Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

방화벽 필터 계획 이해

방화벽 필터를 생성하여 적용하기 전에 필터가 수행할 목표와 일치 조건 및 작업을 사용하여 목표를 달성하는 방법을 결정하십시오. 패킷 매칭 방법, 방화벽 필터의 기본 및 구성된 작업, 방화벽 필터를 적용할 위치를 이해하는 것이 중요합니다.

방향(입력 및 출력)에 따라 라우터 인터페이스당 하나의 방화벽 필터를 적용할 수 있습니다. 예를 들어, 주어진 인터페이스에 대해 입력 방향에 최대 하나의 필터를 적용하고 출력 방향에 하나의 필터를 적용할 수 있습니다. 용어가 너무 많으면 커밋 작업 중에 처리 시간이 더 오래 걸리고 테스트 및 문제 해결이 더 어려워질 수 있으므로 각 방화벽 필터에 포함하는 용어(규칙)의 수를 보수적으로 사용해야 합니다.

방화벽 필터를 구성하고 적용하기 전에 각 필터에 대해 다음 질문에 답하십시오.

  1. 필터의 목적은 무엇입니까?

    예를 들어, 시스템은 헤더 정보를 기반으로 패킷을 드롭하고, 트래픽 속도를 제한하고, 패킷을 포워딩 클래스로 분류하고, 패킷을 기록 및 계산하거나, 서비스 거부 공격을 방지할 수 있습니다.

  2. 적절한 일치 조건은 무엇입니까? 일치를 위해 패킷에 포함되어야 하는 패킷 헤더 필드를 결정합니다. 가능한 필드는 다음과 같습니다.

    • 레이어 3 헤더 필드 - 소스 및 대상 IP 주소, 프로토콜 및 IP 옵션(IP 우선순위, IP 단편화 플래그 또는 TTL 유형).

    • TCP 헤더 필드 - 소스 및 대상 포트와 플래그.

    • ICMP 헤더 필드 - 패킷 유형 및 코드.

  3. 일치가 발생할 경우 취해야 할 적절한 조치는 무엇입니까?

    시스템은 패킷을 수락, 폐기 또는 거부할 수 있습니다.

  4. 어떤 추가 작업 수정자가 필요할 수 있습니까?

    예를 들어, 지정된 포트로 패킷을 미러링(복사)하거나, 일치하는 패킷을 카운트하거나, 트래픽 관리를 적용하거나, 패킷을 감시하도록 시스템을 구성할 수 있습니다.

  5. 방화벽 필터는 어떤 레이어 3 인터페이스에 적용해야 합니까?

    방화벽 필터를 적용할 인터페이스를 선택하기 전에 해당 배치가 다른 인터페이스로의 트래픽 흐름에 어떤 영향을 미칠 수 있는지 이해해야 합니다. 일반적으로 필터가 소스 또는 대상 IP 주소, IP 프로토콜 또는 프로토콜 정보(예: ICMP 메시지 유형, TCP 또는 UDP 포트 번호)와 일치하는 경우 소스 디바이스에 가까운 필터를 적용합니다. 그러나 필터가 소스 IP 주소 에서만 일치하는 경우 대상 디바이스에 가까운 필터를 적용해야 합니다. 필터를 소스 디바이스에 너무 가깝게 적용하면 필터로 인해 해당 소스 디바이스가 네트워크에서 사용할 수 있는 다른 서비스에 액세스하지 못할 수 있습니다.

  6. 방화벽 필터는 어느 방향으로 적용해야 합니까?

    일반적으로 인터페이스로 들어오는 트래픽에 대해 인터페이스에서 나가는 트래픽에 대해 구성하는 것과는 다른 작업을 구성합니다.

  7. 필터를 몇 개나 만들어야 하나요?

관련 항목