KR101286978B1 - Appratus for Connection Multitude Network using Virtualization and Method thereof - Google Patents
Appratus for Connection Multitude Network using Virtualization and Method thereofDownload PDFInfo
- Publication number
- KR101286978B1 KR101286978B1KR1020110096275AKR20110096275AKR101286978B1KR 101286978 B1KR101286978 B1KR 101286978B1KR 1020110096275 AKR1020110096275 AKR 1020110096275AKR 20110096275 AKR20110096275 AKR 20110096275AKR 101286978 B1KR101286978 B1KR 101286978B1
- Authority
- KR
- South Korea
- Prior art keywords
- communication network
- virtual machine
- network
- data
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45504—Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/26—Route discovery packet
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/70—Routing based on monitoring results
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Translated fromKoreanDescription
Translated fromKorean본 발명은 가상화를 이용한 다중망 연계장치 및 방법에 관한 것으로, 더욱 상세하게는 외부망과 내부망 사이가 완전히 분리된 상태에서 정책에 허용된 데이터만 가상의 통신채널을 통해 전송되도록 하는 가상화를 이용한 다중망 연계장치 및 방법에 관한 것이다.The present invention relates to a multi-network interconnection apparatus and method using virtualization, and more particularly, using virtualization such that only data allowed by a policy is transmitted through a virtual communication channel in a completely separated state between an external network and an internal network. It relates to a multi-network linkage device and method.
오늘날 거의 모든 업무는 네트워크를 바탕으로 이루어지며, 네트워크가 연결되었을 때 필연적으로 의도하지 않은 형태로 데이터가 유출되거나 업무 서버가 악의적인 의도로 인해 마비되는 경우가 발생할 수 있다.Today, almost all work is network-based, and when a network is connected, it can inevitably lead to unintended data leakage or paralysis of business servers due to malicious intentions.
네트워크를 통한 외부로부터의 악의적 침입을 근본적으로 차단할 수 있는 강력한 방법으로 기업이나 공공기관 등에서는 망 분리를 통해 외부망을 근본적으로 차단함으로써 내부망에 위치한 주요 데이터들에 대한 보안을 유지하고 있다.As a powerful way to fundamentally block malicious intrusion from the outside through the network, companies and public organizations maintain the security of key data located in the internal network by fundamentally blocking the external network through network separation.
종래의 망 분리 장치는 도 1에 도시한 바와 같이, 외부망(10)과 내부망(50) 사이에 스토리지(30)를 구비하고, 스토리지(30)와 외부망(10) 사이 및 스토리지(30)와 내부망(40) 사이에 각각 제1연계서버(20) 및 제2연계서버(40)를 구비한다.As shown in FIG. 1, a conventional network separation device includes a
제1연계서버(20) 및 제2연계서버(40)에는 미리 설정된 정책이 저장되며, 외부망(10) 또는 외부망(50)으로부터 전송된 데이터의 허용 여부를 결정한다.The
스토리지(30)의 내부는 외부망 영역(미도시)과 내부망 영역(미도시)으로 나누어져 있고, 외부망(10)에서 전송된 데이터를 내부망 영역으로 복사하거나 또는 내부망(50)에서 전송된 데이터를 외부망 영역으로 복사하는 방식으로 데이터를 전송시키게 된다.The interior of the
따라서, 외부망(10)을 통해 제1연계서버(20)로 전송된 데이터가 정책에 따라 허용된 데이터이면 스토리지(30)의 외부망 영역으로 전송되고, 스토리지(30)에서는 외부망 영역에 전송된 데이터를 내부망 영역으로 복사하여 내부망(50)으로 데이터가 전송되게 된다.Therefore, if the data transmitted to the
반대로, 내부망(50)을 통해 제2연계서버(40)로 전송된 데이터가 정책에 따라 허용된 데이터이면 스토리지(30)의 내부망 영역으로 전송되고, 스토리지(30)에서는 내부망 영역에 전송된 데이터를 외부망 영역으로 복사하여 외부망(10)으로 데이터가 전송되게 된다.On the contrary, if the data transmitted to the second associated
그러나, 상기 제1연계서버(20) 또는 제2연계서버(40)에 보안 위협이 발생하여 데이터가 오염되면, 상기 외부망(10)과 내부망(50) 사이에서는 아무런 제한 없이 오염된 데이터가 전송되는 문제점이 있었다.However, if a data threat is generated due to a security threat occurring in the
아울러, 종래의 망 분리 장치는 연계서버 2개와 스토리지 1개가 구비되어 총 3개의 장비가 필요하므로 설치비용이 많이 드는 문제점이 있었다.In addition, the conventional network separation device is provided with two associated servers and one storage, so a total of three pieces of equipment is required, resulting in a high installation cost.
본 발명은 전술한 문제점을 해결하기 위해 안출된 것으로서, 외부망과 내부망 사이에 구비된 하나의 장비에 서로 연결이 분리된 상태로 운영되는 가상머신을 구현하고, 외부망과 내부망 사이에서 데이터가 전송되려할 때 정책에 허용된 데이터에 대해서만 가상의 통신채널을 통해 전송되도록 하여, 허용되지 않은 데이터는 외부망과 내부망 사이에서의 전송을 차단시킴으로써 악의적 침입 가능성을 최소화할 수 있으며, 하나의 장비만을 이용하여 외부망과 내부망 사이를 분리시키므로 설치비용이 적게 드는 가상화를 이용한 다중망 연계장치 및 방법을 제공하는 것이다.The present invention has been made to solve the above-mentioned problems, implements a virtual machine operating in a state in which the connection is separated from each other in one device provided between the external network and the internal network, data between the external network and the internal network When data is to be transmitted, only the data allowed by the policy is transmitted through the virtual communication channel, so that unauthorized data can be blocked between the external network and the internal network, thereby minimizing the possibility of malicious intrusion. By using only the equipment to separate between the external network and the internal network to provide a multi-network linkage device and method using virtualization that is low installation cost.
전술한 목적을 달성하기 위한 본 발명의 가상화를 이용한 다중망 연계장치 및 방법은, 출발지통신망 및 목적지통신망 사이에 서로 연결이 단절된 상태로 구비된 복수의 가상머신을 포함하며; 출발지통신망으로부터 수신된 데이터가 미리 설정된 정책에 허용된 것이면, 허용된 데이터에 대해서만 통신이 이루어질 수 있는 가상통신채널이 출발지통신망에 연결된 가상머신과 목적지통신망에 연결된 가상머신 사이에 형성되도록 하여; 출발지통신망에서 목적지통신망으로 데이터가 전송되도록 하는 것을 특징으로 한 가상화를 이용한 다중망 연계장치를 제공한다.Multi-network linkage apparatus and method using the virtualization of the present invention for achieving the above object comprises a plurality of virtual machines provided with a disconnected state between the source communication network and the destination communication network; If the data received from the source communication network is allowed in the preset policy, a virtual communication channel capable of communicating only with the allowed data is formed between the virtual machine connected to the source communication network and the virtual machine connected to the destination communication network; Provided is a multi-network interconnection apparatus using virtualization, characterized in that data is transmitted from a source communication network to a destination communication network.
상기 가상머신에는, 출발지통신망으로부터 수신된 데이터가 미리 설정된 정책에 허용된 데이터이면 상기 출발지통신망과 연결 수립 후 목적지통신망을 향하여 데이터 전송을 요청하며, 허용되지 않은 데이터이면 차단시키는 제1커넥터서비스부와; 가상통신채널이 연결되며 상기 제1커넥터서비스부로부터 데이터 전송을 요청받으면 가상통신채널을 통해 목적지통신망을 향하여 데이터를 전송시키는 제1가상머신커넥터부로 이루어진 제1가상머신; 가상통신채널에 연결되며 상기 제1가상머신커넥터부로부터 전송된 데이터를 입력받아 목적지통신망을 향하여 전송시키는 제3가상머신커넥터부와; 상기 제3가상머신커넥터로부터 데이터 전송을 요청받으면 목적지통신망과 연결 수립 후 목적지통신망으로 데이터를 전송시키는 제2커넥터서비스부로 이루어진 제3가상머신; 및 정책이 설정되어 저장된 매니저서비스부와; 가상통신채널에 연결되며 가상통신채널을 통해 상기 매니저서비스부에 저장된 정책을 상기 제1가상머신으로 전송시키는 제2가상머신커넥터부로 이루어진 제2가상머신을 포함하여 구성될 수 있다.The virtual machine includes a first connector service unit for requesting data transmission to the destination communication network after establishing a connection with the source communication network if data received from the source communication network is allowed in a predetermined policy, and blocking data if not allowed. ; A first virtual machine comprising a first virtual machine connector connected to a virtual communication channel and transmitting data to the destination communication network through the virtual communication channel when a data transmission request is received from the first connector service unit; A third virtual machine connector unit connected to a virtual communication channel and receiving data transmitted from the first virtual machine connector unit and transmitting the data to a destination communication network; A third virtual machine including a second connector service unit configured to transmit data to a destination communication network after establishing a connection with a destination communication network when a data transmission request is received from the third virtual machine connector; And a manager service unit in which a policy is set and stored; The second virtual machine may include a second virtual machine connected to a virtual communication channel and configured to transmit a policy stored in the manager service unit to the first virtual machine through a virtual communication channel.
상기 제1가상머신에는 상기 제2가상머신으로부터 전송받은 정책이 저장된 제1보안정책부가 구비될 수 있다.The first virtual machine may be provided with a first security policy unit storing a policy received from the second virtual machine.
상기 제1커넥터서비스부는 정책에 허용된 데이터를 암호화한 후에 저장시킬 수 있다.The first connector service unit may store data after encrypting data allowed in the policy.
상기 가상머신을 구동시키는 가상화구동부가 포함되며, 가상머신과 가상머신 사이에 형성된 가상통신채널은 상기 가상화구동부를 거쳐 형성될 수 있다.A virtualization driving unit for driving the virtual machine is included, and a virtual communication channel formed between the virtual machine and the virtual machine may be formed via the virtualization driving unit.
상기 가상머신과 가상화구동부 사이에는 상기 가상머신을 선택적으로 각각 연결시키는 가상스위치가 구비될 수 있다.A virtual switch may be provided between the virtual machine and the virtual driver to selectively connect the virtual machine.
그리고, 전술한 목적을 달성하기 위한 본 발명의 가상화를 이용한 다중망 연계장치 및 방법은, 출발지통신망으로부터 데이터를 수신받아 정책에 허용되는지 비교하는 비교단계; 정책에 허용된 데이터이면, 서버 프록시를 생성하여 출발지통신망과 연결을 수립 후 가상통신채널을 형성하여 목적지통신망을 향해 연결을 요청하는 요청단계; 및 목적지통신망을 향해 연결이 요청되면 클라이언트 프록시를 생성하여 목적지통신망과 연결을 수립하는 연결단계; 를 포함하여 구성된 것을 특징으로 한 가상화를 이용한 다중망 연계방법을 제공한다.In addition, the multi-network linkage apparatus and method using the virtualization of the present invention for achieving the above object, a comparison step of receiving data from the source communication network to compare whether the policy is allowed; If the data is allowed in the policy, generating a server proxy and establishing a connection with the source communication network and forming a virtual communication channel to request a connection toward the destination communication network; And establishing a connection with the destination communication network by generating a client proxy when a connection request is made toward the destination communication network. It provides a multi-network connection method using virtualization, characterized in that configured to include.
상기 비교단계에서는 출발지통신망으로부터 수신받은 데이터가 정책에 허용된 데이터이면 이를 암호화한 후에 저장시키는 단계를 포함할 수 있다.The comparing may include encrypting and storing the data received from the source communication network if the data is allowed in the policy.
상기 비교단계에서는 출발지통신망으로부터 수신받은 데이터가 정책에 허용되지 않으면 차단시키는 단계를 포함할 수 있다.The comparing step may include blocking the data received from the source communication network if the policy is not allowed.
이상에서 설명한 바와 같은 본 발명의 가상화를 이용한 다중망 연계장치 및 방법에 따르면, 외부망과 내부망 사이에 구비된 하나의 장비에 서로 연결이 분리된 상태로 운영되는 가상머신을 구현하고, 외부망과 내부망 사이에서 데이터가 전송되려할 때 정책에 허용된 데이터에 대해서만 가상의 통신채널을 통해 전송되도록 하여, 허용되지 않은 데이터는 외부망과 내부망 사이에서의 전송을 차단시킴으로써 악의적 침입 가능성을 최소화할 수 있으며, 하나의 장비만을 이용하여 외부망과 내부망 사이를 분리시키므로 설치비용이 적게 드는 효과가 있다.According to the multi-network linkage apparatus and method using the virtualization of the present invention as described above, to implement a virtual machine operating in a state in which the connection is separated from each other in one device provided between the external network and the internal network, the external network When data is to be transferred between the network and the internal network, only the data allowed by the policy is transmitted through the virtual communication channel, thereby minimizing the possibility of malicious intrusion by blocking the transmission between the external network and the internal network. It is possible to separate the external network from the internal network by using only one device, thereby reducing the installation cost.
도 1은 종래의 망 분리장치를 설명하기 위하여 도시한 예시도이며,
도 2는 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계장치를 설명하기 위하여 도시한 예시도이며,
도 3은 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계장치를 도시한 블록도이며,
도 4는 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계장치를 설명하기 위하여 도시한 상세 블록도이며,
도 5는 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계방법을 도시한 플로우차트이다.1 is an exemplary view showing to explain a conventional network separating apparatus,
2 is an exemplary view illustrating a multi-network linkage apparatus using virtualization according to an embodiment of the present invention.
3 is a block diagram illustrating a multi-network linkage apparatus using virtualization according to an embodiment of the present invention.
4 is a detailed block diagram illustrating a multi-network linkage apparatus using virtualization according to an embodiment of the present invention.
5 is a flowchart illustrating a multi-network linkage method using virtualization according to an embodiment of the present invention.
이하, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 상세히 설명하기 위하여, 본 발명의 바람직한 실시예를 첨부한 도면을 참조하여 상세하게 설명한다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention.
도 2는 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계장치를 설명하기 위하여 도시한 예시도이며, 도 3은 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계장치를 도시한 블록도이며, 도 4는 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계장치를 설명하기 위하여 도시한 상세 블록도이다.2 is an exemplary view showing a multi-network linkage apparatus using virtualization according to an embodiment of the present invention, Figure 3 is a block diagram showing a multi-network linkage apparatus using virtualization according to an embodiment of the present invention 4 is a detailed block diagram illustrating a multi-network interconnection apparatus using virtualization according to an embodiment of the present invention.
본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계장치는, 도 2에 도시한 바와 같이, 외부망(500)과 내부망(700) 사이에 하나의 장비로 구비되는 것으로, 내부에 제1가상머신(130), 제2가상머신(150) 및 제3가상머신(170)으로 이루어진 복수의 가상머신(Virtual Machine)이 구현된다.Multi-network linkage apparatus using virtualization according to an embodiment of the present invention, as shown in Figure 2, is provided with one equipment between the
상기 다중망 연계장치(100)는 외부적으로 외부망접속부(101)와, 콘솔접속부(103)와, 내부망접속부(105)와, 디스플레이(107)가 구비된다.The
외부망접속부(101)로 외부망(500)이 연결되고, 내부망접속부(105)로 내부망(700)이 연결되고, 콘솔접속부(103)로 제어콘솔(300)이 접속된다.The
상기 외부망접속부(101), 내부망접속부(105) 및 콘솔접속부(103)에는 네트워크 인터페이스 카드(NIC; 미도시)가 각각 구비된다.The external
상기 디스플레이(107)로는 상기 다중망 연계장치(100)의 각종 상태정보가 표시된다.
The
상기 다중망 연계장치(100)는 도 3 및 도 4에 도시한 바와 같이, 내부적으로 상기 제1가상머신(130), 제2가상머신(150), 제3가상머신(170) 및 가상화구동부(110)가 구현된다.As shown in FIGS. 3 and 4, the
상기 가상화구동부(110)는 상기 제1가상머신(130), 제2가상머신(150), 제3가상머신(170)을 구동시키는 기능을 수행하며, 가상화 하이퍼바이저(Hypervisor) 방식으로 구현된다.The
상기 제1가상머신(130), 제2가상머신(150), 제3가상머신(170)은 상기 가상화구동부(110)와의 사이에서 각각 제1가상스위치(113), 제2가상스위치(115) 및 제3가상스위치(117)로 분리되어 존재하게 된다.The first
상기 제1가상머신(130)과 제1가상스위치(113) 사이, 제2가상머신(150)과 제2가상스위치(115) 사이 및 제3가상머신(170)과 제3가상스위치(117) 사이에는 가상의 네트워크 인터페이스 카드(vNIC)가 각각 구현된다.Between the first
상기 제1가상머신(130)은 vNIC와 제1가상스위치(113)를 통해 외부망(500)으로 연결되고, 상기 제2가상머신(150)은 vNIC와 제2가상스위치(115)를 통해 제어콘솔(300)로 연결되고, 상기 제3가상머신(170)은 vNIC와 제3가상스위치(117)를 통해 내부망(700)으로 연결된다.The first
따라서, 평상시에 가상머신과 다른 가상머신으로의 네트워크 연결은 상기 가상스위치(113, 115, 117)에 의해 연결이 단절된 상태가 되어 데이터 전송이 불가능한 상태가 된다.Therefore, the network connection between the virtual machine and the other virtual machine is normally disconnected by the
이렇게 네트워크가 분리된 상태에서 제1가상머신(130), 제2가상머신(150), 제3가상머신(170) 간의 데이터 전송을 위해 가상통신채널(Virtual Machine Communication Interface Channel; VMCI Channel)을 이용한다.The virtual machine communication interface (VMCI channel) is used for data transmission between the first
상기 가상통신채널은 제1가상머신(130), 제2가상머신(150) 및 제3가상머신(170)과 가상화구동부(110) 간의 통신을 위한 인터페이스로, 각각의 가상머신은 보안 운영체계(Secure OS) 기술을 활용하여, 허용되지 않은 데이터는 가상통신채널으로 전송되지 못하도록 제어한다.The virtual communication channel is an interface for communication between the first
따라서, 제1가상머신(130), 제2가상머신(150) 또는 제3가상머신(170)이 해킹 등을 통해 외부 침입이 발생하더라도 가상스위치에 의해 네트워크가 단절되어 있으므로, 외부망(500)과 내부망(700) 사이에 데이터가 전송되지 않게 된다.Therefore, even if an external intrusion occurs through the hacking of the first
그리고, 허용되지 않은 데이터는 가상통신채널을 사용할 수 없으므로, 가상통신채널을 통해서도 외부망(500)과 내부망(700) 사이에 데이터가 전송되지 않게 된다.In addition, since the disallowed data cannot use the virtual communication channel, data is not transmitted between the
상기 제1가상머신(130) 및 제3가상머신(170)은 각각 외부망(500) 및 내부망(700)과 연결되어 네트워크에 대한 연결과 통제를 하게 되며, 제2가상머신(150)은 각종 정책의 수립 및 상기 제1가상머신(130)과 제3가상머신(170)의 접근제어, 가상머신 간의 통신을 제어하게 된다.
The first
제1가상머신(130)은 도 4에 도시한 바와 같이, 제1커넥터서비스부(131)와 제1보안정책부(135)와 제1가상머신커넥터부(137)로 이루어진다.As shown in FIG. 4, the first
제1커넥터서비스부(131)는 외부망(500)과의 연결을 위한 서비스 모듈로서, 외부망(500)으로부터 전송되는 데이터의 수집 및 미리 설정된 보안정책에 따라 데이터를 통제하는 기능을 수행한다.The first
외부망(500)으로부터 수신된 데이터가 미리 설정된 보안정책에 허용된 데이터이면 이를 암호화하고, 암호화된 데이터를 저장한다. 그리고, 서버 프록시(Server Proxy)를 생성하여 외부망(500)과 연결 수립 후 내부망(700)을 향하여 데이터 전송을 요청한다.If the data received from the
미리 설정된 보안정책에 허용되지 않은 데이터이면 차단시키는 기능을 한다.Blocks data that is not allowed in the preset security policy.
예를 들어, 출발지 IP 10.1.4.20에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 192.168.10.245:80으로 가는 데이터는 허용하고, 출발지 IP 10.1.4.21에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 192.168.10.245:80으로 가는 데이터는 차단시킨다는 내용을 보안정책으로 미리 설정하였다.For example, data from the source IP 10.1.4.20 to the
그리고, 출발지 IP 10.1.4.20에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 168.10.245:80의 checkid.html은 미허용이라는 내용을 보안정책으로 미리 설정하였다.The checkid.html of the destination IP 168.10.245: 80 among the data coming into the
이어서, 외부망(500)을 통해 출발지 IP 10.1.4.20에서 목적지 IP 192.168.10.245:80으로 가는 데이터가 유입되면, 이는 보안정책에 허용된 데이터이므로 목적지통신망인 내부망(700)으로 전달 요청을 하고, 출발지 IP 10.1.4.21에서 목적지 IP 192.168.10.245:80으로 가는 데이터는 보안정책에 허용되지 않은 데이터이므로 차단시킨다.Subsequently, when data from the source IP 10.1.4.20 to the destination IP 192.168.10.245:80 flows in through the
아울러, 출발지 IP 10.1.4.20에서 목적지 IP 192.168.10.245:80으로 가는 데이터 중 checked.html를 포함하면, 보안정책에서 허용되지 않은 데이터이므로 이를 차단시킨다.In addition, if checked.html is included among the data from the source IP 10.1.4.20 to the destination IP 192.168.10.245:80, it is blocked because it is not allowed in the security policy.
제1보안정책부(135)는 제2가상머신(150)으로부터 전송된 미리 설정된 보안정책이 저장된다.The first
예를 들어, 출발지 IP 10.1.4.20에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 192.168.10.245:80으로 가는 데이터는 허용하고, 출발지 IP 10.1.4.21에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 192.168.10.245:80으로 가는 데이터는 차단시킨다는 내용이 포함될 수 있다.For example, data from the source IP 10.1.4.20 to the
그리고, 출발지 IP 10.1.4.20에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 168.10.245:80의 checkid.html은 미허용이라는 내용이 포함될 수 있다.The checkid.html of the destination IP 168.10.245: 80 among the data coming into the
제1가상머신커넥터부(137)는 가상통신채널에 연결되며, 상기 제1커넥터서비스부(131)로부터 데이터 전송을 요청받으면 가상통신채널을 통해 제1커넥터서비스부(131)에 저장된 암호화된 데이터를 내부망(700)을 향하여 데이터를 전송시키는 기능을 한다.The first
그리고, 제1가상머신커텍터부(137)는 제2가상머신(150)으로부터 전달되는 보안정책을 제1보안정책부(135)로 전송하거나, 이벤트 및 로그 정보를 제2가상머신(150)으로 전송한다.
In addition, the first
제3가상머신(170)은 제2커넥터서비스부(171)와 제2보안정책부(173)와 제3가상머신커넥터부(177)로 이루어진다.The third
제3가상머신커넥터부(177)는 가상통신채널에 연결되며 상기 제1가상머신커넥터부(137)로부터 전송된 암호화된 데이터를 입력받아 제2커넥터서비스부(171)로 전송시킨다.The third
제2커넥터서비스부(171)는 상기 제3가상머신커넥터(177)로부터 데이터 전송을 요청받으면 클라이언트 프록시(Client Proxy)를 생성하여 내부망(700)과 연결을 수립 후 암호화된 데이터를 복호화하여 내부망(700)으로 데이터를 전송시키는 기능을 한다.When the second
이렇게 데이터가 외부망(500)에서 내부망(700)을 향하여 전송되면, 외부망(500)이 출발지통신망이 되는 것이고, 내부망(700)이 목적지통신망이 된다.When data is transmitted from the
반대로, 데이터가 내부망(700)에서 외부망(500)을 향하여 전송되면, 내부망(700)이 출발지통신망이 되는 것이고, 외부망(500)이 목적지통신망이 된다.On the contrary, when data is transmitted from the
데이터가 내부망(700)에서 외부망(500)을 향하여 전송되면, 제2커넥터서비스부(171)는 내부망(700)과의 연결을 위한 서비스 모듈이 되고, 내부망(700)으로부터 전송되는 데이터의 수집 및 미리 설정된 보안정책에 따라 데이터를 통제하는 기능을 수행한다.When data is transmitted from the
내부망(700)으로부터 전송된 데이터가 미리 설정된 보안정책에 허용된 데이터이면 이를 암호화하고, 암호화된 데이터를 저장한다. 그리고, 서버 프록시(Server Proxy)를 생성하여 내부망(700)과 연결 수립 후 외부망(500)을 향하여 데이터 전송을 요청한다.If the data transmitted from the
미리 설정된 보안정책에 허용되지 않은 데이터이면 차단시키는 기능을 한다.Blocks data that is not allowed in the preset security policy.
제2보안정책부(173)는 제2가상머신(150)으로부터 전송된 미리 설정된 보안정책이 저장된다.The second
제3가상머신커넥터부(177)는 가상통신채널에 연결되며, 상기 제2커넥터서비스부(171)로부터 데이터 전송을 요청받으면 가상통신채널을 통해 제2커넥터서비스부(171)에 저장된 암호화된 데이터를 외부망(500)을 향하여 데이터를 전송시키는 기능을 한다.The third
그리고, 제3가상머신커텍터부(177)는 제2가상머신(150)으로부터 전달되는 보안정책을 제2보안정책부(173)에 전송하거나, 이벤트 및 로그 정보를 제2가상머신(150)으로 전송한다.In addition, the third virtual
제1가상머신커넥터부(137)는 가상통신채널에 연결되며 상기 제3가상머신커넥터부(177)로부터 전송된 암호화된 데이터를 입력받아 제1커넥터서비스부(131)로 전송시킨다.The first
제1커넥터서비스부(131)는 상기 제1가상머신커넥터(137)로부터 데이터 전송을 요청받으면 클라이언트 프록시(Client Proxy)를 생성하여 외부망(500)과 연결을 수립 후 암호화된 데이터를 복호화하여 외부망(500)으로 데이터를 전송시키는 기능을 한다.When the first
제1가상머신(130)에서의 제1커넥터서비스부(131)와 제1보안정책부(135)와 제1가상머신커넥터부(137)와, 제3가상머신(170)에서의 제2커넥터서비스부(171)와 제2보안정책부(173)와 제3가상머신커넥터부(177)는 방향만 반대일 뿐 각각 동일한 기능을 수행하는 것이다.
The first
제2가상머신(150)은 매니저서비스부(153)와 가상머신정책부(1551)와 네트워크정책부(1553)와 제2가상머신커넥터부(157)로 이루어진다.The second
매니저서비스부(153)에는 미리 설정된 정책이 저장된다.The
이러한 정책에는 프로토콜(TCP 또는 UDP)에 따른 정책, 출발지 IP, 목적지 IP 및 포트(Port)에 따라 허용/차단 여부를 결정하는 정책, 암호화 여부, 세션타임아웃(일정시간 동안 전송되는 데이터가 없을 경우 세션 종료)에 관한 정보, 차단 데이터에 관한 정보들이 포함될 수 있다.These policies include policies based on protocol (TCP or UDP), policies to determine whether to allow / block based on source IP, destination IP and port, encryption, and session timeout (if there is no data transmitted for a certain period of time). Information about the session termination) and information about blocking data.
예를 들어, 출발지 IP 10.1.4.20에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 192.168.10.245:80으로 가는 데이터는 허용하고, 출발지 IP 10.1.4.21에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 192.168.10.245:80으로 가는 데이터는 차단시킨다는 내용이 포함될 수 있다.For example, data from the source IP 10.1.4.20 to the
그리고, 출발지 IP 10.1.4.20에서 외부망(500)으로 들어오는 데이터 중 목적지 IP 168.10.245:80의 checkid.html은 미허용이라는 내용이 포함될 수 있다.The checkid.html of the destination IP 168.10.245: 80 among the data coming into the
그리고, 제1가상머신(130)과 제3가상머신(170)의 관리, 네트워크 연결 정보의 설정, 제1가상머신(130) 및 제3가상머신(170) 간 연결정보의 설정, 이벤트 감시 및 로그 조회, 제1가상머신(130) 및 제3가상머신(170)의 접근 권한 관리 등을 수행한다.And, the management of the first
상기 다중망 연계장치(100)는 부팅이 되면, 제2가상머신(150)의 매니저서비스부(153)에 미리 설정되어 저장된 상술한 정책을 제1가상머신(130)의 제1보안정책부(135) 또는 제3가상머신(170)의 제2보안정책부(173)로 전송시킨다.When the
콘솔접속부(103)를 통해 노트북, PDA 등의 제어콘솔(300)이 연결되며, 상기 제어콘솔(300)에서 수행되는 프로그램인 사용자 서비스부(미도시)를 통해 상기 매니저서비스부(153)로 각종 정책 등이 설정되어 저장된다.The
따라서, 상기 사용자 서비스부를 통해 가상머신의 관리, 가상머신 간 네트워크 연결정보의 설정, 이벤트 감시 및 로그조회, 가상머신의 접근 권한 관리 등을 수행하며, 보안정책을 미리 설정하여 매니저서비스부(153)에 저장시킬 수 있다.Accordingly, the user service unit manages a virtual machine, sets network connection information between virtual machines, monitors and logs an event, manages access rights of the virtual machine, and sets a security policy in advance to the
상기 가상머신정책부(1551)에는 가상통신채널의 생성 갯수에 대한 설정정보가 저장되고, 네트워크정책부(1553)에는 가상머신 간 네트워크 연결정보의 설정, 가상스위치 설정 등의 정보가 저장된다.The virtual
제2가상머신커넥터부(157)는 가상통신채널에 연결되며, 가상통신채널을 통해 상기 매니저서비스부(153)에 저장된 보안정책을 제1가상머신(130)의 제1보안정책부(135)와 제3가상머신(170)의 제2보안정책부(173)으로 전송시키거나, 또는 제1가상머신커넥터부(137) 및 제3가상머신커넥터부(177)로부터의 이벤트 정보를 제공받아 상기 매니저서비스부(153)로 전송시킨다.
The second
도 5는 본 발명의 일실시예에 따른 가상화를 이용한 다중망 연계방법을 도시한 플로우차트이다.5 is a flowchart illustrating a multi-network linkage method using virtualization according to an embodiment of the present invention.
상술한 바와 같이 본 발명의 일실시예에 따른 다중망 연계장치가 이루어지면, 먼저 제어콘솔(300)을 상기 콘솔접속부(103)에 접속하여 상기 제2가상머신(153)으로 설정된 각종 정책을 저장시킨다.As described above, when the multi-network linkage device according to an embodiment of the present invention is made, first, the
이어서, 제2가상머신(153)에 저장된 보안정책은 상기 제1가상머신(130)의 제1보안정책부(135)와, 제3가상머신(170)의 제2보안정책부(173)로 각각 전송되어 저장된다.Subsequently, the security policy stored in the second
이어서, 외부망(500)으로부터 제1가상머신(130)의 제1커넥터서비스부(131)로 데이터가 전송되면(단계 S110), 제1커넥터서비스부(131)에서는 전송된 데이터가 제1보안정책부(135)에 저장된 보안정책에 따른 데이터인지 비교한다(단계 S120).Subsequently, when data is transmitted from the
이어서, 정책에 허용된 데이터이면(단계 S130) 이를 암호화한 후에 저장시킨다.Then, if the data is allowed in the policy (step S130), it is stored after encrypting it.
정책에 허용되지 않은 데이터이면 데이터를 차단시킨다(단계 S135).If the data is not allowed in the policy, the data is blocked (step S135).
이어서, 서버 프록시를 생성하여(단계 S140), 출발지통신망과 연결을 수립 후(단계 S150), 가상통신채널을 형성하여 목적지통신망인 내부망(700)을 향해 연결을 요청한다(단계 S160).Subsequently, after generating a server proxy (step S140), establishing a connection with the source communication network (step S150), a virtual communication channel is formed to request a connection toward the
이어서, 목적지통신망인 내부망(700)을 향해 연결이 요청되면 클라이언트 프록시를 생성하여(단계 S170), 내부망(700)과 연결을 수립한다(단계 S180).Subsequently, when a connection request is made toward the
이어서, 외부망(500)에서 내부망(700)으로의 데이터 전송이 이루어진다(단계 S190)Subsequently, data transmission is performed from the
이렇게 데이터가 외부망(500)에서 내부망(700)을 향하여 전송되면, 외부망(500)이 출발지통신망이 되는 것이고, 내부망(700)이 목적지통신망이 된다.When data is transmitted from the
반대로, 데이터가 내부망(700)에서 외부망(500)을 향하여 전송되면, 내부망(700)이 출발지통신망이 되는 것이고, 외부망(500)이 목적지통신망이 된다.On the contrary, when data is transmitted from the
이러한 경우 상술한 외부망(500)이 출발지통신망이 되고, 내부망(700)이 목적지통신망인 경우와 방향만 반대일 뿐 동작원리는 동일하게 된다.In this case, the above-described
한편, 본 발명에 따른 단계 S110 내지 단계 S190에 따른 방법을 프로그램화하여 컴퓨터가 읽을 수 있도록 시디롬, 메모리, ROM, EEPROM 등의 기록매체에 저장시킬 수도 있다.Meanwhile, the method of steps S110 to S190 according to the present invention may be programmed and stored in a recording medium such as a CD-ROM, a memory, a ROM, an EEPROM, and the like so that the computer can read the program.
이상의 설명에서는 본 발명의 바람직한 실시예를 제시하여 설명하였으나, 본 발명이 반드시 이에 한정되는 것은 아니며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경할 수 있음을 쉽게 알 수 있을 것이다.In the above description, the present invention has been described with reference to preferred embodiments, but the present invention is not necessarily limited thereto, and a person having ordinary skill in the art to which the present invention pertains does not depart from the technical spirit of the present invention. It will be readily appreciated that various substitutions, modifications and variations can be made.
130: 제1가상머신 131: 제1커넥터서비스부
137: 제1가상머신커넥터부 150: 제2가상머신
153: 매니저서비스부 157: 제2가상머신커넥터부
170: 제3가상머신 171: 제2커넥터서비스부
177: 제3가상머신커넥터부130: first virtual machine 131: first connector service
137: first virtual machine connector portion 150: second virtual machine
153: manager service unit 157: second virtual machine connector unit
170: third virtual machine 171: second connector service department
177: third virtual machine connector
Claims (10)
Translated fromKorean가상통신채널에 연결되며 상기 제1가상머신커넥터부(137)로부터 전송된 데이터를 입력받아 목적지통신망을 향하여 전송시키는 제3가상머신커넥터부(177)와, 상기 제3가상머신커넥터(177)로부터 데이터 전송을 요청받으면 목적지통신망과 연결 수립 후 목적지통신망으로 데이터를 전송시키는 제2커넥터서비스부(171)로 이루어진 제3가상머신(170); 및
정책이 설정되어 저장된 매니저서비스부(153)와, 가상통신채널에 연결되며 가상통신채널을 통해 상기 매니저서비스부(153)에 저장된 정책을 상기 제1가상머신(130)으로 전송시키는 제2가상머신커넥터부(157)로 이루어진 제2가상머신(150)
을 포함하여 구성된 것을 특징으로 한 가상화를 이용한 다중망 연계장치.The method of claim 1, wherein the plurality of virtual machines provided with the connection between the source communication network and the destination communication network disconnected from each other after the establishment of the connection with the source communication network if the data received from the source communication network is allowed in a preset policy. The first connector service unit 131, which requests data transmission to the destination communication network and blocks data that is not allowed, is connected to the virtual communication channel and the virtual communication channel is received when the data transmission is requested from the first connector service unit 131. A first virtual machine (130) comprising a first virtual machine connector (137) for transmitting data toward a destination communication network through the network;
A third virtual machine connector 177 that is connected to a virtual communication channel and receives data transmitted from the first virtual machine connector 137 and transmits the data to a destination communication network; and from the third virtual machine connector 177. A third virtual machine 170 including a second connector service unit 171 for transmitting data to the destination communication network after establishing a connection with the destination communication network when the data transmission is requested; And
A second virtual machine connected to the stored manager service unit 153 with a policy set and transmitting the policy stored in the manager service unit 153 to the first virtual machine 130 through a virtual communication channel. Second virtual machine 150 consisting of a connector portion 157
Multi-network linkage using virtualization, characterized in that configured to include.
(b) 상기 출발지통신망에 연결된 가상머신은 상기 비교단계를 거쳐 수신받은 데이터가 정책에 허용된 데이터이면, 서버 프록시를 생성하여 출발지통신망과 연결을 수립 후 가상통신채널을 형성하여 목적지통신망을 향해 연결이 요청되는 요청단계; 및
(c) 목적지통신망에 연결된 가상머신은 상기 요청단계를 거쳐 목적지통신망을 향해 연결이 요청되면 클라이언트 프록시가 생성되어 목적지통신망과 연결이 수립되는 연결단계;
를 포함하여 구성된 것을 특징으로 한 가상화를 이용한 다중망 연계방법.(a) a comparison step of comparing whether a virtual machine connected to the source communication network receives data from the source communication network and is allowed to the policy;
(b) The virtual machine connected to the source communication network, if the data received through the comparing step is the data allowed in the policy, creates a server proxy, establishes a connection with the source communication network, forms a virtual communication channel, and connects to the destination communication network. The requested step; And
(c) the virtual machine connected to the destination communication network comprises a connection step of establishing a connection with the destination communication network by generating a client proxy when a connection request is made toward the destination communication network through the request step;
Multiple network connection method using virtualization, characterized in that configured to include.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110096275AKR101286978B1 (en) | 2011-09-23 | 2011-09-23 | Appratus for Connection Multitude Network using Virtualization and Method thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020110096275AKR101286978B1 (en) | 2011-09-23 | 2011-09-23 | Appratus for Connection Multitude Network using Virtualization and Method thereof |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20130032590A KR20130032590A (en) | 2013-04-02 |
| KR101286978B1true KR101286978B1 (en) | 2013-07-16 |
Family
ID=48435344
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020110096275AActiveKR101286978B1 (en) | 2011-09-23 | 2011-09-23 | Appratus for Connection Multitude Network using Virtualization and Method thereof |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101286978B1 (en) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101448028B1 (en)* | 2013-04-30 | 2014-10-08 | (주)오픈에스앤에스 | Apparatus and method for remote access network division |
| KR102633558B1 (en)* | 2021-07-20 | 2024-02-05 | 주식회사 한국에임 | Multi-task processing system and method using civil service counter computer and digitizer |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090073895A1 (en) | 2007-09-17 | 2009-03-19 | Dennis Morgan | Method and apparatus for dynamic switching and real time security control on virtualized systems |
| US7802000B1 (en) | 2005-08-01 | 2010-09-21 | Vmware | Virtual network in server farm |
| US20100269171A1 (en) | 2009-04-20 | 2010-10-21 | Check Point Software Technologies, Ltd. | Methods for effective network-security inspection in virtualized environments |
- 2011
- 2011-09-23KRKR1020110096275Apatent/KR101286978B1/enactiveActive
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7802000B1 (en) | 2005-08-01 | 2010-09-21 | Vmware | Virtual network in server farm |
| US20090073895A1 (en) | 2007-09-17 | 2009-03-19 | Dennis Morgan | Method and apparatus for dynamic switching and real time security control on virtualized systems |
| US20100269171A1 (en) | 2009-04-20 | 2010-10-21 | Check Point Software Technologies, Ltd. | Methods for effective network-security inspection in virtualized environments |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20130032590A (en) | 2013-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10931669B2 (en) | Endpoint protection and authentication | |
| US10417428B2 (en) | Methods and systems for providing and controlling cryptographic secure communications terminal providing a remote desktop accessible in secured and unsecured environments | |
| US6529513B1 (en) | Method of using static maps in a virtual private network | |
| JP4579969B2 (en) | Method, apparatus and computer program product for sharing encryption key among embedded agents at network endpoints in a network domain | |
| US8312064B1 (en) | Method and apparatus for securing documents using a position dependent file system | |
| JP4168052B2 (en) | Management server | |
| JP2008015786A (en) | Access control system and access control server | |
| KR101290963B1 (en) | System and method for separating network based virtual environment | |
| KR101896453B1 (en) | A gateway-based access control system for improving security and reducing constraint of remote access application | |
| JP2008252456A (en) | Communication apparatus and communication method | |
| US11444958B2 (en) | Web server security | |
| KR20190009497A (en) | Apparatus for splitting networks using wireless security access point | |
| KR101286978B1 (en) | Appratus for Connection Multitude Network using Virtualization and Method thereof | |
| JP4720576B2 (en) | Network security management system, encrypted communication remote monitoring method and communication terminal. | |
| JP4675921B2 (en) | Information processing system and computer program | |
| KR20060101800A (en) | Communication service system and method for managing security of service server and communication equipment | |
| JP4775154B2 (en) | COMMUNICATION SYSTEM, TERMINAL DEVICE, PROGRAM, AND COMMUNICATION METHOD | |
| KR101448028B1 (en) | Apparatus and method for remote access network division | |
| EP4078410B1 (en) | Secure multi-domain computer with security module | |
| JP7074034B2 (en) | Information processing systems, programs and information processing methods used in virtual desktop environments, etc. | |
| JP3893055B2 (en) | Network security system and security method therefor | |
| JP4866150B2 (en) | FTP communication system, FTP communication program, FTP client device, and FTP server device | |
| KR100663757B1 (en) | Secure network system | |
| KR100640106B1 (en) | Network guard system | |
| Singaraju et al. | Concord: A Secure Mobile Data Authorization Framework for Regulatory Compliance. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| PA0109 | Patent application | Patent event code:PA01091R01D Comment text:Patent Application Patent event date:20110923 | |
| PA0201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| PE0902 | Notice of grounds for rejection | Comment text:Notification of reason for refusal Patent event date:20120827 Patent event code:PE09021S01D | |
| PG1501 | Laying open of application | ||
| E701 | Decision to grant or registration of patent right | ||
| PE0701 | Decision of registration | Patent event code:PE07011S01D Comment text:Decision to Grant Registration Patent event date:20130423 | |
| GRNT | Written decision to grant | ||
| PR0701 | Registration of establishment | Comment text:Registration of Establishment Patent event date:20130710 Patent event code:PR07011E01D | |
| PR1002 | Payment of registration fee | Payment date:20130710 End annual number:3 Start annual number:1 | |
| PG1601 | Publication of registration | ||
| FPAY | Annual fee payment | Payment date:20160503 Year of fee payment:4 | |
| PR1001 | Payment of annual fee | Payment date:20160503 Start annual number:4 End annual number:4 | |
| FPAY | Annual fee payment | Payment date:20170427 Year of fee payment:5 | |
| PR1001 | Payment of annual fee | Payment date:20170427 Start annual number:5 End annual number:5 | |
| FPAY | Annual fee payment | Payment date:20180425 Year of fee payment:6 | |
| PR1001 | Payment of annual fee | Payment date:20180425 Start annual number:6 End annual number:6 | |
| PR1001 | Payment of annual fee | Payment date:20200429 Start annual number:8 End annual number:8 | |
| PR1001 | Payment of annual fee | Payment date:20210510 Start annual number:9 End annual number:9 | |
| PR1001 | Payment of annual fee | Payment date:20250512 Start annual number:13 End annual number:13 |