[개념]
- 내부 네트워크의 자원 및 정보를 보호하는 시스템
- IP , PORT 프로토콜 등으로 패킷 필터링을 하는 시스템 두 네트워크를 흐르는 패킷을 미리 정해놓은 규칙에 따라서 차단하거나 허용해주는 기능을 수행
[기능]
1) IP 필터링
2) Port 필터링
3) 접근 제어 (Access Control)
4) 로깅 및 감사 추적 (Logging & Auditing)
5) 인증 (Authentication)
6) 기타 - integrity Check , Virus Filtering , Dual DNS
[단점]
- 패킷에서 헤더 정보 이상을 조사하지 않음
- 다른 선택보다 상대적으로 낮은 보안
- 내부의 악의적인 사용자
[개념]
컴퓨터 시스템의 비정상적인 사용 , 오용 , 남용 등을 실시간으로 탐지하는 시스템 보통 Application의 Layer의 탐지
[분류]
- 기초 자료의 종류에 따른 분류
- 단일 호스트 기반 : 단일 호스트에서 생성되고, 수집된 감사 자료를 활용
- 다중 호스트 기반 : 다중 호스트에서 생성되고, 수집된 감사 자료를 활용
- 네트워크 기반 : 패킷 관련 자료를 수집하여 활용
- 침입 행위의 기준에 따른 분류
- 정상적인 행위의 탐지 : 정상 기준에서 벗어나면 수행
- 잘못된 행위의 탐지 : 취약점을 공격하면 수행
[기능]
1) 패킷 및 세션 분석 탐지
2) 서명 탐지
3) 프로토콜 이상 탐지
4) 시그니처 및 이상 징후 탐지
5) 비정상 행위 및 비정상 트래픽 탐지
[단점]
- 공격에 대한 대응 능력 부족
- 높은 오 탐지율 문제
[개념]
- 공격 탐지와 방지의 통합 기능을 가지는 장비
- 네트워크에 상주하면서 트래픽을 모니터링하여 악성코드 및 해킹 등의 유해 트래픽을 차단하고, 의심스러운 세션들을 종료시키거나 공격에 대처
- 인라인 모드로 설치해야 본래의 기능 수행
[기능]
1) 시그니처 및 이상 징후 차단
2) 비정상 행위 및 비정상 트래픽 탐지 후 차단
3) 패킷 필터링
4) Application Layer(바이러스 , 웜 , 안티스팸) 탐지 및 차단