본문 바로가기

OSI 7계층/[기타] 보안

웹방화벽 (Web Application Firewall)



지난주 우리 방화벽에 대해서 공부했지요 ?


방화벽이란 ??

네, 맞아요, IP/Port 를 기반으로 패킷을 차단/허용하는

침.입.차.단.시.스.템 입니다.


그렇다면 웹방화벽은 무엇일까요?

짧에 소개한다면, 내가 운영하는 웹 사이트를 보호하는 시스템 입니다.


그럼 여기서 질문

왜 방화벽으로는 웹 사이트를 보호할 순 없는 걸까요?




1. 항상 열어 놓아야 하는 포트




편의점의 유리문은 누구든 언제든지 문을 열 수 있죠

왜냐면, 손님이 들어와야 물건을 사갈 수 있잖아요 ??



마찬가지로 만약 내가 모든 사람에게 서비스를 제공 할 목적으로 웹 사이트를 만들었다면, 

모든 사람들이 언제든지 서비스를 제공 받을 수 있도록 웹서비스의 문을 열어두어야 해요


일반적으로 웹 서비스의 문, 

그러니까 웹 서비스 포트는 80번, 8080번, 443번 포트를 많이 사용하고,

이 문들은 통상적으로 HTTP, HTTPS라고 호칭하죠


그리고 대외적인 웹서비스를 제공하는 회사의 방화벽은 HTTP와 HTTPS 포트를 통과하는 모든 패킷을 허용하고 있어요.




2. 수상한 행동을 판단하는 능력 


문제1. 다음은 편의점을 방문한 손님들을 묘사한 것이다.

         이 중에서 이상한 행동을 하는 사람을 고르시오. (5점)


1. 물건을 신중하게 고르고 있는 사람

2. 라면을 먹고있는 사람

3. 알바에게 비상상비약 어디 있냐고 물어보는 사람  

4. 관계자 외 출입금지 딱지가 붙어 있는 문을 여는 사람



정답은 4. 관계자 외 출입금지 딱지가 붙어 있는 문을 여는 사람이죠

알바는 이 사람이 문을 열지 못하도록 말려야 겠죠 ?




문제2. 다음은 홈페이지에 접속한 사람들의 요청들을 수집한 것이다.

         이 중에서 이상한 이상한 요청을 하는 사람을 고르시오. (5점)


1. 불특정 출발지 IP에 1시간 째 로그인 상태를 유지하고 있는 사람

2. 불특정 출발지 IP에 스크립트 기호 없이 일반 text를 등록 요청한 사람

3. 불특정 출발지 IP에 SQL 명령어 없이 검색을 하고 있는 사람

4. 불특정 출발지 IP에 가지고 admin 페이지에 접근을 요청하는 사람




정답은 4. 불특정 출발지 IP에 존재하지 않는 페이지에 계속 접근을 요청하는 사람이죠.

편의점은 알바가 막는 다면, 웹 사이트는 웹방화벽이 이런 이상한 짓을 못하게 막아요



즉, 방화벽은 단순 IP/Port를 보고 문을 통과시킬지 말지를 구분하는 문지기라면,

<웹방화벽 팀>


웹방화벽 통과한 패킷안에 어떠한 사용자의 요청이 들어있는지를 보고, 이를 제어하죠



그렇기 때문에 방화벽이 3,4 계층 장비라면

웹방화벽 7layer의 최상단인 Application 에 위치한다고 보면 됩니다




자,

-끗-