주성현

보안 서비스 기술 - 내부사설망을외부로부터스스로보호하고, 사용자 가능해야한다.데이터 인증 및 암호화 기술 - 사설망 간의 Traffic을 무결성과 기밀성을 유지하기 위해서, 모든 Traffic에 인증 메커니즘을 적용하거나, 정보 유출의 방 지를 위해서 암호화 해야한다.터널링 기술기존의 공개 네트워크 에서 가상의 사설망을 구성하기 위해서, 기존 네트워크에서 정보 이동이 가능하도록 정보를 캡슐화하고, 다시 풀어내어 논리적으 로 두 네트워크를 연결하는 기술(망연계)이다. (1) VPN G to G새 3.3.3.1 을 기존 내부망(5.5.5.100)과 VPN 기술로 통신할 수 있도록 한다. (2) VPN GtoE개인 PC에 3.3.3.40 내부 IP를 할당하여 내부망에 접속 할 수 있도록한다.기존의 전송 패킷을..

(1) Full Cone NATPC1이 Web server A 에 전송하려고할 떄, Remote Ip와 Report Port를 Any로 지정한다.192.168.0.10 Host를 3.3.3.3:8080에 매핑한다. 3.3.3.3:8080으로 오는 모든 데이터를 192.168.0.10:3000으로 보낸다.Web server A 뿐만아니라 Web server B도 PC1에 전송가능하다.보안성이낮고, 충돌가능성이 있다. (2) (IP)Restricted Cone NATRemote Port는 Any로 놓고 Remote IP만 지정하여 Remote IP가 전송하는 모든 port 전송가능하다. (3) Port Restricted Cone NATRemote IP와 Remote Port 지정하여 해당 IP와 Port로..

- 일반적인 인터넷 공유기는 NAT(Network Address Translation) 기술이 적용된 장치이다.- 보통 주소와 포트번호를 모두 제어한다.- 인터넷 IP 주소 부족 문제를 해결한다.(Private IP)- 패킷 필터링과 방화벽과 비슷한 보안성을 제공한다. IP주소는 공인 주소(Public IP) 와 사설 주소(Private IP - NAT) 가 존재한다. 공유기 구조에 따른 분류 - Cone NAT : Host 단위, 외부 포트 지정 - Symmettric NAT ; TCP 세션마다 외부 포트 지정NAT Gateway에서 각 PC마다 Private IP 주소를 할당한다. PC에서 Web server(15.15.15.15)에 데이터를 전송하려고 할때, Src, Dst 주소와 전송 Port를 ..

1. 우회 Pc(192.168.0.10)는 Web server(10.10.10.20)와 ISP(인터넷서비스제공자)를 통해 직접 통신하지 않고 Proxy 서버를 통해 IP를 50.50.50.50(중국)이나 70.70.70.70(미국)으로 우회하여 Web server와 통신가능하다. 2. 보호와 감시 IPS(침입감지시스템)에서는 Packet을 차단하는데 File 수준의 감시는 어렵다.Proxy 서버는 Stream을 주로 처리하며 File 수준의 감시를 할 수 있다. 3. 서버보호(Reverse Proxy) SSL과 WAF 사이에 Proxy를 구성하여 필터링 및 접근제어 역할을 수행하도록 한다.

주로 Inline, Out of Path, Proxy 구조가 있다. Inline 이란, 모든 트래픽이 해당 보안 장비를 물리적으로 거쳐야만 목적지로 전송될 수 있도록 네트워크를 구성한 것을 말한다. 상/하단 장비와 동일 대역대에 위치하며 기능을 수행하는 포트에 IP 설정이 필요 없는 장비를 Inline 장비라고 한다.ex) packet + Drop(차단)/ByPass(허용) +  Filtering라우터와 L3 사이에 동일대역으로 세팅가능하다. 다른말로 브릿지 구성이라고 하며 구성이 용이하다라는 장점이 있다.- Inline을 통해 내부로 데이터가 전송되면 Inbound라고 하며 반대로는 OutBound라고 한다. Out Of Path 구조 - Inlne 구조와는 달리 패킷을 통과/차단 시키지 않고 감시만 ..