KR20180102884A - 방화벽 및 이의 패킷 처리 방법 - Google Patents

방화벽 및 이의 패킷 처리 방법 Download PDF

Info

Publication number
KR20180102884A
KR20180102884A KR1020170029601A KR20170029601A KR20180102884A KR 20180102884 A KR20180102884 A KR 20180102884A KR 1020170029601 A KR1020170029601 A KR 1020170029601A KR 20170029601 A KR20170029601 A KR 20170029601A KR 20180102884 A KR20180102884 A KR 20180102884A
Authority
KR
South Korea
Prior art keywords
packet
content
security policy
address
destination
Prior art date
Application number
KR1020170029601A
Other languages
English (en)
Inventor
하성진
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020170029601A priority Critical patent/KR20180102884A/ko
Publication of KR20180102884A publication Critical patent/KR20180102884A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명의 실시 예에 따른 방화벽의 패킷 처리 방법은, 패킷이 수신되면, 모든 컨텐츠 ID를 포함하는 컨텐츠 차단 조건과 1차 차단 대상의 5 튜플(5 TUPLE) 정보를 포함하는 제1 보안정책에 따라 상기 패킷의 차단 여부를 1차적으로 결정하는 단계와, 상기 제1 보안정책에 의해 전달이 허용된 패킷에 한하여 상기 패킷에 포함된 컨텐츠를 추출하는 단계와, 상기 컨텐츠와 제2 보안정책에 포함된 2차 차단 대상의 컨텐츠 ID를 매칭하여 상기 패킷의 차단 여부를 2차적으로 결정하는 단계를 포함한다.

Description

방화벽 및 이의 패킷 처리 방법{FIREWALL AND PROCESSING METHOD FOR PACKET THEREOF}
본 발명의 실시 예는 방화벽 및 이의 패킷 처리 방법에 관한 것이다.
일반적으로 네트워크와 인터넷 간의 정보보안은 송신측 방향 또는 수신측 방향의 트래픽을 허용 및 차단하는 방화벽에 의해 이루어진다. 네트워크를 이용한 불법적인 접근은 다양한 국가에서 다양한 유해 아이피와 포트를 통해 일어나고 있다. 또한, 이메일, 피싱, 파밍 등의 다양한 공격 방법에 의해 선량한 내부사용자가 악의적인 공격의 주체, 예컨대 좀비 PC, 봇넷 등이 될 수 있으며, 이 같은 환경에서 외부로부터 행해지는 공격과, 내부로부터 이루어지는 악의적 행위(유해 IP로의 접속)가 모두 확인되어야 할 필요가 있다.
종래의 방화벽 장치로서는, 단순하게 송신지 IP주소, 목적지 IP주소, 프로토콜, 송신지 프로토콜 포트, 목적지 프로토콜 포트로 구성된 5 튜플(Tuple) 정보를 기초로하여 유입되는 패킷을 처리하는 방화벽 장치와, 5 튜플 정보와 더불어 DPI(Deep Packet Inspection)기술을 활용하여 패킷의 내부(PDU: Protocol Data Unit) 내용을 바탕으로 포함된 내용 기반으로 패킷을 처리하는 고가의 방화벽 장치로 구분된다.
단순히 5 튜플 정보를 기초로한 방화벽 장치는 5 튜플 정보가 포함된 항목별 기본 정책 및/또는 한가지 이상의 혼합 정책으로 유입 패킷을 처리하며, 방화벽 관리자는 사전에 5 튜플 정보를 이용하여 정책을 수립하고 이를 방화벽 장치에 반영한다.
한편, 고가의 DPI 기술을 이용하는 방화벽 장치인 경우, 패킷의 내부 내용을 확인하여야 하기 때문에 패킷을 빠르게 처리할 수 있는 고속의 패킷 프로세서가 일반적으로 사용된다.
본 발명이 이루고자 하는 기술적인 과제는, 5 튜플 정보와 DPI 정보를 이용하여 패킷의 유효성을 빠른 속도로 검사할 수 있는 방화벽 및 이의 패킷 처리 방법을 제공하는 것이다.
본 발명의 실시 예에 따른 방화벽의 패킷 처리 방법은, 패킷이 수신되면, 모든 컨텐츠 ID를 포함하는 컨텐츠 차단 조건과 1차 차단 대상의 5 튜플(5 TUPLE) 정보를 포함하는 제1 보안정책에 따라 상기 패킷의 차단 여부를 1차적으로 결정하는 단계와, 상기 제1 보안정책에 의해 전달이 허용된 패킷에 한하여 상기 패킷에 포함된 컨텐츠를 추출하는 단계와, 상기 컨텐츠와 제2 보안정책에 포함된 2차 차단 대상의 컨텐츠 ID를 매칭하여 상기 패킷의 차단 여부를 2차적으로 결정하는 단계를 포함한다.
실시 예에 따라, 상기 패킷의 차단 여부를 1차적으로 결정하는 단계는, 세션 관리를 통해 상기 패킷이 유효한 것으로 인증되면 수행될 수 있다.
실시 예에 따라, 상기 제1 보안정책은 상기 1차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 모드 정보, 및 상기 모든 컨텐츠 ID를 포함하는 상기 컨텐츠 차단 조건을 포함할 수 있다.
실시 예에 따라, 상기 패킷의 차단 여부를 1차적으로 결정하는 단계는, 상기 패킷에 포함된 상기 컨텐츠와 상관없이, 상기 패킷에 포함된 식별 정보가 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보와 매칭되는 경우, 상기 패킷을 차단할 수 있다.
실시 예에 따라, 상기 제2 보안정책은 상기 2차 차단 대상의 상기 컨텐츠 ID와, 상기 2차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보를 포함할 수 있다.
실시 예에 따라, 상기 패킷의 차단 여부를 2차적으로 결정하는 단계는, 상기 컨텐츠와 상기 컨텐츠 ID가 매칭되지 않는 경우, 상기 패킷을 허용할 수 있다.
실시 예에 따라, 상기 패킷의 차단 여부를 2차적으로 결정하는 단계는, 상기 컨텐츠가 상기 컨텐츠 ID가 매칭되는 경우, 상기 컨텐츠를 포함하는 상기 패킷을 차단할 수 있다.
실시 예에 따라, 상기 패킷의 차단 여부를 2차적으로 결정하는 단계는, 상기 컨텐츠와 상기 컨텐츠 ID가 매칭되는 경우, 상기 패킷에 포함된 식별 정보와 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보를 매칭하고, 상기 식별 정보가 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보와 매칭되는 경우, 상기 패킷을 차단할 수 있다.
본 발명의 다른 실시 예에 따른 방화벽은, 모든 컨텐츠 ID를 포함하는 컨텐츠 차단 조건 및 1차 차단 대상의 5 튜플 정보를 포함하는 제1 보안정책과, 2차 차단 대상의 컨텐츠 ID를 포함하는 제2 보안정책에 따라, 패킷의 차단 여부를 결정하는 보안정책 검사부와, 상기 패킷에 포함된 컨텐츠를 추출하는 컨텐츠 인지부를 포함하고, 상기 보안정책 검사부는, 상기 제1 보안정책에 따라 상기 패킷의 차단 여부를 결정한 후, 전달이 허용된 패킷에 한하여 상기 제2 보안정책에 따라 상기 패킷의 차단 여부를 결정한다.
실시 예에 따라, 상기 패킷의 유효성을 판단하여 유효한 것으로 인증된 패킷만을 상기 보안정책 검사부에 제공하는 세션관리부를 더 포함하는 방화벽.
실시 예에 따라, 상기 제1 보안정책은 상기 1차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 모드 정보, 및 상기 모든 컨텐츠 ID를 포함하는 상기 컨텐츠 차단 조건을 포함할 수 있다.
실시 예에 따라, 상기 보안정책 검사부는, 상기 패킷에 포함된 식별 정보와 상기 제1 보안정책을 매칭하고, 상기 식별 정보와 상기 제1 보안정책이 매칭되는 경우, 상기 패킷을 차단할 수 있다.
실시 예에 따라, 상기 제2 보안정책은 상기 2차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보를 더 포함할 수 있다.
실시 예에 따라, 상기 보안정책 검사부는, 상기 컨텐츠와 상기 컨텐츠 ID를 매칭하고, 상기 컨텐츠와 상기 컨텐츠 ID가 매칭되는 경우, 상기 컨텐츠를 포함하는 상기 패킷을 차단할 수 있다.
실시 예에 따라, 상기 보안정책 검사부는, 상기 컨텐츠와 상기 컨텐츠 ID를 매칭하고, 상기 컨텐츠와 상기 컨텐츠 ID가 매칭되는 경우, 상기 패킷에 포함된 식별 정보와 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보를 매칭하고, 상기 식별 정보가 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보와 매칭되는 경우, 상기 패킷을 차단할 수 있다.
본 발명의 실시 예에 따른 방화벽 및 이의 패킷 처리 방법에 의하면, 유효한 것으로 판단된 패킷에 대해서만 선별적으로 컨텐츠 매칭을 수행함으로써, 모든 패킷의 컨텐츠를 인지할 필요없이 선택된 패킷에 대해서만 빠르게 악성 패킷 여부를 검사할 수 있다.
도 1은 본 발명의 실시 예에 따른 방화벽의 패킷 처리 방법을 설명하기 위한 개념도이다.
도 2는 본 발명의 실시 예에 따른 방화벽의 개략적인 블록도이다.
도 3은 본 발명의 실시 예에 따른 방화벽의 패킷 처리 방법을 설명하기 위한 순서도이다.
도 4는 본 발명의 다른 실시 예에 따른 방화벽의 패킷 처리 방법을 설명하기 위한 순서도이다.
본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태들로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.
본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에서 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 벗어나지 않은 채, 제1구성 요소는 제2구성 요소로 명명될 수 있고 유사하게 제2구성 요소는 제1구성 요소로도 명명될 수 있다.
본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 본 명세서에 기재된 특징, 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 나타낸다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
본 명세서에서 방화벽이라 함은 본 발명의 실시 예에 따른 방법을 수행하기 위한 하드웨어 또는 상기 하드웨어를 구동할 수 있는 소프트웨어의 기능적 또는 구조적 결합을 의미할 수 있다. 따라서, 상기 모듈은 프로그램 코드와 상기 프로그램 코드를 수행할 수 있는 하드웨어 리소스(resource)의 논리적 단위 또는 집합을 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나 한 종류의 하드웨어를 의미하는 것은 아니다.
도 1은 본 발명의 실시 예에 따른 방화벽의 패킷 처리 방법을 설명하기 위한 개념도이고, 도 2는 본 발명의 실시 예에 따른 방화벽의 개략적인 블록도이다.
도 1을 참조하면, 클라이언트(200)는 방화벽(100)과 접속되며, 방화벽(100)을 통해 서버(300)로부터 수신되는 패킷에 응답하여 동작을 수행할 수 있다.
예컨대, 클라이언트(200)는 PC, 스마트 폰(smart phone), 태블릿(tablet) PC, 모바일 인터넷 장치(mobile internet device(MID)), 인터넷 태블릿, IoT(internet of things) 장치, IoE(internet of everything) 장치, 데스크 탑 컴퓨터(desktop computer), 랩탑(laptop) 컴퓨터, 워크스테이션 컴퓨터, 또는 PDA (personal digital assistant)를 의미할 수 있으나, 이에 한정되는 것은 아니다.
서버(300)는 네트워크(400)를 통해 방화벽(100)과 접속되고, 방화벽(100)을 통해 클라이언트(200)와 패킷을 송수신할 수 있다.
예컨대, 서버(300)는 DNS(domain name system) 서버, NTP(network time protocol) 서버, SSDP(simple service discovery protocol) 서버, P2P(peer to peer) 서버, 또는 SNMP(simple network management protocol) 서버, web 서버를 의미할 수 있으나, 이에 한정되는 것은 아니다.
네트워크(400)는 유선 인터넷망, 무선 인터넷망, 또는 WiFi 네트워크를 의미할 수 있다.
방화벽(100)은 네트워크(400)를 통해 서버(300)와 연결되며, 복수의 클라이언트들(200)과 연결될 수 있다.
방화벽(100)은 서버(300)와 클라이언트들(200) 사이에서 송수신되는 패킷(packet)들을 관리할 수 있다. 상기 패킷은 서버(300)로부터 네트워크(400)를 통해 방화벽(100)으로 전송된 하향 패킷일 수도 있고, 클라이언트들(200) 각각으로부터 방화벽(100)으로 전송된 상향 패킷일 수 있다.
다만, 이에 한정되지 않으며 클라이언트(200)로부터 방화벽(100)에 전송된 패킷이 상향 패킷이고, 서버(300)로부터 네트워크(400)를 통해 방화벽(100)으로 전송된 패킷이 하향 패킷일 수 있다.
방화벽(100)은 기설정된 보안정책에 기초하여 네트워크(400)를 통해 수신된 패킷을 클라이언트(200)에 전달하거나 차단할 수 있다.
특히, 방화벽(100)은 제1 보안정책을 이용하여 패킷의 차단 여부를 1차적으로 결정할 수 있다.
여기서, 제1 보안정책은 1차 차단 대상의 5 튜플(TUPLE) 정보와 컨텐츠 차단 조건을 포함할 수 있다. 여기서, 제1 보안정책의 컨텐츠 차단 조건은 특정 컨텐츠 ID를 포함하지 않으며, 모든 컨텐츠 ID를 포함한다.
따라서, 제1 보안정책의 컨텐츠 차단 조건이 모든 컨텐츠 ID를 포함하므로, 방화벽(100)은 패킷에 포함된 컨텐츠를 확인할 필요없이 1차 차단 대상에 대한 5 튜플 정보와 패킷의 식별정보를 매칭하여 차단 여부를 결정할 수 있다
예컨대, 방화벽(100)은 1차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보와 패킷에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보를 매칭하여 차단 여부를 결정할 수 있다.
만약, 패킷에 포함된 식별정보가 1차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보와 모두 매칭되는 경우, 방화벽(100)은 상기 패킷을 차단 대상 패킷으로 판단할 수 있다. 방화벽(100)은 차단 대상 패킷이 클라이언트(200)에 전달되지 않도록 차단할 수 있다.
한편, 패킷에 포함된 식별정보가 1차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보 중 적어도 하나와 매칭되지 않는 경우, 방화벽(100)은 상기 패킷을 유효한 것으로 판단할 수 있다.
패킷의 식별정보가 제1 보안정책에 5 튜플 정보에 매칭되지 않는 경우, 방화벽(100)은 패킷에 포함된 컨텐츠를 추출할 수 있다.
즉, 방화벽(100)은 제1 보안정책에 따라 패킷의 차단 여부를 결정한 후, 전달이 허용된 패킷에 한하여, 제2 보안정책에 따라 패킷의 차단 여부를 2차적으로 결정할 수 있다.
여기서, 제2 보안정책은 2차 차단 대상의 5 튜플(TUPLE) 정보와 컨텐츠 ID 를 포함할 수 있다.
실시 예에 따라, 방화벽(100)은 패킷으로부터 추출된 컨텐츠와 2차 차단 대상의 컨텐츠 ID를 매칭하여 패킷의 차단 여부를 결정할 수 있다.
패킷으로부터 추출된 컨텐츠와 2차 차단 대상의 컨텐츠 ID가 매칭되지 않는 경우, 방화벽(100)은 상기 패킷을 유효한 것으로 판단할 수 있고, 2차적으로 인증된 상기 패킷을 클라이언트(200)에 전달할 수 있다.
반면, 패킷으로부터 추출된 컨텐츠와 2차 차단 대상의 컨텐츠 ID가 매칭되는 경우, 방화벽(100)은 상기 패킷을 차단 대상으로 판단할 수 있다. 방화벽(100)은 차단 대상 패킷이 클라이언트(200)에 전달되지 않도록 차단할 수 있다.
다른 실시 예에 따라, 방화벽(100)은 패킷의 식별정보 및 컨텐츠와, 제2 보안정책의 5 튜플 정보 및 컨텐츠 ID을 이용하여 패킷의 차단 여부를 결정할 수 있다.
패킷으로부터 추출된 컨텐츠와 2차 차단 대상의 컨텐츠 ID가 매칭되지 않는 경우, 방화벽(100)은 상기 패킷을 유효한 것으로 판단할 수 있고, 2차적으로 인증된 상기 패킷을 클라이언트(200)에 전달할 수 있다.
만약, 패킷으로부터 추출된 컨텐츠와 2차 차단 대상의 컨텐츠 ID가 매칭되는 경우, 방화벽(100)은 추가적으로 상기 패킷에 포함된 식별 정보와 차단 대상에 대해 설정된 5 튜플 정보를 매칭할 수 있다.
이때, 패킷의 식별 정보가 2차 차단 대상에 대해 설정된 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보 중 적어도 하나와 매칭되지 않는 경우, 방화벽(100)은 상기 패킷을 유효한 것으로 판단할 수 있고, 2차적으로 인증된 상기 패킷을 클라이언트(200)에 전달할 수 있다.
반면, 패킷의 식별 정보가 2차 차단 대상에 대해 설정된 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보와 매칭되는 경우, 방화벽(100)은 상기 패킷을 차단 대상 패킷으로 판단할 수 있다. 방화벽은 차단 대상 패킷이 클라이언트(200)에 전달되지 않도록 차단할 수 있다.
한편, 종래의 5 튜블 기반의 방화벽은 5 튜플 정보만을 이용하여 보안정책을 수립했기 때문에, 관리하고자 하는 서버가 많은 경우에 서버별로 하나 이상의 보안정책을 수립해야 했다. 따라서, 종래의 방화벽은 복잡성이 크고 가시성이 떨어지며 패킷의 위변조를 구분하기 어려웠다.
또한, 종래의 DPI 기술을 적용한 방화벽은 모든 패킷의 컨텐츠를 인지하고, 컨텐츠에 따른 보안정책을 처리해야 되기 때문에, 보안정책 처리시 딜레이가 심한 문제가 있었다.
하지만, 본 발명의 실시 예에 따른 방화벽(100)은 모든 컨텐츠 ID를 포함하는 컨텐츠 차단 조건과 5 튜플 정보를 포함하는 제1 보안정책을 이용하여 컨텐츠와 상관없이 1차적으로 차단 대상을 검사하고, 제1 보안정책에 의해 유효한 것으로 판단된 패킷에 대해서만 2차적으로 컨텐츠 매칭을 수행하는 2-스텝 검사 방법을 제공한다.
즉, 본 발명의 실시 예에 따른 방화벽(100)은 유효한 것으로 판단된 패킷에 대해서만 선별적으로 컨텐츠 매칭을 수행함으로써, 모든 패킷의 컨텐츠를 인지할 필요없이 선택된 패킷에 대해서만 차단 여부를 2차적으로 검사할 수 있다.
따라서, 본 발명의 실시 예에 따른 방화벽(100)은 종래의 방화벽 장치에 비해 빠른 속도로 패킷의 차단 여부를 결정할 수 있다.
도 1에서는 방화벽(100)이 클라이언트(200) 외부의 별도의 장치로 도시되어 있으나, 이에 한정되지 않으며 방화벽(100)은 클라이언트(200) 내부에서 별도의 소프트웨어로서 동작될 수 있다.
도 2를 참조하면, 세션 관리부(110), 보안정책 검사부(120), 및 컨텐츠 인지부(130)를 포함하는 방화벽(100)이 도시되어 있다.
세션 관리부(110)는 네트워크를 통해 패킷(PK)을 수신하고, 세션 관리에 의해 패킷(PK)의 유효성을 판단할 수 있다.
예컨대, 세션 관리부(110)는 http 세션을 이용하거나, 쿠키(cookie)를 이용하여 패킷(PK)의 유효성을 판단할 수 있다. 다만, 세션 관리부(110)의 기능이 이에 한정되지 않으며 다양하게 변형실시 될 수 있다.
보안정책 검사부(120)는 제1 보안정책에 따라 패킷(PK)에 포함된 컨텐츠(CI)와 상관없이 차단 여부를 1차적으로 결정할 수 있고, 제2 보안정책에 따라 패킷(PK)에 포함된 컨텐츠(CI)에 기초하여 차단 여부를 2차적으로 결정할 수 있다.
제1 보안정책의 컨텐츠 차단 조건이 모든 컨텐츠 ID를 포함하므로, 보안정책 검사부(120)는 패킷에 포함된 컨텐츠와 상관없이 1차 차단 대상에 대한 5 튜플 정보와 패킷의 식별정보를 매칭할 수 있고, 매칭결과에 따라 패킷(PK)을 차단하거나 유효한 것으로 1차적으로 인증할 수 있다.
컨텐츠 인지부(130)는 보안정책 검사부(120)에 의해 1차적으로 인증된 패킷(PK)으로부터 컨텐츠(CI)를 추출할 수 있고, 패킷(PK)으로부터 추출된 컨텐츠(CI)를 보안정책 검사부(120)에 제공할 수 있다.
실시 예에 따라, 컨텐츠 인지부(130)는 시그니처 패턴 매칭을 통해 패킷(PK)에 포함된 컨텐츠(CI)를 추출할 수 있다.
예컨대, 컨텐츠 인지부(130)는 패킷(PK)에 포함된 웹페이지를 추출하고, 추출된 웹페이지를 파싱하여 URL을 추출할 수 있다. 컨텐츠 인지부(130)는 추출된 URL과 미리 저장된 URL의 시그니처 패턴 매칭을 수행하여 해당 패킷(PK)의 출처를 식별할 수 있다. 다만, 컨텐츠 인지부(130)가 패킷(PK)에 포함된 컨텐츠(CI)를 식별하는 방법은 이에 한정되지 않으며 다양하게 변형실시될 수 있다.
보안정책 검사부(120)는 패킷(PK)에 포함된 컨텐츠(CI)와 제2 보안정책에 포함된 컨텐츠 ID를 매칭할 수 있고, 매칭결과에 따라 패킷(PK)을 차단하거나 유효한 것으로 2차적으로 인증할 수 있다.
보안정책 검사부(120)는 2차적으로 인증된 패킷(PK)만을 클리이언트(200)에 제공할 수 있다.
도 3은 본 발명의 실시 예에 따른 방화벽의 패킷 처리 방법을 설명하기 위한 순서도이다.
도 3을 참조하면, 방화벽(100)은 네트워크(400)로부터 패킷(PK)이 수신되면, 세션관리에 의해 패킷(PK)의 유효성을 판단할 수 있고, 유효성이 인증된 패킷(PK)만을 수신하고, 유효하지 않은 패킷(PK)을 차단할 수 있다(S100).
방화벽(100)은 패킷(PK)의 식별정보와 제1 보안정책에 포함된 1차 차단 대상의 5 튜플 정보를 서로 매칭할 수 있다(S110).
만약, 패킷(PK)의 식별정보가 1차 차단 대상의 5 튜플 정보와 매칭되는 경우, 방화벽(100)은 패킷(PK)을 차단 대상 패킷으로 판단하고, 패킷(PK)이 클라이언트(200)에 전달되지 않도록 차단할 수 있다(S150).
반면, 패킷(PK)의 식별정보가 1차 차단 대상의 5 튜플 정보와 매칭되지 않는 경우, 방화벽(100)은 패킷(PK)을 유효한 것으로 판단하고, 패킷(PK)으로부터 컨텐츠(CI)를 추출할 수 있다(S120).
방화벽(100)은 패킷(PK)의 컨텐츠(CI)와 제2 보안정책에 포함된 컨텐츠 ID를 서로 매칭할 수 있다(S130).
만약, 패킷(PK)의 컨텐츠(CI)와 제2 보안정책에 포함된 컨텐츠 ID가 매칭되는 경우, 방화벽(100)은 패킷(PK)을 차단 대상 패킷으로 판단하고, 패킷(PK)이 클라이언트(200)에 전달되지 않도록 차단할 수 있다(S150).
반면, 패킷(PK)의 컨텐츠(CI)와 제2 보안정책에 포함된 컨텐츠 ID가 매칭되지 않는 경우, 방화벽(100)은 패킷(PK)을 유효한 것으로 판단하고, 패킷(PK)을 클라이언트(200)에 전달할 수 있다(S140).
도 4는 본 발명의 다른 실시 예에 따른 방화벽의 패킷 처리 방법을 설명하기 위한 순서도이다.
도 4를 참조하면, 방화벽(100)은 네트워크(400)로부터 패킷(PK)이 수신되면, 세션관리에 의해 패킷(PK)의 유효성을 판단할 수 있고, 유효성이 인증된 패킷(PK)만을 수신하고, 유효하지 않은 패킷(PK)을 차단할 수 있다(S100).
방화벽(100)은 패킷(PK)의 식별정보와 제1 보안정책에 포함된 1차 차단 대상의 5 튜플 정보를 서로 매칭할 수 있다(S110).
만약, 패킷(PK)의 식별정보가 1차 차단 대상의 5 튜플 정보와 매칭되는 경우, 방화벽(100)은 패킷(PK)을 차단 대상 패킷으로 판단하고, 패킷(PK)이 클라이언트(200)에 전달되지 않도록 차단할 수 있다(S150).
반면, 패킷(PK)의 식별정보가 1차 차단 대상의 5 튜플 정보와 매칭되지 않는 경우, 방화벽(100)은 패킷(PK)을 유효한 것으로 판단하고, 패킷(PK)으로부터 컨텐츠(CI)를 추출할 수 있다(S120).
방화벽(100)은 패킷(PK)의 컨텐츠(CI)와 제2 보안정책에 포함된 컨텐츠 차단 조건을 서로 매칭할 수 있다(S130).
만약, 패킷(PK)의 컨텐츠(CI)와 제2 보안정책에 포함된 컨텐츠 ID가 매칭되는 경우, 방화벽은 추가적으로 패킷(PK)의 식별정보와 제2 보안정책에 포함된 2차 차단 대상의 5 튜플 정보와 서로 매칭할 수 있다(S130-1).
패킷(PK)의 식별정보와 제2 보안정책에 포함된 5 튜플 정보가 서로 매칭되는 경우, 방화벽(100)은 패킷(PK)을 차단 대상 패킷으로 판단하고, 패킷(PK)이 클라이언트(200)에 전달되지 않도록 차단할 수 있다(S150).
반면, 패킷(PK)의 식별정보와 제2 보안정책에 포함된 5 튜플 정보가 서로 매칭되지 않는 경우, 방화벽(100)은 패킷(PK)을 유효한 것으로 판단하고, 패킷(PK)을 클라이언트(200)에 전달할 수 있다(S140).
본 발명은 도면에 도시된 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.
100: 방화벽
110: 세션 관리부
120: 보안정책 검사부
130: 컨텐츠 인지부
200: 클라이언트
300: 서버
400: 네트워크

Claims (15)

  1. 패킷이 수신되면, 모든 컨텐츠 ID를 포함하는 컨텐츠 차단 조건과 1차 차단 대상의 5 튜플(5 TUPLE) 정보를 포함하는 제1 보안정책에 따라 상기 패킷의 차단 여부를 1차적으로 결정하는 단계;
    상기 제1 보안정책에 의해 전달이 허용된 패킷에 한하여 상기 패킷에 포함된 컨텐츠를 추출하는 단계; 및
    상기 컨텐츠와 제2 보안정책에 포함된 2차 차단 대상의 컨텐츠 ID를 매칭하여 상기 패킷의 차단 여부를 2차적으로 결정하는 단계를 포함하는 방화벽의 패킷 처리 방법.
  2. 제1항에 있어서, 상기 패킷의 차단 여부를 1차적으로 결정하는 단계는,
    세션 관리를 통해 상기 패킷이 유효한 것으로 인증되면 수행되는 방화벽의 패킷 처리 방법.
  3. 제1항에 있어서,
    상기 제1 보안정책은 상기 1차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 모드 정보, 및 상기 모든 컨텐츠 ID를 포함하는 상기 컨텐츠 차단 조건을 포함하는 방화벽의 패킷 처리 방법.
  4. 제3항에 있어서, 상기 패킷의 차단 여부를 1차적으로 결정하는 단계는,
    상기 패킷에 포함된 상기 컨텐츠와 상관없이, 상기 패킷에 포함된 식별 정보가 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보와 매칭되는 경우, 상기 패킷을 차단하는 방화벽의 패킷 처리 방법.
  5. 제1항에 있어서,
    상기 제2 보안정책은 상기 2차 차단 대상의 상기 컨텐츠 ID와, 상기 2차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보를 포함하는 방화벽의 패킷 처리 방법.
  6. 제5항에 있어서, 상기 패킷의 차단 여부를 2차적으로 결정하는 단계는,
    상기 컨텐츠와 상기 컨텐츠 ID가 매칭되지 않는 경우, 상기 패킷을 허용하는 방화벽의 패킷 처리 방법.
  7. 제5항에 있어서, 상기 패킷의 차단 여부를 2차적으로 결정하는 단계는,
    상기 컨텐츠가 상기 컨텐츠 ID가 매칭되는 경우, 상기 컨텐츠를 포함하는 상기 패킷을 차단하는 방화벽의 패킷 처리 방법.
  8. 제5항에 있어서, 상기 패킷의 차단 여부를 2차적으로 결정하는 단계는,
    상기 컨텐츠와 상기 컨텐츠 ID가 매칭되는 경우, 상기 패킷에 포함된 식별 정보와 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보를 매칭하고,
    상기 식별 정보가 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보와 매칭되는 경우, 상기 패킷을 차단하는 방화벽의 패킷 처리 방법.
  9. 모든 컨텐츠 ID를 포함하는 컨텐츠 차단 조건 및 1차 차단 대상의 5 튜플 정보를 포함하는 제1 보안정책과, 2차 차단 대상의 컨텐츠 ID를 포함하는 제2 보안정책에 따라, 패킷의 차단 여부를 결정하는 보안정책 검사부; 및
    상기 패킷에 포함된 컨텐츠를 추출하는 컨텐츠 인지부를 포함하고,
    상기 보안정책 검사부는, 상기 제1 보안정책에 따라 상기 패킷의 차단 여부를 결정한 후, 전달이 허용된 패킷에 한하여 상기 제2 보안정책에 따라 상기 패킷의 차단 여부를 결정하는 방화벽.
  10. 제9항에 있어서,
    상기 패킷의 유효성을 판단하여 유효한 것으로 인증된 패킷만을 상기 보안정책 검사부에 제공하는 세션관리부를 더 포함하는 방화벽.
  11. 제9항에 있어서,
    상기 제1 보안정책은 상기 1차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 모드 정보, 및 상기 모든 컨텐츠 ID를 포함하는 상기 컨텐츠 차단 조건을 포함하는 방화벽.
  12. 제11항에 있어서, 상기 보안정책 검사부는,
    상기 패킷에 포함된 식별 정보와 상기 제1 보안정책을 매칭하고,
    상기 식별 정보와 상기 제1 보안정책이 매칭되는 경우, 상기 패킷을 차단하는 방화벽.
  13. 제9항에 있어서,
    상기 제2 보안정책은 상기 2차 차단 대상에 대한 소스 IP 주소, 소스 포트, 목적지 IP 주소, 목적지 포트, 및 모드 정보를 더 포함하는 방화벽.
  14. 제13항에 있어서, 상기 보안정책 검사부는,
    상기 컨텐츠와 상기 컨텐츠 ID를 매칭하고,
    상기 컨텐츠와 상기 컨텐츠 ID가 매칭되는 경우, 상기 컨텐츠를 포함하는 상기 패킷을 차단하는 방화벽.
  15. 제13항에 있어서, 상기 보안정책 검사부는,
    상기 컨텐츠와 상기 컨텐츠 ID를 매칭하고,
    상기 컨텐츠와 상기 컨텐츠 ID가 매칭되는 경우, 상기 패킷에 포함된 식별 정보와 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보를 매칭하고,
    상기 식별 정보가 상기 소스 IP 주소, 상기 소스 포트, 상기 목적지 IP 주소, 상기 목적지 포트, 및 상기 모드 정보와 매칭되는 경우, 상기 패킷을 차단하는 방화벽.
KR1020170029601A 2017-03-08 2017-03-08 방화벽 및 이의 패킷 처리 방법 KR20180102884A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170029601A KR20180102884A (ko) 2017-03-08 2017-03-08 방화벽 및 이의 패킷 처리 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170029601A KR20180102884A (ko) 2017-03-08 2017-03-08 방화벽 및 이의 패킷 처리 방법

Publications (1)

Publication Number Publication Date
KR20180102884A true KR20180102884A (ko) 2018-09-18

Family

ID=63718697

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170029601A KR20180102884A (ko) 2017-03-08 2017-03-08 방화벽 및 이의 패킷 처리 방법

Country Status (1)

Country Link
KR (1) KR20180102884A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102312019B1 (ko) * 2020-10-20 2021-10-12 현대오토에버 주식회사 방화벽 제어 장치 및 이를 포함하는 방화벽 정책 관리 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102312019B1 (ko) * 2020-10-20 2021-10-12 현대오토에버 주식회사 방화벽 제어 장치 및 이를 포함하는 방화벽 정책 관리 시스템

Similar Documents

Publication Publication Date Title
US11082436B1 (en) System and method for offloading packet processing and static analysis operations
Ndatinya et al. Network forensics analysis using Wireshark
KR101054705B1 (ko) 위조 발생지 어드레스를 가진 포트 스캔을 탐지하기 위한 방법 및 장치
US9237168B2 (en) Transport layer security traffic control using service name identification
US9712490B1 (en) Identifying applications for intrusion detection systems
Izhikevich et al. {LZR}: Identifying unexpected internet services
US8661522B2 (en) Method and apparatus for probabilistic matching to authenticate hosts during distributed denial of service attack
US8181237B2 (en) Method for improving security of computer networks
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
CA2548336A1 (en) Upper-level protocol authentication
US20180131717A1 (en) Apparatus and method for detecting distributed reflection denial of service attack
JP6435695B2 (ja) コントローラ,及びその攻撃者検知方法
KR20140122044A (ko) 슬로우 리드 도스 공격 탐지 장치 및 방법
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
KR20180102884A (ko) 방화벽 및 이의 패킷 처리 방법
JP4391455B2 (ja) DDoS攻撃に対する不正アクセス検知システム及びプログラム
Djalaliev et al. Sentinel: hardware-accelerated mitigation of bot-based DDoS attacks
EP3432544B1 (en) System and method of determining ddos attacks
KR101196325B1 (ko) 분산서비스거부 공격 탐지장치 및 방법
US10182071B2 (en) Probabilistic tracking of host characteristics
KR101812732B1 (ko) 보안 장치 및 이의 동작 방법
KR101231801B1 (ko) 네트워크 상의 응용 계층 보호 방법 및 장치
Huber Host-based systemic network obfuscation system for windows
US10505971B1 (en) Protecting local network devices against attacks from remote network devices
Andrews Evaluating the Proliferation and Pervasiveness of Leaking Sensitive Data in the Secure Shell Protocol and in Internet Protocol Camera Frameworks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application