KR20230099380A - 방화벽 정책적용 자동화서버, 이를 포함하는 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법 - Google Patents

방화벽 정책적용 자동화서버, 이를 포함하는 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법 Download PDF

Info

Publication number
KR20230099380A
KR20230099380A KR1020210188680A KR20210188680A KR20230099380A KR 20230099380 A KR20230099380 A KR 20230099380A KR 1020210188680 A KR1020210188680 A KR 1020210188680A KR 20210188680 A KR20210188680 A KR 20210188680A KR 20230099380 A KR20230099380 A KR 20230099380A
Authority
KR
South Korea
Prior art keywords
application
firewall policy
policy
firewall
unit
Prior art date
Application number
KR1020210188680A
Other languages
English (en)
Other versions
KR102649648B1 (ko
Inventor
오수찬
Original Assignee
주식회사 엘로이큐브
오수찬
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘로이큐브, 오수찬 filed Critical 주식회사 엘로이큐브
Priority to KR1020210188680A priority Critical patent/KR102649648B1/ko
Publication of KR20230099380A publication Critical patent/KR20230099380A/ko
Priority to KR1020240001898A priority patent/KR102718332B1/ko
Application granted granted Critical
Publication of KR102649648B1 publication Critical patent/KR102649648B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0853Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0876Aspects of the degree of configuration automation
    • H04L41/0879Manual configuration through operator
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Automation & Control Theory (AREA)

Abstract

본 발명은 방화벽 정책적용 자동화서버, 이를 포함하는 시스템, 및 이를 이용한 방화벽 정책적용 자동화방법에 관한 것으로서, 사용자의 주관적 개입 없이 이기종 방화벽에 대한 정책적용을 자동화하여 이기종 방화벽 시스템을 자동화 운용할 수 있는 방화벽 정책적용 자동화서버, 이를 포함하는 시스템, 및 이를 이용한 방화벽 정책적용 자동화방법에 관한 것이다.
본 발명은, 이기종 방화벽에 대한 방화벽 정책적용 자동화서버(200)로서, 신규방화벽정책에 대한 정보를 포함하는 신청요청을 수신해 상기 신규방화벽정책을 적용시키는 방화벽 정책적용 자동화서버(200)를 포함하며, 상기 방화벽 정책적용 자동화서버(200)는, 상기 신규방화벽정책의 적용과 관련된 작업기록을 수집하고 저장하는 작업증적부(260)를 포함하는 것을 특징으로 하는 방화벽 정책적용 자동화서버(200)을 개시한다.

Description

방화벽 정책적용 자동화서버, 이를 포함하는 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법{Firewall policy application automation server, system having the same, and method using the same}
본 발명은 본 발명에 따른 방화벽 정책적용 자동화서버, 시스템, 및 이를 이용한 방화벽 정책적용 자동화방법에 관한 것으로서, 사용자의 주관적 개입 없이 이기종 방화벽에 대한 정책적용을 자동화하여 이기종 방화벽 시스템을 자동화 운용할 수 있는 방화벽 정책적용 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법에 관한 것이다.
방화벽(防火壁) 또는 파이어월(firewall)은 미리 정의된 보안 규칙에 기반한, 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하여 특정 트래픽의 허용 또는 차단을 결정하는 네트워크 보안 시스템을 의미하는 것으로, 일반적으로 신뢰할 수 있는 내부 네트워크와 신뢰할 수 없는 외부 네트워크 간의 장벽을 구성한다.
IT 인프라는 지속적으로 확대, 세분화되고 있으며 일정 규모 이상 기업과 기관이라면 대부분 종류가 다른 다양한 벤더 방화벽(이기종)을 사용하고 있다.
네트워크를 통한 외부 해킹 시도가 기하급수로 증가하고 있어 취약점을 이용한 공격과 변종 악성 코드를 방어하기 위한 방화벽도 종류나 개수가 늘 수밖에 없다. 여기에 라우터나 스위치 등 다양한 네트워크 장비까지 고려하면 방화벽과 네트워크 장비 운영상 많은 문제점은 이러한 환경의 복잡함에서 기인한다. 많게는 수백 대에 이르는 방화벽을 운영하고 있는 곳의 경우 특히 운영인력 대비 많은 보안, 분석장비를 운영하므로 업무 비효율성이 커질 수밖에 없다.
실무자가 관리해야 하는 운영 및 보안관제 정책이 적게는 수십 개, 많게는 수백 개에 이른다. 정책 객체 수량은 업무 복잡도와 보안 수준에 따라 수십 만 개에 이를 수도 있다. 이 때문에 관리하는 모든 서비스의 내용과 특성을 파악해야 하지만 이를 달성하기에는 현실에서 어려움이 너무 크다. 정책 신청자가 허용하는 정책의 실효성과 적절성 여부를 잘 알지 못하고 관심이 낮으면 네트워크 보안에 기반을 둔 실속 있는 허용 정책을 기대할 수 없다. 이런 상황이라면 신청 부서에서 요청한 정책 신청서나 증거 자료는 대개 온전한 상태로 남아 있지 않는 경우가 많다. 장기간 사용하지 않거나 목적이 분명하지 않은 다수 또는 이기종 간 방화벽 정책이 발견되는 경우 정책 히스토리가 온전히 관리되지 있지 않는다면 정책관리자가 정책 사용 중지와 삭제 같은 판단을 신속히 내릴 수 없다. 이러한 관리의 어려움은 보안홀(Hole)이 된다.
이기종 방화벽을 운영하는 것은 새로 적용한 정책으로 다른 방화벽이 영향을 받을 수 있고, 상호 네트워크 간 정상 작동을 방해할 수도 있다는 것을 뜻한다. 네트워크 보안 사고의 99%는 보안장비의 결함이 아닌 잘못된 정책구성에 기인해 발생되고 있는 것이 현실이다.
방화벽별 정책 설정이나 관리 복잡성 증가는 실무자 업무 가중을 초래, 필연으로 시간 및 비용이 증가하는 원인이 된다. 즉 방화벽에 적용돼 있는 다수의 보안 정책과 상호간 영향을 주는 관계 파악에 따른 시간 및 비용은 이기종 방화벽을 운영할수록 증가할 수밖에 없다. 이를 해결하기 위해서는 정책별, 룰별 사용률 분석과 최적화를 제공하고 이기종 방화벽 정책적용을 자동화할 할 수 있는 통합 관리 툴이 필요하다.
본 발명의 목적은, 상기와 같은 필요성을 인식하여, 이기종 방화벽에 대한 신규정책접수, 설계, 분석, 자동화적용, 작업검증에 최적화된 방화벽 정책적용 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법을 제공하는데 있다.
본 발명은 상기와 같은 본 발명의 목적을 달성하기 위하여 창출된 것으로서, 신규방화벽정책에 대한 정보를 포함하는 신청요청을 수신해 상기 신규방화벽정책을 적용시키는 방화벽 정책적용 자동화서버(200)를 개시한다.
상기 방화벽 정책적용 자동화서버(200)는, 상기 신규방화벽정책의 적용과 관련된 작업기록을 수집하고 저장하는 작업증적부(260)를 포함할 수 있다.
상기 방화벽 정책적용 자동화서버(200)는, 상기 신청요청을 수신하는 수신부(210)와, 상기 신청요청에 포함된 상기 신규방화벽정책에 대한 정보를 등록하는 요청인식/등록부(220)와, 상기 신규방화벽정책에 대한 정보에 따른 정책적용방안을 설계하는 정책구성부(230)와, 상기 정책적용방안을 기초로 상기 신규방화벽정책을 연관된 네트워크의 방화벽에 적용하는 정책적용부(240)를 포함할 수 있다.
상기 방화벽 정책적용 자동화서버(200)는, 상기 정책적용방안을 적용하기 위한 스케줄을 설정하는 스케줄관리부(250)를 추가로 포함할 수 있다.
상기 정책적용부(240)는, 방화벽장비 각각에 대한 정책적용 시나리오를 포함하는 플레이북을 관리하는 플레이북모듈(SP)을 포함할 수 있다.
상기 작업증적부(260)는, 상기 신규방화벽정책이 적용되는 과정을 시각화한 작업영상을 생성하는 작업영상부(262)를 포함할 수 있다.
상기 작업증적부(260)는, 상기 신규방화벽정책의 적용단계별 스크린샷을 생성하는 화면캡쳐부(264)를 포함할 수 있다.
상기 작업증적부(260)는, 상기 신규방화벽정책 적용단계별 이벤트 로그를 수집하는 작업로그수집부(266)를 포함할 수 있다.
상기 방화벽 정책적용 자동화서버(200)는, 상기 신규방화벽정책 적용완료 후 정상적용 여부를 체크하는 작업검증부(270)를 추가로 포함할 수 있다.
상기 방화벽 정책적용 자동화서버(200)는, 각 방화벽장비의 정책변경 여부를 감지하여 방화벽정책을 동기화하는 정책동기화처리부(280)를 추가로 포함할 수 있다.
다른 측면에서, 본 발명은 이기종 방화벽에 대한 방화벽 정책적용 자동화시스템(1000)으로서, 사용자단말(100)과; 상기 사용자단말(100)과 네트워크를 통해 연결되며 상기 사용자단말(100)로부터 신규방화벽정책에 대한 정보를 포함하는 신청요청을 수신하는 방화벽 정책적용 자동화서버(200)를 포함한다.
또 다른 측면에서, 본 발명은 이기종 방화벽에 대한 방화벽 정책적용을 자동화하는 방화벽 정책적용 자동화서버(200)에서 수행되는 방화벽 정책적용 자동화방법을 개시한다.
본 발명에 따른 방화벽 정책적용 자동화서버, 이를 포함하는 시스템 및 이를 이용한 방화벽 정책적용 자동화방법은, 신규 생성, 기존정책 활용, 기존정책 삭제, 기존 구성 추가, 기존구성 제거 등 제약 없는 작업이 가능해 자동화 작업 범위 확작성을 가지고, 작업내역을 검증함으로써 자동화 작업의 신뢰성을 향상시킬 수 있는 이점이 있다.
또한, 본 발명에 따른 방화벽 정책적용 자동화서버, 이를 포함하는 시스템 및 이를 이용한 방화벽 정책적용 자동화방법은, 정책적용 과정을 영상화 및 화면캡처로 시각화 하여 작업내역을 확인함으로써 자동화 작업 내역을 시각적으로 확인 가능하고 자동화 작업의 투명성을 보장할 수 있는 이점이 있다.
또한, 본 발명에 따른 방화벽 정책적용 자동화서버, 이를 포함하는 시스템 및 이를 이용한 방화벽 정책적용 자동화방법은, 이기종 방화벽 장비별 특성에 따른 자동화 작업방식을 지원함으로써 자동화 작업의 다양성을 확보할 수 있는 이점이 있다.
또한, 본 발명에 따른 방화벽 정책적용 자동화서버, 이를 포함하는 시스템 및 이를 이용한 방화벽 정책적용 자동화방법은, 신규방화벽정책 적용을 위한 작업 완료 후 신규방화벽정책이 정상적으로 적용되었는지 여부를 검증 가능한 이점이 있다.
도 1은, 본 발명의 일 실시예에 따른 방화벽 정책적용 자동화시스템을 보여주는 개념도이다.
도 2는, 도 1의 방화벽 정책적용 자동화시스템에서 수행되는 방화벽 정책적용 자동화 프로세스를 설명하는 개념도이다.
도 3은, 도 1의 방화벽 정책적용 자동화시스템을 구성하는 방화벽 정책적용 자동화서버를 보여주는 블록도이다.
도 4는, 도 1의 방화벽 정책적용 자동화시스템에서 수행되는 방화벽 정책적용 자동화방법을 설명하는 플로우차트이다.
이하 본 발명에 따른 방화벽 정책적용 자동화서버, 이를 포함하는 시스템 및 이를 이용한 방화벽 정책적용 자동화방법에 관하여 첨부된 도면을 참조하여 설명하면 다음과 같다.
본 발명에 따른 방화벽 정책적용 자동화시스템(1000)은, 도 1에 도시된 바와 같이, 사용자단말(100)과, 상기 사용자단말(100)과 네트워크를 통해 연결되며, 상기 사용자단말(100)로부터 신규방화벽정책에 대한 정보를 포함하는 신청요청을 수신해 상기 신규방화벽정책을 적용시키는 방화벽 정책적용 자동화서버(200)를 포함할 수 있다.
상기 사용자단말(100)은, 후술하는 방화벽 정책적용 자동화서버(200)와 네트워크를 통해 연결되는 컴퓨팅 장치에 해당하고, 예를 들어, 데스크톱, 노트북, 태블릿 PC 또는 스마트폰으로 구현될 수 있으며, 방화벽 정책적용 자동화서버(200)와 네트워크 연결을 위한 네트워크 인터페이스 및 사용자입출력을 위한 사용자입력/출력 인터페이스를 포함할 수 있다.
예로서, 상기 사용자단말(100)은, 모바일 단말에 해당할 수 있고, 방화벽 정책적용 자동화서버(200)와 셀룰러 통신 또는 와이파이 통신을 통해 연결될 수 있다.
다른 예로서, 상기 사용자단말(100)은, 데스크톱에 해당할 수 있고, 방화벽 정책적용 자동화서버(200)와 인터넷을 통해 연결될 수 있다.
상기 사용자단말(100)에 신규방화벽정책에 대한 정보를 포함하는 신청요청이 입력될 수 있다.
여기서, 신규방화벽정책이란, 정책신규생성, 기존정책 활용, 기존정책 삭제, 기존정책 구성추가, 기존정책 구성 삭제 등 다양한 범위의 작업을 포함할 수 있다.
이를 위해, 상기 방화벽 정책적용 자동화시스템은 API 또는 EAI를 통해 방화벽신청시스템(300)과 연계될 수 있다. 이를 통해, 방화벽정책 신청, 접수, 신청/결재 이력관리, 작업/처리현황 조회 등의 정책신청서비스가 제공될 수 있다.
상기 신청요청은, 신규방화벽정책에 대한 정보를 포함하는 것으로, 문서형태를 포함한 UI, DB to DB, API 등의 형태로 입력될 수 있다.
상기 신청요청이 문서형태로 입력되는 경우, 신청문서로 정의될 수 있다.
상기 신청문서는, HWP, PDF 등의 형태의 문서파일일 수 있으며, 방화벽신청시스템(300)을 통해 업로드될 수 있다.
상기 신청문서에는 신청자정보(기관명, 부서명, 성명, 전화번호, 팩스번호, E-mail 등), 신청근거, 신청세부내역(신청구분(허용/차단), 출발지주소(Source IP Address), 목적지주소(Destination IP Address), 허용요청 포트, TCP 포트, 통신방향(단방향/양방향), 허용요청기간, 업무용도 등이 포함될 수 있다.
다른 예로서, 상기 신청요청은, 신청문서 이외에도, 사용자단말(100)의 UI와 방화벽신청시스템(300)의 데이터의 직접 연계를 통해서도 입력될 수 있음은 물론이다.
상기 방화벽신청시스템(300)를 통해 신청요청(신청문서)의 타당성이 검토될 수 있으며, 검토결과에 따라 신청요청(신청문서)가 승인되거나 또는 반려될 수 있다.
승인완료된 신청요청은 후술하는 방화벽 정책적용 자동화서버(200)로 수신되어 신규등록될 수 있다.
상기 방화벽 정책적용 자동화서버(200)는, 상기 사용자단말(100)과 네트워크를 통해 연결되며, 상기 사용자단말(100)로부터 신규방화벽정책에 대한 정보를 포함하는 신청요청을 수신하여 상기 신규방화벽정책을 적용시키는 구성으로 다양한 구성이 가능하다.
상기 방화벽 정책적용 자동화서버(200)는, 다수의 네트워크들(NET1, NET2, ??) 각각에 포함된 다수의 이기종 방화벽장비(A1, ??, AN, B1, ??,BM)의 정책적용 운용을 자동화하기 위한 서버일 수 있다.
예로서, 상기 방화벽 정책적용 자동화서버(200)는, 상기 사용자단말(100)로부터 상기 신청요청을 수신하는 수신부(210)와, 상기 신청요청에 포함된 신규방화벽정책에 대한 정보를 등록하는 요청인식/등록부(220)와, 상기 신청요청에 포함된 상기 신규방화벽정책에 대한 정보에 따른 정책적용방안을 설계하는 정책구성부(230)와, 상기 정책적용방안을 기초로 상기 신규방화벽정책을 연관된 네트워크의 방화벽에 적용하는 정책적용부(240)를 포함할 수 있다.
상기 수신부(210)는, 상기 사용자단말(100)로부터 상기 신청요청을 수신하는 구성으로 다양한 구성이 가능하다.
예로서, 상기 수신부(210)는, 방화벽신청시스템(300)을 통해 업로드되어 신규등록된 신청문서를 수신할 수 있다.
상기 요청인식/등록부(220)는, 수신된 신청요청을 인식하고 등록하는 구성으로, 신청요청이 신청문서의 형태로 수신되는 경우 문자인식(OCR)을 통해 신청문서의 기재항목을 구성요소별로 인식(파일변환)하고 각 항목별 신규방화벽정책 신청내용을 자동으로 등록할 수 있다.
상기 요청인식/등록부(220)를 통해 수신된 신청요청으로부터 신규방화벽정책신청서가 구성될 수 있다.
상기 정책구성부(230)는, 상기 신청요청에 포함된 상기 신규방화벽정책에 대한 정보에 따른 정책적용방안을 설계하는 구성으로 다양한 구성이 가능하다.
상기 정책구성부(230)는, 요청인식/등록부(220)에 의해 구성된 신규방화벽정책신청서를 기반으로 정책구성 설계작업을 자동으로 처리하여 정책적용방안을 도출할 수 있다.
상기 정책구성부(230)는, 정책적용방안에 따라 방화벽 정보에 맞게 오브젝트 작업 내용을 구성할 수 있다.
상기 정책구성부(230)는, 신규방화벽정책의 대상 방화벽장비를 분석하고, 신규방화벽정책신청서의 데이터필드의 적합성과 컴플라이언스를 점검하여 설계작업 초안을 구성할 수 있다.
상기 정책구성부(230)는, 이기종 방화벽장비 별 수집된 정보와 신청된 신규방화벽정책을 자동 분석하여 방화벽 관리자 개입없이 최적화된 설계방안을 도출할 수 있다.
이때, 상기 정책구성부(230)는 기존 중복되거나 유사한 방화벽정책을 분석하여 신규방화벽정책 적용을 위한 설계를 확정할 수 있다.
또한, 상기 정책구성부(230)는, 방화벽장비 각각에 대한 정책적용 시나리오(정책설계안, 적용안 등)를 포함하는 플레이북을 관리하는 플레이북모듈(SP)을 포함할 수 있다.
상기 정책구성부(230)는, 플레이북모듈(SP)을 통해 방화벽장비별 정책적용 시나리오 및 자동화진행단계(신청요청 수신(신청문서 업로드), 요청인식/등록(파일변환), 신규방화벽정책신청서구성, 정책구성, 스케줄구성)를 조정할 수 있다.
상기 정책적용부(240)는, 상기 정책적용방안(설계안)/플레이북 설정/스케줄구성을 기초로 상기 신규방화벽정책을 연관된 네트워크의 방화벽에 자동화 적용하는 구성으로 다양한 구성이 가능하다.
상기 정책적용부(240)는, 상기 정책구성부(230)를 통해 정책적용방안 설계 확정 시 자동화 작업을 수행하며, 자동화 작업 처리범위를 벗어난 정책적용방안의 경우 잘못된 정책적용방안 설계로 분류하여 자동화 작업을 방지할 수 있다.
상기 정책적용부(240)는, 방화벽장비 특성에 따라 CLI, GUI, API 등 작업대상 시스템의 연계를 위해 다양한 작업방식을 지원하여 신규방화벽정책을 적용할 수 있다.
또한, 상기 정책적용부(240)는, 신규방화벽정책 적용 자동화 작업을 위한 RPA(Robotic Process Automation)일 수 있으며, attended RPA(in-attend mode)로 보안 샌드박스에서 격리(ISOLATION) 되어 동작될 수 있다.
이때, 상기 정책적용부(240)는, HTML WEB GUI RPA, FLASH WEB GUI RPA, WINDOWS APP GUI RPA, REST API RPA (JSON), SOAP API RPA (XML), SSH CLI RPA (COMMAND LINE) 등 방화벽장비 제조사의 제공 방식에 따라 자동으로 대응할 수 있다.
상기 정책적용부(240)는, GUI 내에서 방화벽 정책 자동화 처리를 위한 인간의 동작(Human interaction)을 모방(Human mimic)함으로써, GUI 내에서 신규방화벽정책 적용 자동화 작업이 처리되는 과정이 시각화 될 수 있다.
상기 정책적용부(240)를 통한 신규방화벽정책 적용 자동화 작업 프로세스는 라이브스크린을 통해 사용자가 실시간 확인할 수 있다.
도시하지는 않았으나, 상기 정책적용부(240) 또한 정책적용시나리오를 포함하는 플레이북을 관리하는 플레이북모듈(SP)을 포함할 수 있으며, 상기 정책구성부(230)를 통해 도출된 설계안은 상기 정책적용부(240)에서 플레이북모듈(SP)에 의한 정책 적용시나리오에 따라 해당 해당 방화벽에 적용될 수 있다.
한편, 상기 방화벽 정책적용 자동화서버(200)는, 상기 정책적용방안을 적용하기 위한 스케줄을 설정하는 스케줄관리부(250)를 추가로 포함할 수 있다.
상기 스케줄관리부(250)는, 상기 정책적용방안에 따른 신규방화벽정책 적용 자동화 작업 수행할 스케줄을 관리하는 구성으로 다양한 구성이 가능하다.
상기 스케줄관리부(250)는, 신규방화벽정책 자동적용 스케줄을 설정할 수 있다. 상기 스케줄관리부(250)는 방화벽장비에 따라 신규방화벽정책을 정책구성 후 바로 적용하거나 또는 별도의 일정을 설정하여 신규방화벽정책적용 스케줄을 구성할 할 수 있다.
또한, 상기 방화벽 정책적용 자동화서버(200)는, 상기 신규방화벽정책을 적용과 관련된 작업기록을 수집하고 저장하는 작업증적부(260)를 포함할 수 있다.
상기 작업증적부(260)는, 신규방화벽정책 자동화 작업의 적절성, 오동작 규명 등 사후검증을 위해 작업기록을 증적하기 위한 구성으로 다양한 구성이 가능하다.
예로서, 상기 작업증적부(260)는, 상기 신규방화벽정책이 적용되는 과정을 시각화한 작업영상을 생성하는 작업영상부(262)를 포함할 수 있다.
상기 작업영상이란, 신규방화벽정책이 적용되는 과정의 전 단계를 CCTV처럼 시각화된 영상으로 작업 시 실시간으로 송출(라이브 스크린)되며 저장될 수 있다.
신규방화벽정책적용을 위한 명령어 실행은 백그라운드에서 이루어짐에 따라 신규방화벽정책이 적용 과정에서 동작 간 오류여부는 작업명령의 회신 정보로만 판단하므로, 방화벽장비 내부에서 발생된 오류는 판단할 수 없는 문제점이 있다.
본 발명에 따른 작업영상부(262)는 백드라운드/포어그라운드에서 모든 작업동작을 시각화 처리하여 작업영상을 생성함으로써, 작업간 동작이상여부 및 오동작 시점을 추후 정확히 파악할 수 있는 이점이 있다.
또한, 상기 작업증적부(260)는, 상기 신규방화벽정책의 적용단계별 스크린샷을 생성하는 화면캡쳐부(264)를 포함할 수 있다.
상기 화면캡쳐부(264)는, 신규방화벽정책의 적용단계별 스크린샷을 생성하여 단계별 작업결과 증빙을 저장할 수 있다.
또한, 상기 작업증적부(260)는, 상기 신규방화벽정책 적용단계별 이벤트 로그를 수집하는 작업로그수집부(266)를 포함할 수 있다.
상기 작업로그수집부(266)는 신규방화벽정책의 적용단계별 작업간 요청(Request) 및 응답(Response) 로그(log)를 기록하여 단위 작업간 증적을 생성하고 결함 발생 시 오동작 검증을 가능하게 할 수 있다.
본 발명에 따른 작업증적부(260)는, 신규방화병정책 적용단계별 작업영상, 스크린샷, 이벤트 로그, 및 매개변수(파라미터)를 수집/저장함으로써 자동화 처리 결과에 대한 사후검증을 용이하게 구현할 수 있는 이점이 있다.
한편, 상기 방화벽 정책적용 자동화서버(200)는, 상기 신규방화벽정책 적용완료 후 정상적용 여부를 체크하는 작업검증부(270)를 추가로 포함할 수 있다.
상기 작업검증부(270)는 자동화 작업 단계별 작업내역을 검증하고, 자동화 작업 완류 후 정상 적용 여부를 자동으로 검증할 수 있다.
상기 작업검증부(270)는 자동화 작업 완료 후, 방화벽 정책을 수집하여 신청된 신규방화벽정책이 정상적으로 방화벽에 적용되었는지 체크함으로써, 자동화 작업에 따른 정상 적용 여부를 검증할 수 있다.
상기 방화벽 정책적용 자동화서버(200)는, 상기 작업검증부(270)를 통한 정상 적용 여부가 확인되면, 사용자단말(100)로 신규방화벽정책이 정상적용 되었음을 회신(송신)할 수 있다.
한편, 상기 방화벽 정책적용 자동화서버(200)는, 이기종 방화벽들에 대해 각 방화벽장비의 정책변경 여부를 감지하여 방화벽정책을 동기화하는 정책동기화처리부(280)를 추가로 포함할 수 있다.
상기 정책동기화처리부(280)는, 각 방화벽장비로부터 실시간으로 시스로그를 지속적으로 수신하며, 시스로그에서 방화벽정책변경 관련 시그니처를 감지할 수 있다. 상기 정책동기화처리부(280)는, 방화벽정책변경을 감지하면 곧바로 방화벽의 정책을 동기화할 수 있다.
본 발명에 따른 방화벽 정책적용 자동화서버(200)는, 정책동기화처리부(280)를 통해 항상 방화벽정책을 정확히 동기화 하고 있으므로, 정책구성부(230)에서의 각 시점에 적합한 최적의 정책적용방안을 도출할 수 있다.
한편, 본 발명에 따른 방화벽 정책적용 자동화서버(200)는, 상술한 구성이외에도, 이기종 방화벽 운용 시 발생되는 각종 이벤트에 대한 이상징후 모니터링모듈, 각종 화면 리소스 운영관리모듈, 재택근무자에게 방화벽정책자동적용을 위하여 인사시스템을 연계한 사용자식별모듈, 이기종 방화벽관리를 위한 정보보안자산 등록/관리/분석모듈, 방화벽정책적용현황(신청현황, 접수현황, 적용현황, 적용상태 등)을 보여주는 대시보드모듈을 추가로 포함할 수 있다.
본 발명에 따른 방화벽정책적용 자동화서버(200)에 의해 사용자의 주관적 개입 없이 방화벽 정책신청, 결재, 접수, 설계, 적용, 검증 전 과정이 자동화 운용(오토파일럿)이 구현될 수 있다.
이하, 도 2 및 도 4를 참조하여, 상기 방화벽정책적용 자동화서버(200)에서 수행되는 방화벽 정책적용 자동화방법을 자세히 설명한다.
상기 방화벽 정책적용 자동화방법은, 신규방화벽정책에 대한 정보를 포함하는 신청요청을 수신하는 요청수신단계(S401)와, 상시 수신된 신청요청을 인식/등록하는 요청인식/등록단계(S402)와, 상기 신청요청을 기반으로 신규방화벽정책을 적용하기 위한 정책적용방안을 구성하는 정책구성단계(S403)와, 상기 정책적용방안에 따른 자동화 작업을 수행할 스케줄을 구성하는 스케줄구성단계(S404)와, 상기 정책적용방안 및 스케줄에 따라 신규방화벽정책을 자동화 적용하는 정책적용단계(S405)와, 자동화 작업에 따른 작업내용을 검증하는 작업검증단계(S406)와, 작업완료내역을 사용자단말(100)로 송신하는 작업완료내역 송신단계(S407)를 포함할 수 있다.
이상은 본 발명에 의해 구현될 수 있는 바람직한 실시예의 일부에 관하여 설명한 것에 불과하므로, 주지된 바와 같이 본 발명의 범위는 위의 실시예에 한정되어 해석되어서는 안 될 것이며, 위에서 설명된 본 발명의 기술적 사상과 그 근본을 함께하는 기술적 사상은 모두 본 발명의 범위에 포함된다고 할 것이다.
100: 사용자단말
200: 방화벽 정책적용 자동화서버

Claims (11)

  1. 이기종 방화벽에 대한 방화벽 정책적용 자동화서버(200)로서,
    신규방화벽정책에 대한 정보를 포함하는 신청요청을 수신해 상기 신규방화벽정책을 적용시키는 방화벽 정책적용 자동화서버(200)를 포함하며,
    상기 방화벽 정책적용 자동화서버(200)는, 상기 신규방화벽정책의 적용과 관련된 작업기록을 수집하고 저장하는 작업증적부(260)를 포함하는 것을 특징으로 하는 방화벽 정책적용 자동화서버(200).
  2. 청구항 1에 있어서,
    상기 방화벽 정책적용 자동화서버(200)는, 상기 신청요청을 수신하는 수신부(210)와, 상기 신청요청에 포함된 상기 신규방화벽정책에 대한 정보를 등록하는 요청인식/등록부(220)와, 상기 신규방화벽정책에 대한 정보에 따른 정책적용방안을 설계하는 정책구성부(230)와, 상기 정책적용방안을 기초로 상기 신규방화벽정책을 연관된 네트워크의 방화벽에 적용하는 정책적용부(240)를 포함하는 것을 특징으로 하는 방화벽 정책적용 자동화서버(200).
  3. 청구항 2에 있어서,
    상기 방화벽 정책적용 자동화서버(200)는, 상기 정책적용방안을 적용하기 위한 스케줄을 설정하는 스케줄관리부(250)를 추가로 포함하는 것을 특징으로 하는 방화벽 정책적용 자동화서버(200).
  4. 청구항 2에 있어서,
    상기 정책적용부(240)는, 방화벽장비 각각에 대한 정책적용 시나리오를 포함하는 플레이북을 관리하는 플레이북모듈(SP)을 포함하는 것을 특징으로 하는 방화벽 정책적용 자동화서버(200).
  5. 청구항 1에 있어서,
    상기 작업증적부(260)는, 상기 신규방화벽정책이 적용되는 과정을 시각화한 작업영상을 생성하는 작업영상부(262)를 포함하는 것을 특징으로 하는 방화벽 정책적용 자동화서버(200).
  6. 청구항 1에 있어서,
    상기 작업증적부(260)는, 상기 신규방화벽정책의 적용단계별 스크린샷을 생성하는 화면캡쳐부(264)를 포함하는 것을 특징으로 하는 방화벽 정책적용 자동화서버(200).
  7. 청구항 1에 있어서,
    상기 작업증적부(260)는, 상기 신규방화벽정책 적용단계별 이벤트 로그를 수집하는 작업로그수집부(266)를 포함하는 것을 특징으로 하는 방화벽 정책적용 자동화서버(200).
  8. 청구항 1에 있어서,
    상기 방화벽 정책적용 자동화서버(200)는, 상기 신규방화벽정책 적용완료 후 정상적용 여부를 체크하는 작업검증부(270)를 추가로 포함하는 것을 특징으로 하는 방화벽 정책적용 자동화서버(200).
  9. 청구항 1에 있어서,
    상기 방화벽 정책적용 자동화서버(200)는, 각 방화벽장비의 정책변경 여부를 감지하여 방화벽정책을 동기화하는 정책동기화처리부(280)를 추가로 포함하는 것을 특징으로 하는 방화벽 정책적용 자동화서버(200).
  10. 이기종 방화벽에 대한 방화벽 정책적용 자동화시스템(1000)으로서,
    사용자단말(100)과;
    상기 사용자단말(100)과 네트워크를 통해 연결되며 상기 사용자단말(100)로부터 신규방화벽정책에 대한 정보를 포함하는 신청요청을 수신하는 청구항 1 내지 청구항 9 중 어느 하나의 항에 따른 방화벽 정책적용 자동화서버(200)를 포함하는 것을 특징으로 하는 방화벽 정책적용 자동화시스템(1000).
  11. 이기종 방화벽에 대한 방화벽 정책적용을 자동화하는 청구항 1 내지 청구항 9 중 어느 하나의 항에 따른 방화벽 정책적용 자동화서버(200)에서 수행되는 방화벽 정책적용 자동화방법.
KR1020210188680A 2021-12-27 2021-12-27 방화벽 정책적용 자동화서버, 이를 포함하는 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법 KR102649648B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020210188680A KR102649648B1 (ko) 2021-12-27 2021-12-27 방화벽 정책적용 자동화서버, 이를 포함하는 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법
KR1020240001898A KR102718332B1 (ko) 2024-01-05 방화벽 정책적용 자동화서버, 이를 포함하는 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210188680A KR102649648B1 (ko) 2021-12-27 2021-12-27 방화벽 정책적용 자동화서버, 이를 포함하는 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020240001898A Division KR102718332B1 (ko) 2024-01-05 방화벽 정책적용 자동화서버, 이를 포함하는 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법

Publications (2)

Publication Number Publication Date
KR20230099380A true KR20230099380A (ko) 2023-07-04
KR102649648B1 KR102649648B1 (ko) 2024-03-21

Family

ID=87156468

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210188680A KR102649648B1 (ko) 2021-12-27 2021-12-27 방화벽 정책적용 자동화서버, 이를 포함하는 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법

Country Status (1)

Country Link
KR (1) KR102649648B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100904557B1 (ko) * 2008-11-20 2009-06-25 주식회사 이글루시큐리티 이기종 방화벽 통합관리시스템 및 방법
KR101576242B1 (ko) * 2014-10-21 2015-12-09 에스지앤 주식회사 외부 작업자가 접속가능한 작업대상서버에 대한 보안관리 시스템 및 방법
KR20190009859A (ko) * 2017-07-19 2019-01-30 에스2정보 주식회사 보안감사 대응 시스템
KR102312019B1 (ko) * 2020-10-20 2021-10-12 현대오토에버 주식회사 방화벽 제어 장치 및 이를 포함하는 방화벽 정책 관리 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100904557B1 (ko) * 2008-11-20 2009-06-25 주식회사 이글루시큐리티 이기종 방화벽 통합관리시스템 및 방법
KR101576242B1 (ko) * 2014-10-21 2015-12-09 에스지앤 주식회사 외부 작업자가 접속가능한 작업대상서버에 대한 보안관리 시스템 및 방법
KR20190009859A (ko) * 2017-07-19 2019-01-30 에스2정보 주식회사 보안감사 대응 시스템
KR102312019B1 (ko) * 2020-10-20 2021-10-12 현대오토에버 주식회사 방화벽 제어 장치 및 이를 포함하는 방화벽 정책 관리 시스템

Also Published As

Publication number Publication date
KR102649648B1 (ko) 2024-03-21
KR20240007950A (ko) 2024-01-17

Similar Documents

Publication Publication Date Title
JP7265797B2 (ja) コンピュータネットワークにおけるセキュリティを管理する方法及び装置
US9888025B2 (en) Method and system for providing an efficient asset management and verification service
US10965580B2 (en) Systems and methods for automated determination of network device transiting data attributes
RU2677378C2 (ru) Системы и способы анализа сети и обеспечения отчетов
EP3036645B1 (en) Method and system for dynamic and comprehensive vulnerability management
EP3129884B1 (en) Method and system for providing security aware applications
US20160248798A1 (en) Method and apparatus for automating threat model generation and pattern identification
US20190042736A1 (en) Iintrusion detection system enrichment based on system lifecycle
CA2937813C (en) Method and system for providing a robust and efficient virtual asset vulnerability management and verification service
CN118018300A (zh) 具备网络资产测绘功能的终端网络准入控制系统
US20220150281A1 (en) System and method for securing computer infrastructure and devices that depend on cloud platforms
Temple et al. CyberSAGE: The cyber security argument graph evaluation tool
Tudosi et al. Design and implementation of a distributed firewall management system for improved security
Buecker et al. IT Security Compliance Management Design Guide with IBM Tivoli Security Information and Event Manager
KR102649648B1 (ko) 방화벽 정책적용 자동화서버, 이를 포함하는 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법
KR102718332B1 (ko) 방화벽 정책적용 자동화서버, 이를 포함하는 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법
CN114036505A (zh) 安全运维分析服务器、安全运维分析方法、计算机设备
Kostopoulos et al. Realising honeypot-as-a-service for smart home solutions
Mitropoulos et al. A categorisation of policy conflicts in distributed systems and network management
Nehinbe A Model for Auditing Smart Intrusion Detection Systems (IDSs) and Log Analyzers in Cyber-Physical Systems (CPSs)
Singh Application of SIEM/UEBA/SOAR/SOC (Cyber SUSS) Concepts on MSCS 6560 Computer Lab
Rieke Abstraction-based analysis of known and un
Bowling How to perform an internal security review
Halbardier et al. SCAPVal: Validating Specification Conformance
Khamaisi et al. GridDB-Enhanced Visualization and Sharing of DDoS Fingerprints

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right