상태 기반 방화벽이란?

상태 저장 방화벽은 네트워크 계층에서 패킷을 가로챈 다음 모든 통신 계층에서 데이터를 추출하고 분석하여 보안을 강화합니다. 연결 상태 및 기타 컨텍스트 데이터에 대한 정보가 저장되고 동적으로 업데이트됩니다. 이는 향후 통신 시도를 평가할 때 중요한 컨텍스트를 제공합니다.

Get a Personal Firewall Demo Miercom 2024 NGFW 보안 벤치마크

스테이트풀 방화벽의 작동 방식

컴퓨터는 잘 정의된 프로토콜을 사용하여 로컬 네트워크와 인터넷을 통해 통신합니다

여기에는 TCP 및 UDP와 같은 하위 계층 전송 프로토콜과 HTTP 및 FTP와 같은 상위 애플리케이션 계층 프로토콜이 포함됩니다.

상태 저장 방화벽은 네트워크 패킷을 검사하여 네트워크 연결에 사용되는 프로토콜에 대해 알려진 정보를 사용하여 연결 상태를 추적합니다. 예를 들어, TCP는 패킷 전달을 보장하기 위해 오류 검사를 하는 연결 지향 프로토콜입니다.

클라이언트와 서버 간의 TCP 연결은 먼저 3방향 핸드셰이크로 시작하여 연결을 설정합니다. 패킷에 SYN(동기화) 플래그가 설정된 클라이언트에서 하나의 패킷이 전송됩니다. 패킷을 수신하는 서버는 이것이 연결을 설정하려는 시도임을 이해하고 SYN 및 ACK(승인) 플래그가 설정된 패킷으로 응답합니다. 클라이언트가 이 패킷을 수신하면 ACK로 응답하여 연결을 통한 통신을 시작합니다.

이것은 다른 프로토콜이 데이터를 전송하거나 통신하는 데 사용하는 연결의 시작입니다.

예를 들어, 클라이언트의 브라우저는 웹 페이지의 콘텐츠를 가져오기 위해 웹 프로토콜인 HTTP GET을 전달하기 위해 설정된 TCP 연결을 사용할 수 있습니다.

 

연결이 이루어지면 상태가 설정되었다고 합니다. 연결이 끝나면 클라이언트와 서버는 FIN(finish)과 같은 프로토콜의 플래그를 사용하여 연결을 해제합니다. 연결 상태가 개방에서 설정됨으로 변경되면 상태 저장 방화벽은 상태 및 컨텍스트 정보를 테이블에 저장하고 통신이 진행됨에 따라 이 정보를 동적으로 업데이트합니다. 상태 테이블에 저장된 정보는 향후 연결을 평가하는 데 사용할 수 있는 누적 데이터를 제공합니다.

 

UDP와 같은 상태 비저장 프로토콜의 경우 상태 저장 방화벽은 프로토콜 자체 내에 존재하지 않는 컨텍스트 데이터를 생성하고 저장합니다. 이렇게 하면 방화벽이 클라이언트와 서버 애플리케이션 간의 각 요청 및 응답 패킷을 개별 통신으로 처리하는 대신 UDP 연결 위에 가상 연결을 추적할 수 있습니다.

FTP 예

FTP 세션은 둘 이상의 연결을 사용합니다. 하나는 명령 연결이고 다른 하나는 데이터가 전달되는 데이터 연결입니다.

Stateful firewalls examine the FTP command connection for requests from the client to the server. For instance, the client may create a data connection using an FTP PORT command. This packet contains the port number of the data connection, which a stateful firewall will extract and save in a table along with the client and server IP addresses and server port.4

데이터 연결이 설정되면 이 연결 테이블에 포함된 IP 주소 및 포트를 사용해야 합니다. 상태 저장 방화벽은 이 데이터를 사용하여 FTP 데이터 연결 시도가 유효한 요청에 대한 응답인지 확인합니다. 연결이 닫히면 레코드가 테이블에서 제거되고 포트가 차단되어 무단 트래픽을 방지합니다.

스테이트풀(Stateful) vs. 스테이트리스(Stateless)

상태 비저장 방화벽은 각 패킷을 개별적으로 평가합니다. 패킷의 소스 및 대상 IP 주소와 포트를 검사하고 간단한 ACL(Access Control List)을 기반으로 필터링할 수 있습니다. 예를 들어 상태 비저장 방화벽은 대부분의 인바운드 트래픽에 대해 "기본 거부" 정책을 구현하여 웹 및 이메일 서버와 같은 특정 시스템에 대한 연결만 허용할 수 있습니다. 예를 들어 웹의 경우 TCP 포트 80(HTTP) 및 443(HTTPS)에서, 이메일의 경우 TCP 포트 25(SMTP)에서 특정 IP 주소에 대한 연결을 허용합니다.

반면에 상태 저장 방화벽은 연결을 전체적으로 추적하고 검사합니다. TCP와 같은 상태 저장 프로토콜의 현재 상태를 추적하고 UDP와 같은 연결에 대한 가상 연결 오버레이를 만듭니다.

상태 저장 방화벽은 상태 비저장 방화벽과 동일한 기능을 가지고 있지만 상태 비저장 방화벽이 허용하지 않는 애플리케이션 통신을 동적으로 감지하고 허용할 수도 있습니다. 상태 비저장 방화벽은 애플리케이션을 인식하지 못하며, 지정된 통신의 컨텍스트를 이해할 수 없습니다.

Stateful Firewall with 체크 포인트

체크 포인트 상태 저장 방화벽은 운영 체제 커널의 네트워킹 스택에 통합됩니다. 물리적 네트워크 인터페이스 카드(레이어 2)와 네트워크 프로토콜 스택의 가장 낮은 레이어(일반적으로 IP) 사이의 가장 낮은 소프트웨어 레이어에 있습니다.

체크 포인트 상태 저장 방화벽은 시스템 네트워킹 스택의 물리적 구성 요소와 소프트웨어 구성 요소 사이에 자신을 삽입하여 시스템에 들어오고 나가는 모든 트래픽에 대한 완전한 가시성을 보장합니다. 방화벽 이 먼저 패킷이 네트워크 보안 액세스 제어 정책을 준수하는지 확인할 때까지 상위 프로토콜 스택 계층에서 패킷을 처리하지 않습니다.

체크 포인트 상태 저장 방화벽은 다음과 같은 여러 가지 중요한 이점을 제공합니다.

  • 확장: 체크 포인트 상태 저장 검사 구현은 수백 개의 사전 정의된 애플리케이션, 서비스 및 프로토콜을 지원하며, 이는 다른 어떤 방화벽 공급업체보다 더 많습니다.
  • Performance: 체크 포인트 방화벽의 간단하고 효과적인 설계는 운영 체제 커널 내에서 실행되어 최적의 성능을 달성합니다. 이렇게 하면 처리 오버헤드가 줄어들고 컨텍스트 전환이 필요하지 않습니다. 또한 캐싱 및 해시 테이블은 데이터를 효율적으로 저장하고 액세스하는 데 사용됩니다. 마지막으로, 방화벽 패킷 검사는 최신 네트워크 인터페이스, CPU 및 운영체제 설계를 최적으로 활용할 수 있도록 최적화됩니다.
  • 확장성: 간단히 말해서 하이퍼스케일은 시스템에 더 많은 수요가 추가됨에 따라 확장될 수 있는 기술 아키텍처의 기능입니다. 체크 포인트 Maestro는 기존 방화벽의 기능을 극대화하는 체크 포인트 HyperSync 기술을 기반으로 하는 효과적인 N+1 클러스터링을 통해 온프레미스 클라우드의 민첩성, 확장성 및 탄력성을 제공합니다. 다양한 체크 포인트 방화벽을 함께 쌓을 수 있으므로 클러스터에 방화벽이 추가될 때마다 거의 선형적인 성능 향상이 추가됩니다.

Check Point’s next-generation firewalls (NGFW)는 스테이트풀 방화벽의 기능을 다른 필수 네트워크 보안 기능과 통합합니다. NGFW에서 무엇을 찾아야 하는지 자세히 알아보려면 다음을 확인하십시오. 이 구매자 안내서. 당신도 환영합니다 무료 데모 요청하기 체크포인트의 NGFW가 작동하는 모습을 볼 수 있습니다.

×
  피드백
이 웹사이트는 기능 및 분석, 마케팅 목적으로 쿠키를 사용합니다. 이 웹사이트를 계속 이용하면 쿠키 사용에 동의하는 것입니다. 자세한 내용은 쿠키 관련 공지사항을 참조하세요.