Cisco Cisco ASA 5510 Adaptive Security Appliance Leaflet
1-93
Cisco ASA Series 명령 참조, S 명령
1장 same-security-traffic through shape 명령
set connection advanced-options tcp-state-bypass
개별 디바이스를 통한 인바운드 및 아웃바운드 흐름 허용
기본적으로 ASA를 통과하는 모든 트래픽은 ASA(Adaptive Security Algorithm)를 사용하여 검사되
며, 보안 정책에 따라 통과하도록 허용되거나 삭제됩니다. ASA는 각 패킷의 상태(새 연결인지 설
정된 연결인지)를 확인하고 이를 세션 관리 경로(새 연결 SYN 패킷), 빠른 경로(설정된 연결) 또는
제어 평면 경로(고급 검사)에 할당하여 방화벽 성능을 극대화합니다.
며, 보안 정책에 따라 통과하도록 허용되거나 삭제됩니다. ASA는 각 패킷의 상태(새 연결인지 설
정된 연결인지)를 확인하고 이를 세션 관리 경로(새 연결 SYN 패킷), 빠른 경로(설정된 연결) 또는
제어 평면 경로(고급 검사)에 할당하여 방화벽 성능을 극대화합니다.
빠른 경로에 있는 기존 연결과 일치하는 TCP 패킷은 보안 정책의 모든 사항을 다시 확인하지 않고
ASA를 통과할 수 있습니다. 이 기능은 성능을 극대화합니다. 그러나 SYN 패킷을 사용하여 빠른
경로에서 세션을 설정하는 방법과 빠른 경로에서 발생하는 확인(예: TCP 시퀀스 번호)은 비동기
라우팅 솔루션을 방해할 수 있습니다. 연결의 아웃바운드 및 인바운드 흐름이 모두 동일한 ASA를
통과해야 합니다.
ASA를 통과할 수 있습니다. 이 기능은 성능을 극대화합니다. 그러나 SYN 패킷을 사용하여 빠른
경로에서 세션을 설정하는 방법과 빠른 경로에서 발생하는 확인(예: TCP 시퀀스 번호)은 비동기
라우팅 솔루션을 방해할 수 있습니다. 연결의 아웃바운드 및 인바운드 흐름이 모두 동일한 ASA를
통과해야 합니다.
예를 들어 새 연결은 ASA 1로 이동합니다. SYN 패킷은 세션 관리 경로를 통과하며 연결 항목이 빠
른 경로 테이블에 추가됩니다. 이 연결의 후속 패킷이 ASA 1을 통과하는 경우 이러한 패킷은 빠른
경로의 항목과 일치하므로 통과됩니다. 그러나 후속 패킷이 세션 관리 경로를 통과한 SYN 패킷이
없는 ASA 2로 이동하는 경우에는 빠른 경로에 연결을 위한 항목이 없으므로 패킷이 삭제됩니다.
른 경로 테이블에 추가됩니다. 이 연결의 후속 패킷이 ASA 1을 통과하는 경우 이러한 패킷은 빠른
경로의 항목과 일치하므로 통과됩니다. 그러나 후속 패킷이 세션 관리 경로를 통과한 SYN 패킷이
없는 ASA 2로 이동하는 경우에는 빠른 경로에 연결을 위한 항목이 없으므로 패킷이 삭제됩니다.
업스트림 라우터에서 비동기 라우팅을 구성하고 트래픽이 두 개의 ASA 사이에서 번갈아 전송되
는 경우 특정 트래픽에 대한 TCP 상태 우회를 구성할 수 있습니다. TCP 상태 우회는 빠른 경로에
서 세션이 설정되는 방식을 변경하고 빠른 경로 확인을 비활성화합니다. 이 기능은 TCP 트래픽을
UDP 연결과 유사하게 처리합니다. 지정된 네트워크와 일치하는 비 SYN 패킷이 ASA로 들어올 때
빠른 경로 항목이 없는 경우에는 패킷이 세션 관리 경로를 통과하여 빠른 경로에서 연결을 설정합
니다. 빠른 경로에 있게 되면 이 트래픽은 빠른 경로 확인을 우회합니다.
는 경우 특정 트래픽에 대한 TCP 상태 우회를 구성할 수 있습니다. TCP 상태 우회는 빠른 경로에
서 세션이 설정되는 방식을 변경하고 빠른 경로 확인을 비활성화합니다. 이 기능은 TCP 트래픽을
UDP 연결과 유사하게 처리합니다. 지정된 네트워크와 일치하는 비 SYN 패킷이 ASA로 들어올 때
빠른 경로 항목이 없는 경우에는 패킷이 세션 관리 경로를 통과하여 빠른 경로에서 연결을 설정합
니다. 빠른 경로에 있게 되면 이 트래픽은 빠른 경로 확인을 우회합니다.
지원되지 않는 기능
다음 기능은 TCP 상태 우회를 사용할 때 지원되지 않습니다.
•
애플리케이션 검사 - 애플리케이션 검사를 수행하려면 인바운드 트래픽과 아웃바운드 트래픽
이 모두 동일한 ASA를 통과해야 하므로 TCP 상태 우회에서는 애플리케이션 검사가 지원되지
않습니다.
이 모두 동일한 ASA를 통과해야 하므로 TCP 상태 우회에서는 애플리케이션 검사가 지원되지
않습니다.
•
AAA 인증 세션 - 사용자가 하나의 ASA에 인증하는 경우 다른 ASA를 통해 반환되는 트래픽은
거부됩니다. 사용자가 해당 ASA에 인증하지 않았기 때문입니다.
거부됩니다. 사용자가 해당 ASA에 인증하지 않았기 때문입니다.
•
TCP Intercept, 최대 원시 연결 제한, TCP 시퀀스 번호 임의 설정 - ASA는 연결 상태를 추적하
지 않으므로 이러한 기능은 적용되지 않습니다.
지 않으므로 이러한 기능은 적용되지 않습니다.
•
TCP 정규화 - TCP 노멀라이저는 비활성화되어 있습니다.
•
SSM IPS 기능 - IPS 또는 CSC와 같은 SSM에서 실행되는 모든 애플리케이션 및 TCP 상태 우회
를 사용할 수 없습니다.
를 사용할 수 없습니다.
NAT 지침
변환 세션은 각 ASA에 대해 별도로 설정되기 때문에 두 ASA 모두에서 TCP 상태 우회 트래픽에 대
한 상태 NAT를 구성해야 합니다. 동적 NAT를 사용하는 경우 ASA 1의 세션에 대해 선택되는 주소
는 ASA 2의 세션에 대해 선택되는 주소와 다릅니다.
한 상태 NAT를 구성해야 합니다. 동적 NAT를 사용하는 경우 ASA 1의 세션에 대해 선택되는 주소
는 ASA 2의 세션에 대해 선택되는 주소와 다릅니다.
연결 시간 제한 지침
지정된 연결에서 2분 동안 트래픽이 없는 경우 연결 시간이 초과됩니다. set connection timeout tcp
명령을 사용하여 이 기본값을 재정의할 수 있습니다. 일반 TCP 연결은 기본적으로 60분 후에 시간
초과됩니다.
명령을 사용하여 이 기본값을 재정의할 수 있습니다. 일반 TCP 연결은 기본적으로 60분 후에 시간
초과됩니다.