방화벽(Firewall) - 이해하기

byAngello 정보보안기사 2 min read
0

방화벽 핵심 정리: NAT · 유형 · 배치

키워드: 기본정책(암묵적 거부) · 상태기반 검사 · DMZ · SNAT/DNAT/PAT · NGFW · 이중화(HA)

1) NAT (Network Address Translation)

사설↔공인 IP 변환으로 주소 은닉·절약·연결성을 제공.

NAT 종류 & 특징

  • SNAT (Source NAT)
    내부→외부 트래픽의 출발지 주소를 변환.

    • PAT(포트 주소 변환, N:1): 다수 내부 호스트가 1개의 공인 IP를 공유(소스포트로 구분). 인터넷 출구 기본.

    • 정적 SNAT(1:1): 내부 서버가 항상 동일한 공인 IP로 나가야 할 때(허용목록·라이선스).

  • DNAT (Destination NAT / Port Forwarding)
    외부→내부 서비스 접근 시 목적지 주소/포트를 내부 서버로 변환(예: 203.0.113.10:443 → 10.0.0.10:443).

    • VIP/포트포워딩: 여러 내부 호스트로 특정 포트 매핑.

  • 이중 NAT/더블 NAT: 방화벽 앞뒤에 NAT가 중첩된 구조. 대칭 라우팅 주의.

  • Hairpin NAT(Loopback NAT): 내부 클라이언트가 공인 VIP로 내부 서버 접속 시 NAT로 내부루프 허용.

  • ALG (Application Layer Gateway): FTP/SIP 등 제어 채널 내 IP 정보를 자동 수정. 안 맞으면 비활성화 필요.

NAT 운용 팁

  • 대칭성 보장: 흐름의 왕복 경로가 같은 방화벽을 지나야 상태 추적 정상 동작.

  • 우선순위: 정적 NAT > 정책 기반 NAT > 범용 SNAT/PAT.

  • 로그 마스킹: 소스 변환 후 감사 추적 위해 원소스 로그/NetFlow 확보.

  • 보안 고려: NAT는 보안 자체가 아님(은닉 효과뿐). 정책(ACL)·IPS 병행 필수.

2) 방화벽 유형(기능 기준)

유형 동작 방식 장점 한계/주의 쓰임새
패킷 필터(Stateless) L3/L4 헤더(IP/포트) 규칙 처리 빠름, 단순 세션/상태 미추적, 스푸핑 취약 단순 경계, 내부 ACL
상태기반(Stateful) 세션 테이블로 연결상태 추적 역방향 자동 허용, 보안↑ 비대칭 라우팅 시 문제 기업 표준 방화벽
프록시(Application Gateway) L7 프록시(완전 중개) 앱 레벨 제어, 헤더검사 지연↑, 프로토콜 한정 보안 프록시, 제한망
서킷 레벨 TCP 핸드셰이크 검증 가벼움 콘텐츠 가시성 없음 구형/특정망
NGFW(차세대) Stateful + 앱식별, IPS, URL, SSL가시화 통합보안, 앱기반 정책 성능/정책복잡도 현행 주력
WAF(웹방화벽) HTTP/HTTPS L7 규칙, 시그니처/행위 OWASP Top10 대응 네트워크 전반 커버 X 웹앱 전용(NGFW 보완)
UTM 여러 보안기능 일체형 관리 단순 대규모 성능 한계 지점/SMB

시험 포인트

  • Stateful vs Stateless 차이

  • NGFW = 앱제어+IPS+SSL복호화(선택)

  • WAF는 웹 전용, 네트워크 전반 방화벽 대체 아님

3) 방화벽 배치(토폴로지)

대표 배치 시나리오

  1. 경계(Perimeter) — 인터넷 출구

    • 구성: Internal ↔ FW ↔ (DMZ) ↔ Internet

    • 용도: SNAT/PAT, DNAT(DMZ 서버), URL 필터, IPS.

    • 포인트: DDoS 보호(전/후단 연동), HA(Active-Standby 또는 Active-Active).

  2. DMZ 분리(3-Leg/멀티존)

    • 내부(Trust), DMZ(Semi-Trust), 외부(Untrust)를 각기 분리.

    • DNAT로 외부→DMZ 서버 공개, 내부→DMZ는 최소 포트만.

  3. 내부 세그먼테이션(동서 트래픽)

    • 사용자망/서버망/관리망 등 L3 세그먼트를 방화벽으로 분리.

    • 목적: 수평 이동 차단(랜섬웨어 확산 억제), 규제망 격리.

  4. 데이터센터/코어(DC Core 앞단)

    • 서버팜 앞에 Security Edge로 배치(IPS/WAF/LB 연동).

    • 대칭 라우팅·리턴패스 일치 필수(특히 SSL 프록시 시).

  5. 클라우드(VPC/VNet)

    • 게이트웨이/인터넷 경계에 가상 FW 배치, 스포크 VPC 중앙 보안으로 허브에 집약.

    • Transit Gateway/Peering 경로와 어소메트릭 주의.

  6. 원격지/지점(SD-WAN)

    • 브랜치 FW/SD-WAN 엣지에서 로컬 브레이크아웃(SaaS), 중앙 FW로 트래픽 선택적 백홀.

배치 설계 체크리스트

  • 정책 기본값: 암묵적 거부(Implicit Deny), 필요한 것만 허용(화이트리스트).

  • 존/인터페이스 기반 정책: Zone→Zone 룰로 가독성 확보.

  • 비대칭 라우팅 방지: 상태기반 세션이 한 방향으로만 스티치되지 않게 ECMP/리턴 경로 통제.

  • HA/업그레이드: 세션 동기화, ISSU(무중단 업그레이드) 지원 여부.

  • 로깅/모니터링: 모든 허용 룰에 로그(요약·샘플링), 탑N(소스/목적/앱) 대시보드.

  • 성능: NGFW에서 SSL 복호화, IPS 켜면 스루풋 영향 → 사이징 여유분 반영.

4) 실무형 정책 작성 요령 (초간단 템플릿)

  1. 정책 그룹화: Outbound-Internet, Inbound-DMZ, Inter-Seg(내부간) 세 묶음.

  2. 룰 순서: 특정 허용 → 일반 허용 → 차단(로그).

  3. 객체화: IP/포트/앱을 Address/Service/Application Object로 관리(중복 방지).

  4. 타임·사용자 조건(가능 시): 업무시간/부서별 차등.

  5. 검증: 변경은 스테이지 → 승인 → 적용 → 롤백계획.

5) 한눈에 요약(암기 카드)

  • NAT: SNAT(PAT=N:1), DNAT(포트포워딩), Hairpin, ALG(필요할 때만)

  • 유형: Stateless < Stateful < NGFW, WAF=웹전용

  • 배치: 경계(출구), DMZ, 내부 세그, DC Security Edge, 클라우드 허브-스포크

  • 주의: 대칭 라우팅, 암묵적 거부, 로그·가시성, HA/성능

6) 미니 연습문제

Q1. 내부 다수 PC가 1개 공인 IP로 인터넷 접속. 사용한 NAT는?
Q2. 외부에서 203.0.113.10:443으로 들어와 내부 10.0.0.10:443으로 서비스. 무엇을 설정?
Q3. 상태기반 방화벽에서 트래픽이 가는 길과 돌아오는 길이 다를 때 발생 가능한 문제는?

  • A1. PAT 포함 SNAT(N:1)

  • A2. DNAT(포트포워딩/VIP)

  • A3. 비대칭 라우팅으로 세션 미일치 → 연결 끊김/차단

마무리 Tip

  • 시험은 개념 매칭(NAT 종류·방화벽 유형·DMZ 배치 목적)과 상태기반/비대칭 문제를 자주 묻습니다.

  • 실무에선 정책 가독성(객체·존 기반), 로그 품질, SSL/IPS 성능 여유가 성패를 가릅니다.

4.94 / 169 rates

댓글 쓰기

새 댓글을 작성할 수 없습니다.*

다음 이전