Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드
방화벽 기능 정보
| 첫 번째 판은 2004 년 1 월 16 일 |
| 2010 년 3 월 29 일 - 호환 장치 추가 |
| 2012 년 7 월 5 일 - 호환 장치 추가 |
| 2014 년 12 월 1 일 : 호환 장치 추가 |
1 소개
방화벽 함수는 네 가지 함수로 크게 나눌 수 있습니다
1 패킷 필터링 (2 장)
2 학습 필터링 기능 (상태 검사 기능) (3 장)
3 NAT (주소 변환) (4 장)
4 장치 액세스 제한 (6 장)
자세한 내용은 아래에 설명됩니다
11 예제 구성 명령을 보는 방법
아래에 설명 된 각 섹션의 설정 설명은 설정의 예입니다 아래의 주석 예제 구성은 각 명령의 의미를 설명합니다 자세한 내용은 명령 참조를 참조하십시오
2 패킷 필터링 기능
21 요약
소스/대상 주소, 프로토콜 번호, 소스/대상 포트 번호 및 인터페이스를 지정하여 지정된 패킷이 전달되었는지 또는 폐기되는지 여부를 결정합니다 F100, F1000 및 F100/F1000에서 해제 된 장치의 기본값은 모든 패킷을 릴레이하므로 릴레이를 허용하도록 설정 한 후에는 적용되지 않는 패킷을 폐기해야합니다 (섹션 23의 명령 설명 (*1) 참조
22 필터링 방향
섹션 23 IP 액세스 그룹 xxx in/out은 명령 설명의 (*2) 섹션에 설정되어 있지만이 섹션에서는 'in'및 'out'의 방향을 설명합니다
라우터 인터페이스의 'in'및 'out'은 'in'및 'out'을 참조하십시오
라우터 인터페이스의 'in'및 'out'은 'in'및 'out'을 참조하십시오
23 명령 설명
지정된 패킷을 전달하거나 폐기할지 여부를 지정합니다 릴레이 될 경우 허가를 지정하고 폐기 할 경우 거부하십시오
참고 1) 와일드 카드 마스크 소개
와일드 카드 마스크는 서브넷 마스크와 다른 형식을 가지고 있으며 '0'및 '1'의 결정이 반전됩니다
예) 예제 24 비트 마스크를 표현할 때
와일드 카드 마스크 : 000255
서브넷 마스크 : 2552552550
참고 2) 액세스 목록 소개
액세스 목록은 숫자 순서대로 적용됩니다 또한 여러 줄이 동일한 숫자로 액세스 목록으로 설정되면 위의 줄이 적용됩니다
그림 23-1 패킷 필터링 설명 다이어그램
3 학습 필터링 기능 (상태 검사 기능)
31 요약
라우터를 통과하는 패킷의 내용을 배우는 함수 (일반적으로 LAN 쪽에서 WAN쪽으로)와 학습 된 항목의 내용에 따라 패킷이 전달 될 수 있는지 여부를 결정합니다
그림 31-1 회로도
학습 필터링 함수의 개략도는 그림 31-1에 나와 있습니다 그림의 실선은 통신 할 수있는 패킷을 나타내며 점선은 통신 할 수없는 패킷을 나타냅니다
터미널 A에서 터미널 B로 패킷 (통신 A)을 보낼 때 라우터는 패킷*의 내용을 기록합니다 그 이후로, 라우터는 기록 된 패킷의 내용에 따라 동일한 세션을 통과하는 패킷이 가능한지 여부를 결정합니다
터미널 B에서 터미널 A로 전송 된 패킷 (통신 A, 통신 B) 기록 된 항목 내용에 따라 정당성을 점검하면 합법적 인 것으로 간주되는 패킷 만 통과합니다 불공평 한 것으로 간주되거나 불공평 한 패킷은 일반적으로 폐기됩니다
터미널 A에서 출발하는 통신 A의 반환 패킷 A가 통과하는 이유는 터미널 B에서 시작하는 통신 B가 라우터에 의해 폐기되는 이유는 커뮤니케이션 A에 기록 된 항목의 소스 및 대상 주소가 다르기 때문입니다 (자세한 내용은 표 32 1 참조) 통신 A에 기록 된 정보는 "소스 IP 주소 (위의 다이어그램의 터미널 B)"및 "대상 IP 주소 (위의 다이어그램의 터미널 A)"와 다르기 때문에 라우터에 의해 터미널 C에서 발생하는 통신 C는 라우터에 의해 폐기됩니다
기록 된 항목은 세션이 끝나거나 통신 종료시 또는 특정 기간 동안 의사 소통이없는 경우 (TCP : 약 4 분, UDP : 약 2 분, 기타 1 분) 폐기됩니다
*: 배운 항목은 표 32-1에 나와 있습니다
터미널 A에서 터미널 B로 패킷 (통신 A)을 보낼 때 라우터는 패킷*의 내용을 기록합니다 그 이후로, 라우터는 기록 된 패킷의 내용에 따라 동일한 세션을 통과하는 패킷이 가능한지 여부를 결정합니다
터미널 B에서 터미널 A로 전송 된 패킷 (통신 A, 통신 B) 기록 된 항목 내용에 따라 정당성을 점검하면 합법적 인 것으로 간주되는 패킷 만 통과합니다 불공평 한 것으로 간주되거나 불공평 한 패킷은 일반적으로 폐기됩니다
터미널 A에서 출발하는 통신 A의 반환 패킷 A가 통과하는 이유는 터미널 B에서 시작하는 통신 B가 라우터에 의해 폐기되는 이유는 커뮤니케이션 A에 기록 된 항목의 소스 및 대상 주소가 다르기 때문입니다 (자세한 내용은 표 32 1 참조) 통신 A에 기록 된 정보는 "소스 IP 주소 (위의 다이어그램의 터미널 B)"및 "대상 IP 주소 (위의 다이어그램의 터미널 A)"와 다르기 때문에 라우터에 의해 터미널 C에서 발생하는 통신 C는 라우터에 의해 폐기됩니다
기록 된 항목은 세션이 끝나거나 통신 종료시 또는 특정 기간 동안 의사 소통이없는 경우 (TCP : 약 4 분, UDP : 약 2 분, 기타 1 분) 폐기됩니다
*: 배운 항목은 표 32-1에 나와 있습니다
32 배울 항목
표 32-1에 표시된 학습 항목은 상태 테이블 (이후 표라고 함)을 패킷 정보라고합니다
표 32-1 연구 할 항목 목록
학습 항목 : 1 IP 버전
ICMP : ○
TCP : ○
UDP : ○
기타 : ○
학습 항목 : 2 프로토콜
ICMP : ○
TCP : ○
UDP : ○
기타 : ○
학습 항목 : 3 소스 IP 주소
ICMP : ○
TCP : ○
UDP : ○
기타 : ○
학습 항목 : 4 대상 IP 주소
ICMP : ○
TCP : ○
UDP : ○
기타 : ○
학습 항목 : 5 IP 옵션
ICMP : ○
TCP : ○
UDP : ○
기타 : ○
학습 항목 : 6 소스 포트 (참고)
ICMP :-
TCP : ○
UDP : ○
다른:-
학습 항목 : 7 목적지 포트 (참고)
ICMP :-
TCP : ○
UDP : ○
다른:-
학습 항목 : 8 ICMP 유형
ICMP : ○
TCP :-
UDP :-
다른:-
학습 항목 : 9 ICMP 식별자
ICMP : ○
TCP :-
UDP :-
다른:-
학습 항목 : 10 ICMP 시퀀스 번호
ICMP : ○
TCP :-
UDP :-
다른:-
학습 항목 : 11 시퀀스 번호
ICMP :-
TCP : ○
UDP :-
다른:-
학습 항목 : 12 승인 번호
ICMP :-
TCP : ○
UDP :-
다른:-
학습 항목 : 13 제어 플래그
ICMP :-
TCP : ○
UDP :-
다른:-
학습 항목 : 14 창 크기
ICMP :-
TCP : ○
UDP :-
다른:-
○ : 정보 배우기
-: 학습이 아님
참고 : FTP와 같이 지원 된 프로토콜 제외
33 명령 설명
학습 필터링을 사용하는 경우 Access-List 명령 속성에 "동적"을 지정하십시오 아래는 F100의 패킷 출력을 가르치는 설정의 예입니다 F100, F1000 및 F100/F1000에서 해제 된 장치의 기본값은 모든 패킷을 릴레이하므로 릴레이를 허용하도록 설정 한 후에는 적용되지 않는 패킷을 폐기해야합니다 (섹션 33의 명령 설명 (*1) 참조
그림 33-1 학습 필터링 설명 다이어그램
4 NAT+, NAT 정적 (주소 변환)
41 요약
NAT 변환 또는 NAT+ (일반적으로 IP Masquerade라고하는 함수는이 책에서 NAT+라고합니다) 번역 규칙을 지정함으로써 지정된 패킷이 주소 전송 될 패킷인지 여부를 결정합니다
NAT를 LAN 쪽에서 WAN쪽으로 변환 할 때 NAT 모드 및 NAT+ 모드에 대해 설정이 다르므로 섹션 42 ~ 44에서 설명합니다
NAT를 LAN 쪽에서 WAN쪽으로 변환 할 때 NAT 모드 및 NAT+ 모드에 대해 설정이 다르므로 섹션 42 ~ 44에서 설명합니다
42 명령 설명 1 (NAT+ 변환)
NAT+ 변환 규칙을 설정합니다 아래는 NAT+ 변환 (19216800/24 → 인터페이스 주소)의 예입니다
그림 42-1 명령 설명 1 (NAT+ 변환) 설명 다이어그램
43 명령 설명 2 (NAT 정적 변환)
NAT 변환 규칙을 설정합니다 아래는 pppoe1이 158xxx2로 향하는 패킷을 수신 할 때 158xxxxxx2로 향하는 패킷을 LAN 주소로 19216801로 변환하는 구성의 예입니다
그림 43-1 명령 설명 2 (NAT 변환) 설명 다이어그램
44 명령 설명 3 (NAT 변환)
NAT 변환 규칙을 설정합니다 아래는 NAT를 변환하는 방법의 예입니다 (19216800/24 → 158xxxxxx2-158xxxxxx7)
그림 44-1 명령 설명 3 (NAT 변환) 설명 다이어그램
5 필터링 로그
51 로그 획득 설정 필터링
필터링 로그를 얻으려면 다음 조건이 필요합니다
| 호환 모델 | 펌웨어 |
|---|---|
| 142012 년 7 월 5 일 - 호환 장치 추가 | V0100 (00) (초판) - |
| fitelnet-f80 | v0100 (00) (초판) - |
| 1학습 항목 : 1 IP 버전 | 15Fightel Net, 푸루카와 전기 네트워크 장비의 포괄적 인 브랜드 |
| fitelnet-f140 | v0100 (00) (초판) - |
| 15첫 번째 판은 2004 년 1 월 16 일 | v0100 (00) (초판) - |
| 152012 년 7 월 5 일 - 호환 장치 추가 | v0100 (00) (초판) - |
| Fitelnet F2000 | 15방화벽 함수는 네 가지 함수로 크게 나눌 수 있습니다 |
| 1학습 항목 : 3 소스 IP 주소 | v0100 (00) (초판) - |
・ 섹션 23의 설정에서 액세스 목록 끝에 '로그'명령을 추가하십시오
(자세한 내용은 아래 표시된 명령 입력 예제를 참조하십시오
아래의 예에서 액세스-리스트 10, 101, 103
'로그'명령이 추가되었습니다 )
52 필터링 로그 참조
필터링 로그를 보려면 다음 명령을 입력하여 참조 할 수 있습니다
중앙 측면에서 얻은 필터링 로그 참조 결과의 예는 다음과 같습니다
위의 결과에서 발췌 한 내용은 다음과 같습니다
6 장치 액세스
61 요약
이 기능은 비밀번호와 자동 로그 아웃을 입력하는 횟수를 제한하는 등 장치를 설정하여 로그인 할 때 장치 외부 (콘솔, Telnet, FTP, HTTP)에서 무단 액세스를 방지합니다 비밀번호 제한 사항을 예로 들어, 설정 한 횟수보다 비밀번호 오류에 실수를하는 경우 액세스가 거부됩니다
그림 61-1 장치에 대한 액세스 제한 이미지
62 명령 설명
비밀번호를 지정하거나 잘못 잘못했을 때 액세스를 거부하는 함수의 예 또는 액세스 기간이 만료 될 때 자동으로 로그 아웃하는 함수의 예입니다
설정의 예) 비밀번호 오류가 2가 될 수있는 횟수를 설정합니다
설정의 예) 비밀번호 오류가 2가 될 수있는 횟수를 설정합니다
설정의 예) 콘솔을 사용하여 로그인 한 액세스 시간을 30 분까지 설정할 때
(콘솔에서 30 분 동안 입력이 없으면 프로그램이 자동으로 로그 아웃됩니다)
(콘솔에서 30 분 동안 입력이 없으면 프로그램이 자동으로 로그 아웃됩니다)
설정의 예) Telnet을 통해 액세스에 대한 시간 초과 시간을 30 분까지 설정할 때
(Telnet에서 30 분 동안 입력이 없으면 프로그램이 자동으로 로그 아웃됩니다)
(Telnet에서 30 분 동안 입력이 없으면 프로그램이 자동으로 로그 아웃됩니다)
설정의 예) FTP로 로그인 한 액세스 시간을 30 분까지 설정할 때
(FTP에서 30 분 동안 입력이 없으면 프로그램이 자동으로 로그 아웃됩니다)
(FTP에서 30 분 동안 입력이 없으면 프로그램이 자동으로 로그 아웃됩니다)
설정의 예) HTTP에서 로그인 한 액세스 시간을 30 분까지 설정할 때
(HTTP에서 30 분 동안 입력이 없으면 프로그램이 자동으로 로그 아웃됩니다)
(HTTP에서 30 분 동안 입력이 없으면 프로그램이 자동으로 로그 아웃됩니다)
7 각 기능에 대한 처리 순서
71 처리 흐름
LAN의 처리 순서는 먼저 필터링 된 다음 NAT 변환 및 VPN을 필터링합니다 반대로, 인터넷에서 전송 된 패킷은 VPN → NAT → 필터의 순서대로 처리됩니다
모든 권리 보유, 저작권 (C) Furukawa Electric Co, Ltd 2007