방화벽 기술 (r1)

패킷 필터링은 가장 기본적이고 역사가 오래된 방화벽 기술이다. 이 기술은 네트워크를 통해 이동하는 개별 패킷의 헤더 정보를 검사하여 통과 여부를 결정한다. 검사 기준은 일반적으로 사전에 정의된 규칙 집합에 기반하며, 주로 출발지 IP 주소, 목적지 IP 주소, 사용 중인 프로토콜, 그리고 출발지 및 목적지 포트 번호를 활용한다.

패킷 필터링의 동작 방식은 매우 직관적이다. 방화벽은 각 패킷이 규칙 목록과 순차적으로 비교하여, 첫 번째로 일치하는 규칙의 액션(허용 또는 차단)을 수행한다. 일반적인 규칙의 예는 "외부의 어떤 주소에서도 내부 네트워크의 23번 포트(텔넷)로 들어오는 모든 패킷을 차단한다"와 같은 형태이다. 이 방식은 OSI 모델의 네트워크 계층(3계층)과 전송 계층(4계층)에서 주로 동작한다.

패킷 필터링 방식의 주요 장단점은 다음과 같다.

이 기술은 초기 라우터에 기본 기능으로 포함되기도 하여, 네트워크 경계에서의 1차적인 보안 장벽 역할을 수행해왔다. 그러나 현대의 복잡한 위협 환경에서는 단독으로 사용되기보다는 상태 기반 검사나 애플리케이션 게이트웨이 등 다른 기술과 결합되어 활용된다.

상태 기반 검사는 패킷 필터링의 한계를 보완한 발전된 기술이다. 이 방식은 단순히 개별 패킷의 헤더 정보만을 검사하는 것이 아니라, 네트워크 연결의 상태를 추적하고 평가하여 통과 여부를 결정한다. 기본적으로 TCP와 같은 연결 지향적 프로토콜에서 세션의 상태(연결 설정, 데이터 전송, 연결 종료)를 모니터링하는 상태 테이블을 유지 관리한다.

동작 원리는 다음과 같다. 방화벽은 내부 네트워크에서 외부로 향하는 첫 번째 패킷(예: SYN 패킷)이 규칙에 허용되면, 해당 연결에 대한 항목을 상태 테이블에 생성한다. 이후 외부에서 들어오는 응답 패킷(예: SYN-ACK 패킷)은 단독으로 규칙을 평가받는 대신, 상태 테이블에 등록된 기존 연결의 일부인지 확인한다. 연결 상태와 일치하는 패킷은 추가 규칙 검사 없이 자동으로 허용된다. 이는 반대 방향의 트래픽에 대해 명시적인 규칙을 작성할 필요를 크게 줄여준다.

주요 장점은 보안성과 효율성 향상이다. 상태 테이블을 통해 정상적인 연결 흐름의 맥락에서 패킷을 검사할 수 있어, 포트 스캔이나 스푸핑 공격과 같은 비정상적인 패킷 시퀀스를 더 효과적으로 차단할 수 있다. 또한, 대부분의 트래픽이 상태 테이블 조회를 통해 빠르게 처리되므로, 패킷별 깊은 검사에 따른 성능 저하를 최소화한다.

이 기술은 현대 대부분의 네트워크 방화벽과 차세대 방화벽의 핵심 구성 요소로 자리 잡았다.

애플리케이션 게이트웨이는 프록시 서버의 개념을 보안에 적용한 형태로, OSI 7계층 중 애플리케이션 계층(7계층)에서 동작한다. 이 방식은 내부 네트워크와 외부 네트워크 간의 직접적인 연결을 차단하고, 방화벽 자체가 양쪽 네트워크의 중간자 역할을 수행한다. 외부에서 들어오는 모든 연결 요청은 먼저 게이트웨이에서 수락된 후, 게이트웨이가 내부 시스템을 대신하여 외부와의 세션을 생성하고 데이터를 검사하여 전달한다[1].

주요 인터넷 프로토콜 서비스별로 전용 프록시 소프트웨어가 필요하다는 특징을 가진다. 예를 들어, 웹 트래픽을 제어하려면 HTTP/HTTPS 프록시가, 파일 전송을 제어하려면 FTP 프록시가 별도로 구성되어야 한다. 각 프록시는 해당 프로토콜의 명령어와 데이터 흐름을 깊이 있게 분석할 수 있어, 단순한 포트 번호 차원을 넘어서는 정교한 필터링이 가능하다. 예를 들어, 웹 프록시는 특정 URL이나 콘텐츠 유형을 차단하거나, 이메일 프록시는 악성 첨부 파일을 검사할 수 있다.

이 방식의 장단점은 다음과 같이 정리할 수 있다.

애플리케이션 게이트웨이는 높은 보안성이 요구되는 환경에서 역사적으로 널리 사용되었으나, 성능 부하와 복잡성으로 인해 오늘날에는 상태 기반 검사 기술과 결합되거나, 특정 목적을 위한 웹 애플리케이션 방화벽 형태로 진화하여 활용된다.

네트워크 방화벽은 네트워크의 경계 지점에 배치되어, 내부 네트워크와 외부 네트워크(주로 인터넷) 사이를 오가는 모든 트래픽을 검사하고 제어하는 하드웨어 장비 또는 소프트웨어 솔루션이다. 이는 기업의 인트라넷이나 데이터 센터와 같은 규모 있는 네트워크 환경에서 가장 일반적으로 사용되는 방화벽 유형이다. 네트워크 방화벽의 주요 목표는 미리 정의된 보안 정책에 따라 허용되지 않은 접근이나 악의적인 트래픽을 차단함으로써 내부 네트워크 자원을 보호하는 것이다.

네트워크 방화벽은 주로 패킷 필터링, 상태 기반 검사, 애플리케이션 게이트웨이 등의 기술을 조합하여 작동한다. 초기에는 단순히 IP 주소와 포트 번호를 기반으로 트래픽을 허용하거나 차단하는 패킷 필터링 방식이 주류를 이루었으나, 현재는 연결 상태를 추적하고 애플리케이션 계층의 프로토콜까지 분석할 수 있는 고급 기능을 갖춘 제품이 표준이다. 이러한 방화벽은 게이트웨이 역할을 하며, 모든 트래픽은 반드시 이를 통과해야 한다.

네트워크 방화벽의 주요 배치 형태는 다음과 같다.

네트워크 방화벽은 외부로부터의 공격을 1차적으로 방어하는 핵심 장비이지만, 내부에서 발생하는 위협이나 암호화된 트래픽 내부의 위험을 완전히 탐지하기 어렵다는 한계를 가진다. 따라서 침입 방지 시스템이나 호스트 기반 방화벽 등 다른 보안 제어 장치와 함께 다층 방어 전략을 구성하여 사용하는 것이 효과적이다.

호스트 기반 방화벽은 네트워크 방화벽과 달리, 개별 컴퓨터나 서버와 같은 단일 호스트 시스템에 설치되어 해당 시스템의 네트워크 트래픽을 모니터링하고 제어하는 소프트웨어 형태의 방화벽이다. 주로 운영 체제에 내장되어 제공되거나 별도의 응용 프로그램으로 설치된다. 이 방화벽의 핵심 역할은 해당 호스트를 출발지 또는 목적지로 하는 모든 네트워크 연결과 데이터 패킷을 검사하여, 미리 정의된 보안 규칙에 따라 허용하거나 차단하는 것이다.

주요 기능으로는 시스템의 특정 포트에 대한 접근 제어, 특정 애플리케이션의 네트워크 통신 허용/차단, 그리고 인바운드(들어오는)와 아웃바운드(나가는) 트래픽에 대한 세밀한 정책 설정이 포함된다. 예를 들어, 사용자는 웹 서버 애플리케이션만 80번 포트로의 인바운드 연결을 허용하거나, 특정 프로그램의 인터넷 접근을 완전히 차단하는 규칙을 설정할 수 있다.

호스트 기반 방화벽은 네트워크 방화벽이 탐지하기 어려운 내부 네트워크의 위협이나, 호스트 내부의 악성 프로그램이 외부로 데이터를 유출시키려는 시도(아웃바운드 트래픽)를 차단하는 데 효과적이다. 따라서 기업 환경에서는 네트워크 경계를 보호하는 네트워크 방화벽과 함께, 심층 방어 전략의 일환으로 최종 사용자 장치나 중요 서버에 호스트 기반 방화벽을 추가로 배치하는 것이 일반적이다. 대표적인 예로 마이크로소프트 윈도우의 'Windows 방화벽'이나 리눅스의 iptables/nftables, 맥OS의 '방화벽'이 있다.

차세대 방화벽은 전통적인 방화벽의 기능에 침입 방지 시스템, 애플리케이션 계층 제어, 심층 패킷 검사 등의 고급 기능을 통합한 보안 솔루션이다. 이는 단순한 포트와 IP 주소 기반의 차단을 넘어, 네트워크 트래픽에 포함된 애플리케이션, 사용자, 콘텐츠를 식별하고 제어할 수 있다. 클라우드 컴퓨팅과 모바일 환경의 확산, 암호화 트래픽의 증가 등 변화하는 위협 환경에 대응하기 위해 발전되었다.

주요 기능은 다음과 같다.

차세대 방화벽은 기업의 내부 네트워크 세분화, 원격 근무 보안 강화, 암호화된 트래픽의 가시성 확보 등에 효과적으로 활용된다. 이를 통해 정교해지는 APT와 같은 지능형 지속 공격에 대한 방어 능력을 향상시킬 수 있다.

스크리닝 라우터는 가장 기본적인 형태의 방화벽 배치 전략 중 하나이다. 이 방식은 일반적인 라우터에 패킷 필터링 기능을 추가하여, 네트워크 경계에서 IP 주소와 포트 번호를 기준으로 트래픽을 허용하거나 차단한다. 스크리닝 라우터는 주로 내부 네트워크와 외부 네트워크 사이의 유일한 게이트웨이로 배치되어 초기 방어선 역할을 수행한다.

이 방식의 주요 장점은 구현이 간단하고 비용 효율적이라는 점이다. 기존의 라우터 장비에 필터링 규칙을 설정하는 것만으로도 기본적인 네트워크 보안을 달성할 수 있다. 또한, 네트워크 계층에서 동작하기 때문에 처리 속도가 비교적 빠르다. 그러나 단점으로는 세밀한 제어가 어렵다는 점을 들 수 있다. 패킷 필터링은 패킷의 헤더 정보만을 검사하므로, 패킷의 내용이나 연결 상태를 분석하지 못한다. 이로 인해 IP 스푸핑 공격에 취약할 수 있으며, 허용된 포트를 통해 악성 트래픽이 유입될 위험이 있다.

스크리닝 라우터의 구성은 주로 액세스 제어 목록을 통해 이루어진다. 관리자는 허용할 프로토콜과 포트, 출발지 및 목적지 IP 주소를 명시한 규칙을 순서대로 나열하여 설정한다. 아래는 간단한 규칙 구성의 예시이다.

현대의 복잡한 네트워크 환경에서는 스크리닝 라우터만으로는 충분한 보안을 제공하기 어렵다. 따라서 이는 종종 베스천 호스트나 차세대 방화벽과 같은 더 강력한 방화벽 구성 요소와 함께 다층 방어 체계의 첫 번째 계층으로 사용된다.

베스천 호스트는 내부 네트워크와 외부 네트워크 사이에 위치하는 단일 게이트웨이 시스템이다. 모든 내외부 통신은 반드시 이 호스트를 경유해야 하며, 이 호스트만이 직접적인 외부 접촉을 허용받는다. 이로 인해 내부 네트워크의 다른 시스템들은 외부로부터 직접적인 공격을 받을 위험이 크게 줄어든다. 베스천 호스트는 강화된 보안 설정이 적용되고 철저하게 모니터링되는 것이 일반적이다.

베스천 호스트의 주요 구성 방식은 두 가지이다. 첫 번째는 이중 홈드 게이트웨이로, 두 개의 네트워크 인터페이스 카드를 가진 호스트를 사용한다. 하나의 인터페이스는 내부 네트워크에, 다른 하나는 외부 네트워크에 연결되어 물리적으로 네트워크를 분리한다. 두 번째는 스크리닝 호스트 방식으로, 스크리닝 라우터와 단일 홈드 베스천 호스트를 조합하여 사용한다. 이 경우 라우터가 초기 필터링을 수행한 후, 허용된 트래픽만 베스천 호스트로 전달된다.

이 방식의 장점은 보안 관리가 단일 지점에 집중되어 정책 적용과 감사가 용이하다는 점이다. 그러나 단일 실패점이 될 수 있으며, 모든 트래픽이 하나의 통로를 지나가므로 병목 현상이 발생할 가능성이 있다. 또한, 베스천 호스트 자체가 침해당하면 내부 네트워크 전체가 노출될 수 있는 위험성을 내포한다.

따라서 베스천 호스트는 철저한 경화와 지속적인 모니터링, 정기적인 보안 업데이트가 필수적으로 요구된다. 이는 더 복잡한 DMZ 구성의 기본이 되는 개념 중 하나이다.

DMZ(Demilitarized Zone, 비무장 지대)는 내부 네트워크와 외부 네트워크 사이에 위치한 중립적인 네트워크 구역이다. 이 구역은 외부에 공개해야 하는 서버(예: 웹 서버, 메일 서버, DNS 서버)를 배치하는 데 사용된다. DMZ의 핵심 목적은 외부 공격자가 내부 네트워크에 직접 접근하는 것을 차단하는 것이다. 공격자가 DMZ 내 서버를 침해하더라도, 내부 네트워크는 추가적인 방화벽에 의해 보호받는다.

일반적인 DMZ 구성은 이중 방화벽(Dual Firewall) 구조를 따른다. 외부 방화벽과 내부 방화벽 사이에 DMZ 네트워크를 배치한다. 외부 방화벽은 외부에서 DMZ로 들어오는 트래픽만 제한적으로 허용하고, 내부 방화벽은 DMZ에서 내부 네트워크로 들어오는 트래픽을 엄격하게 통제한다. 내부 네트워크 사용자가 외부 인터넷에 접속할 때는 일반적으로 DMZ를 경유하지 않고 외부 방화벽을 직접 통과한다.

DMZ의 보안 정책은 일반적으로 다음과 같이 설정된다.

이러한 구성은 서비스 가용성과 내부 네트워크 보안을 동시에 만족시킨다. 공개 서버는 외부 사용자에게 정상적으로 서비스를 제공하면서도, 침해 사고 발생 시 피해를 DMZ로 격리시킬 수 있다.

방화벽 정책 설정의 핵심은 기본 동작을 어떻게 정의하느냐에 따라 크게 허용 정책과 차단 정책으로 구분된다. 이 두 방식은 네트워크 트래픽에 대한 접근 제어의 기본 철학을 반영한다.

허용 정책은 "명시적으로 허용된 트래픽만 통과시키고, 나머지는 모두 차단한다"는 원칙을 따른다. 이는 기본 동작을 차단으로 설정한 뒤, 필요한 서비스나 연결에 대해서만 예외 규칙을 추가하는 방식이다. 예를 들어, 웹 서버를 운영한다면 80번(HTTP)과 443번(HTTPS) 포트에 대한 인바운드 연결만 허용 규칙으로 열어두고, 다른 모든 포트는 차단된다. 이 방식은 보안을 최우선으로 하며, 알려지지 않은 위협으로부터 보호하는 데 유리하다. 초기 설정이 복잡할 수 있지만, 기본적으로 폐쇄적인 구조를 가지므로 보안성이 높은 것으로 평가된다.

반면, 차단 정책은 "명시적으로 차단된 트래픽만 막고, 나머지는 모두 허용한다"는 원칙을 따른다. 기본 동작을 허용으로 설정한 상태에서, 알려진 위협이나 불필요한 서비스에 대한 연결만 차단 규칙으로 명시한다. 이 방식은 사용 편의성과 네트워크 접근의 용이성을 중시한다. 그러나 새로운 형태의 공격이나 미처 규칙에 등록되지 않은 악성 트래픽이 기본 허용 정책에 의해 무차별적으로 통과될 수 있어 보안 위험이 크다. 따라서 일반적으로 엔터프라이즈 환경에서는 허용 정책이 표준으로 권장된다.

두 정책의 선택은 조직의 보안 요구사항과 운영 환경에 따라 결정된다. 높은 보안이 요구되는 내부 네트워크나 데이터 센터에서는 허용 정책이, 비교적 제한이 적고 개방성이 필요한 일부 환경에서는 차단 정책이 적용될 수 있다. 효과적인 방화벽 운영을 위해서는 선택한 기본 정책에 따라 세밀한 규칙을 설계하고 정기적으로 검토하는 것이 필수적이다.

방화벽 정책은 일반적으로 순서대로 평가되는 규칙 목록으로 구성됩니다. 각 규칙은 특정 조건(예: 출발지/목적지 IP 주소, 포트 번호, 프로토콜)과 일치하는 트래픽에 대해 허용 또는 차단할 동작을 정의합니다. 시스템은 위에서 아래로 규칙을 순차적으로 검사하며, 트래픽이 특정 규칙의 조건과 처음으로 일치하면 해당 규칙의 동작(허용 또는 차단)이 적용되고 이후 규칙은 평가되지 않습니다. 따라서 규칙의 배치 순서는 방화벽의 동작에 결정적인 영향을 미칩니다.

규칙 우선순위를 설정할 때는 일반적으로 "구체적인 규칙을 일반적인 규칙보다 먼저 배치"하는 원칙을 따릅니다. 예를 들어, 특정 IP 주소에서의 접근을 차단하는 규칙은 모든 IP 주소의 접근을 허용하는 일반적인 규칙보다 목록 상단에 위치해야 합니다. 그렇지 않으면 일반적인 허용 규칙이 먼저 적용되어 특정 IP 차단 규칙이 무시될 수 있습니다. 또한, 명시적인 차단 규칙은 보안 정책상 허용 규칙보다 우선시되어 상위에 배치되는 경우도 있습니다.

잘못된 규칙 순서는 보안 허점을 만들거나 의도하지 않은 서비스 중단을 초래할 수 있습니다. 따라서 정책 설정 후에는 테스트를 통해 트래픽이 예상대로 허용 및 차단되는지 검증하는 것이 필수적입니다. 많은 방화벽 시스템은 규칙 충돌을 감지하거나 규칙 적용 순서를 시각적으로 보여주는 관리 도구를 제공합니다.

위 표는 규칙 우선순위의 예를 보여줍니다. 규칙 1과 2처럼 구체적인 규칙이 상위에 위치하며, 가장 일반적인 "모든 트래픽 차단" 규칙(규칙 4)은 항상 목록의 가장 마지막에 배치되어 암시적 거부 정책을 구현합니다.

침입 탐지 시스템은 네트워크나 호스트에서 발생하는 트래픽과 이벤트를 실시간으로 모니터링하여, 사전에 정의된 정책이나 이상 행위 패턴에 위배되는 활동을 탐지하고 관리자에게 알리는 보안 시스템이다. 주요 탐지 방법으로는 시그니처 기반 탐지와 이상 기반 탐지가 있다. 시그니처 기반 탐지는 알려진 공격 패턴(시그니처) 데이터베이스와 비교하여 공격을 식별하는 반면, 이상 기반 탐지는 정상적인 활동의 기준(베이스라인)을 설정하고 이를 벗어나는 행위를 의심스러운 활동으로 판단한다.

침입 방지 시스템은 침입 탐지 시스템의 기능에 차단 능력을 추가한 능동적 시스템이다. 탐지된 악의적 트래픽이나 정책 위반 행위를 단순히 경고하는 데 그치지 않고, 실시간으로 해당 연결을 차단하거나 패킷을 폐기하는 등의 조치를 취하여 공격을 사전에 차단한다. 이는 방화벽이 정책 기반의 접근 통제에 집중하는 반면, IPS는 트래픽의 내용과 행위를 깊이 분석(딥 패킷 인스펙션)하여 응용 계층 공격까지 막는 것을 목표로 한다.

방화벽과의 연동은 보안 체계를 강화한다. 일반적인 구성은 다음과 같다.

이러한 시스템은 방화벽의 고정된 규칙 기반 필터링만으로는 대응하기 어려운 복잡한 애플리케이션 계층 공격, 제로데이 공격, 또는 내부 네트워크에서 발생하는 위협을 보완한다. 따라서 현대의 통합 보안 아키텍처에서는 방화벽, IDS/IPS, 보안 정보 및 이벤트 관리 시스템 등이 함께 구성되어 다층적인 방어를 구축한다.

가상 사설망(Virtual Private Network, VPN)은 공중망(주로 인터넷)을 통해 마치 전용 회선처럼 안전하고 사설적인 통신 경로를 구축하는 기술이다. 방화벽과 함께 사용될 때, 외부 네트워크로부터의 접근을 통제하는 방화벽의 한계를 보완하며, 원격 접속 사용자나 지사 네트워크의 트래픽을 안전하게 내부 네트워크로 전달하는 통로 역할을 한다.

VPN은 암호화와 터널링 프로토콜을 핵심으로 작동한다. 데이터는 송신 측에서 암호화되어 공중망을 통해 전송되며, 수신 측에서만 복호화된다. 이 과정에서 데이터의 기밀성과 무결성이 보장된다. 주요 VPN 프로토콜로는 IPsec, SSL/TLS, OpenVPN 등이 있다. 방화벽은 종종 VPN 게이트웨이 기능을 내장하여, 허용된 VPN 터널을 통해서만 내부 리소스에 대한 접근을 허용하는 정책을 수립한다.

VPN의 일반적인 배치 모드는 다음과 같다.

방화벽 정책에서 VPN 트래픽은 특별히 관리된다. 일반적으로 방화벽은 VPN 터널이 구축된 특정 포트와 프로토콜(예: UDP 500, 4500 for IPsec)의 트래픽만 허용하며, 터널 내부의 암호화된 트래픽은 방화벽의 상태 기반 검사나 애플리케이션 게이트웨이의 심층 검사를 받지 않을 수 있다. 이는 성능을 높이지만, 내부로 유입된 악성 트래픽의 위험을 증가시킬 수 있다. 따라서 VPN 접속 사용자에게도 엄격한 인증과 최소 권한 원칙이 적용되며, 경우에 따라 VPN 세션 내 트래픽을 다시 검사하는 차세대 방화벽이 활용되기도 한다.

클라우드 기반 방화벽은 클라우드 컴퓨팅 인프라에서 운영되며, 클라우드 환경의 가상 머신, 컨테이너, 서버리스 애플리케이션 등을 보호하는 데 특화된 방화벽 서비스이다. 기존의 물리적 하드웨어 장비에 의존하던 방식과 달리, 소프트웨어로 정의되고 클라우드 공급자의 관리 플랫폼을 통해 중앙에서 제어 및 배포된다. 이는 퍼블릭 클라우드, 프라이빗 클라우드, 하이브리드 클라우드 등 다양한 배포 모델에 유연하게 적용될 수 있다.

주요 기능으로는 가상 네트워크 세그먼트 간의 트래픽을 제어하는 클라우드 네트워크 보안 그룹, 그리고 클라우드와 인터넷 경계에서 동작하는 완전 관리형 방화벽 서비스가 포함된다. 이러한 서비스는 탄력적인 확장성을 제공하여 트래픽 양의 급증에 따라 자동으로 규모를 조정하며, 사용한 만큼만 비용을 지불하는 종량제 모델이 일반적이다.

클라우드 기반 방화벽의 배포 방식은 다음과 같이 구분된다.

이 기술은 특히 분산된 멀티 클라우드 환경에서 중앙 집중식 정책 관리와 통합 보안 모니터링을 가능하게 하여 운영 효율성을 높인다. 그러나 클라우드 공급자에 대한 종속성 증가와, 클라우드 내부의 동-서향 트래픽 보호에 대한 고려가 필요하다는 점이 과제로 지적된다.

웹 애플리케이션 방화벽(Web Application Firewall, WAF)은 전통적인 네트워크 방화벽이나 침입 방지 시스템이 탐지하기 어려운, 웹 애플리케이션 계층(OSI 7계층 모델의 응용 계층)을 대상으로 하는 공격을 방어하는 데 특화된 보안 솔루션이다. 주로 HTTP와 HTTPS 트래픽을 분석하여 SQL 삽입, 크로스 사이트 스크립팅(XSS), 파일 포함 취약점, CSRF 공격 등 웹 애플리케이션의 취약점을 악용하는 공격을 실시간으로 차단한다.

WAF는 일반적으로 리버스 프록시 형태로 배치되어 웹 서버 앞단에서 모든 클라이언트 요청을 검사한다. 공격 패턴을 정의한 시그니처 기반 규칙 집합과, 정상적인 요청의 일반적인 행동 패턴을 학습하여 이상을 탐지하는 비정상 탐지 방식을 함께 사용한다. 배포 방식은 다음과 같이 구분된다.

WAF의 주요 기능은 악의적인 트래픽을 차단하는 것 외에도, DoS 공격 완화, 중요 데이터(예: 신용카드 번호) 마스킹, 상세한 접근 로그 수집 및 분석을 포함한다. 특히 OWASP에서 발표하는 주요 웹 애플리케이션 보안 위협 Top 10에 대응하는 핵심 도구로 평가받는다. 그러나 WAF는 애플리케이션 자체의 보안 취약점을 제거하는 것이 아니라 공격 트래픽을 필터링하는 것이므로, 안전한 코딩 관행과 정기적인 보안 테스트를 대체할 수 없다는 한계를 지닌다[4].