(나의 부족한 부분을 깨닫고 전체적으로 한번 정리하는 글 속상한 마음이 가득 담겨있고 눈물이 가득 담겨 있음)
IDS, IPS, WAF는 보안 장비 혹은 시스템으로서 네트워크 또는 애플리케이션 트래픽을 감시하고 위협을 탐지하거나 차단하는 역할
역할의 범위, 위치, 탐지 방식, 대응 방식 등에서 큰 차이 존재
🔍 용어 정리
| IDS | Intrusion Detection System | 침입 시도 탐지 (알림만) |
| IPS | Intrusion Prevention System | 침입 시도 탐지 + 차단 |
| WAF | Web Application Firewall | 웹 애플리케이션 공격 차단 (ex) XSS, SQL Injection) |
🔸 1. IDS (침입 탐지 시스템)
✅ 개요
- 네트워크나 시스템에서 비정상적인 트래픽 또는 악의적인 행위를 탐지
- 탐지 후 경고만 함 (차단 X)
✅ 주요 특징
- 패킷 감시/분석을 통해 알려진 공격 서명, 이상 징후 탐지
- 보통 네트워크 장비 사이에 인라인(inline)으로 설치되지 않고 스니핑(sniffing) 방식으로 감시
- 대응 기능은 없음 → SIEM 등과 연동해 알림
※ 스니핑이란 ? - 송신자와 수신자 사이 네트워크에서 패킷 정보를 도청하는 행위
인라인으로 설치되어 있지 않다라는 말은 무조건 통과라는 말이라고 이해 하면 됨.
인라인 방식으로 설치가 되어 있으면 네트워크 트래픽이 해당 장비를 통과해야만 목적지로 패킷이 도달함.
✅ 사용
- 내부망에 침입한 악성 트래픽 탐지
- 내부 사용자 이상 행위 감시
즉, 내부 사용자의 이상 행위를 탐지를 하기 위해서 주로 사용하기 위해서라고 생각하면 됨
🔸 2. IPS (침입 방지 시스템)
✅ 개요
- IDS 기능 + 차단 기능을 갖춘 시스템
- 탐지 후 자동으로 악성 트래픽을 차단하거나 세션을 종료시킴
✅ 주요 특징
- 네트워크 중간에 인라인 방식으로 설치
- 알려진 공격 서명 기반 탐지 + 일부 비정상 패턴 기반 탐지
- 실시간 대응 가능
✅ 사용
- 악성 IP에서 들어오는 스캔 차단
- 비인가 포트 접속 차단
- DDoS 공격 탐지 및 차단
즉, 네트워크 중간에 인라인 방식으로 동작하여 이상 행위를 탐지 및 차단하기 위해 사용된다라고 생각하면 됨.
🔸 3. WAF (웹 애플리케이션 방화벽)
✅ 개요
- 웹 애플리케이션을 겨냥한 공격 (ex. XSS, SQL Injection 등)을 탐지하고 차단
- HTTP/HTTPS 트래픽을 분석함
✅ 주요
- OSI 7계층 중 7계층(L7) 수준에서 작동
- 애플리케이션 레벨 보안에 초점
- 룰셋 기반으로 동작 (ex. 특정 패턴 필터링, 요청 본문 분석)
- 웹 방화벽 정책 튜닝이 중요
✅ 사용
- SQL Injection 차단
- 로그인 우회 공격 탐지
- 파일 업로드 경로 조작 탐지
🔁 비교
| 구분 | IDS | IPS | WAF |
| 작동 계층 | L3~L4 (네트워크/전송계층) | L3~L4 | L7 (애플리케이션) |
| 기능 | 탐지 | 탐지 + 차단 | 탐지 + 차단 |
| 설치 위치 | 미러 포트, TAP 등 | 네트워크 인라인 | 웹서버 앞단 |
| 주요 대상 | 네트워크 전체 트래픽 | 네트워크 전체 트래픽 | 웹 트래픽 (HTTP/HTTPS) |
| 탐지 방식 | 시그니처/행위 기반 | 시그니처/행위 기반 | 정규표현식/패턴 기반 |
| 대응 방식 | 경고, 로깅 | 경고 + 세션 차단 | 웹 요청 차단, 리디렉션 등 |
📌 전형적인 보안 인프라 구성
[인터넷]
|
[방화벽] ← 외부와 내부를 구분하는 1차 필터
|
[IPS] ← 실시간 공격 차단 (인라인 설치)
|
[스위치] ← 트래픽 분기
| \
[서버] [IDS] ← 스위치에서 미러링된 트래픽 감시 (탐지 전용)
|
[WAF] ← 웹서버 앞단에 위치하여 웹 트래픽 분석/차단
|
[웹 서버군]
- 방화벽: 포트/프로토콜/IP 수준의 정책 설정 (접근 제어)
- IPS: 악성 행위가 있는 세션을 차단 (ex. 포트 스캔, DDoS, 취약점 공격)
- IDS: 비정상적인 트래픽을 감시하고 관리자에게 경고 (보통 미러링 포트에 연결됨)
- WAF: 웹서비스 대상 공격 차단 (XSS, SQLi 등)
(구성을 제대로 이해하고 있을 것, 생각해보면 내가 운영했던 환경만 생각해도 구성이 머리에서 그려지는건 당연했던 것.....)
✅ 네트워크 아키텍처 상 위치도 (OSI 7계층 기준)
| 방화벽 | 네트워크 경계 | L3~L4 | IP/Port 기반 접근 제어 |
| IPS | 방화벽 뒤, 내부 진입 지점 | L3~L4 | 네트워크 트래픽 중 악성 패턴 차단 |
| IDS | 내부 망의 트래픽 스니핑 위치 | L3~L4 | 트래픽 탐지 후 관리자에게 알림 |
| WAF | 웹서버 앞, L7 로드밸런서 앞단 | L7 | HTTP 요청 분석 및 필터링 |
✅ 대표 솔루션 브랜드별 특징
(접속 경험이라도 있는 것들은 파란색으로 색깔 변경해놓을 예정)
🔸 방화벽 (Firewall)
| Palo Alto | Palo Alto Networks | L7 App-ID 기반 차세대 방화벽, 사용자·앱 통합 제어 |
| FortiGate | Fortinet | UTM 기능 통합, 가성비 우수, SMB~대기업 모두 사용 |
| Cisco ASA/Firepower | Cisco | 엔터프라이즈급 강력한 방화벽, 네트워크 연동성 우수 |
| Check Point | Check Point | 고급 정책 관리, 대규모 기업에 적합 |
🔸 IPS/IDS
| Sniper IPS | 윈스(WINS) | 국내 공공기관, 금융권 다수 구축 사례, 한글 UI |
| TippingPoint | Trend Micro | 성능 강력, 대형 트래픽 처리, 시그니처 업데이트 신속 |
| Cisco Secure IPS | Cisco | Firepower와 통합 가능, 네트워크 통합 관리에 유리 |
| Suricata (오픈소스 IDS) | OISF | 고성능, 커스터마이징 가능, 실험/연구 목적 활용 |
| Snort | Cisco | 대표 오픈소스 IDS, IPS 기능도 가능 |
🔸 WAF (Web Application Firewall)
| F5 BIG-IP ASM | F5 Networks | 엔터프라이즈 시장 1위, 정밀한 정책/성능 |
| Cloudflare WAF | Cloudflare | 클라우드 기반, 빠른 배포, CDN 기능 포함 |
| Akamai Kona Site Defender | Akamai | 글로벌 트래픽 대상 웹보안, DDoS 대응 포함 |
| Penta WAF / Somansa WAF | 국내 제조사 | 공공기관 다수 사용, 한글 UI, 인증서 적용 쉬움 |
| ModSecurity (오픈소스) | Trustwave | Apache/Nginx 연동, 소규모/연구용에 적합 |
'Security' 카테고리의 다른 글
| IPSec VPN 와 SSL VPN 차이점 (2) | 2025.05.22 |
|---|