[go: up one dir, main page]

KR20190043921A - 방화벽 정책 제어 장치 및 방법 - Google Patents

방화벽 정책 제어 장치 및 방법 Download PDF

Info

Publication number
KR20190043921A
KR20190043921A KR1020170136029A KR20170136029A KR20190043921A KR 20190043921 A KR20190043921 A KR 20190043921A KR 1020170136029 A KR1020170136029 A KR 1020170136029A KR 20170136029 A KR20170136029 A KR 20170136029A KR 20190043921 A KR20190043921 A KR 20190043921A
Authority
KR
South Korea
Prior art keywords
information
user
firewall
policy
security policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
KR1020170136029A
Other languages
English (en)
Other versions
KR102333028B1 (ko
Inventor
김규영
이한수
김하영
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020170136029A priority Critical patent/KR102333028B1/ko
Publication of KR20190043921A publication Critical patent/KR20190043921A/ko
Application granted granted Critical
Publication of KR102333028B1 publication Critical patent/KR102333028B1/ko
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • H04L29/06557
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

방화벽 정책 제어 장치 및 방법이 개시된다. 본 발명의 일 실시예에 따른 방화벽 정책 제어 장치는, 네트워크 접속을 위한 사용자 인증을 수행하는 인증 시스템으로부터 사용자 식별 정보 및 사용자 단말의 IP(Internet Protocol) 주소를 포함하는 사용자 정보를 수신하는 사용자 정보 수신부, 기 등록된 하나 이상의 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소를 포함하는 사용자 식별 정보별 보안 정책 정보를 저장하는 보안 정책 관리부 및 상기 사용자 식별 정보별 보안 정책 정보 중 상기 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별하고, 상기 식별된 보안 정책 정보 및 상기 사용자 정보에 기초하여 하나 이상의 방화벽에 대한 방화벽 정책을 생성하고, 상기 생성된 방화벽 정책을 상기 하나 이상의 방화벽 각각에 적용하는 방화벽 정책 제어부를 포함한다.

Description

방화벽 정책 제어 장치 및 방법{APPARATUS AND METHOD FOR CONTROLING FIREWALL POLICY}
본 발명의 실시예들은 방화벽의 정책을 제어하기 위한 기술과 관련된다.
최근 액티브 디렉터리(Active Directory), LDAP(Lightweight Directory Access Protocol) 등과 같은 디렉터리 서비스 통해 인증된 사용자 ID를 기반으로 네트워크 접속 제어를 함으로써 사용자 및 사용자 그룹 단위의 보안 정책 설정이 가능한 ID기반 방화벽들이 등장하고 있다.
그러나, 기존 IP기반 방화벽들은 이러한 기능을 지원하지 않아 사용자 및 사용자 그룹 단위의 보안 정책설정이 불가능하므로, 출발지에서 목적지 사이에 수 많은 IP기반 방화벽들이 존재하는 경우 운영자가 출발지 IP 주소 및 목적지 IP 주소를 확인하여 모든 방화벽에 대하여 정책설정을 해줘야 하는 어려움이 있다.
한국등록특허 제10-1415850호 (2014.06.30. 공고)
본 발명의 실시예들은 방화벽 정책 제어 장치 및 방법을 제공하기 위한 것이다.
본 발명의 일 실시예에 따른 방화벽 정책 제어 장치는, 네트워크 접속을 위한 사용자 인증을 수행하는 인증 시스템으로부터 사용자 식별 정보 및 사용자 단말의 IP(Internet Protocol) 주소를 포함하는 사용자 정보를 수신하는 사용자 정보 수신부, 기 등록된 하나 이상의 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소를 포함하는 사용자 식별 정보별 보안 정책 정보를 저장하는 보안 정책 관리부 및 상기 사용자 식별 정보별 보안 정책 정보 중 상기 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별하고, 상기 식별된 보안 정책 정보 및 상기 사용자 정보에 기초하여 하나 이상의 방화벽에 대한 방화벽 정책을 생성하고, 상기 생성된 방화벽 정책을 상기 하나 이상의 방화벽 각각에 적용하는 방화벽 정책 제어부를 포함한다.
상기 하나 이상의 방화벽은, IP 기반 방화벽을 포함할 수 있다.
상기 사용자 식별 정보는, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함할 수 있다.
상기 방화벽 정책 제어부는, 상기 사용자 단말의 IP 주소와 상기 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로 상에 존재하는 하나 이상의 방화벽에 대해 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성할 수 있다.
상기 방화벽 정책 제어부는, 네트워크 토폴로지(topology) 정보를 이용하여 상기 네트워크 경로 상에 존재하는 하나 이상의 방화벽을 식별할 수 있다.
상기 사용자 정보는, 접속 위치 정보를 더 포함하고, 상기 사용자 식별 정보별 보안 정책 정보는, 접속 허용 위치 정보를 더 포함할 수 있다.
상기 방화벽 정책 제어부는, 상기 접속 위치 정보와 상기 식별된 보안 정책 정보에 포함된 접속 허용 위치 정보가 일치하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성할 수 있다.
상기 사용자 정보는, SSID(Service Set Identifier)를 더 포함하고, 상기 방화벽 정책 제어부는, 상기 접속 위치 정보 및 상기 SSID에 기초하여 제공 가능한 무선 네트워크 서비스가 존재하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성할 수 있다.
상기 인증 시스템은, RADIUS(Remote Authentication Dial-In User Service) 프로토콜 기반 사용자 인증을 수행하는 RADIUS 서버를 포함할 수 있다.
본 발명의 일 실시예에 따른 방화벽 정책 제어 방법은, 네트워크 접속을 위한 사용자 인증을 수행하는 인증 시스템으로부터 사용자 식별 정보 및 사용자 단말의 IP(Internet Protocol) 주소를 포함하는 사용자 정보를 수신하는 단계, 기 등록된 하나 이상의 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소를 포함하는 사용자 식별 정보 별 보안 정책 정보 중 상기 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별하는 단계, 상기 식별된 보안 정책 정보 및 상기 사용자 정보에 기초하여 하나 이상의 방화벽에 대한 방화벽 정책을 생성하는 단계 및 상기 생성된 방화벽 정책을 상기 하나 이상의 방화벽 각각에 적용하는 단계를 포함한다.
상기 하나 이상의 방화벽은, IP 기반 방화벽을 포함할 수 있다.
상기 사용자 식별 정보는, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함할 수 있다.
상기 생성하는 단계는, 상기 사용자 단말의 IP 주소와 상기 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로 상에 존재하는 하나 이상의 방화벽에 대해 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성할 수 있다.
상기 생성하는 단계는, 네트워크 토폴로지(topology) 정보를 이용하여 상기 네트워크 경로 상에 존재하는 하나 이상의 방화벽을 식별할 수 있다.
상기 사용자 정보는, 접속 위치 정보를 더 포함하고, 상기 사용자 식별 정보별 보안 정책 정보는, 접속 허용 위치 정보를 더 포함할 수 있다.
상기 생성하는 단계는, 상기 접속 위치 정보와 상기 식별된 보안 정책 정보에 포함된 접속 허용 위치 정보가 일치하는지 여부를 판단하는 단계 및 상기 접속 위치 정보와 상기 식별된 보안 정책 정보에 포함된 접속 허용 위치 정보가 일치하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성하는 단계를 포함할 수 있다.
상기 사용자 정보는, SSID(Service Set Identifier)를 더 포함하고, 상기 생성하는 단계는, 상기 접속 위치 정보 및 상기 SSID에 기초하여 제공 가능한 서비스가 존재하는지 여부를 판단하는 단계 및 상기 제공 가능한 무선 네트워크 서비스가 존재하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성하는 단계를 포함할 수 있다.
상기 인증 시스템은, RADIUS(Remote Authentication Dial-In User Service) 프로토콜 기반 사용자 인증을 수행하는 RADIUS 서버를 포함할 수 있다.
본 발명의 실시예들에 따르면, 네트워크 접속을 위한 사용자 인증을 수행하는 인증 시스템과 연동하여, 사용자 식별 정보에 기초한 방화벽 정책이 자동으로 방화벽에 적용되도록 함으로써 방화벽 운영에 대한 편의성을 향상시킬 수 있다.
나아가, 본 발명의 실시예들에 따르면, 인증 시스템으로부터 획득된 사용자 식별 정보를 이용하여 ID 기반 방화벽뿐 아니라 IP기반 방화벽에 대한 방화벽 정책 설정이 가능하도록 함으로써, IP 기반 방화벽에 대한 ID 기반 제어가 가능하게 된다.
나아가, 본 발명의 실시예들에 따르면, RADIUS 서버와 연동함으로써, 무선네트워크 접속 사용자에 대한 방화벽 정책 설정이 용이하게 된다.
도 1은 본 발명의 실시예들이 적용되는 시스템 환경(1)의 예시도
도 2는 본 발명의 일 실시예에 따른 방화벽 정책 제어 장치의 구성도
도 3은 본 발명의 일 실시예에 따른 방화벽 정책 제어 방법의 흐름도
도 4는 본 발명의 다른 실시예에 따른 방화벽 정책 제어 방법의 흐름도
도 5는 본 발명의 또 다른 실시예에 따른 방화벽 정책 제어 방법의 흐름도
도 6은 본 발명의 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
도 1은 본 발명의 실시예들이 적용되는 시스템 환경(1)의 예시도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 시스템 환경(1)은 인증 시스템(100), 방화벽 정책 제어 장치(200), 정책 등록 시스템(300) 및 하나 이상의 방화벽(300)을 포함한다.
인증 시스템(100)은 사용자 단말을 통해 유/무선 네트워크에 접속하고자 하는 사용자에 대한 인증을 수행한다. 구체적으로, 본 발명의 일 실시예에 따르면, 인증 시스템(100)은 예를 들어, RADIUS(Remote Authentication Dial-In User Service) 프로토콜에 기반한 사용자 인증을 수행하는 RADIUS 서버를 포함할 수 있다. 그러나, 반드시 이에 한정되는 것은 아니며, 실시예에 따라, 인증 시스템(100)은 액티브 디렉터리(Active Directory) 서버, LDAP(Lightweight Directory Access Protocol) 서버 등과 같이 아이디 기반 사용자 인증을 수행하는 하나 이상의 서버를 포함할 수 있다.
구체적으로, 인증 시스템(100)은 예를 들어, 사용자 아이디 및 패스워드와 같은 사용자 인증 정보를 사용자가 접속하고자 하는 유/무선 네트워크의 네트워크 장비(예를 들어, AP(Access Point), 스위치 등)로부터 수신하여 사용자 인증을 수행할 수 있다. 이때, 사용자 인증은 예를 들어, EAP(Extensible Authentication Protocol) 인증 방식을 통해 수행될 수 있으나, 반드시 이에 한정되는 것은 아니며, 인증 시스템(100)에서 채용하고 있는 인증 방식에 따라 다양한 방식으로 수행될 수 있다.
한편, 인증 시스템(100)은 사용자 인증이 성공된 경우, 해당 사용자에 대한 사용자 정보를 방화벽 정책 제어 장치(200)로 전달한다.
본 발명의 일 실시예에 따르면, 사용자 정보는 사용자 식별 정보 및 사용자 단말의 IP 주소를 포함할 수 있다. 또한, 사용자 식별 정보는 예를 들어, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함할 수 있다. 이때, 사용자 아이디는 특정 사용자를 식별하기 위한 아이디를 의미하며, 사용자 그룹 아이디는 특정한 사용자 그룹에 속한 사용자들을 식별하기 위한 아이디를 의미할 수 있다. 또한, 사용자 그룹이란, 예를 들어, 회사 내 특정 부서에 소속된 사용자 집단, 특정 직위에 해당하는 사용자 집단, 특정 직무를 수행하는 사용자 집단 등과 같이 복수의 사용자들을 특정한 기준에 따라 분류한 것을 의미할 수 있다.
한편, 본 발명의 추가적인 실시예에 따르면, 사용자 정보는 접속 위치 정보, SSID(Service Set Identifier) 등을 더 포함할 수 있다.
방화벽 정책 제어 장치(200)는 인증 시스템(100)으로부터 사용자 정보를 전달받아 사용자 식별 정보에 대응하는 보안 정책 정보를 식별하고, 사용자 정보 및 식별된 보안 정책 정보에 따라 하나 이상의 방화벽(300)에 대한 방화벽 정책을 생성한다. 이때, 방화벽(300)은 패킷에 포함된 출발지 IP와 목적지 IP에 기초하여 네트워크 트래픽을 차단하는 IP 기반 방화벽을 포함할 수 있다. 그러나, 반드시 이에 한정되는 것은 아니며, 방화벽(300)은 IP 기반 방화벽 외에도 사용자 식별 정보에 기초하여 네트워크 트래픽을 차단하는 ID 기반 방화벽을 더 포함할 수 있다.
한편, 사용자 식별 정보에 대응하는 보안 정책은 예를 들어, 정책 등록 시스템(400)을 통해 사용자에 의해 미리 등록 될 수 있다. 구체적으로, 정책 등록 시스템(400)은 각 사용자가 사용자 식별 정보, 목적지 IP 주소, 접속할 위치, SSID 등을 입력하여 자신에 대한 보안 정책 등록을 신청하기 위한 시스템을 의미할 수 있다. 정책 등록 시스템(400)은 특정 사용자에 의해 보안 정책 등록이 신청된 경우, 해당 사용자에 의해 입력된 정보들을 방화벽 정책 제어 장치(200)로 전달하여 해당 사용자가 입력한 사용자 식별 정보에 대한 보안 정책 정보가 방화벽 정책 제어 장치(200)에 등록되도록 할 수 있다.
도 2는 본 발명의 일 실시예에 따른 방화벽 정책 제어 장치의 구성도이다.
도 2를 참조하면, 본 발명의 일 실시예에 따른 방화벽 정책 제어 장치(200)는 사용자 정보 획득부(210), 보안 정책 관리부(220) 및 방화벽 정책 제어부(230)를 포함한다.
사용자 정보 획득부(210)는 인증 시스템(100)으로부터 사용자 식별 정보 및 사용자 단말의 IP 주소를 포함하는 사용자 정보를 수신한다.
구체적으로, 인증 시스템(100)은 네트워크에 접속하고자 하는 사용자에 대한 사용자 인증을 수행한 후, 인증이 성공된 경우, 해당 사용자에 대한 사용자 정보를 사용자 정보 획득부(210)로 전달하고, 인증이 실패한 경우, 해당 사용자에 대한 네트워크 접속을 차단할 수 있다.
한편, 본 발명의 일 실시예에 따르면, 인증 시스템(100)으로부터 수신되는 사용자 정보는 예를 들어, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함할 수 있다.
한편, 본 발명의 추가적인 실시예에 따르면, 사용자 정보는 상술한 사용자 식별 정보 및 사용자 단말의 IP 주소 외에도 SSID, 접속 위치 등과 같이 방화벽 정책 제어를 위해 활용 가능한 다양한 정보들을 포함할 수 있다.
보안 정책 관리부(220)는 기 등록된 하나 이상의 사용자 식별 정보 각각에 대한 사용자 식별 정보별 보안 정책 정보를 저장한다.
구체적으로, 본 발명의 일 실시예에 따르면, 보안 정책 관리부(220)는 정책 등록 시스템(400)을 통해 미리 등록된 사용자 아이디 및 사용자 그룹 아이디 각각에 대한 보안 정책 정보를 저장할 수 있다.
또한, 본 발명의 일 실시예에 따르면, 보안 정책 관리부(220)에 저장된 사용자 식별 정보별 보안 정책 정보는 사용자 식별 정보 각각에 대해 허용되는 하나 이상의 목적지 IP 주소를 포함할 수 있다.
한편, 보안 정책 정보에 포함되는 정보는 목적지 IP 주소에 한정되는 것은 아니며, 실시예에 따라 목적지 IP 주소 외에도 예를 들어, 접속 허용 위치, 목적지 포트, 프로토콜(예를 들어, TCP/IP, UDP 등) 등과 같이 방화벽 정책 제어을 위해 고려될 수 있는 다양한 정보들을 포함할 수 있다.
방화벽 정책 제어부(230)는 사용자 정보 획득부(210)를 통해 수신된 사용자 정보 및 보안 정책 관리부(220)에 저장된 사용자 식별 정보별 보안 정책 정보에 기초하여 하나 이상의 방화벽(300) 각각에 대한 방화벽 정책을 생성하고, 생성된 방화벽 정책을 각 방화벽(300)에 적용한다.
구체적으로, 본 발명의 일 실시예에 따르면, 방화벽 정책 제어부(230)는 보안 정책 관리부(220)에 저장된 사용자 식별 정보별 보안 정책 정보 중 인증 시스템(100)으로부터 수신된 사용자 식별 정보에 대응되는 보안 정책 정보를 식별할 수 있다. 예를 들어, 방화벽 정책 제어부(230)는 인증 시스템(100)으로부터 사용자 아이디가 수신된 경우, 보안 정책 관리부(220)에 저장된 사용자 식별 정보별 보안 정책 정보 중 수신된 사용자 아이디에 대응되는 보안 정책 정보를 식별할 수 있다.
다른 예로, 방화벽 정책 제어부(230)는 인증 시스템(100)으로부터 사용자 아이디 및 사용자 그룹 아이디가 수신된 경우, 보안 정책 관리부(220)에 저장된 사용자 식별 정보별 보안 정책 정보 중 수신된 사용자 아이디 및 사용자 그룹 아이디 각각에 대응되는 보안 정책 정보를 식별할 수 있다.
한편, 본 발명의 일 실시예에 따르면, 사용자 식별 정보에 대응되는 보안 정책 정보가 식별된 경우, 방화벽 정책 제어부(230)는 사용자 정보에 포함된 사용자 단말의 IP 주소와 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로 상에 존재하는 하나 이상의 방화벽(300)을 식별할 수 있다. 이때, 네트워크 경로 상에 존재하는 방화벽(300)은 예를 들어, 미리 저장된 네트워크 토폴로지 정보에 기초하여 식별될 수 있다.
이후, 방화벽 정책 제어부(230)는 사용자 단말의 IP 주소와 목적지 IP 주소 사이의 네트워크 경로에 대한 차단이 해제되도록 식별된 각 방화벽(300)에 대한 방화벽 정책을 생성할 수 있다. 구체적으로, 방화벽 정책 제어부(230)는 사용자 단말의 IP 주소를 출발지로하고, 목적지 IP를 목적지로 하는 네트워크 트래픽에 대한 차단이 해제되도록 식별된 각 방화벽(300)에 대한 방화벽 정책을 생성할 수 있다. 이때, 본 발명의 일 실시예에 따르면, 보안 정책 제어부(230)는 식별된 각 방화벽(300)에 대한 제품 정보(예를 들어, 모델 정보, 제조사 정보 등)에 기초하여 각 방화벽(300)에 적합한 방화벽 정책을 생성할 수 있다.
한편, 본 발명의 일 실시예에 따르면, 방화벽 정책 제어부(230)는 인증 시스템(100)으로부터 수신된 사용자 정보에 접속 위치 정보가 포함되어 있는 경우, 해당 접속 위치 정보가 식별된 보안 정책 정보에 포함된 접속 허용 위치와 일치하는지 여부에 따라 하나 이상의 방화벽(300)에 대한 방화벽 정책을 생성할 수 있다.
예를 들어, 인증 시스템(100)으로부터 수신된 사용자 정보에 사용자 ID 및 사용자 단말의 IP 주소와 함께 사업장 A가 접속 위치로 포함되어 있으나, 해당 사용자 ID에 대한 보안 정책 정보에 사업장 B만이 접속 허용 위치로 등록되어 있는 경우, 방화벽 정책 제어부(230)는 별도의 방화벽 정책을 생성하지 않는다. 이에 따라, 사용자 정보에 포함된 사용자 단말의 IP 주소와 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로는 방화벽(300)에 의해 차단될 수 있다.
반면, 해당 사용자 ID에 대한 보안 정책 정보에 사업장 A가 접속 허용 위치로 등록되어 있는 경우, 방화벽 정책 제어부(230)는 사용자 정보에 포함된 사용자 단말의 IP 주소와 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로 상의 방화벽(300)들에 대한 방화벽 정책을 생성하여 적용함으로써, 해당 네트워크 경로에 대한 차단이 해제되도록 제어할 수 있다.
한편, 본 발명의 일 실시예에 따르면, 방화벽 정책 제어부(230)는 인증 시스템(100)으로부터 수신된 사용자 정보에 접속 위치 정보 및 SSID가 포함되어 있는 경우, 해당 접속 위치 정보 및 SSID에 기초하여 사용자 단말로 제공 가능한 무선 네트워크 서비스가 존재하는지 여부를 판단할 수 있다. 이때, 제공 가능한 무선 네트워크 서비스가 존재하는 경우, 사용자 정보에 포함된 사용자 단말의 IP 주소와 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로 상의 방화벽(300)들에 대한 방화벽 정책을 생성하여 적용함으로써, 해당 네트워크 경로에 대한 차단이 해제되도록 제어할 수 있다.
반면, 사용자 단말로 제공 가능한 무선 네트워크 서비스가 존재하지 않는 경우, 방화벽 정책 제어부(230)는 별도의 방화벽 정책을 생성하지 않는다. 이에 따라, 사용자 정보에 포함된 사용자 단말의 IP 주소와 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로는 방화벽(300)에 의해 차단될 수 있다
한편, 일 실시예에서, 도 1에 도시된 사용자 정보 획득부(210), 보안 정책 관리부(220) 및 방화벽 정책 제어부(230)는 하나 이상의 프로세서 및 그 프로세서와 연결된 컴퓨터 판독 가능 기록 매체를 포함하는 하나 이상의 컴퓨팅 장치 상에서 구현될 수 있다. 컴퓨터 판독 가능 기록 매체는 프로세서의 내부 또는 외부에 있을 수 있고, 잘 알려진 다양한 수단으로 프로세서와 연결될 수 있다. 컴퓨팅 장치 내의 프로세서는 각 컴퓨팅 장치로 하여금 본 명세서에서 기술되는 예시적인 실시예에 따라 동작하도록 할 수 있다. 예를 들어, 프로세서는 컴퓨터 판독 가능 기록 매체에 저장된 명령어를 실행할 수 있고, 컴퓨터 판독 가능 기록 매체에 저장된 명령어는 프로세서에 의해 실행되는 경우 컴퓨팅 장치로 하여금 본 명세서에 기술되는 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.
도 3은 본 발명의 일 실시예에 따른 방화벽 정책 제어 방법의 흐름도이다.
도 3에 도시된 방법은 예를 들어, 도 2에 도시된 방화벽 정책 제어 장치(200)에 의해 수행될 수 있다.
도 3을 참조하면, 우선, 방화벽 정책 제어 장치(200)는 인증 시스템(100)으로부터 사용자 식별 정보 및 사용자 단말의 IP 주소를 포함하는 사용자 정보를 수신한다(310). 이때, 사용자 식별 정보는 예를 들어, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함할 수 있다.
이후, 방화벽 정책 제어 장치(200)는 사용자 식별 정보별 보안 정책 정보 중 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별한다(320). 이때, 사용자 식별 정보별 보안 정책 정보는 예를 들어, 미리 등록된 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소를 포함할 수 있다.
한편, 수신된 사용자 식별 정보에 대한 보안 정책 정보가 존재하지 않는 경우, 방화벽 정책 제어 장치(200)는 방화벽 정책 생성을 종료한다(330).
반면, 수신된 사용자 식별 정보에 대한 보안 정책 정보가 존재하는 경우, 방화벽 정책 제어 장치(200)는 수신된 사용자 정보 및 식별된 보안 정책 정보에 기초하여 하나 이상의 방화벽에 대한 방화벽 정책을 생성한다(340). 구체적으로, 방화벽 정책 제어 장치(200)는 네트워크 토폴로지 정보에 기초하여 사용자 정보로서 수신된 사용자 단말 IP 주소와 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로에 존재하는 하나 이상의 방화벽을 식별하고, 식별된 방화벽들이 해당 네트워크 경로에 대한 차단을 해제하도록 각 방화벽에 대한 방화벽 정책을 생성할 수 있다. 이때, 방화벽 정책 제어 장치(200)는 식별된 각 방화벽의 제품 정보(예를 들어, 모델 정보, 제조사 정보 등)에 기초하여 각 방화벽에 적합한 방화벽 정책을 생성할 수 있다.
이후, 방화벽 정책 제어 장치(200)는, 생성된 방화벽 정책을 식별된 각 방화벽에 적용한다(350).
도 4는 본 발명의 다른 실시예에 따른 방화벽 정책 제어 방법의 흐름도이다.
도 4에 도시된 방법은 예를 들어, 도 2에 도시된 방화벽 정책 제어 장치(200)에 의해 수행될 수 있다.
도 4를 참조하면, 우선, 방화벽 정책 제어 장치(200)는 인증 시스템(100)으로부터 사용자 식별 정보, 사용자 단말 IP 주소 및 접속 위치를 포함하는 사용자 정보를 수신한다(410). 이때, 사용자 식별 정보는 예를 들어, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함할 수 있다.
이후, 방화벽 정책 제어 장치(200)는 사용자 식별 정보별 보안 정책 정보 중 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별한다(420). 이때, 사용자 식별 정보별 보안 정책 정보는 예를 들어, 미리 등록된 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소 및 접속 허용 위치를 포함할 수 있다.
한편, 수신된 사용자 식별 정보에 대한 보안 정책 정보가 존재하지 않는 경우, 방화벽 정책 제어 장치(200)는 방화벽 정책 생성을 종료한다(430).
반면, 수신된 사용자 식별 정보에 대한 보안 정책 정보가 존재하는 경우, 방화벽 정책 제어 장치(200)는 사용자 정보에 포함된 접속 위치가 식별된 보안 정책 정보에 등록된 접속 허용 위치와 일치하는지 여부를 판단한다(440).
이때, 일치하는 경우, 방화벽 정책 제어 장치(200)는 수신된 사용자 정보 및 식별된 보안 정책 정보에 기초하여 하나 이상의 방화벽에 대한 방화벽 정책을 생성한다(450). 구체적으로, 방화벽 정책 제어 장치(200)는 네트워크 토폴로지 정보에 기초하여 사용자 정보로서 수신된 사용자 단말 IP 주소와 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로에 존재하는 하나 이상의 방화벽을 식별하고, 식별된 방화벽들이 해당 네트워크 경로에 대한 차단을 해제하도록 각 방화벽에 대한 방화벽 정책을 생성할 수 있다. 또한, 방화벽 정책 제어 장치(200)는 식별된 각 방화벽의 제품 정보(예를 들어, 모델 정보, 제조사 정보 등)에 기초하여 각 방화벽에 적합한 방화벽 정책을 생성할 수 있다.
이후, 방화벽 정책 제어 장치(200)는, 생성된 방화벽 정책을 식별된 각 방화벽에 적용한다(460).
한편, 440 단계에서, 사용자 정보에 포함된 접속 위치가 식별된 보안 정책 정보에 등록된 접속 허용 위치와 일치하지 않는 경우, 방화벽 정책 제어 장치(200)는 방화벽 정책 생성을 종료한다.
도 5는 본 발명의 또 다른 실시예에 따른 방화벽 정책 제어 방법의 흐름도이다.
도 5에 도시된 방법은 예를 들어, 도 2에 도시된 방화벽 정책 제어 장치(200)에 의해 수행될 수 있다.
도 5를 참조하면, 우선, 방화벽 정책 제어 장치(200)는 인증 시스템(100)으로부터 사용자 식별 정보, 접속 위치 정보, 사용자 단말 IP 주소 및 SSID를 포함하는 사용자 정보를 수신한다(510). 이때, 사용자 식별 정보는 예를 들어, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함할 수 있다.
이후, 방화벽 정책 제어 장치(200)는 사용자 식별 정보별 보안 정책 정보 중 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별한다(520). 이때, 보안 정책 정보는 예를 들어, 미리 등록된 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소를 포함할 수 있다.
한편, 수신된 사용자 식별 정보에 대한 보안 정책 정보가 존재하지 않는 경우, 방화벽 정책 제어 장치(200)는 방화벽 정책 생성을 종료한다(530).
반면, 수신된 사용자 식별 정보에 대한 보안 정책 정보가 존재하는 경우, 방화벽 정책 제어 장치(200)는 사용자 정보에 포함된 접속 위치 정보 및 SSID에 기초하여 사용자 단말로 제공 가능한 무선 네트워크 서비스가 존재하는지 여부를 판단한다(540).
이때, 제공 가능한 무선 네트워크 서비스가 존재하는 경우, 방화벽 정책 제어 장치(200)는 수신된 사용자 정보 및 식별된 보안 정책 정보에 기초하여 하나 이상의 방화벽에 대한 방화벽 정책을 생성한다(550). 구체적으로, 방화벽 정책 제어 장치(200)는 네트워크 토폴로지 정보에 기초하여 사용자 정보로서 수신된 사용자 단말 IP 주소와 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로에 존재하는 하나 이상의 방화벽을 식별하고, 식별된 방화벽들이 해당 네트워크 경로에 대한 차단을 해제하도록 각 방화벽에 대한 방화벽 정책을 생성할 수 있다. 또한, 방화벽 정책 제어 장치(200)는 식별된 각 방화벽의 제품 정보(예를 들어, 모델 정보, 제조사 정보 등)에 기초하여 각 방화벽에 적합한 방화벽 정책을 생성할 수 있다.
이후, 방화벽 정책 제어 장치(200)는, 생성된 방화벽 정책을 식별된 각 방화벽에 적용한다(560).
한편, 540 단계에서, 사용자 단말로 제공 가능한 무선 네트워크 서비스가 존재하지 않는 경우, 방화벽 정책 제어 장치(200)는 방화벽 정책을 생성을 종료한다.
한편, 도 3 내지 도 5에 도시된 흐름도에서는 네트워크 접속 제어 과정을 복수 개의 단계로 나누어 기재하였으나, 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.
도 6은 본 발명의 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도이다. 도시된 실시예에서, 각 컴포넌트들은 이하에 기술된 것 이외에 상이한 기능 및 능력을 가질 수 있고, 이하에 기술되지 것 이외에도 추가적인 컴포넌트를 포함할 수 있다.
도시된 컴퓨팅 환경(10)은 컴퓨팅 장치(12)를 포함한다. 일 실시예에서, 컴퓨팅 장치(12)는 예를 들어, 도 2에 도시된 사용자 정보 획득부(210), 보안 정책 관리부(220) 및 방화벽 정책 제어부(230)와 같이 방화벽 정책 제어 장치(100)에 포함되는 하나 이상의 컴포넌트일 수 있다.
컴퓨팅 장치(12)는 적어도 하나의 프로세서(14), 컴퓨터 판독 가능 저장 매체(16) 및 통신 버스(18)를 포함한다. 프로세서(14)는 컴퓨팅 장치(12)로 하여금 앞서 언급된 예시적인 실시예에 따라 동작하도록 할 수 있다. 예컨대, 프로세서(14)는 컴퓨터 판독 가능 저장 매체(16)에 저장된 하나 이상의 프로그램들을 실행할 수 있다. 상기 하나 이상의 프로그램들은 하나 이상의 컴퓨터 실행 가능 명령어를 포함할 수 있으며, 상기 컴퓨터 실행 가능 명령어는 프로세서(14)에 의해 실행되는 경우 컴퓨팅 장치(12)로 하여금 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.
컴퓨터 판독 가능 저장 매체(16)는 컴퓨터 실행 가능 명령어 내지 프로그램 코드, 프로그램 데이터 및/또는 다른 적합한 형태의 정보를 저장하도록 구성된다. 컴퓨터 판독 가능 저장 매체(16)에 저장된 프로그램(20)은 프로세서(14)에 의해 실행 가능한 명령어의 집합을 포함한다. 일 실시예에서, 컴퓨터 판독 가능 저장 매체(16)는 메모리(랜덤 액세스 메모리와 같은 휘발성 메모리, 비휘발성 메모리, 또는 이들의 적절한 조합), 하나 이상의 자기 디스크 저장 디바이스들, 광학 디스크 저장 디바이스들, 플래시 메모리 디바이스들, 그 밖에 컴퓨팅 장치(12)에 의해 액세스되고 원하는 정보를 저장할 수 있는 다른 형태의 저장 매체, 또는 이들의 적합한 조합일 수 있다.
통신 버스(18)는 프로세서(14), 컴퓨터 판독 가능 저장 매체(16)를 포함하여 컴퓨팅 장치(12)의 다른 다양한 컴포넌트들을 상호 연결한다.
컴퓨팅 장치(12)는 또한 하나 이상의 입출력 장치(24)를 위한 인터페이스를 제공하는 하나 이상의 입출력 인터페이스(22) 및 하나 이상의 네트워크 통신 인터페이스(26)를 포함할 수 있다. 입출력 인터페이스(22) 및 네트워크 통신 인터페이스(26)는 통신 버스(18)에 연결된다. 입출력 장치(24)는 입출력 인터페이스(22)를 통해 컴퓨팅 장치(12)의 다른 컴포넌트들에 연결될 수 있다. 예시적인 입출력 장치(24)는 포인팅 장치(마우스 또는 트랙패드 등), 키보드, 터치 입력 장치(터치패드 또는 터치스크린 등), 음성 또는 소리 입력 장치, 다양한 종류의 센서 장치 및/또는 촬영 장치와 같은 입력 장치, 및/또는 디스플레이 장치, 프린터, 스피커 및/또는 네트워크 카드와 같은 출력 장치를 포함할 수 있다. 예시적인 입출력 장치(24)는 컴퓨팅 장치(12)를 구성하는 일 컴포넌트로서 컴퓨팅 장치(12)의 내부에 포함될 수도 있고, 컴퓨팅 장치(12)와는 구별되는 별개의 장치로 컴퓨팅 장치(12)와 연결될 수도 있다.
이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
10: 컴퓨팅 환경
12: 컴퓨팅 장치
14: 프로세서
16: 컴퓨터 판독 가능 저장 매체
18: 통신 버스
20: 프로그램
22: 입출력 인터페이스
24: 입출력 장치
26: 네트워크 통신 인터페이스
100: 인증 시스템
200: 방화벽 정책 제어 장치
210: 사용자 정보 획득부
220: 보안 정책 관리부
230: 방화벽 정책 제어부
300: 방화벽
400: 정책 등록 시스템

Claims (18)

  1. 네트워크 접속을 위한 사용자 인증을 수행하는 인증 시스템으로부터 사용자 식별 정보 및 사용자 단말의 IP(Internet Protocol) 주소를 포함하는 사용자 정보를 수신하는 사용자 정보 수신부;
    기 등록된 하나 이상의 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소를 포함하는 사용자 식별 정보별 보안 정책 정보를 저장하는 보안 정책 관리부; 및
    상기 사용자 식별 정보별 보안 정책 정보 중 상기 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별하고, 상기 식별된 보안 정책 정보 및 상기 사용자 정보에 기초하여 하나 이상의 방화벽에 대한 방화벽 정책을 생성하고, 상기 생성된 방화벽 정책을 상기 하나 이상의 방화벽 각각에 적용하는 방화벽 정책 제어부를 포함하는 방화벽 정책 제어 장치.
  2. 청구항 1에 있어서,
    상기 하나 이상의 방화벽은, IP 기반 방화벽을 포함하는 방화벽 정책 제어 장치.
  3. 청구항 1에 있어서,
    상기 사용자 식별 정보는, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함하는 방화벽 정책 제어 장치.
  4. 청구항 1에 있어서,
    상기 방화벽 정책 제어부는, 상기 사용자 단말의 IP 주소와 상기 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로 상에 존재하는 하나 이상의 방화벽에 대해 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성하는 방화벽 정책 제어 장치.
  5. 청구항 4에 있어서,
    상기 방화벽 정책 제어부는, 네트워크 토폴로지(topology) 정보를 이용하여 상기 네트워크 경로 상에 존재하는 하나 이상의 방화벽을 식별하는 방화벽 정책 제어 장치.
  6. 청구항 4에 있어서,
    상기 사용자 정보는, 접속 위치 정보를 더 포함하고,
    상기 사용자 식별 정보별 보안 정책 정보는, 접속 허용 위치 정보를 더 포함하는 방화벽 제어 장치.
  7. 청구항 6에 있어서,
    상기 방화벽 정책 제어부는, 상기 접속 위치 정보와 상기 식별된 보안 정책 정보에 포함된 접속 허용 위치 정보가 일치하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성하는 방화벽 정책 제어 장치.
  8. 청구항 6에 있어서,
    상기 사용자 정보는, SSID(Service Set Identifier)를 더 포함하고,
    상기 방화벽 정책 제어부는, 상기 접속 위치 정보 및 상기 SSID에 기초하여 제공 가능한 무선 네트워크 서비스가 존재하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성하는 방화벽 정책 제어 장치.
  9. 청구항 1에 있어서,
    상기 인증 시스템은, RADIUS(Remote Authentication Dial-In User Service) 프로토콜 기반 사용자 인증을 수행하는 RADIUS 서버를 포함하는 방화벽 정책 제어 장치.
  10. 네트워크 접속을 위한 사용자 인증을 수행하는 인증 시스템으로부터 사용자 식별 정보 및 사용자 단말의 IP(Internet Protocol) 주소를 포함하는 사용자 정보를 수신하는 단계;
    기 등록된 하나 이상의 사용자 식별 정보 각각에 대해 허용되는 목적지 IP 주소를 포함하는 사용자 식별 정보 별 보안 정책 정보 중 상기 수신된 사용자 식별 정보에 대한 보안 정책 정보를 식별하는 단계;
    상기 식별된 보안 정책 정보 및 상기 사용자 정보에 기초하여 하나 이상의 방화벽에 대한 방화벽 정책을 생성하는 단계; 및
    상기 생성된 방화벽 정책을 상기 하나 이상의 방화벽 각각에 적용하는 단계를 포함하는 방화벽 정책 제어 방법.
  11. 청구항 10에 있어서,
    상기 하나 이상의 방화벽은, IP 기반 방화벽을 포함하는 방화벽 정책 제어 방법.
  12. 청구항 10에 있어서,
    상기 사용자 식별 정보는, 사용자 아이디 및 사용자 그룹 아이디 중 적어도 하나를 포함하는 방화벽 정책 제어 방법.
  13. 청구항 10에 있어서,
    상기 생성하는 단계는, 상기 사용자 단말의 IP 주소와 상기 식별된 보안 정책 정보에 포함된 목적지 IP 주소 사이의 네트워크 경로 상에 존재하는 하나 이상의 방화벽에 대해 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성하는 방화벽 정책 제어 방법.
  14. 청구항 13에 있어서,
    상기 생성하는 단계는, 네트워크 토폴로지(topology) 정보를 이용하여 상기 네트워크 경로 상에 존재하는 하나 이상의 방화벽을 식별하는 방화벽 정책 제어 방법.
  15. 청구항 13에 있어서,
    상기 사용자 정보는, 접속 위치 정보를 더 포함하고,
    상기 사용자 식별 정보별 보안 정책 정보는, 접속 허용 위치 정보를 더 포함하는 방화벽 제어 방법.
  16. 청구항 15에 있어서,
    상기 생성하는 단계는, 상기 접속 위치 정보와 상기 식별된 보안 정책 정보에 포함된 접속 허용 위치 정보가 일치하는지 여부를 판단하는 단계; 및
    상기 접속 위치 정보와 상기 식별된 보안 정책 정보에 포함된 접속 허용 위치 정보가 일치하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성하는 단계를 포함하는 방화벽 정책 제어 방법.
  17. 청구항 15에 있어서,
    상기 사용자 정보는, SSID(Service Set Identifier)를 더 포함하고,
    상기 생성하는 단계는, 상기 접속 위치 정보 및 상기 SSID에 기초하여 제공 가능한 무선 네트워크 서비스가 존재하는지 여부를 판단하는 단계; 및
    상기 제공 가능한 무선 네트워크 서비스가 존재하는 경우, 상기 네트워크 경로에 대한 차단이 해제되도록 상기 방화벽 정책을 생성하는 단계를 포함하는 방화벽 정책 제어 방법.
  18. 청구항 10에 있어서,
    상기 인증 시스템은, RADIUS(Remote Authentication Dial-In User Service) 프로토콜 기반 사용자 인증을 수행하는 RADIUS 서버를 포함하는 방화벽 정책 제어 방법.
KR1020170136029A 2017-10-19 2017-10-19 방화벽 정책 제어 장치 및 방법 Active KR102333028B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170136029A KR102333028B1 (ko) 2017-10-19 2017-10-19 방화벽 정책 제어 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170136029A KR102333028B1 (ko) 2017-10-19 2017-10-19 방화벽 정책 제어 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20190043921A true KR20190043921A (ko) 2019-04-29
KR102333028B1 KR102333028B1 (ko) 2021-11-29

Family

ID=66282430

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170136029A Active KR102333028B1 (ko) 2017-10-19 2017-10-19 방화벽 정책 제어 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102333028B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115225307A (zh) * 2022-05-12 2022-10-21 马上消费金融股份有限公司 一种防火墙管理方法、系统、电子设备和存储介质
CN115843032A (zh) * 2022-11-24 2023-03-24 中国联合网络通信集团有限公司 一种访问控制方法、装置及系统

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102430988B1 (ko) 2022-02-10 2022-08-11 (주)제너럴데이타 인공지능 기반 호스트 방화벽의 정책 설정 제어 방법, 장치 및 시스템

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060044494A (ko) * 2004-03-24 2006-05-16 엑서스테크놀러지 주식회사 인증 서버와 연동되는 네트워크 관리 시스템 및 네트워크관리 서버
KR20060044493A (ko) * 2004-03-24 2006-05-16 엑서스테크놀러지 주식회사 사용자 및 인증자별로 제어할 수 있는 인증 시스템
JP3852017B2 (ja) * 2003-02-05 2006-11-29 日本電信電話株式会社 ファイアウォール装置
KR101415850B1 (ko) 2012-11-30 2014-07-09 한국전자통신연구원 방화벽 정책 점검 장치 및 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3852017B2 (ja) * 2003-02-05 2006-11-29 日本電信電話株式会社 ファイアウォール装置
KR20060044494A (ko) * 2004-03-24 2006-05-16 엑서스테크놀러지 주식회사 인증 서버와 연동되는 네트워크 관리 시스템 및 네트워크관리 서버
KR20060044493A (ko) * 2004-03-24 2006-05-16 엑서스테크놀러지 주식회사 사용자 및 인증자별로 제어할 수 있는 인증 시스템
KR101415850B1 (ko) 2012-11-30 2014-07-09 한국전자통신연구원 방화벽 정책 점검 장치 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115225307A (zh) * 2022-05-12 2022-10-21 马上消费金融股份有限公司 一种防火墙管理方法、系统、电子设备和存储介质
CN115843032A (zh) * 2022-11-24 2023-03-24 中国联合网络通信集团有限公司 一种访问控制方法、装置及系统

Also Published As

Publication number Publication date
KR102333028B1 (ko) 2021-11-29

Similar Documents

Publication Publication Date Title
US10652226B2 (en) Securing communication over a network using dynamically assigned proxy servers
US10924495B2 (en) Verification method, apparatus, and system used for network application access
KR102115837B1 (ko) 모바일 플랫폼을 위한 마이크로 vpn 터널링
CN104767715B (zh) 网络接入控制方法和设备
CN110311929B (zh) 一种访问控制方法、装置及电子设备和存储介质
US9584523B2 (en) Virtual private network access control
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
CN106506295B (zh) 一种虚拟机接入网络的方法及装置
CN107819732A (zh) 用户终端访问本地网络的方法和装置
JP6424820B2 (ja) 機器管理システム、機器管理方法及びプログラム
JP2020514863A (ja) 証明書取得方法、認証方法及びネットワークデバイス
US20230006988A1 (en) Method for selectively executing a container, and network arrangement
US20200136893A1 (en) Systems and methods for maintaining communication links
KR102333028B1 (ko) 방화벽 정책 제어 장치 및 방법
CN101986598A (zh) 认证方法、服务器及系统
KR20130028323A (ko) 네트워크 접근 제어 시스템 및 방법
JP2016110300A (ja) 認証システム
JP6076276B2 (ja) 通信システム及び通信方法
TW201721498A (zh) 具安全與功能擴充性的有線區域網路使用者管理系統及方法
JP2001282667A (ja) 認証サーバ・クライアントシステム
KR20170075588A (ko) 보안 ip 통신 서비스를 제공하기 위한 장치, 방법 및 통신 시스템
KR20230151785A (ko) Sdp를 이용한 계정과 서비스별 이중 인증 접근 제어 방법 및 시스템
KR101897982B1 (ko) 사내 무선망 인증을 실시하는 인증서버 및 그 인증 서비스 방법
CN118282676A (zh) 对路由器下局域网络装置进行访问的系统与方法及路由器和授权访问服务器
KR20190037684A (ko) 네트워크 접속 제어 장치 및 방법

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20171019

PG1501 Laying open of application
A201 Request for examination
PA0201 Request for examination

Patent event code: PA02012R01D

Patent event date: 20200120

Comment text: Request for Examination of Application

Patent event code: PA02011R01I

Patent event date: 20171019

Comment text: Patent Application

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20210426

Patent event code: PE09021S01D

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20211025

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20211125

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20211125

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PR1001 Payment of annual fee

Payment date: 20241023

Start annual number: 4

End annual number: 4