Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页
1-10
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
1
장 Cisco ASA 소개
방화벽 기능 개요
호스트 데이터베이스는 반환 활동이 없는 연결, 닫힌 서비스 포트 액세스, 취약한 TCP 동작(예:
임의가 아닌 IPID), 기타 여러 동작 등 의심스러운 활동을 추적합니다.
공격자에 대한 시스템 로그 메시지를 보내도록 ASA를 구성하거나 호스트를 자동으로 차단할 수
공격자에 대한 시스템 로그 메시지를 보내도록 ASA를 구성하거나 호스트를 자동으로 차단할 수
있습니다.
방화벽 모드 개요
ASA
는 다음과 같은 두 가지 다른 방화벽 모드에서 실행됩니다.
•
라우팅
•
투명
라우팅 모드에서 ASA는 네트워크의 라우터 홉으로 간주합니다.
투명 모드에서 ASA는 "비활성 엔드포인트(bump in the wire)" 또는 "은폐형 방화벽(stealth
firewall)"
투명 모드에서 ASA는 "비활성 엔드포인트(bump in the wire)" 또는 "은폐형 방화벽(stealth
firewall)"
같은 역할을 수행하며, 라우터 홉으로 간주하지 않습니다. ASA는 내부 및 외부 인터페
이스에서 동일한 네트워크에 연결됩니다.
투명 방화벽을 사용하여 네트워크 구성을 간소화할 수 있습니다. 공격자에게 방화벽이 보이지 않
투명 방화벽을 사용하여 네트워크 구성을 간소화할 수 있습니다. 공격자에게 방화벽이 보이지 않
게 하려는 경우에도 투명한 모드가 유용합니다. 라우팅 모드에서 차단할 트래픽에도 투명 모드를
사용할 수 있습니다. 예를 들어, 투명 방화벽에서는 이더 타입 액세스 목록을 사용한 멀티캐스트
스트림을 지원합니다.
상태 저장 감시 개요
ASA
를 통과하는 모든 트래픽은 Adaptive Security Algorithm을 사용하여 감시되며 통과가 허용
되거나 드롭됩니다. 간단한 패킷 필터로 올바른 소스 주소, 대상 주소, 포트를 확인할 수 있으나,
패킷 시퀀스 또는 플래그가 올바른지 여부는 확인할 수 없습니다. 또한 필터의 경우 해당 필터를
기준으로
모든 패킷을 확인하므로, 프로세스가 느릴 수 있습니다.
참고
TCP
상태 우회 기능을 사용하면 패킷 흐름을 맞춤화할 수 있습니다.
그러나 ASA 같은 상태 저장 방화벽에서는 다음과 같은 패킷의 상태를 고려합니다.
•
새 연결인가?
새 연결일 경우 ASA에서 액세스 목록을 기준으로 패킷을 확인하고 기타 작업을 수행하여 패킷을
새 연결일 경우 ASA에서 액세스 목록을 기준으로 패킷을 확인하고 기타 작업을 수행하여 패킷을
허용 또는 거부할지 결정해야 하는가? 이러한 확인을 수행하기 위해 세션의 첫 번째 패킷은 "세션
관리 경로"를 통과하며, 트래픽의 유형에 따라 "컨트롤 플레인 경로"를 통과할 수도 있습니다.
세션 관리 경로는 다음과 같은 작업에 직접적인 연관이 있습니다.
세션 관리 경로는 다음과 같은 작업에 직접적인 연관이 있습니다.
–
액세스 목록 확인 수행
–
경로 조회 수행
–
NAT
변환 할당(xlates)
–
"
빠른 경로"에 세션 설정
ASA
에서는 TCP 트래픽의 빠른 경로에서 전달 및 반대 흐름을 생성합니다. 또한 ASA에서는
UDP, ICMP(ICMP
감시를 활성화할 경우) 같은 연결이 없는 프로토콜에 대한 연결 상태 정보
도 생성하여, 마찬가지로 빠른 경로를 사용할 수 있도록 합니다.