[go: up one dir, main page]

KR20080100620A - Firewall gateway and security policy management method and computer program recording media - Google Patents

Firewall gateway and security policy management method and computer program recording media Download PDF

Info

Publication number
KR20080100620A
KR20080100620A KR1020070046536A KR20070046536A KR20080100620A KR 20080100620 A KR20080100620 A KR 20080100620A KR 1020070046536 A KR1020070046536 A KR 1020070046536A KR 20070046536 A KR20070046536 A KR 20070046536A KR 20080100620 A KR20080100620 A KR 20080100620A
Authority
KR
South Korea
Prior art keywords
security policy
policy
shared memory
stored
access path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020070046536A
Other languages
Korean (ko)
Inventor
심기창
최홍윤
Original Assignee
(주)이지서티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이지서티 filed Critical (주)이지서티
Priority to KR1020070046536A priority Critical patent/KR20080100620A/en
Publication of KR20080100620A publication Critical patent/KR20080100620A/en
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/54Interprogram communication
    • G06F9/544Buffers; Shared memory; Pipes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은, 방화벽 게이트웨이 및 그 방화벽 게이트웨이에서의 보안 정책 관리 방법과 상기 방법을 실현시키기 위한 컴퓨터 프로그램 기록매체에 관한 것으로, 본 발명에 따른 외부 네트워크로부터 내부 네트워크를 보호하는 게이트웨이는, 상기 외부 네트워크로부터의 서비스 요청마다 독립적으로 형성되어 보안 정책에 따라 상기 서비스 요청을 차단 또는 허가하는 다수의 방화벽 수단; 상기 다수의 방화벽 수단에 의해 공유되는 공유 메모리; 보안 정책 DB에 저장된 보안 정책을 읽어와 상기 공유 메모리에 저장하는 정책 처리 수단; 및 상기 공유 메모리에 기록된 보안 정책에 접근할 수 있는 접근 경로를 저장하는 접근 경로 저장 수단;을 포함하고, 상기 다수의 방화벽 수단은, 상기 접근 경로 저장 수단에 저장된 경로를 조회하여 상기 공유 메모리에 접근하여 보안 정책을 참조하는 것을 특징으로 한다. 이러한 본 발명에 따르면, 정책 DB의 부하를 경감시키고 자원을 효율적으로 분배 사용할 수 있다.The present invention relates to a firewall gateway, a security policy management method at the firewall gateway, and a computer program recording medium for realizing the method. A plurality of firewall means which are formed independently for each service request of the service block to block or grant the service request according to a security policy; Shared memory shared by the plurality of firewall means; Policy processing means for reading a security policy stored in a security policy DB and storing it in the shared memory; And access path storage means for storing an access path for accessing a security policy recorded in the shared memory, wherein the plurality of firewall means inquires a path stored in the access path storage means to the shared memory. Access and refer to the security policy. According to the present invention, it is possible to reduce the load on the policy DB and to efficiently distribute and use resources.

Description

방화벽 게이트웨이 및 보안 정책 관리 방법과 컴퓨터 프로그램 기록매체{FIREWALL GATEWAY, SECURITY POLICY MANAGEMENT METHOD AND COMPUTER PROGRAM RECORDING MEDIUM}FIREWALL GATEWAY, SECURITY POLICY MANAGEMENT METHOD AND COMPUTER PROGRAM RECORDING MEDIUM}

도 1은 본 발명의 일 실시예에 따른 게이트웨이의 구성도이다.1 is a block diagram of a gateway according to an embodiment of the present invention.

도 2는 본 발명의 일 실시예에 따른 게이트웨이에서 보안 정책을 관리하는 방법을 설명하는 흐름도이다.2 is a flowchart illustrating a method of managing a security policy in a gateway according to an embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

110 : 정책 관리 모듈 120 : 정책 DB110: policy management module 120: policy DB

130 : 정책 처리 모듈 140 : 공유 메모리130: policy processing module 140: shared memory

150 : 정책 접근 경로 저장부 160 : 방화벽 모듈150: policy access path storage unit 160: firewall module

본 발명은 게이트웨이에 관한 것으로, 더욱 상세하게는 방화벽 게이트웨이 및 그 방화벽 게이트웨이에서의 보안 정책 관리 방법과 그 방법을 실현시키기 위한 컴퓨터로 읽을 수 있는 프로그램을 기록한 기록매체에 관한 것이다.The present invention relates to a gateway, and more particularly, to a firewall gateway, a method for managing security policies at the firewall gateway, and a recording medium recording a computer-readable program for realizing the method.

인터넷 환경에서의 방화벽 게이트웨이(firewall)는 특정 네트워크를 외부 네 트워크의 공격으로부터 보호하기 위한 프로그램, 장치 등을 지칭하는 것으로, 정해진 정책에 따라 외부로부터 불법적인 트래픽이 들어오는 것을 막고 인증된 트래픽만 허용하는 적극적인 방어 대책이라고 할 수 있다.Firewall in the Internet environment refers to a program, device, etc. to protect a specific network from attacks from external networks. The firewall prevents illegal traffic from outside and allows only authorized traffic. It can be called an active defense measure.

즉, 방화벽 게이트웨이는 어느 특정 네트워크의 종단에 설치되어 접속 허용 규칙을 이용하여 그 특정 네트워크로의 클라이언트 접속 여부를 결정한다. 만약 클라이언트 접속이 접속 허용 규칙을 만족시키지 못하면 접속을 거부하여 연결을 끊고 접속 허용 규칙을 만족시키면 접속을 허용하여 클라이언트가 실제 서버로 접속할 수 있도록 허가한다.That is, the firewall gateway is installed at the end of a specific network to determine whether to connect the client to the specific network by using an access permission rule. If the client connection does not satisfy the access permission rule, the client refuses the connection and disconnects. If the client access rule is satisfied, the client is allowed to connect to the real server.

한편, 이러한 방화벽 게이트웨이는 특정 네트워크로 진입하는 패킷을 정해진 정책에 따라 차단하기 위해 정책 DB를 참조한다. 즉 입력된 패킷의 정보를 수집하여 정책 DB에 저장된 보안 정책들과 비교하고 허가된 패킷이 아닌 경우 패킷을 차단한다. 그런데, 방화벽 게이트웨이에서는 클라이언트의 접속마다 각각의 프로세스가 구동되어 독립적으로 패킷 검증을 수행한다. 다시 말하면, 클라이언트 접속 서비스를 멀티 프로세싱 방식을 사용하여 처리하는 것이다. 이에 따라 방화벽 게이트웨이의 각 프로세스는 하나의 정책 DB를 빈번하게 액세스하게 되고, 정책 DB는 부하가 가중되어 방화벽 게이트웨이의 서비스 처리도 지연이 발생하게 된다.Meanwhile, such a firewall gateway refers to the policy DB to block packets entering a specific network according to a predetermined policy. That is, it collects the information of the input packet and compares it with the security policies stored in the policy DB and blocks the packet if it is not an authorized packet. However, in the firewall gateway, each process is driven for each client connection to independently perform packet verification. In other words, the client connection service is handled using a multiprocessing method. As a result, each process of the firewall gateway frequently accesses a single policy DB, and the policy DB is heavily loaded, causing delays in service processing of the firewall gateway.

본 발명은 상기 문제점을 해결하기 위하여 제안된 것으로, 정책 DB에 저장된 보안 정책을 공유 메모리에 저장하여 각 서비스 프로세스들이 서로 공유하도록 하여 서비스 처리 부하를 경감하고 효율적으로 자원을 분배 사용할 수 있도록 하는 게이트웨이 및 그 게이트웨이에서의 보안 정책 관리 방법, 그리고 그 방법을 실현시키기 위한 컴퓨터로 읽을 수 있는 프로그램을 기록한 기록매체를 제공하는데 그 목적이 있다.The present invention has been proposed in order to solve the above problems, the gateway to allow the service process to be shared with each other by storing the security policy stored in the policy DB in the shared memory to reduce the service processing load and to efficiently distribute and use resources; It is an object of the present invention to provide a method of managing a security policy at the gateway, and a recording medium recording a computer-readable program for realizing the method.

본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.Other objects and advantages of the present invention can be understood by the following description, and will be more clearly understood by the embodiments of the present invention. Also, it will be readily appreciated that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.

상기 목적을 달성하기 위한 본 발명의 제 1 측면에 따른, 외부 네트워크로부터 내부 네트워크를 보호하는 게이트웨이는, 상기 외부 네트워크로부터의 서비스 요청마다 독립적으로 형성되어 보안 정책에 따라 상기 서비스 요청을 차단 또는 허가하는 다수의 방화벽 수단; 상기 다수의 방화벽 수단에 의해 공유되는 공유 메모리; 보안 정책 DB에 저장된 보안 정책을 읽어와 상기 공유 메모리에 저장하는 정책 처리 수단; 및 상기 공유 메모리에 기록된 보안 정책에 접근할 수 있는 접근 경로를 저장하는 접근 경로 저장 수단;을 포함하고, 상기 다수의 방화벽 수단은, 상기 접근 경로 저장 수단에 저장된 경로를 조회하여 상기 공유 메모리에 접근하여 보안 정책을 참조하는 것을 특징으로 한다.According to a first aspect of the present invention for achieving the above object, a gateway for protecting an internal network from an external network is formed independently for each service request from the external network to block or permit the service request according to a security policy. Multiple firewall means; Shared memory shared by the plurality of firewall means; Policy processing means for reading a security policy stored in a security policy DB and storing it in the shared memory; And access path storage means for storing an access path for accessing a security policy recorded in the shared memory, wherein the plurality of firewall means inquires a path stored in the access path storage means to the shared memory. Access and refer to the security policy.

바람직하게, 상기 게이트웨이는, 상기 보안 정책 DB에 저장된 보안 정책의 업데이트를 관리하는 업데이트 관리 수단;을 더 포함하고, 상기 정책 처리 수단은, 상기 업데이트 관리 수단으로부터 보안 정책 업데이트 통지를 수신하면, 상기 보안 정책 DB에 저장된 업데이트 보안 정책을 읽어와 상기 공유 메모리에 저장하고, 상기 접근 경로를 갱신할 수 있다.Preferably, the gateway further comprises: update management means for managing the update of the security policy stored in the security policy DB, wherein the policy processing means, when receiving a security policy update notification from the update management means, the security The update security policy stored in the policy DB may be read, stored in the shared memory, and the access path may be updated.

또한, 상기 목적을 달성하기 위한 본 발명의 제 2 측면에 따른, 외부 네트워크로부터 내부 네트워크를 보호하는 게이트웨이에서의 보안 정책 관리 방법은, 보안 정책 DB에 저장된 보안 정책을 읽어와 공유 메모리에 저장하는 단계; 상기 공유 메모리에 기록된 보안 정책에 접근할 수 있는 접근 경로를 저장하는 단계; 및 상기 접근 경로를 참조하여 상기 공유 메모리에 저장된 보안 정책을 참조하여 상기 외부 네트워크로부터의 서비스 요청을 차단 또는 허가하는 단계;를 포함하는 것을 특징으로 한다.In addition, according to a second aspect of the present invention for achieving the above object, a security policy management method in a gateway that protects an internal network from an external network, the step of reading the security policy stored in the security policy DB stored in the shared memory ; Storing an access path for accessing a security policy recorded in the shared memory; And blocking or granting a service request from the external network with reference to the security policy stored in the shared memory with reference to the access path.

바람직하게, 상기 보안 정책 DB에 저장된 보안 정책을 업데이트하는 단계; 업데이트된 보안 정책을 상기 보안 정책 DB에서 읽어와 상기 공유 메모리에 저장하는 단계; 및 상기 보안 정책에 접근할 수 있는 접근 경로를 갱신하는 단계;를 더 포함할 수 있다.Preferably, updating the security policy stored in the security policy DB; Reading an updated security policy from the security policy DB and storing the updated security policy in the shared memory; And updating an access path for accessing the security policy.

또한, 상기 목적을 달성하기 위한 본 발명의 제 3 측면에 따른, 상기 방법을 실현시키기 위한 컴퓨터로 읽을 수 있는 프로그램을 기록한 기록매체는, 보안 정책 DB에 저장된 보안 정책을 읽어와 공유 메모리에 저장하는 제 1 기능; 상기 공유 메모리에 기록된 보안 정책에 접근할 수 있는 접근 경로를 저장하는 제 2 기능; 및 상기 접근 경로를 참조하여 상기 공유 메모리에 저장된 보안 정책을 참조하여 상기 외부 네트워크로부터의 서비스 요청을 차단 또는 허가하는 제 3 기능;을 실현시키는 것을 특징으로 한다.In addition, according to a third aspect of the present invention for achieving the above object, a recording medium having a computer-readable program for realizing the method, reads the security policy stored in the security policy DB and stored in a shared memory First function; A second function of storing an access path for accessing a security policy recorded in the shared memory; And a third function of blocking or allowing a service request from the external network by referring to a security policy stored in the shared memory with reference to the access path.

바람직하게, 상기 기록매체는, 상기 보안 정책 DB에 저장된 보안 정책을 업데이트하는 제 4 기능; 업데이트된 보안 정책을 상기 보안 정책 DB에서 읽어와 상기 공유 메모리에 저장하는 제 5 기능; 및 상기 보안 정책에 접근할 수 있는 접근 경로를 갱신하는 제 6 기능;를 더 실현시킬 수 있다.Preferably, the recording medium comprises: a fourth function of updating a security policy stored in the security policy DB; A fifth function of reading an updated security policy from the security policy DB and storing it in the shared memory; And a sixth function of updating an access path for accessing the security policy.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명하기로 한다.The above objects, features and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings, whereby those skilled in the art may easily implement the technical idea of the present invention. There will be. In addition, in describing the present invention, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 게이트웨이의 구성도이다.1 is a block diagram of a gateway according to an embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명에 따른 게이트웨이는, 정책 관리 모듈(110), 정책 DB(120), 정책 처리 모듈(130), 공유 메모리(140), 정책 접근 경로 저장부(150) 및 다수의 방화벽 모듈(160)을 포함한다.As shown in FIG. 1, the gateway according to the present invention includes a policy management module 110, a policy DB 120, a policy processing module 130, a shared memory 140, a policy access path storage unit 150, and It includes a number of firewall modules 160.

정책 관리 모듈(110)은 관리자의 입력에 따라 정책 DB(120)에 정책을 저장하고 관리한다. 또한, 정책 관리 모듈(110)은 관리자의 입력에 따라 정책 DB(120)에 저장된 정책을 업데이트한다. 정책 DB(120)에 저장된 정책이 업데이트된 경우, 정책 관리 모듈(110)은 업데이트 시그널링을 정책 처리 모듈(130)로 전송한다.The policy management module 110 stores and manages the policy in the policy DB 120 according to an administrator's input. In addition, the policy management module 110 updates the policy stored in the policy DB 120 according to an administrator's input. When the policy stored in the policy DB 120 is updated, the policy management module 110 transmits the update signaling to the policy processing module 130.

정책 처리 모듈(130)은 정책 관리 모듈(110)과 연동하여 정책 DB(120)에 저장된 정책을 읽어와 공유 메모리(140)에 저장한다. 특히, 정책 DB(120)에 저장된 정책이 업데이트된 경우, 정책 처리 모듈(130)은 상기 정책 관리 모듈(110)로부터 업데이트 시그널링을 수신하고, 그 업데이트 시그널링에 따라 정책 DB(120)에서 업데이트된 정책을 읽어와 공유 메모리(140)에 저장한다. 이때, 정책 처리 모듈(130)은 공유 메모리(140)에 저장된 업데이트 전 정책과 중복되지 않는 메모리 영역에 업데이트된 정책을 저장하고, 기존 정책은 공유 메모리(140)에서 삭제한다. 기존 정책의 삭제는 업데이트된 정책을 공유 메모리(140)에 저장함과 동시에 이루어질 수 있고, 또는 시간 간격을 두고 이루어질 수 있다. 바람직하게는, 방화벽 모듈(160)이 공유 메모리(140)의 기존 정책을 참조하고 있는 경우, 그 정책 참조가 완료된 후 기존 정책을 공유 메모리(140)에서 삭제한다.The policy processing module 130 reads the policy stored in the policy DB 120 in association with the policy management module 110 and stores the policy in the shared memory 140. In particular, when a policy stored in the policy DB 120 is updated, the policy processing module 130 receives the update signaling from the policy management module 110 and updates the policy updated in the policy DB 120 according to the update signaling. Read it and store it in shared memory 140. At this time, the policy processing module 130 stores the updated policy in a memory area that does not overlap with the pre-update policy stored in the shared memory 140, and deletes the existing policy from the shared memory 140. Deletion of the existing policy may be performed simultaneously with storing the updated policy in the shared memory 140, or at a time interval. Preferably, if the firewall module 160 refers to an existing policy of the shared memory 140, the existing policy is deleted from the shared memory 140 after the policy reference is completed.

정책 접근 경로 저장부(150)는 정책 처리 모듈(130)과 연동하여 방화벽 모듈(160)이 정책을 참조하기 위해 접근해야 하는 공유 메모리(140)의 저장 영역 주소를 저장한다. 정책 DB(120)에 저장된 정책의 업데이트 발생시, 정책 처리 모듈(130)은 정책 DB(120)에 저장된 업데이트된 정책을 읽어와 기존 정책과 중복되지 않는 공유 메모리(140)의 영역에 저장한다. 이와 동시에 정책 처리 모듈(130)은 업데이트된 정책이 저장된 공유 메모리(140)의 영역 주소를 정책 접근 경로 저장부(150)에 전달하고, 정책 접근 경로 저장부(150)는 정책 처리 모듈(130)로부터 전달된 업데이트 정책이 저장된 공유 메모리(140)의 영역 주소를 저장한다. 정책 접근 경로 저장부(150)에 저장된 정책 접근 주소는 방화벽 모듈(160)에 의해 참조된 다.The policy access path storage unit 150 stores the storage area address of the shared memory 140 that the firewall module 160 needs to access to refer to the policy in cooperation with the policy processing module 130. When an update of the policy stored in the policy DB 120 occurs, the policy processing module 130 reads the updated policy stored in the policy DB 120 and stores the updated policy in an area of the shared memory 140 that does not overlap with the existing policy. At the same time, the policy processing module 130 transmits the area address of the shared memory 140 in which the updated policy is stored to the policy access path storage unit 150, and the policy access path storage unit 150 is the policy processing module 130. Stores the area address of the shared memory 140 stored in the update policy delivered from. The policy access address stored in the policy access path storage unit 150 is referenced by the firewall module 160.

방화벽 모듈(160)은 클라이언트 접근시마다 각각 생성되어 클라이언트로부터 전달되는 패킷을 차단하거나 허가한다. 즉, 접속한 클라이언트 수 만큼 방화벽 모듈(160)이 생성되고, 각 방화벽 모듈(160)은 클라이언트로부터 전달된 패킷을 보안 정책과 비교하여 차단하거나 허가한다. 이때, 각 방화벽 모듈(160)은 정책 접근 경로 저장부(150)에 저장된 정책 접근 주소를 참조하여 공유 메모리(140)에 접근하여 정책을 읽어온다. 정책이 업데이트 되어, 공유 메모리(140)의 영역 중 기존 정책이 저장되어 있는 영역과 중복되지 않는 영역에 업데이트된 정책이 저장된 경우, 그 업데이트된 정책이 저장된 저장 영역의 접근 주소가 정책 접근 경로 저장부(150)에 저장되고, 각 방화벽 모듈(160)은 그 새로운 정책 접근 주소에 따라 기존 정책이 아닌 새로운 정책을 참조한다.The firewall module 160 blocks or permits the packet generated and transmitted from the client for each client access. That is, firewall modules 160 are generated as many as the number of connected clients, and each firewall module 160 blocks or permits the packets transmitted from the clients in comparison with the security policy. At this time, each firewall module 160 reads a policy by accessing the shared memory 140 with reference to the policy access address stored in the policy access path storage unit 150. When the policy is updated and the updated policy is stored in an area of the shared memory 140 that is not duplicated with the area where the existing policy is stored, the access address of the storage area where the updated policy is stored is the policy access path storage unit. Stored at 150, each firewall module 160 references a new policy rather than an existing policy according to its new policy access address.

도 2는 본 발명의 일 실시예에 따른 게이트웨이에서 보안 정책을 관리하는 방법을 설명하는 흐름도로, 공유 메모리에 정책을 저장하고 업데이트하는 방법을 설명하는 흐름도이다. 도 1을 참조하여 설명한다.2 is a flowchart illustrating a method of managing a security policy in a gateway according to an embodiment of the present invention, and illustrating a method of storing and updating a policy in a shared memory. It demonstrates with reference to FIG.

도 2에 도시된 바와 같이, 정책 관리 모듈(110)에 의해 정책 DB(120)에 보안 정책이 저장되면, 정책 관리 모듈(110)은 정책 처리 모듈(130)로 보안 정책 설정 시그널을 전달한다(S201).As shown in FIG. 2, when the security policy is stored in the policy DB 120 by the policy management module 110, the policy management module 110 transmits a security policy setting signal to the policy processing module 130 ( S201).

이에 따라, 정책 처리 모듈(130)은 정책 DB(120)에 저장된 보안 정책을 읽어와 공유 메모리(140)의 어느 한 영역을 할당하여 상기 읽어온 보안 정책을 저장한 다(S203).Accordingly, the policy processing module 130 reads the security policy stored in the policy DB 120 and allocates any area of the shared memory 140 to store the read security policy (S203).

그리고 나서, 정책 처리 모듈(130)은 보안 정책을 저장한 공유 메모리(140)의 영역 주소를 정책 접근 경로 저장부(150)로 전달하여 저장시킨다(S205). 즉, 정책 접근 경로 저장부(150)는 보안 정책에 접근할 수 있는 보안 정책 접근 주소를 저장한다.Then, the policy processing module 130 transmits and stores the area address of the shared memory 140 storing the security policy to the policy access path storage unit 150 (S205). That is, the policy access path storage unit 150 stores the security policy access address for accessing the security policy.

다음으로, 정책 관리 모듈(110)에 의해 정책 DB(120)에 저장된 보안 정책이 업데이트되는 경우, 정책 관리 모듈(110)은 보안 정책 업데이트 시그널링을 정책 처리 모듈(130)로 전달한다(S207).Next, when the security policy stored in the policy DB 120 is updated by the policy management module 110, the policy management module 110 transmits the security policy update signaling to the policy processing module 130 (S207).

정책 관리 모듈(110)로부터 보안 정책 업데이트 시그널링을 수신한 정책 처리 모듈(130)은 정책 DB(120)에서 업데이트된 보안 정책을 읽어오고, 공유 메모리(140)의 영역 중 상기 기존 보안 정책이 저장된 영역을 제외한 나머지 영역 중 일정 영역을 할당하여 상기 읽어온 업데이트된 보안 정책을 저장한다(S209).The policy processing module 130 that receives the security policy update signaling from the policy management module 110 reads the updated security policy from the policy DB 120 and stores the existing security policy in the shared memory 140. A predetermined area is allocated among the remaining areas except for storing the updated security policy (S209).

이어서, 정책 처리 모듈(130)은 업데이트된 보안 정책을 저장한 공유 메모리(140)의 영역 주소를 정책 접근 경로 저장부(150)로 전달하여 갱신한다(S211). 정책 접근 경로 저장부(150)는 기존에 저장되어 있는 보안 정책 접근 주소를 업데이트된 보안 정책이 저장되어 있는 공유 메모리(140)의 주소로 갱신한다.Subsequently, the policy processing module 130 transfers and updates the region address of the shared memory 140 storing the updated security policy to the policy access path storage unit 150 (S211). The policy access path storage unit 150 updates the previously stored security policy access address to the address of the shared memory 140 in which the updated security policy is stored.

한편, 정책 처리 모듈(130)은 상기 업데이트되기 전에 공유 메모리(140)에 저장된 기존 보안 정책은 삭제한다(S213).On the other hand, the policy processing module 130 deletes the existing security policy stored in the shared memory 140 before the update (S213).

이에 따라 다수의 방화벽 모듈(160)은 외부 네트워크로부터 패킷 수신시, 정책 접근 경로 저장부(150)에 설정된 정책 접근 주소 정보를 참조하여 기존 보안 정 책이 아닌 업데이트된 보안 정책을 공유 메모리(140)에서 참조하여 상기 수신된 패킷을 차단하거나 허가한다.Accordingly, when a plurality of firewall modules 160 receive a packet from an external network, the shared memory 140 may update the updated security policy instead of the existing security policy by referring to the policy access address information set in the policy access path storage unit 150. Block or permit the received packet with reference to.

이상과 같이 본 발명에 따르면 외부 네트워크로부터 패킷 수신시 정책 DB(120)를 참조하지 않고 공유 메모리(140)를 참조하여 패킷을 차단하거나 허가한다. 이에 따라 게이트웨이는 종래에 비해 부하가 감소하고 빠른 서비스를 제공할 수 있다. 또한, 본 발명에 따르면 보안 정책 업데이트시 기존 보안 정책과 충돌하지 않는 공유 메모리(140) 영역에 업데이트된 보안 정책을 저장하고 기존 보안 정책은 삭제함으로써, 공유 메모리(140)의 보안 정책을 유지하며 메모리를 낭비하지 않고 효율적으로 분배하여 사용할 수 있다.As described above, according to the present invention, when receiving a packet from an external network, the packet is blocked or permitted by referring to the shared memory 140 without referring to the policy DB 120. Accordingly, the gateway can reduce the load and provide fast service as compared with the conventional art. According to the present invention, the updated security policy is stored in the shared memory 140 area that does not conflict with the existing security policy and the existing security policy is deleted when the security policy is updated, thereby maintaining the security policy of the shared memory 140 and maintaining the memory. It can be distributed and used efficiently without waste.

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.As described above, the method of the present invention may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. Since this process can be easily implemented by those skilled in the art will not be described in more detail.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by the drawings.

상기와 같은 본 발명은, 방화벽 처리를 위해 공유 메모리를 통해 정책 데이터를 공유함으로써, 부하를 경감시키고 자원을 효율적으로 분배 사용할 수 있는 효과가 있다. 특히, 정책 데이터의 업데이트 발생시 공유 메모리에 저장된 정책 데이터를 업데이트된 정책 데이터로 전환함으로써, 한정된 공유 메모리를 효율적으로 사용할 수 있도록 한다.The present invention as described above, by sharing the policy data through the shared memory for firewall processing, there is an effect that can be used to reduce the load and efficiently distribute resources. In particular, when the update of the policy data occurs, by converting the policy data stored in the shared memory into the updated policy data, it is possible to efficiently use the limited shared memory.

Claims (8)

외부 네트워크로부터 내부 네트워크를 보호하는 게이트웨이로서,A gateway that protects your internal network from external networks. 상기 외부 네트워크로부터의 서비스 요청마다 독립적으로 형성되어 보안 정책에 따라 상기 서비스 요청을 차단 또는 허가하는 다수의 방화벽 수단;A plurality of firewall means independently formed for each service request from the external network to block or grant the service request according to a security policy; 상기 다수의 방화벽 수단에 의해 공유되는 공유 메모리;Shared memory shared by the plurality of firewall means; 보안 정책 DB에 저장된 보안 정책을 읽어와 상기 공유 메모리에 저장하는 정책 처리 수단; 및Policy processing means for reading a security policy stored in a security policy DB and storing it in the shared memory; And 상기 공유 메모리에 기록된 보안 정책에 접근할 수 있는 접근 경로를 저장하는 접근 경로 저장 수단;을 포함하고,And access path storage means for storing an access path for accessing the security policy recorded in the shared memory. 상기 다수의 방화벽 수단은, 상기 접근 경로 저장 수단에 저장된 경로를 조회하여 상기 공유 메모리에 접근하여 보안 정책을 참조하는 것을 특징으로 하는 게이트웨이.And the plurality of firewall means inquires a path stored in the access path storage means to access the shared memory to refer to a security policy. 제 1 항에 있어서,The method of claim 1, 상기 보안 정책 DB에 저장된 보안 정책의 업데이트를 관리하는 업데이트 관리 수단;을 더 포함하고,Update management means for managing the update of the security policy stored in the security policy DB; 상기 정책 처리 수단은,The policy processing means, 상기 업데이트 관리 수단으로부터 보안 정책 업데이트 통지를 수신하면, 상기 보안 정책 DB에 저장된 업데이트 보안 정책을 읽어와 상기 공유 메모리에 저장 하고, 상기 접근 경로를 갱신하는 것을 특징으로 하는 게이트웨이.Upon receiving a security policy update notification from the update management means, reads an update security policy stored in the security policy DB, stores it in the shared memory, and updates the access path. 제 2 항에 있어서,The method of claim 2, 상기 정책 관리 수단은,The policy management means, 보안 정책 업데이트 이후 상기 공유 메모리에 저장된 기존 보안 정책을 삭제하는 것을 특징으로 하는 게이트웨이.And deleting an existing security policy stored in the shared memory after a security policy update. 외부 네트워크로부터 내부 네트워크를 보호하는 게이트웨이에서의 보안 정책 관리 방법으로서,A security policy management method in a gateway that protects an internal network from an external network. 보안 정책 DB에 저장된 보안 정책을 읽어와 공유 메모리에 저장하는 단계;Reading the security policy stored in the security policy DB and storing it in the shared memory; 상기 공유 메모리에 기록된 보안 정책에 접근할 수 있는 접근 경로를 저장하는 단계; 및Storing an access path for accessing a security policy recorded in the shared memory; And 상기 접근 경로를 참조하여 상기 공유 메모리에 저장된 보안 정책을 참조하여 상기 외부 네트워크로부터의 서비스 요청을 차단 또는 허가하는 단계;를 포함하는 게이트웨이에서의 보안 정책 관리 방법.Blocking or granting a service request from the external network with reference to the security policy stored in the shared memory with reference to the access path. 제 4 항에 있어서,The method of claim 4, wherein 상기 보안 정책 DB에 저장된 보안 정책을 업데이트하는 단계;Updating a security policy stored in the security policy DB; 업데이트된 보안 정책을 상기 보안 정책 DB에서 읽어와 상기 공유 메모리에 저장하는 단계; 및Reading an updated security policy from the security policy DB and storing the updated security policy in the shared memory; And 상기 보안 정책에 접근할 수 있는 접근 경로를 갱신하는 단계;를 더 포함하는 것을 특징으로 하는 게이트웨이에서의 보안 정책 관리 방법.And updating an access path for accessing the security policy. 제 5 항에 있어서,The method of claim 5, wherein 상기 공유 메모리에 저장된 기존 보안 정책을 삭제하는 단계;를 더 포함하는 것을 특징으로 하는 게이트웨이에서의 보안 정책 관리 방법.Deleting an existing security policy stored in the shared memory; Security policy management method further comprising a. 보안 정책을 관리하며 외부 네트워크로부터 내부 네트워크를 보호하는 게이트웨이에서,At the gateway, which manages security policies and protects the internal network from external networks, 보안 정책 DB에 저장된 보안 정책을 읽어와 공유 메모리에 저장하는 제 1 기능;A first function of reading a security policy stored in the security policy DB and storing the same in a shared memory; 상기 공유 메모리에 기록된 보안 정책에 접근할 수 있는 접근 경로를 저장하는 제 2 기능; 및A second function of storing an access path for accessing a security policy recorded in the shared memory; And 상기 접근 경로를 참조하여 상기 공유 메모리에 저장된 보안 정책을 참조하여 상기 외부 네트워크로부터의 서비스 요청을 차단 또는 허가하는 제 3 기능;을 실현시키기 위한 컴퓨터로 읽을 수 있는 프로그램을 기록한 기록매체.And a third function of blocking or granting a service request from the external network by referring to a security policy stored in the shared memory with reference to the access path. 제 7 항에 있어서,The method of claim 7, wherein 상기 보안 정책 DB에 저장된 보안 정책을 업데이트하는 제 4 기능;A fourth function of updating a security policy stored in the security policy DB; 업데이트된 보안 정책을 상기 보안 정책 DB에서 읽어와 상기 공유 메모리에 저장하는 제 5 기능; 및A fifth function of reading an updated security policy from the security policy DB and storing it in the shared memory; And 상기 보안 정책에 접근할 수 있는 접근 경로를 갱신하는 제 6 기능;를 더 실현시키기 위한 컴퓨터로 읽을 수 있는 프로그램을 기록한 기록매체.And a sixth function of updating an access path for accessing the security policy.
KR1020070046536A 2007-05-14 2007-05-14 Firewall gateway and security policy management method and computer program recording media Ceased KR20080100620A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070046536A KR20080100620A (en) 2007-05-14 2007-05-14 Firewall gateway and security policy management method and computer program recording media

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070046536A KR20080100620A (en) 2007-05-14 2007-05-14 Firewall gateway and security policy management method and computer program recording media

Publications (1)

Publication Number Publication Date
KR20080100620A true KR20080100620A (en) 2008-11-19

Family

ID=40287069

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070046536A Ceased KR20080100620A (en) 2007-05-14 2007-05-14 Firewall gateway and security policy management method and computer program recording media

Country Status (1)

Country Link
KR (1) KR20080100620A (en)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150008561A (en) * 2013-07-15 2015-01-23 대우조선해양 주식회사 Resource information providing system and method thereof
WO2019218020A1 (en) * 2018-05-16 2019-11-21 archTIS Limited A security gateway and method for controlling user interaction with one or more databases
US10944722B2 (en) 2016-05-01 2021-03-09 Nicira, Inc. Using activities to manage multi-tenant firewall configuration
US11005815B2 (en) 2016-04-29 2021-05-11 Nicira, Inc. Priority allocation for distributed service rules
CN112910721A (en) * 2019-11-19 2021-06-04 苏州至赛信息科技有限公司 Access path query method and device, computer equipment and storage medium
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US11115382B2 (en) 2015-06-30 2021-09-07 Nicira, Inc. Global objects for federated firewall rule management
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US12184698B2 (en) 2014-02-20 2024-12-31 Nicira, Inc. Method and apparatus for distributing firewall rules

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150008561A (en) * 2013-07-15 2015-01-23 대우조선해양 주식회사 Resource information providing system and method thereof
US12184698B2 (en) 2014-02-20 2024-12-31 Nicira, Inc. Method and apparatus for distributing firewall rules
US11115382B2 (en) 2015-06-30 2021-09-07 Nicira, Inc. Global objects for federated firewall rule management
US11128600B2 (en) 2015-06-30 2021-09-21 Nicira, Inc. Global object definition and management for distributed firewalls
US11005815B2 (en) 2016-04-29 2021-05-11 Nicira, Inc. Priority allocation for distributed service rules
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US10944722B2 (en) 2016-05-01 2021-03-09 Nicira, Inc. Using activities to manage multi-tenant firewall configuration
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11088990B2 (en) 2016-06-29 2021-08-10 Nicira, Inc. Translation cache for firewall configuration
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
WO2019218020A1 (en) * 2018-05-16 2019-11-21 archTIS Limited A security gateway and method for controlling user interaction with one or more databases
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US12058108B2 (en) 2019-03-13 2024-08-06 VMware LLC Sharing of firewall rules among multiple workloads in a hypervisor
CN112910721A (en) * 2019-11-19 2021-06-04 苏州至赛信息科技有限公司 Access path query method and device, computer equipment and storage medium

Similar Documents

Publication Publication Date Title
KR20080100620A (en) Firewall gateway and security policy management method and computer program recording media
US11275824B2 (en) Detecting credential compromise in a cloud resource
CN111698228B (en) System access authority granting method, device, server and storage medium
US7188366B2 (en) Distributed denial of service attack defense method and device
EP3338436B1 (en) Lock-free updates to a domain name blacklist
JP2020503598A (en) Container based operating system and method
CN113572746B (en) Data processing method, device, electronic equipment and storage medium
US20100162361A1 (en) Replicating selected secrets to local domain controllers
CN115333804A (en) Honeypot flow guiding method and device, electronic equipment and readable storage medium
RU2581559C2 (en) System and method of using security policy to storage in network
US20140122867A1 (en) Encryption and decryption of user data across tiered self-encrypting storage devices
US8250176B2 (en) File sharing method and file sharing system
US9264399B1 (en) Lock-free updates to a domain name blacklist
JP2009246957A (en) Security policy control system, security policy control method, and program
CN115022008A (en) Access risk assessment method, device, equipment and medium
KR20080077120A (en) Server management systems, methods, and methods of migrating to computing devices to migrate the automated state during operating system deployment
CN113748658B (en) Equipment protection methods and equipment
CN119382990B (en) Web application access proxy method and device in heterogeneous network environment
KR102849391B1 (en) Resource Attribute Value Update Method for IoT/M2M Platform
US20240314136A1 (en) Method for controlling the access of a user to a network, network, and computer program
CN115134098B (en) A hacker information acquisition method, device, electronic equipment and storage medium
CN110233814B (en) An industrial IoT intelligent virtual private network system
US12132702B2 (en) IP address control system
JP2007299342A (en) Device quarantine method, quarantine device, aggregate client management device, aggregate client management program, network connection device, and user terminal
CN114944951B (en) Request processing method and device, mimicry device and storage medium

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20070514

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20080827

Patent event code: PE09021S01D

E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20081113

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20080827

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I

PG1501 Laying open of application