Embeded 라우터 스텔스 방어시스템{Embeded Stealth Firewall}

1 ) 스위칭 보안 (Network defending system based on Router & Switching)이란?

일반적으로 스위치(라우터포함)라고 불리는 장치는 네트웍과 네트웍을 연결하는 중요한 곳에 위치한 것으로 OSI 7계층 중에서 네트워크 레이어 (Network Layer)와 데이터 링크(Data Link) 레이어 사이에 위치해 있다.

그럼 보안과는 어떠한 관계가 있는지 살펴보기로 하자.

[도면2]에서 보면 Public Internet 에서는 아무런 문제가 없는 것처럼 보인다.

하지만 Subnet2와 Subnet3을 보면 다수의 공격시도가 subnet1에 가해지고 있는것을 알 수 있게 된다. 만약 이러한 공격 숙주가 그림과는 다르게 여러 곳에서 시도가 된다면 Subnet1은 어떻게 될 것인가? 다행스럽게 Subnet1의 Router가 패킷 공격에 대응할 수 있어도 그 밖의 다른 크래킹 공격에 효과적으로 대응할 수 있을까라는 의문점을 가지게 된다.

결론적으로 그렇지 않다는 것이다.

왜냐하면, Router는 정해진 규칙대로 움직이기 때문에 Screening Router차원으로 어느 정도 패킷 공격을 무마시킬 수 있다고는 하나 서버의존의 방화벽처럼 효과적으로 막아내지 못한다.

오늘날 크래커의 공격방법은 여러 가지가 있으며, 그 중 IP스푸팅이나 DNS스푸팅, Tear Drop, High-Jacking등 TCP/IP의 취약점을 이용한 공격방법이 가지각색으로 존재하는 상태에서 100% 완벽한 보안이 이루어지는 것이 힘든 상태이다.

그렇다면 기존의 서버의존의 방화벽 시스템이 완벽한 보안이 될 수 없다는 사실을 알 수가 있다.

만일 스위칭 기반이 무너진다면 그 안의 네트웍과 서버들은 무방비 사태로 될 것이다. 이에 따른 경제적 손실, 복구 시간의 장기화, 중요 데이터의 손실 등이 크다.

이러한 상황에서는 어떠한 서버의존의 방화벽 시스템도 무능해 질 수밖에 없다.

그러나 이를 막을 수 있는 방법은 위 문항 [도면의 간략 설명]에서 설명하였다.

▶ Firewall Technology Overview

[도면 3] 참조

◎ Step Expression ◎

1) Rx-Ring을 통해 Packet정보를 I/O Memory에 보낸다.

(1 -1 ) Main Processor에서는 I/O Memory 에 Interrupt를 걸고 Packet 정보를 확인한다.

2) I/O를 통해 확인된 Packet 데이터는 IOS코어 시스템을 통해서 Route Cache에 저장하고 최적화 된 Routing 알고리즘에 의해서 처리된다.

3) 처리된 Packet 정보는 Firewall Core 시스템에서 filtering Rule을 통해 걸러지며, Routing 정보와 각종 프로토콜 정보를 분해한 다음 불 필요한 정보라고 판단되는 경우 Drop-Processing을 통해서 버려진다.

4) Firewall을 통과한 Packet 정보는 IOS Processing에 의해 경로 선택 및 최종 목적지점을 지정한다.

5) Log Processing을 통해 Processing의 모든 과정이 Log 되며, 로그 된 정보는 설정된 관리자 메일을 통해서 전송된다.

6) Routing Processing을 통과한 Packet 정보는 다시 조합되어 최종 Tx-Ring을 통해 해당 Desitination으로 이동한다.

▶ Flow Diagram

[도면 4] 참조

▶ Security Visuality

▷▷ Enterprise or ISP/ASP/IDC case

[도면 5] 참조

▶ Security Visuality

▷▷ Enterprise or ISP/ASP/IDC case

[도면 6] 참조

▶ Security Region

▷▷ Switching / Network security Zone

스위치(라우터포함)와 스위치 사이에 위치한 외부 보안영역으로 기업의 경우에는 부 스위칭 방어 시스템이 사용될 수 있다.

▷▷ Server Based Security Zone

기존의 방화벽 시스템과 기능은 같으며, 극히 보안상 중요한 서버나 네트웍을 보호할 수 있는 내부 보안 영역이다.

지금 여러 가지 보안 솔루션이 나와 있지만 100% 신뢰 할 수는 없고, 가격대 /성능비가 그리 만족스럽지 않을 것이다.

본 발명품은 성능면에서도 뛰어나고, 자유 소프트웨어의 장점을 100% 활용할 수 있을 뿐 아니라, 프로그래머가 직접 만든 코드를 이용할 수 있기 때문에 완벽한 방어 시스템이 구성될 수 있다.

하지만 위에서 언급한 바와 같이 방어 시스템은 일반적인 네트웍 환경에서는 문제가 없지만 보다 근본적인 문제, 즉 네트웍과 네트웍을 연결하는 스위칭(Router)부분에 서의 결함이나 크래커의 악의적인 공격에는 무방비 상태가 될 수 있다.

결국 서버의존의 방어 시스템의 한계를 드러낸 셈이다.

지금 현재 나오고 있는 보안 솔루션의 대부분이 서버 의존의 방화벽 시스템을 사용하고 있다. 그렇지만, 근본적인 해결책이 되지 않는다는 것을 알게 될 것이다.

그렇다면 답은 나온 것이다.

바로 스위칭 차원의 보안 시스템을 가동 시키면 이 문제를 해결할 수 있다.

하지만 Router나 스위칭 장치는 너무도 고가여서 일반인들에게는 해당 사항이 없게 된다. 그래서 요즘 개인용으로 나온 SOHO형 Routing기능을 갖춘 IP공유장치에다 방화벽 기능을 갖춘 제품들이 있다.

그러나 생각을 해보면 그러한 장치를 살 필요가 있을까 의문이 간다.

즉 여기서 Embeded Stealth Firewall은 이제껏 서버에 주안을 둔 방화벽을 1차를 통과한 2차방어 시스템이라고 하면, Embeded Smart Firewall은 1차 방어 시스템이다.

내부 2차 방어시스템이 아무리 완벽하다고 해도 Router를 공격하면, 내부 네트웍의 마비와 여러 가지 금전적인 손해가 있을 것이다.

그리고 2차 방어 시스템은 여러 가지 해킹툴의 개발로 접근이 쉬어지고 있으나, 1차 방어 시스템은 아직 해킹 툴이 개발도 않 되어 있으며, 1차 시스템에 예민함으로 인하여 접근 또한 어렵다고 볼 수 있다.

그리고 하드웨어 방식의 Router보호장치(사실상 서버 Firewall에 같은 선상이다)가 있다고는 하나 비용이 비싸며, 업데이트가 용이 하지 않다.

그러나 본 소프트웨어는 기존의 Router Memory에 Embeded 방식을 도입하여, 업데이트가 가능하며, 새로운 제품 출하 시 Memory에 Firewall을 입력하여 출하가 가능하고, Embeded 방식으로 업데이트방식 또한 쉽고 용이하다.

이는 곳 크래커와의 전쟁이 선포되고 있는 이 시점에서 크래커들의 새로운 방식의 새롭게 접근 해야하는 과제가 될 것이며, 앞으로 실용화되고 있는 Settop Box에도 적용이 가능하며, 메모리 칩을 가진 통신수단에 모두 사용할 수 있는 새로운 발명품이 될 것이다.

[도면 1]과 같이 기존의 Router방식을 아래와 같이 설명하고자 한다.

이는 기존의 Router의 기능만을 표기하였고, 바로 이어 추가된 Stealth Firewall모듈을 설명하였으며, 기존의 Firewall방식을 Stealth Firewall와의 방식을 개조식과 정량적으로 비교 하였다.

《기존의 Router방식》

1) Router Hardware Component

라우터 하드웨어 자체를 의미하는 것으로 기종이나 특성에 관계없이 표시해 놓았음. 실제적으로 Embeded system이 적용되는 모델이 있는 반면 적용이 않되는 모델이 있을 수 있다.

2) ISO (Internetwork Operating System)

일반적으로 PC에 사용되는 Windows NT, Linux등의 운영체제를 지칭하는 것으로 Router 운영체제를 구성하는 핵심코어로서 주로 메모리 관리, Process 스케줄 관리, Routing 테이블 처리, I/O에 대한 처리를 담당한다.

3) Process

Router의 동작을 결정하는 부분으로 Packet이나 Routing 프로토콜의 처리 또는 관리를 맡는 부분으로 독립적인 Thread차원의 처리가 가능하다

4) Packet Buffer

주 메모리 버퍼영역으로 자주 쓰이는 데이터를 캐싱 시키고, 스위칭된 패킷을 잠시 보관하는 장소이다. 또한 이 부분은 Embeded Firewall의 Logging 정보를 보관하는 용도로 사용될 수 있다.

5) I/O Interface Layer

실제적인 Packet 정보의 이동통로로 I/O Prpcess에 의해 관리되고 있다.

6) Fast Switching S/W

Process 또는 IOS에서 패킷을 고속으로 처리하기 위한 Library로 구성된 소프트웨어 모듈이다.

7) Device Driver Layer

I/O Interface에 대한 장치 모듈로 하드웨어를 가상화 시켜 커널 및 I/O Process와 통신이 가능하고 인터페이스를 단일화 시킬 수 있다.

-------------------------- Embeded Stealth Firewall Part --------------------

8) Embedding PIPE Layer

IOS Architecture와의 결합을 위한 Firmware로 주로 I/O Function 혹은 IOS제어 루틴이 포함될수 있다. 여기에서는 하드웨어와 소프트웨어의 중간 구성단계로 하드웨어와 관계없이 접근이 가능한 소프트웨어 모듈이다.

9) Stealth Bridge Architecture

실제 Bridge역활을 가상화 시켜서 만든것으로 단순 연결을 통해서 Gateway와 기존 네트웍과의 투명성을 보장해준다. 이 부분은 실제로 IP의 개념이 없으며, 일부 필터링의 역할도 겸하고 있다. 또한 외부 Scan시 내부의 네트웍과 가종서버의 정보가 외부에 노출되지 않아 크래킹의 위험으로 부터 벗어날 수 있다. 즉, 방화벽의 유무도 알 수 없게 된다.

10) Packet Filter Firewall Integrated Kernel Core System

실제적인 Firewall Core시스템으로 NAT, 터널링, 암호화 시스템, Logging 처리, IP 필터링, Packet Filtering 그밖의 Proxy모듈과 관련 되어 있으며 IOS와 실시간 데이터 교환 및 Packet에 대한 추적 및 감시가 이루어 진다. Update Filtering code Module의 규칙에 따라 필터링 규칙이 실행되며, Information Module의 정보에 따라 서버의 접근 및 각종 포트 설정이 이루어 진다. 코어 시스템은 Linux 와 FreeBSD의 커널 코어가 포함되며 실제적인 방어 시스템으로 작동되게 된다.

11) Proxy Module

Firewall 코어 시스템과 함께 효과적으로 서버를 보호하기 위해 사용되며 Proxy 를 통한 통한 강력한 보안 시스템이 구현될 수 있다. Proxy를 통해 투명하게 서비스를 구현 할수 있고, 비인가 서비스의 출현을 막을 수 있게 된다.

12) Log/Auth Module

실시간 로깅 및 사용자에 대한 인증 및 통제를 할수 있다. 실제 시스템에서는 실시간 로깅정보를 관리자 전자메일로 자동으로 통보하며, 사용자 인증은 외부 접근에서는 일체 사용할 수 없으며 오직 사설 IP를 통한 내부 시스템의 업그레이드에만 적용된다.

13) Update Filtering code Module

필터링 규칙을 담은 데이터 외에 필터링에 필요한 Library를 보관하는 장소로 스마트 업데이트를 통해 자동으로 다운 받을수 있으며, 새로운 크래킹에 능동적인 대처가 가능하다. 해당 필터코드 모듈은 Firewall 코어와 연동되며 Firewall 코어의 크기를 줄일 수 있는 장점을 가진다.

14) 각종 내부 서버 관련 데이터, 프로토콜, 포트정보등이 들어 있으며 네트웍과 관련된 데이터를 보관하고 있다. 실제적인 모듈이라기 보다는 데이터 저장소에 가깝다고 말할 수 있겠다.

■ 동종 또는 유사기술 등을 특성, 성능 및 규격 등의 장단점을 개조식 또는 정량적으로 아래와같이 비교해 보았다.

[개조식]

[정량적]

대부분의 방화벽 시스템은 하드웨어 기반의 방화벽 시스템과 서버기반의 Application 기반의 방화벽 시스템으로 나뉠 수 있다.

하드웨어 방화벽 시스템과 서버기반의 시스템을 비교할 때 꼭 어떤 기반의 시스템이 뛰어나다고 이야기 하기는 힘든 부분이며, 실제 서비스 시 방화벽 자체의 성능보다는 보안 설정을 제대로 이해하고 설정하는가의 여부에 따라 달라질 수 있다.

일반적으로 볼 때 하드웨어 기반의 방화벽 시스템은 처리속도와 네트웍 부하의 영향을 많이 들어가며, 실제적으로 100% 완벽한 보안이 이루어 지기가 어렵다.

이에 따라 본 발명품에서 내세우고자 하는 차세대 방어 시스템인 Embeded Stealth Firewall 은 서버나 기타 하드웨어에 의존하는 방화벽과는 다르게 기존의스위칭 장치(라우터포함)에 IOS를 제외한 모듈화된 firewall core를 직접 끼워 넣음 으로서 방화벽 자체의 성능 향상을 이룰 수 있으며, 하드웨어적인 방화벽 시스템의 장점과 서버기반 방화벽 시스템의 이점을 동시에 가지고 있으며, 기존의 스위칭 장치를 바꿀 필요가 없어서 경제적이며, 추가적인 서버 구성이 필요 없다.

또한 스마트 업데이트를 통해 최고수준의 보안을 유지 할 수 있는 완벽한 보안 솔루션임을 자부한다.

그리고 더욱 중요한 것은 무방비 상태의 Router는 다량의 Packet을 막아 낼 수가 없으나 Embeded Stealth Firewall가 Router에 장착됨으로서, 다량의 Packet 공격에도 문제가 없다는 데에 장점 또한 강하다.

본 발명은 Router가 Router 기능을 다하면서 Router가 해내지 못하는 기능을 보완 한다고 보면 된다.

기존에는 Firewall가 서버에 Software나, Hardware를 장착하여 사용 하였으나, 이는 2차 방어의 기능에 극한 되어 있다.

Router를 통과한 2차 보안, 2차 보안은 아무리 완벽하다고는 하나 Router를 공격하는 Packet 공격에는 무방비이기 때문에, 1차 Router보안만이 Packet공격에서 해방 될 수 있으며, 종례에 나와 있는 크래킹 기술과 크래킹 툴의 역사를 바꿔내는 역사의 획을 장식할 만한 발명품이다.

현재 Router를 방어하는 Router Hardware Firewall가 나와 있고, 그 기술이 뛰어 나기는 하나, 업그레이드의 단점이 있으며, 고가라는 데에 단점이 있다.

그러나 본 발명품은 기존의 IOS가 입력되어 있는 Memory 칩에 Embedding 기술로 Update가 간편하며, 가격이 저렴하고, 빠르다는 데에 그 주안점이 있다.

본 발명품을 발명하기 위한 기술은 Software만 제작해서 가능하지만, 때에 따라서는 Hardware도 가능하다.

그러나 본 발명품은 아래와 같이 Software에 그 주안점을 두었다.

☞ - Linux / UNIX Kernel Programming Enabled (C Lang Based)

- Device Driver Programming Enabled (C Lang Based)

- Socket / Filter Programming Enabled (C Lang Based)

- Router Configuration Enabled (CISCO Based)

- Network Design Enabled

- Web-based Programming

- Low Level Programming (Assembler Based)

- H / W Design Support

- Embedding Technology

- OS Level dump Support

[도 1] 을 참조하고 상단부분의 기존 Router부분 설명은 생략하였고 아래와 같이 Embeded Stealth Firewall Part 부분만 설명하였다.

《Embeded Stealth Firewall Part 설명》

1 ) Embedding PIPE Layer

IOS Architercture와의 결합을 위한 Firmware로 주로 I/O Function 혹은 IOS제어 루틴이 포함될 수 있다. 여기서 하드웨어와 소프트웨어의 중간 구성단계로 하드웨어와 관계없이 접근이 가능한 소프트웨어 모듈이다.

2) Packet Filter Firewall Core System

실제적인 Firewall Core시스템으로 NAT, 터널링, 암호화 시스템, Logging처리, IP필터링 Packet Filtering, 그 밖의 Proxy모듈과 관련되어 있으며 IOS와 실시간 데이터 교환 및 Packet에 대한 추적 및 감시가 이루어진다.

Update Filtering code Module의 정보에 따라 서버의 접근 및 각종 포트 설정이 이루어진다. 코어 시스템은 Linux와 UNIX기반의 커널 코어가 포함되며, 실제적인 방어 시스템으로 작동된다.

3) Proxy Module

Firewall 코어 시스템과 함께 효과적으로 서버를 보호하기 위해 사용되며,Proxy를 통한 강력한 보안 시스템이 구현될 수 있다.

Proxy를 통해 투명하게 서비스를 구현 할 수 있고, 비인가 서비스의 출현을 막을 수 있게 된다.

4) Log/Auth Module

실시간 로깅 및 사용자에 대한 인증 및 통제를 할 수 있다.

실제 시스템에서는 실시간 로깅정보를 관리자 전자메일로 자동으로 통보하며, 사용자 인증은 외부 접근에서는 일체 사용할 수 없으며, 오직 사설 IP를 통한 내부 시스템의 업그레이드에만 적용된다.

5) Update Filtering code Module

필터링 규칙을 담은 데이터 외에 필터링에 필요한 Library를 보관하는 장소로 스마트 업데이트를 통해 자동으로 다운 받을 수 있으며, 새로운 크래킹에 능동적인 대처가 가능하다. 해당 필터코드 모듈은 Firewall 코어와 연동되며, Firewall코어의 크기를 줄일 수 있는 장점을 가진다.

6) Information Module

각종 내부 서버 관련 데이터, 프로토콜, 포트정보 등이 들어 있으며, 네트웍과 관련된 데이터를 보관하고 있다.

실제적인 모듈이라 기 보다는 데이터 저장소에 가깝다고 말할 수 있다.

모듈설명

1. NAT Module

각종 주소변환을 담당하며 공인 IP : 사설 IP 혹은 사설 IP : 사설 IP등의분리된 IP를 사용하여 네트웍 주소의 효율성을 가져온다.

2. Encode / Decode Module

MD5, RSA, IP_SEC , keboros5등의 암호화된 프로토콜의 처리를 담당하며, 필요 시 이들을 이용하여 보안 통신을 할 수가 있다.

3. Packet Transfer Exchanger

라우터 알고니즘으로 형성된 각종 패킷을 그대로 해당 네트웍에 보내기도 하지만 필요에 따라서 해당 패킷 정보를 변형하여 보낼 수가 있다.

4. Filtering Analyzer

실제적인 패킷 필터링을 담당하며 불필요한 패킷정보는 그대로 Drop 되어 버린다.

5. Network Load Balancer

이것은 네트웍의 부하를 실시간으로 체크하여 필요하지 않는 Process의 사용을 억제하여 CPU 점유율을 일정하게 유지 시킨다.

6. Self Testing Module

자체적인 Firewall을 테스트 하기 위한 루틴으로 라우터의 파워 ON시 동시에 실행되며 업데이트 유무를 판단한다.

7. IPv4/ v6 Transfer

차세대 인터넷 표준인 IPv6를 채용하여 기존의 IPv4 → IPv6 혹은 IPv6 → IPv4로의 변환을 하며, 안정적이고 기존의 인터페이스 방식과 호환성을 유지 하는데 목적이 있다.

본 발명은 위의 목적에서 말한 바와 같이 서버보안을 2차 방어라고 가정할 때 Routing 보안은 1차 방어라고 할 수 있다.

이유인즉 Router를 통과한 정보는 서버의 Firewall에서 막아주지만, Packet 공격으로 인하여 Router가 마비될 경우에는 내부 2차 보안의 Firewall 또한 무용지물이 된다.

그래서 [도면 7]과 같이 기본적으로 Router에서 Packet Filtering하는 과정을 표현하고 있다.

★[도면 7] 설명

Packet이 들어올 때 Packet이 가공이 않 되어 있기 때문에 Firewall에서 Filtering 하여 처리가 된다.

그리고 본 서버의 정보가 외부로 나갈 때는 정보가 감추어져 실제적으로 나갈 때에는 G/W만이 표시되고 나머지 정보는 모르기 때문에 크래커들이 Firewall이 있는지 없는지 조차 모르기 때문에 크래킹의 대상에서 벗어 날 수 있다.

[도면 7]에서 처럼 단순 Packet의 이동 통로로만 쓰이며 입출력(IP)주소가 없이 사용된다.

즉, 외부의 IP에 대해서는 Packet정보의 변화를 주지 않아 내부 Firewall에서 쉽게 필터링을 할 수가 있으며, IP가 없기 때문에 외부에서는 내부 네트웍의 정보를 전혀 알 수가 없게 된다.

단순히 Gateway만 통과할 뿐이다. 이로 인하여 방화벽을 완벽하게 숨길 수 있다는 것이다.

스텔스 ( Stealth Bridge) 설명

이 기술을 정확하게 표현하기는 어렵다. 하지만 한마디로 표현하면 보이지 않는 보안기술 이라고 정의 하는데 일명 스텔스보안(Stealth Security)이라고 표현한다.

이것은 차세대 보안시스템의 상당한 부분을 바꿔 놓을 것이며, 방화벽의 새로운 혁명을 일으킬 것이다.

최근 들어 서버와 네트웍을 공격하는 웜 바이러스 형태가 부쩍 늘고 있다.

그렇지만 아무리 방화벽으로 방어를 하고, 침입차단 시스템을 구축했다고 해서 완벽한 보안은 없다고 본다.

아무리 보안을 완벽하게 구축했다고 해도 방화벽과 각종 네트웍 정보를 흘러가기 마련이다. 즉, 바로 이것이 문제점이다.

크래커의 표적이 되는 것이 항상 보안의 문제가 된다는 것이다. 바로 이러한 문제를 해결할 수 있는 방법이 스텔스 보안입니다.

즉, 내부의 어떠한 정보도 보내서는 않 되며, 100% 차단되어야 한다.

위의 설명을 참고하고자 [도면 8]을 참조 하였다.

도면 8 설명]

일단 외부에서 들어오는 모든 패킷에 대해서는 허용이 되어 있다.

다만, 내부에서 외부로 나가는 방향에 대해서만 필터링을 하는데 그림에서 보면 Source 경로는 패킷 필터링에 걸리지 않는 IP에 한해서만 허용이 되고 나머지는 모두 버려지게 된다.

그럼 내부 쪽에서 외부로 나갈 때는 문제가 다르게 된다.

이번에는 내부의 모든 IP에 한해서 Block Inner IP로 지정되어 밖으로 나갈 수 없게 된다. 즉, 반대로 Dest IP는 있으나, Source IP만을 차단 시켜 실제로는 Fateway가 모든 나가는 통로가 됨을 알 수 있다.

결국 들어오는 것에 대해서 일부만 허용이 되지만 나가는 것에 대해서는 허용되지 않는다는 것을 의미 한다.

이렇게 하면 스캐닝을 해도 내부의 네트웍은 추적되지 않는다.

그리고 결론은 다음과 같다.

스텔스브리지는 외부에 대해서는 허용하지만 내부에 대해서는 정보 허용을 하지 않고, 방화벽은 외부에 대해서 허용하지 않고, 내부에 대해서만 허용을 하기 때문에 둘을 결합한 2중 방어막이 형성됨을 알수 있다.

동작원리 ─

외부에서 들어온 Packet 정보는 Stealth Bride를 통과하기 때문에 전혀 정보가 가공되지 않는다.

이 가공되지 않은 정보는 방화벽에 넘겨지며, 방화벽은 각종 프로토콜로부터 Routing 정보까지 파악하고, 세밀하게 Packet Filtering을 할 수 있다.

또한, 내부의 정보는 방화벽을 통해 걸러서 Stealth Bridge를 통과하게 된다.

이 Stealth Bridge는 입출력 (IP) 주소가 없기 때문에 나가는 주소 Gateway에 Mapping이 된다.

즉, 이 G/W를 통해서만 나가게 되어 내부 정보가 보호되게 된다.

기존 방화벽 시스템

기존의 방화벽 시스템은 Direct 방화벽을 거친 후 내부/외부 네트웍을 통과하는 방식 이여서 물론 방화벽으로 보호를 받고 있지만, 다수의 크래커에게 방화벽이 외부에 노출되어 치명적이라고 볼 수 있다.

그래서 기존의 Firewall 방식을 간단하게 [도면9]와 같이 표현하였다.

용도

Router 및 Switching 기반의 네트워크 방어 시스템으로 완벽한 외부 보안을 목표로 개발 효과

본 발명품은 완벽한 외부보안 시스템의 구성과 하드웨어 방화벽의 장점이 속도와 안정성, 서버기반의 방화벽 시스템의 장점인 업그레이드 및 섬세한 접근 제어가 가능하며, 라우터 및 스위칭 차원의 방어 시스템 이므로 별다른 방화벽 서버 구성이 불 필요하다.

그리고 본 발명품은 Embedding 기법을 사용하여, 그나마 하드웨어로 라우터 방어 시스템의 단점인 스마트 업데이트를 통한 최고 수준의 보안을 유지할 수 있으며, 기존의 라우터 및 스위칭 장비를 바꿀 필요가 없으며, 방화벽 코어의 삽입만으로도 방화벽 시스템으로 작동하므로, 추가적인 경제적 손실을 줄일 수 있다.

그리고 임베이딩의 장점을 충분히 활용할 수가 있기 때문에 어떠한 하드웨어에도 적용이 가능하다.

그리고 본 발명품은 IP / SEC의 지원으로 안전한 통신이 이루어지며, 전자 상거래와 같은 중요 서비스에 사용 시 보안을 강화시킬 수 있으며, 차세대 인터넷 프로토콜인 IPv6의 지원이 되며, 효율적인 주소 지정 및 분할이 가능하다.

방화벽 코어의 확장이 가능하고 IDS (Intrusion Detection System) 침입탐지시스템을 위한 모듈을 장착하면 IDS로서도 사용이 가능한 완벽한 확장성을 제공한다.

그리고 본 발명품을 계발하는 데에 있어서 이익이 되는 부분은 리눅스와 무료 UNIX기반을 기초로 한 방화벽 시스템으로 라이센스의 영향을 받지 않을 뿐만 아니라 새롭게 개발되는 최신기술을 적용할 수가 있다.

그리고 본 발명품은 최초의 라우터 및 스위칭 기반의 임베이딩 방화벽 시스템임을 강조하고자 한다.