-
[F/W]상태추적 방식(Stateful Inspection)보안/장비 2023. 12. 25. 16:37
상태추적 방식(Stateful Inspection)이란
기존의 방화벽에서는 IP 차단 시 Inbound 및 Outbound 정책 모두 생성해 차단을 진행하여야 했다.
하지만 시간이 흘러 방화벽에 진화함에 따라 상태추적 방식(Stateful Inspection) 기능을 가진 방화벽이 등장했다.
여기서 상태추적 방식(Stateful Inspection)이란:
- 기존 방화벽의 패킷 필터링 기능에 Session 추적 기능을 추가하여 일련의 네트워크 서비스의 순서를 추적하고, 순서에 위배되는 패킷들은 모두 차단한다.
- UDP 또한 추적이 가능하다.
- 동작 방식:
- 연결을 위해 패킷이 방화벽으로 들어온다.
- 방화벽은 해당 패킷을 세션 테이블에 기록해두고 내부 정책과 비교 후 허용된 정책일 경우 안으로 들여보낸다.
- 요청을 받은 서버가 해당 요청에 대한 응답을 방화벽으로 보낸다.
- 방화벽은 다시 내부 정책과 세션 테이블을 참조하여 허용 시 응답을 클라이언트에게 보낸다.
- 장점:
- 모든 통신채널에 대해 추적이 가능하다.
- Inbound 및 Outbound 정책 모두 생성 할 필요가 없어 정책 관리가 조금 더 용이하다.
- 단점:
- 내부에 악의적인 정보를 포함할 수 있는 프로토콜에 대한 대응이 어렵다.
- 유해 IP로 판단된 IP를 블랙리스트에 추가 시에는 Inbound, Outbound 모두 설정해줘야 한다.
- 상태목록에 DoS, DDoS 공격으로 인한 거짓 정보가 차게 될시 장비가 일시적으로 정지하거나 재기동 해야 한다.
참고문헌:
네트워크 이론 방화벽(firewall)에 대하여 알아보기
○ 방화벽 개념서로 다른 네트워크를 지나는 데이터를 특정 규칙에 따라 허용 또는 거부하거나 검열, 수정하는 하드웨어나 소프트웨어 장치이다. 현재는 NPU(Network Processing Unit)기반의 방화벽이
bomplays.com
2. https://wiki.wikisecurity.net/wiki:%EC%B9%A8%EC%9E%85%EC%B0%A8%EB%8B%A8%EC%8B%9C%EC%8A%A4%ED%85%9C
침입차단시스템 -
침입차단시스템 침입차단시스템은 외부 네트워크로부터의 침입에 대해 내부 네트워크를 보호하기 구성 요소 중의 하나를 말한다. 방화벽 개요 방화벽은 외부의 불법 사용자의 침입으로부터 내
wiki.wikisecurity.net
3. https://blog.naver.com/twers/50117532883
방화벽(Firewall) 동작 방식 - 스테이트풀 인스펙션(Stateful Inspection) 방식
스테이트풀 인스펙션(Stateful Inspection) 방식 :: 상태 기반 검사 이스라엘의 방화벽 업...
blog.naver.com