방화벽 내용 정리

1. 용어의 정리

구성요소와 종류를 언급하기 전에 각 요소와 관련된 용어정의를 먼저 하고, 방화벽 구성요소에 대한 구분과 각각의 특징에 대해서 알아본다.  앞서서 중복되는 말이 하두 많이 나와서 이제는 지겨울지도 모른다.  하지만 반복숙달시키는 과정이라 생각하고 이해하시라.

• 네트워크 정책(network policy) 
  방화벽 시스템의 설계, 설치, 사용에 직접적으로 영향을 줄 수 있는 두가지 레벨의 네트워크 정책이 있다. 하이레벨 정책은 명확한 이슈 즉, 제한된 네트워크 로부터 서비스를 허락할 것인가 또는 명확히 거부할 것인가를 정의하는 네트워크 액세스 정책이다. 이러한 서비스들을 어떻게 사용할 것인가, 그리고 이러한 정책 의 예외 조건등이 하이레벨 정책에 속한다. 로우레벨 정책은 어떻게 방화벽이 실질적으로 액세스를 제한하고 하이레벨 정책에서 정의한 서비스를 필터링 할 것인 가에 대한 사항이다.
• 방화벽시스템의 사용자인증 시스템(advanced authentication) 
  방화벽시스템은 한 기관의 네트워크 전체를 보호해야 하므로 일반적으로 유닉스시스템에서 사용되는 단순한 패스워드 기법으로 사용자를 인증하는 방법을 사용하지는 않는다. 우수한 인증수단으로는 스마트 카드, 어탠디케이션 토큰 (authentication tokens), 바이오메트릭스(biometrics) 그리고 소프트웨어 메카니 즘 등을 사용한다. 현재 많이 사용하고 있는 우수한 인증시스템으로는 일회용패 스워드(one time passwd)시스템이 있다. 매번 사용자가 로그인을 시도할 때 마 다 매번 새로운 패스워드를 이용하는 것인데, 이는 침입자들이 최근 이용하고 있 는 스니퍼(sniffer)에 의한 패킷가로채기를 통해 시스템의 사용자id와 패스워드를 알아내서 침입하는 것을 근본적으로 막아주게 된다.
• 패킷 필터링
  ip 패킷 필터링(packet filtering)은 통상 라우터 인터페이스를 지나는 패킷을 필터링을 하기 위해 설계된 패킷 필터링 라우터(packet filtering router)를 사용하여 행해진다. 패킷 필터링 라우터는 ip 패킷중 다음의 전부 또는 일부를 필터링 할 수 있다.
  - source ip address 
  - destination ip address 
  - tcp/ip source port 
  - tcp/ip destination port 
  모든 패킷 필터링 라우터가 소스 tcp/ip 포트를 필터링하지는 않는다. 그러 나 많은 제조회사들이 이러한 능력을 증가시키고 있다. 대부분은 아니지만 유닉 스 호스트도 패킷 필터링 기능을 제공한다.
• 응용계층 게이트웨이(application level gateway) 
  응용계층서비스들은 중간전달(store-and-forward)방법을 쓰는 경우가 많은 데, 이는 게이트웨이에서 수행할 방법과 그대로 맞아떨어지게 된다.
  게이트웨이는 송신자 응용서비스가 보내는 각종 정보를 그대로 전달하면 되는 것이다. 이 게이 트웨이에서는 보안을 위한 특별한 서비스가 제공된다. 예를 들어 내부와 외부간 의 모든 응용수준의 트래픽에 대해 로그기록이나, 텔네트(telnet)나 ftp 등에서 사용자 인증을 할 경우 보다 우수한 방법을 사용한 변경된 인증방법을 이용한다 든가 하는 것이다. 이 응용계층의 게이트웨이 기능은 가상서버(proxy server)라는 인터네트의 클라이언트/서버 개념에서 나온 서버 기능을 제공하게 된다. 예를 들어 외부의 전자우편클라이언트가 내부의 어떤 호스트내 전자우편 서버와 접속 맺기를 원한다면 중간에 가상서버가 이를 받아 다시 내부의 서버에게 전달하는 방식이 된다.
• 스크린 라우터(screen router) 
  어떤 기관이 인터네트에 접속할 경우 대부분 라우터(router)를 거친다. 이는 인터네트 패킷을 전달하고 경로배정(routing)을 담당하는 장비다. 
  라우터는 단순 장비가 아니라면 패킷의 헤더 내용을 보고 필터링(스크린)할 수 있는 능력을 가 지고 있다. 네트워크 수준의 ip(internet protocol) 데이터그램에서는 출발지 주소 및 목적지 주소에 의한 스크린, tcp(transmission control protocol) 수준의 패 킷에서는 네트워크응용을 판단케해주는 포트(port) 번호에 의해 스크린, 프로토 콜별 스크린 등의 기능을 제공하게 된다. 이 스크린 라우터만을 가지고도 어느 정도 수준의 보안 접근제어를 통해 방화벽시스템 환경을 구현할 수 있다. 그러나 라우터에서 구현된 펌웨어의 수준으로는 제한점이 많고 복잡한 정책을 구현하기 어려우므로 보통 스크린 라우터와 다음에서 설명하는 베스쳔 호스트를 함께 운영 한다.
• 베스쳔 호스트 
  베스쳔 호스트(bastion hosts)는 방화벽시스템이 가지는 기능 중 가장 중요 한 기능을 제공하게 된다. 원래 베스쳔(bastion)은 중세 성곽의 가장 중요한 수비 부분을 의미하는데, 방화벽시스템 관리자가 중점 관리하게될 시스템이 된다. 그 래서 방화벽시스템의 중요 기능으로 접근 제어 및 응용시스템 게이트웨이로서 가 상서버(proxy server)의 설치, 인증, 로그 등을 담당하게 된다. 그러므로 호스트 는 외부의 침입자가 주로 노리는 시스템이 된다. 따라서 일반 사용자의 게정을 만들지 않고 해킹의 대상이 될 어떠한 조건도 두지 않는 가장 완벽한 시스템으로 서 운영되어야 한다. 보통 판매되는 방화벽시스템은 이러한 베스쳔호스트를 제공 하는 것이라고 보면 된다.
• 이중 네트워크 호스트(dual-homed hosts) 
  복수네트워크호스트는 2개 이상의 네트워크에 동시에 접속된 호스트를 말하 며 보통 게이트웨이 호스트라고 말하는 시스템이 된다. 2개의 네트워크, 즉 외부 네트워크와 내부 네트워크를 의미하고 외부 네트워크와 내부 네트워크간의 유일 한 패스를 제공하도록 조정된다. 즉 동적인 경로 배정과 경로 정보전달을 배제하 므로 모든 내.외부 트래픽은 이 호스트를 통과하도록 하여 베스쳔호스트의 기능을 여기에 구현하면 되는 것이다.
• 스크린 호스트 게이트웨이(screen host gateway) 
  스크린호스트게이트웨이 개념은 이 시스템을 내부 네트워크에 두어 스크린라 우터가 내부로 들어가는 모든 트래픽을 전부 스크린호스트에게만 전달되도록 하 겠다는 것이다. 또한 스크린라우터는 내부에서 외부로 가는 모든 트래픽에 대해 서도 스크린호스트에서 출발한 트래픽만 허용하고 나머지는 거부하게 된다. 그 래서 내부와 내부 네트워크사이의 경로는 '외부네트워크 - 스크린라우터 - 스크린호스트 - 내부네트워크' 이외의 경로는 결코 허용하지 않게된다. 이 스크린호 스트도 결국 베스쳔호스트, 이중네 트워크호스트의 개념이 집합된 시스템이다.
• 스크린 서브네트 
  스크린 서브네트(screen subnet)는 일명 dmz(demiliterization zone)의 역할 을 외부 네트워크와 내부 네트워크 사이에 두겠다는 것으로 완충지역 개념의 서 브네트를 운영하는 것이다. 여기에 스크린 라우터를 이용하여 이 완충지역을 곧 장 통과 못하게 하지만 외부네트워크에서도 내부 네트워크에서도 이 스크린 서브 네트에 접근할 수는 있다. 어떤 기관에서 외부로 공개할 정보서버(information server), 즉 익명 ftp서버, 고퍼(gopher) 서버, 월드와이드웹(www)서버 등을 여기에 운영하면 된다.
• 암호 장비 
  암호장비(encryption devices)는 어떤 기관의 네트워크가 공공의 인터네트를 통해 여러 지역으로 분산되어 있을 경우 적당하다. 본사 네트워크가 방화벽 시스 템을 구축하였을 때 지역적으로 떨어진 지점 네트워크도 본사 네트워크처럼 보호 되어야하는 것이다. 이 경우 본사와 지점 네트워크 간이 인터네트로 연결되었다 면 안전을 보장하기 어려우므로 두 지점사이를 암호장비를 이용하여 가상 사설링 크(vpl, virtual private link)로 만들어 운영하면 된다. 그러므로서 두개의 네트 워크는 하나의 안전한 네트워크로 만드는 것이다. 종단간 암호 방식은 데이터나 패스워드 등이 도청되는 것을 막는 방식을 원하는 사설백본(private backbone), 즉 여러 인터네트 접속점을 가진 기관에서 유용할 것이다.

• Bastion Hosts 
  어떠한 공격에도 철저한 방어기능을 갖는 호스트이다. 방화벽은 이러한 기능을 갖는 베스쳔 호스트로 구성된다. 이러한 베스쳔 호스트를 만들기 위해서는 방화벽 관리자는 시스템에 다음과 같은 작업을 해야한다. 
  - 모든 일반사용자 계정을 삭제한다. 
  - 중요치 않은 파일과 명령은 가급적 지운다. 
  - 대용량의 모니터링 및 로그 기능을 가져야 한다. 
  - IP Forwarding기능, Source Routing 기능을 없앤다.

• 프락시(proxy) 
  프락시는 클라이언트와 실제 서버사이에 존재하여 둘 사이의 프로토콜 및 데이터 relay 역할을 한다. 그래서 프락시를 전송자 또는 전달자(forwarder)라고 말하는 사람도 있다.  프락시 기능을 이용하는 방화벽은 어플리케이션 방화벽과 서킷게이트웨이 방화벽이 있다.  어플리케이션 방화벽은 각 서비스마다 관련 프락시가 존재한다. 서킷 게이트웨이 방화벽은 이와 달리 각 서비스에 모두 적용될 수 있는 일반적인 프락시가 존재한다.

  - 프락시의 동작과정 
  

2. 구성요소

• 패킷필터링 라우터
• 베스쳔 호스트 
  - 패킷필터링 게이트웨이 
  - 어플리케이션 게이트웨이 
  - 서킷 게이트웨이 
  - 하이브리드 게이트웨이
• 사용자 인증시스템
• 암호화 장비

    앞서 언급한 방화벽의 정의에 따르면, 방화벽은 H/W 및 S/W로 구성된다고 하였다.
  H/W적인 측면의 방화벽은 크게 패킷필터링 라우터, 베스쳔 호스트, 사용자 인증시스템, 암호화 장비로 나눌 수 있겠다.
  패킷필터링 라우터는 TCP/IP 수준에서 접근제어 기능이 있는 라우터로서 스크린 라우터라는 용어로도 사용하고 있다.
  베스쳔 호스트는 완벽한 보안을 갖추고 있는 시스템으로서 이 시스템에 패킷필터링 기능을 부여한 패킷필터링 게이트웨이와 프락시 기능을 부여한 어플리케이션 게이트웨이, 서킷 게이트웨이, 각 기능들을 혼용한 하이브리드 게이트웨이가 존재한다. 패킷필터링 기능은 라우터와 베스쳔 호스트의 패킷필터링 게이트웨이와 중복되기 때문에 패킷필터링 게이트웨이 에 대한 설명은 패킷필터링 라우터에서 한다.
  사용자 인증시스템에는 일회용 패스워드 등 네트웍에 접근하기 위해서 사용자 인증을 하는 장비 및 소프트웨어가 존재하고, 암호화 장비는 네트웍간 데이터를 전송할 때 암호화하기 위한 장비 및 소프트웨어가 존재한다. 사실 사용자 인증시스템 및 네트웍 암호화 장비는 별도로 사용되기도 하지만 이러한 기능은 베스쳔 호스트에 추가되어 개발되고 있기 때문에 방화벽의 큰 분류는 패킷필터링 라우터와 베스쳔 호스트로 볼 수도 있다.

(1) 패킷필터링 라우터

패킷필터링 라우터는 OSI 모델에서 네트웍층(IP 프로토콜)과 전송층(TCP 프로토콜)층에서 패킷을 필터링하는 기능을 하면서 패킷에 대한 경로배정을 위한 자체 프로토콜을 사용한다. 베스쳔 호스트에도 OSI 모델의 전송층에서 수행되는 TCP 플래그를 기반으로한 필터링 기능을 부여하여 사용할 수 있는데 이러한 경우 패킷 필터링 게이트웨이라고 한다.

    1)기능

Source/Destination IP Address를 이용한 호스트, 네트워크 접속 제어 
TCP/UDP Ports를 이용한 응용서비스별 접속제어 
TCP, UDP, ICMP 등 프로토콜별 접근제어 
TCP Sync 비트를 이용한 최초접속제어 

    2) 장단점

장점	이 방화벽의 장점은 방화벽 기능이 OSI 7 모델에서 제 3, 4계층에서 처리되기 때문에 다른 방식에 비해 처리속도가 빠르며, 사용자에게 투명성을 제공한다. 또한 기존에 사용하고 있는 응용 서비스 및 새로운 서비스에 대해서 쉽게 연동할 수 있는 유연성이 있다.
단점	TCP/IP 프로토콜의 구조적인 문제 때문에 TCP/IP 패킷의 헤더는 쉽게 조작 가능하다. 따라서 외부침입자가 이러한 패킷의 정보를 조작한다면 내부시스템과 외부시스템이 직접 연결된다. 또한 ftp, mail에 바이러스가 감염된 파일 전송시 잠재적으로 위험한 Data에 대한 분석이 불가능하며 접속제어 규칙의 갯수 및 접속제어 규칙 순서에 따라 방화벽에 부하를 많이 줄 수 있다. 또한 다른 방식에 비해서 강력한 logging 및 사용자 인증 기능을 제공하지 않는다.

    3) 패킷필터링 관련 장비 및 제품

대부분 Routers 
Network-1 Firewall/Plus 
Atlantic System Group internet Security Route 
Sun SPF-100

(2) 베스쳔 호스트(Bastion Host) - 어플리케이션 게이트웨이

    1) 기능

어플리케이션 게이트웨이는 OSI 7계층 네트웍 모델에서 어플리케이션 계층상에 방화벽 기능이 들어있다. 이 게이트웨이는 각 서비스별로 Proxy Daemon이 있어 프락시게이트웨이 또는 응용게이트웨이라고도 언급한다.

어플리케이션 게이트웨이는 각 서비스별 프락시를 이용하여 패킷필터링 방식처럼 IP 주소 및 TCP port를 이용하여 네트웍 접근제어를 할 수 있으며 추가적으로 사용자 인증 및 파일전송시 바이러스 검색기능과 같은 기타 부가적인 서비스를 지원한다.

앞서 언급된 프락시는 클라이언트와 서버사이에 존재하여 그 접속을 관리하며 이미 접속된 연결에 대해서는 데이터 전달을 위한 전달자로서 기능을 한다. 따라서 클라이언트는 프락시를 통해서만 실제 서버로의 데이터를 주고받을 수 있다. 즉, 클라이언트와 서버간에 직접적인 연결을 허용하지 않는다.

어플케이션 게이트웨이는 각 서비스마다 관련 프락시가 존재한다. 예를 들 면 telnet 서비스에 대해서는 telnet proxy, ftp 서비스에 대해서는 ftp proxy가 존재한다.

서비스는 특성에 따라서 크게 interactive 서비스(예, telnet, ftp)와 none-interactive 서비스(예, http, nntp)로 구성할 수 있는데, 사용자가 어플리케이션 게이트웨이를 통해 내부 목적지 시스템에 접속 연결하고자 할 경우 서비스의 특성에 따라서 조금 차이는 있지만 일반적으로 아래와 같은 절차를 따르게 된다. 예를 들어 외부에 있는 사람이 내부의 시스템 으로 telnet 서비스를 이용하여 접속할 경우는 다음과 같다. 


외부 사용자는 내부에 있는 서버로 접속을 위해서 먼저 어플리케이션 게이트웨이에 접방화벽 시스템과는 클라이언트 서버의 관계가 속을 요구한다. 이때 사용자 시스템과 된다.

어플리케이션 게이트웨이는 사용자의 발신처 IP 주소를 확인하고, 접근규칙에 따라 허용여부를 결정한다.

또한 어플리케이션 게이트웨이가 사용자 인증을 요구할 경우 사용자 인증과정을 거친다. 인증과정은 plain text형태의 패스워드를 사용하거나 일회용 패스 워드를 사용한다.

만약 외부사용자가 어플리케이션 게이트웨이의 접속이 허용 되면, 프락시는 적용된 규칙에 따라 내부 호스트로 접속을 허용한다.

프락시는 사용자 시스템과 실제 서버 사이에서 두 접속간에 데이터를 전송한다. 결국 외부의 사용자 시스템과 어플리케이션 게이트웨이와의 관계는 클라이언트와 서버관계 가 되고, 어플리 케이션 게이트웨이와 실제 서버와의 관계는 다시 클라이언트와 서버와의 관계를 유지한다.

어플리케이션 게이트웨이는 접속거부 또는 허용에 대한 기록을 남긴다.

    2) 장단점

장점	내부 시스템과 외부 시스템간에 방화벽의 프락시를 통해서만 연결이 허용되고 직접 연결(IP Connection)은 허용되지 않기 때문에 외부에 대한 내부망의 완벽한 경계선 방어 및 내부의 IP 주소를 숨길 수 있다. 따라서, 패킷 필터링 기능의 방화벽보다 보안성이 뛰어나다. 다른 방화벽에 비해서 강력한 Logging 및 Audit 기능을 제공한다. S/Key, Secure ID 등 일회용 패스워드를 이용한 강력한 인증기능을 제공할 수 있다. 프락시의 특성인 프로토콜 및 데이터 전달기능을 이용하여 새로운 기능 추가가 용이하다.
단점	트래픽이 OSI 7계층에서 처리되기 때문에 다른 방식과 비교해서 방화벽의 성능이 떨어지며, 또한 일부 서비스에 대해서는 사용자에게 투명한 서비스를 제공하기 어렵다. 방화벽에서 새로운 서비스를 제공하기 위해서 새로운 프락시 데몬이 있어야 한다. 즉 새로운 서비스에 대한 유연성이 없다.

(3) 베스쳔 호스트(Bastion Host) - Circuit Gateway

서킷 게이트웨이는 OSI 네트웍 모델에서 5계층에서 7계층 사이에 존재하며 어플리케이션 게이트웨이와는 달리 각 서비스별로 프락시가 존재하는 것이 아니고, 어느 어플리케이션도 이용할 수 있는 일반적인 프락시가 존재한다. 방화벽을 통해서 내부 시스템으로 접속하기 위해서는 먼저 클라이언트측에 서킷 프락시를 인식할 수 있는 수정된 클라이언트 프로그램이 필요하다. 따라서 수정된 클라이언트 프로그램이 설치되어있는 클라이언트만 circuit 형성이 가능하다.

장점	내부의 IP 주소를 숨길 수 있으며 수정된 클라이언트 프로그램이 설치된 사용자에게 투명한 서비스를 제공할 수 있다.
단점	방화벽에 접속을 위해서 서킷게이트웨이를 인식할 수 있는 수정된 클라이언트 프로그램이 필요하다.

(4) Hybrid 방화벽

여러 유형의 방화벽들을 경우에 따라 복합적으로 구성할 수 있는 방화벽이다. 이 방화벽은 서비스의 종류에 따라서 사용자의 편의성, 보안성 등을 고려하여 방화벽 기능을 선택적으로 부여할 수 있지만 서비스의 종류에 따라서 다양한 보안정책을 부여함으로써 구축 및 관리하는데 어려움이 따를 수 있다.

방화벽 종류 및 각 특징 요약

방화벽종류	기 능	장 점	단 점
패킷필터링  방화벽	소스 및 목적지 IP주소와 port번호를 이용하여 제어한다.	단순하며 처리속도가 빠르다.	단순해서 사용자별로 제어 못함
서킷게이트웨이  방화벽	패킷 필터링와 비슷하지만 OSI의 다른 레벨에서 서킷을 만들어 동작한다.	소스를 감출 수 있으며 단순하면서 사용자에게 투명성을 보장한다.	각 클라이언트측의 프로그램을 수정해야한다.
어플리케이션  방화벽	소스를 감출 수 있으며 단순하면서 사용자에게 투명성을 보장한다.	강력한 인증 및 부가적인 서비스제공	투명성을 보장 못함
하이브리드  방화벽	위의 3가지 타입들을 경우에 따라 조합적으로 사용하는 것	보안상 가장 효율적이고, 유연성있는 보안정책을 부여 가능	구축의 어려움

(5) 사용자 인증 시스템

한 기관의 네트웍 보안을 위해서 일반적으로 UNIX 시스템에서 사용되는 plain text인 단순한 패스워드 기법으로 사용자를 인증하는 방법을 사용하지 않는다. 보다 우수한 인증시스템으로서 일회용 패스워드(one-time-password)를 보통 채택하고 있다. 즉 매번 사용자가 로그인을 시도할 때마다 매번 새로운 패스워드를 이용하는 것인데, 이는 침입자들이 이용하고 있는 sniffer(패킷 가로채기) 공격에 근본적으로 막아준다.

일회용 패스워드 시스템의 동작은 Challenge-Response 개념으로 동작하는 데, 이를 보면,

1. 사용자는 접속을 하려는 시스템으로 로그인을 시도한다.
2. 시스템은 사용자에게 Challenge로서 난수(Random Number)를 보낸다.
3. 사용자는 자신이 가지고 있는 마치 계산기처럼 작은 HHA(Hand Held Authenticator)로 Challenge와 자신의 ID를 입력한다.
4. HAA는 시스템이 가지고 있는 동일한 알고리즘으로 일회용 패스워드를 반환한다.
5. 사용자는 HHA가 반환한 일회용 패스워드로 시스템에 로그인한다.

이것은 시스템과 HHA가 동일한 일회용 패스워드를 생성 알고리즘을 공유 하고 있으며, 매번 생성된 난수와 사용자 ID에 의해 매번 다른 패스워드를 생성하게 되는 것이다.

(6) 암호화 장비

암호화 장비는 어떤 기관의 네트웍이 공공의 인터넷을 통해 여러 지역으로 분산되어 있을 경우 적당하다. 즉 어떤 본사 네트웍이 방화벽 시스템을 구축하였을 때 지역적으로 떨어진 지점 네트웍도 본사 네트웍처럼 보호되어야 한다. 이 경우 본사와 지역 네트웍간에 인터넷으로 연결되었다면 안전을 보장하기 어려우므로 두 지점사이를 암호장비를 이용하여 가상사 설 네트웍(VPN : Virtual Private Network)을 만들어 운영하면 된다.

3. 요구사항

그렇다면 어떤 타입의 방화벽이 필요한 것일까? 불행히도 딱부러지게 어떤 타입의 방화벽이 필요하다고 말할 수 있는 정답은 없다. 보안과 서비스 제공과는 trade-off 관계에 있기 때문에 어느 면을 강조하는냐에 따라 달려있다.

외부의 특정 몇몇 사용자의 접속을 허락하거나 또는 IP Spoofing과 같은 해킹 공격을 막기 위해서는 어플리케이션 게이트웨이 방화벽이 필요하다. 이러한 방화벽의 경우 보안성은 뛰어나지만 사용자에게 투명성을 제공하지 않고 방화벽의 처리능력이 다른 방식에 비해 낮은 것이 약점이 된다. 외부로부터 들어오는 트래픽은 모두 차단하고 내부의 믿을만한 사용자들 을 위해서는 서킷 게이트웨이나 또는 패킷필터링 방식의 방화벽이 필요하다. 결국 인터넷에서의 방화벽구축은 Hybrid 형태로 어떤 곳에서 오는 정보는 패킷 필터링으로 하고 어떤 곳에서 오는 트래픽은 어플리케이션 게이트웨이 방화벽을 사용하는 등 서비스 및 네트웍 특성에 맞게 패킷필 터링 방화벽, 서킷게이트웨이, 어플리케이션 게이트웨이 방화벽을 조합적으로 운영하는 것이 가장 효율적이다고 말할 수 있다.

방화벽이 가져야할 중요한 요구사항은 보안성을 제공하면서 가능한 사용자에게 투명성이 있는 서비스를 제공해야하며, 방화벽 운영자가 운영하기에 편리한 GUI(Graphic User Interface)이다. 방화벽의 하층부위는 거의가 비슷하게 패킷을 잡고 이를 분석해서 자신이 원하는 보안정책의 조건과 비교하여 출입을 통제하고 보기에 좋으며 또한 Log로 남은 정보들을 좀더 지능적으로 처리해서 보여주느냐에 의해서 좋은 방화벽시스템과 별볼일 없는 것이 판가름나게 되는 것이다. 그 외에 좋은 방화벽이 되려면 아래와 같은 요건들을 충족시켜야 한다.

▷ 보안성이 뛰어나야 한다.
▷ 유연성이 뛰어나야 한다.
▷ 방화벽에 가능한 사용자 투명성을 보장해줘야 한다.
▷ 커다란 네트웍에도 적용 가능해야 한다.
▷ 운영자가 사용하기에 편리해야 한다.
▷ 편리하고 보기 좋은 GUI
▷ 정리된 Log 정보를 만들어야 한다.
▷ 다양한 억세스 콘트롤을 지원해야 한다.
▷ 모니터링이 가능해야 한다.
▷ 정보를 분류, 분석해 주는 기능이 있어야 한다.