이로서 프럭시 서버의 설치, 인증, 로그 등을 담당하게 된다. 그러므로 이 호스트에는 외부의 침입자가 주로 노리는 시스템이 므로 일반 사용자의 계정을 만들지 않고 해킹의 대상이 될 어떠한 조건도 두지 않는 가장 완벽한 시스템으로서 운영되어야 한다. 현재 판매되고 있는 방화벽 시스템은 이러한 베스쳔호스트를 제공하는 것이라고 보면 된다.
사. 이중 네트워크 호스트(Dual-Homed Hosts)
이중 네트워크 호스트는 2개 이상의 네트워크에 동시에 접속된 호스트를 말하며 보통 게이트웨이 호스트라는 시스템이다. 2개의 네트워크는 외부 네트워크와 내부 네트워크를 의미하고, 이 두 네트워크간의 유일한 패스를 제공하도록 조정된다. 즉 동적인 경로 배정과 경로 정보 전달을 배제하므로 모든 내.외부 트래픽은 이 호스트를 통과하도록 하여 베스쳔 호스트의 기능을 여기에 구현하는 것이다.
[그림 6] 이중 네트워크 호스트
아. 스크린 호스트 게이트웨이(Screen Host Gateway)
스크린 호스트 게이트웨이 개념은 이 시스템을 내부 네트워크에 두어 스크린 라우터가 내부로 들어가는 모든 트래픽을 전부 스크린 호스트에게만 전달되도록 하겠다는 것이다. 또한 스크린 라우터는 내부에서 외부로 가는 모든 트래픽에 대해서도 스크린호스트에서 출발한 트래픽만 허용하고 나머지는 거부하게 된다. 그래서 내부와 내부네트워크사이의 경로는 외부 네트워크 - 스크린 라우터 - 스크린 호스트 - 내부 네트워크 이외의 경로는 결코 허용하지 않게 된다. 이 스크린 호스트도 결국 베스쳔 호스트, 이중 네트워크 호스트의 개념이 집합된 시스템이다.
[그림 7] 스크린 호스트 게이트웨이
자. 스크린 서브넷(Screen Subnet)
스크린 서브넷은 일명 DMZ(DeMiliterization Zone)의 역할을 외부 네트워크와 내부 네트워크사이에 두겠다는 것으로서 완충 지역 개념의 서브넷을 운영하는 것이다. 여기에 스크린 라우터를 이용하여 이 완충 지역을 곧장 통과 못하게 하지만 외부 네트워크에서도 내부 네트워크에서도 이 스크린 서브넷에 접근할 수는 있다. 특히 어떤 기관에서 외부로 공개할 정보 서버(Information Server), 즉 익명FTP서버, 고퍼(Gopher) 서버, 월드와이드웹(WWW) 서버 등을 여기에서 운영하면 된다.
[그림 8] 스크린 서브넷
차. 암호 장치(Encryption Devices)
암호 장치는 어떤 기관의 네트워크가 공공의 인터넷을 통해 여러 지역으로 분산되어 있을 경우에 적합하다. 즉 어떤 본사 네트워크가 방화벽 시스템을 구축하였을 때 지역적으로 떨어진 지점 네트워크도 본사 네트워크처럼 보호되어야 하는 것이다. 이 경우 본사와 지점 네트워크간에 인터네트로 연결되었다면 안전을 보장하기 어려우므로 두 지점 사이를 암호 장비를 이용하여 가상 사설 링크(VPL, Virtual Private Link)로 만들어 운영하면 된다. 그러므로 서 두 개의 네트워크는 하나의 안전한 네트워크로 만드는 것이다. 종단간 암호 방식은 데이터나 패스워드 등이 도청 되는 것을 막는 방식을 원하는 사설 백본(Private Backbone)에 여러 인터넷 접속점을 가진 기관에서 유용할 것이다.
[그림 9] 암호 장치
2. 방화벽의 원리
1) 패킷 필퍼링 구조
① 패킷필터링의 작동 원리
패킷 필터링은 OSI의 4 레이어에 해당하는 트랜스포트 레이어에서 네트웍 패킷을 감시하는 처음 세대의 방화벽 기술이다. 이것은 패킷이 내부 혹은 외부로 향하고 있는 거와 같은 방향성과 패킷의 IP나 TCP 헤더에 있는 정보를 정보를 보고 정해진 규칙에 의하여 허락한다. 패킷 필터링은 대부분 다음과 같은 기준으로 데이타 전송에 대하여 허가나 거부할 수 있다.
② 패킷필터링의 장점
· 패킷 필터링은 다른 방화벽 기술보다 빠르며 하드웨어 솔루션으로 쉽게 구현할 수 있다.
· 패킷 필터링은 클라이언트에 별도의 컨피규레이션이 필요없다.
· 네트웍 어드레스 트랜스레이션과 연계하여 외부 사용자에게 내부의 IP주소 노출을 막을 수 있다.
· 인터넷상의 특정 호스트와 내부 호스트간에 통신을 막을 수 있다.
③ 패킷필터링의 단점
· 패킷 필터링은 애플리케이션 레이어의 프로토콜을 인식하지 못한다.
따라서 FTP의 GET.PUT 같은 명령어에 대한 액세스에 대하여 통제할 수 없다. 이런 이유 때문에 패킷 필터링이 서킷 레벨이나 애플리케이션 레벨의 방화벽보다 덜 안전하다고 말하는 것은 이 이유때문이다.
· 패킷 필터링은 세션이나 애플리케이션상의 정보에 대하여 상태를 인식 할 수 없다. 패킷 필터링은 HTTP 캐싱이나 URL 필터링 기능을 지원하지 못한다.
· 모니터링 기능이 제한적이다.
2) 서킷 레벨 방화벽 구조
① 서킷 레벨 방화벽의 작동 원리
서킷 레벨 방화벽은 21세대 방화벽 기술로서 상호 트랜스포트 레이어간에 연결에 대한 요청이나 데이타 패킷에 대한 인증을 해주는 기능을 가지고 있다. 따라서 서킷 레벨 방화벽은 인가된 연결 설정인가를 조사하여 이 과정이 끝나기 전에는 데이터 패킷의 전송이 이루어지지 않도록 하는 것이다.
방화벽은 인가된 연결테이블을 가지고 있으므로 패킷이 이 테이블에 있는 정보를 가지고 있을 때에만 전송을 허락한다. 그리고 이 연결이 종료되면 테이블에서 삭제한다.
· 연결에 대한 고유한 세션 ID(트래킹 목적)
· 연결에 대한 상태(신호변경/확립/종료)
· 순서정보
· 원 IP 주소
· 목적지 IP 주소
· 패킷이 유입되는 물리적 네트웍 인터페이스
· 패킷이 나가는 물리적인 네트웍 인터페이스
② 서킷 레벨 방화벽의 장점
· 서킷 레벨 방화벽은 애플리케이션 레이어 방화벽보다 빠르다.
· 네트웍 어드레스 트랜스레이션과 연계하여 외부 사용자에게 내부의 IP주소 노출을 막을 수 있다.
· 인터넷상의 특정 호스트와 내부호스트간에 통신을 막을 수 있다.
③ 서킷 레벨 방화벽의 단점
· 서킷 레벨 방화벽은 TCP 이외의 다른 프로토콜에 대한 필터링이 불가능하다.
· 서킷 레벨 방화벽은 상위 레이어에서의 보안 체크가 불가능하다.
· 서킷 레벨 방화벽은 HTTP 캐싱이나 URL 필터링기능을 지원하지 못한다.