상태 비저장 방화벽의 작동 방식
방화벽 의 목표는 보호된 네트워크에 대한 액세스를 제한하는 것입니다. 방화벽은 보호된 네트워크에 들어오고 나가는 트래픽에 따라 설치되어 각 인바운드 또는 아웃바운드 패킷을 검사할 수 있습니다. 방화벽은 기본 제공 규칙 집합에 따라 패킷을 허용할지 또는 삭제할지를 결정합니다.
방화벽에는 몇 가지 유형이 있지만 상태 비저장 방화벽은 포함된 데이터(일반적으로 패킷 헤더)만을 기반으로 각 패킷을 평가하는 방화벽입니다. 패킷 헤더에는 방화벽이 패킷에 권한이 부여되었는지 여부를 확인하는 데 사용할 수 있는 IP 주소, 포트 번호 및 기타 정보가 포함되어 있습니다.
방화벽은 보호된 네트워크에 액세스할 수 있는 IP 주소 집합을 제한하거나 특정 네트워크 프로토콜만 네트워크에 들어오거나 나가도록 허용하는 규칙으로 구성될 수 있습니다. 예를 들어 인바운드 HTTPS 연결은 허용하지만 인바운드 SSH는 차단하도록 상태 비저장 방화벽을 설정할 수 있습니다. 마찬가지로 특정 지역 또는 알려진 잘못된 IP 주소의 트래픽을 차단하도록 방화벽을 구성할 수 있습니다.
스테이트풀(Stateful) vs. 스테이트리스(Stateless) 방화벽
상태 비저장 방화벽은 일반적으로 상태 저장 방화벽과 대조적으로 정의됩니다. 이들 간의 주요 차이점은 상태 저장 방화벽은 활성 네트워크 연결의 현재 상태에 대한 일부 정보를 추적하는 반면 상태 비저장 방화벽은 추적하지 않는다는 것입니다.
이는 상태 저장 방화벽이 겉보기에는 합법적이지만 악의적인 트래픽을 식별하고 차단할 수 있기 때문에 중요합니다. 예를 들어, TCP 핸드셰이크에는 클라이언트의 SYN 패킷, 서버의 SYN/ACK 패킷, 클라이언트의 ACK 패킷이 포함됩니다. 공격자가 SYN/ACK에 응답하지 않는 회사 서버에 ACK 패킷을 보낸 경우 상태 저장 방화벽은 이를 차단하지만 상태 비저장 방화벽은 차단하지 않습니다. 즉, 상태 비저장 방화벽은 특정 유형의 네트워크 스캔 및 상태 저장 방화벽이 포착하고 차단하는 기타 공격을 간과합니다.
상태 비저장 방화벽의 장단점
상태 비저장 방화벽은 패킷 헤더만 처리하도록 설계되었으며 상태를 저장하지 않습니다. 이렇게 하면 다음과 같은 몇 가지 이점이 있습니다.
- 속도: 상태 비저장 방화벽은 다른 유형의 방화벽과 비교할 때 네트워크 트래픽에 대한 분석을 상대적으로 적게 수행합니다. 따라서 상태 저장 방화벽보다 대기 시간이 짧을 수 있습니다.
- 확장성: 상태 비저장 방화벽의 제한된 처리도 확장성에 영향을 줍니다. 동일한 하드웨어는 방화벽의 제한된 처리 및 데이터 요구 사항으로 인해 상태 비저장 방화벽으로 더 많은 연결을 처리할 수 있습니다.
- 비용: 상태 비저장 방화벽은 다른 유형의 방화벽보다 덜 복잡합니다. 결과적으로 더 정교한 방화벽보다 저렴한 가격대에서 사용할 수 있습니다.
그러나 상태 비저장 방화벽에는 장점이 있지만 여기에는 상당한 단점이 있습니다. 상태 비저장 방화벽은 다음을 포함하여 많은 일반적인 유형의 공격을 탐지할 수 없습니다.
- 순서가 맞지 않는 패킷: 상태 비저장 패킷은 네트워크 연결의 현재 상태에 대한 가시성이 부족하며 의도적으로 순서에 맞지 않게 전송된 합법적인 패킷을 감지할 수 없습니다. 예를 들어 상태 비저장 방화벽은 여러 유형의 TCP 스캔(ACK, FIN 등)을 감지하거나 해당 요청 없이 전송된 DNS 응답을 식별할 수 없습니다.
- 임베디드 멀웨어: 상태 비저장 방화벽은 네트워크 패킷의 헤더만 검사하고 해당 내용은 검사하지 않습니다. 이로 인해 멀웨어와 같은 악성 콘텐츠가 패킷의 페이로드에 포함되어 있는지 식별할 수 없습니다.
- 응용 프로그램 계층 공격: 상태 비저장 방화벽은 패킷 헤더에 초점을 맞추기 때문에 애플리케이션 계층에서 수행되는 공격에 눈이 멀게 됩니다. 예를 들어, 웹 애플리케이션 취약성의 악용이나 클라우드 인프라에 대한 공격은 이러한 방화벽에 보이지 않습니다.
- 분산 서비스 거부(DDoS) 공격: DDoS 공격은 일반적으로 대량의 스팸 패킷을 대상으로 보내는 것을 포함합니다. 이러한 패킷은 합법적으로 보이고 상태 비저장 방화벽은 각 패킷을 개별적으로 검사하므로 이러한 유형의 공격을 놓칠 수 있습니다.
상태 비저장 방화벽은 상태 저장 방화벽보다 더 효율적일 수 있습니다. 그러나 대부분의 최신 공격에 대해 완전히 눈이 멀고 조직에 제한된 가치를 제공합니다.
Firewall Security with 체크 포인트
올바른 방화벽을 선택하는 것은 조직의 사이버 보안 프로그램의 성공에 필수적입니다. 최신 위협으로부터 보호하기 위한 유일한 옵션은 심층적인 보안 가시성과 효과적인 위협 차단을 위해 여러 보안 기능을 통합하는 차세대 방화벽 (NGFW)입니다. NGFW에 대한 구매자 가이드에서 방화벽에서 찾아야 할 사항에 대해 자세히 알아보십시오.
체크 포인트는 모든 조직의 고유한 요구 사항에 맞게 설계된 다양한 NGFW를 제공합니다. 체크 포인트 NGFW의 기능에 대해 자세히 알아보고 조직에 적합한 선택을 식별하려면 지금 무료 데모에 등록하십시오.
피드백