개요
네트워크 관리자가 해당 네트워크에 대한 트래픽 출입을 관리함으로써 외부 세계와 관리 네트워크 내 자원 간의 접근을 제어할 수 있도록 한다.
원칙
- 모든 트래픽은 방화벽을 거친다.
- 승인된 트래픽만 통과가 허용된다.
- 방화벽 자체가 침입시도에 안전해야 한다.
종류
패킷 필터
패킷 필터는 각 데이터그램을 따로따로 독립적으로 검사하면서 관리자의 특정한 규칙에 따라 데이터 그램을 통과시킬지 버릴지 결정한다.
IP 주소 | 프로토콜 타입 | TDP/UDP | 포트 번호 | TCP 플래그 필드 | ICMP 메시지 타입
등 여러가지 규칙이 사용된다.
상황 고려 패킷 필터
연결 검사라는 필드가 전통적인 패킷 필드위에 추가된다. 연결 검사가 체크되어 있으면 흐름을 추적하여 패킷을 통과 시킬지 아닐지 결정한다. 예를 들어 TCP ACK 1 이 근본도 없이 외부에서 들어 왔다면 흐름검사를 확인하여 이 패킷이 그 어떤 곳에서도 요청한 패킷이 아님을 파악하고 패킷을 드랍시킨다.
응용 게이트웨이
세밀한 수준의 보안을 위해서 방화벽은 패킷 필터를 응용 게이트웨이와 결합시킨다. 응용 게이트웨이는 IP/UDP/TCP 헤더 이상의 것을 검사하고 응용데이터에 기초한 정책 결정을 한다. 이를 통해 내부 사용자의 신원을 파악하여 그에 따른 맞춤 서비스를 제공할 수도 있으며, Application 계층수준의 패킷을 검사하고 감시 할 수 있어 보다 세세한 검사와 분리가 가능하다. 응용게이트웨이는 각 응용마다 서로 다른 응용게이트웨이 서버를 설치해야 하며 그에 따른 성능손실의 문제가 있다.