방화벽의 유형

방화벽은 TCP/IP 모델의 각 계층을 통해 이동될 때 데이터에 추가되는 다른 L2, L3, L4 및 L7 패킷 헤더의 조합에 따라 작업을 수행합니다.

계층 3 또는 계층 4 방화벽에서 작업은 소스/대상 IP, 포트 및 프로토콜에 따라서만 수행됩니다. 네트워크 연결의 작동도 추적됩니다. 이러한 유형의 방화벽은 상태 저장 방화벽이라고 합니다.

계층 7 또는 컨텍스트 인식 방화벽은 계층 3 및 계층 4 방화벽이 수행하는 모든 작업을 수행할 수 있습니다. 또한 패킷 내용을 지능적으로 검사할 수 있습니다. 예를 들어, 특정 IP 주소에서 모든 HTTP 요청을 거부하도록 계층 7 방화벽 규칙을 작성할 수 있습니다.

규칙 정의 및 패킷 캡처

컨텍스트 인식 방화벽에 대해 5-튜플 이상의 규칙을 생성할 수 있습니다. 올바른 규칙을 생성하는 데 필요한 수만큼 튜플을 계속 추가할 수 있습니다. 지원되는 유일한 특성은 프로토콜 및 사용자이며, 규칙마다 사용자 또는 프로토콜이 있을 수 있습니다. 이러한 항목은 표준 소스/대상 필드에 있을 수도 있고, 추가 특성의 끝에 추가할 수도 있습니다.

다음 규칙에는 7-튜플이 있습니다.

가상 시스템에 대해 컨텍스트 인식 방화벽이 구성되면 DPI(분산 상세 패킷 검사) 특성이 5-튜플과도 일치해야 합니다. 여기에서 규칙이 처리되고 다시 검증되며 올바른 규칙을 찾을 수 있습니다. 작업에 따라 흐름이 생성되거나 삭제됩니다.

수신되는 패킷에 대해 규칙이 처리되는 방식은 다음과 같습니다.

1. DFW 필터를 입력하면 5-튜플 기준의 흐름 테이블에서 패킷이 조회됩니다.
2. 흐름/상태가 없는 경우 5-튜플 기준의 규칙 테이블에서 일치하는 흐름이 있는지 검색되고, 흐름 테이블에 항목이 생성됩니다.
3. 흐름이 계층 7 서비스 개체가 있는 규칙과 일치하는 경우 흐름 테이블 상태는 "DPI 진행 중"으로 표시됩니다.
4. 그런 후 트래픽이 DPI 엔진에 펀트됩니다. DPI 엔진은 APP_ID를 확인합니다.
5. APP_ID가 확인되면 DPI 엔진은 이 흐름에 대한 컨텍스트 테이블에 삽입되는 특성을 전송합니다. "DPI 진행 중" 플래그가 제거되고 트래픽은 더 이상 DPI 엔진에 펀트되지 않습니다.

6. 흐름(이제 APP-ID 포함)은 5-튜플에 따라 일치하는 원래 규칙부터 시작하고, 일치하는 L4 규칙이 먼저 적용되지 않도록 APP_ID와 일치하는 모든 규칙을 기준으로 다시 평가됩니다. 적절한 작업(허용/거부)이 수행되고, 그에 따라 흐름 테이블 항목이 업데이트됩니다.

실제로 컨텍스트를 정의하지 않고도, L3 또는 L4 규칙과 정확히 동일한 컨텍스트 인식 방화벽 규칙이 있을 수도 있습니다. 이러한 경우 더 많은 특성이 있을 수 있는 컨텍스트를 적용하기 위해 유효성 검사 단계가 수행될 수 있습니다.

컨텍스트 인식 방화벽 워크플로