가보자가보자

- 3계층 장비는 전송하고자 하는 패킷의 목적지 ip 주소에 대한 경로 정보가 자신의 라우팅 테이블에 등록돼 있는 경우

기본적으로 해당 패킷을 전송 처리한다. (Routing)

- 하지만 이것은 보안적인 관점에서 모든 패킷을 전송하는 것은 위험할 수 있다. 그러므로 공격과 관련된 패킷 혹은 불필요한 패킷의 경우 전송을 차단할 필요가 잇다. 이를 수행하는 장치가 방화벽(Firewall) 이다.

- 방화벽을 사용할 수 없는경우 라우터에서 ACL 을 구성하게 되면 기본적인 방화벽 기능을 사용할 수 있다.

ACL의 종류(2가지)

- L3헤더(IP헤더)dml Source Address를 조건으로 패킷을 분류 후 정책 정의, (어디서 왔는지만 확인한 후 결정)

- 검사 결과에 따라 전체 프로토콜 슈트에 대한 패킷 출력을 허용하거나 거부한다.

- L3헤더(IP 헤더)의 Source Address, Destination Address, Protocol, TTL 등의 정보와 L4헤더(TCP/UDP)의 Source Port,

Destination Port,TCP Flag 등의 정보를 기반으로 패킷을 분류 후 정책 정희

1) access-list를 사용하여 트래픽을 분류 후 허용/거부 정의.

2) 특정 interface에 위에서 (fast Ethernet 등) 정의한 access-list를 적용

4) ACL 구성시 주의할 점

1. 모든 Access-list 마지막에는 모든 트래픽을 차단하라는 의미의 [deny any],[deny ip any any]가 생략되어 있다.

2. Access-list를 적용할 인터페이스를 주의해서 선택해야 한다.

3. 하나의 라우터에 다수의 Access-list를 설정하는 것은 가능하지만 실제 interface 적용은 inbound, outbound 각각 하나씩만 가능하다.

4. Access-list는 하향식으로 순차적인 처리를 한다. 때문에 좁은 범위의 Access-list가 먼저 설정 되어야 한다.

검색