Security

WAF / IPS

준레논 2026. 7. 16. 16:33

WAF (Web Application Firewall)

웹 애플리케이션 계층(L7)을 보는 방화벽입니다.

  • 비유하자면 "건물 입구의 짐 검사대" — 일반 방화벽이 "이 사람이 건물에 들어와도 되는 사람인가"(IP/포트 단위)를 본다면, WAF는 "이 사람 가방 안에 위험한 물건(악성 요청)이 있는가"를 들여다봅니다.
  • SQL Injection, XSS(크로스사이트 스크립팅), CSRF 같은 웹 애플리케이션 취약점을 노린 공격 패턴을 HTTP 요청 내용 자체에서 탐지·차단합니다.
  • 일반 방화벽/네트워크 장비로는 못 막는 영역(정상 포트로 들어오지만 내용이 악성인 요청)을 커버하는 게 핵심 역할입니다.
  • AWS WAF, Cloudflare WAF 등이 대표적이며, 룰셋(Managed Rules)을 붙였다 뗐다 하는 방식으로 운영합니다.

IPS (Intrusion Prevention System)

 

네트워크 트래픽을 실시간으로 감시하다가 공격 패턴을 발견하면 자동으로 차단하는 시스템입니다.

  • 비유하자면 "순찰하다가 수상한 사람을 즉시 제지하는 경비원" — 탐지만 하고 신고하는 게 아니라 그 자리에서 바로 막습니다.
  • 비슷한 개념으로 IDS(Intrusion Detection System)가 있는데, 차이가 핵심입니다:
    • IDS: 탐지 + 경고만 (사후 분석용, 트래픽 흐름을 막지는 않음)
    • IPS: 탐지 + 실시간 차단 (인라인으로 트래픽 경로에 직접 위치)
  • 시그니처 기반(알려진 공격 패턴 매칭) + 이상행위 기반(비정상 트래픽 탐지) 방식을 함께 씁니다.
  • WAF와 헷갈리기 쉬운데, WAF는 웹(L7) 애플리케이션 공격에 특화된 반면, IPS는 네트워크 전 계층(스캐닝, 익스플로잇, 프로토콜 이상 등)을 더 폭넓게 봅니다.

'Security' 카테고리의 다른 글

[Security] 패리티 / 카나리  (0) 2026.07.13
[Security] DR이란?  (0) 2026.07.10
[Security] FTP와 SFTP  (0) 2025.05.05