KR20190026185A - 방화벽 정책 분석 방법 및 그 장치 - Google Patents

방화벽 정책 분석 방법 및 그 장치 Download PDF

Info

Publication number
KR20190026185A
KR20190026185A KR1020170112600A KR20170112600A KR20190026185A KR 20190026185 A KR20190026185 A KR 20190026185A KR 1020170112600 A KR1020170112600 A KR 1020170112600A KR 20170112600 A KR20170112600 A KR 20170112600A KR 20190026185 A KR20190026185 A KR 20190026185A
Authority
KR
South Korea
Prior art keywords
firewall
address
internet
rule
internal network
Prior art date
Application number
KR1020170112600A
Other languages
English (en)
Other versions
KR102036137B1 (ko
Inventor
차정도
안중현
서도현
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020170112600A priority Critical patent/KR102036137B1/ko
Publication of KR20190026185A publication Critical patent/KR20190026185A/ko
Application granted granted Critical
Publication of KR102036137B1 publication Critical patent/KR102036137B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

복수의 룰로 구성된 방화벽 정책을 분석하는 방법이 제시된다. 본 발명의 일 실시예에 따른 방화벽 정책 분석 방법은, 복수의 방화벽 룰 각각에 대하여 대상 IP 주소의 타입을 결정하되, 상기 대상 IP 주소의 타입은 인터넷 타입과, 내부 리소스 타입을 포함하는 단계와, 상기 복수의 방화벽 룰 중 허용 액션의 방화벽 룰이면서 상기 대상 IP 주소로 인터넷 타입의 IP 주소를 가지는 인터넷-내부망 통신 근거 룰에 대하여, 선순위의 거부 액션 방화벽 룰과의 중복 범위를 반영한 허용 유효 범위를 결정하는 단계와, 상기 각각의 인터넷-내부망 통신 근거 룰의 허용 유효 범위의 취합에 해당하는 인터넷-내부망 통신 범위 정보를 생성하는 단계를 포함한다.

Description

방화벽 정책 분석 방법 및 그 장치{Method and apparatus for analyzing firewall policy}
본 발명은 방화벽 정책 분석 방법 및 그 장치에 관한 것이다. 보다 자세하게는, 방화벽에 의하여 필터링 되고 컨트롤 되는 내부망과 외부망 사이의 데이터 송수신이 가능한 범위를 분석하고, 사용자에게 분석의 결과를 리포팅 하는 방법 및 그러한 방법이 적용된 장치에 관한 것이다.
방화벽 장치는 상기 방화벽에 의하여 관리되는 내부망에서 외부 네트워크로 송신되거나, 외부 네트워크에서 상기 내부망으로 수신되는 패킷을 필터링하고, 상기 방화벽 장치에 설정된 정책에 부합하지 않는 패킷은 송신 또는 수신을 거부(deny)하는 네트워크 보안 장치이다.
방화벽 장치의 정책은 복수의 룰(rule)으로 구성된다. 상기 복수의 룰 각각은 특정 조건의 패킷에 대하여 송신 또는 수신의 허용 여부를 규정한다. 예를 들어, 각각의 룰은 (출발지 IP 범위, 목적지 IP 범위, 포트)를 지정하여 규정 대상 패킷을 정의하고, 상기 규정 대상 패킷에 대하여 송신 또는 수신의 허용(allow) 또는 거부(deny) 여부를 규정할 수 있다.
방화벽 장치의 정책은 시간이 지남에 따라, 내부망에 연결되는 노드의 개수가 증가함에 따라 룰의 개수가 많아지고, 그에 따라 상기 정책에 따를 때 내부망과 외부 네트워크 사이에 송수신 될 수 있는 범위를 파악하는 것이 어려워진다. 따라서, 다수의 방화벽 룰을 통합적으로 분석하는 기술의 제공이 요구된다.
한국등록특허 제0904557호
본 발명이 해결하고자 하는 기술적 과제는, 복수의 방화벽 룰을 분석하여, 상기 복수의 방화벽 룰의 규정에 따라 인터넷 등의 외부 네트워크와 데이터 송수신이 이뤄질 수 있는 통신 가능 범위 정보를 산출하는 방화벽 정책 분석 방법 및 그 방법이 적용된 장치를 제공하는 것이다.
본 발명이 해결하고자 하는 다른 기술적 과제는, 우선 순위에 따라 적용되는 복수의 방화벽 룰을 분석하여, 상기 복수의 방화벽 룰을 모두 고려할 때 데이터 송수신이 이뤄질 수 있는 통신 가능 범위 정보를 산출하는 방화벽 정책 통합 방법 및 그 방법이 적용된 장치를 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명의 기술분야에서의 통상의 기술자에게 명확하게 이해 될 수 있을 것이다.
상기 언급된 문제점들을 해결하기 위한 본 발명의 일 실시예에 따른 방화벽 정책 분석 방법은, 복수의 방화벽 룰 각각에 대하여 대상 IP 주소의 타입을 결정하되, 상기 대상 IP 주소의 타입은 인터넷 타입과, 내부 리소스 타입을 포함하는 단계와, 상기 복수의 방화벽 룰 중 허용 액션의 방화벽 룰이면서 상기 대상 IP 주소로 인터넷 타입의 IP 주소를 가지는 인터넷-내부망 통신 근거 룰에 대하여, 선순위의 거부 액션 방화벽 룰과의 중복 범위를 반영한 허용 유효 범위를 결정하는 단계와, 상기 각각의 인터넷-내부망 통신 근거 룰의 허용 유효 범위를 취합하여 인터넷-내부망 통신 범위 정보를 생성하는 단계를 포함한다.
일 실시예에서, 상기 방화벽 정책 분석 방법은 상기 복수의 방화벽 룰을 파싱 하고, 파싱 결과를 이용하여 상기 복수의 방화벽 룰에 포함되는 각각의 방화벽 룰 별로 대상 IP 주소의 타입을 결정하는 단계 이전에, 상기 방화벽 정책 분석 장치가, 상기 복수의 방화벽 룰을 구성하기 위한 정보를 사용자 단말로부터 수신하는 단계를 더 포함한다.
일 실시예에서, 상기 복수의 방화벽 룰을 파싱 하고, 파싱 결과를 이용하여 상기 복수의 방화벽 룰에 포함되는 각각의 방화벽 룰 별로 대상 IP 주소의 타입을 결정하는 단계는, 상기 방화벽 룰 분석 장치에 연동되는 리소스 관리 장치로부터 내부망에 연결된 리소스들의 IP 주소 정보들을 포함하는 내부망 IP 주소 정보를 얻는 단계와, 상기 복수의 방화벽 룰에 포함되는 각각의 방화벽 룰 별로, 상기 대상 IP 주소가 상기 내부망 IP 주소 정보에 포함된 것인 경우 상기 대상 IP 주소의 타입을 내부 리소스 타입으로 결정하고, 상기 대상 IP 주소가 상기 내부망 IP 주소 정보에 포함된 것이 아닌 경우 상기 대상 IP 주소의 타입을 인터넷 타입으로 결정하는 단계를 포함한다.
일 실시예에서, 상기 복수의 방화벽 룰은 상기 방화벽 룰 분석 장치가 담당하는 내부망을 커버 하는 제1 방화벽 장치에 등록된 복수의 방화벽 룰과, 상기 내부망의 상위 레이어의 네트워크를 커버하는 제2 방화벽 장치에 등록된 복수의 방화벽 룰을 포함한다.
일 실시예에서, 상기 대상 IP 주소는 출발지 IP 주소와 목적지 IP 주소를 포함하고, 상기 복수의 방화벽 룰 중 허용 액션의 방화벽 룰이면서 상기 대상 IP 주소로 인터넷 타입의 IP 주소를 가지는 인터넷-내부망 통신 근거 룰에 대하여, 선순위의 거부 액션의 방화벽 룰과의 중복 범위를 반영한 허용 유효 범위를 결정하는 단계는, 상기 인터넷-내부망 통신 근거 룰과, 출발지 IP 주소, 목적지 IP 주소 및 대상 포트 모두 중첩 영역이 존재하는 제1 선순위 거부 액션 방화벽 룰을 탐지하는 단계와, 상기 인터넷-내부망 통신 근거 룰의 적용 영역에서 상기 제1 선순위 거부 액션 방화벽 룰의 적용 영역을 제외한 제1 중간 허용 유효 범위를 결정하는 단계와, 상기 인터넷-내부망 통신 근거 룰과, 출발지 IP 주소, 목적지 IP 주소 및 대상 포트 모두 중첩 영역이 존재하고, 상기 제1 선순위 거부 액션 방화벽 룰보다 후순위인 제2 선순위 거부 액션 방화벽 룰을 탐지하는 단계와, 상기 제1 중간 허용 유효 범위에서, 상기 제2 선순위 거부 액션 방화벽 룰의 적용 영역을 제외한 제2 중간 허용 유효 범위를 결정하는 단계와, 상기 제2 중간 허용 유효 범위를 기초로 상기 허용 유효 범위를 결정하는 단계를 포함한다. 이 때, 상기 제1 중간 허용 유효 범위를 결정하는 단계는, 상기 인터넷-내부망 통신 근거 룰의 대상 포트에서 상기 제1 선순위 거부 액션 방화벽 룰의 대상 포트를 제외한 포트 범위에 포함되는 포트 번호를 가지고, 상기 인터넷-내부망 통신 근거 룰의 출발지 IP 주소 및 목적지 IP 주소에 매칭되는 모든 패킷을 상기 제1 중간 허용 유효 범위에 포함시키는 단계와, 상기 인터넷-내부망 통신 근거 룰의 대상 포트와 상기 제1 선순위 거부 액션 방화벽 룰의 대상 포트의 교집합에 대응되는 포트 범위에서, 상기 인터넷-내부망 통신 근거 룰의 출발지 IP 주소에 속하면서 제1 선순위 거부 액션 방화벽 룰의 출발지 IP 주소에 속하지 않는 출발지 IP 주소 범위 및 상기 인터넷-내부망 통신 근거 룰의 목적지 IP주소에 매칭 되는 모든 패킷을 상기 제1 중간 허용 유효 범위에 더 포함시키는 단계와, 상기 인터넷-내부망 통신 근거 룰의 대상 포트와 상기 제1 선순위 거부 액션 방화벽 룰의 대상 포트의 교집합에 대응되는 포트 범위에서, 상기 인터넷-내부망 통신 근거 룰의 목적지 IP 주소에 속하면서 제1 선순위 거부 액션 방화벽 룰의 목적지 IP 주소에 속하지 않는 목적지 IP 주소 범위 및 상기 인터넷-내부망 통신 근거 룰의 출발지 IP주소에 매칭 되는 모든 패킷을 상기 제1 중간 허용 유효 범위에 더 포함시키는 단계를 포함할 수 있다.
상기 언급된 문제점들을 해결하기 위한 본 발명의 다른 실시예에 따른 방화벽 정책 분석 장치는, 분석 대상인 복수의 방화벽 룰을 구성하기 위한 정보를 사용자 단말로부터 수신하기 위한 사용자 인터페이스를 제공하는 사용자 인터페이스 생성부와, 내부망의 리소스를 관리하는 리소스 관리 장치와 연동하여, 상기 복수의 방화벽 룰 각각에 대하여 대상 IP 주소의 타입을 인터넷 타입과, 내부 리소스 타입 중 하나로 결정하는 리소스 관리 장치 연동부와, 상기 복수의 방화벽 룰 중 허용 액션의 방화벽 룰이면서 상기 대상 IP 주소로 인터넷 타입의 IP 주소를 가지는 인터넷-내부망 통신 근거 룰에 대하여, 선순위의 거부 액션 방화벽 룰과의 중복 범위를 반영한 허용 유효 범위를 결정하고, 상기 각각의 인터넷-내부망 통신 근거 룰의 허용 유효 범위의 취합 하여 인터넷-내부망 통신 범위 정보를 생성하는 방화벽 정책 분석부를 포함한다.
상기 언급된 문제점들을 해결하기 위한 본 발명의 일 실시예에 따른 방화벽 정책 분석 방법은, 복수의 방화벽 룰 중 허용 액션의 방화벽 룰에 대하여, 선순위의 거부 액션 방화벽 룰과의 중복 범위를 반영한 허용 유효 범위를 결정하는 것을 상기 복수의 방화벽 룰 중 모든 허용 액션에 대하여 반복하는 단계와, 상기 각각의 허용 액션의 방화벽 룰의 허용 유효 범위를 취합하여 상기 복수의 방화벽 룰에 의하여 구성되는 방화벽 정책의 결과적인 통신 범위 정보를 생성하는 단계를 포함한다.
도 1은 본 발명의 일 실시예에 따른 방화벽 정책 분석 시스템의 구성도이다.
도 2는 본 발명의 다른 실시예에 따른 방화벽 정책 분석 시스템의 구성도이다.
도 3은 본 발명의 또 다른 실시예에 따른 방화벽 정책 분석 방법의 순서도이다.
도 4는 도 3에 도시된 방화벽 정책 분석 방법 중 일부 동작을 자세하게 설명하기 위한 순서도이다.
도 5a는 본 발명의 몇몇 실시예들에서 제공되는 분석 대상 방화벽 룰 구성용 분석 조건 설정 화면의 예시이다.
도 5b는 본 발명의 몇몇 실시예들에서 제공되는 분석 대상 방화벽 룰 구성용 분석 조건 설정과 관련된 상세 설명을 위한 개념도로서, 복수의 계층적인 방화벽이 구성된 네트워크 토폴로지를 도시한 도면이다.
도 5c는 도 5b에 도시된 네트워크 토폴로지 상에서 각 영역의 리소스를 대상으로 한 방화벽 정책 분석 결과 사이의 논리적 포함 관계를 설명하기 위한 도면이다.
도 6은 복수의 방화벽이 계층적으로 구비된 환경을 고려한 본 발명의 또 다른 실시예에 따른 방화벽 정책 분석 방법의 순서도이다.
도 7은 도 6에 도시된 방화벽 정책 분석 방법 중 일부 동작을 자세하게 설명하기 위한 순서도이다.
도 8은 본 발명의 몇몇 실시예들에서 방화벽 정책 분석 결과로서 사용자 단말에 제공될 수 있는 화면의 예시이다.
도 9는 본 발명의 또 다른 실시예에 따른 방화벽 정책 분석 장치의 블록 구성도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
이하, 도면들을 참조하여 본 발명의 몇몇 실시예들을 설명한다.
도 1은 본 발명의 일 실시예에 따른 방화벽 정책 분석 시스템의 구성도이다. 도 1에 도시된 바와 같이, 본 실시예에 따른 방화벽 정책 분석 시스템은 방화벽(300) 및 방화벽 정책 분석 장치(100)를 포함한다.
방화벽(300)은 내부망(10)에 속한 복수의 리소스(600)에서 발신된 패킷 또는 내부망(10)에 속한 복수의 리소스(600)로 송신된 패킷에 대하여 패킷 필터링을 수행한다. 방화벽(300)은 기 설정된 방화벽 정책을 기준으로 하여 상기 패킷 필터링을 수행한다. 상기 방화벽 정책은 복수의 방화벽 룰(rule)으로 구성된다. 상기 복수의 방화벽 룰 각각은 특정 조건의 패킷에 대하여 송신 또는 수신의 허용 여부를 규정한다. 예를 들어, 각각의 룰은 (출발지 IP 범위, 목적지 IP 범위, 포트)를 지정하여 규정 대상 패킷을 정의하고, 상기 규정 대상 패킷에 대하여 송신 또는 수신의 허용(allow) 또는 거부(deny) 여부를 규정할 수 있다.
방화벽 정책 분석 장치(100)는 방화벽(300)에 설정된 방화벽 정책이 결과적으로 어떤 패킷을 통과시키게 되는지에 대한 정보를 생성하기 위하여, 상기 방화벽 정책에 포함된 방화벽 룰들 중 적어도 일부를 분석한다. 방화벽 정책 분석 장치(100)는 상기 방화벽 룰의 출발지 IP 주소 및 목적지 IP 주소가 리소스(600)에 할당된 IP 주소인지 여부를 판정하기 위하여, 내부망(10)에 연결된 리소스(600)들의 IP 주소, 장치 타입 등의 정보를 관리하는 리소스 관리 장치(200)와 연동 될 수 있다.
일 실시예에서, 방화벽 정책 분석 장치(100)는 웹 서버이다.
일 실시예에서, 도 1에 도시된 바와 달리, 방화벽 정책 분석 기능은, 방화벽(300)의 사용자 편의 기능으로서 구현된 것일 수도 있다. 그럴 경우, 방화벽 정책 분석 장치(100)는 방화벽(300) 내부의 모듈로서 구현된다.
사용자 단말(500)은 인터넷 등의 네트워크(400)를 통하여 방화벽 정책 분석 장치(100)와 연결된다. 도 1에 도시된 것과 달리, 방화벽 정책 분석 장치(100)와 사용자 단말(500) 사이의 데이터 송수신 역시 방화벽(300)의 필터링을 거칠 수 있다.
사용자 단말(500)은 정책 분석 조건에 대한 정보를 포함한 방화벽 정책 분석 요청을 네트워크(400)를 통해 방화벽 정책 분석 장치(100)에 송신한다. 방화벽 정책 분석 장치(100)는 상기 방화벽 정책 분석 요청의 수신에 응답하여, 상기 정책 분석 조건에 대응되는 복수의 분석 대상 방화벽 룰들에 대한 분석을 수행하고, 그 수행 결과로 상기 복수의 분석 대상 방화벽 룰들에 의하여 패킷 송수신이 승인 되는 통신 범위 정보를 생성한다. 방화벽 정책 분석 장치(100)는 상기 통신 범위 정보를 사용자 단말(500)에 송신한다.
방화벽 정책 분석 장치(100)는 상기 복수의 방화벽 룰을 각각의 우선순위에 따라 순차 적용할 때, 내부망(10)과 네트워크(400) 사이에 송수신 될 수 있는 통신 범위 정보를 생성할 수 있다.
예를 들어, 상기 정책 분석 조건에 대한 정보가 내부망(10)에서 인터넷 등 외부 네트워크(400)로의 아웃바운드 통신이 가능한 범위를 가리키는 경우, 방화벽 정책 분석 장치(100)는 상기 출발지 IP 주소로 내부 리소스 타입의 IP 주소를 가지고 목적지 IP 주소로 인터넷 타입의 IP 주소를 가지는 방화벽 룰들로 구성되는 상기 복수의 방화벽 룰을 분석할 것이다.
또한, 예를 들어, 상기 정책 분석 조건에 대한 정보가 인터넷 등 외부 네트워크(400)에서 내부망(10)으로의 인바운드 통신이 가능한 범위를 가리키는 경우, 방화벽 정책 분석 장치(100)는 상기 출발지 IP 주소로 인터넷 타입의 IP 주소를 가지고 목적지 IP 주소로 내부 리소스 타입의 IP 주소를 가지는 방화벽 룰들로 구성되는 상기 복수의 방화벽 룰을 분석할 것이다.
일 실시예에서, 상기 정책 분석 조건에 대한 정보가 내부망(10)의 리소스(600) 중 특정 타입의 장치에 대한 것일 수 있다. 예를 들어, 내부망(10)의 PC, 서버 또는 네트워크 중 어느 하나 이상을 특정하면서, 그 특정 된 타입의 장치가 외부 네트워크(400)로 데이터를 송신할 수 있는 통신 범위 정보 또는 그 특정 된 타입의 장치가 외부 네트워크(400)로부터 데이터를 수신할 수 있는 통신 범위 정보가 방화벽 정책 분석 장치(100)에 의하여 생성될 수 있다. 이 경우, 상기 복수의 방화벽 룰은, 상기 출발지 IP 주소가 상기 조회 된 IP 주소를 포함하고, 목적지 IP 주소로 인터넷 타입의 IP 주소를 가지는 방화벽 룰들로 구성되거나, 상기 목적지 IP 주소가 상기 조회 된 IP 주소를 포함하고, 출발지 IP 주소로 인터넷 타입의 IP 주소를 가지는 방화벽 룰들로 구성될 것이다.
일 실시예에서, 상기 정책 분석 조건에 대한 정보가 특정 범위의 관심 포트(port)에 대한 것일 수 있다. 예를 들어, 특정 프로토콜의 관심 포트(예를 들어, TCP 포트 21)가 지정되면서, 그 특정 된 포트를 통하여 외부 네트워크(400)로 데이터를 송신할 수 있는 통신 범위 정보 또는 그 특정 된 포트를 통하여 외부 네트워크(400)로부터 데이터를 수신할 수 있는 통신 범위 정보가 방화벽 정책 분석 장치(100)에 의하여 생성될 수 있다. 이 경우, 상기 복수의 방화벽 룰은, 상기 출발지 IP 주소로 내부 리소스 타입의 IP 주소를 가지고 목적지 IP 주소로 인터넷 타입의 IP 주소를 가지며, 대상 포트로 상기 관심 포트가 포함된 방화벽 룰들로 구성되거나, 상기 목적지 IP 주소로 내부 리소스 타입의 IP 주소를 가지고 출발지 IP 주소로 인터넷 타입의 IP 주소를 가지며, 대상 포트로 상기 관심 포트가 포함된 방화벽 룰들로 구성될 것이다.
일 실시예에서, 상기 정책 분석 조건에 대한 정보가, 리소스(600) 중 하나인 특정 노드에 대한 것일 수 있다. 예를 들어, 내부망(10)에 연결된 특정 서버가 지정되면서, 그 서버가 외부 네트워크(400)와 데이터 송수신 할 수 있는 통신 범위 정보가 정책 분석 장치(100)에 의하여 생성될 수 있다. 이 때, 상기 복수의 방화벽 룰은, 상기 특정 리소스의 IP 주소가 매치 되는 상기 출발지 IP 주소를 가지고, 인터넷 타입의 IP 주소를 목적지 IP 주소로 가지는 방화벽 룰과, 상기 특정 리소스의 IP 주소가 매치 되는 상기 목적지 IP 주소를 가지고, 인터넷 타입의 IP 주소를 출발지 IP 주소로 가지는 방화벽 룰로 구성된다.
도 2는 본 실시예에 따른 방화벽 정책 시스템이 계층적으로 구성된 방화벽에 의하여 보호되는 내부망(10)에 적용된 구성을 도시한 도면이다. 도 2에서 내부망(10)의 리소스(600)에 의하여 송신된 데이터는 내부망(10)의 방화벽(300) 및 상위망(20)의 방화벽(310)을 순차적으로 모두 통과해야 외부 네트워크(400)로 나갈 수 있다. 또한, 내부망(10)의 리소스(600)로 송신된 데이터는 상위망(20)의 방화벽(310) 및 내부망(10)의 방화벽(300)을 순차적으로 모두 통과해야 리소스(600)에 전달될 수 있다.
도 2에 도시된 것과 같은 구조에서, 방화벽 정책 분석 장치(100)는 내부망(10)의 리소스(600)가 외부 네트워크(400)와 데이터를 송수신할 수 있는 통신 범위 정보를 생성할 수 있다. 이 때, 방화벽 정책 분석 장치(100)가 분석하는 상기 복수의 방화벽 룰은 방화벽 룰 분석 장치(100)가 담당하는 내부망(10)을 커버 하는 방화벽(300)에 등록된 복수의 방화벽 룰과, 내부망(10)의 상위 레이어의 네트워크인 상위망(20)을 커버하는 방화벽(310)에 등록된 복수의 방화벽 룰을 포함한다.
도 1 내지 도 2를 참조하여 설명한 방화벽 정책 분석 장치(100)의 동작 중, 복수의 방화벽 룰의 분석을 통한 통신 범위 정보의 생성과 관련하여는 도 7을 참조하여 보다 자세하게 설명하기로 한다.
이하, 도 3 내지 도 8을 참조하여, 본 발명의 다른 실시예에 따른 방화벽 정책 분석 방법에 대하여 설명한다. 도 3은 본 실시예에 따른 방화벽 정책 분석 방법의 순서도이다. 본 실시예에 따른 방화벽 정책 분석 방법은 컴퓨팅 장치 또는 네트워크 설비에 의하여 수행될 수 있다. 일 실시예에서, 상기 네트워크 설비는 방화벽이다. 일 실시예에서, 상기 컴퓨팅 장치는 웹 서버이다. 상기 웹 서버는 내부망의 리소스에 대한 정보를 관리하는 리소스 관리 장치에 연동되는 것일 수 있다.
특정 방화벽에 설정된 방화벽 정책에 포함된 모든 방화벽 룰을 분석하여 통신 범위 정보를 생성하는 경우, 상기 방화벽이 통과시키는 통신 범위에 대한 모든 정보가 상기 통신 범위 정보에 포함될 것이다. 이하, 도 3 내지 도 8을 참조한 설명에서는, 상기 방화벽이 통과시키는 인터넷-내부망 사이의 통신 범위에 대한 정보를 포함하는 상기 통신 범위 정보를 생성하는 실시예를 위주로 설명한다. 이러한 실시예에 따르면, 네트워크 관리자가 현재 내부망에서 인터넷으로 나갈 수 있는 패킷의 조건과 인터넷에서 내부망으로 들어올 수 있는 패킷의 조건을 일목요연하게 파악할 수 있을 것이다. 또한, 이렇게 생성된 상기 통신 범위 정보는 네트워크 관리자의 랜섬웨어 등 악성 코드에 대한 대처에 도움을 줄 수 있을 것이다.
이미 설명한 바와 같이, 본 실시예에 따른 방법의 실시 주체는 이미 설명된 바 있으므로, 각 동작의 주체에 대한 구체적인 기재는 생략될 수 있다.
단계 S100에서, 분석 대상이 될 복수의 방화벽 룰을 얻는다. 일 실시예에서, 상기 복수의 방화벽 룰은 출발지 IP 주소가 내부 리소스에 할당된 IP 주소이고 목적지 IP 주소가 내부 리소스에 할당되지 않은 IP 주소인 아웃바운드 방화벽 룰과, 목적지 IP 주소가 내부 리소스에 할당된 IP 주소이고 출발지 IP 주소가 내부 리소스에 할당되지 않은 IP 주소인 인바운드 방화벽 룰 중 적어도 하나를 포함한다. 한편, 출발지 IP 주소가 'ANY'로 지정되어 있어 출발지 IP주소에 대한 한정이 없거나, 목적지 IP 주소가 'ANY'로 지정되어 있어 목적지 IP주소에 대한 한정이 없는 방화벽 룰은 상기 아웃바운드 방화벽 룰과 상기 인바운드 방화벽 룰 모두에 해당될 수 있음을 유의한다.
단계 S100과 관련하여, 도 4를 참조하여 보다 자세히 설명한다.
단계 S102에서, 방화벽 정책 데이터를 로드(load) 한다. 일 실시예에서, 상기 로드 되는 상기 방화벽 정책 데이터는 사용자 단말로부터 업로드 된 방화벽 정책 파일일 수 있다. 방화벽의 기종에 따라 서로 다른 포맷의 방화벽 정책 파일을 지원하므로, 단계 S102에서 제1 포맷의 정책 데이터 파일과 제2 포맷의 정책 데이터 파일이 로드 되면, 상기 제1 포맷의 정책 데이터 파일은 상기 제1 포맷의 파서에 의하여 공통 포맷의 정책 데이터로 변환되고, 상기 제2 포맷의 정책 데이터 파일은 상기 제2 포맷의 파서에 의하여 상기 공통 포맷의 정책 데이터로 변환 될 수 있다. 예를 들어, 상기 정책 데이터 파일의 포맷은 XML, 텍스트 파일, 마이크로소프트 사의 엑셀(excel) 파일 등일 수 있다. 본 발명의 실시예에 의하여 지원되는 방화벽 정책 데이터의 포맷을 반영한 전용 파서가 제공된다.
단계 S104에서, 분석 대상 방화벽 룰을 구성하기 위한 입력이 사용자 단말로부터 수신된다. 상기 사용자 단말은 도 5a의 사용자 인터페이스를 제공 받고, 상기 사용자 인터페이스에 대한 사용자 입력을 가리키는 데이터를 방화벽 정책 분석 장치에 송신할 수 있다.
도 5a를 참조하여, 사용자가 선택할 수 있는 분석 조건에 대한 다양한 옵션을 설명한다. 사용자는 아웃바운드 체크 박스(40)를 선택함으로써, 내부망에서 인터넷으로의 아웃바운드 패킷이 허용되는 통신 범위 정보를 요청할 수 있다. 도 2를 참조하여 설명한 바와 같이, 내부망은 하나 이상의 상위망 방화벽을 통과해야 인터넷으로 데이터를 송신할 수 있는 경우가 존재한다. 이러한 경우를 위해, 내부망에서 인터넷까지 나가기 위한 요건을 가리키는 체크 박스(11), 내부망에서 상기 내부망의 바로 위 계층의 제1 상위망까지 나가기 위한 요건을 가리키는 체크 박스(12), 내부망에서 상기 제1 상위망의 바로 위 계층의 제2 상위망까지 나가기 위한 요건을 가리키는 체크 박스(13)가 상기 사용자 인터페이스에 포함 될 수 있다.
도 5b를 참조하여 설명한다. 도 5a의 사용자 인터페이스가 도 5b에 도시된 네트워크 토폴로지를 반영한 것일 수 있다. 이 때, 방화벽 정책 분석 장치가 리소스 관리 장치로부터 네트워크 토폴로지에 대한 정보 및 상기 리소스 관리 장치에 의하여 관리되는 각각의 리소스들을 이용하여, 상기 네트워크 토폴로지를 구성하고, 구성된 네트워크 토폴로지를 반영한 사용자 인터페이스를 디스플레이 할 수 있다.
도 5a에서 내부망은 도 5b의 영역(라)(53)이고, 도 5a의 제1 상위망은 도 5b의 영역(나-1)이고, 도 5a의 제2 상위망은 도 5b의 영역(가)(50)일 수 있다. 일 실시예에서, 도 5b를 통하여 도시된 네트워크 토폴로지를 가리키는 그래픽이 표시될 수도 있다. 이 때, 네트워크 토폴로지 상의 각 방화벽(60, 61, 62, 63)에 대한 체크박스가 표시될 수 있다. 예를 들어, 현재 방화벽 정책 분석 장치의 분석 대상인 내부망이 영역(라)(53)인 경우, 영역(라)(53)의 상위망인 영역(나-1), 영역(가)(50) 각각과 관련된 방화벽을 제외한 나머지 방화벽, 즉 방화벽 C(62)는 비활성화 될 것이다. 그리고, 사용자가 분석하고자 하는 방화벽은 상기 체크박스를 통해 최외곽 방화벽A(60), 방화벽B(61), 방화벽D(63) 중에 선택되거나 선택 해제 될 수 있다.
일 실시예에서, 도 5a의 사용자 인터페이스와, 도 5b와 같이 네트워크 토폴로지를 표시하는 사용자 인터페이스는, 서로 화면 전환 되어 표시됨으로써, 사용자의 분석 조건에 있어서의 편의성, 직관성을 향상시킬 수 있다.
이미 수차례 언급한 바와 같이, 도 5b의 네트워크 토폴로지 상에서, 상위망의 방화벽의 방화벽 정책 데이터와, 하위망의 방화벽의 방화벽 정책 데이터의 데이터 송수신 허용 조건의 교집합을 산출하면, 상기 하위망의 리소스가 상기 상위망의 방화벽을 통과할 수 있는 조건이 산출된다. 도 5c는 이러한 점을 도식화한 것이다.
예를 들어, 내부-인터넷 체크 박스(11)가 선택된다면, 내부망의 방화벽의 방화벽 정책에 포함된 방화벽 룰과, 제1 상위망의 방화벽의 방화벽 정책에 포함된 방화벽 룰과, 제2 상위망의 방화벽의 방화벽 정책에 포함된 방화벽 룰이 함께 분석되어야 할 것이다. 반면에, 내부망-인터넷 체크 박스(11)가 선택되지 않고, 내부망-제1상위망 체크 박스(12)만 선택된다면, 내부망의 방화벽의 방화벽 정책에 포함된 방화벽 룰 만 분석되면 될 것이다. 또한, 내부망-인터넷 체크 박스(11)가 선택되지 않고, 내부망-제1상위망 체크 박스(12) 및 내부망-제2상위망 체크 박스(13)가 선택된다면, 내부망의 방화벽의 방화벽 정책에 포함된 방화벽 룰과 제1 상위망의 방화벽의 방화벽 정책에 포함된 방화벽 룰이 함께 분석되면 될 것이다.
또한, 사용자는 인바운드 체크 박스(41)를 선택함으로써, 인터넷에서 내부망으로의 인바운드 패킷이 허용되는 통신 범위 정보를 요청할 수 있다. 도 2를 참조하여 설명한 바와 같이, 하나 이상의 상위망 방화벽을 통과해야 내부망으로 데이터가 전달 될 수 있는 경우가 존재한다. 이러한 경우를 위해, 인터넷에서 내부망까지 들어오기 위한 요건을 가리키는 체크 박스(17), 상기 내부망의 바로 위 계층의 제1 상위망에서 내부망까지 들어오기 위한 요건을 가리키는 체크 박스(18), 상기 제1 상위망의 바로 위 계층의 제2 상위망에서 내부망까지 들어오기 위한 요건을 가리키는 체크 박스(19)가 상기 사용자 인터페이스에 포함 될 수 있다.
예를 들어, 인터넷-내부 체크 박스(17)가 선택된다면, 내부망의 방화벽의 방화벽 정책에 포함된 방화벽 룰과, 제1 상위망의 방화벽의 방화벽 정책에 포함된 방화벽 룰과, 제2 상위망의 방화벽의 방화벽 정책에 포함된 방화벽 룰이 함께 분석되어야 할 것이다. 반면에, 인터넷-내부망 체크 박스(17)가 선택되지 않고, 제1상위망-내부망 체크 박스(18)만 선택된다면, 내부망의 방화벽의 방화벽 정책에 포함된 방화벽 룰 만 분석되면 될 것이다. 또한, 인터넷-내부망 체크 박스(17)가 선택되지 않고, 제1상위망-내부망 체크 박스(18) 및 제2상위망-내부망 체크 박스(19)가 선택된다면, 내부망의 방화벽의 방화벽 정책에 포함된 방화벽 룰과 제1 상위망의 방화벽의 방화벽 정책에 포함된 방화벽 룰이 함께 분석되면 될 것이다.
내부망의 리소스 중 특정 타입의 리소스 만이 관심 대상 리소스가 될 수 있다. 사용자는 내부망에 연결된 다양한 리소스 중, 서버 타입의 리소스에만 관심이 있고, 서버 타입의 리소스가 인터넷에 내보낼 수 있는 통신 범위 정보를 알고자 할 수 있을 것이다. 이 때, 사용자는 출발지 서버 한정 체크 박스(14)를 선택할 수 있다. 이 때, 방화벽 정책 분석 장치는, 내부망에 연결 된 리소스의 타입에 대한 정보를 리소스 관리 장치로부터 얻고, 상기 얻은 정보를 이용하여 서버 타입의 리소스에 할당 된 IP 주소를 조회할 수 있다. 또한, 상기 방화벽 정책 분석 장치는, 사용자 단말로부터 관심 대상 리소스에 대한 정보를 직접 수신할 수도 있다. 예를 들어, 상기 사용자 단말은 상기 방화벽 정책 분석 장치에 관심 대상 서버의 IP 범위에 대한 정보를 송신할 수 있다. 이 때, 분석 대상이 되는 상기 복수의 방화벽 룰은, 출발지 IP 주소가 상기 조회 된 IP 주소를 포함하고, 목적지 IP 주소로 인터넷 타입의 IP 주소를 가지는 방화벽 룰들로 구성된다.
도 5a에는 아웃바운드 패킷과 관련하여 출발지 리소스가 서버인 경우만 분석 대상으로 하기 위한 체크 박스(14)와, 출발지 리소스가 PC인 경우만 분석 대상으로 하기 위한 체크 박스(15)와, 인바운드 패킷과 관련하여 목적지 리소스가 서버인 경우만 분석 대상으로 하기 위한 체크 박스(20)와, 목적지 리소스가 PC인 경우만 분석 대상으로 하기 위한 체크 박스(22)가 예시적으로 도시되어 있다. 도 5a에 도시된 리소스 타입으로서의 PC, 서버는 일 예에 불과하고, 라우터, 게이트웨이, 생산 설비 등 다양한 타입의 리소스가 분석 대상으로 특정 될 수 있다.
또한, 일 실시예에서, 상기 방화벽 정책 분석 장치는, 리소스 관리 장치에서 제공 받은 정보에서 내부망에 연결된 리소스의 모든 타입을 추출하고, 상기 추출된 모든 타입의 체크 박스를 상기 사용자 인터페이스에 표시할 수도 있다.
다시 도 4로 돌아와 설명한다. 단계 S106에서, 단계 S102에서 로드 된 방화벽 정책 데이터에 포함된 복수의 방화벽 룰 중 사용자 단말로부터 수신된 정보에 대응되는 방화벽 룰을 선정하고, 상기 방화벽 정책 데이터 상의 우선 순위를 반영하여 분석 대상 방화벽 룰 사이의 우선 순위를 부여한다.
복수의 방화벽 정책 데이터가 분석 대상인 경우, 단계 S108 및 단계 S109에서 각각의 방화벽 정책 데이터 사이의 우선 순위가 결정된다.
내부망에서 발생된 데이터가 인터넷으로 나가거나, 인터넷에서 상기 내부망으로 데이터가 들어오기 위하여 계층적으로 구비된 복수의 방화벽을 통과해야 하는 경우, 단계 S102에서 복수의 방화벽 정책 데이터가 로드 된다. 이런 경우, 각각의 방화벽 정책 데이터 사이의 우선 순위가 결정될 수 있다. 예를 들어, 사용자 단말로부터의 요청이 인바운드 데이터가 내부망으로 들어올 수 있는 통신 범위에 대한 것이라면, 최외곽의 방화벽의 정책 데이터가 우선 순위가 가장 높고, 내부망의 방화벽의 정책 데이터가 우선 순위가 가장 낮을 것이다. 반대로, 사용자 단말로부터의 요청이 아웃바운드 데이터가 내부망으로부터 인터넷으로 나갈 수 있는 통신 범위에 대한 것이라면, 내부망의 방화벽의 정책 데이터가 우선 순위가 가장 낮을 것이고, 최외곽의 방화벽의 정책 데이터가 우선 순위가 가장 높을 것이다. 또한, 다른 실시예에서, 각각의 방화벽 정책 데이터 사이의 우선 순위는 부여되지 않고, 각각의 방화벽 정책 데이터에 따른 분석 결과의 교집합을 도출하여, 내부망에서 발생된 데이터가 인터넷으로 나가거나, 인터넷에서 상기 내부망으로 데이터가 들어오기 위하여 만족되어야 하는 조건을 구할 수도 있다. 이 때, 계층적인 복수의 방화벽 중 최외곽의 방화벽 정책에서 상기 교집합을 제외한 차집합은 상기 최외곽의 방화벽이 커버하는 리소스에는 포함되지만, 내부망의 리소스에는 포함되지 않은 리소스가 인터넷과 통신할 수 있는 조건을 가리킬 것이다.
이상 설명한 바와 같이, 분석 대상 방화벽 정책 데이터가 복수개 존재하는 경우(S108), 방화벽의 계층 구조 및 인바운드/아웃바운드 여부를 반영하여 방화벽 정책 데이터 사이의 우선 순위가 결정될 수 있다(S109). 물론, 상기 설명한 바와 같이, 다른 실시예에서는 방화벽의 계층 구조에 따른 우선 순위의 반영 없이, 교집합을 구하는 동작만 수행될 수도 있음을 유의한다.
다시 도 3으로 돌아와서 설명한다. 분석 대상인 복수의 방화벽 룰을 얻은 후(S100), 단계 S200에서 상기 복수의 방화벽 룰 각각의 출발지 IP 주소 및 목적지 IP 주소의 타입이 결정된다. 상기 대상 IP 주소의 타입은 인터넷 타입과, 내부 리소스 타입을 포함한다. 상기 내부 리소스 타입의 IP 주소는 내부망의 리소스에 할당 된 IP 주소인 것을 가리킨다. 또한, IP 주소가 복수의 IP 주소를 포함하는 주소 영역(예를 들어, "145.223.220.*"인 경우, 145.223.220.0에서 145.223.220.255 사이의 주소들을 가리킴)으로 지정된 경우, 상기 내부 리소스 타입의 IP 주소는 내부망의 리소스에 할당 된 IP 주소들로 구성된 IP 주소 영역을 가리킨다. 상기 인터넷 타입의 IP 주소는 내부 리소스 타입의 IP 주소가 아닌 모든 IP 주소 또는 IP 주소 영역을 가리킨다.
일 실시예에서, 방화벽 룰의 출발지 IP 주소의 타입 및 목적지 IP 주소의 타입은 각각 방화벽 정책 데이터에 기록된 것일 수 있다.
다른 실시예에서, 방화벽 룰의 출발지 IP 주소의 타입 및 목적지 IP 주소의 타입은 내부망의 리소스를 관리하는 리소스 관리 장치로부터 수신 된 정보를 이용하여 방화벽 정책 분석 장치에 의하여 결정된 것일 수도 있다. 이 때, 상기 방화벽 정책 분석 장치는, 상기 리소스 관리 장치로부터 수신 된 정보에서 각각의 리소스에 할당 된 IP 주소 정보를 취합하고, 상기 취합 된 IP 주소 정보를 이용하여 방화벽 룰의 출발지 IP 주소의 타입 및 목적지 IP 주소의 타입을 결정할 수 있다.
방화벽 룰의 출발지 IP 주소의 타입 및 목적지 IP 주소의 타입을 결정하는 것은, 고려 대상 방화벽 룰이 더 이상 존재하지 않을 때까지 각각의 고려 대상 방화벽 룰에 대하여 수행된다(S300).
단계 S400, S500에서, 데이터 송수신을 허용(allow)하는 내부망-인터넷 사이의 방화벽 룰 각각에 대하여 선순위의 거부 액션 방화벽 룰과의 중복 범위를 반영한 허용 유효 범위를 결정하는 것을 반복한다. 허용 액션 방화벽 룰에 대하여 허용 유효 범위를 결정하는 것은 도 7을 참조하여 추후 자세하게 설명한다.
단계 S600에서, 각각의 허용 액션 방화벽 룰에 대하여 구해진 허용 유효 범위를 취합하여 인터넷-내부망 통신 범위 정보를 생성한다. 단계 S700에서, 상기 생성된 인터넷-내부망 통신 범위 정보가 출력된다. 상기 생성된 인터넷-내부망 통신 범위 정보는 분석 대상인 복수의 방화벽 룰을 구성하기 위한 정보를 송신한 사용자 단말에 송신 될 수 있다. 상기 인터넷-내부망 통신 범위 정보의 일례는 도 8에 도시되어 있다. 추후 도 8을 참조하여 본 실시예의 방화벽 정책 분석 방법의 수행 결과 어떠한 정보가 생성되는지 여부에 대하여 보다 자세하기 설명한다.
이하, 도 6을 참조하여, 복수의 방화벽이 계층적으로 구비된 환경을 고려한 본 발명의 또 다른 실시예에 따른 방화벽 정책 분석 방법을 설명한다. 도 6에 도시된 바와 같이, 복수의 방화벽 룰을 얻고, 각각의 방화벽 룰에 대하여 출발지 IP 주소 및 목적지 IP 주소의 타입을 결정 하는 동작(S100, S200, S300)은 도 3을 참조하여 설명한 것과 크게 다르지 않다. 다만, 본 실시예는 복수의 방화벽의 방화벽 정책 데이터를 모두 고려하여 인터넷-내부망 통신 범위 정보를 생성해야 하는 점이 도 3과 다르다.
각각의 방화벽 정책 데이터 사이의 우선 순위를 결정하는 방법은 도 4를 참조하여 설명한 바 있다. 도 4를 참조하여 설명한 방식에 따라 결정 된 첫번째 우선 순위의 방화벽 정책 데이터를 분석 하여 인터넷-내부망 통신 범위 정보를 생성 한다(S402). 하나의 방화벽 정책 데이터에 포함된 복수의 방화벽 룰을 분석하여 상기 인터넷-내부망 통신 범위 정보를 생성하는 방법은, 추후 도 7을 참조하여 자세히 설명한다.
위에서 수차례 설명한 바와 같이, 계층적인 복수의 방화벽이 존재하는 네트워크 토폴로지에서, 방화벽의 계층 구조에 따른 우선 순위의 반영 없이, 교집합을 구하는 동작만 수행될 수 있다.
다른 실시예에 따른, 방화벽의 계층 구조 및 분석 대상 트래픽 방향(아웃바운드/인바운드)를 반영한 방화벽 사이의 우선 순위가 존재하는 경우에 대하여 설명한다. 도 2에 도시된 환경에서 내부망(10)에서 외부 네트워크(400)로의 아웃바운드 통신 범위 정보를 설정하는 경우, 첫번째 우선 순위의 방화벽 정책 데이터는 내부망(10)의 방화벽(300)의 방화벽 정책 데이터이고, 두번째 우선 순위의 방화벽 정책 데이터는 상위망(20)의 방화벽(310)의 방화벽 정책 데이터이다. 단계 S402에 따라 생성된 인터넷-내부망 통신 범위 정보는, 내부망(10)의 리소스(600)가 방화벽(300)을 통과하여 내부망(10) 밖으로 내보낼 수 있는 패킷의 요건에 대한 정보이다.
다음으로, 다음 순위의 방화벽 정책 데이터가 존재하는 경우(S404), 단계 S406에서 전 순위의 방화벽 정책 데이터(즉, 내부망(10)의 방화벽(300)의 방화벽 정책 데이터)에 따른 인터넷-내부망 통신 범위를, 다음 순위의 방화벽 정책 데이터(즉, 상위망(20)의 방화벽(310)의 방화벽 정책 데이터)에 속한 방화벽 룰을 처리하여 얻은 인터넷-내부망 통신 범위 정보를 이용하여 조정한다. 상기 조정에 의하여 전 순위의 방화벽 정책 데이터에 따른 인터넷-내부망 통신 범위가 다음 순위의 방화벽 정책 데이터에 속한 방화벽 룰을 처리하여 얻은 인터넷-내부망 통신 범위 정보와의 교집합에 해당하는 범위로 감축되도록 조정된다. 상기 설명된 사안에서, 단계 S406에 따라 조정된 인터넷-내부망 통신 범위 정보는 내부망(10)의 리소스(600)가 2개의 방화벽(300, 310)을 모두 통과하여 네트워크(400)로 나갈 수 있는 인터넷-내부망 통신 범위이다.
다음 순위의 방화벽 정책 데이터가 더 이상 존재하지 않을 때까지(S408), 단계 S406을 통한 인터넷-내부망 통신 범위 조정이 반복 된다.
단계 S700에서, 모든 분석 대상 방화벽 정책 데이터에 대한 처리가 마무리 된 후의 조정된 인터넷-내부망 통신 범위 정보가 출력된다.
이하, 도 7을 참조하여 하나의 방화벽 정책 데이터에 속한 복수의 방화벽 룰을 분석하여, 상기 방화벽 정책 데이터가 규정하는 인터넷-내부망 통신 범위 정보를 생성하는 구체적인 방법을 설명한다. 도 7에 도시된 순서도는 도 6의 단계 S402의 상세 순서도인 것으로 이해 될 수 있다. 아래의 표 1에 표시된 7개의 방화벽 룰을 분석하는 상황을 가정하여 설명한다.
ENABLE
(활성화
여부) 		ACTION
(허용 여부) 		SEQ
(시퀀스) 		출발지 IP 목적지 IP TCP UDP ICMP 사용기간
Y DENY
(차단)		 1 175.30.19.250 ~ 175.30.20.30 10.20.30.40 80 10000 ICMP '16.09.20
~ '17.09.19
Y DENY
(차단)		 2 160.11.22.0/24 10.20.30.41 ~ 10.20.30.45 80, 443 10000 - 영구
Y ALLOW
(허용)		 3 175.30.20.2 10.20.30.25 21 20000 ICMP 영구
Y DENY
(차단)		 4 175.30.20.5 ~ 175.30.20.255 10.20.30.20 ~ 10.20.30.50 ALL ALL ICMP '15.12.20
~ '17.12.19
Y DENY
(차단)		 5 175.30.20.2 10.20.30.25 21 20000 ICMP '16.07.20
~ '17.07.19
N DENY
(차단)		 6 175.30.20.0 ~ 175.30.20.240 10.20.30.50 21, 23, 80 20000
~ 20001		 - 영구
Y ALLOW
(허용)		 7 175.30.20.0 ~ 175.30.20.255 10.20.30.20 ~ 10.20.30.50 80, 443, 21 - ICMP 영구
표 1에는 시퀀스#1부터 시퀀스#7까지 총 7개의 방화벽 룰이 표시되어 있다. 시퀀스#1이 가장 우선적으로 적용되는 방화벽 룰이고, 시퀀스#7이 가장 나중에 적용되는 방화벽 룰이다. 이해의 편의 상, 7개의 방화벽 룰 모두 출발지 IP는 내부 리소스 타입의 IP 주소이고, 목적지 IP는 인터넷 타입의 IP 주소인 것으로 가정한다.
단계 S421, S422, S423에서, 시퀀스#1부터 순차적으로 방화벽 룰을 확인하면서 허용 액션의 방화벽 룰을 찾는다. 첫번째 허용 액션의 방화벽 룰은 시퀀스#3이다. 시퀀스#3 방화벽 룰은 175.30.20.2에서 10.20.30.25으로의 TCP 포트 21, UDC 포트 20000 또는 ICMP 프로토콜 패킷은 데이터 송수신을 통과 시키는 룰이다. 시퀀스#3 방화벽 룰과 같이 허용 액션의 방화벽 룰이면서 상기 대상 IP 주소로 인터넷 타입의 IP 주소를 가지는 방화벽 룰은, 인터넷-내부망 통신이 가능하도록 해주는 룰 중 하나인 점에서, 인터넷-내부망 통신 근거 룰인 것으로 이해될 수 있다.
단계 S424 내지 단계 S430에서 시퀀스#3 방화벽 룰의 허용 유효 범위가 결정된다. 상기 인터넷-내부망 통신 근거 룰의 허용 유효 범위를 결정하는 방법은, 첫번째 방화벽 룰로부터 상기 인터넷-내부망 통신 근거 룰 직전의 방화벽 룰까지 순회하면서, 상기 인터넷-내부망 통신 근거 룰의 통신 허용 범위와 중복되는 거부 범위를 갖는 거부 액션의 방화벽 룰을 찾고, 그 중복 범위를 반영하여 상기 인터넷-내부망 통신 근거 룰의 허용 유효 범위를 결정하는 것이다.
통신 허용 범위와 통신 거부 범위가 중복된다는 것은, 출발지 IP, 목적지 IP 및 포트가 모두 적어도 부분적으로는 중복되는 것을 의미한다.
표 1의 시퀀스#3 방화벽 룰의 허용 유효 범위는 아래와 같이 결정된다.
- 첫번째 순위의 거부 액션 방화벽 룰인 시퀀스#1 방화벽 룰을 얻는다(S424).
- 출발지 IP와 포트(ICMP)는 중복되나, 목적지 IP가 중복되지 않으므로, 시퀀스#1의 통신 거부 범위와 시퀀스#3의 통신 허용 범위는 중복 되지 않는다(S425, S426). 따라서, 다음 순위의 거부 액션 방화벽 룰인 시퀀스#2 방화벽 룰을 얻는다(S429, S428).
- 출발지 IP, 목적지 IP 및 포트 어느 하나도 중복되지 않으므로, 시퀀스#2의 통신 거부 범위와 시퀀스#3의 통신 허용 범위는 중복 되지 않는다(S425, S426).
- 시퀀스#2와 시퀀스#3 사이의 방화벽 룰은 더 이상 존재하지 않는다(S429). 따라서, 현재의 인터넷-내부망 통신 근거 룰인 시퀀스#3 방화벽 룰의 허용 유효 범위는 시퀀스#3 방화벽 룰의 통신 허용 범위와 동일하게 된다.
다음으로, 시퀀스#3 다음의 허용 액션 방화벽 룰인 시퀀스#7 방화벽 룰이 찾아진다(S422, S423). 현재의 인터넷-내부망 통신 근거 룰은 시퀀스#7 방화벽 룰이다. 시퀀스#7 방화벽 룰의 허용 유효 범위는 아래와 같이 결정된다.
- 첫번째 순위의 거부 액션 방화벽 룰인 시퀀스#1 방화벽 룰을 얻는다(S424).
- 출발지 IP, 목적지 IP 및 포트가 모두 적어도 일부 영역에서 중복되므로, 시퀀스#1의 통신 거부 범위와 시퀀스#7의 통신 허용 범위는 중복 된다(S425, S426). 따라서, 시퀀스#7 방화벽 룰의 통신 허용 범위를 시퀀스#1의 통신 거부 범위와의 중복 영역을 반영하여 조정한 결과인 중간 허용 유효 범위를 결정한다.
- 시퀀스#7 방화벽 룰의 중간 허용 유효 범위는 아래의 3가지 종류를 포함한다.
범위 타입 A: 시퀀스#7 방화벽 룰의 대상 포트에서 시퀀스#1 방화벽 룰의 대상 포트를 제외한 포트 범위에 포함되는 포트 번호를 가지고, 시퀀스#7 방화벽 룰의 출발지 IP 주소 및 목적지 IP 주소에 매칭되는 모든 패킷
범위 타입 B: 시퀀스#7 방화벽 룰의 대상 포트와 시퀀스#1 방화벽 룰의 대상 포트의 교집합에 대응되는 포트 범위에서, 시퀀스#7 방화벽 룰의 출발지 IP 주소에 속하면서 시퀀스#1 방화벽 룰의 출발지 IP 주소에 속하지 않는 출발지 IP 주소 범위에 매칭 되는 모든 패킷
범위 타입 C: 시퀀스#7 방화벽 룰의 대상 포트와 시퀀스#1 방화벽 룰의 대상 포트의 교집합에 대응되는 포트 범위에서, 시퀀스#7 방화벽 룰의 목적지 IP 주소에 속하면서 시퀀스#1 방화벽 룰의 목적지 IP 주소에 속하지 않는 목적지 IP 주소 범위에 매칭 되는 모든 패킷
- 결과적으로, 시퀀스#7 방화벽 룰의 중간 허용 유효 범위는 아래의 표 2와 같다. 표 2의 SEQ(시퀀스)는 (허용 액션 방화벽 룰의 시퀀스/중복되는 거부 액션 방화벽 룰의 시퀀스-범위타입)의 포맷에 따라 기재된 것이다.
출발지 IP 목적지 IP TCP UDP ICMP SEQ(시퀀스)
175.30.20.0 ~ 175.30.20.255 10.20.30.20 ~ 10.20.30.50 21, 443 - - SEQ#7/SEQ#1-A
175.30.20.31 ~ 175.30.20.255 10.20.30.20 ~ 10.20.30.50 80 - ICMP SEQ#7/SEQ#1-B
175.30.20.0 ~ 175.30.20.255 10.20.30.20 ~ 10.20.30.39,
10.20.30.41 ~ 10.20.30.50		 80 - ICMP SEQ#7/SEQ#1-C
- 다음 순위의 거부 액션 방화벽 룰인 시퀀스#2 방화벽 룰을 얻는다(S429, S428).
- 목적지 IP와 포트(ICMP)0는 중복되나, 출발지 IP가 중복되지 않으므로, 시퀀스#1의 통신 거부 범위와 시퀀스#7의 통신 허용 범위는 중복 되지 않는다(S425, S426). 따라서, 다음 순위의 거부 액션 방화벽 룰인 시퀀스#4 방화벽 룰을 얻는다(S429, S428).
- 출발지 IP, 목적지 IP 및 포트가 모두 적어도 일부 영역에서 중복되므로, 시퀀스#4의 통신 거부 범위와 시퀀스#7의 통신 허용 범위는 중복 된다(S425, S426). 따라서, 시퀀스#7 방화벽 룰의 중간 허용 유효 범위를 시퀀스#4의 통신 거부 범위와의 중복 영역을 반영하여 조정한 결과인 중간 허용 유효 범위를 결정한다. 상기 시퀀스#7 방화벽 룰의 중간 허용 유효 범위는 표 2에 도시되어 있다. 한편, 시퀀스#7 방화벽 룰의 중간 허용 유효 범위는 3개의 서로 분리된 범위를 포함한다(범위A, 범위B, 범위C). 따라서, 시퀀스#7 방화벽 룰의 중간 허용 유효 범위 A(SEQ#7/SEQ#1-A), 시퀀스#7 방화벽 룰의 중간 허용 유효 범위 B(SEQ#7/SEQ#1-B), 시퀀스#7 방화벽 룰의 중간 허용 유효 범위 C(SEQ#7/SEQ#1-C) 각각에 대하여 시퀀스#4의 통신 거부 범위와의 중복 영역을 반영하여 조정한 결과인 중간 허용 유효 범위를 결정할 수 있을 것이다. 그 결과, 최대 총 9개의 분리된 범위로 구성된, 갱신된 시퀀스#7 방화벽 룰의 중간 허용 유효 범위가 만들어질 수 있다. 그 결과는 아래의 표 3과 같다.
출발지 IP 목적지 IP TCP UDP ICMP SEQ(시퀀스)
없음 없음 - - - (SEQ#7/SEQ#1-A)/SEQ#4-A
175.30.20.0 ~ 175.30.20.4 10.20.30.20 ~ 10.20.30.50 21, 443 - - (SEQ#7/SEQ#1-A)/SEQ#4-B
없음 없음 - - - (SEQ#7/SEQ#1-A)/SEQ#4-C
없음 없음 - - - (SEQ#7/SEQ#1-B)/SEQ#4-A
없음 없음 - - - (SEQ#7/SEQ#1-B)/SEQ#4-B
없음 없음 - - - (SEQ#7/SEQ#1-B)/SEQ#4-C
없음 없음 - - - (SEQ#7/SEQ#1-C)/SEQ#4-A
175.30.20.0 ~ 175.30.20.4 10.20.30.20 ~ 10.20.30.39,
10.20.30.41 ~ 10.20.30.50		 80 ICMP (SEQ#7/SEQ#1-C)/SEQ#4-B
없음 없음 - - - (SEQ#7/SEQ#1-C)/SEQ#4-C
- 다음 순위의 거부 액션 방화벽 룰인 시퀀스#5 방화벽 룰을 얻는다(S428). 그런데, 시퀀스#5 방화벽 룰은 사용기간이 도과 되어(2017년 8월 17일 기준) '차단'의 효력이 없다.
- 다음 순위의 거부 액션 방화벽 룰인 시퀀스#6 방화벽 룰을 얻는다(S429, S428). 그런데, 시퀀스#6 방화벽 룰은 활성화 된 정책이 아니므로(ENABLED 필드 참조), '차단'의 효력이 없다.
- 더 이상은 시퀀스#7 방화벽 룰보다 선순위의 방화벽 룰이 존재하지 않는다(S429). 따라서, 시퀀스#7 방화벽 룰의 현 시점의 중간 허용 유효 범위(표 3 참조)를 시퀀스#7 방화벽 룰의 허용 유효 범위로 설정한다(S430). 시퀀스#7 방화벽 룰의 허용 유효 범위는 아래의 표 4와 같다.
출발지 IP 목적지 IP TCP UDP ICMP
175.30.20.0 ~ 175.30.20.4 10.20.30.20 ~ 10.20.30.50 21, 443 - -
175.30.20.0 ~ 175.30.20.4 10.20.30.20 ~ 10.20.30.39,
10.20.30.41 ~ 10.20.30.50		 80 ICMP
- 시퀀스#7 방화벽 룰 보다 후순위의 방화벽 룰은 더 이상 존재하지 않는다(S422).
- 단계 S431에서, 총 7개의 방화벽 룰 중 허용 액션 방화벽 룰 2개(시퀀스#3, 시퀀스#7) 각각의 허용 유효 범위를 합산하여 인터넷-내부망 통신 범위 정보를 생성한다. 지금까지 설명한 사례에 따른 인터넷-내부망 통신 범위 정보는 아래의 표 5와 같다.
출발지 IP 목적지 IP TCP UDP ICMP 시퀀스
175.30.20.2 10.20.30.25 21 20000 ICMP 3
175.30.20.0 ~ 175.30.20.4 10.20.30.20 ~ 10.20.30.50 21, 443 - - 7
175.30.20.0 ~ 175.30.20.4 10.20.30.20 ~ 10.20.30.39,
10.20.30.41 ~ 10.20.30.50		 80 ICMP
도 8은 상기 인터넷-내부망 통신 범위 정보가 출력되는 예시적인 사례를 도시한 것이다. 사용자에 의하여 입력된 분석의 조건에 대한 정보 및 그 결과 분석의 대상이 된 방화벽 룰의 개수(23) 및 상기 분석의 조건에 부합하는 데이터가 송수신 되도록 기여한 인터넷-내부망 통신 근거 룰의 개수(24)가 하단의 인터넷-내부망 통신 범위 정보와 함께 표시될 수 있다.
지금까지 설명된 본 발명의 실시예에 따른 방법들은 컴퓨터가 읽을 수 있는 코드로 구현된 컴퓨터프로그램의 실행에 의하여 수행될 수 있다. 상기 컴퓨터프로그램은 인터넷 등의 네트워크를 통하여 제1 컴퓨팅 장치로부터 제2 컴퓨팅 장치에 전송되어 상기 제2 컴퓨팅 장치에 설치될 수 있고, 이로써 상기 제2 컴퓨팅 장치에서 사용될 수 있다. 상기 제1 컴퓨팅 장치 및 상기 제2 컴퓨팅 장치는, 서버 장치, 클라우드 서비스를 위한 서버 풀에 속한 물리 서버, 데스크탑 피씨와 같은 고정식 컴퓨팅 장치를 모두 포함한다.
상기 컴퓨터프로그램은 DVD-ROM, 플래시 메모리 장치 등의 기록매체에 저장된 것일 수도 있다.
도 9는 본 발명의 또 다른 실시예에 따른 방화벽 정책 분석 장치의 불록도이다. 도 9에 도시된 바와 같이, 본 실시예에 따른 방화벽 정책 분석 장치는 분석 대상인 복수의 방화벽 룰을 구성하기 위한 정보를 사용자 단말로부터 수신하기 위한 사용자 인터페이스를 제공하는 사용자 인터페이스 생성부(1200)와, 내부망의 리소스를 관리하는 리소스 관리 장치(미도시)와 연동하여, 상기 복수의 방화벽 룰 각각에 대하여 대상 IP 주소의 타입을 인터넷 타입과, 내부 리소스 타입 중 하나로 결정하는 리소스 관리 장치 연동부(1000)와, 상기 복수의 방화벽 룰 중 허용 액션의 방화벽 룰이면서 상기 대상 IP 주소로 인터넷 타입의 IP 주소를 가지는 인터넷-내부망 통신 근거 룰에 대하여, 선순위의 거부 액션 방화벽 룰과의 중복 범위를 반영한 허용 유효 범위를 결정하고, 상기 각각의 인터넷-내부망 통신 근거 룰의 허용 유효 범위의 취합 하여 인터넷-내부망 통신 범위 정보를 생성하는 방화벽 정책 분석부(1300)를 포함한다.
방화벽 정책 분석 장치(100)는 데이터 송수신을 중개 하는 네트워크 인터페이스(1400)를 더 포함할 수 있다. 또한, 방화벽 정책 분석 장치(100)는 방화벽과 연동하여, 방화벽 정책 데이터를 얻는 등의 동작을 수행하는 방화벽 연동부(1100)를 더 포함할 수 있다.
방화벽 정책 분석 장치(100)는 도 1 내지 도 8을 참조하여 설명한 다양한 실시예에 따른 동작을 수행하는 주체일 수 있으므로, 방화벽 정책 분석 장치(100)의 동작은 도 9를 참조하여 상기 설명된 것에 한정되지 않는다.
일 실시예에서, 방화벽 정책 분석 장치(100)는 방화벽 장치 내부의 모듈로서 구비되어, 상기 방화벽 장치의 정책을 지속적으로 실시간 분석할 수도 있다. 이 때, 방화벽 정책 분석 장치(100)는 관리자에 의하여 등록된 알람 조건에 따른 인터넷-내부망 통신 범위 정보에 변동이 발생되는 경우, 기 등록된 연락처에 알람을 자동으로 발송할 수 있다. 예를 들어, 관리자에 의하여 특정 IP 대역에서 인터넷으로 나가는 아웃바운드 통신 범위 정보에 변동이 발생되는 경우, 자동으로 알람을 송신하도록 설정된 경우, 방화벽 사용자에 의하여 신규 방화벽 룰이 생성되는 등의 이유로 아웃바운드 통신 범위 정보에 변동이 발생되면 상기 관리자의 단말에 자동으로 알람이 송신될 수 있다.
일 실시예에서, 방화벽 정책 분석부(1300), 리소스 관리 장치 연동부(1000), 방화벽 연동부(1100) 및 사용자 단말 인터페이스 생성부(1200) 중 적어도 일부는 복수의 오퍼레이션을 통하여 구현 된 것이고, 상기 복수의 오퍼레이션은 메모리(RAM)(미도시)에 로드 된 후, 프로세서(미도시)를 통해 실행 될 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다.

Claims (12)

  1. 방화벽 정책 분석 장치가, 복수의 방화벽 룰 각각에 대하여 대상 IP 주소의 타입을 결정하되, 상기 대상 IP 주소의 타입은 인터넷 타입과, 내부 리소스 타입을 포함하는 단계;
    상기 방화벽 정책 분석 장치가, 상기 복수의 방화벽 룰 중 허용 액션의 방화벽 룰이면서 상기 대상 IP 주소로 인터넷 타입의 IP 주소를 가지는 인터넷-내부망 통신 근거 룰에 대하여, 선순위의 거부 액션 방화벽 룰과의 중복 범위를 반영한 허용 유효 범위를 결정하는 단계; 및
    상기 방화벽 정책 분석 장치가, 상기 각각의 인터넷-내부망 통신 근거 룰의 허용 유효 범위의 취합하여 인터넷-내부망 통신 범위 정보를 생성하는 단계를 포함하는,
    방화벽 정책 분석 방법.
  2. 제1 항에 있어서,
    상기 복수의 방화벽 룰을 파싱 하고, 파싱 결과를 이용하여 상기 복수의 방화벽 룰에 포함되는 각각의 방화벽 룰 별로 대상 IP 주소의 타입을 결정하는 단계 이전에,
    상기 방화벽 정책 분석 장치가, 상기 복수의 방화벽 룰을 구성하기 위한 정보를 사용자 단말로부터 수신하는 단계를 더 포함하는,
    방화벽 정책 분석 방법.
  3. 제2 항에 있어서,
    상기 대상 IP 주소는 출발지 IP 주소와 목적지 IP 주소를 포함하고,
    상기 복수의 방화벽 룰을 구성하기 위한 정보를 사용자 단말로부터 수신하는 단계는,
    내부망-인터넷 아웃바운드(out-bound) 통신 범위에 대한 요청을 가리키는 정보를 수신하는 단계를 포함하고,
    상기 복수의 방화벽 룰은, 상기 출발지 IP 주소로 내부 리소스 타입의 IP 주소를 가지고 목적지 IP 주소로 인터넷 타입의 IP 주소를 가지는 방화벽 룰들로 구성되는,
    방화벽 정책 분석 방법.
  4. 제3 항에 있어서,
    상기 내부망-인터넷 아웃바운드(out-bound) 통신 범위에 대한 요청을 가리키는 정보를 수신하는 단계는,
    내부망에 연결 된 리소스의 타입에 대한 정보를 더 수신하는 단계; 및
    상기 수신된 정보에 따른 타입의 장치에 할당 된 IP 주소를 조회하는 단계를 포함하고,
    상기 복수의 방화벽 룰은, 상기 출발지 IP 주소가 상기 조회 된 IP 주소를 포함하고, 목적지 IP 주소로 인터넷 타입의 IP 주소를 가지는 방화벽 룰들로 구성되는,
    방화벽 정책 분석 방법.
  5. 제3 항에 있어서,
    상기 내부망-인터넷 아웃바운드(out-bound) 통신 범위에 대한 요청을 가리키는 정보를 수신하는 단계는,
    관심 포트에 대한 정보를 더 수신하는 단계를 포함하고,
    복수의 방화벽 룰은, 상기 출발지 IP 주소로 내부 리소스 타입의 IP 주소를 가지고 목적지 IP 주소로 인터넷 타입의 IP 주소를 가지며, 대상 포트로 상기 관심 포트가 포함된 방화벽 룰들로 구성되는,
    방화벽 정책 분석 방법.
  6. 제2 항에 있어서,
    상기 대상 IP 주소는 출발지 IP 주소와 목적지 IP 주소를 포함하고,
    상기 복수의 방화벽 룰을 구성하기 위한 정보를 사용자 단말로부터 수신하는 단계는,
    인터넷-내부망 인바운드(in-bound) 통신 범위에 대한 요청을 가리키는 정보를 수신하는 단계를 포함하고,
    상기 복수의 방화벽 룰은, 상기 출발지 IP 주소로 인터넷 타입의 IP 주소를 가지고 목적지 IP 주소로 내부 리소스 타입의 IP 주소를 가지는 방화벽 룰들로 구성되는,
    방화벽 정책 분석 방법.
  7. 제2 항에 있어서,
    상기 복수의 방화벽 룰을 구성하기 위한 정보를 사용자 단말로부터 수신하는 단계는,
    내부망에 연결 된 특정 리소스를 지정하는 정보를 상기 사용자 단말로부터 수신하는 단계를 포함하고,
    상기 복수의 방화벽 룰은, 상기 특정 리소스의 IP 주소가 매치 되는 상기 출발지 IP 주소를 가지고, 인터넷 타입의 IP 주소를 목적지 IP 주소로 가지는 방화벽 룰과, 상기 특정 리소스의 IP 주소가 매치 되는 상기 목적지 IP 주소를 가지고, 인터넷 타입의 IP 주소를 출발지 IP 주소로 가지는 방화벽 룰으로 구성되는,
    방화벽 정책 분석 방법.
  8. 제2 항에 있어서,
    상기 인터넷-내부망 통신 범위 정보를 생성하는 단계는,
    상기 복수의 방화벽 룰을 구성하기 위한 정보를 상기 사용자 단말로부터 수신한 것에 대한 응답으로서, 상기 인터넷-내부망 통신 범위 정보가 상기 사용자 단말에서 디스플레이 되도록 하기 위한 데이터를 상기 사용자 단말에 송신하는 단계를 포함하는,
    방화벽 정책 분석 방법.
  9. 제1 항에 있어서,
    상기 복수의 방화벽 룰을 파싱 하고, 파싱 결과를 이용하여 상기 복수의 방화벽 룰에 포함되는 각각의 방화벽 룰 별로 대상 IP 주소의 타입을 결정하는 단계는,
    상기 방화벽 룰 분석 장치에 연동되는 리소스 관리 장치로부터 내부망에 연결된 리소스들의 IP 주소 정보들을 포함하는 내부망 IP 주소 정보를 얻는 단계; 및
    상기 복수의 방화벽 룰에 포함되는 각각의 방화벽 룰 별로, 상기 대상 IP 주소가 상기 내부망 IP 주소 정보에 포함된 것인 경우 상기 대상 IP 주소의 타입을 내부 리소스 타입으로 결정하고, 상기 대상 IP 주소가 상기 내부망 IP 주소 정보에 포함된 것이 아닌 경우 상기 대상 IP 주소의 타입을 인터넷 타입으로 결정하는 단계를 포함하는,
    방화벽 정책 분석 방법.
  10. 제1 항에 있어서,
    상기 복수의 방화벽 룰은 상기 방화벽 룰 분석 장치가 담당하는 내부망을 커버 하는 제1 방화벽 장치에 등록된 복수의 방화벽 룰과, 상기 내부망의 상위 레이어의 네트워크를 커버하는 제2 방화벽 장치에 등록된 복수의 방화벽 룰을 포함하는,
    방화벽 정책 분석 방법.
  11. 제1 항에 있어서,
    상기 대상 IP 주소는 출발지 IP 주소와 목적지 IP 주소를 포함하고,
    상기 복수의 방화벽 룰 중 허용 액션의 방화벽 룰이면서 상기 대상 IP 주소로 인터넷 타입의 IP 주소를 가지는 인터넷-내부망 통신 근거 룰에 대하여, 선순위의 거부 액션의 방화벽 룰과의 중복 범위를 반영한 허용 유효 범위를 결정하는 단계는,
    상기 인터넷-내부망 통신 근거 룰과, 출발지 IP 주소, 목적지 IP 주소 및 대상 포트 모두 중첩 영역이 존재하는 제1 선순위 거부 액션 방화벽 룰을 탐지하는 단계;
    상기 인터넷-내부망 통신 근거 룰의 적용 영역에서 상기 제1 선순위 거부 액션 방화벽 룰의 적용 영역을 제외한 제1 중간 허용 유효 범위를 결정하는 단계;
    상기 인터넷-내부망 통신 근거 룰과, 출발지 IP 주소, 목적지 IP 주소 및 대상 포트 모두 중첩 영역이 존재하고, 상기 제1 선순위 거부 액션 방화벽 룰보다 후순위인 제2 선순위 거부 액션 방화벽 룰을 탐지하는 단계;
    상기 제1 중간 허용 유효 범위에서, 상기 제2 선순위 거부 액션 방화벽 룰의 적용 영역을 제외한 제2 중간 허용 유효 범위를 결정하는 단계; 및
    상기 제2 중간 허용 유효 범위를 기초로 상기 허용 유효 범위를 결정하는 단계를 포함하는,
    방화벽 정책 분석 방법.
  12. 제11 항에 있어서,
    상기 제1 중간 허용 유효 범위를 결정하는 단계는,
    상기 인터넷-내부망 통신 근거 룰의 대상 포트에서 상기 제1 선순위 거부 액션 방화벽 룰의 대상 포트를 제외한 포트 범위에 포함되는 포트 번호를 가지고, 상기 인터넷-내부망 통신 근거 룰의 출발지 IP 주소 및 목적지 IP 주소에 매칭되는 모든 패킷을 상기 제1 중간 허용 유효 범위에 포함시키는 단계;
    상기 인터넷-내부망 통신 근거 룰의 대상 포트와 상기 제1 선순위 거부 액션 방화벽 룰의 대상 포트의 교집합에 대응되는 포트 범위에서, 상기 인터넷-내부망 통신 근거 룰의 출발지 IP 주소에 속하면서 제1 선순위 거부 액션 방화벽 룰의 출발지 IP 주소에 속하지 않는 출발지 IP 주소 범위에 매칭 되는 모든 패킷을 상기 제1 중간 허용 유효 범위에 더 포함시키는 단계; 및
    상기 인터넷-내부망 통신 근거 룰의 대상 포트와 상기 제1 선순위 거부 액션 방화벽 룰의 대상 포트의 교집합에 대응되는 포트 범위에서, 상기 인터넷-내부망 통신 근거 룰의 목적지 IP 주소에 속하면서 제1 선순위 거부 액션 방화벽 룰의 목적지 IP 주소에 속하지 않는 목적지 IP 주소 범위에 매칭 되는 모든 패킷을 상기 제1 중간 허용 유효 범위에 더 포함시키는 단계를 포함하는,
    방화벽 정책 분석 방법.
KR1020170112600A 2017-09-04 2017-09-04 방화벽 정책 분석 방법 및 그 장치 KR102036137B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170112600A KR102036137B1 (ko) 2017-09-04 2017-09-04 방화벽 정책 분석 방법 및 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170112600A KR102036137B1 (ko) 2017-09-04 2017-09-04 방화벽 정책 분석 방법 및 그 장치

Publications (2)

Publication Number Publication Date
KR20190026185A true KR20190026185A (ko) 2019-03-13
KR102036137B1 KR102036137B1 (ko) 2019-10-25

Family

ID=65762251

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170112600A KR102036137B1 (ko) 2017-09-04 2017-09-04 방화벽 정책 분석 방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR102036137B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102312019B1 (ko) * 2020-10-20 2021-10-12 현대오토에버 주식회사 방화벽 제어 장치 및 이를 포함하는 방화벽 정책 관리 시스템
CN115065613A (zh) * 2022-06-08 2022-09-16 北京启明星辰信息安全技术有限公司 一种基于防火墙配置的网络连通性分析系统及分析方法
CN117201189A (zh) * 2023-11-03 2023-12-08 北京微步在线科技有限公司 一种防火墙联动方法、装置、计算机设备和存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070000606A (ko) * 2005-06-28 2007-01-03 이신열 방화벽 설정 방법
KR100694248B1 (ko) * 2006-04-25 2007-03-27 충남대학교산학협력단 네트워크 보안시스템의 보안 정책 테스트 장치 및 방법
KR100904557B1 (ko) 2008-11-20 2009-06-25 주식회사 이글루시큐리티 이기종 방화벽 통합관리시스템 및 방법
US8332927B1 (en) * 2007-08-10 2012-12-11 Juniper Networks, Inc. Merging filter rules to reduce forwarding path lookup cycles

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070000606A (ko) * 2005-06-28 2007-01-03 이신열 방화벽 설정 방법
KR100694248B1 (ko) * 2006-04-25 2007-03-27 충남대학교산학협력단 네트워크 보안시스템의 보안 정책 테스트 장치 및 방법
US8332927B1 (en) * 2007-08-10 2012-12-11 Juniper Networks, Inc. Merging filter rules to reduce forwarding path lookup cycles
KR100904557B1 (ko) 2008-11-20 2009-06-25 주식회사 이글루시큐리티 이기종 방화벽 통합관리시스템 및 방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102312019B1 (ko) * 2020-10-20 2021-10-12 현대오토에버 주식회사 방화벽 제어 장치 및 이를 포함하는 방화벽 정책 관리 시스템
CN115065613A (zh) * 2022-06-08 2022-09-16 北京启明星辰信息安全技术有限公司 一种基于防火墙配置的网络连通性分析系统及分析方法
CN115065613B (zh) * 2022-06-08 2024-01-12 北京启明星辰信息安全技术有限公司 一种基于防火墙配置的网络连通性分析系统及分析方法
CN117201189A (zh) * 2023-11-03 2023-12-08 北京微步在线科技有限公司 一种防火墙联动方法、装置、计算机设备和存储介质
CN117201189B (zh) * 2023-11-03 2024-01-30 北京微步在线科技有限公司 一种防火墙联动方法、装置、计算机设备和存储介质

Also Published As

Publication number Publication date
KR102036137B1 (ko) 2019-10-25

Similar Documents

Publication Publication Date Title
Hamza et al. Clear as MUD: Generating, validating and applying IoT behavioral profiles
US10979447B2 (en) Presenting, at a graphical user interface, device photos and risk categories associated with devices in a network
US9537825B2 (en) Geographic filter for regulating inbound and outbound network communications
US8458766B2 (en) Method and system for management of security rule set
US9621516B2 (en) Firewall configured with dynamic membership sets representing machine attributes
US20060129672A1 (en) Method and apparatus for network wide policy-based analysis of configurations of devices
Verma et al. Generative policy model for autonomic management
US20060041935A1 (en) Methodology for configuring network firewall
US8086701B2 (en) Platform for managing and configuring network state
JP2007272396A (ja) セキュリティ管理システム、中継装置、プログラム
KR102036137B1 (ko) 방화벽 정책 분석 방법 및 그 장치
CN108667776B (zh) 一种网络业务诊断方法
Jorquera Valero et al. Design of a security and trust framework for 5G multi-domain scenarios
Basile et al. Inter‐function anomaly analysis for correct SDN/NFV deployment
US20130138793A1 (en) Network information processing system, a network information processing apparatus and a data processing method
Kumar et al. Enhancing security management at software-defined exchange points
US10928987B2 (en) Presenting, at a graphical user interface (GUI), a constellation view of communications associated with node groups in a network
CN106060040A (zh) 企业网络访问控制方法及装置
Manzanares‐Lopez et al. A virtualized infrastructure to offer network mapping functionality in SDN networks
KR102318686B1 (ko) 개선된 네트워크 보안 방법
Westphall et al. Management and Security for Grid, Cloud and Cognitive Networks
Wang et al. Epinoia: Intent checker for stateful networks
Hesselman et al. SPIN: a user-centric security extension for in-home networks
CN102215211B (zh) 通信方法、支持可信网络接入的安全策略协商方法及系统
Martínez Pérez et al. Managing semantic‐aware policies in a distributed firewall scenario

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)