TCP 세션

기본적으로 TCP SYN 검사 및 시퀀스 검사 옵션은 모든 TCP 세션에서 활성화됩니다. Junos 운영체제(Junos OS)는 TCP 세션 중에 다음 작업을 수행합니다.

• 세션의 첫 번째 패킷에서 SYN 플래그를 확인하고 세션을 시작하려는 비 SYN 플래그가 있는 모든 TCP 세그먼트를 거부합니다.

• 스테이트풀 검사 중에 TCP 시퀀스 번호를 검증합니다.

정책별 TCP 세션 검사 기능을 사용하면 각 정책에 대한 SYN 및 시퀀스 검사를 구성할 수 있습니다. 현재 TCP 옵션 플래그인 no-sequence-check 및 no-syn-check는 서비스 게이트웨이의 동작을 제어하기 위해 전역 수준에서 사용할 수 있습니다. 정책별 TCP 옵션을 지원하기 위해 다음 두 가지 옵션을 사용할 수 있습니다.

• sequence-check-required: sequence-check-required 값은 전역 값 no-sequence-check를 재정의합니다.

• syn-check-required: syn-check-required 값은 전역 값 no-syn-check보다 우선합니다.

정책별 TCP 옵션을 구성하려면 해당 전역 옵션을 꺼야 합니다. 그렇지 않으면 커밋 검사가 실패합니다. 전역 TCP 옵션이 비활성화되고 SYN 플러드 보호가 첫 번째 패킷을 허용하는 경우, 정책별 TCP 옵션이 SYN 및/또는 시퀀스 검사 수행 여부를 제어합니다.

참고:

• per-policy syn-check-required 옵션은 CLI 명령의 동작을 재정의하지 않습니다.set security flow tcp-session no-syn-check-in-tunnel

• 전역 SYN 검사를 비활성화하면 패킷 플러딩을 방어하는 디바이스의 효과가 감소합니다.

주의:

글로벌 SYN 검사를 비활성화하고 정책 검색 후 SYN 검사를 적용하면 라우터가 처리할 수 있는 패킷 수에 큰 영향을 미칩니다. 이로 인해 집중적인 CPU 작업이 발생합니다. 전역 SYN 검사를 비활성화하고 정책별 SYN 검사 적용을 활성화할 때 이러한 성능 영향을 인지해야 합니다.

이 예는 디바이스의 각 정책에 대한 TCP 패킷 보안 검사를 구성하는 방법을 보여줍니다.

이 예는 디바이스에서 TCP 패킷 보안 검사를 비활성화하는 방법을 보여줍니다.

이 예는 SRX 시리즈 방화벽의 모든 TCP 세션에 대해 최대 세그먼트 크기를 설정하는 방법을 보여줍니다.

패킷 교환 네트워크 내에서 수요가 사용 가능한 용량을 초과하면 대기열이 가득 찰 때까지 초과 패킷을 보유하기 위해 패킷이 대기열에 추가된 다음 패킷이 드롭됩니다. TCP가 이러한 네트워크에서 작동하면 오류 없는 엔드투엔드 통신을 유지하기 위해 시정 조치를 취합니다.

플로우 모듈은 세션 생성 및 세션 종료와 같은 세션 기반 이벤트에 대한 RTLOG 생성을 이미 지원합니다. SRX 시리즈 방화벽은 이제 세션이 없는 패킷 드롭과 같은 패킷 기반 이벤트에 대한 RTLOG 생성을 지원합니다.

SRX 시리즈 방화벽은 플로우 모듈에 의해 손실되는 동기화되지 않은 TCP out-of-state 패킷의 로깅을 지원합니다.

TCP 상태 외 패킷 드롭 로깅 기능은 패킷 손실을 방지하고 오류 없는 통신을 위해 동기화되지 않은 패킷을 로깅하여 패킷 복구를 가능하게 하며 데이터베이스 서버가 동기화되지 않도록 합니다. 이 기능은 보안 로그(RTLOG) 기능 위에 구축됩니다.

TCP out-of-state 패킷 드롭 로깅은 다음 조건에서 TCP 패킷 드롭 로그 캡처를 지원합니다.

• Session ages out—긴 TCP 세션 위에서 실행되는 클라우드 애플리케이션이 있고 세션이 만료된 후 이러한 애플리케이션이 TCP 세션을 새로 고치지 않으면 TCP 패킷이 삭제됩니다. 이 기능은 손실된 TCP 패킷의 로깅을 지원합니다.

• Unsynchronized first packets due to attacks or asymmetric routes- 두 사이트에 SRX 시리즈 방화벽을 구축하고 라우팅이 때때로 비대칭 트래픽을 강제하는 경우 동기화(SYN) 패킷은 한 사이트에서는 표시되지만 동기화 승인(SYN_ACK) 패킷은 다른 사이트에서 표시됩니다.

  즉, SRX 시리즈 방화벽은 일치하는 상태 테이블 항목이 없는 TCP ACK 패킷을 인식합니다. 이는 연결이 일정 기간 동안 비활성 상태이거나 연결 테이블이 플러시되었기 때문에 발생할 수 있습니다(예: 정책 설치 또는 재시작으로 인해).

  이 경우 다른 사이트에서 표시되는 SYN_ACK 패킷은 SRX 시리즈 방화벽에 의해 거부되었지만 기록되지 않았습니다. 이 기능은 거부된 SYN_ACK 패킷의 로깅을 지원합니다.

• Other out-of-state conditions (like TCP sequence check fail and synchronization packet received in FIN state)- SRX 시리즈 방화벽이 시퀀스 실패를 감지할 때, 디바이스가 TCP 4방향 닫기 상태이지만 SYN 패킷을 수신하거나 3방향 핸드셰이크 실패가 있는 경우, SRX 시리즈 방화벽은 TCP 패킷을 삭제하고 이러한 손실된 패킷을 기록합니다.

참고:

동기화되지 않은 TCP out-of-state 패킷 드롭 로그는 세션 기반 로그가 아니라 패킷 기반 로그입니다.

TCP out-of-state 패킷 드롭 로깅은 CPU가 공격받지 않도록 보호하기 위해 스로틀 메커니즘으로 설계되었으며 각 스로틀 간격 내에서 일부 로그가 드롭될 수 있습니다.

플로우 모듈에 의해 손실된 TCP out-of-state 패킷만 기록됩니다. TCP 프록시 및 IDP에 의해 손실된 TCP 패킷은 기록되지 않습니다.

• TCP Out-of-State 패킷 드롭 로깅 이해
• 지원되는 TCP 타기 로깅 기능

데이터가 한 호스트에서 다른 호스트로 전송되면 일련의 패킷으로 전송됩니다. 가장 큰 크기의 패킷이 데이터 경로의 어떤 링크에서도 단편화되지 않고 소스 노드에서 목적지 노드로 경로를 전송할 수 있을 때 성능이 향상되고 네트워크 리소스가 절약됩니다. 패킷이 해당 링크에 대해 설정된 최대 전송 단위(MTU)의 패킷보다 크기 때문에 경로의 링크를 통과하기 위해 패킷을 더 작은 패킷으로 단편화해야 하는 경우, 각 결과 단편에는 페이로드 또는 데이터 외에 패킷 헤더 정보가 포함되어야 합니다. 오버헤드가 증가하면 처리량이 낮아지고 네트워크 성능이 저하될 수 있습니다. 또한 패킷 조각은 대상 노드에서 리어셈블되어야 하며, 이는 추가 네트워크 리소스를 소비합니다.

반면에 호스트가 경로 MTU(경로 최대 전송 단위)보다 훨씬 작은 패킷을 전송하면 네트워크 리소스가 낭비되어 최적의 처리량이 나지 않습니다. 경로 MTU 검색 프로세스는 세션의 소스 노드에서 대상 노드로 데이터 경로를 전송하는 조각에 대한 최적의 MTU 크기를 검색하기 위해 작동합니다. 따라서 최적의 패킷 크기는 경로 MTU의 패킷 크기입니다. 단편화는 패킷 크기가 경로 MTU를 초과할 때 발생합니다.

SRX 시리즈 방화벽에서 애플리케이션 레이어 서비스가 구성된 경우, 서비스를 적용하고 콘텐츠를 검사하기 전에 수신 인터페이스의 패킷 조각을 리어셈블해야 합니다. 이렇게 리어셈블된 패킷 조각은 데이터가 송신 인터페이스로 전송되기 전에 다시 세분화되어야 합니다. 일반적으로 SRX 시리즈 방화벽에서 다음 링크로 전송되는 조각의 크기를 결정하는 것은 송신 인터페이스의 최대 전송 단위(MTU) 크기입니다. SRX 시리즈 방화벽의 송신 MTU 크기가 경로 MTU보다 클 수 있으며, 이로 인해 데이터 경로에서 패킷이 단편화되어 성능이 저하되거나 패킷 드롭이 발생할 수 있습니다. 패킷 조각은 소스에서 대상까지 경로의 모든 링크를 전송할 수 있을 만큼 작아야 합니다.

기본적으로 SRX 시리즈 방화벽은 송신 인터페이스에 구성된 최대 전송 단위(MTU) 크기를 사용하여 전송하는 패킷 조각의 크기를 결정합니다. 그러나 수신 패킷 특성을 보존하는 기능을 활성화하면 SRX 시리즈 방화벽이 수신 패킷 패킷 패킷의 크기를 감지하고 저장합니다.

데이터 경로에서 패킷 단편화 가능성을 줄이기 위해 SRX 시리즈 방화벽은 해당 플로우에 대한 송신 최대 전송 단위(MTU)를 추적하고 조정합니다. 모든 수신 조각의 최대 크기를 식별합니다. 송신 인터페이스의 기존 MTU와 함께 해당 정보를 사용하여 송신 인터페이스로 전송되는 단편화된 패킷의 올바른 MTU 크기를 결정합니다. SRX 시리즈 방화벽은 이 두 수치를 비교합니다. 더 작은 수를 가져와 송신 인터페이스 MTU 크기에 사용합니다.

명령을 사용하여 set security flow preserve-incoming-frag-size 디바이스를 구성하여 수신 패킷 조각의 크기를 고려하는 기능을 활성화합니다.

표 1 에는 SRX 시리즈 송신 MTU 크기가 결정되는 방법이 요약되어 있습니다.

표 1: SRX 시리즈 방화벽에서 나가는 조각에 대한 최종 송신 MTU 크기가 결정되는 방법

수신 조각 크기	기존 송신 MTU 크기	최종 송신 MTU 크기
가장 큰 조각이	기존 송신 MTU 크기보다 작음	가장 큰 수신 조각 크기가 사용됩니다.
가장 큰 조각이	기존 송신 MTU 크기보다 큽니다	기존 송신 인터페이스 최대 전송 단위(MTU)가 사용됩니다.

참고:

이 기능은 SRX 시리즈 방화벽에서 지원됩니다. 통과 트래픽과 터널을 나가는 트래픽을 지원합니다. IPv4 및 IPv6 트래픽 모두에 적용됩니다.

다음 두 가지 고려 사항이 조각 크기에 영향을 미칩니다.

• 콘텐츠 보안 및 ALG와 같은 스트림 기반 애플리케이션의 경우, 수신된 단편이 없더라도 애플리케이션 자체가 패킷을 변경하거나 리어셈블할 수 있습니다. 이 경우, 기존 송신 인터페이스 MTU가 사용됩니다.

• 경로 MTU 디스커버리 패킷이 세션에 전달되면 해당 세션의 경로 MTU는 경로 MTU 패킷에 의해 설정된 값으로 재설정됩니다.

TCP 프록시 단락은 디바이스에서 기본적으로 활성화됩니다. 세션에 TCP 프록시를 사용하는 데 관심이 있는 사용자(L7 정책 적용 플러그인/고급 애플리케이션 서비스)가 없을 때 자동으로 트리거됩니다. TCP 세션이 성공적으로 설정되고 정책이 시행된 후 디바이스는 세션을 단락 상태로 전환하여 후속 데이터 패킷이 클라이언트와 서버 간에 직접 흐를 수 있도록 합니다.

초기 핸드셰이크 단계에서 디바이스는 전체 TCP 프록시 동작을 유지하며 연결 양쪽에 대한 TCP 상태, 시퀀스 번호 및 승인을 독립적으로 관리합니다. 세션이 합법적이고 안정적인 것으로 확인되면 디바이스는 더 이상 데이터 트래픽에 대한 시퀀스 번호 또는 재전송을 프록시하지 않습니다. 대신 정책 준수 및 보안 위반에 대해 세션을 계속 모니터링하면서 패킷을 직접 전달합니다.

TCP 프록시 단락은 전체 TCP 프록시의 장기적인 성능 오버헤드 없이 강력한 TCP 보안 및 검증이 필요한 구축에 적합합니다. 특히 데이터센터, 서비스 프로바이더 에지, 대규모 엔터프라이즈 네트워크와 같은 처리량이 높은 환경에서 효과적입니다.