Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

무상태 방화벽 필터 개요

패킷 흐름 제어

시스템을 전송할 수 있는 패킷에 영향을 주고 필요에 따라 패킷에 특수 조치를 적용하기 위해 상태 비저장 방화벽 필터를 구성할 수 있습니다. 상태 비저장 방화벽은 필터 용어라고 하는 하나 이상의 패킷 필터링 규칙 시퀀스를 지정합니다. 필터 용어는 일치 및 일치 패킷에 대해 수행할 작업을 결정하는 데 사용할 일치 조건을 지정합니다. 스테이트리스 방화벽 필터를 사용하면 레이어 3 및 레이어 4 헤더 필드의 평가를 기반으로 단편화된 패킷을 포함하여 특정 프로토콜 제품군의 모든 패킷을 조작할 수 있습니다. 일반적으로 프로토콜 제품군 기능으로 구성된 하나 이상의 인터페이스에 스테이트리스 방화벽 필터를 적용합니다. 스테이트리스 방화벽 필터를 수신 인터페이스, 송신 인터페이스 또는 둘 다에 적용할 수 있습니다.

데이터 패킷 흐름 제어

패킷이 소스에서 대상으로 전달될 때 디바이스를 전송하는 데이터 패킷의 흐름을 제어하기 위해 라우터나 스위치의 물리적 인터페이스의 입력 또는 출력에 스테이트리스 방화벽 필터를 적용할 수 있습니다.

인터페이스에서 송수신되는 트래픽에 대해 지정된 대역폭과 최대 버스트 크기를 적용하기 위해 폴리서를 구성할 수 있습니다. 폴리서는 특수한 유형의 상태 비저장 방화벽 필터이며 Junos OS CoS( Class-of-Service )의 주요 구성 요소입니다.

로컬 패킷 흐름 제어

물리적 인터페이스와 라우팅 엔진 간의 로컬 패킷 흐름을 제어하기 위해 루프백 인터페이스의 입력 또는 출력에 스테이트리스 방화벽 필터를 적용할 수 있습니다. 루프백 인터페이스(lo0)는 라우팅 엔진에 대한 인터페이스이며 데이터 패킷을 전달하지 않습니다.

Junos OS Evolved 로컬 패킷 플로우 제어

Junos OS Evolved에는 다음과 같은 두 가지 필터를 사용할 수 있습니다. 네트워크 제어 트래픽(루프백 트래픽)을 위한 필터와 트래픽 관리 (관리 인터페이스)를 위한 필터가 지원됩니다. 두 개의 필터를 사용하면 더 많은 유연성을 얻을 수 있습니다. 예를 들어, 네트워크 제어 트래픽보다 관리 인터페이스 트래픽에 대해 더 엄격한 필터를 구성할 수 있습니다.

Junos OS 및 Junos OS Evolved에서 네트워크 제어 트래픽 방화벽 필터 또는 루프백 방화벽 필터(Lo0/Lo6)는 동일하게 작동하며 차이가 없습니다. INET 또는 Lo0/Lo6 인터페이스의 INET6 방화벽 필터 계층에서 Lo0/Lo6 방화벽 필터를 구성합니다. Lo0 인터페이스에서 패킷 송신을 위한 필터링 기능을 제공하기 위해 방화벽 필터는 주니퍼의 Netfilter를 통해 소프트웨어 커널에서 구현됩니다. Netfilters는 리눅스 커널에 설치되며 여기에는 하드웨어가 관여하지 않습니다.

다음은 Lo0 방화벽 필터에 대한 샘플 구성입니다.

표 1, 표 2, 표 3, 은 표 4 (는) Junos OS Evolved의 Lo0/Lo6 방화벽 필터 제품군에 대해 지원되는 일치 조건 및 작업을 표시합니다.

표 1: 진화한 Junos OS의 수신 방향에 지원되는 루프백 방화벽 필터 일치 조건

방화벽 필터 일치 조건

Lo0 (영문)

LO6 (영문)

ip-destination-address

ip-source-address

대상 접두사 목록

소스 접두사 목록

목적지 포트

소스 포트

IP 프로토콜

첫 번째 조각

아니요

is-fragment

아니요

tcp-플래그

증권 시세 표시기

아니요

증권 시세 표시기

아니요
표 2: 진화한 Junos OS의 송신 방향에 지원되는 루프백 방화벽 필터 일치 조건

방화벽 필터 일치 조건

Lo0 (영문)

LO6 (영문)

ip-destination-address

아니요

ip-source-address

아니요

대상 접두사 목록

아니요

소스 접두사 목록

아니요

목적지 포트

아니요

표 3: Junos OS Evolved의 수신 방향에서 지원되는 루프백 방화벽 방화벽 필터 작업

작업

Lo0 (영문)

LO6 (영문)

극대화합니다

버리다

폴리서

3색 폴리서

표 4: Junos OS Evolved의 송신 방향에서 지원되는 루프백 방화벽 방화벽 필터 작업

작업

Lo0 (영문)

LO6 (영문)

극대화합니다

버리다

폴리서

3색 폴리서

관리 필터링은 Linux 커널에서 제공하는 프레임워크인 netfilters를 기반으로 라우팅 엔진 필터를 사용합니다. 이 차이로 인해 특정 일치 항목 및 작업만 지원됩니다. 라우팅 엔진에는 Junos OS와 진화한 Junos OS 간의 몇 가지 주요 차이점에 대한 방화벽 필터가 나열되어 있습니다.

주:

관리 인터페이스에 필터를 명시적으로 추가해야 합니다. Junos OS Evolved의 경우, lo0 필터는 Junos OS의 경우와 마찬가지로 관리 트래픽에 더 이상 적용되지 않습니다.

관리 인터페이스 필터에서 구성하려면 관리 인터페이스의 제품군 INET 또는 INET6 방화벽 필터 계층에서 필터를 구성해야 합니다. 다음은 방화벽 필터를 구성하기 위한 샘플 구성으로, 관리 인터페이스 중 하나입니다.

표 5, 및 표 6표 7 (는) 관리 인터페이스에서 지원되는 방화벽 필터 일치 조건 및 작업을 표시합니다.

표 5: 진화한 Junos OS의 IPv6 방화벽 필터 제품군의 관리 인터페이스에 지원되는 방화벽 필터 일치 조건

방화벽 필터 일치 조건

지원됨

address

대상 주소

목적지 포트

대상 포트 제외

대상 접두사 목록

icmp 코드

icmp 코드 제외

ICMP형

icmp 유형 제외

다음 헤더

다음 헤더 제외

패킷 길이

패킷 길이 제외

페이로드 프로토콜

페이로드 프로토콜 제외

항구

포트 제외

접두사 목록

소스 주소

소스 포트

소스 포트 제외

소스 접두사 목록

tcp 설정

tcp-플래그

tcp-이니셜

트래픽 클래스

트래픽 클래스 제외

표 6: Junos OS Evolved의 IPv4 방화벽 필터 제품군의 관리 인터페이스에 지원되는 방화벽 필터 일치 조건

방화벽 필터 일치 조건

지원됨

증권 시세 표시기

dscp 제외

우선 순위

precedence-except (우선순위 제외)

프로토콜

프로토콜 제외

증권 시세 표시기

ttl 제외

표 7: Junos OS Evolved의 IPv4 및 IPv6 방화벽 필터 제품군의 관리 인터페이스에서 지원되는 방화벽 필터 동작

방화벽 필터 동작

IPv4

IPv6

수락

극대화합니다

포워딩 클래스

손실 우선 순위

폴리서

거부

syslog

스테이트리스 및 스테이트풀 방화벽 필터

액세스 제어 목록(ACL)이라고도 하는 상태 비저장 방화벽 필터는 트래픽을 상태 저장으로 검사하지 않습니다. 대신 패킷 내용을 정적으로 평가하고 네트워크 연결 상태를 추적하지 않습니다. 반면, 상태 저장 방화벽 필터는 다른 응용 프로그램 및 데이터 흐름의 과거 통신에서 파생된 연결 상태 정보를 사용하여 동적 제어 결정을 내립니다.

라우팅 정책, 방화벽 필터 및 트래픽 폴리서 사용자 가이드에서는 상태 비저장 방화벽 필터에 대해 설명합니다.

상태 비저장 방화벽 필터의 목적

상태 비저장 방화벽 필터의 기본 목적은 패킷 필터링을 사용하여 보안을 강화하는 것입니다. 패킷 필터링을 사용하면 들어오거나 나가는 패킷의 구성 요소를 검사한 다음 지정한 기준과 일치하는 패킷에 대해 지정한 작업을 수행할 수 있습니다. 스테이트리스 방화벽 필터의 일반적인 용도는 악의적이거나 신뢰할 수 없는 패킷으로부터 라우팅 엔진 프로세스 및 리소스를 보호하는 것입니다.

관련 항목