| 1 |
1
가상화 기반 망분리 방법에 있어서,클라이언트 내 실제 운영체제와 논리적으로 분리되는 가상 환경을 생성하는 과정과,소정의 프로세스 실행 시 상기 프로세스의 네트워크 연결 시도여부를 확인하여 네트워크 연결을 시도하고자 하는 프로세스를 식별하는 과정과,상기 식별된 프로세스가 실제 운영체제 혹은 상기 생성된 가상환경 내에서 실행된 프로세스 여부에 따라 선택 제어 신호에 의해 라우팅되어 TCP/IP를 통해 미리 설정된 네트워크 인터페이스로 연결되는 과정과,상기 프로세스에 할당된 IP 주소의 망 타입에 따라 네트워크 연결 여부를 결정하는 과정을 포함함을 특징으로 하는 가상화 기반 망분리 방법
|
| 2 |
2
제1항에 있어서, 상기 식별된 프로세스가 클라이언트 내 실제 운영체제에서 실행된 프로세스인 경우 NIC(Network Interface Card) 선택부에 의해 라우팅되어 TCP/IP를 통해 내부망에 연결된 물리 NIC로 네트워크 연결됨을 특징으로 하는 가상화 기반 망분리 방법
|
| 3 |
3
제1항에 있어서,상기 식별된 프로세스가 가상환경 내에서 실행된 가상 프로세스인 경우 NIC(Network Interface Card) 선택부에 의해 라우팅되어 TCP/IP를 통해 가상 NIC로 네트워크 연결됨을 특징으로 하는 가상화 기반 망분리 방법
|
| 4 |
4
제1항에 있어서, 상기 가상환경 내에서 실행된 프로세스는 외부망에만 접근 가능함을 특징으로 하는 가상화 기반 망분리 방법
|
| 5 |
5
제1항에 있어서, 상기 클라이언트 내 실제 운영체제에서 실행된 프로세스는 내부망에만 접근 가능함을 특징으로 하는 가상화 기반 망분리 방법
|
| 6 |
6
제3항에 있어서, 상기 가상 NIC는,패킷의 터널링을 수행하고, 상기 터널링된 패킷은 내부망에 연결된 물리 NIC로 네트워크 연결됨을 특징으로 하는 가상화 기반 망분리 방법
|
| 7 |
7
제6항에 있어서, 상기 터널링된 패킷의 목적지 IP 주소에 해당하는 VPN 서버에서 상기 터널링된 패킷들 내에 네크워크 프로토콜을 디캡슐화하여 고유 목적지 IP 주소를 획득하고, 상기 획득된 고유 목적지 IP 주소가 외부망인 경우 네트워크 연결을 수행하고, 내부망 혹은 VPN 서버인 경우 네트워크 연결을 중단함을 특징으로 하는 가상화 기반 망분리 방법
|
| 8 |
8
제1항에 있어서, 상기 망 타입은,내부망 및 외부망을 포함하는 것으로, 하나의 망으로 구축되어 클라이언트에 부여된 서로 다른 IP를 통해 상기 클라이언트에서 선택적으로 연결됨을 특징으로 하는 가상화 기반 망분리 방법
|
| 9 |
9
제1항에 있어서, 상기 프로세스는,상기 프로세스에서 처리하는 정보 특성에 따른 정책에 따라 망 타입별로 접근 가능하도록 네트워크 망 접근 권한이 미리 할당됨을 특징으로 하는 가상화 기반 망분리 방법
|
| 10 |
10
가상화 기반 망분리 시스템에 있어서,실제 운영체제와 논리적으로 분리되는 가상 환경을 생성하고, 소정의 프로세스 실행 시 상기 프로세스의 네트워크 연결시도 여부를 확인하여 네트워크 연결을 시도하고자 하는 프로세스를 식별하고, 상기 식별된 프로세스가 실제 운영체제 혹은 상기 생성된 가상환경 내에서 실행된 프로세스 여부에 따라 선택 제어 신호에 의해 라우팅되어 TCP/IP를 통해 미리 설정된 네트워크 인터페이스로 연결되도록 제어하고, 상기 프로세스에 할당된 IP 주소의 망 타입에 따라 네트워크 연결 여부를 결정하는 클라이언트 단말과,네트워크를 통해 상기 클라이언트 단말이 통신을 수행하도록 하나의 네트워크로 구축되어 상기 클라이언트에 부여된 서로 다른 IP를 통해 상기 클라이언트에서 선택적으로 연결되는 내부망 및 외부망과,상기 외부망에 연결된 VPN 서버를 포함함을 특징으로 하는 가상화 기반 망분리 시스템
|
| 11 |
11
제10항에 있어서, 상기 클라이언트는,실제 운영체제 하에 실행되는 다수의 프로세스와 상기 실제 운영체제와 논리적으로 분리된 가상환경 하에 실행되는 다수의 프로세스를 관리하는 작업 관리부와,상기 클라이언트 내에서 실행된 프로세스의 타입에 따라 네트워크 연결을 위한 로컬 IP를 미리 설정된 NIC(Network Interface Card)의 IP로 TCP/IP부에게 설정하는 NIC 선택부와,상기 NIC 선택부에서 설정된 네트워크 연결을 위한 로컬 IP 주소를 이용하여 라우팅 테이블에서 네트워크 연결을 위한 상기 NIC로 패킷을 보내는 TCP/IP부로 구성된 제어부와,상기 TCP/IP부로부터 수신된 패킷에 대해서 패킷 터널링을 수행하여 내부망에 연결된 물리 NIC으로 출력하는 가상 NIC와,상기 TCP/IP부로부터 받은 패킷 또는 상기 가상 NIC로부터 받은 패킷을 전송하는 물리 NIC를 포함함을 특징으로 하는 가상화 기반 망분리 시스템
|
| 12 |
12
제11항에 있어서, 상기 NIC 선택부는,현재 실행 중인 프로세스의 네트워크 연결시도 여부를 확인하여 네트워크 연결을 시도하고자 하는 프로세스를 식별하고, 상기 식별된 프로세스가 클라이언트 내 실제 운영체제에서 실행된 프로세스인 경우, 네트워크 연결을 위한 로컬 IP를 상기 물리 NIC의 IP로 상기 TCP/IP부에 설정하여, 상기 TCP/IP부를 통해 상기 물리 NIC으로 패킷을 보내도록 제어함을 특징으로 하는 가상화 기반 망분리 시스템
|
| 13 |
13
제11항에 있어서, 상기 NIC 선택부는,상기 식별된 프로세스가 클라이언트 내 가상 환경 내에서 실행된 프로세스인 경우, 네트워크 연결을 위한 로컬 IP를 상기 가상 NIC의 IP로 상기 TCP/IP부에 설정하여, 상기 TCP/IP부를 통해 가상 NIC(224)으로 패킷을 보내도록 제어함을 특징으로 하는 가상화 기반 망분리 시스템
|
| 14 |
14
제11항에 있어서, 상기 TCP/IP부는, 상기 NIC 선택부에서 설정된 네트워크 연결을 위한 로컬 IP 주소를 이용하여 라우팅 테이블에서 네트워크 연결을 위한 로컬 IP 주소가 상기 물리 NIC의 로컬 IP 주소이면, 상기 물리 NIC으로 패킷을 보내고, 상기 가상 NIC(224)의 로컬 IP 주소이면, 상기 가상 NIC(224)으로 패킷을 전송함을 특징으로 하는 가상화 기반 망분리 시스템
|
| 15 |
15
제11항에 있어서, 상기 가상 NIC는,상기 TCP/IP부로부터 수신된 패킷에 대해서 패킷 터널링을 수행하여 상기 물리 NIC로 전송함을 특징으로 하는 가상화 기반 망분리 시스템
|
| 16 |
16
제11항에 있어서, 상기 물리 NIC는,상기 TCP/IP로부터 받은 패킷 또는 상기 가상 NIC부로부터 받은 패킷을 전송하는 것으로, 상기 패킷의 목적지 IP 주소가 내부망인 경우 연결된 내부망으로 네트워크 연결이 수행되고, 상기 패킷의 목적지 IP가 외부망 IP 주소인 경우 외부망으로 네트워크 연결이 차단됨을 특징으로 하는 가상화 기반 망분리 시스템
|
| 17 |
17
제11항에 있어서, 상기 물리 NIC는,상기 가상 NIC로부터 받은 패킷 전송인 경우 목적지 IP 주소가 VPN 서버 IP 주소를 갖는 패킷이 터널링된 패킷이고, 상기 패킷은 내부망 전송이 차단되고, 상기 VPN 서버로 전송을 수행함을 특징으로 하는 가상화 기반 망분리 시스템
|
| 18 |
18
제10항에 있어서, 상기 VPN 서버는,상기 클라이언트로부터 패킷을 수신하여 수신된 패킷의 터널링(tunneling) 여부를 검사하여, 수신된 패킷이 터널링 패킷이 아니면 패킷을 차단하고, 터널링 패킷이면 디캡슐화하여 패킷으로부터 고유 목적지 IP 주소를 획득하고, 상기 획득된 목적지 IP 주소가 외부망이 아닌 경우 네트워크 연결을 차단하고, 상기 획득된 목적지 IP 주소가 외부망인 경우 네트워크 연결을 수행함을 특징으로 하는 가상화 기반 망분리 시스템
|
