콘텐츠로 바로가기
HY_TECH_BASE

Firewalls & IPS-IDS

네트워크 경계를 방어하는 1차 관문인 방화벽과, 잠입한 위협을 물리적으로 감지하고 차단하는 침입 탐지 및 방지 시스템(IPS/IDS)의 역학을 다룹니다.

sys.entry
M

Me

hyunyoun's Blog

posts7 min read

1. Overview

방화벽 및 IPS-IDS(Firewalls & IPS-IDS, FII)는 네트워크라는 하드웨어 영토에 '검문소'와 '24시간 순찰대'를 배치하여, 승인되지 않은 물리적 접근(Access)과 악의적인 패킷 흐름을 수리적으로 걸러내는 '경계 보안 물리학'입니다.

학습자는 IP와 포트 번호를 기준으로 패킷을 통과시키는 **상태 기반 방화벽(Stateful Firewall)**의 물리 기제와, 패킷의 내부 내용물까지 수리적으로 분해하여 공격 패턴을 찾는 **심층 패킷 분석(DPI)**을 배웁니다. 특히, 단순히 감시만 하는 **IDS (Intrusion Detection System)**와 실시간으로 물리적 차단을 수행하는 **IPS (Intrusion Prevention System)**의 수치적 반응 시차(LatencyLatency)와 신뢰 모델 차이를 익힙니다. 이를 통해 외부 하드웨어 위협으로부터 기업 내부 자산을 철통같이 방어하는 하이엔드 네트워크 방어 보증 역량을 확보합니다.

2. Scope & Boundaries

In-Scope

  • Firewall Generations: Packet Filter, Stateful Inspection, Next-Gen Firewall (NGFW)의 물리 형상
  • IDS/IDS Mechanics: 서명 기반(Signature) 및 이상 징후 기반(Anomaly) 수리 탐지 모델
  • Perimeter Defense: DMZ 구축과 내부 하드웨어 노드의 물리적 격리 수순
  • Egress/Ingress Control: 들어오고 나가는 트래픽의 수치적 허용 정책 설계
  • Log Correlation: 방화벽 로그와 탐지 이벤트를 통합하여 공격의 수리적 궤적 추적

Out-of-Scope

  • 네트워크 패킷의 암호화/복호화 자체 원리 (10-01-01 SAA 영역에서 분담)
  • 전용 가상 사설망(VPN)을 통한 암호화 터널링 기술 (10-02-02 VPN 영역에서 분담)

Boundaries

  • FII vs. VPN: FII가 '지나가는 모든 패킷을 검사하여 통과시킬지 말지'라는 검문에 집중한다면, VPN(10-02-02)은 '특정 패킷을 안전한 물리 터널로 감싸서 보내기'에 집중하여 구분합니다.

3. Counterexample

  • 단순히 "포트 80번 열기"라 설명하는 것은 FII 학습이 아닙니다. 왜 상태 기반 분석 시 하드웨어 메모리에 보관되는 'State Table'이 가득 찼을 때 신규 접속이 물리적으로 거부되는지 수리적으로 증명할 수 있어야 하며, IDS의 '오탐률(FalsePositiveFalse Positive)' 수치가 운영 하드웨어 대역폭과 보안 담당자의 인지 부하에 미치는 수치적 영향력을 논증하지 못한다면 FII의 실체를 이해하지 못한 것입니다.

4. Prerequisites

  • Network Foundations & OSI Stack (Basic): 08-01-XX의 IP 주소, 포트, TCP 흐름 제어 이해가 필수입니다.
  • Observability & Telemetry Physics (Recommended): 09-04-01의 로그 수집 및 이벤트 연관 분석 이해가 권장됩니다.

5. Learning Map

  1. The Wall of Logic: 접근 제어 목록(ACL)을 통해 시스템의 물리적 경계를 설정합니다.
  2. Stateful Sentry: 패킷 하나가 아니라 통신의 '맥락'을 이해하는 스마트한 방화벽을 배치합니다.
  3. The Silent Watcher: 패킷 내부를 현미경으로 보듯 분석하여 숨어있는 위협(Exploit)을 감지합니다.
  4. Adaptive Defense: 실시간 데이터 학습을 통해 처음 보는 공격에도 수리적으로 대응하는 하이엔드 방벽을 완성합니다.

6. Learning Topics

Basic

Core: 방화벽의 기본 원리와 ACL (Firewall Foundations)

  • Why to Learn: 우리 서버 하드웨어에 아무나 접속하지 못하도록 가드레일을 치기 위해서입니다.
  • What to Learn:
    • Stateless vs Stateful Inspection: 단순 필터링과 맥락 분석의 수리적 차이
    • Access Control List (ACL): 허용/차단 규칙의 물리적 우선순위 적용 수순
    • Default Deny Policy: "모든 것을 막고 필요한 것만 연다"는 보안 물리학의 대원칙
  • How to Learn:
    • iptables나 클라우드 보안 그룹(Security Group)을 설정하여, 특정 포트로의 물리적 접근이 차단되는 현상 확인 실습
    • 방화벽 규칙이 100개 이상 쌓였을 때 패킷 처리 지연 시간(msms)이 수치적으로 어떻게 증가하는지 측정
  • Implement: 특정 IP 대역에서만 원격 접속을 허용하는 표준 AccessPolicy 명세

Core: 침입 탐지 및 방지 시스템 (IDS/IPS Mechanics)

  • Why to Learn: 방화벽을 뚫고 들어온 악성 패킷이 하드웨어 내부에서 활동하기 전에 잡기 위함입니다.
  • What to Learn:
    • Signature-based Detection: 알려진 공격 패턴 블랙리스트 수리 대조
    • Anomaly-based Detection: 평소와 다른 패킷 수치 변화를 수리적으로 감지
    • Prevention Loop: 탐지 즉시 해당 물리 세션(SessionSession)을 강제 종료시키는 기제
  • How to Learn:
    • SnortSuricata를 설치하고, 가상의 공격 패킷(SQL Injection 등)을 쏘아 리얼타임으로 경고가 뜨는 물리 현상 관찰 실습
    • IPS의 '차단 모드'에서 정상 패킷이 공격으로 오인되어 물리적으로 기각되는 케이스 분석
  • Implement: Snort 문법에 맞춰 특정 공격 패턴을 감지하는 커스텀 DetectionRule

Practical

Core: 차세대 방화벽과 DPI (NGFW & Inspection)

  • Why to Learn: 포트나 IP만으로는 더 이상 막을 수 없는 영리한 애플리케이션 보안 위협에 대응하기 위해서입니다.
  • What to Learn:
    • Deep Packet Inspection (DPI): 패킷의 페이로드(Payload) 영역까지 수리적으로 수색하는 기술
    • Application Awareness: "유튜브는 되지만 댓글은 안 됨"과 같은 고차원 물리 정책 제어
    • SSL/TLS Inspection: 암호화된 트래픽을 일시적으로 풀어 물리 스캔 후 다시 묶는 법
  • How to Learn:
    • NGFW(예: Palo Alto, Fortinet)의 시뮬레이터를 통해, HTTPS 트래픽 속에 숨겨진 파일 전송을 물리적으로 식별하는 실습
    • DPI 엔진이 소모하는 CPU 하드웨어 리소스와 전체 처리량(ThroughputThroughput)의 반비례 수치 데이터 분석
  • Implement: 특정 애플리케이션 행동을 타겟으로 하는 상위 계층 방어 시나리오 AppGuardPlan

Advanced

Core: 배포 가능한 보안 및 위협 인텔리전스 (Cyber Integration)

  • Why to Learn: 전 세계에서 발생하는 실시간 위협 데이터를 우리 하드웨어 방벽에 즉각 수리 반영하기 위함입니다.
  • What to Learn:
    • Threat Intel Feeds: 외부 기관에서 배포하는 위험 IP/해시 목록의 물리적 연동
    • SOC (Security Operations Center): 탐지된 신호를 24시간 분석하고 대응하는 물리 거버넌스
    • SOAR: 보안 알람을 수리적 워크플로우에 따라 자동 처리하는 하이엔드 자동화
  • How to Learn:
    • 오픈소스 위협 인텔리전스 API를 호출하여, 방화벽 블랙리스트를 1시간마다 물리적으로 갱신하는 파이프라인 구축 실습
    • 대규모 디도스(DDoSDDoS) 공격 상황에서 방화벽과 로드밸런서가 결합하여 트래픽을 수치적으로 분산 처리하는 구조 연구
  • Implement: 실시간 위협 피드를 읽어 ACL 규칙으로 자동 변환하는 AutoHardening 엔진

7. Terminology

Term (EN / ko, abbr) 1문장 정의 단계(기본/권장/실무/심화) 역할/맥락 관련 개념 유사/대비/함께 사용 오해 포인트 Evidence(Primary/Secondary/Industry) Flags(core)
Firewall 미리 정의된 보안 규칙에 근거하여 들어오고 나가는 네트워크 트래픽을 수리적으로 통제하는 물리 장치입니다. 기본 경계 보안 ACL / Packet WAF 소프트웨어만 의미하지 않음 P3:CyBOK core
IDS 네트워크나 시스템의 물리적 활동을 감시하여 악의적인 행위나 정책 위반이 있을 때 알람을 제공하는 감시 도구입니다. 추천 위험 감지 Snort / Anomaly IPS 자동으로 막지는 않음 Industry core
IPS IDS의 진화된 형태로, 공격 징후 포착 시 해당 트래픽을 물리적/수리적으로 직접 차단하는 능동형 방어 도구입니다. 추천 능동 방력 Prevention / DPI IDS 네트워크 성능에 영향 줌 Industry core
DPI 데이터 패킷의 헤더뿐 아니라 페이로드 전체를 검사하여 상위 계층의 공격을 수치적으로 식별하는 기술입니다. 실무 정밀 수색 Payload / NGFW Inspection 하드웨어 성능 소모가 큼 Industry core

8. References

Primary

Secondary

  • [Network Security Essentials] William Stallings — For fundamental firewall physics.
  • [The Practice of Network Security Monitoring] Richard Bejtlich — For IDS/IPS operations.

Industry

  • [Cisco: What Is a Next-Generation Firewall?] — Modern standards.
  • [NIST SP 800-41: Guidelines on Firewalls and Firewall Policy] — Compliance.

9. Final Checklist

Primary

  • 'Stateless' 방화벽이 'TCP 3-way Handshake'의 물리적 상태를 왜 수리적으로 추적하지 못하는지 설명 가능한가? (P3)
  • 'IDS'를 네트워크 '태핑(Tapping)' 방식으로 설치했을 때, 인라인 방식보다 물리적 대역폭에 미치는 영향이 왜 적은지 기술할 수 있는 가? (P3)

Secondary

  • '서명 기반 탐지' 방식이 'Zero-day' 공격을 물리적으로 잡아내기 힘든 이유를 수리적 확률 모델로 소통 가능한가?
  • NGFW 지표에서 'Inspection' 처리 속도와 실제 하드웨어 NIC 속도 사이의 괴리가 유발하는 '패킷 드랍' 현상을 논증할 수 있는 가?

Industry

  • 실무 서비스 환경에서 '내부 마이크로서비스 간' 방화벽 정책 수립 시 발생하는 관리 복잡도를 수치적으로 제안할 수 있는 가? (SFIA)
  • IPS 도입 전 'Monitor Only' 모드 기간이 '오탐으로 인한 서비스 자살'을 방어하는 데 왜 물리적으로 필수적인지 분석할 수 있는 가?

Concepts & Tags

#firewall#ips#ids#network-security#perimeter-defense#packet-filtering#deep-packet-inspection