사전 정의된 정책 애플리케이션

인터넷 관련 사전 정의된 정책 응용 프로그램 이해

정책을 만들 때 정책에 대해 미리 정의된 인터넷 관련 응용 프로그램을 지정할 수 있습니다.

표 1 에는 인터넷 관련 사전 정의된 응용 프로그램이 나와 있습니다. 네트워크 요구 사항에 따라 이러한 응용 프로그램의 일부 또는 전부를 허용하거나 거부하도록 선택할 수 있습니다. 각 항목에는 응용 프로그램 이름, 기본 수신 포트 및 응용 프로그램 설명이 나열됩니다.

표 1: 사전 정의된 애플리케이션
응용 프로그램 이름	포트	응용 프로그램 설명
Aol	5190-5193	America ISP(Online Internet Service Provider)는 인터넷, 채팅 및 인스턴트 메시징 응용 프로그램을 제공합니다.
DHCP 릴레이	67(기본값)	동적 호스트 구성 프로토콜.
Dhcp	68 클라이언트 67 서버	Dynamic Host Configuration Protocol은 네트워크 주소를 할당하고 서버에서 호스트로 구성 매개 변수를 전달합니다.
Dns	53	DNS(Domain Name System)는 도메인 이름을 IP 주소로 변환합니다.
Ftp	20 데이터 21 제어	FTP(파일 전송 프로토콜)를 사용하면 시스템 간에 파일을 보내고 받을 수 있습니다. ANY를 거부 또는 허용하거나 선택적으로 허용 또는 거부하도록 선택할 수 있습니다. 신뢰할 수 없는 소스(인터넷)의 FTP 응용 프로그램을 거부하는 것이 좋습니다.
Gopher	70	Gopher는 인터넷 서버의 콘텐츠를 계층적으로 구조화된 파일 목록으로 구성하고 표시합니다. 네트워크 구조가 노출되지 않도록 Gopher 액세스를 거부하는 것이 좋습니다.
HTTP (영문)	80	하이퍼텍스트 전송 프로토콜은 월드 와이드 웹(WWW)에서 사용하는 기본 프로토콜입니다. HTTP 응용 프로그램을 거부하면 사용자가 인터넷을 볼 수 없습니다. HTTP 응용 프로그램을 허용하면 신뢰할 수 있는 호스트가 인터넷을 볼 수 있습니다.
HTTP-EXT (영문)	—	확장된 비표준 포트가 있는 하이퍼텍스트 전송 프로토콜
HTTPS (영문)	443	SSL(Secure Sockets Layer)을 사용하는 하이퍼텍스트 전송 프로토콜은 인터넷을 통해 개인 문서를 전송하기 위한 프로토콜입니다. HTTPS를 거부하면 사용자가 인터넷에서 쇼핑하거나 보안 암호 교환이 필요한 특정 온라인 리소스에 액세스할 수 없습니다. HTTPS를 허용하면 신뢰할 수 있는 호스트가 암호 교환에 참여하고, 온라인 쇼핑을 하고, 사용자 로그인이 필요한 다양한 보호된 온라인 리소스를 방문할 수 있습니다.
인터넷 로케이터 서비스	—	인터넷 로케이터 서비스에는 LDAP, 사용자 로케이터 서비스 및 LDAP over TSL/SSL이 포함됩니다.
Irc	6665-6669	인터넷 릴레이 채팅(IRC)을 사용하면 인터넷에 연결된 사람들이 실시간 토론에 참여할 수 있습니다.
Ldap	389	LDAP(Lightweight Directory Access Protocol)는 정보 디렉토리에 액세스하는 데 사용되는 프로토콜 집합입니다.
PC-Anywhere	—	PC-Anywhere는 원격 제어 및 파일 전송 소프트웨어입니다.
Tftp	69	TFTP(Trivial File Transfer Protocol)는 간단한 파일 전송을 위한 프로토콜입니다.
Wais	—	광역 정보 서버는 인터넷에서 문서를 찾는 프로그램입니다.

참고:

Junos OS 릴리스 Junos OS 릴리스 18.4R1부터 HTTP, SMTP, IMAP, POP3 over SSL과 같은 암호화된 애플리케이션은 Junos OS 사전 정의된 애플리케이션 및 애플리케이션 세트에서 junos:HTTPS, junos:SMTPS, junos:IMAPS 및 junos:POP3S로 식별됩니다. 예를 들면 다음과 같습니다. HTTPS 트래픽을 허용하거나 거부하도록 보안 정책을 구성하는 경우 애플리케이션 일치 기준을 junos:HTTPS로 지정해야 합니다. 이전 Junos OS 릴리스에서는 junos:HTTP와 동일한 애플리케이션 일치 기준을 사용하여 HTTP 및 암호화된 HTTP(HTTPS) 애플리케이션을 모두 구성할 수 있었습니다.

Microsoft 미리 정의된 정책 응용 프로그램 이해

정책을 만들 때 정책에 대해 미리 정의된 Microsoft 응용 프로그램을 지정할 수 있습니다.

표 2 에는 미리 정의된 Microsoft 응용 프로그램, 각 응용 프로그램과 관련된 매개 변수 및 각 응용 프로그램에 대한 간략한 설명이 나와 있습니다. 매개 변수에는 UUID(universal unique identifier)와 TCP/UDP 원본 및 대상 포트가 포함됩니다. UUID는 하드웨어 주소, 타임스탬프 및 시드 값에서 생성된 128비트 고유 번호입니다.

표 2: 사전 정의된 Microsoft 애플리케이션
응용 프로그램	매개 변수/UUID	설명
Junos MS-RPC-EPM	135 e1af8308-5d1f-11c9-91a4-08002b14a0fa	Microsoft RPC(원격 프로시저 호출) EPM(엔드포인트 매퍼) 프로토콜입니다.
Junos MS-RPC	—	모든 Microsoft RPC(원격 프로시저 호출) 응용 프로그램Any Microsoft Remote Procedure Call (RPC) applications.
Junos MS-RPC-MSEXCHANGE	회원 3명	Microsoft Exchange 응용 프로그램 그룹에는 다음이 포함됩니다. Junos-MS-RPC-MSEXCHANGE-DATABASE Junos-MS-RPC-MSEXCHANGE-디렉터리 Junos-MS-RPC-MSEXCHANGE-INFO-STORE
Junos-MS-RPC-MSEXCHANGE-DATABASE	1A190310-BB9C-11CD-90F8-00AA00466520	Microsoft Exchange 데이터베이스 응용 프로그램.
Junos-MS-RPC-MSEXCHANGE-디렉터리	F5CC5A18-4264-101A-8C59-08002B2F8426 F5CC5A7C-4264-101A-8C59-08002B2F8426 F5CC59B4-4264-101A-8C59-08002B2F8426	Microsoft Exchange 디렉터리 응용 프로그램.
Junos-MS-RPC-MSEXCHANGE-INFO-STORE	0E4A0156-DD5D-11D2-8C2F-00C04FB6BCDE 1453C42C-0FA6-11D2-A910-00C04F990F3B 10F24E8E-0FA6-11D2-A910-00C04F990F3B 1544f5e0-613c-11d1-93df-00c04fd7bd09	Microsoft Exchange Information Store 응용 프로그램.
JUNOS-MS-RPC-TCP	—	Microsoft TCP(Transmission Control Protocol) 응용 프로그램입니다.
Junos-MS-RPC-UDP	—	Microsoft UDP(User Datagram Protocol) 응용 프로그램입니다.
Junos-MS-SQL	—	Microsoft SQL(구조적 쿼리 언어).
Junos-MSN	—	Microsoft Network Messenger 응용 프로그램입니다.

동적 라우팅 프로토콜 이해 사전 정의된 정책 애플리케이션

정책을 생성할 때 정책에 대해 사전 정의된 동적 라우팅 프로토콜 애플리케이션을 지정할 수 있습니다.

네트워크 요구 사항에 따라 이러한 동적 라우팅 프로토콜 및 이러한 동적 라우팅 프로토콜의 패킷에서 생성된 메시지를 허용하거나 거부하도록 선택할 수 있습니다. 표 3 에는 지원되는 각 동적 라우팅 프로토콜이 이름, 포트 및 설명별로 나열되어 있습니다.

표 3: 동적 라우팅 프로토콜
동적 라우팅 프로토콜	포트	설명
Rip	520	RIP는 일반적인 거리 벡터 라우팅 프로토콜입니다.
Ospf	89	OSPF는 일반적인 링크 상태 라우팅 프로토콜입니다.
Bgp	179	BGP는 외부/도메인 간 라우팅 프로토콜입니다.

스트리밍 비디오 사전 정의된 정책 애플리케이션 이해

정책을 만들 때 정책에 대해 사전 정의된 스트리밍 비디오 애플리케이션을 지정할 수 있습니다.

표 4 에는 지원되는 각 스트리밍 비디오 응용 프로그램이 이름별로 나열되어 있으며 기본 포트 및 설명이 포함되어 있습니다. 네트워크 요구 사항에 따라 이러한 응용 프로그램의 일부 또는 전부를 허용하거나 거부하도록 선택할 수 있습니다.

표 4: 지원되는 스트리밍 비디오 애플리케이션
응용 프로그램	포트	설명
H.323	TCP 소스 1-65535; TCP 대상 1720, 1503, 389, 522, 1731 UDP 소스 1-65535; UDP 소스 1719	H.323은 시청각 회의 데이터가 네트워크를 통해 전송되는 방식을 정의하는 ITU(International Telecommunication Union)에서 승인한 표준입니다.
Netmeeting	TCP 소스 1-65535; TCP 대상 1720, 1503, 389, 522 UDP 소스 1719	Microsoft NetMeeting은 TCP를 사용하여 인터넷을 통해 원격 회의(비디오 및 오디오) 응용 프로그램을 제공합니다.
리얼 미디어	TCP 소스 1-65535; TCP 대상 7070	Real Media는 스트리밍 비디오 및 오디오 기술입니다.
Rtsp	554	RTSP(Real-Time Streaming Protocol)는 스트리밍 미디어 애플리케이션용입니다
Sip	5056	SIP(Session Initiation Protocol)는 세션을 생성, 수정 및 종료하기 위한 애플리케이션 계층 제어 프로토콜입니다.
VDO 라이브	TCP 소스 1-65535; TCP 대상 7000-7010	VDOLive는 확장 가능한 비디오 스트리밍 기술입니다.

Sun RPC 사전 정의된 정책 응용 프로그램 이해

정책을 만들 때 정책에 대해 미리 정의된 Sun RPC 응용 프로그램을 지정할 수 있습니다.

표 5 에는 각 Sun 원격 프로시저 호출 RPC ALG(Application Layer Gateway) 응용 프로그램 이름, 매개 변수 및 전체 이름이 나열되어 있습니다.

표 5: RPC ALG 애플리케이션
응용 프로그램	프로그램 번호	성명
SUN-RPC-PORTMAPPER	111100000	Sun RPC Portmapper 프로토콜
SUN-RPC-ANY	임의	모든 Sun RPC 응용 프로그램
SUN-RPC 프로그램 마운트드	100005	Sun RPC 마운트 데몬
SUN-RPC 프로그램-NFS	100003 100227	Sun RPC 네트워크 파일 시스템
SUN-RPC 프로그램-NLOCKMGR	100021	Sun RPC 네트워크 잠금 관리자
SUN-RPC-PROGRAM-RQUOTAD	100011	Sun RPC 원격 할당량 데몬
SUN-RPC 프로그램-RSTATD	100001	Sun RPC 원격 상태 데몬
SUN-RPC 프로그램 루저드	100002	Sun RPC 원격 사용자 데몬
SUN-RPC 프로그램 슬픔마인드	100232	Sun RPC 시스템 관리 데몬
SUN-RPC 프로그램 스프레이	100012	Sun RPC 스프레이 데몬
SUN-RPC 프로그램 상태	100024	Sun RPC 상태
SUN-RPC 프로그램 벽	100008	Sun RPC 벽 데몬
SUN-RPC-PROGRAM-YPBIND	100007	SUN RPC Yellow Page Bind 응용 프로그램

보안 및 터널 사전 정의된 정책 애플리케이션 이해

정책을 생성할 때 정책에 대해 사전 정의된 보안 및 터널 애플리케이션을 지정할 수 있습니다.

표 6 에서는 지원되는 각 애플리케이션을 나열하고 기본 포트와 각 항목에 대한 설명을 제공합니다.

표 6: 지원되는 애플리케이션
응용 프로그램	포트	설명
Ike	UDP 소스 1-65535; UDP 대상 500	Internet Key Exchange는 IPsec 프로토콜 제품군에서 보안 연결을 설정하는 프로토콜입니다. IKE(Internet Key Protocol)는 ISAKMP와 함께 사용할 인증된 키 자료를 얻기 위한 프로토콜입니다.
IKE-NAT(Internet Key Exchange)	4500	IKE-네트워크 주소 변환(NAT)은 S2C IKE 트래픽에 대해 레이어 3 NAT를 수행합니다.
L2tp	1701	L2TP는 원격 액세스를 위해 PPTP와 L2F(Layer 2 Forwarding)를 결합합니다.
Pptp	1723	Point-to-Point Tunneling Protocol을 사용하면 기업이 공용 인터넷을 통해 사설 터널을 통해 자체 사설 네트워크를 확장할 수 있습니다.

IP 관련 사전 정의된 정책 애플리케이션 이해

정책을 만들 때 정책에 대해 미리 정의된 IP 관련 응용 프로그램을 지정할 수 있습니다.

표 7 에는 사전 정의된 IP 관련 애플리케이션이 나열되어 있습니다. 각 항목에는 기본 포트와 응용 프로그램에 대한 설명이 포함됩니다.

TCP-ANY는 TCP를 사용하는 모든 응용 프로그램을 의미하므로 기본 포트가 없습니다. UDP-ANY의 경우에도 마찬가지입니다.

표 7: 사전 정의된 IP 관련 애플리케이션
응용 프로그램	포트	설명
임의	—	모든 응용 프로그램
TCP-모두	0-65,535	TCP를 사용하는 모든 프로토콜
UDP-모두	0-65,535	UDP를 사용하는 모든 프로토콜

Instant Messaging 미리 정의된 정책 응용 프로그램 이해

정책을 만들 때 정책에 대해 미리 정의된 인스턴트 메시징 응용 프로그램을 지정할 수 있습니다.

표 8 에서는 미리 정의된 인터넷 메시징 응용 프로그램을 보여 줍니다. 각 항목에는 응용 프로그램의 이름, 기본 또는 할당된 포트 및 응용 프로그램에 대한 설명이 포함됩니다.

표 8: 사전 정의된 인터넷 메시징 애플리케이션
응용 프로그램	포트	설명
Gnutella	6346(기본값)	Gnutella는 분산 네트워크에서 작동하는 공개 도메인 파일 공유 프로토콜입니다. 모든 포트를 할당할 수 있지만 기본값은 6346입니다.
Msn	1863	Microsoft Network Messenger는 인스턴트 메시지를 보내고 온라인으로 대화할 수 있는 유틸리티입니다.
Nntp	119	네트워크 뉴스 전송 프로토콜은 USENET 메시지를 게시, 배포 및 검색하는 데 사용되는 프로토콜입니다.
Smb	445	IP를 통한 SMB(서버 메시지 블록)는 네트워크의 서버에서 파일을 읽고 쓸 수 있는 프로토콜입니다.
증권 시세 표시기	5010	Yahoo! Messenger는 다른 사람이 온라인 상태인지 확인하고, 인스턴트 메시지를 보내고, 온라인으로 대화할 수 있는 유틸리티입니다.

관리 사전 정의된 정책 애플리케이션 이해

정책을 만들 때 정책에 대해 미리 정의된 관리 응용 프로그램을 지정할 수 있습니다.

표 9 에는 사전 정의된 관리 응용 프로그램이 나열되어 있습니다. 각 항목에는 응용 프로그램의 이름, 기본 또는 할당된 포트 및 응용 프로그램에 대한 설명이 포함됩니다.

표 9: 사전 정의된 관리 애플리케이션
응용 프로그램	포트	설명
NB이름	137	NetBIOS 이름 응용 프로그램은 UDP 포트 137에서 보낸 모든 NetBIOS 이름 패킷을 표시합니다.
증권 시세 표시기	138	IBM에서 게시한 NetBIOS 데이터그램 응용 프로그램은 브로드캐스트 매체에 연결된 PC에 연결 없는(데이터그램) 응용 프로그램을 제공하여 리소스를 찾고, 세션을 시작하고, 세션을 종료합니다. 신뢰할 수 없으며 패킷이 시퀀싱되지 않습니다.
Nfs	—	네트워크 파일 시스템은 UDP를 사용하여 네트워크 사용자가 다른 유형의 컴퓨터에 저장된 공유 파일에 액세스할 수 있도록 합니다. SUN RPC는 NFS의 빌딩 블록입니다.
NS글로벌	—	NS-Global은 주니퍼 네트웍스 방화벽/VPN 장치를 위한 중앙 관리 프로토콜입니다.
NS글로벌프로	—	NS Global-PRO는 주니퍼 네트웍스 방화벽/VPN 디바이스 제품군을 위한 확장 가능한 모니터링 시스템입니다.
Nsm	—	네트워크 및 보안 관리자
Ntp	123	Network Time Protocol은 컴퓨터가 시간 참조와 동기화할 수 있는 방법을 제공합니다.
RLOGIN	513	RLOGIN은 원격 호스트에서 터미널 세션을 시작합니다.
Rsh	514	RSH는 원격 호스트에서 쉘 명령을 실행합니다.
Snmp	161	SNMP(Simple Network Management Protocol)는 복잡한 네트워크를 관리하기 위한 프로토콜 집합입니다.
SQL*Net V1	66	SQL*Net 버전 1은 데이터를 생성, 액세스, 수정 및 보호할 수 있는 데이터베이스 언어입니다.
SQL*Net 버전 2	66	SQL*Net 버전 2는 데이터를 생성, 액세스, 수정 및 보호할 수 있는 데이터베이스 언어입니다.
Mssql	1433(기본 인스턴스)	Microsoft SQL은 데이터를 생성, 액세스, 수정 및 보호할 수 있는 독점 데이터베이스 서버 도구입니다.
Ssh	22	SSH는 안전하지 않은 채널에서 강력한 인증 및 보안 통신을 통해 네트워크를 통해 다른 컴퓨터에 로그인하는 프로그램입니다.
Syslog	514	Syslog는 시스템 로거에 메시지를 보내는 UNIX 프로그램입니다.
이야기	517-518	Talk는 단말기에서 다른 사용자의 회선으로 회선을 복사하는 시각 커뮤니케이션 프로그램입니다.
텔넷	23	Telnet은 단말 장치와 단말 지향 프로세스를 서로 인터페이스하는 표준 방법을 제공하는 UNIX 프로그램입니다.
윈프레임	—	WinFrame은 Windows가 아닌 컴퓨터의 사용자가 Windows 응용 프로그램을 실행할 수 있도록 하는 기술입니다.
X-윈도우	—	X-Windows는 Motif와 OpenLook의 기반이 되는 윈도우 및 그래픽 시스템입니다.

Mail 사전 정의된 정책 애플리케이션 이해

정책을 작성할 때 정책에 대해 사전 정의된 메일 애플리케이션을 지정할 수 있습니다.

표 10 은 사전 정의된 메일 애플리케이션을 나열합니다. 각각에는 응용 프로그램의 이름, 기본 또는 할당된 포트 번호 및 응용 프로그램에 대한 설명이 포함됩니다.

표 10: 사전 정의된 메일 애플리케이션
응용 프로그램	포트	설명
Imap	143	Internet Message Access Protocol은 메시지를 검색하는 데 사용됩니다.
메일(SMTP)	25	Simple Mail Transfer Protocol은 서버 간에 메시지를 보내는 데 사용됩니다.
POP3	110	Post Office Protocol은 전자 메일을 검색하는 데 사용됩니다.

UNIX 사전 정의된 정책 응용 프로그램 이해

정책을 만들 때 정책에 대해 미리 정의된 UNIX 응용 프로그램을 지정할 수 있습니다.

표 11 에는 사전 정의된 UNIX 애플리케이션이 나열되어 있습니다. 각 항목에는 응용 프로그램의 이름, 기본 또는 할당된 포트 및 응용 프로그램에 대한 설명이 포함됩니다.

표 11: 사전 정의된 UNIX 애플리케이션
응용 프로그램	포트	설명
손가락	79	핑거는 사용자에 대한 정보를 제공하는 유닉스 프로그램입니다.
UUCP	117	UUCP(UNIX-to-UNIX Copy Protocol)는 직접 직렬 또는 모뎀 연결을 통해 두 컴퓨터 간에 파일을 전송할 수 있는 UNIX 유틸리티입니다.

기타 사전 정의된 정책 응용 프로그램 이해

정책을 만들 때 정책에 대해 미리 정의된 기타 응용 프로그램을 지정할 수 있습니다.

표 12 에는 사전 정의된 기타 응용 프로그램이 나열되어 있습니다. 각 항목에는 응용 프로그램 이름, 기본 또는 할당된 포트, 응용 프로그램에 대한 설명이 포함됩니다.

표 12: 사전 정의된 기타 응용 프로그램
응용 프로그램	포트	설명
차지	19	문자 생성기 프로토콜은 UDP 또는 TCP 기반 디버깅 및 측정 도구입니다.
삭제	9	폐기 프로토콜은 포트 9로 전송된 TCP 또는 UDP 데이터를 폐기하는 프로세스를 설명하는 애플리케이션 계층 프로토콜입니다.
Ident	113	식별 프로토콜은 TCP 클라이언트 인증에 사용되는 TCP/IP 애플리케이션 계층 프로토콜입니다.
Lpr	515 듣다. 721-731 소스 범위(포함)	Line Printer Daemon 프로토콜은 인쇄 응용 프로그램에 사용되는 TCP 기반 프로토콜입니다.
Radius	1812	Remote Authentication Dial-In User Service 응용 프로그램은 인증 및 계정 목적으로 사용되는 서버 프로그램입니다.
RADIUS 어카운팅	1813	RADIUS 계정 서버는 LAN에 로그인 또는 로그아웃하는 사용자에 대한 통계 데이터를 수신합니다.
SQLMON	1434(SQL 모니터 포트)	SQL 모니터(Microsoft)
Vnc	5800	가상 네트워크 컴퓨팅(Virtual Network Computing)을 사용하면 인터넷에 연결된 다른 컴퓨터 또는 모바일 주니퍼 네트웍스 디바이스를 쉽게 보고 상호 작용할 수 있습니다.
Whois	43	Network Directory Application Protocol은 도메인 이름을 조회하는 방법입니다.
Sccp	2000	Cisco SCCP(Station Call Control Protocol)는 신호 연결 제어 포트를 사용하여 고가용성 및 플로우 제어를 제공합니다.

ICMP 사전 정의된 정책 애플리케이션 이해

정책을 생성할 때 정책에 대해 미리 정의된 ICMP 애플리케이션을 지정할 수 있습니다.

ICMP(Internet Control Message Protocol)는 IP의 일부이며 네트워크를 쿼리(ICMP 쿼리 메시지)하고 네트워크에서 오류 패턴(ICMP 오류 메시지)에 대한 피드백을 받는 방법을 제공합니다. 그러나 ICMP는 오류 메시지 전달을 보장하거나 손실된 모든 데이터그램을 보고하지 않습니다. 신뢰할 수 있는 프로토콜이 아닙니다. ICMP 코드 및 유형 코드는 ICMP 쿼리 메시지 및 ICMP 오류 메시지를 설명합니다.

네트워크 보안을 강화하기 위해 특정 유형의 ICMP 메시지를 허용하거나 거부하도록 선택할 수 있습니다. 일부 유형의 ICMP 메시지는 보안을 손상시킬 수 있는 네트워크 정보를 얻기 위해 악용될 수 있습니다. 예를 들어, ICMP, TCP 또는 UDP 패킷을 구성하여 토폴로지 및 액세스 목록 필터링 특성과 같은 네트워크에 대한 정보가 포함된 ICMP 오류 메시지를 반환할 수 있습니다. 표 13 에는 ICMP 메시지 이름, 해당 코드, 유형 및 설명이 나열되어 있습니다.

표 13: ICMP 메시지
ICMP 메시지 이름	형식	코드	설명
ICMP-모두	모든	모든	ICMP-ANY는 ICMP를 사용하는 모든 프로토콜에 영향을 미칩니다. ICMP-ANY를 거부하면 ICMP를 사용하여 네트워크를 ping하거나 모니터링하려는 모든 시도가 손상됩니다. ICMP-ANY를 허용하면 모든 ICMP 메시지가 허용됩니다.
ICMP-주소-마스크 요청 응답	17 18	0 0	ICMP 주소 마스크 쿼리는 부트스트랩 서버의 로컬 서브넷 마스크가 필요한 시스템에 사용됩니다. ICMP 주소 마스크 요청 메시지를 거부하면 디스크 없는 시스템에 부정적인 영향을 미칠 수 있습니다. ICMP 주소 마스크 요청 메시지를 허용하면 다른 사용자가 네트워크에 있는 호스트의 운영 체제에 지문을 인식할 수 있습니다.
ICMP-DEST-UNREACH	3	0	ICMP 대상 도달 불가 오류 메시지는 대상 호스트가 패킷을 거부하도록 구성되었음을 나타냅니다. 코드 0, 1, 4 또는 5는 게이트웨이에서 가져올 수 있습니다. 코드 2 또는 3은 호스트에서 가져올 수 있습니다(RFC 792). ICMP 대상에 연결할 수 없음 오류 메시지를 거부하면 호스트가 SRX 시리즈 방화벽 뒤에서 실행 중이라는 가정을 제거할 수 있습니다. ICMP 대상에 연결할 수 없는 오류 메시지를 허용하면 네트워크에 대한 보안 필터링과 같은 몇 가지 가정을 할 수 있습니다.
ICMP 프래그먼트 필요	3	4	ICMP 단편화 오류 메시지는 단편화가 필요하지만 조각화하지 않음 플래그가 설정되었음을 나타냅니다. 인터넷에서 내부 네트워크로의 이러한 메시지를 거부하는 것이 좋습니다.
ICMP FragmentReassembly	11	1	ICMP 부분 리어셈블리 시간 초과 오류는 조각화된 메시지를 리어셈블하는 호스트의 시간이 부족하여 패킷을 삭제했음을 나타냅니다. 이 메시지가 전송되기도 합니다. 인터넷(외부)에서 신뢰할 수 있는(내부) 네트워크로의 이러한 메시지를 거부하는 것이 좋습니다.
ICMP-호스트-언리치	3	1	ICMP 호스트에 연결할 수 없음 오류 메시지는 라우팅 테이블 항목이 특정 호스트를 무한대로 나열하거나 나열하지 않음을 나타냅니다. 때때로 이 오류는 단편화가 필요한 패킷이 수신될 때 단편화할 수 없는 게이트웨이에 의해 전송됩니다. 인터넷에서 신뢰할 수 있는 네트워크로의 이러한 메시지를 거부하는 것이 좋습니다. 이러한 메시지를 허용하면 다른 사용자가 제거 프로세스를 통해 내부 호스트 IP 주소를 확인하거나 게이트웨이 및 단편화에 대한 가정을 할 수 있습니다.
ICMP-정보 요청 응답	15 16	0 0	ICMP-INFO 쿼리 메시지를 통해 디스크 없는 호스트 시스템은 네트워크를 쿼리하고 자체 구성할 수 있습니다. ICMP 주소 마스크 요청 메시지를 거부하면 디스크 없는 시스템에 부정적인 영향을 미칠 수 있습니다. ICMP 주소 마스크 요청 메시지를 허용하면 다른 사용자가 네트워크 세그먼트에 정보 쿼리를 브로드캐스트하여 컴퓨터 종류를 확인할 수 있습니다.
ICMP 매개 변수 문제	12	0	ICMP 매개 변수 문제 오류 메시지는 잘못된 헤더 매개 변수가 존재하여 패킷이 삭제되었을 때 알려줍니다 인터넷에서 신뢰할 수 있는 네트워크로의 이러한 메시지를 거부하는 것이 좋습니다. ICMP 매개 변수 문제 오류 메시지를 허용하면 다른 사용자가 네트워크에 대해 추측할 수 있습니다.
ICMP-포트 언리치	3	3	ICMP 포트 연결할 수 없음 오류 메시지는 특정 포트를 요청하는 데이터그램을 처리하는 게이트웨이가 네트워크에서 사용할 수 없거나 지원되지 않음을 나타냅니다. 인터넷에서 신뢰할 수 있는 네트워크로의 이러한 메시지를 거부하는 것이 좋습니다. ICMP 포트에 연결할 수 없는 오류 메시지를 허용하면 다른 사용자가 특정 프로토콜에 사용하는 포트를 결정할 수 있습니다.
ICMP-프로토콜-언리치	3	2	ICMP 프로토콜에 연결할 수 없음 오류 메시지는 특정 프로토콜을 요청하는 데이터그램을 처리하는 게이트웨이가 네트워크에서 사용할 수 없거나 지원되지 않음을 나타냅니다. 인터넷에서 신뢰할 수 있는 네트워크로의 이러한 메시지를 거부하는 것이 좋습니다. ICMP 프로토콜에 연결할 수 없는 오류 메시지를 허용하면 다른 사용자가 네트워크에서 실행 중인 프로토콜을 확인할 수 있습니다.
ICMP-리디렉션	5	0	ICMP 리디렉션 네트워크 오류 메시지는 SRX 시리즈 방화벽에 의해 전송됩니다. 인터넷에서 신뢰할 수 있는 네트워크로의 이러한 메시지를 거부하는 것이 좋습니다.
ICMP-리디렉션 호스트	5	1	ICMP 리디렉션 메시지는 지정된 호스트가 다른 경로를 따라 전송될 예정인 데이터그램을 나타냅니다.
ICMP-리디렉션-TOS-호스트	5	3	ICMP 리디렉션 서비스 유형(TOS) 및 호스트 오류는 메시지 유형입니다.
ICMP-리디렉션-TOS-NET	5	2	ICMP 리디렉션 TOS 및 네트워크 오류는 메시지 유형입니다.
ICMP-소스-퀜치	4	0	ICMP 소스 소멸 오류 메시지는 디바이스에 패킷을 수락, 대기열 처리 및 다음 홉으로 전송하는 데 사용할 수 있는 버퍼 공간이 없음을 나타냅니다. 이러한 메시지를 거부해도 내부 네트워크 성능에 도움이 되거나 손상되지는 않습니다. 이러한 메시지를 허용하면 다른 사람이 디바이스가 혼잡하다는 것을 알 수 있으므로 실행 가능한 공격 대상이 될 수 있습니다.
ICMP-원본-경로-실패	3	5	ICMP 원본 경로 실패 오류 메시지 인터넷(외부)에서 이러한 메시지를 거부하는 것이 좋습니다.
ICMP 시간 초과	11	0	ICMP TTL(Time-to-Live) 초과 오류 메시지는 패킷이 대상에 도달하기 전에 패킷의 TTL 설정이 0에 도달했음을 나타냅니다. 이렇게 하면 재전송된 패킷이 처리되기 전에 이전 패킷이 삭제됩니다. 신뢰할 수 있는 네트워크에서 인터넷으로 나가는 이러한 메시지를 거부하는 것이 좋습니다.
ICMP-타임스탬프 요청 응답	13 14	0 0	ICMP-TIMESTAMP 쿼리 메시지는 시간을 동기화하고 다양한 대규모 네트워크에서 시간 분포를 조정하는 메커니즘을 제공합니다.
Ping(ICMP ECHO)	8	0	Ping은 특정 호스트가 해당 IP 주소로 액세스할 수 있는지 여부를 확인하는 유틸리티입니다. ping 기능을 거부하면 호스트가 활성 상태인지 확인할 수 있는 기능이 제거됩니다. ping을 허용하면 다른 사용자가 DoS(서비스 거부) 또는 스머프 공격을 실행할 수 있습니다.
ICMP-에코-프래그먼트-어셈블리-만료	11	1	ICMP 프래그먼트 에코 리어셈블리 시간 만료 오류 메시지는 리어셈블리 시간이 초과되었음을 나타냅니다. 이러한 메시지는 거부하는 것이 좋습니다.
Traceroute 전달 삭제	30 30	0 1	Traceroute는 특정 호스트에 액세스할 수 있는 경로를 나타내는 유틸리티입니다. 이 유틸리티는 인터넷(외부)에서 신뢰할 수 있는 네트워크(내부)로 거부하는 것이 좋습니다.

ICMP 도달 불가 오류의 기본 동작

다양한 보안 수준의 경우 ICMP 도달 불가 오류의 기본 동작은 다음과 같이 처리됩니다.

ICMP type-3, code-0, code-1, code-2 및 code-3 메시지에 대한 세션은 다음 조건이 충족되는 경우에만 닫힙니다.
- ICMP의 도달 불가 메시지는 서버에서 클라이언트로의 방향으로 수신됩니다.
- 서버에서 클라이언트 방향으로 일반 패킷이 수신되지 않습니다.
그렇지 않으면 세션이 닫히지 않습니다.
ICMP type-3, code-4 메시지에 대한 세션이 닫히지 않습니다.

예: 사용자 지정 ICMP 응용 프로그램 정의

이 예에서는 사용자 지정 ICMP 애플리케이션을 정의하는 방법을 보여 줍니다.

요구 사항
개요
구성
확인

요구 사항

시작하기 전에:

사용자 지정 정책 적용을 이해합니다. 사용자 지정 정책 응용 프로그램 이해를 참조하십시오.
ICMP의 사전 정의된 정책 애플리케이션을 이해합니다. ICMP 사전 정의된 정책 애플리케이션 이해를 참조하십시오.

개요

Junos OS는 사전 정의된 애플리케이션 또는 사용자 지정 애플리케이션으로 ICMP와 여러 ICMP 메시지를 지원합니다. 사용자 지정 ICMP 응용 프로그램을 구성할 때 유형 및 코드를 정의합니다.

ICMP에는 다양한 메시지 유형이 있습니다. 예를 들어:
- 유형 0 = 에코 요청 메시지
- 유형 3 = 대상 도달 불가 메시지

ICMP 메시지 유형에는 메시지 코드도 있을 수 있습니다. 이 코드는 표 14와 같이 메시지에 대한 보다 구체적인 정보를 제공합니다.

표 14: 메시지 설명
메시지 유형	메시지 코드
5 = 리디렉션	0 = 네트워크(또는 서브넷)에 대한 데이터그램 리디렉션
	1 = 호스트에 대한 리디렉션 데이터그램
	2 = 응용 프로그램 및 네트워크 유형에 대한 리디렉션 데이터그램
	3 = 응용 프로그램 및 호스트 유형에 대한 리디렉션 데이터그램
11 = 시간 초과 코드	0 = 전송 중 TTL(Time to Live) 초과
	1 = 부분 리어셈블리 시간 초과

Junos OS는 에서 까지의 55 범위 0 내의 모든 유형이나 코드를 지원합니다.

이 예에서는 전송 프로토콜로 ICMP를 사용하여 host-unreachable이라는 사용자 지정 응용 프로그램을 정의합니다. 유형은 3(대상에 연결할 수 없음)이고 코드는 1(호스트에 연결할 수 없음)입니다. 시간 제한 값을 4분으로 설정합니다.

참고:

ICMP 유형 및 코드에 대한 자세한 내용은 RFC 792, Internet Control Message Protocol을 참조하십시오.

구성

절차

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 수행하는 방법에 대한 지침은 Junos OS CLI 사용자 가이드 의 구성 모드에서 CLI 편집기 사용을 참조하십시오.

사용자 지정 ICMP 응용 프로그램을 정의하려면:

응용 프로그램 종류 및 코드를 설정합니다.

비활성 시간 제한 값을 설정합니다.

디바이스 구성을 완료하면 구성을 커밋합니다.

확인

구성이 제대로 작동하는지 확인하려면 명령을 입력합니다 show applications .

이 페이지의 내용