방화벽이 발전된 역사

오늘은 네트워크를 하면 꼭 알아야 하는 방화벽 역사에 대해서 알아보도록 하겠습니다. 그 보잘것없는 방화벽은 옛날 패킷 필터링 시대 이후로 먼 길을 걸어왔습니다. 최초의 방화벽은 1980년대 후반에 DEC에 의해 개발되었습니다. 이러한 초기 방화벽은 주로 OSI(Open Systems Interconnection) 모델의 처음 4개 계층에서 작동하며, 와이어의 트래픽을 인터셉트하고 모든 개별 패킷의 속성을 검사하여 구성된 규칙 집합(예: 소스 및 대상 주소 및 포트 번호)과 일치하는지 확인합니다. 그런 다음 이러한 패킷은 삭제되거나 적절하게 전달됩니다. 이러한 트래픽 검사 방법은 신속하기는 하지만 곧 불필요한 리소스 집약적인 것으로 밝혀졌으며, 나중에 Check Point Software Technologies가 개척한 회로 레벨 방화벽, 즉 "상태별" 방화벽의 도입으로 이어졌습니다. 이 "첫 번째" 차세대 방화벽은 전송 계층 헤더를 더 깊이 들여다보고 현재 활성 연결 테이블을 유지하여 연결 상태를 규칙 집합의 일부로 사용할 수 있도록 했습니다. 상태 저장 방화벽의 도입으로 인해 패킷 필터링 방화벽은 다소 우울하게 상태 비저장 방화벽으로 알려졌습니다. 새로운 차세대 방화벽입니다. 방화벽 개발은 당시와 오늘날의 차세대 방화벽 사이에서 한숨 돌리지 않았습니다. 사실, 방화벽 기술, 침입 탐지 및 방지, 사용자 또는 컨텐츠 관리 등의 개발은 오늘날의 통합 위협 관리(UTM) 플랫폼에 모두 동화되어 온 만큼, 여기에서 여기까지의 이동은 대부분 유기적으로 이루어졌습니다. 애플리케이션 레벨 방화벽은 1993년 Trusted Information Systems의 첫 번째 오픈 소스 방화벽인 Firewall Toolkit(FWTK)이 출시되면서 중요한 도약을 이루었지만, DEC는 7계층 방화벽을 다시 개척했고, 1991년 SEAL은 최초의 방화벽 "제품"을 출시했습니다. 이 3세대 방화벽 기술은 패킷 검사를 애플리케이션 계층까지 끌어올렸습니다. 즉, 연결 및 연결 상태와 관련된 정보가 규칙 집합으로 통합될 수 있을 뿐만 아니라 개별 프로토콜에 따라 수행되고 있는 작업과 관련된 정보(예: http를 통한 GET 요청을 허용하지만 POST는 거부)도 포함할 수 있습니다. TIS는 FWTK를 제가 기꺼이 작업한 제품인 Gauntlet Firewall로 상용화했습니다. Gaunlet 방화벽은 아마도 상업적으로 이용 가능한 최초의 차세대 방화벽이었을 것입니다. 결국 사용자 지정이 가능한 애플리케이션 프록시에 사용자 인증, 악성 소프트웨어 방지, URL 필터링 및 애플리케이션 레벨 방화벽이 통합되었습니다. 그리고 이 모든 것이 10여 년 전의 일입니다. 많은 보안 전문가들은 네트워크 및 경계 방화벽이 열악한 보안 관행, 즉 비효율적인 호스트 보안에 대한 경제적인 해결책이라고 주장하지만, 경제성이 여전히 주요 비즈니스 동력으로 남아 있다는 사실은 부인할 수 없습니다. 가상화와 클라우드의 등장으로 네트워크 인프라가 혁신되었지만, 특권 환경 내에서 강력한 국경 통제의 필요성을 완전히 부정한 것은 아닙니다. 레이어드 보안 모델은 곧 사라지지 않을 것입니다. 이러한 이유로 오늘날 차세대 방화벽으로 계속 발전하는 것을 볼 수 있습니다. 이러한 최신 제품에는 네트워크 침입 방지, 심층 패킷 검사, 사용자 인증 등과 같은 이전의 별개의 기술이 고성능 하드웨어 플랫폼에 통합되어 있습니다. 초기의 방화벽은 1980년대 말까지 거슬러 올라갈 수 있는데, 이는 방화벽이 이미 20년 이상 존재해왔다는 것을 의미합니다. 이 20년 이상 동안, 그들의 개발 과정은 대략 세 단계로 나눌 수 있습니다. 1989년에는 패킷 필터링 방화벽이 등장하여 액세스에 대한 단순한 제어가 가능해졌습니다. 우리는 이 1세대 방화벽을 '1세대 방화벽'이라고 부릅니다. 다음으로 내부 및 외부 네트워크 간의 통신을 위한 애플리케이션 계층 프록시 역할을 하는 프록시 방화벽이 등장했습니다. 이 방화벽은 2세대 방화벽입니다. 프록시 방화벽은 상당히 안전하지만 처리 속도는 느립니다. 또한 모든 애플리케이션에 해당하는 프록시 서비스를 개발하는 것은 매우 어렵기 때문에, 소수의 애플리케이션에 대해서만 프록시 지원을 제공할 수 있습니다. 1994년, Checkpoint Company는 상태 저장 검사 기술에 기반한 최초의 방화벽을 출시했습니다. 상태 저장 검사는 패킷의 상태에 대한 동적 분석을 사용하여 패킷에 대해 수행해야 하는 작업을 결정하며 모든 애플리케이션에 프록시 서비스가 필요하지 않습니다. 또한 이러한 방화벽은 처리 시간이 빠르고 높은 수준의 보안을 제공합니다. 상태 저장 검사 방화벽은 3세대 방화벽이라고 불립니다. 참고: CheckPoint는 이스라엘의 보안 회사이며 상업용으로 설계된 최초의 상태 저장 검사 기술 기반 방화벽을 릴리스했습니다. 상태 저장 방화벽이 주류가 되었습니다. 방화벽은 액세스를 제어하는 기능을 제공할 뿐만 아니라 VPN(가상 사설망)과 같은 다른 기능도 통합하기 시작했습니다. 한편, 전문화된 장비들도 태아의 형태로 나타나기 시작했습니다. 그 예로는 웹 서버의 보안을 보호하도록 특별히 설계된 WAF(Web Application Firewall) 장비가 있습니다. 2004년, UTM(Unified Threat Management) 이론이 업계에 처음 소개되었습니다. 이는 기존의 방화벽, 침입 탐지, 안티바이러스 기능, URL 필터링, 응용 프로그램 제어, 전자 메일 필터링 및 기타 기능을 하나의 방화벽으로 통합하여 포괄적인 보안 보호를 실현했습니다. 2004년 이후, UTM 시장은 빠르게 발전했고, 수많은 UTM 제품들이 등장했습니다. 하지만, 새로운 문제들도 나타났습니다. 그 중 첫째는 애플리케이션 계층 정보를 검사할 수 있는 정도가 제한적이라는 것이었습니다. 예를 들어, 방화벽이 "남성"이 통과할 수 있도록 허용했지만 "여성"이 통과할 수 있도록 거부했다면, 두 교수라는 이름의 외계인이 통과할 수 있도록 허용해야 할까요? 이러한 시나리오에는 훨씬 더 고급 검사 조치가 필요하며 이로 인해 DPI(Deep Package Inspection) 기술이 광범위하게 사용되고 있습니다. 두 번째 문제는 성능입니다. 여러 보안 기능이 동시에 작동하면서 UTM 장비의 처리 성능이 다른 모델에 비해 현저히 떨어졌습니다. 2008년에 Palo Alto Networks는 차세대 방화벽(NGFW)을 출시하여 여러 기능이 동시에 실행될 때 발생하는 이러한 성능 저하 문제를 해결했습니다. 또한 NGFW를 통해 사용자, 애플리케이션 및 컨텐츠를 관리/제어할 수 있습니다. 2009년 Gartner는 차세대 방화벽을 정의하여 이러한 방화벽이 갖춰야 할 기능과 기능을 명확히 설명했습니다. 이에 따라 각 보안 솔루션 회사는 자체 NGFW를 출시하여 새로운 방화벽 시대의 시작을 알렸습니다. 다음은 방화벽의 개발 기록에서 배워야 할 세 가지 주요 메시지입니다. 첫 번째는 방화벽이 점점 더 정확하게 액세스를 제어할 수 있게 되었다는 점입니다. 방화벽 개발의 초기 단계에서 단순한 액세스 제어에서 세션 기반 액세스 제어로 전환하고 NGFW의 사용자, 애플리케이션 및 컨텐츠 기반 액세스 제어로 전환함으로써 보다 효과적이고 정확한 제어가 가능해졌습니다. 두 번째는 방화벽의 보호 기능이 더욱 강력해졌다는 점입니다. 개발 초기에는 방화벽의 기능이 분리/분할되었습니다. 그런 다음 안티바이러스 기능, URL 필터링, 응용 프로그램 제어 및 전자 메일 필터링과 같은 기능과 마찬가지로 침입 탐지 기능이 점차 추가되었습니다. 따라서 보호 조치가 강화되고 방화벽의 보호 범위가 넓어졌습니다. 셋째, 시간이 지날수록 방화벽 처리 성능이 향상되었다는 점입니다. 네트워크 트래픽의 폭발적 증가로 인해 방화벽 성능에 대한 수요가 증가하고 있습니다. 공급업체는 방화벽의 하드웨어 및 소프트웨어 프레임워크를 지속적으로 개선하고 최적화하여 방화벽 처리 성능이 지속적으로 향상되었습니다. NGFW는 방화벽에 대해 '이력 종료' 신호를 보내지 않습니다. 네트워크는 항상 변화하고 있으며, 새로운 기술과 수요가 계속 발생할 것입니다. 따라서 방화벽이 훨씬 더 발전되고 스마트해지고 관리 및 구성이 쉬워지는 것은 그리 오래 걸리지 않을 것입니다. 이는 기대할 만한 가치가 있는 일입니다. 이상으로 방화벽의 발전 역사에 대한 포스팅을 마치도록 하겠습니다.