Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

화면 추가

현재 위치: 보안 정책 및 개체 > 영역/화면.

화면을 추가하려면,

  1. Screen List(화면 목록) 페이지의 오른쪽 상단에 있는 추가 아이콘 (+) 을 클릭합니다.

    화면 추가(Add Screen) 페이지가 나타납니다.

  2. 표 1에 제공된 지침에 따라 구성을 완료합니다.
  3. 확인을 클릭하여 변경 사항을 저장합니다. 변경 내용을 취소하려면 취소를 클릭합니다.

표 1 은 화면 추가 페이지의 필드를 설명합니다.

표 1: 화면 추가 페이지의 필드

행동

주요한

화면 이름

화면 객체의 이름을 입력합니다.

화면 설명

화면 객체에 대한 설명을 입력합니다.

패킷 손실 없이 알람 생성

확인란을 선택하여 이 기능을 사용하도록 설정합니다.

IP 스푸핑

확인란을 선택하여 이 기능을 사용하도록 설정합니다.

IP 주소 스푸핑을 사용하도록 지정합니다. IP 스푸핑은 패킷 헤더에 잘못된 소스 주소를 삽입하여 패킷이 신뢰할 수 있는 소스에서 온 것처럼 보이게 하는 것입니다.

IP 스윕

확인란을 선택하여 이 기능을 사용하도록 설정합니다.

ICMP 주소 스윕 횟수를 지정합니다. IP 주소 스윕은 활성 호스트의 응답을 트리거하기 위해 발생할 수 있습니다.

문지방

IP 스윕의 시간 간격을 입력합니다.

메모:

원격 호스트가 이 간격 내에 10개의 주소로 ICMP 트래픽을 전송하면 IP 주소 스윕 공격에 플래그가 지정되고 원격 호스트의 추가 ICMP 패킷이 거부됩니다.

범위: 1000에서 1000000마이크로초까지. 기본값은 5000마이크로초입니다.

포트 스캔

확인란을 선택하여 이 기능을 사용하도록 설정합니다.

TCP 포트 스캔 횟수를 지정합니다. 이 공격의 목적은 하나 이상의 포트가 응답하기를 바라며 사용 가능한 서비스를 스캔하여 대상 서비스를 식별하는 것입니다.

문지방

TCP 포트 스캔의 시간 간격을 입력합니다.

메모:

원격 호스트가 이 간격 내에 10개의 포트를 스캔하면 포트 스캔 공격에 플래그가 지정되고 원격 호스트의 추가 패킷이 거부됩니다.

범위: 1000에서 1000000마이크로초까지. 기본값은 5000마이크로초입니다.

MS-Windows 방어

WinNuke 공격 보호 - 이 기능을 활성화하려면 확인란을 선택합니다.

메모:

WinNuke는 Windows 운영 체제를 실행하는 인터넷의 모든 컴퓨터를 대상으로 하는 DoS 공격입니다.

IPv6 확인

다음 세부 정보를 입력합니다.

  • 잘못된 형식의 IPv6 - IPv6 잘못된 형식의 헤더 IDS(침입 탐지 서비스) 옵션을 활성화하려면 이 확인란을 선택합니다.

  • 잘못된 형식의 ICMPv6 - ICMPv6 잘못된 형식의 IDS 옵션을 활성화하려면 이 확인란을 선택합니다.

서비스 거부

토지 공격 보호

확인란을 선택하여 이 기능을 사용하도록 설정합니다.

메모:

랜드 공격은 공격자가 피해자의 IP 주소가 포함된 스푸핑된 SYN 패킷을 대상 및 소스 IP 주소로 보낼 때 발생합니다.

티어드롭 공격 보호

확인란을 선택하여 이 기능을 사용하도록 설정합니다.

메모:

티어드롭 공격은 단편화된 IP 패킷의 리어셈블리를 악용합니다.

ICMP 프래그먼트 보호

확인란을 선택하여 이 기능을 사용하도록 설정합니다.

메모:

ICMP 패킷에는 매우 짧은 메시지가 포함되어 있습니다. ICMP 패킷이 단편화되어야 할 정당한 이유는 없습니다.

죽음의 공격 보호의 핑

확인란을 선택하여 이 기능을 사용하도록 설정합니다.

메모:

죽음의 ping은 IP 패킷이 최대 법적 길이(65,535바이트)를 초과하여 전송될 때 발생합니다.

대형 ICMP 패킷 보호

확인란을 선택하여 이 기능을 사용하도록 설정합니다.

프래그먼트 트래픽 차단

확인란을 선택하여 이 기능을 사용하도록 설정합니다.

SYN-ACK-ACK 프록시 보호

확인란을 선택하여 이 기능을 사용하도록 설정합니다.

문지방

SYN-ACK-ACK 프록시 보호에 대한 임계값을 입력합니다.

메모:

범위는 1개에서 250,000개 세션까지입니다. 기본값은 512개 세션입니다.

예외

IP (영어)

다음 세부 정보를 입력합니다.

  • Bad option(잘못된 옵션) - 확인란을 선택하여 잘못된 옵션 카운터 수를 지정합니다.

  • Security(보안) - 호스트가 보안을 전송하는 방법을 활성화하려면 확인란을 선택합니다.

  • 알 수 없는 프로토콜 - 보안 옵션이 있는 IP 주소를 활성화하려면 확인란을 선택합니다.

  • Strict source route(엄격한 소스 경로) - 패킷이 소스에서 목적지까지 이동하는 전체 경로 목록을 활성화하려면 확인란을 선택합니다.

  • Source route(소스 경로) - 확인란을 선택하여 이 기능을 활성화합니다.

    IP 전송이 목적지로 이동하는 도중에 사용할 수 있는 소스에 설정된 디바이스의 IP 주소 수를 지정합니다.

  • 타임스탬프 - 확인란을 선택하여 각 네트워크 디바이스가 출발지에서 목적지까지 이동하는 동안 패킷을 수신할 때 기록된 시간(UTC)을 활성화합니다.

  • 스트림(Stream) - 스트리밍을 지원하지 않는 네트워크를 통해 16비트 SATNET 스트림 식별자를 전송하는 방법을 활성화하려면 확인란을 선택합니다.

  • 느슨한 소스 경로 - 패킷이 소스에서 목적지로 이동할 수 있도록 부분 경로 목록을 활성화하려면 확인란을 선택합니다.

  • Record route(경로 기록) - IP 패킷이 이동하는 경로를 따라 네트워크 디바이스의 IP 주소를 기록할 수 있도록 하려면 확인란을 선택합니다.

TCP를

다음 세부 정보를 입력합니다.

  • SYN Fragment Protection(SYN 프래그먼트 보호) - 확인란을 선택하여 TCP SYN 프래그먼트 수를 활성화합니다.

  • SYN 및 FIN 플래그 세트 보호 - TCP SYN 및 FIN 플래그 수를 활성화하려면 확인란을 선택합니다.

    메모:

    이 옵션을 활성화하면 Junos OS는 SYN 및 FIN 플래그가 TCP 헤더에 설정되어 있는지 확인합니다. 이러한 헤더를 발견하면 패킷을 삭제합니다.

  • ACK 플래그 집합 보호가 없는 FIN 플래그 - ACK 플래그가 설정되지 않은 TCP FIN 플래그 수를 활성화하려면 확인란을 선택합니다.

  • TCP Packet Without Flag Set Protection(플래그 세트 보호 기능이 없는 TCP 패킷) - 플래그가 설정되지 않은 TCP 헤더 수를 활성화하려면 확인란을 선택합니다.

    메모:

    일반 TCP 세그먼트 헤더에는 하나 이상의 플래그 제어 집합이 있습니다.

홍수 방어

동일한 소스의 세션 제한

동일한 소스 IP에서 세션이 제한되는 범위를 입력합니다.

범위: 1에서 50000 세션까지.

동일한 대상에서 세션 제한

동일한 대상 IP에서 세션이 제한되는 범위를 입력합니다. 범위는 1에서 50000 세션까지입니다.

범위: 초당 1에서 8000000 세션까지. 기본값은 128개 세션입니다.

ICMP 플러드 보호

확인란을 선택하여 ICMP(Internet Control Message Protocol) 플러드 카운터를 활성화합니다.

메모:

ICMP 플러드는 일반적으로 ICMP 에코 요청이 응답에 모든 리소스를 사용하여 유효한 네트워크 트래픽을 더 이상 처리할 수 없을 때 발생합니다.

문지방

ICMP 플러드 보호에 대한 임계값을 입력합니다.

메모:

범위: 1 - 4000000 ICMP pps.

UDP 플러드 보호

확인란을 선택하여 UDP(User Datagram Protocol) 플러드 카운터를 활성화합니다.

메모:

UDP 플러딩은 공격자가 UDP 데이터그램이 포함된 IP 패킷을 시스템 리소스의 속도를 저하시켜 유효한 연결을 더 이상 처리할 수 없게 할 때 발생합니다.

문지방

UDP 플러드 보호의 임계값을 입력합니다.

메모:

범위: 1에서 100000 세션까지. 기본값은 1000개 세션입니다.

UDP 허용 목록

  1. 선택을 클릭합니다.

    UDP 허용 목록 창이 나타납니다.

  2. +를 클릭하여 허용 목록에 추가할 IP 주소를 추가합니다.

    Add Allowlist(허용 목록 추가) 창이 나타납니다.

  3. 다음 세부 정보를 입력합니다.

    • Name(이름) - IP 주소 그룹을 식별하는 Name(이름)을 입력합니다.

    • IPv4/IPv6 Address(IPv4/IPv6 주소) - IPv4 또는 IPv6 주소를 입력합니다.

    • IPv4/IPv6 Address(IPv4/IPv6 주소) - 입력한 주소를 나열합니다.

      메모:

      IP 주소를 선택하고 X 를 클릭하여 삭제할 수 있습니다.

  4. 확인을 클릭하여 변경 사항을 저장합니다.

  5. 사용 가능 열의 허용 목록 추가 창에 입력한 IP 주소 그룹과 연결한 UDP 화이트 목록 페이지의 허용 목록 이름을 선택하고 오른쪽 화살표를 사용하여 선택됨 열로 이동합니다.

  6. 확인을 클릭하여 변경 사항을 저장합니다.

메모:
  • UDP 허용 목록 옵션은 UDP 플러드 보호를 선택한 경우에만 활성화됩니다.

  • UDP 화이트리스트 창에서 생성한 허용 목록은 TCP 화이트리스트 창에서도 선택할 수 있습니다.

UDP 화이트리스트 페이지에서 허용 목록을 편집하려면 허용 목록 이름을 선택하고 연필 아이콘을 클릭합니다.

UDP 화이트리스트 페이지에서 허용 목록을 삭제하려면 허용 목록 이름을 선택하고 삭제 아이콘을 클릭합니다.

SYN 플러드 보호

확인란을 선택하여 모든 임계값 및 시간 제한 옵션을 활성화합니다.

호스트가 불완전한 연결 요청을 시작하는 SYN 세그먼트에 너무 압도되어 합법적인 연결 요청을 더 이상 처리할 수 없을 때 SYN 플러딩이 발생하도록 지정합니다.

TCP 허용 목록

  1. 선택을 클릭합니다.

    TCP 허용 목록 창이 나타납니다.

  2. +를 클릭하여 허용할 IP 주소를 추가합니다.

    Add Allowlist(허용 목록 추가) 창이 나타납니다.

  3. 다음 세부 정보를 입력합니다.

    • Name(이름) - IP 주소 그룹을 식별하는 Name(이름)을 입력합니다.

    • IPv4/IPv6 Address(IPv4/IPv6 주소) - IPv4 또는 IPv6 주소를 입력합니다.

    • IPv4/IPv6 Address(IPv4/IPv6 주소) - 입력한 주소를 나열합니다.

      메모:

      IP 주소를 선택하고 X 를 클릭하여 삭제할 수 있습니다.

  4. 확인을 클릭하여 변경 사항을 저장합니다.

  5. 사용 가능 열의 허용 목록 추가 창에 입력한 IP 주소 그룹과 연결한 TCP 화이트리스트 페이지의 허용 목록 이름을 선택하고 오른쪽 화살표를 사용하여 선택됨 열로 이동합니다.

  6. 확인을 클릭하여 변경 사항을 저장합니다.

메모:
  • TCP 화이트리스트 옵션은 SYN 플러드 보호를 선택한 경우에만 활성화됩니다.

  • TCP 허용 목록 창에서 생성한 허용 목록은 UDP 화이트리스트 창에서도 선택할 수 있습니다.

TCP 화이트리스트 페이지에서 허용 목록을 편집하려면 허용 목록 이름을 선택하고 연필 아이콘을 클릭합니다.

TCP 화이트리스트 페이지에서 허용 목록을 삭제하려면 허용 목록 이름을 선택하고 삭제 아이콘을 클릭합니다.

공격 임계값

값을 입력하여 SYN 프록시 메커니즘을 트리거하는 데 필요한 초당 SYN 패킷 수를 지정합니다.

메모:

범위: 초당 1에서 1000000개의 프록시 요청. 기본 공격 임계값은 625pps입니다.

경보 임계값

디바이스가 이벤트 알람 로그에 항목을 작성하는 초당 절반이 완료된 프록시 연결 수를 지정하는 값을 입력합니다.

메모:

범위: 초당 1에서 1000000 세그먼트까지. 기본 경보 임계값은 250pps입니다.

소스 임계값

디바이스가 해당 소스의 연결 요청을 삭제하기 시작하기 전에 대상 IP 주소 및 포트 번호에 관계없이 단일 소스 IP 주소에서 초당 수신되는 SYN 세그먼트 수를 지정하는 값을 입력합니다.

메모:

범위: 초당 4-1000,000개 세그먼트 기본 소스 임계값은 25pps입니다.

대상 임계값

디바이스가 해당 대상에 대한 연결 요청을 삭제하기 시작하기 전에 단일 대상 IP 주소에 대해 초당 수신되는 SYN 세그먼트 수를 지정하는 값을 입력합니다. 보호된 호스트가 여러 서비스를 실행하는 경우 대상 포트 번호에 관계없이 대상 IP 주소만을 기준으로 임계값을 설정할 수 있습니다.

메모:

범위: 초당 4-1000,000개 세그먼트 기본 대상 임계값은 0pps입니다.

Ager 시간 초과

절반만 완료된 연결이 대기열에서 삭제될 때까지의 최대 시간을 지정하는 값을 입력합니다. 정상적인 트래픽 상황에서 끊어진 연결이 표시될 때까지 시간 제한 값을 줄일 수 있습니다.

범위: 1초에서 50초까지. 기본값은 20초입니다.

메모:

20초는 불완전한 연결 요청을 보류하는 데 적합한 시간입니다.

IPv6 EXT 헤더

사전 정의된 헤더 유형

다음 화면 옵션을 구성합니다.

  • Hop-by-Hop 헤더 - 목록에서 옵션을 선택하고 값을 입력한 다음 + 를 클릭하여 추가합니다.

    삭제하려면 하나 이상의 헤더를 선택하고 X를 클릭합니다.

  • Destination header(대상 헤더) - 목록에서 옵션을 선택하고 값을 입력한 다음 + 를 클릭하여 추가합니다.

    삭제하려면 하나 이상의 헤더를 선택하고 X를 클릭합니다.

라우팅 헤더

확인란을 선택하여 IPv6 라우팅 헤더 화면 옵션을 활성화합니다.

ESP 헤더

IPv6 캡슐화 보안 페이로드 헤더 화면 옵션을 활성화하려면 확인란을 선택합니다.

No-Next 헤더

확인란을 선택하여 IPv6 다음 헤더 화면 없음 옵션을 활성화합니다.

모빌리티 헤더

확인란을 선택하여 IPv6 이동성 헤더 화면 옵션을 활성화합니다.

프래그먼트 헤더

확인란을 선택하여 IPv6 부분 헤더 화면 옵션을 활성화합니다.

AH 헤더

확인란을 선택하여 IPv6 인증 헤더 화면 옵션을 활성화합니다.

Shim6 헤더

확인란을 선택하여 IPv6 shim 헤더 화면 옵션을 활성화합니다.

HIP 헤더

IPv6 Host Identify Protocol 헤더 화면 옵션을 활성화하려면 확인란을 선택합니다.

고객 정의 헤더 유형

헤더 범위의 유형을 정의하는 값을 입력하고 + 를 클릭하여 추가합니다.

범위: 0에서 255까지.

삭제하려면 하나 이상의 헤더 유형을 선택하고 X를 클릭합니다.

IPv6 내선 헤더 한계

화면을 통과할 수 있는 IPv6 확장 헤더의 수를 설정하는 값을 입력합니다.

범위: 0에서 32까지.

영역에 적용

영역에 적용

사용 가능 열에서 영역을 선택하고 오른쪽 화살표를 사용하여 선택됨 열로 이동합니다.