프록시 방화벽이란?

프록시 방화벽과 프록시 서버 비교

모든 프록시 방화벽이 프록시 서버이지만 모든 프록시 서버가 프록시 방화벽인 것은 아닙니다. 둘 다 서버와 클라이언트 사이의 중개자 역할을 합니다. 각각은 웹 페이지를 캐시하여 네트워크 정체를 줄이고 서버에서 사용자에 대한 정보를 숨길 수 있습니다. 프록시 방화벽은 네트워크 트래픽에 대한 심층적인 검사를 수행하여 잠재적인 악성 트래픽을 식별하고 보호합니다.

프록시 방화벽의 작동 방식

대규모 조직에서 근무한 경험이 있는 경우 프록시 PAC(프록시 자동 구성) 파일을 사용하도록 랩톱을 설정하거나 회사 프록시 서버의 IP 주소를 지정하는 데 익숙할 수 있습니다. 브라우저 및 기타 응용 프로그램은 이러한 운영 체제 설정을 사용하여 트래픽을 프록시 서버로 보냅니다.

웹 브라우저는 프록시 서버에 연결되며, 프록시 서버는 연결을 가로채고 정책에서 연결을 허용하는 경우 클라이언트 대신 대상 웹 사이트에 대한 다른 연결을 만듭니다. 이렇게 하면 프록시 방화벽이 연결 내의 패킷을 검사할 수 있습니다. 지원되는 기본 프로토콜은 HTTP(S) 웹 트래픽이지만 프록시 방화벽 기능에 따라 FTP와 같은 다른 프로토콜도 지원될 수 있습니다.

프록시 방화벽의 주요 기능

프록시 방화벽의 주요 기능은 다음과 같습니다.

• 웹 사이트 트래픽을 캐싱하여 성능 향상.
• 보안 정책에 따라 사이트에 대한 웹 액세스 제한.
• 애플리케이션 계층 트래픽에서 악의적인 의도를 검사합니다.

프록시 방화벽과 다른 방화벽의 차이점

프록시 방화벽은 다음과 같은 몇 가지 면에서 다른 유형의 방화벽과 다릅니다.

검사 및 보호 기능

프록시 방화벽은 소수의 애플리케이션별 트래픽을 검사하도록 설계되었습니다. 다른 방화벽도 심층 패킷 검사를 수행하지만 역사적으로 IP 주소 및 포트 또는 서비스 주소를 기반으로 정책을 시행했습니다. 웹용 TCP 포트 80(HTTP) 및 443(HTTPS)

단순 IP 및 포트 수준 필터링은 간단한 ACL(Access Control List)을 적용하는 초기 패킷 필터 또는 방화벽의 도메인입니다. 그러나 ACL은 상당히 길고 사람이 이해하기 어려울 수 있습니다.

스테이트풀 방화벽은 한 단계 더 나아가 트래픽 제어에 프로토콜 인식을 도입했습니다. 예를 들어, FTP(파일 전송 프로토콜)에는 별도의 제어(TCP 포트 20) 및 데이터(TCP 포트 21) 연결이 있습니다. 데이터 전송의 경우 포트는 사용 가능한 포트 집합의 임의 포트일 수도 있으며, 이는 총 60,000개보다 약간 적습니다. 클라이언트와 서버 간에 선택된 포트는 FTP 제어 연결을 통해 통신됩니다.

FTP 제어 연결을 모니터링하는 상태 저장 방화벽은 데이터 전송을 동적으로 허용할 수 있습니다. 정책에서 이는 보안 관리자가 호스트 간에 FTP가 허용되도록 지정하기만 하면 됨을 의미합니다. ACL 목록에서 더 넓은 포트 범위를 열 필요가 없습니다.

URL 필터링, 애플리케이션 제어, 침입 탐지 및 방지 (IDS/IPS), 샌드박싱과 같은 다른 기술이 발전함에 따라 이러한 기술이 방화벽에 통합되어 다목적 네트워크 보안 디바이스가 되었습니다.

배포 위치

방화벽이 SWG( Secure Web Gateway ), UTM(Unified Threat Management) 및 NGFW(차세대 방화벽)로 발전함에 따라 이름이 변경되었을 수 있지만 네트워크에서의 위치는 그렇지 않을 수 있습니다. 프록시 서버 및 프록시 방화벽은 일반적으로 트래픽이 전달되는 투명한 네트워크 디바이스로 배포됩니다.

반면에 방화벽은 일반적으로 네트워크 경계에서 투명 경계 디바이스로 인라인으로 배포됩니다. 또한 이러한 방화벽은 네트워크 간에 낮은 수준의 NAT(네트워크 주소 변환)를 수행하고, 정적 또는 동적 라우팅 프로토콜을 사용하여 라우팅에 참여하며, 클라이언트-사이트 및 사이트 간 VPN(가상 사설망) 연결을 종료합니다. 일반적으로 최종 사용자는 이 작업을 완전히 투명하게 처리하지만, 메시지 전송 에이전트(MTA) 역할을 하여 SSL/TLS 암호화 웹 연결 및 SMTP와 같은 전자 메일과 같은 연결을 가로챌 수도 있습니다.

프록시 방화벽의 한계

NGFW가 하지 않는 프록시 방화벽의 기능 중 하나는 웹 트래픽을 캐시하여 성능을 향상시키는 것입니다. 성능 저하가 NGFW와 비교할 때 프록시 방화벽의 단점 중 하나일 수 있습니다. 또 다른 이유는 애플리케이션이 변경됨에 따라 최신 상태를 유지하기가 어려워 애플리케이션 필터링이 때때로 중단되어 사용자 경험이 저하될 수 있다는 것입니다. 마찬가지로 단일 장애 지점이 될 수 있으며 네트워크 중단을 일으킬 수 있습니다.

프록시 방화벽과 같은 대역 외 네트워크 디바이스의 또 다른 문제는 클라이언트에서 프록시 또는 PAC 파일 구성을 설정하는 데 의존한다는 것입니다. 사용자는 종종 수동으로 이 작업을 수행할 수 있으므로 프록시 서버를 비교적 쉽게 우회할 수 있습니다. 마찬가지로 야심 찬 사용자는 프록시 방화벽에서 지원하지 않는 앱을 사용할 수 있으며 이러한 방식으로 회사 보안 정책을 우회할 수도 있습니다.

Proxy Firewall with 체크 포인트

체크 포인트 최초의 상태 저장 방화벽 중 하나인 방화벽은 새로운 위협이 발생함에 따라 진화했습니다. 오늘날의 체크 포인트 방화벽은 프록시 방화벽 및 프록시 서버를 대체할 수 있는 중요한 수단으로, 기업이 확장성과 안정성이 뛰어난 하나의 다기능 네트워크 디바이스로 네트워크 보안 기술을 통합할 수 있도록 지원합니다.

체크 포인트 NGFW는 원하는 배포에서도 사용할 수 있습니다. 인라인 라우팅 또는 브리지 배포의 경우, 온프레미스는 물리적 디바이스로, 프라이빗 및 퍼블릭 클라우드에서는 가상 디바이스로, FWaaS(방화벽-as-a-Service)는 SASE(보안 액세스 서비스 엣지( SASE )) 모델의 보안 구성 요소로 배포됩니다. SASE 모델에 포함된 다른 보안 서비스로는 기업 애플리케이션에 대한 보안 액세스를 제공하는 제로 트러스트 네트워크 액세스(ZTNA)와 사무실 및 이메일 클라우드 애플리케이션 생산성 제품군을 기본적으로 보호하는 CASB(클라우드 액세스 보안 브로커)가 있습니다.

NGFW 또는 SASE 솔루션에서 고려해야 할 사항에 대해 자세히 알아보려면 이 구매자 가이드를 확인하십시오. 오늘 체크 포인트 NGFW 또는 SASE 제품을 데모할 수도 있습니다.