (1)

Publication Number Publication Date
KR20120058670A true KR20120058670A (en) 2012-06-08

Family

ID=46610107

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100106607A KR20120058670A (en) 2010-10-29 2010-10-29 Unified gateway device for providing dbtabase security

Country Status (1)

Country Link
KR (1) KR20120058670A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101486307B1 (en) * 2013-11-18 2015-01-29 한국전자통신연구원 Apparatus and method for security monitoring
CN106506491A (en) * 2016-11-04 2017-03-15 江苏科技大学 Network safety system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101486307B1 (en) * 2013-11-18 2015-01-29 한국전자통신연구원 Apparatus and method for security monitoring
CN106506491A (en) * 2016-11-04 2017-03-15 江苏科技大学 Network safety system
CN106506491B (en) * 2016-11-04 2019-08-09 江苏科技大学 Network safety system

Similar Documents

Publication Publication Date Title
US11888897B2 (en) Implementing decoys in a network environment
US10298610B2 (en) Efficient and secure user credential store for credentials enforcement using a firewall
US9942270B2 (en) Database deception in directory services
US20180309721A1 (en) Credentials enforcement using a firewall
US9609019B2 (en) System and method for directing malicous activity to a monitoring system
US9860265B2 (en) System and method for identifying exploitable weak points in a network
CA2835954C (en) Malware analysis system
EP3965364A1 (en) Hierarchical risk assessment and remediation of threats in mobile networking environment
US11792008B2 (en) Actively monitoring encrypted traffic by inspecting logs
US8548998B2 (en) Methods and systems for securing and protecting repositories and directories
US20230336524A1 (en) In-line detection of algorithmically generated domains
US20210266293A1 (en) Real-time detection of dns tunneling traffic
US20160344750A1 (en) Apparatus and Method for Characterizing the Risk of a User Contracting Malicious Software
Rahman et al. Holistic approach to arp poisoning and countermeasures by using practical examples and paradigm
KR20120058670A (en) Unified gateway device for providing dbtabase security
Jadhav et al. Detection and mitigation of arp spoofing attack
TWM602225U (en) Information security blind spot detection system for normal network behavior
US20240250968A1 (en) Detecting scanning and attacking uniform resource locators in network traffic
TWI772832B (en) Information security blind spot detection system and method for normal network behavior
Karamagi Comptia Security+ Practice Exams
US20240205240A1 (en) Real-time detection of dns infiltration traffic
US12058171B1 (en) System and method to create disposable jump boxes to securely access private applications
US20240380784A1 (en) Implementing decoys in a network environment
Bills et al. Auditpol/set/Category: System/failure: disable command, 115 Auditpol/set/Category: System
WO2024118315A1 (en) Strategically aged domain detection

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application