dynamic packet filter – 동적 패킷 필터

동적 패킷 필터는 활성 접속의 상태를 감시하여, 네트웍 패킷들이 방화벽을 통과하도록 허용할 것인지를 결정하는데 그 정보를 사용할 수 있는 방화벽 설비이다. 동적 패킷 필터는 IP 주소와 포트번호 등과 같은 세션 정보를 기록함으로써, 정적 패킷 필터보다 더욱 엄격한 보안 상태를 이행할 수 있다. 예를 들어, 사내의 모든 사용자들이 외부에 있는 인터넷을 쓰면서도, 오직 사용자가 요구한 데이터 응답만이 내부로 되돌아 올 수 있도록, 방화벽을 구축하기 원한다고 가정하자. 정적 패킷 필터를 쓸 때, 만약 사용자들이 인터넷상의 어떠한 사이트에도 자유로이 방문할 수 있으려면, 모든 외부 주소들로부터 들어오는 응답의 통과를 허용해야 한다. 이러한 종류의 필터는, 패킷을 정당한 응답처럼 보이도록 속이는 방법을 쓰면 (패킷 헤더에 “reply”라고 표시하면 됨), 크래커 등의 외부 침입자들이 필터를 통과하여 내부 정보를 슬쩍 훔치는 것이 가능하다. 동적 패킷 필터는 요청과 응답을 추적하여 서로 대조함으로써, 요청에 대응되지 않는 응답을 걸러낼 수 있다. 요청이 기록될 때, 동적 패킷 필터는 작은 구멍만을 열어, 기대했던 데이터 응답들만이 들어올 수 있도록 허용한다. 일단 응답이 수신되면, 그 구멍을 닫힌다. 이 방법은 방화벽의 보안 능력을 극적으로 향상시킨다. Checkpoint System의 Stateful Inspection 아키텍처는 동적 패킷 필터를 포함하고 있습니다.