Security Engineer · 네트워크 장비

보안장비별 패킷 판단 위치

방화벽, IDS, IPS, WAF, VPN, NAC, DMZ가 같은 트래픽을 서로 다른 계층과 목적에서 판단한다는 점을 흐름으로 구분한다.

01

경계 진입

외부 트래픽은 라우터와 방화벽 정책에서 허용 여부가 먼저 결정된다.

perimeter
02

공격 탐지

IDS/IPS는 패턴, 행위, 프로토콜 이상을 분석해 경보 또는 차단을 수행한다.

inspection
03

웹 문맥 분석

WAF는 URL, 파라미터, 쿠키, body를 보고 SQLi와 XSS 같은 요청을 판단한다.

application
04

내부 접근 제어

VPN과 NAC는 사용자의 접속 자격과 단말 상태를 기준으로 접근 범위를 나눈다.

access
Firewall
네트워크 정책 집행 포트와 주소 기준에는 강하지만 HTTP 파라미터 의미까지 보기는 어렵다.
L3/L4
IPS
공격 트래픽 차단 오탐이 있으면 정상 트래픽도 막을 수 있어 정책 튜닝이 중요하다.
inline
WAF
웹 공격 완화 애플리케이션 취약점 수정의 대체가 아니라 운영 보호층이다.
L7

문제풀이 기준

계층 구분 문제의 단서가 IP/Port인지 HTTP 파라미터인지 먼저 본다.
탐지와 차단 IDS는 탐지 중심, IPS는 인라인 차단 중심으로 구분한다.
DMZ 외부 공개 서버와 내부망을 분리하는 배치 목적을 설명한다.