응용 프로그램 방화벽

응용 프로그램방화벽은 응용 프로그램 또는 서비스의 입출력 또는 시스템 호출을 제어하는 방화벽의 한 형태입니다.설정된 정책에 따라 통신을 감시하고 차단함으로써 동작합니다.일반적으로 사전에 정의된 규칙세트를 선택할 수 있습니다.애플리케이션 방화벽은 OSI 모델의 애플리케이션 계층(최고 운영 계층)까지 통신을 제어할 수 있습니다. 이 계층은 OSI 모델의 이름을 얻는 위치입니다.애플리케이션 방화벽의 2가지 주요 카테고리는 네트워크 기반과 호스트 기반입니다.

역사

퍼듀 대학의 Gene Spafford, AT &T Laboraties의 Bill Chewswick, Marcus Ranum은 애플리케이션 계층 방화벽으로 알려진 3세대 방화벽에 대해 설명했습니다.Paul Vixie, Brian Reid, Jeff Mogul이 만든 방화벽을 기반으로 한 Marcus Ranum의 작업은 첫 번째 상업용 제품을 만드는 데 앞장섰다.이 제품은 DEC에 의해 출시되었으며 Geoff Mulligan - Secure External Access Link에 의해 DEC SEAL로 명명되었습니다.DEC의 첫 번째 대규모 매각은 1991년 6월 13일에 Dupont에 있었다.

TIS의 광범위한 DARPA 계약에 따라 Marcus Ranum, Wei Xu 및 Peter Churchyard는 1993년 ^[1]10월에 Firewall Toolkit(FWTK)을 개발하여 라이선스 하에 자유롭게 사용할 수 있게 되었습니다.상업적인 용도가 아닌 자유롭게 이용할 수 있는 FWTK를 출시하는 목적은 소프트웨어, 문서 및 사용된 방법을 통해 (당시) 11년 동안 정식 보안 방법에 대한 경험을 가진 기업과 방화벽 경험을 가진 개인이 어떻게 방화벽 소프트웨어를 개발했는지 시연하는 것이었습니다.또한 방화벽이 매우 우수한 공통 기반을 구축하기 위한 것입니다.다른 사용자가 구축할 수 있는 소프트웨어(사용자가 처음부터 계속 '자신의 것'을 할 필요가 없음), 사용 중인 방화벽 소프트웨어의 '막대를 높인다'는 것입니다.다만, FWTK는 유저의 조작을 필요로 하는 기본적인 애플리케이션프록시였습니다.

1994년에 Wei Xu는 IP 스테이트 풀 필터와 소켓 투과적인 커널 확장을 통해 FWTK를 확장했습니다.이는 Guntlet 방화벽으로 알려진 상용 제품으로 출시된 기존의 애플리케이션 프록시(제2세대 방화벽)를 넘어 제3세대 방화벽의 시초로 알려진 최초의 투명 방화벽입니다.Guntlet 방화벽은 Network Associates Inc(NAI)에 인수된 1995년부터 1998년까지 상위 애플리케이션 방화벽 중 하나로 평가되었습니다.Network Associates는 Guntlet이 "세계에서 가장 안전한 방화벽"이라고 계속 주장했지만 2000년 5월 보안 연구원인 Jim Stickley는 운영체제에 대한 원격 접근을 허용하고 ^[2]보안 제어를 우회하는 방화벽의 큰 취약성을 발견했습니다.Stickley는 1년 후 두 번째 취약점을 발견하여 Guntlet 방화벽의 보안 ^[3]우위를 사실상 종식시켰습니다.

묘사

애플리케이션 계층 필터링은 기존 보안 어플라이언스보다 높은 수준에서 작동합니다.이것에 의해, 송신원/행선지 IP 주소 또는 포토 뿐만이 아니라, 임의의 호스트에 대해서 복수의 접속에 걸치는 정보를 사용할 수도 있습니다.

네트워크 기반 응용 프로그램 방화벽

네트워크 기반 애플리케이션 방화벽은 TCP/IP^[4] 스택의 애플리케이션 계층에서 작동하며 File Transfer Protocol(FTP), Domain Name System(DNS), Hypertext Transfer Protocol(HTTP) 등의 특정 애플리케이션과 프로토콜을 인식할 수 있습니다.이를 통해 비표준 포트를 사용하여 원하지 않는 응용 프로그램 또는 서비스를 식별하거나 허용된 프로토콜이 ^[5]남용되고 있는지 탐지할 수 있습니다.

최신 버전의 네트워크 기반 애플리케이션 방화벽에는 다음과 같은 기술이 포함될 수 있습니다.

Web Application Firewall(WAF; 웹 응용 프로그램방화벽)은 네트워크 기반 어플라이언스의 전용 버전으로 리버스 프록시로 동작하며 관련 서버로 전송되기 전에 트래픽을 검사합니다.

호스트 기반 애플리케이션 방화벽

호스트 기반 애플리케이션 방화벽은 애플리케이션 시스템 호출 또는 기타 일반 시스템 통신을 모니터링합니다.따라서 보다 세밀하고 제어가 가능하지만 실행 중인 호스트만 보호할 수 있습니다.제어는 프로세스별로 필터링하여 적용됩니다.일반적으로 프롬프트는 아직 접속을 수신하지 않은 프로세스의 규칙을 정의하기 위해 사용됩니다.데이터 패킷의 소유자의 프로세스 ID 를 조사하는 것으로, 한층 더 필터링을 실시할 수 있습니다.많은 호스트 기반 애플리케이션방화벽이 패킷필터와 ^[6]조합 또는 사용됩니다.

기술적인 제약으로 인해 샌드박스화 등의 최신 솔루션이 호스트 ^[7]기반 애플리케이션 방화벽을 대체하여 시스템 프로세스를 보호하고 있습니다.

실장

무료 및 오픈 소스 소프트웨어 및 상용 제품 등 다양한 애플리케이션 방화벽을 사용할 수 있습니다.

Mac OS X

TrustedB의 구현인 Mac OS X Leopard부터SD MAC 프레임워크 (FreeB에서 취득)SD)^[8]도 포함되어 있습니다.신뢰할 수 있는 BSD MAC 프레임워크는 샌드박스 서비스에 사용되며 Mac OS X Leopard 및 Snow Leopard의 공유 서비스 구성에 따라 방화벽 계층을 제공합니다.타사 애플리케이션은 앱별 발신 연결을 필터링하는 등 확장 기능을 제공할 수 있습니다.

리눅스

이것은 Linux용 보안 소프트웨어 패키지의 목록입니다.애플리케이션에서 OS 통신으로의 필터링을 가능하게 하는 것으로, 유저 마다 실시하는 경우가 있습니다.

앱아머
Kerio Control - 시판 제품
ModSecurity - Windows, Mac OS X, Solaris 및 기타 Unix 버전에서도 작동합니다.ModSecurity는 웹 서버 IIS, Apache2 및 NGINX와 함께 작동하도록 설계되었습니다.
Portmaster by^[9] Safing은 액티비티 모니터링 응용 프로그램입니다.Windows에서도 사용할 수 있습니다.
시스템
조프

창문들

윈게이트

네트워크 어플라이언스

이러한 디바이스는 하드웨어, 소프트웨어 또는 가상화된 네트워크 어플라이언스로 판매할 수 있습니다.

차세대 방화벽:

시스코의 화력 위협 방어
체크 포인트
포티넷 포티게이트 시리즈
Juniper Networks SRX 시리즈
Palo Alto Networks
SonicWALL TZ/NSA/SuperMassive 시리즈

웹 응용 프로그램 방화벽/로드 밸런서:

A10 네트워크 웹 응용 프로그램 방화벽
Barracuda Networks 웹 응용 프로그램 방화벽/로드 밸런서 ADC
Citrix NetScaler
F5 Networks BIG-IP Application Security Manager
포티넷 포티웹 시리즈
KEMP 테크놀로지
임페바

기타:

「」를 참조해 주세요.

레퍼런스

^ "Firewall toolkit V1.0 release". Retrieved 2018-12-28.
^ Kevin Pulsen (May 22, 2000). "Security Hole found in NAI Firewall". securityfocus.com. Retrieved 2018-08-14.
^ Kevin Pulsen (September 5, 2001). "Gaping hole in NAI's Gauntlet firewall". theregister.co.uk. Retrieved 2018-08-14.
^ Luis F. Medina (2003). The Weakest Security Link Series (1st ed.). IUniverse. p. 54. ISBN 978-0-595-26494-0.
^ "What is Layer 7? How Layer 7 of the Internet Works". Cloudflare. Retrieved Aug 29, 2020.
^ "Software Firewalls: Made of Straw? Part 1 of 2". Symantec.com. Symantec Connect Community. 2010-06-29. Retrieved 2013-09-05.
^ "What is sandbox (software testing and security)? - Definition from WhatIs.com". SearchSecurity. Retrieved 2020-11-15.
^ "Mandatory Access Control (MAC) Framework". TrustedBSD. Retrieved 2013-09-05.
^ "Safing Portmaster". safing.io. Retrieved 2021-11-04.

외부 링크

웹 응용 프로그램 방화벽, 웹 응용 프로그램 보안 프로젝트 열기
Web Application Security Consortium의 Web Application Firewall 평가 기준
클라우드 안전: 웹 애플리케이션 방화벽을 '증발'하여 클라우드 컴퓨팅 보안 확보

[1] "Firewall toolkit V1.0 release". Retrieved 2018-12-28.

[2] Kevin Pulsen (May 22, 2000). "Security Hole found in NAI Firewall". securityfocus.com. Retrieved 2018-08-14.

[3] Kevin Pulsen (September 5, 2001). "Gaping hole in NAI's Gauntlet firewall". theregister.co.uk. Retrieved 2018-08-14.

[4] Luis F. Medina (2003). The Weakest Security Link Series (1st ed.). IUniverse. p. 54. ISBN 978-0-595-26494-0.

[5] "What is Layer 7? How Layer 7 of the Internet Works". Cloudflare. Retrieved Aug 29, 2020.

[symantec.com-6] "Software Firewalls: Made of Straw? Part 1 of 2". Symantec.com. Symantec Connect Community. 2010-06-29. Retrieved 2013-09-05.

[7] "What is sandbox (software testing and security)? - Definition from WhatIs.com". SearchSecurity. Retrieved 2020-11-15.

[8] "Mandatory Access Control (MAC) Framework". TrustedBSD. Retrieved 2013-09-05.

[9] "Safing Portmaster". safing.io. Retrieved 2021-11-04.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

Search

응용 프로그램 방화벽

네임스페이스

더

목차

역사

묘사

네트워크 기반 응용 프로그램 방화벽

호스트 기반 애플리케이션 방화벽

실장

Mac OS X

리눅스

창문들

네트워크 어플라이언스

「」를 참조해 주세요.

레퍼런스

외부 링크

Search

응용 프로그램 방화벽

역사

묘사

네트워크 기반 응용 프로그램 방화벽

호스트 기반 애플리케이션 방화벽

실장

Mac OS X

리눅스

창문들

네트워크 어플라이언스

「 」를 참조해 주세요.

레퍼런스

외부 링크

「」를 참조해 주세요.