방화벽 보안정책

Firewall의 정의
일반적으로 Firewall은 다음과 같이 정의할수 있다.
두개의 네트워크 사이에서 접근통제 정책을 구현케 하는 시스템 또는 시스템 그룹.
보다 구체적으로, Firewall은 아래 성질을 포함하는 두개의 네트워크 사이에 존재하는 구성체 혹은 시스템의 모임이다.

* 내부에서 외부로의 모든 트래픽과 반대로 외부에서 내부로의 모든 트래픽은 반드시 그곳을 지난다. * 보안정책에 의하여 정의되어 권한을 획득한 트래픽만이 그곳을 통과할수 있다. * 그 시스템 자신은 침투되지 않는다.

다시 말하면 Firewall은 신뢰할 수 없는 네트워크로부터 신뢰할수 있는 네트워크를 보호하는 장치이다.

보안정책과 Firewall
많은 Firewall 관련 자료는 Firewall을 구성하는 네트워크 자원의 가능한 구성과 네트워크 간의 연계에 초점을 맞추고 있다. 하지만 Firewall을 보안정책의 한부분으로서 인식하고 광의의 개념으로서 시각을 유지하는 것도 중요한 일이다.

Firewall은 보안을 구현하는 접근방법이다. 또한 다양한 네트워크 서비스와 접근통제를 정의하는 보안정책을 구현하는 도구이다. 즉, Firewall은 보안정책임과 동시에 그 정책의 구현이다. Firewall 시스템을 디자인하고 설치하기 위하여 아래와 같은 네트워크 보안정책이 존재한다.

1.네트워크서비스 접근 정책 제한되는 네트워크로부터 명백히 허가되거나 거부되는 서비스 및 이 서비스의 사용 방법과 이 정책에 대한 예외조건을 정의하는 상위의 정책 2. Firewall 디자인 정책 Firewall이 실제로 네트워크서비스 접근 정책에서 정의된 접근을 제한하고 서비스들을 필터링을 어떻게 할것인지를 기술한 하위의 정책 3. Firewall 보안 정책 하위레벨의 정책으로서 네트워크 서비스 접근 정책에서 정의한 서비스를 Firewall 디자인 정책에서 기술한 방법에 따라서 Firewall에 직접 적용하기 위한 방법을 기술한다.

Firewall을 위한 네트워크 보안정책

Firewall을 위한 네트워크 보안정책은 네트워크서비스 접근 정책과 네트워크 디자인 정책이다. 이는 Firewall의 구축과 네트워크 보안정책을 하위와 상위의 개념으로 접근하여 상위의 네트워크 서비스정책을 반영하는 적절한
Firewall 디자인이 가능하게 한다.

네트워크서비스 접근 정책은 제한되는 네트워크로부터 명백히 허가되거나 거부되는 서비스 및 이 서비스의 사용 방법과 이 정책에 대한 예외조건을 정의하는 상위의 정책이며 Firewall 디자인 정책은 Firewall이 실제로 네트워크서비스 접근 정책에서 정의된 접근을 제한하고 서비스들을 필터링을 어떻게 할것인지를 기술한 하위의 정책이다.

네트워크서비스 접근 정책은 네트워크간 서비스의 사용과 제한에 대한 부분만이 아니라 다이얼 업 사용자나 SLIP/PPP 접속을 하는 다른 모든 네트워크 접근을 포함하여 정의하여야 한다. 왜냐하면 네트워크서비스접근에 대한 제한은 사용자들이 다른 방법으로 접근하도록 유도하기 때문이다.

예를들면 인터넷의 접근을 제한하면 사용자는 다이얼업 PPP방식으로 이 서비스를 사용할 것이다. 이러한 인가받지 않은 연결은 보안을 어렵게 하고 네트워크는 외부의 공격을 막아낼수 없다.

네트워크서비스 접근정책은 조직의 강력한 보안정책과 정보자원을 보호하기 위한 모든 정책의 연장선상에 있어야 한다. 이것은 플로피디스크의 관리에서부터 조직의 기간시스템의 침투에 이르는 모든것을 포함해야 한다.

먼저 최상위에는 전반적인 조직의 정책이 아래와 같이 수립되어야 한다.

* 정보는 조직의 경제적 존립에 필수불가결하다. * 정보의 기밀성, 완전성, 정확성, 효용성, 유용성을 보장하기 위한 비용측면의 모든 노력이 강구되어야 한다. * 정보자원의 기밀성, 완전성, 효용성의 보호는 조직의 전 계층의 전 직원이 다른 어떤것보다 우선적으로 행해야 한다.

이러한 명제아래 자원에 대한 물리적인 접근, 정보시스템에 대한 일반적인 접근과 시스템의 서비스에 대한 특별한 접근을 포함하는 조직 특유의 정책이 존재한다.

Firewall의 네트워크서비스 접근정책은 이 단계에서 공식화 된다.Firewall이 성공적이려면, Firewall이 구현되기 이전에 네트워크서비스 접근정책이 도출되어야 한다. 이 정책은 실제적이고 철저해야 한다.

실제적인 정책은 사용자에게 네트워크 자원에 대한 이해할만한 접근을 제공하면서 알려진 위험으로부터 네트워크를 보호한다. 만약 Firewall이 서비스를 거부하거나 제한할때 특별한 근거로 수정되거나 우회적으로 변화되는 것을 방지하기 위하여 네트워크서비스접근정책이 절대적으로 지켜져야 한다.

합리적이고 경영층이 뒷받침하는 정책은 내부저항을 이겨낸다.아래에 Firewall이 구현하는 전형적인 네트워크서비스 접근정책이 있다.

* 인터넷으로 부터 내부로의 접근은 허용하지 않고 내부로부터 인터넷으로의 접근은 허용한다. 또는 그의 역. * 단, 정보서버와 E-mail서버와 같은 선택된서버에 한하여 인터넷으로부터 특정한 접근을 허용한다.

Firewall은 때로는 인터넷으로부터 선정된 몇몇 내부의 시스템에 사용자들의 접근을 허용하는 네트워크 서비스 접근 정책을 구현하기도 한다. 단, 필수불가결하거나 고급 인증을 거칠 경우에만 이러한 접근은 허용된다.

출처 : 보안이닷컴