"Cisco ASA Series Firewall ASDM 컨피그레이션 가이드"

Transcription

1 소프트웨어버전 7.4 ASA 5506-X, ASA 5506H-X, ASA 5506W-X, ASA 5508-X, ASA 5512-X, ASA 5515-X, ASA 5516-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA 5585-X, ASA Services Module, Adaptive Security Virtual Appliance 처음게시한날짜 : 2015 년 3 월 23 일마지막업데이트날짜 : 2015 년 4 월 7 일 Cisco Systems, Inc. Cisco 는전세계에 200 개가넘는지사를운영하고있습니다. 주소, 전화번호및팩스번호는 Cisco 웹사이트 에나와있습니다. 텍스트파트번호 : 해당사항없음, 온라인전용

2 이설명서의제품사양및정보는예고없이변경될수있습니다. 이설명서의모든설명, 정보및권장사항은정확한것으로간주되지만이에대해명시적이든묵시적이든어떠한보증도없이제공됩니다. 모든제품의애플리케이션사용에대한책임은전적으로사용자에게있습니다. 동봉된제품의소프트웨어라이센스및제한보증은제품과함께제공되는정보패킷에설명되어있으며본참조문서에통합되어있습니다. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR CISCO REPRESENTATIVE FOR A COPY. The Cisco implementation of TCP header compression is an adaptation of a program developed by the University of California, Berkeley (UCB) as part of UCB's public domain version of the UNIX operating system. All rights reserved. Copyright 1981, Regents of the University of California. NOTWITHSTANDING ANY OTHER WARRANTY HEREIN, ALL DOCUMENT FILES AND SOFTWARE OF THESE SUPPLIERS ARE PROVIDED "AS IS" WITH ALL FAULTS. CISCO AND THE ABOVE-NAMED SUPPLIERS DISCLAIM ALL WARRANTIES, EXPRESSED OR IMPLIED, INCLUDING, WITHOUT LIMITATION, THOSE OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OR ARISING FROM A COURSE OF DEALING, USAGE, OR TRADE PRACTICE. IN NO EVENT SHALL CISCO OR ITS SUPPLIERS BE LIABLE FOR ANY INDIRECT, SPECIAL, CONSEQUENTIAL, OR INCIDENTAL DAMAGES, INCLUDING, WITHOUT LIMITATION, LOST PROFITS OR LOSS OR DAMAGE TO DATA ARISING OUT OF THE USE OR INABILITY TO USE THIS MANUAL, EVEN IF CISCO OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. Cisco 및 Cisco 로고는미국및기타국가에서 Cisco Systems, Inc. 및 / 또는계열사의상표또는등록상표입니다. Cisco 상표목록을확인하려면 로이동하십시오. 언급된서드파티상표는해당소유주의재산입니다. 파트너라는용어의사용이 Cisco와다른업체사이의제휴관계를의미하는것은아닙니다. (1110R) Any Internet Protocol (IP) addresses and phone numbers used in this document are not intended to be actual addresses and phone numbers. Any examples, command display output, network topology diagrams, and other figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses or phone numbers in illustrative content is unintentional and coincidental. Copyright 2015 Cisco Systems, Inc. All rights reserved.

3 가이드정보 문서의용도, iii페이지 관련설명서, iii페이지 표기규칙, iv페이지 설명서받기및서비스요청제출, iv페이지 문서의용도 이가이드는사용자가 ASDM(Adaptive Security Device Manager) 를사용하여 Cisco ASA Series 의방화벽기능을구성하는것을지원하기위해작성되었습니다. 여기서는모든기능을다루기보다는가장대표적인컨피그레이션시나리오에대해서만설명합니다. 이설명서에서 "ASA" 라는용어는별도로지정하지않는한, 일반적으로지원되는모델에적용됩니다. 참고 ASDM 은여러 ASA 버전을지원합니다. ASDM 설명서와온라인도움말은 ASA 에서지원하는모든최신기능을다룹니다. 이전버전의 ASA 소프트웨어를실행하고있는경우설명서에포함된기능이해당버전에서지원되지않을수있습니다. 기능이추가된시기를확인하려면각장의기능기록표를참조하십시오. 각 ASA 버전에지원되는최소버전의 ASDM 은 Cisco ASA 시리즈호환성을참조하십시오. 관련설명서 자세한내용은 Cisco ASA Series 문서탐색 ( ) 을참조하십시오. iii

4 표기규칙 이설명서는다음과같은표기규칙을사용합니다. 표기규칙 표시 굵은글꼴 명령, 키워드, 사용자가입력하는텍스트는굵은글꼴로표시합니다. 기울임꼴글꼴 문서제목, 새로운용어또는강조된용어및사용자가값을제공해야하는 인수는기울임꼴글꼴로표시합니다. [ ] 대괄호로묶인요소는선택적요소입니다. {x y z } 필수대체키워드는중괄호로묶어세로막대로구분합니다. [ x y z ] 선택적대체키워드는대괄호로묶어세로막대로구분합니다. 문자열 따옴표없는문자의집합입니다. 문자열주변에따옴표를사용하지마십시 오. 그렇지않으면따옴표도문자열에포함됩니다. courier 글꼴시스템에표시되는터미널세션및정보는 courier 글꼴로표시합니다. courier 굵은글꼴명령, 키워드, 사용자가입력하는텍스트는굵은 courier 글꼴로표시합니다. courier 기울임꼴글꼴사용자가값을제공해야하는인수는 courier 기울임꼴글꼴로표시합니다. < > 비밀번호와같이인쇄할수없는문자는꺾쇠괄호안에표시됩니다. [ ] 시스템프롬프트에대한기본응답은대괄호안에표시됩니다.!, # 코드라인시작부분에있는느낌표 (!) 또는우물정자 (#) 는코멘트행을나타냅니다. 참고독자가주목해야하는내용을의미합니다. 정보다음정보가문제를해결하는데도움이된다는것을의미합니다. 주의 독자가유의해야하는내용임을의미합니다. 이경우, 장비손상이나데이터손실이발생할수있으므로주의해야합니다. 설명서받기및서비스요청제출 설명서받기, Cisco BST(Bug Search Tool) 사용, 서비스요청제출, 추가정보수집에대한자세한내용은 Cisco 제품설명서의새로운사항 ( 을참조하십시오. 새로개정된 Cisco 기술문서를모두보여주는 What's New in Cisco Product Documentation(Cisco 제품설명서의새로운사항 ) 을 RSS 피드로구독하면콘텐츠가데스크톱으로곧바로전달되어리더애플리케이션으로읽어볼수있습니다. RSS 피드는무료로제공되는서비스입니다. iv

5 1 장 Cisco ASA Firewall Services 소개 최초발행 : 2015 년 3 월 23 일마지막업데이트 : 2015 년 4 월 7 일 방화벽서비스는트래픽차단서비스및내부와외부네트워크간트래픽흐름활성화서비스를비롯하여네트워크액세스제어에초점을맞춘 ASA 기능입니다. 이러한서비스에는 DoS(Denial of Service) 및기타공격등의위협에서네트워크를보호하는서비스가포함됩니다. 다음항목에서는방화벽서비스의개요를설명합니다. 방화벽서비스구현방법, 1-1 페이지 기본액세스제어, 1-2 페이지 애플리케이션필터링, 1-2 페이지 URL 필터링, 1-3 페이지 위협차단, 1-3 페이지 네트워크주소변환, 1-4 페이지 애플리케이션검사, 1-5 페이지 활용사례 : 외부서버노출, 1-5 페이지 방화벽서비스구현방법 다음절차에서는방화벽서비스를구현하는일반적순서를설명합니다. 그러나각단계는선택사항으로네트워크에해당서비스를제공하려는경우에만필요합니다. 시작하기전에 최소기본설정, 인터페이스컨피그레이션, 라우팅, 관리액세스를포함하여 ASA 를일반적인작업컨피그레이션가이드에따라구성하십시오. 절차 1단계 네트워크의액세스제어를구현합니다. 기본액세스제어, 1-2페이지를참조하십시오. 2단계 애플리케이션필터링을구현합니다. 애플리케이션필터링, 1-2페이지를참조하십시오. 3단계 URL 필터링을구현합니다. URL 필터링, 1-3페이지를참조하십시오. 4단계 위협차단을구현합니다. 위협차단, 1-3페이지를참조하십시오. 1-1

6 기본액세스제어 1 장 Cisco ASA Firewall Services 소개 5 단계 NAT(Network Address Translation) 를구현합니다. 네트워크주소변환, 1-4 페이지를참조하십시오. 6 단계네트워크에해당하는기본설정이충분하지않은경우애플리케이션검사를구현합니다. 애플리케이션검사, 1-5 페이지를참조하십시오. 기본액세스제어 네트워크방어에서가장중요한것은인터페이스별로또는글로벌차원에서적용된액세스규칙입니다. 입력시특정유형의트래픽또는특정호스트나네트워크에서발생한 ( 또는네트워크로가는 ) 트래픽을삭제할수있습니다. 기본적으로 ASA에서는내부네트워크 ( 상위보안수준 ) 에서외부네트워크 ( 하위보안수준 ) 로트래픽이자유롭게이동하도록허용합니다. 액세스규칙을적용하여내부에서외부로나가는트래픽을제한하거나, 외부에서내부로들어오는트래픽을허용할수있습니다. 기본액세스규칙은 "5튜플( 소스주소및포트, 수신주소및포트, 프로토콜 )" 을사용하여트래픽을제어합니다. ID를인식하도록하여규칙을확대할수있습니다. 이렇게하면사용자 ID 또는그룹멤버십에따라규칙을구성할수있습니다. ID 제어를구현하려면다음을조합하여수행합니다. 별도의서버에 AD 에이전트라고도하는 Cisco CDA(Context Directory Agent) 를설치하여 AD(Active Directory) 서버에이미정의된사용자및그룹정보를수집합니다. 그런다음 ASA 를구성하여이정보를획득하고액세스규칙에사용자또는그룹기준을추가합니다. 별도의서버에 Cisco ISE(Identity Services Engine) 를설치하여 Cisco Trustsec 을구현합니다. 그러면액세스규칙에보안그룹기준을추가할수있습니다. ASA FirePOWER 모듈을 ASA 에설치하고모듈의 ID 정책을구현합니다. ASA FirePOWER 의 ID 인식액세스정책은모듈로리디렉션하는모든트래픽에적용됩니다. 관련주제 액세스제어목록, 4-1 페이지 액세스규칙, 2-1 페이지 아이덴티티방화벽, 5-1 페이지 ASA 및 Cisco TrustSec, 6-1 페이지 ASA FirePOWER 모듈, 7-1 페이지 애플리케이션필터링 광범위한웹기반애플리케이션의사용은많은트래픽이 HTTP 또는 HTTPS 프로토콜을통해실행됨을의미합니다. 기존의 5 튜플액세스규칙을사용하여모든 HTTP/HTTPS 트래픽을허용또는거부할수있습니다. 그러나더세분화된웹트래픽제어가필요한경우도있습니다. ASA 에모듈을설치하여 HTTP 또는사용되는애플리케이션을기준으로다른트래픽을선택적으로허용하도록애플리케이션필터링을제공할수있습니다. 그러면 HTTP 를전면적으로허용하지않아도됩니다. 트래픽내부를살펴보고네트워크에허용할수없는애플리케이션을방지할수있습니다 ( 예 : 부적절한파일공유 ). 애플리케이션필터링에모듈을추가하는경우 ASA 에서 HTTP 검사를구성하지마십시오. 1-2

7 1 장 Cisco ASA Firewall Services 소개 URL 필터링 애플리케이션필터링을구현하려면 ASA FirePOWER 모듈을 ASA 에설치하고 ASA FirePOWER 액세스규칙에서애플리케이션필터링기준을사용합니다. 이러한정책은모듈로리디렉션하는모든트래픽에적용됩니다. 관련주제 ASA FirePOWER 모듈, 7-1 페이지 URL 필터링 URL 필터링은대상사이트의 URL을기준으로트래픽을거부하거나허용합니다. URL 필터링의주목적은웹사이트에대한액세스를완전히차단하거나허용하는것입니다. 개별페이지를대상으로할수도있지만일반적으로호스트이름 ( 예 : ) 또는특정서비스유형 ( 예 : 도박 ) 을제공하는호스트이름목록이정의된 URL 범주를지정합니다. HTTP/HTTPS 트래픽에 URL 필터링을사용할것인지또는애플리케이션필터링을사용할것인지결정하려면웹사이트에서리디렉션되는모든트래픽에적용되는정책을만들것인지고려하십시오. 이러한트래픽을모두동일한방식 ( 거부또는허용 ) 으로처리하려면 URL 필터링을사용하십시오. 사이트에트래픽을선택적으로차단또는허용하려면애플리케이션필터링을사용하십시오. URL 필터링을구현하려면다음중하나를수행합니다. ScanCenter 에서필터링정책을구성하는 Cloud Web Security 서비스를구독하고 ASA 를구성하여 Cloud Web Security 어카운트에트래픽을전송합니다. ASA FirePOWER 모듈을 ASA 에설치하고 ASA FirePOWER 액세스규칙에서 URL 필터링기준을사용합니다. 이러한정책은모듈로리디렉션하는모든트래픽에적용됩니다. 관련주제 ASA 및 Cisco Cloud Web Security, 8-1 페이지 ASA FirePOWER 모듈, 7-1 페이지 위협차단 다양한측정을구현하여스캔, Dos(Denial of service) 및기타공격을방지할수있습니다. 다수의 ASA 기능을통해연결제한을적용하고비정상적 TCP 패킷을삭제하여공격으로부터보호합니다. 일부기능은자동이며그외의다른기능들은컨피그레이션가능하지만대부분의경우적합한기본값이있습니다. 이기능들은전적으로선택에따라사용하며사용전에컨피그레이션을거쳐야합니다. 다음은 ASA를통해사용가능한위협차단서비스입니다. IP 패킷단편차단 ASA 는모든 ICMP 오류메시지를완전히재결합하고, ASA 를통해라우팅된나머지 IP 단편을가상으로재결합하는작업을수행하며보안검사에실패한프래그먼트를삭제합니다. 컨피그레이션이필요하지않습니다. 연결제한, TCP 정규화및기타연결관련기능 TCP/UDP 연결제한및시간제한, TCP 시퀀스번호임의설정, TCP 정규화, TCP 상태바이패스와같은연결관련서비스를구성합니다. TCP 정규화는정상으로보이지않는패킷을삭제하기위해고안되었습니다. 1-3

8 네트워크주소변환 1 장 Cisco ASA Firewall Services 소개 예를들어 TCP/UDP 연결및원시연결 ( 소스와대상간에필요한핸드셰이크를완료하지않은연결요청 ) 을제한할수있습니다. 연결및초기연결수를제한하면 DoS 공격을방지할수있습니다. ASA 에서는초기제한을사용하여 TCP 가로채기를트리거하며, 이렇게하면 TCP SYN 패킷을인터페이스에플러딩하여시행된 DoS 공격으로부터내부시스템을보호할수있습니다. 위협감지 ASA 에위협감지를구현하여공격식별에도움이되도록통계를수집합니다. 기본적으로활성화된기본위협감지기능과더불어고급통계및스캔위협감지를구현할수있습니다. 스캔위협으로식별된호스트를차단할수있습니다. NGIPS(Next-Generation IPS) ASA FirePOWER 모듈을 ASA 에설치하고 ASA FirePOWER 에서 NGIPS 침입규칙을구현합니다. 이러한정책은 ASA FirePOWER 로리디렉션하는모든트래픽에적용됩니다. 관련주제 연결설정, 16-1 페이지 위협감지, 18-1 페이지 ASA FirePOWER 모듈, 7-1 페이지 네트워크주소변환 NAT(Network Address Translation) 의주요기능중하나는사설 IP 네트워크가인터넷에연결되도록하는것입니다. NAT는사설 IP 주소를공용 IP 주소로교체하여, 내부사설네트워크의사설주소를공용인터넷에서사용할수있는합법적이고라우팅가능한주소로전환합니다. 이렇게하여 NAT는공용주소를절약합니다. 전체네트워크에대해최소하나의공용주소만외부에알릴수있기때문입니다. NAT의기타기능은다음과같습니다. 보안 - 직접공격을피할수있도록내부 IP 주소를숨깁니다. IP 라우팅솔루션 - NAT 를사용하는경우중첩 IP 주소문제가발생하지않습니다. 유연성 - 외부적으로사용가능한공용주소에영향을주지않고내부 IP 주소지정방식을변경할수있습니다. 예를들어인터넷에액세스할수있는서버의경우, 인터넷용으로는고정 IP 주소를유지하고내부적으로는서버주소를변경할수있습니다. IPv4와 IPv6 간변환 ( 라우팅된방식전용 ) IPv6 네트워크를 IPv4 네트워크에연결하려는경우 NAT를이용하면두가지주소유형간에변환할수있습니다. NAT는필수항목이아닙니다. 특정트래픽에대해 NAT를구성하지않으면해당트래픽은변환되지않지만, 모든보안정책은정상적으로적용됩니다. 관련주제 NAT(Network Address Translation), 9-1 페이지 NAT 의예및참조, 10-1 페이지 1-4

9 1 장 Cisco ASA Firewall Services 소개 애플리케이션검사 애플리케이션검사 사용자데이터패킷에 IP 주소정보가포함된서비스또는동적으로할당된포트에서보조채널을여는서비스에는애플리케이션검사엔진이필요합니다. 이러한프로토콜은 ASA에서 DPI(Deep Packet Inspection) 를수행하고, 필요한핀홀을열고, NAT를적용하도록요구합니다. 기본 ASA 정책은 DNS, FTP, SIP, ESMTP, TFTP 등널리사용되고있는많은프로토콜검사에글로벌차원에서적용됩니다. 네트워크에기본검사만수행하여도충분할수있습니다. 그러나다른프로토콜에서검사를활성화하거나검사를조정해야할수도있습니다. 상당수의검사에는콘텐츠에따라패킷을제어할수있도록상세한옵션이포함되어있습니다. 프로토콜을잘알고있다면트래픽에세분화된제어를적용할수있습니다. 서비스정책을사용하여애플리케이션검사를구성합니다. 글로벌서비스정책을구성하거나각서비스에서비스정책을적용할수있으며두가지방법을모두수행할수도있습니다. 관련주제 Modular Policy Framework 를사용하는서비스정책, 11-1 페이지 애플리케이션레이어프로토콜검사시작, 12-1 페이지 기본인터넷프로토콜검사, 13-1 페이지 음성및비디오프로토콜에대한검사, 14-1 페이지 데이터베이스, 디렉토리및관리프로토콜검사, 15-1 페이지 활용사례 : 외부서버노출 서버의특정애플리케이션서비스를외부에노출할수있습니다. 예를들어사용자가웹페이지에는연결할수있지만서버에다른연결은설정할수없는방식으로웹서버를노출할수있습니다. 서버를외부에노출하려면일반적으로연결및 NAT 규칙이서버의내부 IP 주소와공개적으로사용할수있는외부 IP 주소간변환을허용하도록액세스규칙을만들어야합니다. 또한외부에노출된서비스가내부서버와동일한포트를사용하지않도록하려는경우 PAT(port address translation) 를사용하여내부포트를외부포트에매핑할수있습니다. 예를들어내부웹서버가 TCP/80에서실행되지않는경우외부사용자가더쉽게연결할수있도록 TCP/80에매핑할수있습니다. 다음예를통해내부사설네트워크의웹서버에공개적으로액세스할수있음을알수있습니다. 1-5

10 활용사례 : 외부서버노출 1 장 Cisco ASA Firewall Services 소개 그림 1-1 내부웹서버에대한고정 NAT Outside Undo Translation Security Appliance Inside mywebserv ASDM 에는필요한액세스및 NAT 규칙을구성하여내부서버의서비스를외부에노출하는프로세스를간소화하는바로가기가포함됩니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Public Servers( 공용서버 ) 를선택합니다. 2 단계 ADD( 추가 ) 를클릭합니다. 3 단계노출할서비스의사설및공용특성을정의합니다. Private Interface( 사설인터페이스 ) - 실제서버가연결된인터페이스입니다. 이예에서는 "inside" 입니다. Private IP Address( 사설 IP 주소 ) - 서버의실제 IPv4 주소를정의하는호스트네트워크개체입니다. IPv6 주소는지정할수없습니다. 주소를포함하는객체가없는경우 "..." 버튼을클릭한다음 Add( 추가 ) 를클릭하여객체를만듭니다. 이예에서객체이름은 MyWebServ 이며호스트주소 을포함합니다. Private Service( 사설서비스 ) - 실제서버에서실행되는실제서비스입니다. 사전정의된서비스또는서비스객체를사용할수있습니다. 또한사설서비스를매핑할공용서비스를지정하지않은경우서비스객체그룹을사용할수도있습니다. 여러서비스를노출할수있지만공용서비스를지정하는경우모든포트가동일한공용포트로매핑됩니다. 이예에서포트는 tcp/http입니다. Public Interface( 사설인터페이스 ) - 외부사용자가실제서버에액세스하기위해사용하는인터페이스입니다. 이예에서는 "outside" 입니다. Public Address( 공용주소 ) - 외부사용자에게표시되는 IPv4 주소입니다. 주소를직접지정하거나호스트네트워크객체를사용할수있습니다. 이예에서외부주소는 입니다. 1-6

11 1 장 Cisco ASA Firewall Services 소개 활용사례 : 외부서버노출 Specify Public Service if different from private service( 사설서비스와다른경우공용서비스지정 ), Public Service( 공용서비스 ) - 변환된주소에서실행되는서비스입니다. 공용서비스가사설서비스와다른경우에만지정합니다. 예를들어사설웹서버가 TCP/80에서실행되고동일한포트를외부사용자를위해사용하려는경우공용서비스를지정하지않아도됩니다. 공용서비스를지정하는경우사전정의된 TCP 또는 UDP 서비스를사용해야합니다. 이예에서는포트변환을사용하지않으므로이옵션을선택하지마십시오. 대화상자가다음과같이표시되어야합니다. 4 단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 관련주제 고정 NAT, 9-38 페이지 1-7

12 활용사례 : 외부서버노출 1 장 Cisco ASA Firewall Services 소개 1-8

13 파트 1 액세스제어

14

15 2 장 액세스규칙 이장에서는액세스규칙을사용하여 ASA 를통과하거나이곳으로이동하는네트워크액세스를제어하는방법에대해설명합니다. 투명및라우팅된방화벽모드에서모두액세스규칙을사용하여네트워크액세스를제어할수있습니다. 투명모드에서는액세스규칙 (Layer 3 트래픽용 ) 및이더타입규칙 (Layer 2 트래픽용 ) 을모두사용할수있습니다. 참고 관리액세스를위해 ASA 인터페이스에액세스할때호스트 IP 주소를허용하는액세스규칙은필요하지않습니다. 일반적인작업컨피그레이션가이드에따라관리액세스를구성하기만하면됩니다. 네트워크액세스제어, 2-1페이지 액세스제어를위한지침, 2-6페이지 액세스제어컨피그레이션, 2-7페이지 액세스규칙모니터링, 2-14페이지 액세스규칙의기록, 2-15페이지 네트워크액세스제어 액세스규칙은 ASA 통과를허용할트래픽을결정합니다. 액세스제어정책을구현하기위해함께작동하는서로다른몇가지규칙레이어가있습니다. 인터페이스에할당되는확장액세스규칙 (Layer 3+ 트래픽 ) - 인바운드방향과아웃바운드방향에각기다른규칙집합 (ACL) 을적용할수있습니다. 확장액세스규칙은소스및대상트래픽기준을기반으로트래픽을승인하거나거부합니다. 전역적으로할당되는확장액세스규칙 - 단일글로벌규칙집합을작성하여기본액세스제어로사용할수있습니다. 글로벌규칙은인터페이스규칙이후에적용됩니다. 관리액세스규칙 (Layer 3+ traffic) - 인터페이스에서전달되는트래픽 ( 일반적으로관리트래픽 ) 을처리하기위해단일규칙집합을적용할수있습니다. CLI 에서이러한규칙은 " 제어평면 " 액세스그룹입니다. 디바이스에서전달되는 ICMP 트래픽의경우 ICMP 규칙을대신구성할수있습니다. 인터페이스에할당되는이더타입규칙 (Layer 2 트래픽 )( 투명방화벽모드전용 ) - 인바운드방향과아웃바운드방향에각기다른규칙집합을적용할수있습니다. 이더타입규칙은비 IP 트래픽에대한네트워크액세스를제어합니다. 이더타입규칙은이더타입을기반으로트래픽을허용하거나거부합니다. 2-1

16 네트워크액세스제어 2 장액세스규칙 투명방화벽모드에서는확장액세스규칙, 관리액세스규칙, 이더타입규칙을동일한인터페이스에서결합할수있습니다. 규칙에대한일반정보, 2-2 페이지 확장액세스규칙, 2-4 페이지 이더타입규칙, 2-5 페이지 규칙에대한일반정보 이섹션의다음항목에서는액세스규칙및이더타입규칙에대한정보를설명합니다. 인터페이스액세스규칙및글로벌액세스규칙, 2-2 페이지 인바운드및아웃바운드규칙, 2-2 페이지 규칙순서, 2-3 페이지 암시적허용, 2-3 페이지 암시적거부, 2-4 페이지 NAT 및액세스규칙, 2-4 페이지 인터페이스액세스규칙및글로벌액세스규칙 액세스규칙을특정인터페이스에적용할수도있고모든인터페이스에전역적으로적용할수도있습니다. 글로벌액세스규칙을인터페이스액세스규칙과함께구성할수있습니다. 이경우특정인바운드인터페이스액세스규칙이항상일반글로벌액세스규칙보다먼저처리됩니다. 글로벌액세스규칙은인바운드트래픽에만적용됩니다. 인바운드및아웃바운드규칙 트래픽의방향을기반으로액세스규칙을구성할수있습니다. 인바운드 - 인바운드액세스규칙은인터페이스에들어가는트래픽에적용됩니다. 글로벌및관리액세스규칙은항상인바운드입니다. 아웃바운드 - 아웃바운드규칙은인터페이스에서나가는트래픽에적용됩니다. 참고 " 인바운드 " 및 " 아웃바운드 " 는인터페이스에서 ACL 의적용방식을가리킵니다 ( 인터페이스에서트래픽이 ASA 에들어갈때또는트래픽이 ASA 에서나갈때 ). 이러한용어는트래픽의이동, 즉보안이더낮은인터페이스에서더높은인터페이스로의이동 ( 일반적으로인바운드라고알려짐 ) 또는그반대의이동 ( 일반적으로아웃바운드라고알려짐 ) 을가리키지않습니다. 아웃바운드 ACL 은예를들어내부네트워크의특정호스트만외부네트워크의웹서버에액세스하도록허용하려는경우유용합니다. 액세스제한을위해여러인바운드 ACL 을만드는대신지정된호스트만허용하는단일아웃바운드 ACL 을만들수있습니다. 다음그림을참조하십시오. 이아웃바운드 ACL 은다른호스트가외부네트워크에도달하는것을차단합니다. 2-2

17 2 장액세스규칙 네트워크액세스제어 그림 2-1 아웃바운드 ACL Web Server: ASA Outside ACL Outbound Permit HTTP from , , and to Deny all others Inside HR Eng ACL Inbound Permit from any to any ACL Inbound Permit from any to any ACL Inbound Permit from any to any Static NAT Static NAT Static NAT 규칙순서 규칙의순서는중요합니다. ASA 에서패킷을전달할지삭제할지를결정해야할때 ASA 는적용되는 ACL 에나열된규칙의순서에따라각규칙을기준으로패킷을테스트합니다. 일치가발견되면규칙이더이상점검되지않습니다. 예를들어, 시작할때인터페이스에대한모든트래픽을명시적으로허용하는액세스규칙을만들면더이상다른규칙이점검되지않습니다. 암시적허용 라우팅된모드에서는다음의트래픽유형이기본적으로허용됩니다. 보안이더높은인터페이스에서더낮은인터페이스로의유니캐스트 IPv4 및 IPv6 트래픽투명모드에서는다음의트래픽유형이기본적으로허용됩니다. 보안이더높은인터페이스에서더낮은인터페이스로의유니캐스트 IPv4 및 IPv6 트래픽 양방향의 ARP. ARP 검사를사용해 ARP 트래픽을제어할수있지만액세스규칙으로는제어할수없음 양방향의 BPDU 기타트래픽에는확장액세스규칙 (IPv4 및 IPv6) 또는이더타입규칙 ( 비 IP) 을사용해야합니다. 2-3

18 네트워크액세스제어 2 장액세스규칙 암시적거부 NAT 및액세스규칙 ACL의리스트끝에는암시적거부가있으므로명시적으로허용하지않는한트래픽이통과하지못합니다. 예를들어, 특정주소를제외하고모든사용자가 ASA를통해네트워크에액세스하도록허용하려면특정주소를거부한다음다른모든주소를허용해야합니다. 이더타입 ACL의경우 ACL 끝의암시적거부는 IP 또는 ARP에영향을미치지않습니다. 예를들어이더타입 8037을허용하는경우 ACL 끝의암시적거부는전에확장 ACL로허용한 ( 또는높은보안인터페이스에서낮은보안인터페이스로암시적으로허용한 ) IP 트래픽을차단하지않습니다. 그러나이더타입규칙으로모든트래픽을명시적으로거부하면 IP 및 ARP 트래픽은거부되고, 자동협상과같은물리적프로토콜트래픽만계속허용됩니다. 글로벌액세스규칙을구성하는경우글로벌규칙이처리된후에암시적거부가적용됩니다. 다음의작동순서를참조하십시오. 1. 인터페이스액세스규칙 2. 글로벌액세스규칙 3. 암시적거부 NAT 를구성한경우라도, 액세스규칙은액세스규칙일치를확인할때항상실제 IP 주소를사용합니다. 예를들어내부서버 가외부에서공개적으로라우팅가능한 IP 주소 를갖도록 NAT 를구성할경우, 외부트래픽이내부서버에액세스하는것을허용하는액세스규칙은서버의매핑된주소 ( ) 가아니라실제 IP 주소 ( ) 를참조해야합니다. 확장액세스규칙 이섹션에서는확장액세스규칙에대한정보를설명합니다. 반환트래픽에대한확장액세스규칙, 2-4 페이지 액세스규칙을사용하여브로드캐스트및멀티캐스트트래픽이투명방화벽을통과하도록허용, 2-5 페이지 관리액세스규칙, 2-5 페이지 반환트래픽에대한확장액세스규칙 라우팅된모드및투명모드에대한 TCP 및 UDP 연결의경우반환트래픽을허용하기위한액세스규칙이필요하지않습니다. ASA 는기존의양방향연결에대한모든반환트래픽을허용하기때문입니다. 그러나 ICMP 처럼연결없는프로토콜의경우 ASA 는단방향세션을설정하므로, 액세스규칙에서 ICMP 를양방향으로허용하거나 ( 소스및대상인터페이스에 ACL 을적용하여 ) ICMP 검사엔진을활성화해야합니다. ICMP 검사엔진은 ICMP 세션을양방향연결로취급합니다. 2-4

19 2 장액세스규칙 네트워크액세스제어 액세스규칙을사용하여브로드캐스트및멀티캐스트트래픽이투명방화벽을통과하도록허용 라우팅된방화벽모드에서는액세스규칙에서허용하더라도브로드캐스트및멀티캐스트트래픽이차단됩니다. 지원되지않는동적라우팅프로토콜과 DHCP 도마찬가지입니다 (DHCP 릴레이를구성하지않는한 ). 투명방화벽모드에서는모든 IP 트래픽을허용할수있습니다. 참고 이러한특수유형의트래픽은연결이없기때문에반환트래픽이허용되도록두인터페이스에모두액세스규칙을적용해야합니다. 다음표에는투명방화벽의통과를허용할수있는일반적인트래픽유형이나열되어있습니다. 표 2-1 투명방화벽특별트래픽 트래픽유형 프로토콜또는포트 참고 DHCP UDP 포트 67 및 68 사용자가 DHCP 서버를활성화하면 ASA는 DHCP 패킷을전달하지않습니다. EIGRP Protocol 88 OSPF Protocol 89 멀티캐스트스트림 UDP 포트는애플리케이션에따라달라집니다. RIP(v1 또는 v2) UDP 포트 520 멀티캐스트스트림은항상 Class D 주소 ( ~239.x.x.x) 로이동합니다. 관리액세스규칙 ASA로이동할관리트래픽을제어하는액세스규칙을구성할수있습니다. 구역으로수신되는 (to-the-box) 관리트래픽 ( 예 : 인터페이스에대한 HTTP, 텔넷, SSH 연결 ) 등의명령에의해정의됨 ) 은. 따라서이렇게허용된관리트래픽은 to-the-box ACL에서명시적으로거부하더라도통과가허용됩니다. 또는 ICMP 규칙을사용하여디바이스에대한 ICMP 트래픽을제어할수있습니다. ICMP 트래픽의디바이스통과를제어하려면일반확장액세스규칙을사용하십시오. 이더타입규칙 이섹션에서는이더타입규칙에대해설명합니다. 지원되는이더타입및기타트래픽, 2-5페이지 반환트래픽에대한이더타입규칙, 2-6페이지 MPLS 허용, 2-6페이지 지원되는이더타입및기타트래픽 이더타입규칙은다음을제어합니다. 공통유형 IPX 및 MPLS 유니캐스트또는멀티캐스트를포함하여 16 비트 16 진수로식별되는이더타입 이더넷 V2 프레임 2-5

20 액세스제어를위한지침 2 장액세스규칙 기본적으로허용되는 BPDU. BPDU 는 SNAP 로캡슐화되며, ASA 는특별히 BPDU 를처리하도록설계됨 트렁크포트 (Cisco 독점 ) BPDU. 트렁크 BPDU 는페이로드내부에 VLAN 정보를가지고있으므로, 사용자가 BPDU 를허용하면 ASA 는나가는 VLAN 으로페이로드를수정함 IS-IS(Intermediate System to Intermediate System) 다음의트래픽유형은지원되지않습니다 형식의프레임 - 이러한프레임은유형필드와반대되는길이필드를사용하므로규칙에의해처리되지않습니다. 반환트래픽에대한이더타입규칙 이더타입은연결이없으므로, 트래픽이양방향을통과하도록하려면두인터페이스에규칙을적용해야합니다. MPLS 허용 MPLS를허용하는경우 ASA를통해 Label Distribution Protocol 및 Tag Distribution Protocol TCP 연결이설정되도록해야합니다. ASA에연결된두 MPLS 라우터가 ASA 인터페이스의 IP 주소를 LDP 또는 TDP 세션에대한 router-id로사용하도록구성하면됩니다. LDP 및 TDP에서는 MPLS 라우터가패킷전달에사용되는레이블 ( 주소 ) 을협상할수있습니다. Cisco IOS 라우터에서프로토콜 LDP 또는 TDP에맞는적절한명령을입력하십시오. interface는 ASA에연결된인터페이스입니다. hostname(config)# mpls ldp router-id interface force 또는 hostname(config)# tag-switching tdp router-id interface force 액세스제어를위한지침 IPv6 지침 IPv6 를지원합니다. (9.0 이상 ) 소스및수신주소는 IPv4 와 IPv6 주소를혼합하여포함할수있습니다. 9.0 이전버전에서는별도의 IPv6 액세스규칙을만들어야합니다. Per-User ACL 지침 Per-user ACL 은 timeout uauth 명령의값을사용하지만, AAA per-user 세션시간제한값에의해재지정될수있습니다. Per-user ACL 때문에트래픽이거부되면 syslog 메시지 가기록됩니다. 트래픽이허용되면 syslog 메시지가생성되지않습니다. Per-user ACL 의 log 옵션은효과가없습니다. 추가지침및제한 객체그룹검색을활성화하여액세스규칙을검색하는데필요한메모리를줄일수있지만, 이경우조회성능이저하됩니다. 객체그룹검색을활성화할경우검색이네트워크객체로확장되지않습니다. 대신해당그룹정의를기반으로일치하는액세스규칙을검색합니다. 액세스규칙표아래에있는 Advanced 버튼을클릭하여이옵션을설정할수있습니다. 2-6

21 2 장액세스규칙 액세스제어컨피그레이션 액세스그룹용트랜잭션커밋모델을사용하여시스템성능과신뢰성을높일수있습니다. 자세한내용은일반적인작업컨피그레이션가이드의기본설정장을참조하십시오. 이옵션은 Configuration( 컨피그레이션 ) > Device Management( 디바이스관리 ) > Advanced( 고급 ) > Rule Engine( 규칙엔진 ) 에있습니다. ASDM 에서규칙설명은 ACL 의규칙앞에오는액세스목록리마크를기반으로합니다. ASDM 에서만드는새로운규칙의경우설명역시관련규칙앞에서리마크로구성됩니다. 그러나 ASDM 의패킷추적기는 CLI 의일치규칙뒤에구성되는리마크를확인합니다. 소스 / 대상주소또는소스 / 대상서비스에둘이상의항목을입력할경우, ASDM 에서는해당항목에대해접두사가 DM_INLINE 인개체그룹을자동으로생성합니다. 이러한개체는규칙테이블보기에서구성요소부분으로자동으로확장되지만, Tools( 툴 ) > Preferences( 기본설정 ) 에서 Auto-expand network and service objects with specified prefix( 지정된접두사로네트워크및서비스개체자동확장 ) 규칙테이블기본설정의선택을취소하면개체이름을볼수있습니다. 일반적으로 ACL 또는객체그룹에없는객체나객체그룹을참조할수없고, 현재참조되고있는것을삭제할수도없습니다. 또한 access-group 명령에없는 ACL 을참조할수없습니다 ( 액세스규칙을적용하기위해 ). 그러나생성하기전에객체또는 ACL 을 " 선행참조 " 할수있도록이기본동작을변경하는것은가능합니다. 객체또는 ACL 이생성될때까지이를참조하는규칙이나액세스그룹은무시됩니다. 선행참조를활성화하기위해서는액세스규칙고급설정의옵션을선택합니다. Configuration( 컨피그레이션 ) > Access Rules( 액세스규칙 ) 를선택하고 Advanced( 고급 ) 버튼을클릭합니다. 액세스제어컨피그레이션 다음항목에서는액세스제어를구성하는방법에대해설명합니다. 액세스규칙컨피그레이션, 2-7페이지 관리액세스규칙컨피그레이션, 2-11페이지 이더타입규칙컨피그레이션 ( 투명모드전용 ), 2-12페이지 ICMP 액세스규칙컨피그레이션, 2-13페이지 액세스규칙컨피그레이션 액세스규칙을적용하려면다음단계를수행하십시오. 절차 1단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Access Rules( 액세스규칙 ) 를선택합니다. 글로벌규칙에대한별도의그룹과함께인터페이스및방향에의해규칙이구성됩니다. 관리액세스규칙을구성하는경우이페이지에서반복됩니다. 이러한그룹은액세스그룹으로서생성되고인터페이스에할당되거나전역적으로할당되는확장 ACL에해당합니다. 이러한 ACL은 ACL Manager 페이지에도나타납니다. 2 단계다음중하나를수행합니다. 새규칙을추가하려면 Add( 추가 ) > Add Access Rule( 액세스규칙추가 ) 을선택합니다. 컨테이너내부의특정위치에규칙을삽입하려면기존규칙을선택한다음, 그위에규칙을추가하려면 Add( 추가 ) > Insert( 삽입 ) 를선택하고아래에추가하려면 Add( 추가 ) > Insert After( 아래삽입 ) 를선택합니다. 2-7

22 액세스제어컨피그레이션 2 장액세스규칙 규칙을편집하려면선택한후 Edit( 수정 ) 를클릭합니다. 3 단계규칙속성을설정합니다. 기본선택옵션은다음과같습니다. Interface - 규칙을적용할인터페이스입니다. 글로벌규칙을만들려면 Any 를선택합니다. Action: Permit/Deny - 설명된트래픽을허용할지 (allowing) 거부할지 (dropping) 를지정합니다. Source/Destination criteria - Source( 시작주소 ) 및 Destination( 트래픽흐름의대상주소 ) 을정의합니다. 일반적으로네트워크또는네트워크객체그룹으로표현할수있는호스트나서브넷의 IPv4 또는 IPv6 주소를구성합니다. 소스에대해사용자또는사용자그룹이름을지정할수도있습니다. 또한전체 IP 트래픽보다더한정된범위에서규칙을적용하려는경우, Service 필드를사용하여특정트래픽유형을지정할수있습니다. TrustSec을구현하는경우보안그룹을사용하여소스와대상을정의할수있습니다. 사용가능한모든옵션에대한자세한내용은액세스규칙속성, 2-8페이지를참조하십시오. 규칙정의가완료되면 OK( 확인 ) 를클릭하여규칙을테이블에추가합니다. 4 단계액세스규칙을컨피그레이션에저장하려면 Apply( 적용 ) 를클릭합니다. 액세스규칙속성 액세스규칙을추가또는수정할때다음속성을구성할수있습니다. 많은필드에서수정상자의오른쪽에있는 "..." 버튼을클릭하여필드에사용가능한객체를선택, 생성또는수정할수있습니다. Interface - 규칙을적용할인터페이스입니다. 글로벌규칙을만들려면 Any 를선택합니다. Action: Permit/Deny - 설명된트래픽을허용할지 (allowing) 거부할지 (dropping) 를지정합니다. Source Criteria - 확인하려는트래픽근원지의특성입니다. Source 는필수컨피그레이션항목이지만, 나머지속성은선택사항입니다. Source - 소스의 IPv4 또는 IPv6 주소. 기본값은 any 이며, 이는모든 IPv4 또는 IPv6 주소와일치합니다. any4 를사용하여 IPv4 만대상으로지정하거나 any6 를사용하여 IPv6 만대상으로지정할수있습니다. 단일호스트주소 ( 예 : 또는 2001:DB8::0DB8:800:200C:417A), 서브넷 ( /24 또는 / 형식, IPv6 는 2001:DB8:0:CD30::/60 형식 ), 네트워크객체또는네트워크객체그룹의이름, 인터페이스의이름을지정할수있습니다. User - ID 방화벽을활성화할경우어떤사용자또는사용자그룹을트래픽소스로지정할수있습니다. 사용자가현재사용중인 IP 주소가규칙에일치하게됩니다. 사용자이름 (DOMAIN\user), 사용자그룹 (DOMAIN\\group, 이중 \ 는그룹이름을나타냄 ) 또는사용자객체그룹을지정할수있습니다. 이필드에서는 "..." 을클릭하여 AAA 서버그룹에서이름을선택하는것이직접입력하는것보다훨씬쉽습니다. Security Group - Cisco Trustsec 을활성화하는경우보안그룹이름이나태그 ( ) 또는보안그룹객체를지정할수있습니다. More Options > Source Service - 대상서비스로서 TCP 또는 UDP 를지정하는경우선택적으로 TCP, UDP 또는 TCP-UDP 에대해미리정의된서비스객체를지정하거나자신이소유한객체를사용할수있습니다. 일반적으로대상서비스만정의하고소스서비스는정의하지않습니다. 소스서비스를정의하는경우대상서비스프로토콜은이와일치해야합니다 ( 예 : 포트정의를포함하거나포함하지않은상태로둘다 TCP). 2-8

23 2 장액세스규칙 액세스제어컨피그레이션 Destination Criteria - 매칭할트래픽을받을대상의특성. Destination 은필수컨피그레이션항목이지만, 나머지속성은선택사항입니다. Destination - 목적지의 IPv4 또는 IPv6 주소. 기본값은 any 이며, 이는모든 IPv4 또는 IPv6 주소에일치합니다. any4 를사용하여 IPv4 만대상으로지정하거나 any6 를사용하여 IPv6 만대상으로지정할수있습니다. 단일호스트주소 ( 예 : 또는 2001:DB8::0DB8:800:200C:417A), 서브넷 ( /24 또는 / 형식, IPv6 는 2001:DB8:0:CD30::/60 형식 ), 네트워크객체또는네트워크객체그룹의이름, 인터페이스의이름을지정할수있습니다. Security Group - Cisco Trustsec 을활성화하는경우보안그룹이름이나태그 ( ) 또는보안그룹객체를지정할수있습니다. Service - 트래픽의프로토콜 ( 예 : IP, TCP, UDP) 이며, 선택적으로 TCP 와 UDP 의포트를지정할수있습니다. 기본값은 IP 이지만, 더세밀하게트래픽대상을지정하기위해더구체적인프로토콜을선택할수도있습니다. 일반적으로서비스객체의유형을선택하게됩니다. TCP 및 UDP 에서는포트를지정합니다. 이를테면 tcp/80, tcp/http, tcp/10-20( 포트범위 ), tcp-udp/80( 포트 80 에서임의의 TCP 또는 UDP 트래픽일치 ) 등입니다. Description - 한줄당최대 100 자로규칙의목적을설명합니다. 여러줄을입력할수있습니다. 각줄은 CLI 에서리마크로서추가되며리마크는규칙앞에놓입니다. 참고 어떤플랫폼 ( 예 : Windows) 에서영어가아닌문자로설명을추가한다음다른플랫폼 ( 예 : Linux) 에서그설명을삭제하려는경우, 수정또는삭제가불가능할수있습니다. 원래의문자가제대로인식되지않을가능성이있기때문입니다. 이러한제약은다른언어의문자를각기다르게인코딩하는기본플랫폼의종속성때문입니다. Enable Logging; Logging Level; More Options > Logging Interval - 로깅옵션은규칙에대해 syslog 메시지가생성되는방식을정의합니다. 다음의기록옵션을구현할수있습니다. Deselect Enable Logging - 규칙에대한로깅을비활성화합니다. 이규칙과일치하는트래픽에대해서는어떤유형의 syslog 메시지도발생되지않습니다. Select Enable Logging with Logging Level = Default - 규칙에대한기본로깅을제공합니다. 거부된각패킷에대해 syslog 메시지 이발생됩니다. 어플라이언스가공격을받는경우이메시지발생의빈도가서비스에영향을미칠수있습니다. Select Enable Logging with Non-Default Logging Level - 요약된 syslog 메시지, 즉 이아닌 이제공됩니다. 메시지 는처음적중했을때표시되고, 그다음에는 More Options( 추가옵션 ) > Logging Interval( 로깅간격 ) 에구성된간격 ( 기본값은 300초마다, 1에서 600까지지정가능 ) 에따라다시표시되면서해당간격의적중횟수를표시합니다. 권장기록수준은 Informational( 정보제공 ) 입니다. 거부메시지를요약하면공격의영향을줄일수있으며, 메시지분석이더수월해질수도있습니다. 서비스거부공격을받을경우메시지 이표시될수있습니다. 이는메시지 을위해적중횟수를만드는데사용된캐시에저장된거부흐름의수가간격의최대값을초과했음을의미합니다. 이시점에서어플라이언스는공격완화를위해다음간격까지통계수집을중단합니다. More Options > Traffic Direction - 규칙이 In 방향인지 Out 방향인지를설정합니다. In( 수신 ) 이기본값이며, 글로벌및관리액세스규칙에는이옵션뿐입니다. More Options > Enable Rule - 디바이스에서규칙의활성여부를설정합니다. 비활성화된규칙은규칙테이블에서취소선텍스트로표시됩니다. 규칙을비활성화하면삭제하지않고도트래픽에대한적용을중지할수있습니다. 필요할경우나중에다시활성화할수있습니다. More Options > Time Range - 규칙이활성화되는요일과시간대를정의하는시간범위객체의이름. 시간범위를지정하지않을경우규칙은항상활성상태입니다. 2-9

24 액세스제어컨피그레이션 2 장액세스규칙 액세스규칙의고급옵션컨피그레이션 고급액세스규칙옵션을사용하면규칙동작의특정부분을사용자지정할수있지만, 이러한옵션은대부분의경우에적절한기본값을가지고있습니다. 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Access Rules( 액세스규칙 ) 를선택합니다. 2 단계규칙테이블아래에있는 Advanced( 고급 ) 버튼을클릭합니다. 3 단계필요에따라다음옵션을구성합니다. Advanced Logging Settings - 기본외의기록을구성하면, 액세스규칙에대한 Syslog 메시지평가, 2-14 페이지에서설명한대로시스템에서메시지 에대한통계를만들기위해거부 (deny) 흐름을캐시합니다. 메모리및 CPU 리소스의무제한소비를방지하기위해 ASA 에서는동시거부흐름의수를제한합니다. 거부흐름은공격을나타낼수있기때문입니다. 제한에도달하면메시지 이제공됩니다 과관련하여다음을제어할수있습니다. 최대거부흐름수 - ASA 에서흐름의캐싱을중지할때까지허용되는최대거부흐름의수입니다 (1~4096). 기본값은 4096 입니다. 경고간격 - 최대공격흐름수에도달했음을알리는시스템로그메시지 의발생간격을표시합니다 (1~3600 초 ). 기본값은 300 초입니다. Per User Override table - RADIUS 서버에서사용자인증을위해다운로드하는동적사용자 ACL로인터페이스에할당된 ACL을재지정하도록허용할지여부를설정합니다. 예를들어, 인터페이스 ACL은 의모든트래픽을거부하지만동적 ACL은 의모든트래픽을허용하는경우해당사용자에대해동적 ACL이인터페이스 ACL을재지정합니다. 각인터페이스에대해 Per User Override( 사용자당재지정 ) 확인란을선택하여사용자재지정을허용할수있습니다 ( 인바운드방향전용 ). 이기능을비활성화하면 RADIUS 서버에서제공하는액세스규칙이해당인터페이스에구성된액세스규칙과결합됩니다. 기본적으로 VPN 원격액세스트래픽은인터페이스 ACL을기준으로확인되지않습니다. 그러나 Configuration( 컨피그레이션 ) > Remote Access VPN( 원격액세스 VPN) > Network (Client) Access( 네트워크 ( 클라이언트 ) 액세스 ) > AnyConnect Connection Profiles(AnyConnect 연결프로파일 ) 에서 Enable inbound VPN sessions to bypass interface access lists( 인바운드 VPN 세션을활성화하여인터페이스액세스목록우회 ) 설정의선택을취소할경우, 그룹정책에 VPN 필터가적용되었는지 (Configuration( 컨피그레이션 ) > Remote Access VPN( 원격액세스 VPN) > Network (Client) Access( 네트워크 ( 클라이언트 ) 액세스 ) > Group Policies( 그룹정책 ) > Add/Edit( 추가 / 수정 ) > General( 일반 ) > More Options( 추가옵션 ) > Filter( 필터 ) 필드참조 ), 그리고 Per User Override( 사용자별재정의 ) 옵션을설정했는지에따라동작이달라집니다. No Per User Override, no VPN filter - 인터페이스 ACL 을기준으로트래픽을확인합니다. No Per User Override, VPN filter - 처음에는인터페이스 ACL 을기준으로트래픽을확인한후 VPN 필터를기준으로확인합니다. Per User Override, VPN filter - VPN 필터만을기준으로트래픽을확인합니다. Object Group Search Setting - Enable Object Group Search Algorithm 을선택하여객체그룹을사용하는액세스규칙검색에필요한메모리를줄일수있지만, 이경우규칙조회성능이저하됩니다. 객체그룹검색을활성화할경우검색이네트워크객체로확장되지않습니다. 대신해당그룹정의를기반으로일치하는액세스규칙을검색합니다. 2-10

25 2 장액세스규칙 액세스제어컨피그레이션 Forward Reference Setting - 일반적으로 ACL 또는객체그룹에존재하지않는객체또는객체그룹은참조할수없습니다. 또는현재참조되고있는객체또는객체그룹을삭제할수없습니다. 또한 access-group 명령에없는 ACL 을참조할수없습니다 ( 액세스규칙을적용하기위해 ). 그러나생성하기전에객체또는 ACL 을 " 선행참조 " 할수있도록이기본동작을변경하는것은가능합니다. 객체또는 ACL 이생성될때까지이를참조하는규칙이나액세스그룹은무시됩니다. 전방참조를활성화하려면 Enable the forward reference of objects and object-groups( 객체의전달참조및 object-groups 활성화 ) 를선택합니다. 전방참조를활성화하면 ASDM 에서는기존객체에대한오타참조와전방참조의차이를구분할수없습니다. 4 단계 OK( 확인 ) 를클릭합니다. 관리액세스규칙컨피그레이션 특정피어 ( 또는피어집합 ) 에서 ASA로의 to-the-box 관리트래픽을제어하는인터페이스 ACL을구성할수있습니다. 이유형의 ACL이유용한한가지시나리오는 IKE 서비스거부공격을차단하려는경우입니다. To-the-box 트래픽에대한패킷을허용하거나거부하는확장 ACL을구성하려면다음단계를수행하십시오. 1단계 Configuration( 컨피그레이션 ) > Device Management( 디바이스관리 ) > Management Access ( 관리액세스 ) > Management Access Rules( 관리액세스규칙 ) 를선택합니다. 규칙은인터페이스에의해구성됩니다. 각그룹은제어평면 ACL로서생성되어인터페이스에할당되는확장 ACL에해당합니다. 이러한 ACL은 Access Rules 및 ACL Manager 페이지에도나타납니다. 2 단계다음중하나를수행합니다. 새규칙을추가하려면 Add( 추가 ) > Add Management Access Rule( 관리액세스규칙추가 ) 을선택합니다. 컨테이너내부의특정위치에규칙을삽입하려면기존규칙을선택한다음, 그위에규칙을추가하려면 Add( 추가 ) > Insert( 삽입 ) 를선택하고아래에추가하려면 Add( 추가 ) > Insert After( 아래삽입 ) 를선택합니다. 규칙을편집하려면선택한후 Edit( 수정 ) 를클릭합니다. 3 단계규칙속성을설정합니다. 기본선택옵션은다음과같습니다. Interface - 규칙을적용할인터페이스입니다. Action: Permit/Deny - 설명된트래픽을허용할지 (allowing) 거부할지 (dropping) 를지정합니다. Source/Destination criteria - Source( 시작주소 ) 및 Destination( 트래픽흐름의대상주소 ) 을정의합니다. 일반적으로호스트나서브넷의 IPv4 또는 IPv6 주소를구성하는데, 이는네트워크또는네트워크객체그룹으로나타낼수있습니다. 소스에대해사용자또는사용자그룹이름을지정할수도있습니다. 또한전체 IP 트래픽보다더한정된범위에서규칙을적용하려는경우, 서비스필드를사용하여특정트래픽유형을지정할수있습니다. TrustSec을구현하는경우보안그룹을사용하여소스와대상을정의할수있습니다. 사용가능한모든옵션에대한자세한내용은액세스규칙속성, 2-8페이지를참조하십시오. 규칙정의가완료되면 OK( 확인 ) 를클릭하여규칙을테이블에추가합니다. 4 단계규칙을컨피그레이션에저장하려면 Apply( 적용 ) 를클릭합니다. 2-11

26 액세스제어컨피그레이션 2 장액세스규칙 이더타입규칙컨피그레이션 ( 투명모드전용 ) 이더타입규칙은투명방화벽모드에서비 IP layer-2 트래픽에적용됩니다. 이러한규칙을사용하여 Layer 2 트래픽의이더타입값에따라트래픽을허용하거나삭제할수있습니다. 이더타입규칙을사용하면 ASA 전체에서비 IP 트래픽의흐름을제어할수있습니다. 투명모드에서는인터페이스에확장및이더타입액세스규칙을모두적용할수있습니다. 이더타입규칙이확장액세스규칙보다우선합니다. 이더타입규칙을추가하려면다음단계를수행하십시오. 1단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > EtherType Rules( 이더타입규칙 ) 를선택합니다. 규칙은인터페이스및방향에의해구성됩니다. 각그룹은생성되어인터페이스에할당되는이더타입 ACL에해당합니다. 2 단계다음중하나를수행합니다. 새규칙을추가하려면 Add( 추가 ) > Add EtherType Rule( 이더타입규칙추가 ) 을선택합니다. 컨테이너내부의특정위치에규칙을삽입하려면기존규칙을선택한다음, 그위에규칙을추가하려면 Add( 추가 ) > Insert( 삽입 ) 를선택하고아래에추가하려면 Add( 추가 ) > Insert After( 아래삽입 ) 를선택합니다. 규칙을편집하려면선택한후 Edit( 수정 ) 를클릭합니다. 3 단계규칙속성을설정합니다. 기본선택옵션은다음과같습니다. Interface - 규칙을적용할인터페이스입니다. Action: Permit/Deny - 설명된트래픽을허용할지 (allowing) 거부할지 (dropping) 를지정합니다. 이더타입 - 다음옵션을사용하여트래픽을확인할수있습니다. ipx - IPX(Internet Packet Exchange). bpdu - BPDU(Bridge Protocol Data Units). 기본적으로허용됩니다. mpls-multicast - MPLS 멀티캐스트. mpls-unicast - MPLS 유니캐스트. isis - IS-IS(Intermediate System to Intermediate System). any - 모든트래픽을확인합니다. hex_number - 16 비트 16 진수 0x600~0xffff 로식별할수있는모든 EtherType. 이더타입리스트는 의 RFC 1700, "Assigned Numbers" 를참조하십시오. Description - 한줄당최대 100 자로규칙의목적을설명합니다. 여러줄을입력할수있습니다. 각줄은 CLI 에서리마크로서추가되며리마크는규칙앞에놓입니다. More Options > Direction - 규칙이 In 방향인지 Out 방향인지를설정합니다. In이기본값입니다. 규칙정의가완료되면 OK( 확인 ) 를클릭하여규칙을테이블에추가합니다. 4 단계규칙을컨피그레이션에저장하려면 Apply( 적용 ) 를클릭합니다. 2-12

27 2 장액세스규칙 액세스제어컨피그레이션 ICMP 액세스규칙컨피그레이션 기본적으로 IPv4 또는 IPv6 을사용하여 ICMP 패킷을모든 ASA 인터페이스로전송할수있습니다. ASA 는브로드캐스트주소로전달되는 ICMP 에코요청에응답하지않습니다. ASA는트래픽이들어오는인터페이스로전송되는 ICMP 트래픽에만응답합니다. 인터페이스를통해먼인터페이스로 ICMP 트래픽을전송할수없습니다. 디바이스를공격으로부터보호하려면 ICMP 규칙을사용하여 ASA 인터페이스에대한 ICMP 액세스를특정호스트, 네트워크또는 ICMP 유형으로제한할수있습니다. ICMP 규칙은액세스규칙과같은방식으로작동합니다. 규칙의순서가정해지고, 패킷과일치하는첫번째규칙이작업을정의합니다. 인터페이스에대해 ICMP 규칙을구성하면 ICMP 규칙리스트의끝에암시적거부 ICMP 규칙이추가되어기본동작이변경됩니다. 따라서단지몇가지메시지유형만거부하려면 ICMP 규칙리스트의끝에나머지메시지유형을허용하는허용규칙을포함해야합니다. ICMP Unreachable 메시지유형 (type 3) 은항상허용하는것이좋습니다. ICMP Unreachable 메시지를거부하면 ICMP 경로 MTU 검색이비활성화되고, 그결과 IPsec 및 PPTP 트래픽이정지할수있습니다. 또한 IPv6 인접디바이스검색프로세스에서 IPv6의 ICMP 패킷이사용됩니다. 경로 MTU 검색에대한자세한내용은 RFC 1195 및 RFC 1435를참조하십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Device Management( 디바이스관리 ) > Management Access ( 관리액세스 ) > ICMP 를선택합니다. 2 단계 ICMP 규칙을구성합니다. a. 규칙을추가하거나 (Add( 추가 ) > Rule( 규칙 ), Add( 추가 ) > IPv6 Rule(IPv6 규칙 ) 또는 Add ( 추가 ) > Insert( 삽입 )) 기존규칙을선택하고편집합니다. b. 제어할 ICMP 유형을선택하거나, 모든유형에적용하려면 any 를선택합니다. c. 규칙을적용할인터페이스를선택합니다. 각인터페이스에대해별도의규칙을만들어야합니다. d. 일치하는트래픽에대해액세스를허용할지거부할지를선택합니다. e. 모든트래픽에규칙을적용하려면 Any Address 를선택합니다. 또는제어하려는호스트나네트워크의주소및마스크 (IPv4 의경우 ) 또는주소및접두사길이 (IPv6 의경우 ) 를입력합니다. f. OK( 확인 ) 를클릭합니다. 3 단계 ( 선택사항 ) ICMP Unreachable 메시지제한을지정하려면다음옵션을설정합니다. ASA 를홉 (hop) 중하나로표시하는 traceroute 를 ASA 전체에서허용하려면서비스정책에서 Decrement time to live for a connection 옵션 (Configuration > Firewall > Service Policy Rules > Rule Actions > Connection Settings 대화상자 ) 을활성화하여속도제한을높여야합니다. Rate Limit( 제한설정 ) - Unreachable 메시지의속도제한을설정합니다 ( 초당메시지 1~100 개 ). 기본값은초당메시지 1 개입니다. Burst Size( 버스트크기 ) - 버스트속도를설정합니다 (1~10). 이키워드는현재시스템에서사용되지않으므로아무값이나선택할수있습니다. 4 단계 Apply( 적용 ) 를클릭합니다. 2-13

28 액세스규칙모니터링 2 장액세스규칙 액세스규칙모니터링 액세스페이지에는각규칙의적중횟수가포함됩니다. 적중횟수위로마우스를이동하면업데이트시간및간격을볼수있습니다. 적중횟수를재설정하려면규칙을마우스오른쪽버튼으로클릭하고 Clear Hit Count( 적중횟수지우기 ) 를선택합니다. 그러나이렇게하면동일한방향의동일한인터페이스에적용된모든규칙에대한횟수가지워집니다. 액세스규칙에대한 Syslog 메시지평가 액세스규칙과관련된메시지를보려면 syslog 이벤트뷰어 ( 예 : ASDM에있는뷰어 ) 를사용하십시오. 기본기록을사용하면명시적으로거부된흐름에대해서만 syslog 메시지 이표시됩니다. 규칙리스트를종료하는 "implicit deny" 항목과일치하는트래픽은기록되지않습니다. ASA가공격을받는경우거부된패킷에대한 syslog 메시지수가매우커질수있습니다. 따라서각규칙 ( 허용규칙포함 ) 에대한통계를제공하며생성되는 syslog 메시지수를제한할수있는 syslog 메시지 을사용하는기록을대신활성화하는것이좋습니다. 또는특정규칙에대한모든기록을비활성화할수도있습니다. 메시지 에대한기록을활성화한경우패킷이 ACE와일치하면 ASA는특정간격내에수신된패킷수를추적하기위해흐름항목을만듭니다. ASA는첫번째적중시및각간격의끝에 syslog 메시지를생성하여, 간격중총적중수및마지막적중의타임스탬프를표시합니다. 각간격의끝에서 ASA는적중횟수를 0으로재설정합니다. 간격중 ACE와일치하는패킷이없으면 ASA는흐름항목을삭제합니다. 규칙에대한기록을구성할때간격은물론심지어규칙당로그메시지의심각도수준도제어할수있습니다. 흐름은소스 / 수신 IP 주소, 프로토콜및포트에의해정의됩니다. 소스포트는동일한두호스트간에도새연결에대해다를수있으므로, 연결에대해새흐름이생성된경우흐름이동일하게증가하지않을수도있습니다. 기존연결에속하는허용된패킷은 ACL에대해다시점검할필요가없습니다. 초기패킷만기록되고적중횟수에포함됩니다. 연결이없는프로토콜 ( 예 : ICMP) 의경우모든패킷이기록되며 ( 허용된패킷이라도 ), 모든거부된패킷도기록됩니다. 이러한메시지에대한자세한내용은 syslog 메시지가이드를참조하십시오. 정보 메시지 에대한기록을활성화한경우패킷이 ACE 와일치하면 ASA 는특정간격내에수신된패킷수를추적하기위해흐름항목을만듭니다. ASA 는 ACE 에대해최대 32K 기록흐름을가지고있습니다. 큰흐름수가언제든지동시에존재할수있습니다. 메모리및 CPU 리소스의무제한소비를방지하기위해 ASA 에서는동시거부 (deny) 흐름의수를제한합니다. 거부흐름은공격을나타낼수있기때문에거부흐름에만제한이적용됩니다 ( 허가흐름에는적용되지않음 ). 제한에도달하면 ASA 는기존흐름이만료될때까지기록을위한새거부흐름을만들지않고, 메시지 을제공합니다. 고급설정에서이메시지의빈도및캐시되는최대거부흐름수를제어할수있습니다. 액세스규칙의고급옵션컨피그레이션, 2-10 페이지를참조하십시오. 2-14

29 2 장액세스규칙 액세스규칙의기록 액세스규칙의기록 기능이름 플랫폼릴리스 설명 인터페이스액세스규칙 7.0(1) ACL을사용하여 ASA를통과하는네트워크액세스를제어합니다. 다음화면을추가했습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Access Rules( 액세스규칙 ) 글로벌액세스규칙 8.3(1) 글로벌액세스규칙이추가되었습니다. 수정된화면 : Configuration( 컨피그레이션 ) > Firewall ( 방화벽 ) > Access Rules( 액세스규칙 ) 아이덴티티방화벽지원 8.4(2) 이제소스및대상에대해아이덴티티방화벽사용자와그룹을사용할수있습니다. 액세스규칙, AAA 규칙에또한 VPN 인증을위해아이덴티티방화벽 ACL을사용할수있습니다. 이더타입 ACL의 IS-IS 트래픽지원 8.4(5), 9.1(2) 투명방화벽모드에서 ASA는이제이더타입 ACL을사용하여 IS-IS 트래픽을전달합니다. 수정된화면 : Configuration( 컨피그레이션 ) > Device Management( 디바이스관리 ) > Management Access ( 관리액세스 ) > EtherType Rules( 이더타입규칙 ) TrustSec 지원 9.0(1) 이제소스및대상에대해 TrustSec 보안그룹을사용할수있습니다. 액세스규칙과함께아이덴티티방화벽 ACL을사용할수있습니다. IPv4 및 IPv6에대한통합 ACL 9.0(1) ACL이이제 IPv4 및 IPv6 주소를지원합니다. 소스및대상에 IPv4 주소와 IPv6 주소를혼합하여지정할수도있습니다. any 키워드가 IPv4 및 IPv6 트래픽을나타내도록변경되었습니다. IPv4 전용및 IPv6 전용트래픽을나타내도록 any4 및 any6 키워드가추가되었습니다. IPv6 전용 ACL은사용되지않습니다. 기존의 IPv6 ACL 은확장 ACL로마이그레이션됩니다. 마이그레이션에대한자세한내용은릴리스정보를참조하십시오. 수정된화면 : Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Access Rules( 액세스규칙 ) Configuration( 컨피그레이션 ) > Remote Access VPN ( 원격액세스 VPN) > Network (Client) Access( 네트워크 ( 클라이언트 ) 액세스 ) > Group Policies( 그룹정책 ) > General( 일반 ) > More Options( 추가옵션 ) 2-15

30 액세스규칙의기록 2 장액세스규칙 기능이름플랫폼릴리스설명 확장 ACL 및 ICMP 코드를기준으로 ICMP 트래픽을필터링하기위한객체개선사항 액세스그룹규칙엔진에대한트랜잭션커밋모델 ACL 및객체수정을위한컨피그레이션세션액세스규칙에서객체및 ACL의선행참조 9.0(1) 이제 ICMP 코드에따라 ICMP 트래픽을허용하거나거부할수있습니다. 다음화면을도입하거나수정했습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Service Objects/Groups( 서비스객체 / 그룹 ) Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Access Rule( 액세스규칙 ) 9.1(5) 이기능을활성화한경우, 규칙일치의성능저하없이규칙컴파일이완료되면규칙업데이트가적용됩니다. 추가된화면 : Configuration( 컨피그레이션 ) > Device Management( 디바이스관리 ) > Advanced( 고급 ) > Rule Engine( 규칙엔진 ) 9.3(2) 격리컨피그레이션세션에서 ACL 과객체를수정할수있습니다. 객체와 ACL 을선행참조할수도있습니다. 즉아직존재하지않는객체또는 ACL 을위해규칙과액세스그룹을구성할수있습니다. 2-16

31 3 장 액세스제어용객체 객체는재사용가능한컨피그레이션요소로서컨피그레이션에사용됩니다. Cisco ASA 컨피그레이션에서인라인 IP 주소, 서비스, 이름등을대신하여객체를정의하고사용할수있습니다. 객체로편리하게컨피그레이션을유지관리할수있습니다. 한군데서객체를수정한다음이를참조하는다른모든곳에적용할수있기때문입니다. 객체가없으면한번이아니라필요할때마다각기능의매개변수를수정해야합니다. 예를들어, 네트워크객체에서 IP 주소와서브넷마스크를정의하는경우에주소를변경하려면 IP 주소를참조하는모든기능이아니라객체정의에서만주소를변경하면됩니다. 객체관련지침, 3-1 페이지 객체컨피그레이션, 3-2 페이지 객체모니터링, 3-7 페이지 객체관련이력, 3-8 페이지 객체관련지침 IPv6 지침 다음제약사항과함께 IPv6 를지원합니다. ASA 는 IPv6 중첩네트워크객체그룹을지원하지않습니다. 따라서 IPv6 항목의객체를다른 IPv6 객체그룹으로묶을수없습니다. IPv4 항목과 IPv6 항목을하나의네트워크객체그룹에서혼합할수있습니다. NAT 에대해서는혼합객체그룹을사용할수없습니다. 추가지침및제한 객체는고유한이름을가져야합니다. 객체와객체그룹이동일한이름공간을공유하기때문입니다. "Engineering" 이라는이름의네트워크객체그룹과역시 "Engineering" 이라는이름의서비스객체그룹을만들고싶다면적어도하나의객체그룹이름은그끝에식별자 ( 또는 " 태그 ") 를추가하여고유하게만들어야합니다. 이를테면 "Engineering_admins" 와 "Engineering_hosts" 를사용하여식별하기에편리한고유한객체이름그룹으로만들수있습니다. 객체이름은영숫자와.!@#$%^&()-_{} 문자를포함하여 64 자까지가능합니다. 객체이름은대소문자를구분합니다. 명령에서사용되는개체는제거하거나비워둘수없습니다. 단, 을사용하여선행참조를활성화한경우에는제외합니다 ( 액세스규칙고급설정에서 ). 3-1

32 객체컨피그레이션 3 장액세스제어용객체 객체컨피그레이션 다음섹션에서는액세스제어에서주로사용되는객체를구성하는방법에대해설명합니다. 네트워크객체및그룹컨피그레이션, 3-2페이지 서비스객체및서비스그룹컨피그레이션, 3-3페이지 로컬사용자그룹컨피그레이션, 3-5페이지 보안그룹객체그룹컨피그레이션, 3-6페이지 시간범위컨피그레이션, 3-7페이지 네트워크객체및그룹컨피그레이션 네트워크객체컨피그레이션 네트워크객체와그룹은 IP 주소또는호스트이름을식별합니다. 액세스제어목록에서이객체를사용하여규칙을간소화합니다. 네트워크객체컨피그레이션, 3-2 페이지 네트워크객체그룹컨피그레이션, 3-3 페이지 네트워크객체는호스트, 네트워크 IP 주소, IP 주소의범위또는 FQDN( 정규화된도메인이름 ) 을포함할수있습니다. 또한 (FQDN 객체를제외하고 ) 객체에대해 NAT 규칙을활성화할수도있습니다. 객체 NAT 컨피그레이션에대한자세한내용은방화벽컨피그레이션가이드를참조하십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Network Objects/Group ( 네트워크개체 / 그룹 ) 을선택합니다. 2 단계다음중하나를수행합니다. 새객체를추가하기위해 Add( 추가 ) > Network Object( 네트워크객체 ) 를선택합니다. 이름과설명 ( 필요한경우 ) 을입력합니다. 기존객체를선택하고 Edit( 수정 ) 를클릭합니다. 3 단계객체 Type 및 IP version 필드를기반으로객체의주소를구성합니다. Host 단일호스트의 IPv4 또는 IPv6 주소. 예를들면 또는 2001:DB8::0DB8:800:200C:417A 입니다. Network 네트워크의주소. IPv4 는마스크를포함합니다. 예를들면, IP address(ip 주소 ) = Netmask( 넷마스크 ) = 입니다. IPv6 는접두사를포함합니다. 예를들면, IP Address(IP 주소 ) = 2001:DB8:0:CD30:: Prefix Length( 접두사길이 ) = 60 입니다. Range 주소범위. IPv4 또는 IPv6 범위를지정할수있습니다. 마스크또는접두사를포함하지않습니다. FQDN 과같은정규화된도메인이름, 즉호스트의이름입니다. 4단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 이제규칙을만들때이네트워크객체를사용할수있습니다. 객체를수정하면객체를사용하는모든규칙에변경사항이자동으로상속됩니다. 3-2

33 3 장액세스제어용객체 객체컨피그레이션 네트워크객체그룹컨피그레이션 네트워크객체그룹에는여러네트워크객체뿐아니라인라인네트워크또는호스트도포함될수있습니다. 네트워크객체그룹이 IPv4 주소와 IPv6 주소를모두포함할수도있습니다. 그러나 NAT를위한객체그룹또는 FQDN 객체를포함하는객체그룹은 IPv4와 IPv6의혼합이불가합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Network Objects/Groups( 네트워크개체 / 그룹 ) 를선택합니다. 2 단계다음중하나를수행합니다. 새객체그룹을추가하기위해 Add( 추가 ) > Network Object Group( 네트워크객체그룹 ) 을선택합니다. 이름과설명 ( 필요한경우 ) 을입력합니다. 기존객체를선택하고 Edit( 수정 ) 를클릭합니다. 3 단계다음방법의조합을통해그룹에네트워크객체를추가합니다. Existing Network Objects/Groups 이미정의된네트워크객체또는그룹을선택하고 Add( 추가 ) 를클릭하여그룹에포함시킵니다. Create New Network Object Member 새네트워크객체에대한기준을입력하고 Add( 추가 ) 를클릭합니다. 객체에이름을지정할경우, 변경사항을적용하면새객체가생성되어그룹에추가됩니다. 호스트또는네트워크를추가할때는이름이선택사항입니다. 4단계모든멤버객체를추가한다음 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 이제규칙을만들때이네트워크객체그룹을사용할수있습니다. 객체그룹이수정되면객체그룹을사용하는모든규칙에변경사항이자동으로상속됩니다. 서비스객체및서비스그룹컨피그레이션 서비스객체및그룹은프로토콜과포트를식별합니다. 액세스제어목록에서이객체를사용하여규칙을간소화합니다. 서비스객체컨피그레이션, 3-3 페이지 서비스그룹컨피그레이션, 3-4 페이지 서비스객체컨피그레이션 서비스객체는단일프로토콜, ICMP, ICMPv6, TCP, UDP 포트또는포트범위를포함할수있습니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Service Object/Group ( 서비스객체 / 그룹 ) 을선택합니다. 2 단계다음중하나를수행합니다. 새객체를추가하기위해 Add( 추가 ) > Service Object( 서비스객체 ) 를선택합니다. 이름과설명 ( 필요한경우 ) 을입력합니다. 기존객체를선택하고 Edit( 수정 ) 를클릭합니다. 3-3

34 객체컨피그레이션 3 장액세스제어용객체 3 단계서비스유형을선택하고필요하다면세부사항을입력합니다. Protocol( 프로토콜 ) - 0~255 범위의번호또는 ip, tcp, udp, gre 등과같이잘알려진이름입니다. ICMP, ICMP6 - 어떤 ICMP/ICMP 버전 6 메시지와도일치하도록메시지유형및코드필드를비워둘수있습니다. 원한다면이름또는번호 (0-255) 로 ICMP 유형을지정하여해당메시지유형으로객체를제한할수있습니다. 유형을지정할경우그유형 (1-255) 에대한 ICMP 코드를지정할수있습니다. 코드를지정하지않을경우모든코드가사용됩니다. TCP, UDP - 원한다면출발지, 대상또는둘다의포트를지정할수있습니다. 이름또는번호로포트를지정할수있습니다. 다음연산자를포함할수있습니다. < 보다작음. 예 : <80 > 보다큼. 예 : >80!= 같지않음. 예 :!=80 -( 하이픈 ) 경계를포함하는값의범위. 예 : 단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 서비스그룹컨피그레이션 서비스객체그룹은 TCP 또는 UDP 의출발지 / 대상포트를비롯하여여러프로토콜의혼합을포함할수있습니다. 시작하기전에 여기서설명하는일반서비스객체그룹을사용하여모든서비스를모델링할수있습니다. 그러나 ASA 8.3(1) 이전에제공되었던서비스그룹객체유형도여전히컨피그레이션가능합니다. 이러한레거시객체로는 TCP/UDP/TCP-UDP 포트그룹, 프로토콜그룹, ICMP 그룹이있습니다. 이그룹의내용은일반서비스객체그룹의관련컨피그레이션과동일합니다. 단, ICMP 그룹은 ICMP6 또는 ICMP 코드를지원하지않습니다. 이레거시객체를계속사용하는방법에대한자세한지침은 object-service 명령에대한설명을참조하십시오 (Cisco.com 에서명령참조에있음 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Service Objects/Groups ( 서비스객체 / 그룹 ) 를선택합니다. 2 단계다음중하나를수행합니다. 새객체를추가하기위해 Add( 추가 ) > Service Group( 서비스그룹 ) 을선택합니다. 이름과설명 ( 필요한경우 ) 을입력합니다. 기존객체를선택하고 Edit( 수정 ) 를클릭합니다. 3 단계다음방법의조합을통해그룹에서비스객체를추가합니다. Existing Service Objects/Groups 이미정의된서비스객체또는그룹을선택하고 Add ( 추가 ) 를클릭하여그룹에포함시킵니다. Create New Service Object Member 새서비스객체에대한기준을입력하고 Add( 추가 ) 를클릭합니다. 객체에이름을지정할경우, 변경사항을적용하면새객체가생성되어그룹에추가됩니다. 그렇지않고이름이지정되지않은객체는이그룹의멤버일뿐입니다. TCP-UDP 객체에이름을지정할수없습니다. 이객체는그룹의멤버일뿐입니다. 3-4

35 3 장액세스제어용객체 객체컨피그레이션 4단계모든멤버객체를추가한다음 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 이제규칙을만들때이서비스객체그룹을사용할수있습니다. 객체그룹이수정되면객체그룹을사용하는모든규칙에변경사항이자동으로상속됩니다. 로컬사용자그룹컨피그레이션 아이덴티티방화벽을지원하는기능에서사용할로컬사용자그룹을만들수있습니다. 확장 ACL 에이를포함하는방식이며, 그러면확장 ACL은액세스규칙등에사용할수있습니다. ASA는 Active Directory 도메인컨트롤러에정의된사용자그룹에대한 LDAP 쿼리를 Active Directory 서버로전송합니다. ASA에서는 ID 기반규칙을위해이그룹을가져옵니다. 그러나 ASA에전역적으로정의되지않고현지화된보안정책이적용되는로컬사용자그룹이필요한현지화된네트워크리소스가있을수있습니다. 로컬사용자그룹은 Active Directory에서가져온중첩된그룹및사용자그룹을포함할수있습니다. ASA는로컬및 Active Directory 그룹을통합합니다. 사용자는로컬사용자그룹및 Active Directory에서가져온사용자그룹에속할수있습니다. ACL에서직접사용자이름과사용자그룹이름을사용할수있으므로, 다음과같은경우에만로컬사용자그룹을구성해야합니다. LOCAL 데이터베이스에정의된사용자의그룹을만들려는경우 AD 서버에정의된단일사용자그룹에속하지않은사용자또는사용자그룹으로하나의그룹을만들려는경우아이덴티티방화벽을활성화하는방법에대한자세한내용은 5장, " 아이덴티티방화벽." 을참조하십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Local User Groups( 로컬사용자그룹 ) 를선택합니다. 2 단계다음중하나를수행합니다. 새객체를추가하려면 Add( 추가 ) 를선택합니다. 이름과설명 ( 필요한경우 ) 을입력합니다. 기존객체를선택하고 Edit( 수정 ) 를클릭합니다. 3 단계다음방법중하나를사용하여객체에사용자또는그룹을추가합니다. 기존사용자또는그룹선택 사용자또는그룹이속한도메인을선택한다음목록에서해당사용자또는그룹이름을선택하고 Add( 추가 ) 를클릭합니다. 목록이길경우 Find 상자를사용하여사용자를찾을수있습니다. 이이름은선택된도메인의서버에서가져온것입니다. 사용자이름직접입력 맨아래편집란에사용자또는그룹이름을입력한다음 Add( 추가 ) 를클릭하면됩니다. 이방법을사용하면선택된도메인이름이무시되며지정하지않은경우에는기본도메인이사용됩니다. 사용자는 domain_name\username; 형식이고, 그룹은이중 \\ 를사용하는 domain_name\\group_name 형식입니다. 4 단계모든멤버객체를추가한다음 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 이제규칙을만들때이사용자객체그룹을사용할수있습니다. 객체그룹이수정되면객체그룹을사용하는모든규칙에변경사항이자동으로상속됩니다. 3-5

36 객체컨피그레이션 3 장액세스제어용객체 보안그룹객체그룹컨피그레이션 확장된 ACL에그룹을포함시켜 Cisco TrustSec을지원하는기능에서사용할보안그룹객체그룹을만들수있습니다. 그러면액세스규칙등에서사용할수있습니다. Cisco TrustSec과통합된경우 ASA는 ISE에서보안그룹정보를다운로드합니다. ISE는 Cisco TrustSec 태그-사용자 ID 매핑및 Cisco 태그-사용자리소스매핑을수행하면서 ID 저장소의역할을합니다. 중앙의 ISE에서보안그룹 ACL을프로비저닝하고관리합니다. 그러나 ASA에전역적으로정의되지않고현지화된보안정책이적용되는로컬보안그룹이필요한현지화된네트워크리소스가있을수있습니다. 로컬보안그룹은 ISE에서다운로드한중첩된보안그룹을포함할수있습니다. ASA는로컬보안그룹과중앙보안그룹을통합합니다. ASA에서로컬보안그룹을만들려면로컬보안객체그룹을생성합니다. 로컬보안객체그룹은하나이상의중첩된보안객체그룹이나보안 ID 또는보안그룹이름을포함할수있습니다. 또한 ASA에없는보안 ID 또는보안그룹이름을새로만들수도있습니다. ASA에서만든보안객체그룹을사용하여네트워크리소스에대한액세스를제어할수있습니다. 보안객체그룹을액세스그룹또는서비스정책의일부로사용할수있습니다. ASA를 Trustsec와통합하는방법에대한자세한내용은 6장, "ASA 및 Cisco TrustSec." 를참조하십시오. 정보 ASA 에알려지지않은태그또는이름으로그룹을만들경우, 그그룹을사용하는어떤규칙도 ISE 에서해당태그또는이름을확인할때까지는비활성상태가됩니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Security Group Object Groups( 보안그룹객체그룹 ) 를선택합니다. 2 단계다음중하나를수행합니다. 새객체를추가하려면 Add( 추가 ) 를선택합니다. 이름과설명 ( 필요한경우 ) 을입력합니다. 기존객체를선택하고 Edit( 수정 ) 를클릭합니다. 3 단계다음방법중하나를사용하여객체에보안그룹을추가합니다. 기존로컬보안그룹객체그룹선택 이미정의된객체의목록에서선택하고 Add( 추가 ) 를클릭합니다. 목록이길경우 Find 상자를사용하여객체를찾을수있습니다. ISE 에서검색한보안그룹선택 기존그룹의목록에서그룹을선택하고 Add( 추가 ) 를클릭합니다. 보안태그또는이름직접추가 맨아래의편집란에태그번호또는보안그룹이름을입력하고 Add 를클릭하면됩니다. 태그는 1 에서 사이의번호이며 ISE 에서 IEEE 802.1X 인증, 웹인증또는 MAB(MAC 인증우회 ) 를통해디바이스에할당됩니다. 보안그룹이름은 ISE 에서생성되며, 보안그룹의이름을제공합니다. 보안그룹테이블은 SGT 를보안그룹이름에매핑합니다. 유효한태그및이름에대해서는 ISE 컨피그레이션을참조합니다. 4 단계모든멤버객체를추가한다음 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 이제규칙을만들때이보안그룹객체그룹을사용할수있습니다. 객체그룹이수정되면객체그룹을사용하는모든규칙에변경사항이자동으로상속됩니다. 3-6

37 3 장액세스제어용객체 객체모니터링 시간범위컨피그레이션 시간범위객체는특정시간을정의하며시작시간, 종료시간, 선택사항인반복항목으로구성됩니다. ACL 규칙에서이객체를사용하여특정기능또는자산에대한시간기반액세스를제공합니다. 예를들어, 업무시간에만특정서버에대한액세스를허용하는액세스규칙을만들수있습니다. 참고 시간범위객체에여러기간항목을포함할수있습니다. 시간범위에절대값과기간값이모두지정된경우, 절대시작시간에도달해야기간값의평가가이루어지며절대종료시간에도달하면더이상평가되지않습니다. 시간범위생성은장치에대한액세스를제한하지않습니다. 이절차에서는시간범위만정의합니다. 그런다음액세스제어규칙에서이객체를사용해야합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Time Ranges( 시간범위 ) 를선택합니다. 2 단계다음중하나를수행합니다. 새시간범위를추가하기위해 Add( 추가 ) 를선택합니다. 이름과설명 ( 필요한경우 ) 을입력합니다. 기존시간범위를선택하고 Edit( 수정 ) 를클릭합니다. 3단계전체시작시간과종료시간을선택합니다. 기본값은지금시작하고영원히끝나지않는것이지만, 특정날짜와시간을설정할수있습니다. 시간범위는사용자가입력하는시간을포함합니다. 4 단계 ( 선택사항 ) 전체활성시간내에서반복기간을구성합니다. 이를테면시간범위가활성상태가되는요일또는반복되는주간격입니다. a. Add( 추가 ) 를클릭하거나기존기간을선택하고 Edit( 수정 ) 를클릭합니다. b. 다음중하나를수행합니다. Specify days of the week and times on which this recurring range will be active 를클릭하고목록에서일과시간을선택합니다. Specify a weekly interval when this recurring range will be active 를클릭하고목록에서일과시간을선택합니다. c. OK( 확인 ) 를클릭합니다. 5 단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 객체모니터링 네트워크, 서비스, 보안그룹객체는개별객체의사용을분석할수있습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) 폴더의해당페이지에서 Where Used( 사용되는위치 ) 버튼을클릭합니다. 네트워크객체의경우 Not Used( 사용하지않음 ) 버튼을클릭하여어떤규칙또는다른객체에서사용되지않는객체를찾을수도있습니다. 이화면에서는이미사용객체를삭제할수있는바로가기를제공합니다. 3-7

38 객체관련이력 3 장액세스제어용객체 객체관련이력 기능이름 플랫폼릴리스 설명 객체그룹 7.0(1) 객체그룹으로간단하게 ACL을만들고유지관리할수있습니다. 정규식및정책맵 7.2(1) 검사정책맵에서사용할수있도록정규식과정책맵이추가되었습니다. 추가된명령 : class-map type regex, regex, match regex 오브젝트 8.3(1) 객체지원을도입했습니다. 아이덴티티방화벽을위한사용자객체그룹 8.4(2) 아이덴티티방화벽을위한사용자객체그룹을도입했습 니다. Cisco TrustSec를위한보안그룹객체그룹 8.4(2) Cisco TrustSec를위한보안그룹객체그룹을도입했습 니다. IPv4/IPv6 혼합네트워크객체그룹 9.0(1) 이전에는네트워크객체그룹이 IPv4 주소만또는 IPv6 주소만포함할수있었습니다. 이제는네트워크객체그 룹에서 IPv4 주소와 IPv6 주소의혼합을지원합니다. 참고 NAT 에는혼합객체그룹을사용할수없습니다. 확장 ACL 및 ICMP 코드를기준으로 ICMP 트래픽을필터링하기위한객체개선사항 9.0(1) 이제 ICMP 코드에따라 ICMP 트래픽을허용하거나거부할수있습니다. 다음화면을도입하거나수정했습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Service Objects/Groups( 서비스객체 / 그룹 ) Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Access Rule( 액세스규칙 ) 3-8

39 4 장 액세스제어목록 ACL( 액세스제어목록 ) 은다양한기능에서사용합니다. 인터페이스또는글로벌범위에액세스규칙으로적용되는 ACL은어플라이언스를지나는트래픽을허용하거나거부합니다. 다른기능에서는해당기능이적용될트래픽을선택하면서제어서비스보다는일치서비스를수행합니다. 다음섹션에서는 ACL의기초와 ACL을구성하고모니터링하는방법에대해설명합니다. 글로벌범위또는인터페이스에적용되는액세스규칙인 ACL은방화벽컨피그레이션가이드에자세히설명되어있습니다. ACL 소개, 4-1 페이지 ACL 지침, 4-5 페이지 ACL 컨피그레이션, 4-6 페이지 ACL 모니터링, 4-13 페이지 ACL 이력, 4-14 페이지 ACL 소개 ACL 은 ACL 유형에따라소스및수신 IP 주소, IP 프로토콜, 포트, 이더타입, 기타매개변수등하나이상의특성을기준으로삼아트래픽흐름을식별합니다. ACL 은다양한기능에서사용됩니다. ACL 은하나이상의 ACE( 액세스제어항목 ) 로구성됩니다. ACL 유형 ASA 에서는다음유형의 ACL 을사용합니다. 확장 ACL - 주로사용하게될유형이확장 ACL 입니다. 이 ACL 은해당디바이스를거치는트래픽을허용하거나거부하는액세스규칙에사용되고서비스정책, AAA 정책, WCCP, 봇넷트래픽필터, VPN 그룹, DAP 정책과같은여러기능에서트래픽을일치하는데사용됩니다. ASDM 에서는이러한기능중대부분은고유한규칙페이지를가지고있으며, ACLManager 에서정의하는확장 ACL 을사용할수없습니다. 하지만 ACL Manager(ACL 관리자 ) 에는그러한페이지에서만들어진 ACL 이표시됩니다. 확장 ACL 컨피그레이션, 4-6 페이지를참조하십시오. 이더타입 ACL - 이더타입 ACL 은투명방화벽모드에서비 IP Layer 2 트래픽에적용됩니다. Layer 2 트래픽의이더타입값에따라트래픽을허용하거나삭제하는데이규칙을사용할수있습니다. 이더타입 ACL 을사용하면해당디바이스를지나는비 IP 트래픽의흐름을제어할수있습니다. 방화벽컨피그레이션가이드의액세스규칙장을참조하십시오. 4-1

40 ACL 소개 4 장액세스제어목록 웹타입 ACL - 웹타입 ACL 은클라이언트리스 SSL VPN 트래픽을필터링하는데사용됩니다. 이 ACL 은 URL 또는대상주소에따라액세스를거부할수있습니다. 웹타입 ACL 컨피그레이션, 4-11 페이지를참조하십시오. 표준 ACL - 표준 ACL은대상주소만으로트래픽을식별합니다. 경로맵, VPN 필터와같은몇몇기능에서만이를사용합니다. VPN 필터는확장액세스목록도지원하므로, 표준 ACL 사용은경로맵에한정됩니다. 표준 ACL 컨피그레이션, 4-10페이지를참조하십시오. 다음표는대표적인 ACL의용도및사용되는유형을정리한것입니다. 표 4-1 ACL 유형및대표적인용도 ACL 용도 ACL 유형설명 IP 트래픽의네트워크액세스제어 ( 라우팅및투명모드 ) 확장된 ASA 에서는확장 ACL 에서명시적으로허용하지않는한어떤트래픽도하위보안인터페이스에서상위보안인터페이스로이동할수없습니다. 참고 관리액세스를위해 ASA 인터페이스에액세스 하는경우에도 ACL에서호스트 IP 주소를허용할필요가없습니다. 일반적인작업컨피그레이션가이드에따라관리액세스를구성하기만하면됩니다. AAA 규칙을위한트래픽식별 확장된 AAA 규칙에서는트래픽식별에 ACL을사용합니다. 특정사용자를위해 IP 트래픽에대한네트워크액세스제어보완 VPN 액세스및필터링 Modular Policy Framework 를위한트래픽클래스맵에서트래픽식별 투명방화벽모드에서비 IP 트래픽을위한네트워크액세스제어경로필터링및재배포식별 확장, 사용자별 AAA 서버에서다운로드 확장된표준 확장된 이더타입 표준확장된 사용자에게적용할동적 ACL 을다운로드하도록 RADIUS 서버를구성할수있습니다. 또는서버가이미 ASA 에서구성된 ACL 의이름을전송할수있습니다. 원격액세스및사이트대사이트 VPN 을위한그룹정책은필터링에표준또는확장 ACL 을사용합니다. 원격액세스 VPN 은클라이언트방화벽컨피그레이션및동적액세스정책에도확장 ACL 을사용합니다. Modular Policy Framework 를지원하는기능에사용되는클래스맵에서트래픽을식별하는데 ACL 을사용할수있습니다. Modular Policy Framework 를지원하는기능으로는 TCP 및일반연결설정, 검사등이있습니다. 이더타입에따라트래픽을제어하는 ACL 을구성할수있습니다. 다양한라우팅프로토콜에서는 ( 경로맵을통한 ) IPv4 주소의경로필터링및재배포에표준 ACL 을사용하고 IPv6 에는확장 ACL 을사용합니다. 클라이언트리스 SSL VPN의필터링 웹타입 웹타입 ACL에서 URL 및대상을필터링하도록구성할 수있습니다. 4-2

41 4 장액세스제어목록 ACL 소개 ACL 관리자 ACL Manager(ACL 관리자 ) 는 2 가지형태로나타납니다. 예를들어, 기본창에서 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Advanced( 고급 ) > ACL Manager(ACL 관리자 ) 를선택합니다. 이경우에는 ACL Manager(ACL 관리자 ) 에확장 ACL 만표시됩니다. 여기에는 Access Rules( 액세스규칙 ), Service Policy Rules( 서비스정책규칙 ), AAA Rules(AAA 규칙 ) 페이지에서만드는규칙에의해생성된 ACL 이포함됩니다. ACL Manager(ACL 관리자 ) 에서수정한사항이이규칙에불리하게작용하지않도록주의합니다. 여기서변경한내용은다른페이지에도반영됩니다. ACL이필요한정책에서필드옆의 Manage( 관리 ) 버튼을클릭합니다. 이경우에는 ACL Manager(ACL 관리자 ) 에표준 ACL 탭과확장 ACL 탭이각각있을수있습니다. 단정책에서두유형각각을허용해야합니다. 그렇지않으면보기는확장 ACL 또는웹타입 ACL만표시하도록필터링됩니다. ACL Manager(ACL 관리자 ) 에는이더타입 ACL이표시되지않습니다. 표준 ACL 및웹타입 ACL을위한별도의페이지가있으므로기본창에서구성할수있습니다. 이페이지는기능상으로는이름없는 ACL Manager(ACL 관리자 ) 와같습니다. 표준 ACL Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Advanced( 고급 ) > Standard ACL( 표준 ACL). 웹타입 ACL Configuration( 컨피그레이션 ) > Remote Access VPN( 원격액세스 VPN) > Clientless SSL VPN Access( 클라이언트리스 SSL VPN 액세스 ) > Advanced( 고급 ) > Web ACLs( 웹 ACL). ACL 이름 각 ACL에는이름또는숫자로된 ID( 예 : outside_in, OUTSIDE_IN, 101) 가있습니다. 이름은 241자이하여야합니다. 모두대문자를사용하면실행중인컨피그레이션을볼때더쉽게이름을찾을수있습니다. ACL의목적을쉽게이해할수있는명명규칙을개발합니다. 예를들어, ASDM에서는 interface-name_purpose_direction 규칙을사용합니다. 이를테면인바운드방향에서 " 외부 " 인터페이스에적용되는 ACL의이름은 "outside_access_in" 입니다. 예전에는 ACL ID가숫자였습니다. 표준 ACL은 1~99 또는 1,300~1,999 범위에있었고확장 ACL 은 100~199 또는 2,000~2,699 범위에있었습니다. ASA에서는이러한범위를강제적으로적용하지않지만, 숫자를사용하려는경우 IOS 소프트웨어를실행하는라우터에서일관성을유지하기위해이러한규칙을준수할수있습니다. 액세스제어항목순서 ACL은하나이상의 ACE로구성됩니다. 주어진라인에명시적으로 ACE를삽입하지않는한, 주어진 ACL 이름에대해입력하는각 ACE는 ACL의끝에추가됩니다. ACE의순서는중요합니다. ASA에서패킷을전달할지삭제할지결정할때 ASA는항목이나열된순서에따라각 ACE에대해패킷을테스트합니다. 일치가발견되면 ACE가더이상점검되지않습니다. 따라서더일반적인규칙다음에더구체적인규칙을배치할경우이구체적인규칙이전혀적용되지않을수있습니다. 예를들어, 네트워크 /24를허용하되그서브넷에서호스트 의트래픽을삭제하려는경우 를거부하는 ACE가 /24를허용하는 ACE의앞에와야합니다 /24를허용하는 ACE가맨앞에올경우 가허용되며, 거부 ACE는일치되지않습니다. 필요에따라위로및아래로단추를사용하여규칙의위치를조정합니다. 4-3

42 ACL 소개 4 장액세스제어목록 허용 / 거부와일치 / 일치하지않음비교 액세스제어항목은규칙에일치하는트래픽을 " 허용 " 하거나 " 거부 " 합니다. 트래픽이 ASA에서허용될지또는삭제될지결정하는기능 ( 예 : 글로벌및인터페이스액세스규칙 ) 에 ACL을적용할경우 " 허용 " 과 " 거부 " 는본래의의미가있습니다. 서비스정책규칙과같은다른기능에서는 " 허용 " 과 " 거부 " 가사실상 " 일치 " 또는 " 일치하지않음 " 을의미합니다. 그러한경우 ACL은해당기능의서비스 ( 예 : 애플리케이션검사, 서비스모듈로리디렉션 ) 를받을트래픽을선택하게됩니다. " 거부된 " 트래픽은 ACL에일치하지않아서비스를받지못할트래픽일뿐입니다. ASDM에서는서비스정책규칙에서일치 / 일치하지않음을, AAA 규칙은인증 / 인증하지않음을사용하지만, CLI에서는항상허용 / 거부입니다. 액세스제어암시적거부 모든 ACL 은그끝에암시적거부문이있습니다. 즉인터페이스에적용되는것과같은트래픽제어 ACL 에서는어떤트래픽유형을명시적으로허용하지않으면해당트래픽이삭제됩니다. 예를들어, 모든사용자가하나이상의특정주소를제외하고 ASA 를통해네트워크에액세스하는것을허용하려는경우그특정주소를거부하고나머지모든주소를허용해야합니다. 어떤서비스에대한트래픽을선택하는데쓰이는 ACL에서는그트래픽을명시적으로 " 허용 " 해야합니다. " 허용 " 되지않은모든트래픽은해당서비스에일치하지않습니다. " 거부 " 된트래픽은그서비스를우회합니다. 이더타입 ACL의경우 ACL 끝의암시적거부는 IP 또는 ARP에영향을미치지않습니다. 예를들어이더타입 8037을허용하는경우 ACL 끝의암시적거부는전에확장 ACL로허용한 ( 또는높은보안인터페이스에서낮은보안인터페이스로암시적으로허용한 ) IP 트래픽을차단하지않습니다. 그러나어떤이더타입 ACE로모든트래픽을명시적으로거부할경우, IP 및 ARP 트래픽이거부됩니다. 자동협상과같은물리적프로토콜트래픽만계속허용됩니다. NAT 사용시확장 ACL 에쓰이는 IP 주소 NAT 또는 PAT를사용할때주소또는포트를변환하는데, 주로내부주소와외부주소를매핑합니다. 변환된주소또는포트에적용되는확장 ACL을만들어야할경우실제 ( 변환되지않은 ) 주소나포트또는매핑된것을사용할지결정해야합니다. 요구사항은기능에따라달라집니다. 실제주소와포트를사용할경우 NAT 컨피그레이션이바뀌더라도 ACL을변경할필요없습니다. 실제 IP 주소를사용하는기능 다음명령과기능에서는 ACL 에실제 IP 주소를사용합니다. 인터페이스에나타나는주소가매핑된주소인경우에도그렇습니다. 액세스규칙 (access-group 명령에서참조하는확장 ACL) 서비스정책규칙 (Modular Policy Framework 의 match access-list 명령 ) 봇넷트래픽필터의트래픽분류 (dynamic-filter enable classify-list 명령 ) AAA 규칙 (aaa... match 명령 ) WCCP(wccp redirect-list group-list 명령 ) 예를들어내부서버 가외부에서공개적으로라우팅가능한 IP 주소 를갖도록 NAT 를구성할경우, 외부트래픽이내부서버에액세스하는것을허용하는액세스규칙은서버의매핑된주소 ( ) 가아니라실제 IP 주소 ( ) 를참조해야합니다. 4-4

43 4 장액세스제어목록 ACL 지침 매핑된 IP 주소를사용하는기능다음기능에서 ACL을사용하는데, 이 ACL에서는인터페이스에나타나는매핑된값을사용합니다. IPsec ACL capture 명령 ACL 사용자별 ACL 라우팅프로토콜 ACL 다른모든기능의 ACL 시간기준 ACE 특정기간에만규칙을활성화하기위해확장 ACE 및웹타입 ACE 에시간범위객체를적용할수있습니다. 이러한유형의규칙을통해하루중특정시간에만허용되고그밖의시간에는허용되지않는활동을구별할수있습니다. 예를들어, 근무시간에추가적인제한을적용하되근무시간이후또는점심시간에는해제할수있습니다. 그와반대로근무시간이아닐때사실상네트워크를종료할수도있습니다. 시간범위객체생성에대한자세한내용은시간범위컨피그레이션, 3-7 페이지를참조하십시오. 참고 지정된종료시간이지나고약 80 초 ~100 초정도사용자가지연을경험한후 ACL 이비활성화될수도있습니다. 예를들어, 지정된종료시간이 3:50 이라면이종료시간이범위에포함되므로 3:51:00~3:51:59 의어느시점에서명령이실행됩니다. 명령이실행되면 ASA 에서현재실행중인모든작업이종료된다음명령에따라 ACL 이비활성화됩니다. ACL 지침 방화벽모드 확장 ACL 과표준 ACL 은라우팅및투명방화벽모드에서지원됩니다. 웹타입 ACL 은라우팅모드에서만지원됩니다. 이더타입 ACL 은투명모드에서만지원됩니다. 장애조치및클러스터링 컨피그레이션세션은장애조치또는클러스터링단위간에동기화되지않습니다. 세션에서변경을적용하면모든장애조치및클러스터단위에적용되는것이일반적입니다. IPv6 확장 ACL 과웹타입 ACL 에서는 IPv4 주소와 IPv6 주소의혼합이허용됩니다. 표준 ACL 에서는 IPv6 주소가허용되지않습니다. 이더타입 ACL 에는 IP 주소가포함되지않습니다. 추가지침 네트워크마스크를지정할때의방식은 Cisco IOS 소프트웨어 access-list 명령과다릅니다. ASA는네트워크마스크 ( 예 : 클래스 C 마스크는 ) 를사용합니다. Cisco IOS 마스크는와일드카드비트 ( 예 : ) 를사용합니다. 4-5

44 ACL 컨피그레이션 4 장액세스제어목록 일반적으로 ACL 또는객체그룹에없는객체나객체그룹을참조할수없고, 현재참조되고있는것을삭제할수도없습니다. 또한 access-group 명령에없는 ACL 을참조할수없습니다 ( 액세스규칙을적용하기위해 ). 그러나생성하기전에객체또는 ACL 을 " 선행참조 " 할수있도록이기본동작을변경하는것은가능합니다. 객체또는 ACL 이생성될때까지이를참조하는규칙이나액세스그룹은무시됩니다. 선행참조를활성화하기위해서는액세스규칙고급설정의옵션을선택합니다. Configuration( 컨피그레이션 ) > Access Rules( 액세스규칙 ) 를선택하고 Advanced( 고급 ) 버튼을클릭합니다. 소스 / 대상주소또는소스 / 대상서비스에하나이상의항목을입력한경우, ASDM 에서는 DM_INLINE 접두사와함께이에대한개체그룹을자동으로생성합니다. 이러한개체는규칙테이블뷰의구성요소부분에자동으로확장되지만, Tools( 툴 ) > Preferences( 환경설정 ) 에서 Auto-expand network and service objects with specified prefix( 지정된접두사와함께네트워크및서비스개체자동확장 ) 규칙테이블환경설정을선택취소한경우해당개체이름이표시되지않습니다. 아이덴티티방화벽, FQDN 및 Cisco TrustSec ACL 을지원하지않는 ( 확장 ACL 전용 ) 기능 - 다음기능에서는 ACL 이사용되지만아이덴티티방화벽 ( 사용자또는그룹이름지정 ), FQDN( 정규화된도메인이름 ) 또는 Cisco TrustSec 값을갖는 ACL 은허용되지않습니다. route-map 명령 VPN crypto map 명령 VPN group-policy 명령 (vpn-filter 제외 ) WCCP DAP ACL 컨피그레이션 다음섹션에서는일반 ACL 의다양한유형을구성하는방법에대해설명합니다. 이더타입을비롯하여액세스규칙, 서비스정책규칙, AAA 규칙으로사용되는 ACL 및 ASDM 이규칙기준정책을위한특별페이지를제공하는기타용도의 ACL 에대한설명은나와있지않습니다. 이기타용도를위해규칙을구성하는방법에대해서는방화벽컨피그레이션가이드를참조하십시오. 확장 ACL 컨피그레이션, 4-6 페이지 표준 ACL 컨피그레이션, 4-10 페이지 웹타입 ACL 컨피그레이션, 4-11 페이지 확장 ACL 컨피그레이션 확장 ACL은명명된 ACE 컨테이너로나타납니다. 새 ACL을만들려면먼저컨테이너를생성해야합니다. 그러면 ACE를추가하고, 기존 ACE를수정하며, ACL Manager(ACL 관리자 ) 의테이블을사용하여 ACE를재정렬할수있습니다. 확장 ACL에서는 IPv4 주소와 IPv6 주소를혼합하여사용할수있습니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Advanced( 고급 ) > ACL Manager(ACL 관리자 ) 를선택합니다. 2 단계새 ACL 을만드는경우 Add( 추가 ) > Add ACL(ACL 추가 ) 을선택하고이름을입력하고 OK( 확인 ) 를클릭합니다. 4-6

45 4 장액세스제어목록 ACL 컨피그레이션 ACL 컨테이너가테이블에추가됩니다. 나중에이를선택하고 Edit( 수정 ) 를클릭하여이름을바꿀수있습니다. 3 단계다음중하나를수행합니다. ACL 의끝에 ACE 를추가하려면 ACL 이름또는그안의 ACE 를선택하고 Add( 추가 ) > Add ACE(ACE 추가 ) 를선택합니다. 특정위치에 ACE 를삽입하려면기존 ACE 를선택하고 Add( 추가 )> Insert( 삽입 ) 를선택하여그규칙위에 ACE 를추가하거나 Add( 추가 ) > Insert After( 아래삽입 ) 를선택합니다. 규칙을수정하려면선택하고 Edit( 수정 ) 를클릭합니다. 4 단계 ACE 속성을채웁니다. 기본선택옵션은다음과같습니다. Action: Permit/Deny 설명된트래픽을허용하는지 ( 선택 ) 또는거부하는지 ( 선택취소, 매칭하지않음 ) 여부. Source/Destination criteria 소스 ( 시작주소 ) 및목적지 ( 트래픽흐름의대상주소 ) 정의. 일반적으로호스트나서브넷의 IPv4 또는 IPv6 주소를구성하는데, 이는네트워크또는네트워크객체그룹으로나타낼수있습니다. 소스에대해사용자또는사용자그룹이름을지정할수도있습니다. 또한전체 IP 트래픽보다더한정된범위에서규칙을적용하려는경우, 서비스필드를사용하여특정트래픽유형을지정할수있습니다. Cisco TrustSec을구현할경우보안그룹을사용하여소스와대상을정의할수있습니다. 사용가능한모든옵션에대한자세한내용은확장 ACE 속성, 4-7페이지를참조하십시오. ACE 정의를완료하면 OK( 확인 ) 를클릭하여테이블에규칙을추가합니다. 5 단계 Apply( 적용 ) 를클릭합니다. 확장 ACE 속성 확장 ACL 의 ACE 를추가하거나수정할때다음속성을구성할수있습니다. 많은필드에서수정상자의오른쪽에있는 "..." 버튼을클릭하여필드에사용가능한객체를선택, 생성또는수정할수있습니다. Action: Permit/Deny 설명된트래픽을허용하는지 ( 선택 ) 또는거부하는지 ( 선택취소, 매칭하지않음 ) 여부. Source Criteria 규칙에매칭할트래픽을보낸발신자의특성. 소스는필수컨피그레이션항목이지만, 나머지속성은선택사항입니다. Source 소스의 IPv4 또는 IPv6 주소. 기본값은 any 이며, 이는모든 IPv4 또는 IPv6 주소에일치합니다. any4 를사용하여 IPv4 만대상으로지정하거나 any6 를사용하여 IPv6 만대상으로지정할수있습니다. 단일호스트주소 ( 예 : 또는 2001:DB8::0DB8:800:200C:417A), 서브넷 ( /24 또는 / 형식, IPv6 는 2001:DB8:0:CD30::/60 형식 ), 네트워크객체또는네트워크객체그룹의이름, 인터페이스의이름을지정할수있습니다. User ID 방화벽을활성화할경우어떤사용자또는사용자그룹을트래픽소스로지정할수있습니다. 사용자가현재사용중인 IP 주소가규칙에일치하게됩니다. 사용자이름 (DOMAIN\user), 사용자그룹 (DOMAIN\\group, 이중 \ 은그룹이름임을의미 ) 또는사용자객체그룹을지정할수있습니다. 이필드에서는 "..." 을클릭하여 AAA 서버그룹에서이름을선택하는것이직접입력하는것보다훨씬편리합니다. Security Group Cisco TrustSec 을활성화할경우보안그룹이름이나태그 ( ) 또는보안그룹객체를지정할수있습니다. 4-7

46 ACL 컨피그레이션 4 장액세스제어목록 More Options > Source Service TCP 또는 UDP 를목적지서비스로지정할경우, 원한다면 TCP, UDP 또는 TCP-UDP 에대해미리정의된서비스객체를지정하거나사용자고유객체를사용할수도있습니다. 일반적으로사용자는소스서비스가아닌대상서비스만정의합니다. 소스서비스를정의할경우대상서비스프로토콜이소스서비스에일치해야합니다. 예를들어둘다 TCP 이고포트정의가포함되어있거나포함되어있지않을수있습니다. Destination Criteria 매칭할트래픽을받을대상의특성. 대상은필수컨피그레이션항목이지만, 나머지속성은선택사항입니다. Destination 목적지의 IPv4 또는 IPv6 주소. 기본값은 any 이며, 이는모든 IPv4 또는 IPv6 주소에일치합니다. any4 를사용하여 IPv4 만대상으로지정하거나 any6 를사용하여 IPv6 만대상으로지정할수있습니다. 단일호스트주소 ( 예 : 또는 2001:DB8::0DB8:800:200C:417A), 서브넷 ( /24 또는 / 형식, IPv6 는 2001:DB8:0:CD30::/60 형식 ), 네트워크객체또는네트워크객체그룹의이름, 인터페이스의이름을지정할수있습니다. Security Group Cisco TrustSec 을활성화할경우보안그룹이름이나태그 ( ) 또는보안그룹객체를지정할수있습니다. Service 트래픽의프로토콜 ( 예 : IP, TCP, UDP) 과 ( 선택사항으로 ) TCP 및 UDP 포트. 기본값은 IP 이지만, 더세밀하게트래픽대상을지정하기위해더구체적인프로토콜을선택할수도있습니다. 일반적으로몇몇유형의서비스객체를선택합니다. TCP 및 UDP 에대해서는포트 ( 예 : tcp/80, tcp/http, tcp/10-20( 포트범위 ), tcp-udp/80( 포트 80 에서 TCP 또는 UDP 트래픽일치등 )) 를지정할수있습니다. 서비스지정에대한자세한내용은확장 ACE 의서비스사양, 4-9 페이지를참조하십시오. Description ACE 의목적에대한설명이며, 라인당최대 100 자입니다. 여러라인을입력할수있습니다. 각라인은 CLI 에서설명으로추가되며, 이설명이 ACE 의앞에위치합니다. 참고 한플랫폼 ( 예 : Windows) 에서영문자이외의문자로설명을추가한다음다른플랫폼 ( 예 : Linux) 에서해당설명을삭제하려는경우, 원래의문자가제대로인식되지않을수도있기때문에수정하거나삭제하지못할수도있습니다. 이러한제약은다른언어의문자를각기다르게인코딩하는기본플랫폼의종속성때문입니다. Enable Logging; Logging Level; More Options > Logging Interval 로깅옵션은규칙에대해 syslog 메시지가생성되는방식을정의합니다. 다음로깅옵션을구현할수있습니다. Deselect Enable Logging 규칙에대한로깅을비활성화합니다. 이규칙에일치하는트래픽에대해서는어떠한유형의 syslog 메시지도표시되지않습니다. Select Enable Logging with Logging Level = Default 규칙에대한기본로깅을제공합니다. 거부된패킷각각에대해 syslog 메시지 이표시됩니다. 어플라이언스가공격을받은경우이메시지가표시되는빈도가서비스에영향을미칠수있습니다. Select Enable Logging with Non-Default Logging Level 요약된 syslog 메시지, 즉 이아닌 이제공됩니다. 메시지 는처음적중했을때표시되고, 그다음에는 More Options( 추가옵션 ) > Logging Interval( 로깅간격 ) 에구성된간격 ( 기본값은 300 초마다, 1 에서 600 까지지정가능 ) 에따라다시표시되면서해당간격의적중횟수를표시합니다. 권장되는로깅수준은 Informational( 정보 ) 입니다. 거부메시지를요약하면공격의영향을줄일수있으며, 메시지분석이더수월해질수도있습니다. 서비스거부공격을받을경우메시지 이표시될수있습니다. 이는메시지 을위해적중횟수를생성하는데사용된캐시에저장된거부흐름의수가간격의최대값을초과했음을의미합니다. 이시점이되면다음간격이도래할때까지어플라이언스가공격완화를위한통계수집을중지합니다. 4-8

47 4 장액세스제어목록 ACL 컨피그레이션 More Options > Enable Rule 규칙이디바이스에서활성화될지여부. 비활성화된규칙은규칙테이블에지우기선이그려진텍스트로나타납니다. 규칙을비활성화하면삭제하지않고도트래픽에대한적용을중지할수있습니다. 필요할경우나중에다시활성화할수있습니다. More Options > Time Range 규칙이활성화되는요일과시간대를정의하는시간범위객체의이름. 시간범위를지정하지않을경우규칙은항상활성상태입니다. 확장 ACE 의서비스사양 확장 ACE 의대상서비스에대해다음기준을지정할수있습니다. 소스서비스의경우옵션이비슷하지만더제한적입니다. 즉 TCP, UDP 또는 TCP-UDP 기준으로한정됩니다. 객체이름 서비스객체또는서비스객체그룹유형의이름. 이객체는아래에설명된사양중상당수를포함할수있으므로 ACL 간에손쉽게서비스정의를재사용할수있습니다. 사전정의된객체가많이있으므로, 직접사양을입력하거나객체를만들지않고도원하는것을찾을수있습니다. Protocol 범위의번호또는 ip, tcp, udp, gre 등과같이잘알려진이름. TCP, UDP, TCP-UDP ports tcp, udp, tcp-udp 키워드에포트사양을포함할수있습니다. tcp-udp 키워드를사용하면각각지정할필요없이두프로토콜모두에대한포트를정의할수있습니다. 다음방법으로포트를지정할수있습니다. 단일포트 - tcp/80, udp/80, tcp-udp/80 또는잘알려진서비스이름 ( 예 : tcp/www, udp/snmp). 포트범위 - tcp/1-100, udp/1-100, tcp-udp/1-100 은 1 부터 100 까지의포트에일치합니다. 포트와같지않음 - 사양의시작에!= 을추가합니다. 이를테면!=tcp/80 은 TCP 포트 80(HTTP) 을제외한모든 TCP 트래픽에일치합니다. 포트번호보다작음 - < 을추가합니다. 예를들어 <tcp/150 을추가하여 150 아래의모든포트에서 TCP 트래픽에일치합니다. 포트번호보다큼 - > 을추가합니다. 예를들어 >tcp150 을추가하여 150 위의모든포트에서 TCP 트래픽에일치합니다. 참고 DNS, Discard, Echo, Ident, NTP, RPC, SUNRPC, Talk 각각에서 TCP 를위한정의와 UDP 를위한정의가하나씩필요합니다. TACACS+ 는 TCP 의포트 49 에서하나의정의가필요합니다. ICMP, ICMP6 메시지 - 특정메시지 ( 예 : ping echo 요청, 회신메시지 ) 와메시지코드까지대상으로지정할수있습니다. ICMP(IPv4) 및 ICMP6(IPv6) 를다루는사전정의된객체가많이있으므로직접기준을정의하지않아도됩니다. 형식은다음과같습니다. icmp/icmp_message_type[/icmp_message_code] icmp6/icmp6_message_type[/icmp6_message_code] 여기서메시지유형은 1~255 또는잘알려진이름이고, 코드는 0~255 입니다. 선택하는번호가실제유형 / 코드와일치해야합니다. 그렇지않으면 ACE 에대한일치가전혀수행되지않습니다. 4-9

48 ACL 컨피그레이션 4 장액세스제어목록 표준 ACL 컨피그레이션 표준 ACL은명명된 ACE 컨테이너로나타납니다. 새 ACL을만들려면먼저컨테이너를생성해야합니다. 그런다음 ACE를추가하고, 기존 ACE를수정하며, 표준 ACL 테이블을사용하여 ACE를재정렬할수있습니다. ACL Manager(ACL 관리자 ) 에서 ACL을구성하면서이를사용하는정책을구성할때이테이블이탭의형태로나타날수있습니다. 그러한경우절차는이창을표시하는방법을제외하고동일합니다. 표준 ACL은 IPv4 주소만사용하며, 수신주소만정의합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Advanced( 고급 ) > Standard ACL( 표준 ACL) 을선택합니다. 2단계새 ACL을만드는경우 Add( 추가 ) > Add ACL(ACL 추가 ) 을선택하고이름을입력하고 OK( 확인 ) 를클릭합니다. ACL 컨테이너가테이블에추가됩니다. 표준 ACL은이름을변경할수없습니다. 3 단계다음중하나를수행합니다. ACL 의끝에 ACE 를추가하려면 ACL 이름또는그안의 ACE 를선택하고 Add( 추가 ) > Add ACE(ACE 추가 ) 를선택합니다. 특정위치에 ACE 를삽입하려면기존 ACE 를선택하고 Add( 추가 ) > Insert( 삽입 ) 선택하여그규칙위에 ACE 를추가하거나 Add( 추가 )> Insert After( 아래삽입 ) 를선택합니다. 규칙을수정하려면선택하고 Edit( 수정 ) 를클릭합니다. 4 단계 ACE 속성을채웁니다. 옵션은다음과같습니다. Action: Permit/Deny 설명된트래픽을허용하는지 ( 선택 ) 또는거부하는지 ( 선택취소, 매칭하지않음 ) 여부. Address 트래픽흐름의목적지, 즉대상주소의정의. 호스트주소 ( 예 : ), 네트워크 ( /24 또는 / 형식 ) 를지정하거나단순히객체의내용을 Address( 주소 ) 필드에로드하는네트워크객체를선택할수있습니다. Description ACE 의목적에대한설명이며, 라인당최대 100 자입니다. 여러라인을입력할수있습니다. 각라인은 CLI 에서설명으로추가되며, 이설명이 ACE 의앞에위치합니다. 참고 한플랫폼 ( 예 : Windows) 에서영문자이외의문자로설명을추가한다음다른플랫폼 ( 예 : Linux) 에서해당설명을삭제하려는경우, 원래의문자가제대로인식되지않을수도있기때문에수정하거나삭제하지못할수도있습니다. 이러한제약은다른언어의문자를각기다르게인코딩하는기본플랫폼의종속성때문입니다. ACE 정의를완료하면 OK( 확인 ) 를클릭하여테이블에규칙을추가합니다. 5 단계 Apply( 적용 ) 를클릭합니다. 4-10

49 4 장액세스제어목록 ACL 컨피그레이션 웹타입 ACL 컨피그레이션 웹타입 ACL은클라이언트리스 SSLVPN 트래픽의필터링에사용되어특정네트워크, 서브넷, 호스트, 웹서버에대한사용자액세스를제한합니다. 필터를정의하지않을경우모든연결이허용됩니다. 웹타입 ACL은명명된 ACE 컨테이너로나타납니다. 새 ACL을만들려면먼저컨테이너를생성해야합니다. 그런다음 ACE를추가하고, 기존 ACE를수정하며, 웹 ACL 테이블을사용하여 ACE를재정렬할수있습니다. ACL Manager(ACL 관리자 ) 에서웹타입 ACL을구성하면서이를사용하는정책을구성할때이테이블이나타날수있습니다. 그러한경우절차는이창을표시하는방법을제외하고동일합니다. 웹타입 ACL은 URL 사양외에도 IPv4 주소와 IPv6 주소의혼합을포함할수있습니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Remote Access VPN( 원격액세스 VPN) > Clientless SSL VPN Access( 클라이언트리스 SSL VPN 액세스 ) > Advanced( 고급 ) > Web ACLs( 웹 ACL) 을선택합니다. 2단계새 ACL을만드는경우 Add( 추가 ) > Add ACL(ACL 추가 ) 을선택하고이름을입력하고 OK( 확인 ) 를클릭합니다. ACL 컨테이너가테이블에추가됩니다. 나중에이를선택하고 Edit( 수정 ) 를클릭하여이름을바꿀수있습니다. 3 단계다음중하나를수행합니다. ACL 의끝에 ACE 를추가하려면 ACL 이름또는그안의 ACE 를선택하고 Add > Add ACE 를선택합니다. 특정위치에 ACE 를삽입하려면기존 ACE 를선택하고 Add( 추가 ) > Insert( 삽입 ) 를선택하여그규칙위에 ACE 를추가하거나 Add( 추가 ) > Insert After( 뒤에삽입 ) 를선택합니다. 규칙을수정하려면선택하고 Edit( 수정 ) 를클릭합니다. 4 단계 ACE 속성을채웁니다. 기본선택옵션은다음과같습니다. Action: Permit/Deny 설명된트래픽을허용하는지 ( 선택 ) 또는거부하는지 ( 선택취소, 매칭하지않음 ) 여부. Filter 목적지를기준으로한트래픽매칭기준. 프로토콜을선택하고서버이름, 선택사항인경로와파일이름을선택하여 URL을지정할수있습니다. 또는대상의 IPv4 또는 IPv6 주소와 TCP 서비스를지정할수있습니다. 사용가능한모든옵션에대한자세한내용은웹타입 ACE 속성, 4-11페이지를참조하십시오. ACE 정의를완료하면 OK( 확인 ) 를클릭하여테이블에규칙을추가합니다. 5 단계 Apply( 적용 ) 를클릭합니다. 웹타입 ACE 속성 웹타입 ACL의 ACE를추가하거나수정할때다음속성을구성할수있습니다. 많은필드에서수정상자의오른쪽에있는 "..." 버튼을클릭하여필드에사용가능한객체를선택또는생성하거나수정할수있습니다. 특정 ACE에서 URL 또는주소로필터링할수있으나, 둘모두로필터링할수는없습니다. Action: Permit/Deny 설명된트래픽을허용하는지 ( 선택 ) 또는거부하는지 ( 선택취소, 매칭하지않음 ) 여부. 4-11

50 ACL 컨피그레이션 4 장액세스제어목록 Filter on URL 목적지 URL 을기준으로트래픽에매칭합니다. 프로토콜을선택하고서버이름과선택사항인경로와파일이름을입력합니다. 예를들어 을입력하거나모든서버를포괄하려면 을입력합니다. 다음은 URL 지정에관한팁과제한사항입니다. 모든 URL 에매칭하려면 any 를선택합니다. 'Permit url any' 는 protocol://server-ip/path 형식의모든 URL 을허용하며, port-forwarding 과같이이패턴과일치하지않은트래픽은차단합니다. 암시적거부가일어나지않도록필요한포트 (Citrix 의경우포트 1494) 와의연결을허용하는 ACE 가있어야합니다. 스마트터널과 ica 플러그인은 mart-tunnel: // and ica:// 유형에만일치되기때문에 'permit url any' ACL 의영향을받지않습니다. cifs://, citrix://, citrixs://, ftp://, imap4://, nfs://, pop3://, smart-tunnel: // 및 smtp: // 프로토콜을사용할수있습니다. 또한프로토콜에와일드카드를사용할수있습니다. 예를들어, htt* 는 http 및 https 에, 별표 * 는모든프로토콜에일치됩니다. 예를들어, *://*.example.com 은 example.com 네트워크로가는모든유형의 URL 기준트래픽에일치됩니다. smart-tunnel:// URL 을지정할경우서버이름만포함할수있습니다. URL 은경로를포함할수없습니다. 예를들어, smart-tunnel:// 은허용되지만, smart-tunnel:// 은허용되지않습니다. 별표 * 는무엇과도일치되지않거나임의의문자수에일치됩니다. 모든 http URL 에일치되려면 를입력합니다. 물음표? 는임의의한문자에만일치됩니다. 대괄호 [] 는범위연산자로서해당범위에속한모든문자에일치됩니다. 예를들어, 와 모두에매칭하려면 를입력합니다. Filter on Address and Service 목적지주소및서비스를기준으로트래픽에매칭합니다. Address 목적지의 IPv4 또는 IPv6 주소. 모든주소에일치시키려는경우 any 를사용하면모든 IPv4 또는 IPv6 주소에일치되고 any4 를사용하면 IPv4 주소에만, any6 를사용하면 IPv6 주소에만일치됩니다. 단일호스트주소 ( 예 : , 2001:DB8::0DB8:800:200C:417A), 서브넷 ( /24 또는 / 형식, IPv6 의경우 2001:DB8:0:CD30::/60) 을지정할수있습니다. 또는네트워크객체를선택할수있는데, 그러면필드가객체의내용으로채워집니다. Service 단일 TCP 서비스사양. 기본값은포트없는 tcp 입니다. 그러나단일포트 ( 예 : tcp/80, tcp/www) 또는포트범위 ( 예 : tcp/1-100) 를지정할수있습니다. 연산자를추가할수있습니다. 예를들어,!=tcp/80 은포트 80 을제외합니다. <tcp/80 은 80 보다작은모든포트, >tcp/80 은 80 보다큰모든포트입니다. Enable Logging; Logging Level; More Options > Logging Interval 로깅옵션은트래픽을거부하는규칙에대해 syslog 메시지가생성되는방식을정의합니다. 다음로깅옵션을구현할수있습니다. Deselect Enable Logging 규칙에대한로깅을비활성화합니다. 이규칙에의해거부되는트래픽에대해서는어떤유형의 syslog 메시지도표시되지않습니다. Select Enable Logging with Logging Level = Default 규칙에대한기본로깅을제공합니다. 거부된패킷각각에대해 syslog 메시지 이표시됩니다. 어플라이언스가공격을받은경우이메시지가표시되는빈도가서비스에영향을미칠수있습니다. 4-12

51 4 장액세스제어목록 ACL 모니터링 웹타입 ACL 의예 Select Enable Logging with Non-Default Logging Level 요약된 syslog 메시지, 즉 이아닌 이제공됩니다. 메시지 는처음적중했을때표시되고, 그다음에는 More Options( 추가옵션 ) > Logging Interval( 로깅간격 ) 에구성된간격 ( 기본값은 300 초마다, 1 에서 600 까지지정가능 ) 에따라다시표시되면서해당간격의적중횟수를표시합니다. 권장되는로깅수준은 Informational( 정보 ) 입니다. More Options > Time Range 규칙이활성화되는요일과시간대를정의하는시간범위객체의이름. 시간범위를지정하지않을경우규칙은항상활성상태입니다. 다음은웹타입 ACL 을위한 URL 기준규칙의예입니다. 조치 필터 효과 거부 url 모든 Yahoo! 에대한액세스를거부합니다. 거부 url cifs://fileserver/share/directory 지정된위치에있는모든파일에대한액세스를거부합니다. 거부 url 지정된파일에대한액세스를거부합니다. 허용 url 지정된위치에대한액세스를허용합니다. 거부 url 포트 8080을지나는, 임의의위치에대한 HTTPS 액세스를거부합니다. 거부 url 에대한 HTTP 액세스를거부합니다. 허용 url any 임의의 URL에대한액세스를허용합니다. 주로 URL 액세스를거부하는 ACL의다음에사용됩니다. ACL 모니터링 ACL Manager(ACL 관리자 ), Standard ACL( 표준 ACL), Web ACL( 웹 ACL), EtherType ACL( 이더타입 ACL) 테이블은통합적으로 ACL 을표시합니다. 그러나디바이스에서무엇이구성되었는지정확하게보기위해다음명령을사용할수있습니다. 명령을입력하기위해 Tools( 툴 ) > Command Line Interface( 명령행인터페이스 ) 를선택합니다. 명령 show access-list [name] show running-config access-list [name] 목적 ACE의라인번호와적중횟수를포함하여액세스목록을표시합니다. ACL 이름을포함합니다. 그렇지않으면모든액세스목록이표시됩니다. 현재실행중인 access-list 컨피그레이션을표시합니다. ACL 이름을포함합니다. 그렇지않으면모든액세스목록이표시됩니다. 4-13

52 ACL 이력 4 장액세스제어목록 ACL 이력 기능이름 릴리스 설명 확장, 표준, 웹타입 ACL 7.0(1) ACL은네트워크액세스를제어하거나여러기능이실행될트래픽을지정하는데사용됩니다. 확장 ACL은 through-the-box 액세스제어및그밖의몇몇기능에사용됩니다. 표준 ACL은경로맵및 VPN 필터에사용됩니다. 웹타입 ACL은클라이언트리스 SSLVPN 필터링에사용됩니다. 이더타입 ACL은비 IP Layer 2 트래픽을제어합니다. ACL Manager(ACL 관리자 ) 및 ACL 컨피그레이션을위한기타페이지를추가했습니다. 확장 ACL의실제 IP 주소 8.3(1) NAT 또는 PAT를사용할경우, 일부기능의 ACL에서매핑된주소및포트를더이상사용하지않습니다. 이러한기능에는변환되지않은실제주소와포트를사용해야합니다. 실제주소와포트를사용할경우 NAT 컨피그레이션이바뀌더라도 ACL을변경할필요없습니다. 자세한내용은 NAT 사용시확장 ACL에쓰이는 IP 주소, 4-4페이지를참조하십시오. 확장 ACL에서의아이덴티티방화벽지원 8.4(2) 이제소스및대상에대해아이덴티티방화벽사용자와그룹을사용할수있습니다. 액세스규칙, AAA 규칙에또한 VPN 인증을위해아이덴티티방화벽 ACL을사용할수있습니다. 이더타입 ACL 의 IS-IS 트래픽지원 8.4(5), 9.1(2) 투명방화벽모드에서 ASA는이더타입 ACL을사용하여 IS-IS 트래픽을제어할수있습니다. 수정된화면 : Configuration( 컨피그레이션 ) > Device Management( 장치관리 ) > Management Access( 관리액세스 ) > EtherType Rules( 이더타입규칙 ) 확장 ACL에서의 Cisco TrustSec 지원 9.0(1) 소스및대상에대해 Cisco TrustSec 보안그룹을사용 할수있습니다. 액세스규칙과함께아이덴티티방화벽 ACL을사용할수있습니다. 4-14

53 4 장액세스제어목록 ACL 이력 기능이름릴리스설명 IPv4 와 IPv6 를위해통일된확장 ACL 및웹타입 ACL 확장 ACL 및 ICMP 코드를기준으로 ICMP 트래픽을필터링하기위한객체개선사항 ACL 및객체수정을위한컨피그레이션세션액세스규칙에서객체및 ACL의선행참조 9.0(1) 확장 ACL 및웹타입 ACL에서 IPv4 주소와 IPv6 주소를지원합니다. 소스및대상에 IPv4 주소와 IPv6 주소를혼합하여지정할수도있습니다. any 키워드가 IPv4 및 IPv6 트래픽을나타내도록변경되었습니다. IPv4 전용및 IPv6 전용트래픽을나타내도록 any4 및 any6 키워드가추가되었습니다. IPv6 전용 ACL은사용되지않습니다. 기존의 IPv6 ACL은확장 ACL로마이그레이션됩니다. 마이그레이션에대한자세한내용은릴리스정보를참조하십시오. 수정된화면 : Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Access Rules( 액세스규칙 ) Configuration( 컨피그레이션 ) > Remote Access VPN ( 원격액세스 VPN) > Network (Client) Access( 네트워크 ( 클라이언트 ) 액세스 ) > Group Policies( 그룹정책 ) > General( 일반 ) > More Options( 추가옵션 ) 9.0(1) 이제 ICMP 코드에따라 ICMP 트래픽을허용하거나거부할수있습니다. 다음화면을도입하거나수정했습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Service Objects/Groups( 서비스객체 / 그룹 ) Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Access Rule( 액세스규칙 ) 9.3(2) 격리컨피그레이션세션에서 ACL 과객체를수정할수있습니다. 객체와 ACL 을선행참조할수도있습니다. 즉아직존재하지않는객체또는 ACL 을위해규칙과액세스그룹을구성할수있습니다. 4-15

54 ACL 이력 4 장액세스제어목록 4-16

55 5 장 아이덴티티방화벽 이장에서는아이덴티티방화벽을위해 ASA를구성하는방법을설명합니다. 아이덴티티방화벽정보, 5-1페이지 아이덴티티방화벽지침, 5-7페이지 아이덴티티방화벽사전요구사항, 5-9페이지 아이덴티티방화벽컨피그레이션, 5-10페이지 아이덴티티방화벽내역, 5-16페이지 아이덴티티방화벽정보 엔터프라이즈환경에서는사용자가하나이상의서버리소스에액세스해야하는경우가많습니다. 일반적으로방화벽은사용자의 ID를인식하지않으므로 ID에따라보안정책을적용할수없습니다. 사용자별액세스정책을구성하기위해서는사용자인증프록시를구성해야하는데, 이는사용자상호작용 ( 사용자이름 / 비밀번호쿼리 ) 을필요로합니다. ASA의아이덴티티방화벽은사용자의 ID를기반으로더세부적인액세스제어를제공합니다. 소스 IP 주소가아닌사용자이름과사용자그룹이름을기반으로한액세스규칙및보안정책을구성할수있습니다. ASA에서는 IP 주소와 Windows Active Directory 로그인정보의연결을기반으로한보안정책을적용하고, 네트워크 IP 주소대신매핑된사용자이름을기반으로하여이벤트를보고합니다. 아이덴티티방화벽은실제 ID 매핑을담당하는외부 AD(Active Directory) 에이전트와연계하여 Microsoft Active Directory와통합됩니다. ASA에서는특정 IP 주소에대한현재사용자 ID 정보를검색하는소스로 Windows Active Directory를사용하며, Active Directory 사용자를위한투명한인증을허용합니다. ID 기반방화벽서비스는소스 IP 주소대신사용자또는그룹을지정할수있게하여기존액세스제어및보안정책메커니즘을확장합니다. ID 기반보안정책은기존 IP 주소기반규칙의사이에제약없이끼워넣을수있습니다. 아이덴티티방화벽은다음과같은주요이점을제공합니다. 보안정책에서네트워크토폴로지분리 보안정책생성간소화 네트워크리소스에대한사용자활동을손쉽게식별 사용자활동모니터링간소화 5-1

56 아이덴티티방화벽정보 5 장아이덴티티방화벽 아이덴티티방화벽구축을위한아키텍처 아이덴티티방화벽은실제 ID 매핑을담당하는외부 AD(Active Directory) 에이전트와연계하여 Windows Active Directory와통합됩니다. 아이덴티티방화벽은 3가지컨피그레이션요소로이루어졌습니다. ASA Microsoft Active Directory Active Directory가 ASA의아이덴티티방화벽에포함되어있지만 Active Directory 관리자가이를관리합니다. 데이터의신뢰성및정확성은 Active Directory의데이터에좌우됩니다. 지원되는버전으로는 Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 서버등이있습니다. AD 에이전트 AD 에이전트는 Windows 서버에서실행됩니다. 지원되는 Windows 서버로는 Windows 2003, Windows 2008, Windows 2008 R2 등이있습니다. 참고 Windows 2003 R2 는 AD 에이전트서버로지원되지않습니다. 다음그림은아이덴티티방화벽의컨피그레이션요소를보여줍니다. 그다음표에서는이컨피그레이션요소의역할및서로통신하는방법을설명합니다. 5-2

57 5 장아이덴티티방화벽 아이덴티티방화벽정보 그림 5-1 LAN Client 아이덴티티방화벽의컨피그레이션요소 ASA NetBIOS Probe LDAP RADIUS mkg.example.com WMI AD Servers AD Agent ASA 에서 : 관리자가로컬사용자그룹및아이덴티티방화벽정책을구성합니다. 2 ASA <-> AD 서버 : ASA에서 AD 서버에구성된 Active Directory 그룹에대한 LDAP 쿼리를보냅니다. ASA에서로컬및 AD 그룹을통합하고사용자 ID 기반의액세스규칙및 Modular Policy Framework 보안정책을적용합니다. 3 ASA <-> AD 에이전트 : 아이덴티티방화벽컨피그레이션에따라 ASA는 IP-사용자데이터베이스를다운로드하거나사용자의 IP 주소를묻는 AD 에이전트에 RADIUS 요청을보냅니다. ASA에서는웹인증및 VPN 세션을통해습득한새로운매핑된항목을 AD 에이전트에전달합니다. 4 클라이언트 <-> ASA: 클라이언트가 Microsoft Active Directory를통해네트워크에로그인합니다. AD 서버가사용자를인증하고사용자로그인보안로그를생성합니다. 또는클라이언트가컷스루프록시또는 VPN을통해네트워크에로그인할수도있습니다. 5 ASA <-> 클라이언트 : ASA에구성된정책에따라클라이언트에대한액세스를허용하거나거부합니다. 구성된경우 ASA는클라이언트의 NetBIO 를프로브하여비활성사용자와무응답사용자를통과시킵니다. 6 AD 에이전트 <-> AD 서버 : AD 에이전트는사용자 ID 와 IP 주소의매핑항목에대한캐시를유지하며 ASA 에변경사항을알려줍니다. AD 에이전트는 syslog 서버에로그를보냅니다. 5-3

58 아이덴티티방화벽정보 5 장아이덴티티방화벽 아이덴티티방화벽의기능 아이덴티티방화벽은다음과같은주요기능을제공합니다. 유연성 ASA 는 AD 에이전트에새로운 IP 주소각각을쿼리하거나전체사용자 ID 및 IP 주소데이터베이스의로컬사본을유지하는방법으로 AD 에이전트로부터사용자 ID 및 IP 주소매핑을검색할수있습니다. 사용자 ID 정책의대상으로호스트그룹, 서브넷또는 IP 주소를지원합니다. 사용자 ID 정책의소스및대상으로 FQDN( 정규화된도메인이름 ) 을지원합니다. 5 튜플정책의조합과함께 ID 기반정책을지원합니다. ID 기반기능은기존 5 튜플솔루션과연계하면서작동합니다. IPS 및애플리케이션검사정책의사용을지원합니다. 원격액세스 VPN, AnyConnect VPN, L2TP VPN, 컷스루프록시에서사용자 ID 정보를검색합니다. 검색된모든사용자는 AD 에이전트와연결된모든 ASA 에채워집니다. 확장성 각 AD 에이전트는 100 개의 ASA 를지원합니다. 여러 ASA 가단일 AD 에이전트와통신하면서대규모네트워크구축환경에서확장성을제공할수있습니다. 30 대의 Active Directory 서버를지원합니다. 단 IP 주소가모든도메인의전범위에서고유해야합니다. 한도메인에있는각사용자 ID 는최대 8 개의 IP 주소를가질수있습니다. ASA 5500 Series 모델의경우활성정책에서최대 64,000 개의사용자 ID-IP 주소매핑항목을지원합니다. 이러한제한은정책이적용되도록한사용자의최대수를제어합니다. 총사용자수는각기다른모든컨텍스트에구성된전체사용자를합한것입니다. 활성 ASA 정책에서최대 512 개의사용자그룹을지원합니다. 단일액세스규칙에서하나이상의사용자그룹또는사용자를수용할수있습니다. 다중도메인을지원합니다. 사용가능 ASA 에서는 AD 에서그룹정보를검색하고, AD 에이전트에서소스 IP 주소를사용자 ID 에매핑하지못할경우에는웹인증을통해 IP 주소를얻습니다. AD 서버중하나가또는 ASA 가응답하지않더라도 AD 에이전트는계속작동합니다. ASA 에서기본 AD 에이전트와보조 AD 에이전트를구성하는것을지원합니다. 기본 AD 에이전트가더이상응답하지않을경우 ASA 는보조 AD 에이전트로전환할수있습니다. AD 에이전트를사용할수없는경우 ASA 는컷스루프록시, VPN 인증과같은기존 ID 소스를대신사용할수있습니다. AD 에이전트는서비스가중지되더라도자동으로재시작되는 watchdog 프로세스를실행합니다. 분산 IP 주소 / 사용자매핑데이터베이스를 ASA 끼리사용하는것을허용합니다. 5-4

59 5 장아이덴티티방화벽 아이덴티티방화벽정보 구축시나리오 환경의요구사항에따라다음방법으로아이덴티티방화벽의컨피그레이션요소를구축할수있습니다. 다음그림에서는이중화를지원하기위해아이덴티티방화벽컨피그레이션요소를구축하는방법을보여줍니다. 시나리오 1은컨피그레이션요소이중화가없는간단한설치입니다. 시나리오 2 역시이중화가없는간단한설치입니다. 그러나이구축시나리오에서는 AD 서버와 AD 에이전트가동일한 Windows 서버에함께배치되어있습니다. 그림 5-2 이중화없는구축시나리오 Scenario 1 Scenario 2 AD Agent AD Server AD Agent ASA AD Server ASA 다음그림에서는이중화를지원하기위해아이덴티티방화벽컨피그레이션요소를구축하는방법을보여줍니다. 시나리오 1 은여러 AD 서버및별도의 Windows 서버에설치된단일 AD 에이전트로구성된구축환경입니다. 시나리오 2 는여러 AD 서버및별도의 Windows 서버에설치된여러 AD 에이전트로구성된구축환경입니다. 그림 5-3 이중컨피그레이션요소의구축시나리오 Scenario 1 Scenario 2 AD Server AD Agent AD Server AD Agent AD Server ASA AD Server ASA 다음그림에서는모든아이덴티티방화벽컨피그레이션요소 (AD 서버, AD 에이전트, 클라이언트 ) 가어떻게설치되고 LAN 을통해통신하는지보여줍니다. 5-5

60 아이덴티티방화벽정보 5 장아이덴티티방화벽 그림 5-4 LAN Client LAN 기반구축 ASA NetBIOS Probe LDAP RADIUS mkg.example.com WMI AD Servers AD Agent 다음그림에서는원격사이트를지원하는 WAN 기반구축을보여줍니다. AD 서버와 AD 에이전트가기본사이트 LAN 에설치되어있습니다. 클라이언트는원격사이트에있으며 WAN 을통해아이덴티티방화벽컨피그레이션요소에연결됩니다. 그림 5-5 Remote Site WAN 기반구축 Enterprise Main Site Client WAN NetBIOS Probe Login/Authentication RADIUS ASA WMI LDAP mkg.example.com AD Agent AD Servers 다음그림에서는원격사이트를지원하는 WAN 기반구축도보여줍니다. Active Directory 서버는기본사이트 LAN 에설치됩니다. 그러나 AD 에이전트는설치된다음원격사이트의클라이언트에의해액세스됩니다. 원격클라이언트는 WAN 을통해기본사이트에있는 AD 서버에연결합니다. 5-6

61 5 장아이덴티티방화벽 아이덴티티방화벽지침 그림 5-6 Remote Site 원격 AD 에이전트로구성된 WAN 기반구축 Enterprise Main Site Client RADIUS ASA WAN LDAP mkg.example.com WMI AD Agent Login/Authentication AD Servers 다음그림에서는확장된원격사이트설치를보여줍니다. AD 에이전트와 AD 서버가원격사이트에설치됩니다. 클라이언트는기본사이트에위치한네트워크리소스에로그인할때로컬에서이컨피그레이션요소에액세스합니다. 원격 AD 서버는기본사이트에있는중앙 AD 서버와데이터를동기화해야합니다. 그림 5-7 Remote Site 원격 AD 에이전트와 AD 서버로구성된 WAN 기반구축 Enterprise Main Site Client RADIUS ASA WAN LDAP mkg.example.com WMI Directory Sync AD Agent AD Servers AD Servers 아이덴티티방화벽지침 이섹션에서는아이덴티티방화벽을구성하기전에확인해야하는지침및제한사항을설명합니다. 장애조치 아이덴티티방화벽은사용자 ID-IP 주소매핑을지원하고상태기반장애조치가활성화된경우활성시스템에서대기시스템으로 AD 에이전트상태를복제하는것도지원합니다. 그러나사용자 ID-IP 주소매핑, AD 에이전트상태, 도메인상태만복제됩니다. 사용자및사용자그룹레코드는대기 ASA 에복제되지않습니다. 장애조치가구성되면대기 ASA 역시 AD 에이전트에직접연결하여사용자그룹을검색하도록구성되어야합니다. 아이덴티티방화벽에대한 NetBIOS 검사옵션이구성된경우에도대기 ASA 는클라이언트에 NetBIOS 패킷을보내지않습니다. 5-7

62 아이덴티티방화벽지침 5 장아이덴티티방화벽 클라이언트가활성 ASA 에의해비활성상태로확인되면그정보가대기 ASA 에전달됩니다. 사용자통계는대기 ASA 에전달되지않습니다. 장애조치를구성한경우액티브및스탠바이 ASA 이통신을수행할수있도록 AD 에이전트를구성해야합니다. AD 에이전트서버에서 ASA 를구성하는단계에대해서는 Active Directory 에이전트설치및설정가이드를참조하십시오. IPv6 AD 에이전트는엔드포인트에 IPv6 주소를지원합니다. 로그이벤트에서 IPv6 주소를수신하고캐시에저장했다가 RADIUS 메시지를통해보낼수있습니다. AAA 서버는 IPv4 주소를사용해야합니다. IPv6 를통한 NetBIOS 는지원되지않습니다. 추가지침 대상주소에서전체 URL 은지원되지않습니다. NetBIOS 검사기능이작동하려면 ASA, AD 에이전트, 클라이언트를연결하는네트워크에서 UDP 캡슐화 NetBIOS 트래픽을지원해야합니다. 중간라우터가있으면아이덴티티방화벽의 MAC 주소검사가수행되지않습니다. 동일한라우터의뒤에있는클라이언트에로그인한사용자는 MAC 주소가같습니다. 이러한구현에서는동일한라우터에서보내는모든패킷이검사를통과할수있습니다. ASA 에서라우터뒤에있는실제 MAC 주소를확인할수없기때문입니다. 다음 ASA 기능은확장 ACL 에서 ID 기반객체와 FQDN 을사용하는것을지원하지않습니다. 경로맵 암호화맵 WCCP NAT 그룹정책 (VPN 필터에대한것제외 ) DAP user-identity update active-user-database 명령을사용하여 AD 에이전트로부터사용자-IP 주소를다운로드하는프로세스를능동적으로시작할수있습니다. 이전의다운로드세션이끝난경우 ASA에서이명령의재실행을허용하지않도록설계되었습니다. 따라서사용자-IP 주소가매우클경우, 이전다운로드세션이끝나지않은상태에서다시 user-identity update active-user-database 명령을실행하면다음오류메시지가나타납니다. "ERROR: one update active-user-database is already in progress." 이전세션이완전히끝날때까지기다려야합니다. 그러면다시 user-identity update active-user-database 명령을실행할수있습니다. AD 에이전트에서 ASA로보내는패킷이손실된경우에도이와같은동작이일어납니다. user-identity update active-user-database 명령을실행하면 ASA는다운로드할사용자-IP 매핑항목의총개수를요청합니다. 그러면 AD 에이전트는 ASA와의 UDP 연결을시작하고권한부여요청패킷의변경사항을보냅니다. 어떤이유로패킷이손실된경우 ASA 에서이를알방법이없습니다. 따라서 ASA 는 4~5 분간세션을유지합니다. 이상태에서 user-identity update active-user-database 명령을실행하면이오류메시지가계속나타납니다. 5-8

63 5 장아이덴티티방화벽 아이덴티티방화벽사전요구사항 Cisco CDA(Context Directory Agent) 를 ASA 또는 Cisco Ironport WSA(Web Security Appliance) 와함께사용할경우다음포트를열어두어야합니다. UDP 인증포트 1645 UDP 어카운팅포트 1646 UDP 수신포트 3799 수신포트는 CDA에서 ASA에또는 WSA에권한부여요청의변경사항을보낼때사용합니다. user-identity action domain-controller-down domain_name disable-user-identity-rule 명령이구성되었고지정된도메인이중지된상태라면, 또는 user-identity action ad-agent-down disable-user-identity-rule 명령이구성되었고 AD 에이전트가중지된상태라면, 로그인한모든사용자는비활성상태가됩니다. 도메인이름에는 \/:*?"<> 문자를사용할수없습니다. 명명규칙에대해서는 를참조하십시오. 사용자이름에는 문자를사용할수없습니다. 사용자그룹이름에는 \/[]:;=,+*?"<> 문자를사용할수없습니다. 아이덴티티방화벽에서 AD 에이전트로부터사용자정보를검색하도록어떻게구성했느냐에따라이기능의메모리사용량이달라집니다. ASA 에서온디맨드검색을아니면전체다운로드검색을사용할것인지지정합니다. 온디맨드검색을선택하면수신된패킷의사용자만쿼리하고저장하므로메모리를더적게사용한다는이점이있습니다. 아이덴티티방화벽사전요구사항 이섹션에서는아이덴티티방화벽을구성하는데필요한사전요구사항을나열합니다. AD 에이전트 AD 에이전트는 ASA 에서액세스할수있는 Windows 서버에설치해야합니다. 또한 AD 에이전트가 AD 서버로부터정보를얻고 ASA 와통신할수있도록구성해야합니다. 지원되는 Windows 서버로는 Windows 2003, Windows 2008, Windows 2008 R2 등이있습니다. 참고 Windows 2003 R2 는 AD 에이전트서버로지원되지않습니다. AD 에이전트를설치하고구성하는단계에대해서는 AD 에이전트설치및설정가이드를참조하십시오. ASA 에서 AD 에이전트를구성하기전에 AD 에이전트와 ASA 의통신에사용할암호키값을얻습니다. 이값은 AD 에이전트와 ASA 모두에서일치해야합니다. Microsoft Active Directory Microsoft Active Directory 는 Windows 서버에설치되고, ASA 에서액세스할수있어야합니다. 지원되는버전으로는 Windows 2003, 2008, 2008 R2 서버등이있습니다. ASA 에서 AD 서버를구성하기전에 Active Directory 에서 ASA 를위한사용자계정을만듭니다. 5-9

64 아이덴티티방화벽컨피그레이션 5 장아이덴티티방화벽 또한 ASA 는 LDAP 을통해활성화된 SSL 을사용하여 AD 서버에암호화된로그인정보를보냅니다. SSL 이 AD 서버에서활성화되어야합니다. AD 를위해 SSL 을활성화하는방법에대해서는 Microsoft Active Directory 설명서를참조하십시오. 참고 AD 에이전트설치프로그램을실행하기전에 AD 에이전트가모니터링하는각 Microsoft Active Directory 서버에 Cisco AD 에이전트를위한 README First 에명시된패치를설치해야합니다. 이패치는 AD 에이전트가도메인컨트롤러서버에설치되는경우에도필요합니다. 아이덴티티방화벽컨피그레이션 아이덴티티방화벽을구성하려면다음단계를수행합니다. 1단계 ASA에 AD 도메인을구성합니다. Active Directory 도메인컨피그레이션, 5-10페이지및 AD 서버그룹컨피그레이션, 5-11페이지를참조하십시오. 또한구축시나리오, 5-5페이지에서해당환경의요구사항에맞게 AD 서버를구축하는방법도알아보십시오. 2단계 ASA에 AD 에이전트를구성합니다. AD 서버그룹컨피그레이션, 5-11페이지및 AD 에이전트그룹컨피그레이션, 5-12페이지를참조하십시오. 또한구축시나리오, 5-5페이지에서해당환경의요구사항에맞게 AD 에이전트를구축하는방법도알아보십시오. 3단계 ID 옵션을구성합니다. ID 옵션컨피그레이션, 5-13페이지를참조하십시오. 4단계 ID 기반보안정책을구성합니다. AD 도메인과 AD 에이전트가구성된다음에는여러기능에서사용할 ID 기반객체그룹과 ACL을만들수있습니다. ID 기반보안정책컨피그레이션, 5-15페이지를참조하십시오. Active Directory 도메인컨피그레이션 ASA 에서 AD 그룹을다운로드하려면그리고 AD 에이전트로부터 IP- 사용자매핑을받을때특정도메인의사용자 ID 를승인하기위해서는 ASA 에 AD 도메인컨피그레이션이필요합니다. 시작하기전에 Active Directory 서버 IP 주소 LDAP 기반 DN 의고유이름 아이덴티티방화벽에서 AD 도메인컨트롤러에연결하는데사용하는 AD 사용자의고유이름및비밀번호 5-10

65 5 장아이덴티티방화벽 아이덴티티방화벽컨피그레이션 AD 도메인을구성하려면다음단계를수행합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Identity Options(ID 옵션 ) 를선택합니다. 2 단계 Enable User Identity( 사용자 ID 활성화 ) 확인란을선택하여사용자 ID 를활성화합니다. 3단계 ADD( 추가 ) 를클릭합니다. Domain( 도메인 ) 대화상자가나타납니다. 4단계도메인이름에 [a-z], [A-Z], [0-9], [!@#$%^&()-_=+[]{} 등을포함해최대 32자를입력합니다. ] 로구성된이름을입력합니다. 맨앞에 '.' 와 ' ' 이올수없습니다. 도메인이름이공백을포함할경우그공백문자를따옴표로묶어야합니다. 도메인이름은대 / 소문자를구분하지않습니다. 기존도메인의이름을수정할때기존사용자및사용자그룹과연결된도메인이름은바뀌지않습니다. 5 단계이도메인과연결할 Active Directory 서버를선택하거나 Manage( 관리 ) 를클릭하여목록에새서버그룹을추가합니다. 6 단계 OK( 확인 ) 를클릭하여도메인설정을저장하고이대화상자를닫습니다. AD 서버그룹컨피그레이션 AD 서버그룹을구성하려면다음단계를수행합니다. 절차 1단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Identity Options(ID 옵션 ) > Add( 추가 ) > Manage( 관리 ) 를선택합니다. Configure Active Directory Server Groups(Active Directory 서버그룹구성 ) 대화상자가나타납니다. 2단계 ADD( 추가 ) 를클릭합니다. Add Active Directory Server Group(Active Directory 서버그룹추가 ) 대화상자가나타납니다. 3단계 Active Directory 서버그룹에서버를추가하려면 Active Directory Server Groups(Active Directory 서버그룹 ) 목록에서해당그룹을선택하고 Add( 추가 ) 를클릭합니다. Add Active Directory Server(Active Directory 서버추가 ) 대화상자가나타납니다. 4 단계 OK( 확인 ) 를클릭하여설정을저장하고이대화상자를닫습니다. AD 에이전트컨피그레이션 시작하기전에 AD 에이전트 IP 주소 ASA와 AD 에이전트의공유암호 5-11

66 아이덴티티방화벽컨피그레이션 5 장아이덴티티방화벽 AD 에이전트를구성하려면다음단계를수행합니다. 절차 1단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Identity Options(ID 옵션 ) 를선택합니다. 2단계 Enable User Identity( 사용자 ID 활성화 ) 확인란을선택하여이기능을활성화합니다. 3단계 Active Directory Agent(Active Directory 에이전트 ) 섹션에서 Manage( 관리 ) 를클릭합니다. Configure Active Directory Agents(Active Directory 에이전트구성 ) 대화상자가나타납니다. 4단계 Add( 추가 ) 버튼을클릭합니다. 5단계 OK( 확인 ) 를클릭하여변경사항을저장하고이대화상자를닫습니다. AD 에이전트그룹컨피그레이션 AD 에이전트서버그룹에대한기본및보조 AD 에이전트를구성합니다. ASA에서기본 AD 에이전트가응답하지않음을탐지한경우, 보조에이전트가지정되어있다면 ASA는보조 AD 에이전트로전환합니다. AD 에이전트의 AD 서버는 RADIUS를통신프로토콜로사용합니다. 따라서 ASA와 AD 에이전트의공유암호에대한키특성을지정해야합니다. AD 에이전트그룹을구성하려면다음단계를수행합니다. 절차 1단계 Configure Active Directory Agents(Active Directory 에이전트구성 ) 대화상자에서 Add( 추가 ) 를클릭합니다. Add Active Directory Agent Group(Active Directory 에이전트그룹추가 ) 대화상자가나타납니다. 2 단계 AD 에이전트그룹의이름을입력합니다. 3 단계 Primary Active Directory Agent( 기본 Active Directory 에이전트 ) 섹션에서 ASA 가 AD 에이전트서버로부터트래픽을수신하는인터페이스를지정하고서버의 FQDN 또는 IP 주소를입력합니다. 4 단계 Primary Active Directory Agent( 기본 Active Directory 에이전트 ) 섹션에서시간초과간격및 AD 에이전트가응답하지않을때 ASA 에서연결을재시도하는간격을입력합니다. 5 단계기본 AD 에이전트와 ASA 가사용하는공유암호키를입력합니다. 6 단계 Secondary Active Directory Agent( 보조 Active Directory 에이전트 ) 섹션에서 ASA 가 AD 에이전트서버로부터트래픽을수신하는인터페이스를지정하고서버의 FQDN 또는 IP 주소를입력합니다. 7 단계 Secondary Active Directory Agent( 보조 Active Directory 에이전트 ) 섹션에서시간초과간격및 AD 에이전트가응답하지않을때 ASA 에서연결을재시도하는간격을입력합니다. 8 단계보조 AD 에이전트와 ASA 가사용하는공유암호키를입력합니다. 9 단계 OK( 확인 ) 를클릭하여변경사항을저장하고이대화상자를닫습니다. 5-12

67 5 장아이덴티티방화벽 아이덴티티방화벽컨피그레이션 ID 옵션컨피그레이션 아이덴티티방화벽을위한 ID 옵션을구성하려면다음단계를수행합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Identity Options(ID 옵션 ) 를선택합니다. 2 단계 Enable User Identity( 사용자 ID 활성화 ) 확인란을선택합니다. 3 단계 ID 방화벽을위해도메인을추가하려면 Add( 추가 ) 를클릭하여 Add Domain( 도메인추가 ) 대화상자를표시합니다. 4단계이미 Domains 목록에추가된도메인의경우, AD 도메인컨트롤러가응답하지않아도메인이중지했을때규칙을비활성화할지여부를선택합니다. 도메인이중지한상태에서해당도메인에대해이옵션이선택되어있다면 ASA는도메인의사용자와연결된사용자 ID 규칙을비활성화합니다. 또한그도메인에속한모든사용자 IP 주소의상태는 Monitoring( 모니터링 ) > Properties( 속성 ) > Identity(ID) > Users( 사용자 ) 창에서 disabled 로표시됩니다. 5단계아이덴티티방화벽에대한기본도메인을선택합니다. 사용자또는그룹에대해도메인이명시적으로구성되지않은경우에는모든사용자및사용자그룹에기본도메인이사용됩니다. 기본도메인을지정하지않은경우사용자및그룹의기본도메인은 LOCAL입니다. 또한아이덴티티방화벽은모든로컬에정의된사용자그룹또는로컬에정의된사용자 (VPN 또는웹포털을사용하여로그인하고인증한사용자 ) 에게 LOCAL 도메인을사용합니다. 참고 기본도메인이름은 AD 도메인컨트롤러에구성된 NetBIOS 도메인이름과일치하도록선택해야합니다. 도메인이름이일치하지않을경우, AD 에이전트는사용자 -IP 매핑항목을 ASA 컨피그레이션시입력한도메인이름과잘못연결합니다. NetBIOS 도메인이름을보려면아무텍스트편집기에서나 Active Directory 사용자이벤트보안로그를엽니다. 다중컨텍스트모드의경우, 컨텍스트마다또는시스템실행영역내에서기본도메인이름을설정할수있습니다. 6 단계드롭다운목록에서 AD 에이전트그룹을선택합니다. Manage( 관리 ) 를클릭하여 AD 에이전트그룹을추가합니다. 7단계 Hello Timer(Hello 타이머 ) 필드에 10~65535초사이의숫자를입력합니다. ASA와 AD 에이전트간의 hello 타이머는 ASA가 hello 패킷을교환하는빈도를정의합니다. ASA 는 ASA 복제상태 (in-sync 또는 out-of-sync) 및도메인상태 (up 또는 down) 를확인하는데 hello 패킷을사용합니다. ASA가 AD 에이전트로부터응답을받지못한경우지정된간격이지나면 hello 패키지를다시보냅니다. ASA에서 AD 에이전트에 hello 패킷을재전송하는횟수를지정합니다. 기본적으로, 시간 ( 초 ) 은 30으로, 재시도횟수는 5로설정되어있습니다. 8단계 ASA에서각식별자에대해수신하는최종이벤트타임스탬프를추적할수있게하려면또는이벤트타임스탬프가 ASA의시계보다 5분이상오래되었거나타임스탬프가최종이벤트타임스탬프보다빠를경우에어떤메시지든삭제하려면 Enable Event Timestamp를선택합니다. 마지막이벤트타임스탬프를모르는새로부팅된 ASA의경우 ASA는이벤트타임스탬프를해당클럭과비교합니다. 이벤트가 5분이상오래된경우 ASA는메시지를허용하지않습니다. ASA, Active Directory, AD 에이전트끼리 NTP를사용하여시계를동기화하도록구성하는것이좋습니다. 5-13

68 아이덴티티방화벽컨피그레이션 5 장아이덴티티방화벽 9 단계 Poll Group Timer( 그룹타이머폴링 ) 필드에는 ASA 에서 FQDN 을확인하기위해 DNS 서버를쿼리하는데사용하는시간을입력합니다. 기본적으로폴링타이머는 4 시간으로설정됩니다. 10 단계 Retrieve User Information( 사용자정보검색 ) 섹션에서다음목록의옵션을선택합니다. On-demand - ASA 가새로운연결이필요한패킷을수신할때, 해당소스 IP 주소의사용자가사용자 -ID 데이터베이스에없다면 ASA 에서 AD 에이전트로부터 IP 주소의사용자매핑정보를검색하도록지정합니다. Full Download( 전체다운로드 ) - ASA 가시작될때 ASA 에서 AD 에이전트로전체 IP- 사용자매핑테이블다운로드요청을보낸다음사용자가로그인및로그아웃하면증분 IP- 사용자매핑을수신하도록지정합니다. 참고 On Demand( 온디맨드 ) 를선택하면수신된패킷의사용자만쿼리하고저장하므로메모리를더적게사용한다는이점이있습니다. 11단계 AD 에이전트가응답하지않으면규칙을비활성할것인지선택합니다. AD 에이전트가중지한상태에서이옵션이선택되어있다면 ASA는해당도메인의사용자와연결된사용자 ID 규칙을비활성화합니다. 또한그도메인에속한모든사용자 IP 주소의상태는 Monitoring( 모니터링 ) > Properties( 속성 ) > Identity(ID) > Users( 사용자 ) 창에서 disabled( 비활성화됨 ) 로표시됩니다. 12단계 NetBIOS 프로브가실패할때사용자의 IP 주소를삭제할지를선택합니다. 이옵션을선택함으로써사용자에대한 NetBIOS 프로브가차단되었을때 ( 예 : 사용자클라이언트가 NetBIOS 프로브에응답하지않음 ) 어떻게할지지정합니다. 해당클라이언트에대한네트워크연결이차단될수있습니다. 또는클라이언트가활성상태가아닙니다. 이옵션이선택되면 ASA는그사용자의 IP 주소와연결된 ID 규칙을비활성화합니다. 13 단계사용자의 MAC 주소가현재 ASA 에서현재그 MAC 주소에매핑한 IP 주소와일치하지않을경우해당주소를삭제할지를선택합니다. 이옵션이선택되면 ASA 는해당사용자와연결된사용자 ID 규칙을비활성화합니다. 14 단계찾을수없는사용자를추적할것인지선택합니다. 15단계 Idle Timeout( 유휴시간제한 ) 옵션을선택하고 1분 ~65535분사이에서시간을입력합니다. 기본적으로유휴시간제한은 60분으로설정됩니다. 이옵션을활성화함으로써활성사용자가유휴상태로간주될때의타이머를구성합니다. 즉 ASA 는지정된시간을초과하면사용자의 IP 주소로부터트래픽을받지못합니다. 타이머가만료되면사용자의 IP 주소는비활성상태로표시되고로컬캐시에저장된 IP-사용자데이터베이스에서삭제됩니다. 그리고 ASA는더이상 AD 에이전트에그 IP 주소에대해알리지않습니다. 기존트래픽은여전히통과하도록허용됩니다. Idle Timeout( 유휴시간제한 ) 옵션이활성화되면 ASA는 NetBIOS 로그아웃프로브가구성된경우에도비활성타이머를실행합니다. 참고 Idle Timeout( 유휴시간제한 ) 옵션은 VPN 또는컷스루프록시사용자에게는적용되지않습니다. 16 단계 NetBIOS 프로브를활성화하고사용자의 IP 주소가프로브되기까지의프로브타이머 (1 분 ~65535 분 ) 및프로브재시도간격 (1 회 ~256 회 ) 을설정합니다. 이옵션을활성화하면 ASA 에서사용자클라이언트가계속활성상태인지확인하기위해사용자호스트를프로브하는빈도가구성됩니다. NetBIOS 패킷을최소화하기위해, ASA 에서는사용자가 Idle Timeout 필드에지정된시간 ( 분 ) 을초과해유휴상태인경우에만클라이언트에 NetBIOS 프로브를보냅니다. 5-14

69 5 장아이덴티티방화벽 아이덴티티방화벽컨피그레이션 17 단계 User Name( 사용자이름 ) 목록에서다음옵션을선택합니다. Match Any( 항목일치 ) - 호스트의 NetBIOS 응답이 IP 주소에지정된사용자의사용자이름을포함하는한사용자 ID 는유효한것으로간주됩니다. 이옵션을지정하려면호스트에서 Messenger 서비스를활성화했고 WINS 서버를구성했어야합니다. Exact Match - IP 주소에지정된사용자의사용자이름은 NetBIOS 응답에서하나뿐이어야합니다. 그렇지않으면해당 IP 주소의사용자 ID 가유효하지않은것으로간주됩니다. 이옵션을지정하려면호스트에서 Messenger 서비스를활성화했고 WINS 서버를구성했어야합니다. User Not Needed( 사용자가필요하지않음 ) - ASA 에서호스트로부터 NetBIOS 응답을받는한사용자 ID 는유효한것으로간주됩니다. 18 단계 Apply( 적용 ) 를클릭하여 ID 방화벽컨피그레이션을저장합니다. ID 기반보안정책컨피그레이션 다양한 ASA 기능에 ID 기반정책을통합할수있습니다. ( 아이덴티티방화벽지침, 5-7페이지에서지원되지않는다고표시된것을제외하고 ) 확장 ACL을사용하는어떤기능도아이덴티티방화벽을활용할수있습니다. 이제네트워크기반매개변수뿐아니라사용자 ID 인수를확장 ACL에추가할수있습니다. 다음과같은기능에서 ID를사용할수있습니다. 액세스규칙 액세스규칙은네트워크정보를사용하여인터페이스에서트래픽을허용하거나거부합니다. 아이덴티티방화벽을사용하면사용자 ID 를기반으로액세스를제어할수있습니다. 방화벽컨피그레이션가이드를참조하십시오. AAA 규칙 ( 컷스루프록시라고도하는 ) 인증규칙은사용자를기반으로네트워크액세스를제어합니다. 이기능은액세스규칙에아이덴티티방화벽을더한것과매우비슷하므로, 사용자의 AD 로그인이만료될경우대체인증방법으로 AAA 규칙을사용할수있습니다. 예를들어, 유효한로그인이없는사용자에대해 AAA 규칙을트리거할수있습니다. 유효한로그인이없는사용자에한해 AAA 규칙이트리거되도록액세스규칙및 AAA 규칙에쓰이는확장 ACL 에해당사용자이름을지정할수있습니다 (None( 유효한로그인이없는사용자 ) 및 Any ( 유효한로그인이있는사용자 )). 액세스규칙에서는사용자및그룹에대해평소와같이정책을구성하되모든 None 사용자를허용하는 AAA 규칙을포함시킵니다. 이사용자를허용해야나중에 AAA 규칙이트리거될수있습니다. 그리고 Any 사용자 ( 이사용자는 AAA 규칙의대상이아니며, 이미액세스규칙에의해처리되었음 ) 를거부하되모든 None 사용자를허용하는 AAA 규칙을구성합니다. 예를들면다음과같습니다. access-list 100 ex permit ip user CISCO\xyz any any access-list 100 ex deny ip user CISCO\abc any any access-list 100 ex permit ip user NONE any any access-list 100 ex deny any any access-group 100 in interface inside access-list 200 ex deny ip user ANY any any access-list 200 ex permit user NONE any any aaa authenticate match 200 inside user-identity 자세한내용은레거시기능가이드를참고하십시오. Cloud Web Security 어떤사용자를 Cloud Web Security 프록시서버에보낼지제어할수있습니다. 또한 Cloud Web Security 에보내진 ASA 트래픽헤더에포함된사용자그룹을기반으로하는정책을 Cloud Web Security ScanCenter 에서구성할수있습니다. 방화벽컨피그레이션가이드를참조하십시오. 5-15

70 아이덴티티방화벽모니터링 5 장아이덴티티방화벽 VPN 필터 VPN 은일반적으로아이덴티티방화벽 ACL 을지원하지않지만, ASA 에서 VPN 트래픽에대해 ID 기반액세스규칙을강제적으로적용하도록구성할수있습니다. 기본적으로 VPN 트래픽은액세스규칙의대상이아닙니다. VPN 클라이언트에서아이덴티티방화벽 ACL 을사용하는액세스규칙을반드시준수하게할수있습니다 (no sysopt connection permit-vpn 명령사용 ). 또한 VPN 필터기능과함께아이덴티티방화벽 ACL 을사용할수있습니다. VPN 필터는대체로허용액세스규칙과비슷한효과를발휘합니다. 관련주제 아이덴티티방화벽모니터링 아이덴티티방화벽상태를모니터링하려면다음화면을참조하십시오. 에대한추가정보를보여줍니다.Monitoring( 모니터링 ) > Properties( 속성 ) > Identity(ID) > AD Agent(AD 에이전트 ) 이창은 AD 에이전트및도메인의상태및 AD 에이전트의통계를보여줍니다. Monitoring( 모니터링 ) > Properties( 속성 ) > Identity(ID) > Memory Usage( 메모리사용량 ) 이창은 ASA에서아이덴티티방화벽의메모리사용량을보여줍니다. Monitoring( 모니터링 ) > Properties( 속성 ) > Identity(ID) > User( 사용자 ) 이창은아이덴티티방화벽에서사용하는 IP- 사용자매핑데이터베이스에포함된모든사용자에대한정보를보여줍니다. Monitoring( 모니터링 ) > Properties( 속성 ) > Identity(ID) > Group( 그룹 ) 이창은아이덴티티방화벽에구성된사용자그룹목록을보여줍니다. Tools( 도구 ) > Command Line Interface( 명령줄인터페이스 ) 이창에서는다양한비대화형명령을내보내고결과를볼수있습니다. 아이덴티티방화벽내역 표 5-1 아이덴티티방화벽내역 기능이름 릴리스 설명 아이덴티티방화벽 8.4(2) 아이덴티티방화벽기능을도입했습니다. 다음화면을도입하거나수정했습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Identity Options(ID 옵션 ) Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Local User Groups( 로컬사용자그룹 ) Monitoring( 모니터링 ) > Properties( 속성 ) > Identity(ID) 5-16

71 6 장 ASA 및 Cisco TrustSec 이장에서는 ASA에 Cisco TrustSec을구현하는방법에대해설명합니다. Cisco TrustSec 정보, 6-1페이지 Cisco TrustSec 지침, 6-11페이지 Cisco TrustSec 통합을위한 AAA 서버컨피그레이션, 6-13페이지 Cisco TrustSec을위한 AnyConnect VPN 지원, 6-21페이지 Cisco TrustSec의기록, 6-23페이지 Cisco TrustSec 정보 전통적으로방화벽과같은보안기능은미리정의된 IP 주소, 서브넷및프로토콜에따라액세스제어를수행했습니다. 하지만기업이경계없는네트워크로전환함에따라사람과조직을연결하는기술과데이터및네트워크보호를위한보안요구사항모두크게달라졌습니다. 엔드포인트의유동성이점차심해지고사용자는다양한엔드포인트 ( 예 : 노트북과데스크톱, 스마트폰또는태블릿 ) 를사용하기때문에사용자속성과엔드포인트속성이조합되면서기존 6튜플기반규칙에더하여방화벽기능을갖춘스위치나라우터또는전용방화벽과같은디바이스를안정적으로액세스제어결정에도활용할수있는조건을갖추게되었습니다. 따라서엔드포인트속성또는클라이언트 ID 속성의가용성과전파가고객네트워크전반, 네트워크의액세스, 배포및핵심레이어, 그리고데이터센터의보안을지원하는중요한요구사항이되고있습니다. Cisco TrustSec은기존 identity-aware 인프라위에구축되어네트워크디바이스간데이터기밀을보장하고하나의플랫폼으로보안액세스서비스를통합합니다. Cisco TrustSec 기능에서적용디바이스는사용자속성과엔드포인트속성의조합을사용하여역할기반및 ID 기반액세스제어결정을내립니다. 이정보의가용성과전파는네트워크의액세스, 배포및핵심레이어에서네트워크전반의보안을활성화합니다. Cisco TrustSec을구현하면다음과같은이점을얻을수있습니다. 점차늘어나는모바일및복합인력이어떤디바이스에서든더안전하고알맞은액세스를할수있게해줍니다. 누가무엇으로유선또는무선네트워크에연결하는지포괄적인가시성을제공하여보안위험을완화합니다. 물리적또는클라우드기반 IT 리소스에액세스하는네트워크사용자의활동에대한뛰어난관리기능을제공합니다. 6-1

72 Cisco TrustSec 정보 6 장 ASA 및 Cisco TrustSec 고도로안전한중앙집중식액세스정책관리및확장가능한적용메커니즘을통해총소유비용을줄입니다. 자세한내용은다음 URL 을참조하십시오. 참조 utions/enterprise-networks/trusts ec/index.html utions/enterprise/design-zone-se curity/landing_designzone_trus tsec.html utions/collateral/enterprise-netw orks/trustsec/solution_overview_ c pdf utions/enterprise-networks/trusts ec/trustsec_matrix.html 설명 기업을위한 Cisco TrustSec 시스템및아키텍처에대해설명합니다. 컨피그레이션요소설계가이드링크를포함하여기업에서 Cisco TrustSec 솔루션배포를위한지침을제공합니다. ASA, 스위치, WLAN( 무선 LAN) 컨트롤러및라우터와함께사용하는 Cisco TrustSec 솔루션의개요를제공합니다. Cisco TrustSec 솔루션을지원하는 Cisco 제품을나열하는 Cisco TrustSec Platform Support Matrix 를제공합니다. Cisco TrustSec 에서의 SGT 및 SXP 지원정보 Cisco TrustSec 기능에서보안그룹액세스는토폴로지인식네트워크를역할기반네트워크로바꾸어 RBAC( 역할기반액세스제어 ) 로엔드투엔드정책을적용할수있게합니다. 인증과정에서얻은디바이스와사용자자격증명은보안그룹별로패킷을분류하는데사용됩니다. Cisco TrustSec 클라우드에진입하는모든패킷은 SGT( 보안그룹태그 ) 로태그가지정됩니다. 태그지정은믿을수있는매개자가패킷의소스 ID를확인하고데이터경로를따라보안정책을적용할수있게합니다. SGT는 SGT가보안그룹 ACL 정의에사용될때도메인전반에서권한수준을나타냅니다. SGT는 RADIUS 공급업체별속성으로이루어지는 IEEE 802.1X 인증, 웹인증또는 MAB(MAC 인증우회 ) 를통해디바이스에할당됩니다. SGT는특정 IP 주소또는스위치인터페이스에전략적으로할당될수있습니다. SGT는인증성공후스위치또는액세스포인트에동적으로전달됩니다. SXP(Security-group exchange Protocol) 는 SGT 지원하드웨어가없는네트워크디바이스전반에서 IP-SGT 매핑데이터베이스를 SGT와보안그룹 ACL을지원하는하드웨어로전파하도록 Cisco TrustSec을위해개발된프로토콜입니다. 컨트롤플레인프로토콜인 SXP는인증포인트 ( 레거시액세스레이어스위치등 ) 에서네트워크의업스트림디바이스로 IP-SGT 매핑을전달합니다. SXP 연결은 point-to-point 연결이며 TCP를기본전송프로토콜로사용합니다. SXP는잘알려진 TCP 포트번호인 64999를사용하여연결을개시합니다. 또한 SXP 연결은소스와대상 IP 주소를통해고유하게식별됩니다. 6-2

73 6 장 ASA 및 Cisco TrustSec Cisco TrustSec 정보 Cisco TrustSec 기능의역할 ID 및정책기반액세스정책을위해 Cisco TrustSec 기능은다음역할을포함합니다. AR( 액세스요청자 ) 액세스요청자는네트워크의보호된리소스에대한액세스를요청하는엔드포인트디바이스입니다. 아키텍처의주된주체이며이들의액세스권한은 ID 자격증명에달려있습니다. 액세스요청자에는 PC, 랩톱, 휴대폰, 프린터, 카메라및 MACsec-capable IP 전화와같은엔드포인트디바이스가포함됩니다. PDP( 정책결정포인트 ) 정책결정포인트는액세스제어결정을책임집니다. PDP는 802.1x, MAB 및웹인증과같은기능을제공합니다. PDP는 VLAN, DACL을통한인증및정책적용, 보안그룹액세스 (SGACL/SXP/SGT) 를지원합니다. Cisco TrustSec 기능에서는 Cisco ISE(Identity Services Engine) 가 PDP 역할을합니다. Cisco ISE는 ID 및액세스제어정책기능을제공합니다. PIP( 정책정보포인트 ) 정책정보포인트는외부정보 ( 예 : 평판, 위치및 LDAP 속성 ) 를정책결정포인트로제공하는소스입니다. 정책정보포인트는 Session Directory, Sensor IPS 및 Communication Manager와같은디바이스를포함합니다. PAP( 정책관리포인트 ) 정책관리포인트는권한부여시스템으로의정책을정의하고삽입합니다. PAP는 Cisco TrustSec 태그-사용자 ID 매핑과 Cisco TrustSec 태그-서버리소스매핑을제공함으로써 ID 저장소역할을합니다. Cisco TrustSec 기능에서는 Cisco Secure Access Control System(802.1x 및 SGT 지원이통합된정책서버 ) 이 PAP 역할을합니다. PEP( 정책시행포인트 ) 정책시행포인트는각 AR에대해 PDP가결정한사항 ( 정책규칙및작업 ) 을실행합니다. PEP 디바이스는네트워크에걸쳐존재하는기본통신경로를통해 ID 정보를학습합니다. PEP 디바이스는엔드포인트에이전트, 권한부여서버, 피어시행디바이스및네트워크흐름과같은여러소스로부터각 AR의 ID 속성을학습합니다. PEP 디바이스는 SXP를사용하여네트워크전체의신뢰할수있는피어디바이스로 IP-SGT 매핑을전파합니다. 정책시행포인트는 Catalyst 스위치, 라우터, 방화벽 ( 특히 ASA), 서버, VPN 디바이스및 SAN 디바이스와같은네트워크디바이스를포함합니다. Cisco ASA는 ID 아키텍처에서 PEP 역할을수행합니다. SXP를사용하여 ASA는인증포인트로부터직접 ID 정보를학습하고이를이용하여 ID 기반정책을적용합니다. 보안그룹정책적용 보안정책시행은보안그룹이름을기반으로합니다. 엔드포인트디바이스가데이터센터의리소스액세스를시도합니다. 방화벽에구성된기존 IP 기반정책과달리 ID 기반정책은사용자및디바이스 ID를기준으로구성됩니다. 예를들어 mktg-contractor는 mktg-servers에액세스할수있고 mktg-corp-users는 mktg-server 및 corp-servers에액세스할수있습니다. 이배포유형의이점은다음과같습니다. 사용자그룹과리소스는단일객체 (SGT) 간소화정책관리를이용하여정의및시행됩니다. 사용자 ID 및리소스 ID는 Cisco TrustSec-capable 스위치인프라전반에서보존됩니다. 다음그림은보안그룹이름기반정책시행배포를보여줍니다. 6-3

74 Cisco TrustSec 정보 6 장 ASA 및 Cisco TrustSec 그림 6-1 보안그룹이름기반정책시행배포 Mktg servers Access Switch SXP ASA SXP Access Switch End Points (Access Requestors) Corp servers Cisco TrustSec 을구현하면서버분할을지원하고다음을포함하는보안정책을구성할수있습니다. 정책관리간소화를위해서버풀에 SGT 를할당할수있습니다. SGT 정보는 Cisco TrustSec 지원스위치인프라내에보존됩니다. ASA 는 Cisco TrustSec 도메인전체에걸쳐정책시행을위해 IP-SGT 매핑을사용합니다. 서버에대한 802.1x 권한부여가필수이므로구축간소화가가능합니다. ASA 의보안그룹기반정책시행방법 참고 사용자기반보안정책과보안그룹기반정책이 ASA 에서공존할수있습니다. 네트워크, 사용자기반및보안그룹기반속성의어떤조합이라도보안정책에서구성할수있습니다. ASA가 Cisco TrustSec과함께작동하도록구성하려면 ISE에서 PAC( 보호되는액세스자격증명 ) 파일을가져와야합니다. PAC 파일을 ASA로가져오면 ISE와의안전한통신채널이설정됩니다. 채널을설정하고나면 ASA가 ISE와 PAC 보안 RADIUS 트랜잭션을시작하고 Cisco TrustSec 환경데이터 ( 보안그룹테이블 ) 를다운로드합니다. 보안그룹테이블은 SGT를보안그룹이름에매핑합니다. 보안그룹이름은 ISE에서생성되며, 보안그룹의이름을제공합니다. ASA가보안그룹테이블을처음다운로드할때테이블의모든항목을점검하고구성된보안정책에포함된모든보안그룹이름을확인하고나면 ASA가이보안정책을로컬로활성화합니다. ASA가보안그룹이름을확인할수없다면알수없는보안그룹이름에대한 syslog 메시지를생성합니다. 6-4

75 6 장 ASA 및 Cisco TrustSec Cisco TrustSec 정보 다음그림은 Cisco TrustSec 에서보안정책시행방식을보여줍니다. 그림 6-2 보안정책시행 AD (PIP) Authentication User ISE (PDP/PAP) Tag End-Point (AR) Access Switch (PEP) SXP Switch (PEP) SXP Tag Firewall (PEP) Policy Data Flow Tag Policy Network 엔드포인트디바이스가액세스디바이스에직접연결하거나원격액세스를통해연결하고 Cisco TrustSec 으로인증합니다. 2. 액세스레이어디바이스는 802.1X 또는웹인증과같은인증방식을사용하여 ISE 로엔드포인트디바이스를인증합니다. 엔드포인트디바이스가역할및그룹멤버십정보를전달하여디바이스를적절한보안그룹으로분류합니다. 3. 액세스레이어디바이스는 SXP 를사용하여 IP-SGT 매핑을업스트림디바이스로전파합니다. 4. ASA가패킷을수신하고 SXP가전달한 IP-SGT 매핑을이용하여 SGT에서소스및대상 IP 주소를찾습니다. 신규매핑의경우 ASA가로컬 IP-SGT Manager 데이터베이스에기록합니다. 컨트롤플레인에서실행되는 IP-SGT Manager 데이터베이스는각 IPv4 또는 IPv6 주소에대해 IP-SGT 매핑을추적합니다. 데이터베이스는매핑을학습한소스를기록합니다. SXP 연결의피어 IP 주소가매핑소스로사용됩니다. 각 IP-SGT 매핑항목에대해여러소스가존재할수있습니다. ASA가스피커로구성된경우 ASA는모든 IP-SGT 매핑항목을 SXP 피어로전송합니다. 5. 보안정책이 ASA에서해당 SGT 또는보안그룹이름으로구성된경우 ASA가정책을시행합니다. ASA에서 SGT 또는보안그룹이름을포함하는보안정책을생성할수있습니다. 보안그룹이름을기준으로정책을시행하기위해 ASA는보안그룹이름을 SGT에매핑할보안그룹테이블을필요로합니다. ASA가보안그룹테이블에서보안그룹이름을찾을수없고이것이보안정책에포함된경우 ASA는보안그룹이름을알수없는것으로간주하고 syslog 메시지를생성합니다. ASA가 ISE에서보안그룹테이블을갱신하고보안그룹이름을알게된후 ASA는 syslog 메시지를생성하여보안그룹이름이확인되었음을알립니다. ISE 의보안그룹변경이주는영향 ASA 는 ISE 에서업데이트된테이블을다운로드함으로써보안그룹테이블을주기적으로갱신합니다. 다운로드할때마다 ISE 에서보안그룹이변경될수있습니다. 이러한변화는보안그룹테이블을갱신하기전에는 ASA 에반영되지않습니다. 정보 유지관리중에 ISE 에서정책컨피그레이션변경을예약한후 ASA 에서수동으로보안그룹테이블을갱신하여보안그룹변경사항이통합되도록확인하는것이좋습니다. 6-5

76 Cisco TrustSec 정보 6 장 ASA 및 Cisco TrustSec 이방법으로정책컨피그레이션변경사항을다루면보안그룹이름확인및보안정책의즉각적인활성화가능성이높아집니다. 보안그룹테이블은환경데이터타이머가만료되면자동으로갱신됩니다. 또한온디맨드로보안그룹테이블갱신을트리거할수있습니다. ISE에서보안그룹이변경되면 ASA가보안그룹테이블을갱신할때이벤트가발생합니다. 보안그룹이름을사용하여구성된보안그룹정책만보안그룹테이블로확인할필요가있습니다. 보안그룹태그를포함하는정책은항상활성상태입니다. 보안그룹테이블을처음사용할수있게되면보안그룹이름을가진모든정책이설명되고보안그룹이름이확인되며정책이활성화됩니다. 태그가지정된모든정책이설명되고알려진태그에대해 syslogs 가생성됩니다. 보안그룹테이블이만료되면직접삭제할때까지또는새로운테이블을사용할수있을때까지가장최근에다운로드한보안그룹테이블에따라정책이계속해서시행됩니다. 확인된보안그룹이름이 ASA 에서알수없음상태가되면보안정책이비활성화됩니다. 하지만보안정책은 ASA 실행중인컨피그레이션에계속남습니다. PAP 에서기존보안그룹이삭제되면이전에알려진보안그룹태그가알수없는상태가되지만 ASA 에서정책상태는변하지않습니다. 이전에알려진보안그룹이름이미확인상태가되고정책이비활성화됩니다. 보안그룹이름이재사용되면정책이새로운태그를이용하여다시컴파일됩니다. PAP 에새로운보안그룹이추가되면이전에알려지지않았던보안그룹태그가알려지고 syslog 메시지가생성되지만정책상태는변하지않습니다. 이전에알려지지않았던보안그룹이름이확인되고연결된정책이활성화됩니다. PAP 에서태그이름이변경되면태그를이용하여구성되었던정책이새로운이름을표시하고정책상태는변경되지않습니다. 보안그룹이름으로구성되었던정책이새로운태그값을사용하여다시컴파일됩니다. ASA 에서스피커및리스너역할에관해 ASA는다른네트워크디바이스로부터 IP-SGT 매핑항목을주고받도록 SXP를지원합니다. SXP 를사용하면보안디바이스와방화벽이하드웨어업그레이드나변경없이액세스스위치로부터 ID 정보를학습할수있습니다. SXP는또한 IP-SGT 매핑항목을업스트림디바이스 ( 데이터센터디바이스등 ) 에서다운스트림디바이스로전달할때도사용됩니다. ASA는업스트림및다운스트림방향모두에서정보를받을수있습니다. ASA에서 SXP 피어로 SXP 연결을구성할때는해당연결에대해 ASA를스피커또는리스너로지정하여 ID 정보를교환할수있도록해야합니다. 스피커모드 ASA 가 ASA 에서수집한모든활성 IP-SGT 매핑항목을정책시행을위해업스트림디바이스로전달할수있도록구성합니다. 리스너모드 ASA가다운스트림디바이스 (SGT 지원스위치 ) 로부터 IP-SGT 매핑항목을수신하고이정보를사용하여정책정의를생성할수있도록구성합니다. SXP 연결의한쪽이스피커로구성된경우다른한쪽은리스너로구성되어야합니다. SXP 연결의양쪽에있는두디바이스가모두같은역할 ( 둘다스피커또는리스너 ) 로구성된경우 SXP 연결이실패하고 ASA가 syslog 메시지를생성합니다. Multiple SXP 연결은 IP-SGT 매핑데이터베이스에서다운로드된 IP-SGT 매핑항목을학습할수있습니다. ASA 에서 SXP 피어로의 SXP 연결이설정된후리스너가전체 IP-SGT 데이터베이스를스피커에서다운로드합니다. 이후발생하는모든변경사항은네트워크에새로운디바이스가나타날때만전송됩니다. 따라서 SXP 정보흐름의속도는호스트가네트워크에인증되는속도에비례합니다. 6-6

77 6 장 ASA 및 Cisco TrustSec Cisco TrustSec 정보 SXP Chattiness SXP 연결을통해학습된 IP-SGT 매핑항목은 SXP IP-SGT 매핑데이터베이스에서유지됩니다. 서로다른 SXP 연결을통해동일한매핑항목을학습할수있습니다. 매핑데이터베이스는학습한각매핑항목에대해하나의사본을유지합니다. 동일한 IP-SGT 매핑값을가진여러매핑항목은매핑이학습된연결에서피어 IP 주소에의해식별됩니다. SXP는새로운매핑이처음학습되면 IP-SGT Manager가매핑항목을추가하고 SXP 데이터베이스의마지막사본이삭제되면매핑항목을삭제하도록요청합니다. SXP 연결이스피커로구성되어있으면 SXP는항상 IP-SGT Manager에게디바이스에서수집된모든매핑항목을피어로전달할것을요청합니다. 새로운매핑이로컬로학습되면 IP-SGT Manager는 SXP가스피커로구성된연결을통해이를전달할것을요청합니다. ASA를 SXP 연결을위한스피커와리스너로동시에구성하면 SXP 루핑이발생하여 SXP 데이터를처음에전송한 SXP 피어가다시이데이터를수신하게됩니다. SXP 정보흐름의속도는호스트가네트워크에인증되는속도에비례합니다. SXP 피어링이설정된후리스너디바이스가스피커디바이스에서전체 IP-SGT 데이터베이스를다운로드합니다. 그후모든변경사항은새로운디바이스가네트워크에나타나거나네트워크를떠날때만증분적으로전송됩니다. 또한새로운디바이스에연결된액세스디바이스만업스트림디바이스로의이러한증분적인업데이트를시작할수있습니다. 다시말하면 SXP 프로토콜은인증서버의기능으로제한되는인증속도보다빠르지않습니다. 따라서 SXP chattiness는중요한문제가아닙니다. SXP 타이머 Retry Open Timer 열기재시도타이머는디바이스의특정 SXP 연결이연결되지않은경우트리거됩니다. 열기재시도타이머가종료되면디바이스가전체연결데이터베이스를점검하고연결이꺼져있거나 " 대기 " 상태인경우열기재시도타이머가재시작됩니다. 기본타이머값은 120 초입니다. 값이 0 이면재시도타이머가시작되지않습니다. 열기재시도타이머는모든 SXP 연결이설정될때까지또는열기재시도타이머가 0 으로구성될때까지계속됩니다. Delete Hold-Down Timer 연결별삭제보류타이머는리스너의연결이해제될때트리거됩니다. 학습된매핑항목은즉시삭제되지않고삭제보류타이머가만료될때까지유지됩니다. 이타이머가만료된후매핑항목이삭제됩니다. 삭제보류타이머값은 120 초로설정되며변경할수없습니다. 조정타이머 삭제보류타이머시간내에 SXP 연결이연결되면이연결에대한일괄업데이트가수행됩니다. 이는가장최근의매핑항목이학습되어새로운연결인스턴스생성식별자와연결되었음을의미합니다. 주기적인연결별조정타이머가백그라운드에서시작됩니다. 이조정타이머가만료되면전체 SXP 매핑데이터베이스를검색하고현재연결세션에서학습되지않은모든매핑항목 ( 연결인스턴스생성식별자가일치하지않는매핑항목 ) 을식별한후삭제표시를합니다. 이항목은다음의조정검토에서삭제됩니다. 기본조정타이머값은 120 초입니다. 사용하지않는항목이기한없이남아정책시행에예기치못한영향을미치지않도록하기위하여 ASA 에서는제로값이허용되지않습니다. 6-7

78 Cisco TrustSec 정보 6 장 ASA 및 Cisco TrustSec HA 조정타이머 HA가활성화된경우활성및스탠바이유닛의 SXP 매핑데이터베이스가동기화된것입니다. 새로운활성유닛이모든피어에대한새로운 SXP 연결설정을시도하고최신매핑항목을입수합니다. HA 조정타이머는이전매핑항목을식별하고삭제하는수단을제공합니다. 조정타이머는장애조치가발생한후시작되어 ASA가최신매핑항목을입수할시간을제공합니다. HA 조정타이머가만료된후 ASA는전체 SXP 매핑데이터베이스를스캔하고현재연결세션에서학습되지않은모든매핑항목을식별합니다. 일치하지않는인스턴트생성식별자를가진매핑항목에삭제표시가됩니다. 이조정메커니즘은조정타이머와동일합니다. 시간값은조정타이머와동일하며컨피그레이션이가능합니다. SXP 피어가 SXP 연결을종료하고나면 ASA가삭제보류타이머를시작합니다. 리스너로지정된 SXP 피어만연결을종료할수있습니다. SXP 피어가삭제보류타이머실행중에연결되는경우 ASA가조정타이머를시작하고 ASA는 IP-SGT 매핑데이터베이스를업데이트하여가장최근의매핑을학습합니다. IP-SGT Manager 데이터베이스 IP-SGT Manager 데이터베이스는활성유닛의항목을스탠바이유닛으로동기화하지않습니다. IP-SGT Manager 데이터베이스가 IP-SGT 매핑항목을수신하는각소스는활성유닛에서스탠바이유닛으로데이터베이스를동기화한후최종 IP-SGT 매핑을스탠바이유닛의 IP-SGT Manager에제공합니다. 버전 9.0(1) 의경우 IP-SGT Manager 데이터베이스는 SXP 소스에서만 IP-SGT 매핑업데이트를수신합니다. ASA-Cisco TrustSec 통합의기능 Cisco TrustSec 은다음과같은기능을제공합니다. 유연성 ASA 는 SXP 스피커또는리스너또는스피커이자리스너로구성할수있습니다. ASA 는 IPv6 및 IPv6 지원네트워크디바이스를위한 SXP 를지원합니다. SXP 는 IPv4 및 IPv6 주소를위한매핑항목을변경할수있습니다. SXP 엔드포인트는 IPv4 및 IPv6 주소를지원합니다. ASA 는 SXP 버전 2 만지원합니다. ASA 는서로다른 SXP 지원네트워크디바이스를사용하여 SXP 버전을협상합니다. SXP 버전협상을하면고정버전컨피그레이션이필요없게됩니다. SXP 조정타이머가만료되면 ASA 가보안그룹테이블을갱신하도록구성하고온디맨드로보안그룹테이블을다운로드할수있습니다. ASA 의보안그룹테이블이 ISE 에서업데이트되면변경사항이적정보안정책에반영됩니다. ASA 는소스또는대상필드또는두필드모두에서보안그룹이름을기반으로보안정책을지원합니다. 보안그룹, IP 주소, Active Directory 그룹 / 사용자이름및 FQDN 을기준으로 ASA 에서보안정책을구성할수있습니다. 사용가능 Active/Active 및 Active/Standby 컨피그레이션으로 ASA 에서보안그룹기반정책을구성할수있습니다. ASA 는 HA( 고가용성 ) 를위해구성된 ISE 와통신할수있습니다. 6-8

79 6 장 ASA 및 Cisco TrustSec Cisco TrustSec 정보 여러 ISE 서버를 ASA 에서구성하고첫번째서버가도달불가능한경우다음서버로이동할수있습니다. 그러나서버목록이 Cisco TrustSec 환경데이터의일부로다운로드된경우무시됩니다. ISE 에서다운로드된 PAC 파일이 ASA 에서만료되고업데이트된보안그룹테이블을다운로드할수없는경우 ASA 는 ASA 가업데이트된테이블을다운로드할때까지마지막으로다운로드된보안그룹테이블을기준으로보안정책을시행합니다. 클러스터링 Layer 2 네트워크의경우모든유닛이동일한 IP 주소를공유합니다. 인터페이스주소를변경하면변경된컨피그레이션이다른모든유닛으로전송됩니다. IP 주소가특정유닛의인터페이스에서업데이트되면알림이전송되어이유닛의 IP-SGT 로컬데이터베이스를업데이트합니다. Layer 3 네트워크의경우마스터유닛의각인터페이스에대해주소풀이구성되고이컨피그레이션이슬레이브유닛으로동기화됩니다. 마스터유닛에서인터페이스에할당된 IP 주소알림이전송되고 IP-SGT 로컬데이터베이스가업데이트됩니다. 각슬레이브유닛의 IP-SGT 로컬데이터베이스는여기에동기화된주소풀컨피그레이션을사용하여마스터유닛에대한 IP 주소로업데이트될수있습니다. 여기서각인터페이스에대한풀의첫번째주소는항상마스터유닛에속합니다. 슬레이브유닛이부팅되면마스터유닛에알립니다. 그러면마스터유닛이각인터페이스의주소풀을검토하고알림을보낸새로운슬레이브유닛에대한 IP 주소를계산하며마스터유닛에서 IP-SGT 로컬데이터베이스를업데이트합니다. 마스터유닛은또한다른슬레이브유닛에새로운슬레이브유닛에대해알려줍니다. 이알림처리의일부로서각슬레이브유닛은새로운슬레이브유닛에대한 IP 주소를계산하고이각슬레이브유닛의 IP-SGT 로컬데이터베이스에이항목을추가합니다. 모든슬레이브유닛은 IP 주소값을결정하기위한주소풀컨피그레이션을갖습니다. 각인터페이스에대해이값은다음과같이결정됩니다. Master IP + (M-N): M 최대유닛수 ( 최대 8개 ) N 알림을보낸슬레이브유닛번호인터페이스에서 IP 주소풀이변경되면모든슬레이브유닛과마스터유닛에대한 IP 주소가다시조정되고마스터유닛은물론다른모든슬레이브유닛의 IP-SGT 로컬데이터베이스에서업데이트되어야합니다. 이전 IP 주소를삭제하고새로운 IP 주소를추가해야합니다. 컨피그레이션변경처리과정의일부로서이변경된주소풀컨피그레이션이슬레이브유닛에동기화되면각슬레이브유닛은 IP 주소가변경된마스터유닛과다른모든슬레이브유닛에대한 IP 주소를다시계산하고이전 IP 주소항목을삭제하고새로운 IP 주소를추가합니다. 확장성 다음표는 ASA 가지원하는 IP-SGT 매핑항목의수를표시합니다. 표 6-1 IP-SGT 매핑항목에대한용량숫자 ASA 모델 IP-SGT 매핑항목수 5585-X(SSP-10 포함 ) 18, X(SSP-20 포함 ) 25, X(SSP-40 포함 ) 50, X(SSP-60 포함 ) 100,

80 Cisco TrustSec 정보 6 장 ASA 및 Cisco TrustSec 다음그림은 ASA 가지원하는 SXP 연결의수를표시합니다. 표 6-2 SXP 연결 ASA 모델 SXP TCP 연결수 5585-X(SSP-10 포함 ) X(SSP-20 포함 ) X(SSP-40 포함 ) X(SSP-60 포함 ) 1000 ISE 에 ASA 를등록 ASA 가 SE 에인정되는 Cisco TrustSec 네트워크디바이스로구성되어있어야 ASA 가성공적으로 PAC 파일을가져올수있습니다. ISE 에 ASA 를등록하려면다음단계를수행하십시오. 1. ISE 에로그인합니다. 2. Administration( 관리 ) > Network Devices( 네트워크디바이스 ) > Network Devices( 네트워크디바이스 ) 를선택합니다. 3. Add( 추가 ) 를클릭합니다. 4. ASA 의 IP 주소를입력합니다. 5. 사용자인증을위해 ISE가사용되는경우 Authentication Settings 영역에공유암호를입력합니다. ASA에서 AAA 서버를구성할때는 ISE에서생성한공유암호를입력하십시오. ASA의 AAA 서버는이공유암호를사용하여 ISE와통신합니다. 6. ASA 에대한디바이스이름, 디바이스 ID, 비밀번호, 다운로드간격을지정합니다. 이작업수행방법은 ISE 문서를참조하십시오. ISE 에서보안그룹생성 ISE 와통신하도록 ASA 를구성할때는 AAA 서버를지정합니다. ASA 에서 AAA 서버를구성할때는서버그룹을지정해야합니다. 보안그룹은 RADIUS 프로토콜을사용하도록구성되어야합니다. ISE 에서보안그룹을생성하려면다음단계를수행합니다. 1. ISE 에로그인합니다. 2. Policy( 정책 ) > Policy Elements( 정책요소 ) > Results( 결과 ) > Security Group Access( 보안그룹액세스 ) > Security Group( 보안그룹 ) 을선택합니다. 3. ASA에대한보안그룹을추가합니다. 보안그룹은전역적으로설정되며 ASA별로다르지않습니다. ISE가 Security Groups 아래에태그가지정된항목을생성합니다. 4. Security Group Access 영역에서 ASA 에대한디바이스 ID 자격증명과비밀번호를구성합니다. 6-10

81 6 장 ASA 및 Cisco TrustSec Cisco TrustSec 지침 PAC 파일생성 PAC 파일을생성하려면다음단계를수행하십시오. 1. ISE 에로그인합니다. 2. Administration( 관리 ) > Network Resources( 네트워크리소스 ) > Network Devices( 네트워크디바이스 ) 를선택합니다. 3. 디바이스목록에서 ASA 를선택합니다. 4. SGA( 보안그룹액세스 ) 에서 Generate PAC(PAC 생성 ) 를클릭합니다. 5. PAC 파일을암호화하려면비밀번호를입력합니다. PAC 파일암호화를위해입력하는비밀번호 ( 또는암호화키 ) 는 ISE에서디바이스자격증명의일부로서구성된비밀번호와별개입니다. ISE가 PAC 파일을생성합니다. ASA는플래시메모리또는 TFTP, FTP, HTTP, HTTPS, SMB를통한원격서버로부터 PAC 파일을가져올수있습니다. PAC 파일은파일을가져오기전에 ASA 플래시에상주하지않아도됩니다. 참고 PAC 파일은 ASA 및 ISE 가둘사이의 RADIUS 트랜잭션을보안할수있는공유키를포함합니다. 따라서 PAC 파일을 ASA 에안전하게보관해야합니다. Cisco TrustSec 지침 이섹션에는 Cisco TrustSec 을구성하기전에검토해야하는지침및제한사항이포함됩니다. 장애조치 컨피그레이션을통한서버목록을지원합니다. 첫번째서버에도달할수없는경우 ASA 가목록의다음서버에도달을시도합니다. 그러나 Cisco TrustSec 환경데이터의일부로다운로드된서버목록은무시됩니다. ASA 가장애조치컨피그레이션의일부인경우 PAC 파일을기본 ASA 디바이스로가져와야합니다. ASA 가장애조치컨피그레이션의일부인경우기본 ASA 디바이스에서환경데이터를갱신해야합니다. 클러스터링 ASA 가클러스터링컨피그레이션의일부인경우 PAC 파일을마스터장치로가져와야합니다. ASA 가클러스터링컨피그레이션의일부인경우마스터장치에서환경데이터를갱신해야합니다. IPv6 ASA 는 IPv6 및 IPv6 지원네트워크디바이스를위한 SXP 를지원합니다. AAA 서버는 IPv4 주소를사용해야합니다. Layer 2 SGT Imposition 물리적인터페이스, VLAN 인터페이스, 포트채널인터페이스및중복인터페이스에서만지원됩니다. BVI 와같은논리적인터페이스나가상인터페이스에서는지원되지않습니다. 6-11

82 Cisco TrustSec 지침 6 장 ASA 및 Cisco TrustSec SAP 협상및 MACsec 을이용한링크암호화를지원하지않습니다. 장애조치링크에서는지원되지않습니다. 클러스터제어링크에서는지원되지않습니다. ASA 는 SGT 가변경된경우기존흐름을다시분류하지않습니다. 이전 SGT 를기반으로만들어진정책결정은흐름의수명동안효력을유지합니다. 그러나 ASA 는이전 SGT 를기반으로분류된흐름에속한패킷이라도 SGT 변경사항을이그레스패킷에즉시반영할수있습니다. ASA 5585-X 의하드웨어아키텍처는일반패킷의로드밸런싱을최적화하도록설계되었으나 Layer 2 보안그룹태그지정적용을포함한인라인태그패킷의경우는다릅니다. 수신인라인태그패킷을처리할때는 ASA 5585-X 에상당한성능저하가발생할수있습니다. 이문제는다른 ASA 플랫폼에서인라인태그패킷을사용하거나 ASA 5585-X 에서태그가지정되지않은패킷을사용하는경우에는발생하지않습니다. 한가지해결방법은최소인라인태그패킷이 ASA 5585-X 로전송되어스위치에서태그정책시행을처리할수있도록액세스정책을오프로드하는것입니다. 다른해결방법은 ASA 5585-X 가태그패킷을수신할필요없이 IP 주소를보안태그에매핑할수있도록 SXP 를사용하는것입니다. ASASM 는 Layer 2 보안그룹태그지정적용을지원하지않습니다. 추가지침 Cisco TrustSec 은단일컨텍스트모드및다중컨텍스트모드에서 Smart Call Home 기능을지원하지만시스템컨텍스트에서는지원하지않습니다. ASA 는단일 Cisco TrustSec 도메인에서만상호운용되도록구성할수있습니다. ASA 는디바이스에서 SGT- 이름매핑의고정컨피그레이션을지원하지않습니다. NAT 는 SXP 메시지에서지원되지않습니다. SXP 는네트워크의시행포인트로 IP-SGT 매핑을전달합니다. 액세스레이어스위치가시행포인트와다른 NAT 도메인에속하는경우스위치가업로드하는 IP-SGT 맵은유효하지않고시행디바이스의 IP-SGT 매핑데이터베이스조회에서유효한결과가반환되지않습니다. 따라서 ASA 가시행디바이스에서보안그룹 - 인식보안정책을적용할수없습니다. ASA 에대해 SXP 연결에사용할기본비밀번호를구성하거나비밀번호를사용하지않기로선택할수도있지만연결별비밀번호는 SXP 피어에대해지원되지않습니다. 구성된기본 SXP 비밀번호는배포네트워크전체에서일관되어야합니다. 연결별로비밀번호를구성하면연결이실패하고경고메시지가나타납니다. 기본비밀번호로연결을구성하면비밀번호없이연결을구성한것과마찬가지결과가나타납니다. 디바이스가피어로양방향연결되었을때또는양방향으로연결된디바이스체인의일부일때 SXP 연결루프가발생합니다. ASA 가데이터센터의액세스레이어으로부터리소스에대한 IP-SGT 매핑을학습할수있습니다. ASA 는다운스트림디바이스로이태그를전파해야할수있습니다. SXP 연결루프는 SXP 메시지전송의예기치않은동작을발생시킬수있습니다. ASA 가스피커와리스너로구성된경우 SXP 연결루프가발생하여 SXP 데이터를전송한피어가이데이터를다시받게될수있습니다. ASA 로컬 IP 주소를변경할때는모든 SXP 피어가피어목록을업데이트했는지확인해야합니다. 또한 SXP 피어가 IP 주소를변경할경우이러한변경사항이 ASA 에반영되는지확인해야합니다. 자동 PAC 파일프로비저닝은지원되지않습니다. ASA 관리자는 ISE 관리인터페이스에서 PAC 파일을요청하고 ASA 로가져와야합니다. PAC 파일에는기한이있습니다. 현재 PAC 파일이만료되기전에업데이트된 PAC 파일을가져와야합니다. 그러지않으면 ASA 가환경데이터업데이트를가져올수없습니다. 6-12

83 6 장 ASA 및 Cisco TrustSec Cisco TrustSec 지침 ISE 에서보안그룹이변경되는경우 ( 이름이변경되거나삭제되는경우 ) ASA 가변경된보안그룹과연결된 SGT 또는보안그룹이름을포함하는 ASA 보안정책의상태를변경하지않습니다. 하지만 ASA 는 syslog 메시지를생성하여해당보안정책이변경되었음을나타냅니다. 멀티캐스트유형은 ISE 1.0 에서지원되지않습니다. SXP 연결은다음예에서와같이 ASA에의해서로연결된두 SXP 피어사이에서초기화상태에머뭅니다. (SXP 피어 A) (ASA) (SXP 피어 B) 따라서 Cisco TrustSec과의통합을위해 ASA를구성할때는 ASA에서 no-nat, no-seq-rand 및 MD5-AUTHENTICATION TCP 옵션을활성화하여 SXP 연결을구성해야합니다. SXP 피어사이에서 SXP 포트 TCP 64999로향하는트래픽에대해 TCP 상태우회정책을생성합니다. 그런다음적절한인터페이스에정책을적용하십시오. 예를들어, 다음명령집합은 TCP 상태우회정책에대해 ASA를구성하는방법을보여줍니다. access-list SXP-MD5-ACL extended permit tcp host peera host peerb eq access-list SXP-MD5-ACL extended permit tcp host peerb host peera eq tcp-map SXP-MD5-OPTION-ALLOW tcp-options range allow class-map SXP-MD5-CLASSMAP match access-list SXP-MD5-ACL policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class SXP-MD5-CLASSMAP set connection random-sequence-number disable set connection advanced-options SXP-MD5-OPTION-ALLOW set connection advanced-options tcp-state-bypass service-policy global_policy global Cisco TrustSec 통합을위한 AAA 서버컨피그레이션 이섹션에서는 Cisco TrustSec 에 AAA 서버를통합하는방법을설명합니다. 시작하기전에 참조서버그룹은 RADIUS 프로토콜을사용하도록구성되어야합니다. 비 RADIUS 서버그룹을 ASA 에추가하면컨피그레이션이실패합니다. ISE가사용자인증에도사용되는경우 ISE에 ASA를등록할때 ISE에입력한공유암호를얻으십시오. ISE 관리자에게문의하여이정보를확보하십시오. ASA에서 ISE와통신하도록 AAA 서버그룹을구성하려면다음단계를수행하십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Identity By TrustSec(TrustSec 별 ID) 을선택합니다. 2단계 Manage( 관리 ) 를클릭하여 ASA에서버그룹을추가합니다. Configure AAA Server Group(AAA 서버그룹구성 ) 대화상자가나타납니다. 6-13

84 Cisco TrustSec 지침 6 장 ASA 및 Cisco TrustSec 3단계 ISE에서 ASA에대해생성된보안그룹의이름을입력합니다. 여기에지정하는서버그룹이름은 ISE에서 ASA에대해생성된보안그룹이름과반드시일치해야합니다. 두그룹이름이일치하지않으면 ASA가 ISE와통신할수없습니다. ISE 관리자에게문의하여이정보를확보하십시오. 4단계 Protocol( 프로토콜 ) 드롭다운목록에서 RADIUS를선택합니다. AAA 서버그룹대화상자에서나머지필드를완성하려면일반적인작업컨피그레이션가이드에서 RADIUS 장을참조하십시오. 5 단계 OK( 확인 ) 를클릭합니다. 6단계방금생성한 AAA 서버그룹을선택하고, Servers in the Selected Group( 선택한그룹에있는서버 ) 영역에서 Add( 추가 ) 를클릭하여서버를그룹에추가합니다. Add AAA Server(AAA 서버추가 ) 대화상자가나타납니다. 7 단계 ISE 서버가상주하는네트워크인터페이스를선택합니다. 8단계 ISE 서버의 IP 주소를입력하십시오. AAA 서버대화상자에서나머지필드를완성하려면일반적인작업컨피그레이션가이드에서 RADIUS 장을참조하십시오. 9 단계 OK( 확인 ) 를클릭합니다. 10 단계 Apply( 적용 ) 를클릭하여실행중인컨피그레이션에변경사항을저장합니다. PAC 파일가져오기 이섹션에서는 PAC 파일을가져오는방법을설명합니다. 시작하기전에 ASA 가 SE 에인정되는 Cisco TrustSec 네트워크디바이스로구성되어있어야 ASA 가 PAC 파일을생성할수있습니다. ISE 에서생성할때 PAC 파일암호화에사용되는비밀번호를확보합니다. ASA 는 PAC 파일가져오기및암호해독에이비밀번호를필요로합니다. ASA 는 ISE 가생성한 PAC 파일에대한액세스가필요합니다. ASA 는플래시메모리또는 TFTP, FTP, HTTP, HTTPS, SMB 를통한원격서버로부터 PAC 파일을가져올수있습니다. PAC 파일은파일을가져오기전에 ASA 플래시에상주하지않아도됩니다. 서버그룹이 ASA에대해구성되었습니다. PAC 파일을가져오려면다음단계를수행하십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Identity By TrustSec(TrustSec 별 ID) 을선택합니다. 2 단계 SXP 를활성화하려면 Enable Security Exchange Protocol 확인란을선택합니다. 3 단계 Import PAC(PAC 가져오기 ) 를클릭하여 Import PAC(PAC 가져오기 ) 대화상자를표시합니다. 6-14

85 6 장 ASA 및 Cisco TrustSec Cisco TrustSec 지침 4 단계다음형식중하나를사용하여 PAC 파일에대한경로와파일이름을입력합니다. disk0: disk0 의경로및파일이름 disk1: disk1 의경로및파일이름 flash: 플래시의경로및파일이름 ftp: FTP 의경로및파일이름 http: HTTP 의경로및파일이름 https: HTTPS 의경로및파일이름 smb: SMB 의경로및파일이름 tftp: TFTP 의경로및파일이름 다중모드 http: HTTP 의경로및파일이름 https: HTTPS 의경로및파일이름 smb: SMB 의경로및파일이름 tftp: TFTP 의경로및파일이름 5 단계 PAC 파일을암호화하는데사용되는비밀번호를입력합니다. 비밀번호는디바이스자격증명의일부로서 ISE 에구성된비밀번호와는별개입니다. 6 단계확인을위해암호를다시입력합니다. 7 단계 Import( 가져오기 ) 를클릭합니다. 8단계 Apply( 적용 ) 를클릭하여실행중인컨피그레이션에변경사항을저장합니다. PAC 파일을가져오는경우파일이 ASCII HEX 형식으로변환되어비대화형모드에서 ASA에전송됩니다. Security Exchange Protocol 컨피그레이션 이섹션에서는 Security Exchange Protocol의컨피그레이션방법에대해설명합니다. 시작하기전에최소하나의인터페이스가 UP/UP 상태여야합니다. 참고 모든인터페이스가다운된상태로 SXP 가활성화된경우 ASA 는 SXP 가작동하지않거나활성화할수없음을나타내는메시지를표시하지않습니다. show running-config 명령을입력하여컨피그레이션을확인하면명령출력이다음메시지를표시합니다. WARNING: SXP configuration in process, please wait for a few moments and try again. 이메시지는일반적인메시지로 SXP 가작동하지않는이유를명시하지는않습니다. SXP 를구성하려면다음단계를수행하십시오. 6-15

86 Cisco TrustSec 지침 6 장 ASA 및 Cisco TrustSec 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Identity By TrustSec(TrustSec 별 ID) 을선택합니다. 2 단계 SXP 를활성화하려면 Enable Security Exchange Protocol 확인란을선택합니다. 기본적으로 SXP 는비활성화되어있습니다. 3 단계 SXP 연결을위한기본로컬 IP 주소를입력합니다. IP 주소는 IPv4 또는 IPv6 주소가될수있습니다. 참고 ASA 는피어 IP 주소가도달할수있는발신인터페이스 IP 주소로서 SXP 연결을위한로컬 IP 주소를결정합니다. 구성된로컬주소가발신인터페이스 IP 주소와다른경우 ASA 는 SXP 피어에연결할수없고 syslog 메시지를생성합니다. 4단계 SXP 피어를통한 TCP MD5 인증을위한기본비밀번호를입력합니다. 기본적으로 SXP 연결에는설정된비밀번호가없습니다. 최대 162자의암호화된문자열또는최대 80자의 ASCII 키문자열로비밀번호를지정할수있습니다. 비밀번호에대한암호화수준컨피그레이션은선택사항입니다. 암호화수준을구성할경우하나의수준만설정할수있습니다. Level 0( 수준 0) - 암호화되지않은일반텍스트 Level 8( 수준 8) - 암호화된텍스트 5단계 SXP 피어간새로운 SXP 연결설정 ASA 시도사이의기본시간간격을 Retry Timer( 재시도타이머 ) 필드에입력합니다. ASA는연결에성공할때까지새로운 SXP 피어에연결을시도합니다. ASA에설정되지않은 SXP 연결이있는한재시도타이머가트리거됩니다. 0~64000초로재시도타이머의값을입력합니다. 0초로지정하면타이머가만료되지않고 ASA가 SXP 피어연결을시도하지않습니다. 타이머기본값은 120초입니다. 재시도타이머가만료되면 ASA는연결데이터베이스를확인합니다. 데이터베이스에꺼져있거나 " 보류 " 상태인연결이있는경우 ASA는재시도타이머를다시시작합니다. 6단계기본조정타이머의값을입력합니다. SXP 피어가 SXP 연결을종료하고나면 ASA가보류타이머를시작합니다. SXP 피어가보류타이머실행중에연결되는경우 ASA이 ( 가 ) 조정타이머를시작하고 ASA은 ( 는 ) SXP 매핑데이터베이스를업데이트하여가장최근의매핑을학습합니다. 조정타이머가만료되면 ASA가 SXP 매핑데이터베이스를스캔하여오래된매핑항목 ( 이전연결세션에서학습한항목 ) 를식별합니다. ASA에서이러한연결을오래된연결로표시합니다. 조정타이머가만료되면 ASA가오래된항목을 SXP 매핑데이터베이스에서삭제합니다. 1~64000초로조정타이머의값을입력합니다. 타이머기본값은 120초입니다. 참고 타이머를 0 초로지정하면조정타이머가시작되지않기때문에안됩니다. 조정타이머실행을허용하지않으면오래된항목이무기한남아서정책시행에서예기치못한결과를초래할수있습니다. 7 단계 Apply( 적용 ) 를클릭하여실행중인컨피그레이션에변경사항을저장합니다. 6-16

87 6 장 ASA 및 Cisco TrustSec Cisco TrustSec 지침 SXP 연결피어추가 SXP 연결피어를추가하려면다음단계를수행하십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Identity By TrustSec(TrustSec 별 ID) 을선택합니다. 2 단계 SXP 를활성화하려면 Enable Security Exchange Protocol 확인란을선택합니다. 3 단계 Add( 추가 ) 를클릭하여 Add Connection( 연결추가 ) 대화상자를표시합니다. 4 단계 SXP 피어의 IPv4 또는 IPv6 주소를입력합니다. 피어 IP 주소는 ASA 발신인터페이스에서연결가능해야합니다. 5 단계 ( 선택사항 ) SXP 연결의로컬 IPv4 또는 IPv6 주소를입력합니다. 소스 IP 주소지정은선택사항이나지정할경우컨피그레이션오류를방지할수있습니다. 6 단계다음값중하나를선택하여 SXP 연결을위한인증키사용여부를나타냅니다. Default( 기본 ) - SXP 연결을위해구성된기본비밀번호를사용합니다. None( 없음 ) - SXP 연결을위해비밀번호를사용하지않습니다. 7 단계 ( 선택사항 ) 다음값중하나를선택하여 SXP 연결모드를지정합니다. Local( 로컬 ) - 로컬 SXP 디바이스를사용합니다. Peer( 피어 ) - 피어 SXP 디바이스를사용합니다. 8 단계 ASA 가 SXP 연결에대한스피커또는리스너중어떤역할을할지지정합니다. Speaker( 스피커 ) - ASA 가 IP-SGT 매핑을업스트림디바이스로전달할수있습니다. Listener( 리스너 ) - ASA 가 IP-SGT 매핑을다운스트림디바이스에서수신할수있습니다. 9 단계 OK( 확인 ) 를클릭합니다. 10 단계 Apply( 적용 ) 를클릭하여설정을실행중인컨피그레이션에저장합니다. 환경데이터갱신 ASA 는 ISE 에서환경데이터를다운로드하며여기에는 SGT( 보안그룹태그 ) 이름테이블이포함됩니다. ASA 에서다음작업을완료하면 ASA 는 ISE 에서수집한환경데이터를자동으로업데이트합니다. ISE 와통신할 AAA 서버를구성합니다. ISE 에서 PAC 파일을가져옵니다. ASA 가 Cisco TrustSec 환경데이터를검색하는데사용할 AAA 서버그룹을식별합니다. 보통은 ISE 의환경데이터를수동으로갱신할필요가없지만 ISE 에서보안그룹이달라질수있습니다. 이러한변경사항은 ASA 보안그룹테이블에서데이터를갱신하기전에는 ASA 에반영되지않으므로 ASA 에서데이터를갱신하여 ISE 의보안그룹변경사항이 ASA 에반영되도록하십시오. 6-17

88 Cisco TrustSec 지침 6 장 ASA 및 Cisco TrustSec 참고 ISE 의정책컨피그레이션변경과 ASA 의수동데이터갱신을유지관리기간중에예약하는것이좋습니다. 이방법으로정책컨피그레이션변경사항을처리하면 ASA 에서보안그룹이름이확인되고보안정책이즉시활성화될가능성이극대화됩니다. 환경데이터를갱신하려면다음단계를수행합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Identity By TrustSec(TrustSec 별 ID) 을선택합니다. 2단계 Server Group Setup( 서버그룹설정 ) 영역에서 Refresh Environment Data( 환경데이터갱신 ) 를클릭합니다. ASA가 ISE에서 Cisco TrustSec 환경데이터를갱신하고조정타이머를설정된기본값으로재설정합니다. 보안정책컨피그레이션 여러 ASA 기능에서 Cisco TrustSec 정책을통합할수있습니다. 확장 ACL 을사용하는모든기능 ( 이장에서미지원으로명시된경우제외 ) 은 Cisco TrustSec 을이용할수있습니다. 보안그룹인수는물론기존의네트워크기반매개변수를확장 ACL 에추가할수있습니다. 액세스규칙을구성하려면방화벽컨피그레이션가이드를참조하십시오. ACL에서사용할수있는보안그룹객체그룹을구성하려면보안그룹객체그룹컨피그레이션, 3-6페이지를참조하십시오. 예를들어액세스규칙은네트워크정보를사용하여인터페이스의트래픽을허용하거나거부합니다. Cisco TrustSec을통해보안그룹을기반으로액세스를제어할수있습니다. 예를들어 sample_securitygroup 을위한액세스규칙을만들수있으므로보안그룹은서브넷 /8의어떤 IP 주소라도가질수있습니다. 보안그룹이름의조합 ( 서버, 사용자, 비관리디바이스등 ), 사용자기반속성, 기존 IP 주소기반객체 (IP 주소, Active Directory 객체및 FQDN) 를기반으로보안정책을구성할수있습니다. 보안그룹멤버십은역할을넘어확장되어디바이스및위치속성을포함할수있으며사용자그룹멤버십과는별개입니다. Layer 2 보안그룹태그지정적용 Cisco TrustSec 은각네트워크사용자와리소스를식별및인증하고 SGT( 보안그룹태그 ) 라는 16 비트숫자를할당합니다. 그러면이식별자가네트워크홉사이에전파되어 ASA, 스위치및라우터와같은중개디바이스가이 ID 태그를기반으로정책을시행할수있습니다. Layer 2 SGT 적용이라고도하는 SGT 및이더넷태그지정은 ASA 가 Cisco 고유의이더넷프레이밍 ( 이더타입 0x8909) 을사용하여이더넷인터페이스에서보안그룹태그를보내고받도록하여소스보안그룹태그를일반텍스트이더넷프레임으로삽입할수있게됩니다. ASA 는발신패킷에보안그룹태그를삽입하고수동인터페이스별컨피그레이션에따라수신패킷에서보안그룹태그를처리합니다. 이기능을통해네트워크디바이스에걸쳐엔드포인트 ID 를인라인홉별로전파할수있고각홉사이에서원활한 Layer 2 SGT 적용이가능합니다. 6-18

89 6 장 ASA 및 Cisco TrustSec Cisco TrustSec 지침 다음그림은 Layer 2 SGT 적용의일반적인예입니다. 그림 6-3 Layer 2 SGT Imposition Switch ISE Router Untagged Inline Tagged SGT 100 ASA Inline Tagged SGT 100 Untagged SGT 100 = User 1 ACL: Allow User 1 to access server User 1 Server 활용시나리오 다음표는이기능을구성할때인그레스트래픽의예상동작을설명합니다. 표 6-3 인그레스트래픽 인터페이스컨피그레이션 수신된태그패킷 수신된태그가없는패킷 명령이발행되지않습니다. 패킷이삭제됩니다. SGT 값은 IP-SGT Manager에서가져옵니다. cts manual 명령이발행됩니다. SGT 값은 IP-SGT Manager에서가져옵니다. SGT 값은 IP-SGT Manager에서가져옵니다. cts manual 명령과 policy static sgt sgt_number 명령이모두발행됩니다. cts manual 명령과 policy static sgt sgt_number trusted 명령이모두발행됩니다. SGT 값은 policy static sgt sgt_number 명령에서가져옵니다. SGT 값은패킷의인라인 SGT 에서가져옵니다. SGT 값은 policy static sgt sgt_number 명령에서가져옵니다. SGT 값은 policy static sgt sgt_number 명령에서가져옵니다. 참고 If IP-SGT Manager 에서일치하는 IP-SGT 매핑이없는경우 "Unknown" 에대해예약된 SGT 값인 "0x0" 이사용됩니다. 6-19

90 Cisco TrustSec 지침 6 장 ASA 및 Cisco TrustSec 다음표는이기능을구성할때이그레스트래픽의예상동작을설명합니다. 표 6-4 이그레스트래픽 인터페이스컨피그레이션명령이발행되지않습니다. cts manual 명령이발행됩니다. cts manual 명령과 propagate sgt 명령이모두발행됩니다. cts manual 명령과 no propagate sgt 명령이모두발행됩니다. 전송된태그또는태그가없는패킷태그없음태그있음태그있음태그없음 다음표는이기능을구성할때 to-the-box 및 from-the-box 트래픽의예상동작을설명합니다. 표 6-5 To-the-box 및 From-the-box 트래픽 인터페이스컨피그레이션 to-the-box 트래픽에대한인그레스인터페이스에서명령이발행되지않습니다. to-the-box 트래픽에대한인그레스트래픽에서 cts manual 명령이발행됩니다. cts manual 명령이발행되지않거나 from-the-box 트래픽에대한이그레스인터페이스에서 cts manual 명령및 no propagate sgt 명령이모두발행됩니다. cts manual 명령이발행되거나 from-the-box 트래픽에대한이그레스인터페이스에서 cts manual 명령및 propagate sgt 명령이모두발행됩니다. 수신된태그또는태그가없는패킷 패킷이삭제됩니다. 패킷이승인되지만정책시행또는 SGT 전파가없습니다. 태그없는패킷이전송되지만정책시행이없습니다. SGT 번호는 IP-SGT Manager 에서가져옵니다. 태그가있는패킷이전송됩니다. SGT 번호는 IP-SGT Manager 에서가져옵니다. 참고 If IP-SGT Manager 에서일치하는 IP-SGT 매핑이없는경우 "Unknown" 에대해예약된 SGT 값인 "0x0" 이사용됩니다. 인터페이스의보안그룹태그컨피그레이션 인터페이스에서보안그룹태그를구성하려면다음단계를수행합니다. 절차 1 단계다음옵션중하나를선택합니다. Configuration( 컨피그레이션 ) > Device Setup( 디바이스설정 ) > Interfaces( 인터페이스 ) > Add Interface( 인터페이스추가 ) > Advanced( 고급 ) Configuration( 컨피그레이션 ) > Device Setup( 디바이스설정 ) > Interfaces( 인터페이스 ) > Add Redundant Interface( 이중인터페이스추가 ) > Advanced( 고급 ) Configuration( 컨피그레이션 ) > Device Setup( 디바이스설정 ) > Interfaces( 인터페이스 ) > Add Ethernet Interface( 이더넷인터페이스추가 ) > Advanced( 고급 ) 2 단계 Enable secure group tagging for Cisco TrustSec(Cisco TrustSec 에대한보안태그지정활성화 ) 확인란을선택합니다. 6-20

91 6 장 ASA 및 Cisco TrustSec Cisco TrustSec 을위한 AnyConnect VPN 지원 3 단계 Tag egress packets with service group tags( 서비스그룹태그로이그레스패킷태그지정 ) 확인란을선택합니다. 4 단계 Add a static secure group tag to all ingress packets( 모든이그레스패킷에고정보안그룹태그추가 ) 확인란을선택합니다. 5 단계보안그룹태그번호를입력합니다. 유효한값범위는 2~65519 입니다. 6 단계 This is a trusted interface( 신뢰할수있는인터페이스임 ) 를선택합니다. Do not override existing secure group tags( 기존보안그룹태그를재정의하지않음 ) 확인란을선택합니다. 7 단계 OK( 확인 ) 를클릭하여설정을저장합니다. 수동으로 IP-SGT 바인딩컨피그레이션 IP-SGT 바인딩을수동으로구성하려면다음다음단계를수행합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall Identity by TrustSec(TrustSec 별방화벽 ID) 을선택합니다. 2단계 SGT Map Setup(SGT 맵설정 ) 영역에서 Add( 추가 ) 를클릭합니다. Add SGT Map(SGT 맵추가 ) 대화상자가나타납니다. 3 단계 SGT Map IP 주소와 SGT 값을적절한필드에입력합니다. 유효한 SGT 번호값은 2~65519 입니다. 4 단계 OK( 확인 ) 를클릭한다음 Apply( 적용 ) 를클릭하여설정을저장합니다. Cisco TrustSec 을위한 AnyConnect VPN 지원 ASA 버전 9.3(1) 은 VPN 세션의보안그룹태그지정을모두지원합니다. 외부 AAA 서버를사용하거나로컬사용자데이터베이스를구성하여 SGT( 보안그룹태그 ) 를 VPN 세션에할당할수있습니다. 그런다음 Layer 2 이더넷에서 Cisco TrustSec 시스템을통해이태그를전파할수있습니다. 보안그룹태그는 AAA 서버에서 SGT 를제공할수없는경우그룹정책및로컬사용자에게유용합니다. AAA 서버의특성에 VPN 사용자에게할당할 SGT 가없는경우에는 ASA 에서기본그룹정책의 SGT 를사용합니다. 그룹정책에 SGT 가없으면 0x0 태그가할당됩니다. 서버에연결하는원격사용자에대한일반적인단계 1. 사용자가 ASA 에연결합니다. 2. ASA 가 ISE 에서 AAA 정보를요청합니다. 여기에는 SGT 가포함될수있습니다. 또한 ASA 에서사용자의터널링된트래픽에대한 IP 주소를할당합니다. 3. ASA 에서는 AAA 정보를사용하여터널을인증하고생성합니다. 4. ASA 에서는 AAA 정보의 SGT 및할당된 IP 주소를사용하여레이어 2 헤더에 SGT 를추가합니다. 5. SGT 가포함된패킷은 Cisco TrustSec 네트워크의다음피어디바이스로전달됩니다. 6-21

92 Cisco TrustSec 모니터링 6 장 ASA 및 Cisco TrustSec 로컬사용자및그룹에 SGT 추가 로컬사용자데이터베이스와그룹정책의 SGT 속성을구성하려면다음단계를수행하십시오. 절차 1단계다음옵션중하나를선택합니다. Configuration( 컨피그레이션 ) > Remote Access VPN( 원격액세스 VPN) > AAA/Local Users(AAA/ 로컬사용자 ) > Local Users( 로컬사용자 ) a. 사용자를선택한다음 Edit( 수정 ) 를클릭합니다. b. VPN Policy(VPN 정책 ) 를클릭합니다. c. Security Group Tag (STG)( 보안그룹태그 (STG)) 필드에값을입력합니다. d. OK( 확인 ) 를클릭합니다. Configuration( 컨피그레이션 ) > Remote Access VPN( 원격액세스 VPN) > Network (Client) Access( 네트워크 ( 클라이언트 ) 액세스 ) > Group Policies( 그룹정책 ) a. General( 일반 ) 탭을클릭한다음 More Options( 추가옵션 ) 를클릭합니다. b. Security Group Tag (SGT)( 보안그룹태그 (STG)) 필드에값을입력합니다. c. OK( 확인 ) 를클릭합니다. Cisco TrustSec 모니터링 클러스터리소스모니터링에대한내용은다음 screens 를참조하십시오. Monitoring( 모니터링 ) > Properties( 속성 ) > Identity By TrustSec(TrustSec별 ID) > SXP Connections(SXP 연결 ) Cisco TrustSec 인프라와 SXP 명령에대해구성된기본값을표시합니다. Monitoring( 모니터링 ) > Properties( 속성 ) > Connections( 연결 ) IP 주소-보안그룹테이블매핑항목을필터링하여데이터를보안그룹테이블값, 보안그룹이름또는 IP 주소별로봅니다. Monitoring( 모니터링 ) > Properties( 속성 ) > Identity By TrustSec(TrustSec별 ID) > Environment Data( 환경데이터 ) ASA의보안그룹테이블에포함된 Cisco TrustSec 환경정보를표시합니다. Monitoring( 모니터링 ) > Properties( 속성 ) > Identity By TrustSec(TrustSec별 ID) > IP Mapping(IP 매핑 ) IP 주소-보안그룹테이블매핑항목을필터링하여데이터를보안그룹테이블값, 보안그룹이름또는 IP 주소별로봅니다. Where Used( 사용되는위치 ) 를클릭하여선택한보안그룹개체가 ACL에서또는다른보안그룹개체와중첩되어사용되는위치를표시합니다. Monitoring( 모니터링 ) > Properties( 속성 ) > Identity By TrustSec(TrustSec별 ID) > PAC ISE에서 ASA로가져온 PAC 파일에대한정보를표시하고 PAC 파일이만료되거나 30일이내에만료되는경우경고메시지를포함합니다. Tools( 도구 ) > Command Line Interface( 명령줄인터페이스 ) 이창에서는다양한비대화형명령을내보내고결과를볼수있습니다. 6-22

93 6 장 ASA 및 Cisco TrustSec Cisco TrustSec 의기록 Cisco TrustSec 의기록 표 6-6 Cisco TrustSec 의기록 기능이름 플랫폼릴리스 설명 Cisco TrustSec 9.0(1) Cisco TrustSec은기존 identity-aware 인프라위에구축되어네트워크디바이스간데이터기밀을보장하고하나의플랫폼으로보안액세스서비스를통합합니다. Cisco TrustSec 기능에서적용디바이스는사용자속성과엔드포인트속성의조합을사용하여역할기반및 ID 기반액세스제어결정을내립니다. 이릴리스에서는 ASA가 Cisco TrustSec과통합되어보안그룹기반정책시행을제공합니다. Cisco TrustSec 도메인내의액세스정책은토폴로지에종속되지않으며네트워크 IP 주소가아닌소스및대상디바이스의역할을기반으로합니다. ASA는 Cisco TrustSec을애플리케이션검사와같은다른유형의보안그룹기반정책에사용할수있습니다. 예를들어보안그룹기반의액세스정책을포함하는클래스맵을구성할수있습니다. 다음화면을도입하거나수정했습니다. Layer 2 보안그룹태그적용 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Identity By TrustSec(TrustSec 별 ID) Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Security Groups Object Groups( 보안그룹객체그룹 ) Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Access Rules( 액세스규칙 ) > Add Access Rules( 액세스규칙추가 ) Monitoring( 모니터링 ) > Properties( 속성 ) > Identity By Tag( 태그별 ID) 9.3(1) 보안그룹태그와이더넷태그를함께사용하면서정책을적용할수있습니다. Layer 2 SGT 적용이라고도하는 SGT 및이더넷태그지정은 ASA가 Cisco 고유의이더넷프레이밍 ( 이더타입 0x8909) 을사용하여이더넷인터페이스에서보안그룹태그를보내고받도록하여소스보안그룹태그를일반텍스트이더넷프레임으로삽입할수있게됩니다. 수정된화면 : Configuration( 컨피그레이션 ) > Device Setup( 디바이스설정 ) > Interfaces( 인터페이스 ) > Add Interface( 인터페이스추가 ) > Advanced( 고급 ) Configuration( 컨피그레이션 ) > Device Setup( 디바이스설정 ) > Interfaces( 인터페이스 ) > Add Redundant Interface( 이중인터페이스추가 ) > Advanced( 고급 ) Configuration( 컨피그레이션 ) > Device Setup( 디바이스설정 ) > Add Ethernet Interface( 이더넷인터페이스추가 ) > Advanced( 고급 ) 6-23

94 Cisco TrustSec 의기록 6 장 ASA 및 Cisco TrustSec 6-24

95 7 장 ASA FirePOWER 모듈 이장에서는 ASA FirePOWER 모듈 (ASA에서실행 ) 을구성하는방법에대해설명합니다. ASA FirePOWER 모듈정보, 7-1페이지 ASA FirePOWER 모듈의라이센싱요건, 7-5페이지 ASA FirePOWER 지침, 7-5페이지 ASA FirePOWER의기본값, 7-6페이지 ASA FirePOWER 초기설정수행, 7-7페이지 ASA FirePOWER 모듈구성, 7-10페이지 ASA FirePOWER 모듈관리, 7-13페이지 ASA FirePOWER 모듈모니터링, 7-20페이지 ASA FirePOWER 모듈의기록, 7-22페이지 ASA FirePOWER 모듈정보 ASA FirePOWER 모듈은 NGIPS(Next-Generation IPS), AVC(Application Visibility and Control), URL 필터링, AMP(Advanced Malware Protection) 와같은차세대방화벽서비스를제공합니다. ASA FirePOWER 모듈은 ASA에서별도의애플리케이션을실행합니다. 이모듈은하드웨어모듈 (ASA 5585-X만해당 ) 이거나소프트웨어모듈 ( 기타모든모델 ) 입니다. ASA FirePOWER 모듈이 ASA 에서작동하는방식, 7-2 페이지 ASA FirePOWER 관리, 7-5 페이지 ASA 기능과의호환성, 7-5 페이지 7-1

96 ASA FirePOWER 모듈정보 7 장 ASA FirePOWER 모듈 ASA FirePOWER 모듈이 ASA 에서작동하는방식 다음구축모델중하나를사용하여 ASA FirePOWER 모듈을구성할수있습니다. 인라인모드 - 인라인구축시에는실제트래픽이 ASA FirePOWER 모듈로전송되며, 모듈의정책이트래픽에영향을미칩니다. 원하지않는트래픽을삭제하고정책에의해적용되는다른작업을수행한후추가처리및최종전송을위해트래픽을 ASA 로반환합니다. 인라인탭모니터링전용모드 (ASA 인라인 ) - 모니터링전용구축에서는트래픽의복사본이 ASA FirePOWER 모듈로전송되지만 ASA 로반환되지는않습니다. 인라인탭모드에서는네트워크에영향을미치지않은채, ASA FirePOWER 모듈이트래픽에대해무엇을수행했는지를알수있으며, 트래픽의내용을평가할수있습니다. 그러나이모드에서는 ASA 가트래픽에정책을적용하므로트래픽이액세스규칙, TCP 정규화등으로인해삭제될수있습니다. 패시브모니터링전용 ( 트래픽전달 ) 모드 - FirePOWER Services 디바이스를사용하여 ASA 가트래픽에영향을주지않도록트래픽전달인터페이스를구성하고스위치의 SPAN 포트에연결할수있습니다. 이모드에서는트래픽이 ASA FirePOWER 모듈로직접전송되며 ASA 처리를거치지않습니다. 모듈에서반환되는것이없거나 ASA가트래픽을인터페이스로전송하지않으므로트래픽이 " 블랙홀 " 상태가됩니다. 트래픽전달을구성하려면단일컨텍스트투명모드에서 ASA를작동해야합니다. 반드시 ASA와 ASA FirePOWER에서일관된정책을구성하십시오. 두정책모두트래픽의인라인모드또는모니터링전용모드를반영해야합니다. 다음섹션에서는이러한모드에대해좀더자세히설명합니다. ASA FirePOWER 인라인모드 인라인모드에서는트래픽이방화벽점검을통과한후 ASA FirePOWER 모듈로전달됩니다. ASA FirePOWER 검사를통해 ASA 에서트래픽을식별할경우 ASA 및모듈에서트래픽이다음과같이흐릅니다. 1. 트래픽이 ASA 로들어갑니다. 2. 들어오는 VPN 트래픽의암호가해독됩니다. 3. 방화벽정책이적용됩니다. 4. 트래픽이 ASA FirePOWER 모듈로전송됩니다. 5. ASA FirePOWER 모듈이보안정책을트래픽에적용하고적절한작업을수행합니다. 6. 유효한트래픽은 ASA 로다시전송됩니다. ASA FirePOWER 모듈은자체보안정책에따라일부트래픽을차단할수있으며, 그러한트래픽은전달되지않습니다. 7. 발신 VPN 트래픽이암호화됩니다. 8. 트래픽이 ASA 에서나갑니다. 다음그림은인라인모드에서 ASA FirePOWER 모듈사용시트래픽흐름을보여줍니다. 이예에서모듈은특정애플리케이션에대해허용되지않는트래픽을차단합니다. 다른모든트래픽은 ASA 를통해전달됩니다. 7-2

97 7 장 ASA FirePOWER 모듈 ASA FirePOWER 모듈정보 그림 7-1 ASA 에서 ASA FirePOWER 모듈트래픽흐름 Main System ASA inside Firewall Policy VPN Decryption outside Diverted Traffic Block ASA FirePOWER inspection ASA FirePOWER 참고 두개의 ASA 인터페이스에있는호스트가연결되어있는데 ASA FirePOWER 서비스정책이그중하나에대해서만구성되어있으면, 비 ASA FirePOWER 인터페이스에서시작된트래픽을포함하여두호스트간모든트래픽이 ASA FirePOWER 모듈로전송됩니다 ( 이기능은양방향이기때문 ). ASA FirePOWER 인라인탭모니터링전용모드 이모드는트래픽의복제스트림을 ASA FirePOWER 모듈로전송하여모니터링에만사용합니다. 모듈은보안정책을트래픽에적용하고, 인라인모드였다면어떤일이발생했을것인지 ( 예 : 트래픽이 " 삭제되었을것 " 이라고표시 ) 를사용자에게알려줍니다. 트래픽분석에이정보를사용하여인라인모드가바람직한지결정할수있습니다. 참고 ASA 에서인라인탭모니터링전용모드와인라인모드둘다를동시에구성할수는없습니다. 한가지유형의보안정책만허용됩니다. 다중상황모드에서는상황에따라인라인탭모니터링전용모드또는일반인라인모드를구성할수없습니다. 다음그림은인라인탭모드에서작동하는트래픽흐름을보여줍니다. 7-3

98 ASA FirePOWER 모듈정보 7 장 ASA FirePOWER 모듈 그림 7-2 ASA FirePOWER 인라인탭모니터링전용모드 Main System ASA inside Firewall Policy VPN Decryption outside Copied Traffic ASA FirePOWER inspection ASA FirePOWER ASA FirePOWER 패시브모니터링전용트래픽전달모드 ASA FirePOWER 모듈을순수 IDS(Intrusion Detection System) 로작동하려는경우트래픽에영향을주지않는위치에트래픽전달인터페이스를구성할수있습니다. 트래픽전달인터페이스는수신된모든트래픽을 ASA FirePOWER 모듈로직접전송하며 ASA 처리를거치지않습니다. 모듈은보안정책을트래픽에적용하고, 인라인모드였다면어떤일이발생했을것인지 ( 예 : 트래픽이 " 삭제되었을것 " 이라고표시 ) 를사용자에게알려줍니다. 트래픽분석에이정보를사용하여인라인모드가바람직한지결정할수있습니다. 이설정의트래픽은전달되지않습니다. 모듈과 ASA 모두최종대상에트래픽을전송하지않습니다. 이컨피그레이션을사용하려면단일컨텍스트투명모드에서 ASA를작동해야합니다. 다음그림은트래픽전달을위해구성된인터페이스를보여줍니다. ASA FirePOWER 모듈이네트워크트래픽을모두검사할수있도록해당인터페이스는스위치 SPAN 포트에연결됩니다. 다른인터페이스는방화벽을통과하여일반적으로트래픽을전송합니다. 그림 7-3 ASA FirePOWER 패시브모니터링전용, 트래픽전달모드 inside ASA Main System Firewall Policy VPN Decryption Gig 1/1 Gig 1/3 Switch outside SPAN Port ASA FirePOWER inspection ASA FirePOWER Forwarded Traffic Backplane

99 7 장 ASA FirePOWER 모듈 ASA FirePOWER 모듈의라이센싱요건 ASA FirePOWER 관리 모듈에는초기컨피그레이션및문제해결전용으로사용되는기본 CLI(Command Line Interface) 가있습니다. 다음방법중하나를사용하여 ASA FirePOWER 모듈의보안정책을구성합니다. FireSIGHT Management Center ( 모든모델 ) 개별 FireSIGHT Management Center 어플라이언스에호스팅하거나가상어플라이언스로호스팅할수있습니다. ASDM(ASA 5506-X, 5508-X, 5516-X) - 내장형 ASDM 을사용하여 ASA 및모듈을모두관리할수있습니다. ASA 기능과의호환성 ASA에는 HTTP 검사를포함하여다양한고급애플리케이션검사기능이포함되어있습니다. 그러나 ASA FirePOWER 모듈은애플리케이션사용현황모니터링및제어를포함하여다른애플리케이션에대한추가기능과함께 ASA보다상세한고급 HTTP 검사기능을제공합니다. ASA FirePOWER 모듈기능을십분활용하려면 ASA FirePOWER 모듈에보내는트래픽에대한다음지침을참조하십시오. HTTP 트래픽에대한 ASA 검사를구성하지마십시오. Cloud Web Security(ScanSafe) 를구성하지마십시오. 동일한트래픽에대해 ASA FirePOWER 검사와 Cloud Web Security 검사를둘다구성한경우에는 ASA 에서 ASA FirePOWER 검사만수행합니다. MUS(Mobile User Security) 서버를활성화하지마십시오. ASA FirePOWER 모듈과호환되지않습니다. ASA의다른애플리케이션검사는기본검사를포함하여 ASA FirePOWER 모듈과호환됩니다. ASA FirePOWER 모듈의라이센싱요건 ASA FirePOWER 모듈과 FireSIGHT Management Center에는추가라이센스가필요합니다. 이러한라이센스는 ASA보다는모듈자체에설치해야합니다. ASA 자체에는추가라이센스가필요하지않습니다. 자세한내용은 FireSIGHT System User Guide의 Licensing 장또는 FireSIGHT Management Center의온라인도움말을참조하십시오. ASA FirePOWER 지침 장애조치지침 장애조치를직접지원하지않습니다. ASA 가장애조치되면기존 ASA FirePOWER 흐름이새로운 ASA 로전송됩니다. 새 ASA 의 ASA FirePOWER 모듈은해당시점부터트래픽을검사하기시작합니다. 이전검사상태는전송되지않습니다. 일관된장애조치동작을보장하려면고가용성 ASA 쌍의 ASA FirePOWER 모듈에대해일관된정책을유지관리해야합니다. 7-5

100 ASA FirePOWER 의기본값 7 장 ASA FirePOWER 모듈 ASA 클러스터링지침 클러스터링을직접지원하지않지만클러스터에서이러한모듈을사용할수있습니다. 클러스터의 ASA FirePOWER 모듈에일관된정책을유지하려면 FireSIGHT Management Center 를사용해야합니다. 모델지침 ASA 모델소프트웨어및하드웨어와 ASA FirePOWER 모듈사이의호환성에대한자세한내용은 Cisco ASA 호환성을참조하십시오 X~ASA 5555-X 의경우 Cisco SSD(Solid State Drive) 를설치해야합니다. 자세한내용은 ASA 5500-X 하드웨어지침을참조하십시오. (5506-X, 5508-X, 5516-X 에서는 SSD 가표준입니다.) ASDM 지침 (ASA FirePOWER 관리용, 지원되는모델 ) 모듈을호스팅하는 ASA 에서명령권한을활성화할경우 ASA FirePOWER 홈, 컨피그레이션, 모니터링페이지를볼수있는권한수준 15 의사용자이름으로로그인해야합니다. 상태페이지를제외하고 ASA FirePOWER 페이지에대한읽기전용또는모니터링전용액세스는지원되지않습니다. Java 7 업데이트 51~Java 8 을사용중인경우 ASA 및 ASA FirePOWER 모듈의 ID 인증서를모두구성해야합니다. ASDM 에대한 ID 인증서설치를참조하십시오. ASDM 과 FireSIGHT Management Center 둘다사용할수는없습니다. 둘중하나를선택해야합니다. 추가지침및제한 ASA 기능과의호환성, 7-5 페이지를참조하십시오. 하드웨어모듈에설치된소프트웨어유형을변경할수없습니다. ASA FirePOWER 모듈을구매하면나중에여기에다른소프트웨어를설치할수없습니다. ASA 에서일반인라인모드와인라인탭모니터링전용모드둘다를동시에구성할수는없습니다. 한가지유형의보안정책만허용됩니다. 다중상황모드에서는상황에따라인라인탭모니터링전용모드또는일반인라인모드를구성할수없습니다. ASA FirePOWER 의기본값 다음표에는 ASA FirePOWER 모듈의기본설정이나열되어있습니다. 표 7-1 ASA FirePOWER 기본네트워크매개변수 매개변수기본관리 IP 주소 시스템소프트웨어이미지 : /24 부트이미지 : /24 게이트웨이 시스템소프트웨어이미지 : 없음 부트이미지 : /24 SSH 또는세션사용자이름 admin Password 시스템소프트웨어이미지 : Sourcefire 부트이미지 : Admin

101 7 장 ASA FirePOWER 모듈 ASA FirePOWER 초기설정수행 ASA FirePOWER 초기설정수행 네트워크에서 ASA FirePOWER 모듈을구축한다음 ASA FirePOWER CLI 에액세스하여초기설정을수행합니다. 네트워크에서 ASA FirePOWER 모듈구축, 7-7 페이지 ASA FirePOWER CLI 액세스, 7-9 페이지 ASA FirePOWER 기본설정구성, 7-9 페이지 네트워크에서 ASA FirePOWER 모듈구축 네트워크에 ASA FirePOWER 모듈관리인터페이스를연결하는방법을결정하려면 ASA 모델에대한섹션을참조하십시오. ASA 5585-X( 하드웨어드모듈 ) ASA FirePOWER 모듈에는 ASA 의별도관리인터페이스가포함되어있습니다. ASA 5585-X ASA FirePOWER SSP ASA FirePOWER Management 1/0 0 SFP1 SFP MGMT 0 USB 1 PWR BOOT ALARM ACT VPN PS1 PS0 HDD1 HDD0 AUX CONSOLE RESET 0 SFP1 SFP MGMT 0 USB 1 PWR BOOT ALARM ACT VPN PS1 PS0 HDD1 HDD0 AUX CONSOLE RESET SSP ASA Management 0/0 Default IP: ASA FirePOWER 모듈에서수신및발신되는모든관리트래픽은 Management 1/0 또는 1/1 인터페이스로들어오고나가야합니다. 이인터페이스는 ASA 데이터인터페이스가아니므로트래픽이백플레인을통해 ASA 를통과할수없습니다. 물리적으로케이블을사용하여관리인터페이스를 ASA 인터페이스에연결해야합니다. ASA FirePOWER 모듈은인터넷연결이필요합니다. ASA FirePOWER 의인터넷접속을 ASA 관리인터페이스를통해허용하려면다음과같은일반적인케이블링설정을참조하십시오. 네트워크를연결하려는방법에따라다른옵션을사용할수있습니다. 예를들어 Management 1/0 인터페이스를외부로전환할수있습니다. 내부라우터가있는경우에는 Management 1/0 인터페스와다른 ASA 인터페이스간에라우팅할수있습니다. 7-7

102 ASA FirePOWER 초기설정수행 7 장 ASA FirePOWER 모듈 Module Gateway to Internet ASA Layer 2 Switch management ASA Management 0/0 outside Internet Module Module Management 1/0 Set IP to be on same network as M0/0 Management PC ASA 5506-X~ASA 5555-X( 소프트웨어모듈 ) 이러한모듈은 ASA FirePOWER 모듈을소프트웨어모듈로서실행하며, ASA FirePOWER 관리인터페이스는현재사용중인모델에따라 Management 0/0 또는 Management 1/1 인터페이스를 ASA와공유합니다. 다음그림에서는 ASA 5500-X with the ASA FirePOWER 모듈의권장네트워크구축을보여줍니다. Management Computer ASA FirePOWER Default Gateway Layer 2 Switch ASA inside GigabitEthernet 1/ outside GigabitEthernet 1/1 Internet (Optional for Supported Models) Firepower Management Center Management 1/1 No ASA IP address ASA FirePOWER IP address: FP ASA 5506-X, 5508-X, 5516-X의경우기본컨피그레이션에서위네트워크구축을활성화합니다. 모듈 IP 주소가 ASA 내부인터페이스와동일한네트워크에있도록설정하고모듈게이트웨이 IP 주소를구성하기만하면됩니다. 다른모델의경우 ASA(Management 0/0 또는 1/1에구성된이름및 IP 주소 ) 를제거한다음다른인터페이스를위와같이구성해야합니다. 참고 내부네트워크에별도의라우터를구축하려는경우이렇게하면관리및내부간에라우팅할수있습니다. 이경우관리인터페이스에서컨피그레이션을적절하게변경하여 ASA 및 ASA FirePOWER 모듈을모두관리할수있습니다. 7-8

103 7 장 ASA FirePOWER 모듈 ASA FirePOWER 초기설정수행 ASA FirePOWER CLI 액세스 다음방법중하나를사용하여 ASA FirePOWER CLI 에액세스할수있습니다. 콘솔포트 ASA 5585-X 이모델에는 ASA FirePOWER 모듈용전용콘솔포트가포함되어있습니다. 제공된 DB-9 > RJ-45 시리얼케이블및 / 또는보유한 USB 시리얼어댑터를사용합니다. 기타모델 제공된 DB-9 > RJ-45 시리얼케이블및 / 또는보유한 USB 시리얼어댑터를사용하여 ASA 콘솔포트에연결합니다. ASA 5506-X/5508-X/5516-X에는미니 USB 콘솔포트도있습니다. USB 콘솔포트사용에관한지침은하드웨어가이드를참조하십시오. ASA CLI에서다음과같이 ASA FirePOWER 모듈에대한세션을시작합니다. SSH session sfr ASA 에서소프트웨어모듈에대한세션시작, 7-19 페이지도참조하십시오. 모듈기본 IP 주소 (ASA FirePOWER의기본값, 7-6페이지참조 ) 에연결하거나 ASDM을 ASA에서사용하여관리 IP 주소를변경한다음 SSH를사용하여연결할수있습니다. ASDM에서 Wizards( 마법사 ) > Startup Wizard( 마법사시작 ) 를선택하고마법사의과정에따라 ASA FirePOWER Basic Configuration(ASA FirePOWER 기본컨피그레이션 ) 으로이동하여 IP 주소, 마스크, 기본게이트웨이등을설정합니다. ASA FirePOWER 기본설정구성 처음으로 ASA FirePOWER 모듈 CLI 에액세스하면기본컨피그레이션매개변수를묻는프롬프트가표시됩니다. 또한 FireSIGHT Management Center 에모듈을추가해야합니다 (ASA 5506-X/5508-X/5516-X 의경우선택사항 ). 절차 1 단계 ASA FirePOWER CLI 에서사용자이름 admin 및비밀번호 Sourcefire 로로그인합니다. 2단계표시되는화면컨피그레이션을완료합니다. ASA FirePOWER 모듈의권장네트워크구축 ( 네트워크에서 ASA FirePOWER 모듈구축, 7-7페이지 ) 은다음네트워크설정을사용합니다. 관리인터페이스 : 관리서브넷마스크 : Gateway IP: 단계 (5506-X/5508-X/5516-X 의경우선택사항 ) 다음과같이 ASA FirePOWER 모듈을 FireSIGHT Management Center 에등록합니다. > configure manager add {hostname IPv4_address IPv6_address DONTRESOLVE} reg_key [nat_id] 여기서각항목은다음을나타냅니다. {hostname IPv4_address IPv6_address DONTRESOLVE} 는 FireSIGHT Management Center 의인증된호스트이름또는 IP 주소를지정합니다. FireSIGHT Management Center 의주소를직접지정할수없으면 DONTRESOLVE 를사용합니다. 7-9

104 ASA FirePOWER 모듈구성 7 장 ASA FirePOWER 모듈 reg_key - ASA FirePOWER 모듈을 FireSIGHT Management Center 에등록하기위해필요한고유한영숫자등록키입니다. nat_id - FireSIGHT Management Center 와 ASA FirePOWER 모듈간등록프로세스중에사용되는선택적인영숫자문자열입니다. 호스트이름을 DONTRESOLVE 로설정하는경우반드시필요합니다. 4 단계콘솔연결을닫습니다. 소프트웨어모듈의경우다음을입력합니다. > exit ASA FirePOWER 모듈구성 ASA with FirePOWER OS 에서보안정책을구성한다음 ASA 를구성하여트래픽을모듈에전송합니다. ASA FirePOWER 모듈에서보안정책구성, 7-10 페이지 ASA FirePOWER 모듈로트래픽리디렉션, 7-10 페이지 ASA FirePOWER 모듈에서보안정책구성 보안정책은모듈에서제공하는 Next Generation IPS 필터링및애플리케이션필터링등의서비스를제어합니다. 다음방법중하나를사용하여 ASA FirePOWER 모듈의보안정책을구성합니다. ASA FirePOWER 컨피그레이션에대한자세한내용은온라인도움말또는 ASA FirePOWER 모듈사용자가이드또는 FireSIGHT System 사용자가이드를참조하십시오. FireSIGHT Management Center( 모든모델 ) 웹브라우저에서 를엽니다. 여기서 DC_address 는 ASA FirePOWER 기본설정구성, 7-9 페이지에서정의한관리자의 DNS 이름또는 IP 주소입니다. 예 : 또는 ASDM 에서는 Home( 홈 ) > ASA FirePOWER Status(ASA FirePOWER 상태 ) 를선택하고대시보드맨아래의링크를클릭합니다. ASDM(ASA 5506-X, 5508-X, 5516-X) ASDM 에서 Configuration( 컨피그레이션 ) > ASA FirePOWER Configuration(ASA FirePOWER 컨피그레이션 ) 을선택합니다. ASA FirePOWER 모듈로트래픽리디렉션 인라인및인라인탭 ( 모니터링전용 ) 모드의경우모듈에트래픽을리디렉션하려면서비스정책을구성합니다. 패시브모니터링전용모드를사용하려는경우 ASA 정책을우회하는트래픽리디렉션인터페이스를구성합니다. 다음주제에서는이러한모드를구성하는방법에대해설명합니다. 7-10

105 7 장 ASA FirePOWER 모듈 ASA FirePOWER 모듈구성 인라인모드또는인라인탭모니터링전용모드구성 전송하려는특정트래픽을식별하는서비스정책을만들어 ASA FirePOWER 모듈로트래픽을리디렉션할수있습니다. 이모드에서액세스규칙과같은 ASA 정책은모듈로리디렉션되기전의트래픽에적용됩니다. 시작하기전에 트래픽을 IPS 또는 CX 모듈 (ASA FirePOWER 와교체한모듈 ) 로리디렉션하는활성서비스정책이있는경우이정책을먼저제거한후 ASA FirePOWER 서비스정책을구성해야합니다. 반드시 ASA 와 ASA FirePOWER 에서일관된정책을구성하십시오. 두정책모두트래픽의인라인모드또는인라인탭모드를반영해야합니다. 다중컨텍스트모드의경우각보안컨텍스트내부에서이절차를수행합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) 를선택합니다. 2 단계 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을선택합니다. 3 단계정책을특정인터페이스또는전역범위에적용할지선택하고 Next( 다음 ) 를클릭합니다. 4 단계트래픽일치를구성합니다. 예를들어인바운드액세스규칙을통과한모든트래픽이모듈에리디렉션되도록 Any Traffic( 모든트래픽 ) 일치를선택할수있습니다. 또는포트, ACL( 출처및대상기준 ), 기존트래픽클래스에따라더엄격한기준을적용할수도있습니다. 나머지옵션은이정책에서그리유용하지않습니다. 트래픽클래스정의를완료하고 Next( 다음 ) 를클릭합니다. 5 단계 Rule Actions( 규칙작업 ) 페이지에서 ASA FirePOWER Inspection(ASA FirePOWER 검사 ) 탭을클릭합니다. 6 단계 Enable ASA FirePOWER for this traffic flow( 이트래픽흐름에서 ASA FirePOWER 활성화 ) 확인란을선택합니다. 7 단계 If ASA FirePOWER Card Fails(ASA FirePOWER 카드실패시 ) 영역에서다음중하나를클릭합니다. Permit traffic( 트래픽허용 ) - 모듈을사용할수없는경우검사없이모든트래픽을허용하도록 ASA 를설정합니다. Close traffic( 트래픽차단 ) - 모듈을사용할수없는경우모든트래픽을차단하도록 ASA 를설정합니다. 8단계 ( 선택사항 ) 트래픽의읽기전용사본을모듈에보내려면 Monitor-only( 모니터링전용 )( 인라인탭모드 ) 를선택합니다. 기본적으로트래픽은인라인모드에서전송됩니다. 반드시 ASA와 ASA FirePOWER에서일관된정책을구성하십시오. 두정책모두트래픽의인라인모드또는모니터링전용을반영해야합니다. 9단계 Finish( 마침 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 필요에따라이절차를반복하여추가트래픽흐름을구성합니다. 7-11

106 ASA FirePOWER 모듈구성 7 장 ASA FirePOWER 모듈 패시브트래픽전달구성 모듈이트래픽사본을수신하고모듈과 ASA 모두네트워크에영향을주지않는패시브모니터링전용모드에서모듈을작동하려는경우트래픽전달인터페이스를구성하고스위치의 SPAN 포트에인터페이스를연결합니다. 자세한내용은 ASA FirePOWER 패시브모니터링전용트래픽전달모드, 7-4페이지를참조하십시오. 다음지침에서는이구축모드의요구사항을설명합니다. ASA 는단일컨텍스트및투명모드여야합니다. 트래픽전달인터페이스로최대 4 개의인터페이스를구성할수있습니다. 기타 ASA 인터페이스는정상적으로사용할수있습니다. 트래픽전달인터페이스는 VLAN 또는 BVI 가아니라물리적인터페이스입니다. 물리적인터페이스에는 VLAN 을연결할수없습니다. 트래픽전달인터페이스는 ASA 트래픽에사용할수없습니다. 인터페이스이름을지정하거나장애조치또는관리전용을포함하여 ASA 기능에대해구성할수없습니다. ASA FirePOWER 트래픽용서비스정책과트래픽전달인터페이스를둘다구성할수는없습니다. 절차 1 단계트래픽전달을사용하려는물리적인터페이스에대해인터페이스컨피그레이션모드로들어갑니다. interface physical_interface 예 : hostname(config)# interface gigabitethernet 0/5 2 단계인터페이스에대해구성된이름을제거합니다. 이인터페이스가 ASA 컨피그레이션에서사용된경우해당컨피그레이션이제거됩니다. 이름이지정된인터페이스에서는트래픽전달을구성할수없습니다. no nameif 3 단계트래픽전달을활성화합니다. traffic-forward sfr monitor-only 참고 데모목적으로만표시되는모든트래픽전달관련경고를무시할수있습니다. 이모드는지원되는프로덕션모드입니다. 4 단계인터페이스를활성화합니다. no shutdown 추가인터페이스에대해반복합니다. 예 다음예에서는 GigabitEthernet 0/5를트래픽전용인터페이스로만듭니다. interface gigabitethernet 0/5 no nameif traffic-forward sfr monitor-only no shutdown 7-12

107 7 장 ASA FirePOWER 모듈 ASA FirePOWER 모듈관리 ASA FirePOWER 모듈관리 이섹션에는모듈관리에도움이되는절차가포함되어있습니다. 모듈설치또는재이미지화, 7-13페이지 비밀번호재설정, 7-17페이지 모듈다시로드또는재설정, 7-18페이지 모듈종료, 7-18페이지 소프트웨어모듈이미지제거, 7-19페이지 ASA에서소프트웨어모듈에대한세션시작, 7-19페이지 ASA 5585-X ASA FirePOWER 하드웨어모듈재이미지화, 7-16페이지 시스템소프트웨어업그레이드, 7-20페이지 모듈설치또는재이미지화 이섹션에서는소프트웨어또는하드웨어모듈을설치하거나재이미지화하는방법을설명합니다. 소프트웨어모듈설치또는재이미지화, 7-13페이지 ASA 5585-X ASA FirePOWER 하드웨어모듈재이미지화, 7-16페이지 소프트웨어모듈설치또는재이미지화 ASA와함께 ASA FirePOWER 모듈을구매하면모듈소프트웨어및필수 SSD(Solid State Drive) 가사전설치되어바로구성할수있는상태가됩니다. ASA FirePOWER 소프트웨어모듈을기존 ASA에추가하거나 SSD를교체해야할경우 ASA FirePOWER 부트소프트웨어를설치하고다음절차에따라 SSD의파티션을만들어야합니다. 모듈재이미지화절차도동일합니다. 단, ASA FirePOWER 모듈을먼저제거해야합니다. SSD를교체하는경우시스템을재이미지화하게됩니다. SSD를물리적으로설치하려는방법은 ASA 하드웨어가이드를참조하십시오. 시작하기전에 플래시의빈공간 (disk0) 은최소 3GB + 부트소프트웨어크기가되어야합니다. 다중컨텍스트모드의경우시스템실행공간에서이절차를수행합니다. 실행중인다른소프트웨어모듈은종료해야합니다. ASA 는한번에하나의소프트웨어모듈을실행할수있습니다. ASA CLI 에서수행해야합니다. 예를들어, 다음명령은 IPS 소프트웨어모듈을종료및제거한후 ASA 를다시로드합니다. ips 대신 cxsc 키워드를사용하는것을제외하면 CX 모듈을제거하기위한명령도동일합니다. sw-module module ips shutdown sw-module module ips uninstall reload ASA FirePOWER 모듈을재이미지화할때동일한종료및제거명령을사용하여이전이미지를제거합니다. 예 : sw-module module sfr uninstall. 7-13

108 ASA FirePOWER 모듈관리 7 장 ASA FirePOWER 모듈 트래픽을 IPS 또는 CX 모듈로리디렉션하는활성서비스정책이있는경우해당정책을제거해야합니다. 예를들어전역정책이라면 no service-policy ips_policy global 을사용할수있습니다. 서비스정책에포함된다른규칙을유지해야하는경우, 해당정책맵에서또는 ( 리디렉션이클래스에대한유일한작업이라면 ) 전체트래픽클래스에서리디렉션명령을제거하면됩니다. CLI 또는 ASDM 을사용하여정책을제거할수있습니다. Cisco.com 에서 ASA FirePOWER 부트이미지및시스템소프트웨어패키지를다운로드합니다. 절차 1 단계부트이미지를 ASA 로다운로드합니다. 시스템소프트웨어를전송하지마십시오. 나중에 SSD 로다운로드됩니다. 다음옵션을이용할수있습니다. ASDM - 먼저부트이미지를워크스테이션으로다운로드하거나 FTP, TFTP, HTTP, HTTPS, SMB 또는 SCP 서버에둡니다. ASDM 에서 Tools( 툴 ) > File Management( 파일관리 ) 를선택한다음 Between Local PC and Flash( 로컬 PC 와플래시간 ) 또는 Between Remote Server and Flash( 원격서버와플래시간 ) 중에서적절한 File Transfer( 파일전송 ) 명령을선택합니다. 부트소프트웨어를 ASA 의 disk0 으로전송합니다. ASA CLI - 먼저부트이미지를 TFTP, FTP, HTTP 또는 HTTPS 서버에둔다음 copy 명령을사용하여플래시로다운로드합니다. 다음예에서는 TFTP 를사용합니다. ciscoasa# copy tftp:// /asasfr-5500x-boot img disk0:/asasfr-5500x-boot img 2 단계 Cisco.com 의 ASA FirePOWER 시스템소프트웨어를 ASA FirePOWER 관리인터페이스에서액세스할수있는 HTTP, HTTPS 또는 FTP 서버로다운로드합니다. ASA 의 disk0 에다운로드하지마십시오. 3 단계다음명령을입력하여 ASA FirePOWER 모듈부트이미지위치를 ASA disk0 으로설정합니다. hostname# sw-module module sfr recover configure image disk0:file_path 예 : hostname# sw-module module sfr recover configure image disk0:asasfr-5500x-boot img "ERROR: Another service (cxsc) is running, only one service is allowed to run at any time"( 오류 : 다른서비스 (cxsc) 가실행중입니다. 한번에하나의서비스만실행할수있습니다 ) 과같은메시지가표시되면이미다른소프트웨어모듈이구성되어있다는의미입니다. 위의전제조건섹션에서설명한대로새모듈을설치하려면기존모듈을종료하고제거해야합니다. 4 단계다음과같이 ASA FirePOWER 부트이미지를로드합니다. hostname# sw-module module sfr recover boot 5 단계 ASA FirePOWER 모듈이부팅할때까지약 5 분에서 15 분정도기다린후현재실행중인 ASA FirePOWER 부트이미지에대한콘솔세션을시작합니다. 로그인프롬프트로이동하려면세션을연후 Enter 키를눌러야할수있습니다. 기본사용자이름은 admin 이고기본비밀번호는 Admin123 입니다. hostname# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is \qctrl-^x\q. Cisco ASA SFR Boot Image asasfr login: admin Password: Admin123 모듈부트가완료되지않을경우 session 명령이실패하고 ttys1 을통해연결할수없다는메시지가표시됩니다. 기다렸다가다시시도하십시오. 7-14

109 7 장 ASA FirePOWER 모듈 ASA FirePOWER 모듈관리 6 단계시스템소프트웨어패키지를설치할수있도록다음을입력하여시스템을구성합니다. asasfr-boot> setup Welcome to SFR Setup [hit Ctrl-C to abort] Default values are inside [] 다음에대한프롬프트가표시됩니다. 관리주소, 게이트웨이및 DNS 정보는구성을위한핵심설정입니다. 호스트이름 - 공백없이영숫자최대 65 자를사용합니다. 하이픈은허용됩니다. 네트워크주소 - 고정 IPv4 또는 IPv6 주소를사용하거나, DHCP(IPv4 용 ) 또는 IPv6 상태비저장자동컨피그레이션을설정할수있습니다. DNS 정보 - 하나이상의 DNS 서버를지정해야합니다. 도메인이름및검색도메인도설정할수있습니다. NTP 정보 - NTP 를활성화하고, 시스템시간설정을위해 NTP 서버를구성할수있습니다. 7 단계다음과같이시스템소프트웨어이미지를설치합니다. asasfr-boot> system install [noconfirm] url 확인메시지에응답하지않으려면 noconfirm 옵션을포함합니다. HTTP, HTTPS 또는 FTP URL 을사용합니다. 사용자이름과비밀번호가필요한경우입력하라는메시지가표시됩니다. 설치가완료되면시스템이다시부팅됩니다. 애플리케이션구성요소가설치되고 ASA FirePOWER 서비스가시작될때까지 10분이상기다립니다. (show module sfr이출력되면모든프로세스가완료된것입니다.) 예를들면다음과같습니다. asasfr-boot> system install Verifying Downloading Extracting Package Detail Description: Cisco ASA-FirePOWER System Install Requires reboot: Yes Do you want to continue with upgrade? [y]: y Warning: Please do not interrupt the process or turn off the system. Doing so might leave system in unusable state. Upgrading Starting upgrade process... Populating new system image Reboot is required to complete the upgrade. Press \qenter\q to reboot the system. (press Enter) Broadcast message from root (ttys1) (Mon Feb 17 19:28: ): The system is going down for reboot NOW! Console session with module sfr terminated. 8단계 ASA FirePOWER 모듈에세션을엽니다. 완전한작동하는모듈에로그인하므로다른로그인프롬프트가표시됩니다. hostname# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is \qctrl-^x\q. 7-15

110 ASA FirePOWER 모듈관리 7 장 ASA FirePOWER 모듈 Sourcefire ASA5555 v5.4.1 (build 58) Sourcefire3D login: 9 단계설정을완료하려면 ASA FirePOWER 기본설정구성, 7-9 페이지를참조하십시오. ASA 5585-X ASA FirePOWER 하드웨어모듈재이미지화 ASA 5585-X에서어떤이유로든 ASA FirePOWER 하드웨어모듈을재이미지화해야하는경우부트이미지및시스템소프트웨어패키지를순서대로설치해야합니다. 시스템이작동하려면두패키지를모두설치해야합니다. 정상적인상황에서는업그레이드패키지를설치하기위해시스템을재이미지화할필요가없습니다. 부트이미지를설치하려면모듈의콘솔포트에로그인하여 ASA FirePOWER SSP의 Management-0 포트에서이미지의 TFTP 부트를수행해야합니다. Management-0 포트는첫번째슬롯의 SSP에있으므로 Management1/0이라고도하지만 ROMMON에서는이를 Management-0 또는 Management0/1로인식합니다. 시작하기전에 TFTP 부트를수행하려면다음과같이해야합니다. 부트이미지및시스템소프트웨어패키지를 ASA FirePOWER 모듈에서 Management1/0 인터페이스를통해액세스할수있는 TFTP 서버에둡니다. Management1/0 을네트워크에연결합니다. 부트이미지에대해 TFTP 부트를수행하려면이인터페이스를사용해야합니다. 절차 1 단계모듈콘솔포트에연결합니다. 2 단계다음을입력하여시스템을다시로드합니다. system reboot 3단계프롬프트가표시되면 Esc 키를눌러부트에서빠져나옵니다. 시스템부팅을위한 grub start가표시되면너무오래기다린것입니다. 이경우 ROMMON 프롬프트로이동하게됩니다. 4 단계 ROMMON 프롬프트에서 set 을입력하고다음매개변수를구성합니다. ADDRESS - 모듈의관리 IP 주소입니다. SERVER - TFTP 서버의 IP 주소입니다. GATEWAY - TFTP 서버의게이트웨이주소입니다. TFTP 서버및관리주소가동일한서브넷에있으면게이트웨이를구성하지마십시오. 그렇지않으면 TFTP 부트가실패합니다. IMAGE - TFTP 서버의부트이미지경로및이미지이름입니다. 예를들어 TFTP 서버에서파일위치가 /tftpboot/images/filename.img인경우 IMAGE 값은 images/filename.img입니다. 예를들면다음과같습니다. ADDRESS= SERVER= GATEWAY= IMAGE=asasfr-boot img 7-16

111 7 장 ASA FirePOWER 모듈 ASA FirePOWER 모듈관리 5 단계다음을입력하여설정을저장합니다. sync 6 단계다음을입력하여다운로드및부팅을시작합니다. tftp 진행상태를나타내는! 표시가나타납니다. 몇분후부팅이완료되면로그인프롬프트가표시됩니다. 7 단계비밀번호 Admin123 을사용하여 admin 으로로그인합니다. 8 단계시스템소프트웨어패키지를설치할수있도록다음을입력하여시스템을구성합니다. setup 다음에대한프롬프트가표시됩니다. 관리주소, 게이트웨이및 DNS 정보는구성을위한핵심설정입니다. 호스트이름 - 공백없이영숫자최대 65 자를사용합니다. 하이픈은허용됩니다. 네트워크주소 - 고정 IPv4 또는 IPv6 주소를사용하거나, DHCP(IPv4 용 ) 또는 IPv6 상태비저장자동컨피그레이션을설정할수있습니다. DNS 정보 - 하나이상의 DNS 서버를지정해야합니다. 도메인이름및검색도메인도설정할수있습니다. NTP 정보 - NTP 를활성화하고, 시스템시간설정을위해 NTP 서버를구성할수있습니다. 9 단계다음과같이시스템소프트웨어이미지를설치합니다. system install [noconfirm] url 예 : asasfr-boot> system install 확인메시지에응답하지않으려면 noconfirm 옵션을포함합니다. 설치가완료되면시스템이다시부팅됩니다. 애플리케이션구성요소가설치되고 ASA FirePOWER 서비스가시작될때까지 10분이상기다립니다. 10 단계부팅이완료되면사용자이름 admin 및비밀번호 Sourcefire 로로그인합니다. 11 단계설정을완료하려면 ASA FirePOWER 기본설정구성, 7-9 페이지를참조하십시오. 비밀번호재설정 admin 사용자의비밀번호를잊어버린경우 CLI 컨피그레이션권한이있는다른사용자이름으로로그인하여비밀번호를변경할수있습니다. 필요한권한을보유한다른사용자가없는경우 ASA에서 admin 비밀번호를재설정할수있습니다. 시작하기전에 다중컨텍스트모드의경우시스템실행공간에서이절차를수행합니다. ASA hw-module 및 sw-module 명령의 password-reset 옵션은 ASA FirePOWER 에서작동하지않습니다. 7-17

112 ASA FirePOWER 모듈관리 7 장 ASA FirePOWER 모듈 절차 1 단계다음과같이사용자 admin 의모듈비밀번호를기본값인 Sourcefire 로재설정합니다. session {1 sfr} do password-reset 하드웨어모듈에는 1, 소프트웨어모듈에는 sfr 을사용합니다. 모듈다시로드또는재설정 ASA에서모듈을다시로드하거나모듈을재설정한다음다시로드할수있습니다. 시작하기전에다중컨텍스트모드의경우시스템실행공간에서이절차를수행합니다. 절차 1단계다음명령중하나를입력합니다. 하드웨어모듈 (ASA 5585-X): hw-module module 1 {reload reset} 소프트웨어모듈 ( 기타모델 ): sw-module module sfr {reload reset} 모듈종료 모듈소프트웨어를종료하면컨피그레이션데이터손실없이모듈의전원을안전하게끌수있도록준비됩니다. 시작하기전에 다중컨텍스트모드의경우시스템실행공간에서이절차를수행합니다. ASA 를다시로드하면모듈이자동으로종료되지않습니다. 따라서 ASA 를다시로드하기전에모듈을종료하는것이좋습니다. 절차 1단계다음명령중하나를입력합니다. 하드웨어모듈 (ASA 5585-X): hw-module module 1 shutdown 소프트웨어모듈 ( 기타모델 ): sw-module module sfr shutdown 7-18

113 7 장 ASA FirePOWER 모듈 ASA FirePOWER 모듈관리 소프트웨어모듈이미지제거 소프트웨어모듈이미지및관련컨피그레이션을제거할수있습니다. 시작하기전에다중컨텍스트모드의경우시스템실행공간에서이절차를수행합니다. 절차 1 단계다음과같이소프트웨어모듈이미지및관련컨피그레이션을제거합니다. sw-module module sfr uninstall Module sfr will be uninstalled. This will completely remove the disk image associated with the sw-module including any configuration that existed within it. Uninstall module sfr? [confirm] 2 단계 ASA 를다시로드합니다. reload 새모듈을설치하려면먼저 ASA 를다시로드해야합니다. ASA 에서소프트웨어모듈에대한세션시작 기본네트워크설정을구성하고모듈관련문제를해결하려면 ASA FirePOWER CLI를사용하십시오. ASA FirePOWER 소프트웨어모듈 CLI에 ASA에서액세스하려면 ASA에서세션을시작할수있습니다 X에서실행중인하드웨어모듈에대한세션은시작할수없습니다. 모듈에대한세션을시작하거나 ( 텔넷사용 ) 가상콘솔세션을만들수있습니다. 제어평면이다운되어텔넷세션을설정할수없는경우콘솔세션이유용할수있습니다. 다중컨텍스트모드의경우시스템실행공간에서세션을시작합니다. 텔넷또는콘솔세션에서사용자이름과비밀번호를입력하라는프롬프트가표시됩니다. ASA FirePOWER에구성된어떤사용자이름으로도로그인할수있습니다. 처음에는admin 사용자이름만이구성되어항상사용가능합니다. 초기기본비밀번호는전체이미지의경우 Sourcefire, 부트이미지의경우 Admin123입니다. 텔넷세션 : session sfr ASA FirePOWER CLI 에있을때종료후 ASA CLI 로돌아가려면모듈에서로그아웃하기위한명령 (logout 또는 exit) 을입력하고 Ctrl-Shift-6, x 를누릅니다. 콘솔세션 : session sfr console Ctrl-Shift-6, x 를눌러야만콘솔세션을종료할수있습니다. 모듈에서로그아웃하면모듈로그인프롬프트가표시됩니다. 7-19

114 ASA FirePOWER 모듈모니터링 7 장 ASA FirePOWER 모듈 참고 터미널서버에서는 session sfr console 명령을사용하지마십시오. 여기서 Ctrl-Shift-6, x 는터미널서버프롬프트로돌아가기위한이스케이프시퀀스입니다. Ctrl-Shift-6, x 는 ASA FirePOWER 콘솔을이스케이프하고 ASA 프롬프트로돌아가기위한시퀀스이기도합니다. 따라서이러한상황에서 ASA FirePOWER 콘솔을종료하려는경우터미널서버프롬프트에대한모든방법을종료해야합니다. 터미널서버를 ASA 에다시연결하면 ASA FirePOWER 콘솔세션은여전히활성상태이므로, 종료후 ASA 프롬프트로돌아갈수없습니다. 콘솔을 ASA 프롬프트로되돌리려면직접시리얼연결을사용해야합니다. 이러한상황에서는콘솔명령대신 session sfr 명령을사용하십시오. 시스템소프트웨어업그레이드 업그레이드를적용하기전에 ASA에서새버전의최소필수릴리스를실행하고있는지확인합니다. 모듈을업그레이드하기전에 ASA를업그레이드해야할수있습니다. 업그레이드적용에대한자세한내용은 FireSIGHT System User Guide 또는 FireSIGHT Management Center의온라인도움말을참조하십시오. ASDM 관리를위해 Configuration( 컨피그레이션 ) > ASA FirePOWER Configuration( 컨피그레이션 ) > Updates( 업데이트 ) 를사용하여시스템소프트웨어및구성요소에업그레이드를적용할수있습니다. 자세한내용을보려면 Updates 페이지에서 Help( 도움말 ) 를클릭합니다. ASA FirePOWER 모듈모니터링 다음주제에서는모듈모니터링에대한지침을제공합니다. ASA FirePOWER 관련 syslog 메시지에대해서는 syslog 메시지설명서를참조하십시오. ASA FirePOWER syslog 메시지는메시지번호 부터시작합니다. 모니터링명령을사용하려면 Tools( 툴 ) > Command Line Interface( 명령행인터페이스 ) 를사용합니다. 모듈상태표시, 7-20 페이지 모듈통계표시, 7-21 페이지 작업동작분석 (ASDM 관리 ), 7-21 페이지 모듈연결모니터링, 7-21 페이지 모듈상태표시 홈페이지에서 ASA FirePOWER Status(ASA FirePOWER 상태 ) 탭을선택하여모듈에대한정보를볼수있습니다. 여기에는모델, 일련번호, 소프트웨어버전, 모듈상태 ( 예 : 애플리케이션이름및상태, 데이터플레인상태, 전반적인상태 ) 같은모듈정보가포함됩니다. 모듈이 FireSIGHT Management Center 에등록된경우, 링크를클릭하여애플리케이션을열고추가분석및모듈컨피그레이션을수행할수있습니다. ASDM 을사용하여모듈을관리하는경우 Home( 홈 ) > ASA FirePOWER Dashboard( 대시보드 ) 페이지를사용하여모듈에서실행중인소프트웨어, 제품업데이트, 라이센싱, 시스템로드, 디스크사용량, 시스템시간, 인터페이스상태등에대한요약정보를확인할수있습니다. 7-20

115 7 장 ASA FirePOWER 모듈 ASA FirePOWER 모듈모니터링 모듈통계표시 각서비스정책에대한통계와상태를표시하려면 sfr 명령이포함된 show service-policy sfr 명령을사용합니다. 카운터를지우려면 clear service-policy를사용합니다. 다음예는 ASA FirePOWER 서비스정책과현재통계및모듈상태를보여줍니다. 모니터링전용모드에서입력횟수는 0으로유지됩니다. ciscoasa# show service-policy sfr Global policy: Service-policy: global_policy Class-map: my-sfr-class SFR: card status Up, mode fail-close packet input , packet output , drop 0, reset-drop 0, proxied 0 작업동작분석 (ASDM 관리 ) ASDM 을사용하여 ASA FirePOWER 모듈을관리하는경우다음페이지를사용하여모듈의작동정보를확인할수있습니다. Home( 홈 ) > ASA FirePOWER Reporting( 보고 ) - 상위 10 개대시보드를통해모듈을통과하는트래픽과관련한다양한모듈통계정보 ( 예 : 웹카테고리, 사용자, 출처, 대상 ) 를제공합니다. Monitoring( 모니터링 ) > ASA FirePOWER Monitoring( 모니터링 ) - 모듈모니터링을위한 syslog, 작업상태, 모듈통계, 실시간이벤트뷰어등의여러페이지가있습니다. 모듈연결모니터링 ASA FirePOWER 모듈을통한연결을표시하려면다음명령중하나를입력합니다. show asp table classify domain sfr 트래픽을 ASA FirePOWER 모듈로전송하기위해생성된 NP 규칙을표시합니다. show asp drop 삭제된패킷을표시합니다. 패킷유형에대한설명은아래와같습니다. show conn 'X - inspected by service module' 플래그를표시하여연결이모듈로전달되는지를보여줍니다. show asp drop 명령은 ASA FirePOWER 모듈과관련된다음과같은삭제이유를포함할수있습니다. 프레임삭제 : sfr-bad-tlv-received - ASA 가 Policy ID TLV 없이 FirePOWER 에서패킷을수신할때발생합니다. 작업필드에 Standby Active 비트가설정되지않은경우이 TLV 는비제어패킷에있어야합니다. sfr-request - FirePOWER 에대한정책때문에 FirePOWER 에서프레임삭제를요청했습니다. FirePOWER 는작업을 Deny Source, Deny Destination 또는 Deny Pkt 로설정할수있습니다. 프레임이삭제되지않은경우흐름을거부하는모듈의정책을검토하십시오. sfr-fail-close - 카드가작동되지않고구성된정책이 'fail-close'( 카드가비작동상태여도패킷통과를허용하는 'fail-open' 이아니라 ) 이므로패킷이삭제됩니다. 카드상태를점검하고서비스를다시시작하거나다시부팅해보십시오. 7-21

116 ASA FirePOWER 모듈의기록 7 장 ASA FirePOWER 모듈 sfr-fail - 기존흐름에대해 FirePOWER 컨피그레이션이제거되었고 FirePOWER 를통해기존흐름을처리할수없으므로삭제됩니다. 이상황은발생할가능성이매우낮습니다. sfr-malformed-packet - FirePOWER 의패킷에잘못된헤더가포함되어있습니다. 예를들면헤더길이가정확하지않을수있습니다. sfr-ha-request - 보안어플라이언스가 FirePOWER HA 요청패킷을수신하지만처리할수없어서패킷이삭제되면이카운터가증가합니다. sfr-invalid-encap - 보안어플라이언스가잘못된메시지헤더가포함된 FirePOWER 패킷을수신하여패킷이삭제되면이카운터가증가합니다. sfr-bad-handle-received - FirePOWER 모듈의패킷에서잘못된흐름핸들을수신하여흐름을삭제합니다. FirePOWER 흐름에대한핸들이흐름기간중에변경되었으므로이카운터가증가하고흐름과패킷이 ASA 에서삭제됩니다. sfr-rx-monitor-only - 보안어플라이언스가모니터전용모드에서 FirePOWER 패킷을수신하여패킷이삭제되면이카운터가증가합니다. 흐름삭제 : sfr-request - FirePOWER 에서흐름종료를요청했습니다. 작업비트 0 이설정됩니다. reset-by-sfr - FirePOWER 에서흐름종료및재설정을요청했습니다. 작업비트 1 이설정됩니다. sfr-fail-close - 카드가작동하지않으며구성된정책이 \qfail-close\q 이므로흐름이종료되었습니다. ASA FirePOWER 모듈의기록 기능플랫폼릴리스설명 ASA 5585-X( 모든모델 ) 는일치하는 ASA FirePOWER SSP 하드웨어모듈을지원합니다. ASA 5512-X~ASA 5555-X는 ASA FirePOWER 소프트웨어모듈을지원합니다. ASA 9.2(2.4) ASA FirePOWER ASA FirePOWER 모듈은 NGIPS(Next-Generation IPS), AVC(Application Visibility and Control), URL 필터링, AMP(Advanced Malware Protection) 를비롯한차세대방화벽서비스를제공합니다. 단일 / 다중컨텍스트모드및라우팅된 / 투명모드에서이모듈을사용할수있습니다. 다음화면을도입했습니다. Home( 홈 ) > ASA FirePOWER Status Wizards(ASA FirePOWER 상태마법사 ) > Startup Wizard( 마법사시작 ) > ASA FirePOWER Basic Configuration(ASA FirePOWER 기본컨피그레이션 ) Configuration ( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) > Add Service Policy Rule( 서비스정책규칙추가 ) > Rule Actions( 규칙작업 ) > ASA FirePOWER Inspection(ASA FirePOWER 검사 ) 7-22

117 7 장 ASA FirePOWER 모듈 ASA FirePOWER 모듈의기록 기능플랫폼릴리스설명 ASA 5506-X 는 ASDM 의모듈구성지원을포함하여 ASA FirePOWER 소프트웨어모듈을지원합니다. 트래픽리디렉션인터페이스를사용하는 ASA FirePOWER 패시브모니터링전용모드입니다. ASA 5506W-X, ASA 5506H-X, ASA 5508-X, ASA 5516-X 는 ASDM 의모듈구성지원을포함하여 ASA FirePOWER 소프트웨어모듈을지원합니다. ASA 9.3(2) ASDM 7.3(3) ASA FirePOWER ASA 9.3(2) ASA FirePOWER ASA 9.4(1) ASDM 7.4(1) ASA FirePOWER ASA FirePOWER 모듈을 ASA 5506-X에서실행할수있습니다. FireSIGHT Management Center를사용하여모듈을관리하거나 ASDM을사용할수있습니다. 다음화면을도입했습니다. Home( 홈 ) > ASA FirePOWER Dashboard, Home( 대시보드, 홈 ) > ASA FirePOWER Reporting, Configuration ( 보고, 컨피그레이션 ) > ASA FirePOWER Configuration( 컨피그레이션 )( 하위페이지포함 ), Monitoring( 모니터링 ) > ASA FirePOWER Monitoring ( 모니터링 )( 하위페이지포함 ). 이제트래픽전달인터페이스를구성하여서비스정책을사용하는대신모듈로트래픽을전송할수있습니다. 이모드에서모듈과 ASA는트래픽에영향을주지않습니다. 다음명령을완전히지원합니다. traffic-forward sfr monitor-only 이명령은 CLI에서만구성할수있습니다. ASA FirePOWER 소프트웨어모듈을 ASA 5506W-X, ASA 5506H-X, ASA 5508-X, ASA 5516-X 에서실행할수있습니다. FireSIGHT Management Center 를사용하여모듈을관리하거나 ASDM 을사용할수있습니다. 7-23

118 ASA FirePOWER 모듈의기록 7 장 ASA FirePOWER 모듈 7-24

119 8 장 ASA 및 Cisco Cloud Web Security CiscoCloud Web Security(ScanSafe 라고도함 ) 는 SaaS(Software-as-a-Service) 모델을통해웹보안및웹필터링서비스를제공합니다. 네트워크에 ASA 가있는기업은추가하드웨어를설치하지않고도 Cloud Web Security 서비스를사용할수있습니다. Cisco Cloud Web Security 에대한정보, 8-1 페이지 Cisco Cloud Web Security 의라이센싱요구사항, 8-4 페이지 Cloud Web Security 지침, 8-5 페이지 Cisco Cloud Web Security 컨피그레이션, 8-6 페이지 Cloud Web Security 모니터링, 8-15 페이지 Cisco Cloud Web Security 의예, 8-16 페이지 Cisco Cloud Web Security 이력, 8-21 페이지 Cisco Cloud Web Security 에대한정보 Cloud Web Security가 ASA에서활성화되면 ASA는선택한 HTTP 및 HTTPS 트래픽을서비스정책규칙에따라 Cloud Web Security 프록시서버로투명하게리디렉션합니다. 그러면 Cloud Web Security 프록시서버는내용을스캔하고 Cisco ScanCenter에구성된정책을기반으로트래픽을허용또는차단하거나트래픽에대한경로를전송하여, 허용가능한사용을적용하고사용자를악성코드로부터보호합니다. ASA는선택적으로아이덴티티방화벽및 AAA 규칙을사용해사용자를인증및식별할수있습니다. ASA는사용자자격증명 ( 사용자이름및사용자그룹포함 ) 을암호화하여 Cloud Web Security 로리디렉션하는트래픽에포함시킵니다. 그러면 Cloud Web Security 서비스는사용자자격증명을사용해트래픽을정책에맞춥니다. 사용자기반보고에도이러한자격증명을사용합니다. Cloud Web Security 서비스에서정책을적용하는데사용자이름과그룹이반드시필요하지는않지만, ASA는사용자인증없이선택적으로기본사용자이름및그룹을제공할수있습니다. 서비스정책규칙을만들때 Cloud Web Security로보낼트래픽을사용자지정할수있습니다. 서비스정책규칙과일치하는웹트래픽의하위집합을대신원래요청한웹서버로직접보내고 Cloud Web Security에서스캔하지않도록 " 화이트리스트 " 를구성할수도있습니다. 기본및백업 Cloud Web Security 프록시서버를구성할수있습니다. ASA는정기적으로이들을각각폴링 (polling) 하여가용성을확인합니다. 사용자식별및 Cloud Web Security, 8-2 페이지 인증키, 8-2 페이지 ScanCenter 정책, 8-2 페이지 기본프록시서버에서백업프록시서버로장애조치, 8-4 페이지 8-1

120 Cisco Cloud Web Security 에대한정보 8 장 ASA 및 Cisco Cloud Web Security 사용자식별및 Cloud Web Security 사용자 ID를사용하여 Cloud Web Security에서정책을적용할수있습니다. 사용자 ID는 Cloud Web Security 보고에도유용할수있습니다. Cloud Web Security를사용하는데사용자 ID가반드시필요한것은아닙니다. Cloud Web Security 정책에대한트래픽을식별하기위한다른방법이있습니다. 다음과같은방법을사용하여사용자의 ID를확인하거나기본 ID를제공할수있습니다. 아이덴티티방화벽 - ASA가 AD(Active Directory) 와함께아이덴티티방화벽을사용하는경우 AD 에이전트에서사용자이름및그룹이검색됩니다. 액세스규칙또는서비스정책과같은기능에서 ACL의사용자및그룹을사용하거나사용자 ID 정보를직접다운로드하도록사용자 ID 모니터를구성하면사용자및그룹이검색됩니다. IDFW 컨피그레이션에대한자세한내용은일반적인작업컨피그레이션가이드를참조하십시오. AAA 규칙 - ASA 가 AAA 규칙을사용하여사용자인증을수행하면 AAA 서버또는로컬데이터베이스에서사용자이름이검색됩니다. AAA 규칙의 ID 에는그룹정보가포함되어있지않습니다. 기본그룹을구성하는경우이러한사용자는해당하는기본그룹에연결됩니다. AAA 규칙컨피그레이션에대한자세한내용은레거시기능가이드를참조하십시오. 기본사용자이름및그룹 - 사용자이름또는그룹이연결되어있지않은트래픽의경우선택적으로기본사용자이름및그룹이름을구성할수있습니다. 이러한기본값은 Cloud Web Security 의서비스정책규칙과일치하는모든사용자에게적용됩니다. 인증키 각 ASA는 Cloud Web Security에서가져온인증키를사용해야합니다. 인증키는 Cloud Web Security가웹요청과연결된회사를식별하고 ASA가유효한고객과연결되도록해줍니다. ASA에대해다음의두가지인증키유형 ( 회사키및그룹키 ) 중하나를사용할수있습니다. 회사인증키 - 동일한회사내의여러 ASA 에서회사인증키를사용할수있습니다. 이키는단순히 ASA 에대한 Cloud Web Security 서비스를활성화합니다. 그룹인증키 - 그룹인증키는각 ASA 에대해고유한특수키로, 다음과같은두가지기능을수행합니다. 하나의 ASA 에대해 Cloud Web Security 서비스를활성화합니다. ASA에대한 ScanCenter 정책을만들수있도록 ASA에서오는모든트래픽을식별합니다. 이러한키는 ScanCenter( ) 에서생성할수있습니다. 자세한내용은다음의 Cloud Web Security 설명서를참조하십시오. nfiguration-guides-list.html ScanCenter 정책 ScanCenter에서는규칙이일치될때까지트래픽이정책규칙에적절히맞춰집니다. 그런다음 Cloud Web Security는규칙에대해구성된작업을적용하여트래픽을허용또는차단하거나사용자에게경고합니다. 사용자는경고를통해웹사이트에서지속여부를선택할수있습니다. URL 필터링정책을 ASA가아닌 ScanCenter에서구성합니다. 8-2

121 8 장 ASA 및 Cisco Cloud Web Security Cisco Cloud Web Security 에대한정보 그러나정책의일부는정책이적용되는사용자입니다. 그룹연결 ( 디렉토리그룹또는맞춤형그룹 ) 을기반으로트래픽을 ScanCenter 의정책규칙에맞출수있습니다. 그룹정보는 ASA 에서리디렉션된요청에포함되므로 ASA 에서어떤그룹정보를가져올수있는지알고있어야합니다. 디렉토리그룹, 8-3 페이지 맞춤형그룹, 8-3 페이지 그룹키와인증키가상호작용하는방식, 8-4 페이지 디렉토리그룹 디렉토리그룹은트래픽이속한그룹을정의합니다. 아이덴티티방화벽을사용하는경우그룹 ( 존재하는경우 ) 은클라이언트의 HTTP 요청에포함됩니다. 아이덴티티방화벽을사용하지않는경우 Cloud Web Security 검사에서트래픽을 ASA 규칙에맞추기위한기본그룹을구성할수있습니다. ScanCenter에서정책의디렉토리그룹을구성하는경우그룹이름을정확히입력해야합니다. 아이덴티티방화벽그룹이름은다음형식으로전송됩니다. domain-name\group-name ASA의형식은 domain-name\\group-name입니다. 그러나리디렉션된 HTTP 요청에그룹을포함하는경우 ASA는일반 ScanCenter 표기법을따르기위해이름을수정하여백슬래시를하나만 (\) 사용합니다. 기본그룹이름은다음형식으로전송됩니다. [domain\]group-name ASA에서는백슬래시 2개 (\\) 가오도록선택적인도메인이름을구성해야합니다. 그러나 ASA는일반 ScanCenter 표기법을따르기위해이름을수정하여백슬래시를하나만 (\) 사용합니다. 예를들어사용자가 "Cisco\\Boulder1" 을지정하면 ASA는그룹이름을 Cloud Web Security로전송할때백슬래시를하나만 (\) 사용하여그룹이름을 "Cisco\Boulder1" 로수정합니다. 맞춤형그룹 맞춤형그룹은하나이상의다음기준을사용하여정의됩니다. ScanCenter Group 인증키 - 맞춤형그룹에대한 Group 인증키를생성할수있습니다. 그러면 ASA 컨피그레이션시이그룹키를식별하는경우 ASA 에서오는모든트래픽에 Group 키라는태그가지정됩니다. 소스 IP 주소 - 맞춤형그룹에서소스 IP 주소를식별할수있습니다. ASA 서비스정책은소스 IP 주소를기반으로하므로 ASA 에서임의의 IP 주소기반정책을대신구성할수도있습니다. 사용자이름 - 맞춤형그룹에서사용자이름을식별할수있습니다. 아이덴티티방화벽사용자이름은다음형식으로전송됩니다. domain-name\username RADIUS 또는 TACACS+ 를사용하는경우 AAA 사용자이름은다음형식으로전송됩니다. LOCAL\username LDAP를사용하는경우 AAA 사용자이름은다음형식으로전송됩니다. domain-name\username 기본사용자이름은다음형식으로전송됩니다. [domain-name\]username 예를들어기본사용자이름을 "Guest" 로구성한경우 ASA 는 "Guest" 를전송합니다. 기본사용자이름을 "Cisco\Guest" 로구성한경우 ASA 는 "Cisco\Guest" 를전송합니다. 8-3

122 Cisco Cloud Web Security 의라이센싱요구사항 8 장 ASA 및 Cisco Cloud Web Security 그룹키와인증키가상호작용하는방식 맞춤형그룹에더하여그룹키가제공하는 ASA 단위정책이필요하지않은경우에는회사키를사용할수있습니다. 맞춤형그룹이모두그룹키와연결되는것은아닙니다. 키가지정되지않은맞춤형그룹은 IP 주소또는사용자이름을식별하는데사용하거나, 디렉토리그룹을사용하는규칙과함께정책에서사용할수있습니다. ASA 단위정책이필요하고그룹키를사용중인경우에도디렉토리그룹및키가지정되지않은맞춤형그룹에서제공하는일치기능을사용할수있습니다. 이경우그룹멤버십, IP 주소또는사용자이름기반으로일부를제외하고 ASA 기반정책을사용할수있습니다. 예를들면모든 ASA 에서 America\Management 그룹의사용자를제외할수있습니다. 1. America\Management 에대한디렉토리그룹을추가합니다. 2. 이그룹에대한제외규칙을추가합니다. 3. ASA 단위로정책을적용할예외규칙뒤에각맞춤형그룹과그룹키에대한규칙을추가합니다. 4. America\Management의사용자로부터오는트래픽은예외규칙으로확인하고, 다른모든트래픽은 ASA에대한규칙으로확인하게됩니다. 키, 그룹및정책규칙을다양하게조합할수있습니다. 기본프록시서버에서백업프록시서버로장애조치 Cisco Cloud Web Security 서비스를구독하면기본 Cloud Web Security 프록시서버와백업프록시서버가할당됩니다. 클라이언트가기본서버에도달할수없는경우 ASA는가용성확인을위해타워의폴링을시작합니다. ( 클라이언트활동이없으면 ASA는 15분마다폴링합니다.) 구성된재시도횟수 ( 기본값은 5이며컨피그레이션가능 ) 이후에도프록시서버를사용할수없는경우에는서버가연결할수없는것으로선언되며백업프록시서버가활성화됩니다. 백업서버로의장애조치이후에도 ASA는계속해서기본서버를폴링합니다. 기본서버에도달할수있게되면 ASA는다시기본서버를사용합니다. 또한 ASA에서기본또는백업 Cloud Web Security 프록시서버에도달할수없을경우웹트래픽을처리하는방법을선택할수도있습니다. 모든웹트래픽을차단하거나허용할수있습니다. 기본적으로는웹트래픽을차단합니다. Cisco Cloud Web Security 의라이센싱요구사항 모델 ASAv 기타모델 라이센스요구사항 표준 (Standard) 또는프리미엄 (Premium) 라이센스 ASA 및 Cloud Web Security 서버간의트래픽을암호화하는강력한암호화 (3DES/AES) 라이센스 Cloud Web Security 관점에서사용자는 Cisco Cloud Web Security 라이센스를구매하고 ASA 에서처리하는사용자수를파악해야합니다. 그런다음 ScanCenter 에로그인하여인증키를생성해야합니다. 8-4

123 8 장 ASA 및 Cisco Cloud Web Security Cloud Web Security 지침 Cloud Web Security 지침 컨텍스트모드지침 단일및다중컨텍스트모드에서지원됩니다. 다중컨텍스트모드에서는시스템컨텍스트에서만서버컨피그레이션이허용되며, 보안컨텍스트에서만서비스정책규칙컨피그레이션이허용됩니다. 필요한경우각컨텍스트에자체인증키를둘수있습니다. 방화벽모드지침 라우팅된방화벽모드에서만지원됩니다. 투명한방화벽모드를지원하지않습니다. IPv6 지침 IPv6 을지원하지않습니다. Cloud Web Security 는현재 IPv4 주소만지원합니다. 내부에서 IPv6 을사용하는경우 Cloud Web Security 로전송해야할 IPv6 흐름에대해 NAT 64 를사용하여 IPv6 주소를변환합니다. 추가지침 Cloud Web Security 에서는 ASA 클러스터링이지원되지않습니다. Cloud Web Security 를 URL 필터링 ( 예 : ASA CX 및 ASA FirePOWER) 을수행할수도있는모듈로리디렉션하는동일한트래픽에서사용할수없습니다. 트래픽은모듈로만전송되며 Cloud Web Security 서버로는전송되지않습니다. Cloud Web Security 에서는클라이언트리스 SSL VPN 이지원되지않습니다. Cloud Web Security 용 ASA 서비스정책에서클라이언트리스 SSL VPN 트래픽을제외해야합니다. Cloud Web Security 프록시서버에대한인터페이스가중단되는경우 show scansafe server 명령의출력에서는약 15~25 분동안두서버가가동상태인것으로표시됩니다. 폴링메커니즘은활성연결을기반으로하기때문에, 그리고인터페이스가중단되면제로 (0) 연결이표시되고폴링접근방식에가장긴시간이걸리므로이러한상황이발생할수있습니다. Cloud Web Security 검사는동일한트래픽에대해 HTTP 검사와호환됩니다. 별도의연결에대해동일한소스포트와 IP 주소를사용할수있는애플리케이션또는확장 PAT 에서는 Cloud Web Security 가지원되지않습니다. 예를들어동일한서버를대상으로하는두개의서로다른연결에서확장 PAT 를사용하는경우, 대상별로두연결이구분되기때문에 ASA 는두연결변환에동일한소스 IP 및소스포트를재사용할수있습니다. ASA 는이러한연결을 Cloud Web Security 서버로리디렉션할때대상을 Cloud Web Security 서버 IP 주소및포트 ( 기본값 8080) 로교체합니다. 그결과두연결이이제동일한흐름 ( 동일한소스 IP/ 포트및대상 IP/ 포트 ) 에속하는것처럼보이므로반환트래픽을제대로변환할수없습니다. 기본검사트래픽클래스에는 Cloud Web Security 검사를위한기본포트 (80 및 443) 가포함되어있지않습니다. 8-5

124 Cisco Cloud Web Security 컨피그레이션 8 장 ASA 및 Cisco Cloud Web Security Cisco Cloud Web Security 컨피그레이션 Cloud Web Security를구성하기전에라이센스와사용할프록시서버주소를얻습니다. 인증키도생성합니다. 자세한내용은 Cloud Web Security( ) 를참조하십시오. 다음절차를통해 ASA를구성하여웹트래픽을 Cloud Web Security로리디렉션합니다. 시작하기전에 사용자 ID 정보를 Cloud Web Security 로전송하려면 ASA 에서다음중하나를구성합니다. 아이덴티티방화벽 ( 사용자이름및그룹 ) AAA 규칙 ( 사용자이름전용 ) - 레거시기능가이드를참조하십시오. 과같은 FQDN( 정규화된도메인이름 ) 을사용하려는경우 ASA의 DNS 서버를구성해야합니다. 절차 1단계 Cloud Web Security 프록시서버와의통신컨피그레이션, 8-6페이지 2단계 ( 선택사항 ) 화이트리스트에있는트래픽식별, 8-8페이지 3단계 Cloud Web Security로트래픽을전송하도록서비스정책컨피그레이션, 8-9페이지 4단계 ( 선택사항 ) 사용자 ID 모니터링컨피그레이션, 8-14페이지 5단계 Cloud Web Security 정책컨피그레이션, 8-15페이지 Cloud Web Security 프록시서버와의통신컨피그레이션 사용자웹요청이올바르게리디렉션될수있도록 Cloud Web Security 프록시서버를식별해야합니다. 다중컨텍스트모드에서시스템컨텍스트의프록시서버를구성한다음컨텍스트별로 Cloud Web Security를활성화해야합니다. 따라서일부컨텍스트에서는서비스를사용할수있지만다른컨텍스트에서는사용할수없습니다. 시작하기전에 프록시서버에정규화된도메인이름을사용하려면 ASA 의 DNS 서버를구성해야합니다. ( 다중컨텍스트모드 ) 시스템컨텍스트및특정컨텍스트에서모두 Cloud Web Security 프록시서버를가리키는경로를구성해야합니다. 이렇게하면 Active/Active 장애조치시나리오에서 Cloud Web Security 프록시서버가연결되지않는것을방지할수있습니다. 8-6

125 8 장 ASA 및 Cisco Cloud Web Security Cisco Cloud Web Security 컨피그레이션 절차 1 단계 Configuration( 컨피그레이션 ) > Device Management( 장비관리 ) > Cloud Web Security 를선택합니다. 다중컨텍스트모드의경우시스템컨텍스트에서이단계를수행합니다. 2단계 IP 주소또는정규화된도메인이름으로기본및백업서버를식별합니다. Cisco Cloud Web Security 서비스를구독하면기본및백업 Cloud Web Security 프록시서버가할당됩니다. 기본적으로 Cloud Web Security 프록시서버는 HTTP 및 HTTPS 트래픽에대해포트 8080을사용합니다. 다른설정을원하는경우가아니라면이값을변경하지마십시오. 3 단계 Other( 기타 ) 영역에다음을입력합니다. Retry Counter( 재시도카운터 ) - 서버가연결불가능한상태임이확인될때까지의 Cloud Web Security 프록시서버에대한연속폴링실패횟수입니다. 폴링은 30 초마다수행됩니다. 유효한값은 2~100 이고기본값은 5 입니다. 라이센스키, 라이센스확인키 - 요청이어느조직에서오는지를나타내기위해 ASA 가 Cloud Web Security 프록시서버에전송하는인증키입니다. 인증키는 16 바이트 16 진수입니다. 회사키또는그룹키가될수있습니다. 4 단계 Apply( 적용 ) 를클릭합니다. 5 단계 ( 다중컨텍스트모드만해당 ) 서비스를사용하려는각컨텍스트로전환하여서비스를활성화합니다. 선택적으로각컨텍스트에개별인증키를입력할수있습니다. 인증키를포함하지않으면시스템컨텍스트에대해구성된인증키가사용됩니다. 8-7

126 Cisco Cloud Web Security 컨피그레이션 8 장 ASA 및 Cisco Cloud Web Security 화이트리스트에있는트래픽식별 아이덴티티방화벽또는 AAA 규칙을사용할경우, ASA를서비스정책규칙과일치하는특정사용자또는그룹에서오는웹트래픽이스캔을위해 Cloud Web Security 프록시서버로리디렉션되지않도록구성할수있습니다. 이과정을트래픽의 " 화이트리스팅 " 이라고합니다. ScanSafe 검사클래스맵에서화이트리스트를구성합니다. 아이덴티티방화벽과 AAA 규칙에서파생된사용자이름및그룹이름을사용할수있습니다. IP 주소또는대상 URL을기준으로화이트리스트를구성할수없습니다. Cloud Web Security 서비스정책규칙을구성할때정책의클래스맵을참조합니다. 서비스정책규칙에서 ACL과함께트래픽일치기준을구성하는경우사용자또는그룹을기반으로트래픽을제외하는것과동일한결과를얻을수있지만, 화이트리스트를사용하는방법이좀더간단하다는것을알수있을것입니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Class Maps( 클래스맵 ) > Cloud Web Security 를선택합니다. 2 단계다음중하나를수행합니다. 새클래스맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵이름을 40 자이하로입력하고필요하다면설명을입력합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3단계 Add( 추가 ) 를클릭하여새클래스맵을만듭니다. Add Cloud Web Security Traffic Class Map(Cloud Web Security 트래픽클래스맵추가 ) 화면이나타납니다. 4단계일치옵션 (Match All 또는 Match Any) 을선택합니다. Match All은기본값이며, 트래픽이모든기준과일치해야클래스맵과일치하는것임을의미합니다. Match Any( 항목일치 ) 는트래픽이최소하나의기준과일치하면클래스맵과일치하는것임을의미합니다. 5 단계일치테이블에서항목을추가하거나수정하여일치기준을구성합니다. 대상트래픽을정의하기위해필요한만큼추가합니다. a. 기준 (Match( 일치 ) 또는 No Match( 일치하지않음 )) 에대한일치유형을선택합니다. Match( 일치 ) - 화이트리스트에추가할사용자또는그룹을지정합니다. No Match( 일치하지않음 ) - 화이트리스트에추가하지않을사용자또는그룹을지정합니다. 예를들어그룹 "cisco" 를화이트리스트에추가하되사용자 "johncrichton" 및 "aerynsun" 의트래픽을검사하려면이두사용자에대해 No Match( 일치하지않음 ) 를지정합니다. b. 사용자, 그룹또는사용자와그룹모두를정의할것인지선택하고사용자또는그룹의이름을입력합니다. 8-8

127 8 장 ASA 및 Cisco Cloud Web Security Cisco Cloud Web Security 컨피그레이션 c. OK( 확인 ) 를클릭합니다. 화이트리스트기준을모두추가할때까지이절차를반복합니다. 6 단계클래스맵을추가하려면 OK( 확인 ) 를클릭합니다. 7단계 Apply( 적용 ) 를클릭합니다. 이제 Cloud Web Security 서비스정책에서화이트리스트를사용할수있습니다. Cloud Web Security 로트래픽을전송하도록서비스정책컨피그레이션 서비스정책은전역적으로적용되거나각인터페이스에적용되는여러서비스정책규칙으로구성됩니다. 각서비스정책규칙은 Cloud Web Security로트래픽을전송 (Match) 하거나 Cloud Web Security에서트래픽을제외 (Do Not Match) 할수있습니다. 인터넷을위한트래픽용규칙을만드십시오. 이러한규칙의순서는중요합니다. ASA에서패킷을전달할지제외할지를결정해야할때 ASA는나열된규칙의순서에따라각규칙으로패킷을테스트합니다. 일치가발견되면규칙이더이상점검되지않습니다. 예를들어, 정책의시작부분에모든트래픽을명시적으로확인하는일치규칙을만들면다른내용은점검되지않습니다. 시작하기전에 Cloud Web Security 에대한전송에서일부트래픽을제외하기위해화이트리스트를사용해야하는경우, 서비스정책규칙에서화이트리스트를참조할수있도록먼저화이트리스트를만드십시오. 절차 1단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 추가한정책을특정인터페이스에적용하거나모든인터페이스에전역적으로적용할수있습니다. 인터페이스에대한 ( 글로벌 ) 정책이있는경우기존정책에규칙을추가합니다. 새규칙의이름을지정할수있습니다. Next( 다음 ) 를클릭하여계속진행합니다. 8-9

128 Cisco Cloud Web Security 컨피그레이션 8 장 ASA 및 Cisco Cloud Web Security ScanSafe 검사규칙이있거나 ScanSafe 검사를추가하는규칙이있는경우규칙을선택한후 Edit( 수정 ) 를클릭합니다. Global 폴더의 "inspection_default" 규칙에는 HTTP 및 HTTPS 포트가포함되지않으므로해당규칙에 ScanSafe 검사를추가할수없습니다. 2 단계 Traffic Classification Criteria 페이지에서정책작업을적용할트래픽을지정하려면다음옵션중하나를선택하고 Next( 다음 ) 를클릭합니다. 새클래스를만드는경우클래스에유효한이름을지정합니다. 또한 HTTP 및 HTTPS 트래픽에별도의클래스를만들어야합니다. Create a new traffic class( 새로운트래픽클래스생성 ) > Source and Destination IP Address (uses ACL)( 소스및대상 IP 주소 (ACL 사용 )) - ACL 일치는클래스를정의하는가장유연한방법이므로 Cloud Web Security에트래픽클래스가아직없는경우이옵션을사용하는것이좋습니다. 이유형의새로운트래픽클래스를만들때처음에는하나의 ACE( 액세스제어항목 ) 만지정할수있습니다. 규칙을추가한후, 동일한인터페이스또는전역정책에새규칙을추가한다음 Add rule to existing traffic class( 기존트래픽클래스에규칙추가 ) 를지정하여 ACE를더추가할수있습니다. Create a new traffic class( 새로운트래픽클래스생성 ) > TCP or UDP Port(TCP 또는 UDP 포트 ) - 웹트래픽을구분하지않으려면이옵션을사용합니다. Next( 다음 ) 를클릭하고 TCP http 또는 TCP https 중하나의포트를지정합니다. Add rule to existing traffic class( 기존트래픽클래스에규칙추가 ) - Cisco Cloud Web Security 검사를위해 ACL 을이미시작했고기존정책에규칙을추가하려는경우이옵션을선택하고트래픽클래스를선택합니다. 3 단계 (ACL 일치 ) 소스및대상기준으로트래픽클래스를정의하는경우이규칙의 ACL 속성을입력합니다. a. Match 또는 Do Not Match를클릭합니다. Match는소스및대상과일치하는트래픽이 Cloud Web Security로전송되도록지정합니다. Do Not Match( 일치하지않음 ) 는일치하는트래픽을 Cloud Web Security에서제외합니다. 다른트래픽에대해일치여부를확인할다른규칙을나중에추가할수있습니다. 규칙을만들때인터넷을위한적절한트래픽을확인하되기타내부네트워크를위한트래픽은확인하지않는방법을고려해야합니다. 예를들어대상이 DMZ에있는내부서버일때내부트래픽이 Cloud Web Security로전송되지않도록하려면, DMZ에대한트래픽을제외하는 ACL에 deny ACE를추가해야합니다. b. Source Criteria( 소스기준 ) 영역에서소스 IP 주소또는네트워크객체를입력하거나찾아봅니다. 또한아이덴티티방화벽사용자인수및 Cisco Trustsec 보안그룹을사용하여트래픽을식별할수있습니다. Trustsec 보안그룹정보는 Cloud Web Security 로전송되지않습니다. 보안그룹을기준으로정책을정의할수없습니다. c. Destination Criteria( 대상기준 ) 영역에서대상 IP 주소또는네트워크객체, 선택적인 TrustSec Security Group을입력하거나찾아봅니다. 특정서버에대한트래픽을확인또는제외하는데 FQDN 네트워크객체가유용할수있습니다. 8-10

129 8 장 ASA 및 Cisco Cloud Web Security Cisco Cloud Web Security 컨피그레이션 d. Service( 서비스 ) 필드에 http 또는 https 를입력하고 Next( 다음 ) 를클릭합니다. 참고 Cloud Web Security 는 HTTP 및 HTTPS 트래픽에서만작동합니다. 각트래픽유형은 ASA 에서별도로취급됩니다. 따라서 HTTP 전용규칙및 HTTPS 전용규칙을만들어야합니다. 4 단계 Rule Actions( 규칙작업 ) 페이지의 Protocol Inspection( 프로토콜검사 ) 탭에서 Cloud Web Security 확인란을선택합니다. 5단계 Configure( 구성 ) 를클릭하여트래픽작업을설정하고검사정책맵을추가합니다. 검사정책맵은규칙에대한필수매개변수를구성하고선택적으로화이트리스트를식별합니다. Cloud Web Security로보내고자하는각트래픽클래스에대해검사정책맵이필요합니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > Cloud Web Security를선택하여검사정책맵을미리구성할수도있습니다. a. Cloud Web Security Traffic Action(Cloud Web Security 트래픽작업 ) 에대해다음중하나를선택합니다. Fail Close - Cloud Web Security 서버를사용할수없을때모든트래픽을삭제합니다. Fail Open - Cloud Web Security 서버를사용할수없을때트래픽이 ASA 를통과하도록허용합니다. 8-11

130 Cisco Cloud Web Security 컨피그레이션 8 장 ASA 및 Cisco Cloud Web Security b. 기존검사정책맵을선택하거나 Add( 추가 ) 를클릭하여새맵을추가합니다. c. ( 새맵만해당 ) Cloud Web Security Inspection Map(Cloud Web Security 검사맵 ) 대화상자에서맵의이름을입력하고다음속성을구성합니다. 완료되면 OK( 확인 ) 를클릭합니다. Default User and Group( 기본사용자및그룹 ) - ( 선택사항 ) 기본사용자, 그룹또는기본사용자와그룹모두입니다. ASA 에서 ASA 에연결하는사용자의 ID 를확인할수없을경우기본사용자및그룹이 Cloud Web Security 에전송된 HTTP 요청에포함됩니다. ScanCenter 에서이사용자또는그룹이름의정책을정의할수있습니다. Protocol( 프로토콜 ) - 트래픽클래스에서선택한서비스를기준으로 HTTP 또는 HTTPS 를선택합니다. 이옵션은일치해야합니다. Cloud Web Security 는각트래픽유형을별도로취급합니다. 8-12

131 8 장 ASA 및 Cisco Cloud Web Security Cisco Cloud Web Security 컨피그레이션 Inspections( 검사 ) 탭 - ( 선택사항 ) 화이트리스트를식별하려면검사탭의 Add( 추가 ) 를클릭하고화이트리스트의클래스맵을선택합니다. Manage( 관리 ) 를클릭하여지금화이트리스트를추가할수도있습니다. Whitelist( 화이트리스트 ) 가작업으로선택되었는지확인하고 OK( 확인 ) 를클릭합니다. 화이트리스트를더추가할수있습니다. d. Select Cloud Web Security Inspect Map(Cloud Web Security 검사맵선택 ) 대화상자에서 OK( 확인 ) 를클릭합니다. 6 단계 Finish( 마침 ) 를클릭합니다. Service Policy Rules( 서비스정책규칙 ) 테이블에규칙이추가됩니다. 7단계추가트래픽의확인또는제외를위해이트래픽클래스에하위규칙 (ACE) 을추가하려면이과정을반복하여동일한인터페이스또는글로벌정책을선택합니다. 트래픽클래스를구성하는경우 Add rule to existing traffic class( 기존트래픽클래스에규칙추가 ) 옵션을선택하고 Cloud Web Security 클래스를선택합니다. 새 ACE를구성하는경우클래스의다른규칙에서사용한동일서비스 (HTTP 또는 HTTPS) 를지정하도록합니다. Rule Actions( 규칙작업 ) 페이지를변경하지마십시오. 규칙이완료되면 Finish( 마침 ) 를클릭합니다. 8-13

132 Cisco Cloud Web Security 컨피그레이션 8 장 ASA 및 Cisco Cloud Web Security 8 단계 HTTP 트래픽클래스로시작했다고가정한경우 HTTPS 트래픽등다른프로토콜에트래픽클래스를만들려면이전체절차를반복합니다. 규칙및하위규칙을필요한만큼만들수있습니다. 9 단계 Service Policy Rules( 서비스정책규칙 ) 창에서 Cloud Web Security 규칙및하위규칙의순서를정렬합니다. 이동하려는규칙을선택하고위로또는아래로버튼을클릭합니다. 일반규칙앞에특수규칙이오도록합니다. 10 단계 Apply( 적용 ) 를클릭합니다. 사용자 ID 모니터링컨피그레이션 아이덴티티방화벽을사용하는경우 ASA 는활성 ACL 에포함된사용자및그룹의 AD 서버에서사용자 ID 정보만다운로드합니다. ACL 은액세스규칙, AAA 규칙, 서비스정책규칙과같은기능또는활성으로간주되는기타기능에서사용되어야합니다. 예를들어사용자및그룹이포함된 ACL 을사용하도록 Cloud Web Security 서비스정책규칙을구성하여모든관련그룹을활성화할수있지만이는필수사항이아닙니다. IP 주소만을기반으로하는 ACL 을사용할수있습니다. 8-14

133 8 장 ASA 및 Cisco Cloud Web Security Cloud Web Security 모니터링 Cloud Web Security 는 ScanCenter 정책이사용자 ID 를기반으로할수있기때문에모든사용자에대해아이덴티티방화벽을완전히적용하려는경우활성 ACL 의일부가아닌그룹을다운로드해야할수도있습니다. 사용자 ID 모니터를사용하면 AD 에이전트에서직접그룹정보를다운로드할수있습니다. 참고 ASA 는사용자 ID 모니터에대해구성된그룹및활성 ACL 을통해모니터링되는그룹을포함하여최대 512 개의그룹만모니터링할수있습니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Identity Options(ID 옵션 ) 를선택하고 Cloud Web Security Configuration 섹션으로스크롤합니다. 2 단계 Add( 추가 ) 를클릭합니다. 3 단계그룹을포함하는도메인을선택한다음사용자그룹목록의그룹을두번클릭하고 OK( 확인 ) 를클릭하여추가합니다. 이과정을반복하여그룹을더추가합니다. 많은그룹이있는경우 Find( 찾기 ) 상자를사용하여목록을필터링합니다. ASA 는지정한도메인에대한 AD 에서이름을다운로드합니다. domain_name\\group_name 형식을사용하여그룹이름에서직접입력할수도있습니다. 필요한경우 Manage( 관리 ) 버튼을클릭하여새도메인을추가할수있습니다. 4 단계모니터링할그룹을모두추가한후 Apply( 적용 ) 를클릭합니다. Cloud Web Security 정책컨피그레이션 ASA 서비스정책규칙을구성한다음 ScanCenter Portal을실행하여웹콘텐츠스캔, 필터링, 악성코드방지서비스및보고서를구성하십시오. 로이동하십시오. 자세한내용은 Cisco ScanSafe Cloud Web Security 컨피규레이션가이드를참조하십시오. s_list.html Cloud Web Security 모니터링 Cloud Web Security를모니터링하려면 Monitoring( 모니터링 ) > Properties( 속성 ) > Cloud Web Security를선택합니다. 이페이지에는리디렉션된 HTTP/HTTPS 연결에대한프록시서버상태및통계가표시됩니다. 다중컨텍스트모드에서는통계가컨텍스트내에서만표시됩니다. 클라이언트컴퓨터에서다음 URL에액세스하여사용자의트래픽이프록시서버로리디렉션되는지확인할수있습니다. 페이지에는사용자가현재서비스를사용하고있는지를나타내는메시지가표시됩니다

134 Cisco Cloud Web Security 의예 8 장 ASA 및 Cisco Cloud Web Security Cisco Cloud Web Security 의예 다음은 Cloud Web Security 를구성하는방법의예입니다. Cloud Web Security 의서비스정책예, 8-16 페이지 Cloud Web Security 의서비스정책예 다음예는 /24 네트워크로이동하는모든 IPv4 HTTP 및 HTTPS 트래픽을제외하고, 다른모든 HTTP 및 HTTPS 트래픽을 Cloud Web Security 로전송하며, 이서비스정책규칙을기존글로벌정책의일부로서모든인터페이스에적용합니다. Cloud Web Security 서버에연결할수없으면 ASA 는모든일치하는트래픽을삭제합니다 (fail close). 사용자에게사용자 ID 정보가없으면사용자의기본값이 Boulder 및그룹의기본값이 Cisco 가사용됩니다. 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) 를선택하고 Add( 추가 ) > Service Policy Rule( 서비스정책규칙 ) 을클릭합니다. 기본 global_policy 에이규칙을추가합니다. Next( 다음 ) 를클릭합니다. 8-16

135 8 장 ASA 및 Cisco Cloud Web Security Cisco Cloud Web Security 의예 2 단계 "scansafe-http" 라는새로운트래픽클래스를추가하고트래픽일치를위한 ACL 을지정합니다. Next( 다음 ) 를클릭합니다. 3 단계 Match 를선택하고 Source 및 Destination 에대해 any4 를지정합니다. Service( 서비스 ) 를 tcp/http 로지정합니다. Next( 다음 ) 를클릭합니다. 4 단계 Protocol Inspection( 프로토콜검사 ) 탭에서 Cloud Web Security 를확인란을선택하고 Configure( 구성 ) 를클릭합니다. 8-17

136 Cisco Cloud Web Security 의예 8 장 ASA 및 Cisco Cloud Web Security 5 단계기본값인 Fail Close 작업을수용하고 Add( 추가 ) 를클릭합니다. 6 단계검사정책맵의이름을 "http-map" 으로지정하고 Default User( 기본사용자 ) 를 Boulder 로, Default Group( 기본그룹 ) 을 Cisco 로설정합니다. HTTP 를선택합니다. 8-18

137 8 장 ASA 및 Cisco Cloud Web Security Cisco Cloud Web Security 의예 7 단계 OK( 확인 ), OK( 확인 ), Finish( 마침 ) 를차례로클릭합니다. Service Policy Rules( 서비스정책규칙 ) 테이블에규칙이추가됩니다. 8 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) 를선택하고 Add( 추가 ) > Service Policy Rule( 서비스정책규칙 ) 을클릭합니다. 기본 global_policy 에새규칙을추가하고 Next( 다음 ) 를클릭합니다. 9 단계 Add rule to existing traffic class 를클릭하고 scansafe-http 를선택합니다. 8-19

138 Cisco Cloud Web Security 의예 8 장 ASA 및 Cisco Cloud Web Security 10 단계 Do not match 를선택하고, Source 로 any4, Destination 으로 /24 를설정합니다. Service( 서비스 ) 를 tcp/http 로설정합니다. Next( 다음 ) 를클릭합니다. 11 단계 Finish( 마침 ) 를클릭합니다. 12 단계 Do not match( 일치하지않음 ) 규칙이 Match( 일치 ) 규칙의위에오도록규칙의순서를정렬합니다. 이러한규칙으로사용자트래픽의순서를비교하게됩니다. 리스트에이 Match( 일치 ) 규칙이먼저나타나면테스트네트워크에대한트래픽을비롯한모든트래픽에는해당규칙만적용되고 Do not match( 일치하지않음 ) 규칙은적용되지않습니다. Do not match( 일치하지않음 ) 규칙을 Match( 일치 ) 규칙의위로이동하면테스트네트워크에대한트래픽에는 Do not match( 일치하지않음 ) 규칙이적용되고다른모든트래픽에는 Match( 일치 ) 규칙이적용됩니다. 8-20

139 8 장 ASA 및 Cisco Cloud Web Security Cisco Cloud Web Security 이력 13 단계위의단계를반복하되다음을변경합니다. "scansafe-https" 라는새트래픽클래스를추가하고, 검사정책맵에대해 HTTPS 를선택합니다. 14 단계 Apply( 적용 ) 를클릭합니다. Cisco Cloud Web Security 이력 기능이름 플랫폼릴리스 기능정보 Cloud Web Security 9.0(1) 이기능이추가되었습니다. Cisco Cloud Web Security는웹트래픽에대한콘텐츠스캔및기타악성코드차단서비스를제공합니다. 또한사용자 ID를기반으로웹트래픽을리디렉션하고보고서를생성할수있습니다. 다음화면을도입하거나수정했습니다. Configuration( 컨피그레이션 ) > Device Management( 장비관리 ) > Cloud Web Security Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Class Maps( 클래스맵 ) > Cloud Web Security Configuration( 컨피그레이션 > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > Cloud Web Security Configuration( 컨피그레이션 > Firewall( 방화벽 ) > Identity Options(ID 옵션 ) Configuration( 컨피그레이션 > Firewall( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) Monitoring( 모니터링 ) > Properties( 속성 ) > Cloud Web Security 8-21

140 Cisco Cloud Web Security 이력 8 장 ASA 및 Cisco Cloud Web Security 8-22

141 파트 2 네트워크주소변환

142

143 9 장 NAT(Network Address Translation) 다음주제에서는 NAT(Network Address Translation) 에대한내용및 NAT 를구성하는방법에대해설명합니다. NAT 를사용해야하는이유, 9-1 페이지 NAT 기본, 9-2 페이지 NAT 용지침, 9-6 페이지 동적 NAT, 9-11 페이지 동적 PAT, 9-20 페이지 고정 NAT, 9-38 페이지 ID NAT, 9-50 페이지 NAT 모니터링, 9-57 페이지 NAT 기록, 9-57 페이지 NAT 를사용해야하는이유 IP 네트워크내의각컴퓨터와디바이스에는호스트를식별하는고유한 IP 주소가할당됩니다. 공용 IPv4 주소의부족때문에이러한 IP 주소는대부분사설이며, 사설회사네트워크외부로라우팅되지않습니다. RFC 1918 의정의에따르면사설 IP 주소는내부적으로사용할수있지만외부에알려서는안되는주소입니다 ~ ~ ~ NAT의주요기능중하나는사설 IP 네트워크가인터넷에연결되도록하는것입니다. NAT는사설 IP 주소를공용 IP 주소로교체하여, 내부사설네트워크의사설주소를공용인터넷에서사용할수있는합법적이고라우팅가능한주소로전환합니다. 이렇게하여 NAT는공용주소를절약합니다. 전체네트워크에대해최소하나의공용주소만외부에알리도록구성할수있기때문입니다. NAT의기타기능은다음과같습니다. 보안 - 직접공격을피할수있도록내부 IP 주소를숨깁니다. IP 라우팅솔루션 - NAT 를사용할때에는중첩 IP 주소문제가발생하지않습니다. 9-1

144 NAT 기본 9 장 NAT(Network Address Translation) 유연성 - 외부적으로사용가능한공용주소에영향을주지않고내부 IP 주소지정방식을변경할수있습니다. 예를들어인터넷에액세스할수있는서버의경우, 인터넷용으로는고정 IP 주소를유지하고내부적으로는서버주소를변경할수있습니다. IPv4 와 IPv6 간변환 ( 라우팅된방식전용 )( 버전 9.0(1) 이상 ) - IPv6 네트워크를 IPv4 네트워크에연결하려는경우 NAT 를이용하면두가지주소유형간에변환할수있습니다. 참고 NAT 는필수항목이아닙니다. 특정트래픽에대해 NAT 를구성하지않으면해당트래픽은변환되지않지만, 모든보안정책은정상적으로적용됩니다. NAT 기본 다음주제에서는 NAT의기본사항일부를설명합니다. NAT 용어, 9-2페이지 NAT 유형, 9-3페이지 네트워크개체 NAT 및 2회 NAT, 9-3페이지 NAT 규칙순서, 9-5페이지 NAT 인터페이스, 9-6페이지 NAT 용어 이설명서는다음과같은용어를사용합니다. 실제주소 / 호스트 / 네트워크 / 인터페이스 - 실제주소는변환되기전호스트에서정의된주소입니다. 외부에액세스할때내부네트워크를변환하는일반적인 NAT 시나리오에서는내부네트워크가 " 실제 " 네트워크일수있습니다. 내부네트워크만이아니라 ASA 에연결된모든네트워크를변환할수있습니다. 따라서외부주소를변환하도록 NAT 를구성하면 " 실제 " 는외부네트워크 ( 내부네트워크에액세스할때 ) 를가리킬수있습니다. 매핑된주소 / 호스트 / 네트워크 / 인터페이스 - 매핑된주소는실제주소가변환되는주소입니다. 외부에액세스할때내부네트워크를변환하는일반적인 NAT 시나리오에서는외부네트워크가 " 매핑된 " 네트워크일수있습니다. 참고주소변환중에, ASA 인터페이스에상주하는 IP 주소는변환되지않습니다. 양방향시작 - 고정 NAT 에서는연결이양방향으로시작될수있습니다 ( 호스트에서나가기도하고호스트로들어오기도함 ). 소스및대상 NAT - 모든패킷에대해소스및대상 IP 주소를 NAT 규칙과비교하며, 하나또는둘모두를변환하거나변환하지않을수있습니다. 고정 NAT 의경우에는규칙이양방향이므로, 이가이드전체에서명령및설명에 " 소스 " 와 " 대상 " 이사용됩니다. 특정연결이 " 대상 " 주소에서시작되는경우에도마찬가지입니다. 9-2

145 9 장 NAT(Network Address Translation) NAT 기본 NAT 유형 다음방법을사용하여 NAT 를구현할수있습니다. 동적 NAT - 실제 IP 주소의그룹이매핑된 IP 주소의그룹 ( 대개더작음 ) 에선착순으로매핑됩니다. 실제호스트만트래픽을시작할수있습니다. 동적 NAT, 9-11 페이지를참조하십시오. 동적 PAT( 동적포트주소변환 ) - 실제 IP 주소의그룹이해당 IP 주소의고유한소스포트를사용하여단일 IP 주소로매핑됩니다. 동적 PAT, 9-20 페이지를참조하십시오. 고정 (Static) NAT - 실제 IP 주소와매핑된 IP 주소간의일관된매핑입니다. 양방향트래픽시작이허용됩니다. 고정 NAT, 9-38 페이지를참조하십시오. ID NAT - 실제주소가기본적으로 NAT 를우회하여자신에게고정으로변환됩니다. 대규모주소그룹을변환하되좀더작은규모의주소하위집합을제외하고자할경우이방법으로 NAT 를구성할수있습니다. ID NAT, 9-50 페이지를참조하십시오. 네트워크개체 NAT 및 2 회 NAT 네트워크개체 NAT 2 회 NAT ASA에서는주소변환을두가지방법, 즉네트워크개체 NAT 및 2회 NAT로구현할수있습니다. 2회 NAT가제공하는추가적인기능이필요한경우가아니면네트워크개체 NAT를사용하는것이좋습니다. 네트워크개체 NAT가구성이더쉽고, VoIP(Voice over IP) 등의애플리케이션에서좀더안정적입니다. (2회 NAT는두개체간에만적용되므로 VoIP의경우두개체중하나에속하지않는간접주소를변환할때오류가발생할수있습니다.) 네트워크개체 NAT, 9-3 페이지 2 회 NAT, 9-3 페이지 네트워크개체 NAT 와 2 회 NAT 비교, 9-4 페이지 네트워크개체의매개변수로서구성되는모든 NAT 규칙은네트워크개체 NAT 규칙으로간주됩니다. 네트워크개체 NAT는단일 IP 주소, 주소범위또는서브넷등의네트워크개체에대해 NAT 를구성하기위한빠르고쉬운방법입니다. 네트워크개체를구성한후에는해당개체의매핑된주소를인라인주소로서식별하거나, 또다른네트워크개체또는네트워크개체그룹으로서식별할수있습니다. 패킷이 ASA로들어가면소스및대상 IP 주소모두에서네트워크개체 NAT 규칙의점검이수행됩니다. 별도의일치를만든경우별도의규칙을통해패킷의소스및대상주소를변환할수있습니다. 이러한규칙은서로연결되어있지않습니다. 트래픽에따라규칙의서로다른조합을사용할수있습니다. 규칙은쌍을이루지않으므로소스A/ 대상A가소스A/ 대상B 이외의다른변환을갖도록지정할수없습니다. 그런종류의기능이필요한경우 2회 NAT를사용하십시오. 2회 NAT를사용하면단일규칙으로소스및대상주소를식별할수있습니다. 2 회 NAT 에서는소스주소와대상주소를단일규칙에서식별할수있습니다. 소스주소와대상주소를모두지정하면소스 A/ 대상 A 가소스 A/ 대상 B 이외의다른변환을갖도록지정할수있습니다. 9-3

146 NAT 기본 9 장 NAT(Network Address Translation) 참고고정 NAT 의경우에는규칙이양방향이므로, 이가이드전체에서명령및설명에 " 소스 " 와 " 대상 " 이사용됩니다. 특정연결이 " 대상 " 주소에서시작되는경우에도마찬가지입니다. 예를들어포트주소변환고정 NAT 를구성하고, 소스주소를텔넷서버로지정하며, 텔넷서버로이동하는모든트래픽에대해포트를 2323 에서 23 으로변환하려면명령에서소스포트가변환되도록지정해야합니다 (real: 23, mapped: 2323). 텔넷서버주소를소스주소로지정했기때문에소스포트를지정하는것입니다. 대상주소는선택사항입니다. 대상주소를지정하는경우이를대상주소자신에게매핑할수도있고 (ID NAT) 다른주소에매핑할수도있습니다. 대상주소매핑은항상고정매핑입니다. 또한 2회 NAT를사용하는경우포트변환고정 NAT에대해서비스개체를사용할수있습니다. 네트워크개체 NAT는인라인정의만수용합니다. 네트워크개체 NAT 와 2 회 NAT 비교 이두 NAT 유형의주요차이점은다음과같습니다. 실제주소를정의하는방법 네트워크개체 NAT - NAT 를네트워크개체의매개변수로서정의합니다. 네트워크개체가 IP 호스트, 범위또는서브넷을명명하므로 NAT 컨피그레이션에서실제 IP 주소대신개체를사용할수있습니다. 네트워크개체 IP 주소는실제주소역할을합니다. 이방법을사용하면컨피그레이션의다른부분에서이미사용중일수있는네트워크개체에 NAT 를손쉽게추가할수있습니다. 2 회 NAT - 실제주소와매핑된주소모두에서네트워크개체또는네트워크개체그룹을식별합니다. 이경우 NAT 는네트워크개체의매개변수가아닙니다. 네트워크개체또는그룹은 NAT 컨피그레이션의매개변수입니다. 실제주소에네트워크개체그룹을사용할수있으므로 2 회 NAT 의확장성이더뛰어납니다. 소스및대상 NAT 의구현방법 네트워크개체 NAT - 각규칙을패킷의소스주소또는대상주소에적용할수있습니다. 따라서소스 IP 주소와대상 IP 주소에각각하나씩두개의규칙이사용될수있습니다. 소스 / 대상조합에특정변환을적용하기위해이러한두규칙을결합할수없습니다. 2 회 NAT - 단일규칙이소스주소와대상주소를모두변환합니다. 일치하는패킷은하나의규칙에서만일치하며, 더이상규칙이점검되지않습니다. 2 회 NAT 에대해선택적인대상주소를구성하지않더라도일치하는패킷이여전히하나의 2 회 NAT 규칙에서만일치합니다. 소스와대상이결합되어있으므로, 소스 / 대상조합에따라서로다른변환을적용할수있습니다. 예를들어소스 A/ 대상 A 의변환은소스 A/ 대상 B 의변환과다를수있습니다. NAT 규칙의순서 네트워크개체 NAT - NAT 테이블에서순서가자동으로지정됩니다. 2 회 NAT - NAT 테이블에서순서를수동으로지정합니다 ( 네트워크개체 NAT 규칙앞또는뒤 ). 9-4

147 9 장 NAT(Network Address Translation) NAT 기본 NAT 규칙순서 네트워크개체 NAT 규칙과 2 회 NAT 규칙은세개의섹션으로구분되는단일테이블에저장됩니다. 섹션 1 규칙이먼저적용된다음, 일치가발견될때까지섹션 2, 마지막으로섹션 3 이적용됩니다. 예를들어섹션 1 에서일치가발견되면섹션 2 와 3 은평가되지않습니다. 다음표는각섹션내의규칙순서를보여줍니다. 표 9-1 NAT 규칙테이블 테이블섹션 규칙유형 섹션내규칙의순서 섹션 1 2회 NAT 첫번째일치부터컨피그레이션에나타나는순서대로적용됩니다. 첫번째일치가적용되므로, 일반규칙앞에특수규칙이오도록해야합니다. 그렇지않으면특수규칙이원하는대로적용되지않을수있습니다. 기본적으로 2회 NAT 규칙은섹션 1에추가됩니다. 참고 EasyVPN remote를구성하면 ASA에서는보이지 않는 NAT 규칙을이섹션의끝에동적으로추가합니다. 보이지않는규칙과일치하는대신 VPN 트래픽과일치할수있는 2회 NAT 규칙은이섹션에서구성하지않아야합니다. NAT 실패때문에 VPN이작동하지않으면 2회 NAT 규칙을섹션 3에추가해볼수있습니다. 섹션 2 네트워크개체 NAT 섹션 1에서일치가발견되지않으면 ASA에서자동으로결정한다음순서로섹션 2 규칙이적용됩니다. 1. 고정규칙 2. 동적규칙각규칙유형내에서는다음의순서지침이사용됩니다. 1. 실제 IP 주소의수량 - 가장적은것에서가장많은것. 예를들면주소가 1 개인개체가주소가 10 개인개체보다먼저평가됩니다. 2. 수량이동일한경우 IP 주소번호가낮은것에서높은것순으로사용됩니다. 예를들면, 이 보다먼저평가됩니다. 3. IP 주소가동일한경우네트워크개체의이름이알파벳 순으로사용됩니다. 예를들면 abracadabra가 catwoman보다먼저평가됩니다. 섹션 3 2회 NAT 아직도일치가발견되지않으면섹션 3 규칙이첫번째부터컨피그레이션에나타나는순서대로적용됩니다. 이섹션에는가장일반적인규칙을포함해야합니다. 또한이섹션에서는특정규칙이일반규칙보다먼저적용되도록해야합니다. 규칙을추가할때 2회 NAT 규칙을섹션 3에추가할지여부를지정할수있습니다. 예를들어섹션 2 규칙의경우네트워크개체내에서다음 IP 주소를정의합니다 /24 (static) /24 (dynamic) /24 (static) 9-5

148 NAT 용지침 9 장 NAT(Network Address Translation) /32 (static) /24 (dynamic) (object def) /24 (dynamic) (object abc) 결과순서는다음과같습니다 /32 (static) /24 (static) /24 (static) /24 (dynamic) (object abc) /24 (dynamic) (object def) /24 (dynamic) NAT 인터페이스 라우팅된모드에서임의의인터페이스 ( 다시말하면모든인터페이스 ) 에적용할 NAT 규칙을구성할수도있고, 특정실제및매핑된인터페이스를지정할수도있습니다. 실제주소에는임의의인터페이스를지정하고, 매핑된주소에는특정인터페이스를지정하거나, 그반대로지정할수도있습니다. 예를들어, 여러인터페이스에서동일한사설주소를사용하며, 외부에액세스할때이들을모두동일한전역풀로변환하려는경우실제주소에는임의의인터페이스를지정하고, 매핑된주소에는외부인터페이스를지정할수있습니다. 그림 9-1 임의의인터페이스지정 Outside :xxxx Security Appliance any Eng Mktg HR 투명모드에서는특정소스및대상인터페이스를선택해야합니다. NAT 용지침 다음주제에서는 NAT 구현에대한자세한지침을제공합니다. NAT용방화벽모드지침, 9-7페이지 IPv6 NAT 지침, 9-7페이지 IPv6 NAT 권장사항, 9-7페이지 NAT 추가지침, 9-8페이지 9-6

149 9 장 NAT(Network Address Translation) NAT 용지침 매핑된주소개체에대한네트워크개체 NAT 지침, 9-9 페이지 실제주소및매핑된주소개체에대한 2 회 NAT 지침, 9-10 페이지 실제및매핑된포트의서비스개체에대한 2 회 NAT 지침, 9-11 페이지 NAT 용방화벽모드지침 NAT 는라우팅된모드및투명방화벽모드에서지원됩니다. 그러나투명모드에는다음과같은제한사항이있습니다. 투명모드에서는실제및매핑된인터페이스를지정해야합니다. 인터페이스로 "any" 를지정할수없습니다. 투명모드에서는인터페이스 PAT 를구성할수없습니다. 투명모드인터페이스에는 IP 주소가없기때문입니다. 관리 IP 주소를매핑된주소로서사용할수도없습니다. 투명모드에서는 IPv4 및 IPv6 네트워크간변환이지원되지않습니다. 두 IPv6 네트워크간변환또는두 IPv4 네트워크간변환은지원됩니다. IPv6 NAT 지침 NAT 는다음지침및제약사항과함께 IPv6 를지원합니다. 라우팅된모드에서는 IPv4 와 IPv6 간에변환할수있습니다. 투명모드에서는 IPv4 및 IPv6 네트워크간변환이지원되지않습니다. 두 IPv6 네트워크간변환또는두 IPv4 네트워크간변환은지원됩니다. 투명모드에서는 IPv6 에대해 PAT 풀이지원되지않습니다. 고정 NAT 에서는 IPv6 서브넷을최대 /64 까지지정할수있습니다. 더큰서브넷은지원되지않습니다. FTP with NAT46 을사용할때, IPv4 FTP 클라이언트가 IPv6 FTP 서버에연결될때클라이언트는확장패시브모드 (EPSV) 또는확장포트모드 (EPRT) 를사용해야하며, PASV 및 PORT 명령은 IPv6 에서지원되지않습니다. IPv6 NAT 권장사항 IPv6 네트워크간변환및 IPv4 와 IPv6 네트워크간변환 ( 라우팅된모드전용 ) 을위해 NAT 를사용할수있습니다. 다음의모범사례를권장합니다. NAT66(IPv6-IPv6) - 고정 NAT를사용하는것이좋습니다. 동적 NAT 또는 PAT를사용할수있고 IPv6 주소가대량으로공급되지만, 동적 NAT를반드시사용할필요는없습니다. 반환트래픽을허용하지않으려면고정 NAT 규칙을단방향으로설정할수있습니다 (2회 NAT 전용 ). NAT46(IPv4-IPv6) - 고정 NAT를사용하는것이좋습니다. IPv6 주소공간이 IPv4 주소공간보다훨씬크기때문에고정변환을손쉽게수용할수있습니다. 반환트래픽을허용하지않으려면고정 NAT 규칙을단방향으로설정할수있습니다 (2회 NAT 전용 ). IPv6 서브넷 (/96 이하 ) 으로변환하면결과로나타나는매핑된주소는기본적으로 IPv4가포함된 IPv6 주소입니다. 이경우 IPv6 접두사뒤에 IPv4 주소의 32비트가포함됩니다. 예를들어 IPv6 접두사가 /96 접두사이면, 주소의마지막 32비트에 IPv4 주소가첨부됩니다. 예를들어 /24를 201b::0/96에매핑하면 는 201b:: ( 혼합된표기로표시됨 ) 에매핑됩니다. 접두사가더작으면 ( 예 : /64) IPv4 주소가접두사뒤에첨부되고, 접미사 0이 IPv4 주소뒤에첨부됩니다. 선택적으로주소를 net-to-net으로변환할수도있습니다. 이경우첫번째 IPv4 주소가첫번째 IPv6 주소로, 두번째가두번째로등과같이매핑됩니다. 9-7

150 NAT 용지침 9 장 NAT(Network Address Translation) NAT64(IPv6-to-IPv4) - IPv6 주소의수를수용할만큼 IPv4 주소가충분하지않을수있습니다. 대량의 IPv4 변환을제공하려면동적 PAT 풀을사용하는것이좋습니다. NAT 추가지침 ( 네트워크개체 NAT 만해당 ) 한개체에는단일 NAT 규칙만정의할수있습니다. 한개체에대해여러 NAT 규칙을구성하려면동일한 IP 주소를지정하는서로다른이름의여러개체를만들어야합니다 ( 예 : object network obj , object network obj 등 ). (2 회 NAT 만해당 ) 소스 IP 주소가서브넷이면 ( 또는보조연결을사용하는기타애플리케이션이면 ) FTP 대상포트변환을구성할수없으며, FTP 데이터채널을성공적으로설정할수없습니다. NAT 컨피그레이션을변경한경우새 NAT 컨피그레이션이사용되기전기존변환이시간초과되기까지기다리고싶지않다면 clear xlate 명령을사용하여변환테이블을지울수있습니다. 그러나변환테이블을지우면변환을사용하는현재의모든연결이해제됩니다. 참고 동적 NAT 또는 PAT 규칙을제거한후제거된규칙의주소와겹치는매핑된주소로새규칙을추가하는경우, 새규칙을사용하려면제거된규칙과관련된모든연결이시간초과되기까지기다리거나 clear xlate 명령으로해당연결을지워야합니다. 이러한안전조치는동일한주소가여러호스트에할당되는것을방지합니다. NAT 의개체및개체그룹은정의하지않고사용할수없으며, IP 주소를반드시포함해야합니다. IPv4 및 IPv6 주소를모두포함하는개체그룹은사용할수없습니다. 개체그룹에는한가지주소유형만포함해야합니다. (2 회 NAT 만해당 ) NAT 규칙에서 any 키워드를사용하는경우 "any" 트래픽의정의 (IPv4 대 IPv6) 는규칙에따라다릅니다. ASA 가패킷에대해 NAT 를수행하기전에패킷은 IPv6-IPv6 또는 IPv4-IPv4 여야합니다. 이전제조건하에 ASA 는 NAT 규칙에서 any 의값을결정할수있습니다. 예를들어 any 에서 IPv6 서버로규칙을구성하며해당서버가 IPv4 주소에서매핑된것이면 any 는 " 모든 IPv6 트래픽 " 을의미합니다. "any" to "any" 로규칙을구성하며소스를인터페이스 IPv4 주소로매핑하면 any 는 " 모든 IPv4 트래픽 " 을의미합니다. 매핑된인터페이스주소는대상주소도 IPv4 임을암시하기때문입니다. 여러 NAT 규칙에서동일한매핑된개체또는그룹을사용할수있습니다. 매핑된 IP 주소풀에는다음을포함할수없습니다. 매핑된인터페이스 IP 주소. 규칙에대해 "any" 인터페이스를지정하면모든인터페이스 IP 주소가허용되지않습니다. 인터페이스 PAT( 라우팅된모드만 ) 의경우 IP 주소대신인터페이스이름를사용합니다. ( 투명모드 ) 관리 IP 주소. ( 동적 NAT) VPN 이활성화된경우의대기인터페이스 IP 주소. 기존의 VPN 풀주소. 고정및동적 NAT 정책에서는겹치는주소사용을피해야합니다. 예를들어, PPTP 의보조연결이동적 xlate 대신고정상태인경우겹치는주소를사용하면 PPTP 연결설정에실패할수있습니다. NAT 또는 PAT 의애플리케이션검사제한사항은기본검사및 NAT 제한, 12-5 페이지를참조하십시오. 9-8

151 9 장 NAT(Network Address Translation) NAT 용지침 (8.3(1), 8.3(2) 및 8.4(1)) ID NAT 의기본동작은프록시 ARP 를비활성화하는것입니다. 이설정은구성할수없습니다. (8.4(2) 이상 ) ID NAT 의기본동작은프록시 ARP 를활성화하고기타고정 NAT 규칙을확인하는것입니다. 원하는경우프록시 ARP 를비활성화할수있습니다. 자세한내용은 NAT 패킷라우팅, 페이지를참조하십시오. 사용자가선택적인인터페이스를지정하는경우 ASA 에서는 NAT 컨피그레이션을사용하여이그레스 (egress) 인터페이스를결정합니다. (8.3(1)~8.4(1)) 유일한예외는 NAT 컨피그레이션과상관없이항상경로조회를사용하는 ID NAT 에대한것입니다. (8.4(2) 이상 ) ID NAT 의기본동작은 NAT 컨피그레이션을사용하는것이지만, 대신항상경로조회를사용할수있는옵션이사용자에게제공됩니다. 자세한내용은 NAT 패킷라우팅, 페이지를참조하십시오. NAT 용트랜잭션커밋모델을사용하여시스템성능과신뢰성을높일수있습니다. 자세한내용은일반적인작업컨피그레이션가이드의기본설정장을참조하십시오. 이옵션은 Configurations( 컨피그레이션 ) > Device Management( 디바이스관리 ) > Advanced( 고급 ) > Rule Engine( 규칙엔진 ) 아래에있습니다. 매핑된주소개체에대한네트워크개체 NAT 지침 동적 NAT의경우매핑된주소에대해항상개체또는그룹을사용해야합니다. 다른 NAT 유형의경우개체또는그룹을사용하거나인라인주소를사용할수있습니다. 네트워크개체그룹은비연속 IP 주소범위또는다중호스트나서브넷을이용해매핑된주소풀을만드는데특히유용합니다. 매핑된주소에대한개체를만드는경우다음지침을고려하십시오. 네트워크개체그룹은 IPv4 또는 IPv6 주소의인라인주소또는개체를포함할수있습니다. IPv4 주소와 IPv6 주소를모두포함할수는없으며한유형만포함해야합니다. 허용되지않는매핑된 IP 주소에대한자세한내용은 NAT 추가지침, 9-8 페이지를참조하십시오. 동적 NAT: 인라인주소는사용할수없으며, 네트워크개체또는그룹을구성해야합니다. 개체또는그룹에서브넷을포함할수없습니다. 개체는범위를정의해야하고, 그룹은호스트와범위를포함할수있습니다. 매핑된네트워크개체에범위와 IP 주소가모두포함되어있으면범위는동적 NAT 에사용되고호스트 IP 주소는 PAT 대안으로사용됩니다. 동적 PAT( 숨기기 ): 개체를사용하는대신선택적으로인라인호스트주소를구성하거나인터페이스주소를지정할수있습니다. 개체를사용하는경우개체또는그룹에서브넷을포함할수없습니다. 개체는호스트를정의하거나 PAT 풀에대해범위를정의해야합니다. 그룹 (PAT 풀 ) 은호스트와범위를포함할수있습니다. 고정 NAT 또는포트변환고정 NAT: 개체를사용하는대신인라인주소를구성하거나인터페이스주소를지정할수있습니다 ( 포트변환고정 NAT). 개체를사용하는경우개체또는그룹에호스트, 범위또는서브넷을포함할수있습니다. ID NAT 개체를사용하는대신인라인주소를구성할수있습니다. 개체를사용하는경우변환하려는실제주소와개체가일치해야합니다. 9-9

152 NAT 용지침 9 장 NAT(Network Address Translation) 실제주소및매핑된주소개체에대한 2 회 NAT 지침 각 NAT 규칙에대해최대 4 개의네트워크개체또는그룹을구성합니다. 소스실제주소 소스매핑된주소 대상실제주소 대상매핑된주소모든트래픽을나타내기위해 any 키워드인라인을지정하지않는경우또는일부 NAT 유형에서인터페이스주소를나타내기위해 interface 키워드를지정하지않는경우개체가필요합니다. 네트워크개체그룹은비연속 IP 주소범위또는다중호스트나서브넷을이용해매핑된주소풀을만드는데특히유용합니다. 2회 NAT에대한개체를만드는경우다음지침을고려하십시오. 네트워크개체그룹은 IPv4 또는 IPv6 주소의인라인주소또는개체를포함할수있습니다. IPv4 주소와 IPv6 주소를모두포함할수는없으며한유형만포함해야합니다. 허용되지않는매핑된 IP 주소에대한자세한내용은 NAT 추가지침, 9-8 페이지를참조하십시오. 소스동적 NAT: 일반적으로더큰실제주소그룹을더작은그룹에매핑하도록구성합니다. 매핑된개체또는그룹에서브넷을포함할수없습니다. 개체는범위를정의해야하고, 그룹은호스트와범위를포함할수있습니다. 매핑된네트워크개체에범위와호스트 IP 주소가모두포함되어있으면범위는동적 NAT 에사용되고호스트 IP 주소는 PAT 대안으로사용됩니다. 소스동적 PAT( 숨기기 ): 개체를사용하는경우개체또는그룹에서브넷을포함할수없습니다. 개체는호스트를정의하거나 PAT 풀에대해범위를정의해야합니다. 그룹 (PAT 풀 ) 은호스트와범위를포함할수있습니다. 소스고정 NAT 또는포트변환고정 NAT: 매핑된개체또는그룹은호스트, 범위또는서브넷을포함할수있습니다. 고정매핑은일반적으로일대일이므로, 실제주소의수가매핑된주소의수와같습니다. 그러나원하는경우수량을다르게지정할수있습니다. 소스 ID NAT 실제개체및매핑된개체가일치해야합니다. 동일한개체를사용할수도있고, 동일한 IP 주소를포함하는별도의개체를만들수도있습니다. 대상고정 NAT 또는포트변환고정 NAT( 대상변환은항상고정임 ): 2 회 NAT 의주요기능은대상 IP 주소를포함하는것이지만, 대상주소는선택사항입니다. 대상주소를지정하면해당주소에대해고정변환을구성할수도있고단순히 ID NAT 를사용할수도있습니다. 실제주소에네트워크개체그룹사용, 수동으로규칙순서지정등을비롯한 2 회 NAT 의몇가지다른기능을활용하려면대상주소없이 2 회 NAT 를구성할수있습니다. 자세한내용은네트워크개체 NAT 와 2 회 NAT 비교, 9-4 페이지를참고하십시오. ID NAT 의경우실제개체및매핑된개체가일치해야합니다. 동일한개체를사용할수도있고, 동일한 IP 주소를포함하는별도의개체를만들수도있습니다. 9-10

153 9 장 NAT(Network Address Translation) 동적 NAT 고정매핑은일반적으로일대일이므로, 실제주소의수가매핑된주소의수와같습니다. 그러나원하는경우수량을다르게지정할수있습니다. 포트변환고정인터페이스 NAT( 라우팅된모드전용 ) 의경우매핑된주소의네트워크개체 / 그룹대신 interface 키워드를지정할수있습니다. 실제및매핑된포트의서비스개체에대한 2 회 NAT 지침 선택적으로다음에대한서비스개체를구성할수있습니다. 소스실제포트 ( 고정전용 ) 또는대상실제포트 소스매핑된포트 ( 고정전용 ) 또는대상매핑된포트 2회 NAT에대한개체를만드는경우다음지침을고려하십시오. NAT 는 TCP 또는 UDP 만지원합니다. 포트를변환할때는실제서비스개체의프로토콜과매핑된서비스개체의프로토콜이동일해야합니다 ( 둘다 TCP 거나둘다 UDP). "not equal"(neq) 연산자는지원되지않습니다. ID 포트변환의경우실제포트와매핑된포트에동일한서비스개체를사용할수있습니다. 소스동적 NAT - 소스동적 NAT 는포트변환을지원하지않습니다. 소스동적 PAT( 숨기기 ) - 소스동적 PAT 는포트변환을지원하지않습니다. 소스고정 NAT, 포트변환고정 NAT 또는 ID NAT - 서비스개체는소스포트와대상포트를모두포함할수있습니다. 그러나두서비스개체에대해소스포트또는대상포트중하나만지정해야합니다. 애플리케이션이고정된소스포트 ( 예 : 일부 DNS 서버 ) 를사용하는경우에만소스포트와대상포트를모두지정해야합니다. 그러나고정된소스포트는매우드뭅니다. 예를들어, 소스호스트에대한포트를변환하려면소스서비스를구성해야합니다. 대상고정 NAT 또는포트변환고정 NAT( 대상변환은항상고정임 ) - 비고정소스 NAT 의경우대상에대해서만포트변환을수행할수있습니다. 서비스개체는소스포트와대상포트를모두포함할수있지만, 이경우에는대상포트만사용됩니다. 소스포트를지정하면무시됩니다. 동적 NAT 다음주제에서는동적 NAT 및동적 NAT를구성하는방법에대해설명합니다. 동적 NAT 정보, 9-11페이지 동적네트워크개체 NAT 구성, 9-13페이지 동적 2회 NAT 구성, 9-15페이지 동적 NAT 정보 동적 NAT 는실제주소의그룹을대상네트워크에서라우팅가능한매핑된주소의풀로변환합니다. 매핑된풀에는일반적으로실제그룹보다더적은수의주소가포함되어있습니다. 변환하려는호스트가대상네트워크에액세스하면 ASA 에서는매핑된풀의 IP 주소를호스트에할당합니다. 실제호스트가연결을시작하는경우에만변환이생성됩니다. 변환은연결되어있는동안에만이루어지며, 변환시간이초과된후에는사용자의 IP 주소가동일하게유지되지않습니다. 따라서액세스규칙에서연결을허용하더라도, 대상네트워크의사용자는동적 NAT 를사용하는호스트에대해안정적인연결을시작할수없습니다. 9-11

154 동적 NAT 9 장 NAT(Network Address Translation) 참고 액세스규칙에서허용하는경우, 변환기간동안원격호스트는변환된호스트로의연결을시작할수있습니다. 주소는예측할수없으므로호스트로의연결이실패할수있습니다. 그럼에도불구하고이경우사용자는액세스규칙의보안에의존할수있습니다. 다음그림은일반적인동적 NAT 시나리오를보여줍니다. 실제호스트만 NAT 세션을생성할수있으며응답트래픽이허용됩니다. 그림 9-2 동적 NAT Security Appliance Inside Outside 다음그림은매핑된주소로연결을시작하려고시도하는원격호스트를보여줍니다. 이주소는현재변환테이블에있지않으므로 ASA 에서는패킷을삭제합니다. 그림 9-3 매핑된주소로연결을시작하려고시도하는원격호스트 Web Server Outside Security Appliance Inside

155 9 장 NAT(Network Address Translation) 동적 NAT 동적 NAT 단점및장점 동적 NAT 의단점은다음과같습니다. 매핑된풀의주소수가실제그룹의주소수보다적은경우, 트래픽의양이예상보다많아지면주소가부족해질수있습니다. PAT는단일주소의포트를사용하여 64,000이넘는변환을제공하므로, 이러한상황이발생하면 PAT 또는 PAT 대안을사용하십시오. 매핑된풀에서대량의라우팅가능한주소를사용해야하는데, 라우팅가능한주소는대량으로사용가능하지않을수있습니다. 동적 NAT의장점은일부프로토콜이 PAT를사용할수없다는것입니다. PAT는다음과작동하지않습니다. GRE 버전 0 과같이오버로드할포트가없는 IP 프로토콜 한포트에데이터스트림이있고다른포트에제어경로가있으며개방형표준이아닌일부멀티미디어애플리케이션 NAT 및 PAT 지원에대한자세한내용은기본검사및 NAT 제한, 12-5페이지를참조하십시오. 동적네트워크개체 NAT 구성 이섹션에서는동적 NAT 용네트워크개체 NAT 구성방법에대해설명합니다. 절차 1 단계새네트워크개체또는기존네트워크개체에 NAT 를추가합니다. 새네트워크개체를추가하려면 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) 를선택한다음 Add( 추가 ) > Add Network Object NAT Rule( 네트워크개체 NAT 규칙추가 ) 을클릭합니다. 기존네트워크개체에 NAT 를추가하려면 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 개체 ) > Network Objects/Groups( 네트워크개체 / 그룹 ) 를선택한다음네트워크개체를수정합니다. 2 단계새개체인경우다음필드에값을입력합니다. a. Name( 이름 ) - 개체이름입니다. 이름에는 a~z, A~Z, 0~9, 마침표, 대시, 쉼표또는밑줄문자를사용해야합니다. 이름은 64 자이하여야합니다. b. Type( 유형 ) - 호스트, 네트워크또는범위입니다. c. IP Addresses(IP 주소 ) - IPv4 또는 IPv6 주소, 호스트의단일주소, 범위의시작및끝주소, 서브넷의시작및끝주소, IPv4 네트워크주소및마스크 ( 예 : ) 또는 IPv6 주소및접두사길이 ( 예 : 2001:DB8:0:CD30::/60) 중하나입니다. 9-13

156 동적 NAT 9 장 NAT(Network Address Translation) 3 단계 NAT 섹션이숨겨져있으면 NAT 를클릭하여섹션을확장합니다. 4 단계 Add Automatic Translation Rules( 자동변환규칙추가 ) 확인란을선택합니다. 5 단계 Type( 유형 ) 드롭다운목록에서 Dynamic( 동적 ) 을선택합니다. 6단계변환된주소필드에서찾아보기버튼을클릭하고매핑된주소를포함한네트워크개체또는네트워크개체그룹을선택합니다. 필요한경우새개체를만들수있습니다. 개체또는그룹에는서브넷을포함할수없습니다. IPv4 주소와 IPv6 주소를모두포함할수는없으며한유형만포함해야합니다. 7 단계 ( 선택사항, 라우팅된모드전용 ) 다른매핑된주소가이미할당되었을때백업수단으로인터페이스 IP 주소를사용하려면 Fall through to interface PAT (dest intf)( 인터페이스 PAT 로전달 (dest intf)) 확인란을선택하고, 드롭다운목록에서인터페이스를선택합니다. 인터페이스의 IPv6 주소를사용하려면 Use IPv6 for interface PAT( 인터페이스 PAT 에 IPv6 사용 ) 확인란도선택합니다. 9-14

157 9 장 NAT(Network Address Translation) 동적 NAT 8 단계 ( 선택사항 ) Advanced( 고급 ) 를클릭하고 Advanced NAT Settings( 고급 NAT 설정 ) 대화상자에서다음옵션을구성한다음 OK( 확인 ) 를클릭합니다. Translate DNS replies for rule( 규칙에따라 DNS 회신변환 ) - DNS 회신에서 IP 주소를변환합니다. DNS 검사를사용하도록설정해야합니다 ( 기본적으로사용됨 ). 자세한내용은 DNS 및 NAT, 페이지를참조하십시오. ( 투명방화벽모드에필요 ) Interface( 인터페이스 ) - 이 NAT 규칙이적용되는실제인터페이스 (Source) 및매핑된인터페이스 (Destination) 를지정합니다. 기본적으로규칙은모든인터페이스에적용됩니다. 9 단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 동적 2 회 NAT 구성 이섹션에서는동적 NAT 용 2 회 NAT 구성방법에대해설명합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) 를선택하고다음중하나를수행합니다. Add( 추가 ) 를클릭하거나 Add( 추가 ) > Add NAT Rule Before Network Object NAT Rules ( 네트워크개체 NAT 규칙앞에 NAT 규칙추가 ) 를클릭합니다. Add( 추가 ) > Add NAT Rule After Network Object NAT Rules( 네트워크개체 NAT 규칙뒤에 NAT 규칙추가 ) 를클릭합니다. 2 회 NAT 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 9-15

158 동적 NAT 9 장 NAT(Network Address Translation) Add NAT Rule(NAT 규칙추가 ) 대화상자가나타납니다. 2단계소스및대상인터페이스를설정합니다. 라우팅된모드에서는기본적으로두인터페이스가모두 --Any--로설정됩니다. 투명방화벽모드에서는특정인터페이스를설정해야합니다. a. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Source Interface( 소스인터페이스 ) 드롭다운목록에서소스인터페이스를선택합니다. b. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Destination Interface( 대상인터페이스 ) 드롭다운목록에서대상인터페이스를선택합니다. 3단계 Action( 작업 ): Translated Packet( 변환된패킷 ) > Source NAT Type( 소스 NAT 유형 ) 드롭다운목록에서 Dynamic( 동적 ) 을선택합니다. 이설정은소스주소에만적용됩니다. 대상변환은항상고정입니다. 9-16

159 9 장 NAT(Network Address Translation) 동적 NAT 4 단계원래패킷주소 (IPv4 또는 IPv6), 즉소스인터페이스네트워크에나타나는패킷주소 (real source address 및 mapped destination address) 를확인합니다. 원래패킷대변환된패킷의예는다음그림을참조하십시오. Source Destination Real: Mapped: Inside NAT Outside Real: Mapped: > > Original Packet Translated Packet a. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Source Address( 소스주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체또는그룹을선택하거나, Browse Original Source Address( 원래소스주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. IPv4 주소와 IPv6 주소를모두포함할수는없으며한유형만포함해야합니다. 기본값은 any 입니다. b. ( 선택사항 ) Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Destination Address( 대상주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체또는그룹을선택하거나 Browse Original Destination Address( 원래대상주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. IPv4 주소와 IPv6 주소를모두포함할수는없으며한유형만포함해야합니다. 2회 NAT의주요기능은대상 IP 주소를포함하는것이지만, 대상주소는선택사항입니다. 대상주소를지정하면해당주소에대해고정변환을구성할수도있고단순히 ID NAT를사용할수도있습니다. 실제주소에네트워크개체그룹사용, 수동으로규칙순서지정등을비롯한 2회 NAT의몇가지다른기능을활용하려면대상주소없이 2회 NAT를구성할수있습니다. 자세한내용은네트워크개체 NAT와 2회 NAT 비교, 9-4페이지를참고하십시오. 5 단계변환된패킷주소 (IPv4 또는 IPv6), 즉대상인터페이스네트워크에나타나는패킷주소 (mapped source address 및 real destination address) 를확인합니다. 필요에따라 IPv4 및 IPv6 간에변환할수있습니다. a. Action( 작업 ): Translated Packet( 변환된패킷 ) > Source Address( 소스주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체또는그룹을선택하거나, Browse Translated Source Address( 변환된소스주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. 동적 NAT의경우일반적으로더큰소스주소그룹을더작은그룹에매핑하도록구성합니다. 참고개체또는그룹에는서브넷을포함할수없습니다. b. Action( 작업 ): Translated Packet( 변환된패킷 ) > Destination Address( 대상주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체, 그룹또는인터페이스를선택하거나 Browse Translated Destination Address( 변환된대상주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. 대상주소에대한 ID NAT의경우실제주소와매핑된주소모두에동일한개체또는그룹을사용합니다. 9-17

160 동적 NAT 9 장 NAT(Network Address Translation) 대상주소를변환하려는경우고정매핑은일반적으로일대일이므로, 실제주소의수가매핑된주소의수와같습니다. 그러나원하는경우수량을다르게지정할수있습니다. 자세한내용은고정 NAT, 9-38페이지를참고하십시오. 허용되지않는매핑된 IP 주소에대한자세한내용은 NAT 추가지침, 9-8페이지를참조하십시오. 포트변환고정인터페이스 NAT의경우에만, Browse( 찾아보기 ) 대화상자에서인터페이스를선택합니다. 서비스변환도구성해야합니다. 이옵션의경우소스인터페이스에대해특정인터페이스를구성해야합니다. 자세한내용은포트변환고정인터페이스 NAT, 9-40페이지를참조하십시오. 6 단계 ( 선택사항 ) 서비스변환의대상서비스포트를식별합니다. 원래패킷포트를확인합니다 ( 매핑된대상포트 ). Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Service( 서비스 ) 에서찾아보기버튼을클릭하고 TCP 또는 UDP 포트를지정하는기존서비스개체를선택하거나 Browse Original Service( 원래서비스찾아보기 ) 대화상자에서새개체를만듭니다. 변환된패킷포트를확인합니다 ( 실제대상포트 ). Action( 작업 ): Translated Packet( 변환된패킷 ) > Service( 서비스 ) 에서찾아보기버튼을클릭하고 TCP 또는 UDP 포트를지정하는기존서비스개체를선택하거나 Browse Translated Service( 변환된서비스찾아보기 ) 대화상자에서새개체를만듭니다. 동적 NAT는포트변환을지원하지않습니다. 그러나대상변환은항상고정이므로대상포트의포트변환을수행할수있습니다. 서비스개체는소스포트와대상포트를모두포함할수있지만, 이경우에는대상포트만사용됩니다. 소스포트를지정하면무시됩니다. NAT는 TCP 또는 UDP 만지원합니다. 포트를변환할때는실제서비스개체의프로토콜과매핑된서비스개체의프로토콜이동일해야합니다 ( 둘다 TCP거나둘다 UDP). ID NAT의경우실제포트와매핑된포트에동일한서비스개체를사용할수있습니다. "not equal"(!=) 연산자는지원되지않습니다. 예를들면다음과같습니다. 9-18

161 9 장 NAT(Network Address Translation) 동적 NAT 7 단계 ( 선택사항, 라우팅된모드전용 ) 다른매핑된소스주소가이미할당되었을때백업수단으로인터페이스 IP 주소를사용하려면 Fall through to interface PAT( 인터페이스 PAT 로전달 ) 확인란을선택합니다. IPv6 인터페이스주소를사용하려면 Use IPv6 for interface PAT( 인터페이스 PAT 에 IPv6 사용 ) 확인란도선택해야합니다. 대상인터페이스 IP 주소가사용됩니다. 이옵션은특정대상인터페이스를구성한경우에만사용가능합니다. 9-19

162 동적 PAT 9 장 NAT(Network Address Translation) 8 단계 ( 선택사항 ) Options( 옵션 ) 영역에서 NAT 옵션을구성합니다. Enable rule( 규칙활성화 ) - 이 NAT 규칙을사용하도록설정합니다. 이규칙은기본적으로사용됩니다. ( 소스전용규칙의경우 ) Translate DNS replies that match this rule( 이규칙과일치하는 DNS 회신변환 ) - DNS 응답에서 DNS A 레코드를재작성합니다. DNS 검사를사용하도록설정해야합니다 ( 기본적으로사용됨 ). 대상주소를구성하는경우 DNS 수정을구성할수없습니다. 자세한내용은 DNS 및 NAT, 페이지를참조하십시오. Description( 설명 ) - 최대 200 자로규칙에대한설명을추가합니다. 9 단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 동적 PAT 다음주제에서는동적 PAT에대해설명합니다. 동적 PAT 정보, 9-20페이지 동적네트워크개체 PAT( 숨기기 ) 구성, 9-22페이지 PAT 풀을이용한동적네트워크개체 PAT 구성, 9-24페이지 동적 2회 PAT( 숨기기 ) 구성, 9-27페이지 PAT 풀을사용한동적 2회 PAT 구성, 9-32페이지 세션당 PAT 또는다중세션 PAT 구성 ( 버전 9.0(1) 이상 ), 9-37페이지 동적 PAT 정보 동적 PAT 는실제주소및소스포트를매핑된주소및고유한포트로변환함으로써여러실제주소를단일매핑된 IP 주소로변환합니다. 사용가능한경우매핑된포트에실제소스포트번호가사용됩니다. 그러나실제포트를사용할수없는경우, 기본적으로실제포트번호와동일한포트범위 (0~511, 512~1023 및 1024~65535) 에서매핑된포트가선택됩니다. 따라서 1024 아래의포트는작은 PAT 풀만사용할수있습니다. 낮은포트범위를사용하는트래픽이많은경우크기가서로다른세가지계층대신균일한포트범위를사용하도록지정할수있습니다. 소스포트는각연결에대해다르므로연결마다별도의변환세션이필요합니다. 예를들어 :1025 를사용하려면 :1026 에서별도로변환해야합니다. 9-20

163 9 장 NAT(Network Address Translation) 동적 PAT 다음그림은일반적인동적 PAT 시나리오를보여줍니다. 실제호스트만 NAT 세션을생성할수있으며응답트래픽이허용됩니다. 매핑된주소는각변환에대해동일하지만포트는동적으로할당됩니다. 그림 9-4 동적 PAT Security Appliance : : : : : :2022 Inside Outside 연결이만료되면포트변환도만료됩니다. 다중세션 PAT 의경우 PAT 시간제한이사용됩니다 ( 기본값 30 초 ). 세션당 PAT(9.0(1) 이상 ) 의경우 xlate 가즉시제거됩니다. 액세스규칙에서연결을허용하더라도, 대상네트워크의사용자는 PAT 를사용하는호스트에대해안정적으로연결을시작할수없습니다. 참고 액세스규칙에서허용하는경우, 변환기간동안원격호스트는변환된호스트로의연결을시작할수있습니다. 포트주소 ( 실제및매핑된주소모두 ) 는예측할수없으므로호스트에대한연결이실패할수있습니다. 그럼에도불구하고이경우사용자는액세스규칙의보안에의존할수있습니다. 동적 PAT 단점및장점 PAT 풀개체지침 동적 PAT에서는단일매핑된주소를사용하여라우팅가능한주소를아낄수있습니다. ASA 인터페이스 IP 주소를 PAT 주소로서사용할수도있습니다. 데이터스트림이제어경로와다른일부멀티미디어애플리케이션에서는동적 PAT가작동하지않습니다. NAT 및 PAT 지원에대한자세한내용은기본검사및 NAT 제한, 12-5페이지를참조하십시오. 동적 PAT는단일 IP 주소에서오는것처럼보이는대량의연결을생성할수있으며, 서버는이트래픽을 DoS 공격으로해석할수있습니다. (8.4(2)/8.5(1) 이상 ) 주소의 PAT 풀을구성하고 PAT 주소를라운드로빈방식으로할당하여이상황을완화할수있습니다. PAT 의네트워크개체를만드는경우다음지침을따르십시오. PAT 풀의경우 사용가능한경우매핑된포트에실제소스포트번호가사용됩니다. 그러나실제포트를사용할수없는경우, 기본적으로실제포트번호와동일한포트범위 (0~511, 512~1023 및 1024~65535) 에서매핑된포트가선택됩니다. 따라서 1024 아래의포트는작은 PAT 풀만사용할수있습니다. (8.4(3) 이상, 8.5(1) 또는 8.6(1) 제외 ) 낮은포트범위를사용하는트래픽이많은경우크기가서로다른세가지계층대신균일한포트범위 (1024~65535 또는 1~65535) 를사용하도록지정할수있습니다. 별개의두규칙에서동일한 PAT 풀개체를사용하는경우각규칙에대해동일한옵션을지정해야합니다. 예를들어, 한규칙에서확장 PAT 와균일한범위를지정하는경우다른규칙에서도확장 PAT 와균일한범위를지정해야합니다. 9-21

164 동적 PAT 9 장 NAT(Network Address Translation) PAT 풀용확장 PAT 의경우 확장 PAT 를지원하지않는애플리케이션검사가많습니다. 지원되지않는검사목록은기본검사및 NAT 제한, 12-5 페이지를참조하십시오. 동적 PAT 규칙에대해확장 PAT 를활성화하면, PAT 풀의주소를별도의포트변환고정 NAT 규칙에서 PAT 주소로서사용할수없습니다. 예를들어 PAT 풀이 을포함하면, 을 PAT 주소로사용하는포트변환고정 NAT 규칙을만들수없습니다. PAT 풀을사용하고대안용인터페이스를지정하는경우확장 PAT 를지정할수없습니다. ICE 또는 TURN 을사용하는 VoIP 구축에는확장 PAT 를사용할수없습니다. ICE 및 TURN 은모든대상에대해 PAT 바인딩이동일할것으로신뢰합니다. PAT 풀용라운드로빈의경우 호스트에기존연결이있으면, 포트가사용가능한경우해당호스트의후속연결에는동일한 PAT IP 주소가사용됩니다. 참고 : 장애조치이후에는 " 동질성 " 이해제됩니다. ASA 에서장애조치를수행하면호스트의후속연결에는초기 IP 주소가사용되지않을수있습니다. 라운드로빈은특히확장 PAT 와함께사용할경우대량의메모리를소모할수있습니다. NAT 풀은모든매핑된프로토콜 /IP 주소 / 포트범위에대해생성되므로, 라운드로빈에서대량의동시 NAT 풀이생성되며여기에서메모리를사용합니다. 확장 PAT 를사용하면동시 NAT 풀의수가더많아집니다. 동적네트워크개체 PAT( 숨기기 ) 구성 이섹션에서는동적 PAT( 숨김 ) 용네트워크개체 NAT 를구성하여 PAT 풀대신변환용단일주소를사용하는방법에대해설명합니다. 절차 1 단계새네트워크개체또는기존네트워크개체에 NAT 를추가합니다. 새네트워크개체를추가하려면 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) 를선택한다음 Add( 추가 ) > Add Network Object NAT Rule( 네트워크개체 NAT 규칙추가 ) 을클릭합니다. 기존네트워크개체에 NAT 를추가하려면 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 개체 ) > Network Objects/Groups( 네트워크개체 / 그룹 ) 를선택한다음네트워크개체를수정합니다. 2 단계새개체인경우다음필드에값을입력합니다. a. Name( 이름 ) - 개체이름입니다. 이름에는 a~z, A~Z, 0~9, 마침표, 대시, 쉼표또는밑줄문자를사용해야합니다. 이름은 64 자이하여야합니다. b. Type( 유형 ) - 호스트, 네트워크또는범위입니다. c. IP Addresses(IP 주소 ) - IPv4 또는 IPv6 주소, 호스트의단일주소, 범위의시작및끝주소, 서브넷의시작및끝주소, IPv4 네트워크주소및마스크 ( 예 : ) 또는 IPv6 주소및접두사길이 ( 예 : 2001:DB8:0:CD30::/60) 중하나입니다. 3 단계 NAT 섹션이숨겨져있으면 NAT 를클릭하여섹션을확장합니다. 4 단계 Add Automatic Translation Rules( 자동변환규칙추가 ) 확인란을선택합니다. 9-22

165 9 장 NAT(Network Address Translation) 동적 PAT 5 단계드롭다운목록에서 Dynamic PAT (Hide)( 동적 PAT( 숨기기 )) 를선택합니다. 6 단계단일매핑된주소를지정합니다. 변환된주소필드에서다음중하나를수행하여매핑된 IP 주소를지정합니다. 호스트 IP 주소를입력합니다. 찾아보기버튼을클릭하고호스트네트워크개체를선택하거나새호스트네트워크개체를만듭니다. ( 라우팅된모드전용 ) 인터페이스이름을입력하거나찾아보기버튼을클릭하고 Browse Translated Addr( 변환된주소찾아보기 ) 대화상자에서인터페이스를선택합니다. 인터페이스이름을지정한경우인터페이스 PAT 를활성화합니다. 여기서는지정된인터페이스 IP 주소가매핑된주소로서사용됩니다. IPv6 인터페이스주소를사용하려면 Use IPv6 for interface PAT( 인터페이스 PAT 에 IPv6 사용 ) 확인란도선택해야합니다. 인터페이스 PAT 의경우 NAT 규칙은지정한매핑된인터페이스에만적용됩니다. ( 인터페이스 PAT 를사용하지않는경우기본적으로규칙이모든인터페이스에적용됩니다.) 투명모드에서는인터페이스를지정할수없습니다. 9-23

166 동적 PAT 9 장 NAT(Network Address Translation) 7 단계 ( 선택사항 ) Advanced( 고급 ) 를클릭하고 Advanced NAT Settings( 고급 NAT 설정 ) 대화상자에서다음옵션을구성한다음 OK( 확인 ) 를클릭합니다. Translate DNS replies for rule( 규칙에따라 DNS 회신변환 ) - DNS 회신에서 IP 주소를변환합니다. DNS 검사를사용하도록설정해야합니다 ( 기본적으로사용됨 ). 자세한내용은 DNS 및 NAT, 페이지를참조하십시오. ( 투명방화벽모드에필요 ) Interface( 인터페이스 ) - 이 NAT 규칙이적용되는실제인터페이스 (Source) 및매핑된인터페이스 (Destination) 를지정합니다. 기본적으로규칙은모든인터페이스에적용됩니다. 8 단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. PAT 풀을이용한동적네트워크개체 PAT 구성 이섹션에서는 PAT 풀을이용한동적 PAT 에대해네트워크개체 NAT 를구성하는방법에대해설명합니다. 절차 1 단계새네트워크개체또는기존네트워크개체에 NAT 를추가합니다. 새네트워크개체를추가하려면 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) 를선택한다음 Add( 추가 ) > Add Network Object NAT Rule( 네트워크개체 NAT 규칙추가 ) 을클릭합니다. 기존네트워크개체에 NAT 를추가하려면 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 개체 ) > Network Objects/Groups( 네트워크개체 / 그룹 ) 를선택한다음네트워크개체를수정합니다. 2 단계새개체인경우다음필드에값을입력합니다. a. Name( 이름 ) - 개체이름입니다. 이름에는 a~z, A~Z, 0~9, 마침표, 대시, 쉼표또는밑줄문자를사용해야합니다. 이름은 64 자이하여야합니다. b. Type( 유형 ) - 호스트, 네트워크또는범위입니다. c. IP Addresses(IP 주소 ) - IPv4 또는 IPv6 주소, 호스트의단일주소, 범위의시작및끝주소, 서브넷의시작및끝주소, IPv4 네트워크주소및마스크 ( 예 : ) 또는 IPv6 주소및접두사길이 ( 예 : 2001:DB8:0:CD30::/60) 중하나입니다. 9-24

167 9 장 NAT(Network Address Translation) 동적 PAT 3 단계 NAT 섹션이숨겨져있으면 NAT 를클릭하여섹션을확장합니다. 4 단계 Add Automatic Translation Rules( 자동변환규칙추가 ) 확인란을선택합니다. 5 단계 PAT 풀을이용한동적 PAT 를구성하는경우에도 Type( 유형 ) 드롭다운목록에서 Dynamic( 동적 ) 을선택합니다. 6 단계 PAT 풀을구성하려면다음을수행합니다. a. 변환된주소필드에값을입력하지말고비워둡니다. b. PAT Pool Translated Address(PAT 풀변환된주소 ) 확인란을선택한다음찾아보기버튼을클릭하여 PAT 풀주소가포함된네트워크개체또는그룹을선택하거나, Browse Translated PAT Pool Address( 변환된 PAT 풀주소찾아보기 ) 대화상자에서새개체를만듭니다. 참고 PAT 풀개체또는그룹에는서브넷을포함할수없습니다. IPv4 주소와 IPv6 주소를모두포함할수는없으며한유형만포함해야합니다. 9-25

168 동적 PAT 9 장 NAT(Network Address Translation) c. ( 선택사항 ) Round Robin( 라운드로빈 ) 확인란을선택하고라운드로빈방식의주소 / 포트를할당합니다. 기본적으로, 라운드로빈이아니면 PAT 주소에대한모든포트는다음 PAT 주소가사용되기전에할당됩니다. 라운드로빈방식은첫번째주소를다시사용하게되기전 ( 그다음에는두번째주소, 세번째주소등 ) 풀의각 PAT 주소에서하나의주소 / 포트를할당합니다. d. ( 선택사항, 8.4(3) 이상, 8.5(1) 또는 8.6(1) 제외 ) 확장 PAT 를사용하려면 Extend PAT uniqueness to per destination instead of per interface(pat 고유성을인터페이스당대신대상당으로확장 ) 확인란을선택합니다. 확장 PAT 는변환정보의대상주소및포트를포함하여서비스당 (IP 주소당이아니라 ) 개포트를사용합니다. 일반적으로 PAT 변환을만들때대상포트및주소는고려되지않으므로 PAT 주소당 개포트로제한됩니다. 예를들어확장 PAT 를사용하면, :23 으로이동할경우 :1027 의변환을만들고 :80 로이동할경우에도 :1027 변환을만들수있습니다. e. ( 선택사항, 8.4(3) 이상, 8.5(1) 또는 8.6(1) 제외 ) 포트할당시균일한단일범위로 1024~65535 포트범위를사용하려면 Translate TCP or UDP ports into flat range ( )(TCP 또는 UDP 포트를균일한범위 ( ) 로변환 ) 확인란을선택합니다. 변환용의매핑된포트번호를선택하면 ASA 에서는사용가능한경우실제소스포트번호를사용합니다. 그러나이옵션이아니면, 실제포트를사용할수없는경우기본적으로실제포트번호와동일한포트범위 (1~511, 512~1023 및 1024~65535) 에서매핑된포트가선택됩니다. 낮은범위에서포트가부족하지않게하려면이설정을구성하십시오. 1~65535 의전체범위를사용하려면 Include range 1 to 1023(1~1023 포함 ) 확인란도선택합니다. 7 단계 ( 선택사항, 라우팅된모드전용 ) 다른매핑된주소가이미할당되었을때백업수단으로인터페이스 IP 주소를사용하려면 Fall through to interface PAT (dest intf)( 인터페이스 PAT 로전달 (dest intf)) 확인란을선택하고, 드롭다운목록에서인터페이스를선택합니다. 인터페이스의 IPv6 주소를사용하려면 Use IPv6 for interface PAT( 인터페이스 PAT 에 IPv6 사용 ) 확인란도선택합니다. 8 단계 ( 선택사항 ) Advanced( 고급 ) 를클릭하고 Advanced NAT Settings( 고급 NAT 설정 ) 대화상자에서다음옵션을구성한다음 OK( 확인 ) 를클릭합니다. Translate DNS replies for rule( 규칙에따라 DNS 회신변환 ) - DNS 회신에서 IP 주소를변환합니다. DNS 검사를사용하도록설정해야합니다 ( 기본적으로사용됨 ). 자세한내용은 DNS 및 NAT, 페이지를참조하십시오. ( 투명방화벽모드에필요 ) Interface( 인터페이스 ) - 이 NAT 규칙이적용되는실제인터페이스 (Source) 및매핑된인터페이스 (Destination) 를지정합니다. 기본적으로규칙은모든인터페이스에적용됩니다. 9 단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 9-26

169 9 장 NAT(Network Address Translation) 동적 PAT 동적 2 회 PAT( 숨기기 ) 구성 이섹션에서는동적 PAT( 숨기기 ) 용 2 회 NAT 를구성하여 PAT 풀대신변환용단일주소를사용하는방법에대해설명합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) 를선택하고다음중하나를수행합니다. Add( 추가 ) 를클릭하거나 Add( 추가 ) > Add NAT Rule Before Network Object NAT Rules ( 네트워크개체 NAT 규칙앞에 NAT 규칙추가 ) 를클릭합니다. Add( 추가 ) > Add NAT Rule After Network Object NAT Rules( 네트워크개체 NAT 규칙뒤에 NAT 규칙추가 ) 를클릭합니다. 2회 NAT 규칙을선택하고 Edit( 수정 ) 를클릭합니다. Add NAT Rule(NAT 규칙추가 ) 대화상자가나타납니다. 9-27

170 동적 PAT 9 장 NAT(Network Address Translation) 2단계소스및대상인터페이스를설정합니다. 라우팅된모드에서는기본적으로두인터페이스가모두 --Any--로설정됩니다. 투명방화벽모드에서는특정인터페이스를설정해야합니다. a. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Source Interface( 소스인터페이스 ) 드롭다운목록에서소스인터페이스를선택합니다. b. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Destination Interface( 대상인터페이스 ) 드롭다운목록에서대상인터페이스를선택합니다. 3단계 Action( 작업 ): Translated Packet( 변환된패킷 ) > Source NAT Type( 소스 NAT 유형 ) 드롭다운목록에서 Dynamic PAT (Hide)( 동적 PAT( 숨기기 )) 를선택합니다. 이설정은소스주소에만적용됩니다. 대상변환은항상고정입니다. 참고 PAT 풀을이용한동적 PAT 를구성하려면 Dynamic PAT (Hide)( 동적 PAT( 숨기기 ) 대신 Dynamic( 동적 ) 을선택하십시오 (PAT 풀을사용한동적 2 회 PAT 구성, 9-32 페이지참조 ). 4 단계원래패킷주소 (IPv4 또는 IPv6), 즉소스인터페이스네트워크에나타나는패킷주소 (real source address 및 mapped destination address) 를확인합니다. 원래패킷대변환된패킷의예는다음그림을참조하십시오. Source Destination Real: Mapped: Inside NAT Outside Real: Mapped: > > Original Packet Translated Packet a. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Source Address( 소스주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체또는그룹을선택하거나, Browse Original Source Address( 원래소스주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. IPv4 주소와 IPv6 주소를모두포함할수는없으며한유형만포함해야합니다. 기본값은 any 입니다. 9-28

171 9 장 NAT(Network Address Translation) 동적 PAT b. ( 선택사항 ) Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Destination Address( 대상주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체또는그룹을선택하거나 Browse Original Destination Address( 원래대상주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. IPv4 주소와 IPv6 주소를모두포함할수는없으며한유형만포함해야합니다. 2회 NAT의주요기능은대상 IP 주소를포함하는것이지만, 대상주소는선택사항입니다. 대상주소를지정하면해당주소에대해고정변환을구성할수도있고단순히 ID NAT를사용할수도있습니다. 실제주소에네트워크개체그룹사용, 수동으로규칙순서지정등을비롯한 2회 NAT의몇가지다른기능을활용하려면대상주소없이 2회 NAT를구성할수있습니다. 자세한내용은네트워크개체 NAT와 2회 NAT 비교, 9-4페이지를참고하십시오. 5 단계변환된패킷주소 (IPv4 또는 IPv6), 즉대상인터페이스네트워크에나타나는패킷주소 (mapped source address 및 real destination address) 를확인합니다. 필요에따라 IPv4 및 IPv6 간에변환할수있습니다. a. Action( 작업 ) Translated Packet( 변환된패킷 ) > Source Address( 소스주소 ) 에서찾아보기버튼을클릭하고호스트주소를정의하는기존네트워크개체, 인터페이스를선택하거나 Browse Translated Source Address( 변환된소스주소찾아보기 ) 대화상자에서새개체를만듭니다. 인터페이스의 IPv6 주소를사용하려면 Use IPv6 for interface PAT( 인터페이스 PAT 에 IPv6 사용 ) 확인란을선택합니다. b. Action( 작업 ): Translated Packet( 변환된패킷 ) > Destination Address( 대상주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체또는그룹을선택하거나 Browse Translated Destination Address( 변환된대상주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. IPv4 주소와 IPv6 주소를모두포함할수는없으며한유형만포함해야합니다. 대상주소에대한 ID NAT의경우실제주소와매핑된주소모두에동일한개체또는그룹을사용합니다. 대상주소를변환하려는경우고정매핑은일반적으로일대일이므로, 실제주소의수가매핑된주소의수와같습니다. 그러나원하는경우수량을다르게지정할수있습니다. 자세한내용은고정 NAT, 9-38 페이지를참고하십시오. 허용되지않는매핑된 IP 주소에대한자세한내용은 NAT 용지침, 9-6 페이지를참조하십시오. 9-29

172 동적 PAT 9 장 NAT(Network Address Translation) 포트변환고정인터페이스 NAT 의경우에만, Browse( 찾아보기 ) 대화상자에서인터페이스를선택합니다. 서비스변환도구성해야합니다. 이옵션의경우소스인터페이스에대해특정인터페이스를구성해야합니다. 자세한내용은포트변환고정인터페이스 NAT, 9-40 페이지를참조하십시오. 6 단계 ( 선택사항 ) 서비스변환의대상서비스포트를식별합니다. 원래패킷포트를확인합니다 ( 매핑된대상포트 ). Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Service( 서비스 ) 에서찾아보기버튼을클릭하고 TCP 또는 UDP 포트를지정하는기존서비스개체를선택하거나 Browse Original Service( 원래서비스찾아보기 ) 대화상자에서새개체를만듭니다. 변환된패킷포트를확인합니다 ( 실제대상포트 ). Action( 작업 ): Translated Packet( 변환된패킷 ) > Service( 서비스 ) 에서찾아보기버튼을클릭하고 TCP 또는 UDP 포트를지정하는기존서비스개체를선택하거나 Browse Translated Service( 변환된서비스찾아보기 ) 대화상자에서새개체를만듭니다. 동적 NAT는포트변환을지원하지않습니다. 그러나대상변환은항상고정이므로대상포트의포트변환을수행할수있습니다. 서비스개체는소스포트와대상포트를모두포함할수있지만, 이경우에는대상포트만사용됩니다. 소스포트를지정하면무시됩니다. NAT는 TCP 또는 UDP 만지원합니다. 포트를변환할때는실제서비스개체의프로토콜과매핑된서비스개체의프로토콜이동일해야합니다 ( 둘다 TCP거나둘다 UDP). ID NAT의경우실제포트와매핑된포트에동일한서비스개체를사용할수있습니다. "not equal"(!=) 연산자는지원되지않습니다. 예를들면다음과같습니다. 9-30

173 9 장 NAT(Network Address Translation) 동적 PAT 7 단계 ( 선택사항 ) Options( 옵션 ) 영역에서 NAT 옵션을구성합니다. Enable rule( 규칙활성화 ) - 이 NAT 규칙을사용하도록설정합니다. 이규칙은기본적으로사용됩니다. ( 소스전용규칙의경우 ) Translate DNS replies that match this rule( 이규칙과일치하는 DNS 회신변환 ) - DNS 응답에서 DNS A 레코드를재작성합니다. DNS 검사를사용하도록설정해야합니다 ( 기본적으로사용됨 ). 대상주소를구성하는경우 DNS 수정을구성할수없습니다. 자세한내용은 DNS 및 NAT, 페이지를참조하십시오. Description( 설명 ) - 최대 200 자로규칙에대한설명을추가합니다. 8 단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 9-31

174 동적 PAT 9 장 NAT(Network Address Translation) PAT 풀을사용한동적 2 회 PAT 구성 이섹션에서는 PAT 풀을이용한동적 PAT 에대해 2 회 NAT 를구성하는방법에대해설명합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) 를선택하고다음중하나를수행합니다. Add( 추가 ) 를클릭하거나 Add( 추가 ) > Add NAT Rule Before Network Object NAT Rules ( 네트워크개체 NAT 규칙앞에 NAT 규칙추가 ) 를클릭합니다. Add( 추가 ) > Add NAT Rule After Network Object NAT Rules( 네트워크개체 NAT 규칙뒤에 NAT 규칙추가 ) 를클릭합니다. 2회 NAT 규칙을선택하고 Edit( 수정 ) 를클릭합니다. Add NAT Rule(NAT 규칙추가 ) 대화상자가나타납니다. 9-32

175 9 장 NAT(Network Address Translation) 동적 PAT 2단계소스및대상인터페이스를설정합니다. 라우팅된모드에서는기본적으로두인터페이스가모두 --Any--로설정됩니다. 투명방화벽모드에서는특정인터페이스를설정해야합니다. a. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Source Interface( 소스인터페이스 ) 드롭다운목록에서소스인터페이스를선택합니다. b. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Destination Interface( 대상인터페이스 ) 드롭다운목록에서대상인터페이스를선택합니다. 3단계 Action( 작업 ): Translated Packet( 변환된패킷 ) > Source NAT Type( 소스 NAT 유형 ) 드롭다운목록에서 Dynamic( 동적 ) 을선택합니다. 이설정은소스주소에만적용됩니다. 대상변환은항상고정입니다. 4 단계원래패킷주소 (IPv4 또는 IPv6), 즉소스인터페이스네트워크에나타나는패킷주소 (real source address 및 mapped destination address) 를확인합니다. 원래패킷대변환된패킷의예는다음그림을참조하십시오. Source Destination Real: Mapped: Inside NAT Outside Real: Mapped: > > Original Packet Translated Packet a. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Source Address( 소스주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체또는그룹을선택하거나, Browse Original Source Address( 원래소스주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. IPv4 주소와 IPv6 주소를모두포함할수는없으며한유형만포함해야합니다. 기본값은 any 입니다. b. ( 선택사항 ) Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Destination Address( 대상주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체또는그룹을선택하거나 Browse Original Destination Address( 원래대상주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. IPv4 주소와 IPv6 주소를모두포함할수는없으며한유형만포함해야합니다. 2회 NAT의주요기능은대상 IP 주소를포함하는것이지만, 대상주소는선택사항입니다. 대상주소를지정하면해당주소에대해고정변환을구성할수도있고단순히 ID NAT를사용할수도있습니다. 실제주소에네트워크개체그룹사용, 수동으로규칙순서지정등을비롯한 2회 NAT의몇가지다른기능을활용하려면대상주소없이 2회 NAT를구성할수있습니다. 자세한내용은네트워크개체 NAT와 2회 NAT 비교, 9-4페이지를참고하십시오. 9-33

176 동적 PAT 9 장 NAT(Network Address Translation) 5 단계변환된패킷주소 (IPv4 또는 IPv6), 즉대상인터페이스네트워크에나타나는패킷주소 (mapped source address 및 real destination address) 를확인합니다. 필요에따라 IPv4 및 IPv6 간에변환할수있습니다. a. PAT Pool Translated Address(PAT 풀변환된주소 ) 확인란을선택한다음찾아보기버튼을클릭하여기존네트워크개체또는그룹을선택하거나, Browse Translated PAT Pool Address( 변환된 PAT 풀주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. 참고 : 소스주소필드는비워두어야합니다. 참고개체또는그룹에는서브넷을포함할수없습니다. b. Action( 작업 ): Translated Packet( 변환된패킷 ) > Destination Address( 대상주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체, 그룹또는인터페이스를선택하거나 Browse Translated Destination Address( 변환된대상주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. 대상주소에대한 ID NAT의경우실제주소와매핑된주소모두에동일한개체또는그룹을사용합니다. 대상주소를변환하려는경우고정매핑은일반적으로일대일이므로, 실제주소의수가매핑된주소의수와같습니다. 그러나원하는경우수량을다르게지정할수있습니다. 자세한내용은고정 NAT, 9-38페이지를참고하십시오. 허용되지않는매핑된 IP 주소에대한자세한내용은 NAT용지침, 9-6페이지를참조하십시오. 포트변환고정인터페이스 NAT의경우에만, Browse( 찾아보기 ) 대화상자에서인터페이스를선택합니다. 서비스변환도구성해야합니다. 이옵션의경우소스인터페이스에대해특정인터페이스를구성해야합니다. 자세한내용은포트변환고정인터페이스 NAT, 9-40페이지를참조하십시오. 6 단계 ( 선택사항 ) 서비스변환의대상서비스포트를식별합니다. 원래패킷포트를확인합니다 ( 매핑된대상포트 ). Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Service( 서비스 ) 에서찾아보기버튼을클릭하고 TCP 또는 UDP 포트를지정하는기존서비스개체를선택하거나 Browse Original Service( 원래서비스찾아보기 ) 대화상자에서새개체를만듭니다. 변환된패킷포트를확인합니다 ( 실제대상포트 ). Action( 작업 ): Translated Packet( 변환된패킷 ) > Service( 서비스 ) 에서찾아보기버튼을클릭하고 TCP 또는 UDP 포트를지정하는기존서비스개체를선택하거나 Browse Translated Service( 변환된서비스찾아보기 ) 대화상자에서새개체를만듭니다. 9-34

177 9 장 NAT(Network Address Translation) 동적 PAT 동적 NAT는포트변환을지원하지않습니다. 그러나대상변환은항상고정이므로대상포트의포트변환을수행할수있습니다. 서비스개체는소스포트와대상포트를모두포함할수있지만, 이경우에는대상포트만사용됩니다. 소스포트를지정하면무시됩니다. NAT는 TCP 또는 UDP 만지원합니다. 포트를변환할때는실제서비스개체의프로토콜과매핑된서비스개체의프로토콜이동일해야합니다 ( 둘다 TCP거나둘다 UDP). ID NAT의경우실제포트와매핑된포트에동일한서비스개체를사용할수있습니다. "not equal"(!=) 연산자는지원되지않습니다. 예를들면다음과같습니다. 9-35

178 동적 PAT 9 장 NAT(Network Address Translation) 7 단계 ( 선택사항 ) PAT 풀에대해다음옵션을구성합니다. 주소 / 포트를라운드로빈방식으로할당하려면 Round Robin( 라운드로빈 ) 확인란을선택합니다. 기본적으로, 라운드로빈이아니면 PAT 주소에대한모든포트는다음 PAT 주소가사용되기전에할당됩니다. 라운드로빈방식은첫번째주소를다시사용하게되기전 ( 그다음에는두번째주소, 세번째주소등 ) 풀의각 PAT 주소에서하나의주소 / 포트를할당합니다. (8.4(3) 이상, 8.5(1) 또는 8.6(1) 제외 ) 확장 PAT 를사용하려면 Extend PAT uniqueness to per destination instead of per interface(pat 고유성을인터페이스당대신대상당으로확장 ) 확인란을선택합니다. 확장 PAT 는변환정보의대상주소및포트를포함하여서비스당 (IP 주소당이아니라 ) 개포트를사용합니다. 일반적으로 PAT 변환을만들때대상포트및주소는고려되지않으므로 PAT 주소당 개포트로제한됩니다. 예를들어확장 PAT 를사용하면, :23 으로이동할경우 :1027 의변환을만들고 :80 로이동할경우에도 :1027 변환을만들수있습니다. (8.4(3) 이상, 8.5(1) 또는 8.6(1) 제외 ) 포트할당시균일한단일범위로 1024~65535 포트범위를사용하려면 Translate TCP or UDP ports into flat range ( )(TCP 또는 UDP 포트를균일한범위 ( ) 로변환 ) 확인란을선택합니다. 변환용의매핑된포트번호를선택하면 ASA 에서는사용가능한경우실제소스포트번호를사용합니다. 그러나이옵션이아니면, 실제포트를사용할수없는경우기본적으로실제포트번호와동일한포트범위 (1~511, 512~1023 및 1024~65535) 에서매핑된포트가선택됩니다. 낮은범위에서포트가부족하지않게하려면이설정을구성하십시오. 1~65535 의전체범위를사용하려면 Include range 1 to 1023(1~1023 포함 ) 확인란도선택합니다. 8 단계 ( 선택사항, 라우팅된모드전용 ) 다른매핑된소스주소가이미할당되었을때백업수단으로인터페이스 IP 주소를사용하려면 Fall through to interface PAT( 인터페이스 PAT 로전달 ) 확인란을선택합니다. IPv6 인터페이스주소를사용하려면 Use IPv6 for interface PAT( 인터페이스 PAT 에 IPv6 사용 ) 확인란도선택해야합니다. 대상인터페이스 IP 주소가사용됩니다. 이옵션은특정대상인터페이스를구성한경우에만사용가능합니다. 9-36

179 9 장 NAT(Network Address Translation) 동적 PAT 9 단계 ( 선택사항 ) Options( 옵션 ) 영역에서 NAT 옵션을구성합니다. Enable rule( 규칙활성화 ) - 이 NAT 규칙을사용하도록설정합니다. 이규칙은기본적으로사용됩니다. ( 소스전용규칙의경우 ) Translate DNS replies that match this rule( 이규칙과일치하는 DNS 회신변환 ) - DNS 응답에서 DNS A 레코드를재작성합니다. DNS 검사를사용하도록설정해야합니다 ( 기본적으로사용됨 ). 대상주소를구성하는경우 DNS 수정을구성할수없습니다. 자세한내용은 DNS 및 NAT, 페이지를참조하십시오. Description( 설명 ) - 최대 200 자로규칙에대한설명을추가합니다. 10 단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 세션당 PAT 또는다중세션 PAT 구성 ( 버전 9.0(1) 이상 ) 기본적으로모든 TCP PAT 트래픽및모든 UDP DNS 트래픽은세션당 PAT를사용합니다. 트래픽에다중세션 PAT를사용하려면세션당 PAT 규칙을구성할수있습니다. 허용규칙은세션당 PAT를사용하고거부규칙은다중세션 PAT를사용합니다. 세션당 PAT는 PAT의확장성을개선하며, 클러스터링의경우각멤버유닛이 PAT 연결을소유하도록허용합니다. 다중세션 PAT 연결은마스터유닛에서전달및소유해야합니다. 세션당 PAT 세션이끝나면 ASA에서재설정을전송하고 xlate를즉시제거합니다. 이재설정으로인해종단노드의연결이즉시해제되므로 TIME_WAIT 상태가방지됩니다. 반면, 다중세션 PAT에서는 PAT 시간제한 ( 기본적으로 30초 ) 을사용합니다. "hit-and-run" 트래픽 ( 예 : HTTP 또는 HTTPS) 의경우세션당 PAT는한주소에의해지원되는연결속도를대폭높일수있습니다. 세션당 PAT를사용하지않으면 IP 프로토콜에대한한주소의최대연결속도는초당약 2000입니다. 세션당 PAT를사용하면 IP 프로토콜에대한한주소의연결속도는 65535/average-lifetime입니다. H.323, SIP 또는 Skinny와같이다중세션 PAT가유용할수있는트래픽의경우세션당거부규칙을생성하여세션당 PAT를비활성화할수있습니다. 이러한규칙은버전 9.0(1) 부터사용할수있습니다. 시작하기전에 기본적으로다음규칙이설치됩니다. any(ipv4 및 IPv6) 에서 any(ipv4 및 IPv6) 로의 TCP 허용 any(ipv4 및 IPv6) 에서 domain 포트로의 UDP 허용이러한규칙은테이블에표시되지않습니다. 9-37

180 고정 NAT 9 장 NAT(Network Address Translation) 이러한규칙은제거할수없으며, 항상수동으로만든모든규칙뒤에존재합니다. 규칙은순서대로평가되므로기본규칙을재정의할수있습니다. 예를들어이러한규칙을완전히무효화하려면다음을추가할수있습니다. any(ipv4 및 IPv6) 에서 any(ipv4 및 IPv6) 로의 TCP 거부 any(ipv4 및 IPv6) 에서 domain 포트로의 UDP 거부 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Advanced( 고급 ) > Per-Session NAT Rules( 세션당 NAT 규칙 ) 를선택합니다. 2 단계다음중하나를수행합니다. Add( 추가 ) > Add Per-Session NAT Rule( 세션당 NAT 규칙추가 ) 을선택합니다. 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계다음규칙을구성합니다. Action( 작업 ) - Permit( 허용 ) 또는 Deny( 거부 ) 를클릭합니다. 허용규칙은세션당 PAT 를사용하고, 거부규칙은다중세션 PAT 를사용합니다. Source( 소스 ) - 주소를입력하거나... 버튼을클릭하고개체를선택하여소스주소를지정합니다. 서비스로 UDP 또는 TCP 를선택합니다. 일반적으로는대상포트만지정하지만선택적으로소스포트를지정할수있습니다. UDP/port 또는 TCP/port 에입력하거나... 버튼을클릭하고일반적인값또는개체를선택합니다. Destination( 대상 ) - 주소를입력하거나... 버튼을클릭하고개체를선택하여대상주소를지정합니다. 서비스로 UDP 또는 TCP 를선택합니다. 이값은소스서비스와일치해야합니다. 선택적으로대상포트를지정할수있습니다. UDP/port 또는 TCP/port 에입력하거나... 버튼을클릭하고일반적인값또는개체를선택합니다.!=( 같지않음 ), >( 보다큼 ), <( 보다작음 ) 연산자를사용하거나하이픈을사용하여범위를지정합니다 ( 예 : ). 4 단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 고정 NAT 다음주제에서는고정 NAT 및고정 NAT를구현하는방법에대해설명합니다. 고정 NAT 정보, 9-38페이지 고정네트워크개체 NAT 또는포트변환고정 NAT 구성, 9-43페이지 고정 2회 NAT 또는포트변환고정 NAT 구성, 9-45페이지 고정 NAT 정보 고정 NAT 는실제주소에서매핑된주소로의고정된변환을생성합니다. 매핑된주소는각각의연속연결에대해동일하므로 NAT 는양방향연결시작을허용합니다. 이를허용하는액세스규칙이있는경우호스트에서나가기도하고호스트로들어오기도합니다. 반면동적 NAT 및 PAT 의경우, 각호스트는각후속변환에대해서로다른주소또는포트를사용하므로양방향시작이지원되지않습니다. 9-38

181 9 장 NAT(Network Address Translation) 고정 NAT 다음그림은일반적인고정 NAT 시나리오를보여줍니다. 변환이항상활성상태이므로실제호스트와원격호스트모두연결을시작할수있습니다. 그림 9-5 고정 NAT Security Appliance Inside Outside 참고원하는경우양방향을비활성화할수있습니다. 포트변환고정 NAT 포트주소변환고정 NAT 정보 포트변환고정 NAT 를사용하면실제및매핑된프로토콜 (TCP 또는 UDP) 과포트를지정할수있습니다. 포트주소변환고정 NAT 정보, 9-39 페이지 Static NAT with Identity Port Translation, 9-40 페이지 비표준포트에대한포트변환고정 NAT, 9-40 페이지 포트변환고정인터페이스 NAT, 9-40 페이지 고정 NAT로포트를지정하는경우포트및 / 또는 IP 주소를동일한값으로매핑할지아니면다른값으로매핑할지를선택할수있습니다. 다음그림은자신에게매핑되는포트와다른값으로매핑되는포트모두를보여주는포트변환시나리오의일반적인고정 NAT를보여줍니다. 두경우모두 IP 주소는다른값으로매핑됩니다. 변환이항상활성상태이므로변환된호스트와원격호스트모두연결을시작할수있습니다. 그림 9-6 일반적인포트변환고정 NAT 시나리오 Security Appliance : : : :80 Inside Outside 참고 보조채널 ( 예 : FTP 및 VoIP) 에대해애플리케이션검사를요구하는애플리케이션의경우 ASA 에서는자동으로보조포트를변환합니다. 9-39

182 고정 NAT 9 장 NAT(Network Address Translation) Static NAT with Identity Port Translation 다음의포트변환고정 NAT 예는원격사용자가 FTP, HTTP 및 SMTP 에액세스하기위해사용할단일주소를제공합니다. 이러한서버는실제네트워크에서실제로서로다른디바이스이지만, 각서버에대해동일한매핑된 IP 주소를사용하되포트는서로다른포트변환고정 NAT 규칙을지정할수있습니다. 그림 9-7 포트변환고정 NAT Host Undo Translation : Outside Undo Translation : Undo Translation : Inside FTP server SMTP server HTTP server 비표준포트에대한포트변환고정 NAT 포트변환고정인터페이스 NAT 잘알려진포트를비표준포트로또는그반대로변환하려는경우에도포트변환고정 NAT 를사용할수있습니다. 예를들어내부웹서버가포트 8080 을사용하는경우외부사용자가포트 80 에연결하도록허용한다음원래포트 8080 으로의변환을취소할수있습니다. 마찬가지로, 보안을강화하려면웹사용자에게비표준포트 6785 로연결하도록안내한다음포트 80 으로의변환을취소할수있습니다. 실제주소를인터페이스주소 / 포트조합으로매핑하도록고정 NAT 를구성할수있습니다. 예를들어 ASA 외부인터페이스에대한텔넷액세스를내부호스트로리디렉션하려면, 내부호스트 IP 주소 / 포트 23 을 ASA 인터페이스주소 / 포트 23 으로매핑할수있습니다. 보안수준이가장낮은인터페이스에대해서는 ASA 에대한텔넷이허용되지않지만포트변환고정 NAT 는텔넷세션을거부하는대신리디렉션합니다. 9-40

183 9 장 NAT(Network Address Translation) 고정 NAT 일대다고정 NAT 일반적으로 NAT는일대일매핑으로구성합니다. 그러나경우에따라여러매핑된주소에대해단일실제주소를구성해야할수도있습니다 ( 일대다 ). 일대다고정 NAT를구성할경우, 실제호스트가트래픽을시작하면항상첫번째매핑된주소를사용합니다. 그러나호스트에대해시작된트래픽의경우, 매핑된주소중하나에대해트래픽을시작할수있습니다. 이러한주소는단일실제주소로변환되지않습니다. 다음그림은일반적인일대다고정 NAT 시나리오를보여줍니다. 실제호스트에의한시작은항상첫번째매핑된주소를사용하므로, 실제호스트 IP/ 첫번째매핑된 IP의변환이기술적으로유일한양방향변환입니다. 그림 9-8 일대다고정 NAT Security Appliance Inside Outside 예를들어 에로드밸런서가있으면, 요청된 URL 에따라트래픽이올바른웹서버로리디렉션됩니다. 그림 9-9 일대다고정 NAT 예 Host Undo Translation Outside Undo Translation Undo Translation Inside Load Balancer Web Servers

184 고정 NAT 9 장 NAT(Network Address Translation) 기타매핑시나리오 ( 권장되지않음 ) ASA에서는일대일, 일대다, 소수대다수, 다수대소수다대일등모든종류의고정매핑시나리오를유연하게허용합니다. 그러나일대일또는일대다매핑만사용하는것이좋습니다. 다른매핑옵션을사용할경우예기치않은결과가발생할수있습니다. 소수대다수는기능상일대다와같지만, 컨피그레이션이좀더복잡하고실제매핑이한눈에명확히파악되지않을수있으므로필요한경우각실제주소에대해일대다컨피그레이션을만드는것이좋습니다. 소수대다수시나리오에서는소수의실제주소가다수의매핑된주소로순서대로매핑됩니다 (A-1, B-2, C-3). 모든실제주소가매핑되면다음의매핑된주소는첫번째실제주소로매핑되며, 모든매핑된주소가매핑될때까지같은방식이반복됩니다 (A-4, B-5, C-6). 그결과각실제주소에다수의매핑된주소가연결됩니다. 일대다컨피그레이션의경우와마찬가지로첫번째매핑만양방향이고이후매핑에서는실제호스트로만트래픽이시작되고, 실제호스트로부터의모든트래픽은소스에대해첫번째매핑된주소만사용합니다. 다음그림은일반적인소수대다수고정 NAT 시나리오를보여줍니다. 그림 9-10 소수대다수고정 NAT Security Appliance Inside Outside 매핑된주소보다실제주소가더많은다수대소수또는다대일컨피그레이션의경우, 실제주소가소진되기전에매핑된주소가소진됩니다. 가장낮은실제 IP 주소와매핑된풀간의매핑만양방향시작이가능합니다. 나머지더높은실제주소는트래픽을시작할수있지만이러한주소로트래픽이시작될수는없습니다. 연결에대한고유한 5 튜플 ( 소스 / 대상 IP 주소, 소스 / 대상포트및프로토콜 ) 때문에연결에대한반환트래픽은정확한실제주소로전달됩니다. 참고 다수대소수또는다대일 NAT 는 PAT 가아닙니다. 두개의실제호스트가동일한소스포트번호를사용하고동일한외부서버및동일한 TCP 대상포트로이동하며두호스트가동일한 IP 주소로변환되면, 주소충돌때문에 (5 튜플이고유하지않음 ) 두연결이재설정됩니다. 다음그림은일반적인다수대소수고정 NAT 시나리오를보여줍니다. 그림 9-11 다수대소수고정 NAT Security Appliance Inside Outside

185 9 장 NAT(Network Address Translation) 고정 NAT 고정규칙을이방식으로사용하는대신, 양방향시작이필요한트래픽에대해일대일규칙을만든다음나머지주소에대해동적규칙을만드는방식을권장합니다. 고정네트워크개체 NAT 또는포트변환고정 NAT 구성 이섹션에서는네트워크개체 NAT 를사용하여고정 NAT 를구성하는방법에대해설명합니다. 절차 1 단계새네트워크개체또는기존네트워크개체에 NAT 를추가합니다. 새네트워크개체를추가하려면 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) 를선택한다음 Add( 추가 ) > Add Network Object NAT Rule( 네트워크개체 NAT 규칙추가 ) 을클릭합니다. 기존네트워크개체에 NAT 를추가하려면 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 개체 ) > Network Objects/Groups( 네트워크개체 / 그룹 ) 를선택한다음네트워크개체를수정합니다. 2 단계새개체인경우다음필드에값을입력합니다. a. Name( 이름 ) - 개체이름입니다. 이름에는 a~z, A~Z, 0~9, 마침표, 대시, 쉼표또는밑줄문자를사용해야합니다. 이름은 64 자이하여야합니다. b. Type( 유형 ) - 호스트, 네트워크또는범위입니다. c. IP Addresses(IP 주소 ) - IPv4 또는 IPv6 주소, 호스트의단일주소, 범위의시작및끝주소, 서브넷의시작및끝주소, IPv4 네트워크주소및마스크 ( 예 : ) 또는 IPv6 주소및접두사길이 ( 예 : 2001:DB8:0:CD30::/60) 중하나입니다. 3 단계 NAT 섹션이숨겨져있으면 NAT 를클릭하여섹션을확장합니다. 4 단계 Add Automatic Translation Rules( 자동변환규칙추가 ) 확인란을선택합니다. 9-43

186 고정 NAT 9 장 NAT(Network Address Translation) 5 단계 Type( 유형 ) 드롭다운목록에서 Static( 고정 ) 을선택합니다. 6 단계변환된주소필드에서다음중하나와같이매핑된 IP 주소를지정합니다. 일반적으로일대일매핑의경우동일한수의매핑된주소를실제주소로구성합니다. 그러나주소의수가일치하지않아도됩니다. 자세한내용은고정 NAT, 9-38 페이지를참고하십시오. IP 주소를입력합니다. IP 주소를입력할때매핑된네트워크의넷마스크, 접두사또는범위가실제네트워크와동일합니다. 예를들어실제네트워크가호스트이면이주소도호스트주소입니다. 범위의경우매핑된주소에는동일한주소번호가실제범위로서포함됩니다. 예를들어실제주소의범위를 ~ 으로정의하고매핑된주소로 을지정하는경우매핑된범위에는 ~ 이포함됩니다. 찾아보기버튼을클릭하고네트워크개체를선택하거나새네트워크개체를만듭니다. ( 포트변환고정 NAT 전용, 라우팅된모드전용 ) 인터페이스이름을입력하거나찾아보기버튼을클릭하고 Browse Translated Addr( 변환된주소찾아보기 ) 대화상자에서인터페이스를선택합니다. IPv6 인터페이스주소를사용하려면 Use IPv6 for interface PAT( 인터페이스 PAT 에 IPv6 사용 ) 확인란도선택해야합니다. Advanced( 고급 ) 를클릭하여서비스포트변환도구성해야합니다. 투명모드에서는인터페이스를지정할수없습니다. 9-44

187 9 장 NAT(Network Address Translation) 고정 NAT 7 단계 ( 선택사항 ) NAT46 의경우 Use one-to-one address translation( 일대일주소변환사용 ) 을선택합니다. NAT 46 의경우첫번째 IPv4 주소를첫번째 IPv6 주소로, 두번째를두번째로등과같이변환하려면일대일을지정합니다. 이옵션이없으면 IPv4 포함메서드가사용됩니다. 일대일변환에는이키워드를반드시사용해야합니다. 8 단계 ( 선택사항 ) Advanced( 고급 ) 를클릭하고 Advanced NAT Settings( 고급 NAT 설정 ) 대화상자에서다음옵션을구성한다음 OK( 확인 ) 를클릭합니다. Translate DNS replies for rule( 규칙에따라 DNS 회신변환 ) - DNS 회신에서 IP 주소를변환합니다. DNS 검사를사용하도록설정해야합니다 ( 기본적으로사용됨 ). 자세한내용은 DNS 및 NAT, 페이지를참조하십시오. Disable Proxy ARP on egress interface( 이그레스인터페이스에서프록시 ARP 비활성화 ) - 매핑된 IP 주소로들어오는패킷에대해프록시 ARP 을비활성화합니다. 프록시 ARP 비활성화에필요할수있는조건에대한자세한내용은매핑된주소및라우팅, 페이지를참조하십시오. ( 투명방화벽모드에필요 ) Interface( 인터페이스 ) - 이 NAT 규칙이적용되는실제인터페이스 (Source) 및매핑된인터페이스 (Destination) 를지정합니다. 기본적으로규칙은모든인터페이스에적용됩니다. Service( 서비스 ) - 포트변환고정 NAT 를구성합니다. tcp 또는 udp 를선택한다음실제및매핑된포트를입력합니다. 포트번호또는잘알려진포트이름 ( 예 : ftp) 을사용할수있습니다. 9단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 고정규칙은양방향이기때문에 ( 실제호스트에서시작되거나실제호스트로시작이들어올수있음 ) NAT 규칙테이블에는각고정규칙에대해두개의행 ( 각방향에하나씩 ) 이표시됩니다. 고정 2 회 NAT 또는포트변환고정 NAT 구성 이섹션에서는 2 회 NAT 를사용하여 Static NAT 를구성하는방법에대해설명합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) 를선택하고다음중하나를수행합니다. Add( 추가 ) 를클릭하거나 Add( 추가 ) > Add NAT Rule Before Network Object NAT Rules ( 네트워크개체 NAT 규칙앞에 NAT 규칙추가 ) 를클릭합니다. Add( 추가 ) > Add NAT Rule After Network Object NAT Rules( 네트워크개체 NAT 규칙뒤에 NAT 규칙추가 ) 를클릭합니다. 2 회 NAT 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 9-45

188 고정 NAT 9 장 NAT(Network Address Translation) Add NAT Rule(NAT 규칙추가 ) 대화상자가나타납니다. 2단계소스및대상인터페이스를설정합니다. 라우팅된모드에서는기본적으로두인터페이스가모두 --Any--로설정됩니다. 투명방화벽모드에서는특정인터페이스를설정해야합니다. a. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Source Interface( 소스인터페이스 ) 드롭다운목록에서소스인터페이스를선택합니다. b. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Destination Interface( 대상인터페이스 ) 드롭다운목록에서대상인터페이스를선택합니다. 3단계 Static( 고정 ) 을 Action( 작업 ): Translated Packet( 변환된패킷 ) > Source NAT Type( 소스 NAT 유형 ) 드롭다운목록에서선택합니다. Static( 고정 ) 이기본설정입니다. 이설정은소스주소에만적용됩니다. 대상변환은항상고정입니다. 9-46

189 9 장 NAT(Network Address Translation) 고정 NAT 4 단계원래패킷주소 (IPv4 또는 IPv6), 즉소스인터페이스네트워크에나타나는패킷주소 (real source address 및 mapped destination address) 를확인합니다. 원래패킷대변환된패킷의예는다음그림을참조하십시오. Source Destination Real: Mapped: Inside NAT Outside Real: Mapped: > > Original Packet Translated Packet a. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Source Address( 소스주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체또는그룹을선택하거나, Browse Original Source Address( 원래소스주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. IPv4 주소와 IPv6 주소를모두포함할수는없으며한유형만포함해야합니다. 기본값은 any 이지만, ID NAT 이외에는이옵션을사용하지마십시오. b. ( 선택사항 ) Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Destination Address( 대상주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체또는그룹을선택하거나 Browse Original Destination Address( 원래대상주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. 2회 NAT의주요기능은대상 IP 주소를포함하는것이지만, 대상주소는선택사항입니다. 대상주소를지정하면해당주소에대해고정변환을구성할수도있고단순히 ID NAT를사용할수도있습니다. 실제주소에네트워크개체그룹사용, 수동으로규칙순서지정등을비롯한 2회 NAT의몇가지다른기능을활용하려면대상주소없이 2회 NAT를구성할수있습니다. 자세한내용은네트워크개체 NAT와 2회 NAT 비교, 9-4페이지를참고하십시오. 5 단계변환된패킷주소 (IPv4 또는 IPv6), 즉대상인터페이스네트워크에나타나는패킷주소 (mapped source address 및 real destination address) 를확인합니다. 필요에따라 IPv4 및 IPv6 간에변환할수있습니다. a. Action( 작업 ): Translated Packet( 변환된패킷 ) > Source Address( 소스주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체또는그룹을선택하거나, Browse Translated Source Address( 변환된소스주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. 고정 NAT에서매핑은일반적으로 1대1이므로, 실제주소의수가매핑된주소의수와같습니다. 그러나원하는경우수량을다르게지정할수있습니다. 포트변환고정인터페이스 NAT의경우매핑된주소의네트워크개체 / 그룹대신인터페이스를지정할수있습니다. 인터페이스의 IPv6 주소를사용하려면 Use IPv6 for interface PAT ( 인터페이스 PAT에 IPv6 사용 ) 확인란을선택합니다. 9-47

190 고정 NAT 9 장 NAT(Network Address Translation) 자세한내용은포트변환고정인터페이스 NAT, 9-40 페이지를참고하십시오. 허용되지않는매핑된 IP 주소에대한자세한내용은 NAT 용지침, 9-6 페이지를참조하십시오. b. ( 선택사항 ) Action( 작업 ): Translated Packet( 변환된패킷 ) > Destination Address( 대상주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체또는그룹을선택하거나 Browse Translated Destination Address( 변환된대상주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. 6 단계 ( 선택사항 ) 서비스변환의소스또는대상서비스포트를식별합니다. 원래패킷소스또는대상포트를확인합니다 (real source port 또는 mapped destination port). Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Service( 서비스 ) 에서찾아보기버튼을클릭하고 TCP 또는 UDP 포트를지정하는기존서비스개체를선택하거나 Browse Original Service( 원래서비스찾아보기 ) 대화상자에서새개체를만듭니다. 변환된패킷소스또는대상포트를확인합니다 (mapped source port 또는 real destination port). Action( 작업 ): Translated Packet( 변환된패킷 ) > Service( 서비스 ) 에서찾아보기버튼을클릭하고 TCP 또는 UDP 포트를지정하는기존서비스개체를선택하거나 Browse Translated Service( 변환된서비스찾아보기 ) 대화상자에서새개체를만듭니다. 서비스개체는소스및대상포트를모두포함할수있습니다. 실제및매핑된서비스개체모두에대해소스포트또는대상포트중하나만지정해야합니다. 애플리케이션이고정된소스포트 ( 예 : 일부 DNS 서버 ) 를사용하는경우에만소스포트와대상포트를모두지정해야합니다. 그러나고정된소스포트는매우드뭅니다. 드문경우이지만개체에서소스포트와대상포트를모두지정하는경우, 원래패킷서비스개체는실제소스포트 / 매핑된대상포트를포함하고, 변환된패킷서비스개체는매핑된소스포트 / 실제대상포트를포함합니다. NAT는 TCP 또는 UDP만지원합니다. 포트를변환할때는실제서비스개체의프로토콜과매핑된서비스개체의프로토콜이동일해야합니다 ( 둘다 TCP거나둘다 UDP). ID NAT의경우실제포트와매핑된포트에동일한서비스개체를사용할수있습니다. "not equal"(!=) 연산자는지원되지않습니다. 예를들면다음과같습니다. 9-48

191 9 장 NAT(Network Address Translation) 고정 NAT 7 단계 ( 선택사항 ) NAT46 의경우 Use one-to-one address translation( 일대일주소변환사용 ) 확인란을선택합니다. NAT46 의경우첫번째 IPv4 주소를첫번째 IPv6 주소로, 두번째를두번째로등과같이변환하려면 one-to-one 을지정합니다. 이옵션이없으면 IPv4 포함메서드가사용됩니다. 일대일변환에는이키워드를반드시사용해야합니다. 8 단계 ( 선택사항 ) Options( 옵션 ) 영역에서 NAT 옵션을구성합니다. Enable rule( 규칙활성화 ) - 이 NAT 규칙을사용하도록설정합니다. 이규칙은기본적으로사용됩니다. ( 소스전용규칙의경우 ) Translate DNS replies that match this rule( 이규칙과일치하는 DNS 회신변환 ) - DNS 응답에서 DNS A 레코드를재작성합니다. DNS 검사를사용하도록설정해야합니다 ( 기본적으로사용됨 ). 대상주소를구성하는경우 DNS 수정을구성할수없습니다. 자세한내용은 DNS 및 NAT, 10-40페이지를참조하십시오. 9-49

192 ID NAT 9 장 NAT(Network Address Translation) Disable Proxy ARP on egress interface( 이그레스인터페이스에서프록시 ARP 비활성화 ) - 매핑된 IP 주소로들어오는패킷에대해프록시 ARP 을비활성화합니다. 자세한내용은매핑된주소및라우팅, 페이지를참조하십시오. Direction( 방향 ) - 규칙을단방향으로지정하려면 Unidirectional( 단방향 ) 을선택합니다. 기본값은 Both( 양방향 ) 입니다. 규칙을단방향으로만들면트래픽이실제주소에대한연결을시작할수없습니다. Description( 설명 ) - 최대 200 자로규칙에대한설명을추가합니다. 9 단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. ID NAT IP 주소를자신으로변환해야하는 NAT 컨피그레이션이있을수있습니다. 예를들어 NAT를모든네트워크에적용하는광범위한규칙을만들되 NAT에서하나의네트워크만제외하고싶은경우, 주소를자신으로변환하는고정 NAT 규칙을만들수있습니다. ID NAT는 NAT에서클라이언트트래픽을제외해야하는원격액세스 VPN에필요합니다. 다음그림은일반적인 ID NAT 시나리오를보여줍니다. 그림 9-12 ID NAT Security Appliance Inside Outside 다음주제에서는 ID NAT 를구성하는방법에대해설명합니다. ID 네트워크개체 NAT 구성, 9-50 페이지 ID 2 회 NAT 구성, 9-53 페이지 ID 네트워크개체 NAT 구성 이섹션에서는네트워크개체 NAT 를사용하여 ID NAT 를구성하는방법에대해설명합니다. 절차 1 단계새네트워크개체또는기존네트워크개체에 NAT 를추가합니다. 새네트워크개체를추가하려면 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) 를선택한다음 Add( 추가 ) > Add Network Object NAT Rule( 네트워크개체 NAT 규칙추가 ) 을클릭합니다. 9-50

193 9 장 NAT(Network Address Translation) ID NAT 기존네트워크개체에 NAT 를추가하려면 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 개체 ) > Network Objects/Groups( 네트워크개체 / 그룹 ) 를선택한다음네트워크개체를수정합니다. 2 단계새개체인경우다음필드에값을입력합니다. a. Name( 이름 ) - 개체이름입니다. 이름에는 a~z, A~Z, 0~9, 마침표, 대시, 쉼표또는밑줄문자를사용해야합니다. 이름은 64 자이하여야합니다. b. Type( 유형 ) - 호스트, 네트워크또는범위입니다. c. IP Addresses(IP 주소 ) - IPv4 또는 IPv6 주소, 호스트의단일주소, 범위의시작및끝주소, 서브넷의시작및끝주소, IPv4 네트워크주소및마스크 ( 예 : ) 또는 IPv6 주소및접두사길이 ( 예 : 2001:DB8:0:CD30::/60) 중하나입니다. 3 단계 NAT 섹션이숨겨져있으면 NAT 를클릭하여섹션을확장합니다. 4 단계 Add Automatic Translation Rules( 자동변환규칙추가 ) 확인란을선택합니다. 5 단계 Type( 유형 ) 드롭다운목록에서 Static( 고정 ) 을선택합니다. 9-51

194 ID NAT 9 장 NAT(Network Address Translation) 6 단계변환된주소필드에서다음중하나를수행합니다. 실제주소에사용한것과동일한 IP 주소를입력합니다. IP 주소를입력할때매핑된네트워크의넷마스크, 접두사또는범위가실제네트워크와동일합니다. 예를들어실제네트워크가호스트이면이주소도호스트주소입니다. 범위의경우매핑된주소에는동일한주소번호가실제범위로서포함됩니다. 예를들어실제주소의범위를 ~ 으로정의하고매핑된주소로 을지정하는경우매핑된범위에는 ~ 이포함됩니다. 찾아보기버튼을클릭하고네트워크개체를선택하거나새네트워크개체를만듭니다. 7 단계 ( 선택사항 ) Advanced( 고급 ) 를클릭하고 Advanced NAT Settings( 고급 NAT 설정 ) 대화상자에서다음옵션을구성한다음 OK( 확인 ) 를클릭합니다. Translate DNS replies for rule( 규칙에따라 DNS 회신변환 ) - ID NAT 에이옵션을구성하지마십시오. Disable Proxy ARP on egress interface( 이그레스인터페이스에서프록시 ARP 비활성화 ) - 매핑된 IP 주소로들어오는패킷에대해프록시 ARP 을비활성화합니다. 프록시 ARP 비활성화에필요할수있는조건에대한자세한내용은매핑된주소및라우팅, 페이지를참조하십시오. ( 라우팅된모드, 인터페이스지정 ) Lookup route table to locate egress interface( 경로테이블을조회하여이그레스인터페이스찾기 ) - NAT 명령으로지정한인터페이스를사용하는대신경로조회를사용하여이그레스 (egress) 인터페이스를확인합니다. 자세한내용은이그레스 (Egress) 인터페이스결정, 페이지를참조하십시오. ( 투명방화벽모드에필요 ) Interface( 인터페이스 ) - 이 NAT 규칙이적용되는실제인터페이스 (Source) 및매핑된인터페이스 (Destination) 를지정합니다. 기본적으로규칙은모든인터페이스에적용됩니다. Service( 서비스 ) - ID NAT 에이옵션을구성하지마십시오. 8 단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. 경로조회옵션을선택하지않은경우고정규칙은양방향이기때문에 ( 실제호스트에서시작되거나실제호스트로시작이들어올수있음 ) NAT 규칙테이블에는각고정규칙에대해두개의행 ( 각방향에하나씩 ) 이표시됩니다. 9-52

195 9 장 NAT(Network Address Translation) ID NAT ID 2 회 NAT 구성 이섹션에서는 2 회 NAT 를사용하여 ID NAT 규칙을구성하는방법에대해설명합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) 를선택하고다음중하나를수행합니다. Add( 추가 ) 를클릭하거나 Add( 추가 ) > Add NAT Rule Before Network Object NAT Rules ( 네트워크개체 NAT 규칙앞에 NAT 규칙추가 ) 를클릭합니다. Add( 추가 ) > Add NAT Rule After Network Object NAT Rules( 네트워크개체 NAT 규칙뒤에 NAT 규칙추가 ) 를클릭합니다. 2회 NAT 규칙을선택하고 Edit( 수정 ) 를클릭합니다. Add NAT Rule(NAT 규칙추가 ) 대화상자가나타납니다. 2단계소스및대상인터페이스를설정합니다. 라우팅된모드에서는기본적으로두인터페이스가모두 --Any--로설정됩니다. 투명방화벽모드에서는특정인터페이스를설정해야합니다. a. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Source Interface( 소스인터페이스 ) 드롭다운목록에서소스인터페이스를선택합니다. b. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Destination Interface( 대상인터페이스 ) 드롭다운목록에서대상인터페이스를선택합니다. 9-53

196 ID NAT 9 장 NAT(Network Address Translation) 3단계 Static( 고정 ) 을 Action( 작업 ): Translated Packet( 변환된패킷 ) > Source NAT Type( 소스 NAT 유형 ) 드롭다운목록에서선택합니다. Static( 고정 ) 이기본설정입니다. 이설정은소스주소에만적용됩니다. 대상변환은항상고정입니다. 4 단계원래패킷주소 (IPv4 또는 IPv6), 즉소스인터페이스네트워크에나타나는패킷주소 (real source address 및 mapped destination address) 를확인합니다. 원래패킷대변환된패킷의예는다음그림을참조하십시오. 여기서내부호스트에대해서는 ID NAT 를수행하지만외부호스트는변환합니다. Source Destination Inside Outside Identity NAT Real: Mapped: > > Original Packet Translated Packet a. Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Source Address( 소스주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체또는그룹을선택하거나, Browse Original Source Address( 원래소스주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. IPv4 주소와 IPv6 주소를모두포함할수는없으며한유형만포함해야합니다. 기본값은 any 입니다. 매핑된주소역시 any 로설정하는경우에만이옵션을사용하십시오. b. ( 선택사항 ) Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Destination Address( 대상주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체또는그룹을선택하거나 Browse Original Destination Address( 원래대상주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. 2회 NAT의주요기능은대상 IP 주소를포함하는것이지만, 대상주소는선택사항입니다. 대상주소를지정하면해당주소에대해고정변환을구성할수도있고단순히 ID NAT를사용할수도있습니다. 실제주소에네트워크개체그룹사용, 수동으로규칙순서지정등을비롯한 2회 NAT의몇가지다른기능을활용하려면대상주소없이 2회 NAT를구성할수있습니다. 자세한내용은네트워크개체 NAT와 2회 NAT 비교, 9-4페이지를참고하십시오. 5 단계변환된패킷주소, 즉대상인터페이스네트워크에나타나는패킷주소 (mapped source address 및 real destination address) 를확인합니다. a. Action( 작업 ): Translated Packet( 변환된패킷 ) > Source Address( 소스주소 ) 에서찾아보기버튼을클릭하고, 실제소스주소에대해선택한것과동일한네트워크개체또는그룹을 Browse Translated Source Address( 변환된소스주소찾아보기 ) 대화상자에서선택합니다. 실제주소에대해 any 를지정했으면 any 를사용합니다. 9-54

197 9 장 NAT(Network Address Translation) ID NAT b. Match Criteria( 일치기준 ): Translated Packet( 변환된패킷 ) > Destination Address( 대상주소 ) 에서찾아보기버튼을클릭하고기존네트워크개체, 그룹또는인터페이스를선택하거나 Browse Translated Destination Address( 변환된대상주소찾아보기 ) 대화상자에서새개체또는그룹을만듭니다. 대상주소에대한 ID NAT의경우실제주소와매핑된주소모두에동일한개체또는그룹을사용합니다. 대상주소를변환하려는경우고정매핑은일반적으로일대일이므로, 실제주소의수가매핑된주소의수와같습니다. 그러나원하는경우수량을다르게지정할수있습니다. 자세한내용은고정 NAT, 9-38페이지를참고하십시오. 허용되지않는매핑된 IP 주소에대한자세한내용은 NAT용지침, 9-6페이지를참조하십시오. 포트변환고정인터페이스 NAT의경우에만인터페이스를선택합니다. 인터페이스를지정할경우서비스변환도구성해야합니다. 자세한내용은포트변환고정인터페이스 NAT, 9-40페이지를참고하십시오. 6 단계 ( 선택사항 ) 서비스변환의소스또는대상서비스포트를식별합니다. 원래패킷소스또는대상포트를확인합니다 (real source port 또는 mapped destination port). Match Criteria( 일치기준 ): Original Packet( 원래패킷 ) > Service( 서비스 ) 에서찾아보기버튼을클릭하고 TCP 또는 UDP 포트를지정하는기존서비스개체를선택하거나 Browse Original Service( 원래서비스찾아보기 ) 대화상자에서새개체를만듭니다. 변환된패킷소스또는대상포트를확인합니다 (mapped source port 또는 real destination port). Action( 작업 ): Translated Packet( 변환된패킷 ) > Service( 서비스 ) 에서찾아보기버튼을클릭하고 TCP 또는 UDP 포트를지정하는기존서비스개체를선택하거나 Browse Translated Service( 변환된서비스찾아보기 ) 대화상자에서새개체를만듭니다. 서비스개체는소스및대상포트를모두포함할수있습니다. 실제및매핑된서비스개체모두에대해소스포트또는대상포트중하나만지정해야합니다. 애플리케이션이고정된소스포트 ( 예 : 일부 DNS 서버 ) 를사용하는경우에만소스포트와대상포트를모두지정해야합니다. 그러나고정된소스포트는매우드뭅니다. 드문경우이지만개체에서소스포트와대상포트를모두지정하는경우, 원래패킷서비스개체는실제소스포트 / 매핑된대상포트를포함하고, 변환된패킷서비스개체는매핑된소스포트 / 실제대상포트를포함합니다. NAT는 TCP 또는 UDP만지원합니다. 포트를변환할때는실제서비스개체의프로토콜과매핑된서비스개체의프로토콜이동일해야합니다 ( 둘다 TCP거나둘다 UDP). ID NAT의경우실제포트와매핑된포트에동일한서비스개체를사용할수있습니다. "not equal"(!=) 연산자는지원되지않습니다. 예를들면다음과같습니다. 9-55

198 ID NAT 9 장 NAT(Network Address Translation) 7 단계 ( 선택사항 ) Options( 옵션 ) 영역에서 NAT 옵션을구성합니다. Enable rule( 규칙활성화 ) - 이 NAT 규칙을사용하도록설정합니다. 이규칙은기본적으로사용됩니다. ( 소스전용규칙의경우 ) Translate DNS replies that match this rule( 이규칙과일치하는 DNS 회신변환 ) - 대상주소를구성하지않을경우이옵션도사용할수있지만 ID NAT 에는적용되지않습니다. 주소를그자체로변환하기때문에 DNS 응답을수정할필요가없기때문입니다. Disable Proxy ARP on egress interface( 이그레스인터페이스에서프록시 ARP 비활성화 ) - 매핑된 IP 주소로들어오는패킷에대해프록시 ARP 을비활성화합니다. 자세한내용은매핑된주소및라우팅, 페이지를참조하십시오. 9-56

199 9 장 NAT(Network Address Translation) NAT 모니터링 ( 라우팅된모드, 인터페이스지정 ) Lookup route table to locate egress interface( 경로테이블을조회하여이그레스인터페이스찾기 ) - NAT 명령으로지정한인터페이스를사용하는대신경로조회를사용하여이그레스 (egress) 인터페이스를확인합니다. 자세한내용은이그레스 (Egress) 인터페이스결정, 페이지를참조하십시오. Direction( 방향 ) - 규칙을단방향으로지정하려면 Unidirectional( 단방향 ) 을선택합니다. 기본값은 Both( 양방향 ) 입니다. 규칙을단방향으로만들면트래픽이실제주소에대한연결을시작할수없습니다. 이설정은테스트목적으로사용할수있습니다. Description( 설명 ) - 최대 200 자로규칙에대한설명을추가합니다. 8 단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다. NAT 모니터링 다음페이지에서 NAT 관련그래프를볼수있습니다. Monitoring( 모니터링 ) > Properties( 속성 ) > Connection Graphs( 연결그래프 ) > Xlates - Xlate 활용그래프를선택하여사용중인 xlate 및가장많이사용된 xlate 를확인합니다. 이는 show xlate 명령과같습니다. Monitoring( 모니터링 > Properties( 속성 ) > Connection Graphs( 연결그래프 ) > Perfmon - Xlate Perfmon 그래프를선택하여 NAT 성능정보를확인합니다. 이는 show perfmon 명령의 xlate 정보와동일합니다. NAT 기록 기능이름 플랫폼릴리스 설명 네트워크개체 NAT 8.3(1) 네트워크개체 IP 주소용 NAT를구성합니다. 다음화면을도입하거나수정했습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Network Objects/Groups( 네트워크개체 / 그룹 ) 2회 NAT 8.3(1) 2회 NAT에서는소스주소와대상주소를단일규칙에서식별할수있습니다. 다음화면을수정했습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) 9-57

200 NAT 기록 9 장 NAT(Network Address Translation) 기능이름플랫폼릴리스설명 ID NAT 구성가능프록시 ARP 및경로조회 8.4(2)/8.5(1) ID NAT의이전릴리스에서는프록시 ARP가비활성화 되었고, 이그레스인터페이스를확인하는데항상경로조회가사용되었습니다. 이러한설정을구성할수없었습니다. 8.4(2) 이상에서는 ID NAT에대한기본동작이다른고정 NAT 컨피그레이션의동작과일치하도록변경되었습니다. 프록시 ARP가활성화되며, 기본적으로 NAT 컨피그레이션이이그레스 (egress) 인터페이스 ( 지정한경우 ) 를확인합니다. 이러한설정을그대로둘수도있고, 별도로활성화또는비활성화할수도있습니다. 이제정기적인고정 NAT를위해프록시 ARP를비활성화할수도있습니다. 8.3 이전컨피그레이션의경우 NAT 예외규칙 (nat 0 access-list 명령 ) 을 8.4(2) 이상으로마이그레이션하려면 no-proxy-arp 및 route-lookup 키워드를포함하여프록시 ARP를비활성화하고경로조회를사용해야합니다. 8.3(2) 및 8.4(1) 로마이그레이션하는데사용된 unidirectional 키워드는더이상마이그레이션에사용되지않습니다. 8.3(1), 8.3(2) 및 8.4(1) 에서 8.4(2) 로업그레이드하면, 이제기존기능을유지할수있도록모든 ID NAT 컨피그레이션에 no-proxy-arp 및 route-lookup 키워드가포함됩니다. unidirectional 키워드는제거됩니다. 다음화면을수정했습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) > Add/Edit Network Object( 네트워크개체추가 / 수정 ) > Advanced NAT Settings( 고급 NAT 설정 ), Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) > Add/Edit NAT Rule(NAT 규칙추가 / 수정 ) PAT 풀및라운드로빈주소할당 8.4(2)/8.5(1) 이제단일주소대신 PAT 주소의풀을지정할수있습니다. 풀의다음주소를사용하기전에먼저 PAT 주소의모든포트를사용하는대신, 선택적으로 PAT 주소를라운드로빈방식으로할당할수도있습니다. 이기능을이용하면단일 PAT 주소에서많은연결이설정되는것 (DoS 공격의일부처럼보임 ) 을효과적으로방지하고, 다수의 PAT 주소를손쉽게구성할수있습니다. 다음화면을수정했습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) > Add/Edit Network Object( 네트워크개체추가 / 수정 ), Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) > Add/Edit NAT Rule(NAT 규칙추가 / 수정 ) 라운드로빈 PAT 풀할당은기존호스트에동일한 IP 주소를사용함 8.4(3) 라운드로빈할당으로 PAT 풀을사용할때호스트에기존연결이있으면, 포트가사용가능한경우해당호스트의후속연결에는동일한 PAT IP 주소가사용됩니다. 화면은수정하지않았습니다. 이기능은 8.5(1) 또는 8.6(1) 에서사용할수없습니다. 9-58

201 9 장 NAT(Network Address Translation) NAT 기록 기능이름플랫폼릴리스설명 PAT 풀용 PAT 포트의균일한범위 8.4(3) 사용가능한경우매핑된포트에실제소스포트번호가사용됩니다. 그러나실제포트를사용할수없는경우, 기본적으로실제포트번호와동일한포트범위 (0~511, 512~1023 및 1024~65535) 에서매핑된포트가선택됩니다. 따라서 1024 아래의포트는작은 PAT 풀만사용할수있습니다. PAT 풀을사용할때낮은포트범위를사용하는트래픽이많은경우이제크기가서로다른세가지계층대신균일한포트범위 (1024~65535 또는 1~65535) 를사용하도록지정할수있습니다. 다음화면을수정했습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) > Add/Edit Network Object( 네트워크개체추가 / 수정 ), Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) > Add/Edit NAT Rule(NAT 규칙추가 / 수정 ) 이기능은 8.5(1) 또는 8.6(1) 에서사용할수없습니다. PAT 풀용확장 PAT 8.4(3) 각 PAT IP 주소는최대 65535개포트를허용합니다 개포트가충분한변환을제공하지않으면이제 PAT 풀용확장 PAT를활성화할수있습니다. 확장 PAT 는변환정보의대상주소및포트를포함하여서비스당 (IP 주소당이아니라 ) 65535개포트를사용합니다. 다음화면을수정했습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) > Add/Edit Network Object( 네트워크개체추가 / 수정 ), Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) > Add/Edit NAT Rule(NAT 규칙추가 / 수정 ) 이기능은 8.5(1) 또는 8.6(1) 에서사용할수없습니다. 9-59

202 NAT 기록 9 장 NAT(Network Address Translation) 기능이름플랫폼릴리스설명 VPN 피어의로컬 IP 주소를피어의실제 IP 주소로변환하는자동 NAT 규칙 8.4(3) 드문경우이지만할당된로컬 IP 주소대신내부네트워크에있는 VPN 피어의실제 IP 주소를사용하고자할수있습니다. 일반적으로 VPN에서는내부네트워크에액세스할수있도록, 할당된로컬 IP 주소를피어에제공합니다. 그러나예를들어내부서버및네트워크보안이피어의실제 IP 주소를기반으로하는경우, 로컬 IP 주소를피어의실제공개 IP 주소로다시변환할수있습니다. 터널그룹당 1개의인터페이스에서해당기능을활성화할수있습니다. VPN 세션이설정되거나연결이해제되면개체 NAT 규칙이동적으로추가및삭제됩니다. show nat 명령을사용하여규칙을볼수있습니다. 라우팅문제때문에, 반드시필요한경우가아니면이기능을사용하지않는것이좋습니다. 네트워크와의기능호환성을확인하려면 Cisco TAC에문의하십시오. 다음제한을참조하십시오. Cisco IPsec 및 AnyConnect 클라이언트만지원합니다. NAT 정책과 VPN 정책이적용될수있도록, 공개 IP 주소로반환되는트래픽을 ASA 로다시라우팅해야합니다. 라우팅문제로인해로드밸런싱을지원하지않습니다. 로밍을지원하지않습니다 ( 공개 IP 변경 ). ASDM은이명령을지원하지않습니다. 명령행툴을사용하여명령을입력하십시오. NAT에서 IPv6 지원 9.0(1) NAT는이제 IPv6 트래픽은물론 IPv4 및 IPv6 간변환도지원합니다. 투명모드에서는 IPv4 및 IPv6 네트워크간변환이지원되지않습니다. 다음화면을수정했습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 개체 ) > Network Objects/Group(NAT 개체 / 그룹 ), Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) NAT에서역 DNS 조회지원 9.0(1) NAT 규칙용 DNS 검사를활성화하여 IPv4 NAT, IPv6 NAT 및 NAT64를사용할경우 NAT는이제역 DNS 조회를위한 DNS PTR 레코드의변환을지원합니다. 9-60

203 9 장 NAT(Network Address Translation) NAT 기록 기능이름플랫폼릴리스설명 세션당 PAT 9.0(1) 세션당 PAT 기능은 PAT의확장성을개선하며, 클러스터링의경우각구성원장치가 PAT 연결을소유할수있도록합니다. 다중세션 PAT 연결은마스터장치에서전달하고소유해야합니다. 세션당 PAT 세션이끝나면 ASA 에서재설정을전송하고 xlate를즉시제거합니다. 이재설정으로인해종단노드의연결이즉시해제되므로 TIME_WAIT 상태가방지됩니다. 반면, 다중세션 PAT에서는 PAT 시간제한 ( 기본적으로 30초 ) 을사용합니다. HTTP 또는 HTTPS와같은 "hit-and-run" 트래픽의경우세션당기능은하나의주소에서지원하는연결속도를크게증가시킬수있습니다. 세션당기능을사용하지않을경우 IP 프로토콜의단일주소에대한최대연결속도는약 2000/ 초입니다. 세션당기능을사용할경우 IP 프로토콜의단일주소에대한연결속도는 65535/ 평균수명입니다. 기본적으로모든 TCP 트래픽및 UDP DNS 트래픽에서는세션당 PAT xlate를사용합니다. 다중세션 PAT가필요한트래픽 ( 예 : H.323, SIP 또는 Skinny) 의경우세션당거부규칙을만들어세션당 PAT를비활성화할수있습니다. 다음화면을추가했습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Advanced( 고급 ) > Per-Session NAT Rules( 세션당 NAT 규칙 ) NAT 규칙엔진에대한트랜잭션커밋모델 9.3(1) 활성화할경우규칙수정이완료된후 NAT 규칙업데이트가적용되며, 규칙일치성능에영향을미치지않습니다. 다음화면에 NAT를추가했습니다. Configuration( 컨피그레이션 ) > Device Management( 디바이스관리 ) > Advanced( 고급 ) > Rule Engine( 규칙엔진 ) 9-61

204 NAT 기록 9 장 NAT(Network Address Translation) 9-62

205 10 장 NAT 의예및참조 다음항목에서는 NAT 컨피그레이션의예와고급컨피그레이션및문제해결에대한정보를제공합니다. 네트워크객체 NAT 의예, 10-1 페이지 Twice NAT 의예, 페이지 라우팅된모드및투명모드의 NAT, 페이지 NAT 패킷라우팅, 페이지 VPN 용 NAT, 페이지 DNS 및 NAT, 페이지 네트워크객체 NAT 의예 다음은일부네트워크객체 NAT의컨피그레이션예입니다. 내부웹서버에대한액세스제공 ( 고정 NAT), 10-1페이지 내부호스트용 NAT( 동적 NAT) 및외부웹서버용 NAT( 고정 NAT), 10-4페이지 여러매핑된주소가있는내부로드밸런서 ( 고정 NAT, 일대다 ), 10-8페이지 FTP, HTTP 및 SMTP용단일주소 ( 포트변환고정 NAT), 10-10페이지 내부웹서버에대한액세스제공 ( 고정 NAT) 다음예제는내부웹서버에대해고정 NAT 를수행합니다. 실제주소는사설네트워크에있으므로공용주소가필요합니다. 호스트가고정된주소에서웹서버에대한트래픽을시작할수있으려면고정 NAT 가필요합니다. 10-1

206 네트워크객체 NAT 의예 10 장 NAT 의예및참조 그림 10-1 내부웹서버에대한고정 NAT Outside Undo Translation Security Appliance Inside mywebserv 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT 를선택합니다. 2 단계 Add( 추가 ) > Network Object NAT Rule( 네트워크개체 NAT 규칙 ) 을선택하고새네트워크개체의이름을지정한다음웹서버호스트주소를정의합니다. 10-2

207 10 장 NAT 의예및참조 네트워크객체 NAT 의예 3 단계객체용고정 NAT 를구성합니다. 4 단계 Advanced( 고급 ) 를클릭하고실제및매핑된인터페이스를구성합니다. 5 단계 OK( 확인 ) 를클릭하여 Edit Network Object 대화상자로돌아가고, OK( 확인 ) 를다시클릭한후 Apply( 적용 ) 를클릭합니다. 10-3

208 네트워크객체 NAT 의예 10 장 NAT 의예및참조 내부호스트용 NAT( 동적 NAT) 및외부웹서버용 NAT( 고정 NAT) 다음예는사설네트워크의내부사용자가외부에서액세스하는경우를위한동적 NAT 를구성합니다. 내부사용자가외부웹서버에연결하는경우도포함됩니다. 이경우웹서버주소가내부네트워크에있는것처럼보이는주소로변환됩니다. 그림 10-2 내부용동적 NAT, 외부웹서버용고정 NAT Web Server Outside Translation Undo Translation Security Appliance Inside myinsnet / 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT 를선택합니다. 2 단계 Add( 추가 ) > Network Object NAT Rule( 네트워크개체 NAT 규칙 ) 을선택하고새네트워크개체의이름을지정한다음내부네트워크를정의합니다. 10-4

209 10 장 NAT 의예및참조 네트워크객체 NAT 의예 3 단계내부네트워크용동적 NAT 를활성화합니다. 4 단계변환된주소필드에서찾아보기버튼을클릭하여, 내부주소를변환하려는동적 NAT 풀용새네트워크객체를추가합니다. a. Add( 추가 ) > Network Object( 네트워크개체 ) 를선택하고새개체의이름을지정한다음 NAT 풀의주소범위를정의하고 OK( 확인 ) 를클릭합니다. 10-5

210 네트워크객체 NAT 의예 10 장 NAT 의예및참조 b. 새네트워크객체를더블클릭하여선택합니다. OK( 확인 ) 를클릭하여 NAT 컨피그레이션으로돌아갑니다. 5 단계 Advanced( 고급 ) 를클릭하고실제및매핑된인터페이스를구성합니다. 6 단계 OK( 확인 ) 를클릭하여 Edit Network Object 대화상자로돌아간다음, OK( 확인 ) 를다시클릭하여 NAT Rules 테이블로돌아갑니다. 7 단계 Add( 추가 ) > Network Object NAT Rule( 네트워크개체 NAT 규칙 ) 을선택하고외부웹서버용개체를만듭니다. 10-6

211 10 장 NAT 의예및참조 네트워크객체 NAT 의예 8 단계웹서버용고정 NAT 를구성합니다. 9 단계 Advanced( 고급 ) 를클릭하고실제및매핑된인터페이스를구성합니다. 10 단계 OK( 확인 ) 를클릭하여 Edit Network Object 대화상자로돌아가고, OK( 확인 ) 를다시클릭한후 Apply( 적용 ) 를클릭합니다. 10-7

212 네트워크객체 NAT 의예 10 장 NAT 의예및참조 여러매핑된주소가있는내부로드밸런서 ( 고정 NAT, 일대다 ) 다음예는여러 IP 주소로변환되는내부로드밸런서를보여줍니다. 외부호스트가매핑된 IP 주소중하나에액세스하는경우단일로드밸런서주소로변환되지않습니다. 요청된 URL 에따라트래픽이올바른웹서버로리디렉션됩니다. 그림 10-3 내부로드밸런서용일대다고정 NAT Host Undo Translation Outside Undo Translation Undo Translation Inside Load Balancer Web Servers 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT 를선택합니다. 2 단계 Add( 추가 ) > Network Object NAT Rule( 네트워크개체 NAT 규칙 ) 를선택하고새네트워크개체의이름을지정한다음로드밸런서주소를정의합니다. 10-8

213 10 장 NAT 의예및참조 네트워크객체 NAT 의예 3 단계로드밸런서용고정 NAT 를활성화합니다. 4 단계변환된주소필드에서찾아보기버튼을클릭하여, 로드밸런서주소를변환하려는고정 NAT 주소그룹용새네트워크객체를추가합니다. a. Add( 주소 ) > Network Object( 네트워크개체 ) 를선택하고새개체의이름을지정한다음주소범위를정의하고 OK( 확인 ) 를클릭합니다. b. 새네트워크객체를더블클릭하여선택합니다. OK( 확인 ) 를클릭하여 NAT 컨피그레이션으로돌아갑니다. 10-9

214 네트워크객체 NAT 의예 10 장 NAT 의예및참조 5 단계 Advanced( 고급 ) 를클릭하고실제및매핑된인터페이스를구성합니다. 6 단계 OK( 확인 ) 를클릭하여 Edit Network Object 대화상자로돌아가고, OK( 확인 ) 를다시클릭한후 Apply( 적용 ) 를클릭합니다. FTP, HTTP 및 SMTP 용단일주소 ( 포트변환고정 NAT) 다음과같은포트변환고정 NAT 의예는원격사용자가 FTP, HTTP 및 SMTP 에액세스하기위해사용할단일주소를제공합니다. 이러한서버는실제네트워크에서실제로서로다른디바이스이지만, 각서버에대해동일하게매핑된 IP 주소를사용하되포트는다른포트변환고정 NAT 규칙을지정할수있습니다

215 10 장 NAT 의예및참조 네트워크객체 NAT 의예 그림 10-4 포트변환고정 NAT Host Undo Translation : Outside Undo Translation : Undo Translation : Inside FTP server SMTP server HTTP server 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT 를선택합니다. 2 단계 FTP 서버를위한포트변환규칙을사용하여고정네트워크객체 NAT 를구성합니다. a. Add( 추가 ) > Network Object NAT Rule( 네트워크개체 NAT 규칙 ) 을선택합니다. b. 새네트워크객체의이름을지정하고 FTP 서버주소를정의한다음고정 NAT 를활성화하고변환된주소를입력합니다

216 네트워크객체 NAT 의예 10 장 NAT 의예및참조 c. Advanced( 고급 ) 를클릭하여실제및매핑된인터페이스와 FTP 용포트변환을구성하여 FTP 포트를자신에매핑합니다. d. OK( 확인 ) 를클릭하고 OK( 확인 ) 를다시클릭하여규칙을저장하고 NAT 페이지로돌아갑니다

217 10 장 NAT 의예및참조 네트워크객체 NAT 의예 3 단계 HTTP 서버를위한포트변환규칙을사용하여고정네트워크객체 NAT 를구성합니다. a. Add( 추가 ) > Network Object NAT Rule( 네트워크개체 NAT 규칙 ) 을선택합니다. b. 새네트워크객체의이름을지정하고 HTTP 서버주소를정의한다음고정 NAT 를활성화하고변환된주소를입력합니다. c. Advanced( 고급 ) 를클릭하여실제및매핑된인터페이스와 HTTP 용포트변환을구성하여 HTTP 포트를자신에매핑합니다. d. OK( 확인 ) 를클릭하고 OK( 확인 ) 를다시클릭하여규칙을저장하고 NAT 페이지로돌아갑니다

218 네트워크객체 NAT 의예 10 장 NAT 의예및참조 4 단계 SMTP 서버를위한포트변환규칙을사용하여고정네트워크객체 NAT 를구성합니다. a. Add( 추가 ) > Network Object NAT Rule( 네트워크개체 NAT 규칙 ) 을선택합니다. b. 새네트워크객체의이름을지정하고 SMTP 서버주소를정의한다음고정 NAT 를활성화하고변환된주소를입력합니다. c. Advanced( 고급 ) 를클릭하여실제및매핑된인터페이스와 SMTP 용포트변환을구성하여 SMTP 포트를자신에매핑합니다. d. OK( 확인 ) 를클릭하여 Edit Network Object 대화상자로돌아가고, OK( 확인 ) 를다시클릭한후 Apply( 적용 ) 를클릭합니다

219 10 장 NAT 의예및참조 Twice NAT 의예 Twice NAT 의예 이섹션에서는다음컨피그레이션예를다룹니다. 대상에따라다른변환 ( 동적 Twice PAT), 10-15페이지 수신주소및포트에따라다른변환 ( 동적 PAT), 10-21페이지 예 : 수신주소가변환되는 Twice NAT, 10-28페이지 대상에따라다른변환 ( 동적 Twice PAT) 다음그림은두개의서로다른서버에액세스하는 /24 네트워크의호스트를보여줍니다. 호스트가 의서버에액세스하면실제주소가 :port 로변환됩니다. 호스트가 의서버에액세스하면실제주소가 :port 로변환됩니다. 그림 10-5 서로다른수신주소로 Twice NAT Server Server / /27 DMZ Translation Translation Inside /24 Packet Dest. Address: Packet Dest. Address: 절차 1단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) 페이지에서 Add( 추가 ) > Add NAT Rule Before Network Object NAT Rules( 네트워크개체 NAT 규칙앞에네트워크규칙추가 ) 를클릭하여내부네트워크의트래픽에대한 NAT 규칙을 DMZ 네트워크 1에추가합니다. NAT 규칙을네트워크객체 NAT 규칙뒤의섹션 3에추가하려면 Add NAT Rule Before Network Object NAT Rules( 네트워크개체 NAT 규칙앞에네트워크규칙추가 ) 를선택합니다. NAT 규칙추가대화상자가나타납니다

220 Twice NAT 의예 10 장 NAT 의예및참조 2 단계소스및대상인터페이스를설정합니다. 3 단계원래소스주소의경우, 원래소스주소찾아보기대화상자에서내부네트워크에대해새네트워크객체를추가하려면찾아보기버튼을클릭합니다. a. Add( 추가 ) > Network Object( 네트워크개체 ) 를선택합니다. b. 내부네트워크주소를정의하고 OK( 확인 ) 를클릭합니다. c. 새네트워크객체를더블클릭하여선택합니다. OK( 확인 ) 를클릭하여 NAT 컨피그레이션으로돌아갑니다

221 10 장 NAT 의예및참조 Twice NAT 의예 4 단계원래대상주소의경우, 원래대상주소찾아보기대화상자에서 DMZ 네트워크 1 에대해새네트워크객체를추가하려면찾아보기버튼을클릭합니다. a. Add( 추가 ) > Network Object( 네트워크개체 ) 를선택합니다. b. DMZ 네트워크 1 주소를정의하고 OK( 확인 ) 를클릭합니다. c. 새네트워크객체를더블클릭하여선택합니다. OK( 확인 ) 를클릭하여 NAT 컨피그레이션으로돌아갑니다. 5 단계 NAT Type 을 Dynamic PAT (Hide) 로설정합니다. 6 단계변환된소스주소의경우, 변환된소스주소찾아보기대화상자에서 PAT 주소에대해새네트워크객체를추가하려면찾아보기버튼을클릭합니다. a. Add( 추가 ) > Network Object( 네트워크개체 ) 를선택합니다. b. PAT 주소를정의하고 OK( 확인 ) 를클릭합니다

222 Twice NAT 의예 10 장 NAT 의예및참조 c. 새네트워크객체를더블클릭하여선택합니다. OK( 확인 ) 를클릭하여 NAT 컨피그레이션으로돌아갑니다. 7단계변환된대상주소의경우원래대상수조 (DMZnetwork1) 의이름을입력하거나찾아보기버튼을클릭하여선택합니다. 대상주소를변환하지않을것이기때문에원래주소및변환된대상주소에대해동일한주소를지정하여대상주소에대한아이덴티티 NAT를구성해야합니다. 8 단계 NAT 테이블에규칙을추가하려면 OK( 확인 ) 를클릭합니다. 9 단계 Add( 추가 ) > Add NAT Rule Before Network Object NAT Rules( 네트워크개체 NAT 규칙앞에네트워크규칙추가 ) 또는 Add NAT Rule After Network Object NAT Rules( 네트워크개체 NAT 규칙뒤에네트워크규칙추가 ) 를클릭하여내부네트워크의트래픽에대한 NAT 규칙을 DMZ 네트워크 2 에추가합니다. 10 단계소스및대상인터페이스를설정합니다. 11 단계원래소스주소의경우내부네트워크객체의이름 (myinsidenetwork) 을입력하거나찾아보기버튼을클릭하여선택합니다

223 10 장 NAT 의예및참조 Twice NAT 의예 12 단계원래대상주소의경우, 원래대상주소찾아보기대화상자에서 DMZ 네트워크 2 에대해새네트워크객체를추가하려면찾아보기버튼을클릭합니다. a. Add( 추가 ) > Network Object( 네트워크개체 ) 를선택합니다. b. DMZ 네트워크 2 주소를정의하고 OK( 확인 ) 를클릭합니다. c. 새네트워크객체를더블클릭하여선택합니다. OK( 확인 ) 를클릭하여 NAT 컨피그레이션으로돌아갑니다. 13 단계 NAT Type 을 Dynamic PAT (Hide) 로설정합니다

224 Twice NAT 의예 10 장 NAT 의예및참조 14 단계변환된소스주소의경우, 변환된소스주소찾아보기대화상자에서 PAT 주소에대해새네트워크객체를추가하려면찾아보기버튼을클릭합니다. a. Add( 추가 ) > Network Object( 네트워크개체 ) 를선택합니다. b. PAT 주소를정의하고 OK( 확인 ) 를클릭합니다. c. 새네트워크객체를더블클릭하여선택합니다. OK( 확인 ) 를클릭하여 NAT 컨피그레이션으로돌아갑니다. 15단계변환된대상주소의경우원래대상주소 (DMZnetwork2) 의이름을입력하거나찾아보기버튼을클릭하여선택합니다. 대상주소를변환하지않을것이기때문에원래주소및변환된대상주소에대해동일한주소를지정하여대상주소에대한아이덴티티 NAT를구성해야합니다. 16 단계 NAT 테이블에규칙을추가하려면 OK( 확인 ) 를클릭합니다. 17 단계 Apply( 적용 ) 를클릭합니다

225 10 장 NAT 의예및참조 Twice NAT 의예 수신주소및포트에따라다른변환 ( 동적 PAT) 다음그림은소스포트와대상포트의사용법을보여줍니다 /24 네트워크의호스트가웹서비스와텔넷서비스를모두제공하는단일호스트에액세스합니다. 호스트가텔넷서비스용서버에액세스하면실제주소가 :port 로변환됩니다. 호스트가동일한웹서비스용서버에액세스하면실제주소가 :port 로변환됩니다. 그림 10-6 서로다른대상포트로 Twice NAT Web and Telnet server: Internet Translation : Translation : Inside /24 Web Packet Dest. Address: : Telnet Packet Dest. Address: :

226 Twice NAT 의예 10 장 NAT 의예및참조 절차 1단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT Rules(NAT 규칙 ) 페이지에서 Add( 추가 ) > Add NAT Rule Before Network Object NAT Rules( 네트워크개체 NAT 규칙앞에네트워크규칙추가 ) 를클릭하여내부네트워크의트래픽에대한 NAT 규칙을텔넷서버에추가합니다. NAT 규칙을네트워크객체 NAT 규칙뒤의섹션 3에추가하려면 Add NAT Rule After Network Object NAT Rules를선택합니다. NAT 규칙추가대화상자가나타납니다. 2 단계소스및대상인터페이스를설정합니다. 3 단계원래소스주소의경우, 원래소스주소찾아보기대화상자에서내부네트워크에대해새네트워크객체를추가하려면찾아보기버튼을클릭합니다. a. Add( 추가 ) > Network Object( 네트워크개체 ) 를선택합니다. b. 내부네트워크주소를정의하고 OK( 확인 ) 를클릭합니다

227 10 장 NAT 의예및참조 Twice NAT 의예 c. 새네트워크객체를더블클릭하여선택합니다. OK( 확인 ) 를클릭하여 NAT 컨피그레이션으로돌아갑니다. 4 단계원래대상주소의경우, 원래대상주소찾아보기대화상자에서 Telnet/Web 서버에대해새네트워크객체를추가하려면찾아보기버튼을클릭합니다. a. Add( 추가 ) > Network Object( 네트워크개체 ) 를선택합니다. b. 서버주소를정의하고 OK( 확인 ) 를클릭합니다. c. 새네트워크객체를더블클릭하여선택합니다. OK( 확인 ) 를클릭하여 NAT 컨피그레이션으로돌아갑니다. 5 단계 Original Service 의경우, Browse Original Service 대화상자에서텔넷에대해새서비스객체를추가하려면찾아보기버튼을클릭합니다. a. Add( 추가 ) > Service Object( 서비스개체 ) 를선택합니다. b. 프로토콜및포트를정의하고 OK( 확인 ) 를클릭합니다

228 Twice NAT 의예 10 장 NAT 의예및참조 c. 새서비스객체를더블클릭하여선택합니다. OK( 확인 ) 를클릭하여 NAT 컨피그레이션으로돌아갑니다. 6 단계 NAT Type 을 Dynamic PAT (Hide) 로설정합니다. 7 단계변환된소스주소의경우, 변환된소스주소찾아보기대화상자에서 PAT 주소에대해새네트워크객체를추가하려면찾아보기버튼을클릭합니다. a. Add( 추가 ) > Network Object( 네트워크개체 ) 를선택합니다. b. PAT 주소를정의하고 OK( 확인 ) 를클릭합니다. c. 새네트워크객체를더블클릭하여선택합니다. OK( 확인 ) 를클릭하여 NAT 컨피그레이션으로돌아갑니다

229 10 장 NAT 의예및참조 Twice NAT 의예 8단계변환된대상주소의경우원래대상주소 (TelnetWebServer) 의이름을입력하거나찾아보기버튼을클릭하여선택합니다. 대상주소를변환하지않을것이기때문에원래주소및변환된대상주소에대해동일한주소를지정하여대상주소에대한아이덴티티 NAT를구성해야합니다. 9 단계 NAT 테이블에규칙을추가하려면 OK( 확인 ) 를클릭합니다. 10 단계 Add( 추가 ) > Add NAT Rule Before Network Object NAT Rules( 네트워크개체 NAT 규칙앞에네트워크규칙추가 ) 또는 Add NAT Rule After Network Object NAT Rules( 네트워크개체 NAT 규칙뒤에네트워크규칙추가 ) 를클릭하여내부네트워크의트래픽에대한 NAT 규칙을웹서버에추가합니다. 11 단계실제및매핑된인터페이스를설정합니다. 12 단계원래소스주소의경우내부네트워크객체의이름 (myinsidenetwork) 을입력하거나찾아보기버튼을클릭하여선택합니다. 13 단계원래대상주소의경우텔넷 / 웹서버네트워크객체의이름 (TelnetWebServer) 을입력하거나찾아보기버튼을클릭하여선택합니다. 14 단계원래서비스의경우, 원래서비스찾아보기대화상자에서 HTTP 에대해새서비스객체를추가하려면찾아보기버튼을클릭합니다. a. Add( 추가 ) > Service Object( 서비스개체 ) 를선택합니다. b. 프로토콜및포트를정의하고 OK( 확인 ) 를클릭합니다

230 Twice NAT 의예 10 장 NAT 의예및참조 c. 새서비스객체를더블클릭하여선택합니다. OK( 확인 ) 를클릭하여 NAT 컨피그레이션으로돌아갑니다. 15 단계 NAT Type 을 Dynamic PAT (Hide) 로설정합니다. 16 단계변환된소스주소의경우, 변환된소스주소찾아보기대화상자에서 PAT 주소에대해새네트워크객체를추가하려면찾아보기버튼을클릭합니다. a. Add( 추가 ) > Network Object( 네트워크개체 ) 를선택합니다. b. PAT 주소를정의하고 OK( 확인 ) 를클릭합니다

231 10 장 NAT 의예및참조 Twice NAT 의예 c. 새네트워크객체를더블클릭하여선택합니다. OK( 확인 ) 를클릭하여 NAT 컨피그레이션으로돌아갑니다. 17단계변환된대상주소의경우원래대상주소 (TelnetWebServer) 의이름을입력하거나찾아보기버튼을클릭하여선택합니다. 대상주소를변환하지않을것이기때문에원래주소및변환된대상주소에대해동일한주소를지정하여대상주소에대한아이덴티티 NAT를구성해야합니다. 18 단계 NAT 테이블에규칙을추가하려면 OK( 확인 ) 를클릭합니다. 19 단계 Apply( 적용 ) 를클릭합니다

232 라우팅된모드및투명모드의 NAT 10 장 NAT 의예및참조 예 : 수신주소가변환되는 Twice NAT 다음그림은매핑된호스트에연결되는원격호스트를보여줍니다. 매핑된호스트는 /27 네트워크에서왕래하는트래픽에대해서만실제주소를변환하는 Twice Static NAT 변환을가지고있습니다 /27 네트워크에대해서는변환이존재하지않으므로변환된호스트를해당네트워크에연결할수없고, 해당네트워크의호스트를변환된호스트에연결할수도없습니다. 그림 10-7 수신주소가변환되는 Twice 고정 NAT / /27 DMZ Undo Translation No Translation Inside / 라우팅된모드및투명모드의 NAT 라우팅된방화벽모드와투명방화벽모드에서모두 NAT 를구성할수있습니다. 이섹션에서는각방화벽모드의일반적인사용법에대해설명합니다. 라우팅된모드의 NAT, 페이지 투명모드의 NAT, 페이지 10-28

233 10 장 NAT 의예및참조 라우팅된모드및투명모드의 NAT 라우팅된모드의 NAT 다음그림은내부에사설네트워크가있는라우팅된모드의일반적인 NAT 예를보여줍니다. 그림 10-8 NAT 예 : 라우팅된모드 Web Server Outside Originating Packet Translation Inside Security Appliance Responding Packet Undo Translation 의내부호스트가웹서버로패킷을전송하면, 패킷의실제소스주소 이매핑된주소 으로변경됩니다. 2. 서버가응답하면해당호스트는응답을매핑된주소 으로전송하며 ASA 에서패킷을수신합니다. 이는 ASA 에서프록시 ARP 를수행하여패킷을신청하기때문입니다. 3. 그런다음 ASA 에서는호스트로전송하기전에, 매핑된주소 에서다시실제주소 로의변환을변경합니다. 투명모드의 NAT 투명모드에서 NAT를사용하면업스트림또는다운스트림라우터가네트워크에대해 NAT를수행할필요가없습니다. 투명모드의 NAT에는다음과같은요구사항과제한이있습니다. 투명방화벽에는인터페이스 IP 주소가없으므로인터페이스 PAT 를사용할수없습니다. ARP 검사는지원되지않습니다. 또한 ASA 의한쪽에있는호스트가어떤이유로든 ASA 의다른쪽에있는호스트로 ARP 요청을전송하고, 시작한호스트의실제주소가동일한서브넷의다른주소로매핑되면, ARP 요청에실제주소가가시적으로남게됩니다. IPv4 및 IPv6 네트워크간변환이지원되지않습니다. 두 IPv6 네트워크간변환또는두 IPv4 네트워크간변환은지원됩니다. 다음그림은내부인터페이스와외부인터페이스의네트워크가동일한투명모드의일반적인 NAT 시나리오를보여줍니다. 이시나리오의투명방화벽은 NAT 서비스를수행하므로업스트림라우터가 NAT를수행할필요가없습니다

234 라우팅된모드및투명모드의 NAT 10 장 NAT 의예및참조 그림 10-9 NAT 예 : 투명모드 Internet Source Addr Translation Static route on router: /27 to Static route on ASA: /24 to Management IP ASA Source Addr Translation Network 의내부호스트가웹서버로패킷을전송하면, 패킷의실제소스주소 가매핑된주소 로변경됩니다. 2. 서버가응답하며매핑된주소 로응답을전송하면, ASA 에서패킷을수신합니다. 업스트림라우터는 ASA 관리 IP 주소로연결되는고정경로에이매핑된주소를포함하기때문입니다. 필수경로에대한자세한내용은매핑된주소및라우팅, 페이지를참조하십시오. 3. 그런다음 ASA 에서는매핑된주소 에서다시실제주소 로의변환을취소합니다. 실제주소는직접연결되어있으므로 ASA 는호스트로주소를직접전송합니다. 4. 호스트 에서도반환트래픽을제외하고는동일한프로세스가발생합니다. ASA 는라우팅테이블에서경로를조회하고, /24 에대한 ASA 고정경로를기반으로 의다운스트림라우터로패킷을전송합니다. 필수경로에대한자세한내용은원격네트워크에대한투명모드라우팅요구사항, 페이지를참조하십시오

235 10 장 NAT 의예및참조 NAT 패킷라우팅 NAT 패킷라우팅 ASA 는매핑된주소로전송된모든패킷의수신지가되어야합니다. ASA 는또한매핑된주소로가야할수신패킷에대한이그레스인터페이스를결정해야합니다. 이섹션에서는 ASA 가 NAT 를이용해패킷을수락하고전달하는방법에대해설명합니다. 매핑된주소및라우팅, 페이지 원격네트워크에대한투명모드라우팅요구사항, 페이지 이그레스 (Egress) 인터페이스결정, 페이지 매핑된주소및라우팅 실제주소를매핑된주소로변환할때, 사용자가선택하는매핑된주소가매핑된주소용라우팅 ( 필요한경우 ) 을구성하는방법을결정합니다. 매핑된 IP 주소에대한추가지침은 NAT 추가지침, 9-8페이지를참조하십시오. 다음항목에서는매핑된주소유형에대해설명합니다. 매핑된인터페이스와동일한네트워크의주소, 페이지 고유한네트워크의주소, 페이지 실제주소와동일한주소 ( 아이덴티티 NAT), 페이지 매핑된인터페이스와동일한네트워크의주소 매핑된인터페이스와동일한네트워크의주소를사용하는경우 ASA 는매핑된주소에대한 ARP 요청에답하기위해프록시 ARP 를사용하며, 이에따라매핑된주소로가야하는트래픽을가로챕니다. ASA 가추가네트워크에대한게이트웨이가될필요가없으므로이솔루션은라우팅을간소화합니다. 이솔루션은외부네트워크에적절한수의여유주소가있는경우이상적이며, 동적 NAT 또는고정 NAT 등 1:1 변환을사용하는경우고려해볼수있습니다. 동적 PAT 는소수의주소로사용가능한변환의수를크게확장합니다. 따라서외부네트워크에사용가능한주소가적어도이방법을사용할수있습니다. PAT 의경우매핑된인터페이스의 IP 주소를사용할수도있습니다. 참고 매핑된인터페이스를임의의 (any) 인터페이스로구성하고동일한네트워크의매핑된주소를매핑된인터페이스중하나로서지정하면, 해당매핑된주소에대한 ARP 요청이다른인터페이스에서오는경우인그레스 (ingress) 인터페이스에서해당네트워크에대한 ARP 항목을수동으로구성하여 MAC 주소를지정해야합니다 (Configuration( 컨피그레이션 ) > Device Management( 디바이스관리 ) > Advanced( 고급 ) > ARP > ARP Static Table(ARP 고정표 )). 일반적으로매핑된인터페이스에대해임의의인터페이스를지정하면매핑된주소에대해고유한네트워크를사용하게되므로이러한상황이발생하지않습니다. 고유한네트워크의주소 매핑된인터페이스네트워크에서사용할수있는것보다더많은주소가필요한경우별도의서브넷에서주소를지정할수있습니다. 업스트림라우터에는 ASA 를가리키는, 매핑된주소에대한고정경로가필요합니다. 라우팅된모드에대한대안으로, 수신네트워크의 IP 주소를게이트웨이로사용하여 ASA 에서매핑된주소에대해고정경로를구성한다음라우팅프로토콜을사용하여경로를재배포할수있습니다. 예를들어내부네트워크 ( /24) 에대해 NAT 를사용하고매핑된 IP 주소 를사용하는경우, 재배포가능한다음의고정경로를구성할수있습니다

236 NAT 패킷라우팅 10 장 NAT 의예및참조 route inside 투명모드에서실제호스트가직접연결된경우 8.3 에서는업스트림라우터의고정경로가 ASA 를가리키도록구성하고글로벌관리 IP 주소를지정하며, 8.4(1) 이상에서는브리지그룹 IP 주소를지정합니다. 업스트림라우터의고정경로, 투명모드의원격호스트에대해서는다운스트림라우터 IP 주소를대신지정할수있습니다. 실제주소와동일한주소 ( 아이덴티티 NAT) (8.3(1), 8.3(2) 및 8.4(1)) 아이덴티티 NAT의기본동작은프록시 ARP를비활성화하는것입니다. 이설정은구성할수없습니다. (8.4(2) 이상 ) 아이덴티티 NAT의기본동작은프록시 ARP를활성화하고기타고정 NAT 규칙을확인하는것입니다. 원하는경우프록시 ARP를비활성화할수있습니다. 원하는경우정기적인고정 NAT에대해프록시 ARP를비활성화할수도있습니다. 이경우업스트림라우터에적절한경로가있어야합니다. 일반적으로아이덴티티 NAT에는프록시 ARP가필요하지않으며, 프록시 ARP를사용할경우연결문제가발생할수도있습니다. 예를들어 "any" IP 주소에대해광범위한아이덴티티 NAT 규칙을구성하고프록시 ARP를활성상태로유지하면매핑된인터페이스에직접연결된네트워크에서호스트문제가발생할수있습니다. 이경우매핑된네트워크의호스트가동일한네트워크의다른호스트와통신하려면 ARP 요청의주소가 NAT 규칙과일치해야합니다 ("any" 주소와일치 ). 패킷이실제로 ASA로이동하도록지정되지않아도 ASA에서는주소에대해프록시 ARP를수행합니다. 이문제는 Twice NAT 규칙이있는경우에도발생합니다. NAT 규칙이소스주소및대상주소와모두일치해야하지만프록시 ARP 결정은 " 소스 " 주소에대해서만내려집니다. 실제호스트 ARP 응답이전에 ASA ARP 응답이수신되면트래픽이실수로 ASA로전송됩니다 ( 다음그림참조 ). 그림 아이덴티티 NAT 의프록시 ARP 문제 ARP Response 3 Inside Outside Too late Identity NAT for any with Proxy ARP ARP for Proxy ARP for Traffic incorrectly sent to ASA. 4 드문경우이지만아이덴티티 NAT 에프록시 ARP 가필요할수있습니다 ( 예 : 가상텔넷 ). 네트워크액세스에 AAA 를사용하는경우호스트는다른트래픽이통과하기전에텔넷과같은서비스를사용하여 ASA 의인증을받아야합니다. ASA 에서가상텔넷서버를구성하여필요한로그인을제공할수있습니다. 외부에서가상텔넷주소에액세스할경우특히프록시 ARP 기능에는주소에대해아이덴티티 NAT 규칙을구성해야합니다. 가상텔넷에대한내부프로세스때문에프록시 ARP 에서는 ASA 가가상텔넷주소로이동할트래픽을 NAT 규칙에따라소스인터페이스로내보내기보다는유지하도록합니다 ( 다음그림참조 )

237 10 장 NAT 의예및참조 NAT 패킷라우팅 그림 프록시 ARP 및가상텔넷 Virtual Telnet: Server Inside Identity NAT for between inside and outside with Proxy ARP Outside Telnet to Authenticate. 1 2 Communicate with server. 3 원격네트워크에대한투명모드라우팅요구사항 투명모드에서 NAT 를사용할경우몇가지트래픽유형에는고정경로가필요합니다. 자세한내용은일반적인작업컨피그레이션가이드를참조하십시오. 이그레스 (Egress) 인터페이스결정 ASA 에매핑된주소에대한트래픽이도착하면 ASA 에서는 NAT 규칙에따라대상주소를변환하지않고, 패킷을실제주소로전송합니다. ASA 에서는다음과같은방법으로패킷에대한이그레스인터페이스를결정합니다. 투명모드 - ASA 에서는 NAT 규칙을사용하여실제주소에대한이그레스인터페이스를결정합니다. 사용자는 NAT 규칙의일부로서소스및대상인터페이스를지정해야합니다. 라우팅된모드 - ASA 에서는다음과같은방법중하나로이그레스인터페이스를결정합니다. 사용자가 NAT 규칙에서인터페이스컨피그레이션 - ASA 에서는 NAT 규칙을사용하여이그레스인터페이스를결정합니다. (8.3(1)~8.4(1)) 유일한예외는 NAT 컨피그레이션과상관없이항상경로조회를사용하는아이덴티티 NAT 에대한것입니다. (8.4(2) 이상 ) 아이덴티티 NAT 의경우기본동작은 NAT 컨피그레이션을사용하는것입니다. 그러나항상경로조회를대신사용할수있는옵션이제공됩니다. 특정시나리오에서는경로조회재지정이필요합니다. 예를보려면 NAT 및 VPN 관리액세스, 페이지를참조하십시오. 사용자가 NAT 규칙에서인터페이스를구성하지않음 - ASA에서는경로조회를사용하여이그레스인터페이스를결정합니다. 다음그림은라우팅된모드에서이그레스인터페이스를선택하는방법을보여줍니다. 대부분의경우경로조회는 NAT 규칙인터페이스와같지만, 일부컨피그레이션에서는두방법이다를수있습니다

238 VPN 용 NAT 10 장 NAT 의예및참조 그림 라우팅된모드이그레스인터페이스선택 Real: Mapped: Eng Packet Dest Inside Send packet out Inside interface. Outside to Untranslation Yes Where to send ? NAT rule specifies interface? No No NAT rule specifies route lookup? Yes Look up in routing table VPN 용 NAT 다음항목에서는다양한유형의 VPN과함께 NAT를사용하는방법에대해설명합니다. NAT 및원격액세스 VPN, 10-34페이지 NAT 및 Site-to-Site VPN, 10-36페이지 NAT 및 VPN 관리액세스, 10-38페이지 NAT 및 VPN 문제해결, 10-40페이지 NAT 및원격액세스 VPN 다음그림은인터넷에액세스하는내부서버 ( ) 및 VPN 클라이언트 ( ) 를보여줍니다. VPN 클라이언트에대해분할터널링 ( 지정된트래픽만 VPN 터널통과 ) 을구성하지않으면인터넷바인딩 VPN 트래픽도 ASA 를통과해야합니다. VPN 트래픽이 ASA 에들어가면 ASA 에서는패킷을암호해독합니다. 해독된패킷에는 VPN 클라이언트로컬주소 ( ) 가소스로서포함되어있습니다. 인터넷에액세스하려면내부및 VPN 클라이언트로컬네트워크모두에대해 NAT 에서제공하는공용 IP 주소가필요합니다. 아래의예에서는인터페이스 PAT 규칙을사용합니다. VPN 트래픽이들어간곳과동일한인터페이스에서나오도록하려면내부인터페이스통신 (" 헤어핀 (hairpin)" 네트워킹이라고도함 ) 을활성화해야합니다

239 10 장 NAT 의예및참조 VPN 용 NAT 그림 인터넷바인딩 VPN 트래픽을위한인터페이스 PAT( 내부인터페이스 ) 2. ASA decrypts packet; src address is now local address HTTP request to Src: ASA Outside IP: VPN Client Inside Internet Src: : :6070 Src: ASA performs interface PAT for outgoing traffic. Intra-interface config req d. A. HTTP to Src: : :6075 B. ASA performs interface PAT for outgoing traffic. C. HTTP request to 4. HTTP request to 다음그림은내부메일서버에액세스하려는 VPN 클라이언트를보여줍니다. ASA 는내부네트워크와외부네트워크간트래픽이인터넷액세스에대해설정한인터페이스 PAT 규칙과일치할것을기대하므로, VPN 클라이언트 ( ) 에서 SMTP 서버 ( ) 로의트래픽이역방향경로실패로인해삭제됩니다 에서 으로의트래픽은 NAT 규칙과일치하지않지만, 에서 으로의반환트래픽은나가는트래픽에대해인터페이스 PAT 규칙과반드시일치해야합니다. 정방향및역방향흐름이일치하지않으므로 ASA 는수신하는패킷을삭제합니다. 이실패를피하려면이러한네트워크간에아이덴티티 NAT 규칙을사용하여인터페이스 PAT 규칙에서내부 -VPN 클라이언트트래픽을제외해야합니다. 아이덴티티 NAT 는단순히주소를동일한주소로변환합니다

240 VPN 용 NAT 10 장 NAT 의예및참조 그림 VPN 클라이언트를위한아이덴티티 NAT 2. ASA decrypts packet; src address is now local address Identity NAT between inside and VPN Client NWs Src: Dst: SMTP request to SMTP request to Src: Src: Dst: SMTP response to VPN Client Inside Src: Dst: Identity NAT Internet Dst: SMTP response to VPN Client ASA encrypts packet; dst address is now real address VPN Client 위네트워크에대한다음의샘플 NAT 컨피그레이션을참조하십시오.! Enable hairpin for non-split-tunneled VPN client traffic: same-security-traffic permit intra-interface! Identify local VPN network, & perform object interface PAT when going to Internet: object network vpn_local subnet nat (outside,outside) dynamic interface! Identify inside network, & perform object interface PAT when going to Internet: object network inside_nw subnet nat (inside,outside) dynamic interface! Use twice NAT to pass traffic between the inside network and the VPN client without! address translation (identity NAT): nat (inside,outside) source static inside_nw inside_nw destination static vpn_local vpn_local NAT 및 Site-to-Site VPN 다음그림은볼더사무실과산호세사무실을연결하는 Site-to-Site 터널을보여줍니다. 인터넷으로이동할트래픽 ( 예 : 볼더의 에서 으로 ) 의경우인터넷액세스를위해 NAT 에서제공하는공용 IP 주소가필요합니다. 아래의예에서는인터페이스 PAT 규칙을사용합니다. 그러나 VPN 터널을지나갈트래픽 ( 예 : 볼더의 에서산호세의 로 ) 에대해서는 NAT 를수행하지않으려고합니다. 그렇게하려면아이덴티티 NAT 규칙을만들어해당트래픽을제외해야합니다. 아이덴티티 NAT 는단순히주소를동일한주소로변환합니다

241 10 장 NAT 의예및참조 VPN 용 NAT 그림 Site-to-Site VPN 을위한인터페이스 PAT 및아이덴티티 NAT 1. IM to Src: Identity NAT between NWs connected by VPN Src: Dst: ASA Outside IP: IM received Src: Internet Inside Inside San Jose Boulder Site-to-Site VPN Tunnel ASA1 ASA :6070 Src: B. ASA performs interface PAT for A. HTTP to outgoing traffic. Src: : C. HTTP request to 다음그림은 ASA1( 볼더 ) 과 ASA2( 산호세 ) 간 Site-to-Site 터널을통해액세스할수있는서버 ( ) 에대한텔넷요청과함께 ASA1 에연결된 VPN 클라이언트를보여줍니다. 이것은헤어핀연결이므로내부인터페이스통신을활성화해야합니다. 이기능은 VPN 클라이언트에서오는분할터널링되지않은인터넷바인딩트래픽에도필요합니다. 이트래픽을아웃바운드 NAT 규칙에서제외하기위해 VPN 으로연결된모든네트워크간에하는것처럼, VPN 클라이언트와볼더및산호세네트워크간에도아이덴티티 NAT 를구성해야합니다. 그림 Site-to-Site VPN 에대한 VPN 클라이언트액세스 2. ASA decrypts packet; src address is now local address HTTP request to Src: VPN Client Internet Inside Inside Boulder San Jose Site-to-Site VPN Tunnel ASA1 ASA Src: Dst: Identity NAT between VPN Client & San Jose NWs; intra-interface config req d Src: HTTP request received ASA1(Boulder) 에대한다음의샘플 NAT 컨피그레이션을참조하십시오.! Enable hairpin for VPN client traffic: same-security-traffic permit intra-interface! Identify local VPN network, & perform object interface PAT when going to Internet: 10-37

242 VPN 용 NAT 10 장 NAT 의예및참조 object network vpn_local subnet nat (outside,outside) dynamic interface! Identify inside Boulder network, & perform object interface PAT when going to Internet: object network boulder_inside subnet nat (inside,outside) dynamic interface! Identify inside San Jose network for use in twice NAT rule: object network sanjose_inside subnet ! Use twice NAT to pass traffic between the Boulder network and the VPN client without! address translation (identity NAT): nat (inside,outside) source static boulder_inside boulder_inside destination static vpn_local vpn_local! Use twice NAT to pass traffic between the Boulder network and San Jose without! address translation (identity NAT): nat (inside,outside) source static boulder_inside boulder_inside destination static sanjose_inside sanjose_inside! Use twice NAT to pass traffic between the VPN client and San Jose without! address translation (identity NAT): nat (outside,outside) source static vpn_local vpn_local destination static sanjose_inside sanjose_inside ASA2(San Jose) 에대한다음의샘플 NAT 컨피그레이션을참조하십시오.! Identify inside San Jose network, & perform object interface PAT when going to Internet: object network sanjose_inside subnet nat (inside,outside) dynamic interface! Identify inside Boulder network for use in twice NAT rule: object network boulder_inside subnet ! Identify local VPN network for use in twice NAT rule: object network vpn_local subnet ! Use twice NAT to pass traffic between the San Jose network and Boulder without! address translation (identity NAT): nat (inside,outside) source static sanjose_inside sanjose_inside destination static boulder_inside boulder_inside! Use twice NAT to pass traffic between the San Jose network and the VPN client without! address translation (identity NAT): nat (inside,outside) source static sanjose_inside sanjose_inside destination static vpn_local vpn_local NAT 및 VPN 관리액세스 VPN 사용시 ASA 에들어간인터페이스이외의인터페이스에대해관리액세스를허용할수있습니다예를들어, 외부인터페이스에서 ASA 에들어간경우 management-access 기능을사용하면 ASDM, SSH, 텔넷또는 SNMP 를사용하여내부인터페이스에연결할수있습니다. 또는내부인터페이스에 ping 할수있습니다

243 10 장 NAT 의예및참조 VPN 용 NAT 다음그림은 ASA 내부인터페이스에대한 VPN 클라이언트텔넷연결을보여줍니다. management-access 인터페이스를사용하며 NAT 및원격액세스 VPN, 페이지또는 NAT 및 Site-to-Site VPN, 페이지에따라아이덴티티 NAT 를구성하는경우경로조회옵션과함께 NAT 를구성해야합니다. 경로조회가없으면 ASA 에서는라우팅테이블의내용과상관없이 NAT 명령으로지정한인터페이스외부로트래픽을전송합니다. 아래의예에서이그레스인터페이스는내부인터페이스입니다. 여기에서는 ASA 에서관리트래픽을내부네트워크로전송하지않도록지정하려고합니다. 트래픽은내부인터페이스 IP 주소로반환되지않습니다. 경로조회옵션을사용하면 ASA 는트래픽을내부네트워크가아니라내부인터페이스 IP 주소로직접전송합니다. VPN 클라이언트에서내부네트워크의호스트로이동하는트래픽의경우경로조회옵션을사용해도여전히올바른이그레스인터페이스 ( 내부 ) 로이동하므로, 정상적인트래픽흐름에는영향이미치지않습니다. 경로조회옵션에대한자세한내용은이그레스 (Egress) 인터페이스결정, 페이지를참조하십시오. 그림 VPN 관리액세스 2. ASA decrypts packet; src address is now local address Identity NAT between inside & VPN client NWs; route-lookup req d Src: Dst: ASA Inside IP: Inside Dst: Telnet response to VPN Client Telnet request to Src: Src: Dst: Identity NAT Internet Telnet request to ASA inside ifc; management-access config req d Src: Dst: Telnet response to VPN Client VPN Client Dst: ASA encrypts packet; dst address is now real address 위네트워크에대한다음의샘플 NAT 컨피그레이션을참조하십시오.! Enable hairpin for non-split-tunneled VPN client traffic: same-security-traffic permit intra-interface! Enable management access on inside ifc: management-access inside! Identify local VPN network, & perform object interface PAT when going to Internet: object network vpn_local subnet nat (outside,outside) dynamic interface! Identify inside network, & perform object interface PAT when going to Internet: object network inside_nw subnet

244 DNS 및 NAT 10 장 NAT 의예및참조 nat (inside,outside) dynamic interface! Use twice NAT to pass traffic between the inside network and the VPN client without! address translation (identity NAT), w/route-lookup: nat (outside,inside) source static vpn_local vpn_local destination static inside_nw inside_nw route-lookup NAT 및 VPN 문제해결 VPN과관련된 NAT 문제를해결하기위한다음의모니터링도구를참조하십시오. 패킷추적기 - 올바르게사용하면패킷추적기는패킷에사용된 NAT 규칙을표시합니다. show nat detail - 특정 NAT 규칙의사용횟수및변환되지않은트래픽을표시합니다. show conn all - box 트래픽왕복을비롯한활성연결을볼수있습니다. 비작업컨피그레이션과작업컨피그레이션비교에익숙해지려면다음단계를수행합니다. 1. 아이덴티티 NAT 없이 VPN을구성합니다. 2. show nat detail 및 show conn all을입력합니다. 3. 아이덴티티 NAT 컨피그레이션을추가합니다. 4. show nat detail 및 show conn all을반복합니다. DNS 및 NAT 회신의주소를 NAT 컨피그레이션과일치하는주소로교체하여 DNS 회신을수정하도록 ASA를구성해야할수있습니다. 각변환규칙을구성할때 DNS 수정을구성할수있습니다. 이기능은 NAT 규칙과일치하는 DNS 쿼리및회신의주소를재작성합니다 ( 예 : IPv4의 A 레코드, IPv6의 AAAA 레코드또는역방향 DNS 쿼리의 PTR 레코드 ). 매핑된인터페이스에서다른임의의인터페이스로이동하는 DNS 회신의경우매핑된값에서실제값으로레코드가재작성됩니다. 반대로, 임의의인터페이스에서매핑된인터페이스로이동하는 DNS 회신의경우실제값에서매핑된값으로레코드가재작성됩니다. 다음은 DNS 재작성의몇가지제한사항입니다. 각 A 레코드에여러 PAT 규칙을적용할수있으며사용할 PAT 규칙이애매하므로 DNS 재작성은 PAT 에적용되지않습니다. Twice NAT 규칙을구성할때소스주소와대상주소를모두지정하는경우에는 DNS 수정을구성할수없습니다. A 와 B 를비교하여전송하는경우이러한종류의규칙에는잠재적으로단일주소에다른변환이있을수있습니다. 따라서 ASA 는 DNS 회신내부의 IP 주소를올바른 Twice NAT 규칙에대해정확하게확인할수없습니다. DNS 회신에는 DNS 요청을표시한패킷에어떤소스 (source)/ 수신 (destination) 주소조합이있었는지에대한정보가포함되어있지않습니다. DNS 재작성기능을이용하려면이기능이기본적으로켜져있는 DNS 애플리케이션검사를활성화해야합니다. 자세한내용은 DNS 검사, 13-1 페이지를참조하십시오. DNS 재작성은실제로 NAT 규칙이아니라 xlate 항목에서수행됩니다. 따라서동적규칙에대한 xlate가없으면재작성을정확히수행할수없습니다. 고정 NAT에대해서는동일한문제가발생하지않습니다. 다음항목에서는 DNS 재작성의예를제공합니다. DNS 회신수정, 외부의 DNS 서버, 페이지 DNS 회신수정, DNS 서버, 호스트, 별도의네트워크에있는서버, 페이지 10-40

245 10 장 NAT 의예및참조 DNS 및 NAT DNS 회신수정, 호스트네트워크의 DNS 서버, 페이지 외부 NAT 를사용한 DNS64 회신수정, 페이지 PTR 수정, 호스트네트워크의 DNS 서버, 페이지 DNS 회신수정, 외부의 DNS 서버 다음그림은인터페이스외부에서액세스할수있는 DNS 서버를보여줍니다. ftp.cisco.com 서버는내부인터페이스에있습니다. ftp.cisco.com 실제주소 ( ) 를외부네트워크에서보이는매핑된주소 ( ) 로고정으로변환하도록 ASA를구성하십시오. 이경우, 실제주소를사용하여 ftp.cisco.com 에액세스할수있는내부사용자가 DNS 서버에서실제주소 ( 매핑된주소가아님 ) 를받을수있도록고정규칙에대한 DNS 회신수정을활성화할수있습니다. 내부호스트가 ftp.cisco.com 주소에 DNS 요청을전송하면, DNS 서버는매핑된주소 ( ) 로회신합니다. ASA는내부서버에대한고정규칙을참조하여 DNS 회신에있는주소를 로변환합니다. DNS 회신수정을활성화하지않으면내부호스트는 ftp.cisco.com 에직접액세스하는대신트래픽을 으로전송하려고시도하게됩니다. 그림 DNS 회신수정, 외부의 DNS 서버 DNS Server 2 1 DNS Query ftp.cisco.com? Outside 3 DNS Reply Security Appliance DNS Reply Modification DNS Reply Inside 5 User ftp.cisco.com Static Translation on Outside to: FTP Request

246 DNS 및 NAT 10 장 NAT 의예및참조 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT 를선택합니다. 2 단계 Add( 추가 ) > Network Object NAT Rule( 네트워크개체 NAT 규칙 ) 을선택합니다. 3 단계새네트워크객체의이름을지정하고 FTP 서버주소를정의한다음고정 NAT 를활성화하고변환된주소를입력합니다. 4 단계 Advanced( 고급 ) 를클릭하고실제및매핑된인터페이스와 DNS 수정을구성합니다. 5 단계 OK( 확인 ) 를클릭하여 Edit Network Object 대화상자로돌아가고, OK( 확인 ) 를다시클릭한후 Apply( 적용 ) 를클릭합니다

247 10 장 NAT 의예및참조 DNS 및 NAT DNS 회신수정, DNS 서버, 호스트, 별도의네트워크에있는서버 다음그림은외부 DNS 서버에서 DMZ 네트워크에있는 ftp.cisco.com에대한 IP 주소를요청하는네트워크내부의사용자를보여줍니다. 사용자가 DMZ 네트워크에있지않더라도 DNS 서버는외부와 DMZ 간고정규칙에따라, 매핑된주소 ( ) 로응답합니다. ASA에서는 DNS 회신내부의주소를 로변환합니다. 사용자가실제주소를사용해 ftp.cisco.com에액세스해야하는경우에는추가컨피그레이션이필요하지않습니다. 내부및 DMZ 간에도고정규칙이있으면이규칙에대한 DNS 회신수정도활성화해야합니다. 그러면 DNS 회신이두번수정됩니다. 이경우 ASA에서는내부와 DMZ 간고정규칙에따라 DNS 회신내부의주소를 으로다시변환합니다. 그림 DNS 회신수정, DNS 서버, 호스트, 별도의네트워크에있는서버 DNS Server 3 2 DNS Reply Modification DNS Reply DNS Reply Modification DNS Query ftp.cisco.com? Outside Inside ASA Static Translation 1 on Outside to: Static Translation 2 on Inside to: ftp.cisco.com DMZ Translation DNS Reply FTP Request User

248 DNS 및 NAT 10 장 NAT 의예및참조 DNS 회신수정, 호스트네트워크의 DNS 서버 다음그림은외부의 FTP 서버및 DNS 서버를보여줍니다. ASA 는외부서버에대해고정변환을수행합니다. 이경우내부사용자가 DNS 서버에서 ftp.cisco.com 에대한주소를요청하면 DNS 서버는실제주소인 으로응답합니다. 내부사용자가 ftp.cisco.com( ) 에대한매핑된주소를사용하도록하려면고정변환에대해 DNS 회신수정을구성해야합니다. 그림 DNS 회신수정, 호스트네트워크의 DNS 서버 ftp.cisco.com Static Translation on Inside to: DNS Server DNS Reply DNS Reply Modification DNS Query ftp.cisco.com? DNS Reply Security Appliance Outside Inside User FTP Request Dest Addr. Translation FTP Request

249 10 장 NAT 의예및참조 DNS 및 NAT 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT 를선택합니다. 2 단계 Add( 추가 ) > Network Object NAT Rule( 네트워크개체 NAT 규칙 ) 을선택합니다. 3 단계새네트워크객체의이름을지정하고 FTP 서버주소를정의한다음고정 NAT 를활성화하고변환된주소를입력합니다. 4 단계 Advanced( 고급 ) 를클릭하고실제및매핑된인터페이스와 DNS 수정을구성합니다. 5 단계 OK( 확인 ) 를클릭하여 Edit Network Object 대화상자로돌아가고, OK( 확인 ) 를다시클릭한후 Apply( 적용 ) 를클릭합니다

250 DNS 및 NAT 10 장 NAT 의예및참조 외부 NAT 를사용한 DNS64 회신수정 다음그림은외부 IPv4 네트워크의 FTP 서버및 DNS 서버를보여줍니다. ASA는외부서버에대해고정변환을수행합니다. 이경우내부 IPv6 사용자가 DNS 서버에서 ftp.cisco.com 에대한주소를요청하면 DNS 서버는실제주소인 로응답합니다. 내부사용자가 ftp.cisco.com (2001:DB8::D1A5:C8E1) 에대한매핑된주소를사용하도록하려면고정변환에대해 DNS 회신수정을구성해야합니다. 이예에는 DNS 서버용고정 NAT 변환및내부 IPv6 호스트용 PAT 규칙도포함되어있습니다. 그림 외부 NAT 를사용한 DNS64 회신수정 DNS Server Static Translation on Inside to: 2001:DB8::D1A5:C90F ftp.cisco.com Static Translation on Inside to: 2001:DB8::D1A5:C8E DNS Reply DNS Reply Modification :DB8::D1A5:C8E1 4 1 DNS Query ftp.cisco.com? DNS Reply 2001:DB8::D1A5:C8E1 ASA IPv4 Internet IPv6 Net FTP Request Dest Addr. Translation 2001:DB8::D1A5:C8E FTP Request 2001:DB8::D1A5:C8E1 User: 2001:DB8::1 PAT Translation on Outside to: 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > NAT 를선택합니다. 2 단계 FTP 서버에대해 DNS 수정으로고정네트워크객체 NAT 를구성합니다. a. Add( 추가 ) > Network Object NAT Rule( 네트워크개체 NAT 규칙 ) 을선택합니다. b. 새네트워크객체의이름을지정하고 FTP 서버주소를정의한다음고정 NAT 를활성화하고변환된주소를입력합니다. NAT46 의경우일대일변환이므로 Use one-to-one address translation( 일대일주소변환사용 ) 을선택합니다

251 10 장 NAT 의예및참조 DNS 및 NAT c. Advanced( 고급 ) 를클릭하여실제및매핑된인터페이스와 DNS 수정을구성합니다. d. OK( 확인 ) 를클릭하여 Network Object( 네트워크개체 ) 대화상자로돌아간다음 OK( 확인 ) 를다시클릭하여규칙을저장합니다

252 DNS 및 NAT 10 장 NAT 의예및참조 3 단계 DNS 서버에대해고정네트워크객체 NAT 를구성합니다. a. Add( 추가 ) > Network Object NAT Rule( 네트워크개체 NAT 규칙 ) 을선택합니다. b. 새네트워크객체의이름을지정하고 DNS 서버주소를정의한다음고정 NAT 를활성화하고변환된주소를입력합니다. NAT46 의경우일대일변환이므로 Use one-to-one address translation( 일대일주소변환사용 ) 을선택합니다. c. Advanced( 고급 ) 를클릭하여실제및매핑된인터페이스를구성합니다. d. OK( 확인 ) 를클릭하여 Network Object( 네트워크개체 ) 대화상자로돌아간다음 OK( 확인 ) 를다시클릭하여규칙을저장합니다

253 10 장 NAT 의예및참조 DNS 및 NAT 4 단계내부 IPv6 네트워크용 PAT 를구성합니다. a. Add( 추가 ) > Network Object NAT Rule( 네트워크개체 NAT 규칙 ) 을선택합니다. b. 새네트워크개체의이름을지정하고 IPv6 네트워크주소를정의한다음 Dynamic( 동적 ) NAT 를선택합니다. c. PAT Pool Translated Address(PAT 풀변환된주소 ) 를선택하고... 을클릭합니다. PAT 풀객체를만드는 ( 찾아보기 ) 버튼입니다. d. Browse PAT Pool Translated Address(PAT 풀변환된주소찾아보기 ) 대화상자에서 Add( 추가 ) > Network Object( 네트워크개체 ) 를선택합니다. 새객체이름을지정하고 PAT 풀의주소범위를입력한다음 OK( 확인 ) 를클릭합니다. e. Browse PAT Pool Translated Address(PAT 풀변환된주소찾아보기 ) 대화상자에서만든 PAT 풀개체를두번클릭하여선택한다음 OK( 확인 ) 를클릭합니다. f. Advanced( 고급 ) 를클릭하여실제및매핑된인터페이스를구성합니다

254 DNS 및 NAT 10 장 NAT 의예및참조 g. OK( 확인 ) 를클릭하여 Network Object( 네트워크개체 ) 대화상자로돌아갑니다. 5 단계 OK( 확인 ) 를클릭하고 Apply( 적용 ) 를클릭합니다

255 10 장 NAT 의예및참조 DNS 및 NAT PTR 수정, 호스트네트워크의 DNS 서버 다음그림은외부의 FTP 서버및 DNS 서버를보여줍니다. ASA 는외부서버에대해고정변환을수행합니다. 이경우내부사용자가 에대해역방향 DNS 조회를수행하면 ASA 는역방향 DNS 쿼리를실제주소로수정하며, DNS 서버는서버이름인 ftp.cisco.com 으로응답합니다. 그림 PTR 수정, 호스트네트워크의 DNS 서버 ftp.cisco.com Static Translation on Inside to: DNS Server 3 4 PTR Record ftp.cisco.com Outside 2 Reverse DNS Query ASA Reverse DNS Query Modification Inside Reverse DNS Query ? User

256 DNS 및 NAT 10 장 NAT 의예및참조 10-52

257 파트 3 서비스정책및애플리케이션검사

258

259 11 장 Modular Policy Framework 를사용하는서비스정책 Modular Policy Framework 를사용하는서비스정책은 ASA 기능을구성하기위한일관되고유연한방법을제공합니다. 예를들어모든 TCP 애플리케이션에적용되는것과반대로, 특정 TCP 애플리케이션과관련된시간제한컨피그레이션을만드는서비스정책을사용할수있습니다. 서비스정책은인터페이스에적용되거나전역적으로적용되는여러작업또는규칙으로구성됩니다. 서비스정책정보, 11-1 페이지 서비스정책지침, 11-7 페이지 서비스정책기본값, 11-8 페이지 서비스정책컨피그레이션, 11-9 페이지 서비스정책의기록, 페이지 서비스정책정보 다음항목에서는서비스정책의작동방식에대해설명합니다. 서비스정책의컨피그레이션요소, 11-1페이지 서비스정책으로구성된기능, 11-3페이지 기능방향성, 11-4페이지 서비스정책내에서의기능일치, 11-5페이지 여러기능작업이적용되는순서, 11-5페이지 특정기능작업의비호환성, 11-6페이지 여러서비스정책의기능일치, 11-6페이지 서비스정책의컨피그레이션요소 서비스정책의요점은허용트래픽에고급서비스를적용하는것입니다. 액세스규칙에서허용하는트래픽에는서비스정책을적용할수있습니다. 이에따라이러한트래픽은서비스모듈로리디렉션되거나애플리케이션검사를받는등특수한처리를거치게됩니다. 다음유형의서비스정책을사용할수있습니다. 모든인터페이스에적용되는하나의글로벌정책. 11-1

260 서비스정책정보 11 장 Modular Policy Framework 를사용하는서비스정책 인터페이스당적용되는하나의서비스정책. 이정책에서는디바이스를통과한트래픽및 ASA 인터페이스에서전달된 ( 통과되기보다는 ) 관리트래픽에대한클래스를혼합할수있습니다. 각서비스정책은다음요소로구성됩니다. 1. 서비스정책맵 - 순서가지정된규칙의집합으로, service-policy 명령을통해이름을지정합니다. ASDM 에서는정책맵이서비스정책규칙페이지에폴더로서표시됩니다. 2. 규칙 - 각규칙은서비스정책맵내의 class 명령이거나 class 명령과연결된명령입니다. ASDM 에서각규칙은별도의행에표시되며, 규칙의이름은클래스이름입니다. a. class 명령은규칙의트래픽일치기준을정의합니다. b. inspect, set connection timeout 등의클래스와연결된명령은일치하는트래픽에적용되는서비스및제약조건을정의합니다. inspect 명령은검사된트래픽에적용할작업을정의하는검사정책맵을가리킬수있습니다. 검사정책맵과서비스정책맵은서로다르다는점에유의해야합니다. 다음의예는 ASDM에나타나는서비스정책과 CLI에나타나는서비스정책을비교하여보여줍니다. 그림의콜아웃과 CLI의줄이 1대1로매핑되지는않습니다. 위의그림에서보여주는규칙에의해다음 CLI가생성됩니다. : Access lists used in class maps. : In ASDM, these map to call-out 3, from the Match to the Time fields. access-list inside_mpc line 1 extended permit tcp any eq sip access-list inside_mpc_1 line 1 extended deny udp host any eq snmp access-list inside_mpc_1 line 2 extended permit udp any eq snmp access-list inside_mpc_2 line 1 extended permit icmp any any : SNMP map for SNMP inspection. Denies all but v3. : In ASDM, this maps to call-out 4, rule actions, for the class-inside policy. snmp-map snmp-v3only deny version 1 deny version 2 deny version 2c : Inspection policy map to define SIP behavior. : The sip-high inspection policy map must be referred to by an inspect sip command : in the service policy map. : In ASDM, this maps to call-out 4, rule actions, for the sip-class-inside policy. policy-map type inspect sip sip-high parameters rtp-conformance enforce-payloadtype no traffic-non-sip software-version action mask log uri-non-sip action mask log state-checking action drop-connection log max-forwards-validation action drop log strict-header-validation action drop log : Class map to define traffic matching for the inside-class rule. 11-2

261 11 장 Modular Policy Framework 를사용하는서비스정책 서비스정책정보 : In ASDM, this maps to call-out 3, from the Match to the Time fields. class-map inside-class match access-list inside_mpc_1 : Class map to define traffic matching for the sip-class-inside rule. : In ASDM, this maps to call-out 3, from the Match to the Time fields. class-map sip-class-inside match access-list inside_mpc : Class map to define traffic matching for the inside-class1 rule. : In ASDM, this maps to call-out 3, from the Match to the Time fields. class-map inside-class1 match access-list inside_mpc_2 : Policy map that actually defines the service policy rule set named test-inside-policy. : In ASDM, this corresponds to the folder at call-out 1. policy-map test-inside-policy : First rule in test-inside-policy, named sip-class-inside. Inspects SIP traffic. : The sip-class-inside rule applies the sip-high inspection policy map to SIP inspection. : In ASDM, each rule corresponds to call-out 2. class sip-class-inside inspect sip sip-high : Second rule, inside-class. Applies SNMP inspection using an SNMP map. class inside-class inspect snmp snmp-v3only : Third rule, inside-class1. Applies ICMP inspection. class inside-class1 inspect icmp : Fourth rule, class-default. Applies connection settings and enables user statistics. class class-default set connection timeout embryonic 0:00:30 half-closed 0:10:00 idle 1:00:00 reset dcd 0:15:00 5 user-statistics accounting : The service-policy command applies the policy map rule set to the inside interface. : This command activates the policies. service-policy test-inside-policy interface inside 서비스정책으로구성된기능 다음표에는서비스정책을사용하여구성하는기능이나열되어있습니다. 표 11-1 서비스정책으로구성된기능 기능통과트래픽용관리트래픽용보기 : 애플리케이션검사 ( 여러유형 ) RADIUS 어카운팅을제외한전부 RADIUS 어카운팅전용 12 장, " 애플리케이션레이어프로토콜검사시작." 13 장, " 기본인터넷프로토콜검사." 14 장, " 음성및비디오프로토콜에대한검사." 15 장, " 데이터베이스, 디렉토리및관리프로토콜검사." 8장, "ASA 및 Cisco Cloud Web Security." ASA IPS 예 아니요 ASA IPS 빠른시작가이드를참조하십시오. A4SA CX 예 아니요 ASA CX 빠른시작가이드를참조하십시오. ASA FirePOWER(ASA SFR) 예 아니요 7장, "ASA FirePOWER 모듈." NetFlow Secure Event 예 예 일반적인작업컨피그레이션가이드를참조하십시오. Logging 필터링 QoS 입력및출력폴리싱 예 아니요 17장, "Quality of Service." 11-3

262 서비스정책정보 11 장 Modular Policy Framework 를사용하는서비스정책 표 11-1 서비스정책으로구성된기능 ( 계속 ) 기능통과트래픽용관리트래픽용보기 : QoS 표준우선순위큐 예 아니요 17장, "Quality of Service." TCP 및 UDP 연결제한과시간제한, TCP 시퀀스번호임의지정 예 예 16장, " 연결설정." TCP 정규화 예 아니요 16장, " 연결설정." TCP 상태우회 예 아니요 16장, " 연결설정." 아이덴티티방화벽용사용자통계 예 예 user-statistics 명령을명령참조에서참조하십시오. 기능방향성 기능에따라작업이트래픽에양방향또는단방향으로적용됩니다. 양방향으로적용되는기능의경우, 트래픽이양쪽방향에서클래스맵과일치하면정책맵을적용하는인터페이스로드나드는모든트래픽이영향을받습니다. 참고 글로벌정책을사용하면모든기능은단방향입니다. 단일인터페이스에적용될때정상적으로양방향인기능을전역적으로적용하면인그레스에만적용됩니다. 정책은모든인터페이스에적용되므로양쪽방향에적용되어서, 이경우양방향이중복됩니다. 단방향으로적용되는기능의경우 ( 예 : QoS 우선순위큐 ), 정책맵을적용하는인터페이스로들어가는트래픽 ( 또는나가는트래픽, 기능에따라다름 ) 만영향을받습니다. 각기능의방향성은다음표를참조하십시오. 표 11-2 기능방향성 기능 단일인터페이스방향 글로벌방향 애플리케이션검사 ( 여러유형 ) 양방향 인그레스 ASA CSC 양방향 인그레스 A4SA CX 양방향 인그레스 ASA CX 인증프록시 인그레스 인그레스 ASA FirePOWER(ASA SFR) 양방향 인그레스 ASA IPS 양방향 인그레스 NetFlow Secure Event Logging 필터링 해당없음 인그레스 QoS 입력폴리싱 인그레스 인그레스 QoS 출력폴리싱 이그레스 이그레스 QoS 표준우선순위큐 이그레스 이그레스 TCP 및 UDP 연결제한과시간제한, TCP 양방향 인그레스 시퀀스번호임의지정 TCP 정규화 양방향 인그레스 TCP 상태우회 양방향 인그레스 아이덴티티방화벽용사용자통계 양방향 인그레스 11-4

263 11 장 Modular Policy Framework 를사용하는서비스정책 서비스정책정보 서비스정책내에서의기능일치 패킷은다음규칙에따라지정된인터페이스의정책맵에서 rules( 규칙 ) 과의일치가확인됩니다. 1. 패킷은각기능유형에서하나의인터페이스에대해정책맵규칙에있는하나의클래스맵에만일치될수있습니다. 2. 패킷이특정기능유형에대해하나의 rules( 규칙 ) 과일치하면 ASA 에서는해당기능에대해이후의다른 rules( 규칙 ) 과일치를확인하려고시도하지않습니다. 3. 그러나패킷이다른기능유형에대해이후의 rules( 규칙 ) 과일치하면 ASA 에서는이후의 rules( 규칙 ) 에대한작업도적용합니다 ( 지원되는경우 ). 지원되지않는조합에대한자세한내용은특정기능작업의비호환성, 11-6 페이지를참조하십시오. 참고 애플리케이션검사에는여러검사유형이포함되며대부분상호배타적입니다. 결합할수있는검사의경우각검사는별도의기능으로고려됩니다. 패킷일치의예 예를들면다음과같습니다. 패킷이연결제한에대한 rules( 규칙 ) 과일치하고애플리케이션검사에대한 rules( 규칙 ) 과도일치하면, 두작업이모두적용됩니다. 패킷이 HTTP 검사에대한 rules( 규칙 ) 과일치하고 HTTP 검사를포함하는또다른 rules( 규칙 ) 과도일치하면, 두번째규칙작업은적용되지않습니다. 패킷이 HTTP 검사에대한 rules( 규칙 ) 과일치하고 FTP 검사를포함하는또다른 rules( 규칙 ) 과도일치하면, 두번째규칙작업은적용되지않습니다. HTTP 와 FTP 검사는결합할수없기때문입니다. 패킷이 HTTP 검사에대한 rules( 규칙 ) 과일치하고 IPv6 검사를포함하는또다른 rules( 규칙 ) 과도일치하면, 두작업이모두적용됩니다. IPv6 검사는다른모든유형의검사와결합할수있기때문입니다. 여러기능작업이적용되는순서 service policy( 서비스정책 ) 의서로다른작업유형이수행되는순서는 table( 표 ) 에작업이나타나는순서와상관이없습니다. 작업은다음순서로수행됩니다. 1. QoS 입력폴리싱 2. TCP 정규화, TCP 및 UDP 연결제한과시간제한, TCP 시퀀스번호임의지정, TCP 상태우회 참고 ASA 가프록시서비스 ( 예 : AAA 또는 CSC) 를수행하거나 TCP 페이로드 ( 예 : FTP 검사 ) 를수정하면, TCP 노멀라이저가이중모드에서작동하여프록시또는페이로드수정서비스전후에적용됩니다. 3. ASA CSC 4. 다른검사와결합할수있는애플리케이션검사 : a. IPv6 b. IP 옵션 c. WAAS 11-5

264 서비스정책정보 11 장 Modular Policy Framework 를사용하는서비스정책 5. 다른검사와결합할수없는애플리케이션검사. 자세한내용은특정기능작업의비호환성, 11-6 페이지를참조 6. ASA IPS 7. A4SA CX 8. ASA FirePOWER(ASA SFR) 9. QoS 출력폴리싱 10. QoS 표준우선순위큐 참고 NetFlow Secure Event Logging 필터링및아이덴티티방화벽용사용자통계는순서와관련이없습니다. 특정기능작업의비호환성 일부기능은동일한트래픽에대해서로호환되지않습니다. 비호환성을보여주는다음리스트에는누락된내용이있을수있습니다. 각기능의호환성에대한정보는해당기능의장또는섹션을참조하십시오. 동일한트래픽집합에대해서는 QoS 우선순위큐잉과 QoS 폴리싱을구성할수없습니다. 대부분의검사는다른검사와결합할수없습니다. 따라서사용자가동일한트래픽에대해여러검사를구성한경우 ASA 는하나의검사만적용합니다. HTTP 검사는클라우드 Cloud Web Security 와결합할수없습니다. 기타예외는여러기능작업이적용되는순서, 11-5 페이지에나열되어있습니다. 트래픽을여러모듈 ( 예 : ASA CX 및 ASA IPS) 로전송하도록구성할수없습니다. HTTP 검사는 ASA CX 또는 ASA FirePOWER 와호환되지않습니다. Cloud Web Security 는 ASA CX 또는 ASA FirePOWER 와호환되지않습니다. 참고 기본글로벌정책에서사용되는 Default Inspection Traffic class( 기본검사트래픽클래스 ) 은모든검사용기본포트를확인하기위한특수 CLI 바로가기입니다. 이클래스맵을정책맵에서사용하면트래픽의대상포트를기반으로올바른검사가각패킷에적용됩니다. 예를들어포트 69 용 UDP 트래픽이 ASA 에도달하면 ASA 는 TFTP 검사를적용합니다. 포트 21 용 TCP 트래픽이도착하면 ASA 는 FTP 검사를적용합니다. 따라서이경우에만동일한클래스맵에대해여러검사를구성할수있습니다. 일반적으로 ASA 는적용할검사를결정하는데포트번호를사용하지않으므로, 사용자는예를들어비표준포트에도유연하게검사를적용할수있습니다. 이트래픽클래스에는 Cloud Web Security 검사용기본포트 (80 및 443) 가포함되어있지않습니다. 여러서비스정책의기능일치 TCP 및 UDP( 상태기반 ICMP 검사를활성화한경우 ICMP) 트래픽의경우개별패킷만이아니라트래픽흐름에서도서비스정책이작동합니다. 트래픽이한인터페이스에서정책의기능과일치하는기존연결의일부인경우, 또다른인터페이스에서정책의동일한기능으로해당트래픽흐름을확인할수없습니다. 첫번째정책만사용됩니다. 11-6

265 11 장 Modular Policy Framework 를사용하는서비스정책 서비스정책지침 예를들어, HTTP 트래픽이 HTTP 트래픽을검사하는내부인터페이스의정책과일치하며 HTTP 검사에대한별도의정책이외부인터페이스에있으면, 해당트래픽은외부인터페이스의이그레스에서는다시검사되지않습니다. 마찬가지로, 외부인터페이스의인그레스정책과내부인터페이스의이그레스정책에서모두해당연결의반환트래픽을검사하지않습니다. 흐름으로취급되지않는트래픽 ( 예 : 상태기반 ICMP 검사를활성화하지않은경우의 ICMP) 의경우, 반환트래픽은반환인터페이스의다른정책맵으로확인할수있습니다. 예를들어내부및외부인터페이스에서 IPS를구성하지만내부정책에서는가상센서 1을사용하고외부정책에서는가상센서 2를사용하는경우, 비상태기반 Ping은아웃바운드에서가상센서 1을확인하고인바운드에서가상센서 2를확인합니다. 서비스정책지침 IPv6 지침 다음기능에대해 IPv6 을지원합니다. DNS, FTP, HTTP, ICMP, ScanSafe, SIP, SMTP, IPsec-pass-thru 및 IPv6 에대한애플리케이션검사 ASA IPS A4SA CX ASA FirePOWER NetFlow Secure Event Logging 필터링 TCP 및 UDP 연결제한과시간제한, TCP 시퀀스번호임의지정 TCP 정규화 TCP 상태우회 아이덴티티방화벽용사용자통계 클래스맵 ( 트래픽클래스 ) 지침 모든클래스맵 ( 트래픽클래스 ) 유형의최대수는단일모드에서또는다중모드의컨텍스트당 255 개입니다. 클래스맵에는다음유형이포함됩니다. Layer 3/4 클래스맵 ( 통과트래픽및관리트래픽의경우 ) 검사클래스맵 정규식클래스맵 match 명령 ( 검사정책맵바로아래에서사용됨 ) 또한이제한은모든유형의기본클래스맵을포함하며사용자컨피그레이션클래스맵을약 235개로제한합니다. 기본클래스맵 ( 트래픽클래스 ), 11-9페이지를참조하십시오. 서비스정책지침 인터페이스서비스정책은지정된기능에대한글로벌서비스정책보다우선합니다. 예를들어 FTP 검사가포함된글로벌정책및 TCP 정규화가포함된인터페이스정책을가지고있으면인터페이스에는 FTP 검사와 TCP 정규화가모두적용됩니다. 그러나 FTP 검사가포함된글로벌정책및 FTP 검사가포함된인터페이스정책을가지고있으면해당인터페이스에는인터페이스정책 FTP 검사만적용됩니다. 11-7

266 서비스정책기본값 11 장 Modular Policy Framework 를사용하는서비스정책 글로벌정책은하나만적용할수있습니다. 예를들어, 기능집합 1 이포함된글로벌정책및기능집합 2 가포함된별도의글로벌정책을만들수없습니다. 모든기능은단일정책에포함해야합니다. 서비스정책변경사항을컨피그레이션에적용하면모든새연결에서새로운서비스정책을사용합니다. 기존연결에서는연결설정당시에구성된정책을계속사용합니다. show 명령의출력에는이전연결에대한데이터가포함되지않습니다. 예를들어, 인터페이스에서 QoS 서비스정책을제거하고수정된버전을추가하면 show service-policy 명령은새서비스정책과일치하는새연결과관련된 QoS 카운터만표시합니다. 이전정책의기존연결은명령출력에더이상표시되지않습니다. 모든연결에서새정책을사용하려면새정책을사용하여다시연결할수있도록현재연결을해제해야합니다. clear conn 또는 clear local-host 명령을사용하십시오. 서비스정책기본값 다음항목에서는서비스정책및 Modular Policy Framework의기본설정에대해설명합니다. 기본서비스정책컨피그레이션, 11-8페이지 기본클래스맵 ( 트래픽클래스 ), 11-9페이지 기본서비스정책컨피그레이션 기본적으로컨피그레이션에는모든기본애플리케이션검사트래픽과일치하는정책이포함되어있으며, 모든인터페이스의트래픽에특정검사가적용됩니다 ( 글로벌정책 ). 모든검사가기본적으로사용되는것은아닙니다. 하나의글로벌정책만적용할수있으므로글로벌정책을변경하려면기본정책을수정하거나, 기본정책을비활성화하고새정책을적용해야합니다. 인터페이스정책은특정기능에대해글로벌정책을재지정합니다. 기본정책에는다음애플리케이션검사가포함됩니다. DNS FTP H323(H225) H323(RAS) RSH RTSP ESMTP SQLnet Skinny(SCCP) SunRPC XDMCP SIP NetBios TFTP IP 옵션 11-8

267 11 장 Modular Policy Framework 를사용하는서비스정책 서비스정책컨피그레이션 기본클래스맵 ( 트래픽클래스 ) 컨피그레이션에는 ASA가 Default Inspection Traffic( 기본검사트래픽 ) 이라는기본글로벌정책에서사용하며기본검사트래픽을확인하는기본 Layer 3/4 클래스맵 ( 트래픽클래스 ) 이포함됩니다. 기본글로벌정책에서사용되는이클래스는모든검사에대해기본포트를확인하는특수바로가기입니다. 이클래스를정책에서사용하면트래픽의대상포트를기반으로각패킷에올바른검사가적용됩니다. 예를들어포트 69용 UDP 트래픽이 ASA에도달하면 ASA는 TFTP 검사를적용합니다. 포트 21용 TCP 트래픽이도착하면 ASA는 FTP 검사를적용합니다. 따라서이경우에만동일한클래스맵에대해여러검사를구성할수있습니다. 일반적으로 ASA는적용할검사를결정하는데포트번호를사용하지않으므로, 사용자는예를들어비표준포트에도유연하게검사를적용할수있습니다. 기본컨피그레이션에존재하는또다른클래스맵은모든트래픽을확인하는 class-default 입니다. 원하는경우 Any 트래픽클래스를사용하는 class-default 클래스를사용할수있습니다. 실제로일부기능은 class-default 에대해서만이용가능합니다. 서비스정책컨피그레이션 서비스정책컨피그레이션이란하나이상의서비스정책규칙을각인터페이스에또는글로벌정책에대해추가하는것입니다. ASDM 마법사를사용하여서비스정책을만드는과정을안내합니다. 각규칙에대해다음요소를식별합니다. 1. 규칙또는글로벌정책을적용할인터페이스. 2. 작업을적용할트래픽. Layer 3 및 4 트래픽을식별할수있습니다. 3. 트래픽클래스에적용할작업. 각트래픽클래스에대해충돌하지않는여러작업을적용할수있습니다. 정책을만든후규칙을추가하고, 규칙또는정책을이동, 수정또는삭제할수있습니다. 다음항목에서는서비스정책을구성하는방법에대해설명합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지 관리트래픽용서비스정책규칙추가, 페이지 서비스정책규칙의순서관리, 페이지 통과트래픽용서비스정책규칙추가 통과트래픽용서비스정책규칙을추가하려면서비스정책규칙추가마법사를사용하십시오. 특정인터페이스용정책또는글로벌정책의범위를선택하라는메시지가표시됩니다. 인터페이스서비스정책은지정된기능에대한글로벌서비스정책보다우선합니다. 예를들어 FTP 검사가포함된글로벌정책및 TCP 연결제한이포함된인터페이스정책을가지고있으면인터페이스에는 FTP 검사와 TCP 연결제한이모두적용됩니다. 그러나 FTP 검사가포함된글로벌정책및 FTP 검사가포함된인터페이스정책을가지고있으면해당인터페이스에는인터페이스정책 FTP 검사만적용됩니다. 글로벌서비스정책은모든인터페이스에기본서비스를제공합니다. 인터페이스전용정책에의해재지정되지않는한글로벌서비스가적용됩니다. 기본적으로글로벌정책은기본애플리케이션검사용서비스정책규칙을포함합니다. 마법사를사용하여글로벌정책에규칙을추가할수있습니다. 11-9

268 서비스정책컨피그레이션 11 장 Modular Policy Framework 를사용하는서비스정책 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) 를선택하고 Add( 추가 ) 또는 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 2 단계 Create a Service Policy and Apply To 영역에서 : a. 정책을특정인터페이스에적용할지 (Interface) 모든인터페이스에적용할지 (Global) 를선택합니다. b. Interface 를선택하는경우인터페이스의이름을선택합니다. 인터페이스에이미정책이있으면기존정책에규칙을추가합니다. c. 인터페이스에서비스정책이없으면새정책의이름을입력합니다. d. ( 선택사항 ) 정책의설명을추가합니다. e. ( 선택사항 ) IPv6 트래픽을지원하지않는애플리케이션검사에의해삭제된 IPv6 트래픽에대해 syslog(767001) 를생성하려면 Drop and log unsupported IPv6 to IPv6 traffic 옵션을선택합니다. 기본적으로 syslog 는생성되지않습니다. f. Next( 다음 ) 를클릭합니다. 3 단계 Traffic Classification Criteria 페이지에서정책작업을적용할트래픽을지정하려면다음옵션중하나를선택하고 Next( 다음 ) 를클릭합니다. Create a new traffic class. 트래픽클래스이름및선택적인설명을입력합니다. 여러기준중하나를사용하여트래픽을식별합니다. Default Inspection Traffic - 클래스가 ASA 에서검사할수있는모든애플리케이션에서사용하는기본 TCP 및 UDP 포트를확인합니다. Next( 다음 ) 를클릭하면이클래스로정의한서비스및포트가표시됩니다

269 11 장 Modular Policy Framework 를사용하는서비스정책 서비스정책컨피그레이션 기본글로벌정책에서사용되는이옵션은특수바로가기입니다. 이옵션을규칙에서사용하면트래픽의대상포트를기반으로각패킷에올바른검사가적용됩니다. 자세한내용은기본클래스맵 ( 트래픽클래스 ), 11-9페이지를참조하십시오. 기본포트리스트는기본검사및 NAT 제한, 12-5페이지를참조하십시오. ASA는기본검사트래픽과일치하는기본글로벌정책을포함하며, 모든인터페이스에서트래픽에공통된검사를적용합니다. 기본검사트래픽클래스에해당포트가포함된애플리케이션이모두정책맵에서기본적으로활성화되는것은아닙니다. 소스및대상 IP 주소클래스 (ACL 사용 ) 를기본검사트래픽클래스와함께지정하여일치하는트래픽의범위를좁힐수있습니다. 기본검사트래픽클래스는확인할포트및프로토콜을지정하므로 ACL의포트및프로토콜은모두무시됩니다. Source and Destination IP Address (uses ACL) - 클래스가확장 ACL로지정한트래픽을확인합니다. ASA가투명방화벽모드에서운영되는경우이더타입 ACL을사용할수있습니다. Next( 다음 ) 를클릭하면액세스제어항목의특성에대한프롬프트가표시됩니다. 마법사가 ACL을구축하므로기존 ACL을선택할수없습니다. ACE를정의할때일치옵션은규칙을생성합니다. 여기에서는주소와일치하는트래픽에작업이적용됩니다. 일치하지않음옵션은지정한작업이트래픽에적용되지않게합니다. 예를들면 /24의모든트래픽을확인하고연결제한을적용하되 만제외할수있습니다. 이경우두개의규칙을만듭니다. 일치옵션을사용하여 /24에대한규칙을만들고일치하지않음옵션을사용하여 에대한또다른규칙을만드는것입니다. 일치하지않음규칙이 Match 규칙위에오도록정렬해야합니다. 그렇지않으면 에일치규칙이먼저적용됩니다. 참고 이유형의새로운트래픽클래스를만들때처음에는하나의 ACE( 액세스제어항목 ) 만지정할수있습니다. 규칙을추가한후, 동일한인터페이스또는글로벌정책에새규칙을추가한다음 Add rule to existing traffic class 를지정하여 ACE 를더추가할수있습니다 ( 아래참조 ). Tunnel Group - 클래스가 QoS를적용할터널그룹 ( 연결프로필 ) 에대해트래픽을확인합니다. 또다른트래픽일치옵션을지정하여트래픽일치를조정할수도있습니다 ( 모든트래픽, 소스및대상 IP 주소 (ACL 사용 ), 기본검사트래픽제외 ). Next를클릭하면터널그룹을선택하라는프롬프트가표시됩니다. 각흐름을폴리싱하려면 Match flow destination IP address( 흐름대상 IP 주소일치 ) 를선택합니다. 고유한 IP 수신주소로이동하는모든트래픽은흐름으로간주됩니다. TCP or UDP Destination Port - 클래스가단일포트또는연속된포트의범위를확인합니다. Next( 다음 ) 를클릭하면 TCP 또는 UDP 를선택하고포트번호를입력하라는프롬프트가표시됩니다. ASDM 에서이미정의한번호를선택하려면... 버튼을클릭하십시오. 정보 인접하지않은여러포트를사용하는애플리케이션의경우 Source and Destination IP Address (ACL 사용 ) 를사용하여각포트를확인하십시오. RTP Range - 클래스맵이 RTP 트래픽을확인합니다. Next( 다음 ) 를클릭하면 RTP 포트범위 (2000~65534) 를입력하라는프롬프트가표시됩니다. 범위의최대포트수는 입니다. IP DiffServ CodePoints (DSCP) - 클래스는 IP 헤더에서최대 8 개의 DSCP 값을확인합니다. Next( 다음 ) 를클릭하면원하는값을선택하거나입력하라는프롬프트가표시됩니다. DSCP 리스트의 Match 로값을이동하십시오

270 서비스정책컨피그레이션 11 장 Modular Policy Framework 를사용하는서비스정책 IP Precedence - 클래스맵은최대 4 개의우선순위값 (IP 헤더에 TOS 바이트로표시됨 ) 을확인합니다. Next( 다음 ) 를클릭하면값을입력하라는프롬프트가표시됩니다. Any Traffic - 모든트래픽을확인합니다. Add rule to existing traffic class. 동일한인터페이스에이미서비스정책규칙이있거나글로벌서비스정책에추가중인경우이옵션을사용하면기존 ACL 에 ACE 를추가할수있습니다. 이인터페이스에서서비스정책규칙에대해소스및대상 IP 주소 (ACL 사용 ) 옵션을선택했을때만들었던 ACL 에 ACE 를추가할수있습니다. 이트래픽클래스의경우여러 ACE 를추가하더라도규칙작업의집합은하나만가질수있습니다. 이전체절차를반복하여동일한트래픽클래스에여러 ACE 를추가할수있습니다. Next( 다음 ) 를클릭하면액세스제어항목의특성에대한프롬프트가표시됩니다. 기존트래픽클래스사용. 다른인터페이스의규칙에사용되는트래픽클래스를만든경우이규칙에대한트래픽클래스정의를재사용할수있습니다. 한규칙에대한트래픽클래스를변경하면해당트래픽클래스를사용하는모든규칙으로변경내용이상속됩니다. CLI 에서입력한 class-map 명령이컨피그레이션에포함되어있으면해당트래픽클래스이름도사용할수있습니다 ( 트래픽클래스의정의를보려면규칙을만들어야함 ). Use class default as the traffic class. 이옵션은모든트래픽을확인하는 class-default 클래스를사용합니다. class-default 클래스는 ASA 에의해자동으로생성되어정책의끝에배치됩니다. 이클래스에작업을적용하지않는경우, 여전히 ASA 에의해자동으로생성되기는하지만내부용으로만사용됩니다. 원하는경우이클래스에작업을적용할수있습니다. 이방법이모든트래픽을확인하는새로운트래픽클래스를만드는것보다더편리할수있습니다. 서비스정책당하나의규칙만각트래픽클래스와연결할수있으므로 class-default 클래스를사용하여이서비스정책에대한규칙을하나만만들수있습니다. 4 단계추가컨피그레이션이필요한트래픽매칭기준을선택한경우원하는매개변수를입력하고 Next( 다음 ) 를클릭합니다. 5 단계 Rule Actions 페이지에서하나이상의규칙작업을구성합니다. 적용할수있는기능및작업의리스트와추가적인세부사항을알아보려면서비스정책으로구성된기능, 11-3 페이지를참조하십시오. 6 단계 Finish( 마침 ) 를클릭합니다. 관리트래픽용서비스정책규칙추가 관리목적으로 ASA 로이동하는트래픽용서비스정책규칙을추가하려면 Add Service Policy Rule 마법사를사용하십시오. 특정인터페이스용정책또는글로벌정책의범위를선택하라는메시지가표시됩니다. 인터페이스서비스정책은지정된기능에대한글로벌서비스정책보다우선합니다. 예를들어 RADIUS 어카운팅검사가포함된글로벌정책및연결제한이포함된인터페이스정책을가지고있으면인터페이스에는 RADIUS 어카운팅과연결제한이모두적용됩니다. 그러나 RADIUS 어카운팅이포함된글로벌정책및 RADIUS 어카운팅이포함된인터페이스정책을가지고있으면해당인터페이스에는인터페이스정책 RADIUS 어카운팅만적용됩니다. 글로벌서비스정책은모든인터페이스에기본서비스를제공합니다. 인터페이스전용정책에의해재지정되지않는한글로벌서비스가적용됩니다. 기본적으로글로벌정책은기본애플리케이션검사용서비스정책규칙을포함합니다. 마법사를사용하여글로벌정책에규칙을추가할수있습니다

271 11 장 Modular Policy Framework 를사용하는서비스정책 서비스정책컨피그레이션 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) 를선택하고 Add( 추가 ) 또는 Add( 추가 ) > Add Management Service Policy Rule( 서비스정책규칙관리추가 ) 을클릭합니다. 2 단계 Create a Service Policy and Apply To 영역에서 : a. 정책을특정인터페이스에적용할지 (Interface) 모든인터페이스에적용할지 (Global) 를선택합니다. b. Interface 를선택하는경우인터페이스의이름을선택합니다. 인터페이스에이미정책이있으면기존정책에규칙을추가합니다. c. 인터페이스에서비스정책이없으면새정책의이름을입력합니다. d. ( 선택사항 ) 정책의설명을추가합니다. e. Next( 다음 ) 를클릭합니다. 3 단계 Traffic Classification Criteria 페이지에서정책작업을적용할트래픽을지정하려면다음옵션중하나를선택하고 Next( 다음 ) 를클릭합니다. Create a new traffic class. 트래픽클래스이름및선택적인설명을입력합니다. 여러기준중하나를사용하여트래픽을식별합니다. Source and Destination IP Address (uses ACL) - 클래스가확장 ACL로지정한트래픽을확인합니다. ASA가투명방화벽모드에서운영되는경우이더타입 ACL을사용할수있습니다. Next( 다음 ) 를클릭하면액세스제어항목의특성에대한프롬프트가표시됩니다. 마법사가 ACL을구축하므로기존 ACL을선택할수없습니다. ACE를정의할때일치옵션은규칙을생성합니다. 여기에서는주소와일치하는트래픽에작업이적용됩니다. 일치하지않음옵션은지정한작업이트래픽에적용되지않게합니다. 예를들면 /24의모든트래픽을확인하고연결제한을적용하되 만제외할수있습니다. 이경우두개의규칙을만듭니다. 일치옵션을사용하여 /24에대한규칙을만들고일치하지않음옵션을사용하여 에대한또다른규칙을만드는것입니다. 일치하지않음규칙이 Match 규칙위에오도록정렬해야합니다. 그렇지않으면 에일치규칙이먼저적용됩니다. TCP or UDP Destination Port - 클래스가단일포트또는연속된포트의범위를확인합니다. Next( 다음 ) 를클릭하면 TCP 또는 UDP 를선택하고포트번호를입력하라는프롬프트가표시됩니다. ASDM 에서이미정의한번호를선택하려면... 버튼을클릭하십시오. 정보 인접하지않은여러포트를사용하는애플리케이션의경우 Source and Destination IP Address (ACL 사용 ) 를사용하여각포트를확인하십시오. Add rule to existing traffic class. 동일한인터페이스에이미서비스정책규칙이있거나글로벌서비스정책에추가중인경우이옵션을사용하면기존 ACL 에 ACE 를추가할수있습니다. 이인터페이스에서서비스정책규칙에대해소스및대상 IP 주소 (ACL 사용 ) 옵션을선택했을때만들었던 ACL 에 ACE 를추가할수있습니다. 이트래픽클래스의경우여러 ACE 를추가하더라도규칙작업의집합은하나만가질수있습니다. 이전체절차를반복하여동일한트래픽클래스에여러 ACE 를추가할수있습니다. ACE 순서변경에대한자세한내용은서비스정책규칙의순서관리, 페이지를참조하십시오. Next( 다음 ) 를클릭하면액세스제어항목의특성에대한프롬프트가표시됩니다. 기존트래픽클래스사용. 다른인터페이스의규칙에사용되는트래픽클래스를만든경우이규칙에대한트래픽클래스정의를재사용할수있습니다. 한규칙에대한트래픽클래스를변경하면해당트래픽클래스를사용하는모든규칙으로변경내용이상속됩니다. CLI 에서입력한 class-map 명령이컨피그레이션에포함되어있으면해당트래픽클래스이름도사용할수있습니다 ( 트래픽클래스의정의를보려면규칙을만들어야함 )

272 서비스정책컨피그레이션 11 장 Modular Policy Framework 를사용하는서비스정책 4 단계추가컨피그레이션이필요한트래픽매칭기준을선택한경우원하는매개변수를입력하고 Next( 다음 ) 를클릭합니다. 5 단계 Rule Actions 페이지에서하나이상의규칙작업을구성합니다. RADIUS 어카운팅검사를구성하려면 RADIUS Accounting Map 드롭다운리스트에서 inspect map 을선택하거나 Configure 를클릭하여맵을추가합니다. 자세한내용은서비스정책으로구성된기능, 11-3 페이지을 / 를참조하십시오. 연결설정을구성하려면특정트래픽클래스의연결설정컨피그레이션 ( 모든서비스 ), 페이지를참조하십시오. 6 단계 Finish( 마침 ) 를클릭합니다. 서비스정책규칙의순서관리 인터페이스또는글로벌정책에서서비스정책규칙의순서는트래픽이작업이적용되는방법에영향을미칩니다. 서비스정책의규칙으로패킷을확인하는방법에대한다음지침를참조하십시오. 각기능유형에대해서비스정책의규칙하나만이패킷을확인합니다. 패킷이특정기능유형에대한작업을포함하는하나의규칙과일치하면 ASA 에서는해당기능유형을포함하는이후의다른규칙과일치를확인하려고시도하지않습니다. 그러나패킷이다른기능유형에대해이후의규칙과일치하면 ASA에서는이후의규칙에대한작업도적용합니다. 예를들어패킷이연결제한에대한규칙과일치하고애플리케이션검사에대한규칙과도일치하면두규칙작업이모두적용됩니다. 패킷이애플리케이션검사에대한규칙과일치하고애플리케이션검사를포함하는또다른규칙과도일치하면두번째규칙작업은적용되지않습니다. 규칙에여러 ACE가있는 ACL이포함되어있으면 ACE의순서도패킷흐름에영향을미칩니다. ASA에서는항목이나열된순서로각 ACE에대해패킷을테스트합니다. 일치가발견되면 ACE가더이상점검되지않습니다. 예를들어, ACL의시작부분에모든트래픽을명시적으로허용하는 ACE를만들면다른내용은점검되지않습니다. 규칙내에서규칙또는 ACE의순서를변경하려면다음단계를수행하십시오. 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) 창에서위나아래로이동할규칙또는 ACE 를선택합니다. 2 단계위로이동또는아래로이동버튼을클릭합니다

273 11 장 Modular Policy Framework 를사용하는서비스정책 서비스정책의기록 그림 11-1 ACE 이동 참고 여러서비스정책에서사용되는 ACL 에서 ACE 를정렬하는경우변경사항이모든서비스정책에상속됩니다. 3 단계규칙또는 ACE 의정돈을완료한후 Apply( 적용 ) 를클릭합니다. 서비스정책의기록 기능이름 릴리스 설명 Modular Policy Framework 7.0(1) Modular Policy Framework가추가되었습니다. RADIUS 어카운팅트래픽과사용할관리클래스맵 7.2(1) RADIUS 어카운팅트래픽과함께사용할수있도록관리클래스맵이추가되었습니다. 추가된명령 : class-map type management, and inspect radius-accounting 검사정책맵 7.2(1) 검사정책맵이추가되었습니다. 추가된명령 : class-map type inspect 정규식및정책맵 7.2(1) 검사정책맵에서사용하기위해정규식과정책맵이추가되었습니다. 추가된명령 : class-map type regex, regex, match regex 검사정책맵을위한항목일치 8.0(2) 검사정책맵과사용할수있도록 match any 키워드가추가되었습니다. 트래픽이하나이상의기준을충족하면클래스맵과일치합니다. 전에는 match all만사용가능했습니다

274 서비스정책의기록 11 장 Modular Policy Framework 를사용하는서비스정책 11-16

275 12 장 애플리케이션레이어프로토콜검사시작 다음항목에서는애플리케이션레이어프로토콜검사를구성하는방법에대해설명합니다. 애플리케이션레이어프로토콜검사, 12-1페이지 애플리케이션검사지침, 12-4페이지 애플리케이션검사를위한기본값, 12-5페이지 애플리케이션레이어프로토콜검사컨피그레이션, 12-8페이지 정규식컨피그레이션, 12-11페이지 애플리케이션검사기록, 12-14페이지 애플리케이션레이어프로토콜검사 사용자데이터패킷에 IP 주소정보가포함된서비스또는동적으로할당된포트에서보조채널을여는서비스에는검사엔진이필요합니다. 이러한프로토콜에서 ASA는빠른경로로패킷을전달하는대신 DPI(Deep Packet Inspection) 를수행해야합니다 ( 빠른경로에대한자세한내용은일반적인작업컨피그레이션가이드참조 ). 그결과검사엔진은전반적인처리량에영향을미칠수있습니다. 기본적으로 ASA에서는몇가지일반적인검사엔진이사용되지만, 네트워크에따라다른엔진을사용해야할수도있습니다. 다음항목에서는애플리케이션검사에대해좀더자세히설명합니다. 검사엔진작동방법, 12-1 페이지 애플리케이션프로토콜검사를사용해야하는경우, 12-2 페이지 검사정책맵, 12-3 페이지 검사엔진작동방법 다음그림에서볼수있듯이 ASA 에서는기본작동을위해세가지데이터베이스를사용합니다. ACL - 특정네트워크, 호스트, 서비스 (TCP/UDP 포트번호 ) 를기반으로연결을인증및승인하는데사용됩니다. 검사 - 미리정의된고정인애플리케이션수준검사기능집합을포함합니다. 연결 (XLATE 및 CONN 테이블 ) - 설정된각연결에대한상태및기타정보를유지관리합니다. 설정된세션내에서효과적으로트래픽을전달하기위해 Adaptive Security Algorithm 및컷스루프록시에서이정보가사용됩니다. 12-1

276 애플리케이션레이어프로토콜검사 12 장애플리케이션레이어프로토콜검사시작 그림 12-1 검사엔진작동방법 ACL 2 1 ASA 6 Client 7 5 Server 3 4 XLATE CONN Inspection 이그림에서는발생하는순서대로작업에번호를매겼습니다. 1. TCP SYN 패킷이 ASA 에도착하여새연결을설정합니다. 2. ASA 에서는 ACL 데이터베이스를사용하여연결이허용되는지확인합니다. 3. ASA 에서는연결데이터베이스에새항목을만듭니다 (XLATE 및 CONN 표 ). 4. ASA 에서는 Inspections 데이터베이스를사용하여연결에애플리케이션수준검사가필요한지확인합니다. 5. 애플리케이션검사엔진이패킷에대해필요한작업을완료하면 ASA 에서는패킷을대상시스템으로전달합니다. 6. 대상시스템은초기요청에응답합니다. 7. ASA에서는응답패킷을받고, 연결데이터베이스에서연결을조회하고, 설정된세션에속하는경우패킷을전달합니다. ASA의기본컨피그레이션에는지원되는프로토콜을특정 TCP 또는 UDP 포트번호와연결하고특별한처리가필요한지를식별하는애플리케이션검사항목집합이포함됩니다. 애플리케이션프로토콜검사를사용해야하는경우 사용자가연결을설정하면향후패킷이시간소모형점검을우회할수있도록 ASA에서는 ACL을기준으로패킷을점검하고, 주소변환을만들고, 빠른경로에세션용항목을만듭니다. 그러나빠른경로는예측가능한포트번호에의존하며패킷내에서주소변환을수행하지않습니다. 많은프로토콜이보조 TCP 또는 UDP 포트를엽니다. 동적으로할당된포트번호를협상하기위해잘알려진포트의초기세션이사용됩니다. 다른애플리케이션은일반적으로 ASA를통과할때변환되는소스주소와일치해야하는 IP 주소를패킷에포함합니다. 이러한애플리케이션을사용하는경우애플리케이션검사를활성화해야합니다. 12-2

277 12 장애플리케이션레이어프로토콜검사시작 애플리케이션레이어프로토콜검사 IP 주소를포함하는서비스에대해애플리케이션검사를활성화하면 ASA에서는포함된주소를변환하고변환의영향을받는체크섬이나기타필드를업데이트합니다. 동적으로할당된포트를사용하는서비스에대해애플리케이션검사를활성화하면 ASA에서는동적포트할당을식별하고특정세션기간중에이러한포트에서데이터교환을허용하기위해세션을모니터링합니다. 검사정책맵 사용중인검사정책맵교체 검사정책맵을사용하여많은애플리케이션검사를위한특별한작업을구성할수있습니다. 이러한맵은선택사항입니다. 검사정책맵을지원하는프로토콜에대해맵을구성하지않은채검사를활성화할수있습니다. 기본검사작업이외의작업을원하는경우에만이러한맵이필요합니다. 검사정책맵을지원하는애플리케이션목록은애플리케이션레이어프로토콜검사컨피그레이션, 12-8페이지를참조하십시오. 검사정책맵은다음과같은요소중하나이상으로구성됩니다. 검사정책맵에사용할수있는정확한옵션은애플리케이션에따라다릅니다. 트래픽일치기준 - 애플리케이션트래픽을애플리케이션에해당하는기준 ( 예 : URL 문자열 ) 으로확인한다음작업을활성화합니다. 일부트래픽일치기준의경우패킷내부의텍스트를확인하기위해정규식을사용합니다. 정책맵을구성하기전에, 단독으로또는정규식클래스맵에서그룹으로정규식을만들고테스트해야합니다. 검사클래스맵 - 일부검사정책맵에서는검사클래스맵을사용하여다중트래픽일치기준을포함할수있습니다. 그러면검사정책맵에서검사클래스맵을식별하고해당클래스에대해전역적으로작업을활성화할수있습니다. 클래스맵을만드는것과검사정책맵에서직접트래픽일치를정의하는것의차이는, 좀더복잡한일치기준을만들수있으며클래스맵을재사용할수있다는점입니다. 그러나서로다른일치에대해서로다른작업을설정할수는없습니다. Parameters - 검사엔진의동작에영향을미칩니다. 다음주제에서자세한내용을제공합니다. 사용중인검사정책맵교체, 12-3 페이지 다중트래픽클래스처리방법, 12-4 페이지 서비스정책에서이미사용중인검사정책맵을교체해야하는경우다음방법을사용합니다. 모든검사정책맵 - 사용중인검사정책맵을다른맵이름으로교체하려면해당맵을제거하고, 변경사항을적용하고, 새검사정책맵을서비스정책에다시추가해야합니다. HTTP 검사정책맵 - 사용중인 HTTP 검사정책맵을수정하려는경우, 변경사항을적용하려면검사정책맵작업을제거한후다시적용해야합니다. 예를들어, "http-map" 검사정책맵을수정하려면해당맵을제거하고, 변경사항을적용하고, 검사정책맵을서비스정책에다시추가해야합니다. 12-3

278 애플리케이션검사지침 12 장애플리케이션레이어프로토콜검사시작 다중트래픽클래스처리방법 여러검사클래스맵을지정할수도있고검사정책맵의일치항목을전달할수도있습니다. 패킷이서로다른여러과일치하는경우 ASA에서작업을적용하는순서는내부 ASA 규칙에의해결정되며, 검사정책맵에추가된순서에의해결정되지않습니다. 내부규칙은애플리케이션유형및패킷분석의논리적진행에의해결정되며, 사용자가구성할수없습니다. 예를들어 HTTP 트래픽의경우, 요청메서드필드분석이헤더호스트길이필드분석을선행합니다. 헤더호스트길이필드에대한작업이수행되기전에요청메서드필드에대한작업이수행됩니다. 작업에서패킷을삭제하는경우검사정책맵에서추가작업이수행되지않습니다. 예를들어, 첫번째작업에서연결을재설정하면추가일치기준이적용되지않습니다. 첫번째작업에서패킷을기록하면, 두번째작업 ( 예 : 연결재설정 ) 이발생할수있습니다. 패킷에동일한여러일치기준이있는경우정책맵에나타나는순서대로적용됩니다. 클래스맵은클래스맵내최저우선순위일치옵션을기반으로다른클래스맵의동일한유형또는직접일치으로확인됩니다 ( 우선순위는내부규칙을기반으로함 ). 한클래스맵에다른클래스맵과동일한유형의최저우선순위일치옵션이있으면, 정책맵에추가된순서대로클래스맵이적용됩니다. 각클래스맵의최저우선순위일치가다른경우, 더높은우선순위일치옵션의클래스맵이먼저적용됩니다. 애플리케이션검사지침 장애조치 검사가필요한멀티미디어세션에대한상태정보는상태기반시스템대체작동을위한상태링크로전달되지않습니다. 상태링크를통해복제되는 SIP 및 GTP 는예외입니다. IPv6 다음검사에대해 IPv6 을지원합니다. DNS FTP HTTP ICMP SCCP(Skinny) SIP SMTP IPsec pass-through IPv6 VXLAN 다음검사에대해 NAT64 를지원합니다. DNS FTP HTTP ICMP 12-4

279 12 장애플리케이션레이어프로토콜검사시작 애플리케이션검사를위한기본값 추가지침 일부검사엔진은 PAT, NAT, 외부 NAT 또는동일한보안인터페이스간 NAT 를지원하지않습니다. NAT 지원에대한자세한내용은기본검사및 NAT 제한, 12-5 페이지를참조하십시오. 모든애플리케이션검사에서 ASA 는동시활성데이터연결수를 200 개로제한합니다. 예를들어, FTP 클라이언트가여러보조연결을열면 FTP 검사엔진은 200 개의활성연결만허용합니다. 따라서 201 번째연결은삭제되며 ASA(Adaptive Security Appliance) 는시스템오류메시지를생성합니다. 검사된프로토콜은고급 TCP 상태추적대상이될수있으며, 이러한연결의 TCP 상태는자동으로복제되지않습니다. 이러한연결이스탠바이유닛에복제되는동안 TCP 상태를다시설정하기위한최상의시도가이루어집니다. ASA( 인터페이스 ) 로전달된 TCP/UDP 트래픽은기본적으로검사됩니다. 그러나인터페이스로전달된 ICMP 트래픽은 ICMP 검사를활성화하는경우에도검사되지않습니다. 따라서 ASA 가백업기본경로를통해도달할수있는소스에서에코요청이오는경우등의특정상황에서는인터페이스에대한 ping( 에코요청 ) 이실패할수있습니다. 애플리케이션검사를위한기본값 다음항목에서는애플리케이션검사를위한기본작업에대해설명합니다. 기본검사및 NAT 제한, 12-5페이지 기본검사정책맵, 12-8페이지 기본검사및 NAT 제한 기본적으로컨피그레이션에는모든기본애플리케이션검사트래픽과일치하는정책이포함되어있으며, 모든인터페이스의트래픽에검사가적용됩니다 ( 글로벌정책 ). 기본애플리케이션검사트래픽에는각프로토콜의기본포트에대한트래픽이포함됩니다. 글로벌정책은하나만적용할수있습니다. 따라서글로벌정책을변경하려면 ( 예 : 검사를비표준포트에적용하거나기본적으로사용되지않는검사추가 ) 기본정책을수정해야하거나, 비활성화한후새정책을적용해야합니다. 다음표에는지원되는모든검사, 기본클래스맵에서사용되는기본포트, 기본적으로설정된검사엔진 ( 굵은글꼴로표시 ) 이나열되어있습니다. 또한 NAT 제한도포함되어있습니다. 이표에서 : 기본포트에서기본적으로활성화된검사엔진은굵은글꼴로표시됩니다. ASA 는표시된표준과호환되지만, 검사대상패킷에준수를적용하지는않습니다. 예를들어 FTP 명령은특정순서로되어있어야하지만, ASA 는순서를적용하지않습니다. 표 12-1 지원되는애플리케이션검사엔진 애플리케이션 기본포트 NAT 제한 표준 참고 CTIQBE TCP/2748 확장 PAT 없음 NAT64 없음 ( 클러스터링 ) 고정 PAT 없음 DCERPC TCP/135 NAT64 없음 DNS over UDP UDP/53 WINS를통한이름확인에 RFC 1123 NAT 지원을이용할수없음 FTP TCP/21 ( 클러스터링 ) 고정 PAT 없음 RFC

280 애플리케이션검사를위한기본값 12 장애플리케이션레이어프로토콜검사시작 표 12-1 지원되는애플리케이션검사엔진 ( 계속 ) 애플리케이션기본포트 NAT 제한표준참고 GTP H.323 H.225 및 RAS UDP/3386 UDP/2123 TCP/1720 UDP/1718 UDP(RAS) 확장 PAT 없음 NAT 없음 동적 NAT 또는 PAT 없음고정 PAT가작동하지않을수있음 ( 클러스터링 ) 고정 PAT 없음확장 PAT 없음세션당 PAT 없음동일한보안인터페이스에 NAT 없음 NAT64 없음 특별라이센스가필요합니다. ITU-T H.323, H.245, H225.0, Q.931, Q.932 HTTP TCP/80 RFC 2616 ActiveX 및 Java를제거하는 MTU 제한에유의하십시오. MTU가너무작아 Java 또는 ActiveX 태그를한패킷에포함할수없는경우, 제거가발생하지않을수있습니다. ICMP ASA 인터페이스로전달된 ICMP 트래픽은검사되지않습니다. ICMP ERROR ILS(LDAP) TCP/389 확장 PAT 없음 NAT64 없음 IM( 인스턴트메시징 ) 클라이언트에따라다름 확장 PAT 없음 NAT64 없음 RFC 3860 IP 옵션 NAT64 없음 RFC 791, RFC 2113 IPsec Pass Through UDP/500 PAT 없음 NAT64 없음 IPv6 NAT64 없음 RFC 2460 MGCP UDP/2427, 2727 확장 PAT 없음 NAT64 없음 ( 클러스터링 ) 고정 PAT 없음 RFC 2705bis-05 MMP TCP 5443 확장 PAT 없음 NAT64 없음 IP 를통한 NetBIOS 이름서버 UDP/137, 138( 소스포트 ) 확장 PAT 없음 NAT64 없음 PPTP TCP/1723 NAT64 없음 ( 클러스터링 ) 고정 PAT 없음 NBNS UDP 포트 137 및 NBDS UDP 포트 138 에대해패킷의 NAT 를수행함으로써 NetBIOS 가지원됩니다. RFC

281 12 장애플리케이션레이어프로토콜검사시작 애플리케이션검사를위한기본값 표 12-1 지원되는애플리케이션검사엔진 ( 계속 ) 애플리케이션기본포트 NAT 제한표준참고 RADIUS 어카 1646 NAT64 없음 RFC 2865 운팅 RSH TCP/514 PAT 없음 NAT64 없음 ( 클러스터링 ) 고정 PAT 없음 Berkeley UNIX RTSP TCP/554 확장 PAT 없음 NAT64 없음 ( 클러스터링 ) 고정 PAT 없음 ScanSafe (Cloud Web Security) SIP SKINNY (SCCP) SMTP 및 ESMTP SNMP TCP/80 TCP/413 TCP/5060 UDP/5060 TCP/2000 RFC 2326, 2327, 1889 HTTP 클로킹을처리하지않습니다. 이러한포트는 ScanSafe 검사를위 한 default-inspection-traffic 클래스 에포함되지않습니다. 동일한보안인터페이스에 NAT 없음확장 PAT 없음세션당 PAT 없음 NAT64 또는 NAT46 없음 ( 클러스터링 ) 고정 PAT 없음 동일한보안인터페이스에 NAT 없음확장 PAT 없음세션당 PAT 없음 NAT64, NAT46 또는 NAT66 없음 ( 클러스터링 ) 고정 PAT 없음 RFC 2543 TCP/25 NAT64 없음 RFC 821, 1123 UDP/161, 162 SQL*Net TCP/1521 확장 PAT 없음 NAT 또는 PAT 없음 RFC 1155, 1157, 1212, 1213, 1215 특정상황에서는 TFTP 에업로드된 Cisco IP Phone 컨피그레이션을처리하지않습니다. 특정상황에서는 TFTP 에업로드된 Cisco IP Phone 컨피그레이션을처리하지않습니다. v.1 및 v.2. v.2 RFC ; v.3 RFC TCP 및 UDP 를통한 Sun RPC UDP/111 NAT64 없음 ( 클러스터링 ) 고정 PAT 없음 확장 PAT 없음 NAT64 없음 TFTP UDP/69 NAT64 없음 ( 클러스터링 ) 고정 PAT 없음 기본규칙에는 UDP 포트 111 이포함됩니다. TCP 포트 111 에대해 Sun RPC 검사를활성화하려면 TCP 포트 111 과맞춰보고 Sun RPC 검사를수행하는새규칙을만들어야합니다. RFC 1350 페이로드 IP 주소는변환되지않습니다. 12-7

282 애플리케이션레이어프로토콜검사컨피그레이션 12 장애플리케이션레이어프로토콜검사시작 표 12-1 지원되는애플리케이션검사엔진 ( 계속 ) 애플리케이션기본포트 NAT 제한표준참고 WAAS TCP/ 확장 PAT 없음 NAT64 없음 XDMCP UDP/177 확장 PAT 없음 NAT64 없음 ( 클러스터링 ) 고정 PAT 없음 VXLAN UDP/4789 해당없음 RFC 7348 VXLAN(Virtual Extensible Local Area Network). 기본검사정책맵 일부검사유형에서는숨겨진기본정책맵을사용합니다. 예를들어, 맵을지정하지않고 ESMTP 검사를활성화하는경우 _default_esmtp_map이사용됩니다. 기본검사는각검사유형을설명하는섹션에설명되어있습니다. show running-config all policy-map 명령을사용하거나 Tools( 도구 ) > Command Line Interface( 명령줄인터페이스 ) 를사용하여이러한기본맵을볼수있습니다. DNS 검사는명시적으로구성된기본맵인 preset_dns_map을사용하는유일한검사입니다. 애플리케이션레이어프로토콜검사컨피그레이션 애플리케이션검사는서비스정책에서구성합니다. 서비스정책은 ASA 기능을구성하기위한일관되고유연한방법을제공합니다. 예를들어모든 TCP 애플리케이션에적용되는것과반대로, 특정 TCP 애플리케이션과관련된시간제한컨피그레이션을만드는서비스정책을사용할수있습니다. 일부애플리케이션의경우검사를활성화할때특별한작업을수행할수있습니다. 일반적인서비스정책에대해알아보려면 Modular Policy Framework를사용하는서비스정책, 11-1페이지를참조하십시오. 일부애플리케이션에대해서는기본적으로검사가활성화됩니다. 자세한내용은기본검사및 NAT 제한, 12-5페이지섹션을참조하십시오. 검사정책을수정하려면이섹션을사용하십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) 를선택합니다. 2단계통과트래픽용서비스정책규칙추가, 11-9페이지에따라서비스정책규칙을추가또는수정하고 Rule Action 페이지로진행합니다. 비표준포트를검사하려면비표준포트에대한새규칙을만듭니다. 각검사엔진에대한표준포트는기본검사및 NAT 제한, 12-5페이지를참조하십시오. 원하는경우여러규칙을동일한서비스정책에결합하여, 특정트래픽에적용할규칙과다른트래픽에적용할규칙을별도로만들수있습니다. 그러나트래픽이검사작업을포함하는규칙과일치하고역시검사작업을포함하는또다른규칙과도일치하는경우, 첫번째일치규칙만사용됩니다. RADIUS 어카운팅검사를구현하는경우관리트래픽용서비스정책규칙추가, 11-12페이지에따라관리서비스정책규칙을만드십시오. 12-8

283 12 장애플리케이션레이어프로토콜검사시작 애플리케이션레이어프로토콜검사컨피그레이션 3 단계규칙작업에서 Protocol Inspection 탭을클릭합니다. 4 단계 ( 사용중인정책을변경하려면 ) 다른검사정책맵을사용하기위해현재사용중인정책을수정하려면검사를비활성화한다음새검사정책맵이름으로다시활성화해야합니다. a. 프로토콜확인란의선택을취소합니다. b. OK( 확인 ) 를클릭합니다. c. Apply( 적용 ) 를클릭합니다. d. 프로토콜검사탭으로돌아가려면이러한단계를반복합니다. 5단계적용할검사유형을선택합니다. 기본검사트래픽클래스에서만여러옵션을선택할수있습니다. 일부검사엔진에서는트래픽에검사를적용할때추가매개변수를제어할수있습니다. 검사정책맵을구성하려면검사유형에대해 Configure를클릭합니다. 기존맵을선택하거나새맵을만듭니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) 목록에서검사정책맵을미리정의할수있습니다. 다음표에는검사할수있는프로토콜, 각프로토콜에서검사정책맵과검사클래스맵을허용하는지여부, 검사에대해자세히알아보기위한참조링크가나열되어있습니다. 표 12-2 검사프로토콜 검사정책 검사클래스 프로토콜 맵지원 맵지원 참고 CTIQBE 아니요 아니요 CTIQBE 검사, 14-1페이지를참조하십시오. Cloud Web Security 예 예 ScanSafe(Cloud Web Security) 를사용하려면이절차보다는 Cloud Web Security로트래픽을전송하도록서비스정책컨피그레이션, 8-9페이지주제에서설명하는절차를사용하십시오. 해당절차에서는정책검사맵컨피그레이션방법을비롯한전체정책컨피그레이션에대해설명합니다. DCERPC 예 아니요 DCERPC 검사, 15-1페이지를참조하십시오. DNS 예 예 DNS 검사, 13-1페이지를참조하십시오. ESMTP 예 아니요 SMTP 및확장 SMTP 검사, 13-31페이지를참조하십시오. FTP 예 예 FTP 검사, 13-7페이지를참조하십시오. GTP 예 아니요 GTP 검사, 15-4페이지를참조하십시오. H.323 H.225 예 예 H.323 검사, 14-2페이지를참조하십시오. H.323 RAS 예 예 H.323 검사, 14-2페이지를참조하십시오. HTTP 예 예 HTTP 검사, 13-13페이지를참조하십시오. ICMP 아니요 아니요 ICMP 검사, 13-19페이지를참조하십시오. ICMP Error 아니요 아니요 ICMP 오류검사, 13-19페이지를참조하십시오. ILS 아니요 아니요 ILS 검사, 15-8페이지를참조하십시오. IM 예 예 인스턴트메시징검사, 13-19페이지를참조하십시오. IP-Options 예 아니요 IP 옵션검사, 13-22페이지를참조하십시오. 12-9

284 애플리케이션레이어프로토콜검사컨피그레이션 12 장애플리케이션레이어프로토콜검사시작 표 12-2 검사프로토콜 ( 계속 ) 프로토콜 IPSec Pass Thru 예 아니요 IPsec Pass Through 검사, 13-25페이지를참조 하십시오. IPv6 예 아니요 IPv6 검사, 13-27페이지를참조하십시오. MGCP 예 아니요 MGCP 검사, 14-8페이지를참조하십시오. NetBIOS 예 아니요 NetBIOS 검사, 13-30페이지를참조하십시오. PPTP 아니요 아니요 PPTP 검사, 13-31페이지를참조하십시오. RADIUS 어카운팅 예 아니요 RADIUS 어카운팅검사, 15-9페이지를참조하십시오. RADIUS 어카운팅검사는관리서비스정책에만사용할수있습니다. 이검사를구현하려면정책맵을선택해야합니다. RSH 아니요 아니요 RSH 검사, 15-12페이지를참조하십시오. RTSP 예 아니요 RTSP 검사, 14-12페이지를참조하십시오. SCCP (Skinny) 검사정책맵지원 검사클래스맵지원 아니요 참고 Skinny(SCCP) 검사, 페이지를참조하십시오. SIP 예 예 SIP 검사, 14-16페이지를참조하십시오. SNMP 예 아니요 SNMP 검사, 15-12페이지를참조하십시오. SQLNET 아니요 아니요 SQL*Net 검사, 15-13페이지를참조하십시오. SUNRPC 아니요 아니요 Sun RPC 검사, 15-14페이지를참조하십시오. 기본클래스맵은 UDP 포트 111을포함합니다. TCP 포트 111에대해 Sun RPC 검사를활성화하려면 TCP 포트 111과일치하는새클래스맵을만들고, 정책에클래스를추가한다음, 해당클래스에 inspect sunrpc 명령을적용하십시오. TFTP 아니요 아니요 TFTP 검사, 13-36페이지를참조하십시오. WAAS 아니요 아니요 TCP 옵션 33 구문분석을활성화합니다. Cisco WAAS(Wide Area Application Services) 제품을배포할때사용하십시오. XDMCP 아니요 아니요 XDMCP 검사, 15-15페이지를참조하십시오. VXLAN 아니요 아니요 VXLAN 검사, 15-16페이지를참조하십시오. 6 단계원하는경우규칙작업탭을사용하여이규칙에대해다른기능을구성할수있습니다. 7 단계 OK( 확인 )( 또는마법사에서 Finish( 마침 )) 를클릭합니다

285 12 장애플리케이션레이어프로토콜검사시작 정규식컨피그레이션 정규식컨피그레이션 정규식은텍스트문자열을확인하는패턴을정의합니다. URL 또는특별헤더필드의내용을기반으로일부프로토콜검사맵에서정규식을사용하여패킷을일치시킬수있습니다. 정규식만들기, 페이지 정규식클래스맵만들기, 페이지 정규식만들기 정규식은있는그대로의정확한문자열로서텍스트문자열을확인하거나, 메타문자를사용하여텍스트문자열의다양한변형을확인합니다. 특정애플리케이션트래픽의내용을확인하기위해정규식을사용할수있습니다. 예를들면 HTTP 패킷내에서 URL 문자열을확인할수있습니다. 시작하기전에 패킷에정규식을적용할때성능에미치는영향을보려면 regex 명령을명령참조에서참조하십시오. 일반적으로일치확인대상이긴입력문자열이거나다수의정규식인경우시스템성능이저하됩니다. 참고 최적화를위해 ASA 는난독화제거 URL 에서검색합니다. 난독화제거에서는여러슬래시 (/) 를단일슬래시로압축합니다. " 와같이일반적으로이중슬래시를사용하는문자열의경우 " 를대신검색해야합니다. 다음표에는특별한의미를지닌메타문자가나열되어있습니다. 표 12-3 정규식메타문자 문자 설명 참고. 점 단일문자와일치합니다. 예를들어 d.g는 dog, dag, dtg 및그러한문자가포함된단어 ( 예 : doggonnit) 와일치합니다. (exp) 하위식 하위식은문자를주변문자와분리하므로, 하위식에서기타메타문자를사용할수있습니다. 예를들어, d(o a)g는 dog 및 dag와일치하지만, do ag는 do 및 ag와일치합니다. 하위식을반복한정자와함께사용하면반복을의미하는문자를구분할수있습니다. 예를들어 ab(xy){3}z는 abxyxyxyz와같습니다. 대안 구분하는두가지식중하나와일치합니다. 예를들어 dog cat은 dog 또는 cat과일치합니다.? 물음표 이전식이 0 또는 1회반복됨을나타내는한정자입니다. 예를들어 lo?se는 lse 또는 lose와일치합니다. * 별표 이전식이 0, 1 또는임의의숫자만큼반복됨을나타내는한정자입니다. 예를들어 lo*se는 lse, lose, loose 등과일치합니다. + + 이전식이 1회이상반복됨을나타내는한정자입니다. 예를들어 lo+se는 lose 및 loose와일치하지만 lse와는일치하지않습니다

286 정규식컨피그레이션 12 장애플리케이션레이어프로토콜검사시작 표 12-3 정규식메타문자 ( 계속 ) 문자설명참고 {x} 또는 {x,} 최소반복한정자 최소 x 회반복됩니다. 예를들어 ab(xy){2,}z 는 abxyxyz, abxyxyxyz 등과일치합니다. [abc] 문자클래스 괄호안에있는모든문자와일치합니다. 예를들어 [abc] 는 a, b 또는 c와일치합니다. [^abc] 부정문자클래스 괄호에포함되지않은단일문자와일치합니다. 예를들어 [^abc] 는 a, b, 또는 c 이외의모든문자와일치합니다. [^A-Z] 는대문자가아닌모든단일문자와일치합니다. [a-c] 문자범위클래스 범위에있는모든문자와일치합니다. [a-z] 는모든소문자와일치합니다. 문자및범위를혼합할수있습니다. [abcq-z] 는 a, b, c, q, r, s, t, u, v, w, x, y, z와일치하며 [a-cq-z] 도마찬가지입니다. 대시 (-) 문자는괄호안의마지막문자또는첫번째문자인경우에만리터럴입니다 ( 예 : [abc-] 또는 [-abc]). "" 따옴표 문자열에있는선행또는후행공백을유지합니다. 예를들어 "test" 는일치항목을찾을때선행공백을유지합니다. ^ 캐럿 줄의시작을지정합니다. \ 이스케이프문자 메타문자와함께사용할경우리터럴문자와일치합니다. 예를들어 \[ 는왼쪽각괄호와일치합니다. char 문자 문자가메타문자가아닐경우리터럴문자와일치합니다. \r 캐리지리턴 캐리지리턴 0x0d와일치합니다. \n 새줄 새줄 0x0a와일치합니다. \t 탭 탭 0x09와일치합니다. \f 폼피드 폼피드 0x0c와일치합니다. \xnn 이스케이프된 16진수숫자 16진수 ( 정확히두자릿수 ) 를사용하는 ASCII 문자와일치합니다. \NNN 이스케이프된 8진수숫자 8진수 ( 정확히세자릿수 ) 를사용하는 ASCII 문자와일치합니다. 예를들어, 문자 040은공백을나타냅니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Regular Expressions( 정규식 ) 를선택합니다. 2 단계 Regular Expressions 영역에서다음중하나를수행합니다. 새객체를추가하려면 Add( 추가 ) 를클릭합니다. 이름과설명 ( 필요한경우 ) 을입력합니다. 기존객체를선택하고 Edit( 수정 ) 를클릭합니다. 3단계 Value 필드에정규식을입력하거나 Build( 구축 ) 를클릭하고정규식만들기에대한도움말을확인합니다. 정규식의길이는 100자로제한됩니다

287 12 장애플리케이션레이어프로토콜검사시작 정규식컨피그레이션 Build( 구축 ) 를클릭하는경우다음과정을사용하여정규식을만들수있습니다. a. 빌드스니펫영역에서다음옵션을사용하여정규식의컨피그레이션요소를만듭니다. 작성중인정규식을보려면이섹션끝부분의스니펫미리보기영역을확인하십시오. 행의처음부터시작 (^) - 캐럿 (^) 메타문자를사용하여코드조각이줄의시작부분에서시작되어야함을나타냅니다. 정규식의시작부분에서이옵션으로코드조각을삽입해야합니다. 문자열지정 - 단어나구문등특정문자열을확인하려는경우해당문자열을입력합니다. 있는그대로사용하려는텍스트문자열에메타문자가포함되어있는경우 Escape Special Characters( 특수문자이스케이프 ) 를선택하고해당문자앞에백슬래시 (\) 이스케이프문자를추가합니다. 예를들어 "example.com" 을입력한경우이옵션을사용하면 "example\.com" 으로변환됩니다. 대문자및소문자를확인하려면 Ignore Case를선택합니다. 예를들어 "cats" 는 "[cc][aa][tt][ss]" 로변환됩니다. Specify Character - 특정문구가아니라특정유형의문자또는문자집합을확인하려면이옵션을선택하고다음옵션으로문자를지정합니다. Negate the character - 식별하는문자와일치하지않도록지정합니다. Any character (.) - 모든문자와일치하도록마침표 (.) 메타문자를삽입합니다. 예를들어 d.g는 dog, dag, dtg 및그러한문자가포함된단어 ( 예 : doggonnit) 와일치합니다. Character set - 문자집합을삽입합니다. 텍스트는집합의모든문자와일치할수있습니다. 예를들어 [0-9A-Za-z] 를지정한경우이코드조각은 A부터 Z까지 ( 대문자또는소문자 ) 의모든문자또는 0부터 9까지의모든숫자를확인합니다. [\n\f\r\t] 집합은새줄, 폼피드, 캐리지리턴및탭을확인합니다. Special character - 이스케이프가필요한문자 (\,?, *, +,,., [, ( 또는 ^) 를삽입합니다. 이스케이프문자는백슬래시 (\) 이며, 이옵션을선택하면자동으로입력됩니다. Whitespace character - 공백문자에는 \n( 새줄 ), \f( 폼피드 ), \r( 캐리지리턴 ) 또는 \t( 탭 ) 이포함됩니다. Three digit octal number - 8진수 ( 최대 3자리 ) 로서의 ASCII 문자를확인합니다. 예를들어, 문자 \040은공백을나타냅니다. 백슬래시 (\) 는자동으로입력됩니다. Two digit hexadecimal number - 16진수 ( 정확히 2자리 ) 를사용하여 ASCII 문자를확인합니다. 백슬래시 (\) 는자동으로입력됩니다. Specified character - 단일문자를입력합니다. b. 다음버튼중하나를사용하여정규식상자에코드조각을추가합니다. 정규식을직접입력할수도있습니다. Append Snippet - 정규식끝에코드조각을추가합니다. Append Snippet as Alternate - 파이프 ( ) 로구분하여정규식끝에코드조각을추가합니다. 구분된두부분중하나와일치합니다. 예를들어 dog cat 은 dog 또는 cat 과일치합니다. Insert Snippet at Cursor - 커서에코드조각을삽입합니다. c. 정규식이완료될때까지이과정을반복하여코드조각을추가합니다. d. ( 선택사항 ) Selection Occurrences( 선택빈도 ) 에서, 일치로여겨지기위해서정규식또는그일부가텍스트에대해일치하는빈도를선택합니다. 정규식필드에서텍스트를선택하고다음옵션중하나를클릭한다음 Apply to Selection( 선택항목에적용 ) 을클릭합니다. 예를들어정규식이 "test me" 인경우 "me" 를선택하고 One or more times(1 회이상 ) 를적용하면, 해당정규식이 "test (me)+" 로변경됩니다. Zero or one times (?) - 이전식이 0 또는 1 회반복됩니다. 예를들어 lo?se 는 lse 또는 lose 와일치합니다

288 애플리케이션검사기록 12 장애플리케이션레이어프로토콜검사시작 One or more times (+) - 이전식이 1 회이상반복됩니다. 예를들어 lo+se 는 lose 및 loose 와일치하지만 lse 와는일치하지않습니다. Any number of times (*) - 이전식이 0, 1 또는임의의숫자만큼반복됩니다. 예를들어 lo*se 는 lse, lose, loose 등과일치합니다. At least - 최소 x 회반복됩니다. 예를들어 ab(xy){2,}z 는 abxyxyz, abxyxyxyz 등과일치합니다. Exactly - 정확히 x 회반복됩니다. 예를들어 ab(xy){3}z 는 abxyxyxyz 와같습니다. e. 식이원하는텍스트와일치하는지확인하려면 Test( 테스트 ) 를클릭합니다. 테스트가실패하면테스트대화상자에서식을수정하거나식작성기로돌아갑니다. 텍스트대화상자에서식을수정하고 OK( 확인 ) 를클릭하면수정내용이저장되고식작성기에반영됩니다. f. OK( 확인 ) 를클릭합니다. 정규식클래스맵만들기 정규식클래스맵은하나이상의정규식을식별합니다. 이맵은정규식객체모음입니다. 정규식객체대신많은경우정규식클래스맵을사용할수있습니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Regular Expressions( 정규식 ) 를선택합니다. 2 단계정규식클래스영역에서다음중하나를수행합니다. 새클래스맵을추가하려면 Add( 추가 ) 를클릭합니다. 이름과설명 ( 필요한경우 ) 을입력합니다. 기존클래스맵을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계맵에서원하는식을선택하고 Add( 추가 ) 를클릭합니다. 원하지않는식은제거하십시오. 4 단계 OK( 확인 ) 를클릭합니다. 애플리케이션검사기록 기능이름 릴리스 설명 검사정책맵 7.2(1) 검사정책맵이추가되었습니다. 추가된명령 : class-map type inspect 정규식및정책맵 7.2(1) 검사정책맵에서사용하기위해정규식과정책맵이추가되었습니다. 추가된명령 : class-map type regex, regex, match regex 검사정책맵을위한항목일치 8.0(2) 검사정책맵과사용할수있도록 match any 키워드가추가되었습니다. 트래픽이하나이상의기준을충족하면클래스맵과일치합니다. 전에는 match all만사용가능했습니다

289 13 장 기본인터넷프로토콜검사 다음항목에서는기본인터넷프로토콜에대한애플리케이션검사에대해설명합니다. 특정프로토콜에대해검사를사용해야하는이유및검사적용을위한전반적인방법에대해자세히알아보려면애플리케이션레이어프로토콜검사시작, 12-1 페이지를참조하십시오. DNS 검사, 13-1 페이지 FTP 검사, 13-7 페이지 HTTP 검사, 페이지 ICMP 검사, 페이지 ICMP 오류검사, 페이지 인스턴트메시징검사, 페이지 IP 옵션검사, 페이지 IPsec Pass Through 검사, 페이지 IPv6 검사, 페이지 NetBIOS 검사, 페이지 PPTP 검사, 페이지 SMTP 및확장 SMTP 검사, 페이지 TFTP 검사, 페이지 DNS 검사 다음섹션에서는 DNS 애플리케이션검사에대해설명합니다. DNS 검사, 13-2페이지 DNS 검사를위한기본값, 13-2페이지 DNS 검사컨피그레이션, 13-2페이지 DNS 검사모니터링, 13-7페이지 13-1

290 DNS 검사 13 장기본인터넷프로토콜검사 DNS 검사 DNS 검사는기본적으로활성화되어있습니다. 많은작업을수행할수있도록 DNS 검사를사용자지정할수있습니다. NAT 컨피그레이션을기반으로 DNS 레코드를변환합니다. 자세한내용은 DNS 및 NAT, 페이지를참조하십시오. 메시지길이, 도메인이름길이및레이블길이를적용합니다. DNS 메시지에서압축포인터가발견되는경우포인터에서참조하는도메인이름의무결성을확인합니다. 압축포인터루프가존재하는지확인합니다. DNS 헤더, 유형, 클래스등을기반으로패킷을검사합니다. DNS 검사를위한기본값 DNS 검사는기본적으로활성화되어있으며, preset_dns_map 검사클래스맵을사용합니다. 최대 DNS 메시지길이는 512 바이트입니다. 최대클라이언트 DNS 메시지길이는자동으로리소스레코드에맞게설정됩니다. DNS Guard 가활성화되어있으므로 ASA 에의해 DNS 회신이전달되자마자 ASA 에서 DNS 쿼리와관련된 DNS 세션을해제합니다. ASA 는또한 DNS 회신의 ID 가 DNS 쿼리의 ID 와일치하는지확인하기위해메시지교환을모니터링합니다. NAT 컨피그레이션을기반으로하는 DNS 레코드의변환이활성화되어있습니다. 프로토콜적용이활성화되고, 이에따라 DNS 메시지형식확인이활성화됩니다. 여기에는도메인이름길이최대 255 자, 레이블길이 63 자, 압축및반복되는포인터확인등이포함됩니다. DNS 검사컨피그레이션 DNS 검사는기본적으로활성화되어있습니다. 기본이외의처리를원하는경우에만구성해야합니다. DNS 검사를사용자지정하려면다음프로세스를사용합니다. 절차 1 단계 DNS 검사클래스맵컨피그레이션, 13-3 페이지 2 단계 DNS 검사정책맵컨피그레이션, 13-4 페이지 3 단계 DNS 검사서비스정책컨피그레이션, 13-6 페이지 13-2

291 13 장기본인터넷프로토콜검사 DNS 검사 DNS 검사클래스맵컨피그레이션 DNS 검사용트래픽클래스를정의하기위한 DNS 검사클래스맵을선택적으로만들수있습니다. 다른옵션은 DNS 검사정책맵에서직접트래픽클래스를정의하는것입니다. 클래스맵을만드는것과검사맵에서직접트래픽일치를정의하는것의차이는, 클래스맵에서는좀더복잡한일치기준을만들수있으며클래스맵을재사용할수있다는점입니다. 정보 아래에설명한절차외에도검사맵또는서비스정책을만드는동안클래스맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다. 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Class Maps( 클래스맵 ) > DNS 를선택합니다. 2 단계다음중하나를수행합니다. 새클래스맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계일치옵션 (Match All 또는 Match Any) 을선택합니다. Match All은기본값이며, 트래픽이모든기준과일치해야클래스맵과일치하는것임을의미합니다. Match Any( 항목일치 ) 는트래픽이최소하나의기준과일치하면클래스맵과일치하는것임을의미합니다. 5 단계일치테이블에서항목을추가하거나수정하여일치기준을구성합니다. 대상트래픽을정의하기위해필요한만큼추가합니다. a. 기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. 예를들어 "example.com" 문자열에대해 No Match( 일치하지않음 ) 를선택하면 "example.com" 을포함하는모든트래픽은클래스맵에서제외됩니다. b. 일치기준을선택하고해당값을정의합니다. 헤더플래그 - 플래그가지정된값과같아야하는지또는해당값을포함해야하는지를선택한후, 헤더플래그이름을선택하거나헤더의 16 진수값을입력합니다 (0x0~0xfff). 여러헤더값을선택하는경우 "equals" 를선택하면패킷에모든플래그가있어야하고, "contains" 를선택하면플래그중하나만있으면됩니다. 헤더플래그이름은 AA(Authoritative Answer), QR(Query), RA(Recursion Available), RD(Recursion Desired), TC(Truncation) 입니다. Type( 유형 ) - 패킷의 DNS 유형필드이름또는값입니다. 필드이름은 A(IPv4 address), AXFR(full zone transfer), CNAME(canonical name), IXFR(incremental zone transfer), NS(authoritative name server), SOA(start of a zone of authority) 또는 TSIG(transaction signature) 입니다. 값은 DNS 유형필드에서 0에서 사이의숫자로지정합니다. 특정값또는값의범위를입력합니다. Class( 클래스 ) - 패킷의 DNS 클래스필드이름또는값입니다. 사용할수있는필드이름은 Internet뿐입니다. 값은 DNS 클래스필드에서 0에서 사이의숫자로지정합니다. 특정값또는값의범위를입력합니다. 13-3

292 DNS 검사 13 장기본인터넷프로토콜검사 Question( 질문 ) - DNS 메시지의질문부분입니다. Resource Record( 리소스레코드 ) - DNS 리소스레코드로서추가, 응답또는권한리소스레코드섹션과의일치여부를선택합니다. c. OK( 확인 ) 를클릭합니다. 6단계 DNS Traffic Class Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 DNS 검사정책맵에서클래스맵을사용할수있습니다. DNS 검사정책맵컨피그레이션 네트워크에서기본검사동작만으로충분하지않은경우 DNS 검사정책맵을만들어 DNS 검사작업을사용자지정할수있습니다. 정보 아래에설명한절차외에도서비스정책을만드는동안검사맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다. 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > DNS 를선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 내용을볼맵을선택합니다. 보안수준을직접변경할수도있고, Customize( 사용자정의 ) 를클릭하여맵을편집할수도있습니다. 이절차의나머지부분에서는맵을사용자지정하거나추가한것으로가정합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계 DNS Inspect Map 대화상자의 Security Level 보기에서원하는컨피그레이션과가장일치하는수준을선택합니다. 기본수준은낮음입니다. 사전설정수준중요구사항과일치하는것이있으면모두완료된것입니다. OK( 확인 ) 를클릭하고, 이절차의나머지를건너뛰고, DNS 검사용서비스정책규칙의맵을사용합니다. 설정을더세부적으로사용자지정해야하는경우 Details( 세부사항 ) 를클릭한다음절차를계속진행합니다. 5 단계 Protocol Conformance 탭을클릭하고원하는옵션을구성합니다. Enable DNS guard function - DNS Guard 를사용하면, ASA 에의해 DNS 회신이전달되자마자 ASA 에서 DNS 쿼리와관련된 DNS 세션을해제합니다. ASA 는또한 DNS 회신의 ID 가 DNS 쿼리의 ID 와일치하는지확인하기위해메시지교환을모니터링합니다. Enable NAT re-write function - NAT 컨피그레이션을기반으로 DNS 레코드를변환합니다. Enable protocol enforcement - DNS 메시지형식확인이활성화됩니다. 여기에는도메인이름길이최대 255 자, 레이블길이 63 자, 압축및반복되는포인터확인등이포함됩니다. 13-4

293 13 장기본인터넷프로토콜검사 DNS 검사 DNS 쿼리에대한 DNS 식별자를임의로지정합니다. Enforce TSIG resource record to be present in DNS message - 일치하지않는패킷을삭제또는기록하거나, 선택적으로삭제된패킷을기록할수있습니다. 6 단계 Filtering 탭을클릭하고원하는옵션을구성합니다. 글로벌설정 - 클라이언트에서오든서버에서오든, 512~65535 바이트범위에서지정된최대길이를초과하는패킷을삭제할지여부를선택합니다. Server Settings - Drop packets that exceed specified maximum length 및 Drop packets sent to server that exceed length indicated by the RR - 최대서버 DNS 메시지길이 (512~65535 바이트 ) 를설정하거나, 최대길이를 Resource Record 의값으로설정합니다. 두설정을모두사용할경우더낮은값이사용됩니다. Client Settings - Drop packets that exceed specified maximum length 및 Drop packets sent to server that exceed length indicated by the RR - 최대클라이언트 DNS 메시지길이 (512~65535 바이트 ) 를설정하거나, 최대길이를 Resource Record 의값으로설정합니다. 두설정을모두사용할경우더낮은값이사용됩니다. 7 단계 Mismatch Rate 탭을클릭하고 DNS ID 불일치비율이지정된임계값을초과할경우기록할지여부를선택합니다. 예를들어, 3 초당불일치 30 개로임계값을설정할수있습니다. 8단계 Inspections 탭을클릭하고, 트래픽특성을기반으로구현할특정검사를정의합니다. DNS 클래스맵을기반으로하거나검사맵에서직접일치를구성하여또는두방법모두를사용하여트래픽일치기준을정의할수있습니다. a. 다음중하나를수행합니다. 새기준을추가하려면 Add( 추가 ) 를클릭합니다. 기존기준을선택하고 Edit( 수정 ) 를클릭합니다. b. 기준을직접정의하려면 Single Match 를선택합니다. Multiple Match 를선택하는경우에는기준을정의하는 DNS 클래스맵을선택할수있습니다 (DNS 검사클래스맵컨피그레이션, 13-3 페이지참조 ). c. 여기서기준을정의하는경우기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. 예를들어 "example.com" 문자열에대해 No Match( 일치하지않음 ) 를선택하면 "example.com" 을포함하는모든트래픽은클래스맵에서제외됩니다. 다음과같이기준을구성합니다. 헤더플래그 - 플래그가지정된값과같아야하는지또는해당값을포함해야하는지를선택한후, 헤더플래그이름을선택하거나헤더의 16 진수값을입력합니다 (0x0~0xfff). 여러헤더값을선택하는경우 "equals" 를선택하면패킷에모든플래그가있어야하고, "contains" 를선택하면플래그중하나만있으면됩니다. 헤더플래그이름은 AA(Authoritative Answer), QR(Query), RA(Recursion Available), RD(Recursion Desired), TC(Truncation) 입니다. Type( 유형 ) - 패킷의 DNS 유형필드이름또는값입니다. 필드이름은 A(IPv4 address), AXFR(full zone transfer), CNAME(canonical name), IXFR(incremental zone transfer), NS(authoritative name server), SOA(start of a zone of authority) 또는 TSIG(transaction signature) 입니다. 값은 DNS 유형필드에서 0 에서 사이의숫자로지정합니다. 특정값또는값의범위를입력합니다. Class( 클래스 ) - 패킷의 DNS 클래스필드이름또는값입니다. 사용할수있는필드이름은 Internet 뿐입니다. 값은 DNS 클래스필드에서 0 에서 사이의숫자로지정합니다. 특정값또는값의범위를입력합니다. Question( 질문 ) - DNS 메시지의질문부분입니다. Resource Record( 리소스레코드 ) - DNS 리소스레코드로서추가, 응답또는권한리소스레코드섹션과의일치여부를선택합니다. 13-5

294 DNS 검사 13 장기본인터넷프로토콜검사 d. 일치하는트래픽에대해수행할기본작업을 drop packet( 패킷삭제 ), drop connection( 연결삭제 ), mask (for Header Flag matches only)( 마스크 ( 헤더플래그일치에만해당 )) 또는 none ( 없음 ) 중에서선택합니다. e. 기록의활성화여부를선택합니다. TSIG 를적용하려면기록을비활성화해야합니다. f. TSIG 리소스레코드의상태적용여부를선택합니다. 패킷을삭제하거나, 기록하거나, 삭제하고기록할수있습니다. 일반적으로 TSIG 를적용하려면 Primary Action: None 및 Log: Disable 을선택해야합니다. 그러나 Header Flag 일치의경우마스크기본작업과함께 TSIG 를적용할수있습니다. g. 검사를추가하려면 OK( 확인 ) 를클릭합니다. 필요에따라이과정을반복합니다. 9단계 DNS Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 DNS 검사서비스정책의검사맵을사용할수있습니다. DNS 검사서비스정책컨피그레이션 기본 ASA 컨피그레이션에는모든인터페이스에전역적으로적용되는기본포트에대한 DNS 검사가포함됩니다. 검사컨피그레이션을사용자지정하기위한일반적인방법은기본글로벌정책을사용자지정하는것입니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. DNS 검사규칙이있거나 DNS 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 ( 사용중인정책을변경하려면 ) 다른 DNS 검사정책맵을사용하기위해현재사용중인정책을수정하려면 DNS 검사를비활성화한다음새 DNS 검사정책맵이름으로다시활성화해야합니다. a. DNS 확인란의선택을취소합니다. b. OK( 확인 ) 를클릭합니다. c. Apply( 적용 ) 를클릭합니다. d. 프로토콜검사탭으로돌아가려면이러한단계를반복합니다. 4 단계 DNS 를선택합니다. 5 단계기본검사이외의검사를원하는경우 Configure 를클릭하고다음을수행합니다. a. 기본맵을사용할지, 자신이구성한 DNS 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은 DNS 검사정책맵컨피그레이션, 13-4 페이지를참조하십시오. 13-6

295 13 장기본인터넷프로토콜검사 FTP 검사 b. Botnet Traffic Filter 를사용하는경우 Enable DNS snooping 을선택합니다. 외부 DNS 요청이이동하는인터페이스에서만 DNS 스누핑을활성화하는것이좋습니다. 내부 DNS 서버로이동하는트래픽을포함하여모든 UDP DNS 트래픽에서 DNS 스누핑을활성화하면 ASA 에불필요한로드가발생합니다. 암호화된 SIP 트래픽을검사하려면 Enable encrypted traffic inspection( 암호화된트래픽검사활성화 ) 을선택하고 TLS 프록시를선택합니다 ( 필요한경우 Manage( 관리 ) 를클릭하여만들수있음 ). 예를들어, DNS 서버가외부인터페이스에있으면외부인터페이스의모든 UDP DNS 트래픽에대해스누핑과함께 DNS 검사를활성화해야합니다. c. Select DNS Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 6 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다. DNS 검사모니터링 현재 DNS 연결에대한정보를보려면 Tools( 도구 ) > Command Line Interface( 명령줄인터페이스 ) 에서다음명령을입력하거나 Monitoring( 모니터링 ) > Properties( 속성 ) > Connections( 연결 ) 를사용합니다. hostname# show conn DNS 서버를사용하는연결에대해, 연결의소스포트를 show conn 명령출력에있는 DNS 서버의 IP 주소와교체할수있습니다. 여러 DNS 세션이동일한두호스트간에존재하고세션의 5튜플 ( 소스 / 대상 IP 주소, 소스 / 대상포트및프로토콜 ) 이동일한경우여러 DNS 세션에대해단일연결이생성됩니다. DNS 식별은 app_id에의해추적되며, 각 app_id의유휴타이머는독립적으로실행됩니다. app_id는독립적으로만료되므로, 정상적인 DNS 응답만이제한된기간내에보안어플라이언스를통과할수있으며리소스빌드업은없습니다. 그러나 show conn 명령을입력하면 DNS 연결의유휴타이머가새로운 DNS 세션에의해재설정되는것을확인할수있습니다. 이는공유 DNS 연결의본질때문이며의도적인설정입니다. DNS 애플리케이션검사의통계를표시하려면 show service-policy 명령을입력합니다. 다음은 show service-policy 명령의샘플출력입니다. hostname# show service-policy Interface outside: Service-policy: sample_policy Class-map: dns_port Inspect: dns maximum-length 1500, packet 0, drop 0, reset-drop 0 FTP 검사 다음섹션에서는 FTP 검사엔진에대해설명합니다. FTP 검사개요, 13-8페이지 엄격한 FTP, 13-8페이지 FTP 검사컨피그레이션, 13-9페이지 FTP 검사확인및모니터링, 13-13페이지 13-7

296 FTP 검사 13 장기본인터넷프로토콜검사 FTP 검사개요 FTP 애플리케이션검사는 FTP 세션을검사하고 4 가지작업을수행합니다. 동적보조데이터연결준비 FTP 명령 - 응답시퀀스추적 감사추적생성 포함된 IP 주소변환 FTP 애플리케이션검사는 FTP 데이터전송을위한보조채널을준비합니다. 이러한채널용포트는 PORT 또는 PASV 명령을통해협상됩니다. 파일업로드, 파일다운로드또는디렉토리나열이벤트에대한응답으로채널이할당됩니다. 참고 no inspect ftp 명령으로 FTP 검사엔진을비활성화하면아웃바운드사용자는패시브모드에서만연결을시작할수있으며모든인바운드 FTP 는비활성화됩니다. 엄격한 FTP 엄격한 FTP는웹브라우저가 FTP 요청에포함된명령을전송하지못하게함으로써보호네트워크의보안을강화합니다. 엄격한 FTP를사용하려면 Configuration > Firewall > Service Policy Rules > Edit Service Policy Rule > Rule Actions > Protocol Inspection 탭에서 FTP 옆에있는 Configure 버튼을클릭합니다. 엄격한 FTP를사용할때에는 ASA를통과할수없는 FTP 명령을지정하기위해선택적으로 FTP 검사정책맵을지정할수있습니다. 인터페이스에서 strict 옵션을활성화하면 FTP 검사에서다음동작을적용합니다. ASA 에서새명령을허용하려면우선 FTP 명령을인식해야합니다. ASA 는포함된명령을전송하는연결을삭제합니다. 227 및 PORT 명령이오류문자열에나타나지않는지확인합니다. 주의 strict 옵션을사용하면 FTP RFC 를엄격하게준수하지않는 FTP 클라이언트가실패할수있습니다. strict 옵션이활성화되면 FTP 명령및응답시퀀스에서다음과같은비정상적인활동이추적됩니다. 잘린명령 - PORT 및 PASV 회신명령에쉼표가 5 개있는지확인합니다. 5 개가아니면 PORT 명령이잘린것으로간주되어 TCP 연결이닫힙니다. 부정확한명령 - RFC 에서규정한대로 FTP 명령이 <CR><LF> 문자로끝나는지확인합니다. 그렇지않으면연결이닫힙니다. RETR 및 STOR 명령의크기 - 고정상수를기준으로검토됩니다. 크기가더크면오류메시지가기록되고연결이닫힙니다. 명령스푸핑 - PORT 명령은항상클라이언트에서전송되어야합니다. PORT 명령이서버에서전송되면 TCP 연결이거부됩니다. 회신스푸핑 - PASV 회신명령 (227) 은항상서버에서전송되어야합니다. PASV 회신명령이클라이언트에서전송되면 TCP 연결이거부됩니다. 이렇게하여사용자가 "227 xxxxx a1, a2, a3, a4, p1, p2" 를실행할경우보안허점을방지합니다. TCP 스트림수정 - TCP 스트림수정이감지되면 ASA 는연결을닫습니다. 13-8

297 13 장기본인터넷프로토콜검사 FTP 검사 잘못된포트협상 - 협상된동적포트값이 1024 미만인지확인합니다. 1~1024 범위의포트번호는잘알려진연결에예약되어있으므로협상된포트가이범위에있지않으면 TCP 연결이해제됩니다. 명령파이프라인 - PORT 및 PASV 회신명령에서포트번호이후에나오는문자의수를상수값 8 로확인합니다. 8 보다크면 TCP 연결이종료됩니다. ASA 에서 FTP 서버응답을일련의 Xs. 이포함된 SYST 명령으로대체하여시스템유형이 FTP 클라이언트에게노출되지않도록서버를보호합니다. 이기본동작을재지정하려면 FTP 맵에서 no mask-syst-reply 명령을사용합니다. FTP 검사컨피그레이션 FTP 검사는기본적으로사용됩니다. 기본이외의처리를원하는경우에만구성해야합니다. FTP 검사를사용자지정하려면다음프로세스를사용합니다. 절차 1 단계 FTP 검사클래스맵컨피그레이션, 13-9 페이지 2 단계 FTP 검사정책맵컨피그레이션, 페이지 3 단계 FTP 검사서비스정책컨피그레이션, 페이지 FTP 검사클래스맵컨피그레이션 FTP 검사용트래픽클래스를정의하기위한 FTP 검사클래스맵을선택적으로만들수있습니다. 다른옵션은 FTP 검사정책맵에서직접트래픽클래스를정의하는것입니다. 클래스맵을만드는것과검사맵에서직접트래픽일치를정의하는것의차이는, 클래스맵에서는좀더복잡한일치기준을만들수있으며클래스맵을재사용할수있다는점입니다. 정보 아래에설명한절차외에도검사맵또는서비스정책을만드는동안클래스맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다. 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Class Maps( 클래스맵 ) > FTP 를선택합니다. 2 단계다음중하나를수행합니다. 새클래스맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 13-9

298 FTP 검사 13 장기본인터넷프로토콜검사 4단계일치옵션 (Match All 또는 Match Any) 을선택합니다. Match All은기본값이며, 트래픽이모든기준과일치해야클래스맵과일치하는것임을의미합니다. Match Any( 항목일치 ) 는트래픽이최소하나의기준과일치하면클래스맵과일치하는것임을의미합니다. 5 단계일치테이블에서항목을추가하거나수정하여일치기준을구성합니다. 대상트래픽을정의하기위해필요한만큼추가합니다. a. 기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. 예를들어 "example.com" 문자열에대해 No Match( 일치하지않음 ) 를선택하면 "example.com" 을포함하는모든트래픽은클래스맵에서제외됩니다. b. 일치기준을선택하고해당값을정의합니다. File Name( 파일이름 ) - 전송되는파일의이름을선택한정규식또는정규식클래스와맞춰봅니다. File Type( 파일유형 ) - 전송되는파일의 MIME 또는미디어유형을선택한정규식또는정규식클래스와맞춰봅니다. Server( 서버 ) - FTP 서버이름을선택한정규식또는정규식클래스와맞춰봅니다. Use( 사용자 )r - 로그인한사용자의이름을선택한정규식또는정규식클래스와맞춰봅니다. Request Command( 요청명령 ) - 패킷에사용되는 FTP 명령으로, 다음이임의로조합됩니다. APPE - 파일에추가합니다. CDUP - 현재작업디렉토리의상위디렉토리로변경합니다. DELE - 서버의파일을삭제합니다. GET - 서버에서파일을가져옵니다. HELP - 도움말정보를제공합니다. MKD - 서버에디렉토리를만듭니다. PUT - 파일을서버로전송합니다. RMD - 서버에서디렉토리를삭제합니다. RNFR - "rename-from" 파일이름을지정합니다. RNTO - "rename-to" 파일이름을지정합니다. SITE - 서버전용명령을지정하는데사용됩니다. 주로원격관리에사용됩니다. STOU - 고유한파일이름을사용하여파일을저장합니다. c. OK( 확인 ) 를클릭합니다. 6단계 FTP Traffic Class Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 FTP 검사정책맵에서클래스맵을사용할수있습니다. FTP 검사정책맵컨피그레이션 보안및제어기능향상을위해 FTP 명령필터링및보안점검은엄격한 FTP 검사를사용해제공됩니다. 프로토콜준수항목에는패킷길이점검, 구분기호및패킷형식점검, 명령종결자점검, 명령검증등이포함됩니다. 사용자값을기반으로하는 FTP 차단도지원되므로 FTP 사이트에다운로드할파일을게시할수있지만특정사용자의액세스는제한됩니다. 파일형식, 서버이름및기타특성을기반으로 FTP 연결을차단할수있습니다. 검사후 FTP 연결이거부되면시스템메시지로그가생성됩니다

299 13 장기본인터넷프로토콜검사 FTP 검사 FTP 검사에서 FTP 서버가시스템유형을 FTP 클라이언트에공개하도록허용하고허용되는 FTP 명령을제한하려면 FTP 검사정책맵을만들고구성하십시오. 그러면 FTP 검사를사용할때맵을적용할수있습니다. 정보 아래에설명한절차외에도서비스정책을만드는동안검사맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다. 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > FTP 를선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 내용을볼맵을선택합니다. 보안수준을직접변경할수도있고, Customize( 사용자정의 ) 를클릭하여맵을편집할수도있습니다. 이절차의나머지부분에서는맵을사용자지정하거나추가한것으로가정합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계 FTP Inspect Map 대화상자의 Security Level 보기에서원하는컨피그레이션과가장일치하는수준을선택합니다. 기본수준은 High입니다. 사전설정수준중요구사항과일치하는것이있으면모두완료된것입니다. OK( 확인 ) 를클릭하고, 이절차의나머지를건너뛰고, FTP 검사용서비스정책규칙의맵을사용합니다. 설정을더세부적으로사용자지정해야하는경우 Details( 세부사항 ) 를클릭한다음절차를계속진행합니다. 정보 File Type Filtering 버튼은이절차의뒷부분에서설명한파일미디어또는 MIME 유형검사를구성하기위한바로가기입니다. 5단계 Parameters 탭을클릭하고서버의인사배너또는 SYST 명령에대한회신을마스크처리할지여부를선택합니다. 이러한항목을마스크처리하면클라이언트가서버정보를알아내지못하므로공격을차단하는데도움이될수있습니다. 6단계 Inspections 탭을클릭하고, 트래픽특성을기반으로구현할특정검사를정의합니다. FTP 클래스맵을기반으로하거나검사맵에서직접일치를구성하여또는두방법모두를사용하여트래픽일치기준을정의할수있습니다. a. 다음중하나를수행합니다. 새기준을추가하려면 Add( 추가 ) 를클릭합니다. 기존기준을선택하고 Edit( 수정 ) 를클릭합니다. b. 기준을직접정의하려면 Single Match 를선택합니다. Multiple Match 를선택하는경우에는기준을정의하는 FTP 클래스맵을선택할수있습니다 (FTP 검사클래스맵컨피그레이션, 13-9 페이지참조 )

300 FTP 검사 13 장기본인터넷프로토콜검사 c. 여기서기준을정의하는경우기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. 예를들어 "example.com" 문자열에대해 No Match( 일치하지않음 ) 를선택하면 "example.com" 을포함하는모든트래픽은클래스맵에서제외됩니다. 그런다음 FTP 검사클래스맵컨피그레이션, 13-9 페이지에서설명한대로기준을구성합니다. d. 기록의활성화여부를선택합니다. 작업은항상연결을재설정하는것입니다. 즉, 패킷을삭제하고, 연결을닫고, TCP 재설정을서버나클라이언트로전송합니다. e. 검사를추가하려면 OK( 확인 ) 를클릭합니다. 필요에따라이과정을반복합니다. 7단계 FTP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 FTP 검사서비스정책의검사맵을사용할수있습니다. FTP 검사서비스정책컨피그레이션 기본 ASA 컨피그레이션에는모든인터페이스에전역적으로적용되는기본포트에대한 FTP 검사가포함됩니다. 검사컨피그레이션을사용자지정하기위한일반적인방법은기본글로벌정책을사용자지정하는것입니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. FTP 검사규칙이있거나 FTP 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 ( 사용중인정책을변경하려면 ) 다른 FTP 검사정책맵을사용하기위해현재사용중인정책을수정하려면 FTP 검사를비활성화한다음새 FTP 검사정책맵이름으로다시활성화해야합니다. a. FTP 확인란의선택을취소합니다. b. OK( 확인 ) 를클릭합니다. c. Apply( 적용 ) 를클릭합니다. d. 프로토콜검사탭으로돌아가려면이러한단계를반복합니다. 4 단계 FTP 를선택합니다. 5 단계기본검사이외의검사를원하는경우 Configure 를클릭하고다음을수행합니다. a. Use Strict FTP 를선택합니다. b. 기본맵을사용할지, 자신이구성한 FTP 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은 FTP 검사정책맵컨피그레이션, 페이지를참조하십시오. c. Select FTP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 6 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다

301 13 장기본인터넷프로토콜검사 HTTP 검사 FTP 검사확인및모니터링 FTP 애플리케이션검사는다음로그메시지를생성합니다. 검색하거나업로드하는각파일에대해감사레코드 가생성됩니다. FTP 명령이 RETR 또는 STOR 인지를확인하고, retrieve 및 store 명령이기록됩니다. IP 주소를제공하는테이블을조회하여사용자이름을가져옵니다. 사용자이름, 소스 IP 주소, 수신 IP 주소, NAT 주소및파일작업이기록됩니다. 메모리가부족하여보조동적채널준비가실패하면감사레코드 가생성됩니다. FTP 애플리케이션검사는 NAT와함께애플리케이션페이로드내에서 IP 주소를변환합니다. 이내용은 RFC 959에자세히설명되어있습니다. HTTP 검사 다음섹션에서는 HTTP 검사엔진에대해설명합니다. HTTP 검사개요, 13-13페이지 HTTP 검사컨피그레이션, 13-14페이지 HTTP 검사개요 정보 애플리케이션및 URL 필터링을수행하는서비스모듈을설치할수있습니다. 여기에는 ASA CX 또는 ASA FirePOWER 등의 HTTP 검사가포함됩니다. ASA 에서실행되는 HTTP 검사는이러한모듈과호환되지않습니다. HTTP 검사정책맵을사용하여 ASA 에서수동으로구성하는것보다특수모듈을사용해애플리케이션필터링을구성하는것이훨씬쉽습니다. 특정공격및 HTTP 트래픽과관련된기타위협으로부터보호하려면 HTTP 검사엔진을사용하십시오. HTTP 애플리케이션검사는 HTTP 헤더와본문을스캔하고데이터에대해다양한점검을수행합니다. 이러한점검은 HTTP 구조, 콘텐츠유형, 터널링및메시징프로토콜이보안어플라이언스를통과하지못하게합니다. 애플리케이션방화벽이라고도하며 HTTP 검사정책맵을구성할때이용할수있는고급 HTTP 검사기능은네트워크보안정책을우회하기위해 HTTP 메시지를사용하려는공격자를차단하는데도움이될수있습니다. HTTP 애플리케이션검사는악의적인콘텐츠가웹서버에도달하지못하도록 HTTP 요청및응답에서비 ASCII 문자및터널링된애플리케이션을차단할수있습니다. HTTP 요청및응답헤더에서다양한요소의크기제한, URL 차단, HTTP 서버헤더유형스푸핑등도지원됩니다. 고급 HTTP 검사는모든 HTTP 메시지에서다음을확인합니다. RFC 2616 에적합한지여부 RFC 정의메서드만사용하는지여부 추가기준을따르는지여부 13-13

302 HTTP 검사 13 장기본인터넷프로토콜검사 HTTP 검사컨피그레이션 HTTP 검사는기본적으로사용되지않습니다. HTTP 검사및애플리케이션필터링에특수모듈 ( 예 : ASA CX 또는 ASA FirePOWER) 을사용하지않는경우다음프로세스를사용하여 ASA 에서 HTTP 검사를수동으로구성할수있습니다. 정보서비스모듈과 ASA 모두에서 HTTP 검사를구성하지마십시오. 두검사는호환되지않습니다. 절차 1 단계 HTTP 검사클래스맵컨피그레이션, 페이지 2 단계 HTTP 검사정책맵컨피그레이션, 페이지 3 단계 HTTP 검사서비스정책컨피그레이션, 페이지 HTTP 검사클래스맵컨피그레이션 HTTP 검사용트래픽클래스를정의하기위한 HTTP 검사클래스맵을선택적으로만들수있습니다. 다른옵션은 HTTP 검사정책맵에서직접트래픽클래스를정의하는것입니다. 클래스맵을만드는것과검사맵에서직접트래픽일치를정의하는것의차이는, 클래스맵에서는좀더복잡한일치기준을만들수있으며클래스맵을재사용할수있다는점입니다. 정보 아래에설명한절차외에도검사맵또는서비스정책을만드는동안클래스맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다. 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Class Maps( 클래스맵 ) > HTTP 를선택합니다. 2 단계다음중하나를수행합니다. 새클래스맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4 단계일치옵션 (Match All 또는 Match Any) 을선택합니다. Match All 은기본값이며, 트래픽이모든기준과일치해야클래스맵과일치하는것임을의미합니다. Match Any( 항목일치 ) 는트래픽이최소하나의기준과일치하면클래스맵과일치하는것임을의미합니다

303 13 장기본인터넷프로토콜검사 HTTP 검사 5 단계일치테이블에서항목을추가하거나수정하여일치기준을구성합니다. 대상트래픽을정의하기위해필요한만큼추가합니다. a. 기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. 예를들어 "example.com" 문자열에대해 No Match( 일치하지않음 ) 를선택하면 "example.com" 을포함하는모든트래픽은클래스맵에서제외됩니다. b. 일치기준을선택하고해당값을정의합니다. Request/Response Content Type Mismatch( 요청 / 응답콘텐츠유형불일치 ) - 응답의콘텐츠유형이요청의 accept 필드에있는 MIME 유형중하나와일치하지않는경우패킷을확인합니다. Request Arguments( 요청인수 ) - 요청의인수를선택한정규식또는정규식클래스와맞춰봅니다. Request Body Length( 요청본문길이 ) - 요청의본문이지정된바이트보다큰경우패킷을확인합니다. Request Body( 요청본문 ) - 요청의본문을선택한정규식또는정규식클래스와맞춰봅니다. Request Header Field Count( 요청헤더필드수 ) - 요청에있는헤더필드의숫자가지정된수보다큰경우패킷을확인합니다. 필드헤더유형을정규식또는미리정의된유형과맞춰볼수있습니다. 미리정의된유형은다음과같습니다. accept, accept-charset, accept-encoding, accept-language, allow, authorization, cache-control, connection, content-encoding, content-language, content-length, content-location, content-md5, content-range, content-type, cookie, date, expect, expires, from, host, if-match, if-modified-since, if-none-match, if-range, if-unmodified-since, last-modified, max-forwards, pragma, proxy-authorization, range, referer, te, trailer, transfer-encoding, upgrade, user-agent, via, warning Request Header Field Length( 요청헤더필드길이 ) - 요청에있는헤더필드의길이가지정된바이트보다큰경우패킷을확인합니다. 필드헤더유형을정규식또는미리정의된유형과맞춰볼수있습니다. 미리정의된유형은 Request Header Field Count( 요청헤더필드수 ) 에나열됩니다. Request Header Field( 요청헤더필드 ) - 요청에서선택한헤더필드의내용을선택한정규식또는정규식클래스와맞춰봅니다. 미리정의된헤더유형을지정할수도있고정규식을사용하여헤더를선택할수도있습니다. Request Header Count( 요청헤더수 ) - 요청에있는헤더의숫자가지정된수보다큰경우패킷을확인합니다. Request Header Length( 요청헤더길이 ) - 요청에있는헤더의길이가지정된바이트보다큰경우패킷을확인합니다. Request Header Non-ASCII( 요청헤더비 ASCII) - 요청에있는헤더에비 ASCII 문자가포함된경우패킷을확인합니다. Request Method( 요청메서드 ) - 요청메서드가미리정의된유형, 선택한정규식또는정규식클래스와일치하는경우패킷을확인합니다. 미리정의된유형은다음과같습니다. bcopy, bdelete, bmove, bpropfind, bproppatch, connect, copy, delete, edit, get, getattribute, getattributenames, getproperties, head, index, lock, mkcol, mkdir, move, notify, options, poll, post, propfind, proppatch, put, revadd, revlabel, revlog, revnum, save, search, setattribute, startrev, stoprev, subscribe, trace, unedit, unlock, unsubscribe Request URI Length( 요청 URI 길이 ) - 요청의 URI 길이가지정된바이트보다큰경우패킷을확인합니다

304 HTTP 검사 13 장기본인터넷프로토콜검사 Request URI( 요청 URI) - 요청의 URI 내용을선택한정규식또는정규식클래스와맞춰봅니다. Request Body( 요청본문 ) - 요청의본문을선택한정규식또는정규식클래스, ActiveX 또는 Java 애플릿내용과맞춰봅니다. Response Body Length( 응답본문길이 ) - 응답본문의길이가지정된바이트보다큰경우패킷을확인합니다. Response Header Field Count( 응답헤더필드수 ) - 응답에있는헤더필드의숫자가지정된수보다큰경우패킷을확인합니다. 필드헤더유형을정규식또는미리정의된유형과맞춰볼수있습니다. 미리정의된유형은다음과같습니다. accept-ranges, age, allow, cache-control, connection, content-encoding, content-language, content-length, content-location, content-md5, content-range, content-type, date, etag, expires, last-modified, location, pragma, proxy-authenticate, retry-after, server, set-cookie, trailer, transfer-encoding, upgrade, vary, via, warning, www-authenticate Response Header Field Length( 응답헤더필드길이 ) - 응답에있는헤더필드의길이가지정된바이트보다큰경우패킷을확인합니다. 필드헤더유형을정규식또는미리정의된유형과맞춰볼수있습니다. 미리정의된유형은 Response Header Field Count( 응답헤더필드수 ) 위에나열됩니다. Response Header Field( 응답헤더필드 ) - 응답에서선택한헤더필드의내용을선택한정규식또는정규식클래스와맞춰봅니다. 미리정의된헤더유형을지정할수도있고정규식을사용하여헤더를선택할수도있습니다. Response Header Count( 응답헤더수 ) - 응답에있는헤더의숫자가지정된수보다큰경우패킷을확인합니다. Response Header Length( 응답헤더길이 ) - 응답에있는헤더의길이가지정된바이트보다큰경우패킷을확인합니다. Response Header Non-ASCII( 응답헤더비 ASCII) - 응답에있는헤더에비 ASCII 문자가포함된경우패킷을확인합니다. Response Status Line( 응답상태줄 ) - 응답상태줄의내용을선택한정규식또는정규식클래스와맞춰봅니다. c. OK( 확인 ) 를클릭합니다. 6단계 HTTP Traffic Class Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 HTTP 검사정책맵에서클래스맵을사용할수있습니다. HTTP 검사정책맵컨피그레이션 메시지가매개변수를위반하는경우의작업을지정하려면 HTTP 검사정책맵을만듭니다. 그러면 HTTP 검사를사용할때검사정책맵을적용할수있습니다. 정보 아래에설명한절차외에도서비스정책을만드는동안검사맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다. 시작하기전에일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오

305 13 장기본인터넷프로토콜검사 HTTP 검사 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > HTTP 를선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 내용을볼맵을선택합니다. 보안수준을직접변경할수도있고, Customize( 사용자정의 ) 를클릭하여맵을편집할수도있습니다. 이절차의나머지부분에서는맵을사용자지정하거나추가한것으로가정합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계 HTTP Inspect Map 대화상자의 Security Level 보기에서원하는컨피그레이션과가장일치하는수준을선택합니다. 기본수준은낮음입니다. 사전설정수준중요구사항과일치하는것이있으면모두완료된것입니다. OK( 확인 ) 를클릭하고, 이절차의나머지를건너뛰고, HTTP 검사용서비스정책규칙의맵을사용합니다. 설정을더세부적으로사용자지정해야하는경우 Details( 세부사항 ) 를클릭한다음절차를계속진행합니다. 정보 URI Filtering 버튼은이절차의뒷부분에서설명한 Request URI 검사를구성하기위한바로가기입니다. 5 단계 Parameters 탭을클릭하고원하는옵션을구성합니다. Body Match Maximum - 본문일치에서검색가능한 HTTP 메시지본문의최대문자수를설정합니다. 기본값은 200 바이트입니다. 숫자가커지면성능에큰영향을미치게됩니다. Check for protocol violations - 패킷이 HTTP 프로토콜을준수하는지의확인여부를설정합니다. 위반이발견되는경우패킷을삭제하거나재설정하거나기록할수있습니다. 삭제또는재설정할경우기록도활성화할수있습니다. Spoof server string - 서버 HTTP 헤더값을지정된문자열 ( 최대 82 자 ) 로교체합니다. 6단계 Inspections 탭을클릭하고, 트래픽특성을기반으로구현할특정검사를정의합니다. HTTP 클래스맵을기반으로하거나검사맵에서직접일치를구성하여또는두방법모두를사용하여트래픽일치기준을정의할수있습니다. a. 다음중하나를수행합니다. 새기준을추가하려면 Add( 추가 ) 를클릭합니다. 기존기준을선택하고 Edit( 수정 ) 를클릭합니다. b. 기준을직접정의하려면 Single Match 를선택합니다. Multiple Match 를선택하는경우에는기준을정의하는 HTTP 클래스맵을선택할수있습니다 (HTTP 검사클래스맵컨피그레이션, 페이지참조 ). c. 여기서기준을정의하는경우기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. 예를들어 "example.com" 문자열에대해 No Match( 일치하지않음 ) 를선택하면 "example.com" 을포함하는모든트래픽은클래스맵에서제외됩니다. 그런다음 HTTP 검사클래스맵컨피그레이션, 페이지에서설명한대로기준을구성합니다. d. 연결을삭제할지재설정할지또는기록할지를선택합니다. 연결을삭제및재설정하는경우기록을활성화또는비활성화할수있습니다. e. 검사를추가하려면 OK( 확인 ) 를클릭합니다. 필요에따라이과정을반복합니다

306 HTTP 검사 13 장기본인터넷프로토콜검사 7단계 HTTP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 HTTP 검사서비스정책의검사맵을사용할수있습니다. HTTP 검사서비스정책컨피그레이션 HTTP 검사는기본검사정책에서활성화되지않으므로이검사가필요한경우직접활성화해야합니다. 그러나기본검사클래스에는기본 HTTP 포트가포함되어있지않으므로, 기본글로벌검사정책을수정하여 HTTP 검사를추가하면됩니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 0 > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. HTTP 검사규칙이있거나 HTTP 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 ( 사용중인정책을변경하려면 ) 다른 HTTP 검사정책맵을사용하기위해현재사용중인정책을수정하려면 HTTP 검사를비활성화한다음새 HTTP 검사정책맵이름으로다시활성화해야합니다. a. HTTP 확인란의선택을취소합니다. b. OK( 확인 ) 를클릭합니다. c. Apply( 적용 ) 를클릭합니다. d. 프로토콜검사탭으로돌아가려면이러한단계를반복합니다. 4 단계 HTTP 를선택합니다. 5 단계기본검사이외의검사를원하는경우 Configure 를클릭하고다음을수행합니다. a. 기본맵을사용할지, 자신이구성한 HTTP 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은 HTTP 검사정책맵컨피그레이션, 페이지를참조하십시오. b. Select HTTP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 6 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다

307 13 장기본인터넷프로토콜검사 ICMP 검사 ICMP 검사 The ICMP 검사엔진은 TCP 및 UDP 트래픽처럼검사할수있는 "session" 을 ICMP 트래픽에포함하도록허용합니다. ICMP 검사엔진이없는경우에는 ICMP가 ACL에서 ASA를통과하도록허용하지않는것이좋습니다. 상태저장검사가없으면 ICMP가네트워크를공격하는데사용될수있습니다. ICMP 검사엔진을사용하면각요청에대해하나의응답만존재할수있으며시퀀스번호의정확성이보장됩니다. 그러나 ASA 인터페이스로전달된 ICMP 트래픽은 ICMP 검사를활성화하는경우에도검사되지않습니다. 따라서 ASA가백업기본경로를통해도달할수있는소스에서에코요청이오는경우등의특정상황에서는인터페이스에대한 ping( 에코요청 ) 이실패할수있습니다. ICMP 검사사용에대한자세한내용은애플리케이션레이어프로토콜검사컨피그레이션, 12-8페이지를참조하십시오. ICMP 오류검사 ICMP 오류검사가활성화되면 ASA는 NAT 컨피그레이션을기반으로 ICMP 오류메시지를전송하는중간홉 (hop) 에대한변환세션을만듭니다. ASA는패킷을변환된 IP 주소로덮어씁니다. 이검사가비활성화되면 ASA는 ICMP 오류메시지를생성하는중간노드용변환세션을만들지않습니다. 내부호스트와 ASA 사이의중간노드에의해생성되는 ICMP 오류메시지는 NAT 리소스를추가로소모하지않은채외부호스트에도달합니다. 외부호스트가 traceroute 명령을사용하여 ASA의내부에있는대상에대한홉을추적하는경우에는이방법이바람직하지않습니다. ASA가중간홉을변환하지않는경우모든중간홉은매핑된대상 IP 주소로나타납니다. 원래패킷에서 5튜플을검색할수있도록 ICMP 페이로드스캔이수행됩니다. 검색된 5튜플을사용하여클라이언트의원래주소를확인하기위한조회가수행됩니다. ICMP 오류검사엔진은 ICMP 패킷을다음과같이변경합니다. IP 헤더 - 매핑된 IP 가실제 IP( 수신주소 ) 로변경되고 IP 체크섬이수정됩니다. ICMP 헤더 - ICMP 패킷의변경으로인해 ICMP 체크섬이수정됩니다. 페이로드변경사항 : 원래패킷의매핑된 IP 가실제 IP 로변경됨 원래패킷의매핑된포트가실제포트로변경됨 원래패킷 IP 체크섬이다시계산됨 ICMP 오류검사사용에대한자세한내용은애플리케이션레이어프로토콜검사컨피그레이션, 12-8페이지를참조하십시오. 인스턴트메시징검사 IM 검사엔진을사용하면 IM의네트워크사용량을제어할수있으며기밀데이터유출, 웜의전파및기업네트워크에대한기타위협을막을수있습니다. IM 검사는기본적으로사용되지않습니다. IM 검사를사용하려면구성해야합니다. 절차 1 단계 IM 검사정책맵컨피그레이션, 페이지 2 단계 IM 검사서비스정책컨피그레이션, 페이지 13-19

308 인스턴트메시징검사 13 장기본인터넷프로토콜검사 IM 검사정책맵컨피그레이션 메시지가매개변수를위반하는경우의작업을지정하려면 IM 검사정책맵을만듭니다. 그러면 IM 검사를사용할때검사정책맵을적용할수있습니다. IM 검사용트래픽클래스를정의하기위한 IM 검사클래스맵을선택적으로만들수있습니다. 다른옵션은 IM 검사정책맵에서직접트래픽클래스를정의하는것입니다. 클래스맵을만드는것과검사맵에서직접트래픽일치를정의하는것의차이는, 클래스맵에서는좀더복잡한일치기준을만들수있으며클래스맵을재사용할수있다는점입니다. 다음절차는검사맵에대해설명하지만, 일치하는트래픽에대한작업을지정하지않는다는점을제외하고클래스맵은기본적으로동일합니다. Configuration > Firewall > Objects > Class Maps > Instant Messaging (IM) 을선택하여 IM 클래스맵을구성할수있습니다. 정보 아래에설명한절차외에도서비스정책을만드는동안검사맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다. 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > IM( 인스턴트메시징 ) 을선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계트래픽특성을기반으로구현할특정검사를정의합니다. IM 클래스맵을기반으로하거나검사맵에서직접일치를구성하여또는두방법모두를사용하여트래픽일치기준을정의할수있습니다. a. 다음중하나를수행합니다. 새기준을추가하려면 Add( 추가 ) 를클릭합니다. 기존기준을선택하고 Edit( 수정 ) 를클릭합니다. b. 기준을직접정의하려면 Single Match 를선택합니다. Multiple Match 를선택하는경우에는기준을정의하는 IM 클래스맵을선택할수있습니다. 새클래스맵을만들려면 Manage( 관리 ) 를클릭합니다. c. 여기서기준을정의하는경우기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. 예를들어 "example.com" 문자열에대해 No Match( 일치하지않음 ) 를선택하면 "example.com" 을포함하는모든트래픽은클래스맵에서제외됩니다. 그런다음기준을구성합니다. Protocol( 프로토콜 ) - 특정 IM 프로토콜 ( 예 : Yahoo Messenger 또는 MSN Messenger) 의트래픽을확인합니다. Service( 서비스 ) - 특정 IM 서비스 ( 예 : 채팅, 파일전송, 웹캠, 음성채팅, 컨퍼런스, 게임 ) 를확인합니다

309 13 장기본인터넷프로토콜검사 인스턴트메시징검사 Version( 버전 ) - IM 메시지의버전을선택한정규식또는정규식클래스와맞춰봅니다. Client Login Name( 클라이언트로그인이름 ) IM 메시지의소스클라이언트로그인이름을선택한정규식또는정규식클래스와맞춰봅니다. Client Peer Login Name( 클라이언트피어로그인이름 ) - IM 메시지의대상피어로그인이름을선택한정규식또는정규식클래스와맞춰봅니다. Source IP Address( 소스 IP 주소 ) - 소스 IP 주소및마스크를확인합니다. Destination IP Address( 대상 IP 주소 ) - 수신 IP 주소및마스크를확인합니다. Filename( 파일이름 ) - IM 메시지의파일이름을선택한정규식또는정규식클래스와맞춰봅니다. d. 연결을삭제할지재설정할지또는기록할지를선택합니다. 연결을삭제및재설정하는경우기록을활성화또는비활성화할수있습니다. e. 검사를추가하려면 OK( 확인 ) 를클릭합니다. 필요에따라이과정을반복합니다. 5단계 IM Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 IM 검사서비스정책의검사맵을사용할수있습니다. IM 검사서비스정책컨피그레이션 IM 검사는기본검사정책에서활성화되지않으므로이검사가필요한경우직접활성화해야합니다. 그러나기본검사클래스에는기본 IM 포트가포함되어있지않으므로, 기본글로벌검사정책을수정하여 IM 검사를추가하면됩니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. IM 검사규칙이있거나 IM 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 ( 사용중인정책을변경하려면 ) 다른 IM 검사정책맵을사용하기위해현재사용중인정책을수정하려면 IM 검사를비활성화한다음새 IM 검사정책맵이름으로다시활성화해야합니다. a. IM 확인란의선택을취소합니다. b. OK( 확인 ) 를클릭합니다. c. Apply( 적용 ) 클릭합니다. d. 프로토콜검사탭으로돌아가려면이러한단계를반복합니다. 4 단계 IM 을선택합니다

310 IP 옵션검사 13 장기본인터넷프로토콜검사 5 단계기본검사이외의검사를원하는경우 Configure 를클릭하고다음을수행합니다. a. 기본맵을사용할지, 자신이구성한 IM 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은 IM 검사정책맵컨피그레이션, 페이지를참조하십시오. b. Select IM Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 6 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다. IP 옵션검사 ASA를통과하도록허용할특정 IP 옵션의 IP 패킷을제어하려면 IP 옵션검사를구성할수있습니다. 이검사를구성하면 ASA는패킷이통과하도록허용하거나, 지정된 IP 옵션을지운다음패킷이통과하도록허용합니다. 다음섹션에서는 IP 옵션검사엔진에대해설명합니다. IP 옵션검사개요, 페이지 IP 옵션검사를위한기본값, 페이지 IP 옵션검사컨피그레이션, 페이지 IP 옵션검사모니터링, 페이지 IP 옵션검사개요 옵션을지울경우 각 IP 패킷에는옵션필드가있는 IP 헤더가포함되어있습니다. 옵션필드 ( 일반적으로 IP 옵션이라고함 ) 는몇몇상황에서필요한제어기능을제공합니다. 그러나대부분의일반적인통신에는이러한기능이필요하지않습니다. 특히 IP 옵션에는타임스탬프, 보안및특별라우팅을위한프로비전이포함되어있습니다. IP 옵션의사용은선택사항이며, 필드에는 0개, 1개또는그이상의옵션을포함할수있습니다. IP 옵션의리스트및관련 RFC에대한참조사항은 IANA 페이지 ( 를참조하십시오. ASA를통과하도록허용할특정 IP 옵션의 IP 패킷을제어하려면 IP 옵션검사를구성할수있습니다. 이검사를구성하면 ASA는패킷이통과하도록허용하거나, 지정된 IP 옵션을지운다음패킷이통과하도록허용합니다. IP 옵션검사정책맵을구성할때, 각옵션유형을허용할지아니면지울지를지정할수있습니다. 옵션유형을지정하지않으면해당옵션을포함한패킷이삭제됩니다. 옵션을허용하면해당옵션을포함한패킷은변경되지않은채통과됩니다. IP 헤더에서옵션을지우도록지정하면 IP 헤더가다음과같이변경됩니다. 헤더에서옵션이제거됩니다. 옵션필드가 32 비트경계로끝나도록채워집니다. 패킷의 IHL(Internet header length) 이변경됩니다. 패킷의총길이가변경됩니다. 체크섬이다시계산됩니다

311 13 장기본인터넷프로토콜검사 IP 옵션검사 검사가지원되는 IP 옵션 IP 옵션검사는패킷에서다음 IP 옵션을검사할수있습니다. IP 헤더에아래옵션이외의옵션이포함된경우, 이러한옵션을허용하도록 ASA 를구성했는지여부와상관없이, ASA 는패킷을삭제합니다. EOOL( 옵션목록의끝또는 IP Option 0 - 단일 0 바이트만을포함하는이옵션은모든옵션의끝에나타나며옵션리스트의끝을마스크처리합니다. 이것은헤더길이에따른헤더의끝과일치하지않을수있습니다. NOP( 작업없음 ) 또는 IP Option 1 - IP 헤더의옵션필드는 0 개, 1 개또는그이상의옵션을포함할수있습니다. 그러나 IP 헤더는 32 비트의배수여야합니다. 모든옵션의비트수가 32 비트의배수가아니면 32 비트경계에옵션을맞추기위해 NOP 옵션이 "internal padding" 으로사용됩니다. RTRALT( 라우터알림 ) 또는 IP Option 20 - 이옵션은트랜싯라우터에패킷의내용을검사하도록알립니다 ( 패킷의대상이해당라우터가아닌경우에도 ). 이검사는 RSVP 및패킷의배달경로에있는라우터에서비교적복잡한처리를수행하도록요구하는유사프로토콜을구현할때매우유용합니다. 라우터알림옵션이포함된 RSVP 패킷을삭제하면 VoIP 구현시문제가발생할수있습니다. IP 옵션검사를위한기본값 IP 옵션검사는 _default_ip_options_map 검사정책맵을사용하여기본적으로활성화됩니다. 라우터알림옵션은허용됩니다. 기타옵션이포함된패킷은삭제됩니다. 여기에는지원되지않는옵션을포함하는패킷이포함됩니다. IP 옵션검사컨피그레이션 IP 옵션검사는기본적으로사용됩니다. 기본맵에서허용하는것보다더많은옵션을허용하려는경우에만구성해야합니다. 절차 1 단계 IP 옵션검사정책 Map 컨피그레이션, 페이지 2 단계 IP 옵션검사서비스정책컨피그레이션, 페이지 IP 옵션검사정책 Map 컨피그레이션 기본 IP 옵션검사이외의검사를수행하려면 IP 옵션검사정책맵을만들고지원되는각옵션유형의처리방법을지정하십시오. 정보 아래에설명한절차외에도서비스정책을만드는동안검사맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다

312 IP 옵션검사 13 장기본인터넷프로토콜검사 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > IP Options(IP 옵션 ) 를선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계허용할옵션을선택합니다. 각옵션유형에대한자세한설명은검사가지원되는 IP 옵션, 13-23페이지를참조하십시오. 선택하지않은옵션이포함된패킷은삭제됩니다. 5단계허용하는각옵션에대해, 패킷허용전에옵션을지울지여부를선택합니다. 옵션을지우면패킷이전송되기전에패킷헤더에서해당옵션이제거됩니다. 6단계 OK( 확인 ) 를클릭합니다. 이제 IP 옵션검사서비스정책에서검사맵을사용할수있습니다. IP 옵션검사서비스정책컨피그레이션 기본 ASA 컨피그레이션에는모든인터페이스에서전역적으로적용되는 IP 옵션검사가포함되어있습니다. 검사컨피그레이션을사용자지정하기위한일반적인방법은기본글로벌정책을사용자지정하는것입니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. IP Options 검사규칙이있거나 IP Options 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 ( 사용중인정책을변경하려면 ) 다른 IP 옵션검사정책맵을사용하기위해현재사용중인정책을수정하려면 IP 옵션검사를비활성화한다음새 IP 옵션검사정책맵이름으로다시활성화해야합니다. a. IP Options 확인란의선택을취소합니다. b. OK( 확인 ) 를클릭합니다. c. Apply( 적용 ) 클릭합니다. d. 프로토콜검사탭으로돌아가려면이러한단계를반복합니다

313 13 장기본인터넷프로토콜검사 IPsec Pass Through 검사 4 단계 IP Options 를선택합니다. 5 단계기본검사이외의검사를원하는경우 Configure 를클릭하고다음을수행합니다. a. 기본맵을사용할지, 자신이구성한 IP 옵션검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은 IP 옵션검사정책 Map 컨피그레이션, 페이지를참조하십시오. b. Select IP Options Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 6 단계 OK( 확인 ) 또는 Finish 를클릭하여서비스정책규칙을저장합니다. IP 옵션검사모니터링 IP 옵션검사의결과를모니터링하려면다음과같은방법을사용할수있습니다. 검사때문에패킷이삭제될때마다 syslog 가생성됩니다. 메시지에는삭제를일으킨옵션이표시됩니다. 각옵션의통계를표시하려면 show service-policy inspect ip-options 명령을사용합니다. IPsec Pass Through 검사 다음섹션에서는 IPsec Pass Through 검사엔진에대해설명합니다. IPsec Pass Through 검사개요, 13-25페이지 IPsec Pass Through 검사컨피그레이션, 13-26페이지 IPsec Pass Through 검사개요 IPsec( 인터넷프로토콜보안 ) 은데이터스트림의각 IP 패킷을인증및암호화하여 IP 통신을보호하기위한프로토콜모음입니다. IPsec에는세션을시작할때에이전트간상호인증을설정하기위한프로토콜및세션중에사용할암호화키의협상을위한프로토콜도포함됩니다. IPsec은호스트쌍 ( 예 : 컴퓨터사용자또는서버 ) 사이, 보안게이트웨이쌍 ( 예 : 라우터또는방화벽 ) 사이또는보안게이트웨이와호스트사이의데이터흐름을보호하는데사용할수있습니다. IPsec Pass Through 애플리케이션검사를사용하면 IKE UDP 포트 500으로연결된 ESP(IP 프로토콜 50) 및 AH(IP 프로토콜 51) 트래픽의통과를편리하게관리할수있습니다. 이검사에서는 ESP 및 AH 트래픽허용을위해긴 ACL 컨피그레이션을피하며, 시간제한및최대연결수를사용하여보안을제공합니다. ESP 또는 AH 트래픽에대한제한을지정하려면 IPsec Pass Through용정책맵을구성하십시오. 클라이언트당최대연결수및유휴시간제한을설정할수있습니다. NAT 및비 NAT 트래픽은허용되지만, PAT는지원되지않습니다

314 IPsec Pass Through 검사 13 장기본인터넷프로토콜검사 IPsec Pass Through 검사컨피그레이션 IPsec Pass Through 검사는기본적으로사용되지않습니다. IPsec Pass Through 검사를사용하려면구성해야합니다. 절차 1 단계 IPsec Pass Through 검사정책맵컨피그레이션, 페이지 2 단계 IPsec Pass Through 검사서비스정책컨피그레이션, 페이지 IPsec Pass Through 검사정책맵컨피그레이션 IPsec Pass Through 맵을사용하면 IPsec Pass Through 애플리케이션검사에사용된기본컨피그레이션값을변경할수있습니다. ACL을사용하지않은채특정흐름을허용하려면 IPsec Pass Through 맵을사용할수있습니다. 컨피그레이션에는클라이언트당 ESP 최대연결수의제한을설정하지않으며 ESP 유휴시간제한을 10분으로설정하는기본맵인 _default_ipsec_passthru_map이포함됩니다. 다른값을원하는경우또는 AH 값을설정하려는경우에만검사정책맵을구성해야합니다. 정보 아래에설명한절차외에도서비스정책을만드는동안검사맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > IPsec Pass Through 를선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 내용을볼맵을선택합니다. 보안수준을직접변경할수도있고, Customize( 사용자정의 ) 를클릭하여맵을편집할수도있습니다. 이절차의나머지부분에서는맵을사용자지정하거나추가한것으로가정합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계 IPsec Pass Through Inspect Map 대화상자의 Security Level 보기에서원하는컨피그레이션과가장일치하는수준을선택합니다. 사전설정수준중요구사항과일치하는것이있으면모두완료된것입니다. OK( 확인 ) 를클릭하고, 이절차의나머지를건너뛰고, IPsec Pass Through 검사용서비스정책규칙의맵을사용합니다. 설정을더세부적으로사용자지정해야하는경우 Details( 세부사항 ) 를클릭한다음절차를계속진행합니다. 5단계 ESP 및 AH 터널의허용여부를선택합니다. 또한각프로토콜에대해클라이언트당허용할최대연결수및유휴시간제한을설정할수있습니다. 6단계 OK( 확인 ) 를클릭합니다. 이제 IPsec Pass Through 검사서비스정책에서검사맵을사용할수있습니다

315 13 장기본인터넷프로토콜검사 IPv6 검사 IPsec Pass Through 검사서비스정책컨피그레이션 IPsec Pass Through 검사는기본검사정책에서활성화되지않으므로이검사가필요한경우직접활성화해야합니다. 그러나기본검사클래스에는기본 IPsec 포트가포함되어있지않으므로, 기본글로벌검사정책을수정하여 IPsec 검사를추가하면됩니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. IPsec Pass Through 검사규칙이있거나 IPsec Pass Through 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 ( 사용중인정책을변경하려면 ) 다른검사정책맵을사용하기위해현재사용중인정책을수정하려면 IPsec Pass Through 검사를비활성화한다음새검사정책맵이름으로다시활성화해야합니다. a. IPsec Pass Through 확인란의선택을취소합니다. b. OK( 확인 ) 를클릭합니다. c. Apply( 적용 ) 를클릭합니다. d. 프로토콜검사탭으로돌아가려면이러한단계를반복합니다. 4 단계 IPsec Pass Through 를선택합니다. 5 단계기본검사이외의검사를원하는경우 Configure 를클릭하고다음을수행합니다. a. 기본맵을사용할지, 자신이구성한 IPsec Pass Through 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은 IPsec Pass Through 검사정책맵컨피그레이션, 페이지를참조하십시오. b. Select IPsec Pass Through Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 6 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다. IPv6 검사 IPv6 검사를사용하면확장헤더를기반으로 IPv6 트래픽을선택적으로기록또는삭제할수있습니다. 또한 IPv6 검사는 IPv6 패킷에있는확장헤더의유형과순서에대해 RFC 2460 의준수여부를확인할수있습니다. IPv6 검사를위한기본값, 페이지 IPv6 검사컨피그레이션, 페이지 13-27

316 IPv6 검사 13 장기본인터넷프로토콜검사 IPv6 검사를위한기본값 IPv6 검사를활성화하고검사정책맵을지정하지않으면, 기본 IPv6 검사정책맵이사용되며다음과같은작업이수행됩니다. 알려진 IPv6 확장헤더만허용합니다. 적합하지않은패킷은삭제되고기록됩니다. RFC 2460 사양에정의된대로 IPv6 확장헤더의순서를적용합니다. 적합하지않은패킷은삭제되고기록됩니다. 라우팅유형 (routing type) 헤더가포함된패킷은삭제됩니다. IPv6 검사컨피그레이션 IPv6 검사는기본적으로사용되지않습니다. IPv6 검사를사용하려면구성해야합니다. 절차 1 단계 IPv6 검사정책맵컨피그레이션, 페이지 2 단계 IPv6 검사서비스정책컨피그레이션, 페이지 IPv6 검사정책맵컨피그레이션 삭제또는기록할확장헤더를식별하거나패킷확인을비활성화하려면서비스정책에서사용할 IPv6 검사정책맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > IPv6 을선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4 단계 Enforcement 탭을클릭하고알려진 IPv6 확장헤더만허용할지또는 IPv6 확장헤더의순서를 RFC 2460 에정의된대로적용할지를선택합니다. 적합하지않은패킷은삭제되고기록됩니다. 5 단계 ( 선택사항 ) Header Matches 탭을클릭하고 IPv6 메시지의헤더를기반으로삭제또는기록할트래픽을식별합니다. a. 다음중하나를수행합니다. 새기준을추가하려면 Add( 추가 ) 를클릭합니다. 기존기준을선택하고 Edit( 수정 ) 를클릭합니다. b. 확인할 IPv6 확장헤더를선택합니다. 인증 (AH) 헤더. 대상옵션헤더. ESP( 보안페이로드캡슐화 ) 헤더

317 13 장기본인터넷프로토콜검사 IPv6 검사 단편헤더. 홉별옵션헤더. 라우팅헤더 - 단일헤더유형번호또는번호의범위를지정합니다. 헤더개수 - 패킷을삭제또는기록하지않고허용할확장헤더의최대수를지정합니다. 라우팅헤더주소개수 - 패킷을삭제또는기록하지않고허용할유형 0 라우팅헤더주소의최대수를지정합니다. c. 패킷을삭제할지기록할지를선택합니다. 패킷을삭제하는경우기록도함께사용할수있습니다. d. 검사를추가하려면 OK( 확인 ) 를클릭합니다. 필요에따라이과정을반복합니다. 6단계 IPv6 Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 IPv6 검사서비스정책에서검사맵을사용할수있습니다. IPv6 검사서비스정책컨피그레이션 IPv6 검사는기본검사정책에서활성화되지않으므로이검사가필요한경우직접활성화해야합니다. IPv6 검사를추가하려면기본글로벌검사정책을수정하면됩니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. IPv6 검사규칙이있거나 IPv6 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 ( 사용중인정책을변경하려면 ) 다른 IPv6 검사정책맵을사용하기위해현재사용중인정책을수정하려면 IPv6 검사를비활성화한다음새 IPv6 검사정책맵이름으로다시활성화해야합니다. a. IPv6 확인란의선택을취소합니다. b. OK( 확인 ) 를클릭합니다. c. Apply( 적용 ) 를클릭합니다. d. 프로토콜검사탭으로돌아가려면이러한단계를반복합니다. 4 단계 IPv6 을선택합니다. 5 단계기본검사이외의검사를원하는경우 Configure 를클릭하고다음을수행합니다. a. 기본맵을사용할지, 자신이구성한 IPv6 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은 IPv6 검사정책맵컨피그레이션, 페이지를참조하십시오. b. Select IPv6 Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 6 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다

318 NetBIOS 검사 13 장기본인터넷프로토콜검사 NetBIOS 검사 NetBIOS 검사는기본적으로사용됩니다. NetBIOS 검사엔진은 ASA NAT 컨피그레이션에따라 NBNS(NetBIOS 이름서비스 ) 패킷에서 IP 주소를변환합니다. NetBIOS 프로토콜위반시삭제또는기록하기위한정책맵을선택적으로만들수있습니다. 절차 1 단계추가검사제어를위한 NetBIOS 검사정책맵컨피그레이션, 페이지 2 단계 NetBIOS 검사서비스정책컨피그레이션, 페이지 추가검사제어를위한 NetBIOS 검사정책맵컨피그레이션 프로토콜위반시수행할작업을지정하려면 NETBIOS 검사정책맵을만드십시오. 그러면 NETBIOS 검사를사용할때검사정책맵을적용할수있습니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > NetBIOS 를선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4 단계 Check for Protocol Violations 를선택합니다. 이옵션을선택하지않는경우에는맵을만들이유가없습니다. 5 단계수행할작업, 즉패킷을삭제할지기록할지를선택합니다. 패킷을삭제하는경우기록도함께사용할수있습니다. 6단계 OK( 확인 ) 를클릭합니다. 이제 NetBIOS 검사서비스정책의검사맵을사용할수있습니다. NetBIOS 검사서비스정책컨피그레이션 NetBIOS 애플리케이션검사는 NetBIOS 이름서비스패킷및 NetBIOS 데이터그램서비스패킷에포함된 IP 주소에대해 NAT 를수행합니다. 또한프로토콜적합성을적용하여다양한개수및길이필드에서일관성을확인합니다. 기본 ASA 컨피그레이션에는모든인터페이스에전역적으로적용되는기본포트에대한 NetBIOS 검사가포함됩니다. 검사컨피그레이션을사용자지정하기위한일반적인방법은기본글로벌정책을사용자지정하는것입니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 )

319 13 장기본인터넷프로토콜검사 PPTP 검사 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. NetBIOS 검사규칙이있거나 NetBIOS 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 NetBIOS 를선택합니다. 4 단계기본검사이외의검사를원하는경우 Configure 를클릭하고기본맵을사용할지아니면자신이구성한 NetBIOS 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은추가검사제어를위한 NetBIOS 검사정책맵컨피그레이션, 페이지를참조하십시오. 5 단계 Select NetBIOS Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 6 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다. PPTP 검사 PPTP 터널링 PPP 트래픽용프로토콜입니다. PPTP 세션은 TCP 채널 1개및대개 PPTP GRE 터널 2개로구성됩니다. TCP 채널은 PPTP GRE 터널의협상및관리에사용되는제어채널입니다. GRE 터널은두호스트간 PPP 세션을연결합니다. 활성화시 PPTP 애플리케이션검사는 PPTP 프로토콜패킷을검사하고, PPTP 트래픽허용에필요한 GRE 연결및 xlate를동적으로만듭니다. 특히 ASA는 PPTP 버전선언및발신전화요청 / 응답시퀀스를검사합니다. RFC 2637에정의된대로 PPTP 버전 1만검사됩니다. 어느한쪽에서선언한버전이 1이아니면 TCP 제어채널에대한추가검사는비활성화됩니다. 또한발신통화요청및회신시퀀스가추적됩니다. 연결및 xlate 는이후의보조 GRE 데이터트래픽을허용하기위해필요한경우동적으로할당됩니다. PAT 를통해변환하려면 PPTP 트래픽에대해 PPTP 검사엔진을활성화해야합니다. 또한 PAT 는 GRE 의수정된버전 (RFC2637) 에대해서만, 그리고 PPTP TCP 제어채널을통해협상된경우에만수행됩니다. GRE의수정되지않은버전 (RFC 1701 및 RFC 1702) 에대해서는 PAT 가수행되지않습니다. PPTP 검사사용에대한자세한내용은애플리케이션레이어프로토콜검사컨피그레이션, 12-8페이지를참조하십시오. SMTP 및확장 SMTP 검사 ESMTP 검사는스팸, 피싱, 형식이잘못된메시지공격, 버퍼오버플로 / 언더플로공격등의공격을감지합니다. 또한애플리케이션보안및프로토콜적합성에대한지원을제공하여 ESMTP 메시지의온전성을적용하는것은물론여러공격을감지하고, 발신자 / 수신자를차단하고, 메일릴레이를차단합니다

320 SMTP 및확장 SMTP 검사 13 장기본인터넷프로토콜검사 다음섹션에서는 ESMTP 검사엔진에대해설명합니다. SMTP 및 ESMTP 검사개요, 13-32페이지 ESMTP 검사를위한기본값, 13-33페이지 ESMTP 검사컨피그레이션, 13-33페이지 SMTP 및 ESMTP 검사개요 ESMTP 애플리케이션검사는 ASA를통과할수있는 SMTP 명령의유형을제한하고모니터링기능을추가하여 SMTP 기반공격을더잘방어할수있습니다. ESMTP는 SMTP 프로토콜의향상된버전이며 SMTP와상당부분이유사합니다. 이문서에서는편의상 SMTP와 ESMTP를모두가리키는데 SMTP라는용어를사용합니다. 확장 SMTP에대한애플리케이션검사프로세스는 SMTP 애플리케이션검사와유사하며 SMTP 세션에대한지원을포함합니다. 확장 SMTP 세션에사용되는대부분의명령은 SMTP 세션에사용되는것과동일하지만, ESMTP 세션이훨씬빠르며안정성및보안과관련된더많은옵션 ( 예 : 배달상태알림 ) 을제공합니다. 확장 SMTP 애플리케이션검사는확장 SMTP 명령 (AUTH, EHLO, ETRN, HELP, SAML, SEND, SOML, STARTTLS 및 VRFY) 에대한지원을추가로제공합니다. 7개의 RFC 821 명령 (DATA, HELO, MAIL, NOOP, QUIT, RCPT, RSET) 을포함하여 ASA는총 15개의 SMTP 명령을지원합니다. 기타확장 SMTP 명령 ( 예 : ATRN, ONEX, VERB, CHUNKING) 및비공개확장은지원되지않습니다. 지원되지않는명령은 X로변환되고내부서버에서거부됩니다. 메시지의예를들면 "500 Command unknown: 'XXX'" 와같습니다. 불완전한명령은취소됩니다. ESMTP 검사엔진은서버 SMTP 배너의문자를별표로변경합니다 ("2", "0", "0" 문자제외 ). CR ( 캐리지리턴 ) 및 LF( 라인피드 ) 문자는무시됩니다. SMTP 검사를활성화한경우, 'SMTP 명령은길이가최소 4자여야하고, 캐리지리턴및라인피드로끝나야하며, 다음회신을보내기전에응답을기다려야함 ' 등의규칙이없으면대화형 SMTP 에사용된텔넷세션이중단될수있습니다. SMTP 서버는숫자회신코드및선택적으로사람이읽을수있는문자열로클라이언트요청에응답합니다. SMTP 애플리케이션검사는사용자가사용할수있는명령및서버가반환할수있는메시지를제어및축소합니다. SMTP 검사는세가지기본작업을수행합니다. SMTP 요청을 7 개의기본 SMTP 명령및 8 개의확장명령으로제한합니다. SMTP 명령 - 응답시퀀스를모니터링합니다. 감사추적생성 - 메일주소에잘못된문자가포함되어교체된경우감사레코드 가생성됩니다. 자세한내용은 RFC 821을참조하십시오. SMTP 검사는다음과같은비정상적시그니처에대한명령및응답을모니터링합니다. 명령이잘림. 명령의끝이잘못됨 (<CR><LR> 로끝나지않음 ). MAIL 및 RCPT 명령은메일의발신자및수신자를지정합니다. 메일주소에서이상한문자를스캔합니다. 파이프라인문자 ( ) 를삭제합니다 ( 공백으로전환 ). "<", ">" 문자는메일주소를정의하기위해사용된경우에만허용됩니다 (">" 문자는 "<" 문자뒤에와야함 ). SMTP 서버에의한예기치않은전환. 알수없는명령의경우 ASA 에서패킷의모든문자를 X 로변경합니다. 이경우서버가클라이언트에오류코드를생성합니다. 패킷의변경때문에 TCP 체크섬이다시계산되거나조정됩니다. TCP 스트림수정. 명령파이프라인

321 13 장기본인터넷프로토콜검사 SMTP 및확장 SMTP 검사 ESMTP 검사를위한기본값 ESMTP 검사는 _default_esmtp_map 검사정책맵을사용하여기본적으로활성화됩니다. 서버배너는마스크처리됩니다. 암호화된연결은허용되지않습니다. 세션연결시도에서 STARTTLS 표시가제거되어검사가능한일반텍스트세션을협상하도록클라이언트와서버를강제합니다. 발신자와수신자주소의특수문자는검사되지않고, 작업이수행되지않습니다. 명령줄길이가 512 가넘는연결은삭제및기록됩니다. 수신자가 100 명이넘는연결은삭제및기록됩니다. 본문길이가 998 바이트가넘는메시지는기록됩니다. 헤더줄길이가 998 이넘는연결은삭제및기록됩니다. MIME 파일이름이 255 자가넘는메시지는삭제및기록됩니다. "others" 와일치하는 EHLO 회신매개변수는마스크처리됩니다. ESMTP 검사컨피그레이션 ESMTP 검사는기본적으로사용됩니다. 기본검사맵에서제공하는것과다른프로세스를원하는경우에만구성해야합니다. 절차 1 단계 ESMTP 검사정책맵컨피그레이션, 페이지 2 단계 ESMTP 검사서비스정책컨피그레이션, 페이지 ESMTP 검사정책맵컨피그레이션 메시지가매개변수를위반하는경우의작업을지정하려면 ESMTP 검사정책맵을만듭니다. 그러면 ESMTP 검사를사용할때검사정책맵을적용할수있습니다. 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > ESMTP 를선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 내용을볼맵을선택합니다. 보안수준을직접변경할수도있고, Customize( 사용자정의 ) 클릭하여맵을편집할수도있습니다. 이절차의나머지부분에서는맵을사용자지정하거나추가한것으로가정합니다

322 SMTP 및확장 SMTP 검사 13 장기본인터넷프로토콜검사 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계 ESMTP Inspect Map 대화상자의 Security Level 보기에서원하는컨피그레이션과가장일치하는수준을선택합니다. 사전설정수준중요구사항과일치하는것이있으면모두완료된것입니다. OK( 확인 ) 를클릭하고, 이절차의나머지를건너뛰고, ESMTP 검사용서비스정책규칙의맵을사용합니다. 설정을더세부적으로사용자지정해야하는경우 Details( 세부사항 ) 를클릭한다음절차를계속진행합니다. 정보 MIME File Type Filtering 버튼은이절차의뒷부분에서설명한파일형식검사를구성하기위한바로가기입니다. 5 단계 Parameters 탭을클릭하고원하는옵션을구성합니다. Mask Server Banner - ESMTP 서버의배너를마스크처리할지여부를설정합니다. Encrypted Packet Inspection - 검사없이 ESMTP over TLS( 암호화된연결 ) 를허용할지여부를설정합니다. 암호화된연결을선택적으로기록할수있습니다. 기본값은모든트래픽을검사하는것으로, 암호화된세션연결시도에서 STARTTLS 표시를제거하고일반텍스트연결을강제합니다. 6 단계 Filtering 탭을클릭하고원하는옵션을구성합니다. Configure mail relay - 메일릴레이의도메인이름을식별합니다. 연결을삭제하고선택적으로기록할수도있고, 기록만할수도있습니다. Check for special characters - 발신자또는수신자이메일주소에파이프 ( ), 역따옴표, NUL 등의특수문자가포함된메시지에대해수행할작업을식별합니다. 연결을삭제하고선택적으로기록할수도있고, 기록만할수도있습니다. 7 단계 Inspections 탭을클릭하고, 트래픽특성을기반으로구현할특정검사를정의합니다. a. 다음중하나를수행합니다. 새기준을추가하려면 Add( 추가 ) 를클릭합니다. 기존기준을선택하고 Edit( 수정 ) 를클릭합니다. b. 기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. 예를들어 "example.com" 문자열에대해 No Match( 일치하지않음 ) 를선택하면 "example.com" 을포함하는모든트래픽은클래스맵에서제외됩니다. 그런다음기준을구성합니다. Body Length - ESMTP 본문메시지의길이가지정된바이트수보다큰경우메시지를확인합니다. Body Line Length - ESMTP 본문메시지의줄길이가지정된바이트수보다큰경우메시지를확인합니다. Commands - 메시지의명령동사를확인합니다. 명령 auth, data, ehlo, etrn, helo, help, mail, noop, quit, rcpt, rset, saml, soml, vrfy 중하나이상을지정할수있습니다. Command Recipient Count - 수신자의숫자가지정된수보다큰경우메시지를확인합니다. Command Line Length - 명령동사의줄길이가지정된바이트수보다큰경우메시지를확인합니다. EHLO Reply Parameters - ESMTP EHLO 회신매개변수를확인합니다. 매개변수 8bitmime, auth, binaryname, checkpoint, dsn, etrn, others, pipelining, size, vrfy 중하나이상을지정할수있습니다

323 13 장기본인터넷프로토콜검사 SMTP 및확장 SMTP 검사 Header Length - ESMTP 헤더의길이가지정된바이트수보다큰경우메시지를확인합니다. Header Line Length - ESMTP 헤더의줄길이가지정된바이트수보다큰경우메시지를확인합니다. Header To: Fields Count - 헤더에있는 To 필드의숫자가지정된수보다큰경우메시지를확인합니다. Invalid Recipients Count - 잘못된수신자의숫자가지정된수보다큰경우메시지를확인합니다. MIME File Type - MIME 또는미디어파일형식을지정된정규식또는정규식클래스와맞춰봅니다. MIME Filename Length - 파일이름이지정된바이트수보다긴경우메시지를확인합니다. MIME Encoding - MIME 인코딩유형을확인합니다. 유형 7bit, 8bit, base64, binary, others, quoted-printable 중하나이상을지정할수있습니다. Sender Address - 발신자이메일주소를지정된정규식또는정규식클래스와맞춰봅니다. Sender Address Length - 발신자주소가지정된바이트수보다큰경우메시지를확인합니다. c. 연결을삭제할지재설정할지또는기록할지를선택합니다. 연결을삭제및재설정하는경우기록을활성화또는비활성화할수있습니다. 명령및 EHLO 회신매개변수일치의경우명령을마스크처리할수도있습니다. 명령일치의경우초당패킷수단위로속도제한을적용할수있습니다. d. 검사를추가하려면 OK( 확인 ) 를클릭합니다. 필요에따라이과정을반복합니다. 8단계 ESMTP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 ESMTP 검사서비스정책의검사맵을사용할수있습니다. ESMTP 검사서비스정책컨피그레이션 기본 ASA 컨피그레이션에는모든인터페이스에서전역적으로적용되는 ESMTP 검사가포함되어있습니다. 검사컨피그레이션을사용자지정하기위한일반적인방법은기본글로벌정책을사용자지정하는것입니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. ESMTP 검사규칙이있거나 ESMTP 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다

324 TFTP 검사 13 장기본인터넷프로토콜검사 3 단계 ( 사용중인정책을변경하려면 ) 다른검사정책맵을사용하기위해현재사용중인정책을수정하려면 ESMTP 검사를비활성화한다음새검사정책맵이름으로다시활성화해야합니다. a. ESMTP 확인란의선택을취소합니다. b. OK( 확인 ) 를클릭합니다. c. Apply( 적용 ) 를클릭합니다. d. 프로토콜검사탭으로돌아가려면이러한단계를반복합니다. 4 단계 ESMTP 를선택합니다. 5 단계기본검사이외의검사를원하는경우 Configure 를클릭하고다음을수행합니다. a. 기본맵을사용할지, 자신이구성한 ESMTP 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은 ESMTP 검사정책맵컨피그레이션, 페이지를참조하십시오. b. Select ESMTP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 6 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다. TFTP 검사 TFTP 검사는기본적으로사용됩니다. RFC 1350에기술되어있는 TFTP는 TFTP 서버와클라이언트간에파일을읽고쓰기위한간단한프로토콜입니다. 검사엔진은 TFTP 읽기요청 (RRQ), 쓰기요청 (WRQ), 오류알림 (ERROR) 을검사하고클라이언트와서버간파일전송을허용하기위해필요한경우연결과변환을동적으로생성합니다. 유효한읽기 (RRQ) 또는쓰기 (WRQ) 요청을수신할경우필요에따라동적보조채널및 PAT 변환이할당됩니다. 이보조채널은이후파일전송또는오류알림을위해 TFTP에서사용됩니다. TFTP 서버만이보조채널을통해트래픽을시작할수있으며, TFTP 클라이언트와서버사이에는불완전한보조채널이최대하나만존재할수있습니다. 서버에서오류알림을보내면보조채널이닫힙니다. TFTP 트래픽리디렉션에고정 PAT가사용되는경우 TFTP 검사를활성화해야합니다. TFTP 검사사용에대한자세한내용은애플리케이션레이어프로토콜검사컨피그레이션, 12-8 페이지를참조하십시오

325 14 장 음성및비디오프로토콜에대한검사 다음항목에서는음성및비디오프로토콜에대한애플리케이션검사에대해설명합니다. 특정프로토콜에대해검사를사용해야하는이유및검사적용을위한전반적인방법에대해알아보려면애플리케이션레이어프로토콜검사시작, 12-1 페이지를참조하십시오. CTIQBE 검사, 14-1 페이지 H.323 검사, 14-2 페이지 MGCP 검사, 14-8 페이지 RTSP 검사, 페이지 SIP 검사, 페이지 Skinny(SCCP) 검사, 페이지 음성및비디오프로토콜검사를위한기록, 페이지 CTIQBE 검사 CTIQBE 프로토콜검사는 NAT, PAT 및양방향 NAT를지원합니다. 이검사는 Cisco IP SoftPhone 및기타 Cisco TAPI/JTAPI 애플리케이션이 ASA 전체에서통화설정을위해 Cisco CallManager 와성공적으로작동하도록지원합니다. TAPI 및 JTAPI는여러 Cisco VoIP 애플리케이션에서사용됩니다. Cisco TSP는 Cisco CallManager와통신하기위해 CTIQBE를사용합니다. CTIQBE 검사사용에대한자세한내용은애플리케이션레이어프로토콜검사컨피그레이션, 12-8페이지를참조하십시오. CTIQBE 검사의제한, 14-1 페이지 CTIQBE 검사의제한 CTIQBE 통화의상태저장장애조치는지원되지않습니다. 다음은특정시나리오에서 CTIQBE 애플리케이션검사를사용할경우특별히고려해야할내용을요약한것입니다. ASA 의서로다른인터페이스에연결된서로다른 Cisco CallManager 로두개의 Cisco IP SoftPhone 을등록한경우두전화기간통화가실패합니다. 14-1

326 H.323 검사 14 장음성및비디오프로토콜에대한검사 Cisco CallManager 가 Cisco IP SoftPhone 보다보안수준이높은인터페이스에있을때 Cisco CallManager IP 주소에 NAT 또는외부 NAT 가필요한경우에는고정인매핑을사용해야합니다. Cisco IP SoftPhone 을사용하려면 PC 의 Cisco TSP 컨피그레이션에 Cisco CallManager IP 주소가명시적으로지정되어있어야하기때문입니다. PAT 또는외부 PAT 사용시 Cisco CallManager IP 주소를변환해야하는경우, Cisco IP SoftPhone 을성공적으로등록하려면 TCP 포트 2748 을 PAT( 인터페이스 ) 주소의동일한포트에고정으로매핑해야합니다. CTIQBE 수신대기포트 (TCP 2748) 는고정되어있으므로 Cisco CallManager, Cisco IP SoftPhone 또는 Cisco TSP 에서사용자가구성할수없습니다. H.323 검사 다음섹션에서는 H.323 애플리케이션검사에대해설명합니다. H.323 검사개요, 14-2페이지 H.323 작동방식, 14-2페이지 H.245 메시지에서 H.239 지원, 14-4페이지 H.323 검사의제한, 14-4페이지 H.323 검사컨피그레이션, 14-4페이지 H.323 및 H.225 시간제한값컨피그레이션, 14-8페이지 H.323 검사개요 H.323 검사는 H.323 호환애플리케이션 ( 예 : Cisco CallManager 및 VocalTec Gatekeeper) 에대한지원을제공합니다. H.323은 LAN을통한멀티미디어회의를위해 ITU(International Telecommunication Union) 에서정의한프로토콜모음입니다. ASA은버전 6에서 H.323을지원하며, 여기에는 H.323 v3 기능인단일통화신호채널에서의다중통화 (Multiple Calls on One Call Signaling Channel) 가포함됩니다. H.323 검사가활성화되면 ASA는 H.323 버전 3에도입된기능인동일한통화신호채널에서의다중통화를지원합니다. 이기능은통화설정시간을단축하고 ASA의포트사용을줄입니다. H.323 검사의중요한두가지기능은다음과같습니다. H.225 및 H.245 메시지에포함된필수 IPv4 주소를 NAT 처리. H.323 메시지는 PER 인코딩형식으로인코딩되므로 ASA 는 ASN.1 디코더를사용하여 H.323 메시지를디코딩합니다. 협상된 H.245 및 RTP/RTCP 연결을동적으로할당합니다. RAS 를사용할경우 H.225 연결도동적으로할당됩니다. H.323 작동방식 H.323 프로토콜모음은모두합하여최대 2 개의 TCP 연결및 4~8 개의 UDP 연결을사용할수있습니다. FastConnect 는 TCP 연결을하나만사용하고, RAS 는등록, 허가및상태에단일 UDP 연결을사용합니다. 초기에 H.323 클라이언트는 Q.931 통화설정을요청하기위해 TCP 포트 1720 을사용하여 H.323 서버에대해 TCP 연결을설정할수있습니다. 통화설정과정중에 H.323 터미널은 H.245 TCP 연결에사용할수있도록클라이언트에포트번호를제공합니다. H.323 게이트키퍼가사용중인환경에서는초기패킷이 UDP 를사용하여전송됩니다. 14-2

327 14 장음성및비디오프로토콜에대한검사 H.323 검사 H.323 검사는 Q.931 TCP 연결을모니터링하여 H.245 포트번호를확인합니다. H.323 터미널이 FastConnect 를사용하지않으면 ASA 는 H.225 메시지의검사를기반으로 H.245 연결을동적으로할당합니다. 참고 RAS 를사용할경우 H.225 연결도동적으로할당됩니다. 각 H.245 메시지에서 H.323 엔드포인트는후속 UDP 데이터스트림에사용할포트번호를교환합니다. H.323 검사는 H.245 메시지를검사하여이러한포트를식별하고미디어교환을위한연결을동적으로생성합니다. RTP는협상된포트번호를사용하는반면 RTCP는그다음으로높은포트번호를사용합니다. H.323 제어채널은 H.225, H.245 및 H.323 RAS를처리합니다. H.323 검사는다음과같은포트를사용합니다 Gate Keeper Discovery UDP 포트 RAS UDP 포트 TCP 제어포트잘알려진 RAS 신호용 H.323 포트 1719에대한트래픽을허용해야합니다. 또한잘알려진 H.225 통화신호용 H.323 포트 1720에대한트래픽도허용해야합니다. 그러나 H.245 신호포트는 H.225 신호에서엔드포인트간에협상됩니다. H.323 게이트키퍼가사용되는경우 ASA는 ACF 및 RCF 메시지검사를기반으로 H.225 연결을엽니다. H.225 메시지검사후 ASA는 H.245 채널을연다음, H.245 채널을통해전송된트래픽도검사합니다. ASA를통과하는모든 H.245 메시지는 H.245 애플리케이션검사를거칩니다. 이과정에서포함된 IP 주소가변환되고 H.245 메시지에서협상된미디어채널이열립니다. H.323 ITU 표준에서는, 신뢰할수있는연결로전달되기전에메시지길이를정의하는 TPKT 헤더가 H.225 및 H.245보다먼저와야합니다. TPKT 헤더를 H.225 및 H.245 메시지와동일한 TCP 패킷에서전송해야할필요는없으므로 ASA에서는메시지를올바르게처리하고디코딩하기위해 TPKT 길이를기억해야합니다. 각연결에서 ASA는다음예상메시지에대한 TPKT 길이를포함하는레코드를유지합니다. 메시지의 IP 주소에대해 NAT를수행해야하는경우 ASA는체크섬, UUIE 길이및 TPKT(H.225 메시지와함께 TCP 패킷에포함된경우 ) 를변경합니다. TPKT가별도의 TCP 패킷에서전송되는경우 ASA는해당 TPKT를프록시 ACK 처리하고새 TPKT를새길이로 H.245 메시지에추가합니다. 참고 ASA 는 TPKT 용프록시 ACK 에서 TCP 옵션을지원하지않습니다. H.323 검사를통과하는패킷과의각 UDP 연결은 H.323 연결로표시되며, Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Advanced( 고급 ) > Global Timeouts( 글로벌시간제한 ) 창에서구성한 H.323 시간제한의적용을받습니다. 참고 게이트키퍼가네트워크내부에있는경우 H.323 엔드포인트간의통화설정을활성화할수있습니다. ASA 에는 RRQ/RCF(RegistrationRequest/RegistrationConfirm) 메시지를기반으로통화에대한핀홀을열기위한옵션이포함되어있습니다. 이러한 RRQ/RCF 메시지는게이트키퍼에서보내고받으므로, 통화엔드포인트의 IP 주소는알수없으며 ASA 에서는소스 IP 주소 / 포트 0/0 을통해핀홀을엽니다. 기본적으로이옵션은사용되지않습니다. 14-3

328 H.323 검사 14 장음성및비디오프로토콜에대한검사 H.245 메시지에서 H.239 지원 ASA는두개의 H.323 엔드포인트사이에있습니다. 두개의 H.323 엔드포인트가데이터프레젠테이션 ( 예 : 스프레드시트데이터 ) 을주고받을수있도록텔레프레젠테이션세션을설정하면 ASA 는엔드포인트간 H.239 협상이성공적으로이루어지도록지원합니다. H.239는 H.300 시리즈엔드포인트가신호통화에서추가비디오채널을열수있는기능을제공하는표준입니다. 통화에서엔드포인트 ( 예 : 비디오폰 ) 는비디오용채널및데이터프레젠테이션용채널을전송합니다. H.239 협상은 H.245 채널에서발생합니다. ASA는추가미디어채널및미디어제어채널을위한핀홀을엽니다. 엔드포인트는 OLC( 공개논리채널 ) 메시지를사용하여새채널생성신호를보냅니다. 메시지확장은 H.245 버전 13의일부입니다. 텔레프레젠테이션의디코딩및인코딩세션은기본적으로사용됩니다. H.239 인코딩및디코딩은 ASN.1 코더에서수행됩니다. H.323 검사의제한 H.323 검사는 CUCM(Cisco Unified Communications Manager) 7.0에서테스트및지원됩니다. CUCM 8.0 이상에서는지원되지않습니다. 기타릴리스및제품에서는 H.323 검사가작동하지않을수있습니다. 다음은 H.323 애플리케이션검사사용과관련된몇가지알려진문제및제한사항입니다. 고정 NAT 만완전히지원됩니다. 고정 PAT 는 H.323 메시지내의선택적필드에포함된 IP 주소를제대로변환하지못할수있습니다. 이러한종류의문제가발생하면 H.323 에서고정 PAT 를사용하지마십시오. 동적 NAT 또는 PAT 는지원되지않습니다. 확장 PAT 는지원되지않습니다. 동일한보안수준인터페이스간 NAT 는지원되지않습니다. 외부 NAT 는지원되지않습니다. NAT64 는지원되지않습니다. H.323 게이트키퍼로등록된 NetMeeting 클라이언트가역시 H.323 게이트키퍼로등록된 H.323 게이트웨이로통화를시도하면연결이설정되지만어떤방향으로도음성이들리지않습니다. 이문제는 ASA 와관련이없습니다. 네트워크고정주소가타사넷마스크및주소와동일한경우네트워크고정주소를구성하면아웃바운드 H.323 연결이실패합니다. H.323 검사컨피그레이션 H.323 검사는 RAS, H.225 및 H.245 를지원하며, 포함된모든 IP 주소및포트를변환하는기능을제공합니다. 또한정적추적과필터링을수행하며연속적인검사기능활성화를수행할수있습니다. H.323 검사는전화번호필터링, 동적 T.120 제어, H.245 터널링제어, HSI 그룹, 프로토콜상태추적, H.323 통화기간적용, 오디오 / 비디오제어를지원합니다. H.323 검사는기본적으로사용됩니다. 기본이외의처리를원하는경우에만구성해야합니다. H.323 검사를사용자지정하려면다음프로세스를사용합니다. 14-4

329 14 장음성및비디오프로토콜에대한검사 H.323 검사 절차 1 단계 H.323 검사클래스맵컨피그레이션, 14-5 페이지 2 단계 H.323 검사정책맵컨피그레이션, 14-6 페이지 3 단계 H.323 검사서비스정책컨피그레이션, 14-8 페이지 H.323 검사클래스맵컨피그레이션 H.323 검사용트래픽클래스를정의하기위한 H.323 검사클래스맵을선택적으로만들수있습니다. 다른옵션은 H.323 검사정책맵에서직접트래픽클래스를정의하는것입니다. 클래스맵을만드는것과검사맵에서직접트래픽일치를정의하는것의차이는, 클래스맵에서는좀더복잡한일치기준을만들수있으며클래스맵을재사용할수있다는점입니다. 정보 아래에설명한절차외에도검사맵또는서비스정책을만드는동안클래스맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다. 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Class Maps( 클래스맵 ) > H.323 을선택합니다. 2 단계다음중하나를수행합니다. 새클래스맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계일치옵션 (Match All 또는 Match Any) 을선택합니다. Match All은기본값이며, 트래픽이모든기준과일치해야클래스맵과일치하는것임을의미합니다. Match Any( 항목일치 ) 는트래픽이최소하나의기준과일치하면클래스맵과일치하는것임을의미합니다. 5 단계일치테이블에서항목을추가하거나수정하여일치기준을구성합니다. 대상트래픽을정의하기위해필요한만큼추가합니다. a. 기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. b. 일치기준을선택하고해당값을정의합니다. 수신자 - 선택한정규식또는정규식클래스에서 H.323 수신자를확인합니다. 발신자 - 선택한정규식또는정규식클래스에서 H.323 발신자를확인합니다. 미디어유형 - 오디오, 비디오, 데이터등의미디어유형을확인합니다. c. OK( 확인 ) 를클릭합니다. 14-5

330 H.323 검사 14 장음성및비디오프로토콜에대한검사 6단계 H.323 Traffic Class Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 H.323 검사정책맵에서클래스맵을사용할수있습니다. H.323 검사정책맵컨피그레이션 네트워크에서기본검사동작만으로충분하지않은경우 H.323 검사정책맵을만들어 H.323 검사작업을사용자지정할수있습니다. 정보 아래에설명한절차외에도서비스정책을만드는동안검사맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다. 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > H.323 을선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 내용을볼맵을선택합니다. 보안수준을직접변경할수도있고, Customize( 사용자정의 ) 클릭하여맵을편집할수도있습니다. 이절차의나머지부분에서는맵을사용자지정하거나추가한것으로가정합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계 H.323 Inspect Map 대화상자의 Security Level 보기에서원하는컨피그레이션과가장일치하는수준을선택합니다. 기본수준은낮음입니다. 사전설정수준중요구사항과일치하는것이있으면모두완료된것입니다. OK( 확인 ) 를클릭하고, 이절차의나머지를건너뛰고, H.323 검사용서비스정책규칙의맵을사용합니다. 정보 Phone Number Filtering 버튼은이절차의뒷부분에서설명한수신자또는발신자검사를구성하기위한바로가기입니다. 5 단계설정을더세부적으로사용자지정해야하는경우 Details( 세부사항 ) 를클릭하고다음을수행합니다. a. State Checking 탭을클릭하고 RAS 및 H.225 메시지의상태변환확인을사용할지여부를선택합니다. 또한 RCF 메시지를확인하고 RRQ 메시지에있는통화신호주소에대한핀홀을열수도있습니다. 그러면게이트키퍼가네트워크내부에있을때 H.323 엔드포인트간통화설정이활성화됩니다. RRQ/RCF(RegistrationRequest/RegistrationConfirm) 메시지를기반으로통화에대한핀홀을열려면이옵션을사용합니다. 이러한 RRQ/RCF 메시지는게이트키퍼에서보내고받으므로, 통화엔드포인트의 IP 주소는알수없으며 ASA 에서는소스 IP 주소 / 포트 0/0 을통해핀홀을엽니다. 기본적으로이옵션은사용되지않습니다. 14-6

331 14 장음성및비디오프로토콜에대한검사 H.323 검사 b. Call Attributes 탭을클릭하고통화기간제한 ( 최대 1193 시간 ) 적용여부또는통화설정중에수신자와발신자번호표시적용여부를선택합니다. c. Tunneling and Protocol Conformance 탭을클릭하고 H.245 터널링을확인할지여부를선택합니다. 연결을삭제하거나기록할수있습니다. 또한핀홀에서흐르는 RTP 패킷에대해프로토콜적합성을확인할지여부를선택할수있습니다. 적합성을확인하려는경우에는신호교환을기반으로오디오또는비디오에대한페이로드를제한할지여부도선택할수있습니다. 6 단계필요한경우 HSI Group Parameters 탭을클릭하고 HSI 그룹을정의합니다. a. 다음중하나를수행합니다. Add( 추가 ) 를클릭하여새그룹을추가합니다. 기존그룹을선택하고 Edit( 수정 ) 를클릭합니다. b. 그룹 ID(0~ ) 및 HSI 의 IP 주소를지정합니다. c. HSI 그룹에엔드포인트를추가하려면 IP 주소를입력하고, 엔드포인트를 ASA 에연결할인터페이스를선택하고, Add>> 를클릭합니다. 더이상필요하지않은엔드포인트를모두제거합니다. 그룹당최대 10 개의엔드포인트를추가할수있습니다. d. OK( 확인 ) 를클릭하여그룹을추가합니다. 필요에따라이과정을반복합니다. 7단계 Inspections 탭을클릭하고, 트래픽특성을기반으로구현할특정검사를정의합니다. H.323 클래스맵을기반으로하거나검사맵에서직접일치를구성하여또는두방법모두를사용하여트래픽일치기준을정의할수있습니다. a. 다음중하나를수행합니다. 새기준을추가하려면 Add( 추가 ) 를클릭합니다. 기존기준을선택하고 Edit( 수정 ) 를클릭합니다. b. 기준을직접정의하려면 Single Match 를선택합니다. Multiple Match 를선택하는경우에는기준을정의하는 H.323 클래스맵을선택할수있습니다 (H.323 검사클래스맵컨피그레이션, 14-5 페이지참조 ). c. 여기서기준을정의하는경우기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. 다음과같이기준을구성합니다. 수신자 - 선택한정규식또는정규식클래스에서 H.323 수신자를확인합니다. 발신자 - 선택한정규식또는정규식클래스에서 H.323 발신자를확인합니다. 미디어유형 - 오디오, 비디오, 데이터등의미디어유형을확인합니다. d. 일치트래픽에대해수행할작업을선택합니다. 발신자또는수신자일치의경우패킷을삭제하거나, 연결을삭제하거나, 연결을재설정할수있습니다. 미디어유형일치의경우에는작업이항상패킷을삭제하는것입니다. 이작업에대한기록을활성화할수있습니다. e. 검사를추가하려면 OK( 확인 ) 를클릭합니다. 필요에따라이과정을반복합니다. 8단계 H.323 Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 H.323 검사서비스정책에서검사맵을사용할수있습니다. 14-7

332 MGCP 검사 14 장음성및비디오프로토콜에대한검사 H.323 검사서비스정책컨피그레이션 기본 ASA 컨피그레이션에는모든인터페이스에전역적으로적용되는기본포트에대한 H.323 H.255 및 RAS 검사가포함됩니다. 검사컨피그레이션을사용자지정하기위한일반적인방법은기본글로벌정책을사용자지정하는것입니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. H.323 검사규칙이있거나 H.323 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 H.323 H.255 및 H.323 RAS 를선택합니다. 4단계기본검사이외의검사를원하는경우 Configure를클릭하고기본맵을사용할지아니면자신이구성한 H.323 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은 H.323 검사정책맵컨피그레이션, 14-6페이지를참조하십시오. 정책에맵을할당하려면 Select H.323 Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 5 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다. H.323 및 H.225 시간제한값컨피그레이션 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Advanced( 고급 ) > Global Timeouts( 글로벌시간제한 ) 페이지에서 H.323/H.255 글로벌시간제한값을구성할수있습니다. H.255 신호연결이닫히기까지의비활성간격 ( 기본값 1 시간 ) 또는 H.323 제어연결이닫히기까지의비활성간격 ( 기본값 5 분 ) 을설정할수있습니다. MGCP 검사 다음섹션에서는 MGCP 애플리케이션검사에대해설명합니다. MGCP 검사개요, 14-9페이지 MGCP 검사컨피그레이션, 14-10페이지 MGCP 시간제한값컨피그레이션, 14-12페이지 14-8

333 14 장음성및비디오프로토콜에대한검사 MGCP 검사 MGCP 검사개요 MGCP 는미디어게이트웨이컨트롤러또는통화에이전트라고하는외부통화제어요소에서미디어게이트웨이를제어하는데사용되는마스터 / 슬레이브프로토콜입니다. 미디어게이트웨이는일반적으로전화회로에서전달되는오디오신호와인터넷이나기타패킷네트워크를통해전달되는데이터패킷간에전환을제공하는네트워크요소입니다. NAT 및 PAT 를 MGCP 와함께사용하면제한된외부 ( 글로벌 ) 주소집합으로내부네트워크에서대량의디바이스를지원할수있습니다. 미디어게이트웨이의예는다음과같습니다. 트렁킹게이트웨이 - 전화네트워크와 VoIP(Voice over IP) 네트워크를연결합니다. 이러한게이트웨이는일반적으로대량의디지털회로를관리합니다. 가정용게이트웨이 - VoIP 네트워크에기존의아날로그 (RJ11) 인터페이스를제공합니다. 가정용게이트웨이의예에는케이블모뎀 / 케이블셋톱박스, xdsl 디바이스, 광대역무선디바이스등이있습니다. 비즈니스게이트웨이 - VoIP 네트워크에기존의디지털 PBX 인터페이스또는통합된소프트 PBX 인터페이스를제공합니다. MGCP 메시지는 UDP를통해전송됩니다. 응답은명령의소스주소 (IP 주소및 UDP 포트번호 ) 로다시전송되지만, 명령전송에사용되었던것과동일한주소에서도착하지않을수있습니다. 이는장애조치컨피그레이션에서여러통화엔진을사용하는경우, 명령을수신한통화에이전트가백업통화에이전트로제어를넘기고백업통화에이전트에서다시응답을전송하는경우발생합니다. 다음그림은 MGCP와함께 NAT를사용하는방법을설명합니다. 그림 14-1 MGCP 와함께 NAT 사용 To PSTN Cisco PGW 2200 H M M M Cisco CallManager Gateway is told to send its media to (public address of the IP Phone) MGCP SCCP RTP to from GW GW RTP to from IP IP IP Branch offices

334 MGCP 검사 14 장음성및비디오프로토콜에대한검사 MGCP 엔드포인트는데이터의물리적 / 가상소스및대상입니다. 미디어게이트웨이는기타멀티미디어엔드포인트와의미디어세션을설정하고제어하기위해통화에이전트가연결을생성, 수정및삭제할수있는엔드포인트를포함합니다. 통화에이전트는특정이벤트를감지하여신호를생성하도록엔드포인트에지시할수있습니다. 엔드포인트는서비스상태의변경사항을통화에이전트에자동으로전달합니다. 게이트웨이는일반적으로통화에이전트의명령을수신하기위해 UDP 포트 2427 에서수신대기합니다. 통화에이전트는게이트웨이에서오는명령을이포트에서수신합니다. 통화에이전트는일반적으로게이트웨이의명령을수신하기위해 UDP 포트 2727 에서수신대기합니다. 참고 MGCP 검사에서는 MGCP 신호및 RTP 데이터에서로다른 IP 주소를사용하는것을지원하지않습니다. 일반적인권장방식은복원력이있는 IP 주소 ( 예 : 루프백또는가상 IP 주소 ) 에서 RTP 데이터를전송하는것입니다. 그러나 ASA 의요구사항은 RTP 데이터가 MGCP 신호와동일한주소에서오는것입니다. MGCP 검사컨피그레이션 MGCP 검사를활성화하려면다음과정을사용합니다. 절차 1 단계추가검사제어를위한 MGCP 검사정책맵컨피그레이션, 페이지 2 단계 MGCP 검사서비스정책컨피그레이션, 페이지 추가검사제어를위한 MGCP 검사정책맵컨피그레이션 네트워크에 ASA 에서핀홀을열어야하는여러통화에이전트및게이트웨이가있는경우 MGCP 맵을만듭니다. 그러면 MGCP 검사를사용할때 MGCP 맵을적용할수있습니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > MGCP 를선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4 단계 ( 선택사항 ) Command Queue 탭을클릭하고 MGCP 명령큐에허용되는최대명령수를설정합니다. 기본값은 200, 허용범위는 1~ 입니다. 5 단계 Gateways and Call Agents 탭을클릭하고맵의게이트웨이및통화에이전트그룹을구성합니다. a. Add( 추가 ) 를클릭하여새그룹을만들거나, 그룹을선택하고 Edit( 수정 ) 를클릭합니다

335 14 장음성및비디오프로토콜에대한검사 MGCP 검사 b. 통화에이전트그룹의 Group ID 를입력합니다. 통화에이전트그룹은하나이상의통화에이전트를하나이상의 MGCP 미디어게이트웨이와연결합니다. 유효한범위는 0~ 입니다. c. 연결된통화에이전트에의해제어되는미디어게이트웨이의 IP 주소를그룹에추가합니다. Gateway to Be Added에서입력하고 Add>> 를클릭하면됩니다. 더이상사용하지않는게이트웨이를모두삭제합니다. 미디어게이트웨이는일반적으로전화회로에서전달되는오디오신호와인터넷이나기타패킷네트워크를통해전달되는데이터패킷간에전환을제공하는네트워크요소입니다. 일반적으로게이트웨이는통화에이전트용기본 MGCP 포트, UDP 2727로명령을전송합니다. d. MGCP 미디어게이트웨이를제어하는통화에이전트의 IP 주소를추가합니다. Call Agent to Be Added에서입력하고 Add>> 를클릭하면됩니다. 더이상필요하지않은에이전트를모두제거합니다. 일반적으로통화에이전트는게이트웨이용기본 MGCP 포트, UDP 2427로명령을전송합니다. e. MGCP Group 대화상자에서 OK( 확인 ) 를클릭합니다. 필요에따라이과정을반복하여다른그룹을추가합니다. 6단계 MGCP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 MGCP 검사서비스정책에서검사맵을사용할수있습니다. MGCP 검사서비스정책컨피그레이션 MGCP 검사는기본검사정책에서활성화되지않으므로이검사가필요한경우직접활성화해야합니다. 그러나기본검사클래스에는기본 MGCP 포트가포함되어있지않으므로, 기본글로벌검사정책을수정하여 MGCP 검사를추가하면됩니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. MGCP 검사규칙이있거나 RTSP 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 MGCP 를선택합니다. 4단계기본검사이외의검사를원하는경우 Configure를클릭하고기본맵을사용할지아니면자신이구성한 MGCP 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은추가검사제어를위한 MGCP 검사정책맵컨피그레이션, 14-10페이지를참조하십시오. 정책에맵을할당하려면 Select MGCP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 5 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다

336 RTSP 검사 14 장음성및비디오프로토콜에대한검사 MGCP 시간제한값컨피그레이션 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Advanced( 고급 ) > Global Timeouts( 글로벌시간제한 ) 페이지에서 MGCP 글로벌시간제한값을구성할수있습니다. MGCP 미디어연결이닫히기까지의비활성간격을설정합니다 ( 기본값은 5 분 ). PAT xlate(30 초 ) 에대한시간제한도설정할수있습니다. RTSP 검사 다음섹션에서는 RTSP 애플리케이션검사에대해설명합니다. RTSP 검사개요, 14-12페이지 RealPlayer 컨피그레이션요구사항, 14-12페이지 RSTP 검사의제한, 14-13페이지 RTSP 검사컨피그레이션, 14-13페이지 RTSP 검사개요 RTSP 검사엔진은 ASA 에서 RTSP 패킷을전달하도록합니다. RTSP 는 RealAudio, RealNetworks, Apple QuickTime 4, RealPlayer 및 Cisco IP/TV 연결에사용됩니다. 참고 Cisco IP/TV 에는 RTSP TCP 포트 554 및 8554 를사용하십시오. RTSP 애플리케이션은잘알려진포트 554와함께제어채널로서 TCP( 매우드물게 UDP) 를사용합니다. ASA에서는 RFC 2326에따라 TCP만지원합니다. 이 TCP 제어채널은클라이언트에구성된전송모드에따라오디오 / 비디오트래픽전송에사용되는데이터채널을협상하는데사용됩니다. 지원되는 RDT 전송은 rtp/avp, rtp/avp/udp, x-real-rdt, x-real-rdt/udp 및 x-pn-tng/udp입니다. ASA에서는상태코드 200으로 Setup 응답메시지를구문분석합니다. 응답메시지가인바운드로이동하면서버는 ASA를기준으로외부에있는것이며, 서버에서인바운드로들어오는연결을위해동적채널을열어야합니다. 응답메시지가아웃바운드로이동하면 ASA에서는동적채널을열필요가없습니다. RFC 2326에서는클라이언트및서버포트가 SETUP 응답메시지에있어야할것을요구하지않으므로, ASA는상태를유지하며 SETUP 메시지에있는클라이언트포트를기억합니다. QuickTime에서 SETUP 메시지에클라이언트포트를추가하면서버는서버포트로만응답합니다. RTSP 검사는 PAT 또는이중 NAT를지원하지않습니다. 또한 ASA는 RTSP 메시지가 HTTP 메시지에숨겨지는 HTTP 클로킹을인식할수없습니다. RealPlayer 컨피그레이션요구사항 RealPlayer 를사용할때에는전송모드를제대로구성하는것이중요합니다. ASA 에대해서버에서클라이언트로또는그반대로 access-list 명령을추가합니다. RealPlayer 의경우 Options( 옵션 )>Preferences( 기본설정 )>Transport( 전송 )>RTSP Settings( 설정 ) 를클릭하여전송모드를변경합니다

337 14 장음성및비디오프로토콜에대한검사 RTSP 검사 RealPlayer에서 TCP 모드를사용하는경우 Use TCP to Connect to Server( 서버에연결하는데 TCP 사용 ) 및 Attempt to use TCP for all content( 모든콘텐츠에 TCP 사용시도 ) 확인란을선택합니다. ASA에서검사엔진을구성할필요가없습니다. RealPlayer에서 UDP 모드를사용하는경우 Use TCP to Connect to Server( 서버에연결하는데 TCP 사용 ) 및 Attempt to use UDP for static content( 정적콘텐츠에 TCP 사용시도 ) 확인란을선택합니다. 멀티캐스트를통해서는라이브콘텐츠를이용할수없습니다. ASA에서 inspect rtsp port 명령을추가합니다. RSTP 검사의제한 RSTP 검사에는다음과같은제한이적용됩니다. ASA 는 UDP 를통한멀티캐스트 RTSP 또는 RTSP 메시지를지원하지않습니다. ASA 는 RTSP 메시지가 HTTP 메시지에숨겨지는 HTTP 클로킹을인식할수없습니다. 포함된 IP 주소가 HTTP 또는 RTSP 메시지의일부로서 SDP 에포함되어있지않으므로 ASA 는 RTSP 메시지에대해 NAT 를수행할수없습니다. 패킷을조각화할수없으므로 ASA 는조각난패킷에대해 NAT 를수행할수없습니다. Cisco IP/TV 의경우 ASA 가메시지의 SDP 부분에대해수행하는변환의수는 Content Manager 에있는프로그램목록의수와비례합니다 ( 각프로그램목록에추가할수있는내장된 IP 주소는최소 6 개 ). Apple QuickTime 4 또는 RealPlayer 에대해 NAT 를구성할수있습니다. Viewer 및 Content Manager 가네트워크외부에있고서버가네트워크내부에있는경우 Cisco IP/TV 에는 NAT 만사용할수있습니다. RTSP 검사컨피그레이션 RTSP 검사는기본적으로사용됩니다. 기본이외의처리를원하는경우에만구성해야합니다. RTSP 검사를사용자지정하려면다음프로세스를사용합니다. 절차 1 단계 RTSP 검사클래스맵컨피그레이션, 페이지 2 단계 RTSP 검사정책맵컨피그레이션, 페이지 3 단계 RTSP 검사서비스정책컨피그레이션, 페이지 RTSP 검사클래스맵컨피그레이션 RTSP 검사용트래픽클래스를정의하기위한 RTSP 검사클래스맵을선택적으로만들수있습니다. 다른옵션은 RTSP 검사정책맵에서직접트래픽클래스를정의하는것입니다. 클래스맵을만드는것과검사맵에서직접트래픽일치를정의하는것의차이는, 클래스맵에서는좀더복잡한일치기준을만들수있으며클래스맵을재사용할수있다는점입니다. 정보 아래에설명한절차외에도검사맵또는서비스정책을만드는동안클래스맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다

338 RTSP 검사 14 장음성및비디오프로토콜에대한검사 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Class Maps( 클래스맵 ) > RTSP 를선택합니다. 2 단계다음중하나를수행합니다. 새클래스맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계일치옵션 (Match All 또는 Match Any) 을선택합니다. Match All은기본값이며, 트래픽이모든기준과일치해야클래스맵과일치하는것임을의미합니다. Match Any( 항목일치 ) 는트래픽이최소하나의기준과일치하면클래스맵과일치하는것임을의미합니다. 5 단계일치테이블에서항목을추가하거나수정하여일치기준을구성합니다. 대상트래픽을정의하기위해필요한만큼추가합니다. a. 기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. 예를들어 "example.com" 문자열에대해 No Match( 일치하지않음 ) 를선택하면 "example.com" 을포함하는모든트래픽은클래스맵에서제외됩니다. b. 일치기준을선택하고해당값을정의합니다. URL 필터 - URL 을선택한정규식또는정규식클래스와맞춰봅니다. 요청메서드 - 요청메서드 (announce, describe, get_parameter, options, pause, play, record, redirect, setup, set_parameters, teardown) 를확인합니다. c. OK( 확인 ) 를클릭합니다. 6단계 RTSP Traffic Class Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 RTSP 검사정책맵에서클래스맵을사용할수있습니다. RTSP 검사정책맵컨피그레이션 네트워크에서기본검사동작만으로충분하지않은경우 RTSP 검사정책맵을만들어 RTSP 검사작업을사용자지정할수있습니다. 정보 아래에설명한절차외에도서비스정책을만드는동안검사맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다

339 14 장음성및비디오프로토콜에대한검사 RTSP 검사 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > RTSP 를선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4 단계 Parameters 탭을클릭하고원하는옵션을구성합니다. Enforce Reserve Port Protection - 미디어포트협상중에예약된포트사용을제한할지여부를설정합니다. Maximum URL Length - 메시지에서사용할수있는 URL 의최대길이를설정합니다 (0~6000). 5단계 Inspections 탭을클릭하고, 트래픽특성을기반으로구현할특정검사를정의합니다. RTSP 클래스맵을기반으로하거나검사맵에서직접일치를구성하여또는두방법모두를사용하여트래픽일치기준을정의할수있습니다. a. 다음중하나를수행합니다. 새기준을추가하려면 Add( 추가 ) 를클릭합니다. 기존기준을선택하고 Edit( 수정 ) 를클릭합니다. b. 기준을직접정의하려면 Single Match 를선택합니다. Multiple Match 를선택하는경우에는기준을정의하는 RTSP 클래스맵을선택할수있습니다 (RTSP 검사클래스맵컨피그레이션, 페이지참조 ). c. 여기서기준을정의하는경우기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. 예를들어 "example.com" 문자열에대해 No Match( 일치하지않음 ) 를선택하면 "example.com" 을포함하는모든트래픽은클래스맵에서제외됩니다. 다음과같이기준을구성합니다. URL 필터 - URL 을선택한정규식또는정규식클래스와맞춰봅니다. 요청메서드 - 요청메서드 (announce, describe, get_parameter, options, pause, play, record, redirect, setup, set_parameters, teardown) 를확인합니다. d. 일치트래픽에대해수행할작업을선택합니다. URL 일치의경우연결을삭제하거나기록할수있으며, 삭제된연결을기록할수도있습니다. 요청메서드가일치하는경우초당패킷수단위로속도제한을적용할수있습니다. e. 검사를추가하려면 OK( 확인 ) 를클릭합니다. 필요에따라이과정을반복합니다. 6단계 RTSP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 RTSP 검사서비스정책에서검사맵을사용할수있습니다

340 SIP 검사 14 장음성및비디오프로토콜에대한검사 RTSP 검사서비스정책컨피그레이션 기본 ASA 컨피그레이션에는모든인터페이스에전역적으로적용되는기본포트에대한 RAS 검사가포함됩니다. 검사컨피그레이션을사용자지정하기위한일반적인방법은기본글로벌정책을사용자지정하는것입니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. RTSP 검사규칙이있거나 RTSP 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 RTSP 를선택합니다. 4단계기본검사이외의검사를원하는경우 Configure를클릭하고기본맵을사용할지아니면자신이구성한 RTSP 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은 RTSP 검사정책맵컨피그레이션, 14-14페이지를참조하십시오. 정책에맵을할당하려면 Select RTSP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 5 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다. SIP 검사 SIP는인터넷컨퍼런싱, 텔레포니, 프레즌스, 이벤트알림및인스턴트메시징에가장널리사용되는프로토콜입니다. 부분적으로텍스트기반속성때문에그리고부분적으로유연성때문에, SIP 네트워크는다양한보안위협의영향을받을수있습니다. SIP 애플리케이션검사는메시지헤더및본문의주소변환, 동적인포트열기, 기본적인온전성확인등을제공합니다. 또한애플리케이션보안및프로토콜적합성을지원하여, SIP 메시지의온전성을적용하고 SIP 기반공격을감지합니다. SIP 검사는기본적으로사용됩니다. 기본이외의처리를원하는경우또는암호화된트래픽검사를활성화하기위해 TLS 프록시를식별하고자하는경우에만구성해야합니다. 다음항목에서는 SIP 검사에대해좀더자세히설명합니다. SIP 검사개요, 페이지 SIP 검사의제한, 페이지 기본 SIP 검사, 페이지 SIP 검사컨피그레이션, 페이지 SIP 시간제한값컨피그레이션, 페이지 14-16

341 14 장음성및비디오프로토콜에대한검사 SIP 검사 SIP 검사개요 IETF 에정의된대로 SIP 는통화처리세션, 특히양자간오디오컨퍼런스또는 " 통화 " 를활성화합니다. SIP 는통화신호에대해 SDP 와작동합니다. SDP 는미디어스트림용포트를지정합니다. SIP 를사용하여 ASA 는 SIP VoIP 게이트웨이및 VoIP 프록시서버를지원할수있습니다. SIP 및 SDP 는다음 RFC 에정의되어있습니다. SIP: 세션시작프로토콜, RFC 3261 SDP: Session Description Protocol, RFC 2327 SIP 통화가 ASA를통과하도록지원하려면미디어연결주소, 미디어포트및미디어의미발달연결에대한신호메시지를검사해야합니다. 잘알려진대상포트 (UDP/TCP 5060) 를통해신호가전송되는동안미디어스트림이동적으로할당되기때문입니다. 또한 SIP는 IP 패킷의사용자데이터부분에 IP 주소를포함합니다. ASA에서지원하는 SIP 요청 URI의최대길이는 255입니다. IM( 인스턴트메시징 ) 애플리케이션도 SIP 확장 (RFC 3428에정의 ) 및 SIP별이벤트알림 (RFC 3265) 을사용합니다. 사용자가채팅세션 ( 등록 / 서브스크립션 ) 을시작하고서로채팅하면 IM 애플리케이션에서 MESSAGE/INFO 메서드및 202 Accept 응답을사용합니다. 예를들어, 사용자 2명이언제든온라인상태일수있지만수시간동안채팅할수는없습니다. 따라서 SIP 검사엔진은구성된 SIP 시간제한값에따라시간이초과되는핀홀을엽니다. 이값은서브스크립션기간보다길게최소 5분으로구성해야합니다. 서브스크립션기간은 Contact Expires 값에서정의하며일반적으로 30분입니다. MESSAGE/INFO 요청은대개동적으로할당된포트 (5060 이외의포트 ) 를사용하여전송되므로 SIP 검사엔진을통과해야합니다. 참고 SIP 검사는채팅기능만지원합니다. 화이트보드, 파일전송및애플리케이션공유기능은지원되지않습니다. RTC Client 5.0 은지원되지않습니다. SIP 검사의제한 SIP 검사는 CUCM(Cisco Unified Communications Manager) 7.0, 8.0, 8.6 및 10.5에서테스트및지원됩니다. CUCM 8.5 또는 9.x에서는지원되지않습니다. 기타릴리스및제품에서는 SIP 검사가작동하지않을수있습니다. SIP 검사는포함된 IP 주소에대해 NAT를적용합니다. 그러나소스및수신주소를모두변환하도록 NAT를구성하는경우외부주소 ("trying" 응답메시지에대한 SIP 헤더의 "from") 가재작성되지않습니다. 따라서수신주소를변환하지않도록하려면 SIP 트래픽을다룰때객체 NAT를사용해야합니다. SIP와함께 PAT를사용할때다음과같은제한및제약이적용됩니다. ASA 에의해보호되는네트워크에서원격엔드포인트가 SIP 프록시에등록을시도하면다음과같은특별한상황에서등록이실패합니다. PAT 가원격엔드포인트용으로구성되어있습니다. SIP 등록서버가외부네트워크에있습니다. 엔드포인트가프록시서버로보낸 REGISTER 메시지의연락처필드에포트가누락되어있습니다. SIP 디바이스가 SDP 부분에서연결필드 (c=) 가아닌소유자 / 생성자필드 (o=) 에 IP 주소가있는패킷을전송하는경우, o= 필드의 IP 주소가제대로변환되지않을수있습니다. 이는 o= 필드에포트값을제공하지않는 SIP 프로토콜의제한때문입니다

342 SIP 검사 14 장음성및비디오프로토콜에대한검사 PAT 를사용할때포트없이내부 IP 주소를포함하는 SIP 헤더필드는변환되지않을수있는데, 이경우내부 IP 주소가외부로유출됩니다. 이유출을방지하려면 PAT 대신 NAT 를구성하십시오. 기본 SIP 검사 SIP 검사는다음과같은기본검사맵을사용하여기본적으로활성화됩니다. SIP IM( 인스턴트메시징 ) 확장 : 사용됨 SIP 포트의비 SIP 트래픽 : 허용됨 서버및엔드포인트의 IP 주소숨기기 : 사용되지않음 마스크소프트웨어버전및비 SIP URI: 사용되지않음 대상으로의홉수가 0 보다큰지확인 : 사용됨 RTP 적합성 : 적용되지않음 SIP 적합성 : 상태확인및헤더검증을수행하지않음암호화된트래픽에대한검사도수행되지않습니다. 암호화된트래픽을검사하려면 TLS 프록시를구성해야합니다. SIP 검사컨피그레이션 SIP 애플리케이션검사는메시지헤더및본문의주소변환, 동적인포트열기, 기본적인온전성확인등을제공합니다. 또한애플리케이션보안및프로토콜적합성을지원하여, SIP 메시지의온전성을적용하고 SIP 기반공격을감지합니다. SIP 검사는기본적으로사용됩니다. 기본이외의처리를원하는경우또는암호화된트래픽검사를활성화하기위해 TLS 프록시를식별하고자하는경우에만구성해야합니다. SIP 검사를사용자지정하려면다음프로세스를사용합니다. 절차 1 단계 SIP 검사클래스맵컨피그레이션, 페이지 2 단계 SIP 검사정책맵컨피그레이션, 페이지 3 단계 SIP 검사서비스정책컨피그레이션, 페이지 SIP 검사클래스맵컨피그레이션 SIP 검사용트래픽클래스를정의하기위한 SIP 검사클래스맵을선택적으로만들수있습니다. 다른옵션은 SIP 검사정책맵에서직접트래픽클래스를정의하는것입니다. 클래스맵을만드는것과검사맵에서직접트래픽일치를정의하는것의차이는, 클래스맵에서는좀더복잡한일치기준을만들수있으며클래스맵을재사용할수있다는점입니다. 정보 아래에설명한절차외에도검사맵또는서비스정책을만드는동안클래스맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다

343 14 장음성및비디오프로토콜에대한검사 SIP 검사 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Class Maps( 클래스맵 ) > SIP 를선택합니다. 2 단계다음중하나를수행합니다. 새클래스맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계일치옵션 (Match All 또는 Match Any) 을선택합니다. Match All은기본값이며, 트래픽이모든기준과일치해야클래스맵과일치하는것임을의미합니다. Match Any( 항목일치 ) 는트래픽이최소하나의기준과일치하면클래스맵과일치하는것임을의미합니다. 5 단계일치테이블에서항목을추가하거나수정하여일치기준을구성합니다. 대상트래픽을정의하기위해필요한만큼추가합니다. a. 기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. 예를들어 "example.com" 문자열에대해 No Match( 일치하지않음 ) 를선택하면 "example.com" 을포함하는모든트래픽은클래스맵에서제외됩니다. b. 일치기준을선택하고해당값을정의합니다. 수신자 - 선택한정규식또는정규식클래스에서수신헤더에지정된수신자를확인합니다. 발신자 - 선택한정규식또는정규식클래스에서발신헤더에지정된발신자를확인합니다. 콘텐츠길이 - 0 부터 바이트사이에서지정된값보다큰 SIP 콘텐츠헤더길이를확인합니다. 콘텐츠유형 - 콘텐츠유형헤더 (SDP 유형또는선택한정규식또는정규식클래스와일치하는유형 ) 을확인합니다. IM 가입자 - 선택한정규식또는정규식클래스에서 SIP IM 가입자를확인합니다. 메시지경로 - 선택한정규식또는정규식클래스에서 ' 다음을통한 SIP' 헤더를확인합니다. 요청메서드 - SIP 요청메서드 (ack, bye, cancel, info, invite, message, notify, options, prack, refer, register, subscribe, unknown, update) 를확인합니다. 타사등록 - 선택한정규식또는정규식클래스에서타사등록요청자를확인합니다. URI 길이 - 0 부터 바이트사이에서지정된값보다큰선택한유형 (SIP 또는 TEL) 의 SIP 헤더에있는 URI 를확인합니다. c. OK( 확인 ) 를클릭합니다. 6단계 SIP Traffic Class Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 SIP 검사정책맵에서클래스맵을사용할수있습니다

344 SIP 검사 14 장음성및비디오프로토콜에대한검사 SIP 검사정책맵컨피그레이션 네트워크에서기본검사동작만으로충분하지않은경우 SIP 검사정책맵을만들어 SIP 검사작업을사용자지정할수있습니다. 정보 아래에설명한절차외에도서비스정책을만드는동안검사맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다. 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > SIP 를선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 내용을볼맵을선택합니다. 보안수준을직접변경할수도있고, Customize( 사용자정의 ) 클릭하여맵을편집할수도있습니다. 이절차의나머지부분에서는맵을사용자지정하거나추가한것으로가정합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계 SIP Inspect Map 대화상자의 Security Level 보기에서원하는컨피그레이션과가장일치하는수준을선택합니다. 기본수준은낮음입니다. 사전설정수준중요구사항과일치하는것이있으면모두완료된것입니다. OK( 확인 ) 를클릭하고, 이절차의나머지를건너뛰고, SIP 검사용서비스정책규칙의맵을사용합니다. 5 단계설정을더세부적으로사용자지정해야하는경우 Details( 세부사항 ) 를클릭하고다음을수행합니다. a. Filtering 탭을클릭하고 SIP IM( 인스턴트메시징 ) 확장을사용할지또는 SIP 포트에서비 SIP 트래픽을허용할지여부를선택합니다. b. IP Address Privacy 탭을클릭하고서버및엔드포인트 IP 주소를숨길지여부를선택합니다. c. Hop Count 탭을클릭하고목적지에대한홉 (hop) 의수가 0 보다큰것을확인할지여부를선택합니다. 그러면 Max-Forwards 헤더의값을확인합니다. 이값은대상에도달하기전에는 0 이될수없습니다. 적합하지않은트래픽에대해수행할작업 ( 패킷삭제, 연결해제, 재설정, 기록등 ) 및기록의사용여부를선택해야합니다. d. RTP Conformance 탭을클릭하고핀홀에서흐르는 RTP 패킷에대해프로토콜적합성을확인할지여부를선택합니다. 적합성을확인하려는경우에는신호교환을기반으로오디오또는비디오에대한페이로드를제한할지여부도선택할수있습니다. e. SIP Conformance 탭을클릭하고상태변환확인및헤더필드의엄격한검증을사용할지여부를선택합니다. 선택한각옵션에서, 적합하지않은트래픽에대해수행할작업 ( 패킷삭제, 연결해제, 재설정, 기록등 ) 및기록의사용여부를선택합니다. f. Field Masking 탭을클릭하고 Alert-Info 및 Call-Info 헤더에서 SIP URI 를검사할지여부, 그리고 User-Agent 및 Server 헤더에서서버와엔드포인트의소프트웨어버전을검사할지여부를선택합니다. 선택한각옵션에서, 수행할작업 ( 마스크처리또는기록 ) 및기록의사용여부를선택합니다

345 14 장음성및비디오프로토콜에대한검사 SIP 검사 g. TVS Server 탭을클릭하고 Trust Verification Services 서버를식별합니다. 그러면 Cisco Unified IP Phone이 HTTPS 설정중에애플리케이션서버를인증할수있습니다. 최대 4개의서버를식별할수있습니다. IP 주소를쉼표로구분하여입력합니다. SIP 검사는등록된각전화기에대해각서버에대한핀홀을열며, 전화기는사용할핀홀을결정합니다. CUCM 서버에서신뢰인증서비스서버를구성합니다. 컨피그레이션에서기본포트이외의포트를사용하는경우포트번호 (1026~32768) 를입력합니다. 기본포트는 2445입니다. 6단계 Inspections 탭을클릭하고, 트래픽특성을기반으로구현할특정검사를정의합니다. SIP 클래스맵을기반으로하거나검사맵에서직접일치를구성하여또는두방법모두를사용하여트래픽일치기준을정의할수있습니다. a. 다음중하나를수행합니다. 새기준을추가하려면 Add( 추가 ) 를클릭합니다. 기존기준을선택하고 Edit( 수정 ) 를클릭합니다. b. 기준을직접정의하려면 Single Match 를선택합니다. Multiple Match 를선택하는경우에는기준을정의하는 SIP 클래스맵을선택할수있습니다 (SIP 검사클래스맵컨피그레이션, 페이지참조 ). c. 여기서기준을정의하는경우기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. 예를들어 "example.com" 문자열에대해 No Match( 일치하지않음 ) 를선택하면 "example.com" 을포함하는모든트래픽은클래스맵에서제외됩니다. 다음과같이기준을구성합니다. 수신자 - 선택한정규식또는정규식클래스에서수신헤더에지정된수신자를확인합니다. 발신자 - 선택한정규식또는정규식클래스에서발신헤더에지정된발신자를확인합니다. 콘텐츠길이 - 0 부터 바이트사이에서지정된값보다큰 SIP 콘텐츠헤더길이를확인합니다. 콘텐츠유형 - 콘텐츠유형헤더 (SDP 유형또는선택한정규식또는정규식클래스와일치하는유형 ) 을확인합니다. IM 가입자 - 선택한정규식또는정규식클래스에서 SIP IM 가입자를확인합니다. 메시지경로 - 선택한정규식또는정규식클래스에서 ' 다음을통한 SIP' 헤더를확인합니다. 요청메서드 - SIP 요청메서드 (ack, bye, cancel, info, invite, message, notify, options, prack, refer, register, subscribe, unknown, update) 를확인합니다. 타사등록 - 선택한정규식또는정규식클래스에서타사등록요청자를확인합니다. URI 길이 - 0 부터 바이트사이에서지정된값보다큰선택한유형 (SIP 또는 TEL) 의 SIP 헤더에있는 URI 를확인합니다. d. 일치하는트래픽에대해수행할작업 ( 패킷삭제, 연결해제, 재설정, 기록등 ) 및기록의사용여부를선택합니다. 요청메서드가 "invite" 및 "register" 와일치하는경우에만초당패킷수단위로속도제한을사용할수있습니다. e. 검사를추가하려면 OK( 확인 ) 를클릭합니다. 필요에따라이과정을반복합니다. 7단계 SIP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 SIP 검사서비스정책에서검사맵을사용할수있습니다

346 Skinny(SCCP) 검사 14 장음성및비디오프로토콜에대한검사 SIP 검사서비스정책컨피그레이션 기본 ASA 컨피그레이션에는모든인터페이스에전역적으로적용되는기본포트에대한 SIP 검사가포함됩니다. 검사컨피그레이션을사용자지정하기위한일반적인방법은기본글로벌정책을사용자지정하는것입니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. SIP 검사규칙이있거나 SIP 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 SIP 를선택합니다. 4 단계기본검사이외의검사를원하는경우 Configure 를클릭하고다음을수행합니다. a. 기본맵을사용할지, 자신이구성한 SIP 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은 SIP 검사정책맵컨피그레이션, 페이지를참조하십시오. b. 암호화된 SIP 트래픽을검사하려면 Enable encrypted traffic inspection( 암호화된트래픽검사활성화 ) 을선택하고 TLS 프록시를선택합니다 ( 필요한경우 Manage( 관리 ) 를클릭하여만들수있음 ). c. Select SIP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 5 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다. SIP 시간제한값컨피그레이션 연결이유휴상태가된후 2분이내에미디어연결이해제됩니다. 그러나이시간제한은컨피그레이션가능하며더짧게또는더길게설정할수있습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Advanced( 고급 ) > Global Timeouts( 글로벌시간제한 ) 페이지에서 SIP 글로벌시간제한값을구성할수있습니다. Skinny(SCCP) 검사 다음섹션에서는 SCCP 애플리케이션검사에대해설명합니다. SCCP 검사개요, 14-23페이지 Cisco IP Phone 지원, 14-23페이지 SCCP 검사의제한, 14-23페이지 기본 SCCP 검사, 14-24페이지 SCCP(Skinny) 검사컨피그레이션, 14-24페이지 14-22

347 14 장음성및비디오프로토콜에대한검사 Skinny(SCCP) 검사 SCCP 검사개요 Skinny(SCCP) 는 VoIP 네트워크에서사용되는간소화된프로토콜입니다. SCCP를사용하는 Cisco IP Phone이 H.323 환경에서공존할수있습니다. Cisco CallManager와함께사용할경우 SCCP 클라이언트는 H.323 호환터미널과상호작용할수있습니다. ASA는 SCCP용 PAT 및 NAT를지원합니다. IP 전화기에사용할글로벌 IP 주소보다 IP 전화기가더많은경우 PAT가필요합니다. Skinny 애플리케이션검사는모든 SCCP 신호및미디어패킷이 ASA를통과할수있도록 SCCP 신호패킷의 NAT 및 PAT를지원합니다. Cisco CallManager와 Cisco IP Phone 사이의정상적인트래픽은 SCCP를사용하며, 특별한컨피그레이션없이 SCCP 검사에의해처리됩니다. ASA는 DHCP 옵션 150 및 66 또한지원하며, 이는 TFTP 서버의위치를 Cisco IP Phone 및기타 DHCP 클라이언트에전송하는방식으로구현됩니다. Cisco IP Phone의요청에기본경로를설정하는 DHCP 옵션 3도포함될수있습니다. 참고 ASA 는 SCCP 프로토콜버전 22 이하에서실행되는 Cisco IP Phone 의트래픽검사를지원합니다. Cisco IP Phone 지원 Cisco CallManager가 Cisco IP Phone보다보안수준이높은인터페이스에있을때 Cisco CallManager IP 주소에 NAT가필요한경우에는고정매핑을사용해야합니다. Cisco IP Phone 을사용하려면컨피그레이션에 Cisco CallManager IP 주소가명시적으로지정되어있어야하기때문입니다. 고정 ID 항목을사용하면보안수준이높은인터페이스에있는 Cisco CallManager에서 Cisco IP Phone의등록을허용할수있습니다. Cisco IP Phone은 Cisco CallManager 서버에연결하기위해필요한컨피그레이션정보를다운로드하려면 TFTP 서버에액세스할수있어야합니다. Cisco IP Phone이 TFTP 서버보다보안수준이낮은인터페이스에있으면 UDP 포트 69에있는보호된 TFTP 서버에연결하기위해 ACL을사용해야합니다. TFTP 서버에대해고정항목이필요하지만, 고정 ID 항목일필요는없습니다. NAT를사용할경우고정 ID 항목은동일한 IP 주소에매핑됩니다. PAT를사용할경우정적 ID 항목은동일한 IP 주소및포트에매핑됩니다. Cisco IP Phone이 TFTP 서버및 Cisco CallManager보다보안수준이더높은인터페이스에있을때 Cisco IP Phone이연결을시작할수있으려면 ACL 또는고정항목이필요합니다. SCCP 검사의제한 SCCP 검사는 CUCM(Cisco Unified Communications Manager) 7.0, 8.0, 8.6 및 10.5에서테스트및지원됩니다. CUCM 8.5 또는 9.x에서는지원되지않습니다. 기타릴리스및제품에서는 SCCP 검사가작동하지않을수있습니다. 내부 Cisco CallManager의주소가 NAT 또는 PAT에대해다른 IP 주소또는포트로구성된경우, 외부 Cisco IP Phone의등록이실패하게됩니다. ASA는현재 TFTP를통해전송된파일콘텐츠에대해 NAT 또는 PAT를지원하지않기때문입니다. ASA는 TFTP 메시지의 NAT를지원하고 TFTP 파일에대한핀홀을엽니다. 그러나 ASA는전화기등록중에 TFTP에의해전송된 Cisco IP Phone 컨피그레이션파일에포함된 Cisco CallManager IP 주소및포트를변환할수없습니다. 참고 ASA 는통화설정중에걸려오는통화를제외하고, SCCP 통화의상태기반시스템대체작동을지원합니다

348 Skinny(SCCP) 검사 14 장음성및비디오프로토콜에대한검사 기본 SCCP 검사 SCCP 검사는기본적으로다음기본값으로사용됩니다. 등록 : 적용되지않음 최대메시지 ID: 0x181 최소접두사길이 : 4 미디어시간제한 : 00:05:00 신호시간제한 : 01:00:00 RTP 적합성 : 적용되지않음암호화된트래픽에대한검사도수행되지않습니다. 암호화된트래픽을검사하려면 TLS 프록시를구성해야합니다. SCCP(Skinny) 검사컨피그레이션 SCCP(Skinny) 애플리케이션검사는패킷데이터내에포함된 IP 주소와포트번호를변환하고핀홀을동적으로엽니다. 또한추가프로토콜적합성확인및기본상태추적을수행합니다. SCCP 검사는기본적으로사용됩니다. 기본이외의처리를원하는경우또는암호화된트래픽검사를활성화하기위해 TLS 프록시를식별하고자하는경우에만구성해야합니다. SCCP 검사를사용자지정하려면다음프로세스를사용합니다. 절차 1 단계추가검사제어를위한 Skinny(SCCP) 검사정책맵컨피그레이션, 페이지 2 단계 SCCP 검사서비스정책컨피그레이션, 페이지 추가검사제어를위한 Skinny(SCCP) 검사정책맵컨피그레이션 메시지가매개변수를위반하는경우의작업을지정하려면 SCCP 검사정책맵을만듭니다. 그러면 SCCP 검사를사용할때검사정책맵을적용할수있습니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > SCCP(Skinny) 를선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 내용을볼맵을선택합니다. 보안수준을직접변경할수도있고, Customize( 사용자정의 ) 클릭하여맵을편집할수도있습니다. 이절차의나머지부분에서는맵을사용자지정하거나추가한것으로가정합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다

349 14 장음성및비디오프로토콜에대한검사 Skinny(SCCP) 검사 4단계 SCCP (Skinny) Inspect Map 대화상자의 Security Level 보기에서원하는컨피그레이션과가장일치하는수준을선택합니다. 기본수준은낮음입니다. 사전설정수준중요구사항과일치하는것이있으면모두완료된것입니다. OK( 확인 ) 를클릭하고, 이절차의나머지를건너뛰고, SCCP 검사용서비스정책규칙의맵을사용합니다. 5 단계설정을더세부적으로사용자지정해야하는경우 Details( 세부사항 ) 를클릭하고다음을수행합니다. a. Parameters 탭을클릭하고다음옵션중에서선택합니다. Enforce endpoint registration - 전화를걸거나받기전에 Skinny 엔드포인트를등록해야할지여부를설정합니다. Maximum Message ID - 허용되는최대 SCCP 스테이션메시지 ID 입니다. 기본최대값은 0x181 입니다. 16 진수의범위는 0x0~0xffff 입니다. SCCP Prefix Length - 최대및최소 SCCP 접두사길이입니다. 기본최소값은 4 이며기본최대값은없습니다. Timeouts - 미디어및신호연결에대해시간제한을설정할지여부및해당시간제한의값을설정합니다. 미디어에대한기본값은 5 분이고신호에대한기본값은 1 시간입니다. b. RTP Conformance 탭을클릭하고핀홀에서흐르는 RTP 패킷에대해프로토콜적합성을확인할지여부를선택합니다. 적합성을확인하려는경우에는신호교환을기반으로오디오또는비디오에대한페이로드를제한할지여부도선택할수있습니다. 6 단계 ( 선택사항 ) Message ID Filtering 탭을클릭하고 SCCP 메시지의스테이션메시지 ID 필드를기반으로삭제할트래픽을식별합니다. a. 다음중하나를수행합니다. 새기준을추가하려면 Add( 추가 ) 를클릭합니다. 기존기준을선택하고 Edit( 수정 ) 를클릭합니다. b. 기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. c. Value 필드에서 16 진수의스테이션메시지 ID 값을기반으로트래픽을식별합니다 (0x0~0xffff). 단일메시지 ID 의값을입력하거나, ID 범위의시작값과종료값을입력합니다. d. 기록의활성화여부를선택합니다. 작업은항상패킷을삭제하는것입니다. e. 필터를추가하려면 OK( 확인 ) 를클릭합니다. 필요에따라이과정을반복합니다. 7단계 SCCP (Skinny) Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 SCCP 검사서비스정책에서검사맵을사용할수있습니다. SCCP 검사서비스정책컨피그레이션 기본 ASA 컨피그레이션에는모든인터페이스에전역적으로적용되는기본포트에대한 SCCP 검사가포함됩니다. 검사컨피그레이션을사용자지정하기위한일반적인방법은기본글로벌정책을사용자지정하는것입니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 )

350 음성및비디오프로토콜검사를위한기록 14 장음성및비디오프로토콜에대한검사 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. SCCP 검사규칙이있거나 SCCP 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 SCCP (Skinny) 를선택합니다. 4 단계기본검사이외의검사를원하는경우 Configure 를클릭하고다음을수행합니다. a. 기본맵을사용할지, 자신이구성한 SCCP 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은추가검사제어를위한 Skinny(SCCP) 검사정책맵컨피그레이션, 페이지를참조하십시오. b. 암호화된 SCCP 트래픽을검사하려면 Enable encrypted traffic inspection을선택하고 TLS 프록시를선택합니다 ( 필요한경우 Manage를클릭하여만들수있음 ). Skinny 애플리케이션트래픽을검사하는데 ASA에구성된 Phone Proxy를사용할수도있지만이컨피그레이션은사용하지않는것이좋습니다. c. Select SCCP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 5 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다. 음성및비디오프로토콜검사를위한기록 기능이름 릴리스 기능정보 SIP, SCCP, TLS 프록시에서 IPv6 지원 9.3(1) SIP, SCCP, TLS 프록시 (SIP 또는 SCCP 사용 ) 를사용할때 IPv6 트래픽을검사할수있습니다. ASDM 화면은수정하지않았습니다. 신뢰인증서비스, NAT66, CUCM 10.5 및모델 8831 폰에서 SIP 가지원됩니다. 멀티코어 ASA 에서 SIP 검사성능이향상되었습니다. 9.3(2) 이제 SIP 검사에신뢰인증서비스서버를구성할수있습니다. 또한 NAT66을사용할수있습니다. SIP 검사는 CUCM 10.5로테스트되었습니다. SIP 검사정책맵에신뢰인증서비스서버지원을추가했습니다. 9.4(1) 멀티코어를사용하여 ASA를통과하는여러 SIP 신호흐름이있는경우 SIP 검사성능이향상되었습니다. 하지만 TLS, 전화기또는 IME 프록시를사용하는경우성능이향상되지않았습니다. ASDM 화면은수정하지않았습니다

351 14 장음성및비디오프로토콜에대한검사 음성및비디오프로토콜검사를위한기록 기능이름릴리스기능정보 ASA 클러스터링에서 SIP 검사지원 9.4(1) 이제 ASA 클러스터에서 SIP 검사를구성할수있습니다. 로드밸런싱으로인해모든디바이스에서제어흐름을만들수있지만자식데이터흐름은동일한디바이스에상주해야합니다. TLS 프록시컨피그레이션은지원되지않습니다. 화면은수정하지않았습니다. Phone Proxy 및 UC-IME Proxy 에대한 SIP 검사지원이제거되었습니다. 9.4(1) SIP 검사를구성할때 Phone Proxy 또는 UC-IME Proxy 를더이상사용할수없습니다. TLS 프록시를사용하여암호화된트래픽을검사합니다. SIP 검사맵선택서비스정책대화상자에서 Phone Proxy 및 UC-IME Proxy를제거했습니다

352 음성및비디오프로토콜검사를위한기록 14 장음성및비디오프로토콜에대한검사 14-28

353 15 장 데이터베이스, 디렉토리및관리프로토콜검사 다음항목에서는데이터베이스, 디렉토리및관리프로토콜에대한애플리케이션검사에대해설명합니다. 특정프로토콜에대해검사를사용해야하는이유및검사적용을위한전반적인방법에대해자세히알아보려면애플리케이션레이어프로토콜검사시작, 12-1 페이지를참조하십시오. DCERPC 검사, 15-1 페이지 GTP 검사, 15-4 페이지 ILS 검사, 15-8 페이지 RADIUS 어카운팅검사, 15-9 페이지 RSH 검사, 페이지 SNMP 검사, 페이지 SQL*Net 검사, 페이지 Sun RPC 검사, 페이지 XDMCP 검사, 페이지 VXLAN 검사, 페이지 데이터베이스, 디렉토리및관리프로토콜검사기록, 페이지 DCERPC 검사 다음섹션에서는 DCERPC 검사엔진에대해설명합니다. DCERPC 개요, 15-1페이지 DCERPC 검사컨피그레이션, 15-2페이지 DCERPC 개요 DCERPC 는 Microsoft 에서배포한클라이언트및서버애플리케이션에서널리사용되는프로토콜로서, 소프트웨어클라이언트가서버의프로그램을원격으로실행하도록허용합니다. 15-1

354 DCERPC 검사 15 장데이터베이스, 디렉토리및관리프로토콜검사 일반적으로이과정에서잘알려진포트번호에서필수서비스에대한동적으로할당되는네트워크정보를수신대기하는엔드포인트매퍼라는서버에쿼리합니다. 그런다음클라이언트는서비스를제공하는서버인스턴스에대해보조연결을설정합니다. 보안어플라이언스는적절한포트번호와네트워크주소를허용하며, 필요한경우보조연결을위해 NAT를적용합니다. DCERPC 검사맵은잘알려진 TCP 포트 135에서 EPM과클라이언트간기본 TCP 통신을검사합니다. 클라이언트에대해 EPM의맵및조회작업이지원됩니다. 클라이언트와서버는보안영역의어디에든배치할수있습니다. 해당 EPM 응답메시지로부터내장서버 IP 주소및포트번호가수신됩니다. 클라이언트는 EPM에서반환하는서버포트에대해연결을여러번시도할수있으므로핀홀의다중사용이허용되며, 이경우시간제한을구성할수있습니다. DCE 검사는다음 UUID 및메시지를지원합니다. 엔드포인트매퍼 (Endpoint Mapper, EPM) UUID. 모든 EPM 메시지가지원됩니다. ISystemMapper UUID( 비 EPM). 지원되는메시지는다음과같습니다. RemoteCreateInstance opnum4 RemoteGetClassObject opnum3 이러한메시지는검사가필요하지않으므로메시지에 IP 주소또는포트정보가포함되지않습니다. DCERPC 검사컨피그레이션 DCERPC 검사는기본적으로사용되지않습니다. DCERPC 검사를사용하려면구성해야합니다. 절차 1 단계 DCERPC 검사정책맵컨피그레이션, 15-2 페이지 2 단계 DCERPC 검사서비스정책컨피그레이션, 15-3 페이지. DCERPC 검사정책맵컨피그레이션 추가 DCERPC 검사매개변수를지정하려면 DCERPC 검사정책맵을만듭니다. 그러면 DCERPC 검사를사용할때검사정책맵을적용할수있습니다. 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > DCERPC 를선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 내용을볼맵을선택합니다. 보안수준을직접변경할수도있고, Customize( 사용자정의 ) 클릭하여맵을편집할수도있습니다. 이절차의나머지부분에서는맵을사용자지정하거나추가한것으로가정합니다. 15-2

355 15 장데이터베이스, 디렉토리및관리프로토콜검사 DCERPC 검사 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계 DCERPC Inspect Map 대화상자의 Security Level 보기에서원하는컨피그레이션과가장일치하는수준을선택합니다. 사전설정수준중요구사항과일치하는것이있으면모두완료된것입니다. OK( 확인 ) 를클릭하고, 이절차의나머지를건너뛰고, DCERPC 검사용서비스정책규칙의맵을사용합니다. 설정을더세부적으로사용자지정해야하는경우 Details( 세부사항 ) 를클릭한다음절차를계속진행합니다. 5 단계원하는옵션을구성합니다. Pinhole Timeout - 핀홀시간제한을설정합니다. 다중연결용엔드포인트매퍼에서반환한서버정보를클라이언트에서사용할수있으므로클라이언트애플리케이션환경을기반으로시간제한값을구성할수있습니다. 범위는 0:0:1~1193:0:0 입니다. Enforce endpoint-mapper service - 서비스트래픽만처리되도록바인딩중에엔드포인트매퍼서비스를적용할지여부를설정합니다. Enable endpoint-mapper service lookup - 엔드포인트매퍼서비스의조회작업을사용할지여부를설정합니다. 서비스조회에대해서도시간제한을적용할수있습니다. 시간제한을구성하지않으면핀홀시간제한이사용됩니다. 6단계 OK( 확인 ) 를클릭합니다. 이제 DCERPC 검사서비스정책의검사맵을사용할수있습니다. DCERPC 검사서비스정책컨피그레이션 DCERPC 검사는기본검색정책에서활성화되지않으므로이검사가필요한경우직접활성화해야합니다. DCERPC 검사를추가하려면기본글로벌검사정책을수정하면됩니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. DCERPC 검사규칙이있거나 DCERPC 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 ( 사용중인정책을변경하려면 ) 다른검사정책맵을사용하기위해현재사용중인정책을수정하려면 DCERPC 검사를비활성화한다음새검사정책맵이름으로다시활성화해야합니다. a. DCERPC 확인란의선택을취소합니다. b. OK( 확인 ) 를클릭합니다. c. Apply( 적용 ) 를클릭합니다. d. 프로토콜검사탭으로돌아가려면이러한단계를반복합니다. 15-3

356 GTP 검사 15 장데이터베이스, 디렉토리및관리프로토콜검사 4 단계 DCERPC 를선택합니다. 5 단계기본검사이외의검사를원하는경우 Configure 를클릭하고다음을수행합니다. a. 기본맵을사용할지, 자신이구성한 DCERPC 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은 DCERPC 검사정책맵컨피그레이션, 15-2 페이지를참조하십시오. b. Select DCERPC Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 6 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다. GTP 검사 다음섹션에서는 GTP 검사엔진에대해설명합니다. 참고 GTP 검사에는특별한라이센스가필요합니다. GTP 검사개요, 15-4페이지 GTP 검사를위한기본값, 15-5페이지 GTP 검사컨피그레이션, 15-5페이지 GTP 검사개요 GPRS 는모바일가입자에게 GSM 네트워크와회사네트워크또는인터넷간무중단연결을제공합니다. GGSN 은 GPRS 무선데이터네트워크및기타네트워크간의인터페이스입니다. SGSN 은모빌리티, 데이터세션관리및데이터압축을수행합니다. 그림 15-1 GPRS 터널링프로토콜 Internet MS Home PLMN SGSN Gn Gp GRX GGSN Gi Corporate network 2 Corporate network 1 Roaming partner (visited PLMN)

357 15 장데이터베이스, 디렉토리및관리프로토콜검사 GTP 검사 UMTS는고정라인텔레포니, 모바일, 인터넷및컴퓨터기술을상업적으로통합한서비스입니다. UTRAN은이시스템의무선네트워크구현에사용되는네트워킹프로토콜입니다. GTP는다중프로토콜패킷이 GGSN, SGSN 및 UTRAN 간 UMTS/GPRS 백본을통해터널링하도록허용합니다. GTP에는내재적보안또는사용자데이터의암호화가포함되어있지않습니다. 그러나 ASA와함께 GTP를사용하면네트워크를위험으로부터보호하는데도움이됩니다. SGSN은 GTP를사용하여 GGSN에논리적으로연결됩니다. GTP는다중프로토콜패킷이 GSN 간 GPRS 백본을통해터널링하도록허용합니다. GTP는 SGSN에서터널을생성, 수정및삭제하여이동통신국용 GPRS 네트워크액세스를제공하도록허용하는터널제어및관리프로토콜을제공합니다. GTP는사용자데이터패킷전송서비스를제공하기위해터널링메커니즘을사용합니다. 참고 장애조치와함께 GTP 를사용할때 GTP 연결이설정된후터널을통해데이터가전송되기전에활성유닛이실패하면, GTP 데이터연결 ("j" 플래그세트 ) 이스탠바이유닛에복제되지않습니다. 이는활성유닛이미발달연결을스탠바이유닛으로복제하지않기때문에발생합니다. GTP 검사를위한기본값 GTP 검사는기본적으로사용되지않습니다. 그러나자신의검사맵을지정하지않은채 GTP 검사를활성화하면다음처리를제공하는기본맵이사용됩니다. 다른값을원하는경우에만맵을구성해야합니다. 오류는허용되지않습니다. 최대요청수는 200 입니다. 최대터널수는 500 입니다. GSN 시간제한은 30 분입니다. PDP 컨텍스트시간제한은 30 분입니다. 요청시간제한은 1 분입니다. 신호시간제한은 30 분입니다. 터널링시간제한은 1 시간입니다. T3 응답시간제한은 20 초입니다. 알수없는메시지 ID 가삭제및기록됩니다. GTP 검사컨피그레이션 GTP 검사는기본적으로사용되지않습니다. GTP 검사를사용하려면구성해야합니다. 절차 1 단계 GTP 검사정책맵컨피그레이션, 15-6 페이지 2 단계 GTP 검사서비스정책컨피그레이션, 15-8 페이지 3 단계 ( 선택사항 ) 과다청구공격을방지하려면 RADIUS 어카운팅검사를구성합니다. ILS 검사, 15-8 페이지를참조하십시오. 15-5

358 GTP 검사 15 장데이터베이스, 디렉토리및관리프로토콜검사 GTP 검사정책맵컨피그레이션 GTP 트래픽에추가매개변수를적용하려고하는데기본맵이요구를충족하지않는경우 GTP 맵을만들고구성합니다. 시작하기전에 일부트래픽일치옵션에서는일치를위해정규식을사용합니다. 이러한방법중하나를사용하려면먼저정규식또는정규식클래스맵을만드십시오. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > GTP 를선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 내용을볼맵을선택합니다. 맵을편집하려면 Customize( 사용자정의 ) 클릭합니다. 이절차의나머지부분에서는맵을사용자지정하거나추가한것으로가정합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계 GTP Inspect Map 대화상자의 Security Level 보기에서맵의현재컨피그레이션을봅니다. 이보기에서는맵이기본값을사용하는지아니면사용자지정되었는지를나타냅니다. 설정을더세부적으로사용자지정해야하는경우 Details( 세부사항 ) 를클릭한다음절차를계속진행합니다. 정보 IMSI Prefix Filtering 단추는이절차의뒷부분에서설명한 IMSI 접두사필터링을구성하기위한바로가기입니다. 5 단계 Permit Parameters 탭을클릭하고원하는옵션을구성합니다. Permit Response - ASA에서 GTP 검사를수행할때, GTP 요청에지정되지않은 GSN에서오는 GTP 응답은기본적으로 ASA에의해삭제됩니다. 이러한상황은 GPRS의효율성과확장성을제공하기위해 GSN 풀간로드밸런싱을사용할때발생합니다. GSN 풀링을구성하고로드밸런싱도지원하려면 GSN을지정하는네트워크개체그룹을만들고이를 "From Object Group( 개체그룹에서 )" 으로선택합니다. 마찬가지로 SGSN에대한네트워크객체그룹을만들고 "To Object Group( 객체그룹으로 )" 으로선택합니다. GSN 응답이 GTP 요청을전송한 GSN과동일한객체그룹에속하는경우, 그리고응답하는 GSN이 GTP 응답을보내도록허용된객체그룹에 SGSN이속하는경우, ASA에서는응답을허용합니다. 네트워크객체그룹은호스트주소또는포함된서브넷에의해 GSN 또는 SGSN을식별할수있습니다. Permit Errors - 유효하지않은패킷또는검사도중오류가발생한패킷을삭제하는대신 ASA 를통해전송되도록허용할지여부를설정합니다. 6 단계 General Parameters 탭을클릭하고원하는옵션을구성합니다. Maximum Number of Requests - 응답을대기하도록큐에추가할최대 GTP 요청수입니다. Maximum Number of Tunnels - 허용하는최대터널수입니다. Enforce Timeout - 다음동작을위한유휴대기시간의적용여부를설정합니다. 시간제한은 hh:mm:ss 형식입니다. 15-6

359 15 장데이터베이스, 디렉토리및관리프로토콜검사 GTP 검사 GSN - GSN 을제거하기까지의최대비활성상태기간입니다. PDP-Context - GTP 세션중에 PDP 컨텍스트를수신하기까지의최대비활성상태기간입니다. Request - GTP 세션중에 GTP 메시지를수신하기까지의최대비활성상태기간입니다. Signaling - GTP 신호를제거하기까지의최대비활성상태기간입니다. T3-Response timeout - 연결을제거하기까지의최대응답대기시간입니다. Tunnel - GTP 터널을위한최대비활성상태기간입니다. 7단계 IMSI Prefix Filtering 탭을클릭하고, 원하는경우 IMSI 접두사필터링을구성합니다. 기본적으로보안어플라이언스는유효한 MCC( 모바일국가코드 )/MNC( 모바일네트워크코드 ) 조합을확인하지않습니다. IMSI 접두사필터링을구성하면, 수신된패킷의 IMSI에있는 MCC 및 MNC가구성된 MCC/MNC 조합과비교된후일치하지않을경우삭제됩니다. MCC( 모바일국가코드 ) 는 0이아닌 3자리값입니다. 1자리나 2자리값에는 0을접두사로추가합니다. MNC( 모바일네트워크코드 ) 는 2자리또는 3자리값입니다. 허가된모든 MCC 및 MNC 조합을추가합니다. 기본적으로 ASA에서는 MNC 및 MCC 조합의유효성을확인하지않으므로, 구성된조합의유효성을사용자가직접확인해야합니다. MCC 및 MNC 코드에대해자세히알아보려면 ITU E.212 권장사항, Identification Plan for Land Mobile Stations를참조하십시오. 8 단계 Inspections 탭을클릭하고, 트래픽특성을기반으로구현할특정검사를정의합니다. a. 다음중하나를수행합니다. 새기준을추가하려면 Add( 추가 ) 를클릭합니다. 기존기준을선택하고 Edit( 수정 ) 를클릭합니다. b. 기준의일치유형, 즉 Match( 트래픽이기준과일치해야함 ) 또는 No Match( 트래픽이기준과일치하지않아야함 ) 를선택합니다. 그런다음기준을구성합니다. Access Point Name - APN(Access Point Name) 을지정된정규식또는정규식클래스와맞춰봅니다. 기본적으로유효한 APN 이있는모든메시지가검사대상이며어떤이름이든허용됩니다. Message ID - 1~255 의메시지 ID 를맞춰봅니다. 하나의값또는값의범위를지정할수있습니다. 기본적으로모든유효한메시지 ID 가허용됩니다. Message Length - UDP 페이로드의길이가지정된최소값과최대값사이에있는메시지를맞춰봅니다. Version - 버전 0~255 의 GTP 버전을맞춰봅니다. 하나의값또는값의범위를지정할수있습니다. 버전 0 의 GTP 는포트 3386 을사용하고버전 1 은포트 2123 을사용합니다. 기본적으로모든 GTP 버전이허용됩니다. c. 메시지 ID 일치의경우패킷을삭제할지아니면초당패킷수로속도제한을적용할지를선택합니다. 다른모든일치항목에대한작업은패킷을삭제하는것입니다. 모든일치항목에대해로깅사용여부를선택할수있습니다. d. 검사를추가하려면 OK( 확인 ) 를클릭합니다. 필요에따라이과정을반복합니다. 9단계 GTP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 이제 GTP 검사서비스정책의검사맵을사용할수있습니다. 15-7

360 ILS 검사 15 장데이터베이스, 디렉토리및관리프로토콜검사 GTP 검사서비스정책컨피그레이션 GTP 검사는기본검색정책에서활성화되지않으므로이검사가필요한경우직접활성화해야합니다. GTP 검사를추가하려면기본글로벌검사정책을수정하면됩니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 ). 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. GTP 검사규칙이있거나 GTP 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 3 단계 ( 사용중인정책을변경하려면 ) 다른검사정책맵을사용하기위해현재사용중인정책을수정하려면 GTP 검사를비활성화한다음새검사정책맵이름으로다시활성화해야합니다. a. GTP 확인란의선택을취소합니다. b. OK( 확인 ) 를클릭합니다. c. Apply( 적용 ) 를클릭합니다. d. 프로토콜검사탭으로돌아가려면이러한단계를반복합니다. 4 단계 GTP 를선택합니다. 5 단계기본검사이외의검사를원하는경우 Configure 를클릭하고다음을수행합니다. a. 기본맵을사용할지, 자신이구성한 GTP 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. 자세한내용은 GTP 검사정책맵컨피그레이션, 15-6 페이지를참조하십시오. b. Select GTP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 6 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다. ILS 검사 ILS 검사엔진은 LDAP를사용해 ILS 서버와디렉토리정보를교환하는 Microsoft NetMeeting, SiteServer 및 Active Directory 제품에 NAT 지원을제공합니다. ASA는 ILS 또는 SiteServer Directory에서엔드포인트를등록하고찾는데사용되는 ILS용 NAT 를지원합니다. LDAP 데이터베이스에는 IP 주소만저장되므로 PAT는지원되지않습니다. 검색응답을위해, LDAP 서버가외부에있는경우내부피어가로컬로통신하는한편외부 LDAP 서버에등록하도록하려면 NAT 를고려해야합니다. 그러한검색응답에서는 xlate 가먼저검색되고그런다음정확한주소를얻기위해 DNAT 항목이검색됩니다. 두검색에모두실패하면주소가변경되지않습니다. NAT 0(NAT 없음 ) 을사용하고 DNAT 상호작용이예상되지않는사이트에대해서는성능향상을위해검사엔진을꺼두는것이좋습니다. 15-8

361 15 장데이터베이스, 디렉토리및관리프로토콜검사 RADIUS 어카운팅검사 ILS 서버가 ASA 경계내부에있는경우추가컨피그레이션이필요할수있습니다. 이경우외부클라이언트가지정된포트 ( 대개 TCP 389) 에있는 LDAP 서버에액세스하려면홀 (hole) 이필요합니다. 참고 ILS 트래픽 (H225 통화신호 ) 은보조 UDP 채널에서만발생하므로 TCP 비활성간격이후 TCP 연결이해제됩니다. 기본적으로이간격은 60 분이며 TCP timeout 명령으로조정가능합니다. ASDM 에서는해당명령이 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Advanced( 고급 ) > Global Timeouts( 글로벌시간제한 ) 창에있습니다. ILS/LDAP는단일 TCP 연결을통해처리되는세션이있는클라이언트 / 서버모델을따릅니다. 클라이언트의작업에따라이러한세션이여러개생성될수있습니다. 연결협상기간중에는클라이언트에서서버로 BIND PDU가전송됩니다. 서버의 BIND RESPONSE가성공적으로수신되면 ILS Directory에서작업을수행할수있도록다른운영메시지 ( 예 : ADD, DEL, SEARCH 또는 MODIFY) 가교환될수있습니다. ADD REQUEST 및 SEARCH RESPONSE PDU에는 NetMeeting 세션설정을위해 H.323(SETUP 및 CONNECT 메시지 ) 에서사용하는 NetMeeting 피어의 IP 주소가포함될수있습니다. Microsoft NetMeeting v2.x 및 v3.x 는 ILS 지원을제공합니다. ILS 검사는다음작업을수행합니다. BER 디코딩기능을사용하여 LDAP REQUEST/RESPONSE PDU 를디코딩합니다. LDAP 패킷을구문분석합니다. IP 주소를추출합니다. 필요에따라 IP 주소를변환합니다. ER 인코딩기능을사용하여변환된주소로 PDU 를인코딩합니다. 새로인코딩된 PDU 를 TCP 패킷에다시복사합니다. 점진적 TCP 체크섬및시퀀스번호조정을수행합니다. ILS 검사에는다음과같은제한이있습니다. 추천요청및응답이지원되지않습니다. 여러디렉토리의사용자들이통합되지않습니다. 여러디렉토리에서여러 ID를가지고있는단일사용자를 NAT에서인식하지못합니다. ILS 검사사용에대한자세한내용은애플리케이션레이어프로토콜검사컨피그레이션, 12-8페이지를참조하십시오. RADIUS 어카운팅검사 다음섹션에서는 RADIUS 어카운팅검사엔진에대해설명합니다. RADIUS 어카운팅검사개요, 15-10페이지 RADIUS 어카운팅검사컨피그레이션, 15-10페이지 15-9

362 RADIUS 어카운팅검사 15 장데이터베이스, 디렉토리및관리프로토콜검사 RADIUS 어카운팅검사개요 RADIUS 어카운팅검사의목적은 RADIUS 서버를사용하는 GPRS 네트워크에대한과다청구공격을방지하는것입니다. RADIUS 어카운팅검사를구현하는데 GTP/GPRS 라이센스가필요하지는않지만, GTP 검사를구현하지않고 GPRS 설정을준비하지않으면아무런소용이없습니다. GPRS 네트워크에서과다청구공격이발생하면사용하지않은서비스가소비자에게청구됩니다. 이경우악의적인공격자는서버에연결하고 SGSN에서 IP 주소를가져옵니다. 공격자가호출을종료해도악의적인서버는여전히패킷을보내며, GGSN에서이를삭제하지만서버와의연결은계속활성상태로유지됩니다. 악의적인공격자에게할당된 IP 주소는해제된후합법적인사용자에게다시할당됩니다. 그러면공격자가사용한서비스가해당사용자에게청구됩니다. RADIUS 어카운팅검사는 GGSN에표시되는트래픽이합법적인지확인하여이러한유형의공격을방지합니다. RADIUS 어카운팅기능을올바르게구성하면 ASA에서는 Radius 어카운팅요청시작메시지의 Framed IP 특성을 Radius 어카운팅요청중단메시지와비교해보고연결을차단합니다. Framed IP 특성의일치 IP 주소에 Stop 메시지가있으면 ASA에서는 IP 주소와일치하는소스와의모든연결을살펴봅니다. ASA에서메시지의유효성을확인할수있도록 RADIUS 서버와암호사전공유키를구성할수있습니다. 공유암호가구성되지않으면 ASA에서는소스 IP 주소가 RADIUS 메시지를전송할수있도록구성된 IP 주소인지만을확인합니다. 참고 GPRS 와함께 RADIUS 어카운팅검사를사용하면 ASA 에서는 Accounting Request STOP 메시지의 3GPP-Session-Stop-Indicator 를확인하여보조 PDP 컨텍스트를적절하게처리합니다. 특히 ASA 에서는사용자세션및모든관련연결을종료하기전에 Accounting Request STOP 메시지에 3GPP-SGSN-Address 특성이포함되어있는지확인합니다. 일부타사 GGSN 에서는기본적으로이특성을전송할수없습니다. RADIUS 어카운팅검사컨피그레이션 RADIUS 어카운팅검사는기본적으로사용되지않습니다. RADIUS 어카운팅검사를사용하려면구성해야합니다. 절차 1 단계 RADIUS 어카운팅검사정책맵컨피그레이션, 페이지 2 단계 RADIUS 어카운팅검사서비스정책컨피그레이션, 페이지 15-10

363 15 장데이터베이스, 디렉토리및관리프로토콜검사 RADIUS 어카운팅검사 RADIUS 어카운팅검사정책맵컨피그레이션 검사에필요한특성을구성하려면 RADIUS 어카운팅검사정책맵을만들어야합니다. 정보 아래에설명한절차외에도서비스정책을만드는동안검사맵을구성할수있습니다. 만드는방법과상관없이맵의내용은동일합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > RADIUS Accounting(RADIUS 어카운팅 ) 을선택합니다. 2 단계다음중하나를수행합니다. 새맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3 단계새맵의경우이름 ( 최대 40 자 ) 및설명을입력합니다. 맵을수정할때에는설명만변경할수있습니다. 4단계 Host Parameters 탭을클릭하고각 RADIUS 서버또는 GGSN의 IP 주소를추가합니다. ASA에서메시지를검증할수있도록선택적으로암호키를포함할수있습니다. 키가없으면 IP 주소만확인됩니다. ASA는이러한호스트에서 RADIUS 어카운팅메시지의사본을수신합니다. 5 단계 Other Parameters 탭을클릭하고원하는옵션을구성합니다. Send responses to the originator of the RADIUS accounting message - ESMTP 서버에서배너를마스크처리할지여부를설정합니다. Enforce user timeout - 사용자에대한유휴시간제한을구현할지여부및유휴시간값을설정합니다. 기본값은 1 시간입니다. Enable detection of GPRS accounting - GPRS 과다청구방지의구현여부를설정합니다. ASA 는보조 PDP 컨텍스트를적절히처리하기위해어카운팅요청중단및연결해제메시지에서 3GPP VSA 특성을확인합니다. 이특성이있으면 ASA 는구성된인터페이스의사용자 IP 주소와일치하는소스 IP 가있는모든연결을해제합니다. Validate Attribute - Accounting-Request Start 메시지를수신할경우사용자계정테이블을구축할때사용할추가기준입니다. 이특성은 ASA에서연결해제여부를결정하는데도움이됩니다. 검증할추가특성을지정하지않으면프레임 IP 주소특성의 IP 주소만을기준으로결정이내려집니다. 추가특성을구성하면 ASA는현재추적중인주소가포함된시작어카운팅메시지를수신합니다. 그러나검증할기타특성이서로다르면, 새사용자에게 IP 주소가다시할당된것으로가정하여이전특성을사용하여시작된모든연결이해제됩니다. 값의범위는 1~191이며, 명령을여러번입력할수있습니다. 특성번호목록및해당설명을보려면 를방문하십시오. 6단계 OK( 확인 ) 를클릭합니다. 이제 RADIUS 어카운팅검사서비스정책의검사맵을사용할수있습니다

364 RSH 검사 15 장데이터베이스, 디렉토리및관리프로토콜검사 RADIUS 어카운팅검사서비스정책컨피그레이션 RADIUS 어카운팅검사는기본검색정책에서활성화되지않으므로이검사가필요한경우직접활성화해야합니다. RADIUS 어카운팅검사는 ASA 에대한트래픽을대상으로하므로표준규칙이아니라관리검사규칙으로서구성해야합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 새규칙을만들려면 Add( 추가 ) > Add Management Service Policy Rule( 서비스정책규칙관리추가 ) 을클릭합니다. 관리트래픽용서비스정책규칙추가, 페이지에서설명한대로마법사를따라진행하며 Rules Actions 페이지로이동합니다. RADIUS 어카운팅검사규칙이있거나 RADIUS 어카운팅검사를추가하는관리규칙이있는경우 Edit( 수정 ) 를클릭하고 Rule Actions 탭을클릭합니다. 2 단계 ( 사용중인정책을변경하려면 ) 다른검사정책맵을사용하기위해현재사용중인정책을수정하려면 RADIUS 어카운팅검사를비활성화한다음새검사정책맵이름으로다시활성화해야합니다. a. RADIUS Accounting Map 에대해 None 을선택합니다. b. OK( 확인 ) 를클릭합니다. c. Apply( 적용 ) 를클릭합니다. d. 프로토콜검사탭으로돌아가려면이러한단계를반복합니다. 3 단계원하는 RADIUS Accounting Map 을선택합니다. 지금맵을만들수있습니다. 자세한내용은 RADIUS 어카운팅검사정책맵컨피그레이션, 페이지를참조하십시오. 4 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여관리서비스정책규칙을저장합니다. RSH 검사 RSH 검사는기본적으로사용됩니다. RSH 프로토콜은 RSH 클라이언트에서 RSH 서버로의 TCP 연결을사용합니다 (TCP 포트 514). 클라이언트와서버는클라이언트가 STDERR 출력스트림을수신대기하는 TCP 포트번호를협상합니다. 필요한경우 RSH 검사는협상된포트번호의 NAT 를지원합니다. RSH 검사사용에대한자세한내용은애플리케이션레이어프로토콜검사컨피그레이션, 12-8페이지를참조하십시오. SNMP 검사 SNMP 애플리케이션검사를사용하면 SNMP 트래픽을 SNMP 의특정버전으로제한할수있습니다. SNMP 의이전버전은덜안전하므로, 보안정책에서특정 SNMP 버전을거부하는설정이필요할수있습니다. ASA 는 SNMP 버전 1, 2, 2c 또는 3 을거부할수있습니다. SNMP 맵을만들어허용되는버전을제어하십시오. SNMP 검사는기본검색정책에서활성화되지않으므로이검사가필요한경우직접활성화해야합니다. SNMP 검사를추가하려면기본글로벌검사정책을수정하면됩니다. 또는새서비스정책을원하는대로만들수있습니다 ( 예 : 인터페이스전용정책 )

365 15 장데이터베이스, 디렉토리및관리프로토콜검사 SQL*Net 검사 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 객체 ) > Inspect Maps( 검사맵 ) > SNMP 를선택합니다. a. Add( 추가 ) 를클릭하거나맵을선택하고 Edit( 수정 ) 를클릭합니다. 맵을추가할때에는맵이름을입력합니다. b. 허용하지않을 SNMP 버전을선택합니다. c. OK( 확인 ) 를클릭합니다. 2 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 기본글로벌정책을편집하려면 Global 폴더에서 "inspection_default" 규칙을선택하고 Edit( 수정 ) 를클릭합니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. SNMP 검사규칙이있거나 SNMP 검사를추가하는규칙이있는경우선택한후 Edit( 수정 ) 를클릭합니다. 3 단계 Rule Actions 마법사페이지또는탭에서 Protocol Inspection 탭을선택합니다. 4 단계 ( 사용중인정책을변경하려면 ) 다른검사정책맵을사용하기위해현재사용중인정책을수정하려면 SNMP 검사를비활성화한다음새검사정책맵이름으로다시활성화해야합니다. a. SNMP 확인란의선택을취소합니다. b. OK( 확인 ) 를클릭합니다. c. Apply( 적용 ) 클릭합니다. d. 프로토콜검사탭으로돌아가려면이러한단계를반복합니다. 5 단계 SNMP 를선택합니다. 6 단계기본검사이외의검사를원하는경우 Configure 를클릭하고다음을수행합니다. a. 기본맵 ( 모든버전허용 ) 을사용할지, 자신이구성한 SNMP 검사정책맵을사용할지를선택합니다. 지금맵을만들수있습니다. b. Select SNMP Inspect Map 대화상자에서 OK( 확인 ) 를클릭합니다. 7 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭하여서비스정책규칙을저장합니다. SQL*Net 검사 SQL*Net 검사는기본적으로사용됩니다. SQL*Net 프로토콜은데이터스트림이 ASA의양쪽에서 Oracle 애플리케이션에일관성있게표시되도록 ASA에서처리하는서로다른패킷유형으로구성되어있습니다. SQL*Net 에기본적으로할당되는포트는 1521 입니다. Oracle for SQL*Net 에서이값을사용하지만, 이값은 SQL( 구조화된쿼리언어 ) 용 IANA 포트할당과일치하지않습니다

366 Sun RPC 검사 15 장데이터베이스, 디렉토리및관리프로토콜검사 참고 SQL 컨트롤 TCP 포트 1521 과동일한포트에서 SQL 데이터전송이발생하는경우 SQL*Net 검사를비활성화하십시오. SQL*Net 검사가활성화되면보안어플라이언스는프록시역할을하여클라이언트기간크기를 에서약 으로줄이므로데이터전송문제가발생할수있습니다. ASA는모든주소를변환하고, SQL*Net Version 1에대해열수있도록패킷에서모든포함된포트를찾습니다. SQL*Net 버전2의경우데이터길이 0으로 REDIRECT 패킷바로뒤에오는모든 DATA 또는 REDIRECT 패킷은고정됩니다. 고정이필요한패킷에는다음과같은형식으로호스트 / 포트주소가포함되어있습니다. (ADDRESS=(PROTOCOL=tcp)(DEV=6)(HOST=a.b.c.d)(PORT=a)) SQL*Net 버전 2 TNSFrame 유형 ( 연결, 허용, 거부, 재전송및표시자 ) 에서는 NAT에대한주소스캔이수행되지않으며패킷에포함된포트에대한개방형동적연결을검사하지않습니다. 페이로드에대한데이터길이 0의 REDIRECT TNSFrame 유형이앞에오는경우에는열어야하는포트및 NAT에대한주소를 SQL*Net Version 2 TNSFrames, 리디렉션및데이터패킷에서스캔합니다. 데이터길이 0의리디렉션메시지가 ASA를통과하면, 뒤이어오는변환해야할데이터또는리디렉션메시지및동적으로열어야할포트를예상하여연결데이터구조에플래그가설정됩니다. 이전단락의 TNS 프레임중하나가리디렉션메시지뒤에도착하면플래그가재설정됩니다. SQL*Net 검사엔진은새메시지와이전메시지의길이델타를사용하여체크섬을다시계산하고, IP와 TCP 길이를변경하며, 시퀀스번호및확인응답번호를다시조정합니다. 다른모든경우에는 SQL*Net 버전1로간주됩니다. TNSFrame 유형 ( 연결, 허용, 거부, 리디렉션및데이터 ) 및모든패킷에서는포트및주소가스캔됩니다. 주소가변환되며포트연결이열립니다. SQL*Net 검사사용에대한자세한내용은애플리케이션레이어프로토콜검사컨피그레이션, 12-8페이지를참조하십시오. Sun RPC 검사 이섹션에서는 Sun RPC 애플리케이션검사에대해설명합니다. Sun RPC 검사개요, 15-14페이지 허용되는 Sun RPC 서비스식별, 15-15페이지 Sun RPC 검사개요 Sun RPC 검사엔진은 Sun RPC 프로토콜에대한애플리케이션검사를활성화또는비활성화합니다. NFS 및 NIS 에서 Sun RPC 를사용합니다. Sun RPC 서비스는어느포트에서나실행할수있습니다. 클라이언트가서버의 Sun RPC 서비스에액세스하려면현재서비스가실행중인포트를알아야합니다. 이작업은잘알려진포트 111 에서포트매퍼프로세스 ( 대개 rpcbind) 를쿼리하여수행됩니다. 클라이언트는서비스의 Sun RPC 프로그램번호를전송하고포트매퍼프로세스는서비스의포트번호로응답합니다. 클라이언트는포트매퍼프로세스로식별된포트를지정하여 Sun RPC 쿼리를서버로전송합니다. 서버가회신할때 ASA 는이패킷을가로채고해당포트에서두개의미발달 TCP 및 UDP 연결을모두엽니다

367 15 장데이터베이스, 디렉토리및관리프로토콜검사 XDMCP 검사 정보 Sun RPC 검사는기본적으로사용됩니다. 사용자는방화벽통과를허용할서비스를식별하기위해 Sun RPC 서버테이블을관리하기만하면됩니다. Sun RPC 검사사용에대한자세한내용은애플리케이션레이어프로토콜검사컨피그레이션, 12-8 페이지를참조하십시오. Sun RPC 검사에는다음과같은제한이적용됩니다. Sun RPC 페이로드정보의 NAT 또는 PAT 는지원되지않습니다. Sun RPC 검사는인바운드 ACL 만지원합니다. 검사엔진이보조연결대신동적 ACL 을사용하므로 Sun RPC 검사는아웃바운드 ACL 을지원하지않습니다. 동적 ACL 은항상이그레스가아니라인그레스방향에서추가됩니다. 따라서이검사엔진은아웃바운드 ACL 을지원하지않습니다. ASA 에대해구성된동적 ACL 을보려면 show asp table classify domain permit 명령을사용하십시오. 허용되는 Sun RPC 서비스식별 방화벽통과를허용할 Sun RPC 서버및서비스를식별해야합니다. Sun RPC 검사는트래픽평가시이테이블을사용합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Advanced( 고급 ) > SUNRPC Server(SUNRPC 서버 ) 를선택합니다. 2 단계다음중하나를수행합니다. Add( 추가 ) 를클릭하여새서버를추가합니다. 서버를선택하고 Edit( 수정 ) 를클릭합니다. 3 단계서버속성을구성합니다. Interface Name - 서버로의트래픽이통과할인터페이스입니다. IP Address/Mask - Sun RPC 서버의주소입니다. Service ID - 서버의서비스유형입니다. 서비스유형을확인하려면 ( 예 : ) Sun RPC 서버시스템의 UNIX 또는 Linux 명령줄에서 sunrpcinfo 명령을사용합니다. Protocol - 서비스에서사용할프로토콜 (TCP 또는 UDP) 입니다. Port/Port Range - 서비스에서사용할포트또는포트범위입니다. Timeout - 연결에대한유휴시간제한입니다. 4 단계 OK( 확인 ) 를클릭합니다. XDMCP 검사 XDMCP 검사는기본적으로사용됩니다. 그러나 XDMCP 검사엔진을사용하려면 established 명령을적절히구성해야합니다. XDMCP는 UDP 포트 177을사용하여 X 세션을협상하는프로토콜이며, 설정시 TCP가사용됩니다

368 VXLAN 검사 15 장데이터베이스, 디렉토리및관리프로토콜검사 성공적으로협상하여 XWindows 세션을시작하려면 ASA는 Xhosted 컴퓨터에서오는 TCP 반환연결을허용해야합니다. 반환연결을허용하려면 established 명령을 ASA에서사용합니다. XDMCP가디스플레이를전송할포트에대한협상을완료하면, 이반환연결의허용여부를확인하기위해 established 명령이사용됩니다. XWindows 세션동안관리자는잘알려진포트 6000 n의디스플레이 Xserver에연결합니다. 다음터미널설정으로인해각디스플레이에는별도의 Xserver 연결이있습니다. setenv DISPLAY Xserver:n 여기서 n은디스플레이번호입니다. XDMCP를사용할경우 IP 주소를사용하여디스플레이를협상하며, 필요시 ASA에서는 NAT를지원할수있습니다. XDCMP 검사는 PAT를지원하지않습니다. XDMCP 검사사용에대한자세한내용은애플리케이션레이어프로토콜검사컨피그레이션, 12-8페이지를참조하십시오. VXLAN 검사 VXLAN(Virtual Extensible Local Area Network) 검사는 ASA를통과하는 VXLAN 캡슐화된트래픽에서작동합니다. VXLAN 헤더형식이표준을준수하여잘못된패킷을모두삭제하는지확인합니다. VXLAN 검사와같은검사는일반적인 VXLAN 패킷캡슐화해제의일환으로수행되므로 ASA가 VTEP(VXLAN Tunnel End Point) 또는 VXLAN 게이트웨이역할을하는트래픽에서수행되지않습니다. VXLAN 패킷은 UDP로보통포트 4789를지납니다. 이포트는 default-inspection-traffic 클래스의일부이므로 inspection_default 서비스정책규칙에 VXLAN 검사를추가하기만하면됩니다. 또는포트또는 ACL 일치를사용하여해당하는클래스를만들수도있습니다. 데이터베이스, 디렉토리및관리프로토콜검사기록 기능이름릴리스기능정보 DCERPC 검사는 ISystemMapper UUID 메시지 RemoteGetClassObject opnum3 를지원합니다. 9.4(1) 릴리스 8.3부터 ASA에서비 EPM DCERPC 메시지를지원하기시작하여현재 ISystemMapper UUID 메시지 RemoteCreateInstance opnum4를지원합니다. 이변경사항이확장되어 RemoteGetClassObject opnum3 메시지를지원합니다. ASDM 화면은수정하지않았습니다. VXLAN 패킷검사 9.4(1) ASA는표준형식을준수하도록 VXLAN 헤더를검사할 수있습니다. 다음화면을수정했습니다. Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) > Add Service Policy Rule( 서비스정책규칙추가 ) > Rule Actions( 규칙작업 ) > Protocol Inspection( 프로토콜검사 ) 15-16

369 파트 4 연결관리및위협탐지

370

371 16 장 연결설정 이장에서는 ASA 를통과하는연결또는 ASA 로이동하는관리연결을위해연결설정을구성하는방법에대해설명합니다. 연결설정이란?, 16-1 페이지 연결설정컨피그레이션, 16-2 페이지 연결모니터링, 페이지 연결설정에대한기록, 페이지 연결설정이란? 연결설정은 ASA를통한 TCP 흐름등트래픽일치관리에관련된다양한기능으로구성되어있습니다. 일부기능은특정서비스제공을구성하는컨피그레이션요소로이름이지정되어있습니다. 다음과같은연결설정이있습니다. 다양한프로토콜을위한글로벌시간제한 모든글로벌시간제한에는기본값이있으므로예기치않은연결손실이발생한경우에만글로벌시간제한을변경해야합니다. 트래픽클래스당연결시간제한 서비스정책을사용하여특정트래픽유형에글로벌시간제한을재지정할수있습니다. 트래픽클래스시간제한에는모두기본값이있으므로따로설정하지않아도됩니다. 연결제한및 TCP 가로채기 기본적으로 ASA 를통과하거나이동할수있는연결수에는제한이없습니다. DoS(Denial of Service) 공격으로부터서버를보호하기위해서비스정책규칙을사용하여특정트래픽클래스에제한을설정할수있습니다. 특히 TCP 핸드셰이크를완료하지않은원시연결에제한을설정하면 SYN 플러딩공격을방지할수있습니다. 원시연결시간제한이초과되면 TCP 가로채기컨피그레이션요소가프록시연결에개입하여공격을제한합니다. DCD( 끊어진연결감지 ) 유효하지만종종유휴상태가되는지속연결이있고이러한연결이유휴시간제한설정을초과해닫히는경우, DCD( 끊어진연결감지 ) 를활성화하여유휴타이머를재설정함으로써유휴상태지만유효한연결을식별하고유지할수있습니다. 유휴시간이초과되면 DCD 가연결의양쪽을프로브하여양쪽연결모두연결이유효한것에동의하는지확인합니다. service-policy 표시명령은 DCD 의작업양을표시하는카운터를포함합니다. 16-1

372 연결설정컨피그레이션 16 장연결설정 TCP 시퀀스임의설정 각 TCP 연결에는각각클라이언트와서버에서생성된두개의 ISN 이있습니다. 기본적으로 ASA 는인바운드와아웃바운드두방향모두로전달되는 TCP SYN 의 ISN 을임의로설정합니다. ISN 을임의로설정하면공격자가새연결을위한다음 ISN 을예측하지못하며잠재적으로새세션의가로채기가방지됩니다. 원하는경우트래픽클래스별임의설정을비활성화할수있습니다. TCP 정규화 TCP 노멀라이저는비정상패킷을방지합니다. 트래픽클래스에서일부패킷이상유형을처리하는방식을구성할수있습니다. TCP 상태우회 네트워크에서비대칭라우팅을사용하는경우 TCP 상태검사를우회할수있습니다. 연결설정컨피그레이션 연결제한, 시간제한, TCP 정규화, TCP 시퀀스임의설정, TTL(Time-To-Live) 줄이기에는대부분의네트워크에적합한기본값이있습니다. 특수한요구사항이있거나네트워크에특정컨피그레이션유형이있는경우또는예기치않은유휴시간제한으로비정상적인연결손실이발생하는경우에만이연결설정을구성해야합니다. TCP 가로채기, TCP 상태우회, DCD( 끊어진연결감지 ) 는활성화되어있지않습니다. 일반서비스로구성하지않고특정트래픽클래스에만이서비스를구성합니다. 다음일반적인절차에서는가능한연결설정컨피그레이션전반에대해설명합니다. 필요에따라구현할설정을선택합니다. 절차 1 단계글로벌시간제한컨피그레이션, 16-3 페이지이설정은디바이스를통과하는모든트래픽의여러프로토콜에대한기본유휴시간제한을변경합니다. 예기치않은시간제한으로재설정중에연결문제가발생하는경우먼저글로벌시간제한을변경해보십시오. 2 단계 SYN 플러딩 DoS 공격 (TCP 가로채기 ) 로부터서버보호, 16-4 페이지. TCP 가로채기를구성하려면다음절차를수행합니다. 3 단계특정트래픽클래스에 TCP 정규화동작을변경하려는경우비정상 TCP 패킷사용자지정처리 (TCP 맵, TCP 노멀라이저 ), 16-6 페이지 4 단계이유형의라우팅환경이있는경우비동기라우팅의 TCP 상태검사우회 (TCP 상태우회 ), 16-8 페이지 5 단계기본임의설정이특정연결에데이터를암호화하고있는경우 TCP 시퀀스임의설정비활성화, 페이지 6 단계특정트래픽클래스의연결설정컨피그레이션 ( 모든서비스 ), 페이지. 이절차는연결설정에포괄적으로수행할수있는절차입니다. 이설정은서비스정책규칙을사용하여특정트래픽클래스의글로벌기본값을재지정할수있습니다. 또한이규칙을사용하여 TCP 노멀라이저사용자지정, TCP 시퀀스임의설정변경, 패킷의 TTL 줄이기를수행하고, TCP 가로채기, DCD 또는 TCP 상태우회를구현할수있습니다. 16-2

373 16 장연결설정 연결설정컨피그레이션 글로벌시간제한컨피그레이션 다양한프로토콜의연결및변환슬롯에대해글로벌유휴시간제한기간을설정할수있습니다. 지정한유휴시간동안슬롯이사용되지않은경우리소스가해제풀로반환됩니다. 정상적인연결종료시퀀스로부터약 60초후에 TCP 연결슬롯이해제됩니다. 글로벌시간제한을변경하면새로운기본시간제한이설정되며, 경우에따라서비스정책을통해특정트래픽흐름에재지정할수있습니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Advanced( 고급 ) > Global Timeouts( 전역시간제한 ) 을선택합니다. 2단계변경하려는시간제한의확인란을선택하고새값을입력하여시간제한을구성합니다. 모든기간은 hh:mm:ss 형식으로표시되며최대기간은 1193:0:0입니다. Authentication absolute 및 Authentication inactivity를제외한모든경우에, 확인란선택을취소하면시간제한을기본값으로되돌립니다. 이두경우에는확인란선택을취소하면새로운모든연결에대해인증이다시수행됩니다. 시간제한을비활성화하려면 0을입력합니다. Connection( 연결 ) - 연결슬롯이해제되기전에경과해야하는유휴시간입니다. 이기간은 5 분이상이어야합니다. 기본값은 1 시간입니다. Half-closed( 절반닫힘 ) - 절반이닫힌 TCP 연결이닫히기전에경과해야하는유휴시간입니다. 최소값은 5 분입니다. 기본은 10 분입니다. UDP - UDP 연결이닫히기전에경과해야하는유휴시간입니다. 이기간은 1 분이상이어야합니다. 기본은 2 분입니다. ICMP - 일반 ICMP 상태가닫히기전에경과해야하는유휴시간입니다. 기본및최소는 2 초입니다. H H.245(TCP) 및 H.323(UDP) 미디어연결이닫히기전에경과해야하는유휴시간 (0:0:0~1193:0:0) 입니다. 기본값은 5 분 (0:5:0) 입니다. H.245 및 H.323 미디어연결모두에동일한연결플래그가설정되어있으므로 H.245(TCP) 연결에서 H.323(RTP 및 RTCP) 미디어연결과유휴시간제한을공유합니다. H H.225 신호연결이닫히기전에경과해야하는유휴시간입니다. H.225 기본시간제한은 1 시간 (1:0:0) 입니다. 모든호출이지워진직후연결을닫으려면값을 1 초 (0:0:1) 로설정하는것이좋습니다. MGCP - MGCP 미디어연결이제거되기전에경과해야하는유휴시간 (0:0:0~1193:0:0) 입니다. 기본값은 5 분 (0:5:0) 입니다. MGCP PAT - MGCP PAT 변환이제거되기전에경과해야하는유휴시간을수정합니다. 기본값은 5 분 (0:5:0) 입니다. 최소시간은 30 초입니다. TCP Proxy Reassembly(TCP 프록시리어셈블리 ) - 리어셈블리를기다리는버퍼링된패킷이삭제되기전에경과해야하는유휴시간제한 (0:0:10~1193:0:0) 입니다. 기본값은 1 분 (0:1:0) 입니다. Floating Connection( 부동연결 ) - 여러고정경로가서로다른메트릭으로네트워크에존재하는경우 ASA 는연결생성시최상의메트릭이있는경로를사용합니다. 더나은경로를사용할수있게되면연결을다시설정하여해당경로를사용할수있도록이시간제한을통해연결을닫을수있습니다. 기본값은 0( 연결이시간초과되지않음 ) 입니다. 이기능을사용하려면시간제한을새값 (0:1:0~1193:0:0) 으로변경합니다. 16-3

374 연결설정컨피그레이션 16 장연결설정 SUNRPC - SunRPC 슬롯이해제될때까지의유휴시간입니다. 이기간은 1 분이상이어야합니다. 기본은 10 분입니다. SIP - SIP 신호포트연결이닫힐때까지의유휴시간입니다. 이기간은 5 분이상이어야합니다. 기본값은 30 분입니다. SIP Media(SIP 미디어 ) - SIP 미디어포트연결이닫힐때까지의유휴시간입니다. 이기간은 1 분이상이어야합니다. 기본은 2 분입니다. SIP 미디어타이머는 UDP 비활성시간제한대신 SIP UDP 미디어패킷이있는 SIP RTP/RTCP 에사용됩니다. SIP Provisional Media(SIP 프로비전미디어 ) - SIP 프로비전미디어연결에대한시간제한값 (0:1:0~0:30:0) 입니다. 기본은 2 분입니다. SIP Invite(SIP 초대 ) - PROVISIONAL 메시지및미디어 xlate 에대한핀홀이닫히기전까지경과해야하는유휴시간 (0:1:0~00:30:0) 입니다. 기본값은 3 분 (0:3:0) 입니다. SIP Disconnect(SIP 연결해제 ) - CANCEL 또는 BYE 메시지에대해 200 OK 를수신하지못한경우 SIP 세션이삭제되기까지의유휴시간입니다. 최소값은 0:0:1 이고최대값은 0:10:0 입니다. 기본값은 0:2:0 입니다. Authentication absolute( 인증절대값 ) - 인증캐시의시간이초과되어사용자가새연결을다시인증해야할때까지의기간입니다. 이기간은변환슬롯값보다짧아야합니다. 시스템은사용자가새연결을시작할때까지기다렸다가메시지를다시표시합니다. 0:0:0 을입력하여캐싱을비활성화하고모든새연결에대해다시인증하기전에다음제한을고려하십시오. 연결에수동 FTP 가사용된경우에는이값을 0:0:0 으로설정하지마십시오. Authentication Absolute 이 0 이면 HTTPS 인증이작동하지않을수있습니다. HTTPS 인증이후웹페이지를로드하기위해브라우저에서여러 TCP 연결을시작하는경우, 첫번째연결은허용되지만이후의연결은인증을트리거합니다. 그결과성공적인인증이후에도사용자에게인증페이지가계속표시됩니다. 이문제를해결하려면 Authentication Absolute 시간제한을 1 초로설정합니다. 이해결방법을사용하면동일한소스 IP 주소에서오는경우인증되지않은사용자도방화벽을통과할수있는 1 초기회의창이열립니다. Authentication inactivity( 인증비활성 ) - 인증캐시의시간이초과되어사용자가새연결을다시인증해야할때까지의유휴시간입니다. 이기간은변환슬롯값보다짧아야합니다. Translation Slot( 변환슬롯 ) - 변환슬롯이해제될때까지의유휴시간입니다. 이기간은 1 분이상이어야합니다. 기본값은 3 시간입니다. (8.4(3) 이상, 8.5(1) 및 8.6(1) 포함안함 ) PAT Translation Slot(PAT 변환슬롯 ) - PAT 변환슬롯이해제될때까지의유휴시간 (0:0:30~0:5:0) 입니다. 기본값은 30 초입니다. 이전연결이업스트림장치에서여전히열려있을수있기때문에업스트림라우터가확보된 PAT 포트를사용하는새연결을거부하는경우시간제한을늘릴수있습니다. 3 단계 Apply( 적용 ) 를클릭합니다. SYN 플러딩 DoS 공격 (TCP 가로채기 ) 로부터서버보호 공격자가호스트에일련의 SYN 패킷을보낼때 SYN 플러딩 DoS(Denial of Service) 공격이발생합니다. 일반적으로이러한패킷은스푸핑된 IP 주소에서시작합니다. SYN 패킷에대한지속적인플러딩은서버 SYN 큐를꽉찬상태로유지하여합법적인사용자의연결요청에대응하지못하도록합니다. 원시연결수를제한하면 SYN 플러딩공격을방지하는데도움이될수있습니다. 원시연결은소스와대상간에필요한핸드셰이크를완료하지않은연결요청입니다. 16-4

375 16 장연결설정 연결설정컨피그레이션 어떤연결의최초연결임계값을초과하면 ASA 는 SYN 쿠키메서드 (SYN 쿠키에대한자세한내용은 Wikipedia 참조 ) 를사용하여서버의프록시역할을하면서클라이언트 SYN 요청에대해 SYN-ACK 응답을생성합니다. ASA 는클라이언트에서 ACK 를다시받은후클라이언트가실제클라이언트인지인증하고서버에연결하도록허용합니다. 프록시를수행하는컨피그레이션요소를 TCP 가로채기라고합니다. 참고 보호하려는서버의 TCP 백로그큐보다원시연결제한을낮게설정해야합니다. 그렇지않을경우 SYN 공격이이루어지는동안유효한클라이언트가서버에더이상액세스할수없게됩니다. 원시제한에합당한값을정하려면서버의용량, 네트워크, 서버사용량을신중하게분석합니다. SYN 플러드공격으로부터서버를보호하는엔트 - 투 - 엔드프로세스에는연결제한설정, TCP 가로채기통계활성화, 이후의결과모니터링이포함됩니다. 시작하기전에 보호하려는서버의 TCP 백로그큐보다원시연결제한을낮게설정해야합니다. 그렇지않을경우 SYN 공격이이루어지는동안유효한클라이언트가서버에더이상액세스할수없게됩니다. 원시제한에합당한값을정하려면서버의용량, 네트워크, 서버사용량을신중하게분석합니다. ASA 모델의 CPU 코어수에따라각코어에서연결을관리하는방식으로인해최대동시및원시연결이구성된개수를초과할수도있습니다. 최악의경우 ASA 는최대 n-1 개 ( 여기서 n 은코어수 ) 의추가연결및원시연결을허용합니다. 예를들어모델에 4 개의코어가있는경우 6 개의동시연결과 4 개의원시연결을구성하면유형별로 3 개가추가될수있습니다. 모델의코어수를확인하려면 show cpu core 명령을입력합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택합니다. 2단계 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 또는보호하려는서버의규칙이이미있는경우규칙을수정합니다. 3 단계특정인터페이스에규칙을적용할것인지아니면모든인터페이스에전역으로적용할것인지선택하고 Next( 다음 ) 를클릭합니다. 4 단계트래픽분류의경우 Source and Destination IP Addresses (uses ACL)( 소스및대상 IP 주소 (ACL 사용 )) 를선택하고 Next( 다음 ) 를클릭합니다. 5단계 ACL 규칙의경우 Destination( 대상 ) 에서서버의 IP 주소를입력하고서버의프로토콜을지정합니다. 일반적으로 Source( 소스 ) 에 any( 모두 ) 를사용합니다. 마쳤으면 Next( 다음 ) 를클릭합니다. 예를들어웹서버 및 을보호하려는경우다음을입력합니다. Source = any Destination = , Destination Protocol = tcp/http 6 단계 Rule Actions( 규칙작업 ) 페이지에서 Connection Settings( 연결설정 ) 탭을클릭하고다음옵션을설정합니다. Embryonic Connections( 원시연결 ) - 호스트당최대원시연결수 ( 최대 ) 입니다. 기본값은 0 으로이는최대원시연결수가허용됨을의미합니다. 예를들어이값을 1000 으로설정할수있습니다. 16-5

376 연결설정컨피그레이션 16 장연결설정 Per Client Embryonic Connections( 클라이언트당원시연결 ) - 각클라이언트당최대동시 TCP 원시연결수 ( 최대 ) 입니다. 이미 ASA 를통해클라이언트당최대원시연결수에도달한클라이언트에서새로운 TCP 연결을요청하면 ASA 에서연결이차단됩니다. 예를들어이값을 50 으로설정할수있습니다. 7 단계 Finish( 마침 ) 를클릭하여규칙을저장하고 Apply( 적용 ) 를클릭하여디바이스를업데이트합니다. 8단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Threat Detection( 위협탐지 ) 을선택하고 Threat Detection Statistics( 위협탐지통계 ) 그룹아래에서최소한 TCP Intercept(TCP 가로채기 ) 통계를활성화합니다. 모든통계를활성화할수도있고 TCP 가로채기만활성화할수도있습니다. 또한모니터링창및속도를조정할수있습니다. 9단계 Home( 홈 ) > Firewall Dashboard( 방화벽대시보드 ) 를선택하고 Top Ten Protected Servers under SYN Attack(SYN 공격에서보호된상위 10개서버 ) 대시보드를확인하여결과를모니터링합니다. 기록샘플링데이터를표시하려면 Detail( 세부사항 ) 버튼을클릭합니다. 이속도간격중에 ASA 는공격횟수를 30회로샘플링하므로, 기본값인 30분동안 60초마다통계가수집됩니다. Tools( 툴 ) > Command Line Interface( 명령행인터페이스 ) 에서 clear threat-detection statistics tcp-intercept 명령을입력하여통계를지울수있습니다. 비정상 TCP 패킷사용자지정처리 (TCP 맵, TCP 노멀라이저 ) TCP 노멀라이저는비정상패킷을식별합니다. 이러한패킷이감지되면 ASA에서작업 ( 예 : ASA 에서패킷을허용하거나삭제하거나지울수있음 ) 을수행할수있습니다. TCP 정규화는공격으로부터 ASA를보호합니다. TCP 정규화는항상사용되지만, 일부기능의작동방식을사용자지정할수있습니다. TCP 노멀라이저를사용자지정하려면먼저 TCP 맵을사용하여설정을정의합니다. 그런다음서비스정책을사용하여선택한트래픽클래스에맵을적용합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Objects( 개체 ) > TCP Maps(TCP 맵 ) 를선택합니다. 2 단계다음중하나를수행합니다. 새 TCP 맵을추가하려면 Add( 추가 ) 를클릭합니다. 맵의이름을입력합니다. 맵을선택하고 Edit( 수정 ) 를클릭합니다. 3단계 Queue Limit( 큐제한 ) 필드에서버퍼링가능하고 TCP 연결을위해순서를지정할수있는무순서패킷의최대수 (0~250) 를입력합니다. 기본값은 0입니다. 즉, 트래픽의유형에따라이설정이비활성화되고기본시스템큐제한이사용될수있음을의미합니다. 애플리케이션검사, IPS 및 TCP 확인재전송에대한연결에서는큐제한이패킷 3 개입니다. ASA 에서다른기간크기의 TCP 패킷을수신하면알려진설정과일치하도록큐제한이동적으로변경됩니다. 다른 TCP 연결의경우무순서패킷은원래의상태대로전달됩니다. 16-6

377 16 장연결설정 연결설정컨피그레이션 Queue Limit 을 1 이상으로설정한경우, 모든 TCP 트래픽에허용되는무순서패킷의수는이설정과일치합니다. 예를들어애플리케이션검사, IPS 및 TCP 확인재전송트래픽의경우 TCP 패킷의알려진설정은큐제한설정이우선합니다. 다른 TCP 트래픽의경우무순서패킷은이제버퍼링되며, 원래대로전달되는대신순서가지정됩니다. 4단계 Timeout( 시간제한 ) 필드에서는무순서패킷이버퍼에머물수있는최대시간 (1~20초) 을설정합니다. 시간내에순서가정해져전달되지않으면해당패킷은삭제됩니다. 기본값은 4초입니다. Queue Limit을 0으로설정하면트래픽의시간제한을변경할수없습니다. Timeout이작동하도록하려면제한을 1 이상으로설정해야합니다. 5 단계 Reserved Bits( 예약된비트 ) 의경우 Clear and allow( 지우기및허용 )( 패킷을허용하기전에비트제거 ), Allow only( 허용만함 )( 비트기본값을변경하지않음 ) 또는 Drop( 삭제 )( 패킷삭제 ) 중 TCP 헤더에서비트를예약한패킷을처리하는방식을선택합니다. 6 단계다음중원하는옵션을선택합니다. Clear urgent flag( 긴급플래그지우기 ) - 패킷을허용하기전에 URG 플래그를지웁니다. URG 플래그는스트림내의다른데이터보다우선순위가높은정보가패킷에포함되어있음을나타내는데사용됩니다. TCP RFC 는 URG 플래그의올바른해석에대해서는분명하지않으므로엔드시스템에서긴급오프셋을다른방식으로처리하는데, 이로인해엔드시스템이공격에취약해질수있습니다. Drop connection on window variation( 기간변화시연결삭제 ) - 예기치않게기간크기를변경한연결을삭제합니다. 기간크기메커니즘은 TCP 에서지나치게많은데이터를허용하지않고도큰창을보급하고이후에훨씬작은창을보급할수있도록합니다. TCP 사양에서는 " 기간축소 " 가권장되지않습니다. Drop packets that exceed maximum segment size( 최대세그먼트크기를초과하는패킷삭제 ) - 피어가설정한 MSS 를초과하는패킷을삭제합니다. Check if transmitted data is the same as original( 전송된데이터가원본과동일한지확인 ) - 재전송데이터점검을활성화하여일관성없는 TCP 재전송을방지합니다. Drop packets which have past-window sequence(past-window 시퀀스가있는패킷삭제 ) - past-window 시퀀스번호가있는패킷을삭제합니다. 즉, 수신된 TCP 패킷의시퀀스번호가 TCP 수신창의오른쪽가장자리보다크게됩니다. 이러한패킷을허용하려면이옵션을선택취소하고 Queue Limit( 큐제한 ) 를 0( 큐제한비활성화 ) 으로설정합니다. Drop SYN Packets with data( 데이터가있는 SYN 패킷삭제 ) - 데이터가있는 SYN 패킷을삭제합니다. Enable TTL Evasion Protection(TTL 회피보호활성화 ) - TTL 회피공격으로부터보호합니다. 예를들어, 공격자는매우짧은 TTL로정책을통과하는패킷을보낼수있습니다. TTL이 0이되면 ASA와엔드포인트사이의라우터가패킷을삭제합니다. 이때공격자는 ASA에재전송으로표시되어전달되는 TTL이긴악성패킷을전송할수있습니다. 그러나엔드포인트호스트에는이것이공격자가받은첫번째패킷이됩니다. 이경우공격자는공격을방지하는보안없이성공할수있습니다. Verify TCP Checksum(TCP 체크섬확인 ) - TCP 체크섬을확인하여확인이실패한패킷을삭제합니다. Drop SYNACK Packets with data( 데이터가있는 TCP SYNACK 패킷삭제 ) - 데이터가포함된 TCP SYNACK 패킷을삭제합니다. Drop packets with invalid ACK( 유효하지않은 ACK 가있는패킷삭제 ) - 유효하지않은 ACK 가포함된패킷을삭제합니다. 유효하지않은 ACK 의예는다음과같습니다. TCP 연결 SYN-ACK-received 상태에서수신된 TCP 패킷의 ACK 번호가다음번전송 TCP 패킷의시퀀스번호와정확히같지않으면유효하지않은 ACK 입니다. 16-7

378 연결설정컨피그레이션 16 장연결설정 수신된 TCP 패킷의 ACK 번호가다음번전송 TCP 패킷의시퀀스번호보다크면유효하지않은 ACK 입니다. 참고유효하지않은 ACK 가포함된 TCP 패킷은 WAAS 연결에서자동으로허용됩니다. 7 단계 TCP 옵션이포함된패킷에대한작업을설정합니다. 패킷을허용하기전에옵션을지우거나옵션을변경하지않고패킷을허용할수있습니다. 기본값은지정된세가지옵션을허용하고다른모든옵션을지우는것입니다. Clear Selective Ack( 선택적 Ack 지우기 ) - 선택적확인응답메커니즘옵션을지웁니다. Clear TCP Timestamp(TCP 타임스탬프지우기 ) - TCP 타임스탬프를지웁니다. 타임스탬프옵션을지우면 PAWS 및 RTT 가비활성화됩니다. Clear Window Scale( 기간배율지우기 ) - 기간배율메커니즘옵션을지웁니다. Range( 범위 ) - 지정되지않은옵션에대한작업을설정합니다. 범위는 6~7 및 9~255 이내입니다. 각범위에 Allow( 허용 ) 또는 Delete( 삭제 )( 지우기와동일 ) 를선택합니다. 8단계 OK( 확인 ) 및 Apply( 적용 ) 를클릭합니다. 이제서비스정책의 TCP 맵을사용할수있습니다. 맵이서비스정책을통해적용되는경우에만트래픽에영향을줍니다. 9 단계서비스정책을사용하여트래픽클래스에 TCP 맵을적용합니다. a. Configuration > Firewall > Service Policy Rules 를선택합니다. b. 규칙을추가하거나수정합니다. 규칙을전역적으로적용하거나한인터페이스에적용할수있습니다. 예를들어모든트래픽의비정상패킷처리를사용자지정하려면모든트래픽에일치하는글로벌규칙을만듭니다. 규칙작업페이지로이동합니다. c. Connection Settings( 연결설정 ) 탭을클릭합니다. d. Use TCP Map(TCP 맵사용 ) 을선택하고생성한맵을고릅니다. e. Finish( 마침 ) 또는 OK( 확인 ) 를클릭한다음 Apply( 적용 ) 를클릭합니다. 비동기라우팅의 TCP 상태검사우회 (TCP 상태우회 ) 특정연결의인바운드및아웃바운드흐름이두개의다른 ASA 디바이스를통과하는비동기라우팅환경이네트워크에있는경우, 영향을받는트래픽에 TCP 상태우회를구현해야합니다. 그러나 TCP 상태우회는네트워크의보안을약화시키므로매우제한된특정트래픽클래스에만우회를적용해야합니다. 다음항목에서는이러한문제와해결책에대해자세하게설명합니다. 비동기라우팅문제, 16-9 페이지 TCP 상태우회지침, 페이지 TCP 상태우회컨피그레이션, 페이지 16-8

379 16 장연결설정 연결설정컨피그레이션 비동기라우팅문제 기본적으로 ASA를통과하는모든트래픽은 ASA(Adaptive Security Algorithm) 를사용하여검사되며, 보안정책에따라통과하도록허용되거나삭제됩니다. ASA는각패킷의상태 ( 새연결인지설정된연결인지 ) 를확인하고이를세션관리경로 ( 새연결 SYN 패킷 ), 빠른경로 ( 설정된연결 ) 또는제어평면경로 ( 고급검사 ) 에할당하여방화벽성능을극대화합니다. 상태저장방화벽에대한자세한내용은일반적인작업컨피그레이션가이드를참조하십시오. 빠른경로에있는기존연결과일치하는 TCP 패킷은보안정책의모든사항을다시확인하지않고 ASA를통과할수있습니다. 이기능은성능을극대화합니다. 그러나 SYN 패킷을사용하여빠른경로에서세션을설정하는방법과빠른경로에서발생하는확인 ( 예 : TCP 시퀀스번호 ) 은비동기라우팅솔루션을방해할수있습니다. 연결의아웃바운드및인바운드흐름이모두동일한 ASA 를통과해야합니다. 예를들어새연결은 ASA 1로이동합니다. SYN 패킷은세션관리경로를통과하며연결항목이빠른경로테이블에추가됩니다. 이연결의후속패킷이 ASA 1을통과하는경우이러한패킷은빠른경로의항목과일치하므로통과됩니다. 그러나후속패킷이세션관리경로를통과한 SYN 패킷이없는 ASA 2로이동하는경우에는빠른경로에연결을위한항목이없으므로패킷이삭제됩니다. 다음그림에서는아웃바운드트래픽이다른 ASA를통과한다음인바운드트래픽을통과하는비대칭라우팅예를보여줍니다. 그림 16-1 비대칭라우팅 ISP A ISP B Security appliance 1 Security appliance 2 Outbound?Traffic Return?Traffic Inside network 업스트림라우터에서비동기라우팅을구성하고트래픽이두개의 ASA 사이에서번갈아전송되는경우특정트래픽에대한 TCP 상태우회를구성할수있습니다. TCP 상태우회는빠른경로에서세션이설정되는방식을변경하고빠른경로확인을비활성화합니다. 이기능은 UDP 연결을처리하듯 TCP 트래픽을처리합니다. 지정된네트워크와일치하는비 SYN 패킷이 ASA 로들어가고빠른경로항목이없으면, 빠른경로에서연결을설정할수있도록패킷이세션관리경로로들어가게됩니다. 빠른경로에있게되면이트래픽은빠른경로확인을우회합니다. 16-9

380 연결설정컨피그레이션 16 장연결설정 TCP 상태우회지침 TCP 상태우회지원되지않는기능 다음기능은 TCP 상태우회를사용할때지원되지않습니다. 애플리케이션검사 - 애플리케이션검사를수행하려면인바운드트래픽과아웃바운드트래픽이모두동일한 ASA 를통과해야하므로애플리케이션검사는 TCP 상태우회트래픽에적용되지않습니다. AAA 인증세션 - 사용자가하나의 ASA 에인증하는경우다른 ASA 를통해반환되는트래픽은거부됩니다. 이는사용자가해당 ASA 에서인증하지않았기때문입니다. TCP 가로채기, 최대원시연결제한, TCP 시퀀스번호임의설정 ASA 는연결상태를추적하지않으므로이러한기능은적용되지않습니다. TCP 정규화 - TCP 노멀라이저는사용되지않습니다. 서비스모듈기능 - TCP 상태우회및모든서비스모듈유형 ( 예 : ASA FirePOWER) 에서실행중인애플리케이션을사용할수없습니다. 상태저장장애조치. TCP 상태우회 NAT 지침 변환세션은 ASA 에대해별도로설정되기때문에두 ASA 모두에서 TCP 상태우회트래픽에대한상태 NAT 를구성해야합니다. 동적 NAT 를사용하는경우 ASA 1 의세션에대해선택되는주소는 ASA 2 의세션에대해선택되는주소와다릅니다. TCP 상태우회컨피그레이션 비동기라우팅환경에서 TCP 상태검사를우회하려면영향을받는호스트또는네트워크에만적용되도록트래픽클래스를신중하게정의한다음, 서비스정책을사용하여트래픽의 TCP 상태우회를활성화합니다. 우회는네트워크의보안을약화시키므로가능한한애플리케이션을제한합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택합니다. 2단계 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 또는호스트의규칙이이미있는경우규칙을수정합니다. 3 단계특정인터페이스에규칙을적용할것인지아니면모든인터페이스에전역으로적용할것인지선택하고 Next( 다음 ) 를클릭합니다. 4 단계트래픽분류의경우 Source and Destination IP Addresses (uses ACL)( 소스및대상 IP 주소 (ACL 사용 )) 를선택하고 Next( 다음 ) 를클릭합니다. 5단계 ACL 규칙의경우 Source( 소스 ) 및 Destination( 대상 ) 에서각경로종단의호스트 IP 주소를입력하고프로토콜을 TCP로지정합니다. 마쳤으면 Next( 다음 ) 를클릭합니다. 예를들어 ~ 에서 TCP 상태검사를우회하려는경우다음을입력합니다. Source = Destination = Destination Protocol = tcp 16-10

381 16 장연결설정 연결설정컨피그레이션 6 단계 Rule Actions( 규칙작업 ) 페이지에서 Connection Settings( 연결설정 ) 탭을클릭하고 TCP State Bypass(TCP 상태우회 ) 를선택합니다. 7 단계 Finish( 마침 ) 를클릭하여규칙을저장하고 Apply( 적용 ) 를클릭하여디바이스를업데이트합니다. TCP 시퀀스임의설정비활성화 각 TCP 연결에는각각클라이언트와서버에서생성된두개의 ISN이있습니다. ASA는인바운드와아웃바운드두방향모두로전달되는 TCP SYN의 ISN을임의로설정합니다. 보호된호스트의 ISN을임의로설정하면공격자가새연결을위한다음 ISN을예측하지못하며잠재적으로새세션의가로채기가방지됩니다. 필요한경우예를들어데이터암호화로인해 TCP 초기시퀀스번호임의설정을비활성화할수있습니다. 예를들면다음과같습니다. 다른인라인방화벽에서도초기시퀀스번호를임의로설정하는경우에는두방화벽모두이작업을수행할필요가없습니다. 이는이작업이트래픽에영향을주지않는경우에도마찬가지입니다. ASA 를통해 ebgp 멀티홉을사용하는경우 ebgp 피어는 MD5 를사용합니다. 임의설정은 MD5 체크섬을중단합니다. 연결의시퀀스번호를임의설정하지않으려면 ASA 가필요한 WAAS 디바이스를사용합니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택합니다. 2단계 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 또는대상트래픽의규칙이이미있는경우규칙을수정합니다. 3 단계특정인터페이스에규칙을적용할것인지아니면모든인터페이스에전역으로적용할것인지선택하고 Next( 다음 ) 를클릭합니다. 4단계트래픽클래스의경우트래픽일치유형을식별합니다. TCP 트래픽에클래스일치가있어야합니다. TCP 포트일치를수행하거나모든트래픽에일치하는특정호스트 (ACL 사용 ) 를식별할수있습니다. Next( 다음 ) 를클릭하고 ACL의호스트를구성하거나포트를정의한다음다시 Next( 다음 ) 를클릭합니다. 예를들어 에서전달되는모든 TCP 트래픽에 TCP 시퀀스번호임의설정을비활성화하려는경우다음을입력합니다. Source = any Destination = Destination Protocol = tcp 5 단계 Rule Actions( 규칙작업 ) 페이지에서 Connection Settings( 연결설정 ) 탭을클릭하고 Randomize Sequence Number( 시퀀스번호임의설정 ) 를선택취소합니다. 6 단계 Finish( 마침 ) 를클릭하여규칙을저장하고 Apply( 적용 ) 를클릭하여디바이스를업데이트합니다

382 연결설정컨피그레이션 16 장연결설정 특정트래픽클래스의연결설정컨피그레이션 ( 모든서비스 ) 서비스정책을사용하여특정트래픽클래스에다른연결설정을구성할수있습니다. 서비스정책을사용하여다음을수행합니다. DoS 및 SYN 플러딩공격으로부터보호하는데사용되는연결제한및시간제한을사용자지정합니다. DCD 를구현하여유휴상태인유효연결이계속유지되도록합니다. 필요하지않은경우 TCP 시퀀스번호임의설정을비활성화합니다. TCP 노멀라이저가비정상 TCP 패킷을방지하는방식을사용자지정합니다. 비동기라우팅의트래픽대상에 TCP 상태우회를구현합니다. 우회트래픽은검사대상이아닙니다. ASA 가 traceroute 출력에나타나도록패킷의 TTL(Time-To-Live) 을줄입니다. 참고 TTL(time-to-live) 을줄이면 TTL 이 1 인패킷이삭제되지만, 연결이더큰 TTL 이있는패킷을포함할수있다는가정하에세션에대한연결이열립니다. OSPF Hello 패킷과같은일부패킷은 TTL 이 1 로전송되어 TTL 을줄이면예기치않은결과가발생할수있습니다. 특정트래픽클래스에이설정을조합하여구성할수있습니다 ( 단, 상호배타적인 TCP 상태우회및 TCP 노멀라이저사용자지정제외 ). 정보 이절차에서는 ASA 를통과하는트래픽의서비스정책을보여줍니다. 또한관리 (to-the-box) 트래픽의연결최대및원시연결최대를구성할수있습니다. 시작하기전에 TCP 노멀라이저를사용자지정하려는경우처리하기전에필요한 TCP 맵을만듭니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy Rules( 서비스정책 ) 를선택하고규칙을엽니다. 새규칙을만들려면 Add( 추가 ) > Add Service Policy Rule( 서비스정책규칙추가 ) 을클릭합니다. 통과트래픽용서비스정책규칙추가, 11-9 페이지에서설명한대로마법사를따라진행하며규칙페이지로이동합니다. 연결설정을변경할규칙이있는경우규칙을선택하고 Edit( 수정 ) 를클릭합니다. 2 단계 Rule Actions( 규칙작업 ) 마법사페이지또는탭에서 Connection Settings( 연결설정 ) 탭을선택합니다. 3 단계최대연결수를설정하려면최대연결영역에서다음값을구성합니다. TCP & UDP Connections(TCP 및 UDP 연결 ) - 트래픽클래스의모든클라이언트에대한최대동시 TCP 및 UDP 연결수 ( 최대 ) 입니다. 기본값은 0 으로이는최대연결수가허용됨을의미합니다

383 16 장연결설정 연결설정컨피그레이션 Embryonic Connections( 원시연결 ) - 호스트당최대원시연결수를지정합니다 ( 최대 ). 원시연결은소스와대상간에필요한핸드셰이크를완료하지않은연결요청입니다. 기본값은 0 으로이는최대원시연결수가허용됨을의미합니다. 0 이아닌제한을설정하면 TCP 가로채기가활성화되며, 이렇게하면 TCP SYN 패킷을인터페이스에플러딩하여시행된 DoS 공격으로부터내부시스템을보호할수있습니다. 또한 SYN 플러딩을방지하려면클라이언트당옵션을설정합니다. Per Client Connections( 클라이언트당연결 ) - 각클라이언트당최대동시 TCP 및 UDP 연결수를지정합니다 ( 최대 ). 이미클라이언트당최대연결수에도달한클라이언트에서새연결을시도하면 ASA 에서는연결을거부하고패킷을삭제합니다. Per Client Embryonic Connections( 클라이언트당원시연결 ) - 각클라이언트당최대동시 TCP 원시연결수 ( 최대 ) 를지정합니다. 이미 ASA 를통해클라이언트당최대원시연결수에도달한클라이언트에서새로운 TCP 연결을요청하면 ASA 에서연결이차단됩니다. 4 단계연결시간제한을구성하려면 TCP Timeout 영역에서다음값을구성합니다. Embryonic Connection Timeout( 원시연결시간제한 ) - 원시 ( 절반이열린 ) 연결슬롯이해제될때까지의유휴시간입니다. 연결에대한시간제한을비활성화하려면 0:0:0 을입력합니다. 기본값은 30 초입니다. Half Closed Connection Timeout( 절반이닫힌연결시간제한 ) - 절반이닫힌연결이닫힐때까지의유휴시간제한으로범위는 0:5:0(9.1(1) 이하의경우 ) 또는 0:0:30(9.1(2) 이상의경우 )~1193:0:0 입니다. 기본값은 0:10:0 입니다. 절반이닫힌연결은 DCD 의영향을받지않습니다. 또한 ASA 는절반이닫힌연결을해제할때재설정을보내지않습니다. Connection Timeout( 연결시간제한 ) - 연결슬롯 (TCP 만이아니라모든프로토콜 ) 이해제될때까지의유휴시간입니다. 연결에대한시간제한을비활성화하려면 0:0:0 을입력합니다. 이기간은 5 분이상이어야합니다. 기본값은 1 시간입니다. Send reset to TCP endpoints before timeout( 시간제한전에 TCP 엔드포인트에재설정메시지보내기 ) - 연결슬롯이해제되기전에 ASA 에서연결의엔드포인트로 TCP 재설정메시지를보내야하는지지정합니다. Dead Connection Detection (DCD)( 끊어진연결탐지 (DCD)) - DCD 를활성화할것인지지정합니다. 유휴연결이만료되기전에 ASA 는종단호스트에프로브를보내연결이유효한지확인합니다. 두호스트가모두응답하면연결이유지되고그렇지않으면연결이해제됩니다. 최대재시도횟수 ( 기본값은 5, 범위는 1~255) 및재시도간격을설정합니다. 재시도간격은 DCD 프로브에서응답이없을때또다른프로브를보내기까지대기하는시간입니다 (0:0:1~24:0:0, 기본값은 0:0:15). 5단계임의지정된번호를비활성화하려면 Randomize Sequence Number의선택을취소합니다. 보호된호스트의 ISN을임의로설정하면공격자가새연결을위한다음 ISN을예측하지못하며잠재적으로새세션의가로채기가방지됩니다. 6 단계 TCP 노멀라이저동작을사용자지정하려면 Use TCP Map(TCP 맵사용 ) 을선택하고드롭다운목록에서기존 TCP 맵을선택하거나 ( 사용가능한경우 ) New( 새로만들기 ) 를클릭하여새맵을추가합니다. 7단계클래스에일치하는패킷의 TTL(Time-To-Live) 을줄이려면 Decrement time to live for a connection( 연결의 TTL(time to live) 줄이기 ) 을선택합니다. ASA를 traceroute에서홉중하나로표시하려면 TTL을줄여야합니다. 또한 Configuration( 컨피그레이션 ) > Device Management( 디바이스관리 ) > Management Access( 관리액세스 ) > ICMP에서 ICMP Unreachable 메시지의속도제한을높여야합니다. 8 단계 TCP 상태우회를활성화하려면 TCP State Bypass(TCP 상태우회 ) 를선택합니다. 9 단계 OK( 확인 ) 또는 Finish( 마침 ) 를클릭합니다

384 연결모니터링 16 장연결설정 연결모니터링 다음페이지를사용하여연결을모니터링합니다. Home( 홈 ) > Firewall Dashboard( 방화벽대시보드 ) 에서 Top Ten Protected Servers under SYN Attack(SYN 공격에서보호된상위 10 개서버 ) 대시보드를확인하여 TCP 가로채기를모니터링합니다. 기록샘플링데이터를표시하려면 Detail( 세부사항 ) 버튼을클릭합니다. 이속도간격중에 ASA 는공격횟수를 30 회로샘플링하므로, 기본값인 30 분동안 60 초마다통계가수집됩니다. 현재연결을확인하려면 Monitoring( 모니터링 ) > Properties( 속성 ) > Connections( 연결 ) 로이동합니다. 성능을모니터링하려면 Monitoring( 모니터링 ) > Properties( 속성 ) > Connection Graphs( 연결그래프 ) 로이동합니다. 또한 Tools( 툴 ) > Command Line Interface( 명령행인터페이스 ) 를사용하여다음명령을입력할수있습니다. show conn 연결정보를표시합니다. "b" 플래그는 TCP 상태우회의트래픽대상을나타냅니다. show service-policy DCD( 끊어진연결감지 ) 통계를포함하여서버정책통계를표시합니다. show threat-detection statistics top tcp-intercept [all detail] 공격에서보호된상위 10 개의서버를확인합니다. all 키워드는추적된모든서버의기록데이터를보여줍니다. detail 키워드는기록샘플링데이터를보여줍니다. 이속도간격중에 ASA 는공격횟수를 30 회로샘플링하므로, 기본값인 30 분동안 60 초마다통계가수집됩니다. 연결설정에대한기록 기능이름 플랫폼릴리스 설명 TCP 상태우회 8.2(1) 이기능이추가되었습니다. 추가된명령 : set connection advanced-options tcp-state-bypass 모든프로토콜에대한연결시간제한 8.2(2) TCP를제외한모든프로토콜에적용할수있도록유휴시간제한이변경되었습니다. 수정된화면 : Configuration( 컨피그레이션 ) > Firewall ( 방화벽 ) > Service Policies( 서비스정책 ) > Rule Actions( 규칙작업 ) > Connection Settings( 연결설정 ) 16-14

385 16 장연결설정 연결설정에대한기록 기능이름 백업고정경로를사용하는연결에대한시간제한 PAT xlate 에대해컨피그레이션가능한시간제한 서비스정책규칙에대한최대연결제한증가 플랫폼릴리스 절반이닫힌시간제한최소값이 30 초로감소 9.1(2) 설명 8.2(5)/8.4(2) 여러고정경로가서로다른메트릭으로네트워크에존재하는경우 ASA는연결생성시최상의메트릭이있는경로를사용합니다. 더나은경로를사용할수있게되면연결을다시설정하여해당경로를사용할수있도록이시간제한을통해연결을닫을수있습니다. 기본값은 0( 연결이시간초과되지않음 ) 입니다. 이기능을사용하려면시간제한을새값으로변경합니다. 수정된화면 : Configuration( 컨피그레이션 ) > Firewall ( 방화벽 ) > Advanced( 고급 ) > Global Timeouts( 글로벌시간제한 ) 8.4(3) PAT xlate가시간초과되고 ( 기본적으로 30초후 ) ASA에서새변환에포트를다시사용하면일부업스트림라우터는새연결을거부할수있는데, 이는업스트림디바이스에서이전연결이여전히열려있기때문일수있습니다. PAT xlate 시간제한을이제 30초에서 5분사이의값으로구성할수있습니다. 수정된화면 : Configuration( 컨피그레이션 ) > Firewall ( 방화벽 ) > Advanced( 고급 ) > Global Timeouts( 글로벌시간제한 ) 이기능은 8.5(1) 또는 8.6(1) 에서사용할수없습니다. 9.0(1) 서비스정책규칙에대해최대연결수가 65535에서 으로증가했습니다. 수정된화면 : Configuration( 컨피그레이션 ) > Firewall ( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) > Connection Settings( 연결설정 ) DoS 공격을더잘차단할수있도록글로벌시간제한및연결시간제한모두에대해절반이닫힌시간제한최소값이 5분에서 30초로낮아졌습니다. 수정된화면 : Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) > Connection Settings( 연결설정 ) 수정된화면 : Configuration( 컨피그레이션 ) > Firewall ( 방화벽 ) > Advanced( 고급 ) > Global Timeouts( 글로벌시간제한 ) 16-15

386 연결설정에대한기록 16 장연결설정 16-16

387 17 장 Quality of Service 위성연결방식의장거리전화를사용해본적이있으십니까? 일정하지않은간격으로대화가짧게중단될수는있지만알아들을수있는수준입니다. 이러한간격이바로네트워크를통해전송되는패킷의도착사이에서발생하는시간으로, 레이턴시라는합니다. 음성과비디오등일부네트워크트래픽은긴레이턴시를허용하지않습니다. QoS(Quality of Service) 는중요한트래픽에우선순위를두고, 대역폭과다사용을막고, 패킷삭제를방지하기위해네트워크병목을관리하는기능입니다. 참고 ASASM 의경우스위치에서 ASASM 대신 QoS 를수행하는것이좋습니다. 이영역에서는스위치의기능이더풍부합니다. 일반적으로 QoS 는네트워크의라우터와스위치에서가장뛰어나며, ASA 보다기능이훨씬광범위한경향이있습니다. 이장에서는 QoS 정책을적용하는방법에대해설명합니다. QoS 소개, 17-1페이지 QoS 지침, 17-3페이지 QoS 컨피그레이션, 17-4페이지 QoS 모니터링, 17-8페이지 QoS의기록, 17-10페이지 QoS 소개 끊임없이변화하는네트워크환경에서 QoS는일회배포로끝나는것이아니라네트워크설계에서지속적으로이루어지는필수적인부분이라는점을고려해야합니다. 이섹션에서는 ASA에서사용가능한 QoS 기능에대해설명합니다. 지원되는 QoS 기능, 17-2 페이지 토큰버킷이란?, 17-2 페이지 폴리싱, 17-2 페이지 우선순위큐잉, 17-3 페이지 DSCP(DiffServ) 보존, 17-3 페이지 17-1

388 QoS 소개 17 장 Quality of Service 지원되는 QoS 기능 ASA 에서는다음 QoS 기능을지원합니다. 폴리싱 - 분류된트래픽의네트워크대역폭과다사용을막기위해클래스당사용되는최대대역폭을제한할수있습니다. 자세한내용은폴리싱, 17-2 페이지를참조하십시오. 우선순위큐잉 - VoIP(Voice over IP) 와같이레이턴시가허용되지않는중요한트래픽의경우, 다른트래픽보다항상먼저전송되도록 LLQ( 낮은레이턴시큐 ) 에대한트래픽을식별할수있습니다. 우선순위큐잉, 17-3 페이지를참조하십시오. 토큰버킷이란? 토큰버킷은트래픽폴리서와같은흐름에서데이터를규제하는디바이스를관리하는데사용됩니다. 토큰버킷자체에는폐기또는우선순위정책이없습니다. 대신조절기에서흐름이과도하게이루어지는경우토큰버킷은토큰을폐기하고전송큐관리의문제를흐름에맡깁니다. 토큰버킷은전송속도의공식적인정의로서버스트크기, 평균속도및시간간격의세가지컨피그레이션요소로이루어집니다. 평균속도는일반적으로초당비트수로표시되지만, 다음과같은관계에의해두개의값이세번째로부터파생될수있습니다. 평균크기 = 버스트크기 / 시간간격일부용어정의는다음과같습니다. 평균속도 - CIR( 커밋된정보속도 ) 이라고도하며, 평균적으로단위시간당전송또는전달가능한데이터의양을지정합니다. 버스트크기 - 커밋된버스트라고도하며, 일정문제를일으키지않고지정된시간단위내에전송할수있는데이터의양을버스트당바이트단위로지정합니다. 시간간격 - 측정간격이라고도하며, 버스트당초단위로시간의양을지정합니다. 토큰버킷이라는표현에서알수있듯이토큰이일정한속도로버킷에담깁니다. 버킷자체에는지정된용량이있습니다. 버킷의용량이차면새로도착하는토큰은폐기됩니다. 각토큰은소스에서네트워크로일정한수의비트를전송하도록허용하는것입니다. 패킷하나를전송하려면조절기는해당패킷크기에대해표시된것과동등한수의토큰을버킷에서제거해야합니다. 버킷에패킷을전송할수있을만큼충분한토큰이없으면폐기또는하락할때까지패킷이대기합니다. 버킷이이미토큰으로가득차있으면들어오는토큰은오버플로되어향후패킷에사용할수없게됩니다. 따라서언제든지소스가네트워크로전송할수있는최대버스트는버킷의크기와거의비례합니다. 폴리싱 폴리싱은어떠한트래픽도사용자가구성한최대속도 ( 비트 / 초단위 ) 를초과하지못하게함으로써하나의트래픽클래스가전체리소스를차지할수없도록하는방법입니다. 트래픽이최대속도를초과하면 ASA 에서초과트래픽을취소합니다. 또한폴리싱은허용되는최대단일트래픽버스트를설정합니다. 17-2

389 17 장 Quality of Service QoS 지침 우선순위큐잉 LLQ 우선순위큐잉은다른트래픽에앞서특정트래픽흐름 ( 예 : 음성과비디오등레이턴시에민감한트래픽 ) 에우선순위를지정하도록허용합니다. 우선순위큐잉은인터페이스에서 LLQ 우선순위큐를사용하는반면 ( 인터페이스에대한우선순위큐컨피그레이션, 17-6 페이지참조 ), 다른모든트래픽은 "BE( 최선형 )" 큐로이동합니다. 큐의크기는무한하지않으므로가득차서오버플로될수있습니다. 큐가가득차면해당큐로추가패킷이들어갈수없어삭제됩니다. 이를 tail drop 이라고합니다. 큐가가득차는것을막으려면큐버퍼크기를늘릴수있습니다. 또한전송큐에대해허용되는패킷의최대수를조정할수있습니다. 이러한옵션을통해우선순위큐잉의레이턴시와안정성을제어할수있습니다. LLQ 큐에있는패킷은항상 BE 큐에있는패킷보다먼저전송됩니다. QoS 기능의상호작용방식 ASA에서필요한경우 QoS의각기능을따로구성할수있습니다. 따라서 ASA에서여러 QoS 기능을구성할수있지만, 예를들어일부트래픽의우선순위를지정하여다른트래픽이대역폭문제를일으키지않도록할수있습니다. 다음을구성할수있습니다. 우선순위큐잉 ( 특정트래픽용 ) + 폴리싱 ( 나머지트래픽용 ). 동일한트래픽집합에대해서는우선순위큐잉과폴리싱을구성할수없습니다. DSCP(DiffServ) 보존 DSCP(DiffServ) 표시는 ASA 를통과하는모든트래픽에서유지됩니다. ASA 는분류된트래픽을로컬로표시하지않습니다. 예를들면, " 우선순위 " 처리가필요한지확인하기위해각패킷의 EF ( 신속전달 ) DSCP 비트를키오프 (key off) 하고 ASA 에서해당패킷을 LLQ 로보내도록지정할수있습니다. QoS 지침 컨텍스트모드지침단일컨텍스트모드에서만지원됩니다. 다중컨텍스트모드는지원되지않습니다. 방화벽모드지침라우팅된방화벽모드에서만지원됩니다. 투명한방화벽모드를지원하지않습니다. IPv6 지침 IPv6을지원하지않습니다. 모델지침 (ASA 5512-X~ASA 5555-X) 우선순위큐잉은관리 0/0 인터페이스에서지원되지않습니다. (ASASM) 폴리싱만지원됩니다. 17-3

390 QoS 컨피그레이션 17 장 Quality of Service 추가지침및제한 QoS 는단방향으로적용됩니다. 정책맵을적용하는인터페이스로들어가는트래픽 ( 또는나가는트래픽 - QoS 기능에따라다름 ) 만영향을받습니다. 자세한내용은기능방향성, 11-4 페이지를참조하십시오. 우선순위트래픽에는 class-default 클래스맵을사용할수없습니다. 우선순위큐잉의경우물리적인터페이스 ( 또는 ASASM 의경우 VLAN) 에대해우선순위큐를구성해야합니다. 폴리싱의경우 to-the-box 트래픽은지원되지않습니다. 폴리싱의경우 VPN 터널을지나는트래픽은인터페이스폴리싱을우회합니다. 폴리싱의경우터널그룹클래스맵을일치시키면아웃바운드폴리싱만지원됩니다. QoS 컨피그레이션 ASA 에서 QoS 를구현하려면다음순서를사용하십시오. 1 단계우선순위큐에대해큐및 TX 링제한결정, 17-4 페이지 2 단계인터페이스에대한우선순위큐컨피그레이션, 17-6 페이지 3 단계우선순위큐잉및폴리싱에대한서비스규칙컨피그레이션, 17-7 페이지 우선순위큐에대해큐및 TX 링제한결정 우선순위큐및 TX 링제한을결정하려면다음워크시트를사용하십시오. 큐제한워크시트, 17-4페이지 TX 링제한워크시트, 17-5페이지 큐제한워크시트 다음워크시트에서는우선순위큐크기를계산하는방법을보여줍니다. 큐는무한한크기가아니기때문에가득차고오버플로될수있습니다. 큐가가득차면해당큐로추가패킷이들어갈수없으므로삭제됩니다 (tail drop이라고함 ). 큐가가득차는것을막으려면인터페이스에대한우선순위큐컨피그레이션, 17-6페이지에따라버퍼크기를조정할수있습니다. 워크시트에대한팁 : 아웃바운드대역폭 - 예를들어 DSL 은 768Kbps 의업링크속도를사용할수있습니다. 공급업체에문의하십시오. 평균패킷크기 - 코덱또는샘플링크기에서이값을결정합니다. 예를들면 VoIP over VPN 에 160 바이트를사용할수있습니다. 사용해야할크기를잘모르는경우 256 바이트를권장합니다. 지연 - 지연은애플리케이션에따라다릅니다. 예를들어, VoIP 의최대권장지연은 200ms 입니다. 사용해야할지연값을잘모르는경우 500ms 를권장합니다. 17-4

391 17 장 Quality of Service QoS 컨피그레이션 표 17-1 큐제한워크시트 1 Mbps x 125 = 아웃바운드대역폭 (Mbps 또는 Kbps) Kbps x.125 바이트 /ms # = 바이트 /ms # 2 x = 1 단계의바이트 /ms # 평균패킷크기 ( 바이트 ) 지연 (ms) 큐제한 ( 패킷의 #) TX 링제한워크시트 다음워크시트에서는 TX 링제한을계산하는방법을보여줍니다. 이러한제한은혼잡이해소되기까지패킷을버퍼링할수있도록드라이버가인터페이스의큐로다시보내기전에이더넷전송드라이버에대해허용되는패킷의최대수를결정합니다. 이설정은하드웨어기반전송링이우선순위가높은패킷에대해추가레이턴시를제한된양만큼만부과하도록보장합니다. 워크시트에대한팁 : 아웃바운드대역폭 - 예를들어 DSL 은 768Kbps 의업링크속도를사용할수있습니다. 공급업체에문의하십시오. 최대패킷크기 - 일반적으로태그가지정된이더넷에대한최대크기는 1538 바이트또는 1542 바이트입니다. 점보프레임 ( 플랫폼에서지원되는경우 ) 을허용하는경우에는패킷크기가더클수있습니다. 지연 - 지연은애플리케이션에따라다릅니다. 예를들어, VoIP 용지터를제어하려면 20ms 를사용해야합니다. 표 17-2 TX 링제한워크시트 1 Mbps x 125 = 아웃바운드대역폭 (Mbps 또는 Kbps) 바이트 /ms # Kbps x = 바이트 /ms # 2 x = 1 단계의바이트 /ms # 최대패킷크기 ( 바이트 ) 지연 (ms) TX 링제한 ( 패킷의 #) 17-5

392 QoS 컨피그레이션 17 장 Quality of Service 인터페이스에대한우선순위큐컨피그레이션 물리적인터페이스에서트래픽에대해우선순위큐를활성화하는경우각인터페이스에서우선순위큐를생성해야합니다. 각물리적인터페이스는 2 개의큐, 즉우선순위트래픽에하나, 다른모든트래픽에하나를사용합니다. 다른트래픽에대해서는폴리싱을선택적으로구성할수있습니다. 시작하기전에 (ASASM) ASASM 은우선순위큐잉을지원하지않습니다. (ASA 5512-X~ASA 5555-X) 우선순위큐잉은관리 0/0 인터페이스에서지원되지않습니다. 절차 1 단계 Configuration( 컨피그레이션 ) > Device Management( 디바이스관리 ) > Advanced( 고급 ) > Priority Queue( 우선순위큐 ) 를선택하고 Add( 추가 ) 를클릭합니다. 2 단계다음옵션을구성합니다. Interface - 우선순위큐를활성화할물리적인터페이스이름 (ASASM 의경우 VLAN 인터페이스이름 ) 입니다. Queue Limit( 큐제한 ) - 지정한인터페이스에서 500ms 간격으로전송할수있는평균 256바이트패킷의수입니다. 네트워크노드에 500ms보다오래머무는패킷은엔드투엔드애플리케이션에서시간제한을트리거할수있습니다. 이러한패킷은각네트워크노드에서무시될수있습니다. 큐는무한한크기가아니기때문에가득차고오버플로될수있습니다. 큐가가득차면해당큐로추가패킷이들어갈수없으므로삭제됩니다 (tail drop이라고함 ). 큐가가득차는것을막으려면이옵션을사용하여큐버퍼크기를늘릴수있습니다. 이옵션에대한값범위의상한은런타임에동적으로결정됩니다. 주요결정요인은큐지원에필요한메모리및디바이스에서사용가능한메모리입니다. 지정하는큐제한은우선순위가더높은 LLQ 및 BE 큐모두에영향을미칩니다. Transmission Ring Limit - 우선순위큐의깊이, 즉지정한인터페이스에서 10ms 간격으로전송할수있는최대 1550바이트패킷의수입니다. 이설정은하드웨어기반전송링이우선순위가높은패킷에대해추가레이턴시를 10ms보다길게부과하지않도록보장합니다. 이옵션은혼잡이해소될때까지패킷을버퍼링할수있도록, 드라이버에서인터페이스의큐로다시보내기전에이더넷전송드라이버에대해허용되는짧은레이턴시또는일반우선순위패킷의최대수를설정합니다. 값범위의상한은런타임에동적으로결정됩니다. 주요결정요인은큐지원에필요한메모리및디바이스에서사용가능한메모리입니다. 지정하는 Transmission Ring Limit은우선순위가더높은 LLQ 및 BE 큐모두에영향을미칩니다. 3 단계 OK( 확인 ) 를클릭합니다. 4 단계 Apply( 적용 ) 를클릭합니다. 17-6

393 17 장 Quality of Service QoS 컨피그레이션 우선순위큐잉및폴리싱에대한서비스규칙컨피그레이션 동일한정책맵내의여러클래스맵에대해우선순위큐잉및폴리싱을구성할수있습니다. 유효한 QoS 컨피그레이션에대한자세한내용은 QoS 기능의상호작용방식, 17-3 페이지를참조하십시오. 시작하기전에 우선순위트래픽에는 class-default 클래스맵을사용할수없습니다. (ASASM) ASASM 은폴리싱만지원합니다. 폴리싱의경우 to-the-box 트래픽은지원되지않습니다. 폴리싱의경우 VPN 터널을지나는트래픽은인터페이스폴리싱을우회합니다. 폴리싱의경우터널그룹클래스맵을일치시키면아웃바운드폴리싱만지원됩니다. 우선순위트래픽의경우레이턴시감지트래픽만식별합니다. 폴리싱트래픽의경우다른모든트래픽을폴리싱할수도있고, 트래픽을특정유형으로제한할수도있습니다. 절차 1단계 Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy( 서비스정책 ) 를선택하고규칙을엽니다. 새로운서비스정책규칙의일부로서 QoS를구성하거나, 기존서비스정책을수정할수있습니다. 2단계규칙페이지에서마법사를따라진행하면서인터페이스 ( 또는글로벌 ) 및트래픽일치기준을선택합니다. 폴리싱트래픽의경우우선순위를지정하지않은모든트래픽을폴리싱할수도있고, 트래픽을특정유형으로제한할수도있습니다. 정보트래픽일치에 ACL 을사용하는경우 ACL 에지정된방향으로만폴리싱이적용됩니다. 즉, 소스에서대상으로가는트래픽만폴리싱되며, 그역방향은해당되지않습니다. 서비스정책규칙에대한자세한내용은 11 장, "Modular Policy Framework 를사용하는서비스정책." 을참조하십시오. 3 단계 Rule Actions 대화상자에서 QoS 탭을클릭합니다. 4단계 Enable priority for this flow를선택합니다. 이서비스정책규칙이개별인터페이스용이면, ASDM에서해당인터페이스용우선순위큐를자동으로만듭니다 (Configuration( 컨피그레이션 ) > Device Management( 디바이스관리 ) > Advanced( 고급 ) > Priority Queue( 우선순위큐 )). 자세한내용은인터페이스에대한우선순위큐컨피그레이션, 17-6페이지를참조하십시오. 이규칙이글로벌정책용이면, 서비스정책규칙을구성하기전에하나이상의인터페이스에우선순위큐를수동으로추가해야합니다. 5 단계특정유형의트래픽폴리싱을사용하려면 Enable policing 을선택한다음 Input policing 또는 Output policing( 또는둘다 ) 확인란을선택합니다. 트래픽폴리싱의각유형에대해다음옵션을구성합니다. Committed Rate - 이트래픽의흐름에대한속도제한입니다. 허용되는최대속도 ( 초당비트수 ) 를 8000~ 의범위로지정합니다. 17-7

394 QoS 모니터링 17 장 Quality of Service Conform Action - 속도가 conform-burst 값보다낮을때수행할작업을설정합니다. 값은전송되거나삭제됩니다. Exceed Action - 속도가 conform-rate 값과 conform-burst 값사이인경우수행할작업을설정합니다. 값은전송되거나삭제됩니다. Burst Rate - 준수속도값으로조정되기전지속적인버스트에서허용되는순간바이트의최대수를지정합니다 (1000~ ). 6 단계 Finish( 마침 ) 를클릭합니다. 7 단계컨피그레이션을디바이스로전송하려면 Apply( 적용 ) 를클릭합니다. QoS 모니터링 ASDM에서 QoS를모니터링하려면명령줄인터페이스도구에서명령을입력할수있습니다. QoS 폴리스통계, 17-8페이지 QoS 우선순위통계, 17-8페이지 QoS 우선순위큐통계, 17-9페이지 QoS 폴리스통계 트래픽폴리싱에대한 QoS 통계를보려면 show service-policy police 명령을사용합니다. hostname# show service-policy police Global policy: Service-policy: global_fw_policy Interface outside: Service-policy: qos Class-map: browse police Interface outside: cir bps, bc bytes conformed packets, bytes; actions: transmit exceeded 499 packets, bytes; actions: drop conformed 5600 bps, exceed 5016 bps Class-map: cmap2 police Interface outside: cir bps, bc bytes conformed packets, bytes; actions: transmit exceeded 617 packets, bytes; actions: drop conformed bps, exceed 2303 bps QoS 우선순위통계 priority 명령을구현하는서비스정책의통계를보려면 show service-policy priority 명령을사용합니다. hostname# show service-policy priority Global policy: Service-policy: global_fw_policy 17-8

395 17 장 Quality of Service QoS 모니터링 Interface outside: Service-policy: qos Class-map: TG1-voice 우선순위 : Interface outside: aggregate drop 0, aggregate transmit 9383 "Aggregate drop" 은이인터페이스에서집계된삭제를나타내고, " 총전송 " 은이인터페이스에서전송된패킷의집계된수를나타냅니다. QoS 우선순위큐통계 인터페이스에대한우선순위큐통계를표시하려면 show priority-queue statistics 명령을사용합니다. BE( 최선형 ) 큐및 LLQ( 낮은레이턴시큐 ) 모두에대한통계가결과로표시됩니다. 다음예는인터페이스명명테스트를위한 show priority-queue statistics 명령의사용법을보여줍니다. hostname# show priority-queue statistics test Priority-Queue Statistics interface test Queue Type = BE Packets Dropped = 0 Packets Transmit = 0 Packets Enqueued = 0 Current Q Length = 0 Max Q Length = 0 Queue Type = LLQ Packets Dropped = 0 Packets Transmit = 0 Packets Enqueued = 0 Current Q Length = 0 Max Q Length = 0 hostname# 이통계보고서에서 "Packets Dropped" 는이큐에서삭제된패킷의전체수를나타냅니다. "Packets Transmit" 은이큐에서전송된패킷의전체수를나타냅니다. "Packets Enqueued" 는이큐에추가된패킷의전체수를나타냅니다. "Current Q Length" 는이큐의현재깊이를나타냅니다. "Max Q Length" 는이큐에서발생한최대깊이를나타냅니다. 17-9

396 QoS 의기록 17 장 Quality of Service QoS 의기록 기능이름 플랫폼릴리스 설명 우선순위큐잉및폴리싱 7.0(1) QoS 우선순위큐잉및폴리싱을도입했습니다. 추가된화면 : Configuration( 컨피그레이션 ) > Device Management ( 디바이스관리 ) > Advanced( 고급 ) > Priority Queue ( 우선순위큐 ) Configuration( 컨피그레이션 ) > Firewall( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) 셰이핑및계층적우선순위큐잉 7.2(4)/8.0(4) QoS 셰이핑및계층적우선순위큐잉을도입했습니다. 수정된화면 : Configuration( 컨피그레이션 ) > Firewall ( 방화벽 ) > Service Policy Rules( 서비스정책규칙 ) ASA 5585-X 에서표준우선순위큐에대해 10 기가비트이더넷지원 8.2(3)/8.4(1) ASA 5585-X 용 10 기가비트이더넷인터페이스에서우선순위큐에대한지원을추가했습니다

397 18 장 위협감지 이장에서는위협감지통계를구성하는방법및스캔위협감지에대해설명합니다. 위협감지, 18-1페이지 위협감지지침, 18-3페이지 위협감지기본값, 18-4페이지 위협감지컨피그레이션, 18-5페이지 위협감지모니터링, 18-7페이지 위협감지의기록, 18-8페이지 위협감지 ASA에서의위협감지는공격에대한일선방어를제공합니다. 위협감지는디바이스의트래픽에대한기준을만들수있도록 Layer 3 및 4에서작동하며, 트래픽패턴을기반으로패킷삭제통계를분석하고 " 상위 " 보고서를축적합니다. 비교해보면, IPS 또는 Next Generation IPS 서비스를제공하는모듈은 ASA에서허용한트래픽에대해최대 Layer 7까지공격벡터를식별및완화하며, ASA에의해이미삭제된트래픽은볼수없습니다. 따라서위협감지와 IPS를함께사용할경우좀더포괄적인위협방어를구현할수있습니다. 위협감지는다음요소로구성됩니다. 다양한위협에대해수집되는서로다른수준의통계. 위협감지통계를사용하면 ASA에대한위협을편리하게관리할수있습니다. 예를들어, 스캔위협감지를활성화하면통계를보면서위협을분석할수있습니다. 두가지유형의위협감지통계를구성할수있습니다. 기본위협감지통계 - 시스템공격활동에대한정보를전역적으로포함합니다. 기본위협감지통계는기본적으로사용되며성능에영향을미치지않습니다. 고급위협감지통계 - 객체수준에서활동을추적하므로 ASA 는개별호스트, 포트, 프로토콜또는 ACL 에대한활동을보고할수있습니다. 고급위협감지통계는수집하는통계에따라성능에크게영향을미칠수있으므로, 기본적으로 ACL 통계만사용됩니다. 호스트가스캔을수행할시기를결정하는스캔위협감지. 스캔위협이될수있을것같은호스트는선택적으로차단할수있습니다. 18-1