KR20170053433A - 방화벽의 이중화 방법 및 이를 위한 장치 - Google Patents

방화벽의 이중화 방법 및 이를 위한 장치 Download PDF

Info

Publication number
KR20170053433A
KR20170053433A KR1020150155947A KR20150155947A KR20170053433A KR 20170053433 A KR20170053433 A KR 20170053433A KR 1020150155947 A KR1020150155947 A KR 1020150155947A KR 20150155947 A KR20150155947 A KR 20150155947A KR 20170053433 A KR20170053433 A KR 20170053433A
Authority
KR
South Korea
Prior art keywords
firewall
firewalls
information
rule information
failure
Prior art date
Application number
KR1020150155947A
Other languages
English (en)
Other versions
KR101763863B1 (ko
Inventor
정현호
김남곤
김복순
김승주
옥기상
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020150155947A priority Critical patent/KR101763863B1/ko
Publication of KR20170053433A publication Critical patent/KR20170053433A/ko
Application granted granted Critical
Publication of KR101763863B1 publication Critical patent/KR101763863B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/55Prevention, detection or correction of errors
    • H04L49/557Error correction, e.g. fault recovery or fault tolerance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 방화벽의 이중화 방법 및 이를 위한 장치를 개시한다. 본 발명의 일 측면에 따른 이기종의 적어도 두 개 이상의 방화벽을 이중화시키기 위한 방화벽 이중화 장치는, 상기 적어도 두 개 이상의 방화벽 중 활성화 상태인 방화벽으로부터 방화벽 룰 정보가 포함된 환경 설정 파일을 수신하여 파싱하여 방화벽 룰 정보를 추출한 후, 상기 추출한 방화벽 룰 정보를 상기 적어도 두 개 이상의 방화벽 중 비활성화 상태인 방화벽의 환경 설정 파일에 적용하는 룰 동기화부;를 포함한다.

Description

방화벽의 이중화 방법 및 이를 위한 장치{METHOD FOR DUPLICATING OF FIREWALL AND APPARATUS THEREOF}
본 발명은 방화벽의 이중화 방법 및 이를 위한 장치에 관한 것으로, 더욱 상세하게는 이기종 방화벽 간의 이중화 방법 및 이를 위한 장치에 관한 것이다.
방화벽은 외부 네트워크와 내부 네트워크 사이에 위치하여 게이트웨이 역할을 하며, 외부의 침입자로부터 내부 네트워크를 보호하고, 내부 네트워크에서 외부 네트워크로 나가는 트래픽을 감시하는 기능을 제공한다.
이러한 방화벽은 라우터, 브리지 등의 패킷 스위치 전용 네트워크 장비들에 비해, 각 트래픽을 처리하는데 있어서 훨씬 복잡한 절차와 정보를 이용한다. 또한, 상기 방화벽은 주로 네트워크의 관문에 위치하게 되는데, 이 위치에 모든 인터넷 서비스 트래픽이 집중되며, 기업의 중요한 외부 네트워크 연결이 이루어진다.
관문 네트워크에 연결되는 장비들은 중요성을 가지며, 가능한 장애가 발생하지 않아야 하고, 장애 발생시에도 신속한 복구가 이루어져야 한다. 따라서, 관문 네트워크의 안정성이 특별히 중요하게 관리되는 환경 하에서는, 회선에서부터 라우터를 비롯한 모든 관문 네트워크를 구성하는 장비들을 이중화하는 네트워크 설계가 일반적으로 요구된다.
한편, 방화벽은 도 1에 도시된 바와 같이 고가용성(High Availability)을 확보하기 위해 이중화로 구성하는 것이 필수적이다.
도 1은 이중화 구성된 방화벽의 구성을 도시한 도면이다.
도 1을 참조하면, 외부 네트워크(10)와 내부 네트워크(20) 사이에 위치한 방화벽(30)(40)은 스위치(50)(60)와 연결되어 마스터 방화벽(30)과 백업 방화벽(40)으로 구성된다.
상기 방화벽(30)(40)은 패킷 플로우에 대한 필터링뿐만 아니라, NAT, DHCP 등 네트워킹 서비스를 제공하기 때문에 서비스의 고가용성을 확보하기 위해 이중화 구성은 필수적이다.
이처럼, 이중화 구성된 방화벽(30)(40)은 마스터 방화벽(30)의 장애 시, 백업 방화벽(40)이 활성화면서 마스터로써 동작하게 되며, 마스터 방화벽(30)은 백업으로 동작하게 된다. 상술한 방화벽(30)(40)의 이중화 구성 기능을 제공하기 위해 VRRP(Virtual Router Redundancy Protocol) 등의 기술이 활용된다.
이처럼, 방화벽(30)(40)을 이중화 구성하기 위해서는 마스터 방화벽(30)과 백업 방화벽(40)에 설정된 방화벽 룰 정보는 항상 동일해야 한다.
상기 이중화 구성된 방화벽(30)(40)은 단일 기종일 경우, 방화벽 룰을 설정하는 문법이나 환경 설정 파일 등은 동일하기 때문에 방화벽 룰을 동기화하거나 룰 백업 및 복구 작업이 용이할 수 있다.
하지만, 서로 다른 벤더의 이기종 방화벽일 경우에는, 룰을 설정하는 문법이나 환경 설정 파일 등이 다르고, 지원하는 HA(High Availability) 프로토콜이 상이할 수 있어, 방화벽의 이중화 구성 및 운용이 쉽지 않은 문제점이 발생한다.
한국공개특허 제2007-0074974호(2007.07.18 공개)
본 발명은 상기와 같은 문제점을 해결하기 위해 제안된 것으로서, 이기종 방화벽 간의 룰을 동기화하고, 장애를 감시하며, 특정한 프로토콜을 사용하지 않고도 장애 극복이 가능하도록 하는 이기종 방화벽 간의 이중화 방법 및 이를 위한 장치를 제공하는데 그 목적이 있다.
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 일 실시 예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.
상기와 같은 목적을 달성하기 위한 본 발명의 일 측면에 따른 이기종의 적어도 두 개 이상의 방화벽을 이중화시키기 위한 방화벽 이중화 장치는, 상기 적어도 두 개 이상의 방화벽 중 활성화 상태인 방화벽으로부터 방화벽 룰 정보가 포함된 환경 설정 파일을 수신하여 파싱하여 방화벽 룰 정보를 추출한 후, 상기 추출한 방화벽 룰 정보를 상기 적어도 두 개 이상의 방화벽 중 비활성화 상태인 방화벽의 환경 설정 파일에 적용하는 룰 동기화부;를 포함한다.
상기 장치는, 상기 활성화 상태인 방화벽의 서비스 상태를 감시하여 장애 발생 여부를 감지하는 장애 감지부; 및 상기 장애 감지부로부터 장애 발생 감지 메시지를 수신하면, 상기 활성화 상태의 방화벽과 연결된 스위치 포트를 차단하고, 상기 비활성화 상태의 방화벽의 스위치 포트를 활성화하는 스위치 제어부;를 더 포함한다.
상기 장애 감지부는, PING, SNMP, Syslog 중 적어도 하나를 통해 방화벽의 서비스 상태를 감시하여 장애 발생 여부를 감지한다.
상기 방화벽 이중화 장치는, 상기 방화벽과 독립적으로 위치하여 동작한다.
상기 방화벽 룰 정보는, Input/Output 패킷 플로우에 대한 필터링 정책, 네트워크 인터페이스 설정정보, 네트워크 서비스 설정정보를 포함한다.
상기 네트워크 인터페이스 설정정보는, VLAN, 브릿지 정보를 포함한다.
상기 네트워크 서비스 설정정보는, NAT, DHCP, 라우터 설정 정보를 포함한다.
상기와 같은 목적을 달성하기 위한 본 발명의 다른 측면에 따른 이기종의 적어도 두 개 이상의 방화벽을 이중화시키기 위한 방화벽 이중화 장치에서의 방화벽 이중화 방법은, 상기 적어도 두 개 이상의 방화벽 중 활성화 상태인 방화벽으로부터 방화벽 룰 정보가 포함된 환경 설정 파일을 수신하는 단계; 상기 환경 설정 파일 중, 활성화 상태인 방화벽의 환경 설정 파일을 파싱하여, 방화벽 룰 정보를 추출하는 단계; 및 상기 추출한 방화벽 룰 정보를 상기 적어도 두 개 이상의 방화벽 중 비활성화 상태인 방화벽의 환경 설정 파일에 적용하여 룰 정보를 동기화하는 단계;를 포함한다.
상기 방법은, 룰 정보를 동기화하는 단계 이후, 상기 활성화 상태인 방화벽의 서비스 상태를 감시하여 장애 발생 여부를 감지하는 장애 감지 단계; 및 장애 발생 감지 메시지를 수신하면, 상기 활성화 상태의 방화벽과 연결된 스위치 포트를 차단하고, 상기 비활성화 상태의 방화벽의 스위치 포트를 활성화하는 스위치 제어 단계;를 더 포함한다.
상기 장애 감지 단계는, PING, SNMP, Syslog 중 적어도 하나를 통해 방화벽의 서비스 상태를 감시하여 장애 발생 여부를 감지한다.
상기 방화벽 이중화 장치는, 상기 방화벽과 독립적으로 위치하여 동작한다.
상기 방화벽 룰 정보는, Input/Output 패킷 플로우에 대한 필터링 정책, 네트워크 인터페이스 설정정보, 네트워크 서비스 설정정보를 포함한다.
상기 네트워크 인터페이스 설정정보는, VLAN, 브릿지 정보를 포함한다.
상기 네트워크 서비스 설정정보는, NAT, DHCP, 라우터 설정 정보를 포함한다.
상기와 같은 목적을 달성하기 위한 본 발명의 다른 측면에 따른 이기종의 적어도 두 개 이상의 방화벽을 이중화하여 서비스를 제공하는 방화벽 이중화 시스템은, 외부 네트워크와 내부 네트워크 사이에 위치하는 활성화 및 비활성화 상태의 이기종의 방화벽; 상기 이기종의 적어도 두 개 이상의 방화벽 간의 룰 정보를 동기화하여 상호 동작을 가능하게 하며, 방화벽의 장애 여부를 감시하고, 상기 방화벽의 장애 발생 감지시 상기 방화벽과 연결된 스위치를 제어하는 방화벽 이중화 장치; 및 상기 방화벽과 네트워크를 연결하여 패킷의 흐름을 중개하는 스위치;를 포함하되, 상기 방화벽 이중화 장치는 상기 방화벽들과 독립적으로 위치하여, 상기 적어도 두 개 이상의 방화벽 중 활성화 상태인 방화벽으로부터 방화벽 룰 정보가 포함된 환경 설정 파일을 수신하여 파싱하여 방화벽 룰 정보를 추출한 후, 상기 추출한 방화벽 룰 정보를 상기 적어도 두 개 이상의 방화벽 중 비활성화 상태인 방화벽의 환경 설정 파일에 적용한다.
본 발명의 일 측면에 따르면, 이기종 방화벽 간의 룰을 동기화하여 방화벽의 이중화 구성 및 운용을 쉽게 할 수 있는 효과가 있다.
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시 예를 예시하는 것이며, 발명을 실시하기 위한 구체적인 내용들과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되어서는 아니 된다.
도 1은 이중화 구성된 방화벽의 구성을 도시한 도면,
도 2는 본 발명의 일 실시 예에 따른 방화벽의 이중화를 위한 시스템의 구성도,
도 3은 본 발명의 일 실시 예에 따른 방화벽 이중화 장치의 구성도이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시 예를 상세히 설명하기로 한다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 “…부” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 2는 본 발명의 일 실시 예에 따른 방화벽의 이중화를 위한 시스템의 구성도, 도 3은 본 발명의 일 실시 예에 따른 방화벽 이중화 장치의 구성도이다.
본 실시 예를 설명함에 있어서, 방화벽은 서로 다른 벤더사에서 제조되어 동작을 위한 환경 설정 파일의 문법이 상이한 이기종의 장치인 것으로 설명한다. 이때, 상기 방화벽의 복수 개 즉, 2개 이상이 설치되어도 관계 없으나, 본 실시 예를 설명함에 있어서 상기 방화벽은 이중화 즉, 2개의 방화벽으로 구성되어 하나는 활성화 상태(Active)인 마스터 방화벽, 또 다른 하나는 비활성화 상태(Standby)인 백업 방화벽인 것으로 설명하기로 한다.
도 2를 참조하면, 본 실시 예에 따른 방화벽(100)(200)의 이중화를 위한 시스템은, 방화벽(100)(200), 스위치(500)(600) 및 방화벽 이중화 장치(700)를 포함한다.
방화벽(100)(200)은 외부 네트워크(400)와 내부 네트워크(300) 사이에 위치하여 게이트웨이 역할을 하며, 외부의 침입자로부터 내부 네트워크(300)를 보호하고, 내부 네트워크(300)에서 외부 네트워크(400)로 나가는 트래픽을 감시하는 기능을 제공한다.
본 실시 예에 따르면, 상기 방화벽(100)(200)은 마스터 방화벽(100) 및 백업 방화벽(200)을 포함한다. 이때, 상기 방화벽(100)(200)은 이기종 즉, 서로 다른 벤더사에서 제조된 것일 수 있다.
마스터 방화벽(100)은 동작이 활성화되어 현재 방화벽 기능을 수행하고 있는 방화벽이며, 백업 방화벽(200)은 상기 마스터 방화벽(100)에 장애가 발생하면 그 기능을 대신 수행하기 위한 비활성화(Standby) 상태의 방화벽을 의미한다.
스위치(500)(600)는 상기 방화벽(마스터 및 백업 방화벽)(100)(200)과 네트워크를 연결하여 패킷의 흐름을 중개하는 것으로, 설정된 목적지로 패킷을 전송하는 역할을 한다. 본 실시 예에 따르면, 상기 방화벽(마스터 및 백업 방화벽)(100)(200)과 내부 네트워크(300)를 연결하는 스위치(500)는 L2 스위치, 상기 방화벽(마스터 및 백업 방화벽)(100)(200)과 외부 네트워크(400)를 연결하는 스위치(600)는 L3 스위치일 수 있다.
방화벽 이중화 장치(700)는 이기종 방화벽(100)(200) 간의 룰 정보를 동기화하여 상호 동작을 가능하게 할 수 있으며, 방화벽(100)(200)의 장애 여부를 감시하고, 상기 방화벽(100)(200)의 장애 발생 감지시 상기 방화벽(100)(200)과 연결된 스위치(500)(600)를 제어할 수 있다.
이때, 상기 방화벽 이중화 장치(700)는 상기 방화벽(100)(200)의 외부에 설치되어 운용함으로써, 상기 방화벽(100)(200)에 종속적이지 않고 독립적으로 활용이 가능하다.
도 3에 도시된 바와 같이, 상기 방화벽 이중화 장치(700)는 룰 동기화부(310), 장애 감지부(330) 및 스위치 제어부(350)를 포함한다.
룰 동기화부(310)는 이기종 방화벽(100)(200) 간의 방화벽 룰 정보를 동기화한다. 상기 방화벽 룰 정보는, Input/Output 패킷 플로우에 대한 필터링 정책, 네트워크 인터페이스 설정정보(VLAN, 브릿지 정보 등), 네트워크 서비스 설정정보(NAT, DHCP, 라우터 설정 정보 등)일 수 있다. 상기 방화벽 룰 정보는 Full running config 파일에 포함될 수 있다. 상기 Full running config 파일은 방화벽(100)(200) 동작을 위한 설정 정보가 포함된 환경 설정 파일이다. 이때, 상기 Full running config 파일에는 방화벽 룰 정보가 포함될 수 있다. 상기 환경 설정 파일은 장비의 벤더사가 다를 경우 구성 및 문법이 상이할 수 있다.
상기 룰 동기화부(310)는 방화벽 룰 정보가 포함된 환경 설정 파일을 방화벽(100)(200)으로부터 주기적으로 또는, 사용자의 요청에 의해 수신할 수 있다. 예컨대, 상기 룰 동기화부(310)는 기 설정된 시간이되면 방화벽(100)(200)으로부터 방화벽 룰 정보가 포함된 환경 설정 파일을 수신할 수 있다. 상기 시간은 사전에 사용자가 임의로 설정할 수 있으며, 상기 룰 동기화부(310)는 상기 시간이 되면 방화벽(100)(200)으로 환경 설정 파일 전송 요청 메시지를 전송하여, 상기 방화벽(100)(200)으로부터 룰 정보가 포함된 환경 설정 파일을 수신할 수 있다. 또한, 상기 룰 동기화부(310)는 방화벽 룰 정보의 변경 발생시 상기 방화벽(100)(200)으로부터 방화벽 룰 정보가 포함된 환경 설정 파일을 수신할 수 있다. 그리고, 상기 룰 동기화부(310)는 사용자가 원격으로 방화벽(100)(200)에 접속하여 방화벽 룰 정보가 포함된 환경 설정 파일을 가져올 수도 있다.
보다 자세하게, 상기 룰 동기화부(310)는 마스터 방화벽(100)으로부터 수신한 환경 설정 파일을 파싱(parsing)하여 프리미티브(Primitive) 정보를 추출한 후, 이를 백업 방화벽(200)의 환경 설정 파일의 문법에 맞게 변환 적용할 수 있다. 이때, 상기 프리미티브(Primitive) 정보는 방화벽 룰 정보일 수 있다. 예컨대, 상기 룰 동기화부(310)는 백업 방화벽(200)의 환경 설정 파일을 분석한 후, 마스터 방화벽(100)의 환경 설정 파일에서 추출한 프리미티브(Primitive) 정보를 상기 분석된 백업 방화벽(200)의 환경 설정 파일 내에 방화벽 룰 정보에 적용시킬 수 있다. 이에 따라, 상기 두 방화벽(마스터 방화벽(100) 및 백업 방화벽(200))의 방화벽 룰 정보는 동기화된다.
장애 감지부(330)는 방화벽(100)(200)의 서비스 상태를 감시하여 장애 발생 여부를 감지할 수 있다. 상기 장애 감지부(330)는 방화벽(100)(200)의 환경설정 정보 및 접속용 IP 주소 등을 저장하고 관리할 수 있다.
상기 장애 감지부(330)는 PING, SNMP(Simple Network Management Protocol), Syslog 등을 통해 방화벽(100)(200)의 서비스 상태를 감시하여 장애 발생 여부를 감지할 수 있다. 예컨대, 상기 장애 감지부(330)는 방화벽(100)(200)에 PING 신호(ICMP(Internet Control Message Protocol)를 이용한 핑 테스트 신호)를 전송하고 수신하여 방화벽(100)(200)의 장애 여부를 감지할 수 있다. 즉, 상기 장애 감지부(330)는 방화벽(100)(200)에 PING 테스트를 수행하여 응답이 없거나, 타임 아웃 현상이 발생하면 장애 상황으로 인식할 수 있다. 또한, 상기 장애 감지부(330)는 SNMP 프로토콜을 이용해 방화벽(100)(200)에 접속하여 주기적으로 방화벽(100)(200)의 정보를 수신하여 방화벽(100)(200)의 장애 여부를 감지할 수 있다. 또한, 상기 장애 감지부(330)는 방화벽(100)(200)으로부터 Syslog 정보를 수신하고 방화벽(100)(200)의 활성화/비활성화와 관련된 정보를 추출하여 상기 방화벽(100)(200)의 장애 여부를 감지할 수 있다.
또한, 방화벽(100)(200) 내에 별도로 장애를 감시할 수 있는 에이전트를 설치하여 방화벽(100)(200)의 장애를 감지할 수 있다. 이때, 상기 장애 감지부(330)는 상기 에이전트로부터 장애 감지 메시지를 수신하면, 방화벽(100)(200)의 장애 발생 여부를 감지할 수 있다.
상기 장애 감지부(330)는 장애 발생 여부를 감지하면, 스위치 제어부(350)로 메시지를 전송하여 상기 스위치 제어부(350)가 방화벽(100)(200) 간의 절체(Failover)를 수행하도록 할 수 있다.
스위치 제어부(350)는 방화벽(100)(200) 간의 절체(Failover)를 수행할 수 있다. 상기 스위치 제어부(350)는 시스템에 존재하는 스위치(500)(600)들의 포트 정보를 저장하고 관리할 수 있다. 상기 스위치(500)(600)들의 포트 정보는 방화벽(100)(200)의 식별 정보와 매핑되어 저장될 수 있다.
보다 자세하게, 상기 스위치 제어부(350)는 상기 장애 감지부(330)로부터 장애 발생 감지 메시지를 수신하면, 상기 장애가 발생한 방화벽(예컨대, 마스터 방화벽(100))과 연결된 스위치(500)(600) 포트를 차단하고, 비활성화(Standby) 상태의 방화벽(예컨대, 백업 방화벽(200))의 스위치(500)(600) 포트를 활성화하여 방화벽(100)(200)의 절체를 수행함으로써 계속적인 서비스가 제공되도록 할 수 있다.
하기, 상술한 바와 같은 본 발명의 실시 예에 따른 방화벽 이중화 장치(700)의 구성에 따른 방화벽(100)(200)의 이중화 구성을 위한 방법에 대해 설명하기로 한다.
본 실시 예에 따른 방화벽(100)(200)은 서로 다른 벤더사에서 제조된 이기종의 방화벽(100)(200)이 이중화된 형태인 것으로 설명한다. 이때, 하나의 방화벽은 활성화(Active) 상태인 마스터 방화벽(100)이고, 다른 하나의 방화벽은 비활성화(Standby) 상태의 백업 방화벽(200)이다.
본 실시 예를 설명함에 있어서, 방화벽 이중화 장치(700)는 방화벽(마스터 방화벽(100) 및 백업 방화벽(200))에 종속적이지 않고 독립적으로 위치하여 상기 방화벽(100)(200)의 룰 정보를 동기화한다. 즉, 상기 방화벽 이중화 장치(700)는 방화벽(100)(200)의 외부에 별도로 설치되어 동작할 수 있다.
우선, 상기 방화벽 이중화 장치(700)는 방화벽 룰 정보가 포함된 환경 설정 파일을 방화벽(100)(200)으로부터 주기적으로 또는, 사용자의 요청에 의해 수신할 수 있다. 예컨대, 상기 방화벽 이중화 장치(700)는 기 설정된 시간이되면, 방화벽(100)(200)으로부터 방화벽 룰 정보가 포함된 환경 설정 파일을 수신할 수 있다. 상기 시간은 사전에 사용자가 임의로 설정할 수 있으며, 상기 방화벽 이중화 장치(700)는 상기 시간이 되면 방화벽(100)(200)으로 환경 설정 파일 전송 요청 메시지를 전송하여, 상기 방화벽(100)(200)으로부터 룰 정보가 포함된 환경 설정 파일을 수신할 수 있다. 또한, 상기 방화벽 이중화 장치(700)는 방화벽 룰 정보의 변경 발생시 상기 방화벽(100)(200)으로부터 방화벽 룰 정보가 포함된 환경 설정 파일을 수신할 수 있다. 그리고, 상기 방화벽 이중화 장치(700)는 사용자가 원격으로 방화벽(100)(200)에 접속하여 방화벽 룰 정보가 포함된 환경 설정 파일을 가져올 수도 있다.
보다 자세하게, 상기 방화벽 이중화 장치(700)는 마스터 방화벽(100)으로부터 수신한 환경 설정 파일을 파싱(parsing)하여 프리미티브(Primitive) 정보를 추출한 후, 이를 백업 방화벽(200)의 환경 설정 파일의 문법에 맞게 변환 적용할 수 있다. 이때, 상기 프리미티브(Primitive) 정보는 방화벽 룰 정보일 수 있다. 예컨대, 상기 방화벽 이중화 장치(700)는 백업 방화벽(200)의 환경 설정 파일을 분석한 후, 마스터 방화벽(100)의 환경 설정 파일에서 추출한 프리미티브(Primitive) 정보를 상기 분석된 백업 방화벽(200)의 환경 설정 파일 내에 방화벽 룰 정보에 적용시킬 수 있다. 이에 따라, 상기 두 방화벽(마스터 방화벽(100) 및 백업 방화벽(200))의 방화벽 룰 정보는 동기화된다.
한편, 본 실시 예에 따른 방화벽 이중화 장치(700)는 상술한 바와 같이 이기종 간의 방화벽(100)(200)을 동기화한 이후, 서비스 이용을 감시하여 장애가 발생하면 스위치(500)(600)를 제어하는 기능을 수행할 수 있다.
즉, 방화벽 이중화 장치(700)는 이중화된 방화벽(100)(200)의 서비스 상태를 감시하여 장애 발생 여부를 감지할 수 있다. 이때, 상기 방화벽 이중화 장치(700)는 방화벽(100)(200)의 환경설정 정보 및 접속용 IP 주소 등을 저장하고 관리할 수 있다.
상기 방화벽 이중화 장치(700)는 PING, SNMP(Simple Network Management Protocol), Syslog 등을 통해 방화벽(100)(200)의 서비스 상태를 감시하여 장애 발생 여부를 감지할 수 있다. 예컨대, 상기 장애 감지부(330)는 방화벽(100)(200)에 PING 신호(ICMP(Internet Control Message Protocol)를 이용한 핑 테스트 신호)를 전송하고 수신하여 방화벽(100)(200)의 장애 여부를 감지할 수 있다. 즉, 상기 방화벽 이중화 장치(700)는 방화벽(100)(200)에 PING 테스트를 수행하여 응답이 없거나, 타임 아웃 현상이 발생하면 장애 상황으로 인식할 수 있다. 또한, 상기 방화벽 이중화 장치(700)는 SNMP 프로토콜을 이용해 방화벽(100)(200)에 접속하여 주기적으로 방화벽(100)(200)의 정보를 수신하여 방화벽(100)(200)의 장애 여부를 감지할 수 있다. 또한, 상기 방화벽 이중화 장치(700)는 방화벽(100)(200)으로부터 Syslog 정보를 수신하고 방화벽(100)(200)의 활성화/비활성화와 관련된 정보를 추출하여 상기 방화벽(100)(200)의 장애 여부를 감지할 수 있다.
상기 방화벽 이중화 장치(700)는 상술한 바와 같은 방법들에 의해 장애 발생 여부를 감지하면, 스위치(500)(600) 제어를 통해 방화벽(100)(200) 간의 절체(Failover)를 수행하도록 할 수 있다.
상기 방화벽 이중화 장치(700)는 시스템에 존재하는 스위치(500)(600)들의 포트 정보를 저장하고 관리할 수 있으며, 상기 스위치(500)(600)들의 포트 정보는 방화벽(100)(200)의 식별 정보와 매핑되어 저장될 수 있다.
보다 자세하게, 상기 방화벽 이중화 장치(700)는 장애 발생을 감지하면, 상기 장애가 발생한 방화벽(예컨대, 마스터 방화벽(100))과 연결된 스위치(500)(600) 포트를 차단하고, 비활성화(Standby) 상태의 방화벽(예컨대, 백업 방화벽(200))의 스위치(500)(600) 포트를 활성화하여 방화벽(100)(200)의 절체를 수행함으로써 계속적인 서비스가 제공되도록 할 수 있다.
상술한 바에 따르면, 본 발명은 이기종 방화벽(100)(200) 간의 룰을 동기화하여 방화벽(100)(200)의 이중화 구성 및 운용을 쉽게 할 수 있다.
또한, 본 발명에 따른 방화벽 이중화 장치(700)는 방화벽(100)(200)과는 독립적으로 존재하므로, 특정 방화벽(100)(200)의 기능에 의존적이지 않아 방화벽(100)(200)의 추가를 용이하게 할 수 있다.
또한, 이중화 기능을 제공하기 위해 별도의 프로토콜(예컨대, VRRP)을 사용하지 않고, 범용적인 네트워크 프로토콜(예컨대, SNMP, SYSLOG, PING 등)을 활용할 수 있다.
본 발명의 실시예에 따른 방법들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어, 컴퓨터에서 판독 가능한 기록매체에 기록될 수 있다. 상기 컴퓨터에서 판독 가능한 기록매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터에서 판독 가능한 기록매체에는 ROM, RAM, CD-ROM, 자기테이프, 플로피디스크, 광데이터 저장장치 등을 포함할 수 있으며, 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터에서 판독가능한 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 아니 된다. 또한, 본 명세서의 개별적인 실시 예에서 설명된 특징들은 단일 실시 예에서 결합되어 구현될 수 있다. 반대로, 본 명세서의 단일 실시 예에서 설명된 다양한 특징들은 개별적으로 다양한 실시 예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시 예에서 다양한 시스템 구성요소의 구분은 모든 실시 예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 앱 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것은 아니다.
100 : 마스터 방화벽
200 : 백업 방화벽
300 : 내부 네트워크
310 : 룰 동기화부
330 : 장애 감지부
350 : 스위치 제어부
400 : 외부 네트워크
500, 600 : 스위치
700 : 방화벽 이중화 장치

Claims (15)

  1. 이기종의 적어도 두 개 이상의 방화벽을 이중화시키기 위한 방화벽 이중화 장치에 있어서,
    상기 적어도 두 개 이상의 방화벽 중 활성화 상태인 방화벽으로부터 방화벽 룰 정보가 포함된 환경 설정 파일을 수신하여 파싱하여 방화벽 룰 정보를 추출한 후, 상기 추출한 방화벽 룰 정보를 상기 적어도 두 개 이상의 방화벽 중 비활성화 상태인 방화벽의 환경 설정 파일에 적용하는 룰 동기화부;를 포함하는 방화벽 이중화 장치.
  2. 제 1 항에 있어서,
    상기 활성화 상태인 방화벽의 서비스 상태를 감시하여 장애 발생 여부를 감지하는 장애 감지부; 및
    상기 장애 감지부로부터 장애 발생 감지 메시지를 수신하면, 상기 활성화 상태의 방화벽과 연결된 스위치 포트를 차단하고, 상기 비활성화 상태의 방화벽의 스위치 포트를 활성화하는 스위치 제어부;를 더 포함하는 방화벽 이중화 장치.
  3. 제 2 항에 있어서,
    상기 장애 감지부는,
    PING, SNMP, Syslog 중 적어도 하나를 통해 방화벽의 서비스 상태를 감시하여 장애 발생 여부를 감지하는 방화벽 이중화 장치.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 방화벽 이중화 장치는,
    상기 방화벽과 독립적으로 위치하여 동작하는 방화벽 이중화 장치.
  5. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 방화벽 룰 정보는,
    Input/Output 패킷 플로우에 대한 필터링 정책, 네트워크 인터페이스 설정정보, 네트워크 서비스 설정정보를 포함하는 방화벽 이중화 장치.
  6. 제 5 항에 있어서,
    상기 네트워크 인터페이스 설정정보는,
    VLAN, 브릿지 정보를 포함하는 방화벽 이중화 장치.
  7. 제 5 항에 있어서,
    상기 네트워크 서비스 설정정보는,
    NAT, DHCP, 라우터 설정 정보를 포함하는 방화벽 이중화 장치.
  8. 이기종의 적어도 두 개 이상의 방화벽을 이중화시키기 위한 방화벽 이중화 장치에서의 방화벽 이중화 방법으로서,
    상기 적어도 두 개 이상의 방화벽 중 활성화 상태인 방화벽으로부터 방화벽 룰 정보가 포함된 환경 설정 파일을 수신하는 단계;
    상기 환경 설정 파일 중, 활성화 상태인 방화벽의 환경 설정 파일을 파싱하여, 방화벽 룰 정보를 추출하는 단계; 및
    상기 추출한 방화벽 룰 정보를 상기 적어도 두 개 이상의 방화벽 중 비활성화 상태인 방화벽의 환경 설정 파일에 적용하여 룰 정보를 동기화하는 단계;를 포함하는 방화벽 이중화 방법.
  9. 제 8 항에 있어서,
    룰 정보를 동기화하는 단계 이후,
    상기 활성화 상태인 방화벽의 서비스 상태를 감시하여 장애 발생 여부를 감지하는 장애 감지 단계; 및
    장애 발생 감지 메시지를 수신하면, 상기 활성화 상태의 방화벽과 연결된 스위치 포트를 차단하고, 상기 비활성화 상태의 방화벽의 스위치 포트를 활성화하는 스위치 제어 단계;를 더 포함하는 방화벽 이중화 방법.
  10. 제 9 항에 있어서,
    상기 장애 감지 단계는,
    PING, SNMP, Syslog 중 적어도 하나를 통해 방화벽의 서비스 상태를 감시하여 장애 발생 여부를 감지하는 방화벽 이중화 방법.
  11. 제 8 항 내지 제 10 항 중 어느 한 항에 있어서,
    상기 방화벽 이중화 장치는,
    상기 방화벽과 독립적으로 위치하여 동작하는 방화벽 이중화 방법.
  12. 제 8 항 내지 제 10 항 중 어느 한 항에 있어서,
    상기 방화벽 룰 정보는,
    Input/Output 패킷 플로우에 대한 필터링 정책, 네트워크 인터페이스 설정정보, 네트워크 서비스 설정정보를 포함하는 방화벽 이중화 방법.
  13. 제 12 항에 있어서,
    상기 네트워크 인터페이스 설정정보는,
    VLAN, 브릿지 정보를 포함하는 방화벽 이중화 방법.
  14. 제 12 항에 있어서,
    상기 네트워크 서비스 설정정보는,
    NAT, DHCP, 라우터 설정 정보를 포함하는 방화벽 이중화 방법.
  15. 이기종의 적어도 두 개 이상의 방화벽을 이중화하여 서비스를 제공하는 방화벽 이중화 시스템에 있어서,
    외부 네트워크와 내부 네트워크 사이에 위치하는 활성화 및 비활성화 상태의 이기종의 방화벽;
    상기 이기종의 적어도 두 개 이상의 방화벽 간의 룰 정보를 동기화하여 상호 동작을 가능하게 하며, 방화벽의 장애 여부를 감시하고, 상기 방화벽의 장애 발생 감지시 상기 방화벽과 연결된 스위치를 제어하는 방화벽 이중화 장치; 및
    상기 방화벽과 네트워크를 연결하여 패킷의 흐름을 중개하는 스위치;를 포함하되,
    상기 방화벽 이중화 장치는 상기 방화벽들과 독립적으로 위치하여, 상기 적어도 두 개 이상의 방화벽 중 활성화 상태인 방화벽으로부터 방화벽 룰 정보가 포함된 환경 설정 파일을 수신하여 파싱하여 방화벽 룰 정보를 추출한 후, 상기 추출한 방화벽 룰 정보를 상기 적어도 두 개 이상의 방화벽 중 비활성화 상태인 방화벽의 환경 설정 파일에 적용하는 방화벽 이중화 시스템.
KR1020150155947A 2015-11-06 2015-11-06 방화벽의 이중화 방법 및 이를 위한 장치 KR101763863B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150155947A KR101763863B1 (ko) 2015-11-06 2015-11-06 방화벽의 이중화 방법 및 이를 위한 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150155947A KR101763863B1 (ko) 2015-11-06 2015-11-06 방화벽의 이중화 방법 및 이를 위한 장치

Publications (2)

Publication Number Publication Date
KR20170053433A true KR20170053433A (ko) 2017-05-16
KR101763863B1 KR101763863B1 (ko) 2017-08-01

Family

ID=59035242

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150155947A KR101763863B1 (ko) 2015-11-06 2015-11-06 방화벽의 이중화 방법 및 이를 위한 장치

Country Status (1)

Country Link
KR (1) KR101763863B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210081981A (ko) * 2019-12-24 2021-07-02 주식회사 케이티 이중화 회선 자동 절체를 위한 장치 및 방법
CN114301638A (zh) * 2021-12-13 2022-04-08 山石网科通信技术股份有限公司 防火墙规则复现的方法和装置、存储介质及处理器
CN115442456A (zh) * 2022-09-16 2022-12-06 北京惠而特科技有限公司 一种基于工业协议的双主冗余备份方法及系统

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102497857B1 (ko) * 2017-12-11 2023-02-07 대우조선해양 주식회사 이중화 신호처리 방식을 이용한 음향측심기
KR102411941B1 (ko) 2021-11-12 2022-06-22 한진구 방화벽 이중화 시스템

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101239217B1 (ko) * 2011-12-09 2013-03-06 시큐아이닷컴 주식회사 고가용성 시스템, 고가용성 시스템의 장치 동기화 방법, 및 고가용성 시스템의 장치 관리 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210081981A (ko) * 2019-12-24 2021-07-02 주식회사 케이티 이중화 회선 자동 절체를 위한 장치 및 방법
CN114301638A (zh) * 2021-12-13 2022-04-08 山石网科通信技术股份有限公司 防火墙规则复现的方法和装置、存储介质及处理器
CN114301638B (zh) * 2021-12-13 2024-02-06 山石网科通信技术股份有限公司 防火墙规则复现的方法和装置、存储介质及处理器
CN115442456A (zh) * 2022-09-16 2022-12-06 北京惠而特科技有限公司 一种基于工业协议的双主冗余备份方法及系统

Also Published As

Publication number Publication date
KR101763863B1 (ko) 2017-08-01

Similar Documents

Publication Publication Date Title
KR101763863B1 (ko) 방화벽의 이중화 방법 및 이를 위한 장치
US10567340B2 (en) Data center system
US9965368B2 (en) High-availability cluster architecture and protocol
EP1648136B1 (en) Intelligent integrated network security device for high-availability applications
US9716616B2 (en) Active IP forwarding in an event driven virtual link aggregation (vLAG) system
EP2037364B1 (en) Method and system for assigning a plurality of macs to a plurality of processors
WO2016023436A1 (zh) 一种虚拟路由器冗余协议故障检测的方法及路由设备
US9602304B2 (en) Data transfer device system, network system, and method of changing configuration of network system
JP6278818B2 (ja) 中継システムおよびスイッチ装置
EP2733907B1 (en) Method, local gateway, and system for local voice survivability
US8477598B2 (en) Method and system for implementing network element-level redundancy
WO2017008641A1 (zh) 冗余端口的切换方法及装置
US7769862B2 (en) Method and system for efficiently failing over interfaces in a network
WO2016146022A1 (en) Preventing multiple conflicting stacks
CN109547873A (zh) 一种基于单向光闸的实现双机热备的处理方法及装置
CN112995316A (zh) 数据处理方法、装置、电子设备和存储介质
US8570877B1 (en) Preparing for planned events in computer networks
JP2008199081A (ja) ファイアウォール装置およびファイアウォールシステム
US8903991B1 (en) Clustered computer system using ARP protocol to identify connectivity issues
JP2007027954A (ja) パケットネットワークおよびレイヤ2スイッチ
KR20230026907A (ko) 방화벽 이중화 시스템
US8553531B2 (en) Method and system for implementing network element-level redundancy
US8547828B2 (en) Method and system for implementing network element-level redundancy
CN104901880A (zh) 一种业务运行的方法及装置
GB2455075A (en) A network controller for mirroring server applications

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant