| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | |
| 7 | 8 | 9 | 10 | 11 | 12 | 13 |
| 14 | 15 | 16 | 17 | 18 | 19 | 20 |
| 21 | 22 | 23 | 24 | 25 | 26 | 27 |
| 28 | 29 | 30 |
- 웹 개발
- SAA-C03
- cloud
- iam
- 스토리지
- hacking
- EC2
- EBS
- Vulnerability
- web
- CloudGoat
- VUL
- serverless
- SAA
- aws
- Object Lock
- 인터랙티브 자바스크립트
- owasp
- CloudFormation
- Fully Managed
- Rhino Security Labs
- S3
- 로드밸런서
- JavaScript
- API Gateway
- Lambda
- 온프레미스
- QuIC
- 클라우드
- Network
- Today
- Total
yubyeong
[네트워크 기초] 네트워크 보안 통제 본문
1. 방화벽 Firewall
방화벽은 네트워크에서 허용된 통신만 통과시키고 나머지는 차단하는 보안 장치이다.
방화벽은 보통 다음 정보를 기준으로 트래픽을 판단한다.
출발지 IP
목적지 IP
포트
프로토콜
방향
정책예를 들어 기업에서는 이런 정책을 설정할 수 있다.
인터넷 → 웹 서버 TCP 443 허용
인터넷 → DB 서버 TCP 3306 차단
업무망 → 인터넷 TCP 80, 443 허용
업무망 → DB망 직접 접근 차단
관리망 → 서버 SSH 22 허용방화벽의 핵심 원칙은 최소 허용 원칙이다.
필요한 출발지에서, 필요한 목적지로, 필요한 포트만 허용한다.
위험한 정책 예시는 다음과 같다.
Any → Any → Any 허용
0.0.0.0/0 → 서버망 TCP 22 허용
인터넷 → 내부망 전체 허용이런 정책은 공격자가 내부 시스템에 접근할 수 있는 길을 넓히기 때문에 위험하다.
정리하면, 방화벽은 망과 망 사이의 통신을 제어하는 장비이다.
업무망, 서버망, DB망, DMZ, 인터넷망 사이에서 어떤 통신을 허용할지 결정한다.
2. VPN
VPN은 Virtual Private Network의 약자이다. 직역하면 가상 사설망이라는 뜻으로, 공용 인터넷망을 마치 전용선처럼 사용하여 데이터 암호화, IP 우회, 보안 터널링 기술을 통해 안전하게 통신하는 기술이다.
공용 인터넷 위에 가상의 사설 네트워크를 만든다는 의미로 가상 사설망이라고 한다.
예를 들어 재택근무자가 회사 내부 시스템에 접속해야 한다고 해보자.
내부 시스템을 인터넷에 그대로 공개하면 위험하다.
그래서 VPN을 통해 인증된 사용자만 내부망에 접근하게 한다.
재택근무자 노트북
↓
인터넷
↓
VPN 인증
↓
회사 내부망
↓
업무 시스템VPN은 사용자와 회사 네트워크 사이에 암호화된 터널을 만든다.
이 터널을 통해 외부에서도 내부망에 접속할 수 있다.
VPN 운영에서 중요한 보안 요소 예시이다.
사용자 인증
MFA 적용
접속 로그 수집
허용 사용자 그룹 제한
접속 가능한 내부망 범위 제한
퇴사자 계정 비활성화
비정상 시간대 또는 해외 IP 접속 탐지잘못된 VPN 운영 예시는 다음과 같다.
MFA 없이 ID/PW만으로 VPN 접속
VPN 접속 후 내부망 전체 접근 가능
퇴사자 계정으로 VPN 접속 가능
접속 로그 미수집VPN은 편리하지만, 한 번 접속한 사용자가 내부망 전체에 접근할 수 있으면 위험하다.
따라서 VPN 접속 후에도 사용자 역할에 따라 접근 가능한 시스템을 제한해야 한다.
정리하면, VPN은 외부 사용자가 내부망에 안전하게 접속하기 위한 통로이다.
3. NAC
NAC은 Network Access Control의 약자이다.
NAC은 회사 네트워크에 접속하는 단말을 확인하고, 조건에 따라 접근을 허용하거나 차단하는 솔루션이다.
쉽게 말해, 회사 네트워크에 아무 장비나 연결되지 못하게 막는 장치이다.
예를 들어 누군가 개인 노트북을 회사 랜선이나 Wi-Fi에 연결했다고 한다면,
그 장비가 악성코드에 감염되어 있거나 보안 패치가 안 되어 있다면 내부망에 위험을 줄 수 있다.
NAC은 보통 다음 항목을 확인한다.
등록된 회사 장비인가?
사용자가 인증되었는가?
백신이 설치되어 있는가?
OS 보안 패치가 최신인가?
보안 정책을 만족하는가?
허용된 VLAN으로 접속하는가?검사 결과에 따라 이렇게 처리할 수 있다.
정상 회사 PC → 업무망 접속 허용
미등록 개인 노트북 → 게스트망으로 이동
보안 패치 미흡 단말 → 격리망으로 이동
감염 의심 단말 → 네트워크 차단NAC은 특히 내부망 보안에 중요하다.
방화벽이 망과 망 사이의 통신을 제어한다면, NAC은 네트워크에 들어오는 단말 자체를 통제한다.
이렇듯, NAC은 내부 네트워크에 접속하려는 장비를 검사하고 접근을 제어하는 솔루션이다.
네트워크 보안 통제에서의 방화벽은 트래픽을 통제하고, VPN은 외부 사용자의 안전한 접속을 제공하며, NAC는 내부망에 접속하는 단말을 검증해 기업 네트워크 접근을 보호하는 보안 기술이다.
'네트워크' 카테고리의 다른 글
| 온프레미스 네트워크 <-> 클라우드 네트워크 개념 (0) | 2026.05.05 |
|---|---|
| [네트워크 기초] 네트워크 로그와 분석 (0) | 2026.05.04 |
| [네트워크 기초] 네트워크 분리와 기업망 구조 (0) | 2026.05.03 |
| [네트워크 기초] 네트워크 장비와 구성 요소 (0) | 2026.05.01 |
| [네트워크 기초] 네트워크 경로와 트래픽 제어 (0) | 2026.05.01 |