ACL
ACL
ACL 이란 Access Control List는 접근 제어 목록 또는 액세스 제어 목록이라고 합니다. 라우터에서 트래픽을 필터링합니다. 허가되지 않은 이용자의 접근을 차단합니다. 패킷을 필터링하는 기준은 출
frankenkitty.tistory.com
상태 저장 검사
ACL은 출발지, 목적지 주소와 포트에만 의존하고, 트래픽을 검사하는 현재 상태만을 보고 필터링하는 비 상태 저장 검사입니다.
상태 저장 검사는 독립적인 패킷 구조가 아닌 하나의 세션을 저장하고 추적하여 일반적으로 더 안전합니다.
CBAC
기존의 Reflexible ACL은 단순히 3계층과 4계층의 헤더 정보를 기반으로 단일 채널 어플리케이션만 제어할 수 있습니다.
그래서 FTP 처럼 두개 이상의 포트를 사용하는 동적 포트 서비스들은 정상적으로 처리할 수 없습니다.
이를 해결하기 위해 등장한 SPI는 세션 정보와 특정 프로토콜의 동작을 인식할 수 있어 위의 문제점을 해결할 수 있고, 응용 계층의 정보도 어느 정도 제어가 가능합니다.
CBAC는 CISCO에서 지원하는 상태 저장 검사 방화벽 기법입니다.
SPI를 지원하고 3계층과 4계층의 트래픽을 처리하며 응용 계층의 트래픽도 제어할 수 있습니다.
동작원리
CBAC는 모든 TCP 및 UDP 패킷을 검사하고 패킷의 ‘상태’또는 ‘연결상태’를 모니터합니다.
검사를 통과하는 패킷은 방화벽을 통과하고 통과된 패킷에 대한 상태테이블(State Table)을 생성하여 세션 상태 정보를 유지합니다.
CBAC은 상태테이블의 정보를 바탕으로 ACL 항목들을 동적으로 생성하고 삭제합니다.
즉, 허용된 정책의 내용만 세션을 저장하고 임시 ACL을 생성하여 통신합니다.
일정 시간이 지나거나 통신이 종료되면 생성했던 임시 ACL을 폐기합니다.
설정 방법
Router(config)#
ip inspect name [ rule name ] [protocol]
int [ 인터페이스 ]
ip inspect [name] [in/out]
show ip inspect session detail
'네트워크 > 라우터' 카테고리의 다른 글
| Frame relay (0) | 2023.11.04 |
|---|---|
| PPP (Point to Point Protocol) (0) | 2023.11.04 |
| BGP (eBGP 설정) (0) | 2023.09.20 |
| Standard ACL, Extended ACL 실습 (0) | 2023.07.30 |
| ACL (0) | 2023.07.29 |
