NGFW 차세대 방화벽은 애플리케이션을 포함 다양한 외부 위협을 방어하는 동시에 IPS, 안티바이러스, 안티 스팸과 같은 기능을 통합한 보안장비 입니다. 이 문서에서는 NGFW의 주요기능 및 기존 방화벽과 차이를 정리하였습니다.
NGFW 차세대 방화벽
기존 방화벽 비교
이전 세대까지의 방화벽 솔루션은 단순한 패킷 필터링이나 상태기반 방식으로 상위 OSI 계층에 대한 감시 기능이 부족했습니다.
위의 그림과 같이 기존 L4 이하 구간에서 동작하던 기존 방화벽의 한계를 벗어나 L7 구간까지의 위협을 분석하고 탐지할 수 있습니다. 이를 통해 포트나 프로토콜 레벨을 벗어나 보다 정교한 공격에 대해 대응이 가능합니다.
기능 | 기존 방화벽 | 차세대 방화벽 |
동작 계층 | Network(IGMP, ICMP, ARP) Transport(TCP, UDP) 계층에서 동작 | 기존세대 + 애플리케이션 7 Layer 분석(FTP, DNS, HTTP 등) |
이용 기술 | 패킷필터링, 상태기반 | 애플리케이션 콘텐츠 및 사용자 문맥 분석 |
특징 | 400Mbit 의 낮은 Throughput, 복잡하고 낮은 성능 | 10Gbit 이상 고성능 (싱글보드 기준) 및 통합관리 기능 제공 |
기능 활용 사례
실제 사용사례를 통해 차세대 방화벽의 기능에 대해 쉽게 이해해보도록 하겠습니다. 예를 들면, 다음과 같은 다양한 사용케이스 적용이 가능합니다.
- 모든 사원은 SNS 사용을 금지한다. (단, 사내 메신저는 가능하도록 한다)
- 부서별로 필요한 SNS 기능은 허용한다. (마케팅팀의 Facebook, Twitter 사용은 허가)
- 모든 사원의 업무시간 게임 접속은 금지한다. (단, QA 팀의 접속은 허가한다)
- 사내의 토렌트 접속은 상시 허용하지 않는다.
기존의 방화벽 시스템이라면 위와 같은 애플리케이션 레벨의 자세한 제어는 불가능하지만, 차세대 방화벽의 경우 사용자 및 콘텐츠의 식별이 가능합니다. 이런 다양한 기능외에도 IPS 탐지, DDoS 방어, DLP 및 APT 공격기법까지 탐지 가능한 차세대방화벽 솔루션들이 나오고 있습니다. 이와 관련한 정보는 다음을 참고 바랍니다.
주요 기능
1. 진화된 식별 기술 : 애플리케이션, 사용자, 콘텐츠
차세대 방화벽의 대표적인 기능을 꼽으라면 애플리케이션, 사용자, 콘텐츠를 구분할 수 있고 이에 대한 손쉬운 제어가 가능하다는 점입니다.
식별 기능 | 설명 |
애플리케이션 식별 | 기존 방화벽은 OSI 3, 4 Layer 만을 구분했기에, 포트나 IP를 변경함으로서 간단히 방화벽을 우회할 수 있었습니다. 하지만 NGFW는 애플리케이션 영역의 패킷까지 구분가능하며, 포트와 주소를 변경해도 감지가 가능합니다. |
사용자 식별 | 사용자 레벨, 그룹 레벨별로 구분하여 각 애플리케이션 별 정책 허용여부를 설정할 수 있습니다. LDAP, eDictionary와 연동하여 사내 보안정책을 수립하는 것도 가능합니다. |
콘텐츠식별 | 보통 외부 공격은 이메일이 스팸이나 악성첨부파일, 악성코드가 첨부된 URL 방문 등을 통해 행해집니다. NGFW은 이에 대한 필터링 및 감지가 가능합니다. |
차세대 방화벽 솔루션은 업체마다 조금씩 특징이 다르지만 가트너의 요구사항에 의하면 다음과 같은 기능을 가져야한다고 권고하고 있습니다. 솔루션 선택 시 기본 요구사항으로서 참고하실 수 있습니다.
가트너 차세대 방화벽 요구기능
- 포트기반이 아닌 프로그램 기반 식별 가능 (암호화, 우회기술, 프로토콜에 상관없이 식별가능해야 함)
- IP 주소 기반이 아닌 사용자 기반 식별 가능
- 실시간 콘텐츠 검사: 유입되는 악성코드, 위협의 빠른 감지 및 대응이 가능
- 간편한 정책관리: 다양한 정책을 쉬운 인터페이스를 통해 제어 가능
- 논리적 경계설정: 물리적, 논리적 경계의 확장 및 제어가 가능 (출장중, 재택근무중인 자의 안전한 보호 가능)
- 멀티 기가비트급 처리능력: 낮은 지연율 높은 대역폭 제공
기존 방화벽도 Proxy 기능 기반으로 제한된 애플리케이션 기반 제어를 가능하게 하였으나, 처리용량의 한계점을 가지고 있습니다.
2. 처리능력: 멀티 기가급 성능
기존에는 기가급 데이터 스루풋을 처리하기가 어려운 경우가 많았습니다. 하지만 차세대 방화벽의 경우 Single 보드당 10Gbps 이상의 데이터 처리가 가능합니다.
3. 관리 및 설정의 편의성
이와 같은 다양한 부가기능에 대해 관리자가 쳬게적이고 통제된 방식으로 신속하게 설정할 수 있다는 점도 큰 메리트의 하나입니다. 가령, 특정 기능의 개방(허용) 절제(허용 후 검사) 및 QoS 제어, 스케줄링 같은 복잡한 설정을 간단히 할 수 있다는 점도 유지보수 비용과 부담을 줄여주는 장점입니다.
참고로 유사한 보안 솔루션으로 UTM 통합위협관리 시스템이 있습니다. 이는 다양한 보안기능을 하나로 통합하여 가성비 측면에서 NGFW 보다 우수한 장점이 있습니다. 따라서 저렴한 비용으로 보안 솔루션을 구축하려는 중소기업에서 많이 도입합니다. 이와 관련한 정보는 다음을 참고 바랍니다.
이상으로 NGFW 차세대 방화벽 주요기능 및 기존 방화벽과 차이점을 비교해 보았습니다.