중소기업 네트워크를위한 보안솔루션구현 ·...

Technical Implementation Guide

중소 기업네트워크를 위한

보안 솔루션 구현

요약

중소 기업이 핵심 비즈니스 목표를 지원하기 위해 네트워크에 의존하는

경향이 그 어느 때보다 커졌습니다. 전자 상거래, 고객 관리, 공급망

관리, 엑스트라넷 협업 등과 같은 인터넷 기반 사업을 보다 적극으로

받아들이게 됨에 따라 네트워크에 한 위험도 점차 커지고 있습니다.

오늘날의 네트워크는 패킷 스니퍼, IP 스푸핑, 서비스 거부, 스팸 메

일, 바이러스, 트로이 목마를 비롯한 기타 수 많은 공격에 쉽게 노출될

수 있으며, 이러한 공격으로 기업의 수입과 명성, 고객 신뢰에 치명적

인 향을 받게 됩니다.

중소 기업은 확장 가능한 전사적 보안 솔루션을 제공하는 시스코의

SAFE Blueprint를 통해 이와 같은 위협에 처할 수 있습니다.

안전한 네트워크 인프라를 구축하는 첫 번째 단계는 기업의 역할, 책

임, 사용 범위, 주요 보안 관행을 정의하는 공식적인 보안 정책을 개발

하는 것입니다. 정책을 개발한 후에 기존의 업무 방식을 벤치마크로 사

용하여 이 정책을 평가해 볼 수도 있습니다. 그리고 나서 기업은 기존

의 네트워크 인프라를 면 히 검사하여 네트워크 인프라의 물리적 보안

을 비롯한 잠재적인 취약성을 파악해야 합니다.

• 요약

• 보안 위협 증가

• 비즈니스에 미치는 향

• 안전한 네트워크를 위한 시스코의

SAFE Blueprint

• 최상의 업무 방식을 토 로 한 모듈형

Blueprint

• 구현을 위한 고려 사항

• 보안 정책 개발

• 보안 정책 요소

• 취약성 파악

• 네트워크 아키텍처 설계

• 주요 비즈니스 본사

• 네트워크 페리미터

• LAN 및 데스크탑

• 재택 근무 및 원격 액세스

• 무선 LAN 및 데스크탑

• 보안 네트워크 관리

• 지사

• 결론

• 부록 A: 제품 목록

• 부록 B: 설치 및 지원 서비스

• 기술 및 서비스 전문 파트너

• 시스코 직 서비스 및 파트너 행 서

비스

• 고급 서비스

• 시스코 보안 컨설팅 서비스

중소 기업은 안전한 네트워크 아키텍처를 설계, 업그레이드 및 설

치하면서 네트워크의 각 역을 평가하고 잠재적 위협을 찾아내어

적절한 보안 수단을 구현해야 합니다.

시스코와 시스코의 파트너들은 데스크탑에서 네트워크 페리미터에

이르는 데이터 인프라의 모든 부분을 안전하게 보호하고 어떤 지

점에서든 중소 기업이 e-비즈니스 계획을 안심하고 확장할 수 있

도록 완벽한 다중 계층적 솔루션 집합을 제공합니다.

보안 위협 증가

기업의 주요 비즈니스 기능이 점점 더 네트워크에 의존하게 되면

서 그만큼 네트워크 공격을 받을 가능성도 커지고 있습니다. 보안

이 손상되면 주요 활동이 혼란에 빠져 생산성이 저하되고 사업상

막 한 경제적 손실이 발생할 수 있습니다.

네트워크 공격의 종류는 공격자가 침입하려고 시도하는 시스템의

수만큼이나 다양합니다. 어떤 공격은 매우 정교하고 복잡합니다.

회사 직원이 자신도 모르게 보안을 침해하는 경우도 있으며 이러

한 공격 역시 엄청난 피해를 초래할 수 있습니다.

잠재적 공격의 유형을 이해하려면 TCP/IP 프로토콜에 내재된 몇

가지 한계에 해 알아둘 필요가 있습니다. 인터넷의 초창기에는

원활한 학습과 연구 활동을 위해 다양한 정부 기관 및 학들이

인터넷으로 연결되어 있었습니다. 인터넷을 처음으로 고안한 사람

조차 인터넷이 오늘날처럼 상업적으로 널리 이용될 것이라는 예상

을 하지 못했기 때문에 보안 기능은 IP 사양에 포함되지 못했습

니다. 따라서 부분의 IP 구현은 본질적으로 불안전합니다. 많

은 시간이 지나고 수 많은 RFC(Requests for Comment)가 있

은 후에야 기업은 IP를 안전하게 설치할 수 있는 툴을 갖게 되었

습니다.

IP 보안에 관한 구체적인 규정이 처음부터 마련되지 않았기 때문

에 기업은 IP 구현 시 프로토콜 고유의 위험을 줄일 수 있는 네트

워크 보안 방식, 서비스 및 제품을 포함해야 합니다. 네트워크와

관련된 일반적인 위협은 다음과 같습니다.

• 패킷 스니퍼(Packet sniffer) - 패킷 스니퍼는 사용자 이름

및 암호와 같이 네트워크를 통해 전송되는 데이터를 캡처하기

위해 해커들이 사용하는 합법적인 관리 툴입니다.

• IP 스푸핑(IP spoofing) - IP 스푸핑 공격은 해커가 네트워

크 안팎에서 신뢰할 수 있는 컴퓨터인 것처럼 위장하여 네트

워크 정보에 한 액세스 권한을 얻어내는 것입니다.

• 손상 - 손상 공격은 인터넷 웹 서버의 파일을 변경하는 데 치

중합니다. 이러한 공격은 고객의 신뢰를 떨어뜨리고 중요한

고객 데이터를 안전하게 보호해야 하는 전자 상거래 사이트의

명성을 크게 손상시킬 수 있습니다.

• 서비스 거부 - 가장 널리 알려진 공격 유형인 서비스 거부는

인터넷에서 다운로드 가능한 프로그램을 사용하여 실행할 수

있습니다. 서비스 거부는 네트워크, 운 체제 또는 애플리케

이션의 리소스를 고갈시킴으로써 정상적인 용도로 서비스를

사용할 수 없게 만드는 데 중점을 둡니다.

• 스팸 메일 - 네트워크 운 에 있어서 점차 증가하는 또 다른

위협 요소는 스팸 메일, 즉 원치 않는 량 전자메일입니다.

스팸 메일은 메일 서버의 속도를 저하시키고 스토리지 공간을

가득 차게 하며 개인 메일박스의 이용을 방해하여 사용자의

생산성을 감소시킵니다.

• 중간자(Man-in-the-middle)에 의한 공격 - 이러한 유형의 공

격은 해커가 유무선 네트워크를 통해 전달되는 네트워크 패킷

에 액세스함으로써 실행됩니다. 해커는 중간에서 네트워크 세

션을 가로채 개인 네트워크 리소스에 액세스하거나 정보를 훔

치거나 트래픽을 분석하여 네트워크 및 네트워크 사용자에

한 정보를 얻습니다.

• 바이러스, 트로이 목마, 웜 - 일반 사용자 PC와 워크스테이션

은 바이러스와 트로이 목마 공격에 특히 취약합니다. 바이러

스는 다른 프로그램에 첨부된 악성 소프트웨어 코드로서 사용

자의 PC에서 원치 않는 기능을 실행합니다. 트로이 목마 공

격은 바이러스와 비슷하지만 애플리케이션을 뭔가 다른 것처

럼 보이도록 위장한다는 차이가 있습니다. 웜은 자체 복제되

는 악성 프로그램입니다.

• HTTP(Hypertext Transfer Protocol) 공격 - HTTP 공격은

기업의 웹 서버에 한 액세스가 비교적 불안전하다는 점을

이용함으로써 웹 서버 애플리케이션을 통해 악의적 활동을 수

행하는 것입니다. 침입자가 웹 서버를 제어하여 악의적 활동

을 수행할 수 있게 되면 평소에는 이용하지 못하는 리소스에

액세스할 수 있습니다.

• 애플리케이션 계층 공격 - 해커들은 다양한 방법을 사용하여

애플리케이션 계층을 공격할 수 있습니다. 가장 흔한 방법 중

하나는 sendmail, HTTP, FTP(File Transfer Protocol)

와 같은 서버에서 일반적으로 발견되는 소프트웨어의 알려진

약점을 악용하여 높은 수준의 관리자 액세스 권한을 사용해서

컴퓨터에 액세스하는 것입니다.

비즈니스에 미치는 향

네트워크 보안 침해는 복구에 소요되는 비용은 말할 것도 없이 총

수입, 생산성, 비즈니스에 엄청난 경제적 손실을 입혀 기업에 치

명적인 향을 줄 수 있습니다. 규모가 작은 기업은 보안 침해에

효과적으로 응하기 위한 인원과 예산이 부족한 경우가 많기 때

문에 보안 침해에 특히 취약합니다. 비즈니스에 미치는 향은 다

음과 같습니다.

• 고객 총수입 손실 - 기업이 비즈니스를 잃게 되는 것은 다른

무엇보다도 큰 손실입니다. 고객이 어떤 회사의 웹 사이트에

서 구매하거나 리소스에 액세스하려고 했다가 해당 사이트가

해킹을 당한 적이 있음을 알게 된다면 다른 경쟁업체로 눈길

을 돌릴 가능성이 큽니다.

• 파트너 트랜잭션 중단 - 보안 침해는 B2B 트랜잭션을 방해하

거나 중지시킴으로써 기업이 파트너 및 공급업체와 협업할 수

없도록 합니다.

• 고객 신뢰 손상 - 해커들에 의해 타격을 입은 비즈니스 네트

워크는 장기적인 성공을 위한 필수 요소인 고객의 신뢰와 충

성도를 회복하기 어려울 수 있습니다. 고객은 당연히 스스로

를 보호하지 못하는 회사와 사적인 정보를 공유하려고 하지

않을 것입니다.

• 사기로 인한 채무 - 신용 카드 사기 사례가 점점 늘어나고 있

습니다. 신용 카드를 사용하여 전자 상거래 사이트에서 상품

이나 서비스를 구매하는 고객은 거래 회사에 비 정보를 제

공하게 됩니다. 네트워크 침입에 따른 사기 행위 및 ID 도난

사고가 발생하면 기업은 생존 자체를 위협하는 채무상 위험을

지게 됩니다.

기업은 이러한 위협에 응하기 위해 자사의 네트워크를 지속적으

로 안전하게 보호할 수 있는 일관성 있고 확장 가능한 전사적 보

안 솔루션을 구축해야 합니다.

안전한 네트워크를 위한 시스코의 SAFE Blueprint

시스코의 SAFE Blueprint는 안전한 유무선 네트워크를 설계,

구현 및 유지보수하기 위한 앤드-투-앤드 보안 전략을 제공합니

다. 시스코 SAFE는 업계 선두적인 보안 제품, 철저한 보호, 입

증된 보안 방식, 중앙 집중식 관리 등을 통합하여 기업의 시스코

네트워크 인프라에 구현함으로써 네트워크를 보호합니다.

시스코 SAFE는 다음과 같은 기본적인 네트워크 보호 개념을 기

초로 하여 개발되었습니다.

• 진정한 보안 솔루션이란 제품이 아닌 프로세스이기 때문에 효

과적인 보안 솔루션이 되려면 지속적인 발전과 변화를 통해

새로운 위협에 처하거나 비즈니스 요구 사항을 수용할 수

있어야 합니다.

• 네트워크의 모든 액세스 포인트가 보안 상이므로 적절히 보

호해야 합니다.

• 성공적인 보안 솔루션이 되려면 전문적인 몇몇 보안 장치가

아니라 전체 네트워크 인프라에 적용할 수 있는 포괄적이고

통합된 안전 장치가 필요합니다.

• 보안 솔루션이 비용 효율적이고 확장 가능하며 유연성을 가지

려면 모듈형이어야 합니다.

• 계층적이고 철저한 보호 전략으로 보다 완벽한 보호를 제공하

고 잠재적 취약 역을 최소화해야 합니다.

최상의 업무 방식을 토 로 한 모듈형 Blueprint

시스코의 SAFE Blueprint는 두 가지 주요 이점을 제공하는 모

듈형 방법을 사용합니다. 첫째, 네트워크 계획자는 SAFE를 사용

하여 네트워크를 구성하는 다양한 기능 블록 간의 보안 관계를 처

리할 수 있습니다. 둘째, 단일 단계에서 전체 아키텍처가 아닌 모

듈 방식으로 보안을 평가 및 구현할 수 있습니다. 시스코는

WLAN 환경을 비롯하여 소규모, 중간 규모 및 원격 사용자 네

트워크를 위한 SAFE Blueprint를 개발했습니다.

SAFE 설계 방식은 예상되는 위험과 이에 처하는 방법에 중점

을 두기 때문에 시스템의 한 부분에 장애가 생기더라도 네트워크

의 다른 리소스까지 피해를 입을 가능성이 없는 계층적 보안 솔루

션을 제공합니다.

시스코는 업계 선두적인 보안 솔루션 개발 분야에서의 오랜 경험

을 토 로 SAFE Blueprint를 개발했습니다. SAFE

Blueprint를 구현하는 기업은 사업 확장에 맞추어 강력한 보안

솔루션을 구축하는 시스코의 최상의 업무 방식을 활용할 수 있습

니다.

구현을 위한 고려 사항

보안과 관련해서 해결해야 할 문제들은 계속해서 변화하고 있으므

로 기업은 철저함, 유연성 및 확장성이 있는 안정적인 정책을 기

초로 하는 솔루션을 필요로 합니다.

보안 정책 개발

기업의 컴퓨팅 및 네트워크 리소스가 증가하면서 기업 자산을 보

호하기 위한 보안 정책 수립이 필수적인 과제가 되었습니다. 보안

정책이란 기업의 역할, 책임, 사용 범위, 주요 보안 방식을 정의

하는 공식적인 출간 문서로서 완벽한 보안 프레임워크의 필수 구

성요소이며 보안 분야에 한 투자 지침으로 사용됩니다.

보안 정책 요소

보안 정책은 비즈니스의 모든 부분에 향을 미치기 때문에 IT 및

인적 자원 부서를 비롯하여 법무, 관리, 실무 사업 부서가 모두

참여하여 함께 개발해야 합니다. 비즈니스 보안 담당자가 개발 팀

을 이끌어 나가는 것이 가장 바람직한 경우가 많습니다. 기업 규

모에 따라 보안 정책을 개발하는 데 여러 주일이 걸릴 수도 있습

니다.

보안 정책에는 다음 요소가 포함됩니다.

• 정책 설명서 - 문서의 목적에 관한 압축된 설명서로서 비즈니

스와 해당 산업에 적용할 수 있고 감사, 통제 및 이행이 가능

한 것이어야 합니다.

• 범위 - 정책에서 다루는 정보 및 리소스의 유형이 정책에 포함

됩니다(예를 들어 전자 리소스에만 적용되는지 또는 문서 중

심의 물리적 보안이나 다른 형태의 지적 재산권에도 적용되는

지 여부).

• 역할 및 책임 - 보안 정책에서는 보안 관리자, IT 관리자, IT

운 자의 역할과 의무 뿐만 아니라 직원들의 구체적인 책임까

지 정의해야 합니다.

• 보안 지침 - 보안 정책의 핵심으로 네트워크 설계에 한 지침

을 비롯하여 직원들이 사용할 수 있는 하드웨어 및 소프트웨

어의 유형, 타업체 연결 방식, 원격 액세스, 이름 및 암호 관

리, 침입 감지, 기타 요구 사항들이 포함된 세부 보안 지침이

있어야 합니다.

• AUP(사용 범위에 관한 정책) - AUP에서는 인터넷을 개인적

용도로 사용하는 문제와 부적절한 컨텐츠를 제공하는 인터넷

사이트에 한 액세스를 금지하는 문제를 다룹니다.

• 사고에 한 응 절차 - 보안 정책에서 가장 중요한 사항인

사고에 한 응 절차에서는 다양한 위협 수준에 한 1차

경고를 받는 사람과 위협에 응하기 위해 필요한 구체적인

단계를 정의합니다.

• 문서 관리 요소 - 기업은 보안 정책에 한 업데이트가 어떻게

이루어지는지 정의해야 합니다.

보안 정책을 개발할 때는 단순하면서도 수준 높은 보안 정책으로

시작하여 긴 시간에 걸쳐 세부적으로 다듬게 될 것입니다. 정책이

확정되기 전에는 주요 보안 구매에 한 결정을 미루는 것이 좋습

니다.

취약성 파악

오늘날 개방형 네트워크에는 엑스트라넷, VPN, 광 역“상시”

인터넷 연결, WLAN 등과 같이 여러 가지 잠재적인 취약성이 있

습니다. 기업은 네트워크 아키텍처에서 다음과 같은 몇 가지 주요

역을 검토하여 잠재적인 취약성을 파악할 수 있습니다.

• 방화벽이 있으며, 방화벽이 어떤 역할을 하는지 알고 있는가?

방화벽을 설치한 지가 오래될수록 방화벽에서 어떤 정책을 구

현하고 있는지 사실상 아무도 모르고 있을 가능성이 큽니다.

가장 강력하고 기능이 풍부한 방화벽이라도 올바로 구성하고

기능을 활성화하지 않으면 거의 쓸모가 없습니다. 중소 기업

은 방화벽 구성에 해 해마다 사전 처적으로 검토하기 위

한 예산을 확보해야 합니다.

• 어떤 종류의 원격 액세스를 허용하는가?

비즈니스의 다른 부분에 수 많은 원격 액세스 창이 열려 있어

서 네트워크로 들어가는 뒷문으로 사용될 수 있는 경우에는

앞문을 방화벽으로 튼튼하게 보강해도 아무런 소용이 없습니

다. 벤더와 비즈니스 파트너에 한 다른 외부 연결뿐만 아니

라 VPN, 모뎀 및 원격 제어 소프트웨어에 한 전화 접속

회선도 확인해야 합니다.

• 웹 사이트가 있는가?

웹 서버, 특히 e-비즈니스나 전자 상거래를 처리하는 웹 서버

를 해커들로부터 안전하게 보호하려면 상당한 노력이 필요합

니다. 인터넷에 노출된 웹 서버라면 최소한 OS 벤더의 보안

체크리스트를 준수하도록 구성된 기본 운 체제를 갖고 있어

야 합니다. 또한 기업은 OS 벤더가 보안 패치를 배포한 후 일

주일 이내에 이를 평가하고 설치할 수 있는 프로세스를 개발

해야 합니다.

네트워크 아키텍처 설계

기업은 네트워크 아키텍처를 설계 및 구축할 때 네트워크의 각

역을 평가하고 잠재적 위협이 있는지 확인한 다음, 적절한 보안

조치를 구현해야 합니다.

채널 파트너와 부가 가치 리셀러(VAR) 또는 관리 보안 서비스

제공업체(MSSP)는 기업과 달리 담당자나 전문가가 없는 중소

기업에 특히 유용합니다. 다양한 파트너를 이용할 수 있으며 모두

각각의 전문 역을 갖추고 있기 때문입니다. 기업은 파트너를 고

려할 때 각 회사의 제조업체 인증을 조사해야 합니다. 제조업체

인증을 통해 통합업체가 네트워크 보안 솔루션을 설치 및 구성할

자격이 있는지 여부도 확인할 수 있습니다.

주요 비즈니스 본사

중소 규모의 네트워크 구조는 주요 비즈니스와 독립적인 지사의

두 지점을 나타내는 논리적 계층으로 이루어집니다.

첫 번째 계층은 기업 네트워크의 주요 비즈니스 지점 또는 본사를

기반으로 합니다. 본사는 사내의 다른 사무실과 VPN을 통해 연

결될 수 있습니다. 예를 들어 기업은 주요 비즈니스 지점에

해 중간 규모의 네트워크 설계를 이용하고 기타 원거리 지점에

해서는 여러 개의 소규모 네트워크 설계를 이용할 수 있습니다.

전속 재택 근무자는 원격 네트워크 설계에서 협의한 몇 가지 선택

안에 따라 본사에 연결될 수 있습니다. 주요 비즈니스 지점 또는

본사 계층은 네트워크 페리미터 모듈과 LAN 및 데스크탑 계층으

로 이루어집니다. 관리자는 재택 근무자, 옵션에 따른 무선 사용

자 및 네트워크 관리에 관한 요구를 비롯하여 본사 내에서 이 두

계층의 요구를 해결할 계획을 수립해야 합니다.

네트워크 페리미터

부분의 중소 기업은 인터넷 액세스를 위해 경제적인 ISDN,

DSL 또는 광 역 케이블을 선택합니다. 사용자 수가 늘어날수록

사용자 한 명이 사용할 수 있는 역폭이 줄어들기 때문에 공유

광 역 서비스는 전용선보다 서비스가 중단될 위험이 훨씬 큽니

다. 서비스 거부 공격이 발생할 경우 한 위치의 침입자 한 명이

이러한 연결의 리소스를 모두 고갈시킬 수 있습니다. 또한 한 명

의 사용자에게 서비스를 제공하는 과거의 전용선과 달리 이러한

광 역 액세스 시스템은 공유 시스템이므로 사용자들이 서로의 데

이터를 볼 수 있는 경우 상당한 보안상의 위험이 있습니다.

페리미터를 보호하는 최선의 방법은 stateful 방화벽 검사 기능

을 가진 최상급 수준의 방화벽 또는 액세스 라우터를 사용하는 것

입니다. 예산 또는 IT 인원이 부족한 소규모 기업들은 보다 비용

효율적이고 편리하게 관리할 수 있는 통합 라우터 솔루션을 원하

겠지만, 중간 규모 이상의 기업에는 보다 우수한 성능과 기능을

갖춘 전용 방화벽이 필요할 것입니다. 기업은 장치의 통합 이점과

비되는 장치의 용량과 기능을 토 로 결정을 내릴 수 있습니다.

하드웨어 또는 소프트웨어 기반의 방화벽은 기업 네트워크를 에워

싸고 인터넷과 같은 불안전한 네트워크와 기업 네트워크 사이에서

안전한 완충 장치 역할을 수행합니다. 방화벽은 다음 작업을 수행

합니다.

• 적절한 정보 및 담당자에게만 비즈니스 네트워크 및 IT 환경

에 한 액세스가 허용되는지 확인합니다.

• 직원들이 불안전한 외부 네트워크에 연결하지 못하도록 함으

로써 내부에서부터 네트워크를 보호합니다.

• 권한이 없는 외부 사용자로부터의 원하지 않거나 위험성이 있

는 전송을 차단합니다.

• 내부 사용자가 인터넷에서 볼 수 있는 정보를 필터링합니다.

방화벽은 인터넷에 연결하는 모든 기업에 필요하지만 부분의 중

소 기업은 방화벽을 구현하고 유지보수하기 위한 IT 리소스와 기

술에 상당한 한계를 갖고 있습니다. 이런 상황에서 많은 기업은

방화벽 구현과 관리를 아웃소싱하는 방법을 선택하고 있습니다.

기업은 방화벽 솔루션을 구현할 때 다음 주요 사항들을 스스로 확

인해 보아야 합니다.

• 방화벽이 네트워크 보안 정책을 지원하는가? 또는 벤더의 정

책을 사용하는가?

가장 안전한 방법은 방화벽이 명시적으로 허용된 서비스를 제

외한 모든 서비스를 거부하도록 미리 설정하는 것입니다. 설

치 과정에서 사이트 담당자가 필수 서비스로 전환할 수 있습

니다.

• 방화벽이 예상했던 트래픽 수준 혹은 그 이상으로 기능을 수

행하는가?

독립적으로 평가를 실시하여 벤더의 주장이 타당한지 여부를

확인할 수 있습니다. 기업은 기업의 규모와 요구에 따라 방화

벽이 수 많은 사용자 연결을 처리할 수 있는지, 그리고 방화

벽 전송 속도와 같이 적용되는 보안 규칙에 따라 충분히 신속

하게 트래픽을 전달할 수 있는지 확인해야 합니다.

침입 탐지 시스템(IDS) 역시 네트워크 페리미터를 해커 및 무단

사용자로부터 보호해 줄 수 있습니다. IDS는 관리자에게 경고를

보내며 해커를 지능적으로 차단하고 심지어 추가 공격을 방지하기

위해 네트워크를 동적으로 재구성까지 할 수 있습니다.

DMZ

TeleworkerRemote Access

Cisco 1700, 2600 or uBR925 with Firewall and VPN

Broadband AccessModem

Cisco 806 Routerwith Firewall and VPN

Desktops/Laptops

Catalyst 2950 with Secure LAN feature

Main Business Location

FTP Serverwith HIDS

Secure Corporate Servers with IDS

Cisco ACSWeb Serverwith HIDS

Broadband AccessModem

User Desktops/Laptops


Internet

ISDN, Cable, xDSL

Third-Party Anti-VirusSoftware


CiscoVPN Client

Third-Party Anti-Virus Software and

Personal Firewall

Recommended Security Solution Blueprint <100 Users/Nodes

또한 웹 서버를 호스팅하는 기업은 웹 서버와 적절한 트래픽만을

주고 받기 위해 비무장 지 (DMZ)를 설정해야 합니다. 웹 서버

가 기업의 LAN에 상주하는 경우에는 NAT(Network Address

Translation)를 구현할 수도 있습니다. NAT는 라우팅 가능한

공개 IP 주소를 라우팅 불가능한 개인 주소로 변환합니다. NAT

를 사용하면 액세스 라우터의 공개 IP 주소로 전달되던 모든 트래

픽이 웹 서버의 개인 주소로 전달됩니다. 추가 액세스 제어를 위

해 별도의 VLAN(가상 LAN)에 웹 서버를 설치할 수도 있습니

다.

또한 많은 기업에서는 여러 소규모 지사를 서로 연결해야 하며 이

를 위해서는 전용 WAN 회선보다 비용 효율적이고 탄력적인 솔

루션이 필요합니다. 이들 기업은 주요 네트워크 리소스가 본사의

중앙 사이트에 위치하고 여러 개의 작은 사이트 또는 지사가

VPN을 통해 중앙 사이트와 연결되는 방식의 사이트-투-사이트

VPN을 설치하는 경우가 많습니다.

중간 규모의 기업들은 필요에 따라 리소스를 쉽게 추가하면서도

보안 성능에는 향을 미치지 않는 확장 가능한 솔루션을 구현해

야 합니다. 성능 요구 사항은 더욱 중요하며 중간 규모 기업의 경

우에는 소기업보다는 예산에 좀 더 여유가 있기 때문에 네트워크

솔루션에 방화벽과 같이 보다 전용으로 사용할 수 있는 장치를 포

함할 수 있을 것입니다.

시스코 솔루션

시스코는 완벽하게 관리할 수 있으며 비즈니스 네트워크의 모든

주요 역을 포함하는 통합된 엔드-투-엔드 보안 서비스로 이루어

진 완벽한 포트폴리오를 제공합니다. Cisco SOHO Series,

Cisco 800 Series, Cisco 1700 Series 액세스 라우터, Cisco

2600 Series 라우터와 같은 시스코 액세스 라우터는 소기업들이

네트워크 페리미터에서 발생할 수 있는 공격을 효과적으로 완화할

수 있는 이상적인 솔루션입니다. 시스코 액세스 라우터를 사용하

면 네트워크 페리미터를 보호하는 동시에 여러 원격 사용자 또는

사무실까지도 네트워크에 안전하게 액세스할 수 있습니다. 뿐만

아니라 원격 사용자 또는 사무실은 시스코 라우터의 새로운 Easy

VPN 기능을 통해 VPN 액세스 집중기의 기능을 하거나 네트워

크를 다른 액세스 집중기로 확장하는 역할을 할 수 있습니다.

소기업에게는 액세스 라우터와 방화벽을 구성하는 작업이 다소 부

담스럽게 여겨질 수도 있지만 시스코 제품은 이러한 소기업의 요

구를 만족하도록 설계된 사용이 간편한 웹 기반의 구성을 제공합

니다.

Internet

Teleworker Remote Access

Branch Office

ISDN, Cable, xDSL

Cisco 1700 or 2600 Routerwith Firewall and VPNCisco uBR925,

803, or 827 Router with Firewall and VPN

Cisco PIX 501Firewall and VPN

Cisco VPN 3002

Cisco VPN 3005

NIDS

Cisco PIX 515

Cisco Aironet 350 NICs

Catalyst 3550 or 4000with Secure LAN features

WAN

Web Serverwith IDS

Secure Corporate Servers with IDS

Cisco ACS(RADIUS)

Catalyst 2950 withSecure LAN features

Catalyst 2950 with Secure LAN features

Cisco 2600 or3600 Router

Catalyst 3524XL-PWRwith Secure LAN features

Catalyst 2950 with Secure LAN features

Cisco Aironet 350Access Point (AP)

DMZ

Main Business Location

BroadbandAccess Modem









F-T1, T1, Multi T1 Services

Third-Party Anti-Virus Software and

Personal Firewall




Recommended Security Solution Blueprint 100-500 Users/Nodes

중간 규모의 기업이 소기업에 비해 더욱 많은 동시 접속, 높은

역폭, 우수한 성능에 한 지원이 필요한 경우도 있습니다. 이런

경우에는 전용 Cisco PIX?Firewall이 원격 액세스 애플리케이션

뿐만 아니라 사이트 간에 최고 수준의 방화벽 및 보안 기능을 제

공합니다. Cisco PIX 방화벽은 stateful 패킷 검사(SPI)에 의한

방화벽 보안, 표준 기반의 IPSec(IP Security) VPN 지원, 침

입 방지 및 기타 여러 가지 기능을 포함하는 최상급 수준의 보안

서비스를 제공합니다.

시스코 라우터에서 실행되는 Cisco IDS Host Sensor 또는 IDS

소프트웨어는 인터넷과 엑스트라넷 연결을 실시간 모니터링하여

주요 네트워크 리소스를 보호함으로써 방화벽에서 감지할 수 없는

공격을 식별합니다. Cisco IDS 제품은 서비스 거부 공격 보호,

해킹 차단 감지, e-비즈니스 애플리케이션 보호 등의 서비스를 제

공합니다.

LAN 및 데스크탑

소기업의 데스크탑과 LAN은 데스크탑, 파일 서버, 일상적 파일

백업 시스템 및 소프트웨어로 구성됩니다. 바이러스 백신 스캐너

및 패치와 같은 타업체의 소프트웨어 솔루션을 통해 이와 같은 호

스트를 보호하고 정기적으로 업데이트하는 일은 중요합니다. 소기

업이 보유한 부분의 리소스는 단일 파일 서버에 있으므로 서버

에 액세스할 수 있고 서버를 사용할 수 있도록 유지하는 것은 특

히 중요합니다.

기업의 규모가 커지면 네트워크에 있는 데스크탑 호스트의 개수도

많아지므로 기업 네트워크 리소스에 한 액세스를 제어하는 일은

매우 중요한 과제입니다. 중간 규모의 기업은 LAN을 보다 관리

가능한 서브넷으로 분리하는 방법도 고려할 만합니다. 서브넷은

부서 단위(예를 들면 마케팅 부서, 재무 부서 또는 제조 부서) 또

는 지리적 위치에 따라 구성할 수 있으며 네트워크 관리자에게 연

결 및 액세스 권한과 관련하여 추가적인 제어 권한을 부여할 수

있습니다.

또한 기업은 네트워크의 스위치와 라우터에 ID 서비스를 구현함

으로써 LAN의 보안을 개선하여 사용자를 식별하고 네트워크 상

에서 사용자에게 허용되는 작업 항목을 제어할 수 있습니다. ID

서 비 스 인 증 시 스 템 의 예 로 는 PKI(Public Key

Infrastructure) 제품과 같은 시스코 파트너 솔루션으로 보충할

수 있는 Cisco Secure ACS(Access Control Server)가 있습니

다.

시스코 솔루션

기본 LAN 인프라의 일부인 Cisco Catalyst 스위치는 스위치에

한 중앙 집중식 제어가 가능하고 무단 사용자가 구성을 변경하

지 못하도록 하는 RADIUS(Remote Access Dial-In User

Service) 또는 TACACS+ 인증과 같이 매우 다양한 ID 서비스를

지원합니다. 이처럼 탁월한 LAN 보안 기능을 통해 네트워크 액

세스를 추가로 제어할 수 있습니다.

소기업은 고정형 구성의 Cisco Catalyst 2950 Series 스위치를

설치하고, 반면에 기업은 추가로 유연성과 확장성을 제공하는

Cisco Catalyst 3500 및 4000 시리즈 스위치를 선택하는 것이

좋습니다.

재택 근무 및 원격 액세스

기업이 발전하면서 일반적으로 생산성을 높이거나 사업 방식을 전

환할 수 있도록 보다 광범위한 고속 원격 액세스 기술을 지원할

수 있어야 합니다. 직원 수가 보다 많거나 광범위한 지역에 널리

분산되어 있는 기업이라면 재택 근무자와 파트너들을 위해 원격

액세스를 지원하기 위한 다양한 연결 옵션이 필요할 것입니다. 예

를 들어 기업이 DSL이나 케이블을 광 역 기술로 선택하더라도

원격 재택 근무자들 중에는 ISDN만 사용할 수 있는 사람이 있을

것입니다. 기업은 기술과 무관하게 다양한 액세스 방법을 수용하

고 적절한 라우팅 및 액세스 제어를 보장하는 네트워크를 설계해

야 합니다.

VPN은 원격 액세스를 지원함으로써 사용자들이 원하는 액세스

방법을 사용하여 공용 네트워크를 통해 회사 리소스에 안전하게

연결할 수 있는 훌륭한 방법입니다. 원격 액세스 VPN은 다이얼

업 또는 광 역(DSL 또는 케이블) 액세스를 사용하여 서비스 제

공업체 네트워크에 접속하는 방식이며 원격 또는 이동 사용자는

이러한 방식으로 회사 네트워크에 연결할 수 있습니다. 그리고 엑

스트라넷 VPN은 기업을 공급업체, 고객 및 다른 비즈니스 파트

너와 연결하여 기업 네트워크의 특정 부분에 제한적으로 액세스할

수 있도록 함으로써 협업과 조정 작업이 가능하도록 합니다.

VPN 솔루션을 개발하려는 기업은 터널링, 암호화, 패킷 인증, 방

화벽, 사용자 확인 등의 방법을 비롯하여 VPN 트래픽의 프라이버

시와 보안을 유지하는 데 필요한 모든 보안 기능을 제공하는 솔루

션을 구축해야 합니다. 터널링은 보안 및 전송 품질 유지와 관련된

기타 방법들이 인터넷 환경에서 구현되도록 하는 기능입니다.

VPN에서는 데이터를 스크램블링하여 터널링된 연결에 한 암호

화로 이루어지므로 무단 사용자가 데이터를 해독할 수 없도록 만듭

니다. 선택된 VPN 솔루션은 IPSec, L2TP(Layer 2 Tunneling

Protocol), GRE(Generic Routing Encapsulation)와 같은 주

요 터널링 프로토콜을 지원해야 합니다.

소기업을 위한 원격 액세스 모델에는 기업 네트워크에 안전하게

액세스하기 위한 VPN 소프트웨어 클라이언트와 더불어 가정에

서 기존의 광 역 연결을 통해 접속하는 사용자가 포함될 수 있습

니다. 이 모델의 단점은 VPN 소프트웨어 클라이언트에 접속해

있을 때만 호스트가 보호된다는 점입니다.

통합 방화벽을 포함한 DSL 라우터를 클라이언트측에 추가하여

위에 설명한 다양한 보호 기능을 제공하도록 함으로써 이 모델의

단점을 개선할 수 있습니다. 사용자 수가 많은 사무실에서는 라우

터가 VPN 클라이언트 역할도 할 수 있으므로 라우터에 연결된

모든 호스트에 한 안전한 원격 액세스를 제공합니다. 따라서 모

든 호스트가 일일이 소프트웨어 클라이언트를 시작할 필요가 없습

니다.

기업의 경우에는 인터넷 라우터와 연결하여 VPN 집중기나 서

버를 설치할 수도 있습니다. 이러한 장치들은 컴퓨터의 VPN 소

프트웨어 또는 하드웨어 클라이언트, 소규모 사무실용 라우터 또

는 방화벽 장치와 연결할 수 있습니다.

시스코 솔루션

기업 네트워크에 액세스해야 하는 재택 근무자는 방화벽 및

VPN 기능을 모두 포함한 Cisco SOHO 또는 Cisco 800 Series

Router를 고려해 볼 만합니다. Cisco PIX 방화벽은 소규모 사

무실에서 방화벽 보호 및 VPN 액세스의 기능을 모두 제공할 수

있습니다.

중간 규모 이상의 기업에서는 Cisco VPN 3000 Series 집중기가

높은 가용성 및 강력한 성능에 고급 암호화 및 인증 기술을 결합

한 확장 가능한 플랫폼 역할을 할 것입니다. 기업은 유연성 있게

설계된 이 집중기를 통해 기업 규모가 성장함에 따라 사용자 연결

을 추가하고 처리량을 늘리고 추가 사용자를 지원할 수 있습니다.

Cisco 7100 Series VPN 라우터와 같은 VPN 라우터는 기업

의 중앙 지점에서 VPN 헤드엔드 터미네이션 장치 역할도 할 수

있습니다.

Cisco VPN 집중기에 포함된 Cisco VPN Client는 직원용 랩탑

또는 데스크탑 컴퓨터에 상주하면서 안전한 엔드-투-엔드 암호화

터널 구축에 사용되는 소프트웨어입니다. 또한 Cisco VPN 3002

Hardware Client는 추가 성능을 제공하며 사용이 간편합니다.

무선 LAN 및 데스크탑

기업은 점차 성장해 가면서 이동 사용자를 지원하고 네트워크 이

동, 추가 및 변경을 원활히 하기 위해 IEEE 802.11 표준을 기반

으로 한 WLAN 설치를 고려하는 경우가 많습니다. WLAN은

개 유선 LAN보다 빠르게 설치할 수 있으며 유연성을 갖고 있

어서 기업이 낡은 건물, 임 공간 또는 임시 작업 역이라는 한

계 상황을 극복할 수 있습니다.

전체적인 네트워크의 보안 정도는 가장 취약한 링크의 수준밖에

되지 않기 때문에 네트워크 관리자들에게는 WLAN이 유선

LAN과 동일한 수준의 액세스 제어 및 데이터 프라이버시를 제공

할 것이라는 보장이 필요합니다. 이더넷 포트에 한 물리적 액세

스에 의해 액세스가 제어되는 유선 LAN과는 달리 무선 LAN은

WLAN의 두 가지 기본 컴포넌트인 액세스 포인트와 클라이언트

어댑터 사이에 무선 파장을 사용하여 데이터를 브로드캐스트합니

다. 일정한 역 내에 있는 무선 LAN 장치는 이러한 무선 신호

를 수신할 수 있습니다. WLAN에 한 보안상의 위협을 완화하

기 위해서 네트워크 관리자들은 WLAN 보안 기능을 사용하도록

설정하고 향상된 WLAN 보안 솔루션 설치를 고려할 필요가 있

습니다.

WLAN 보안에서 두 가지 주요 요소는 인증과 암호화입니다. 인

증은 사용자와 액세스 포인트를 확인하는 과정을 말합니다. 암호

화는 송수신 과정에서 데이터가 손상되지 않도록 하는 방법입니

다.

일반적인 WLAN 보안에는 SSID(service set identifier), 공개

또는 공유 키 인증, 정적 WEP(wireless encryption protocol)

키, MAC(Media Access Control) 인증(선택 사항)을 사용합니

다. 이러한 방법을 조합하여 사용하면 기본 수준의 액세스 제어

및 프라이버시를 제공하지만 각 요소의 장단점을 절충할 수 있습

니다.

보다 안전한 솔루션은 유무선 네트워크 인증을 위한 IEEE

802.1X 표준입니다. 802.1X는 클라이언트와 인증 서버 간의 강

력한 상호 인증을 WLAN에 제공합니다. 또한 사용자별, 세션별

동적 WEP 키를 제공함으로써 정적 WEP 키와 관련된 관리 및

보안상의 문제를 해결합니다. 802.1X 인증 유형은 여러 가지가

있으며, 클라이언트와 무선 액세스 포인트 간의 커뮤니케이션을

위해 동일한 프레임워크와 EAP(Extensible Authentication

Protocol)를 사용하면서도 각기 서로 다른 인증 방식을 제공합니

다. 802.1X 인증에서는 로그온 암호와 같이 인증에 사용되는 자

격 증명이 무선 매체를 통해 암호화되지 않은 상태에서 자유롭게

전송되는 경우는 절 없습니다.

< 100 Users

100-500 Users

500+ Users

Cisco PIX 501with Firewall and VPN

Cisco 806 Router with Firewall and VPN

Cisco VPN 3002

Cisco 7910 IP Phone

Cisco uBR925, 803 or 827 Router with Firewall and VPN

Internet

ISDN, Cable, xDSL

Cisco VPN 3002











Cisco uBR925, 803 or 827 Router with Firewall and VPN







CiscoVPN Client

Recommended Security Solution Blueprint Remote Access

WLAN에서 현재 사용되는 암호화 옵션은 두 가지입니다. 첫 번

째 옵션은 표준 802.11 WEP로서 RC4 알고리즘을 사용하고 취

약성에 해 알려져 있습니다. 두 번째 옵션은 802.11b WEP 표

준에서 향상된 것으로 일종의 TKIP(Temporal Key Integrity

Protocol)에 해당합니다. TKIP에는 RC4 기반의 WEP 키 해싱

에서 향상된 여러 가지 키 기능 또는 패킷별 키 생성 및 메시지

무결성 검사(MIC)가 포함됩니다. 또한 두 번째 옵션에는 네트워

크 공격에 한 WLAN의 취약성을 완화화기 위한 브로드캐스트

키 순환 사용도 포함됩니다.

시스코 솔루션

WLAN을 설치하는 기업을 위해 Cisco Aironet 제품에는 중소

기업을 위한 표준 기반의 802.11a 및 802.11b 액세스 포인트와

클라이언트 장치가 포함됩니다. Cisco Aironet 제품이 포함된

Cisco Wireless Security Suite는 유선 LAN에서 사용할 수 있

는 보안 성능에 필적하는 강력한 WLAN 보안 서비스를 제공합니

다. Cisco Wireless Security Suite는 사용자 기반 인증을 위한

EAP 프레임워크를 사용하여 LEAP(Lightweight EAP),

EAP-TLS(EAP-transport layer security) 뿐만 아니라

PEAP(Protected EAP) 및 EAP-TTLS(EAP-tunneled

TLS)와 같은 EAP-TLS에서 동작하는 유형을 비롯한 모든 유형

의 802.1X 인증을 지원합니다.

또한 Cisco Wireless Security Suite는 위에서 설명한 WEP 키

의 여러 가지 향상된 기능도 지원합니다.

보안 네트워크 관리

기업이 보안 정책을 개발하고 방화벽, 침입 감지, 바이러스 감지

및 기타 페리미터 보안 기술을 구현한 후에는 보안 환경 관리 문

제를 해결해야 합니다.

페리미터 보안을 위한 기술을 획득하여 구현하는 것은 네트워크

페리미터 보안의 시작에 불과합니다. 효과적인 보호를 위해서는

이러한 기술을 정확히 설치, 구성, 유지보수 및 모니터링해야 합

니다.

비즈니스 요건, 기술 및 잠재적 위협이 커질수록 기업은 방화벽

정책, 바이러스 및 침입 감지 기능을 업데이트하여 이러한 변화에

응해야 합니다. 보안 기술은 패치와 업데이트를 통한 정기적인

유지보수가 필요합니다. 또한 페리미터 보안 기술을 지속적으로

모니터함으로써 잠재적인 문제점을 파악하여 지체 없이 해결해야

합니다.

Gartner Dataquest의 조사 결과에 따르면, 부분의 기업에서

IT 보안을 담당하는 사람은 다른 여러 가지 업무까지 맡고 있어

보안과 무관한 프로젝트에 많은 시간을 소모하고 있다고 합니다.

툴만 구현되어 있으면 인프라를 모니터하고 관리하여 담당자의 가

용성과 전문적 지식을 확장할 수 있다고 생각하는 기업들이 많습

니다. 하지만 리소스가 제한된 기업의 경우에는 이러한 부가적 책

임이 무거운 부담이 됩니다.

방화벽 정책 변경의 향을 평가하려면 정책 변경을 위한 방화벽

구성 전문 지식뿐 아니라 위험 요인과 취약성에 한 지속적인 교

육이 필요합니다. 호출기와 전화를 이용하여 모니터링 및 관리 범

위를 확 하면 허점이 생기게 되고 직원들의 사기가 저하되며 능

력 있는 직원들의 이직률에도 악 향을 줄 수 있습니다. 이와 동

시에 잠재적으로 심각한 사태를 식별 및 해결하거나 주의를 기울

일 수 있는 헬프 데스크 직원들의 전문성이 부족해질 수도 있습니

다. 종국에는 시간이 갈수록 기업의 보안 수준이 낮아지는 결과가

초래됩니다.

필요한 보안 요건을 만족하기 위해 현재의 인원에 보안 리소스를

추가하거나 보안 문제 및 취약성에 해 전직원을 상으로 지속

적인 교육을 실시함으로써 비즈니스에 중요한 한 역으로 보안의

우선 순위를 높이는 방법을 고려해 볼 수 있습니다.

이런 이유 때문에 기업은 페리미터 네트워크 보안 기술에 한 관

리 및 모니터링을 관리 보안 서비스 공급업체(MSSP)에게 아웃

소싱하여 비용 효율적으로 보안을 보장하는 방법을 선택합니다.

MSSP는 보안 전문가에 의한 24 x 7 모니터링을 제공함으로써

기업의 보안 수준을 향상시키고 다양한 장치에 한 기술과 전문

적 지식을 활용하여 성장을 거듭하는 기업의 비용 관리를 도와주

는 등 중요한 역할을 합니다.

관리 보안 서비스에는 방화벽과 침입 감지 센서에 한 관리 및

모니터링이 포함됩니다. 이외에도 하드웨어 복구와 유지보수, 정

기적인 시스템 소프트웨어 업데이트 또는 패치, 정책 변경 등이

여기에 포함됩니다.

시스코 솔루션

규모에 상관없이 네트워크 관리는 비즈니스를 지원하는 모든 시스

템 관리자에게 중요합니다. 우수한 관리 툴을 사용할 경우 한 사

람만으로도 언제든지 네트워크 활동을 보고 제어할 수 있으므로

이러한 요건을 만족하는 데 크게 기여할 수 있습니다.

CiscoWorks SNMS(Small Network Management

Solution)는 중소 기업 네트워크용으로 설계되었으며 시스코 장

치의 구성 관리 및 문제 해결 툴을 비롯하여 전 기간에 걸쳐 강력

한 기능을 제공합니다.

지사

두 번째 계층은 자체 로컬 서버와 사용자 스테이션을 갖춘 기업

의 지사를 위한 완벽하게 독립적이고 자율적인 설계를 기반으로

합니다.

지사로 구성된 소규모 네트워크 설계 아키텍처는 사용자가 100명

이하인 사이트에 서비스를 제공할 수 있습니다. 소규모 네트워크

설계 단원에서 개괄적으로 설명한 모든 컴포넌트와 설계 지침을

이 계층에 바로 적용할 수 있습니다. 그러나 본사 계층과의

WAN 연결에 한 몇 가지 고려사항을 처리해야 합니다.

기업은 사설 WAN 링크와 IPSec VPN 중에서 선택할 수 있습

니다. 사설 WAN에는 보다 세분화된 QoS 지원, 멀티캐스트 지

원, 네트워크 인프라의 신뢰성, 비 IP 트래픽 지원 등이 포함됩

니다. 한편 공용 인터넷상의 IPSec VPN은 모든 원격 사이트에

로컬 인터넷을 제공함으로써 본사의 역폭 비용은 물론 사설

WAN 링크에 한 비용을 크게 절감할 수 있습니다.

결론

기업 네트워크와 관련된 위험 및 과제가 커질수록 기업은 안전한

네트워크 인프라 계획 및 설치에 해 체계적이고 다층적인 접근

방법을 취해야 합니다. 중소 기업은 네트워크 아키텍처를 개발할

때 네트워크의 각 역을 신중하게 평가하고 잠재적인 위험을 확

인하여 적절한 보안 조치를 구현해야 합니다. 채널 파트너는 기

업과 같은 전문성을 갖추지 못한 중소 기업에 큰 가치를 추가할

수 있습니다.

네트워크 보안을 위한 시스코의 SAFE Blueprint는 기업의 요구

에 맞게 발전 및 변화할 수 있는 체계적인 모듈형 보안 솔루션을

제공합니다. SAFE Blueprint는 데스크탑에서 WLAN, 네트워

크 페리미터, 원격 사용자 사이트, 그 밖의 모든 역에 이르기까

지 데이터 인프라의 모든 측면을 포괄합니다. SAFE Blueprint

에 한 자세한 내용은 http://www.cisco.com/go/SAFE를 참

조하십시오.

또한 중소 기업은 네트워크 관리를 서비스 제공업체에 아웃소싱함

으로써 핵심적인 비즈니스 문제에만 치중할 수도 있습니다. 서비

스 제공업체는 기업이 네트워크 복원성을 유지하도록 도와주며 큰

재난 사고를 완벽하게 방지합니다.

기업은 선구적인 시스코 솔루션이 뒷받침하는 적절한 보안 정책을

개발함으로써 계속해서 안심하고 네트워크 솔루션을 구현하여 인

터넷이 제공하는 혜택을 누릴 수 있습니다.

부록 A: 제품 목록

이 안내서에서 설명된 다음 제품들은 엔드-투-엔드 시스코 네트워크 인프라의

한 컴포넌트일 수 있습니다.

• Cisco Aironet 1200 Series 액세스 포인트 - 고성능 무선 LAN을 위한

엔터프라이즈급 보안, 관리 가능성, 업그레이드 가능성, 신뢰성을 제공하는

듀얼 모드 802.11a 및 802.11b 호환 무선 액세스 포인트

• Cisco PIX 500 Firewall Series(Cisco PIX 501, 506E, 515E 및

525) - SPI(Stateful Packet Inspection) 방화벽, 표준 기반 IPSec

VPN, 침입 방지 등을 비롯하여 설치가 간편하고 강력한 비즈니스급 보안

서비스를 비용 효율적으로 제공하는 방화벽 플랫폼

• Cisco SOHO 90 Series 보안 광 역 라우터 - 사용자가 5명 이하인 소규

모 사무실에 적합한 제품으로, Cisco IOS 소프트웨어의 통합된 보안 기능

을 사용하여 저렴하고 안전한 인터넷 연결 제공

• 서비스 거부 - 가장 널리 알려진 공격 유형인 서비스 거부는 인터넷에서 다

운로드 가능한 프로그램을 사용하여 실행할 수 있습니다. 서비스 거부는 네

트워크, 운 체제 또는 애플리케이션의 리소스를 고갈시킴으로써 정상적인

용도로 서비스를 사용할 수 없게 만드는 데 중점을 둡니다.

• Cisco 800 Series 액세스 라우터 - ISDN, 직렬 연결(프레임 릴레이, 전

용선, X.25 또는 비동기 전화 접속), DSL(비 칭 DSL [ADSL], ISDN

상의 ADSL, G.SHDSL) 또는 듀얼 이더넷을 통해 소규모 사무실 및 재택

근무자를 인터넷이나 기업 LAN에 연결하는 맞춤형 고정 구성 라우터 시리

즈

• Cisco uBR 925 Series 케이블 액세스 라우터 - 풍부한 기능을 가진 광

역 케이블 액세스를 상업용 시장에 구축하는 케이블 서비스 제공업체를 위

한 완벽하게 통합된 Cisco IOS Software 라우터 및 DOCSIS(Data over

Cable Service Interface) 1.1 표준 기반 케이블 모뎀

• Cisco 1700 Series 액세스 라우터 - 중소 기업 및 기업의 작은 지사를

위한 비용 효율적인 통합 e-비즈니스 플랫폼으로, 까다로우면서도 점점 늘

어나는 e-비즈니스 요건을 만족시킬 수 있는 유연성과 관리 가능성 제공

• Cisco 2600 Series Router - 엔터프라이즈급의 다양성, 통합성 및 성능

을 제공하는 모듈형 액세스 라우터

• Cisco 3700 Series Multiservice Access Router - 전화 접속 액세스,

라우팅, LAN-투-LAN 서비스, 음성/비디오/데이터의 멀티 서비스 통합

기능을 하나의 장치에 구현하는 다중 기능 플랫폼

• Cisco Catalyst 2950 Series Intelligent Ethernet Switch - 유선 속도

의 패스트 이더넷 및 기가비트 이더넷 연결을 제공하며 저렴하고 스택 가능

한 고정 구성의 독립형 장치 제품 라인

• Cisco Catalyst 3500 Series Switch - 음성, 비디오 및 데이터가 통합

된 멀티 서비스에 적합한 최고의 성능과 더불어 관리 가능성과 유연성을 제

공하며 다른 어떤 제품보다 기존의 투자를 더 완벽하게 보호하는 확장 및

스택 가능한 10/100 및 기가비트 이더넷 스위치 제품 라인

• Cisco Catalyst 4000 Series Switch - LAN, 패킷 텔레포니, 컨텐트

네트워킹, 보안, 서비스 품질, 통합된 WAN 액세스 기능을 통해 스위칭

방식의 10/100 및 기가비트 이더넷을 제공하는 비용 효율적인 모듈형 고

도 스위치 제품 라인

• Cisco VPN 3000 Series - 고가용성, 고성능, 확장성을 최첨단 암호화

및 인증 기법과 결합시킨 특수 목적용 원격 액세스 VPN 플랫폼 및 클라이

언트 소프트웨어 제품 라인

• Cisco IDS(Intrusion Detection System) - 무단 침입, 악성 인터넷 웜,

역폭 및 e-비즈니스 애플리케이션 공격에 응하기 위해 널리 사용되는

포괄적인 보안 솔루션

• Cisco CallManager - 텔레포니 기능을 패킷 텔레포니 네트워크 장치로

확장하는 소프트웨어 애플리케이션

• Cisco 7900 Series IP 폰 - Cisco CallManager 기술 또는

SIP(Session Initiation Protocol)를 사용하여 IP 텔레포니 시스템과 연

동할 수 있는 표준 기반의 통신 장치

• Cisco ACS(Access Control Server) - 웹 기반 인터페이스에서 Cisco

EAP(Extensible Authentication Protocol)를 포함한 모든 사용자 인

증, 권한 부여 및 accounting에 한 중앙 집중식 제어를 제공하고 이러한

제어를 네트워크 상의 수많은 액세스 게이트웨이에 분산하는 확장 가능한

중앙 집중식 사용자 액세스 제어 프레임워크

• CiscoWorks SNMS(Small Network Management Solution) - 시스코

및 기타 네트워크 장치에 한 구성 관리 및 문제 해결 툴을 비롯하여 전

기간에 걸쳐 강력한 기능을 중소 기업에 제공하는 새로운 웹 기반 네트워크

관리 솔루션

부록 B: 설치 및 지원 서비스

기술 및 서비스 전문 파트너

기술 전문화를 통해 시제품 판매, 기본 설치, 판매 후 운 지원 등에 관한 교

육을 파트너에게 제공합니다. 파트너는 기술과 관련된 특정 시스코 제품에 익

숙해지고 특정 시스코 솔루션을 정의, 설치 및 지원하는 데 필요한 최소한의

기술적 토 를 갖추게 됩니다.

시스코 직 서비스 및 파트너 행 서비스

시스코의 기술 지원 서비스인 SMARTnetTM을 사용하면 필요에 따라 시스템

소프트웨어를 갱신할 수 있는 기능과 다양한 하드웨어 Advance

Replacement( 체품을 먼저 받은 후에 고장난 제품을 돌려 보내는 것) 옵션

을 비롯한 풍부한 전문적 지식에 액세스할 수 있으므로 운 자들이 이용할 수

있는 리소스가 증 됩니다. Cisco SMARTnet Onsite는 모든 서비스를 제공

할 뿐만 아니라 현장 엔지니어 서비스를 추가함으로써 하드웨어 Advance

Replacement 기능을 보완합니다. 이 기능은 부품 교체 작업을 수행할 직원

수가 충분하지 않거나 없는 지역에서 특히 유용합니다. Cisco SMARTnet 지

원에 한자세한내용은

http://www.cisco.com/en/US/products/svcs/ps3034/ps2827/ps2978/ser

v_home.html을 참조하십시오.

고급 서비스

Cisco TIS(Total Implementation Solutions)는 프로젝트 관리, 프로젝트

엔지니어링, 구성, 배치, 롤아웃 조정, 올바른 설치 및 구현 확인 등을 포함한

포괄적인 구현 솔루션을 제공합니다. Cisco TIS에 한 자세한 내용은

http://www.cisco.com/en/US/products/svcs/ps11/ps2902/ps3061/serv_

home.html을 참조하십시오.

시스코 보안 컨설팅 서비스

시스코 보안 컨설팅 서비스 팀은 Air Force Information Warfare Center

및 CIA와 같은 군사 및 정부 기관 출신의 컨설턴트들로 이루어져 있습니다.

시스코 보안 컨설팅 서비스 컨설턴트는 보안 취약성과 응 방법에 관한 전문

가일 뿐만 아니라 기업의 외비 데이터 처리의 중요성을 잘 이해하고 있습니

다. 시스코 보안 컨설팅 서비스는 이러한 기업을 위해 SPA(Security

Posture Assessment) 서비스와 ICR(Incident Control and Recovery) 서

비스를제공합니다. 자세한내용은

http://www.cisco.com/warp/public/cc/serv/mkt/sup/advsv/pavsup/s

posass/index.shtml을 참조하십시오.

2002-12-15www.cisco.com/kr

■Gold 파트너 •ㄜ데이콤아이엔 02-6747-4700 •한국아이비엠ㄜ 02-3781-7800 •쌍용정보통신ㄜ 02-2262-8114

•ㄜ데이타크레프트코리아 02-6256-7000 •ㄜ콤텍시스템 02-3289-0114 •에스넷시스템ㄜ 02-3469-2400

•ㄜ인네트 02-3451-5300 •ㄜ인성정보 02-3400-7000 •현 정보기술 02-2129-4111

•ㄜ링네트 02-6675-1216 •한국후지쯔ㄜ 02-3787-6000

■Silver 파트너 •한국휴렛팩커드ㄜ 02-2199-0114 •케이디씨정보통신ㄜ 02-3459-0500 • 우정보시스템 02-3708-8642

•ㄜ시스폴 02-6009-6009 •한국유니시스ㄜ 02-768-1114,1432 •한국NCR 02-3279-4423

■Local SI 파트너 •ㄜLG씨엔에스 02-6276-2821 •포스데이타주식회사 031-779-2114 •이스텔시스템즈ㄜ 031-467-7079

•SK씨앤씨ㄜ 02-2196-7114/8114

■Global 파트너 •이퀀트코리아 02-3782-2600

■Local 디스트리뷰터 •ㄜ소프트뱅크코리아 02-2187-0114 •ㄜ인큐브테크 02-3497-9303 •ㄜ아이넷뱅크 02-3400-7486

■IPT 파트너 •청호정보통신 02-3498-3114 •LG기공 02-2630-5156

■WLAN 전문파트너 •ㄜ에어키 02-541-1557 •ㄜ텔레트론INC 02-2105-2300

■Security 전문파트너 •코코넛 02-6007-0133 •TISS 051-743-5940

■NMS 전문파트너 •ㄜ넷브레인 02-573-7799

중소기업 네트워크를위한 보안솔루션구현 ·...

Documents