Cisco Cisco ASA 5515-X Adaptive Security Appliance 전단
1-5
Cisco ASA Series Firewall ASDM 컨피그레이션 가이드
1장 를 사용하는 서비스 정책
서비스 정책 정보
서비스 정책 내에서의 기능 일치
패킷은 다음 규칙에 따라 지정된 인터페이스의 정책 에서 규칙과의 일치가 확인됩니다.
1.
패킷은 각 기능 유형에 대해 하나의 클래스 맵에서만 일치가 확인됩니다.
2.
패킷이 특정 기능 유형에 대해 하나의 규칙과 일치하면 ASA에서는 해당 기능에 대해 이후의
다른 규칙과 일치를 확인하려고 시도하지 않습니다.
다른 규칙과 일치를 확인하려고 시도하지 않습니다.
3.
그러나 패킷이 다른 기능 유형에 대해 이후의 규칙과 일치하면 ASA에서는 이후의 규칙에 대
한 작업도 적용합니다(지원되는 경우). 지원되지 않는 조합에 대한 자세한 내용은
한 작업도 적용합니다(지원되는 경우). 지원되지 않는 조합에 대한 자세한 내용은
을 참조하십시오.
참고
애플리케이션 검사에는 여러 검사 유형이 포함되며 대부분 상호 배타적입니다. 결합할
수 있는 검사의 경우 각 검사는 별도의 기능으로 고려됩니다.
수 있는 검사의 경우 각 검사는 별도의 기능으로 고려됩니다.
패킷 일치의 예
예:
•
패킷이 연결 제한에 대한 규칙과 일치하고 애플리케이션 검사에 대한 규칙과도 일치하면 두
작업이 모두 적용됩니다.
작업이 모두 적용됩니다.
•
패킷이 HTTP 검사에 대한 규칙과 일치하고 HTTP 검사를 포함하는 또 다른 규칙과도 일치하
면 두 번째 규칙 작업은 적용되지 않습니다.
면 두 번째 규칙 작업은 적용되지 않습니다.
•
패킷이 HTTP 검사에 대한 규칙과 일치하고 FTP 검사를 포함하는 또 다른 규칙과도 일치하면
두 번째 규칙 작업은 적용되지 않습니다. HTTP와 FTP 검사는 결합할 수 없기 때문입니다.
두 번째 규칙 작업은 적용되지 않습니다. HTTP와 FTP 검사는 결합할 수 없기 때문입니다.
•
패킷이 HTTP 검사에 대한 규칙과 일치하고 IPv6 검사를 포함하는 또 다른 규칙과도 일치하면
두 작업이 모두 적용됩니다. IPv6 검사는 다른 모든 유형의 검사와 결합할 수 있기 때문입니다.
두 작업이 모두 적용됩니다. IPv6 검사는 다른 모든 유형의 검사와 결합할 수 있기 때문입니다.
여러 기능 작업이 적용되는 순서
서비스 정책의 서로 다른 작업 유형이 수행되는 순서는 테이블에 작업이 나타나는 순서와 상관이
없습니다.
없습니다.
작업은 다음 순서로 수행됩니다.
1.
QoS 입력 폴리싱
2.
TCP 정규화, TCP 및 UDP 연결 제한과 시간 제한, TCP 시퀀스 번호 임의 지정, TCP 상태 바이패스.
참고
ASA가 프록시 서비스(예: AAA 또는 CSC)를 수행하거나 TCP 페이로드(예: FTP 검사)
를 수정하면, TCP 노멀라이저가 이중 모드에서 작동하여 프록시 또는 페이로드 수정 서
비스 전후에 적용됩니다.
를 수정하면, TCP 노멀라이저가 이중 모드에서 작동하여 프록시 또는 페이로드 수정 서
비스 전후에 적용됩니다.
TCP 정규화
양방향
인그레스
TCP 상태 바이패스
양방향
인그레스
아이덴티티 방화벽용 사용자 통계
양방향
인그레스
표
1-2
기능
방향성
기능
단일 인터페이스 방향
글로벌 방향