NGFW(Next-Generation Firewall)란 무엇입니까?

NGFW(Next-Generation Firewall)란 무엇입니까?

차세대 방화벽(NGFW)은 네트워크 트래픽을 처리하고 잠재적으로 위험한 트래픽을 차단하는 규칙을 적용하는 보안 장치입니다. NGFW는 기존 방화벽의 기능을 발전시키고 확장합니다. NGFW는 방화벽의 모든 기능을 수행하지만, 더 강력하며 추가 기능을 제공합니다.

공항 보안 기관 두 곳을 예로 들어 보겠습니다. 첫 번째 기관에서는 승객이 비행 금지 목록에 없는지, 신원이 항공권에 기재된 것과 일치하는지, 공항에서 제공하는 항공편이 실제로 목적지로 가는지 확인합니다. 두 번째 기관에서는 비행 금지 목록 등을 확인하는 것 외에도 승객이 소지하고 있는 물품을 검사하여 위험하거나 허용되지 않는 물품이 있는지 확인합니다. 첫 번째 기관은 명백한 위협으로부터 공항을 안전하게 보호하고, 두 번째 기관은 덜 명백할 수 있는 위협까지도 식별합니다.

일반적인 방화벽은 데이터(승객)가 어디로 가는지, 합법적인 네트워크 연결의 일부인지, 데이터의 소스가 어디인지에 따라 차단하거나 허용하는 첫 번째 보안 기관과 같습니다. NGFW는 정상적으로 보이는 트래픽에 숨어 있을 수 있는 위협을 식별하고 차단하기 위해 더 심층적인 수준에서 데이터를 검사하는 제2의 보안 기관과 비슷합니다.

NGFW에는 어떤 기능이 있을까요?

NGFW는 일반 방화벽이 할 수 있는 모든 기능을 수행할 수 있습니다. 여기에는 다음이 포함됩니다.

• 패킷 필터링: 데이터의 개별 패킷을 검사하고 위험하거나 예상되지 않은 패킷을 차단합니다.패킷 필터링은 아래에서 자세히 설명합니다.
• 상태 기반 검사: 패킷이 합법적인 네트워크 연결의 일부인지 확인하기 위해 컨텍스트에서 패킷을 살펴봅니다.
• VPN 인식: 방화벽에서는 암호화된 VPN 트래픽을 식별하여 통과하도록 허용할 수 있습니다.

또한 NGFW에는 구형 방화벽에 없는 몇 가지 기능이 추가됩니다. NGFW는 패킷 필터링과 더불어 심층 패킷 검사(DPI)를 사용합니다. 글로벌 리서치 및 자문 회사인 Gartner에 따르면 NGFW에는 다음이 포함됩니다.

• 애플리케이션 인식 및 제어
• 침입 방지
• 위협 인텔리전스
• 향후 정보 피드를 추가하기 위한 업그레이드 경로
• 진화하는 보안 위협에 대응하는 기술

이러한 기능은 아래에서 자세히 설명합니다.

이러한 기능의 대부분은 NGFW에서 일반 방화벽과 달리 계층 3(네트워크 계층)과 계층 4(전송 계층)뿐만 아니라 OSI 모델의 여러 계층에서 트래픽을 처리할 수 있으므로 가능합니다.예를 들어, NGFW는 계층 7 HTTP 트래픽을 살펴보고 사용 중인 애플리케이션을 식별할 수 있습니다.계층 7(애플리케이션 계층)은 기존 방화벽의 계층 3과 4에서 적용되는 보안 정책을 우회하려는 공격에 점점 더 많이 사용되고 있으므로 중요한 기능입니다.

(OSI 계층에 대해 자세히 알아보려면 OSI 모델이란?을 참조하세요)

패킷 필터링과 심층 패킷 검사(DPI)란?

패킷 필터링

네트워크나 인터넷을 통과하는 모든 데이터는 패킷이라는 작은 조각으로 나뉩니다. 이러한 패킷에는 네트워크에 유입되는 콘텐츠가 포함되어 있으므로 방화벽은 이를 검사하여 악성 콘텐츠(예: 맬웨어 공격)가 통과하지 못하도록 차단하거나 허용합니다. 모든 방화벽에는 이 패킷 필터링 기능이 있습니다.

패킷 필터링은 각 패킷과 관련된 소스 및 대상 IP 주소, 포트, 프로토콜, 즉 각 패킷의 소스, 대상, 도착 방법 등을 검사하여 작동합니다. 방화벽에서는 이 평가에 따라 패킷을 허용하거나 차단하여 허용되지 않는 패킷을 걸러냅니다.

예를 들어, 공격자는 때때로 이 프로토콜에서 사용하는 포트인 포트 3389로 특수하게 조작된 패킷을 전송하여 원격 데스크톱 프로토콜(RDP)과 관련된 취약점을 악용하려고 시도합니다. 그러나 방화벽은 패킷을 검사하여 어느 포트로 가는지 확인하고 해당 포트로 향하는 모든 패킷을 차단할 수 있습니다(특별히 허용된 IP 주소가 아닌 경우). 여기에는 계층 3(출처 및 대상 IP 주소 확인)과 계층 4(포트 확인)에서 네트워크 트래픽을 검사하는 작업이 포함됩니다.

심층 패킷 검사(DPI)

NGFW는 패킷 필터링 대신 심층 패킷 검사(DPI)를 수행하여 패킷 필터링을 개선합니다. 패킷 필터링과 마찬가지로 DPI는 모든 개별 패킷을 검사하여 출처 및 대상 IP 주소, 소스, 대상 포트 등을 확인합니다. 이 정보는 모두 패킷의 계층 3 및 계층 4 헤더에 포함되어 있습니다.

하지만 DPI는 헤더뿐만 아니라 각 패킷의 본문도 검사합니다. 특히 DPI는 패킷 본문에 맬웨어 시그니처 및 기타 잠재적 위협이 있는지 확인합니다. DPI는 각 패킷의 내용을 알려진 악의적인 공격의 내용과 비교합니다.

애플리케이션 인식 및 제어란?

NGFW는 패킷이 어떤 애플리케이션으로 이동하는지에 따라 패킷을 차단하거나 허용합니다. NGFW는 애플리케이션 계층인 계층 7에서 트래픽을 분석하여 이를 수행합니다. 기존 방화벽은 3계층과 4계층에서만 트래픽을 분석하므로 이 기능이 없습니다.

애플리케이션 인식을 통해 관리자는 잠재적으로 위험한 애플리케이션을 차단할 수 있습니다. 애플리케이션의 데이터가 방화벽을 통과하지 못하면 네트워크에 위협이 유입될 수 없습니다.

Gartner의 용어 정의에 따르면 이 기능과 침입 방지(아래 설명)는 모두 DPI의 요소입니다.

침입 방지란?

침입 방지 기능은 들어오는 트래픽을 분석하여 알려진 위협과 잠재적 위협을 식별하고 이러한 위협을 차단합니다. 이러한 기능을 흔히 침입 방지 시스템(IPS)이라고 합니다. NGFW에는 DPI 기능의 일부로 IPS가 포함됩니다.

IPS는 다음과 같은 여러 가지 방법을 사용하여 위협을 감지할 수 있습니다.

• 시그니처 감지: 수신 패킷 내의 정보를 스캔하여 알려진 위협과 비교합니다.
• 통계적 이상 감지: 트래픽을 스캔하여 기준선과 비교하여 비정상적인 행동 변화를 감지합니다
• 상태 기반 프로토콜 분석 감지: 통계적 이상 징후 감지와 유사하지만, 사용 중인 네트워크 프로토콜에 초점을 맞추고 일반적인 프로토콜 사용량과 비교합니다.

위협 인텔리전스란?

위협 인텔리전스는 잠재적 공격에 대한 정보입니다.공격 기법과 맬웨어 변종은 지속해서 변화하므로 최신 위협 인텔리전스는 이러한 공격을 차단하는 데 매우 중요합니다.NGFW는 외부 소스에서 위협 인텔리전스 피드를 수신하고 이에 따라 조치를 취할 수 있습니다.

위협 인텔리전스는 최신 맬웨어 시그니처를 제공하여 IPS 시그니처 감지를 효과적으로 유지합니다.

위협 인텔리전스는 IP 평판 정보도 제공할 수 있습니다. "IP 평판" 은 공격(특히 봇 공격)이 자주 발생하는 IP 주소를 식별합니다. IP 평판 위협 인텔리전스 피드는 알려진 최신 악의적 IP 주소를 제공하며, 이를 통해 NGFW에서 차단될 수 있습니다.

차세대 방화벽은 하드웨어 기반일까요, 소프트웨어 기반일까요?

일부 NGFW는 내부 사설 네트워크를 방어하도록 설계된 하드웨어 장치입니다. NGFW는 소프트웨어로도 배포할 수 있지만, 차세대라고 해서 반드시 소프트웨어 기반일 필요는 없습니다.

마지막으로, NGFW는 클라우드 서비스로 배포할 수 있으며, 이를 클라우드 방화벽 또는 서비스형 방화벽(FWaaS)이라고 합니다. FWaaS는 보안 액세스 서비스 에지(SASE) 네트워킹 모델의 중요한 구성 요소입니다. (NGFW와 FWaaS 자세히 비교하기.)

Cloudflare Magic Firewall이란?

Cloudflare Magic Firewall은 Cloudflare 전역 네트워크를 통해 제공되는 네트워크 수준의 방화벽입니다.사용자, 사무실 네트워크, 클라우드 인프라를 보호하며 하드웨어 기반 방화벽을 확장 가능한 첨단 보호 기능으로 대체하도록 설계되었습니다.

Magic Firewall은 네트워킹과 보안 서비스를 결합한 SASE 플랫폼인 Cloudflare One과 긴밀하게 통합되어 있습니다.