KR20200140085A - 네트워크 보안 장치 및 방법 - Google Patents

네트워크 보안 장치 및 방법 Download PDF

Info

Publication number
KR20200140085A
KR20200140085A KR1020190066852A KR20190066852A KR20200140085A KR 20200140085 A KR20200140085 A KR 20200140085A KR 1020190066852 A KR1020190066852 A KR 1020190066852A KR 20190066852 A KR20190066852 A KR 20190066852A KR 20200140085 A KR20200140085 A KR 20200140085A
Authority
KR
South Korea
Prior art keywords
network interfaces
virtual containers
routing table
external network
security device
Prior art date
Application number
KR1020190066852A
Other languages
English (en)
Other versions
KR102203828B1 (ko
Inventor
홍송지
김종덕
Original Assignee
주식회사 시큐아이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시큐아이 filed Critical 주식회사 시큐아이
Priority to KR1020190066852A priority Critical patent/KR102203828B1/ko
Publication of KR20200140085A publication Critical patent/KR20200140085A/ko
Application granted granted Critical
Publication of KR102203828B1 publication Critical patent/KR102203828B1/ko

Links

Images

Classifications

    • H04L61/2038
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5038Address allocation for local use, e.g. in LAN or USB networks, or in a controller area network [CAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/54Organization of routing tables
    • H04L61/1552
    • H04L61/2007
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4552Lookup mechanisms between a plurality of directories; Synchronisation of directories, e.g. metadirectories
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/6068
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/668Internet protocol [IP] address subnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 적어도 하나의 관리자 장치 및 복수의 단말들과 외부 네트워크 인터페이스들을 통해 통신하는 통신부, 적어도 하나의 단말들 각각에 대하여 네트워크 보안을 수행하기 위한 복수의 가상 컨테이너들을 생성하고, 상기 복수의 가상 컨테이너들 각각에 대하여 상기 복수의 가상 컨테이너들 사이의 통신을 위한 내부 네트워크 인터페이스들을 설정하는 프로세서 및 상기 외부 네트워크 인터페이스들을 위한 제1 라우팅 테이블 및 상기 내부 네트워크 인터페이스들을 위한 제2 라우팅 테이블을 별개로 저장하는 저장부를 포함하는 네트워크 보안 장치 및 방법에 관한 것이다.

Description

네트워크 보안 장치 및 방법{Device and method for network security}
본 발명은 네트워크 보안 장치 및 방법에 관한 것으로, 특히 호스트 단말들을 위한 복수의 가상 컨테이너들 이용하는 보안 장치가 보안 장치의 내부 네트워크 및 외부 네트워크를 위한 라우팅 테이블을 개별적으로 생성하고 관리하는 방법에 관한 것이다.
최근 하나의 물리 장비를 이용하여 복수의 호스트 단말들에 대해 독립적인 네트워크 보안을 제공하기 위하여, 가상 컨테이너(container) 기반의 네트워크 보안 장치(이하, 보안 장치)가 개발되고 있다. 이러한 보안 장치는 다수의 호스트 단말들을 위하여 적어도 하나의 가상 컨테이너를 생성한다. 가상 컨테이너들은 보안 장치와 호스트 단말들 사이를 연결하는 외부 네트워크를 통해 호스트 단말들에 대한 네트워크 보안을 개별적으로 수행할 수 있다.
한편, 보안 장치는 복수 개의 가상 컨테이너들을 하나의 내부 네트워크로 연결하고, 가상 컨테이너들 사이의 통신을 제어할 수 있다. 이때, 내부 네트워크에서 사용되는 ip 주소와 외부 네트워크에서 사용되는 ip 주소가 중복되면, 가상 컨테이너들 및 호스트 단말들 사이의 통상이 올바르게 수행되지 않을 수 있다.
본 발명은 상기한 문제점을 해결하기 위한 것으로, 가상 컨테이너를 이용하는 네트워크 보안 장치가, 내부 네트워크 및 외부 네트워크를 위한 라우팅 테이블을 개별적으로 생성하고 관리하는 네트워크 보안 장치 및 방법을 제공한다.
상술한 과제를 해결하기 위한 본 발명에 따른 네트워크 보안 장치는, 적어도 하나의 관리자 장치 및 복수의 단말들과 외부 네트워크 인터페이스들을 통해 통신하는 통신부, 적어도 하나의 단말들 각각에 대하여 네트워크 보안을 수행하는 복수의 가상 컨테이너들을 생성하고, 상기 복수의 가상 컨테이너들 각각에 대하여 상기 적어도 하나의 단말들과의 통신을 위한 상기 외부 네트워크 인터페이스들 및 상기 복수의 가상 컨테이너들 사이의 통신을 위한 내부 네트워크 인터페이스들을 설정하는 프로세서 및 상기 외부 네트워크 인터페이스들을 위한 제1 라우팅 테이블 및 상기 내부 네트워크 인터페이스들을 위한 제2 라우팅 테이블을 별개로 저장하는 저장부를 포함할 수 있다.
또한, 상기 프로세서는, 상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들이 동일한 서브넷 마스크를 갖도록 설정할 수 있다.
또한, 상기 프로세서는, 상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들에게 상기 서브넷 마스크에 의하여 사용 가능한 ip 주소들 중에서 선택되는 ip 주소를 독립적으로 할당할 수 있다.
또한, 상기 프로세서는, 상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들에게 상기 사용 가능한 ip 주소들 중 적어도 하나를 중복하여 할당할 수 있다.
또한, 상기 복수의 가상 컨테이너들 각각은, 상기 제1 라우팅 테이블을 참조하여 상기 적어도 하나의 단말들에 대한 통신을 수행하고, 상기 제2 라우팅 테이블을 참조하여 상기 프로세서 및 다른 가상 컨테이너들에 대한 통신을 수행할 수 있다.
또한, 상기 프로세서는, 상기 제1 라우팅 테이블을 참조하여 상기 적어도 하나의 관리자 장치에 대한 통신을 수행하고, 상기 제2 라우팅 테이블을 참조하여 상기 복수의 가상 컨테이너들에 대한 통신을 수행할 수 있다.
또한, 상기 프로세서는, 상기 복수의 가상 컨테이너들 각각에 대하여 시스템 리소스를 독립적으로 할당하고, 상기 복수의 가상 컨테이너에 대한 상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들을 설정할 수 있다.
또한, 상기 복수의 가상 컨테이너들 각각은, 상기 할당된 시스템 리소스에 상기 제1 라우팅 테이블 및 상기 제2 라우팅 테이블을 독립적으로 저장할 수 있다.
또한, 상기 프로세서는, 상기 복수의 가상 컨테이너들에 할당되지 않은 시스템 리소스에, 상기 제1 라우팅 테이블 및 상기 제2 라우팅 테이블 중 적어도 하나를 저장할 수 있다.
또한, 본 발명의 일 실시 예에 따른 네트워크 보안 장치의 네트워크 보안 방법은, 적어도 하나의 단말들 각각에 대하여 네트워크 보안을 수행하는 복수의 가상 컨테이너들을 생성하는 단계, 상기 복수의 가상 컨테이너들 각각에 대하여 상기 적어도 하나의 단말들과의 통신을 위한 외부 네트워크 인터페이스들 및 상기 복수의 가상 컨테이너들 사이의 통신을 위한 내부 네트워크 인터페이스들을 설정하는 단계 및 상기 외부 네트워크 인터페이스들을 위한 제1 라우팅 테이블 및 상기 내부 네트워크 인터페이스들을 위한 제2 라우팅 테이블을 별개로 저장하는 단계를 포함할 수 있다.
또한, 상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들을 설정하는 단계는, 상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들이 동일한 서브넷 마스크를 갖도록 설정할 수 있다.
또한, 상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들을 설정하는 단계는, 상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들에게 상기 서브넷 마스크에 의하여 사용 가능한 ip 주소들 중에서 선택되는 ip 주소를 독립적으로 할당하는 단계를 더 포함할 수 있다.
또한, 상기 ip 주소를 독립적으로 할당하는 단계는, 상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들에게 상기 사용 가능한 ip 주소들 중 적어도 하나를 중복하여 할당할 수 있다.
또한, 상기 복수의 가상 컨테이너들 각각은, 상기 제1 라우팅 테이블을 참조하여 상기 적어도 하나의 단말들에 대한 통신을 수행하고, 상기 제2 라우팅 테이블을 참조하여 다른 가상 컨테이너들에 대한 통신을 수행할 수 있다.
또한, 상기 방법은, 적어도 하나의 관리자 장치에 대한 통신이 요구되면, 상기 제1 라우팅 테이블을 참조하여 상기 적어도 하나의 관리자 장치와 통신하는 단계 및 상기 복수의 가상 컨테이너들에 대한 통신이 요구되면, 상기 제2 라우팅 테이블을 참조하여 상기 복수의 가상 컨테이너들과 통신하는 단계를 포함할 수 있다.
또한, 상기 복수의 가상 컨테이너들을 생성하는 단계는, 상기 복수의 가상 컨테이너들 각각에 대하여 시스템 리소스를 독립적으로 할당하는 단계를 포함할 수 있다.
또한, 상기 제1 라우팅 테이블 및 상기 제2 라우팅 테이블을 저장하는 단계는, 상기 할당된 시스템 리소스에 상기 복수의 가상 컨테이너들 각각을 위한 상기 제1 라우팅 테이블 및 상기 라우팅 테이블을 독립적으로 저장하는 단계 및 상기 복수의 가상 컨테이너들에 할당되지 않은 시스템 리소스에, 상기 제1 라우팅 테이블 및 상기 제2 라우팅 테이블 중 적어도 하나를 저장하는 단계를 포함할 수 있다.
본 발명에 따른 네트워크 보안 장치 및 방법은, 네트워크 보안 장치의 내부 네트워크와 외부 네트워크의 라우팅 테이블을 개별적으로 생성하고 관리함으로써, 내부 네트워크와 외부 네트워크에 대해 동일한 ip 주소를 사용할 수 있게 한다.
또한, 본 발명에 따른 네트워크 보안 장치 및 방법은, 네트워크 보안 장치의 내부 네트워크와 외부 네트워크에 대해 동일한 ip 주소를 사용할 수 있게 함으로써, 가상 컨테이너들에 대한 내부 네트워크용 ip 주소를 자유롭게 설정할 수 있게 한다.
도 1은 본 발명에 따른 네트워크 보안 장치가 동작하는 네트워크를 나타낸 도면이다.
도 2는 본 발명에 따른 네트워크 보안 장치의 하드웨어 구성을 나타낸 블록도이다.
도 3은 본 발명에 따른 네트워크 보안 장치의 소프트웨어 구성을 나타낸 블록도이다.
도 4는 본 발명에 따른 네트워크 보안 장치의 ip 주소 할당 방법을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시 예에 따른 네트워크 보안 방법을 나타낸 순서도이다.
도 6은 본 발명의 다른 실시 예에 따른 네트워크 보안 방법을 나타낸 순서도이다.
본 명세서의 실시 예를 설명함에 있어 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략될 수 있다.
본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다." 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
이하, 첨부된 도면을 참조하여 본 발명을 설명한다.
도 1은 본 발명에 따른 네트워크 보안 장치가 동작하는 네트워크를 나타낸 도면이다.
도 1을 참조하면, 본 발명에 따른 네트워크 보안 장치(100)는 네트워크에서 동작하는 보안 장비로, 예를 들어, 방화벽(Firewall), IDS(Instrusion Detection System), IPS(Instrusion Prevention System), UTM(Unified Threat Management), PMS(Patch Management System), ESM(Enterprise Security Management), WAF(Web Application Firewall), XTM(eXtensible unified Threat Management) 등일 수 있다. 그러나 본 발명에 따른 네트워크 보안 장치(100)가 상술한 실시 예들로 한정되는 것은 아니며, 네트워크 보안 장치(100)는 네트워크에서 동작하는 임의의 서버 및 전자 장치 등을 포함할 수 있다.
네트워크 보안 장치(100)는 내부에 마련되는 호스트 OS(140) 등에 의해 제어될 수 있다. 호스트 OS(140)는 네트워크 보안 장치(100)의 적어도 하나의 구성 요소들의 제어 및/또는 통신에 관한 연산이나 데이터 처리를 실행할 수 있다.
네트워크 보안 장치(100)는 관리자 장치(200)와 외부 네트워크를 통해 연결될 수 있다. 구체적으로, 호스트 OS(140)는 관리자 장치(200)와 외부 네트워크를 통해 연결될 수 있다.
네트워크 보안 장치(100)에는 관리자 장치(200)와 통신을 수행하기 위한 외부 네트워크 인터페이스(20)가 설정될 수 있다. 외부 네트워크 인터페이스(20)의 설정에 따라 외부 네트워크 인터페이스(20)에 대해 외부 네트워크 ip 주소가 할당될 수 있다. 네트워크 보안 장치(100)와 관리자 장치(200)는 외부 네트워크 인터페이스(20)에 할당된 ip 주소를 이용하여 데이터(패킷)를 송수신할 수 있다.
일 실시 예에서, 네트워크 보안 장치(100)는 관리자 장치(200)로부터 네트워크 보안 설정 및 관리 등을 위한 다양한 데이터(요청)를 수신하고, 관리자 장치(200)로 네트워크 보안 상태에 관한 정보(예를 들어, 가상 컨테이너에 관한 정보, 호스트 단말들(301 내지 306)에 관한 정보, 공격 탐지와 관련된 정보, 패킷 송수신 상태와 관련된 정보, 네트워크 상태와 관련된 정보 등)를 송신할 수 있다. 그러나, 네트워크 보안 장치(100)와 관리자 장치(200) 사이에 교환되는 정보 및/또는 데이터는 상술한 것들로 한정되지 않는다.
관리자 장치(200)는 네트워크 보안 장치(100)의 동작을 제어할 수 있다. 관리자 장치(200)는 예를 들어, 호스트 단말들(301 내지 306)에 대한 네트워크 보안을 수행하기 위한 가상 컨테이너들(110 내지 130)을 생성하도록 네트워크 보안 장치(100)를 제어할 수 있다. 관리자 장치(200)는 가상 컨테이너들(110 내지 130)에 대하여 보안 기능 및/또는 306) 사이의 외부 네트워크 인터페이스들(21 내지 26)을 설정할 수 있다.
다양한 실시 예에서, 관리자 장치(200)는 네트워크 보안 장치(100)를 이용하는 사용자로부터 사용자 입력을 수신하기 위한 입력 인터페이스 등, 및/또는 사용자에게 네트워크 보안 장치(100)에 관련된 정보를 출력(예를 들어, 표시)하기 위한 출력 인터페이스(예를 들어, 디스플레이 등)를 구비할 수 있다. 관리자 장치(200)의 구성에 대하여는 특별히 한정하지 않는다.
호스트 단말들(301 내지 306)과 네트워크 보안 장치(100)는 외부 네트워크를 통해 연결될 수 있다. 구체적으로, 호스트 단말들(301 내지 106)과 네트워크 보안 장치(100) 내부에 생성된 가상 컨테이너들(110 내지 130)은 외부 네트워크를 통해 연결될 수 있다.
가상 컨테이너들(110 내지 130)에는 대응되는 호스트 단말들(301 내지 306)과 통신을 수행하기 위한 외부 네트워크 인터페이스들(21 내지 26)이 설정될 수 있다. 외부 네트워크 인터페이스들(21 내지 26)의 설정에 따라 외부 네트워크 인터페이스들(21 내지 26) 각각에 대해 외부 네트워크 인터페이스들(21 내지 26)에 대해 외부 네트워크 ip 주소가 할당될 수 있다. 가상 컨테이너들(110 내지 130)과 호스트 단말들(301 내지 306)은 외부 네트워크 인터페이스들(21 내지 26)에 할당된 ip 주소를 이용하여 데이터(패킷)를 송수신할 수 있다.
호스트 단말들(301 내지 306)은 가상 컨테이너들(110 내지 130)을 하나의 독립적인 네트워크 보안 장치인 것으로 식별할 수 있다. 호스트 단말들(301 내지 306)은 네트워크 보안 장치(100)에서 생성된 가상 컨테이너들(110 내지 130)을 통해 네트워크 보안 서비스를 제공받을 수 있다. 구체적으로, 가상 컨테이너들(110 내지 130)은 외부 네트워크로부터 대응되는 호스트 단말들(301 내지 306)로 수신되는 패킷들 및/또는 대응되는 호스트 단말들(301 내지 306)로부터 외부 네트워크로 송신되는 패킷들을 먼저 수신하여 분석하고, 보안 정책에 따라 패킷들을 목적지로 전달하거나 차단할 수 있다.
다양한 실시 예에서, 관리자 장치(200)를 대신하여, 또는 관리자 장치(200)에 대해 보조적으로 호스트 단말들(301 내지 306)에 의해 가상 컨테이너들(110 내지 130)이 제어되거나 관리될 수 있다.
본 발명의 다양한 실시 예에서, 네트워크 보안 장치(100)의 호스트 OS(140)는 생성된 가상 컨테이너들(110 내지 130)에 대한 내부 네트워크를 설정할 수 있다. 예를 들어, 호스트 OS(140)는 자신과 가상 컨테이너들(110 내지 130)에 대한 내부 네트워크 인터페이스들(10 내지 13)을 설정할 수 있다. 내부 네트워크 인터페이스(10 내지 13)의 설정에 따라 내부 네트워크 인터페이스들(10 내지 13)에 대해 내부 네트워크 ip 주소가 할당될 수 있다. 호스트 OS(140)와 가상 컨테이너들(110 내지 130)은 할당된 ip 주소를 이용하여 통신할 수 있다.
상기와 같이 가상 컨테이너들(110 내지 130) 사이에 내부 네트워크가 설정되면, 가상 컨테이너들(110 내지 130)은 내부 네트워크 ip 주소를 이용하여 서로 데이터를 송수신할 수 있다. 그러면, 임의의 가상 컨테이너에 연결된 호스트 단말과 다른 가상 컨테이너에 연결된 호스트 단말 사이에서 데이터 송수신이 이루어질 수 있다.
다양한 실시 예에서, 호스트 OS(140) 및 가상 컨테이너들(110 내지 130)에 할당되는 외부 네트워크 인터페이스들(20 내지 26)과 내부 네트워크 인터페이스들(10 내지 13)은 서로 동일하거나 상이한 서브넷에 포함되도록 설정될 수 있다. 예를 들어 외부 네트워크 인터페이스들(20 내지 26)은 255.255.255.0/25의 서브넷 마스크(제1 서브넷에 대응하는 서브넷 마스크)를 갖도록 설정되고 내부 네트워크 인터페이스들(10 내지 13)은 255.255.255.128/25의 서브넷 마스크(제2 서브넷에 대응하는 서브넷 마스크)를 갖도록 설정되고, 외부 네트워크 인터페이스들(20 내지 26)은 제1 서브넷에 대응하는 ip 주소를, 내부 네트워크 인터페이스들(10 내지 13)은 제2 서브넷에 대응하는 ip 주소를 갖도록 설정될 수 있다. 또는 그 반대의 경우도 가능하다.
상기와 같이 외부 네트워크 인터페이스들(20 내지 26)과 내부 네트워크 인터페이스들(10 내지 13)에 대해 서브넷을 분리하면, 외부 네트워크 인터페이스들(20 내지 26)과 내부 네트워크 인터페이스들(10 내지 13)에 대해 충돌없이 자유롭게 ip 주소를 할당할 수 있다. 그러나, 외부 네트워크 인터페이스들(20 내지 26)과 내부 네트워크 인터페이스들(10 내지 13) 각각에 대해 사용할 수 있는 ip 주소의 범위가 감소될 수 있다.
상기와 같은 단점을 해결하기 위하여 외부 네트워크 인터페이스들(20 내지 26)과 내부 네트워크 인터페이스들(10 내지 13)은 255.255.255.0/24의 서브넷 마스크를 갖도록 설정되고, 해당 서브넷에 대응하는 ip 주소를 갖도록 설정될 수 있다. 다양한 실시 예에서, 외부 네트워크 인터페이스들(20 내지 26)과 내부 네트워크 인터페이스들(10 내지 13)에 대해 동일한 서브넷 마스크가 설정될 수 있다. 또한, 외부 네트워크 인터페이스들(20 내지 26)과 내부 네트워크 인터페이스들(10 내지 13)은 설정된 서브넷 마스크에 의해 사용 가능한 ip 주소들 중에서 선택되는 ip 주소를 독립적으로 할당받을 수 있다.
외부 네트워크 인터페이스들(20 내지 26)과 내부 네트워크 인터페이스들(10 내지 13)에 대해 ip 주소가 독립적으로 할당됨에 따라, 외부 네트워크 인터페이스들(20 내지 26) 중 어느 하나 및 내부 네트워크 인터페이스들(10 내지 13) 중 어느 하나에 중복되는 ip 주소가 할당될 수 있다. ip 주소의 중복 할당에 의해 외부 네트워크 및 내부 네트워크 사이에서 ip 주소의 충돌이 발생하여 통신이 원활하게 이루어지지 않을 수 있다.
이와 같은 문제를 해결하기 위하여, 본 발명에 따른 네트워크 보안 장치(100)는 외부 네트워크 인터페이스들(20 내지 26)을 위한 라우팅 테이블과 내부 네트워크 인터페이스들(10 내지 13)을 위한 라우팅 테이블을 별도로 설정할 수 있다. 이에 대한 구체적인 실시 예들은 이하에서 도면을 참조하여 상세히 설명한다.
이하의 실시 예들에서 외부 네트워크는 네트워크 보안 장치(100)가 외부에 마련되는 장치들, 예를 들어 관리자 장치(200) 및/또는 호스트 단말들(301 내지 306)과 통신할 수 있도록 설정되는 네트워크를 의미한다. 네트워크 보안 장치(100)는 네트워크 보안 장치(100)에서 설정되는 외부 네트워크 인터페이스들(20 내지 26)을 통하여 외부 네트워크와 통신할 수 있다.
또한, 이하의 실시 예들에서 내부 네트워크는 네트워크 보안 장치(100) 내부에 마련되는 호스트 OS(140)와 적어도 하나의 가상 컨테이너들(110 내지 130)이 통신할 수 있도록 설정되는 네트워크를 의미한다. 호스트 OS(140)와 적어도 하나의 가상 컨테이너들(110 내지 130)은 네트워크 보안 장치(100)에서 설정되는 내부 네트워크 인터페이스들(10 내지 13)을 통하여 내부 네트워크와 통신할 수 있다.
외부 네트워크 및 내부 네트워크는 네트워크 보안 장치(100)의 외부에서 통신이 수행되는지 아니면 네트워크 보안 장치(100)의 내부에서 통신이 수행되는지 여부에 따라 구분하기 위하여 정의되는 것이며, 이러한 용어에 의하여 본 발명의 기술적 사상이 한정되지 않는다.
도 2는 본 발명에 따른 네트워크 보안 장치의 하드웨어 구성을 나타낸 블록도이다. 도 2를 참조하면, 본 발명에 따른 네트워크 보안 장치(100)는 통신부(101), 메모리(102) 및 프로세서(103)를 포함하여 구성될 수 있다.
통신부(101)는 외부의 장치들, 예를 들어 관리자 장치(200) 및 호스트 단말들(301 내지 306)과 외부 네트워크를 통하여 통신을 수행할 수 있다. 예를 들어, 통신부(101)는 외부 장치로부터 수신되는 패킷을 처리하여 프로세서(103)로 전달하거나, 프로세서(103)로부터 요청된 패킷을 처리하여 외부 장치로 전송할 수 있다.
다양한 실시 예에서, 통신부(101)는 프로세서(103)에 의해 설정된 외부 네트워크 인터페이스들(20 내지 26)을 통해 관리자 장치(200) 및 호스트 단말들(301 내지 306)과 통신을 수행할 수 있다. 관리자 장치(200) 및 호스트 단말들(301 내지 306)과 연결되는 외부 네트워크 인터페이스들(20 내지 26)에는 각각의 ip 주소를 포함하는 식별 정보가 할당될 수 있다.
메모리(102)는 네트워크 보안 장치(100)의 동작을 위한 운영 체제(Operating System), 모듈, 응용 프로그램 등을 저장하거나, 네트워크 보안 장치(100)에서 입출력되거나 생성되는 데이터들을 임시 또는 영구적으로 저장할 수 있다.
메모리(102)는 예를 들어 휘발성 메모리(예: DRAM, SRAM, 또는 SDRAM 등), 비휘발성 메모리(예: OTPROM(one time programmable ROM), PROM, EPROM, EEPROM, mask ROM, flash ROM, 플래시 메모리, 하드 드라이브, 또는 솔리드 스테이트 드라이브 (SSD) 중 적어도 하나를 포함할 수 있다.
본 발명의 다양한 실시 예에서, 메모리(102)는 프로세서(103)에 의해 생성된 라우팅 테이블을 임시 또는 영구적으로 저장하고 관리할 수 있다. 예를 들어, 메모리(102)는 외부 네트워크 인터페이스들을 위한 제1 라우팅 테이블 및 내부 네트워크 인터페이스들을 위한 제2 라우팅 테이블을 저장하고 관리할 수 있다.
프로세서(103)는 본 발명에 따른 네트워크 보안 방법을 수행하기 위하여 네트워크 보안 장치(100)의 각 구성 요소들을 제어할 수 있다. 예를 들어, 프로세서(103)는 메모리(102)에 저장된 운영 체제 또는 응용 프로그램을 구동하여 프로세서(103)에 연결된 다수의 하드웨어 또는 소프트웨어(예를 들어, 가상 컨테이너들(110 내지 130)) 구성 요소들을 제어할 수 있고, 각종 데이터 처리 및 연산을 수행할 수 있다.
프로세서(103)는 통신부(101)에 할당된 외부 네트워크 인터페이스(20)를 통해 외부 장치, 예를 들어 관리자 장치(200)와 통신할 수 있다. 프로세서(103)는 관리자 장치(200)로부터 수신되는 요청들에 대응하여 프로세서(103)에 연결된 구성 요소들, 예를 들어 가상 컨테이너들(110 내지 130)을 제어할 수 있다.
프로세서(103)는 예를 들어 관리자 장치(200) 등의 요청에 의해 호스트 단말들(301 내지 306)을 위한 가상 컨테이너들(110 내지 130)을 생성하고 구동할 수 있다. 프로세서(103)는 관리자 장치(200) 등의 요청에 기초하여 가상 컨테이너들(110 내지 130)과 호스트 단말들(301 내지 306)을 연결하기 위한 외부 네트워크 인터페이스들(21 내지 26)을 설정할 수 있다. 가상 컨테이너들(110 내지 130) 각각은 자신에게 설정된 외부 네트워크 인터페이스들(21 내지 26)을 통해 호스트 단말들(301 내지306)과 통신할 수 있다.
가상 컨테이너들(110 내지 130)은 호스트 단말들(301 내지 306)에 대해 독립적이고 개별적으로 구동되는 하나의 네트워크 보안 장치인 것으로 식별되고 동작할 수 있다. 가상 컨테이너들(110 내지 130)의 구조에 대해서는 이하에서 도 3을 참조하여 보다 구체적으로 설명한다.
가상 컨테이너들(110 내지 130)이 생성될 때, 프로세서(103)는 가상 컨테이너들(110 내지 130) 사이의 통신을 중계할 수 있는 내부 네트워크를 설정할 수 있다. 구체적으로, 프로세서(103)는 자신을 포함한 가상 컨테이너들(110 내지 130에 대하여 내부 네트워크 인터페이스들(11 내지 13)을 설정할 수 있다. 가상 컨테이너들(110 내지 130) 각각은 자신에게 설정된 내부 네트워크 인터페이스들(11 내지 13)을 통하여 서로 통신할 수 있다. 이러한 내부 네트워크 인터페이스들(11 내지 13)의 설정은 가상 컨테이너들(110 내지 130)에 의하여 수행될 수 있다.
본 발명의 다양한 실시 예에서, 프로세서(110)는 외부 네트워크 인터페이스들(21 내지 26) 및 내부 네트워크 인터페이스들(10 내지 13)을 설정할 때, 동일한 서브넷에 포함되는 ip 주소를 할당할 수 있다. 이러한 실시 예에서, 프로세서(103) 및/또는 가상 컨테이너들(110 내지 130) 각각은 외부 네트워크 인터페이스들(21 내지 25)을 위한 제1 라우팅 테이블을 생성하여 메모리(102)에 저장하고, 내부 네트워크 인터페이스들(10 내지 13)을 위한 제2 라우팅 테이블을 별개로 생성하여 메모리(102)에 저장할 수 있다.
도 3은 본 발명에 따른 네트워크 보안 장치의 소프트웨어 구성을 나타낸 블록도이다. 도 3을 참조하면, 본 발명에 따른 네트워크 보안 장치(100)는 호스트 OS(140) 및 호스트 OS(140) 상에 생성되는 가상 컨테이너들(110 내지 130)을 포함할 수 있다.
호스트 OS(140)는 운영 시스템으로, 예를 들어 프로세서(103)의 동작을 실질적으로 제어할 수 있다. 이러한 호스트 OS(140)는 예를 들어, 커널 및 미들웨어를 포함할 수 있다.
커널은 다른 프로그램들(예를 들어, 미들웨어, 가상 컨테이너들(110 내지 130) 등)에 구현된 동작 또는 기능을 실행하는데 사용되는 시스템 리스소들(예를 들어, 메모리(102), 프로세서(103) 등)을 제어 또는 관리할 수 있다. 또한, 커널은 미들웨어, 가상 컨테이너들(110 내지 130)에서 네트워크 보안 장치(100)의 개별 구성 요소에 접근함으로써, 시스템 리소스들을 제어 또는 관리할 수 있는 인터페이스를 제공할 수 있다.
미들웨어는 가상 컨테이너들(110 내지 130)이 커널과 통신하여 데이터를 주고받을 수 있도록 중개 역할을 수행할 수 있다. 미들웨어는 가상 컨테이너들(110 내지 130) 등으로부터 수신되는 하나 이상의 작업 요청들을 우선 순위에 따라 처리할 수 있다. 예를 들어, 미들웨어는 가상 컨테이너들(110 내지 130) 중 적어도 하나에 네트워크 보안 장치(100)의 시스템 리소스(예를 들어 메모리(102), 프로세서(103) 등)를 사용할 수 있는 우선 순위를 부여하고, 하나 이상의 작업 요청들을 처리할 수 있다.
호스트 OS(140) 상에는 복수개의 가상 컨테이너들(110 내지 130)이 생성될 수 있다. 복수 개의 가상 컨테이너들(110 내지 130)은 네트워크 보안 장치(100)의 시스템 리소스(예를 들어, 메모리(102), 프로세서(103) 등)의 적어도 일부분을 개별적으로 할당받아 사용할 수 있도록 생성되는 가상 머신의 일종일 수 있다. 호스트 OS(140)는 시스템 리소스를 가상으로 분리하여 각각의 가상 컨테이너들(110 내지 130)에 할당하고, 가상 컨테이너들(110 내지 130)이 시스템 리소스를 독립적으로 사용할 수 있도록 설정할 수 있다.
가상 컨테이너들(110 내지 130)은 독립적인 어플리케이션(APP)을 설치하여 구동할 수 있다. 어플리케이션(APP)은 예를 들어 방화벽(Firewall), IDS(Instrusion Detection System), IPS(Instrusion Prevention System), UTM(Unified Threat Management), PMS(Patch Management System), ESM(Enterprise Security Management), WAF(Web Application Firewall) 또는 XTM(eXtensible unified Threat Management) 중 적어도 하나의 기능을 제공하는 프로그램일 수 있다. 그러나 본 발명이 이로써 한정되지 않는다.
가상 컨테이너들(110 내지 130)은 별도의 게스트 OS를 포함하지 않으며, 필요한 경우 호스트 OS(140)에 직접 접근하여 필요한 시스템 리소스를 이용할 수 있다. 그에 따라, 본 발명에 따른 네트워크 보안 장치(100)의 시스템 효율이 향상될 수 있다.
각각의 가상 컨테이너들(110 내지 130)은 적어도 하나의 호스트 단말(301 내지 306)과 통신하기 위한 외부 네트워크 인터페이스(21 내지 26)를 포함할 수 있다. 각각의 외부 네트워크 인터페이스(21 내지 26)에 대하여 독립적인 ip 주소가 할당될 수 있다.
또한, 각각의 가상 컨테이너들(110 내지 130)은 프로세서(103) 및 다른 가상 컨테이너들과 통신하기 위한 내부 네트워크 인터페이스(11 내지 13)를 포함할 수 있다. 각각의 내부 네트워크 인터페이스(11 내지 13)에 대하여 독립적인 ip 주소가 할당될 수 있다.
본 발명의 다양한 실시 예에서, 가상 컨테이너들(110 내지 130)에 설정되는 외부 네트워크 인터페이스들(21 내지 26) 및 내부 네트워크 인터페이스들(11 내지 13)은 동일한 서브넷 마스크를 가질 수 있다.
도 4는 본 발명에 따른 네트워크 보안 장치의 ip 주소 할당 방법을 설명하기 위한 도면이다.
도 4를 참조하면, 본 발명에 따른 네트워크 보안 장치(100)의 호스트 OS(140)는 외부 네트워크 인터페이스(20)를 통하여 관리자 장치(200)와 통신할 수 있다. 네트워크 보안 장치(100) 내에 생성되는 가상 컨테이너들(110 내지 130)은 외부 네트워크 인터페이스들(21 내지 26)을 통하여 호스트 단말들(301 내지 306)과 통신할 수 있다.
또한, 본 발명에 따른 네트워크 보안 장치(100)의 호스트 OS(140) 및 가상 컨테이너들(110 내지 130)은 내부 네트워크 인터페이스들(10 내지 13)을 통하여 서로 통신할 수 있다.
본 발명의 다양한 실시 예에서, 외부 네트워크 인터페이스들(20 내지 26) 및 내부 네트워크 인터페이스들(10 내지 13)은 동일한 서브넷에 포함되도록 설정될 수 있다. 즉, 외부 네트워크 인터페이스들(20 내지 26)에 할당되는 ip 주소들과 내부 네트워크 인터페이스들(10 내지 13)에 할당되는 ip 주소들은 동일한 서브넷 마스크를 가질 수 있다.
도 4에 도시된 것처럼, 외부 네트워크 인터페이스들(20 내지 26) 및 내부 네트워크 인터페이스들(10 내지 13)에 대하여 A.A.A.0/24의 서브넷 마스크가 할당될 수 있다. 여기서 네트워크 식별 주소가 32비트의 2진수(구체적으로, 4마디의 옥텟으로 분류되는 총 12개의 숫자)로 구성되는 경우, A는 255일 수 있다. 그러나 외부 네트워크 인터페이스들(20 내지 26) 및 내부 네트워크 인터페이스들(10 내지 13)에 대해 할당되는 서브넷 마스크가 상술한 형태로 한정되지는 않는다.
위와 같이 할당된 서브넷 마스크에 따라, 외부 네트워크 인터페이스들(20 내지 26) 및 내부 네트워크 인터페이스들(10 내지 13)에 대하여 ip 주소가 할당될 수 있다. ip 주소는 외부 네트워크 인터페이스들(20 내지 26) 및 내부 네트워크 인터페이스들(10 내지 13) 각각에 대하여 해당 서브넷 내에서 사용될 수 있는 ip 주소들 중 임의의 것으로 선택되어 할당될 수 있다.
여기서, 외부 네트워크 인터페이스들(20 내지 26)에 대한 ip 주소들은 서로 중복되지 않도록 설정된다. 예를 들어, 외부 네트워크 인터페이스들(20 내지 26) 중 어느 하나에 대하여 B.B.B.1이 할당된 경우, 다른 외부 네트워크 인터페이스에 대하여는 B.B.B.1이 할당될 수 없다.
또한, 내부 네트워크 인터페이스들(10 내지 13)에 대한 ip 주소들은 서로 중복되지 않도록 설정된다. 예를 들어, 내부 네트워크 인터페이스들(10 내지 13) 중 어느 하나에 대하여 B.B.B.1이 할당된 경우, 다른 내부 네트워크 인터페이스에 대하여는 B.B.B.1이 할당될 수 없다.
한편, 외부 네트워크 인터페이스들(20 내지 26)과 내부 네트워크 인터페이스들(10 내지 13)에 대하여 해당 서브넷 내에서 사용될 수 있는 ip 주소들이 독립적으로 할당된다. 즉, 외부 네트워크 인터페이스들(20 내지 26) 중 어느 하나와 내부 네트워크 인터페이스들(10 내지 13) 중 어느 하나는 동일한 ip 주소를 할당받을 수 있다. 예를 들어, 외부 네트워크 인터페이스들(20 내지 26) 중 어느 하나에 대하여 B.B.B.1이 할당된 경우에, 내부 네트워크 인터페이스들(10 내지 13) 중 어느 하나에 대하여도 B.B.B.1이 할당될 수 있다.
이러한 실시 예에서, 호스트 OS(140)는 외부 네트워크로부터 유입되는 패킷이 가상 컨테이너들(110 내지 130) 중 어느 하나로 전달되어야 하는 것인지, 아니면 외부 네트워크 인터페이스(21 내지 26)를 통하여 호스트 단말(301 내지 306) 중 어느 하나로 전달되어야 하는 것인지 명확하게 판단하지 못할 수 있다. 또는, 이와 유사한 경우가 가상 컨테이너들(110 내지 130)에 대하여도 발생할 수 있다.
따라서, 본 발명에서는 네트워크 보안 장치(100)가 외부 네트워크 인터페이스들(20 내지 26)을 위한 제1 라우팅 테이블(R11 내지 R13)과 내부 네트워크 인터페이스들(10 내지 13)을 위한 제2 라우팅 테이블(R21 내지 R23)을 개별적으로 생성하여 관리할 수 있다. 외부 네트워크 인터페이스들(20 내지 26)로 패킷이 수신되거나, 외부 네트워크 인터페이스들(20 내지 26)을 통한 패킷 전송이 요청되는 경우, 호스트 OS(140) 및 가상 컨테이너들(110 내지 130)은 제1 라우팅 테이블(R11 내지 R13)에 기초하여 패킷 처리를 수행한다. 또한, 내부 네트워크 인터페이스들(10 내지 13)로 패킷이 수신되거나, 내부 네트워크 인터페이스들(10 내지 13)을 통한 패킷 전송이 요청되는 경우, 호스트 OS(140) 및 가상 컨테이너들(110 내지 130)은 제2 라우팅 테이블(R21 내지 R23)에 기초하여 패킷 처리를 수행한다.
일 실시 예에서, 제2 라우팅 테이블(R21 내지 R23)은 각각의 가상 컨테이너들(110 내지 130)에 대하여 생성될 수 있다. 호스트 OS(140)는 가상 컨테이너들(110 내지 130)에 할당된 시스템 리소스에 접근할 수 있으므로, 호스트 OS(130)는 가상 컨테이너들(110 내지 130)에 대하여 생성된 제2 라우팅 테이블(R21 내지 R23)을 이용하여 내부 네트워크에 대한 패킷 처리를 수행할 수 있다.
상기와 같이 분리된 라우팅 테이블을 이용함으로써, 본 발명은 동일한 ip 주소를 사용하는 외부 네트워크 인터페이스들(20 내지 26) 및 내부 네트워크 인터페이스들(10 내지 13) 사이에서 혼선없이 패킷을 송수신할 수 있다. 또한, 네트워크 보안 장치(100)는 외부 네트워크 인터페이스들(20 내지 26) 및 내부 네트워크 인터페이스들(10 내지 13)에 대하여 서브넷을 분리하지 않기 때문에, 더 많은 수의 외부 네트워크 인터페이스들 및 내부 네트워크 인터페이스들을 설정하여 이용할 수 있게 된다.
도 5는 본 발명의 일 실시 예에 따른 네트워크 보안 방법을 나타낸 순서도이다.
도 5를 참조하면, 네트워크 보안 장치(100)는 가상 컨테이너 생성 요청을 수신할 수 있다(501). 가상 컨테이너 생성 요청은, 네트워크 보안 장치(100)에 마련되는 시스템 리소스 중 적어도 일부를 이용하여 네트워크 보안 기능을 이용하고자 하는 사용자의 요청에 의해 발생할 수 있다. 가상 컨테이너 생성 요청은 예를 들어 관리자 장치(200)로부터 수신될 수 있다.
다양한 실시 예에서, 가상 컨테이너 생성 요청은 해당 가상 컨테이너를 통해 이용할 네트워크 보안 기능 및 해당 네트워크 보안 기능을 제공할 적어도 하나의 호스트 단말에 대한 정보 등을 포함할 수 있다. 그러나 본 발명의 기술적 사상이 이로써 한정되지 않는다.
네트워크 보안 장치(100)는 가상 컨테이너 생성 요청에 응답하여, 가상 컨테이너를 생성할 수 있다(502). 예를 들어, 네트워크 보안 장치(100)는 시스템 리소스(예를 들어, 메모리(102), 프로세서(103) 등)의 적어도 일부를 가상 컨테이너를 위해 할당하고, 해당 가상 컨테이너가 할당된 시스템 리소스를 독립적으로 이용할 수 있도록 설정할 수 있다.
네트워크 보안 장치(100)는 생성된 가상 컨테이너에 대하여 적어도 하나의 외부 네트워크 인터페이스를 설정할 수 있다(503). 네트워크 보안 장치(100)는 해당 가상 컨테이너와 외부 네트워크를 통하여 연결할 적어도 하나의 호스트 단말들에 대응하여 각각의 외부 네트워크 인터페이스를 설정하고 서브넷 마스크 및 ip 주소를 할당할 수 있다.
네트워크 보안 장치(100)는 설정된 외부 네트워크 인터페이스에 대한 정보를 제1 라우팅 테이블에 저장할 수 있다(504). 여기서, 제1 라우팅 테이블은 해당 가상 컨테이너에 대하여 생성된 것으로, 해당 가상 컨테이너에 할당된 시스템 리소스(예를 들어, 메모리(102))에 저장된 것일 수 있다. 제1 라우팅 테이블은 네트워크 보안 장치(100)의 호스트 OS(140)와 관리자 장치(200) 사이를 연결하는 외부 네트워크 인터페이스에 대한 정보 및 가상 컨테이너들과 호스트 단말들 사이를 연결하는 외부 네트워크 인터페이스에 대한 정보를 저장할 수 있다.
다양한 실시 예에서, 이후에 호스트 단말이 추가되거나 제거되는 경우에, 네트워크 보안 장치(100)는 대응되는 가상 컨테이너에 대한 외부 네트워크 인터페이스를 더 설정하거나 설정 해제할 수 있고, 그에 대응하여 제1 라우팅 테이블을 갱신할 수 있다.
네트워크 보안 장치(100)는 생성된 가상 컨테이너에 대하여 내부 네트워크 인터페이스를 설정할 수 있다(505). 내부 네트워크 인터페이스는 프로세서(103)와 가상 컨테이너 사이 및/또는 생성된 가상 컨테이너와 이전에 생성된 적어도 하나의 가상 컨테이너 사이의 통신을 위해 설정될 수 있다. 네트워크 보안 장치(100)는 생성된 가상 컨테이너에 대하여 내부 네트워크 인터페이스를 설정하고 서브넷 마스크 및 ip 주소를 할당할 수 있다.
네트워크 보안 장치(100)는 설정된 내부 네트워크 인터페이스에 대한 정보를 제1 라우팅 테이블과 상이한 제2 라우팅 테이블에 저장할 수 있다(506). 여기서, 제2 라우팅 테이블은 해당 가상 컨테이너에 대하여 생성된 것으로, 해당 가상 컨테이너에 할당된 시스템 리소스(예를 들어, 메모리(102))에 저장된 것일 수 있다. 제2 라우팅 테이블은 네트워크 보안 장치(100)의 호스트 OS(140)와 가상 컨테이너들 사이를 연결하는 내부 네트워크 인터페이스들에 대한 정보를 저장할 수 있다.
다양한 실시 예에서, 이후에 가상 컨테이너가 추가되거나 제거되는 경우에, 네트워크 보안 장치(100)는 대응되는 가상 컨테이너에 대한 내부 네트워크 인터페이스를 더 설정하거나 설정 해제할 수 있고, 그에 대응하여 제2 라우팅 테이블을 갱신할 수 있다.
상기에서 단계 503, 504 및 505, 506은 순차적으로 수행되는 것으로 설명하였으나, 본 발명의 기술적 사상은 이로써 한정되지 않는다. 즉, 단계 505, 506이 단계 503, 504보다 먼저 수행되거나 동시에 수행될 수도 있다.
도 6은 본 발명의 다른 실시 예에 따른 네트워크 보안 방법을 나타낸 순서도이다.
도 6을 참조하면, 네트워크 보안 장치(100)는 패킷 처리 요청을 수신할 수 있다(601). 패킷 처리 요청은 예를 들어, 패킷의 전송 요청 또는 수신된 패킷의 처리 요청일 수 있다.
네트워크 보안 장치(100)는 패킷 처리 요청이 외부 네트워크 인터페이스에 대한 것인지 판단할 수 있다(602). 네트워크 보안 장치(100)는 패킷 처리 요청이 외부 네트워크 인터페이스를 통한 전송 요청인지 아니면 외부 네트워크 인터페이스를 통하여 수신된 패킷의 처리 요청인지를 판단할 수 있다.
패킷 처리 요청이 외부 네트워크 인터페이스에 대한 것이면, 네트워크 보안 장치(100)는 제1 라우팅 테이블에 기초하여 패킷 처리를 수행할 수 있다(603).
반면, 패킷 처리 요청이 외부 네트워크 인터페이스에 대한 것이 아니면, 즉 패킷 처리 요청이 내부 네트워크 인터페이스에 대한 것이면, 네트워크 보안 장치(100)는 제2 라우팅 테이블에 기초하여 패킷 처리를 수행할 수 있다(604).
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 네트워크 보안 장치
101: 통신부
102: 메모리
103: 프로세서

Claims (17)

  1. 적어도 하나의 관리자 장치 및 복수의 단말들과 외부 네트워크 인터페이스들을 통해 통신하는 통신부;
    적어도 하나의 단말들 각각에 대하여 네트워크 보안을 수행하는 복수의 가상 컨테이너들을 생성하고, 상기 복수의 가상 컨테이너들 각각에 대하여 상기 적어도 하나의 단말들과의 통신을 위한 상기 외부 네트워크 인터페이스들 및 상기 복수의 가상 컨테이너들 사이의 통신을 위한 내부 네트워크 인터페이스들을 설정하는 프로세서; 및
    상기 외부 네트워크 인터페이스들을 위한 제1 라우팅 테이블 및 상기 내부 네트워크 인터페이스들을 위한 제2 라우팅 테이블을 별개로 저장하는 저장부를 포함하는, 네트워크 보안 장치.
  2. 제1항에 있어서, 상기 프로세서는,
    상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들이 동일한 서브넷 마스크를 갖도록 설정하는, 네트워크 보안 장치.
  3. 제2항에 있어서, 상기 프로세서는,
    상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들에게 상기 서브넷 마스크에 의하여 사용 가능한 ip 주소들 중에서 선택되는 ip 주소를 독립적으로 할당하는, 네트워크 보안 장치.
  4. 제3항에 있어서, 상기 프로세서는,
    상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들에게 상기 사용 가능한 ip 주소들 중 적어도 하나를 중복하여 할당하는, 네트워크 보안 장치.
  5. 제4항에 있어서, 상기 복수의 가상 컨테이너들 각각은,
    상기 제1 라우팅 테이블을 참조하여 상기 적어도 하나의 단말들에 대한 통신을 수행하고, 상기 제2 라우팅 테이블을 참조하여 상기 프로세서 및 다른 가상 컨테이너들에 대한 통신을 수행하는, 네트워크 보안 장치.
  6. 제4항에 있어서, 상기 프로세서는,
    상기 제1 라우팅 테이블을 참조하여 상기 적어도 하나의 관리자 장치에 대한 통신을 수행하고, 상기 제2 라우팅 테이블을 참조하여 상기 복수의 가상 컨테이너들에 대한 통신을 수행하는, 네트워크 보안 장치.
  7. 제1항에 있어서, 상기 프로세서는,
    상기 복수의 가상 컨테이너들 각각에 대하여 시스템 리소스를 독립적으로 할당하고, 상기 복수의 가상 컨테이너에 대한 상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들을 설정하는, 네트워크 보안 장치.
  8. 제7항에 있어서, 상기 복수의 가상 컨테이너들 각각은,
    상기 할당된 시스템 리소스에 상기 제1 라우팅 테이블 및 상기 제2 라우팅 테이블을 독립적으로 저장하는, 네트워크 보안 장치.
  9. 제7항에 있어서, 상기 프로세서는,
    상기 복수의 가상 컨테이너들에 할당되지 않은 시스템 리소스에, 상기 제1 라우팅 테이블 및 상기 제2 라우팅 테이블 중 적어도 하나를 저장하는, 네트워크 보안 장치.
  10. 네트워크 보안 장치의 네트워크 보안 방법으로,
    적어도 하나의 단말들 각각에 대하여 네트워크 보안을 수행하는 복수의 가상 컨테이너들을 생성하는 단계;
    상기 복수의 가상 컨테이너들 각각에 대하여 상기 적어도 하나의 단말들과의 통신을 위한 외부 네트워크 인터페이스들 및 상기 복수의 가상 컨테이너들 사이의 통신을 위한 내부 네트워크 인터페이스들을 설정하는 단계; 및
    상기 외부 네트워크 인터페이스들을 위한 제1 라우팅 테이블 및 상기 내부 네트워크 인터페이스들을 위한 제2 라우팅 테이블을 별개로 저장하는 단계를 포함하는, 방법.
  11. 제10항에 있어서, 상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들을 설정하는 단계는,
    상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들이 동일한 서브넷 마스크를 갖도록 설정하는, 방법.
  12. 제11항에 있어서, 상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들을 설정하는 단계는,
    상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들에게 상기 서브넷 마스크에 의하여 사용 가능한 ip 주소들 중에서 선택되는 ip 주소를 독립적으로 할당하는 단계를 더 포함하는, 방법.
  13. 제12항에 있어서, 상기 ip 주소를 독립적으로 할당하는 단계는,
    상기 외부 네트워크 인터페이스들 및 상기 내부 네트워크 인터페이스들에게 상기 사용 가능한 ip 주소들 중 적어도 하나를 중복하여 할당하는, 방법.
  14. 제13항에 있어서, 상기 복수의 가상 컨테이너들 각각은,
    상기 제1 라우팅 테이블을 참조하여 상기 적어도 하나의 단말들에 대한 통신을 수행하고, 상기 제2 라우팅 테이블을 참조하여 다른 가상 컨테이너들에 대한 통신을 수행하는, 방법.
  15. 제13항에 있어서,
    적어도 하나의 관리자 장치에 대한 통신이 요구되면, 상기 제1 라우팅 테이블을 참조하여 상기 적어도 하나의 관리자 장치와 통신하는 단계; 및
    상기 복수의 가상 컨테이너들에 대한 통신이 요구되면, 상기 제2 라우팅 테이블을 참조하여 상기 복수의 가상 컨테이너들과 통신하는 단계를 포함하는, 방법.
  16. 제10항에 있어서, 상기 복수의 가상 컨테이너들을 생성하는 단계는,
    상기 복수의 가상 컨테이너들 각각에 대하여 시스템 리소스를 독립적으로 할당하는 단계를 포함하는, 방법.
  17. 제16항에 있어서, 상기 제1 라우팅 테이블 및 상기 제2 라우팅 테이블을 저장하는 단계는,
    상기 할당된 시스템 리소스에 상기 복수의 가상 컨테이너들 각각을 위한 상기 제1 라우팅 테이블 및 상기 라우팅 테이블을 독립적으로 저장하는 단계; 및
    상기 복수의 가상 컨테이너들에 할당되지 않은 시스템 리소스에, 상기 제1 라우팅 테이블 및 상기 제2 라우팅 테이블 중 적어도 하나를 저장하는 단계를 포함하는, 방법.
KR1020190066852A 2019-06-05 2019-06-05 네트워크 보안 장치 및 방법 KR102203828B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190066852A KR102203828B1 (ko) 2019-06-05 2019-06-05 네트워크 보안 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190066852A KR102203828B1 (ko) 2019-06-05 2019-06-05 네트워크 보안 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20200140085A true KR20200140085A (ko) 2020-12-15
KR102203828B1 KR102203828B1 (ko) 2021-01-18

Family

ID=73780338

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190066852A KR102203828B1 (ko) 2019-06-05 2019-06-05 네트워크 보안 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102203828B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070120784A (ko) * 2006-06-20 2007-12-26 엔트로링크(주) 통신단말기의 네트워크 환경을 변경 없이 사용가능하도록하는 아이피공유장치 및 이를 이용한 접속 방법
JP2017228935A (ja) * 2016-06-22 2017-12-28 日本電信電話株式会社 パケット転送制御装置、パケット転送制御方法、およびパケット転送制御プログラム
KR20180068514A (ko) * 2016-12-14 2018-06-22 한국전자통신연구원 클라우드 기반 가상 보안서비스 제공 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070120784A (ko) * 2006-06-20 2007-12-26 엔트로링크(주) 통신단말기의 네트워크 환경을 변경 없이 사용가능하도록하는 아이피공유장치 및 이를 이용한 접속 방법
JP2017228935A (ja) * 2016-06-22 2017-12-28 日本電信電話株式会社 パケット転送制御装置、パケット転送制御方法、およびパケット転送制御プログラム
KR20180068514A (ko) * 2016-12-14 2018-06-22 한국전자통신연구원 클라우드 기반 가상 보안서비스 제공 장치 및 방법

Also Published As

Publication number Publication date
KR102203828B1 (ko) 2021-01-18

Similar Documents

Publication Publication Date Title
US10375015B2 (en) Methods and system for allocating an IP address for an instance in a network function virtualization (NFV) system
US10411947B2 (en) Hot swapping and hot scaling containers
US10719369B1 (en) Network interfaces for containers running on a virtual machine instance in a distributed computing environment
EP3493510B1 (en) Method, device and system for virtual machine to access physical server in cloud computing system
US10938787B2 (en) Cloud services management system and method
EP2864875B1 (en) Method and apparatus for ip commissioning and decom-missioning in orchestrated computing environments
US9641450B1 (en) Resource placement templates for virtual networks
US10810034B2 (en) Transparent deployment of meta visor into guest operating system network traffic
US10938619B2 (en) Allocation of virtual interfaces to containers
EP3367612B1 (en) Dial testing method, dial testing system, and computing node
US10523465B2 (en) System and method for providing private instances of shared resources using VxLAN
US10116622B2 (en) Secure communication channel using a blade server
CN114338606B (zh) 一种公有云的网络配置方法及相关设备
US20150372854A1 (en) Communication control device, communication control program, and communication control method
KR102203828B1 (ko) 네트워크 보안 장치 및 방법
KR102201221B1 (ko) 네트워크 보안 장치 및 그의 라이선스 관리 방법
KR102409272B1 (ko) 가상 플랫폼 환경에서의 통신 대상 ip를 기반으로 공공 ip를 공유하는 방법 및 호스트 장치
KR20230096615A (ko) 대규모 멀티클러스터 프로비저닝을 위한 엣지 클라우드 운영 시스템
KR20150078286A (ko) 복수의 가상 머신들을 포함하는 컴퓨팅 시스템
CA2993674A1 (en) System and method for providing private instances of shared resources using vxlan
GB2570876A (en) System and method for providing private instances of shared resources using VxLAN
KR20140121215A (ko) 다중 네트워크 디바이스를 지원하는 파티션 기반 시스템의 통신 관리 장치

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant