Skip to Content
05. Security23. Introduction to Firewalls

방화벽 소개

방화벽(Firewall) 은 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 사이의 장벽으로, 종종 LAN과 WAN 사이에 사용됩니다. 일반적으로 모든 패킷이 방화벽에서 검사되도록 forwarding path에 배치되며, 여기서 패킷을 드롭하거나 허용할 수 있습니다.

16_Introduction to Firewalls_img_p02_01

위에는 호스트 컴퓨터와 스위치가 있는 LAN이 있습니다. 오른쪽에는 인터넷 연결을 제공하는 ISP에 연결된 라우터가 있습니다. 방화벽은 LAN을 보호하기 위해 그 사이에 위치합니다.

라우터는 선택사항이며, WAN에 대한 연결성에 따라 달라집니다. 예를 들어 ISP가 케이블을 제공한다면 이더넷 연결이 있는 케이블 모뎀이 있을 것이며, 이를 방화벽에 직접 연결할 수 있습니다. 무선 연결인 경우, 연결을 위해 라우터가 필요할 것입니다. BGP 같은 (고급) 라우팅을 한다면 라우터도 필요할 것입니다. 대부분의 방화벽은 정적 라우트, 기본 라우트, 그리고 가끔 RIP, OSPF, EIGRP 같은 라우팅 프로토콜 등 일부 기본 라우팅 옵션을 지원합니다.

참고: 여기서는 하드웨어 방화벽에 대해 이야기하고 있습니다. Microsoft Windows에 사전 설치되어 있는 것 같은 소프트웨어 방화벽도 있습니다. 하드웨어 방화벽과 비슷한 기능을 가지고 있습니다.

1. Stateful Filtering (상태 기반 필터링)

방화벽도 라우터와 마찬가지로 access-list를 사용해 소스 및/또는 목적지 주소나 포트 번호를 확인할 수 있습니다. 그러나 대부분의 라우터는 필터링에 많은 시간을 소비하지 않습니다. 패킷을 받으면 access-list의 항목과 일치하는지 확인하고, 그렇다면 패킷을 허용하거나 드롭합니다. 그게 전부입니다.

단일 패킷을 받든 수천 개를 받든 각 패킷은 개별적으로 처리되며, 이전에 본 패킷을 추적하지 않습니다. 이를 상태 비저장 필터링(stateless filtering) 이라고 합니다.

반면에 방화벽은 상태 기반 필터링(stateful filtering) 을 사용합니다. 모든 들어오고 나가는 연결을 추적합니다. 다음은 몇 가지 예입니다.

16_Introduction to Firewalls_img_p03_01
  • LAN의 컴퓨터가 이메일 클라이언트를 사용해 인터넷의 메일 서버에 연결합니다. 클라이언트는 방화벽이 보는 TCP 3-way 핸드셰이크로 연결을 시작합니다. 방화벽은 이 연결을 추적하고, 메일 서버가 응답하면 이 트래픽이 클라이언트로 돌아가는 것을 자동으로 허용합니다.
  • 웹 서버가 방화벽 뒤에 있고, 다양한 IP 주소에서 초당 평균 20개의 새 TCP 연결을 받는 바쁜 서버입니다. 방화벽은 모든 연결을 추적하며, 초당 10개 이상의 새 TCP 연결을 요청하는 소스 IP 주소를 보면 이 소스 IP 주소의 모든 트래픽을 드롭해 DoS(Denial of Service)를 방지합니다.

2. Packet Inspection (패킷 검사)

대부분의 방화벽은 일종의 (심층) 패킷 검사를 지원합니다. 단순한 access-list는 소스/목적지 주소와 포트만 확인합니다. 즉, OSI 모델의 레이어 3과 4입니다. 패킷 검사는 OSI 모델의 레이어 7까지 검사할 수 있다는 의미입니다. 이는 애플리케이션 데이터와 페이로드까지 살펴볼 수 있다는 뜻입니다.

16_Introduction to Firewalls_img_p04_01

위에서 빨간색으로 표시된 네트워크(IP)와 전송 계층(TCP), 녹색으로 표시된 애플리케이션 계층을 볼 수 있습니다. 이는 웹 페이지를 요청하는 웹 브라우저의 예입니다.

다음은 몇 가지 예입니다.

  • lolcats.com에 속하는 모든 IP 주소를 차단하는 대신, HTTP 요청에서 URI를 찾아 차단하는 필터를 만들 수 있습니다. 미래에 변경될 수 있는 웹 서버의 IP 주소에 대해 걱정할 필요가 없습니다.
  • 방화벽은 페이로드를 확인해 알려진 웜이나 바이러스가 포함된 패킷을 차단할 수 있습니다.

3. Security Zones (보안 영역)

Cisco 라우터는 기본적으로 라우팅 테이블에 일치하는 라우트가 있다면 받는 모든 패킷을 허용하고 전달합니다. 이를 제한하려면 access-list를 구성해야 합니다. 인터페이스가 많거나 access-list 규칙이 많으면 관리상 악몽이 될 수 있습니다.

더 좋은 솔루션이 있습니다. 방화벽은 보안 영역(security zone) 으로 동작합니다.

16_Introduction to Firewalls_img_p05_01

위에는 두 보안 영역이 있습니다.

  • INSIDE: LAN
  • OUTSIDE: WAN

인터페이스는 적절한 보안 영역에 할당되었습니다. 이 영역들은 두 가지 간단한 규칙을 가지고 있습니다.

  • “높은(high)” 보안 레벨에서 “낮은(lower)” 보안 레벨로 가는 트래픽은 허용됩니다.
  • “낮은(low)” 보안 레벨에서 “높은(higher)” 보안 레벨로 가는 트래픽은 거부됩니다.

LAN은 신뢰할 수 있는 네트워크로, 높은 보안 레벨을 가집니다. WAN은 신뢰할 수 없으므로 낮은 보안 레벨을 가집니다. 이는 LAN > WAN 트래픽이 허용된다는 의미입니다. WAN에서 LAN으로 가는 트래픽은 거부됩니다. 방화벽이 stateful이기 때문에 나가는 연결을 추적하고 LAN에서 돌아오는 응답 트래픽을 허용합니다.

예외를 만들어 WAN에서 LAN으로 트래픽을 허용하고 싶다면 access-list로 이를 달성할 수 있습니다.

대부분의 회사는 인터넷에서 도달할 수 있어야 하는 하나 이상의 서버(메일이나 웹 서버 같은)를 가지고 있습니다. 이를 INSIDE에 두는 대신, DMZ(Demilitarized Zone, 비무장지대) 라는 세 번째 영역을 사용합니다.

16_Introduction to Firewalls_img_p06_01

DMZ 보안 영역은 INSIDE와 OUTSIDE 사이의 보안 레벨을 가집니다. 이는 다음을 의미합니다.

  • INSIDE에서 OUTSIDE로 가는 트래픽은 허용됩니다.
  • INSIDE에서 DMZ로 가는 트래픽은 허용됩니다.
  • DMZ에서 OUTSIDE로 가는 트래픽은 허용됩니다.
  • DMZ에서 INSIDE로 가는 트래픽은 거부됩니다.
  • OUTSIDE에서 DMZ로 가는 트래픽은 거부됩니다.
  • OUTSIDE에서 INSIDE로 가는 트래픽은 거부됩니다.

OUTSIDE의 트래픽이 DMZ의 서버에 도달할 수 있도록 보장하기 위해 DMZ 서버가 사용하는 IP 주소(와 포트 번호)에만 트래픽을 허용하는 access-list를 사용합니다. 이 설정은 매우 안전합니다. DMZ의 서버 중 하나가 해킹되더라도 INSIDE 네트워크는 여전히 안전합니다.

위에서 설명된 일부 기능은 라우터에서도 사용할 수 있습니다. 예를 들어 Cisco IOS 라우터는 “가난한 사람의” 상태 기반 방화벽인 reflexive access-list를 지원합니다. Cisco IOS는 또한 이름이 의미하듯 보안 영역을 사용하는 Zone Based Firewall도 지원합니다. 그러나 하드웨어 방화벽은 더 나은 네트워크 성능/처리량을 제공합니다.

4. 제품군 — ASA / Firepower / NGFW 기본 어휘

방화벽 이론을 이해했으면 이제 “현업에서 실제 무엇을 쓰는가”를 알아야 합니다. Cisco 라인업을 중심으로 타 벤더 포지셔닝까지:

Cisco ASA (Adaptive Security Appliance)

전통적인 Cisco 방화벽. L3/L4 + 기본 L7. 다년간 엔터프라이즈 경계 방화벽의 표준이었고 지금도 레거시/중소 환경에서 대량 운용 중. 주요 특징:

  • 전용 하드웨어 ASIC으로 세션 처리 고속화
  • Context 기반 멀티테넌시: 한 장비를 가상 방화벽 여러 개로 분할
  • Active/Standby, Active/Active HA
  • 사이트 간 VPN·원격 접속 VPN(AnyConnect) 기능 내장
  • CLI 문법이 IOS와 유사하지만 다름 (예: access-list가 있지만 access-group 대신 access-group X in interface INSIDE 구조)

한계: 애플리케이션 가시성, IPS, URL 필터링 등 현대 요구는 ASA 단독으론 부족 → Firepower/FTD로 이행.

Cisco Firepower Threat Defense (FTD)

ASA에 FirePOWER 서비스(Snort 기반 IPS, AMP 악성코드 분석, URL 필터링, App-ID)를 통합한 차세대 플랫폼. 현재 Cisco의 NGFW 주력.

  • 관리 도구:
    • FMC (Firepower Management Center): 여러 장비를 중앙에서 통합 관리
    • FDM (Firepower Device Manager): 소규모 단일 장비 관리 (장비 내장 GUI)
  • 정책 레이어: Access Control Policy → SSL Policy → Intrusion Policy → File Policy → Identity Policy
  • Snort 3 엔진: 기본 IPS/IDS 탐지
  • Cisco Talos 인텔리전스: 24/7 업데이트되는 위협 피드

하드웨어 라인업: 1000/2100/3100/4100/9300 시리즈(소형→데이터센터)

NGFW (Next-Generation Firewall) — 카테고리

Gartner가 정의한 현대 방화벽의 필수 역량:

  1. Stateful L3/L4 필터 (전통 방화벽 기본)
  2. Application Identification (App-ID, NBAR2 등) — 포트·프로토콜이 아닌 “실제 앱”으로 정책 수립
  3. IPS 통합 — 한 장비에서 방화벽 규칙과 IPS 시그니처를 함께 적용
  4. SSL/TLS 복호화
  5. 사용자 ID 기반 정책 (AD·ISE 연동)
  6. URL/카테고리 필터링
  7. 파일/악성코드 검사 (샌드박스 연계)

주요 벤더 포지셔닝

벤더제품강점
CiscoFirepower (FTD + FMC)Snort 통합, Talos, ISE·SD-Access 연계
Palo Alto NetworksPA-시리즈 + Panorama강력한 App-ID·User-ID, UI 완성도, 업계 표준
FortinetFortiGate + FortiManagerASIC 가속 성능, 가격경쟁력, 폭넓은 통합(SD-WAN 등)
Check PointQuantum + SmartCenterBlade 아키텍처, 엔터프라이즈 감사 기능 강력
JuniperSRX + Security Director라우터 기반 유연성
Sophos / WatchGuardXG / Firebox중소기업 타깃

IOS Zone-Based Firewall (ZBF, 다음 편)

방화벽 전용 하드웨어가 아닌 Cisco IOS 라우터 기능으로 제공되는 방화벽. 소규모 지사·라우터 통합 구성에 적합:

  • 장점: 별도 장비 없이 기존 라우터에서 동작. 비용·공간 절약
  • 한계: 처리량, IPS 통합, 관리 도구 측면에서 전용 NGFW보다 약함
  • 언제 쓰나: 중소 지사, SOHO, 비용 민감 환경. 본사 DMZ 등 고성능 구간은 NGFW가 적합

현업 선택 가이드

환경권장
소규모 지사 (≤50 사용자)IOS ZBF 또는 Meraki MX / FortiGate 소형
중형 본사 (~500 사용자)FTD 3100, Palo Alto PA-3000, FortiGate 400F
대형 DC 경계FTD 4100/9300, PA-5400/7000, FortiGate 7000F
클라우드CloudGen(Barracuda), PA VM, FortiGate-VM, 또는 SASE 전환 검토
레거시 ASA 유지신규 프로젝트는 FTD로, ASA는 라이선스 종료까지 유지 후 전환

한계 — 방화벽만으로는 부족

방화벽(NGFW 포함)도 다음은 못 잡습니다:

  • 암호화된 트래픽 페이로드: SSL 복호화 없이는 사각지대
  • 내부 동-서 공격: 경계 뒤 횡적 이동은 마이크로세그멘테이션(27편 TrustSec)·EDR 영역
  • 신원 기반 정밀 제어: NAC/ISE·Zero Trust(28편)와 연계 필요
  • 엔드포인트 멀웨어: EDR/XDR 영역

그래서 현대 보안은 **“방화벽 + IPS + EDR + SIEM + NAC”**의 다층 방어 구조입니다. 방화벽은 그중 “경계 차단” 한 축을 담당합니다.

5. 결론

방화벽의 기본을 배웠습니다. 방화벽은 모든 들어오고 나가는 연결을 추적하기 위해 stateful 필터링을 사용합니다. (방화벽에 따라) 애플리케이션의 페이로드까지 살펴 OSI 모델의 레이어 7까지 검사할 수도 있습니다.

16_Introduction to Firewalls_img_p07_01

또한 보안 영역을 사용하며, 높은 보안 레벨의 트래픽이 낮은 보안 레벨로 가는 것은 허용됩니다. 낮은 보안 레벨에서 높은 보안 레벨로 가는 트래픽은 거부되며, access-list로 예외를 만들 수 있습니다.

참고: 전통적인 L3/L4 방화벽에 애플리케이션 가시성과 IPS, URL 필터링, 사용자 기반 정책 등이 결합된 것을 NGFW(Next-Generation Firewall) 라고 부릅니다. 최근의 엔터프라이즈 방화벽 제품은 대부분 NGFW 카테고리에 속하며, 단순 포트/IP 기반 규칙만으로는 막기 어려운 애플리케이션 수준 위협(예: HTTPS 위에 숨은 악성 트래픽, 특정 SaaS 앱 차단)을 다루는 데 초점이 맞춰져 있습니다.

출처: networklessons.com - Introduction to Firewalls

태그: Firewall

22. IPSec Static Virtual Tunnel Interface24. Zone Based Firewall Configuration Example