Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

플로우에 대한 통합 정책 지원

Junos OS 릴리스 18.2R1부터 SRX 시리즈 방화벽에서 통합 정책이 지원되어 보안 정책 내에서 동적 레이어 7 애플리케이션을 세부적으로 제어하고 시행할 수 있습니다. 통합 정책은 시간 경과에 따른 애플리케이션 변경을 감지하기 위해 기존 5튜플 또는 6튜플(사용자 방화벽이 있는 5튜플) 일치 조건의 일부로 동적 애플리케이션을 일치 조건으로 사용할 수 있도록 하는 보안 정책입니다.

통합 정책을 사용하면 동적 애플리케이션을 애플리케이션의 정책 일치 기준으로 사용할 수 있습니다. 트래픽에 AppID(Application Identification)를 적용할 때 AppID는 여러 패킷을 확인하고 애플리케이션을 식별합니다. 애플리케이션이 식별되면 최종 정책이 세션에 적용됩니다. 허용, 거부, 거부 또는 리디렉션과 같은 정책 작업은 정책에 따라 트래픽에 적용됩니다.

동적 애플리케이션이 식별되기 전에 발생하는 초기 정책 조회 단계에서 잠재적 정책 목록에 여러 정책이 있는 경우 SRX 시리즈 방화벽은 보다 명시적인 일치가 발생할 때까지 기본 보안 정책을 적용합니다. 애플리케이션과 가장 일치하는 정책이 최종 정책입니다.

통합 정책에 대한 자세한 내용은 [통합 보안 정책, 통합 정책에 대한 애플리케이션 식별 지원통합 정책에 대한 침입 탐지 및 방지(IDP) 정책 지원 이해]를 참조하십시오.

통합 정책을 위한 플로우 우선 경로

디바이스는 플로우의 첫 번째 패킷을 검사할 때 해당 보안 정책을 결정하고 보안 정책 조회를 수행합니다. 이 과정에서 다음과 같은 경우가 관찰됩니다.

  • 트래픽이 레거시 보안 정책 또는 최종 정책과 일치하면 세션이 생성됩니다.

  • 잠재적 정책 목록에 여러 정책이 있고 보안 정책 충돌이 있는 경우 기본 보안 정책이 적용됩니다.

  • 잠재적 정책 목록에 여러 정책이 있고 정책 작업이 트래픽을 허용하지 않는 경우 세션이 닫힙니다. 세션 종료 이유를 나타내는 로그 메시지가 생성됩니다. 잠재적 정책 목록의 각 정책은 MSS, TCP SYN 검사, 세션 시간 초과 간격 등에 대해 서로 다른 구성 값을 가지므로 정책 충돌 단계에서 기본 보안 정책이 필요합니다. 이 경우 기본 보안 정책이 적용되면 해당 정책에 구성된 모든 값이 적용됩니다. 기본 보안 정책이 일치하면 정책 작업이 세션에 적용됩니다.

    메모:

    • 기본 보안 정책은 시스템 정의 정책입니다. 이 정책은 삭제할 수 없습니다.

    • 기본 정책은 글로벌 기본 정책과 유사하게 모든 논리적 시스템 수준에서 생성됩니다.

    • 세션 시간 초과 간격 및 세션 로그 값은 기본 보안 정책에서 활용되며 TCP-MSS 및 TCP SYN과 같은 기본값은 플로우 구성에서 활용됩니다.

  • 기본 정책이 적용되면 정책 작업에 대한 잠재적 메타데이터가 할당됩니다. 잠재적 메타데이터는 잠재적 정책 목록에 따라 업데이트됩니다.

    메모:

    • 기본 보안 정책이 있으면 잠재적 정책 목록을 해결하는 데 도움이 됩니다.

    • 기본 보안 정책과 일치하는 여러 세션이 있을 수 있습니다. 그러나 허용된 트래픽에 대해 정책에 정의된 애플리케이션 서비스는 다를 수 있습니다. 각 세션에 대한 보안 플로우 정보가 저장됩니다.

    • SRX 시리즈 방화벽이 섀시 클러스터 모드에서 작동할 때, 정보는 플로우 세션 및 섀시 클러스터 실시간 객체(RTO)와 함께 기본 노드에서 보조 노드로 동기화됩니다.

  • 최종 애플리케이션이 식별되면 최종 애플리케이션과 일치하는 보안 정책이 적용됩니다. 후속 패킷은 최종 정책에 따라 처리됩니다.

플로우 빠른 경로 이해하기

플로우의 첫 번째 패킷이 디바이스를 통과하고 이에 대한 세션이 설정된 후에는 빠른 경로 처리를 거칩니다. 디바이스가 기본 정책으로 보안 플로우 세션을 검사할 때 보안 정책 조회를 수행하고 다음과 같은 사례가 관찰됩니다.

  • 기존 애플리케이션 ID에 업데이트가 필요한 경우 정책 조회 프로세스가 반복됩니다. 이 프로세스는 보안 플로우 세션에서 명시적 정책이 반환되고 대체될 때까지 반복됩니다. 암시적 정책이 반환되면 트래픽이 거부되고 세션이 닫힙니다.

  • 최종 애플리케이션이 식별되면 트래픽과 일치하는 최종 정책이 적용됩니다. 기본 정책과 최종 정책의 정책 작업이 유사한 경우 최종 정책이 보안 플로우 세션의 기본 정책을 대체합니다. 기본 정책과 최종 정책의 정책 작업이 다른 경우 기본 정책이 유지되고 보안 플로우 세션이 닫힙니다.

    메모:

    거부 작업이 있는 최종 정책과 기본 정책이 일치하면 보안 흐름 세션이 닫힙니다.

  • 세션을 업데이트하기 위해 최종 정책의 세션 시간 초과, 로그 또는 카운터 구성이 사용됩니다.

기본 보안 정책에 대한 세션 로그 구성

기본 보안 정책은 잠재적 정책 목록에서 정책 충돌을 관리하는 데 필요합니다. 기본 보안 정책 구성에서 필요한 세션에 대한 세션 로그를 설정할 수 있습니다.

세션이 끝날 때와 세션이 시작될 때 다음 명령을 사용하여 로깅을 활성화할 수 있습니다.

  1. 글로벌 pre-id-default-policy에 입력하는 정책에 대한 Session_Create 로그를 생성합니다.
    주의:

    에 대한 로깅을 구성 session-init 하면 많은 양의 로그가 생성될 수 있습니다 pre-id-default-policy . 처음에 일치하는 pre-id-default-policy SRX에 들어가는 각 세션은 이벤트를 생성합니다. 이 옵션은 문제 해결 목적으로만 사용하는 것이 좋습니다.
  2. 전역 pre-id-default-policy를 종료하지 않고 닫히는 정책에 대한 Session_Close 로그를 생성합니다.

pre-id-default-policy 내에서 세션 닫기 로깅을 활성화하는 것이 좋습니다. 이렇게 하면 플로우가 pre-id-default-policy를 벗어날 수 없는 경우 SRX에서 보안 로그가 생성됩니다. 이러한 이벤트는 일반적으로 주니퍼 네트웍스 JDPI(Deep Packet Inspection)가 트래픽을 제대로 분류하지 못해 발생합니다. 이 이벤트는 AppID(애플리케이션 ID) 엔진을 회피하려는 잠재적인 시도를 나타낼 수도 있습니다.

기본 보안 정책에 대한 세션 시간 초과 구성

기본 보안 정책 구성에서 필요한 세션에 대한 세션 시간 초과를 설정할 수 있습니다. 명령을 사용하여 UDP, TCP, ICMP 및 ICMP6 세션에 대한 시간 제한 값을 지정할 수 있습니다.set security policies pre-id-default-policy then session-timeout

  • TCP 세션의 시간 초과 값을 초 단위로 지정합니다.
  • UDP 세션의 시간 초과 값을 초 단위로 지정합니다.
  • ICMP 세션에 대한 시간 초과 값을 초 단위로 지정합니다.
  • ICMP6 세션의 시간 초과 값을 초 단위로 지정합니다.

관련 문서

변경 내역 테이블

기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

석방
묘사
18.2R1
Junos OS 릴리스 18.2R1부터 SRX 시리즈 방화벽에서 통합 정책이 지원되어 보안 정책 내에서 동적 레이어 7 애플리케이션을 세부적으로 제어하고 시행할 수 있습니다. 통합 정책은 시간 경과에 따른 애플리케이션 변경을 감지하기 위해 기존 5튜플 또는 6튜플(사용자 방화벽이 있는 5튜플) 일치 조건의 일부로 동적 애플리케이션을 일치 조건으로 사용할 수 있도록 하는 보안 정책입니다.