모든 광대역 장비들에서와 마찬가지로, 방화벽은 기본적인 접속성, 즉 10/100Mbps 포트, 클라이언트 및 서버 모두의 DHCP, 로컬 관리 및 NAT(Network Address Translation) 등을 지원해야 한다. 빌트인 허브나 스위치 및 무선 액세스 포인트 등과 같은 다른 사양도 중요하지만, 그것은 단지 경우에 따라서다. 소호(SOHO) 방화벽이 기간 업무 네트워크를 보호하고 있다면, 대역 외 관리, 즉 비상 복구를 필요로 할 경우 모뎀이나 터미널 서버를 연결할 수 있는 시리얼 포트 등과 같은 것도 반드시 갖춰 두어야 한다.
방화벽은 NAT 기능 수행
NAT와 방화벽을 확실하게 짚고 넘어가기로 하자. 방화벽은 경계 지점을 넘어서는 액세스를 제어한다. 이는 일부 트래픽은 통과시키면서 다른 트래픽은 거부할 수 있게 해준다는 의미다. 트래픽의 허용 및 차폐에 사용되는 규정은 보안 정책(security policy)이란 말로 더 잘 알려져 있다. 이러한 규정이 있으면, IP 어드레스, 포트 번호 및 애플리케이션 데이터 등, 데이터 패킷 안에 있는 수많은 필드들을 기반으로 액세스를 제어할 수 있다.
반면 NAT는 NAT 게이트웨이의 한쪽 면에 있는 IP 어드레스를 다른 쪽 면에 있는 것으로 단순히 번역해준다. 업체에서 NAT를 어떻게 이행하느냐에 따라 방화벽 규정을 만들 때 사용한 것과 같은 정보를 기반으로 NAT 규정을 만들 수 있을 것이다. 하지만, NAT가 하는 유일한 일은 IP 어드레스를 바꾸는 일이다.
NAT를 이용해 확보된 보안은 어떤 것이건 하나의 유용한 부수적 효과다. 일부 NAT 장비들은 외부 포트 번호를 내부 서버로 통계적으로 매핑해줌으로써 내부 서버로의 인바운드 접속을 허용하는 내부 규정을 정의할 수 있게 해주기도 하지만, 이것이 방화벽이 될 수는 없다.
방화벽과 NAT을 차이는 중요한데, 그 이유는 명확하게 정의되고 전략적으로 이행되는 정책은 방화벽을 가로지르는 어떤 방향의 트래픽이건 제어해줄 것이기 때문이다. 당신은 분명 인터넷과 같은 비신용 네트워크에서 내부 네트워크로 향하는 트래픽을 제어하고 싶을 것이며, 우리 모두는 당신이 방화벽으로 그 일을 할 수 있다는 사실을 알고 있다.
물론, NAT 라우터로도 어느 정도 할 수는 있다. 하지만 내부 네트워크를 떠나는 트래픽을 제어하고 싶을 것이다(이것을 이그리스 필터링[egress filtering]이라고 부른다). 많은 경우, 직원들이 내부 네트워크 밖에서 작업하는 데는 HTTP, HTTPS(HTTP Secure), SMTP 및 DNS 등과 같은 공통 프로토콜이 필요하며, 필요한 경우 더 많은 프로토콜을 추가할 수도 있다. 외부로 향하는 액세스를 제한함으로써, 공격과 공격 이용을 훨씬 더 어렵게 만들 수 있다.
비록 NAT는 방화벽이 아니지만, 방화벽은 NAT 기능을 수행할 수 있다. 많은 경우, 소호 방화벽에 NAT를 둘 필요가 있는데, 그 이유는 대다수 조직들처럼 당신의 회사도 자체의 어드레스 공간을 갖고 있지 않거나, 모든 원격 사이트들을 지원할 만한 충분한 어드레스 공간을 갖고 있지 않을 것이기 때문이다.
