방화벽은 자동화된 수비수와 같다. 이것은 인터넷과 사적인 네트워크 사이에 위치한다. 사적인 네트워크에 들어오려는 모든 것을 감시하고 안전한지 확인하며, 안전하기 않은 것을 모두 차단시킨다. 그리고 나쁜 의도를 가진 사람들로부터 네트워크를 보호해 준다.
방화벽이 하는 일
많은 사람들이 인터넷을 사용하면서 방화벽이라는 단어를 들어봤을 것이다. 비도덕적인 사람들은 보호되지 않은 곳으로 접근하거나 나쁜 의도로 사용하기 위해서 원격로그인이나, 응용프로그램 백업, 운영체계 버그, 서비스 거부 공격, 바이러스, 스팸, 소스 라우팅 등의 나쁜 방법을 사용한다. 방화벽은 이러한 위협 중 상당 부분을 걸러낼 수 있는 장치로 나의 컴퓨터를 보호하는 일을 한다. 예를 들면 당신이 500명 이상의 직원이 있는 회사에서 일한다고 해보자. 회사는 네트워크 카드로 서로 연결되어 있는 수백 대의 컴퓨터를 가지고 있을 것이다. 게다가 회사는 T1이나 T3 회선을 통해서 인터넷과 복수로 접속하고 있을 것이다. 방화벽이 제자리에 설치되지 않으면, 수백 대의 컴퓨터는 인터넷상의 모든 사람들에게 직접 연결될 수 있다. 자신이 하고 있는 일이 무엇인지 알고 있는 사람들은 이 컴퓨터들을 조사할 수 있고, 컴퓨터에 파일 전송 프로토콜(FTP) 접속이나 텔넷 접속을 하려고 시도할 것이다. 직원 중 한 사람이 실수를 하거나 보안 상의 허점을 남겨 놓으면, 해커들은 컴퓨터에 들어가서 회사의 전체 시스템을 쑥밭으로 만들 수 있다. 그러나 방화벽이 제대로 설치되면 사정은 크게 달라진다. 방화벽이란 인터넷 접속을 통해서 사적인 네트워크나 컴퓨터 시스템에 침입하는 정보들을 걸러내는 프로그램이나 하드웨어 장치이다. 방화벽의 필터가 입력되는 정보 패킷이 부적절하다는 신호를 보내면, 그 패킷은 네트워크로 들어갈 수 없다.
필터링 방법
방화벽은 네트워크로 들어오고 나가는 트래픽(정보 소통)의 흐름을 제어하기 위해서 여러 가지 방법들을 개별적으로 또는 조합해서 사용한다. 패킷 필터링의 경우 방화벽은 일련의 필터를 이용해서 패킷(데이터의 작은 덩어리)을 분석한다. 필터를 통과하는 패킷들은 그것을 요구한 시스템으로 보내지고, 나머지는 폐기된다. 프락시 서비스는 인터넷에서 정보를 검색한 다음 그것을 요구한 시스템으로 보낸다. 그 역의 과정도 방화벽이 성립해 준다. 스테이트풀 인스펙션은 새로운 방법으로, 방화벽은 그 속에서 각각의 패킷 내용을 조사하지 않고, 그 대신 패킷의 핵심 부분을 신뢰할 수 있는 정보의 데이터 베이스와 비교한다. 방화벽 안쪽에서 바깥쪽으로 이용하는 정보는 구체적인 특성 규정을 위해서 조사된다. 그런 다음 입력정보는 이러한 특성과 비교된다. 비교를 통해서 합당하게 일치하면 그 정보는 통과가 허용되고, 그렇지 않으면 폐기된다.
맞춤형 기능
방화벽은 맞춤 제작을 할 수 있다. 그 말은 필터들을 여러 가지 조합에 기반해서 더하거나 뺄 수 있다는 뜻이다. 필터들이 조사하는 전형적인 항목들은 다음과 같다. 필터는 특정 IP 주소에 출입하는 모든 트래픽을 차단할 수 있다. 예를 들면 회사 외부의 특정 IP 주소가 서버에서 너무 많은 파일을 읽으면, 방화벽은 해당 IP 주소에서 나가고 들어오는 모든 트래픽을 막을 수 있다. 회사는 특정 도메인 명칭에 대한 모든 접근을 차단하거나 특정 도메인 명칭에 대한 접근만 허용할 수 있다. 필터는 특정 프로토콜을 차단하거나 방화벽 안쪽의 특정 컴퓨터에만 접속을 허용할 수 있다. 가장 일반적으로 사용되는 프로토콜은 IP(인터넷 프로토콜), TCP(전송 제어 프로토콜), HTTP(하이퍼텍스트 전송 프로토콜), FTP(파일 전송 프로토콜), UDP(사용자 데이터그램 프로토콜), ICMP(인터넷 제어 메시징 프로토콜), SMTP(단순 메일 운송 프로토콜), SNMP(단순 네트워크 관리 프로토콜), 텔넷 등이 있다.