非對稱 네트워크 環境下에서 複數 防火壁의 高可用性 및 負荷分散 技能에 관한 硏究
- 발행기관 고려대학교 정보보호대학원
- 발행년도 2004
- 학위명 박사
- 학과 정보보호대학원:정보보호
- 식별자(기타) DL:000014913146
- 서지제어번호 000045212986
초록/요약
인터넷이 대중화 되고 초고속 통신망이 발전함에 따라 이제는 개인은 물론 대부분의 기업에서 인터넷이 업무에 없어서는 안 될 요소로 자리 잡았고, 이러한 인터넷을 안전하게 사용하기 위해 정보통신 사업자나 많은 기업들이 방화벽(Firewall)을 도입하여 사용하고 있다. 방화벽에는 강력한 트래픽 통제를 위해 하나의 서비스를 이용하는 모든 트래픽이 동일 방화벽을 통과하는 상황(Symmetric)하에서 통신 프로토콜의 상태정보를 매 순간 저장 하여 감시하는 Stateful Inspection 기술 적용되어 있다. 초기 인터넷 환경에서는 인터넷 회선의 서비스 대역폭이 작기 때문에 하나의 방화벽만으로도 충분한 서비스가 가능했지만, 네트워크가 점점 고속화 되고, 인터넷을 이용하는 업무 의존도 높아지면서 각 기업에서는 회선 대역폭 확장 및 네트워크 장애를 최소화하기 위한 회선 다중화에 많은 투자를 하고 있다. 하지만 현재까지 나와 있는 통신 장비들이 제공하는 통신경로 탐색 기능(Routing)이나 트래픽 분산 및 경로 보장 기능이 미약하기 때문에 대부분의 다중회선이 비대칭(Asymmetric) 구조로 운영되고 있으며, 이러한 비대칭 다중회선에 Stateful Inspection 기능을 갖는 방화벽을 운영하기에는 단일 서비스의 트래픽이 반드시 동일 방화벽을 통과한다는 보장이 없기 때문에 불가능하다. 현재로써 이러한 문제를 해결하기 위해서는 별도의 경로보장 장비(L4 스위치)를 이용하거나 평소에는 하나의 방화벽을 사용하고 장애 시 대기하고 있는 방화벽을 사용하도록 구성하는 방법이 최선이다. 이에 본 논문에서는 복수의 방화벽들이 상호간 효과적인 방법으로 프로토콜 상태정보를 공유하도록 하여, 비대칭 네트워크 환경 하에서 특별한 보조 장비의 도움 없이도 방화벽만으로 네트워크의 고가용성(High Availability) 및 부하분산(Load Balancing) 기능을 제공하는 모델을 제시 한다.
more목차
제 1 절 서론 9
제 2 절 방화벽에 대한 고찰 13
2.1 방화벽(Firewall) 개요 13
2.2 방화벽(Firewall)의 종류 13
제 3 절 전통적인 다중 방화벽 구현 모델 23
3.1 다중 방화벽 구성의 문제점 23
3.2 Active-Standby 구현 모델 25
3.3 부하분산 스위치를 이용한 Active-Active 구현모델 27
3.4 State Sharing을 이용한 Active-Active 구현모델 30
제 4 절 고속 H.A Link를 이용한 상태정보 공유모델 38
4.1 개요 38
4.2 상태정보 공유 프로토콜 단계 및 구조 39
4.3 상태정보 동기화 패킷 先처리 보장 기능 43
4.4 신규세션 발생정보 공유 데이터의 구조 및 동기화 48
4.5 기존세션 상태관리 및 유지시간 동기화 49
4.6 효과적인 고 가용성 유지를 위한 지위관리 체계 52
4.7 분산 로그 정보의 동기화 57
4.8 구성 및 설정 정보의 동기화 59
제 5 절 제안 모델의 검증 및 시험 61
5.1 상태정보 동기화에 따른 H.A Link의 부하 검증 61
5.2 고 가용성 보장 기능 및 부하분산 기능 시험 66
5.3 H.A Link상의 동기화 트래픽 검증 시험 77
제 6 절 결론 및 향후 연구과제 83
제 7 절 참고 문헌 84
