Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

클래식 필터 개요

동적 방화벽 기능은 인터페이스에 동적으로 적용되는 정적 필터인 클래식 필터를 지원합니다. 커밋 시 컴파일된 다음 서비스가 활성화되면 필터의 인터페이스별 복제본이 생성되어 논리적 인터페이스에 연결됩니다. 이 동적 응용 프로그램은 입력 또는 출력 필터를 동적 프로파일과 연결하여 수행됩니다.

이 개요에서 다루는 내용은 다음과 같습니다.

클래식 필터 유형

지원되는 클래식 필터 유형은 다음과 같습니다.

  • 포트(레이어 2) 방화벽 필터 - 포트 방화벽 필터는 레이어 2 스위치 포트에 적용됩니다. 물리적 포트의 수신 방향으로만 포트 방화벽 필터를 적용할 수 있습니다.

  • VLAN 방화벽 필터 - VLAN 방화벽 필터는 VLAN에 들어오고 VLAN 내에서 브리징되며 VLAN을 나가는 패킷에 대한 액세스 제어를 제공합니다. VLAN에서 수신 및 송신 방향 모두에 VLAN 방화벽 필터를 적용할 수 있습니다. VLAN 방화벽 필터는 VLAN으로 전달되거나 VLAN에서 전달되는 모든 패킷에 적용됩니다.

  • 라우터(레이어 3) 방화벽 필터 - 레이어 3(라우팅) 인터페이스에서 수신 및 송신 방향 모두에 라우터 방화벽 필터를 적용할 수 있습니다.

클래식 필터 구성 요소

클래식 필터를 생성할 때는 먼저 패밀리 주소 유형(inet 또는 inet6)을 정의한 다음 필터링 기준과 일치가 발생할 때 수행할 작업을 지정하는 하나 이상의 용어를 정의합니다.

각 용어 또는 규칙은 다음 구성 요소로 구성됩니다.

  • 일치 조건 - 패킷에 포함되어야 하는 값 또는 필드를 지정합니다. 다음과 같은 다양한 일치 조건을 정의할 수 있습니다.

    • IP 원본 주소 필드

    • IP 대상 주소 필드

    • TCP(Transmission Control Protocol) 또는 UDP(User Datagram Protocol) 소스 포트 필드

    • IP 프로토콜 필드

    • ICMP(Internet Control Message Protocol) 패킷 유형

    • TCP 플래그

    • 인터페이스

  • 작업(Actions) - 일치 조건이 발생할 때 수행할 작업을 지정합니다. 가능한 조치는 패킷을 수락하거나 폐기하는 것입니다. 또한 패킷을 카운팅하여 통계 정보를 수집할 수 있습니다. 용어에 대해 조치가 지정되지 않은 경우, 기본 조치는 패킷을 수락하는 것입니다.

클래식 필터 처리

기존 필터 내의 용어 순서는 중요합니다. 패킷은 방화벽 필터 구성에 나열된 순서대로 각 용어에 대해 테스트됩니다. 방화벽 필터에 여러 용어가 포함된 경우 라우터는 하향식 접근 방식을 취하고 패킷을 방화벽 필터의 첫 번째 용어와 비교합니다. 패킷이 첫 번째 용어와 일치하면 라우터는 해당 용어로 정의된 작업을 실행하여 패킷을 수락하거나 거부하며 다른 용어는 평가되지 않습니다. 라우터가 패킷과 첫 번째 용어 간의 일치 항목을 찾지 못하면 동일한 일치 프로세스를 사용하여 패킷을 방화벽 필터의 다음 용어와 비교합니다. 패킷과 두 번째 용어 사이에 일치가 발생하지 않으면 라우터는 일치 항목이 발견될 때까지 방화벽 필터에 정의된 각 연속 용어와 패킷을 계속 비교합니다. 패킷이 방화벽 필터의 용어와 일치하지 않을 경우 기본 동작은 패킷을 폐기하는 것입니다.

또한 동적 프로필 내의 입력 및 출력 필터에 대한 우선 순위(0에서 255까지)를 지정하여 특정 순서로 필터를 강제로 처리할 수 있습니다. 필터에 대해 더 낮은 우선 순위 값을 설정하면 동적 프로필 내에서 더 높은 우선 순위를 제공합니다. 우선 순위 값이 낮은 필터는 우선 순위 값이 높은 필터보다 먼저 인터페이스에 적용됩니다. 우선 순위가 0(기본값)이면 필터에 가장 높은 우선 순위가 부여됩니다. 우선 순위를 지정하지 않으면 필터는 0(가장 높은 우선 순위)의 우선 순위를 받습니다. 우선 순위가 일치하는 필터(0 또는 기타)는 임의 순서로 적용됩니다.

참고:

동적 필터는 라우팅 엔진에서 소싱된 아웃바운드 패킷을 처리하지 않습니다. 라우팅 엔진에서 소싱된 아웃바운드 패킷을 필터링하기 위해 각 인터페이스에 대해 정적 아웃바운드 필터를 생성할 수 있습니다.

가입자 인터페이스에 대한 클래식 필터를 생성 및 적용하기 위한 지침

방화벽 필터의 동적 구성이 지원됩니다. 그러나 평소와 같이 인터페이스에 대한 정적 방화벽 필터를 계속 생성한 다음 동적 프로필을 사용하여 정적으로 생성된 인터페이스에 해당 필터를 동적으로 적용할 수도 있습니다. 동적 프로파일을 사용하여 RADIUS를 통해 입력 및 출력 필터를 연결할 수도 있습니다.

필터를 만들고 적용할 때는 다음 사항에 유의해야 합니다.

  • 입력 및 출력 필터만 동적으로 적용할 수 있습니다.

  • 필터는 인터페이스에 따라 달라져야 합니다.

  • 제품군별 inet inet6 필터를 만들 수 있습니다.

  • 인터페이스에 구성된 모든 패밀리 유형(inet또는 inet6)에 적용되는 수준에서 인터페이스별 필터를 unit 생성할 수 있습니다.

  • 서비스 활성화 또는 비활성화가 동일한 IPv4 및 IPv6 필터를 모두 추가하거나 제거할 수 있습니다.

  • 다른 유형의 필터에 영향을 주지 않고 한 가지 필터 유형을 제거할 수 있습니다. 예를 들어 IPv6 필터를 제거하고 현재 IPv4 필터를 활성 상태로 둘 수 있습니다.

  • 최대 5개의 입력 필터와 4개의 출력 필터를 함께 연결할 수 있습니다.

  • 필터를 구성 및 적용하지 않으면 인터페이스는 기본 그룹 필터 구성을 사용합니다.

  • 동일한 논리적 인터페이스의 가입자가 바인딩되어 있는 동안에는 방화벽 필터를 수정하거나 삭제할 수 없습니다.

관련 문서