상태 비저장 방화벽은 네트워크 연결의 현재 상태에 대한 정보를 저장하지 않는 방화벽입니다. 대신 각 패킷을 개별적으로 평가하고 포함된 데이터를 기반으로 패킷이 인증되었는지 여부를 확인하려고 시도합니다.
방화벽 의 목표는 보호된 네트워크에 대한 액세스를 제한하는 것입니다. 방화벽은 보호된 네트워크에 들어오고 나가는 트래픽에 따라 설치되어 각 인바운드 또는 아웃바운드 패킷을 검사할 수 있습니다. 방화벽은 기본 제공 규칙 집합에 따라 패킷을 허용할지 또는 삭제할지를 결정합니다.
방화벽에는 몇 가지 유형이 있지만 상태 비저장 방화벽은 포함된 데이터(일반적으로 패킷 헤더)만을 기반으로 각 패킷을 평가하는 방화벽입니다. 패킷 헤더에는 방화벽이 패킷에 권한이 부여되었는지 여부를 확인하는 데 사용할 수 있는 IP 주소, 포트 번호 및 기타 정보가 포함되어 있습니다.
방화벽은 보호된 네트워크에 액세스할 수 있는 IP 주소 집합을 제한하거나 특정 네트워크 프로토콜만 네트워크에 들어오거나 나가도록 허용하는 규칙으로 구성될 수 있습니다. 예를 들어 인바운드 HTTPS 연결은 허용하지만 인바운드 SSH는 차단하도록 상태 비저장 방화벽을 설정할 수 있습니다. 마찬가지로 특정 지역 또는 알려진 잘못된 IP 주소의 트래픽을 차단하도록 방화벽을 구성할 수 있습니다.
상태 비저장 방화벽은 일반적으로 상태 저장 방화벽과 대조적으로 정의됩니다. 이들 간의 주요 차이점은 상태 저장 방화벽은 활성 네트워크 연결의 현재 상태에 대한 일부 정보를 추적하는 반면 상태 비저장 방화벽은 추적하지 않는다는 것입니다.
이는 상태 저장 방화벽이 겉보기에는 합법적이지만 악의적인 트래픽을 식별하고 차단할 수 있기 때문에 중요합니다. 예를 들어, TCP 핸드셰이크에는 클라이언트의 SYN 패킷, 서버의 SYN/ACK 패킷, 클라이언트의 ACK 패킷이 포함됩니다. 공격자가 SYN/ACK에 응답하지 않는 회사 서버에 ACK 패킷을 보낸 경우 상태 저장 방화벽은 이를 차단하지만 상태 비저장 방화벽은 차단하지 않습니다. 즉, 상태 비저장 방화벽은 특정 유형의 네트워크 스캔 및 상태 저장 방화벽이 포착하고 차단하는 기타 공격을 간과합니다.
상태 비저장 방화벽은 패킷 헤더만 처리하도록 설계되었으며 상태를 저장하지 않습니다. 이렇게 하면 다음과 같은 몇 가지 이점이 있습니다.
그러나 상태 비저장 방화벽에는 장점이 있지만 여기에는 상당한 단점이 있습니다. 상태 비저장 방화벽은 다음을 포함하여 많은 일반적인 유형의 공격을 탐지할 수 없습니다.
상태 비저장 방화벽은 상태 저장 방화벽보다 더 효율적일 수 있습니다. 그러나 대부분의 최신 공격에 대해 완전히 눈이 멀고 조직에 제한된 가치를 제공합니다.
올바른 방화벽을 선택하는 것은 조직의 사이버 보안 프로그램의 성공에 필수적입니다. 최신 위협으로부터 보호하기 위한 유일한 옵션은 심층적인 보안 가시성과 효과적인 위협 차단을 위해 여러 보안 기능을 통합하는 차세대 방화벽 (NGFW)입니다. NGFW에 대한 구매자 가이드에서 방화벽에서 찾아야 할 사항에 대해 자세히 알아보십시오.
체크 포인트는 모든 조직의 고유한 요구 사항에 맞게 설계된 다양한 NGFW를 제공합니다. 체크 포인트 NGFW의 기능에 대해 자세히 알아보고 조직에 적합한 선택을 식별하려면 지금 무료 데모에 등록하십시오.
피드백