Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

방화벽 필터의 계획 이해

방화벽 필터를 생성하고 인터페이스에 적용하기 전에 방화벽 필터가 달성할 목표와 일치 조건 및 작업을 사용하여 목표를 달성하는 방법을 결정해야 합니다. 조건에 일치하는 패킷, 방화벽 필터의 기본 및 구성된 작업, 방화벽 필터의 적절한 배치를 이해해야 합니다.

포트, VLAN 또는 라우터 인터페이스당 한 개 이상의 방화벽 필터를 방향에 따라 구성하고 적용할 수 있습니다. 다양한 스위치 모델에서 필터당 허용되는 방화벽 필터 조건의 수에는 다음 제한이 적용됩니다.

  • 스위치 EX3300 필터당 용어 수가 1436을 초과할 수 없습니다.

  • EX3200 및 EX4200 필터당 조건 수가 7042를 초과할 수 없습니다.

  • 스위치에서 EX2300 포트, VLAN 및 Layer 3 인터페이스에 구성된 방화벽 필터의 경우, ingress 및 egress 트래픽에 대해 지원되는 최대 조건 수가 지원됩니다.

    • ingress 트래픽의 경우:

      • 포트에서 구성된 방화벽 필터에 대한 256개 용어

      • VLAN에서 구성된 방화벽 필터에 대한 256 약관

      • IPv4 트래픽을 위한 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 256개 용어

      • IPv6 트래픽을 위한 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 256개 용어

    • egress 트래픽의 경우:

      • 포트에서 구성된 방화벽 필터에 대한 512 약관

      • VLAN에서 구성된 방화벽 필터에 대한 128 약관

      • IPv4 트래픽용 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 512 약관

      • IPv6 트래픽을 위한 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 512 약관

    스위치에서 EX3400, 포트, VLAN 및 Layer 3 인터페이스에 구성된 방화벽 필터의 경우, ingress 및 egress 트래픽에 대해 지원되는 최대 조건 수가 지원됩니다.

    • ingress 트래픽의 경우:

      • 포트에서 구성된 방화벽 필터에 대한 512 약관

      • VLAN에서 구성된 방화벽 필터에 대한 512 약관

      • IPv4 트래픽용 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 512 약관

      • IPv6 트래픽을 위한 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 512 약관

    • egress 트래픽의 경우:

      • 포트에서 구성된 방화벽 필터에 대한 512 약관

      • VLAN에서 구성된 방화벽 필터에 대한 256 약관

      • IPv4 트래픽용 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 1024 용어

      • IPv6 트래픽을 위한 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 1024 용어

    스위치에서 EX4300, 포트, VLAN 및 Layer 3 인터페이스에 구성된 방화벽 파일러의 경우, ingress 및 egress 트래픽에 대해 지원되는 최대 조건 수가 지원됩니다.

    • ingress 트래픽의 경우:

      • 포트에서 구성된 방화벽 필터에 대한 3500개 용어

      • VLAN에서 구성된 방화벽 필터에 대한 3500 용어

      • IPv4 트래픽용 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 7000개 용어

      • IPv6 트래픽을 위한 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 3500개 용어

      주:

      네트워크 스위치의 ingress 트래픽에 대한 TCAM(ternary content addressable memory) 제한은 EX4300 256개 항목입니다.

    • egress 트래픽의 경우:

      • 포트에서 구성된 방화벽 필터에 대한 512 약관

      • VLAN에서 구성된 방화벽 필터에 대한 256 약관

      • IPv4 트래픽용 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 512 약관

      • IPv6 트래픽을 위한 레이어 3 인터페이스에서 구성된 방화벽 필터에 대한 512 약관

      주:

      스위치에서 한 가지 유형의 방화벽 필터(포트, VLAN 또는 라우터(레이어 3) 방화벽 필터를 구성하고 스위치의 인터페이스에 스톰 컨트롤이 활성화되지 않은 경우만 최대 용어 수를 구성할 수 있습니다.

  • 스위치 EX4500 EX4550 필터당 조건 수가 1200을 초과할 수 없습니다.

  • 스위치 EX6200 필터당 조건 수가 1400을 초과할 수 없습니다.

  • 스위치 EX8200 필터당 용어 수가 32,768를 초과할 수 없습니다.

또한, 많은 수의 용어가 커밋 중 프로세싱 시간이 길어지며, 방화벽 필터 테스트 및 문제 해결을 더욱 어렵게 만들 수 있기 때문에 각 방화벽 필터에 포함된 용어(규칙)의 수에서 보수적일 수 있습니다. 마찬가지로, 많은 스위치 및 라우터 인터페이스에 방화벽 필터를 적용하면 이러한 필터의 규칙에 대한 테스트와 문제 해결이 어려워질 수 있습니다.

방화벽 필터를 구성하고 적용하기 전에 각 방화벽 필터에 대해 다음과 같은 질문에 응답하십시오.

  1. 방화벽 필터의 목적은 무엇입니까?

    예를 들어 방화벽 필터를 사용하여 소스 및 대상 MAC 주소, 특정 프로토콜 또는 특정 데이터 속도로 트래픽을 제한하거나 DoS(서비스 거부) 공격을 방지할 수 있습니다.

  2. 적절한 일치 조건은 무엇입니까?

    1. 일치를 위해 패킷이 포함되어야 하는 패킷 헤더 필드를 결정합니다. 가능한 필드는 다음과 같습니다.

      • Layer 2 헤더 필드—소스 및 대상 MAC 주소, dot1q 태그, 이더넷 유형 및 VLAN

      • 레이어 3 헤더 필드—소스 및 대상 IP 주소, 프로토콜 및 IP 옵션(IP 우선 순위, IP 단편화 플래그, TTL 유형)

      • TCP 헤더 필드—소스 및 대상 포트 및 플래그

      • ICMP 헤더 필드—패킷 유형 및 코드

    2. 패킷이 수신된 포트, VLAN 또는 라우터 인터페이스를 확인합니다.

  3. 매치가 발생하면 어떤 조치를 취해야 합니까?

    일치 작업이 발생할 경우 수행할 수 있는 조치가 허용, 폐기 및 라우팅 인스턴스로 전달됩니다.

  4. 어떤 추가 조치 수정자(action modifiers)가 필요합니까?

    패킷이 일치 조건과 일치하는 경우 추가 작업이 필요한지 여부를 결정합니다. 예를 들어 패킷의 카운트, 분석 또는 경찰에 대한 작업 수정자를 지정할 수 있습니다.

  5. 어떤 인터페이스에서 방화벽 필터를 적용해야 합니까?

    다음 기본 지침에서 시작하십시오.

    • 포트에 입력된 모든 패킷이 필터링에 노출해야 하는 경우 포트 방화벽 필터를 사용합니다.

    • 브리지되는 모든 패킷에 필터링이 필요한 경우 VLAN 방화벽 필터를 사용합니다.

    • 라우팅되는 모든 패킷에 대한 필터링이 필요한 경우 라우터 방화벽 필터를 사용합니다.

    방화벽 필터를 적용할 인터페이스를 선택하기 전에 해당 배치가 다른 인터페이스로의 트래픽 흐름에 어떤 영향을 미치는지 이해합니다. 일반적으로 소스 및 대상 IP 주소, IP 프로토콜 또는 프로토콜 정보(예: ICMP 메시지 유형, TCP 및 UDP 포트 번호)를 소스 디바이스에 가장 가까운 곳으로 필터링하는 방화벽 필터를 적용합니다. 그러나 일반적으로 대상 디바이스에 가장 가까운 소스 IP 주소에서만 필터링하는 방화벽 필터를 적용합니다. 소스 디바이스에 너무 가깝게 적용하면 소스 IP 주소에서만 필터링하는 방화벽 필터를 사용하면 소스 디바이스가 네트워크에서 사용할 수 있는 다른 서비스에 액세스할 수 없습니다.

    주:

    Egress 방화벽 필터는 로컬에서 생성된 제어 패킷의 흐름에 영향을 미치지 라우팅 엔진.

  6. 방화벽 필터를 어떤 방향으로 적용해야 합니까?

    스위치의 포트에 방화벽 필터를 적용하여 포트에 입력하는 패킷을 필터링할 수 있습니다. 방화벽 필터와 레이어 3(라우팅) 인터페이스를 VLAN 또는 라우팅된 인터페이스에 적용하여 VLAN 또는 라우팅된 인터페이스로 들어오고 나가는 패킷을 필터링할 수 있습니다. 일반적으로 인터페이스에 들어오는 트래픽에 대해 인터페이스에서 나가는 트래픽에 대해 구성하는 작업과는 다른 조치를 구성합니다.