Inline / out of Paths - 웹 보안에 대한 기술 방식

1. Inline (인라인) 방식

네트워크 장비(방화벽, IDS/IPS, WAF, 로드밸런서 등)가 트래픽 경로 중간에 직접 배치되어 모든 패킷이 반드시 해당 장비를 통과하도록 설정하는 방식입니다.
즉, 네트워크 장비가 트래픽을 직접 필터링, 모니터링, 또는 수정할 수 있습니다.

✅ 실시간 트래픽 처리 → 모든 패킷이 장비를 지나므로 즉각적인 정책 적용이 가능

✅ 강력한 보안 기능 → 침입 방지 시스템(IPS)과 같은 솔루션이 실시간 차단을 수행할 수 있음

✅ 트래픽 제어 용이 → QoS, 트래픽 셰이핑(Shaping) 등을 직접 수행 가능

❌ 단일 장애점(Single Point of Failure) 가능성 → 장비 장애 발생 시 트래픽 단절 가능

❌ 대역폭 및 성능 이슈 → 장비의 처리 능력에 따라 성능 저하 가능

네트워크 장비가 트래픽 경로의 바깥(Out of Path) 에 위치하여, 트래픽을 직접 통과시키지 않고 미러링(Span 포트), NetFlow/SFlow, 또는 API 등을 통해 트래픽 정보를 수집하는 방식입니다.
장비가 트래픽을 직접 처리하지 않기 때문에 패킷의 흐름에 영향을 주지 않음.

✅ 네트워크 성능 영향 없음 → 트래픽 경로에 직접 개입하지 않으므로 성능 저하 없음

✅ 고장 발생 시 네트워크 영향 없음 → 장비 장애 시에도 트래픽 흐름 유지

✅ 다양한 환경에서 유연한 배치 가능 → 미러링, API 연동 등을 활용

❌ 실시간 트래픽 제어 어려움 → IPS처럼 공격을 즉시 차단할 수 없음

❌ 별도의 네트워크 구성 필요 → 트래픽을 수집하기 위한 미러링, NetFlow, TAP 장비 등이 필요

구분 Inline (인라인) Out of Path (아웃 오브 패스)

IPS (인라인) + IDS (아웃 오브 패스) 조합
- IPS를 인라인으로 배치하여 악성 트래픽을 실시간 차단
- IDS를 아웃 오브 패스로 배치하여 공격 시그니처 및 이상 행동 감지
DDoS 보호 시스템
- 네트워크 경로 외부에서 트래픽 분석기(Out of Path)가 DDoS 패턴 탐지
- 탐지된 공격을 기반으로 인라인 DDoS 방어 장비가 차단 수행
클라우드 환경
- AWS, Azure 등의 네트워크 보안 그룹(Security Group) 은 인라인 방식으로 동작
- 별도의 클라우드 보안 모니터링(Azure Sentinel, AWS GuardDuty) 등은 Out of Path 방식

유니캐스트 , 멀티캐스트 , 브로드캐스트 (0)	2025.04.02
-2 Prometheus PromQL 과 사용법 (0)	2025.03.11
-1. Prometheus와 도입 이유 (0)	2025.03.11
리틀 엔디언 (Little Endian) vs 빅 엔디언 (Big Endian) (0)	2025.02.07
nginx , Docker를 기반하여 포트포워딩 하는 법 (0)	2025.01.09