네트워크 장비별 의미와 표기법 알아보자~!

[ 라우터 (Router) ]

* 라우터(Router)는 서로 다른 네트워크를 연결해 주는 장치를 말한다.

* 라우팅은 패킷의 전송 경로를 지정하는 것으로 네트워크 계층의 가장 중요한 역할이다.

* 라우팅은 들어온 패킷을 어느 출력 경로를 통해서 다음 호스트로 전달해야 가장 효과적일지 결정하는 것이다.

* 라우팅 경로는 정적 라우팅(Static Routing)이나 동적 라우팅(Dynamic Routing) 방식으로 선택한다.

- 정적 라우팅(Static Routing) : 송수신 발생 시 패킷이 전송될 경로 정보를 라우터에 미리 저장해 두고 중개하는 방식이다. 이 경우 운영 중인 네트워크 구성에 변화가 생기면 갱신이 용이하지 않고 특히 네트워크 혼잡도를 반영할 수 없다.

- 동적 라우팅(Dynamic Routing) : 패킷이 전송될 경로 정보를 네트워크 상황에 따라 적절하게 변경하는 방식으로 경로 정보의 변경 주기에 따라 계속 보완할 수 있다. 이는 경로 정보를 수집하고 관리하는 작업이 추가됨으로 성능이 일부 저하된다.

 

[ NAT (Network Address Translation) ]

* NAT는 공인 IP주소를 사설 IP주소로 바꿔주는 것을 말한다.

* NAT를 사용하는 목적은 인터넷의 공인 IP주소를 절약할 수 있다는 점과 인터넷의 공공망의 사용자들로부터 사설망으로의 침입을 보호할 수 있기 때문이다.

* 공개된 인터넷(공인 IP 대역)과 사설망(사설 IP대역) 사이에 방화벽(Firewall)을 설치하여 외부 공격으로부터 사용자를 보호한다.

* 인터넷망과 연결하는 장비인 라우터(Router)에 NAT(Network Address Translation)를 설정할 경우 라우터는 자신에게 할당된 공인 IP주소만 외부로 알려지게 할 수 있고, 내부에서는 사설 IP주소만 사용하도록 IP주소를 변환해 준다.

* L2장비에는 NAT기능이 없지만, L3장비에는 NAT기능이 포함되어 있다. 

 

[ L2 ]

* L2란 Layer 2를 줄여서 쓰는 말이고 네트워크 구성도 상에서 위와 같은 아이콘을 사용한다.

* L2모드란 TP모드를 말하고 IP가 NAT 되지 않고 공인 IP를 그대로 사용한다.

* L2 Switch는 장치 자체에 별도의 IP주소가 할당되지 않는다.

* 통상적으로 내부 IP든 외부 IP든 유입되는 LAN케이블 한 개를 여러 개의 케이블로 분리할 때 일반적으로 사용되는 장비이다. 

 

[ L3 ]

* L3란 Layer 3을 줄여서 쓰는 말이고 네트워크 구성도 상에서 위와 같은 아이콘을 사용한다.

* L3모드란 라우터존재한다는 말이고, 이는 라우팅모드가 가능하다는 말과 같으며, NAT환경이라 말한다.

* 통상적으로 내부에서 사설 IP를 사용하면서 외부로 나갈 때는 공인 IP로 NAT 하여 사용하는 경우가 많다

 

[ L4 ]

* L4란 Layer 4를 줄여서 쓰이는 말이고 네트워크 구성도 상에서 위와 같은 아이콘을 사용한다.

 

[ F/W ]

* 방화벽은 네트워크 구성도 상에서 위와 같은 아이콘을 사용한다.

* 방화벽은 크게 라우터 모드 방화벽(Router Mode Firewall)과 브릿지 모드 방화벽(Bridge Mode Firewall)으로 구분될 수 있다.

- 라우터 모드 방화벽 : 일반적인 방화벽 구성 형태로, 각각이 별개의 네트워크로 분리된 2개 이상의 인터페이스 상에서 라우팅을 기본으로 하여 패킷을 전달한다.

- 브릿지 모드 방화벽 : 일반 Hub나 L2 Switch처럼 별도의 IP주소를 할당하지 않고 네트워크의 구분을 하지 않기 때문에 기존의 IP대역 환경을 드대로 사용한다. 

 

 

[ VPN ]

* VPN(Virtual Private Network)은 가상 사설 네트워크를 말한다.

* 가상 사설 네트워크란, 공개된 인터넷망에 열결 된 단말기 2대가 각각 VPN을 구성하면 마치 2대의 단말기 사이에 직접 전용회선으로 네트워크를 연결하여 비공개로 사용하는 네트워크를 말한다.

* VPN의 종류는 IPsec VPN과 SSL VPN(Secured Socket Layer Virtual Private Network)이 있다.

* SSL VPN과 IPsec VPN 차이에 대한 자세한 내용은 아래 URL을 참고한다.

* SSL VPN과 IPSec 이해하기 : https://jipuraki69.tistory.com/20 

 

 

[ IDS ]  

* IDS(Intrusion Detection System)는 침입 탐지 시스템을 말한다.

* 시스템에 대한 원치 않은 조작을 탐지하고, 설치 위치와 목적에 따라 호스트 기반과 네트워크 기반의 침입탐지시스템으로 나뉜다.

* 호스트 기반(HIDS: Host-based IDS)은 컴퓨터 시스템의 내부를 감시하고 분석하는데 중점을 두고, 개인의 워크스테이션이나 서버에 설치하여 컴퓨터 자체를 제어/제한한다. 운영체제에 기록된 계정에 따라 접근시도와 작업을 기록, 추적하고 단말기 기준이기 때문에 네트워크 탐지는 불가하나 호스트에 대한 침입을 탐지함으로 주로 바이러스로 생각되는 트로이목마, 논리폭탄, 백도어 등을 탐지한다.

* 네트워크 기반(NIDS: Network-based IDS)은 네트워크를 통해 전송되는 패킷정보를 수집, 분석하여 침입을 탐지하는 시스템으로 감지기를 사용하여 무차별 모드에서 동작하는 네트워크 인터페이스에 설치한다. IP주소가 없기 때문에 직접적인 해커공격은 거의 완벽하게 방어할 수 있고, 설치 위치에 따라 감시 대상 네트워크 범위(특정 서버군)를 조절할 수 있다. 단, 공격당한 시스템의 공격에 대한 결과는 알 수 없으며, 암호화된 내용은 탐지 못한다는 단점이 있다.

* Snort는 무료 오픈 소스 네트워크 침입 탐지 시스템(IDS)이자 침입 방지 시스템(IPS)으로 실시간으로 트래픽 분석 및 패킷을 기록한다.

 

[ IPS ]

* IPS(Intrusion Preventing System)은 침입 방지 시스템을 말한다.

* 침입 방지 시스템은 탐지된 공격에 대한 웹 연결 등을 적극적으로 막아주는 솔루션을 말하고, 침입탐지 기능을 수행하는 모듈이 패킷을 일일이 검사하여 패턴을 분석한 후 정상적인 패킷이 아니면 방화벽 기능을 가진 모듈로 차단한다.

* 일반적으로 IPS는 방화벽 내부에 설치하는데 이는 방화벽과 연동하여 공격을 탐할 수 있기 때문이다.

 

 

[ NAC ]

* NAC(Network Access Control)은 네트워크 접근을 제어하는 시스템을 말한다.

* 네트워크 접근 제어는 MAC주소 기반으로 NAC에 등록된 MAC주소만 네트워크에 접속할 수 있게 해 준다.

* NAC의 주요 기능은 접근 제어/인증은 기본이고 PC 및 네트워크 장치들을 통제하며, 해킹, 웜, 유해 트래픽 탐지 및 차단 기능이 있다.