Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

라우팅 정책과 방화벽 필터의 비교

라우팅 정책과 방화벽 필터는 아키텍처를 공유하지만 그 목적, 구현 및 구성이 다릅니다. 표 1 그들의 목적을 설명합니다. 표 2 에서는 라우팅 정책과 방화벽 필터에 대한 구현 세부 정보를 비교하여 구성의 유사점과 차이점을 강조합니다.

표 1: 라우팅 정책 및 방화벽 필터의 목적

정책

소스

정책 목적

라우팅 정책

라우팅 정보는 내부 네트워킹 피어에 의해 생성됩니다.

라우팅 테이블의 크기와 내용을 제어하려면 어떤 경로를 보급하고 다양한 대상에 도달하는 데 가장 적합한 것으로 간주되는 경로를 지정할지

방화벽 필터

패킷은 내부 및 외부 장치에 의해 생성되며, 이를 통해 적대적 공격이 자행될 수 있습니다.

네트워크 서비스를 방해할 수 있는 과도한 수신 트래픽이나 적대적 공격으로부터 라우터와 네트워크를 보호하고 어떤 라우터 인터페이스에서 전달되는 패킷을 제어합니다.

표 2: 라우팅 정책과 방화벽 필터의 구현 차이점

정책 아키텍처

라우팅 정책 구현

방화벽 필터 구현

제어점

가져오기 라우팅 정책을 사용하여 라우팅 테이블에 배치되고 내보내기 라우팅 정책을 사용하여 라우팅 테이블에서 광고되는 라우팅 정보를 제어합니다.

입력 방화벽 필터가 있는 라우터 인터페이스에서 수락되고 출력 방화벽 필터가 있는 인터페이스에서 전달되는 패킷을 제어합니다.

구성 작업:

  • 정책 정의

  • 정책 적용

약관, 일치 조건 및 작업을 포함하는 정책을 정의합니다.

하나 이상의 내보내기 또는 가져오기 정책을 라우팅 프로토콜에 적용합니다. 여러 가져오기 또는 내보내기 정책과 함께 부울 논리 연산자를 사용하는 정책 표현식을 적용할 수도 있습니다.

하나 이상의 내보내기 정책을 포워딩 테이블에 적용할 수도 있습니다.

약관, 일치 조건 및 작업을 포함하는 정책을 정의합니다.

하나의 입력 또는 출력 방화벽 필터를 물리적 인터페이스 또는 물리적 인터페이스 그룹에 적용하여 물리적 인터페이스에 의해 수신되거나 물리적 인터페이스로 전달되는 데이터 패킷을 필터링합니다(인터넷 프로세서 II ASIC[Application-Specific Integrated Circuit]이 있는 라우팅 플랫폼에서만 해당).

또한 라우팅 엔진의 인터페이스인 라우팅 플랫폼의 루프백 인터페이스에 하나의 입력 또는 출력 방화벽 필터를 적용할 수 있습니다(모든 라우팅 플랫폼에서). 이를 통해 라우팅 엔진에서 수신하거나 전달된 로컬 패킷을 필터링할 수 있습니다.

용어

원하는 만큼 용어를 구성합니다. 각 용어의 이름을 정의합니다.

용어는 지정한 순서대로 평가됩니다.

정책 평가는 패킷이 용어의 기준과 일치하고 수락 또는 거부의 정의된 또는 기본 정책 작업이 수행된 후에 종료됩니다. 경로는 동일한 정책 또는 후속 정책의 후속 용어에 대해 평가되지 않습니다.

원하는 만큼 용어를 구성합니다. 각 용어의 이름을 정의합니다.

용어는 지정한 순서대로 평가됩니다.

방화벽 필터의 평가는 패킷이 용어의 기준과 일치하고 정의된 작업 또는 기본 작업이 수행된 후에 종료됩니다. 패킷은 방화벽 필터의 후속 용어에 대해 평가되지 않습니다.

일치 조건

경로가 일치해야 하는 0개 이상의 기준을 지정합니다. 경로의 출발지, 대상 또는 속성에 따라 기준을 지정할 수 있습니다. 더 많은 구성이 필요한 다음과 같은 일치 조건을 지정할 수도 있습니다.

  • AS(Autonomous System) 경로 표현식 - AS 번호와 정규식 연산자의 조합입니다.

  • 커뮤니티 - 공통 속성을 공유하는 대상 그룹입니다.

  • 접두사 목록 - 명명된 접두사 목록입니다.

  • 경로 목록 - 대상 접두사 목록입니다.

  • 서브루틴 - 다른 라우팅 정책에서 반복적으로 호출되는 라우팅 정책입니다.

패킷이 일치해야 하는 0개 이상의 기준을 지정합니다. 패킷 헤더의 다양한 필드를 일치시켜야 합니다. 필드는 다음 범주로 그룹화됩니다.

  • 포트 및 프로토콜 번호와 같은 숫자 값입니다.

  • IP 소스 및 대상 접두사와 같은 접두사 값.

  • Bit-field values(비트 필드 값) - IP 옵션, TCP(Transmission Control Protocol) 플래그 및 IP 단편화 필드와 같은 필드의 특정 비트가 설정되었는지 여부입니다. Boolean 논리 연산자를 사용하여 필드를 지정할 수 있습니다.

행동

경로가 모든 기준과 일치하는 경우 수행할 작업을 0개 또는 1개 지정합니다. 다음 작업을 지정할 수 있습니다.

  • 수락 - 경로를 수락하고 라우팅 테이블로 전파합니다. 이 작업이 수행되면 후속 약관 및 정책의 평가가 종료됩니다.

  • 거부 - 경로를 라우팅 테이블로 수락하거나 전파하지 않습니다. 이 작업이 수행되면 후속 약관 및 정책의 평가가 종료됩니다.

앞의 작업 외에도 다음 유형의 작업 중 0개 이상을 지정할 수도 있습니다.

  • 다음 용어 - 라우팅 정책에서 다음 용어를 평가합니다.

  • 다음 정책 - 다음 라우팅 정책을 평가합니다.

  • 라우팅 프로토콜이 경로를 라우팅 테이블에 배치하거나 라우팅 테이블에서 보급할 때 경로와 관련된 특성을 조작하는 작업입니다.

  • 경로 일치를 기록하는 추적 작업입니다.

패킷이 모든 기준과 일치하는 경우 수행할 작업을 0개 또는 1개 지정합니다. (항상 작업을 명시적으로 구성하는 것이 좋습니다.) 다음 작업을 지정할 수 있습니다.

  • 수락 - 패킷을 수락합니다.

  • Discard(폐기) - ICMP 메시지를 보내지 않고 패킷을 조용히 폐기합니다.

  • Reject(거부) - 패킷을 폐기하고 ICMP 대상에 도달할 수 없음 메시지를 보냅니다.

  • 라우팅 인스턴스 - 패킷이 전달되는 라우팅 테이블을 지정합니다.

  • 다음 용어 - 방화벽 필터에서 다음 용어를 평가합니다.

    주:

    Junos OS Evolved에서 next term은 작업의 마지막 용어로 표시될 수 없습니다. next term이 작업으로 지정되었지만 구성된 일치 조건이 전혀 없는 필터 용어는 지원되지 않습니다.

0개 또는 이전 작업 외에도 0개 이상의 작업 수정자를 지정할 수도 있습니다. 다음과 같은 작업 수정자를 지정할 수 있습니다.

  • Count(카운트) - 카운트 합계에 패킷을 추가합니다.

  • Forwarding class(포워딩 클래스) - 패킷 포워딩 클래스를 0에서 3 사이의 지정된 값으로 설정합니다.

  • IPsec 보안 연결 - 소스 및 대상 주소 일치 조건과 함께 사용되며, 패킷에 대한 IP 보안(IPsec) 보안 연결(SA)을 지정합니다.

  • 로그 - 라우팅 엔진에 패킷의 헤더 정보를 저장합니다.

  • 손실 우선 순위 - 패킷 손실 우선 순위(PLP) 비트를 지정된 값(0 또는 1)으로 설정합니다.

  • 폴리서 - 트래픽에 속도 제한 절차를 적용합니다.

  • 샘플 - 패킷 트래픽을 샘플링합니다.

  • Syslog—패킷에 대한 경고를 기록합니다.

기본 정책 및 작업

들어오거나 나가는 경로가 도착하고 경로와 관련된 정책이 명시적으로 구성되지 않은 경우 연결된 라우팅 프로토콜에 대한 기본 정책에서 지정한 작업이 수행됩니다.

라우팅 정책에 대한 기본 작업은 다음과 같습니다.

  • 정책에서 일치 조건을 지정하지 않으면 정책에 대해 평가된 모든 경로가 일치합니다.

  • 일치가 발생하지만 정책에서 수락, 거부, 다음 용어 또는 다음 정책 작업을 지정하지 않으면 다음 중 하나가 발생합니다.

    • 다음 용어(있는 경우)가 평가됩니다.

    • 다른 용어가 없으면 다음 정책이 평가됩니다.

    • 다른 정책이 없는 경우 기본 정책에 지정된 작업이 수행됩니다.

  • 정책의 기간과 일치하지 않고 동일한 정책의 후속 용어가 존재하는 경우 다음 기간이 평가됩니다.

  • 정책의 용어와 일치하지 않고 후속 정책이 있는 경우 다음 정책이 평가됩니다.

  • 정책이 끝날 때까지 일치가 발생하지 않고 다른 정책이 없는 경우 기본 정책에 지정된 수락 또는 거부 작업이 수행됩니다.

들어오거나 나가는 패킷이 인터페이스에 도착하고 인터페이스에 방화벽 필터가 구성되지 않은 경우 기본 정책이 적용됩니다(패킷이 수락됨).

방화벽 필터에 대한 기본 동작은 다음과 같습니다.

  • 방화벽 필터가 일치 조건을 지정하지 않으면 모든 패킷이 일치하는 것으로 간주됩니다.

  • 일치가 발생했지만 방화벽 필터가 작업을 지정하지 않으면 패킷이 수락됩니다.

  • 일치가 발생하면 정의된 작업 또는 기본 작업이 수행되고 평가가 종료됩니다. 방화벽 필터의 후속 용어는 작업이 지정되지 않는 한 next term 평가되지 않습니다.

    주:

    Junos OS Evolved에서 next term은 작업의 마지막 용어로 표시될 수 없습니다. next term이 작업으로 지정되었지만 구성된 일치 조건이 전혀 없는 필터 용어는 지원되지 않습니다.

  • 방화벽 필터의 용어와 일치하지 않고 동일한 필터의 후속 용어가 존재하는 경우 다음 용어가 평가됩니다.

  • 방화벽 필터가 끝날 때까지 일치가 발생하지 않으면 패킷은 폐기됩니다.