22.04.15[이론] 04.14 summary

2764 단어 summarysummary

문제1. 방화벽(ASA(L3, L4), FTP(NGFW)L3, L4, L7)을 구성하는 핵심적인 기술에는 어떠한 것이 있는지 서술하세요.

  • Traffic을 제어하여 특정 Network을 보호하는 기능
  • ASA는 Security Level이 높은 곳에서 낮은 곳으로 향하는 Traffic에 대해 connection table을 생성하고, (Inspect (Session/Connection table) Return되는 traffic을 자동으로 허용하는 기능 제공
  • 반대되는 Traffic에 대해서는 명시적으로 허용해야 합니다. (ACL을 사용)
  • Dynamic Application을 인지하고, 자동으로 열어 주는 기능도 제공
  • 추가적으로, NAT,PAT, VPN등의 기능도 제공 됩니다.

문제2. 방화벽이 만드는 Table의 종류에는 무엇이 있는지 확인 하세요.

 >> Session Table   (inspect에 의한)                          #show conn  |  #show conn long  | #show conn | in 1.1
 >> NAT Table       (NAT/PAT가 적용되어 있는 경우)    #show xlate 
 >> Routing Table  (L3로 동작하는 경우)                    #show route  | #show route | in 10.1.1.0
 >> MAC Table      (L2로 동작하는 경우)                    #show mac-address-table
  

문제3. Firewall은 L3장비 입니까? L2 장비 입니까?

  • L3 (Route mode) >> 기존에 많이 사용됨
  • L2 (Transparent mode) >> 구성변경 필요 없음 (단순) (단 제약사항이 있음)
  • L2로 사용하는 기능을 ASA에서는 Transparent라고 합니다.
  • L2로 구성하면, 적용이 간단함 (기존의 Network이 변경되지 않음)
  • 단 L2로 사용하는 경우, 제약 사항이 있음
    (Inside, Outside만 사용가능)
    (Dynamic Routing Protocol 지원 안됨)
    (NAT,PAT 사용시 STATIC Route 필요)

문제4. 방화벽에서 사용되는 inpsect(기록 엔진)와, security level의 동작 방식은 무엇입니까?

inspect는 packet에 대한 정보를 기록하는 기능 --> Session table (#show conn)
TCP -->> Source, Destination IP, Source, Destiation Port, TCP Flag (SYN, ACK, FIN, RST)
UDP -->> Source, Destination IP, Source, Destiation Port, >> timeout
(단 Security Level이 높은곳에서 낮은 곳으로 향하는 경우에 생성됨)

문제5. ASA에서 사용한 기본설정

1. Interface의 IP, Name, Security Level >> 3가지 설정

interface g0/0
ip add 1.1.1.254 255.255.255.0
nameif inside
security-level 100

#show interface ip brief
#show nameif

2. Routing Protocol (ASA를 L3로 사용하는 경우)

router ospf 1
network 1.1.1.0 255.255.255.0 area 0

#show ospf neighbor (#show ip ospf neighbor)
#show route (#show ip route)

3. 방화벽 정책

  • Security Level이 높은곳에서 낮은곳으로 통신 >> Default로 허용 (Session Table)
  • Security Level이 낮은곳에서 높은곳으로 통신 >> Default로 차단
    (허용되야 한다면, ACL이 적용되야 합니다.)

access-list 100 permit tcp any any eq 23
access-group 100 in interface outside

#show access-list
#show run | in access-group

단 예외 상황 !!! >> ICMP는 Security Level에 적용안됨 (ICMP의 경우, inspect를 적용해야 함)

좋은 웹페이지 즐겨찾기