Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

사전 정의된 정책 애플리케이션

사전 정의된 정책을 사용하면 허용하거나 거부할 애플리케이션을 선택할 수 있습니다. 네트워크 요구 사항에 따라 정책에 대한 사전 정의된 애플리케이션을 지정할 수 있습니다.

Microsoft 사전 정의된 정책 애플리케이션 이해

정책을 만들면 정책에 대해 미리 정의된 Microsoft 애플리케이션을 지정할 수 있습니다.

표 2 에는 사전 정의된 Microsoft 애플리케이션, 각 애플리케이션과 관련된 매개 변수 및 각 애플리케이션에 대한 간략한 설명이 나와 있습니다. 매개 변수에는 uUID(universal unique identifiers) 및 TCP/UDP 소스 및 대상 포트가 포함됩니다. UUID는 하드웨어 주소, 타임스탬프 및 시드 값에서 생성된 128비트 고유 번호입니다.

표 2: 사전 정의된 Microsoft 애플리케이션

응용 프로그램

매개 변수/UUID

설명

Junos MS-RPC-EPM

135

e1af8308-5d1f-11c9-91a4-08002b14a0fa

Microsoft RPC(Remote Procedure Call) EPM(Endpoint Mapper) 프로토콜.

Junos MS-RPC

모든 Microsoft RPC(Remote Procedure Call) 애플리케이션

Junos MS-RPC-MSEXCHANGE

구성원 3명

Microsoft Exchange 애플리케이션 그룹에는 다음이 포함됩니다.

  • Junos-MS-RPC-MSEXCHANGE-DATABASE

  • Junos-MS-RPC-MSEXCHANGE-DIRECTORY

  • Junos-MS-RPC-MSEXCHANGE-INFO-STORE

Junos-MS-RPC-MSEXCHANGE-DATABASE

1a190310-bb9c-11cd-90f8-00aa00466520

Microsoft Exchange 데이터베이스 애플리케이션.

Junos-MS-RPC-MSEXCHANGE-DIRECTORY

f5cc5a18-4264-101a-8c59-08002b2f8426

f5cc5a7c-4264-101a-8c59-08002b2f8426

f5cc59b4-4264-101a-8c59-08002b2f8426

Microsoft Exchange Directory 애플리케이션.

Junos-MS-RPC-MSEXCHANGE-INFO-STORE

0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde

1453c42c-0fa6-11d2-a910-00c04f990f3b

10f24e8e-0fa6-11d2-a910-00c04f990f3b

1544f5e0-613c-11d1-93df-00c04fd7bd09

Microsoft Exchange Information Store 애플리케이션.

Junos-MS-RPC-TCP

Microsoft TCP(Transmission Control Protocol) 애플리케이션

Junos-MS-RPC-UDP

Microsoft UDP(User Datagram Protocol) 애플리케이션.

Junos-MS-SQL

MICROSOFT SQL(Structured Query Language).

Junos-MSN

Microsoft Network Messenger 애플리케이션.

동적 라우팅 프로토콜의 사전 정의된 정책 애플리케이션 이해

정책을 만들면 정책에 대해 미리 정의된 동적 라우팅 프로토콜 애플리케이션을 지정할 수 있습니다.

네트워크 요구 사항에 따라 동적 라우팅 프로토콜과 동적 라우팅 프로토콜의 패킷에서 생성된 메시지를 허용하거나 거부하는 방법을 선택할 수 있습니다. 표 3 에는 이름, 포트 및 설명별로 지원되는 각 동적 라우팅 프로토콜이 나와 있습니다.

표 3: 동적 라우팅 프로토콜

동적 라우팅 프로토콜

포트

설명

RIP

520

RIP는 일반적인 거리 벡터 라우팅 프로토콜입니다.

OSPF

89

OSPF는 일반적인 링크 상태 라우팅 프로토콜입니다.

BGP

179

BGP는 외부/도메인 간 라우팅 프로토콜입니다.

스트리밍 비디오 사전 정의된 정책 애플리케이션 이해

정책을 만들면 정책에 대해 미리 정의된 스트리밍 비디오 애플리케이션을 지정할 수 있습니다.

표 4 에는 지원되는 각 스트리밍 비디오 애플리케이션이 이름으로 나열되어 있으며 기본 포트 및 설명이 포함되어 있습니다. 네트워크 요구 사항에 따라 이러한 애플리케이션을 모두 허용하거나 거부할 수 있습니다.

표 4: 지원되는 스트리밍 비디오 애플리케이션

응용 프로그램

포트

설명

H.323

TCP 소스 1-65535; TCP 목적지 1720, 1503, 389, 522, 1731

UDP 소스 1-65535; UDP 소스 1719

H.323은 시청각 회의 데이터가 네트워크상에서 전송되는 방법을 정의하는 국제 통신 연합(ITU)의 승인을 받은 표준입니다.

Netmeeting

TCP 소스 1-65535; TCP 목적지 1720, 1503, 389, 522

UDP 소스 1719

Microsoft NetMeeting은 TCP를 사용하여 인터넷을 통해 원격 화상 회의(비디오 및 오디오) 애플리케이션을 제공합니다.

리얼 미디어

TCP 소스 1-65535; TCP 대상 7070

리얼 미디어는 비디오와 오디오 기술을 스트리밍하고 있습니다.

RTSP

554

RTSP(Real-Time Streaming Protocol)는 스트리밍 미디어 애플리케이션을 위한 것입니다.

SIP

5056

SIP(Session Initiation Protocol)는 세션을 생성, 수정 및 종료하기 위한 애플리케이션 계층 제어 프로토콜입니다.

VDO 라이브

TCP 소스 1-65535; TCP 대상 7000-7010

VDOLive는 확장 가능한 비디오 스트리밍 기술입니다.

Sun RPC 사전 정의된 정책 애플리케이션 이해

정책을 만들면 정책에 대해 미리 정의된 Sun RPC 애플리케이션을 지정할 수 있습니다.

표 5 에는 각 Sun 원격 프로시저 호출 RPC ALG(Application Layer Gateway) 애플리케이션 이름, 매개변수 및 정식 이름이 나와 있습니다.

표 5: RPC ALG 애플리케이션

응용 프로그램

프로그램 번호

전체 이름

SUN-RPC-PORTMAPPER

111100000

Sun RPC Portmapper 프로토콜

SUN-RPC-ANY

모든 것

모든 Sun RPC 애플리케이션

SUN-RPC-PROGRAM-MOUNTD

100005

썬 RPC 마운트 데몬

SUN-RPC-PROGRAM-NFS

100003

100227

Sun RPC 네트워크 파일 시스템

SUN-RPC-PROGRAM-NLOCKMGR

100021

Sun RPC 네트워크 잠금 관리자

SUN-RPC-PROGRAM-RQUOTAD

100011

Sun RPC 원격 할당량 데몬

SUN-RPC-PROGRAM-RSTATD

100001

Sun RPC 원격 상태 데몬

SUN-RPC-PROGRAM-RUSERD

100002

Sun RPC 원격 사용자 데몬

SUN-RPC-PROGRAM-SADMIND

100232

Sun RPC System Administration Daemon

SUN-RPC-PROGRAM-SPRAYD

100012

Sun RPC 스프레이 데몬

SUN-RPC-PROGRAM-Status

100024

Sun RPC 상태

SUN-RPC-PROGRAM-WALLD

100008

Sun RPC Wall Daemon

SUN-RPC-PROGRAM-YPBIND

100007

SUN RPC 옐로우 페이지 바인드 애플리케이션

보안 및 터널 사전 정의된 정책 애플리케이션 이해

정책을 만들면 정책에 대한 사전 정의된 보안 및 터널 애플리케이션을 지정할 수 있습니다.

표 6 에는 지원되는 각 애플리케이션이 나열되어 있으며 기본 포트와 각 항목에 대한 설명이 나와 있습니다.

표 6: 지원되는 애플리케이션

응용 프로그램

포트

설명

IKE

UDP 소스 1-65535; UDP 목적지 500

Internet Key Exchange는 IPsec 프로토콜 제품군에서 보안 연결을 설정하는 프로토콜입니다.

IKE(Internet Key Protocol)는 ISAKMP와 함께 사용할 수 있도록 인증된 키잉 자료를 입수하는 프로토콜입니다.

IKE-NAT

4500

IKE-NAT(Network Address Translation)는 S2C IKE 트래픽에 대해 Layer 3 NAT를 수행합니다.

L2TP

1701

L2TP는 원격 액세스를 위해 PPTP와 L2F(Layer 2 Forwarding)를 결합했습니다.

PPTP

1723

P2P(Point-to-Point) 터널링 프로토콜(Point-to-Point Tunneling Protocol)을 통해 기업은 공용 인터넷을 통해 프라이빗 터널 을 통해 자체 전용 네트워크를 확장할 수 있습니다.

인스턴트 메시징 사전 정의된 정책 애플리케이션 이해

정책을 만들면 정책에 대해 미리 정의된 인스턴트 메시징 애플리케이션을 지정할 수 있습니다.

표 8 에는 사전 정의된 인터넷 메시징 애플리케이션이 나열됩니다. 각 엔트리에는 애플리케이션 이름, 기본 또는 할당된 포트, 애플리케이션 설명이 포함됩니다.

표 8: 사전 정의된 인터넷 메시징 애플리케이션

응용 프로그램

포트

설명

Gnutella

6346(기본)

Gnutella는 분산 네트워크를 통해 작동하는 퍼블릭 도메인 파일 공유 프로토콜입니다. 모든 포트를 할당할 수 있지만 기본값은 6346입니다.

MSN

1863

Microsoft Network Messenger는 인스턴트 메시지를 보내고 온라인으로 대화할 수 있는 유틸리티입니다.

NNTP

119

Network News Transport Protocol은 USENET 메시지를 게시, 배포 및 검색하는 데 사용되는 프로토콜입니다.

SMB

445

IP를 통한 서버 메시지 차단(SMB)은 네트워크의 서버에 파일을 읽고 작성할 수 있는 프로토콜입니다.

YMSG

5010

야후! 메신저는 다른 사람이 온라인 때 확인하고, 인스턴트 메시지를 보내고, 온라인으로 대화 할 수있는 유틸리티입니다.

관리 사전 정의된 정책 애플리케이션 이해

정책을 만들면 정책에 대한 사전 정의된 관리 애플리케이션을 지정할 수 있습니다.

표 9 에는 사전 정의된 관리 애플리케이션이 나와 있습니다. 각 엔트리에는 애플리케이션 이름, 기본 또는 할당된 포트, 애플리케이션 설명이 포함됩니다.

표 9: 사전 정의된 관리 애플리케이션

응용 프로그램

포트

설명

NBNAME

137

NetBIOS Name 애플리케이션은 UDP 포트 137에서 전송된 모든 NetBIOS 이름 패킷을 표시합니다.

NDBDS

138

IBM에서 발행하는 NetBIOS Datagram 애플리케이션은 브로드캐스트 매체와 연결된 PC에 연결되지 않은(데이터그램) 애플리케이션을 제공하여 리소스를 찾고, 세션을 시작하고, 세션을 종료합니다. 신뢰할 수 없으며 패킷이 순서를 따라가지 않습니다.

NFS

Network File System은 UDP를 사용하여 네트워크 사용자가 서로 다른 유형의 컴퓨터에 저장된 공유 파일에 액세스할 수 있도록 지원합니다. SUN RPC는 NFS의 빌딩 블록입니다.

NS Global

NS-Global은 주니퍼 네트웍스 방화벽/VPN 장비를 위한 중앙 관리 프로토콜입니다.

NS Global PRO

NS Global-PRO는 주니퍼 네트웍스 방화벽/VPN 장비 제품군을 위한 확장 가능한 모니터링 시스템입니다.

NSM

Network and Security Manager

NTP

123

네트워크 시간 프로토콜은 컴퓨터가 시간 참조와 동기화하는 방법을 제공합니다.

RLOGIN

513

RLOGIN은 원격 호스트에서 터미널 세션을 시작합니다.

RSH

514

RSH는 원격 호스트에서 셸 명령을 실행합니다.

SNMP

161

단순한 네트워크 관리 프로토콜은 복잡한 네트워크를 관리하기 위한 일련의 프로토콜입니다.

SQL*Net V1

66

SQL*Net Version 1은 데이터의 생성, 액세스, 수정 및 보호를 허용하는 데이터베이스 언어입니다.

SQL*Net V2

66

SQL*Net Version 2는 데이터의 생성, 액세스, 수정 및 보호를 허용하는 데이터베이스 언어입니다.

MSSQL

1433(기본 인스턴스)

Microsoft SQL은 데이터의 생성, 액세스, 수정 및 보호를 허용하는 전용 데이터베이스 서버 도구입니다.

SSH

22

SSH는 안전하지 않은 채널에서 강력한 인증 및 보안 통신을 통해 네트워크를 통해 다른 컴퓨터에 로그인하는 프로그램입니다.

SYSLOG

514

Syslog는 시스템 로거에게 메시지를 보내는 UNIX 프로그램입니다.

이야기

517-518

Talk는 터미널에서 다른 사용자의 회선을 복사하는 시각적 통신 프로그램입니다.

텔넷

23

Telnet은 터미널 장치와 터미널 중심 프로세스를 상호 연결하기 위한 표준 방법을 제공하는 UNIX 프로그램입니다.

윈프레임

WinFrame은 Windows가 아닌 기계의 사용자가 Windows 애플리케이션을 실행할 수 있도록 하는 기술입니다.

X-Windows

X-Windows는 Motif와 OpenLook이 기반으로 하는 창 및 그래픽 시스템입니다.

메일 사전 정의된 정책 애플리케이션 이해

정책을 만들면 정책에 대한 사전 정의된 메일 애플리케이션을 지정할 수 있습니다.

표 10 에는 미리 정의된 메일 애플리케이션이 나와 있습니다. 각 애플리케이션에는 애플리케이션 이름, 기본 또는 할당된 포트 번호, 애플리케이션 설명이 포함됩니다.

표 10: 사전 정의된 메일 애플리케이션

응용 프로그램

포트

설명

IMAP

143

인터넷 메시지 액세스 프로토콜은 메시지 검색에 사용됩니다.

메일(SMTP)

25

간단한 메일 전송 프로토콜은 서버 간에 메시지를 보내는 데 사용됩니다.

POP3

110

우체국 프로토콜은 e-메일 검색에 사용됩니다.

UNIX 사전 정의된 정책 애플리케이션 이해

정책을 만들면 정책에 대해 미리 정의된 UNIX 애플리케이션을 지정할 수 있습니다.

표 11 에는 미리 정의된 UNIX 애플리케이션이 나와 있습니다. 각 엔트리에는 애플리케이션 이름, 기본 또는 할당된 포트, 애플리케이션 설명이 포함됩니다.

표 11: 사전 정의된 UNIX 애플리케이션

응용 프로그램

포트

설명

손가락

79

손가락은 사용자에 대한 정보를 제공하는 UNIX 프로그램입니다.

UUCP

117

UNIX-to-UNIX Copy Protocol(UUCP)은 직렬 또는 모뎀 연결을 통해 두 컴퓨터 간에 파일 전송을 지원하는 UNIX 유틸리티입니다.

기타 사전 정의된 정책 애플리케이션 이해

정책을 만들면 정책에 대한 기타 사전 정의된 애플리케이션을 지정할 수 있습니다.

표 12 에는 사전 정의된 기타 애플리케이션이 나열됩니다. 각 엔트리에는 애플리케이션 이름, 기본 또는 할당된 포트, 애플리케이션 설명이 포함됩니다.

표 12: 사전 정의된 기타 애플리케이션

응용 프로그램

포트

설명

차지(CHARGEN)

19

Character Generator Protocol은 UDP 또는 TCP 기반 디버깅 및 측정 도구입니다.

삭제

9

폐기 프로토콜은 포트 9로 전송되는 TCP 또는 UDP 데이터를 폐기하는 프로세스를 설명하는 Application Layer 프로토콜입니다.

IDENT

113

신원 확인 프로토콜은 TCP 클라이언트 인증에 사용되는 TCP/IP Application Layer 프로토콜입니다.

LPR

515 듣기;

721-731 소스 범위(포함)

Line Printer Daemon 프로토콜은 인쇄 애플리케이션에 사용되는 TCP 기반 프로토콜입니다.

RADIUS

1812

원격 인증 다이얼인 사용자 서비스 애플리케이션은 인증 및 어카운팅 목적으로 사용되는 서버 프로그램입니다.

RADIUS 회계

1813

RADIUS 어카운팅 서버는 LAN으로 또는 외부로 로그인하는 사용자에 대한 통계 데이터를 수신합니다.

SQLMON

1434(SQL 모니터 포트)

SQL 모니터(Microsoft)

VNC

5800

가상 네트워크 컴퓨팅은 인터넷에 연결된 다른 컴퓨터 또는 모바일 주니퍼 네트웍스 디바이스를 보고 상호 작용할 수 있도록 지원합니다.

WHOIS

43

Network Directory Application Protocol은 도메인 이름을 조회하는 방법입니다.

SCCP

2000

Cisco Station SCCP(Call Control Protocol)는 시그널링 연결 제어 포트를 사용하여 고가용성 및 플로우 제어를 제공합니다.

ICMP 사전 정의된 정책 애플리케이션 이해

정책을 만들면 정책에 대한 ICMP 사전 정의된 애플리케이션을 지정할 수 있습니다.

ICMP(Internet Control Message Protocol)는 IP의 일부로 네트워크 쿼리(ICMP 쿼리 메시지)와 오류 패턴(ICMP 오류 메시지)에 대한 네트워크 피드백을 수신하는 방법을 제공합니다. 그러나 ICMP는 오류 메시지 전달을 보장하거나 모든 손실된 데이터그램을 보고하지 않습니다. 신뢰할 수 있는 프로토콜이 아닙니다. ICMP 코드 및 유형 코드는 ICMP 쿼리 메시지와 ICMP 오류 메시지를 설명합니다.

네트워크 보안을 향상시키기 위해 특정 유형의 ICMP 메시지를 허용하거나 거부할 수 있습니다. 보안을 손상시킬 수 있는 네트워크에 대한 정보를 얻기 위해 일부 유형의 ICMP 메시지를 악용할 수 있습니다. 예를 들어, ICMP, TCP 또는 UDP 패킷은 토폴로지 및 액세스 목록 필터링 특성과 같은 네트워크에 대한 정보가 포함된 ICMP 오류 메시지를 반환하도록 작성할 수 있습니다. 표 13 에는 ICMP 메시지 이름, 해당 코드, 유형 및 설명이 나열되어 있습니다.

표 13: ICMP 메시지

ICMP 메시지 이름

형식

코드

설명

ICMP-ANY

모든

모든

ICMP-ANY는 ICMP를 사용하는 모든 프로토콜에 영향을 줍니다.

ICMP-ANY를 거부하면 ICMP를 사용하여 네트워크를 핑 또는 모니터링하려는 시도가 손상됩니다.

ICMP-ANY를 허용하면 모든 ICMP 메시지가 허용됩니다.

ICMP-ADDRESS-MASK

  • 요청

  • 응답

17

18

0

0

ICMP 주소 마스크 쿼리는 부트스트랩 서버의 로컬 서브넷 마스크가 필요한 시스템에 사용됩니다.

ICMP 주소 마스크 요청 메시지를 거부하면 디스크리스 시스템에 부정적인 영향을 미칠 수 있습니다.

ICMP 주소 마스크 요청 메시지를 허용하면 다른 사용자가 네트워크에서 호스트의 운영 체제에 지문을 찍을 수 있습니다.

ICMP-DEST-UNREACH

3

0

ICMP 대상 연결할 수 없는 오류 메시지는 대상 호스트가 패킷을 거부하도록 구성되었음을 나타냅니다.

코드 0, 1, 4 또는 5는 게이트웨이에서 사용할 수 있습니다. 코드 2 또는 3은 호스트(RFC 792)에서 생성될 수 있습니다.

ICMP 대상의 연결할 수 없는 오류 메시지를 거부하면 호스트가 SRX 시리즈 디바이스 뒤에서 실행 중이라는 가정을 제거할 수 있습니다.

ICMP 대상에 연결할 수 없는 오류 메시지를 허용하면 보안 필터링과 같은 일부 가정을 네트워크에 대해 만들 수 있습니다.

ICMP 단편화 필요

3

4

ICMP 단편화 오류 메시지는 단편화가 필요하지만 플래그를 단편화하지 않는 것이 설정되어 있음을 나타냅니다.

인터넷에서 내부 네트워크로 전달되는 이러한 메시지를 거부하는 것이 좋습니다.

ICMP 단편화어셈블리

11

1

ICMP 패킷 조각 재조셈블리 시간이 초과된 오류로 단편화된 메시지를 섭렵하는 호스트가 시간이 부족해 패킷을 삭제했음을 나타냅니다. 이 메시지는 때때로 전송됩니다.

인터넷(외부)에서 신뢰할 수 있는(내부) 네트워크로 전달되는 메시지를 거부하는 것이 좋습니다.

ICMP-HOST-UNREACH

3

1

ICMP 호스트에 연결할 수 없는 오류 메시지는 라우팅 테이블 항목이 특정 호스트를 무한대로 나열하거나 나열하지 않음을 나타냅니다. 단편화를 요구하는 패킷이 수신될 때 단편화할 수 없는 게이트웨이에 의해 이 오류가 전송되는 경우도 있습니다.

인터넷에서 신뢰할 수 있는 네트워크로 전달되는 메시지를 거부하는 것이 좋습니다.

이러한 메시지를 허용하면 다른 사용자가 제거 프로세스를 통해 내부 호스트 IP 주소를 결정하거나 게이트웨이 및 단편화에 대한 가정을 할 수 있습니다.

ICMP-INFO

  • 요청

  • 응답

15

16

0

0

ICMP-INFO 쿼리 메시지를 사용하면 디스크리스 호스트 시스템이 네트워크를 쿼리하고 자체 구성할 수 있습니다.

ICMP 주소 마스크 요청 메시지를 거부하면 디스크리스 시스템에 부정적인 영향을 미칠 수 있습니다.

ICMP 주소 마스크 요청 메시지를 허용하면 다른 사용자가 정보 쿼리를 네트워크 세그먼트로 브로드캐스트하여 컴퓨터 유형을 결정할 수 있습니다.

ICMP-매개 변수 문제

12

0

ICMP 매개 변수 문제 오류 메시지는 잘못된 헤더 매개변수가 존재하고 패킷을 폐기하게 했을 때 이를 통보합니다.

인터넷에서 신뢰할 수 있는 네트워크로 전달되는 메시지를 거부하는 것이 좋습니다.

ICMP 매개 변수 문제 오류 메시지를 허용하면 다른 사용자가 네트워크에 대한 가정을 할 수 있습니다.

ICMP-PORT-UNREACH

3

3

ICMP 포트에 연결할 수 없는 오류 메시지는 특정 포트를 요청하는 데이터그램을 처리하는 게이트웨이가 네트워크에서 사용할 수 없거나 지원되지 않음을 나타냅니다.

인터넷에서 신뢰할 수 있는 네트워크로 전달되는 메시지를 거부하는 것이 좋습니다.

ICMP 포트에 연결할 수 없는 오류 메시지를 허용하면 다른 사용자가 특정 프로토콜에 사용하는 포트를 결정할 수 있습니다.

ICMP-PROTOCOL-UNREACH

3

2

ICMP 프로토콜에 연결할 수 없는 오류 메시지는 특정 프로토콜을 요청하는 데이터그램을 처리하는 게이트웨이가 네트워크에서 사용할 수 없거나 지원되지 않음을 나타냅니다.

인터넷에서 신뢰할 수 있는 네트워크로 전달되는 메시지를 거부하는 것이 좋습니다.

ICMP 프로토콜에 연결할 수 없는 오류 메시지를 허용하면 다른 사용자가 네트워크의 실행 중인 프로토콜을 결정할 수 있습니다.

ICMP-REDIRECT

5

0

ICMP 리디렉션 네트워크 오류 메시지는 SRX 시리즈 디바이스에서 전송합니다.

인터넷에서 신뢰할 수 있는 네트워크로 전달되는 메시지를 거부하는 것이 좋습니다.

ICMP-REDIRECT-HOST

5

1

ICMP 리디렉션 메시지는 지정된 호스트가 다른 경로를 따라 전송될 데이터그램을 나타냅니다.

ICMP-REDIRECT-TOS-HOST

5

3

ICMP 경로 재지정 서비스 유형(TOS) 및 호스트 오류는 일종의 메시지입니다.

ICMP-REDIRECT-TOS-NET

5

2

ICMP 리디렉션 TOS 및 네트워크 오류는 일종의 메시지입니다.

ICMP-SOURCE-QUENCH

4

0

ICMP 소스 quench 오류 메시지는 디바이스에 패킷을 수락, 큐 및 다음 홉으로 보낼 수 있는 버퍼 공간이 없다는 것을 나타냅니다.

이러한 메시지를 거부하면 내부 네트워크 성능에 도움이 되거나 손상되지 않습니다.

이러한 메시지를 허용하면 다른 사용자가 장비가 혼잡하다는 것을 알 수 있어 실행 가능한 공격 대상이 될 수 있습니다.

ICMP-SOURCE-ROUTE-FAIL

3

5

ICMP 소스 경로 실패 오류 메시지

인터넷(외부)에서 이러한 메시지를 거부하는 것이 좋습니다.

ICMP 시간 초과

11

0

ICMP TTL(Time-to-Live) 초과 오류 메시지는 패킷이 대상에 도달하기 전에 패킷의 TTL 설정이 0에 도달했음을 나타냅니다. 이를 통해 기존 패킷은 재진입 패킷이 처리되기 전에 폐기됩니다.

신뢰할 수 있는 네트워크에서 인터넷으로 전달되는 메시지를 거부하는 것이 좋습니다.

ICMP-타임스탬프

  • 요청

  • 응답

13

14

0

0

ICMP-TIMESTAMP 쿼리 메시지는 다양한 대규모 네트워크에서 시간을 동기화하고 시간 분포를 조정할 수 있는 메커니즘을 제공합니다.

Ping(ICMP ECHO)

8

0

Ping은 IP 주소로 특정 호스트에 액세스할 수 있는지 여부를 결정하는 유틸리티입니다.

핑 기능을 거부하면 호스트가 활성 상태인지 확인하는 기능이 제거됩니다.

핑을 허용하면 다른 사용자가 DoS(Denial-of-Service) 또는 Smurf 공격을 실행할 수 있습니다.

ICMP-ECHO-Fragment-ASSEMBLY-EXPIRE

11

1

ICMP 패킷 조각 에코 assembly 시간이 만료된 오류 메시지는 Assembly 시간이 초과되었음을 나타냅니다.

이러한 메시지를 거부하는 것이 좋습니다.

Traceroute

  • 전달

  • 삭제

30

30

0

1

Traceroute는 특정 호스트에 액세스하는 경로를 나타내는 유틸리티입니다.

인터넷(외부)에서 신뢰할 수 있는 네트워크(내부)로 이 유틸리티를 거부하는 것이 좋습니다.

ICMP 연결할 수 없는 오류의 기본 동작

보안 수준이 서로 다른 경우, ICMP에 연결할 수 없는 오류의 기본 동작은 다음과 같이 처리됩니다.

  • 다음 조건이 충족되는 경우에만 ICMP type-3, code-0, code-1, code-2 및 code-3 메시지에 대해 세션이 닫힙니다.

    • ICMP 연결할 수 없는 메시지는 서버-클라이언트 방향에서 수신됩니다.

    • 서버-클라이언트 방향에서는 일반 패킷이 수신되지 않습니다.

    그렇지 않으면 세션이 닫히지 않습니다.

  • 세션은 ICMP Type-3, code-4 메시지에 대해 닫지 않습니다.

예: 맞춤형 ICMP 애플리케이션 정의

이 예에서는 사용자 지정 ICMP 애플리케이션을 정의하는 방법을 보여줍니다.

요구 사항

시작하기 전:

개요

Junos OS는 사전 정의 또는 맞춤형 애플리케이션으로 ICMP는 물론, 여러 ICMP 메시지를 지원합니다. 사용자 지정 ICMP 애플리케이션을 구성할 때 유형과 코드를 정의합니다.

  • ICMP 내에는 다양한 메시지 유형이 있습니다. 예를 들어:

    • type 0 = Echo Request 메시지

    • 유형 3 = 대상 연결할 수 없는 메시지

  • ICMP 메시지 유형에는 메시지 코드도 있을 수 있습니다. 이 코드는 표 14와 같이 메시지에 대한 보다 구체적인 정보를 제공합니다.

    표 14: 메시지 설명

    메시지 유형

    메시지 코드

    5 = 리디렉션

    0 = 네트워크(또는 서브넷)에 대한 리다이렉트 데이터그램

     

    1 = 호스트에 대한 리다이렉트 데이터그램

     

    2 = 애플리케이션 및 네트워크 유형에 대한 리다이렉트 데이터그램

     

    3 = 애플리케이션 및 호스트 유형에 대한 리다이렉트 데이터그램

    11 = 시간 초과 코드

    0 = 전송 시간 초과

     

    1 = 단편화된 재조셈블리 시간 초과

Junos OS는 모든 유형 또는 코드를 0 지원합니다 55 .

이 예에서는 ICMP를 전송 프로토콜로 사용하여 호스트에 연결할 수 없는 사용자 지정 애플리케이션을 정의합니다. 유형은 3(목적지에 연결할 수 없는 대상)이며 코드는 1입니다(호스트에 연결할 수 없음). 타임아웃 값을 4분으로 설정합니다.

참고:

ICMP 유형 및 코드에 대한 자세한 내용은 RFC 792, Internet Control Message Protocol을 참조하십시오.

구성

절차

단계별 절차

다음 예제에서는 구성 계층에서 다양한 레벨을 탐색해야 합니다. 그 방법에 대한 지침은 Junos OS CLI 사용자 가이드의 Configuration 모드에서 CLI Editor를 사용하는 것을 참조하십시오.

사용자 지정 ICMP 애플리케이션을 정의하려면 다음을 수행합니다.

  1. 애플리케이션 유형과 코드를 설정합니다.

  2. 비활성 타임아웃 값을 설정합니다.

  3. 디바이스 구성을 완료한 경우 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show applications .