Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

화면 추가

여기 있습니다: 보안 정책 및 영역/스크린을 > 객체.

화면 추가:

  1. 화면 목록 페이지의 오른쪽 상단에 있는 추가 아이콘 (+) 을 클릭합니다.

    화면 추가 페이지가 표시됩니다.

  2. 표 1에 제공된 지침에 따라 구성을 완료합니다.
  3. [확인]을 클릭하여 변경 사항을 저장합니다. 변경 사항을 폐기하려면 취소를 클릭합니다.

표 1 은 화면 추가 페이지의 필드에 대해 설명합니다.

표 1: 화면 추가 페이지의 필드

필드

작업

주요

화면 이름

화면 객체의 이름을 입력합니다.

화면 설명

화면 객체에 대한 설명을 입력합니다.

패킷 손실 없이 알람 생성

이 기능을 활성화하려면 확인란을 선택합니다.

IP 스푸핑

이 기능을 활성화하려면 확인란을 선택합니다.

IP 주소 스푸핑을 활성화할 수 있는 을(를) 지정합니다. IP 스푸핑은 패킷이 신뢰할 수 있는 소스에서 오는 것처럼 보이게 하기 위해 패킷 헤더에 잘못된 소스 주소가 삽입되는 경우입니다.

IP 스위프

이 기능을 활성화하려면 확인란을 선택합니다.

ICMP 주소 스위핑 수를 지정합니다. IP 주소 스위핑은 활성 호스트의 응답을 트리거하려는 의도로 발생할 수 있습니다.

임계값

IP 스윕 시간 간격을 입력합니다.

참고:

원격 호스트가 이 간격 내에 ICMP 트래픽을 10개 주소로 전송하면 IP 주소 스위프 공격이 플래그가 지정되고 원격 호스트의 추가 ICMP 패킷이 거부됩니다.

범위: 1000 ~1000000 마이크로초. 기본값은 5,000 마이크로초입니다.

포트 스캔

이 기능을 활성화하려면 확인란을 선택합니다.

TCP 포트 검사 수를 지정합니다. 이 공격의 목적은 적어도 하나의 포트가 응답하여 대상에 대한 서비스를 식별할 수 있기를 바라며 사용 가능한 서비스를 스캔하는 것입니다.

임계값

TCP 포트 스캔에 대한 시간 간격을 입력합니다.

참고:

원격 호스트가 이 간격 내에 10개의 포트를 스캔하면 포트 검색 공격이 플래그가 지정되고 원격 호스트의 추가 패킷이 거부됩니다.

범위: 1000 ~1000000 마이크로초. 기본값은 5,000 마이크로초입니다.

MS-Windows 방어

WinNuke 공격 보호 - 이 기능을 활성화하려면 확인란을 선택합니다.

참고:

WinNuke는 Windows 운영 체제를 실행하는 인터넷의 모든 컴퓨터를 대상으로 하는 DoS 공격입니다.

IPv6 확인

다음 세부 정보를 입력합니다.

  • 잘못된 IPv6 - IPv6 잘못된 헤더 침입 탐지 서비스(IDS) 옵션을 활성화하려면 이 확인란을 선택합니다.

  • 잘못된 ICMPv6 - ICMPv6 잘못된 IDS 옵션을 활성화하려면 이 확인란을 선택합니다.

서비스 거부

랜드 공격 보호

이 기능을 활성화하려면 확인란을 선택합니다.

참고:

대지 공격은 공격자가 대상 및 소스 IP 주소로 피해자의 IP 주소를 포함하는 스푸핑된 SYN 패킷을 전송할 때 발생합니다.

눈물방지 공격 보호

이 기능을 활성화하려면 확인란을 선택합니다.

참고:

눈물방출 공격은 단편화된 IP 패킷의 조립을 악용합니다.

ICMP 단편화 보호

이 기능을 활성화하려면 확인란을 선택합니다.

참고:

ICMP 패킷에는 매우 짧은 메시지가 포함되어 있습니다. ICMP 패킷이 단편화될 합법적인 이유는 없습니다.

핑 오브 데스 공격 보호

이 기능을 활성화하려면 확인란을 선택합니다.

참고:

최대 법적 길이(65,535바이트)를 초과하는 IP 패킷이 전송되면 사망의 핑이 발생합니다.

대규모 ICMP 패킷 보호

이 기능을 활성화하려면 확인란을 선택합니다.

패킷 조각 트래픽 차단

이 기능을 활성화하려면 확인란을 선택합니다.

SYN-ACK-ACK 프록시 보호

이 기능을 활성화하려면 확인란을 선택합니다.

임계값

SYN-ACK-ACK 프록시 보호를 위한 임계값을 입력합니다.

참고:

범위는 1~250000 세션입니다. 기본값은 512개의 세션입니다.

예외

Ip

다음 세부 정보를 입력합니다.

  • 잘못된 옵션 - 확인란을 선택하여 잘못된 옵션 카운터 수를 지정합니다.

  • 보안 - 호스트가 보안을 보낼 수 있는 방법을 활성화하려면 확인란을 선택합니다.

  • 알 수 없는 프로토콜 - 보안 옵션으로 IP 주소를 사용하도록 설정하려면 확인란을 선택합니다.

  • 엄격한 소스 경로 - 패킷이 소스에서 목적지로 전환할 전체 경로 목록을 사용하도록 설정하려면 확인란을 선택합니다.

  • 소스 경로 - 이 기능을 활성화하려면 확인란을 선택합니다.

    IP 전송이 목적지로 가는 길에 허용된 소스에서 설정된 디바이스의 IP 주소 수를 지정합니다.

  • 타임스탬프 - 출발지에서 목적지로 전환하는 동안 각 네트워크 디바이스가 패킷을 수신할 때 기록된 시간(UTC)을 활성화하려면 확인란을 선택합니다.

  • Stream - 스트리밍을 지원하지 않는 네트워크를 통해 16비트 SATNET 스트림 식별자를 전송하는 방법을 활성화하려면 확인란을 선택합니다.

  • 느슨한 소스 경로 - 패킷이 소스에서 목적지로 전환할 부분 경로 목록을 사용하도록 설정하려면 확인란을 선택합니다.

  • 경로 기록 - IP 패킷이 이동하는 경로를 따라 네트워크 디바이스의 IP 주소를 기록할 수 있도록 확인란을 선택합니다.

Tcp

다음 세부 정보를 입력합니다.

  • SYN 단편 보호 - TCP SYN 조각 수를 활성화하려면 확인란을 선택합니다.

  • SYN 및 FIN 플래그 세트 보호 - TCP SYN 및 FIN 플래그 수를 활성화하려면 확인란을 선택합니다.

    참고:

    이 옵션을 활성화하면 Junos OS SYN 및 FIN 플래그가 TCP 헤더에서 설정되어 있는지 확인합니다. 이러한 헤더를 발견하면 패킷이 드롭됩니다.

  • ACK 플래그 세트 보호 없는 FIN Flag — ACK 플래그 설정 없이 설정된 TCP FIN 플래그 수를 활성화하려면 확인란을 선택합니다.

  • 플래그가 없는 TCP 패킷 보호 — 플래그가 설정되지 않은 TCP 헤더 수를 사용하도록 설정하려면 확인란을 선택합니다.

    참고:

    일반적인 TCP 세그먼트 헤더에는 하나 이상의 플래그 제어 세트가 있습니다.

홍수 방어

동일한 소스의 세션 제한

세션이 동일한 소스 IP에서 제한되는 범위를 입력합니다.

범위: 1~5,0000개의 세션.

동일한 대상에서 세션 제한

세션이 동일한 대상 IP에서 제한되는 범위를 입력합니다. 범위는 1~5,0000개 세션입니다.

범위: 초당 1~8000000 세션. 기본값은 128개의 세션입니다.

ICMP 플러드 보호

ICMP(Internet Control Message Protocol) 플러드 카운터를 활성화하려면 확인란을 선택합니다.

참고:

ICMP 에코 요청이 모든 리소스를 사용하여 유효한 네트워크 트래픽을 더 이상 처리할 수 없으면 일반적으로 ICMP 플러드가 발생합니다.

임계값

ICMP 플러드 보호를 위한 임계값을 입력합니다.

참고:

범위: 1~4000000 ICMP pps.

UDP 플러드 보호

UDP(User Datagram Protocol) 플러드 카운터를 활성화하려면 확인란을 선택합니다.

참고:

UDP 플러딩은 공격자가 UDP 데이터그램이 포함된 IP 패킷을 전송하여 시스템 리소스를 느리게 하여 유효한 연결을 더 이상 처리할 수 없게 할 때 발생합니다.

임계값

UDP 플러드 보호를 위한 임계값을 입력합니다.

참고:

범위: 1~100000 세션. 기본값은 1,000개 세션입니다.

UDP 허용 목록

  1. 선택을 클릭합니다.

    UDP 허용 목록 창이 나타납니다.

  2. +를 클릭하여 허용하려는 IP 주소를 추가합니다.

    허용 목록 추가 창이 나타납니다.

  3. 다음 세부 정보를 입력합니다.

    • 이름 - IP 주소 그룹을 식별하기 위해 이름을 입력합니다.

    • IPv4/IPv6 주소 - IPv4 또는 IPv6 주소를 입력합니다.

    • IPv4/IPv6 주소(es)—입력한 주소를 나열합니다.

      참고:

      IP 주소를 선택하고 X 를 클릭하여 삭제할 수 있습니다.

  4. [확인]을 클릭하여 변경 사항을 저장합니다.

  5. 사용 가능한 열의 추가 허용 목록 창에 입력한 IP 주소 그룹과 연결된 UDP 허용 목록 페이지에서 허용 목록 이름을 선택하고 오른쪽 화살표를 사용하여 선택한 열로 이동합니다.

  6. [확인]을 클릭하여 변경 사항을 저장합니다.

참고:
  • UDP 플러드 보호를 선택한 경우에만 UDP 허용 목록 옵션이 활성화됩니다.

  • UDP 허용 목록 창에서 생성한 허용 목록은 TCP 허용 목록 창에서도 선택할 수 있습니다.

UDP 허용 목록 페이지에서 허용 목록을 편집하려면 허용 목록 이름을 선택하고 연필 아이콘을 클릭합니다.

UDP 허용 목록 페이지에서 허용 목록을 삭제하려면 허용 목록 이름을 선택하고 삭제 아이콘을 클릭합니다.

SYN 플러드 보호

모든 임계값 및 ager 시간 제한 옵션을 활성화하려면 확인란을 선택합니다.

더 이상 합법적인 연결 요청을 처리할 수 없도록 불완전한 연결 요청을 시작하는 SYN 세그먼트에 의해 호스트가 너무 압도될 때 SYN 플러딩이 발생합니다.

TCP 허용 목록

  1. 선택을 클릭합니다.

    TCP 허용 목록 창이 나타납니다.

  2. +를 클릭하여 허용하려는 IP 주소를 추가합니다.

    허용 목록 추가 창이 나타납니다.

  3. 다음 세부 정보를 입력합니다.

    • 이름 - IP 주소 그룹을 식별하기 위해 이름을 입력합니다.

    • IPv4/IPv6 주소 - IPv4 또는 IPv6 주소를 입력합니다.

    • IPv4/IPv6 주소(es)—입력한 주소를 나열합니다.

      참고:

      IP 주소를 선택하고 X 를 클릭하여 삭제할 수 있습니다.

  4. [확인]을 클릭하여 변경 사항을 저장합니다.

  5. 사용 가능한 열의 추가 허용 목록 창에 입력한 IP 주소 그룹과 연관된 TCP 허용 목록 페이지에서 허용 목록 이름을 선택하고 오른쪽 화살표를 사용하여 선택한 열로 이동합니다.

  6. [확인]을 클릭하여 변경 사항을 저장합니다.

참고:
  • TCP 허용 목록 옵션은 SYN 플러드 보호를 선택한 경우에만 활성화됩니다.

  • TCP 허용 목록 창에 생성한 허용 목록은 UDP 허용 목록 창에서도 선택할 수 있습니다.

TCP 허용 목록 페이지에서 허용 목록을 편집하려면 허용 목록 이름을 선택하고 연필 아이콘을 클릭합니다.

TCP 허용 목록 페이지에서 허용 목록을 삭제하려면 허용 목록 이름을 선택하고 삭제 아이콘을 클릭합니다.

공격 임계값

값을 입력하여 SYN 프록시 메커니즘을 트리거하는 데 필요한 초당 SYN 패킷 수를 지정합니다.

참고:

범위: 초당 1~100,0000개의 프록시 요청. 기본 공격 임계값은 625pps입니다.

알람 임계 값

값을 입력하여 디바이스가 이벤트 알람 로그에 항목을 만드는 초당 반 완전한 프록시 연결 수를 지정합니다.

참고:

범위: 초당 1~1000000 세그먼트. 기본 알람 임계값은 250 pps입니다.

소스 임계값

디바이스가 해당 소스에서 연결 요청을 삭제하기 시작하기 전에 단일 소스 IP 주소(대상 IP 주소 및 포트 번호에 관계없이)에서 초당 수신되는 SYN 세그먼트 수를 지정하는 값을 입력합니다.

참고:

범위: 초당 4~1000000 세그먼트. 기본 소스 임계값은 25pps입니다.

대상 임계 값

디바이스가 해당 대상에 대한 연결 요청을 삭제하기 전에 단일 대상 IP 주소에 대해 초당 수신되는 SYN 세그먼트 수를 지정하는 값을 입력합니다. 보호된 호스트가 여러 서비스를 실행하는 경우 대상 포트 번호에 관계없이 대상 IP 주소에만 임계값을 설정하길 원할 수 있습니다.

참고:

범위: 초당 4~1000000 세그먼트. 기본 대상 임계값은 0 pps입니다.

Ager 시간 제한

대기열에서 반 완성된 연결이 끊기기 전에 최대 시간을 지정하는 값을 입력합니다. 일반적인 트래픽 조건에서 연결이 끊어질 때까지 시간 제한 값을 줄일 수 있습니다.

범위: 1~50초. 기본값은 20초입니다.

참고:

20초는 불완전한 연결 요청을 유지하는 데 합당한 시간입니다.

IPv6 EXT 헤더

사전 정의된 헤더 유형

다음 화면 옵션을 구성합니다.

  • 홉 바이 홉 헤더 - 목록에서 옵션을 선택하고 값을 입력하고 + 를 클릭하여 추가합니다.

    삭제하려면 하나 이상의 헤더를 선택하고 X를 클릭합니다.

  • 대상 헤더 - 목록에서 옵션을 선택하고 값을 입력하고 + 를 클릭하여 추가합니다.

    삭제하려면 하나 이상의 헤더를 선택하고 X를 클릭합니다.

라우팅 헤더

IPv6 라우팅 헤더 화면 옵션을 활성화하려면 확인란을 선택합니다.

ESP 헤더

IPv6 캡슐화 보안 페이로드 헤더 화면 옵션을 활성화하려면 확인란을 선택합니다.

다음 없음 헤더

IPv6 다음 헤더 없음 화면 옵션을 활성화하려면 확인란을 선택합니다.

모빌리티 헤더

IPv6 모빌리티 헤더 화면 옵션을 활성화하려면 확인란을 선택합니다.

패킷 조각 헤더

IPv6 패킷 조각 헤더 화면 옵션을 활성화하려면 확인란을 선택합니다.

AH 헤더

확인란을 선택하여 IPv6 인증 헤더 화면 옵션을 활성화합니다.

Shim6 헤더

IPv6 shim 헤더 화면 옵션을 활성화하려면 확인란을 선택합니다.

HIP 헤더

IPv6 호스트 프로토콜 식별 헤더 옵션을 활성화하려면 확인란을 선택합니다.

고객 정의 헤더 유형

값을 입력하여 헤더 범위 유형을 정의하고 + 를 클릭하여 추가합니다.

범위: 0~255.

삭제하려면 하나 이상의 헤더 유형을 선택하고 X를 클릭합니다.

IPv6 내선 헤더 제한

화면을 통과할 수 있는 IPv6 확장 헤더의 수를 설정하려면 값을 입력합니다.

범위: 0~32.

존(Zone) 적용

존(Zone) 적용

사용 가능한 열에서 영역을 선택하고 오른쪽 화살표를 사용하여 선택한 열로 이동합니다.