방화벽에대해서 여쭤봐도 될까요...?

golim85의 이미지

방화벽에대해서 여쭤봐도 될까요...?

안녕하세요
글에 관심 주셔서 감사합니다.

1. 방화벽전용 서버와/ 우리가사용하는 윈도우PC에서의 소프트웨어같은 방화벽에 가장 큰 차이점이 어떤건가요?

2. 서버 망을 구성하게 되면 방화벽을 넣게 되는데
거기에 L2스위치나/ L4스위치는 제가 상각하는 7계층에 L2와 L4와는 다른건가요?

3. DDoS 방어서버에 효율이 있나요?

감사합니다.
(--)(__)

익명 사용자의 이미지

안녕하세요, 긴말없이 바로 답변 드리겠습니다.
질문글에서 말씀하신 방화벽 전용 서버 등의 용어가 무엇인지는 모르겠지만 제가 눈치껏!
유추하여 답변 드리겠습니다.
현재 기본적으로 기업,관공서 등에서 사용되는 방화벽은 하드웨어일체형인 방화벽입니다.
특정방화벽장비에 특정방화벽소프트웨어가 얹어져있는 제품이죠. 그리고 윈도우에 기본제공되는
방화벽은 PC본체를 매개체로하는 소프트웨어기반 방화벽이 되겠구요.
기본적으로 하드웨어일체형 방화벽은 해당 프로그램이 최적화되어 구동될수있는 하드웨어몸체까지
맞춰져서 나오는점이 큰차이겠죠. 소프트웨어 방화벽은 몸체가 없이 프로그램만 있는 것이구요.
(물론 어디든지 인스톨 가능하겠지만 최적화 되어있지는 않음)
하드웨어몸체가 있는 방화벽은 다른장비 사이에서 포트를 제어할수있도록 연결가능한 포트, 장비상태를
간략하게 볼수있는 LED등이 미리 구현되어있습니다. 이야기가 길어져서 설명은 여기까지하겠습니다.

네트워크를 구축할때 들어가는 스위치 명칭의 차이는 쉽게 말해서 어느 Layer까지의 데이터를 맡을 수 있느냐 의 차이로 해당계층의 스위치 명칭이 정해진다고 말씀을 드릴수 있겠습니다. 최근에는 그 구분이 조금 모호해져 가지만 말입니다. 뭐 예를 들어 L2스위치는 Mac과관련 된 Layer2기반으로 하나의 네트워크안에서
패킷전달등을 위해 사용 되겠지요. L3는 IP를 관리하는 라우터단, L4는 로드밸런싱 등으로 많이 쓰이겠네요.

DDoS방어...서버라고 부르기보다는 DDoS방어장비 또는 방어솔루션 등으로 지칭하는 것이 맞을듯 합니다.
DDoS를 방어?한다기보다 회피할수 있는 방법 중에 프록시서버(프록시쿠키?)등을 이용하는 방법이 있다지만
그것을 지칭하진 않으신듯 합니다.
DDoS방어장비의 방식은 몇몇가지가 있겠지만 효율을 떠나서 여유가 되는 기업이라면 구비를 해야한다고
생각되네요. 그렇다고 해도 Flooding이 많이 발생하면 방어장비도 죽게되어있습니다. 하지만 없는것보다는 낫죠. 결론적으로 효율은 크지않지만(비용대비) 구비해둘 필요성은 있죠. (물론 URL 임시변경이 DDoS발생시 더 효율적일수있습니다.)

bbug의 이미지

1. 서버라 부르기 좀 뭐하지만 통합적인 침입자 방지및 추적 하드웨어등(다수의 하드웨어)으로 구성되 있어 규모와 개념자체가 틀립니다.
OS레벨의 방화벽은 개개인이 가질수 있는 최후의 관문이라 생각하셔야합니다.
2. 질문이 애매모흐?? L7 방화벽을 말씀하시는것인지??? (한예로 XML도 필터링 합니다.)
3. 방화벽 자체만으로는 DDOS에 큰 효능이 없습니다. 위치에 따라 오히려 사태를 악화시키기도 합니다. 그리고 방어라기 보다는 피해를 최소화한다는 표현이 어울릴겁니다. 이주제는 한두문장으로는 불가능하니 잘정리된 문서를 링크 걸어봅니다.

http://www.sans.org/reading_room/whitepapers/firewalls/leveraging-load-balancer-fight-ddos_33408

---------------------------------------
끄륵....귀찮아....-_-;;;

익명 사용자의 이미지

1. 방화벽 전용서버는 말그대로 서버장비에 방화벽 솔루션이 들어가있습니다. 네트워크 상단에 주로 위치하게 되면서 방화벽장비 아래쪽은 모두 방화벽 정책아래에 놓이는 것이고 윈도우의 방화벽은 소프트웨어적인 개별방화벽이죠.
즉 해당 PC나 서버의 1대에만 적용되는 것입니다.

2. L2스위치와 L4스위치는 OSI 7계층에 속하는게 맞습니다. L2가 2계층 L4가 4계층입니다.

3. DDOS방어서버도 공격트래픽이 과하면 사망합니다. 그러한 장비들은 축구경기에서 수비수의 역할을 할 뿐 공격이 과하면 뻗습니다.

익명 사용자의 이미지

1. 구분이 조금 잘못된 것 같군요.
어플라이언스(일체형) 장비와 소프트웨어 방화벽으로 구분이 되어야 하고 ..
가장 큰 차이는 최적화입니다. 어플라이언스에는 대개 로직에 따른 전용 하드웨어 칩이 들어 있어 처리 성능이 조금 더 빠르고 더 대용량을 처리 할 수 있다 정도가 되겠습니다.
그 외에 실제 기술에는 동일 브랜드라면 큰 차이는 없다고 보셔도 됩니다.

2. OSI 7 layer 에 따른 구분이 맞습니다. 최근에는 L2 라고 부르고 L3 처럼 static routing 을 지원하는 등 조금 애매모호해 지고 있습니다.

3. DDoS 는 회선이 제일 중요합니다. 그 외에 것들은 대개 막을 수 있다고 보시면 됩니다.
최근에는 DDoS 방어 서비스를 한다 하면 ISP 업체와 연계되어 최소 대역폭이 2-30G 정도는 되어야 원활하게 운영을 할 수 있습니다.

끝.