NGFW(차세대 방화벽)란?
NGFW(차세대 방화벽)는 네트워크 간 트래픽을 허용하거나 차단하며, 애플리케이션 수준의 패킷 검사, 침입 방지와 같은 고급 기능이 기존의 패킷 필터링 네트워크 방화벽 기능에 추가됩니다.
차세대 방화벽 설명
차세대 방화벽(Next-Generation Firewall)은 next gen firewall, nextgen firewall 또는 nexgen firewall이라고도 합니다. 네트워크 방화벽은 네트워크 사이의 트래픽을 분석하고, 트래픽 특성과 관련하여 정의된 방화벽 정책을 바탕으로 트래픽의 통과를 허용하거나 거부하는 방식으로 작동합니다. 차세대 방화벽은 다른 시스템의 정보를 처리하고, 트래픽의 더 많은 특성을 검사하여 기존의 방화벽보다 더 높은 순위의 TCP/IP(Transmission Control Protocol/Internet Protocol) 통신 계층에 방화벽 정책을 적용합니다. 차세대 방화벽에서 활용하는 추가 정보와 더 깊은 수준의 검사를 통해 공격을 식별하고 방지할 수 있습니다.
차세대 방화벽의 기능
차세대 방화벽은 기존 또는 레거시 네트워크 방화벽보다 정교한 기능을 지원합니다. 차세대 방화벽의 일반적인 몇 가지 기능은 다음과 같습니다.
- 딥 패킷 검사 – 네트워크 방화벽은 4개의 TCP/IP 통신 계층(높은 것에서 낮은 순으로 애플리케이션, 전송, IP/네트워크, 하드웨어/데이터 링크) 내에서 데이터를 검사합니다. 차세대 방화벽은 애플리케이션 계층을 포함한 더 높은 순위의 TCIP/IP 통신 계층에서 트래픽 검사가 가능합니다. 따라서 차세대 방화벽은애플리케이션 인식 기능(예: 애플리케이션 트래픽의 전송 관련 컨텍스트, 전송 패턴을 비교할 예상 사용자 및 애플리케이션의 행동 기준)을 활용할 수 있습니다.
- 침입 탐지 및 침입 방지 – 더 높은 순위의 TCIP/IP 계층에서 트래픽을 검사할 경우 차세대 방화벽의 사이버 공격 탐지 및 방지 역량이 강화됩니다. 차세대 방화벽은 특정 행동 신호 또는 이상 징후를 바탕으로 악의적인 활동을 모니터링하고, 의심스러운 트래픽을 네트워크에서 차단할 수 있습니다. 이러한 기능을 IDS(침입 탐지 서비스) 및 IPS(침입 방지 서비스)라고 합니다.
- DDoS(분산 서비스 거부) 보호 – DoS(서비스 거부) 공격은 서비스에 의도적으로 불법적인 요청이 폭주하게 만들어 해당 서비스가 사용자의 합법적인 요청에 대응하지 못하게 함으로써 서비스를 중단시키는 악의적인 시도를 말합니다. DDoS 공격은 여러 대의 컴퓨터를 사용하여 불법적인 요청을 생성합니다. 차세대 방화벽은 스테이트풀 방화벽이기 때문에 기존의 방화벽보다 이러한 공격의 탐지 및 방지에 더 효과적입니다. 스테이트풀 기능을 통해 구축된 연결을 바탕으로 연결 요청의 더 많은 특성을 검사할 수 있어 다른 형태로 구성되거나 다른 컴퓨터에서 오는 경우에도 불법적인 요청을 탐지하는 데 도움이 됩니다.
차세대 방화벽의 이점
차세대 방화벽이 제공하는 이점은 다음과 같습니다.
- 사이버 위협에 대한 보호 강화 – 차세대 방화벽이 기존의 방화벽보다 트래픽을 더 포괄적으로 검사 및 분석하여 더 다양한 사이버 공격을 탐지 및 방지할 수 있습니다. 예를 들어, 차세대 방화벽은 악의적인 목적으로 네트워크를 표적으로 삼은 트래픽을 탐지하고, 이러한 트래픽을 격리하거나 차단하여 침입을 방지합니다.
- 규정 준수 요건 지원 – 차세대 방화벽은 미인증 사용자가 네트워크의 민감한 리소스에 액세스하는 것을 방지합니다. 이는 미국의 HIPAA(Health Insurance Portability and Accountability Act), 유럽 연합의 GDPR(개인정보 데이터 보호 규정)과 같은 데이터 개인 정보 보호 규정과 관련하여 중요한 요건입니다.
- 네트워크 아키텍처 간소화 – 차세대 방화벽은 지능형 위협 보호뿐 아니라 기본적인 방화벽 기능도 제공합니다. 단일 플랫폼에서 여러 장치 및 어플라이언스의 기능이 결합되면 네트워크 인프라의 복잡성을 줄일 수 있습니다.
차세대 방화벽과 통합 위협 관리의 차이점
UTM(통합 위협 관리)은 맬웨어(바이러스 백신, 피싱, 트로이 목마, 스파이웨어 등) 탐지 및 완화, 웹 콘텐츠 필터링(특정한 종류의 콘텐츠 또는 웹사이트에 대한 사용자 액세스 제한)과 같은 보안 서비스로 구성됩니다. 차세대 방화벽은 UTM 서비스와 방화벽 기능이 결합되어 단일 플랫폼을 통해 포괄적인 보호를 제공합니다.
차세대 방화벽과 기존 방화벽 비교
기능 | 기존 방화벽 | 차세대 방화벽 | 차세대 방화벽의 이점 |
---|---|---|---|
검사 | 스테이트리스 | 스테이트풀 | 기존 연결과 비교하여 예상되는 정상 상태에서 벗어난 트래픽 차단 |
가시성 | 기본, 낮은 TCP/IP 계층만 | 심층, 모든 TCP/IP 계층 포함 | 더 세분화되고 강력한 트래픽 분석 가능 |
서비스 | 기본적인 수준 | 포괄적 | UTM 서비스(바이러스 백신, 콘텐츠 필터링, IDS/IPS, 로깅 및 패킷 필터링) 포함 |
보호 | 제한적 | 개선 | 광범위한 공격 식별, 방지, 보고 |
차세대 방화벽의 작동 원리
차세대 방화벽은 개선된 방화벽 데이터 검사 및 정책 적용 기능뿐 아니라 IDS/IPS, 바이러스 백신, 콘텐츠 필터링과 같은 추가 보안 서비스도 제공합니다.
최상의 차세대 방화벽
차세대 방화벽은 침해 및 사이버 위협으로부터 조직을 보호하므로 광고에서 언급한 기능을 지원하는지 확인해야 합니다. 최상의 차세대 방화벽은 엄격한 테스트를 거치고, ICSA Labs와 같이 믿을 수 있는 독립적인 기술 제품 보증 테스트 기관의 인증을 받습니다. 테스트 기관에서 제품 성능 평가에 목표 테스트 기준을 적용하는지 검증해야 합니다.
솔루션을 평가할 때 최상의 차세대 방화벽이 광범위함 솔루션에 포함되었는지 고려하십시오. 예를 들어, Aruba EdgeConnect SD-WAN 플랫폼은 고급 SD-WAN 기능과 ID 및 역할 기반 트래픽 세분화를 함께 지원하며, 내장된 차세대 방화벽(IDS/IPS 및 기타 보안 기능 포함)을 통해 적용됩니다. 또한 Aruba는 ICSA Labs의 보안 SD-WAN 인증을 최초로 획득한 SD-WAN 벤더로, 내장된 차세대 방화벽 및 고급 보안 기능을 검증했습니다.