방화벽 필터 평가 방법 이해
방화벽 필터는 하나 이상의 용어로 구성되며 필터 내의 용어 순서가 중요합니다. 방화벽 필터를 구성하기 전에 스위치가 필터 내의 용어를 평가하는 방법과 용어에 대해 패킷이 평가되는 방식을 이해해야 합니다.
방화벽 필터가 단일 용어로 구성된 경우 필터는 다음과 같이 평가됩니다.
패킷이 모든 조건과 일치하면 문의 작업이 수행됩니다.
then패킷이 모든 조건과 일치하고 문에 지정된 작업이 없으면 기본 작업이 수행됩니다.
thenaccept패킷이 모든 조건과 일치하지 않으면 스위치는 패킷을 폐기합니다.
방화벽 필터가 둘 이상의 용어로 구성된 경우 필터는 순차적으로 평가됩니다.
패킷은 첫 번째 용어의 문에 있는 조건에 대해 평가됩니다.
from패킷이 용어의 모든 조건과 일치하면 문의 작업이 수행되고 평가가 종료됩니다.
then필터의 후속 항은 평가되지 않습니다.패킷이 용어의 모든 조건과 일치하지 않으면 패킷은 두 번째 용어의 문의 조건에 대해 평가됩니다.
from이 프로세스는 패킷이 후속 용어 중 하나에서 문의 모든 조건과 일치하거나 필터에 더 이상 용어가 없을 때까지 계속됩니다.
from패킷이 일치 없이 필터의 모든 용어를 통과하면 스위치는 이를 삭제합니다.
패킷이 일치하는 것으로 간주되려면 모든 조건과 일치해야 하므로 문의 조건 순서는 중요하지 않습니다.from
그림 1 은(는) 스위치가 방화벽 필터 내의 용어를 평가하는 방법을 보여줍니다.
용어에 명령문을 포함하지 않으면 모든 패킷이 용어와 일치하고 명령문에 의해 처리됩니다.fromthen 용어에 명령문이 포함되어 있지 않거나 명령문에 작업이 구성되지 않은 경우, 용어는 일치하는 모든 패킷을 수락합니다.thenthen
모든 방화벽 필터에는 필터 끝에 다음과 같은 명시적 필터 용어에 해당하는 암시적 문이 포함되어 있습니다.deny
term implicit-rule {
then discard;
}
따라서 방화벽 필터의 용어와 일치하지 않는 패킷은 폐기됩니다. 용어가 없는 필터를 구성하면 필터를 통과하는 모든 패킷이 삭제됩니다.
방화벽 필터링은 최소 64바이트 길이의 패킷에서 지원됩니다.