문제는, 방화벽과 DMZ는 반드시 정확하게 셋업돼야 한다는 것이다. 간단하게 들리고, 숙련된 관리자라면 그렇게 되겠지만, 네트워크를 지키는 책임을 맡고 있는 모든 사람이 이런 기술을 갖고 있는 것은 아니다. 이 입문서를 쓸 때 우리가 염두에 둔 사람들은 경험이 부족한 관리자들이다. 기본적인 것들을 갖추고 있는 사람이라면, 이 기사는 뛰어넘어도 좋다.
액세스 제어가 전부다
규칙 1: 방화벽은 액세스 제어에 대한 모든 것이다. 당신은 어떤 포트를 열어두어야 할지, 어떤 것을 금지해야 할지, 그리고 어떤 IP 어드레스나, 혹은 전체 네트워크를 차폐해야할지를 지정하는 규정 세트를 만들게 된다. 네트워크 에지에 있는 방화벽은 적절히 구성되었을 경우에만 효력을 발휘한다. 그리고 내부의 트래픽을 잊어서는 안 된다. 즉, 방화벽은 단순히 인터넷 접속용만이 아니다. 이들은 내부 네트워크의 한쪽 편에서 다른 쪽으로의 액세스를 제어하는 데도 사용돼야만 한다. 아마 당신은 바로 앞 책상에 있는 순진한 인턴 사원이 당신의 결제 시스템을 공격하려 시도할 수도 있다는 사실을 결코 알지 못할 것이다.
방화벽에는 다음과 같은 세 가지 종류가 있으며, 보안과 성능에 있어 각각 장단점을 갖고 있다:
■ 패킷 필터 방화벽
가장 간단한 방화벽은 패킷 필터며, 패킷 필터 방화벽은 라우터, 광대역 모뎀, NAT 박스, 고급 스위치, 트래픽 쉐이퍼 등의 장비에 탑재돼 있는 경우가 많다. 이것은 패킷 필터 방화벽이 업체들로서는 개발이 쉽고 CPU를 거의 필요로 하지 않으며 금전적 부담이 많지 않기 때문이다.
패킷 필터는 이전 패킷에 대한 어떠한 정보도 없이 한 번에 하나의 패킷씩, 각 트래픽이 당신의 규정 세트에 맞는지에 대해 조사한다. 보통, 규정들은 소스 어드레스와 포트, 혹은 목적지 어드레스 및 포트를 기반으로 한다. 일부 패킷 필터 방화벽은 SYN 패킷과 같은 TCP 플래그를 살펴볼 수 있게 해주지만, 이것은 특히 수동으로 해야 할 경우 시간이 많이 걸릴 수 있다. 패킷 필터 방화벽은 특정 트래픽 유형을 걸러내는 데 유용하다.
하지만 패킷 필터에는 몇 가지 중요한 보안 약점이 있다. 이들은 IP 스푸핑의 여지가 있다. 이들은 TCP 시퀀싱 수를 볼 수가 없다. 가장 큰 약점은 접속이 내부에서 이루어졌는지 외부에서 이루어졌는지를 판단할 수가 없다. 외부의 누구든지 공통 소스 포트인 53(DNS)이나 80(HTTP)을 가진 패킷을 보낼 수 있으며, 전체 내부 네트워크를 효과적으로 스캐닝할 수 있다.
