PIX는 기본적으로 외부에서 사내 LAN에 접속하는 것을 모두 차단하기 때문에 파이어월로서 기능을 수행한다.
이는 몇개의 글로벌 어드레스를 저장해 뒀다가 사내 LAN 사용자가 인터넷를 사용하려면 대기중인 글로벌 어드레스를 할당, 변환해 외부와 통신을 지원한다.
내부의 네트워크 주소를 동적으로 PIX장비에서 할당하기 때문에 내부에 특별히 WWW, FTP, ARCHIE 등과 같은 공개 서버를 두려면 문제가 있다. 이와 같은 공개 서버들은 외부에 자신의 주소가 공개되어야 하는데, PIX에서는 정적인 연결로 제공한 다.
그러나 보안 문제는 아주 저레벨의 패킷 필터링 수준으로 지원된다. 또한 사내 네트워크에서 작업을 하지 않고, 재택근 무를 통한 원격지 근무를 하기 위한 사내 데이터베이스를 접속하려고 한다면 보안상 아주 큰 위험이 있다. 액세스 컨트롤 수준의 패킷 필터링과 프락시를 통한 보안은 되지만, 사용자 에 대한 인증 과정을 거치지 않은 트랙픽이 들어오게 된다.
장점으로는 하드웨어적으로 구현되어 있고, 수많은 트래픽에 대한 주소 변환에 맞게끔 실시간 운영체제(real-time OS) 에서 작동되어 성능면에서 우수하다. 그러나 가격대 성능비는 좋은 편이 아니다.
☞ 소프트웨어적 주소 변환
하드웨어적인 PIX일 경우 C-class급용(256개의 IP 어드레 스)부터 시작해서 할당받은 IP 주소의 개수에 따라 기계가 달 라진다.
가격도 또한 계속 올라가는 반면에 소프트웨어적인 경우는 IP에 할당받은 만큼 설정만 해주면 얼마라도 가능하게 된다.
성능면에서는 조금 뒤떨어 질 수도 있지만, 파이어월에 집중된 하드웨어를 설치한다면 문제가 없다. 그리고 PIX에 없는 사용자 인증 과정이 있으며, 내부 혹은 파이어월 자체에 공개 서버를 둘 수도 있다. 내부에 있을 경우 물론 많은 트래픽이 있을 수 있다.
명백한 액세스가 되지 않는 단점이 있지만, 보안이 강화되면 어느 정도의 불편은 감소해야 된다.
2-6. 파이어월 시스템으로도 막지 못하는 것
파이어월을 통과하지 않는 트래픽에 대해서는 막을 수 없다.
기관의 배반자나 스파이들에 대해서는 보호할 수 없다.
내부 사용자가 무심코 흘리는 정보에 대해서는 막을 수 없다.
파이어월은 바이러스(자기 복제 능력이 있는 고트 세그먼트 로서, 바이러스는 공격 프로그램이나 트랩도어를 가질 수도 있다)에 대해서는 효과적으로 막지는 못한다.
네트워크 상에서 실행 파일을 받아 올 경우 트로이목마(트 랩도어나 공격 기능을 가지고 동작하는 일반적인 프로그램)가 존재할 수도 있다.
따라서 파이어월로 바이러스를 검출하겠다는 생각보다는 중 요한 시스템이 부팅될 때마다 바이러스를 스캐닝할 수 있도록 하는 편이 좋다.
끝으로 파이어월이 100% 인터네트 보안을 책임지는 것은 아 니다. 단지 전산망에서 보안 격리만을 제공할 뿐이다. 자사의 네트워크 환경에 맞는 자체적인 파이어월 구축이 필요하다.
--------------------------------------------------------------------------------