KR20230106857A - Security system, apparatus, method, computer-readable storage medium and computer program for internal network - Google Patents

Security system, apparatus, method, computer-readable storage medium and computer program for internal network Download PDF

Info

Publication number
KR20230106857A
KR20230106857A KR1020220002510A KR20220002510A KR20230106857A KR 20230106857 A KR20230106857 A KR 20230106857A KR 1020220002510 A KR1020220002510 A KR 1020220002510A KR 20220002510 A KR20220002510 A KR 20220002510A KR 20230106857 A KR20230106857 A KR 20230106857A
Authority
KR
South Korea
Prior art keywords
security
network
security policy
packet
policy
Prior art date
Application number
KR1020220002510A
Other languages
Korean (ko)
Inventor
원규연
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020220002510A priority Critical patent/KR20230106857A/en
Publication of KR20230106857A publication Critical patent/KR20230106857A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4552Lookup mechanisms between a plurality of directories; Synchronisation of directories, e.g. metadirectories
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Abstract

본 발명은 내부망의 네트워크 보안 시스템, 방법, 컴퓨터 판독 가능한 기록 매체, 및 컴퓨터 프로그램에 관한 것으로, 더욱 상세하게는 MAC 주소 기반으로 방화벽 장비로 유입되는 패킷에 규칙을 적용하여 내부망의 네트워크를 보안 관리하는 내부망의 네트워크 보안 시스템, 장치, 방법, 컴퓨터 판독 가능한 기록 매체, 및 컴퓨터 프로그램에 관한 것이다.The present invention relates to a network security system, method, computer readable recording medium, and computer program of an internal network, and more particularly, to security of an internal network by applying a rule to a packet flowing into a firewall device based on a MAC address. It relates to a network security system, apparatus, method, computer readable recording medium, and computer program of a managed internal network.

Description

내부망의 네트워크 보안 시스템, 장치, 방법, 컴퓨터 판독 가능한 기록 매체, 및 컴퓨터 프로그램{SECURITY SYSTEM, APPARATUS, METHOD, COMPUTER-READABLE STORAGE MEDIUM AND COMPUTER PROGRAM FOR INTERNAL NETWORK}Network security system of internal network, apparatus, method, computer readable recording medium, and computer program

본 발명은 내부망의 네트워크 보안 시스템, 장치, 방법, 컴퓨터 판독 가능한 기록 매체, 및 컴퓨터 프로그램에 관한 것으로, 더욱 상세하게는 MAC 주소 기반으로 방화벽 장비로 유입되는 패킷에 규칙을 적용하여 내부망의 네트워크를 보안 관리하는 내부망의 네트워크 보안 시스템, 방법, 컴퓨터 판독 가능한 기록 매체, 및 컴퓨터 프로그램에 관한 것이다.The present invention relates to a network security system, apparatus, method, computer readable recording medium, and computer program of an internal network, and more particularly, to a network security system of an internal network by applying a rule to a packet flowing into a firewall device based on a MAC address. It relates to a network security system of an internal network for security management, a method, a computer readable recording medium, and a computer program.

기존 IP 레이어에서 동작하는 방화벽의 경우, 최하위 우선순위에 기본 차단 정책을 위치시키고, 그 상위 우선순위에 허용되는 정책을 위치시키는 방식이 일반적이다. In the case of a firewall operating in the existing IP layer, it is common to place a basic blocking policy at the lowest priority and a permitted policy at a higher priority.

구체적으로, 일반적인 방화벽에 관하여 각각의 규칙을 의미하는 정책은 '5-튜플'이라는 개념으로 출발지 IP, 출발지 포트, 목적지 IP, 목적지 포트 및 서비스의 조합을 통해 방화벽으로 유입되는 네트워크 패킷을 식별한다.Specifically, the policy, which means each rule in relation to a general firewall, identifies network packets flowing into the firewall through a combination of source IP, source port, destination IP, destination port, and service with the concept of '5-tuple'.

즉, 일반적인 IP레이어에서 동작하는 방화벽의 경우 5-튜플을 기준으로 방화벽 장비로 유입되는 패킷을 분석하여 출발지와 목적지를 IP 주소로 식별한다.That is, in the case of a firewall operating in a general IP layer, a packet flowing into the firewall device is analyzed based on 5-tuple and the source and destination are identified by IP address.

하지만, 내부망에 위치한 클라이언트들의 IP 주소가 고정되지 않은 경우가 존재할 수 있다. 예를 들어, 일반 사용자들이 클라이언트 호스트 장치를 네트워크에 연결하는 시점에 IP 주소가 할당되는 경우나 일정 시간마다 해당 사용자의 클라이언트 호스트 장치의 IP주소가 주기적으로 변경되는 경우가 생길 수 있다.However, there may be cases where the IP addresses of clients located on the internal network are not fixed. For example, IP addresses may be allocated when general users connect client host devices to a network, or IP addresses of client host devices of corresponding users may periodically change at regular intervals.

이와 같은 환경을 극복하기 위한 방법으로서, 사용자 인증 메커니즘이 존재하며, 이는 사용자들이 네트워크에 연결되기 위해 로그인 등의 행위 시 해당 사용자의 IP 주소를 식별하여 동적으로 방화벽 장비에서 해당 사용자의 IP 주소를 인지하고 기록하여, 이후 해당 IP가 출발지로 하는 패킷 유입 시 사용자를 인지할 수 있는 기능이다.As a method to overcome such an environment, there is a user authentication mechanism, which identifies the user's IP address when the user logs in to connect to the network and dynamically recognizes the user's IP address in the firewall device. It is a function that recognizes the user when packets flow from the corresponding IP to the source.

하지만, 이러한 기능을 사용하기 위해서는 로그인 등을 위한 캡티브 포털 등 추가적인 장치들이 필요하며, 기본적으로 웹 접속을 위한 DNS 패킷이나 캡티브 포털 로그인을 위한 웹 접속 패킷 등으로 허용되고 장비로 유입되어야 한다.However, in order to use these functions, additional devices such as captive portal for login are required, and basically, DNS packets for web access or web access packets for captive portal login must be allowed and flowed into the equipment.

따라서, IP 주소가 주기적으로 변경되더라도 이에 상관없이 안정적으로 내부망에 위치한 클라이언트들의 호스트 장치를 식별하고 관리할 수 있는 기술적 사상이 필요하다.Accordingly, there is a need for a technical idea capable of stably identifying and managing host devices of clients located in an internal network regardless of periodic IP address changes.

대한민국 등록특허 제10-1948049호Republic of Korea Patent No. 10-1948049

따라서, 본 발명은 상술한 바와 같은 문제점을 해결하기 위하여 제안된 것으로, MAC 주소 기반으로 방화벽 장비로 유입되는 패킷에 규칙을 적용하여 내부망의 네트워크를 보안 관리하는 내부망의 네트워크 보안 시스템, 방법, 컴퓨터 판독 가능한 기록 매체, 및 컴퓨터 프로그램을 제공하는데 목적이 있다.Therefore, the present invention has been proposed to solve the above-mentioned problems, and a network security system of an internal network, a method, An object of the present invention is to provide a computer readable recording medium and a computer program.

본 발명의 목적은 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자에게 명확히 이해될 수 있을 것이다.Objects of the present invention are not limited to those mentioned above, and other objects not mentioned above will be clearly understood by those skilled in the art from the description below.

상기와 같은 목적을 달성하기 위한 본 발명의 실시예에 따른 내부망의 네트워크 보안 시스템은, 내부망의 네트워크 경로를 통해 데이터를 송수신하고자 하는 적어도 하나 이상의 호스트 장치; 상기 호스트 장치 별로 패킷 전송에 대해 기 설정된 복수의 보안 정책이 상기 각 호스트 장치의 물리적 주소에 매핑된 보안 관리 테이블을 저장하는 데이터베이스; 및 수신된 패킷에 포함된 물리적 주소의 출발지 정보를 기초로 상기 복수의 보안 정책 중 하나의 보안 정책을 결정하여, 상기 패킷의 전송에 대해 상기 결정된 보안 정책을 실행하는 관리장치를 포함한다.To achieve the above object, a network security system for an internal network according to an embodiment of the present invention includes at least one host device that transmits and receives data through a network path of the internal network; a database storing a security management table in which a plurality of predetermined security policies for packet transmission for each host device are mapped to the physical address of each host device; and a management device that determines one security policy from among the plurality of security policies based on the source information of the physical address included in the received packet, and executes the determined security policy for transmission of the packet.

본 발명의 다른 실시예에 따른 내부망의 네트워크 보안 장치는, 호스트 장치 별로 패킷 전송에 대한 보안 정책을 설정하고, 설정된 상기 보안 정책을 해당 호스트 장치의 물리적 주소에 매핑하여 관리하는 보안 정책 관리부; 및 수신된 패킷에 포함된 물리적 주소의 출발지 정보에 기초하여 상기 패킷의 전송에 대해 상기 설정된 보안 정책을 실행하는 보안 정책 실행부;를 포함하고, 상기 보안 정책은, 패킷을 전송한 장치의 출발지 정보에 기초하여 방화벽 차단 또는 해제를 결정하는 제1 정책, 상기 방화벽 해제 결정 시, 해당 호스트 장치에 대응하여 상기 내부망의 네트워크 이용에 대해 기 설정된 규칙을 실행하는 제2 정책, 및 상기 수신된 패킷에 포함된 내용에 기초하여 상기 패킷 전송 경로의 내부망 및/또는 외부망 범위 한정을 결정하는 제3 정책 중 적어도 하나를 포함한다.A network security device for an internal network according to another embodiment of the present invention includes a security policy management unit that sets a security policy for packet transmission for each host device, and maps and manages the set security policy to a physical address of the corresponding host device; and a security policy executor configured to execute the set security policy for transmission of the packet based on source information of a physical address included in the received packet, wherein the security policy includes source information of a device that transmits the packet. A first policy for determining whether to block or release a firewall based on a firewall, a second policy for executing a predetermined rule for network use of the internal network in response to a corresponding host device when the firewall is determined to be disabled, and for the received packet and at least one of third policies for determining the range limitation of the internal network and/or external network of the packet transmission path based on the included information.

본 발명의 또 다른 실시예에 따른 내부망의 네트워크 보안 방법은, 패킷을 수신하는 단계; 상기 패킷에 포함된 물리적 주소의 출발지 정보를 검출하는 단계; 및 상기 검출된 출발지 정보에 기초하여 상기 패킷의 전송에 대해 미리 결정된 보안 정책을 실행하는 보안 정책 실행 단계를 포함한다.A network security method for an internal network according to another embodiment of the present invention includes receiving a packet; detecting source information of a physical address included in the packet; and a security policy execution step of executing a predetermined security policy for transmission of the packet based on the detected source information.

본 발명의 실시예에 따른 내부망의 네트워크 보안 시스템에 의하면, 방화벽과 같은 네트워크 보안 장치에서 호스트 장치의 IP 주소가 동적으로 변경되더라도 그에 상관없이, MAC 주소를 기반으로 내부망의 네트워크 보안 정책이 신속하게 실행될 수 있고, 유지 보수가 용이할 수 있다.According to the network security system of the internal network according to an embodiment of the present invention, even if the IP address of the host device is dynamically changed in a network security device such as a firewall, the network security policy of the internal network is rapidly and quickly based on the MAC address. It can be run smoothly and maintenance can be easy.

아울러, 실시간으로 차단되는 호스트 장치의 정보를 관리자에게 통보함으로써, 보안 정책이 신속하게 업데이트될 수 있다. In addition, a security policy can be quickly updated by notifying an administrator of information about host devices that are blocked in real time.

또한, 호스트 장치의 사용자 입장에서 인지하기 어려운 MAC 주소를 외우거나 찾을 필요가 없고, 관리자 입장에서는 다수의 호스트 장치의 MAC 주소를 관리하기 용이하다.In addition, there is no need to memorize or find a MAC address that is difficult for a user of the host device to recognize, and it is easy for an administrator to manage MAC addresses of a plurality of host devices.

본 발명의 효과는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술 분야의 통상의 지식을 가진 자에게 명확히 이해될 수 있을 것이다.Effects of the present invention are not limited to those mentioned above, and other effects not mentioned will be clearly understood by those skilled in the art from the description below.

도 1은 본 발명의 일 실시예에 따른 내부망의 네트워크 보안 시스템의 구성을 개략적으로 도시하는 개념도이다.
도 2는 본 발명의 일 실시예에 따른 내부망의 네트워크 보안 시 송수신되는 신호의 일 예를 도시한다.
도 3은 본 발명의 일 실시예에 따른 관리 장치의 구성을 도시하는 블록도이다.
도 4는 본 발명의 일 실시예에 따른 차단 알림 페이지의 일 예를 도시하는 예시도이다.
도 5는 본 발명의 일 실시예에 따른 내부망의 네트워크 보안 방법을 설명하기 위한 흐름도이다.
도 6은 본 발명의 일 실시예에 채용되는 컴퓨팅 장치를 도시하는 예시도이다.1 is a conceptual diagram schematically illustrating the configuration of a network security system for an internal network according to an embodiment of the present invention.
2 illustrates an example of a signal transmitted and received during network security of an internal network according to an embodiment of the present invention.
3 is a block diagram showing the configuration of a management device according to an embodiment of the present invention.
4 is an exemplary diagram illustrating an example of a blocking notification page according to an embodiment of the present invention.
5 is a flowchart illustrating a network security method of an internal network according to an embodiment of the present invention.
6 is an exemplary diagram illustrating a computing device employed in an embodiment of the present invention.

본 발명의 목적 및 효과, 그리고 그것들을 달성하기 위한 기술적 구성들은 첨부되는 도면과 함께 상세하게 뒤에 설명이 되는 실시 예들을 참조하면 명확해질 것이다. 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 뒤에 설명되는 용어들은 본 발명에서의 구조, 역할 및 기능 등을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다.Objects and effects of the present invention, and technical configurations for achieving them will become clear with reference to embodiments to be described later in detail in conjunction with the accompanying drawings. In describing the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the gist of the present invention, the detailed description will be omitted. In addition, the terms described later are terms defined in consideration of the structure, role, and function in the present invention, which may vary according to the intention or custom of a user or operator.

그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있다. 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 오로지 특허청구범위에 기재된 청구항의 범주에 의하여 정의될 뿐이다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.However, the present invention is not limited to the embodiments disclosed below and may be implemented in a variety of different forms. Only these embodiments are provided to complete the disclosure of the present invention and to fully inform those skilled in the art of the scope of the invention, and the present invention is described only in the claims. It is only defined by the scope of the claims. Therefore, the definition should be made based on the contents throughout this specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a certain component is said to "include", it means that it may further include other components without excluding other components unless otherwise stated.

이하에서는 첨부한 도면을 참조하며, 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다. Hereinafter, with reference to the accompanying drawings, preferred embodiments of the present invention will be described in more detail.

도 1은 본 발명의 일 실시예에 따른 내부망의 네트워크 보안 시스템의 구성을 개략적으로 도시하고, 도 2는 본 발명의 일 실시예에 따른 내부망의 네트워크 보안 시 송수신되는 신호의 일 예를 도시한다.1 schematically illustrates the configuration of a network security system for an internal network according to an embodiment of the present invention, and FIG. 2 illustrates an example of signals transmitted and received during network security of an internal network according to an embodiment of the present invention. do.

도 1 및 도 2에 도시된 바와 같이 내부망의 네트워크 보안 시스템은 내부망을 구성하는 다수 클라이언트의 호스트 장치(100), 내부망 네트워크의 보안 관리를 수행하기 위한 관리 장치(200) 및 내부망 네트워크 보안 관리를 위한 정보를 저장하는 데이터베이스(300)를 포함한다.1 and 2, the network security system of the internal network includes a host device 100 of multiple clients constituting the internal network, a management device 200 for security management of the internal network network, and an internal network network. It includes a database 300 that stores information for security management.

본 발명에 있어서 내부망이란, 동일한 도메인 범위 예를 들어, 이더넷과 같은 공유 매체를 사용하는 동일 매체에 연결된 호스트들을 포함하는 범위의 통신망을 지칭할 수 있으며 특히, 본 발명의 일 실시예에서는 MAC 주소 기반으로 네트워크 접속을 제어하고자 설정된 네트워크 인터페이스라 할 수 있다. 이러한 내부망과 연결되는 외부망은 외부 인터넷일 수 있다.In the present invention, the internal network may refer to a communication network of the same domain range, for example, a range including hosts connected to the same medium using a shared medium such as Ethernet, and in particular, in one embodiment of the present invention, a MAC address It can be referred to as a network interface configured to control network access based on An external network connected to the internal network may be the external Internet.

호스트 장치(100)는 내부망의 네트워크 경로를 통해 데이터를 송수신하고자 하는 장치들로서, 데스크 탑, PC, 태블릿 PC, 슬레이트 PC, 노트북 중 적어도 하나로 구비될 수 있다.The host device 100 is devices that transmit and receive data through a network path of an internal network, and may include at least one of a desktop, PC, tablet PC, slate PC, and notebook.

관리 장치(200)는 수신된 패킷에 포함된 물리적 주소의 출발지 정보에 기초하여 패킷의 전송에 대해 기 설정된 복수의 보안 정책 중 해당하는 적어도 하나의 보안 정책을 실행할 수 있다. 관리 장치(200)는 방화벽(Firewall) 장치를 포함할 수 있고, 관리 장치(200)의 상세한 역할에 대해서는 도 3을 참조한 후술을 참고하기로 한다.The management device 200 may execute at least one corresponding security policy among a plurality of preset security policies for packet transmission based on the source information of the physical address included in the received packet. The management device 200 may include a firewall device, and a detailed role of the management device 200 will be described later with reference to FIG. 3 .

데이터베이스(300)는 호스트 장치 별로 패킷 전송에 대해 기 설정된 복수의 보안 정책이 상기 각 호스트 장치의 물리적 주소에 매핑된 보안 관리 테이블을 저장할 수 있다.The database 300 may store a security management table in which a plurality of predetermined security policies for packet transmission for each host device are mapped to the physical address of each host device.

제1 실시예로, 보안 관리 테이블은 각 호스트 장치(100)에 대응하는 MAC 주소 정보를 저장할 수 있다. 제2 실시예로 보안 관리 테이블은 각 호스트 장치(100)에 대응하는 MAC 주소 정보, 해당 호스트 장치(100)에 매핑된 사용자 아이디(ID), 사용자 이름, 부서명 중 적어도 하나의 정보를 더 저장할 수 있다. As a first embodiment, the security management table may store MAC address information corresponding to each host device 100 . As a second embodiment, the security management table may further store at least one of MAC address information corresponding to each host device 100, a user ID mapped to the corresponding host device 100, a user name, and a department name. there is.

또한, 보안 관리 테이블은 각 호스트 장치(100)별로 설정된 보안 정책으로서, 내부망 및/또는 외부망을 이용할 수 있는 적어도 하나의 조건 정보를 포함할 수 있다. 상기 조건 정보는 시간 정보, 기간 정보, 만료 정보 및 비용 정보 중 적어도 하나를 포함할 수 있다.In addition, the security management table is a security policy set for each host device 100 and may include information on at least one condition for using an internal network and/or an external network. The condition information may include at least one of time information, period information, expiration information, and cost information.

일 실시예로, 본 발명의 일 실시예에 의한 내부망의 네트워크 보안 시스템에서 보안 정책을 관리자가 효율적으로 관리하기 위한 매커니즘으로서, 사용자 별 호스트 장치(100)의 MAC 주소 목록을 LDAP(Lightweight Directory Access Protocol)나 데이터를 파일 단위로 관리하는 액티브 디렉토리(Active Directory)와 같은 데이터베이스로 관리할 수 있다. 일 예로, 하나의 파일당 하나의 호스트 장치(100)에 관한 정보를 저장할 수 있다.In one embodiment, as a mechanism for an administrator to efficiently manage a security policy in a network security system of an internal network according to an embodiment of the present invention, a MAC address list of the host device 100 for each user is converted to LDAP (Lightweight Directory Access). Protocol) or data can be managed by a database such as Active Directory, which manages files in units of files. For example, information about one host device 100 may be stored per one file.

여기서, LDAP는 디렉토리에 저장된 정보와 정보의 계층적 구조를 처리하는 정보 모델로서, 정보 모델은 항목(사용자 또는 그룹)을 중심으로 이루어지며, 유형과 값이 있는 사용자에게 귀속되는 필드 모음이다. 항목은 디렉토리 정보 트리라고 하는 트리 구조로 구성되고, 항목은 실제 개념, 조직, 사람 및 개체를 중심으로 구성된다.Here, LDAP is an information model that handles information stored in a directory and a hierarchical structure of information. The information model is centered on items (users or groups) and is a collection of fields belonging to users with types and values. Entries are organized in a tree structure called the directory information tree, and entries are organized around real-world concepts, organizations, people, and entities.

일 실시예로, 관리 장치(200)는 도 3에 도시된 바와 같이, 호스트 정보 획득부(210), 보안 정책 관리부(220) 및 보안 정책 실행부(230)를 포함한다. 전술한 각 구성은 관리 장치(200)에서 실행되는 네트워크 보안을 수행하기 위한 소프트웨어에 의해 제어될 수 있다. 아울러, 각 구성은 통합 모듈로 형성되거나, 하나 이상의 모듈로 구비될 수 있다. 또는, 이와 반대로 각 구성은 별도의 모듈로 이루어질 수도 있다.As one embodiment, the management device 200 includes a host information acquisition unit 210, a security policy management unit 220, and a security policy execution unit 230, as shown in FIG. Each of the aforementioned configurations may be controlled by software for performing network security executed in the management device 200 . In addition, each component may be formed as an integrated module or provided as one or more modules. Or, conversely, each component may be composed of a separate module.

호스트 정보 획득부(210)는 내부망의 각 호스트 장치(100)에 연관된 정보를 수집할 수 있다. 각 호스트 장치(100)에 연관된 정보로서, 호스트 장치(100)에 연관된 물리적 주소, 호스트 장치(100)의 MAC 주소, 사용자 아이디, 사용자 이름, 부서명, 보안 관리 테이블 등록 여부, 사용자 ID별 보안 관리 테이블 등록 여부 중 적어도 하나를 포함할 수 있다.The host information obtaining unit 210 may collect information related to each host device 100 of the internal network. As information associated with each host device 100, the physical address associated with the host device 100, the MAC address of the host device 100, user ID, user name, department name, security management table registration, security management table for each user ID. It may include at least one of registration or non-registration.

보안 정책 관리부(220)는 호스트 장치 별로 상기 보안 정책을 설정하고, 설정된 상기 보안 정책을 상기 해당 호스트 장치의 물리적 주소에 매핑하여 관리할 수 있다.The security policy manager 220 may set the security policy for each host device, map the set security policy to a physical address of the corresponding host device, and manage the security policy.

일 예로, 보안 정책 관리부(220)는 보안 관리 테이블에 저장된 호스트 장치(100)에 대해서 네트워크 접속을 허용하는 보안 정책을 기본 옵션으로 설정할 수 있다. 다만, 예외적으로 다른 정책에 따라야 하는 호스트 장치(100)에 대해서는 상기 네트워크 접속을 허용하는 보안 정책을 선택적으로 적용할 수도 있다.For example, the security policy management unit 220 may set a security policy allowing network access to the host device 100 stored in the security management table as a basic option. However, as an exception, the security policy allowing access to the network may be selectively applied to the host device 100 that must comply with other policies.

구체적으로, 보안 정책은 패킷을 전송한 장치의 출발지 정보에 기초하여 방화벽 차단 또는 해제를 결정하는 제1 정책, 상기 방화벽 해제 결정 시, 해당 호스트 장치에 대응하여 상기 내부망의 네트워크 이용에 대해 기 설정된 규칙을 실행하는 제2 정책, 및 상기 수신된 패킷에 포함된 내용에 기초하여 상기 패킷 전송 경로의 내부망 및/또는 외부망 범위 한정을 결정하는 제3 정책 중 적어도 하나를 포함할 수 있다.Specifically, the security policy is a first policy for determining whether to block or release a firewall based on source information of a device that transmits a packet, and when determining to release the firewall, a predetermined setting for network use of the internal network corresponding to the corresponding host device. It may include at least one of a second policy that executes a rule and a third policy that determines a range limitation of an internal network and/or an external network of the packet transmission path based on contents included in the received packet.

보안 정책 관리부(220)는 데이터베이스(300)와 연동하여 데이터베이스(300)로부터 보안 관리 테이블 정보를 실시간 혹은 일정 주기로 가져와 보안 정책 실행부(230)에 의해 실행될 보안 정책과 동기화할 수 있다.The security policy management unit 220 may synchronize with the security policy to be executed by the security policy execution unit 230 by bringing security management table information from the database 300 in real time or at regular intervals in conjunction with the database 300 .

보안 정책 실행부(230)는 패킷의 전송에 관한 결정에 따라, 해당하는 장치에 대해 상기 제1 정책 내지 제3 정책 중 적어도 하나의 정책을 실행할 수 있다.The security policy executor 230 may execute at least one of the first to third policies for a corresponding device according to the packet transmission decision.

일 예로, 패킷의 전송 허용 여부에 관한 결정에 따라 상기 패킷의 전송 또는 차단을 실행하고, 상기 패킷이 전송되는 경우 해당하는 상기 호스트 장치에 대해 기 설정된 상기 보안 정책을 적용할 수 있다.For example, transmission or blocking of the packet may be performed according to a decision on whether or not to allow transmission of the packet, and when the packet is transmitted, the predetermined security policy may be applied to the corresponding host device.

일 실시예로, 보안 정책 실행부(230)는 상기 출발지 정보가 상기 보안 관리 테이블에 저장되어 있는 경우, 상기 패킷의 전송을 허용하도록 방화벽을 해제시키는 보안 정책을 실행할 수 있다.As an embodiment, the security policy executor 230 may execute a security policy for disabling a firewall to permit transmission of the packet when the source information is stored in the security management table.

구체적으로, 패킷에 포함된 출발지 정보가 상기 보안 관리 테이블에 저장되어 있는 경우, 상기 내부망의 네트워크 경로를 허용하도록 방화벽을 해제시킬 수 있다. 이에, 보안 정책에 의해 허용된 패킷은 기존 IP 레이어 정책을 적용 받을 수 있다.Specifically, if the source information included in the packet is stored in the security management table, the firewall may be released to allow the network path of the internal network. Accordingly, packets permitted by the security policy may be applied with the existing IP layer policy.

여기서, 제3 정책에 의해, 수신된 패킷에 포함된 내용에 기초하여 상기 패킷 전송 경로의 내부망 및/또는 외부망 범위가 결정될 수 있다. 즉, 패킷에 포함된 내용에 따라 패킷을 전송할 수 있는 범위가 내부망 및/또는 외부망으로 한정될 수도 있다.Here, the range of the internal network and/or the external network of the packet transmission path may be determined based on contents included in the received packet by the third policy. That is, the range in which the packet can be transmitted may be limited to the internal network and/or the external network according to the contents included in the packet.

반대로, 패킷에 포함된 출발지 정보가 상기 보안 관리 테이블에 저장되어 있지 않은 경우, 네트워크 경로를 차단하도록 방화벽을 차단시키는 보안 정책을 실행할 수 있다.Conversely, if source information included in the packet is not stored in the security management table, a security policy blocking a firewall to block a network path may be executed.

이때, 보안 정책 실행부(230)는 도 4에 도시된 바와 같이 해당 호스트 장치(100)로 네트워크 경로 차단을 알리는 메시지를 차단 알림 페이지에 출력하고, 차단 알림 페이지에 해당 호스트 장치(100)의 네트워크 접속 허용을 관리자에게 요청하는 수단을 제공할 수 있다.At this time, as shown in FIG. 4 , the security policy execution unit 230 outputs a message informing that the network path is blocked to the corresponding host device 100 on the blocking notification page, and the network path of the corresponding host device 100 is displayed on the blocking notification page. It is possible to provide a means of requesting access permission to the administrator.

일 예로, 차단 알림 페이지에 제공된 네트워크 접속 허용 요청을 위한 버튼이 사용자에 의해 선택 실행되면, 네트워크 접속 허용 요청 신호와 함께 해당 호스트 장치(100)의 MAC 주소 정보 등이 보안 정책 관리부(220)로 전송되고, 이를 수신한 보안 정책 관리부(220)에 의해 해당 호스트 장치(100)를 보안 관리 테이블 에 기록하고 MAC 주소별 보안 정책을 설정하여 네트워크 이용을 관리할 수 있다.For example, when a user selects and executes a button for requesting permission to access the network provided on the blocking notification page, the MAC address information of the corresponding host device 100 is transmitted to the security policy management unit 220 along with a signal requesting permission to access the network. Then, by the security policy management unit 220 receiving the information, the corresponding host device 100 is recorded in the security management table and security policies are set for each MAC address to manage network use.

아울러, 네트워크 경로 차단 시, 관리자 단말(미도시)에 문자나 이메일 등의 알림 설정을 통해 어느 장치의 네트워크 경로 차단에 관한 사실 여부, 해당 장치의 MAC 주소 정보, 해당 장치를 통한 네트워크 접속 허용 요청 여부 등의 정보를 통보할 수 있다. 여기서, 네트워크 접속은 웹 접속을 의미할 수 있다. In addition, when a network path is blocked, whether a certain device is blocking the network path through notification settings such as text messages or e-mails on the manager terminal (not shown), MAC address information of the device, and whether or not network access is requested through the device etc. can be notified. Here, network access may mean web access.

이때, 네트워크 접속 허용 요청에 따라 보안 정책 관리부(220)에 의해 새로운 호스트 장치가 등록되면, 보안 관리 테이블에 상기 새로운 호스트 장치의 물리적 주소, 사용자 ID, 사용자 이름, 부서명, 조건 정보 중 적어도 하나가 저장되어 보안 관리 테이블이 갱신되고, 이어 데이터베이스(300)와 보안 정책 관리부(220)가 연동하여 갱신된 보안 관리 테이블에서 새로 저장된 정보와 보안 정책이 선택적으로 동기화될 수 있다.At this time, when a new host device is registered by the security policy management unit 220 according to a network access permission request, at least one of the physical address, user ID, user name, department name, and condition information of the new host device is stored in the security management table. Then, the security management table is updated, and then the database 300 and the security policy management unit 220 interlock to selectively synchronize newly stored information and security policies in the updated security management table.

한편, 일반적으로 MAC 주소의 형식은 “01:23:45:67:89:AF” 와 같이 16진수 형태의 12자리 문자로 이루어져있다. 이와 같이 MAC 주소가 복잡하기 때문에 종래에는 네트워크 보안 용도로 거의 활용되지 않았으나, 본 발명의 일 실시 예에서는 방화벽과 같은 네트워크 보안 장치에서 호스트 장치의 IP 주소가 동적으로 변경되더라도 그에 상관없이, MAC 주소를 기반으로 내부망의 네트워크 보안 정책을 실행함으로써, 보안 정책을 신속하게 실행할 수 있다. 그리고, MAC 주소 기반 네트워크 보안 시스템이 IP 주소 기반 보안 시스템보다 유지 보수가 용이할 수 있다.Meanwhile, in general, the format of the MAC address is composed of 12 hexadecimal characters such as “01:23:45:67:89:AF”. Since the MAC address is complex, it has not been used for network security purposes in the past, but in an embodiment of the present invention, even if the IP address of the host device is dynamically changed in a network security device such as a firewall, the MAC address is By executing the network security policy of the internal network based on the base, the security policy can be quickly executed. In addition, a MAC address-based network security system may be easier to maintain than an IP address-based security system.

아울러, 실시간으로 차단되는 장치의 정보를 관리자에게 통보함으로써, 보안 정책이 신속하게 업데이트될 수 있다. In addition, by notifying the administrator of the information of devices to be blocked in real time, the security policy can be quickly updated.

또한, 호스트 장치의 사용자 입장에서 인지하기 어려운 MAC 주소를 외우거나 찾을 필요가 없고, 관리자 입장에서는 다수의 호스트 장치의 MAC 주소를 관리하기 용이하다.In addition, there is no need to memorize or find a MAC address that is difficult for a user of the host device to recognize, and it is easy for an administrator to manage MAC addresses of a plurality of host devices.

도 5는 본 발명의 일 실시예에 따른 내부망의 네트워크 보안 방법을 설명하기 위한 흐름도이다.5 is a flowchart illustrating a network security method of an internal network according to an embodiment of the present invention.

도 5에 도시된 방법은 일 실시예로, 전술한 내부망의 네트워크 관리 장치(200)에 의해 수행될 수 있다.The method shown in FIG. 5 is an embodiment and can be performed by the network management device 200 of the aforementioned internal network.

도 5를 참조하면, 우선 내부망의 네트워크 관리 장치는 패킷을 수신한다(S110). Referring to FIG. 5, first, the network management device of the internal network receives a packet (S110).

여기서, S110 단계 이전에, 호스트 장치 별로 보안 정책을 설정하는 단계, 설정된 상기 보안 정책을 해당 호스트 장치의 물리적 주소에 매핑하여 보안 관리 테이블에 기록하는 단계, 보안 관리 테이블을 데이터베이스에 저장하는 단계를 더 포함할 수 있다.Here, prior to step S110, the step of setting a security policy for each host device, mapping the set security policy to the physical address of the corresponding host device and recording it in a security management table, and storing the security management table in a database are further steps. can include

여기서, 보안 정책은, 패킷을 전송한 장치의 출발지 정보에 기초하여 방화벽 차단 또는 해제를 결정하는 제1 정책, 상기 방화벽 해제 결정 시, 해당 호스트 장치에 대응하여 상기 내부망의 네트워크 이용에 대해 기 설정된 규칙을 실행하는 제2 정책, 및 상기 수신된 패킷에 포함된 내용에 기초하여 상기 패킷 전송 경로의 내부망 및/또는 외부망 범위 한정을 결정하는 제3 정책 중 적어도 하나를 포함할 수 있다.Here, the security policy is a first policy for determining whether to block or release a firewall based on source information of a device that has transmitted packets. When the firewall is determined to be released, a preset policy for network use of the internal network is set in correspondence with the corresponding host device. It may include at least one of a second policy that executes a rule and a third policy that determines a range limitation of an internal network and/or an external network of the packet transmission path based on contents included in the received packet.

다음으로, 패킷에 포함된 물리적 주소의 출발지 정보를 검출할 수 있다(S120).Next, source information of the physical address included in the packet may be detected (S120).

다음으로, 검출된 출발지 정보에 기초하여 상기 패킷의 전송에 대해 미리 결정된 보안 정책을 실행할 수 있다(S130).Next, a predetermined security policy for transmission of the packet may be executed based on the detected source information (S130).

이를 위해 먼저, 관리 장치(200)는 내부망의 각 호스트 장치에 연관된 정보를 수집할 수 있다. 각 호스트 장치에 연관된 정보로서, 호스트 장치의 MAC 주소, 사용자 아이디, 사용자 이름, 부서명, 보안 관리 테이블 등록 여부, 사용자 ID별 보안 관리 테이블 등록 여부 중 적어도 하나를 포함할 수 있다.To this end, first, the management device 200 may collect information related to each host device of the internal network. Information related to each host device may include at least one of a MAC address of the host device, a user ID, a user name, a department name, whether the host device is registered in the security management table, and whether each user ID is registered in the security management table.

관리 장치(200)는 호스트 장치 별로 상기 복수의 보안 정책 중 적어도 하나의 보안 정책을 결정하고, 결정된 상기 보안 정책을 상기 해당 호스트 장치의 물리적 주소에 매핑하여 관리할 수 있다. The management device 200 may determine at least one security policy among the plurality of security policies for each host device, and map the determined security policy to a physical address of the corresponding host device for management.

특히, 관리 장치(200)는 데이터베이스와 연동하여 데이터베이스로부터 보안 관리 테이블 정보를 실시간 혹은 일정 주기로 가져와 보안 정책과 동기화할 수 있다.In particular, the management device 200 may synchronize with the security policy by interworking with the database and bringing security management table information from the database in real time or at regular intervals.

S130 단계의 패킷의 전송 허용 여부에 관한 결정에 따라 상기 패킷의 전송 또는 차단을 실행하고, 상기 패킷이 전송되는 경우 해당하는 상기 호스트 장치에 대해 기 설정된 보안 정책을 적용할 수 있다.According to the decision on whether or not to allow the transmission of the packet in step S130, transmission or blocking of the packet is performed, and when the packet is transmitted, a preset security policy may be applied to the corresponding host device.

즉, 관리장치(200)는 패킷의 전송에 관한 결정에 따라, 해당하는 장치에 대해 상기 제1 정책 내지 제3 정책 중 적어도 하나의 정책을 실행할 수 있다.That is, the management device 200 may execute at least one of the first to third policies for a corresponding device according to the packet transmission decision.

일 실시예로, 보안 정책 실행부(230)는 상기 출발지 정보가 상기 보안 관리 테이블에 저장되어 있는 경우, 상기 패킷의 전송을 허용하도록 방화벽을 해제시키는 보안 정책을 실행할 수 있다.As an embodiment, the security policy executor 230 may execute a security policy for disabling a firewall to permit transmission of the packet when the source information is stored in the security management table.

구체적으로, 패킷에 포함된 출발지 정보가 상기 보안 관리 테이블에 저장되어 있는 경우, 상기 내부망의 네트워크 경로를 허용하도록 방화벽을 해제시킬 수 있다. 이에, 보안 정책에 의해 허용된 패킷은 기존 IP 레이어 정책을 적용 받을 수 있다.Specifically, if the source information included in the packet is stored in the security management table, the firewall may be released to allow the network path of the internal network. Accordingly, packets permitted by the security policy may be applied with the existing IP layer policy.

여기서, 제3 정책에 의해, 수신된 패킷에 포함된 내용에 기초하여 상기 패킷 전송 경로의 내부망 및/또는 외부망 범위가 결정될 수 있다. 즉, 패킷에 포함된 내용에 따라 패킷을 전송할 수 있는 범위가 내부망 및/또는 외부망으로 한정될 수도 있다.Here, the range of the internal network and/or the external network of the packet transmission path may be determined based on contents included in the received packet by the third policy. That is, the range in which the packet can be transmitted may be limited to the internal network and/or the external network according to the contents included in the packet.

반대로, 패킷에 포함된 출발지 정보가 상기 보안 관리 테이블에 저장되어 있지 않은 경우, 네트워크 경로를 차단하도록 방화벽을 차단시키는 보안 정책을 실행할 수 있다.Conversely, if source information included in the packet is not stored in the security management table, a security policy blocking a firewall to block a network path may be executed.

이때, 관리장치(200)는 도 4에 도시된 바와 같이 해당 호스트 장치로 네트워크 경로 차단을 알리는 메시지를 차단 알림 페이지에 출력하고, 차단 알림 페이지에 해당 호스트 장치의 네트워크 접속 허용을 관리자에게 요청하는 수단을 제공할 수 있다.At this time, as shown in FIG. 4 , the management device 200 outputs a message informing that the network path is blocked to the corresponding host device on a blocking notification page, and a means for requesting permission of the host device to access the network on the blocking notification page. can provide.

일 예로, 차단 알림 페이지에 제공된 네트워크 접속 허용 요청을 위한 버튼이 사용자에 의해 선택 실행되면, 네트워크 접속 허용 요청 신호와 함께 해당 호스트 장치의 MAC 주소 정보 등이 관리장치(200)로 전송되고, 이를 수신한 관리장치(200)에 의해 해당 호스트 장치를 보안 관리 테이블에 기록하고 MAC 주소별 보안 정책을 설정하여 네트워크 이용을 관리할 수 있다.For example, when a user selects and executes a button for requesting permission to access the network provided on the blocking notification page, a network access permission request signal and MAC address information of the corresponding host device are transmitted to the management device 200 and received. A management device 200 can manage network use by recording a corresponding host device in a security management table and setting a security policy for each MAC address.

아울러, 네트워크 경로 차단 시, 관리자 단말(미도시)에 문자나 이메일 등의 알림 설정을 통해 어느 장치의 네트워크 경로 차단에 관한 사실 여부, 해당 장치의 MAC 주소 정보, 해당 장치를 통한 네트워크 접속 허용 요청 여부 등의 정보를 통보할 수 있다. 여기서, 네트워크 접속은 웹 접속을 의미할 수 있다. In addition, when a network path is blocked, whether a certain device is blocking the network path through notification settings such as text messages or e-mails on the manager terminal (not shown), MAC address information of the device, and whether or not network access is requested through the device etc. can be notified. Here, network access may mean web access.

이때, 네트워크 접속 허용 요청에 따라 관리장치(200)에 의해 새로운 호스트 장치가 등록되면, 보안 관리 테이블에 상기 새로운 호스트 장치의 물리적 주소, 사용자 ID, 사용자 이름, 부서명, 조건 정보 중 적어도 하나가 저장되어 보안 관리 테이블이 갱신되고, 이어 데이터베이스와 관리장치(200)가 연동하여 갱신된 보안 관리 테이블에서 새로 저장된 정보와 보안 정책이 선택적으로 동기화될 수 있다.At this time, when a new host device is registered by the management device 200 according to a network access permission request, at least one of the physical address, user ID, user name, department name, and condition information of the new host device is stored in the security management table. After the security management table is updated, the database and the management device 200 may be interlocked to selectively synchronize newly stored information and security policies in the updated security management table.

도 6은 본 발명의 일 실시예에 채용되는 컴퓨팅 장치를 도시하는 예시도이다.6 is an exemplary diagram illustrating a computing device employed in an embodiment of the present invention.

도시된 컴퓨팅 환경(10)은 컴퓨팅 장치(12)를 포함한다. 일 실시예에서, 컴퓨팅 장치(12)는 예를 들어, 도 3에 도시된 호스트 정보 획득부(210), 보안 정책 관리부(220) 및 보안 정책 실행부(230)와 같이 내부망의 네트워크 보안 장치에 포함되는 하나 이상의 컴포넌트일 수 있다.The illustrated computing environment 10 includes a computing device 12 . In one embodiment, the computing device 12 is a network security device of the internal network, such as, for example, the host information acquisition unit 210, the security policy management unit 220, and the security policy execution unit 230 shown in FIG. It may be one or more components included in.

컴퓨팅 장치(12)는 적어도 하나의 프로세서(14), 컴퓨터 판독 가능 저장 매체(16) 및 통신 버스(18)를 포함한다. 프로세서(14)는 컴퓨팅 장치(12)로 하여금 앞서 언급된 예시적인 실시예에 따라 동작하도록 할 수 있다. 예컨대, 프로세서(14)는 컴퓨터 판독 가능 저장 매체(16)에 저장된 하나 이상의 프로그램들을 실행할 수 있다. 상기 하나의 프로그램들은 하나 이상의 컴퓨터 실행 가능 명령어를 포함할 수 있으며, 상기 컴퓨터 실행 가능 명령어는 프로세서(14)에 의해 실행되는 경우 컴퓨팅 장치(12)로 하여금 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.Computing device 12 includes at least one processor 14 , a computer readable storage medium 16 and a communication bus 18 . Processor 14 may cause computing device 12 to operate according to the above-mentioned example embodiments. For example, processor 14 may execute one or more programs stored on computer readable storage medium 16 . The single programs may include one or more computer-executable instructions, which when executed by processor 14 are configured to cause computing device 12 to perform operations in accordance with an illustrative embodiment. It can be.

컴퓨터 판독 가능 저장 매체(16)는 컴퓨터 실행 가능 명령어 내지 프로그램 코드, 프로그램 데이터 및/또는 다른 적합한 형태의 정보를 저장하도록 구성된다. 컴퓨터 판독 가능 저장 매체(16)에 저장된 프로그램(20)은 프로세서(14)에 의해 실행 가능한 명령어의 집합을 포함한다. 일 실시예에서, 컴퓨터 판독 가능 저장 매체(16)는메모리(랜덤 액세스 메모리와 같은 휘발성 메모리, 비휘발성 메모리 또는 이들의 적절한 조합), 하나 이상의 자기 디스크 저장 디바이스들, 광학 디스크 저장 디바이스들, 플래시 메모리 디바이스들, 그 밖에 컴퓨팅 장치(12)에 의해 액세스 되고 원하는 정보를 저장할 수 있는 다른 형태의 저장 매체, 또는 이들의 적합한 조합일 수 있다. Computer-readable storage medium 16 is configured to store computer-executable instructions or program code, program data, and/or other suitable form of information. Program 20 stored on computer readable storage medium 16 includes a set of instructions executable by processor 14 . In one embodiment, computer readable storage medium 16 includes memory (volatile memory such as random access memory, non-volatile memory, or a suitable combination thereof), one or more magnetic disk storage devices, optical disk storage devices, flash memory. devices, other forms of storage media that can be accessed by computing device 12 and store desired information, or any suitable combination thereof.

통신 버스(18)는 프로세서(14), 컴퓨터 판독 가능 저장 매체(16)를 포함하여 컴퓨팅 장치(12)의 다른 다양한 컴포넌트들을 상호 연결한다.Communications bus 18 interconnects various other components of computing device 12, including processor 14 and computer-readable storage medium 16.

컴퓨팅 장치(12)는 또한 하나 이상의 입출력 장치(24)를 위한 인터페이스를 제공하는 하나 이상의 입출력 인터페이스(22) 및 하나 이상의 네트워크 통신 인터페이스(26)를 포함할 수 있다. 입출력 인터페이스(22) 및 네트워크 통신 인터페이스(26)는 통신 버스(18)에 연결된다. 입출력 장치(24)는 입출력 인터페이스(22)를 통해 컴퓨팅 장치(12)의 다른 컴포넌트들에 연결될 수 있다. 예시적인 입출력 장치(24)는 포인팅 장치(마우스 또는 트랙패드 등), 키보드, 터치 입력 장치(터치 패드 또는 터치 스크린 등), 음성 또는 소리 입력 장치, 다양한 종류의 센서 장치 및/또는 촬영 장치와 같은 입력 장치, 및/또는 디스플레이 장치, 프린터, 스피커 및/또는 네트워크 카드와 같은 출력장치를 포함할 수 있다.Computing device 12 may also include one or more input/output interfaces 22 and one or more network communication interfaces 26 that provide interfaces for one or more input/output devices 24 . An input/output interface 22 and a network communication interface 26 are connected to the communication bus 18 . Input/output device 24 may be coupled to other components of computing device 12 via input/output interface 22 . Exemplary input/output devices 24 include a pointing device (such as a mouse or trackpad), a keyboard, a touch input device (such as a touchpad or touch screen), a voice or sound input device, various types of sensor devices, and/or a photographing device. It may include input devices, and/or output devices such as display devices, printers, speakers, and/or network cards.

예시적인 입출력 장치(24)는 컴퓨팅 장치(12)를 구성하는 일 컴포넌트로서 컴퓨팅 장치(12)의 내부에 포함될 수도 있고, 컴퓨팅 장치(12)와는 구별되는 별개의 장치로 컴퓨팅 장치(12)와 연결될 수도 있다.The exemplary input/output device 24 may be included inside the computing device 12 as a component constituting the computing device 12, or may be connected to the computing device 12 as a separate device distinct from the computing device 12. may be

이상, 본 발명의 특정 실시예에 대하여 상술하였다. 그러나, 본 발명의 사상 및 범위는 이러한 특정 실시예에 한정되는 것이 아니라, 본 발명의 요지를 변경하지 않는 범위 내에서 다양하게 수정 및 변형이 가능하다는 것을 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 이해할 것이다.In the above, specific embodiments of the present invention have been described in detail. However, the spirit and scope of the present invention is not limited to these specific embodiments, and it is common knowledge in the technical field to which the present invention belongs that various modifications and variations are possible without changing the gist of the present invention. Anyone who has it will understand.

따라서, 이상에서 기술한 실시예들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이므로, 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 하며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. Therefore, since the embodiments described above are provided to completely inform those skilled in the art of the scope of the invention to which the present invention pertains, it should be understood that it is illustrative in all respects and not limiting, The invention is only defined by the scope of the claims.

Claims (19)

내부망의 네트워크 경로를 통해 데이터를 송수신하고자 하는 적어도 하나 이상의 호스트 장치;
상기 호스트 장치 별로 패킷 전송에 대해 기 설정된 복수의 보안 정책이 상기 각 호스트 장치의 물리적 주소에 매핑된 보안 관리 테이블을 저장하는 데이터베이스; 및
수신된 패킷에 포함된 물리적 주소의 출발지 정보를 기초로 상기 복수의 보안 정책 중 하나의 보안 정책을 결정하여, 상기 패킷의 전송에 대해 상기 결정된 보안 정책을 실행하는 관리장치를 포함하는 것을 특징으로 하는 내부망의 네트워크 보안 시스템.at least one host device to transmit and receive data through a network path of an internal network;
a database storing a security management table in which a plurality of predetermined security policies for packet transmission for each host device are mapped to the physical address of each host device; and
And a management device determining one security policy from among the plurality of security policies based on the source information of the physical address included in the received packet and executing the determined security policy for transmission of the packet. Network security system of the internal network. 제 1 항에 있어서,
상기 데이터베이스는,
상기 보안 관리 테이블에 상기 각 호스트 장치에 연관된 정보를 해당 호스트 장치의 물리적 주소와 매핑하여 저장하고,
상기 복수의 보안 정책은,
패킷을 전송한 장치의 출발지 정보에 기초하여 방화벽 차단 또는 해제를 결정하는 제1 정책, 상기 방화벽 해제 결정 시, 해당 호스트 장치에 대응하여 상기 내부망의 네트워크 이용에 대해 기 설정된 규칙을 실행하는 제2 정책, 및 상기 수신된 패킷에 포함된 내용에 기초하여 상기 패킷 전송 경로의 내부망 및/또는 외부망 범위 한정을 결정하는 제3 정책 중 적어도 하나를 포함하는 것을 특징으로 하는 내부망의 네트워크 보안 시스템.According to claim 1,
The database,
information related to each host device is mapped to the physical address of the corresponding host device and stored in the security management table;
The plurality of security policies,
A first policy for determining whether to block or release a firewall based on source information of a device transmitting a packet, and a second policy for executing predetermined rules for network use of the internal network in response to a corresponding host device when determining to release the firewall. A network security system for an internal network, characterized in that it includes at least one of a policy and a third policy for determining the range limitation of the internal network and/or external network of the packet transmission path based on the content included in the received packet. . 제 2 항에 있어서,
상기 관리 장치는,
상기 호스트 장치에 연관된 물리적 주소, 사용자 ID, 사용자 이름, 부서명 중 적어도 하나를 수집하는 호스트 정보 획득부;
상기 호스트 장치 별로 상기 보안 정책을 설정하고, 설정된 상기 보안 정책을 상기 해당 호스트 장치의 물리적 주소에 매핑하여 관리하는 보안 정책 관리부; 및
상기 패킷의 전송에 관한 결정에 따라, 해당하는 장치에 대해 상기 제1 정책 내지 제3 정책 중 적어도 하나의 정책을 실행하는 보안 정책 실행부;를 포함하는 것을 특징으로 하는 내부망의 네트워크 보안 시스템.According to claim 2,
The management device,
a host information acquisition unit collecting at least one of a physical address, a user ID, a user name, and a department name associated with the host device;
a security policy manager configured to set the security policy for each host device, map the set security policy to a physical address of the corresponding host device, and manage the management; and
and a security policy executor configured to execute at least one of the first to third policies for a corresponding device according to the packet transmission decision. 제 3 항에 있어서,
상기 보안 정책 관리부는,
상기 데이터베이스와 연동되어 상기 데이터베이스로부터 상기 보안 관리 테이블을 실시간 혹은 일정 주기로 가져와 상기 보안 정책 실행부에 의해 실행될 상기 보안 정책과 동기화하는 것을 특징으로 하는 내부망의 네트워크 보안 시스템.According to claim 3,
The security policy management unit,
The network security system of the internal network, characterized in that interlocking with the database, bringing the security management table from the database in real time or at regular intervals and synchronizing it with the security policy to be executed by the security policy execution unit. 제 4 항에 있어서,
상기 보안 정책 실행부는,
상기 출발지 정보가 상기 보안 관리 테이블에 저장되어 있는 경우, 상기 패킷의 전송을 허용하도록 방화벽을 해제시키는 보안 정책을 실행하는 것을 특징으로 하는 내부망의 네트워크 보안 시스템.According to claim 4,
The security policy execution unit,
When the source information is stored in the security management table, a security policy for disabling a firewall to allow transmission of the packet is executed. 제 5 항에 있어서,
상기 보안 정책 실행부는,
상기 출발지 정보가 상기 보안 관리 테이블에 저장되어 있지 않은 경우, 상기 패킷 전송을 차단하도록 방화벽을 차단시키는 보안 정책을 실행하는 것을 특징으로 하는 내부망의 네트워크 보안 시스템.According to claim 5,
The security policy execution unit,
and when the source information is not stored in the security management table, a security policy for blocking a firewall to block transmission of the packet is executed. 제 6 항에 있어서,
상기 보안 정책 실행부는,
해당 호스트 장치로 네트워크 경로 차단을 알리는 메시지를 차단 알림 페이지에 출력하고, 상기 차단 알림 페이지에 상기 호스트 장치의 네트워크 접속 허용을 관리자에게 요청하는 수단을 제공하는 것을 특징으로 하는 내부망의 네트워크 보안 시스템.According to claim 6,
The security policy execution unit,
A network security system for an internal network, characterized by providing a means for outputting a message informing that a network path is blocked to a corresponding host device on a blocking notification page, and requesting permission of the host device to access the network from a manager on the blocking notification page. 제 1 항에 있어서,
상기 물리적 주소는,
맥 어드레스(MAC Address) 주소인 것을 특징으로 하는 내부망의 네트워크 보안 시스템.According to claim 1,
The physical address is
Network security system of the internal network, characterized in that the MAC address (MAC Address) address. 호스트 장치 별로 패킷 전송에 대한 보안 정책을 설정하고, 설정된 상기 보안 정책을 해당 호스트 장치의 물리적 주소에 매핑하여 관리하는 보안 정책 관리부; 및
수신된 패킷에 포함된 물리적 주소의 출발지 정보에 기초하여 상기 패킷의 전송에 대해 상기 설정된 보안 정책을 실행하는 보안 정책 실행부;를 포함하고,
상기 보안 정책은,
패킷을 전송한 장치의 출발지 정보에 기초하여 방화벽 차단 또는 해제를 결정하는 제1 정책, 상기 방화벽 해제 결정 시, 해당 호스트 장치에 대응하여 상기 내부망의 네트워크 이용에 대해 기 설정된 규칙을 실행하는 제2 정책, 및 상기 수신된 패킷에 포함된 내용에 기초하여 상기 패킷 전송 경로의 내부망 및/또는 외부망 범위 한정을 결정하는 제3 정책 중 적어도 하나를 포함하는 것을 특징으로 하는 내부망의 네트워크 보안 장치.a security policy manager configured to set a security policy for packet transmission for each host device, and map and manage the set security policy to a physical address of the corresponding host device; and
A security policy executor configured to execute the set security policy for transmission of the packet based on source information of a physical address included in the received packet;
The security policy,
A first policy for determining whether to block or release a firewall based on source information of a device transmitting a packet, and a second policy for executing predetermined rules for network use of the internal network in response to a corresponding host device when determining to release the firewall. and at least one of a third policy for determining a range limitation of an internal network and/or an external network of the packet transmission path based on contents included in the received packet. . 패킷을 수신하는 단계;
상기 패킷에 포함된 물리적 주소의 출발지 정보를 검출하는 단계; 및
상기 검출된 출발지 정보에 기초하여 상기 패킷의 전송에 대해 미리 결정된 보안 정책을 실행하는 보안 정책 실행 단계;를 포함하는 것을 특징으로 하는 내부망의 네트워크 보안 방법.receiving packets;
detecting source information of a physical address included in the packet; and
and a security policy execution step of executing a predetermined security policy for transmission of the packet based on the detected source information. 제 10 항에 있어서,
상기 패킷을 수신하는 단계 이전에,
상기 호스트 장치 별로 상기 내부망의 네트워크에 대해 기 설정된 보안 정책을 상기 각 호스트 장치의 물리적 주소에 매핑된 보안 관리 테이블로 데이터베이스에 저장하는 단계를 더 포함하는 것을 특징으로 하는 내부망의 네트워크 보안 방법.According to claim 10,
Prior to receiving the packet,
and storing a security policy preset for the network of the internal network for each host device in a database as a security management table mapped to a physical address of each host device. 제 11 항에 있어서,
상기 보안 정책은,
패킷을 전송한 장치의 출발지 정보에 기초하여 방화벽 차단 또는 해제를 결정하는 제1 정책, 상기 방화벽 해제 결정 시, 해당 호스트 장치에 대응하여 상기 내부망의 네트워크 이용에 대해 기 설정된 규칙을 실행하는 제2 정책, 및 상기 수신된 패킷에 포함된 내용에 기초하여 상기 패킷 전송 경로의 내부망 및/또는 외부망 범위 한정을 결정하는 제3 정책 중 적어도 하나를 포함하는 것을 특징으로 하는 내부망의 네트워크 보안 방법.According to claim 11,
The security policy,
A first policy for determining whether to block or release a firewall based on source information of a device transmitting a packet, and a second policy for executing predetermined rules for network use of the internal network in response to a corresponding host device when determining to release the firewall. and at least one of a third policy for determining a range limitation of an internal network and/or an external network of the packet transmission path based on contents included in the received packet. . 제 11 항에 있어서,
상기 데이터베이스와 연동되어 상기 데이터베이스로부터 상기 보안 관리 테이블을 실시간 혹은 일정 주기로 가져와 상기 보안 정책 실행 단계에서 실행될 상기 보안 정책과 동기화하는 내부망의 네트워크 보안 방법.According to claim 11,
A network security method of an internal network that interworks with the database and retrieves the security management table from the database in real time or at regular intervals and synchronizes with the security policy to be executed in the security policy execution step. 제 13 항에 있어서,
상기 보안 정책 실행 단계는,
상기 출발지 정보가 상기 보안 관리 테이블에 저장되어 있는 경우, 상기 패킷 전송을 허용하도록 방화벽을 해제시키는 보안 정책을 실행하는 것을 특징으로 하는 내부망의 네트워크 보안 방법.According to claim 13,
In the security policy execution step,
and executing a security policy for disabling a firewall to permit transmission of the packet if the source information is stored in the security management table. 제 13 항에 있어서,
상기 보안 정책 실행 단계는,
상기 출발지 정보가 상기 보안 관리 테이블에 저장되어 있지 않은 경우, 상기 패킷 전송을 차단하도록 방화벽을 차단시키는 보안 정책을 실행하는 것을 특징으로 하는 내부망의 네트워크 보안 방법.According to claim 13,
In the security policy execution step,
When the source information is not stored in the security management table, a security policy for blocking a firewall to block transmission of the packet is executed. 제 15 항에 있어서,
상기 보안 정책 실행 단계는,
해당 호스트 장치로 네트워크 경로 차단을 알리는 메시지를 차단 알림 페이지에 출력하고, 상기 차단 알림 페이지에 상기 호스트 장치의 네트워크 접속 허용을 관리자에게 요청하는 수단을 제공하는 것을 특징으로 하는 내부망의 네트워크 보안 방법.According to claim 15,
In the security policy execution step,
A network security method for an internal network, comprising: outputting a message informing that a network path is blocked to a corresponding host device on a blocking notification page, and providing means for requesting permission of the host device to access the network from a manager on the blocking notification page. 제 10 항에 있어서,
상기 물리적 주소는,
맥 어드레스(MAC Address) 주소인 것을 특징으로 하는 내부망의 네트워크 보안 방법.According to claim 10,
The physical address is
A network security method of an internal network, characterized in that the MAC address address. 컴퓨터 프로그램을 저장하고 있는 컴퓨터 판독 가능 기록매체로서,
상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
패킷을 수신하는 단계;
상기 패킷에 포함된 물리적 주소의 출발지 정보를 검출하는 단계; 및
상기 검출된 출발지 정보에 기초하여 상기 패킷의 전송에 대해 미리 결정된 보안 정책을 실행하는 보안 정책 실행 단계를 포함하는 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함하는, 컴퓨터 판독 가능한 기록매체.A computer-readable recording medium storing a computer program,
When the computer program is executed by a processor,
receiving packets;
detecting source information of a physical address included in the packet; and
A computer-readable recording medium comprising instructions for causing the processor to perform a method including a security policy execution step of executing a predetermined security policy for transmission of the packet based on the detected source information. 컴퓨터 판독 가능 기록매체에 저장된 컴퓨터 프로그램으로서,
상기 컴퓨터 프로그램은, 프로세서에 의해 실행되면,
패킷을 수신하는 단계;
상기 패킷에 포함된 물리적 주소의 출발지 정보를 검출하는 단계; 및
상기 검출된 출발지 정보에 기초하여 상기 패킷의 전송에 대해 미리 결정된 보안 정책을 실행하는 보안 정책 실행 단계를 포함하는 방법을 상기 프로세서가 수행하도록 하기 위한 명령어를 포함하는, 컴퓨터 프로그램.A computer program stored on a computer readable recording medium,
When the computer program is executed by a processor,
receiving packets;
detecting source information of a physical address included in the packet; and
A computer program comprising instructions for causing the processor to perform a method comprising a security policy execution step of executing a predetermined security policy for transmission of the packet based on the detected source information.
KR1020220002510A 2022-01-07 2022-01-07 Security system, apparatus, method, computer-readable storage medium and computer program for internal network KR20230106857A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220002510A KR20230106857A (en) 2022-01-07 2022-01-07 Security system, apparatus, method, computer-readable storage medium and computer program for internal network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220002510A KR20230106857A (en) 2022-01-07 2022-01-07 Security system, apparatus, method, computer-readable storage medium and computer program for internal network

Publications (1)

Publication Number Publication Date
KR20230106857A true KR20230106857A (en) 2023-07-14

Family

ID=87155246

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220002510A KR20230106857A (en) 2022-01-07 2022-01-07 Security system, apparatus, method, computer-readable storage medium and computer program for internal network

Country Status (1)

Country Link
KR (1) KR20230106857A (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101948049B1 (en) 2011-11-29 2019-05-09 삼성전자 주식회사 Enhancing network controls in mandatory access control computing environments

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101948049B1 (en) 2011-11-29 2019-05-09 삼성전자 주식회사 Enhancing network controls in mandatory access control computing environments

Similar Documents

Publication Publication Date Title
US11516241B2 (en) Rule-based network-threat detection
US11652793B2 (en) Dynamic firewall configuration
US11363067B2 (en) Distribution and management of services in virtual environments
US7941827B2 (en) Monitoring network traffic by using a monitor device
EP2949059B1 (en) Dynamically updating a network device configuration
US20220046088A1 (en) Systems and methods for distributing partial data to subnetworks
EP3057282B1 (en) Network flow control device, and security strategy configuration method and device thereof
EP3066607A1 (en) Pairing in a distributed network management system that uses a logical multi-dimensional label-based policy model
US20060190736A1 (en) Verifying user authentication
US20200228486A1 (en) Domain name based visibility and policy enforcement in a segmented network environment
JP2017130963A (en) Network device and communication method
JP6114214B2 (en) Network device and communication method
JP6193147B2 (en) Firewall device control device and program
US20230319115A1 (en) Systems and methods for validating, maintaining, and visualizing security policies
KR20230106857A (en) Security system, apparatus, method, computer-readable storage medium and computer program for internal network
JP2017204890A (en) Control device of firewall device and program
AU2018302104A1 (en) Systems and methods for distributing partial data to subnetworks

Legal Events

Date Code Title Description
E902 Notification of reason for refusal