네트워크 기초 정리 :: 네트워크 장비의 종류

<연결을 위한 네트워크 장치>

1. 라우터
2. 스위치

>> 앞선 과정에서 설명 완료

<방어를 위한 네트워크 장치>

1. • 방화벽: 3 / 4계층 수준에서 방어하는 기본적인 보안 시스템
   • UTM: 방화벽에서 발전한 형태로, 방화벽, VPN, 안티바이러스, IDS/IPS, 콘텐츠 필터링, 등의 기능을 한 기기에서 한꺼번에 제공 (시큐리티 어플라이언스 제품)방화벽과 UTM
   • 웹 사이트와 사용자 속성에 근거한 통신 제어
   • 웹 브라우저를 사용하지 않는 HTTP/HTTPS 통신 제어: 채팅 앱이나 파일 교환앱 통신 차단
   • 웹 사이트와 행동에 근거한 통신제어: 웹 메일에서 파일 첨부 금지
2. WAF: 웹 사이트의 앞쪽에 배치하여 웹 사이트 및 웹 애플리테이션 등을 노린 공격을 방어하는 보안 대책
   • 종류: 어플라이언스 WAF, 소프트웨어 WAF, 클라우드형 WAF:
3. IDS (탐지, 통지) / IPS (탐지, 통지, 방지)
   1. 시그니처 형: 알려진 공격 패턴 등 비정상인 통신 패턴을 데이터베이스에 보관하고 통신 내용이 일치하는 경우에 비정상으로 판단하는 탐지 방법>> 비정상적인 패턴을 매칭하므로 오탐지가 적지만, 데이터베이스에 없는 패턴은 탐지 불가
   2. 어노멀리 형: 정상적인 통신 패턴을 데이터베이스에 보관해 통신 내용이 비정상적이라고 의심되는 경우 부정으로 판단 >> 미지의 공격도 탐지 가능하지만 오탐지가 많아짐

<SDN> 소프트웨어로 조작하는 네트워크

SDN (소프트웨어 정의 네트워킹): 소프트웨어를 이용해 유연하게 정의할 수 있는 네트워크를 만드는 기술이나 콘셉트

• 장점
  1. 비용 절감: 전체 네트워크 인프라 구축 비용이 저렴
  2. 확장성 및 유연성: 물리적인 리소스의 한계에 구애받지 않아도 된다.
• Openflow 오픈 플로우: 네트워크 컨트롤러가 스위치망을 통해 네트워크 패킷의 경로를 정의하는 소프트웨어 정의 네트워크 프로토콜 (SDN 기본 프로토콜)

1. 오버레이: 가상 서버를 오픈플로를 지원하는 가상 스위치와 연결해 가상 랜 구성, 세밀하게 경로 제어가 불가능

2. 홉 바이 홉 방식: 네트워크 기기도 오픈플로를 지원하는 기기를 이용해 네트워크 경로나 대력을 유연하게 제어

<클라우드와 인터넷의 관계>

• 클라우드: 컴퓨터를 이용하는 형태 중 하나로, 네트워크를 통해 서버가 제공하는 서비스를 주위의 단말기로 이용

종류

• "서비스형(as-a-Service)"이라는 용어는 제3사에서 클라우드 컴퓨팅 서비스를 제공한다는 의미

1. IaaS: 컴퓨터나 네트워크를 가상으로 만들어서 이용하는 형태
2. PaaS: 데이터베이스나 애플리케이션을 실행할 수 있는 환경을 서비스로 제공하는 형태
3. SaaS: 완제품 소프트웨어를 네트워크로 서비스

>> 갈수록 기능이 추가된다고 보면 됨

역할	IaaS	PaaS	SaaS
가상화 기반	O	O	O
가상 서버	O	O	O
OS	O	O	O
미들웨어	X	O	O
애플리케이션	X	X	O

• 미들웨어: 운영 체제와 응용 소프트웨어의 중간에서 조정과 중개의 역할을 수행하는 소프트웨어
• 애플리케이션: 특정 목적을 위해 설계된 소프트웨어 
  
  • 클라우드 서비스 예시: 아마존, 마이크로소프트, 구글, 파이어베이스, 헤로쿠, KT, 네이버

<네트워크 구성도>

• 물리 설계도: 네트워크 기기가 포트별로 어디로 접속하는지 기록한 포트 표나 랙의 어느 위치에 어떤 기기를 넣을지 기록한 랙 구성도, 케이블을 연결할 곳, 종류 등을 작성
• 논리 설계도: 네트워크 회선의 랜간 라우팅이나 방화벽 규칙 설정, 어드레싱 >> 그림으로 표현
• 클라우드 서비스에서 네트워크 구축 (IaaS)
  1. 서브넷 생성
     • 퍼블릭 서브넷과 프라이빗 서브넷 생성
       1. 퍼블릭 서브넷: 인터넷에 공개하는 서버를 두는 서브넷
       2. 프라이빗 서브넷: 인터넷에 공개하지 않는 서버를 두는 서브넷
  2. 가상 서버(인스턴트) 생성
  3. 보안 그룹 생성
  4. Elastic IP 설정
     • Elastic IP: 인스턴트에 고정하는 고정 글로벌 IP

<웹 신뢰성을 높이는 방법>

• 암호화와 복호화
  • 대칭 키 암호 방식: 암호화와 복호화에 같은 키를 이용하는 방식
  • 공개 키 암호 방식: 암호화와 복호화에 별도의 키를 사용하는 방식
    • 공개 키: 암호화에 사용
    • 비밀 키: 복호화에 사용
  • SSL/TLS( 두 가지 방법을 모두 사용)
    • 통신 자체는 대칭 키 암호화 방식을 사용하나, SSL/TLS 통신 이전에 키를 넘겨주어야 하기 때문에, 대칭 키를 전달해주는 과성에서 공개 키 암호화 방식 사용
  • 상시 SSL/TLS화: 웹 사이트 전체를 HTTPS화(암호화)하는 것
    • HTTP/2에서는 표시 속도가 빨라짐, SEO의 장점 등의 이유로 상시 SSL화 요구가 급증
• 부하 분산: 둘 혹은 셋이상의 중앙처리장치 혹은 저장장치와 같은 컴퓨터 자원들에게 작업을 나누는 것을 의미 (가용성 및 응답시간을 최적화)
  1. DNS 라운드 로빈: DNS 시스템을 이용해 요청을 서버 여러개로 분산하는 방식<단점> 서버의 상태를 고려하지 않아 다운된 서버의 IP를 반환할 가능성, 처리 능력이 떨어지는 서버에 과부하
  2. <장점> 특별한 장치나 소프트웨어가 필요하지 않은
  3. NAT형: VIP라는 가상 IP 주소에 대한 요청을 실제 서버 여러 대에 할당하는 방식으로, L4/L7의 로드 밸런서에 채용
  4. GSLB (글로벌 서버 로드 밸런싱): 여러 위치를 가로지르는 부하분산 방식으로, 라운드 로빈에서 서버의 상태를 고려하지 않은 단점을 상쇄
• 리버스 프록시: 웹 서버 대신에 클라이언트의 액세스를 받는 프록시 서버의 일종
  • 프록시 서버 (대행 서버): 클라이언트 쪽에 설치되어 클라이언트가 웹 서버에 액세스하는 것을 중계
  • 캐시 기능 제공
• CDN (콘텐츠 전송 네트워크): 지리적으로 분산된 서버들을 연결한 네트워크로서 웹 컨텐츠의 복사본을 사용자에 가까운 곳에 두거나 동적 컨텐츠(예: 라이브 비디오 피드)의 전달을 활성화하여 웹 성능 및 속도를 향상