방화벽 필터 계획 이해
방화벽 필터를 생성하여 인터페이스에 적용하기 전에 방화벽 필터가 수행할 작업과 일치 조건 및 작업을 사용하여 목표를 달성하는 방법을 결정하십시오. 패킷이 일치 조건과 일치하는 방법, 방화벽 필터의 기본 및 구성된 작업, 방화벽 필터의 적절한 배치를 이해해야 합니다.
포트, VLAN 또는 라우터 인터페이스, 방향에 따라 하나의 방화벽 필터를 구성하고 적용할 수 있습니다. 다양한 스위치 모델에서 필터당 허용되는 방화벽 필터 용어 수에는 다음과 같은 제한이 적용됩니다.
EX3300 스위치에서 필터당 용어 수는 1436개를 초과할 수 없습니다.
EX3200 및 EX4200 스위치에서 필터당 용어 수는 7042를 초과할 수 없습니다.
EX2300 스위치에서는 수신 및 송신 트래픽, 포트, VLAN 및 레이어 3 인터페이스에 구성된 방화벽 필터에 대해 다음과 같은 최대 용어 수가 지원됩니다.
수신 트래픽:
포트에 구성된 방화벽 필터의 경우 용어 256개
VLAN에 구성된 방화벽 필터의 경우 용어 256개
IPv4 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 256개
IPv6 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 256개
송신 트래픽:
포트에 구성된 방화벽 필터의 경우 용어 512개
VLAN에 구성된 방화벽 필터의 경우 용어 128개
IPv4 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 512개
IPv6 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 512개
EX3400 스위치에서는 수신 및 송신 트래픽, 포트, VLAN 및 레이어 3 인터페이스에 구성된 방화벽 필터에 대해 다음과 같은 최대 용어 수가 지원됩니다.
수신 트래픽:
포트에 구성된 방화벽 필터의 경우 용어 512개
VLAN에 구성된 방화벽 필터의 경우 용어 512개
IPv4 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 512개
IPv6 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 512개
송신 트래픽:
포트에 구성된 방화벽 필터의 경우 용어 512개
VLAN에 구성된 방화벽 필터의 경우 용어 256개
IPv4 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 1024개
IPv6 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 1024개
EX4300 스위치에서는 수신 및 송신 트래픽, 포트, VLAN 및 레이어 3 인터페이스에 구성된 방화벽 필터에 대해 다음과 같은 최대 용어 수가 지원됩니다.
수신 트래픽:
포트에 구성된 방화벽 필터의 경우 용어 3500개
VLAN에 구성된 방화벽 필터의 경우 용어 3500개
IPv4 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 7000개
IPv6 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 3,500개
주:EX4300 스위치의 수신 트래픽에 대한 TCAM(Ternary Content Addressable Memory) 제한은 256개 항목입니다.
송신 트래픽:
포트에 구성된 방화벽 필터의 경우 용어 512개
VLAN에 구성된 방화벽 필터의 경우 용어 256개
IPv4 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 512개
IPv6 트래픽을 위해 레이어 3 인터페이스에 구성된 방화벽 필터의 경우 용어 512개
주:스위치에 한 가지 유형의 방화벽 필터(포트, VLAN 또는 라우터(레이어 3) 방화벽 필터)를 구성하고 스위치의 인터페이스에서 스톰 제어가 활성화되지 않은 경우에만 최대 용어 수를 구성할 수 있습니다.
EX4500 및 EX4550 스위치에서 필터당 용어 수는 1,200개를 초과할 수 없습니다.
EX6200 스위치에서 필터당 용어 수는 1400개를 초과할 수 없습니다.
EX8200 스위치에서 필터당 용어 수는 32,768개를 초과할 수 없습니다.
또한 용어 수가 많으면 커밋 중에 처리 시간이 더 오래 걸리고 방화벽 필터 테스트 및 문제 해결이 더 어려워질 수 있으므로 각 방화벽 필터에 포함하는 용어(규칙) 수를 보수적으로 사용해야 합니다. 마찬가지로 여러 스위치 및 라우터 인터페이스에 방화벽 필터를 적용하면 해당 필터의 규칙을 테스트하고 문제를 해결하기가 어려울 수 있습니다.
방화벽 필터를 구성하고 적용하기 전에 각 방화벽 필터에 대해 다음 질문에 답하십시오.
방화벽 필터의 목적은 무엇입니까?
예를 들어, 방화벽 필터를 사용하여 트래픽을 소스 및 대상 MAC 주소, 특정 프로토콜 또는 특정 데이터 속도로 제한하거나 DoS(서비스 거부) 공격을 방지할 수 있습니다.
적절한 일치 조건은 무엇입니까?
일치를 위해 패킷에 포함되어야 하는 패킷 헤더 필드를 결정합니다. 가능한 필드는 다음과 같습니다.
레이어 2 헤더 필드 - 소스 및 대상 MAC 주소, dot1q 태그, 이더넷 유형 및 VLAN
레이어 3 헤더 필드 - 소스 및 대상 IP 주소, 프로토콜 및 IP 옵션(IP 우선순위, IP 단편화 플래그, TTL 유형)
TCP 헤더 필드 - 소스 및 대상 포트와 플래그
ICMP 헤더 필드 - 패킷 유형 및 코드
패킷이 수신된 포트, VLAN 또는 라우터 인터페이스를 확인합니다.
일치가 발생할 경우 취해야 할 적절한 조치는 무엇입니까?
일치가 발생할 경우 취할 수 있는 조치는 수락, 폐기 및 라우팅 인스턴스로 전달입니다.
어떤 추가 작업 수정자가 필요할 수 있습니까?
패킷이 일치 조건과 일치하는 경우 추가 작업이 필요한지 여부를 결정합니다. 예를 들어 작업 수정자를 지정하여 패킷을 계산, 분석 또는 감시할 수 있습니다.
어떤 인터페이스에 방화벽 필터를 적용해야 합니까?
다음과 같은 기본 지침으로 시작합니다.
포트로 들어오는 모든 패킷이 필터링에 노출되어야 하는 경우 포트 방화벽 필터를 사용합니다.
브리징된 모든 패킷에 필터링이 필요한 경우 VLAN 방화벽 필터를 사용합니다.
라우팅되는 모든 패킷에 필터링이 필요한 경우 라우터 방화벽 필터를 사용합니다.
방화벽 필터를 적용할 인터페이스를 선택하기 전에 해당 배치가 다른 인터페이스로의 트래픽 흐름에 어떤 영향을 미칠 수 있는지 이해해야 합니다. 일반적으로 소스 및 대상 IP 주소, IP 프로토콜 또는 프로토콜 정보(예: ICMP 메시지 유형, TCP 및 UDP 포트 번호)를 소스 디바이스에 가장 가깝게 필터링하는 방화벽 필터를 적용합니다. 그러나 일반적으로 대상 디바이스에 가장 가까운 소스 IP 주소에서만 필터링하는 방화벽 필터를 적용합니다. 소스 디바이스에 너무 가깝게 적용하면 소스 IP 주소에서만 필터링하는 방화벽 필터가 해당 소스 디바이스가 네트워크에서 사용할 수 있는 다른 서비스에 액세스하지 못할 수 있습니다.
주:송신 방화벽 필터는 라우팅 엔진에서 로컬로 생성된 제어 패킷의 흐름에 영향을 미치지 않습니다.
방화벽 필터는 어느 방향으로 적용해야 합니까?
스위치의 포트에 방화벽 필터를 적용하여 포트로 들어오는 패킷을 필터링할 수 있습니다. VLAN 및 레이어 3(라우팅) 인터페이스에 방화벽 필터를 적용하여 VLAN 또는 라우팅된 인터페이스에 들어오거나 나가는 패킷을 필터링할 수 있습니다. 일반적으로 인터페이스로 들어오는 트래픽에 대해 인터페이스에서 나가는 트래픽에 대해 구성하는 것과는 다른 작업 집합을 구성합니다.