차세대 서비스를 위한 스테이트풀 방화벽 개요

혜택

상태 저장 방화벽은 플로우의 애플리케이션 프로토콜 데이터를 검사하여 보안 정책을 지능적으로 시행하고 필요한 최소한의 패킷 트래픽만 허용합니다.

플로우 및 대화

일반적인 TCP(Transmission Control Protocol) 또는 UDP(User Datagram Protocol) 대화는 시작 플로우와 응답자 플로우의 두 가지 플로우로 구성됩니다. 그러나 FTP 대화와 같은 일부 대화는 두 개의 제어 흐름과 많은 데이터 흐름으로 구성될 수 있습니다.

흐름은 다음 다섯 가지 속성으로 식별됩니다.

• 소스 주소

• 소스 포트

• 목적지 주소

• 목적지 포트

• 프로토콜

스테이트풀 방화벽 규칙

상태 저장 방화벽 규칙은 대화 설정 허용 여부를 제어합니다. 규칙은 일치하는 조건과 수행할 작업으로 구성됩니다.

일치하는 조건에는 방향, 원본 주소, 대상 주소, 애플리케이션 프로토콜 또는 서비스가 포함됩니다. 구성하는 특정 값 외에도 , anyany-ipv4, any-ipv6, 값을 할당하거나 언더 services 를 address-book 사용하여 상태 저장 방화벽 규칙 내에서 사용할 주소 목록과 범위를 정의할 수 있습니다. 마지막으로, 규칙이 not 적용되는 일치 항목을 지정할 수 있습니다.

상태 저장 방화벽 규칙의 작업에는 트래픽 허용 또는 트래픽 삭제가 포함됩니다.

스테이트풀 방화벽 규칙은 방향적입니다. 각각의 새로운 대화에 대해 라우터 소프트웨어는 시작 플로우 방향이 규칙 방향과 일치하는지 여부를 확인합니다.

상태 저장 방화벽 규칙이 정렬됩니다. 소프트웨어는 구성에 포함된 순서대로 규칙을 확인합니다. 소프트웨어가 플로우에 대해 일치하는 규칙을 처음 찾으면 라우터는 해당 규칙에 의해 지정된 작업을 구현하고 후속 규칙을 무시합니다.

스테이트풀 방화벽 규칙은 인터페이스와 관련하여 구성됩니다. 기본적으로 스테이트풀 방화벽은 인터페이스 뒤의 호스트에서 시작된 모든 세션이 라우터를 통과하도록 허용합니다.

스테이트풀 방화벽 이상 검사

스테이트풀 방화벽은 다음 이벤트를 이상으로 인식하고 처리를 위해 IDS 소프트웨어로 전송합니다.

• IP 이상:

  • IP 버전이 올바르지 않습니다.

  • IP 헤더 길이 필드가 너무 작습니다.

  • IP 헤더 길이가 전체 패킷보다 크게 설정되어 있습니다.

  • 헤더 체크섬이 잘못되었습니다.

  • IP 총 길이 필드가 헤더 길이보다 짧습니다.

  • 패킷에 잘못된 IP 옵션이 있습니다.

  • ICMP(Internet Control Message Protocol) 패킷 길이 오류입니다.

  • TTL(Time-to-Live)은 0과 같습니다.

• IP 주소 이상:

  • IP 패킷 소스가 브로드캐스트 또는 멀티캐스트입니다.

  • 랜드 공격(소스 IP가 대상 IP와 같음).

• IP 단편화 이상:

  • IP 조각이 겹칩니다.

  • IP 조각이 누락되었습니다.

  • IP 조각 길이 오류입니다.

  • IP 패킷 길이가 64KB(킬로바이트)를 초과합니다.

  • 작은 파편 공격.

• TCP 변칙:

  • TCP 포트 0.

  • TCP 시퀀스 번호 0 및 플래그 0.

  • TCP 시퀀스 번호 0 및 FIN/PSH/RST 플래그 설정.

  • 잘못된 조합의 TCP 플래그(TCP FIN/RST 또는 SYN/(URG|핀|RST)입니다.

  • TCP 체크섬이 잘못되었습니다.

• UDP 변칙:

  • UDP 원본 또는 대상 포트 0.

  • UDP 헤더 길이 검사에 실패했습니다.

  • UDP 체크섬이 잘못되었습니다.

• 상태 저장 TCP 또는 UDP 검사를 통해 발견된 이상:

  • SYN 다음에 개시자에서 ACK가 없는 SYN-ACK 패킷이 뒤따릅니다.

  • SYN 다음에 RST 패킷이 옵니다.

  • SYN-ACK가 없는 SYN.

  • SYN이 아닌 첫 번째 플로우 패킷.

  • SYN 패킷에 대한 ICMP 도달 불가 오류.

  • UDP 패킷에 대한 ICMP 도달 불가 오류입니다.

• 스테이트풀 방화벽 규칙에 의해 손실된 패킷