Firewall: 침입차단 시스템

Firewall 은 "침입 차단 시스템" 이라 알려져 있다. 보안 솔루션중에는 가장 기본이 되는 솔루션으로서, 말 그대로 침입을 차단해 주는 역할을 한다. 침입을 어떻게 차단하는가? Firewall 은 일반적으로 Router 의 바로 뒤에 연결되어, 외부 망과 내부 망의 연결을 감시한다. 그리고 IP 주소와 Port 번호를 기준으로 정해진 경로가 아닌 모든 패킷을 차단하는 것이다. 가령 네트워크가 다음과 같은 구조로 이루어져 있다고 해 보자.


<PRE>
( 인터넷 ) ----[Router]---[Firewall]---+-- ( 직원용 인트라넷 )
                                       |
                                       +-- 192.168.10.1 (웹 서버)
</PRE>

위의 네트워크에는 웹 서버가 1대 작동되고 있다. 웹 서버는 정규포트 80번을 통해 서비스를 수행하는데, 따라서 웹 서버가 필요로 하는 포트는 오직 80번 뿐이다. 그리고 웹 서버는 말 그대로 서비스를 수행해주는 서버이므로, 외부로부터의 연결을 받아들이기만 하면 되고 웹 서버 자체가 직접 연결을 시도하지는 않는다. 이러한 경우에 Router 의 바로 뒤에 있는 Firewall 은 다음과 같은 규칙에 따라서 패킷을 차단할 수 있다.

192.168.10.1 (웹서버)을 위한 Firewall 규칙(Rule)
* 192.168.10.1 을 Source IP 로 하고, 패킷 내의 플래그중 오직 SYN 만이 설정된 패킷이 있다면 그것은 웹 서버가 외부로 연결을 시도하는 것으로 간주하여 차단한다.
* 192.168.10.1 을 Source IP 로 하고, 80번이 아닌 Source Port 번호를 갖는 패킷이 있다면 그것은 웹 서버가 수행해야 할 포트 이외의 포트가 사용되고 있음을 의미하므로 차단한다.
* 192.168.10.1 을 Destination IP 로 하고, 80번이 아닌 Destination Port 번호를 갖는 패킷이 있다면 그것은 웹 서버가 수행해야 할 포트 이외의 포트가 사용되고 있음을 의미하므로 차단한다.

이와 같이 3개의 규칙이 Firewall 에 설정되어 있다면, 외부에서는 웹 서버의 80번 포트로밖에 접속을 시도할 수 없을 것이다. 이와 같이, 외부에서 접근할 수 있는 경로를 규칙모음(RuleSet)으로 정해두고 그 규칙에 따라 패킷을 차단하는 장치를 Firewall 이라 한다.

Firewall 은 그 특성상 서버의 앞쪽에 위치하여 서버로 향하는 모든 패킷을 미리 받아보고, 그 패킷의 TCP/IP 헤더를 검사하여, 허가된 주소로 가는 패킷인지 허가된 포트로 가는 패킷인지를 판단한 뒤에, 정상이라고 판단되면 그 패킷을 다시 서버에게 보내준다. Firewall 은 서버로 향하는 네트워크 패킷을 자신이 먼저 받아서 복잡한 분석/비교 과정을 거치기 때문에 Firewall 이 설치되어 있는 네트워크는 그렇지 않은 네트워크보다 느리다. 게다가 Firewall 은 단지 목표 IP 와 목표 Port, 출발지 IP 와 출발지 Port 만을 기준으로 패킷의 정상/비정상 여부를 판단하기 때문에 실제로 웹 서버를 통한 공격에는 무방비로 노출될 수 밖에 없다. 가령, 웹 서버내의 PHP 파일이 가진 취약점을 이용하는 경우, 그것은 어디까지나 80번 포트를 통한 정상적인 경로를 통해 이루어지므로 어떠한 대응도 할 수 없는 것이다. 하지만 내부에서 외부로 나타는 패킷을 차단하거나, 외부의 특정 사용자만을 차단하는 등의 접근 제어 역할은 충분히 수행할 수 있다. 최근의 Firewall 은 대부분 NAT 기능이나 IPSec 을 이용한 VPN 기능을 기본으로 제공해주고 있다.