리눅스(linux)를 이용한 방화벽(firewall) 구축방안

@ 리눅스 서버 자체에 방화벽을 탑재

* 시스템 자체에 방화벽 기능이 포함됨
- 각각의 리눅스 시스템 커널에 직접 방화벽을 설치하는 경우
- 규모가 크지않고, 개별적인 서비스를 제공하는 시스템에 사용
- 기존에 서비스 중인 서버에 직접 방화벽을 소프트웨어적으로 설치
- 별도의 방화벽 장비(시스템)가 필요하지 않다는 장점이 있음

@ 리눅스 방화벽 시스템이 네트워크 말단에 놓여지는 것

* NAT (게이트웨이 또는 라우터의 라우팅 역할)
- 외부와 연결되는 방화벽의 인터페이스(eth0)에는 공인 IP를 할당
- 내부의 인터페이스(eth1)에는 사설 IP를 할당
- 방화벽에서 공인 IP를 내부의 사설 IP의 특정 포트로 매칭 시켜주는 방법
- 방화벽에서 허용해 주지 않는 한 외부에서 내부로는 절대 접속할 수 없음 (극도의 보안을 추구한다면 NAT가 좋은 대안)

*브리지(Bridge) 방화벽
- 스위치처럼 패킷을 받아서 스위칭만 함
- 방화벽에는 원격에서 접속할 일이 없다면 굳이 IP를 할당할 필요가 없음
- 방화벽 내부의 각 서버는 공인 IP를 그대로 사용
- 방화벽을 통과하는 패킷중 비정상적인 패킷은 필더링하고, 정상적인 트래픽을 허용하는 것은 NAT와 동일
- 내부 서버에서도 공인 IP를 그대로 사용할 수 있기 때문에 NAT에 비해 편리하다
- 초기에는 NAT가 대세였지만 최근에는 편의성을 고려하여 NAT보다는 브리지 방화벽이 많이 사용됨

@ 구분방법
- 방화벽 자체에서 라우팅을 하는지 여부와 방화벽 내부의 서버들이 공인 IP를 사용하는지 사설 IP를 사용하는지에 따라 달라질 수 있음

@ 공통사항
- NAT나 브리지 관계없이 방화벽에 랜카드(인터페이스)는 최소 2장 이상 연결