1 / 39

NXG 2000 표준제안서

NXG 2000 표준제안서. Rev 3.3. Firewall Overview. About secuiWALL. Reference Materials. 목 차. Firewall Overview. 필요성 종류 국내외 업체. Firewall Overview – 필요성. 개방적이고 안전한 정보인프라 구축. Informational Warfare Hacking Password Cracking Malicious Software Virus Trojan horses Worm Hoax Logic bomb

dawn-price
Download Presentation

NXG 2000 표준제안서

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. NXG 2000 표준제안서 Rev 3.3

  2. Firewall Overview About secuiWALL Reference Materials 목 차

  3. Firewall Overview • 필요성 • 종류 • 국내외 업체

  4. Firewall Overview –필요성 개방적이고 안전한 정보인프라 구축 • Informational Warfare • Hacking • Password Cracking • Malicious Software • Virus • Trojan horses • Worm • Hoax • Logic bomb • Social Engineering • Disaster • Network Analysis • Eavesdropping • Traffic Analysis • Brute-force Attack • Masquerading • Packet Replay • Message Modification • Unauthorized Access • Denial of Service • Dial-in penetration attack(war dialing) • Email bomb • Spam mail • Email Spoofing • Policy • Standard • Baselines • Guidelines • Procedures • Implementation • System • Network - Firewall • Operation • Facility • Environment • Perimeter 물리적 보안 관리적 보안 기술적 보안 IT Security 가용성 기밀성 무결성 신뢰성

  5. Packet Filtering Application Gateway Stateful Inspection Deep Packet Inspection Firewall Overview –종류 • IP Address 혹은 Port Number와 같이 네트웍사용시 필수적으로 수반되는 Packet 정보(Header정보)를 Network Layer에서 검사하여 Security Decisions에 반영하는 방식으로 주로 Router와 같은 네트웍장비에서 구현하는 기초적인 보안방식. Static/Dynamic Packet Filtering으로 구분됨. • 패킷을 이용하는 모든 어플레케이션에 대한 검사를 수행하여 그 결과를 패킷의 차단여부를 결정하는 프로세스에 반영하는 방식. 이는 클라이언트-서버 모델에서의 연결을 제한하는데, 이는 Application Gateway방식의 침입차단시스템을 설치시, 클라이언트에서 침입차단시스템으로의 접속(접속하고자 하는 대상서버에 대한 “Proxy”역할)과 침입차단시스템에서 실제 대상서버에 대한 접속의 2단계로 연결되기 때문이다. 이 방식은 새로운 어플리케이션에 대해 새로운 Proxy가 요구되므로, 확장성이 제한된다. • 모든 어플리케이션 레이어로부터 Security Decisions에 필요한 상태관련정보를 추출, 이를 동적상태테이블(Dynamic State Tables)로 생성, 이후의 접속시도에 대한 Security Decisions에 참조하는 방식으로 동작하며, Packet Filtering의 낮은 보안성, Application Gateway의 연결제한, 확장성 제한 등의 제약점을 모두 극복한 가장 진보된 방식 • 통상 Stateful Inspection방식의 방화벽 기반에서 방화벽을 통과하는 패킷에 대해 세밀한 검사를 수행하여 악의적인 행위를 시도하는 것을 사전에 차단하는 매커니즘을 가지며, 패킷을 검사하는 방식은 다음과 같은 것들이 있다. • Signature Inspection : 알려진 공격에 대한 패턴을 가지고 탐지 • Behavior-based system : 정상적인 트래픽과 비정상적인 트래픽을 판단하는 매커니즘을 가지고 탐지

  6. Firewall Overview –국내외업체

  7. secuiWALL • 개요 • 제품구성 • 내부구조 • 주요기능 • 경쟁제품 기능 비교표 • 이러한 점이 좋습니다. • FAQs

  8. NXG 2000 - 개요 보호해야 할 내부 네트워크와 신뢰할 수 없는 외부 네트워크 사이에 설치되어, 모든 형태의 위협으로부터 보호하여야 할 자원으로의 접근을 다양한 보안정책에 의거, 관리/통제하고, 통신의 기밀성을 보장하기 위한 Firewall, VPN 통합의 고성능 네트워크 보안솔루션입니다. • 고유의 Classification Algorithm에 의해 정책수에 상관없는 일정 성능 보장, • Active-Active HA, Load Balancing, Traffic Shaping등 자체 QoS 기능 내장, • IPSec 국제표준을 준수(국제16개 표준장비와 호환성 확보, Bakeoff IPSec Interoperability Test)하여 표준기반의 모든 벤더의 제품과 상호운영 가능

  9. NXG 2000–제품구성

  10. Cert Issuer CLI Interface SmartView DB TrustCA DB Phase 1 Process Engine Phase 2 Process Engine Cert Manager GUI https Interface PF Key Interface SA Timeout Manager secui-TrustCA Stack secui-SmartView Stack secui-FastIKE Stack User Interface Processes Encrytion Engine IP Filtering Engine Secure- Tunneling Engine SA DB Filter Rule DB Graphic User Interface Command Line Interface Proxy Log Hacking Defense Kernel Authentication Manager IDS Engine Encrypted Packet Encrypted Packet NAT Dynamic Rule Common Packet Common Packet secui-RobustIPSec Stack Verification Classification Copy or Redirection Logging Trash secuiWALL – Flawless Gigabit Security Solution NXG 2000 - 내부구조

  11. 고유의 독창적 기술로 국내외 특허출원 • Distributed Stateful Inspection • Kernel Level에서 신속히 이루어지는 Session 정보의 동기화 • 여러 장비에 분산되는 패킷으로 Session을 유지관리 • Session Synchronization(장애발생 시, Session 지속 보장) • 다양한 이중화 네트워크 구성 가능 • Router Mode HA : 특정 인터페이스 장애 발생시, 해당 인터페이스의 가상 IP주소를 정상동작중인 인터페이스가 사용 • Bridge Mode HA • 고가의 L4 Switch 없이 부하분산과 HA를 동시에 달성 기존 HA 문제점 • ♦ L4 Switch를 이용한 로드밸런싱 • -고가의 L4 Switch구입에 부담-4대의 장비를 개별관리가 곤란 ♦ Active-Standby 구성 -2대를 설치해 1대 만 운영-변환 시에 세션을 단절 동작 단독 동작 L4 L4 대기 단독 동작 주요기능– Firewall 1/15(Active-Active High Availability) Active-Active High Availability Session Synchronization 동기화 유저 서버

  12. Application 특성에 따라 선행 트래픽을 기초로 예측된 트래픽에 대한 동적제어 • Dynamic Port를 이용하는 Application에 대한 Secure Channel 제공 • SUN RPC, H.323, SQL*NET, TFTP • * Port 1521 등을 사용하지 않는 SQL*NET처리 • FTP(Passive/Active), Dialpad, WOWcall • * Port 21을 사용하지 않는 FTP 처리 • Traceroute, PING • Real-Player • Windows Media Player • MSN 파일 주고받기 및 음성채팅 지원 주요기능– Firewall 2/15(Stateful Inspection) Stateful Inspection Stateful Inspection을 사용하지 않는 경우 Stateful Inspection을 이용한 FTP 처리 X 10.0.0.1 Port:5468 10.0.0.1 Port:5468 210.118.82.200Port:80 210.118.82.20 Port:21 Stateful Inspection을 이용한 Return Packet 처리 Open !! Based on the previous PORT command. PORT 10.0.0.1.10.10 10.0.0.1 Port:5468 210.118.82.20 Port:20 210.118.82.200 Port:80

  13. 스캔시도 탐지 및 차단 • 세션 제한 기능 • 특정 DDoS 또는 WORM에 의한 폭주 트래픽 제어 • 발신지 주소 별 또는 정책 별 세션 제한 • 패킷 차단 • 요청하지 않은 ICMP 응답(Smurf 공격 대응) • 비정상 IP 패킷 조각, 비정상 발신지 주소 • 기타 해킹에 악용될 수 있는 패킷들의 차단 • 해킹방어 • SYN / UDP / Ping Flooding Attack • Land Attack • Ping of Death Attack • Mail Bomb Attack • 웹 취약성 공격의 차단 • Nimda, Code Red 감염 및 전파 예방 • UNI-Code 버그, CGI 취약점을 이용한 공격 차단 • 타 IDS와의 연동 • IDS IAP(Internet Alert Protocol) 연동 • 윈스테크의 스나이퍼, 인젠의 네오왓쳐 등 • IP 주소와 MAC 주소 확인 기능 • IP Spoofing에 대응 주요기능– Firewall 3/15(built-in IPS) Bulit-in IPS 스캔시도 탐지 및 차단 웹시도 공격의 차단

  14. 시간대에 따른 정책 적용 • 주간 단위로 정책이 적용될 시각 정의 • 특정 기간 지정 • FTP, RPC, MSN File 주고 받기에 대한 세부 Control 가능 • 키워드 Filtering • 특정 문자열을 포함하고 있는 패킷을 차단 • 정책에 합치되는 트래픽 양을 조절하고자 하는 경우, Traffic Shaping Queue 선택 • URL Blocking Category 선택 주요기능– Firewall 4/15(정책별 옵션) 정책별 옵션

  15. 원격지에 분산 설치된 여러대의 secuiWALL을 그룹화하여 중앙에서 집중관리 • 정책 중앙 설정 및 관리 • 관리대상 방화벽에 대해 일괄적용 • 각기 상이한 정책에 대해 개별적용 • 정책 설정 시, 객체검색 가능 • 객체 설정 시, Sorting 기능 • 서비스별 Timeout 기능 • Telnet 또는 FTP와 같이 IDLE 시간이 긴 세션들에 대한 차별적인 연장 가능 • Java를 사용하여 관리자 콘솔의 Platform과 무관한 Remote Control • SSL 암호화를 통한 관리 데이터 보호 • 다국어 지원(한국어, 영어, 일본어, 중국어) : HTML 형태의 다국어 도움말 지원 • CLI모드 하에서의 콘솔 및 SSH를 이용한 관리 기능 주요기능– Firewall 5/15(Enterprise Manager) Enterprise Manager 인터넷 Central Managing: 정책, 설정 변경, 모니터링 Central Manager GUI접속 Network A Network B Network C secuiWALL Manager

  16. Active Log • 세션단위 로그(Not Per Packet Log) • HTTP 프락시, 메일, URL 차단 • NAT, 관리자, 사용자 인증, 사용자 활동 • IDS 연동결과, 거부된 패킷 • Counter Log • 거부 또는 허용된 Packets/Bytes/Session 수 • 인터페이스별 Packet수, Bytes수 및 BPS • HTTP, Reverse HTTP Proxy를 통한 Bytes 수 • 메일 수, 발신건수, 메일 폐기건수, URL 차단건수 • CPU/Memory 평균 사용율 • Traffic 조절 건수 • 특정 프로세스 CPU 점유율, 디스크 사용량 • Log File 형식 : Binary, CSV, TSV, WELF • Log 파일 자동압축 및 FTP 자동전송 지원 • 실시간 Graph Monitoring 및 Off-Line Log 분석기 제공 • 다양한 검색조건에 따른 필터링 제공 • 각 Field별 실시간 Sorting 제공 • Graph로 표시 • Log의 Network Syslogd 전송기능 : ESM 연동 가능 주요기능– Firewall 6/15(Logging) Logging

  17. 리포팅 생성 • 주기적 생성 : 일간-시산, 주간-날짜/시간 • 즉석 생성 : 대상 로그범위를 지정 • 리포팅 종류 : Format HTML • 해킹시도 탐지 결과 • 패킷허용 및 차단건수 • 패킷차단 내역 • 설정된 서비스별 Top 10 사용자 • Top 10 사용자/서비스 • 시스템 문제상황 • 네트워크 사용율 • 최다 사용 웹사이트 및 사용자 • 최다 차단 웹사이트 및 사용자 • 최다 메일 사용자 및 차단메일 • 부하분산 내역 • 각 Queue별 트래픽 조절 결과 • 설정된 호스트들의 서비스 사용량 • IDS 연동결과 • 관리자 Email로 리포트 자동전송 주요기능– Firewall 7/15(Report) Report

  18. 특정 정책에 해당하는 트래픽의 대역폭 제한을 통한 한정된 대역폭에 대한 효율적 사용 및 회선비용 절감 • 업무용 트래픽과 비 업무용 트래픽을 구분하여 우선순위에 따른 대역폭 할당 : 비업무용 트래픽의 대역폭 과다점유 문제 해결 • VoIP와 같이 실시간성이 보장되어야 하는 트래픽에 대한 안정적인 대역폭 확보 주요기능– Firewall 8/15(Traffic Shaping) Traffic Shaping Traffic Shaping에 의해 제한 받는 Application의 사용률 Report Traffic Shaping 결과 Report Traffic Shaping

  19. 내부 IP Address 정보 보안 및 공인 IP Address 자원 절약 • 지원 Application • FTP, DialPAD, WOWCall • VoIP(H.323 v4) • MSN File 송수신, 음성 채팅 • Windows Media Player, Real Player G2 • 형태 • Static NAT : 내부 비공인 IP Address를 외부 공인 IP Address로 1:1 Mapping • Dynamic NAT : 한정된 공인 IP Address를 Pool 방식으로 M:N Mapping • PAT : 단일 공인 IP Address에 대한 M:1 Mapping • LSNAT, Load Share Network Address Translators : 네트워크 트래픽이 특정 서버에 집중되지 않고 여러개의 서버 풀에 분산되도록 하는 “로드공유” 기능을 기반으로, 네트워크 주소를 변환 주요기능– Firewall 9/15(NAT) Network Address Translation LSNAT 인터넷 HTTP://210.118.82.10 HTTP://10.10.10.1 HTTP://10.10.10.3 1st 2nd 3rd HTTP://10.10.10.2

  20. Bridge(Transparent) Mode 구성 지원으로 기존 네트워크 설정 변경없이 손쉽게 설치 VLAN 802.1q Trunk 지원 : 각 인터페이스에 대한 Sub Interface 구성 External, Internal, DMZ 각각에 대해 Multiple Interface 지원(총 여유 Slot 8개) Bridge Mode 설정변경 Routing Mode Internet 기존 VLAN 802.1q Trunk Bridge Mode 인터넷 802.1Q VLAN A VLAN B VLAN C 주요기능– Firewall 10/15(Network Connection) Network Connection Multiple Interface

  21. URL Filtering : 유해 사이트 접속 차단 • 기업 내부의 보안정책에 의해 접속이 금지된 사이트 리스트를 Category화 • 사용자 정의 차단목록 정의 기능 • 정보통신 윤리위원회(ICEC, Information Communication Ethics Committee) 유해사이트 목록 기본 탑재(약 30만건, 주1회 자동 Update) • 사용자가 URL을 이용하지 않고, DNS를 통해 알아낸 IP Address로의 접속 역시 차단 주요기능– Firewall 11/15(URL Filtering) URL Filtering www.bananatv.co.kr HTTP://www.bananatv.co.kr

  22. 외부망의 유동 IP주소 사용 • 사용자의 Log ON/OFF 시, 해당하는 정책이 생성 및 소멸 • 다양한 인증방식 채용 • 자체 사용자 DB • RADIUS, LDAP, SecurID 등 지원 • S/Key를 이용하여 Password Sniffing에 대응 주요기능– Firewall 12/15(User Authentication) User Authentication ADSL 사용자: wtna 인터넷 LDAP RADIUS SecurID 인증 서버 100.200.100.200

  23. 메일 보안 • 각종 광고성 메일 차단 • ([광*고], [과앙고], [광~~고] …) • 수발신 메일크기 제한 • 메일주소/키워드 필터링 • 첨부파일의 바이러스 유무검사, 치료 • (V3, ViRobot, Norton Anti-Virus 지원) • SPAM 메일 방지 • HTTP 보안 • 내부사용자는 웹 브라우져 상의 설정변경 없이 Web 사용 • Java/VB Script, Java Applet, ActiveX 차단 • 기업 내부정보 유출 방지를 위해 Web Posting Restriction 기능 • 파일첨부 금지 • Posting Size 제한 • Thread 방식을 이용 성능 향상 • Reverse HTTP Proxy를 통한 Contents Distribution, Contents Server Load Balancing 메일서버가 secuiWALL 내부에 있을 경우 mail.animal.com mail.secuiwall.co.kr SMTP SMTP SMTP POP3 SMTP SMTP mail.people.com 메일서버가 secuiWALL 외부에 있을 경우 mail.animal.com mail.secuiwall.co.kr SMTP POP3 SMTP POP3 SMTP SMTP mail.people.com 주요기능– Firewall 13/15(Secure Proxy) Secure Proxy

  24. Firewall 내부에 DNS를 설치하여 Internal/External DNS로 구분 운영 • External DNS : 기업의 외부 서비스용 서버들(Web, Mail, FTP)을 위한 DNS • Internal DNS : 기업의 내부에서만 사용되는 서버 및 자원을 위한 DNS • 내부 도메인 Address가 외부로 유출되는 것을 방지 • 같은 자원에 대해 질의 방향에 따른 차별화된 응답 주요기능– Firewall 14/15(Split DNS) Split DNS Q:mail.secuiwall.co.kr Q:mail.secuiwall.co.kr A:210.118.82.17 A:11.4.6.209 mail.secuiwall.co.kr

  25. 시스템 문제상황에 대한 경고 설정 • CPU 및 Memory과다 사용 • 과다한 트래픽 및 세션 발생 • 파일시스템 포화 경고 • 인터페이스의 Down, 비정상적인 트래픽 발생 • 과다한 로그 및 NAT 변환 등등 • SNMP지원을 통한 NMS(예 : HP OpenView)연동 기능 • 모든 Counter Log에 대해 별도의 MIB 지원 • 경고에 대해서는 지정한 SNMP서버에 Trap 발생 주요기능– Firewall 15/15(Alarm/SNMP) Alarm/SNMP

  26. IPSec 국제표준 준수 • Concurrent Tunnel : 50,000 • Transport / Tunnel Mode • Encryption Algorithm • HW : 고성능 3DES, DES, AES • SW : Blowfish, CAST128, SEED • 인증 : SHA-1, MD5 • Multipath IPSec 지원 • IPSec에서 Packet단위 Load-Balancing 지원 • N*M회선을 이용한 회선 대역폭 확장 가능 • DPD(Dead Peer Detection) 표준기능 지원 • 장비 Rebooting, SA 삭제 등에 즉각적인 Re-keying • DLD(Dead Link Detection) 기능 지원 : Multipath IPSec 구성시 Path 단절을 감시 • NAT-Traversal 지원 • 사설망 NAT 내에서도 IPSec 가능 • Split-tunneling 지원 • Private DNS Service 지원 • 유동IP VPN Gateway간 IPSec 접속가능 • VoIP Tested NXG 2000– 1/3(Robust IPSec) Robust IPSec HW DES 3DES AES SW Blowfish CAST128 SEED 데이터 암호화 기능(ESP) 데이터 무결성 및 근원 인증 기능(AH)

  27. Active-Active Dual Line VPN 구성 지원 • N*M 회선에서 가상 Tunnel을 동시에 생성하여 Multi-path IPSec Load-Balancing • Nested-Hub VPN 구성 지원 • 단 한번의 사용자 인증으로 접속하고자 하는 단위 네트워크까지의 Tunneling을 맺을 수 있는 VPN 구성 • Privacy Enhanced Routing Config 지원 • Default Routing이 내부 Private Network으로 지정할 경우에도 정상적인 Key교환 가능 • DPD(Dead Peer Detection) 표준기능 지원 • Zero-Packet Loss SA Rekeying 지원 • IPSec 보안성 강화(SA Lifetime 단축)에 따른 패킷 Loss율 0% • 기존 Hard Timeout방식에서 한단계 진보된 Soft Timeout 방식 적용 • Perfect Forward Secrecy 지원 • DH Group 1,2,5 • PSK(Pre-shared Key), X.509 인증지원(PKI) • X-Auth 지원 • LDAP 인증 • RADIUS 지원 • VPN Client IP Pool 지원 NXG 2000– 2/3(Fast IKE) Fast IKE Manual Key Autokey IKE

  28. CA Server 내장 • 자동 인증서 발급 매커니즘 탑재 • X.509 v3 Certificate 지원 • Verisign, Entrust Certificate 호환 • 국내 인증기관 인증서 지원(한국전자인증) • External 인증서버 지원 • RADIUS • LDAP • OCSP NXG 2000– 3/3(Trust CA) Trust CA

  29. NXG 2000–경쟁제품 기능 비교표

  30. NXG 2000 - 이러한 점이 좋습니다. NXG2000 No falling off Throughput Abide by IPSec Standard Quality Of Service Active-Active High Availability Enterprise Manager Embedded IPS

  31. NXG 2000 - FAQs • 관리자가 그룹 객체를 이용하여 설정한 정책이 실제 시스템에 적용될 때, 그룹 해제되어 여러 개의 정책으로 분할되어 적용되는가요? • 아닙니다. 그룹의 있는 그대로가 Classification Algorithm에 적용되어, 하나의 정책으로 인식됩니다. 만약 그렇지 못하다면, 멤버를 100개를 가진 그룹에서 멤버가 100개인 그룹으로의 접근을 정의하는 정책은 모두 10000개의 정책이 되어, 이 단 하나의 정책이 엄청난 시스템 부하를 유발할 것입니다. • 불건전 사이트에의 접속을 업무 시간에는 차단하고, 업무 외 시간에는 허용할 수 있도록 시간대에 따라 차별적으로 적용되는 정책을 구성할 수 있습니까? • 가능합니다. 각 정책에는 특정 시간대에만 적용할 수 있도록 하는 옵션 뿐 아니라, FTP 접속 시 PUT/GET 명령어에 따른 차별적인 차단 및 LOG 여부 등 다양한 옵션을 선택할 수 있도록 되어 있습니다. • Active-Active HA 기능을 이용하면, L4 스위치가 필요 없다는 점은 이해했습니다. 하지만, 이미 투자된 L4 스위치를 굳이 이용하는 네트워크 구성은 불가능합니까 ? • 가능합니다. secuiWALL이 제공하는 다양한 HA 모드 중에서, “High-Level Sync Only”모드를 이용하여 구성할 수 있습니다. 이는 정책 적용, 구성 변경과 같은 GUI 설정 작업과 Log의 동기화 만 이루어지고, Session 동기화는 이루어지지 않는 모드입니다. • Routing 모드로 설치하였을 때, 연동할 수 있는 Routing Protocol은 무엇이며, Bridge 모드로 설치하였을 때, EIGRP 또는 OSPF 등과 같은 Routing Protocol 패킷들의 통과가 가능한가요? • Routing 모드로 설치된 secuiWALL은 자체적으로 OSPF를 지원합니다. 그리고, 당연히 Bridge 모드에서 EIGRP와 같은 Routing Protocol 패킷들의 경유를 허용할 수도 있고, 차단할 수도 있습니다. 따라서, Routing 문제가 복잡하게 얽혀 있는 네트워크에서는 Bridge 모드의 설치를 적극 권장합니다.

  32. 참고자료 • 수상이력 • 표준지원 • Bakeoff Interoperability Test • Firewall Architectures • Patented Classification Algorithm • HA Config(Bridge/Router) • VPN 동작원리 • VPN 차별화 기능 • Reference Sites

  33. 참고자료- 수상이력 • 국가정보원 K2인증(2002. 3. 26) • ICSA 인증(2001. 12 21) • 중국 공안부 인증(2001. 8. 24) • 국산신기술 인정, KT마크(2001. 6. 13) • 국가정보원 K4인증계약(2003. 3. 5) • TTA Verified[2003. 3. 26]

  34. 참고자료 –표준지원

  35. Application Application Application Application Application Application Application Presentation Application Presentation Presentation Presentation Presentation Presentation Presentation Session Presentation Session Session Session Session Session Session Transport Session Transport Transport Transport Transport Transport Transport Network Transport Network Network Network Network Network Network Network Network Data Link Data Link Data Link Data Link Data Link Data Link Data Link Data Link Data Link Physical Physical Physical Physical Physical Physical Physical Physical Physical Using Dynamic State Tables With Classification Algorithm 장점 단점 장점 단점 장점 • 어플리케이션 독립 • 고성능 • 확장성 우수 • 낮은 보안성 • 네트웍레이어 이상을 볼 수 없슴 • 보안성 우수 • 어플리케이션레이어까지의 모든정보검색 • 낮은 성능 • 지원 어플리케이션 제한 • 낮은 확장성 • 보안성 우수 • 어플리케이션레이어까지의 모든정보검색 • 고 성능 • 확장성 • 투명성 참고자료 – Firewall Architectures Packet Filter Application Gateway Stateful Inspection

  36. 참고자료 – Patented Classification Algorithm Classification 고속화를 위한 독창적인 알고리즘 모두 13개의 Table에 대한, 각 1번의 메모리 조회로 해당하는 정책을 판별 1차 목록 #1 Index 연산 2차 목록#1 3차목록 #1 발신지 IP 주소 (32bit) Index 연산 … … 1차목록 #3 Index 연산 … 2차 목록 #2 목적지 IP 주소 (32bit) 4차 최종 Table … 1차 목록 #2 … D D 발신지 Port 2차 목록 #3 … 3차목록 #2 목적지 Port B … Index 연산 C … 1차목록 #4 A Intf(3bit) … 프로토콜 (8bit) 2차 목록 #4 … TCP Flg. (5bit) … …

  37. 참고자료 – HA Config.(Bridge Mode) 구성도 부하분산 • With secuiWALLs configured as bridge Active-Active HA mode • 각 라우터 들과 Core L3 Switchs간에 상호동작 중인 부하분산을 지원하는 라우팅 프로토콜(OSPF;Open Shortest Path First, EIGRP; Enhanced Internet Gateway Routing Protocol 등)에 의해 트래픽을 분산 • Bridge Mode의 secuiWALL은 라우팅 프로토콜 패킷을 Transparent하게 통과 Core L3 Switch 장애대응 DistributionL2 Switch • 장애 발생구간은 라우팅 프로토콜에 의해 자동 인식되며, 이를 패킷전송경로에서 자동삭제 한다. AccessSwitch

  38. 참고자료 – HA Config.(Router Mode) 구성도 부하분산 • Routers - Core L3 Switchs - secuiWALL간에 부하분산을 지원하는 라우팅 프로토콜인 OSPF;Open Shortest Path First를 설정하여 트래픽 분산 • OSPF를 이용하지 않을 경우, 동일 Metric Static Route 부하분산을 이용 With secuiWALLs configured as router Active-Active HA mode 장애대응 Core L3 Switch • 장애 발생구간은 OSPF 라우팅 프로토콜에 의해 자동 인식되며, 이를 패킷전송경로에서 자동삭제 • Static 경로 이용시에는 “가상IP주소기법”을 이용 DistributionL2 Switch AccessSwitch

  39. 감사합니다.

More Related