for119@gmail.com,
trn114@nate.com
(대용량 파일)
|
ADMIN | 2021-06-16 00:17:23 |
원문
방화벽 정책을 시각화 하는 작업이 복잡하고 어려운 까닭은, 방화벽의 출발지IP, 목적지IP, 포트, 프로토콜 타입 등의 표현해야 하는 인자 값 각각의 경우의 수가 많고 다양하기 때문이다. IP를 표현할 수 있는 경우의 수는 총 256**256**256*256개로, 약 43억개이고, 출발지, 목적지, 포트, 프로토콜 등의 인자값의 경우의 수가 곱해지면 총 경우의 수는 인자값의 경우의 수 의 배수 만큼 증가한다. 방화벽 정책을 구성하는 인자를 고려하여 큰 경우의 수를 가진 정책을 표현 시, 정책의 개수가 증가할 수록 표현에 대한 복잡도가 존재하고 표현의 한계가 존재한다. 복잡도 표현의 문제를 해결하기 위해, 제안하는 시각화 시스템은 출발지 IP를 옥텟 단위로 나누어 A. B. C. D 영역으로 구분하고 각 계층별로 단순화하여 시각화하는 시도를 하였다. 출발지IP를 기반으로 A, B, C 계층의 특정 IP를 선택하여 표현의 영역을 좁히면 선택된 IP가 가진 정책만의 세부 사항을 확인할 수 있으므로, 사용자의 선택에 의해 표현의 범위를 구분하여 확인 할 수 있도록 하였다. 아래 그림은 정책에 존재하는 모든 출발지IP에서 A 옥텟, B 옥텟, C 옥텟 선택 시 표현되는 계층 별 존재하는 정책의 유무를 그리드 형태로 구성하여, 대역 별 정책 존재 여부를 확인할 수 있도록 한 것을 표현한 것이다. X축은 출발지 주소, Y축은IP 옥텟 기반의 계층 별 선택된 출발지 주소를 기반으로 정책의 존재 여부를 확인 가능하다.
|
번역본
The reason that firewall policy visualization task is complicated and difficult is that there is a large number and wide variety of factors to be expressed, such as the source IP address, destination IP address, ports, and protocol types of the firewalls. The number of cases where the IP address can be expressed is 256** 256**256*256, for a total of about 4.3 billion. If the number of factors such as source, destination, port, and protocol is multiplied, then the total number of cases increases in proportion to the multiple of the factor value. When expressing a firewall policy with a large number of cases in consideration of factors making up the policy, it becomes increasingly complex as the number of policies increases, and there exist limitations of expression. In order to address the issue of complexity of expression in this study, the source IP address was divided into octets and further classified into domains A, B, C, and D to be simplified by layer and to be visualized on the proposed visualization system. By narrowing down the scope of expression by selecting specific IP addresses in the A, B, and C layers based on the source IP address, it is possible to check the details of the policies specific to the selected IP addresses, and thus the user can select the scope of expression and check the information. The following figure shows the presence or absence of policies in the form of a grid for each layer that is expressed when Octet A, Octet B, or Octet C is selected from all the source IP addresses existing in the policy as a way to check the presence of a policy for each band. The x-axis represents the source address and the y-axis the destination address, and it is possible to check whether a policy exists based on the source address selected for each layer according to the octet of the IP address.
|