Cisco Cisco ASA 5515-X Adaptive Security Appliance 전단
1-13
Cisco ASA Series Firewall ASDM 컨피그레이션 가이드
1장 를 사용하는 서비스 정책
서비스 정책 구성
관리 트래픽용 서비스 정책 규칙 추가
관리 목적으로 ASA로 이동하는 트래픽용 서비스 정책 규칙을 추가하려면 Add Service Policy Rule
마법사를 사용하십시오. 특정 인터페이스용 정책 또는 글로벌 정책의 범위를 선택하라는 메시지
가 표시됩니다.
마법사를 사용하십시오. 특정 인터페이스용 정책 또는 글로벌 정책의 범위를 선택하라는 메시지
가 표시됩니다.
•
특정 기능에 대해 인터페이스 서비스 정책이 글로벌 서비스 정책보다 우선 적용됩니다. 예를
들어 RADIUS 어카운팅 검사가 포함된 글로벌 정책 및 연결 제한이 포함된 인터페이스 정책을
가지고 있으면 인터페이스에는 RADIUS 어카운팅과 연결 제한이 모두 적용됩니다. 그러나
RADIUS 어카운팅이 포함된 글로벌 정책 및 RADIUS 어카운팅이 포함된 인터페이스 정책을
가지고 있으면 해당 인터페이스에는 인터페이스 정책 RADIUS 어카운팅만 적용됩니다.
들어 RADIUS 어카운팅 검사가 포함된 글로벌 정책 및 연결 제한이 포함된 인터페이스 정책을
가지고 있으면 인터페이스에는 RADIUS 어카운팅과 연결 제한이 모두 적용됩니다. 그러나
RADIUS 어카운팅이 포함된 글로벌 정책 및 RADIUS 어카운팅이 포함된 인터페이스 정책을
가지고 있으면 해당 인터페이스에는 인터페이스 정책 RADIUS 어카운팅만 적용됩니다.
•
글로벌 서비스 정책은 모든 인터페이스에 기본 서비스를 제공합니다. 인터페이스 전용 정책에
의해 재지정되지 않는 한 글로벌 서비스가 적용됩니다. 기본적으로 글로벌 정책은 기본 애플
리케이션 검사용 서비스 정책 규칙을 포함합니다. 자세한 내용은
의해 재지정되지 않는 한 글로벌 서비스가 적용됩니다. 기본적으로 글로벌 정책은 기본 애플
리케이션 검사용 서비스 정책 규칙을 포함합니다. 자세한 내용은
을
참조하십시오.
1단계
Configuration > Firewall > Service Policy Rules를 선택하고 Add 또는 Add > Add Management
Service Policy Rule을 클릭합니다.
Service Policy Rule을 클릭합니다.
2단계
Create a Service Policy and Apply To 영역에서:
a.
정책을 특정 인터페이스에 적용할지(Interface) 모든 인터페이스에 적용할지(Global)를 선택
합니다.
합니다.
b.
Interface를 선택하는 경우 인터페이스의 이름을 선택합니다. 인터페이스에 이미 정책이 있으
면 기존 정책에 규칙을 추가합니다.
면 기존 정책에 규칙을 추가합니다.
c.
인터페이스에 서비스 정책이 없으면 새 정책의 이름을 입력합니다.
d.
(선택 사항) 정책의 설명을 추가합니다.
e.
Next를 클릭합니다.
3단계
Traffic Classification Criteria 페이지에서 정책 작업을 적용할 트래픽을 지정하려면 다음 옵션 중 하
나를 선택하고 Next를 클릭합니다.
나를 선택하고 Next를 클릭합니다.
•
Create a new traffic class. 트래픽 클래스 이름 및 선택적인 설명을 입력합니다.
여러 기준 중 하나를 사용하여 트래픽을 식별합니다.
–
Source and Destination IP Address (uses ACL) - 클래스가 확장 ACL로 지정한 트래픽을
확인합니다. ASA가 투명 방화벽 모드에서 운영되는 경우 EtherType ACL을 사용할 수 있
습니다. Next를 클릭하면 액세스 제어 항목의 특성에 대한 프롬프트가 표시됩니다. 마법사
가 ACL을 구축하므로 기존 ACL을 선택할 수 없습니다.
확인합니다. ASA가 투명 방화벽 모드에서 운영되는 경우 EtherType ACL을 사용할 수 있
습니다. Next를 클릭하면 액세스 제어 항목의 특성에 대한 프롬프트가 표시됩니다. 마법사
가 ACL을 구축하므로 기존 ACL을 선택할 수 없습니다.
ACE를 정의할 때 Match 옵션은 규칙을 생성합니다. 여기에서는 주소와 일치하는 트래픽
에 작업이 적용됩니다. Do Not Match 옵션은 지정한 작업이 트래픽에 적용되지 않게 합니
다. 예를 들면 10.1.1.0/24의 모든 트래픽을 확인하고 연결 제한을 적용하되 10.1.1.25만 제
외할 수 있습니다. 이 경우 두 개의 규칙을 만듭니다. Match 옵션을 사용하여 10.1.1.0/24에
대한 규칙을 만들고 Do Not Match 옵션을 사용하여 10.1.1.25에 대한 또 다른 규칙을 만드
는 것입니다. Do Not Match 규칙이 Match 규칙 위에 오도록 정렬해야 합니다. 그렇지 않으
면 10.1.1.25에 Match 규칙이 먼저 적용됩니다.
에 작업이 적용됩니다. Do Not Match 옵션은 지정한 작업이 트래픽에 적용되지 않게 합니
다. 예를 들면 10.1.1.0/24의 모든 트래픽을 확인하고 연결 제한을 적용하되 10.1.1.25만 제
외할 수 있습니다. 이 경우 두 개의 규칙을 만듭니다. Match 옵션을 사용하여 10.1.1.0/24에
대한 규칙을 만들고 Do Not Match 옵션을 사용하여 10.1.1.25에 대한 또 다른 규칙을 만드
는 것입니다. Do Not Match 규칙이 Match 규칙 위에 오도록 정렬해야 합니다. 그렇지 않으
면 10.1.1.25에 Match 규칙이 먼저 적용됩니다.
–
TCP or UDP Destination Port - 클래스가 단일 포트 또는 연속된 포트의 범위를 확인합니
다. Next를 클릭하면 TCP 또는 UDP를 선택하고 포트 번호를 입력하라는 프롬프트가 표시
됩니다. ASDM에서 이미 정의한 번호를 선택하려면 ... 버튼을 클릭하십시오.
다. Next를 클릭하면 TCP 또는 UDP를 선택하고 포트 번호를 입력하라는 프롬프트가 표시
됩니다. ASDM에서 이미 정의한 번호를 선택하려면 ... 버튼을 클릭하십시오.