Skip to main content

경제적인 오픈소스 방화벽

Published Date

이제는 네트워크 관리자들이 기존의 네트워크 방화벽을 통해 이전과 같은 절대적인 안심과 신뢰를 보장받지 못하는 게 사실입니다. 사용자 개인정보에 대한 피싱이나 웹 애플리케이션의 소프트웨어 취약성에 대한 공격 등 오늘날 수많은 악성 공격들은 허용된 프로토콜과 소스, 대상에 대한 TCP/UDP(Transmission Control Protocol/User Datagram Protocol) 트래픽을 검사하는 단순한 필터링 방화벽으로 차단되지 않습니다. 

-차세대 방화벽 및 통합 위협 관리 장치들은 인터넷으로부터 기업을 보호하는 제 1선의 장치에 계속해서 새로운 기능들을 적용합니다. 여기에는 방화벽을 통과하는 모든 이메일 첨부파일이나 다운로드 파일을 검사하는 방법 등이 포함됩니다. 이러한 최신 방화벽은 가격이 비싸고, 위협이 되는 지능형 피드를 최신 상태로 유지하도록 이용료를 계속 갱신해야 할 수 있습니다. 다행히도 오픈센스(OPNsense), 피에프센스(pfSense), 소포스 XG 파이어월 홈 에디션(Sophos XG Firewall Home Edition) 같은 경제적인 비용으로 제공되는 상용 방화벽 프로그램을 사용하면 소규모 네트워크 또는 홈 네트워크를 보호할 수 있습니다.

-


경제적인 오픈소스 방화벽 (출처: Rawpixel.com/Shutterstock.com)

-

-역사적으로, 시스코(Cisco)나 체크포인트(CheckPoint) 같은 선두 기업의 방화벽 제품들은 대개 정적 규칙을 통해 상태 저장 방화벽 검사를 제공하는 고성능 네트워크 라우터처럼 작동했습니다. 이들 장치는 신뢰할 수 있고 높은 쓰루풋을 제공하지만 라우터 구성이 복잡했습니다. 네트워크는 가상 LAN을 통해 격리될 수 있으며, 기업은 포트 포워딩, 네트워크 주소 변환, 가상 사설망(VPN) 등의 기능을 통해 중요한 리소스에 안전하게 접근할 수 있습니다. 하지만 만만치 않은 비용 때문에 SOHO(Small Office / Home Office)나 중소기업(SMB) 등 소규모 네트워크에는 적합하지 않습니다. SOHO 및 SMB IT 관리자는 종종 인터넷 서비스 공급자(ISP) 광대역 모뎀/라우터가 제공하는 빈약한 보호 기능 정도를 제한적으로 이용할 뿐이었습니다.

-2000년대 초, 모노월(m0n0wall), 피에프센스 같은 몇몇 저렴한 옵션이 오픈소스 라이선스 조건으로 상용 방화벽 기능을 제공하기 시작했습니다. 이러한 방화벽은 그 위에 추가 모듈 설치가 가능한 강화된 FreeBSD(오픈소스 유닉스(UNIX)와 유사한 운영체제) 상에서 실행되었습니다. 이러한 방화벽의 관리는 웹 프런트엔드를 통해 이루어졌습니다. 시간이 지남에 따라 이러한 프로젝트 중 일부는 개발자 그룹이 자신들의 비전을 찾아 선호하는 방향으로 나서면서 분기가 이루어집니다. 예를 들어 피에프센스가 모노월에서 떨어져 나오고, 오픈센스가 피에프센스로부터 갈라져 나옵니다. 또한 일부 보안회사는 특정 용례에 제한된 라이선스 제품을 배포하기도 합니다. 소포스 XG 파이어월 홈 에디션이 그러한 예인데, 이는 가정용 사용자에게 무료로 제공되는 상용 등급 방화벽입니다.

-저가형 방화벽 제품들

오픈센스, 피에프센스, 소포스 XG 파이어월 홈 에디션 같은 저가형 방화벽은 광범위한 보안 기능을 지원하며 ISP가 제공하는 단순한 라우터 소프트웨어보다 훨씬 더 많은 기능을 제공합니다. 이들 대부분의 제품은 USB 드라이브, 가상 어플라이언스 또는 기존 컴퓨터 등 다양한 방법으로 배포될 수 있습니다. 그렇지 않으면 여러 네트워크 포트를 포함하고, 물리적으로 컴퓨터보다 작으며, 이러한 제품을 실행하는 더 큰 컴퓨터보다 전력 효율이 더 높은 전용 하드웨어(종종 단행본 도서 크기 정도)를 구입해서 사용할 수도 있습니다.

-오픈센스, 피에프센스, 소포스 XG 파이어월 홈 에디션은 단순한 네트워크 필터링 이상의 고급 기능과 최신 보호 기능을 제공합니다. 예를 들어 소포스 XG를 사용하면 웹 서핑을 모니터링 및 관리하고, 사용자별로 규칙을 설정하며, 다운로드 및 이메일 첨부파일에 대한 바이러스 검사를 할 수 있습니다. 소포스 XG의 모니터링 및 리포트 기능은 강력합니다. 예컨대 현재 활동을 열거하여 네트워크에 있는 기기와 해당 기기가 통신하는 장소 및 대상을 즉시 확인할 수 있습니다. 소포스 XG 홈 라이선스에서 사용할 수 있는 그 밖에 다른 상용 기능에는 사용자 지정 침입 방지 시스템 서명 생성, 원치 않는 웹 콘텐츠 (예: 성인 콘텐츠 또는 온라인 채팅 사이트)에 대한 경고 또는 차단, HTTP 및 도메인 이름 시스템 트래픽을 분석하여 의심스러운 동작을 경고하고 선택적으로 삭제하는 고급 위협 보호 기능이 있습니다. 

-방화벽 규칙은 프로토콜, 소스 및 대상을 기반으로 트래픽을 차단하고, 추가적인 레이어 7(애플리케이션 레이어) 보호를 설정하여 웹 애플리케이션 코드 취약성이 악용되지 않도록 차단할 수도 있습니다. 오픈센스와 피에프센스는 강력한 기능을 제공하며, 다른 인기있는 오픈소스 보안 패키지들을 포함 및 통합할 수 있습니다. 예를 들어 OpenVPN 과 tinc는 사용자 네트워크 상에 연결된 장치에 대한 보안 원격 연결을 허용하며, Squid HTTP 프록시 및 SquidGuard 프록시는 웹 콘텐츠를 더 잘 관리할 수 --있도록 필터링 기능을 제공합니다. 이러한 모든 방화벽은 고급 라우팅 및 로드 밸런싱도 제공합니다.

이러한 저가형 방화벽 제품들은 종종 성공적인 설정 및 설치를 위해 약간의 숙제가 필요할 때도 있는데, 개발자가 제공하는 제품 설명서뿐 아니라 인터넷에서 많은 유용하고 유익한 가이드를 사용할 수도 있습니다. 이들 대부분의 프로젝트들은 여전히 강력하고 기능이 활발하게 개발되고 있으므로, 높은 비용이 부담되거나 가정의 ISP 케이블 모뎀에 내장된 보안 필터링 기능이 충분하지 못할 때 좋은 대안이 될 수 있습니다.