Cisco Cisco ASA 5515-X Adaptive Security Appliance 전단
1-14
Cisco ASA Series Firewall ASDM 컨피그레이션 가이드
1장 를 사용하는 서비스 정책
서비스 정책 구성
팁
인접하지 않은 여러 포트를 사용하는 애플리케이션의 경우 Source and Destination IP
Address (uses ACL)를 사용하여 각 포트를 확인하십시오.
Address (uses ACL)를 사용하여 각 포트를 확인하십시오.
•
Add rule to existing traffic class. 동일한 인터페이스에 이미 서비스 정책 규칙이 있거나 글로벌
서비스 정책에 추가 중인 경우 이 옵션을 사용하면 기존 ACL에 ACE를 추가할 수 있습니다. 이 인
터페이스에서 서비스 정책 규칙에 대해 Source and Destination IP Address (uses ACL) 옵션을 선택
했을 때 만들었던 ACL에 ACE를 추가할 수 있습니다. 이 트래픽 클래스의 경우 여러 ACE를 추가
하더라도 규칙 작업의 집합은 하나만 가질 수 있습니다. 이 전체 절차를 반복하여 동일한 트래픽
클래스에 여러 ACE를 추가할 수 있습니다. ACE 순서 변경에 대한 자세한 내용은
서비스 정책에 추가 중인 경우 이 옵션을 사용하면 기존 ACL에 ACE를 추가할 수 있습니다. 이 인
터페이스에서 서비스 정책 규칙에 대해 Source and Destination IP Address (uses ACL) 옵션을 선택
했을 때 만들었던 ACL에 ACE를 추가할 수 있습니다. 이 트래픽 클래스의 경우 여러 ACE를 추가
하더라도 규칙 작업의 집합은 하나만 가질 수 있습니다. 이 전체 절차를 반복하여 동일한 트래픽
클래스에 여러 ACE를 추가할 수 있습니다. ACE 순서 변경에 대한 자세한 내용은
를 참조하십시오. Next를 클릭하면 액세스 제어 항목의 특성에 대
한 프롬프트가 표시됩니다.
•
Use an existing traffic class. 다른 인터페이스의 규칙에 사용되는 트래픽 클래스를 만든 경우
이 규칙에 대한 트래픽 클래스 정의를 재사용할 수 있습니다. 한 규칙에 대한 트래픽 클래스를
변경하면 해당 트래픽 클래스를 사용하는 모든 규칙으로 변경 내용이 상속됩니다. CLI에서 입
력한 class-map 명령이 컨피그레이션에 포함되어 있으면 해당 트래픽 클래스 이름도 사용할 수
있습니다(트래픽 클래스의 정의를 보려면 규칙을 만들어야 함).
이 규칙에 대한 트래픽 클래스 정의를 재사용할 수 있습니다. 한 규칙에 대한 트래픽 클래스를
변경하면 해당 트래픽 클래스를 사용하는 모든 규칙으로 변경 내용이 상속됩니다. CLI에서 입
력한 class-map 명령이 컨피그레이션에 포함되어 있으면 해당 트래픽 클래스 이름도 사용할 수
있습니다(트래픽 클래스의 정의를 보려면 규칙을 만들어야 함).
4단계
추가 컨피그레이션이 필요한 트래픽 매칭 기준을 선택한 경우 원하는 매개변수를 입력하고 Next
를 클릭합니다.
를 클릭합니다.
5단계
Rule Actions 페이지에서 하나 이상의 규칙 작업을 구성합니다.
•
RADIUS 어카운팅 검사를 구성하려면 RADIUS Accounting Map 드롭다운 리스트에서 inspect
map을 선택하거나 Configure를 클릭하여 맵을 추가합니다. 자세한 내용은
map을 선택하거나 Configure를 클릭하여 맵을 추가합니다. 자세한 내용은
•
연결 설정을 구성하려면
을 참조하십시오.
6단계
Finish를 클릭합니다.
서비스 정책 규칙의 순서 관리
인터페이스 또는 글로벌 정책에서 서비스 정책 규칙의 순서는 트래픽이 작업이 적용되는 방법에 영
향을 미칩니다. 서비스 정책의 규칙으로 패킷을 확인하는 방법에 대한 다음 지침을 참조하십시오.
향을 미칩니다. 서비스 정책의 규칙으로 패킷을 확인하는 방법에 대한 다음 지침을 참조하십시오.
•
각 기능 유형에 대해 서비스 정책의 규칙 하나만이 패킷을 확인합니다.
•
패킷이 특정 기능 유형에 대한 작업을 포함하는 하나의 규칙과 일치하면 ASA에서는 해당 기
능 유형을 포함하는 이후의 다른 규칙과 일치를 확인하려고 시도하지 않습니다.
능 유형을 포함하는 이후의 다른 규칙과 일치를 확인하려고 시도하지 않습니다.
•
그러나 패킷이 다른 기능 유형에 대해 이후의 규칙과 일치하면 ASA에서는 이후의 규칙에 대
한 작업도 적용합니다.
한 작업도 적용합니다.
예를 들어 패킷이 연결 제한에 대한 규칙과 일치하고 애플리케이션 검사에 대한 규칙과도 일치하
면 두 규칙 작업이 모두 적용됩니다.
면 두 규칙 작업이 모두 적용됩니다.
패킷이 애플리케이션 검사에 대한 규칙과 일치하고 애플리케이션 검사를 포함하는 또 다른 규칙
과도 일치하면 두 번째 규칙 작업은 적용되지 않습니다.
과도 일치하면 두 번째 규칙 작업은 적용되지 않습니다.
규칙에 여러 ACE가 있는 ACL이 포함되어 있으면 ACE의 순서도 패킷 흐름에 영향을 미칩니다.
ASA에서는 항목이 나열된 순서로 각 ACE에 대해 패킷을 테스트합니다. 일치가 발견되면 ACE가
더 이상 점검되지 않습니다. 예를 들어, ACL의 시작 부분에 모든 트래픽을 명시적으로 허용하는
ACE를 만들면 다른 내용은 점검되지 않습니다.
ASA에서는 항목이 나열된 순서로 각 ACE에 대해 패킷을 테스트합니다. 일치가 발견되면 ACE가
더 이상 점검되지 않습니다. 예를 들어, ACL의 시작 부분에 모든 트래픽을 명시적으로 허용하는
ACE를 만들면 다른 내용은 점검되지 않습니다.