Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页
5-6
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
5
장 투명 또는 라우팅 방화벽 모드
기본 설정
참고
전용 관리 인터페이스가 있다면 이 파라미터가 플러딩을 실행하도록 설정된 경우에도
패킷이 플러딩되지 않습니다.
ARP
감시 기능은 악의적인 사용자가 다른 호스트 또는 라우터로 위장(ARP 스푸핑이라고도 함)
하는 것을 방지합니다. ARP 스푸핑은 "끼어들기" 공격을 활성화할 수 있습니다. 예를 들어, 호스
트에서 ARP 요청을 게이트웨이 라우터에 전송할 경우 해당 게이트웨이 라우터는 게이트웨이 라
우터 MAC 주소에 응답합니다. 그러나 공격자는 라우터 MAC 주소가 아닌 공격자 MAC 주소가 포
함된 다른 ARP 응답을 호스트에 전송합니다. 이제 공격자는 라우터에 트래픽이 전달되기 전에 모
든 호스트 트래픽을 가로챌 수 있게 됩니다.
ARP
ARP
감시 기능은 고정 ARP 테이블에 올바른 MAC 주소와 관련 IP 주소를 입력하기만 하면 공격
자가 공격자 MAC 주소가 포함된 ARP 응답을 보낼 수 없도록 합니다.
MAC
주소 테이블
ASA
에서는 일반적인 브리지 또는 스위치와 유사한 방식으로 MAC 주소 테이블을 학습하고 구축
합니다. 디바이스에서 ASA를 통해 패킷을 전송하면 ASA에서는 MAC 주소를 해당 테이블에 추가
합니다. 테이블에서는 MAC 주소와 소스 인터페이스를 연결하므로 ASA에서는 디바이스에 대해
주소가 지정된 모든 패킷을 올바른 인터페이스로 전송할 수 있다는 사실을 파악합니다.
ASA
ASA
는 방화벽이므로 패킷의 대상 MAC 주소가 테이블에 없을 경우, 일반적인 브리지에서는 원래
패킷을 모든 인터페이스에 플러딩하지만 ASA의 경우에는 이러한 작업을 수행하지 않습니다. 그
대신 ASA에서는 직접 연결된 디바이스 또는 원격 디바이스에 다음 패킷을 생성합니다.
•
직접 연결된 디바이스에 대한 패킷 — ASA의 경우 대상 IP 주소에 대한 ARP 요청을 생성하
므로, ASA에서는 어떤 인터페이스에서 ARP 응답을 수신하는지 알 수 있습니다.
•
원격 인터페이스에 대한 패킷 — ASA의 경우 대상 IP 주소에 대한 ping을 생성하므로 ASA에
서는 어떤 인터페이스에서 Ping 응답을 수신하는지 알 수 있습니다.
원래 패킷은 드롭됩니다.
기본 설정
기본 모드는 라우팅 모드입니다.
투명 모드 기본값
•
기본적으로 모든 ARP 패킷은 ASA를 통과할 수 있습니다.
•
ARP
감시를 활성화할 경우 기본 설정은 불일치 패킷을 플러딩하는 것입니다.
•
동적 MAC 주소 테이블 항목의 기본 시간 제한 값은 5분입니다.
•
기본적으로 각 인터페이스에서는 들어오는 트래픽의 MAC 주소를 자동으로 알게 되며, ASA
에서는 해당 항목을 MAC 주소 테이블에 추가합니다.