작동 방법
대부분의 방화벽은 네트워크를 통해 전송되는 데이터 패킷의 헤더만을 본다. 하지만 가장 철저한 보안을 원한다면 SPI(Stateful Packet Inspection) 기능을 제공하는 방화벽이 좋은데, 이런 방화벽은 단순히 패킷 헤더를 기반으로 작동하고 규정을 정하지 않고 패킷의 내용을 검토하기 때문이다.
SPI가 지원되는 방화벽은 원격 로케이션에서 부당하거나 법적으로 문제의 소지가 있는 자재로의 액세스를 거부하기 위해 웹 콘텐츠 필터링에 사용될 수 있다. SPI는 또한 방화벽이 애플리케이션 기반 보안의 수단을 제공함으로써 특정 이메일이나 IM 기반의 위협에 대한 방어막 역할을 할 수 있게 해준다. 안티바이러스, 안티스팸 및 서프가딩(surf guarding) 소프트웨어와 연계해 사용될 경우 SPI는 소호 PC 기반의 애플리케이션과 이들 너머의 네트워크용으로 강력한 보안을 제공할 수 있다.
네트워크에 연결된 소호의 기능이 얼마나 복잡하냐에 관계없이 기업의 IT 직원은 모든 방화벽 설정에 액세스를 갖고 있어서 완벽한 분산 네트워크 보안을 보증할 수 있어야 한다. 소호 방화벽용의 가장 일반적인 관리 인터페이스는 브라우저 기반이지만, 관리자가 다른 옵션을 선호할 수도 있다. 예를 들어 시리얼 관리 인터페이스는 인터페이스 오구성(misconfiguration)이나 다른 네트워크 문제가 생겼을 때 방화벽으로 24/7 CLI(Command Line Interface)를 허용할 수 있다.
시리얼 인터페이스의 안전망 영역 너머에서 많은 방화벽에 의해 지원되는 CLI는 시스코의 IOS와 유사하다. 이것은 IT 직원에게는 보다 친숙할 것이며, 네트워크 기술자가 웹 브라우저를 통해 가능한 것보다 더 신속하게 방화벽을 셋업할 수 있게 해준다.
소호 방화벽을 원격으로 관리할 계획이라면 보안 액세스가 필요할 것이다. 제안된 방화벽이 SSH(Secure Shell)나 SSL(secure Sockets Layer)을 지원하는지 확인해 보라. SSH는 원격 관리용으로 가장 일반적인 인터페이스지만 인증 증명서에 통합된 SSL 트랜잭션도 또한 유용할 것이다.
규정, 간단한 것에서 복잡한 것까지
간단한 방화벽에는 구성된 규정이 함께 있지만, VoIP나 IM, 혹은 다른 맞춤 애플리케이션을 사용할 경우에는 자체적으로 규정을 추가하고 싶을 수 있다. 허용되는 맞춤 규정의 수와 이행에서의 편이는 초기 비용과 배치 비용 모두에 영향을 미칠 것이다. 때문에 기업 보안 팀과 협의해 필요한 맞춤 규정의 수를 결정해야 한다.
소호 배치용으로 나온 방화벽은 기본적인 보안 기능 이상을 제공할 수도 있다. 대다수 기업들은 자신들의 소호가 VPN을 통해 연결되기를 요구하고 있으며, 많은 VPN 애플리케이션들에 있어서는 트래픽의 각 방향으로 하나씩 두 개의 VPN 터널이 수립돼야 한다. 네트워크 인프라에서 수많은 애플리케이션이나 로케이션용으로 별도의 VPN 터널을 사용하고 있다면 이를 지원하는 방화벽을 선택하라.
배치를 단순화하고 장비 수를 적게 유지할 수 있는 한 가지 방법은 DHCP와 NAT(Network Address Translation)을 통한 로컬 네트워크의 역동적 어드레싱이다. 하나 이상의 광대역 인터페이스와 함께 이들을 포함하고 있는 방화벽이라면 케이블이나 DSL 모뎀과 라우터를 하나의 어플라이언스로 대체해줄 것이다. 표준화된 소호 라우터가 없다면 DHCP와 NAT를 제공하는 방화벽은 광대역 모뎀과 짝을 이뤄 원격 오피스에서 필요로 하는 모든 네트워크 인프라를 제공할 수도 있다. 다중 왠 인터페이스(광역이나 다이얼업)는 ISP 고장이 발생했을 때 페일오버(failover) 옵션을 제공해준다. 이러한 페일오버는 원격 네트워크의 외부로부터 액세스가 가능한 웹이나 메일, 혹은 애플리케이션 서버가 방화벽으로 보호되고 있을 경우 특히 중요해진다.
공개적으로 액세스가 가능한 서버를 보유하고 있다면 DMZ(demilitarized zone) 능력이 있는 방화벽이 필요할 정책에 의해 다스려지는 게 아닌 별도의 물리적 인터페이스를 통해 방화벽으로 연결된다. DMZ에 배치된 시스템들은 외부 시스템에서 직접 어드레싱될 수 있으며, 보통 DoS(Denial of Service) 공격으로부터 보호되고, 네트워크와 격리됨으로써 보다 파괴적인 침입을 위한 발판으로 사용될 수 없게 된다.
네트워크 인증은 보너스
소호 방화벽이 로컬 네트워크 외부로부터의 허용되지 않은 액세스를 막는 것뿐만 아니라 MAC(Media Access Control) 어드레스 인증, 간단한 이름/패스워드 액세스 제어 목록, 혹은 내부 래디우스 서버 등을 이용해 로컬 네트워크로 연결된 클라이언트에 대한 인증을 제공할 수도 있다. 일부 방화벽들은 또한 네트워크용으로 배치된 외부의 래디우스, NTLM, 혹은 802.1x 서버로 패스쓰루(pass-through) 인증을 지원하기도 한다. 방화벽에 네트워크 인증 지원이 포함되야 한다고 주장하기 이전에, 자신의 필요와, 서로 다른 인증 방안들이 얼마나 편리하게 채택 혹은 통합될 수 있는지를 철저히 살펴봐야 한다.
SNMP 지원은 소호가 네트워크 관리 콘솔을 통해 내부적으로 관리될 경우, 혹은 중앙 네트워크 관리자가 관리되는 기업 네트워크 안에 소호 인프라를 포함할 경우 매우 중요하게 된다. SNMP가 지원된다면 그 이행에는 트랩(trap)만 포함될 수 있고, gets나 sets가 추가될 수도 있으며, 이러한 추가물은 방화벽의 보다 적극적인 원격 관리를 허용해줄 것이다. SNMP가 자신의 원격 네트워크 관리에 반드시 필요하다면 SNMP가 지원되는지, 그리고 모든 레벨의 SNMP 기능이 존재하는지를 확인해야 한다.
모든 기업들에게 있어 로깅(logging)은 필수다. 방화벽이 어떤 형태의 로깅(syslog, 내부 로깅, 혹은 서버 로깅)을 지원하는지 점검하라. 그런 다음 로깅 방안이 관리자에게 유용한 정보를 제공하는지, 혹은 네트워크 관리 툴에 의해 캡처되고 사용될 수 있는지 여부를 확인해 보라.
방화벽은 네트워크에 있는 소호에게는 필수품이다. 올바른 방화벽은 공격과 침입으로부터의 보호해줄 뿐만 아니라 애플리케이션을 지원하며 필요한 네트워크 어드레스 및 구성 기능도 제공한다. 구입하게 될 방화벽이 자신의 회사에 가장 잘 들어맞는지, 그리고 이것이 향상된 애플리케이션 성능과 강화된 보안, 보다 낮은 총 인프라 비용으로 보답을 해줄 것인지 시간을 투자해 신중히 검토하라. 
소호 방화벽 체크리스트
1) 지원되는 VPN 채널은 몇 개인가? |
