Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

방화벽에 연결된 네트워크를 이야기할 때, 

외부 네트워크는 방화벽 앞에 있고, 내부 네트워크는 방

화벽 뒤에서 보호되고 있으며, DMZ는 방화벽 뒤에 있으나 외부 사용자에게 제한된 액세스를 허용

하는 네트워크를 일컫습니다. 그러나 ASA에서는 여러 가지 보안 정책으로 많은 인터페이스(예: 다

양한 내부 인터페이스, 다양한 DMZ, 다양한 외부 인터페이스)를 구성할 수 있도록 지원하므로, 이러

한 용어는 일반적인 의미로만 사용됩니다.

보안 정책은 어떤 트래픽이 방화벽을 통과하여 다른 네트워크에 액세스하도록 허용할지 여부를 

결정합니다. 기본적으로 ASA에서는 내부 네트워크(상위 보안 수준)에서 외부 네트워크(하위 보

안 수준)로 트래픽이 자유롭게 이동하도록 허용합니다. 트래픽에 몇 가지 조치를 취하여 보안 정

책을 맞춤화할 수 있습니다. 

액세스 목록을 적용하여 내부에서 외부로 나가는 트래픽을 제한하거나, 외부에서 내부로 들어오

는 트래픽을 허용할 수 있습니다. 투명 방화벽 모드의 경우, 이더 타입 액세스 목록을 적용하여 IP 

이외 트래픽을 허용할 수도 있습니다.

NAT

의 몇 가지 이점은 다음과 같습니다.

내부 네트워크에서 사설 주소를 사용할 수 있습니다. 사설 주소는 인터넷에서 라우팅할 수 없

습니다.

NAT

는 다른 네트워크의 로컬 주소를 숨기므로, 공격자가 호스트의 실제 주소를 알 수 없습니다.

NAT

는 IP 주소 중복을 지원하여 IP 라우팅 문제를 해결할 수 있습니다. 

ASA

에서는 IP 프래그먼트 방지 기능을 제공합니다. 이 기능은 모든 ICMP 오류 메시지의 전체 리어셈

블리를 수행하고, ASA를 통해 라우팅된 나머지 IP 프래그먼트의 가상 리어셈블리를 수행합니다. 보안 

검사에 실패한 프래그먼트는 드롭 및 기록됩니다. 가상 리어셈블리는 비활성화할 수 없습니다.