방화벽 구매에 앞서 먼저 적극적인 보안 정책을 수립해야 한다. 이 정책은 기업에서 필요로 하는 방화벽 유형을 파악할 수 있게 도와준다. 그 다음에는 당신이 제공하고 있는 액세스를 감안해, 네트워크가 노출될 취약성을 밝혀내야 한다. 예를 들어, 만약 공중 웹사이트를 운영하고, 백엔드 데이터베이스에서 역동적 컨텐츠를 끌어오고 있다면, 공중 네트워크에서 방화벽을 통과해 웹 서버를 거쳐 백엔드 데이터베이스로 들어오는 데이터 경로를 만들어내고 있는 셈이다.
대부분의 방화벽은 애플리케이션 계층 공격으로부터 네트워크를 보호해주지 않기 때문에 연결고리의 각 지점마다 보안을 해야 하며, 방화벽을 하나의 액세스 지점으로 취급해야 한다. 마지막으로, 조직 내의 모든 사람이 보조 보안 방안을 취하도록 해야 한다. 즉, CEO 데스크탑에 허가 받지 않은 모뎀이 있거나, 단순히 당신의 상관만이 사용할 수 있는 원격 제어 소프트웨어가 있어서는 안된다.
성능 Vs. 보안
기업용 방화벽 시장에는 두 가지 기본 유형이 있는데, SPF(Stateful Packet Filter) 방화벽과 애플리케이션 프록시 방화벽이다. 체크포인트 소프트웨어 테크놀로지스의 파이어월-1 NG(FireWall-1 NG), 시스코시스템즈의 PIX 및 넷스크린 제품 등과 같은 SPF 장비들은 최고 레이어 4까지 패킷을 검토하며, 드문 경우지만 그 이상 약간 더 올라가기도 한다(예를 들어 어떤 것들은 FTP도 지원한다). 애플리케이션 프록시 방화벽보다 SPF 방화벽이 보다 잘 수행되는 경향이 있는데, 그 이유는 흐름당(per-flow) 프로세싱을 덜 하기 때문이다.
네트워크 어쏘시에이츠 테크놀로지의 건트리트(Gauntlet), 시큐어컴퓨팅(Secure Computing Corp.)의 사이드와인더(Sidewinder) 및 시만텍의 엔터프라이즈 파이어월(Enterprise Firewall: 구 악센트의 랩터) 등과 같은 애플리케이션 프록시 방화벽들은 최고 애플리케이션 계층까지 전체 패킷을 검토하며, 내부 서버로 전달되는 트래픽의 유형에 대해 관리자에게 보다 많은 통제권을 준다.
예를 들어, HTTP 애플리케이션 프록시는 ‘gets’는 허용하지만 ‘posts’는 제한하도록 구성될 수 있다. 즉, 이것은 특정 길이로 URL을 제한함으로써 버퍼 범람 공격을 방지할 수 있게 해주며, 실행 가능한 것들(executables) 및 기타 질 나쁜 컨텐츠 등과 같은 MIME 유형을 제한 및 스트리핑할 수 있다. 애플리케이션 프록시들은 보통 SPF 방화벽보다 더 느린데, 그 이유는 이들이 더 많은 프로세싱을 수행하기 때문이다.
SPF 방화벽이 우리 분석 기사에서 애플리케이션 프록시 방화벽보다 높은 점수를 받을 때마다 우리는 항의의 메일들을 받았는데, 논쟁의 주제는 언제나 같았다. 즉, 보안을 원한다면 애플리케이션 프록시가 유일한 선택이라는 것이다. 이 말은 맞기도 하고 틀리기도 하다. 물론, 애플리케이션 프록시가 더 나은 보안을 제공하는 것은 사실이지만, 여기에는 성능의 희생이 따른다. 테스트에서 프록시 기반 방화벽들은 SPF 장비들보다 평균 50% 더 느린 속도를 보여 주었다.
왠 접속(즉 T3나 그 이하)에서 방화벽을 가동하고 있다면, 그리고 수 만 개에 달하는 동시 접속을 갖고 있지 않다면 프록시 기반 방화벽이 최선의 선택일 수 있다. 하지만 기존의, 그리고 앞으로의 트래픽 레벨을 알고 있어야 하며, 그 정보를 공급업체와 공유함으로써 적절한 하드웨어를 선택하는 일을 도울 수 있게 해야 한다. 물론, 외부 부하조절기를 이용해 언제나 방화벽 부하조절을 할 수 있다.
반면에, 붐비는 사이트를 운영하고 있으며, 병목을 감당할 수 없다면, SPF 방화벽을 택해야 한다. SPF 장비는 확장성이 더 뛰어나며, 더 많은 접속을 지원하지만, 프로토콜 규정에 맞는 트래픽은 어떠한 것이건 통과시키기 때문에 버퍼 범람이나 애플리케이션 공격이 이루어질 수 있다. 최적 성능이 우선 요건이라면, 웹 서버와 백엔드 서버가 잘 보호되고 패칭되도록 해야 한다.
VPN에서처럼 CPU 부담이 큰 프로세싱을 포함시킬 때는 성능이 보다 중요해진다. 공개 키 암호화와 대량 암호화는 아무리 강력한 CPU라도 굴복시킬 수 있으며, 사실상 방화벽 성능을 죽여버린다. 시장에 나와 있는 거의 모든 방화벽이 VPN을 지원하며, 이것은 가끔씩 유용하긴 하다. 하지만, 많은 VPN을 지원하거나, 대규모 사용자 기반을 지원할 예정이라면, 암호화 작업처리 성능을 극대화시키도록 설계된 전용 하드웨어로 VPN을 이동시키는 게 좋다.
체크포인트의 파이어월-1이나 시스코의 PIX처럼 범용 CPU에서 실행되는 방화벽은 중간급 대역폭 애플리케이션에서도 지탱을 할 수가 없다(암호 가속기가 있다 하더라도). 넷스크린 제품과 같은 일부 하드웨어 방화벽은 거의 모든 프로세싱을 하드웨어에서 하기 때문에, VPN 암호화 프로세싱에 의해 방해받지 않지만, 이러한 성능 향상을 위해서는 얼마간의 유연성을 포기해야 할 것이다.
