1. 기존의 방화벽
기존 방화벽은 일반적으로 상태, 포트 및 프로토콜을 기반으로 네트워크 내부에 들어오거나 나가는 네트워크 트래픽에 대한 상태 기반 검사를 제공하는 네트워크 보안 장치이다. 따라서 단순한 기존 방화벽에서는 주로 제어 흐름을 제어한다고 볼 수 있다. 물론, VPN 기능도 있다. 그러나 현대에 이르러 기존의 방화벽은 매우 지능적이고 다양한 유형의 사이버 위협을 처리하는 데 필요한 모든 보호 기능을 제공하는 데 그다지 효과적이지 않다.
2. 차세대 방화벽
차세대 방화벽은 일반적으로 상태, 포트, 프로토콜을 기반으로 네트워크 내부에 들어오고 나가는 네트워크 트래픽에 대한 상태 기반 검사를 제공할 뿐만 아니라, 기존 방화벽보다 훨씬 더 많은 추가 기능을 포함하는 네트워크 보안 장치라 할 수 있다. 업그레이드가 된 버전으로 이해하면 그만이기야 하다. 다만 그 업그레이드된 기능이 좀 많다.
- 애플리케이션 인식 및 제어
- 통합 침입 방지
- 심층 패킷 검사(DPI)
- 통합 침입 방지 시스템(IPS)
- 클라우드 위협 인텔리전스
- SSL 검사 및 SSH 제어
- 샌드박스 통합
- 보호 목록을 활성화 하더라도 성능에는 영향 없음
- 고급 위협 보호
- 웹 필터링
- 바이러스 백신, 스팸 방지, 맬웨어 방지
3. 기존 방화벽 VS 차세대 방화벽 대조
| 기존 방화벽 | 차세대 방화벽 |
| 기존 방화벽은 주로 네트워크 내부 지점에 들어오거나 나가는 네트워크 트래픽에 대한 상태 기반 검사를 제공한다. | 기존 방화벽의 내용에 더해 다양한 추가 기능을 더해 제공한다. |
| 부분적인 애플리케이션 가시성과 애플리케이션 제어를 제공한다. | 완벽한 애플리케이션 가시성과 애플리케이션 제어를 제공한다. |
| 레이어 2부터 레이어4까지 작동한다. | 레이어 2부터 레이어 7까지 작동한다. |
| 애플리케이션 수준 인식을 지원하지 않는다. | 애플리케이션 수준 인식을 지원한다. |
| 평판 및 ID 서비스를 제공하지 않는다. | 평판 및 ID 서비스가 제공된다. |
| 보안 도구를 별도로 관리하는 데 많은 비용이 요구된다. | 통합 보안 도구의 설치 및 구성이 용이하며, 관리 비용이 절감된다. |
| 완전한 보안 기술 패키지를 제공하지는 않는다. | 완전한 보안 기술 패키지를 제공한다. |
| SSL 트래픽을 검사할 수 없다. | 들어오고 나가는 모든 SSL 트래픽을 검사할 수 있다. |
| NAT, PAT, VPN을 지원한다. | NAT, PAT, VPN 지원은 물론, 샌드박스와 같은 새로운 위협 관리 기술을 통합한다. |
| IPS, IDS는 별도로 배포된다. | IPS와 IDS가 완전히 통합되어 있다. |
728x90
'보안 > 개념' 카테고리의 다른 글
| FWaaS 총정리 (0) | 2024.01.23 |
|---|---|
| 클라우드 방화벽 (0) | 2024.01.22 |
| 클라우드 기반 서비스 총정리 (1) | 2024.01.21 |
| 클라우드 컴퓨팅의 보안 문제 총정리 (1) | 2024.01.21 |
| IAM(Identity and Access Management) 총정리 (0) | 2024.01.20 |