네트워크 방화벽 아키텍처

1. 배스천 호스트 (Bastion Host)

중세 시대 성곽의 '망루(Bastion)'에서 유래한 용어로, 내부 네트워크 전면에서 보안을 전담하는 최고 방어 방화벽 서버를 의미한다.

• 외부 네트워크와 내부 네트워크가 만나는 최전선에 위치한다.
• 해커의 1차 타겟이 되므로 불필요한 서비스, 계정, 포트를 모두 차단하고 보안을 극대화하여 운영해야 한다.
• 아래에 설명할 다른 게이트웨이 아키텍처들의 핵심 구성 요소(본체)로 활용된다.

 

2. 듀얼 홈드 게이트웨이 (Dual-homed Gateway)

네트워크 인터페이스 카드(NIC)를 2개 장착하여, 하나는 외부(인터넷), 하나는 내부(로컬) 망에 연결한 구조다.

• 물리적으로 양쪽 네트워크를 철저히 분리한다.
• 라우팅 기능을 비활성화하여, 외부에서 내부로 패킷이 직접 통과할 수 없도록 차단한다.
• 모든 통신은 해당 서버의 애플리케이션 계층(Proxy 등)을 무조건 거쳐야만 한다.
• 장점: 구조가 직관적이고 데이터 흐름 통제가 용이하다.
• 단점: 이 게이트웨이 서버 자체가 침해당하면 내부망이 그대로 노출된다.

 

3. 스크린드 호스트 게이트웨이 (Screened Host Gateway)

패킷 필터링 라우터와 배스천 호스트를 결합한 구조다.

• 외부에서 유입되는 모든 트래픽은 1차적으로 패킷 필터링 라우터를 거친다.
• 라우터는 오직 '배스천 호스트'로 향하는 트래픽만 허용하도록 엄격하게 설정된다.
• 내부망의 PC가 외부로 통신할 때는 반드시 배스천 호스트를 경유해야 한다.
• 장점: 네트워크 계층(라우터)과 애플리케이션 계층(배스천)에서 2중 방어를 수행한다.
• 단점: 라우터의 라우팅 테이블이 변조될 경우, 해커가 배스천을 우회하여 내부망으로 직접 침투할 위험이 존재한다.

 

4. 스크린드 서브넷 게이트웨이 (Screened Subnet Gateway)

외부 라우터, DMZ, 내부 라우터의 조합이다. 기본 방화벽 아키텍처 중 가장 뛰어난 보안성을 제공한다.

• 외부망과 내부망 사이에 DMZ(완충 지대)라는 완전히 격리된 서브넷을 구축한다.
• 웹 서버, 메일 서버 등 외부에 공개해야 하는 서버와 배스천 호스트를 이 DMZ 내부에 배치한다.
• 내부 네트워크와 외부에 각각 스크리닝 라우터를 설치하고 라우터들 사이에 배스천 호스트를 설치한다.
• 장점: 해커가 외부 라우터와 배스천 호스트를 장악하더라도 내부망에 접근하려면 내부 라우터를 추가로 뚫어야 한다. 종심 방어(Defense in Depth)가 가능하여 기업 실무에서 가장 널리 쓰이는 표준 모델이다.
• 단점: 라우터가 2개 이상 필요하여 구축 비용이 증가하고 네트워크 설정 관리가 복잡해진다.

 

💡요약

• 배스천 호스트: 보안을 극대화한 최전방 방어 서버.
• 듀얼 홈드 게이트웨이: 랜카드 2개로 내/외부를 물리적으로 쪼갠 구조.
• 스크린드 호스트 게이트웨이: 라우터 1개 방어막 뒤에 배스천 호스트를 숨긴 2중 방어.
• 스크린드 서브넷 게이트웨이: 라우터 2개로 중간에 DMZ(완충지대)를 구성한 최고 수준의 방어망.