728x90 반응형 Network78 [ASA.Firewall] ACL ■ ASA ACL(Access Control List) - ASA는 기본적으로 Security-level이 낮은 방향에서 높은 방향으로 전송되는 트래픽은 모두 차단된다. - 만약 특정 트래픽에 대해서 level이 높은 방향으로 접근을 해야하는 경우 관리자는 Access-list를 사용하여 접근을 허용한다. - ASA는 기본적인 L3/L4 패킷 제어는 ‘Access-list’를 사용하고, Application(L7) 계층 제어 및 검사(DPI)는 ‘MPF(Modular Policy Framework)’를 사용해야 한다. ※ ASA의 Access-list 설정방식은 Router와 거의 동일하다. 차이점은 아래와 같다. --------------------------------------------------.. 2023. 3. 13. [ASA.Firewall]라우팅 ASA.Firewall.라우팅 : STATIC ROUTE [ASA] interface Ethernet0 nameif inside security-level 100 ip address 192.168.10.2 255.255.255.0 ! interface Ethernet1 nameif dmz1 security-level 50 ip address 192.168.20.2 255.255.255.0 ! interface Ethernet2 nameif outside security-level 0 ip address 192.168.30.2 255.255.255.0 ! interface Ethernet3 nameif dmz2 security-level 50 ip address 192.168.40.2 255.255.255.. 2023. 3. 13. [ASA.Firewall]ASA란? ■ 방화벽 개요 시스코의 전용 방화벽에는 ASA 와 PIX 장비가 있으며, 두 장비는 모두 동일한 명령어 체계를 사용한다. 새로운 장비인 ASA가 PIX에 비해 성능과 기능이 우수하다. SSL VPN 기능을 지원한다. AIP-SSM 모듈을 장착하면 침입탐지시스템(IPS) 기능이 지원된다. csc-ssm 모듈을 장착하면 바이러스 방지, 스파이웨어 방지, 파일 차단, 스팸 차단,피싱 차단, URL 차단, 컨텐트 필터링 등의 기능을 제공한다. ASA는 인터페이스에 이름을 부여해 정책 적용 시 그 이름을 사용한다. 인터페이스 이름이 Inside 이면 기본적으로 보안 레벨이 가장 높은 100을 적용한다. 나머지 인터페이스 이름들은(Outside, DMZ) 보안 레벨이 가장 낮은 0을 적용한다. 보안 레벨이 지정되.. 2023. 3. 13. 42.BGP 정책 ◇ BGP 속성의 분류 ◇ 동일한 IGP가 동작하는 모든 라우터들은 해당 IGP의 메트릭을 모두 알고 있어야 한다. 그러나, BGP가 사용하는 다양한 종류의 메트릭(속성)은 모든 BGP 라우터가 반드시 다 알고 구현해야하는 것은 아니다. 또한 BGP는 최적 경로가 가려질 때까지 각 속성을 개별적으로 비교해 내려간다. Well-Know : BGP Router가 반드시 알고 있어야 하는 속성 mandatory (AS-path, next-hop, origin code) BGP Router에 반드시 표시되어야 하는 속성 discretionary (local-preference, atomic, aggregate(as-set)) BGP Router에 표시되어도 되고 표시 안되도 되는 속성 Optional : BGP.. 2023. 3. 13. [ASA.Firewall]Transparent ■ ASA Transparent Mode (L2 Firewall) ASA는 기본적으로 L3 Firewall, 즉 Router 모드로 동작한다. L3 Firewall의 경우 Router와 동일하게 각 Interface마다 서로 다른 Network 대역에 포함되어야 하고, Routing 설정이 요구된다. L2 Firewall을 사용할 경우 IP정책과 Routing정책을 새롭게 구성할 필요가 없다. 즉, 기존 망에 별도의 구성 변경 없이 방화벽 장비를 추가하는 것이 가능하다. L2 Firewall은 외부에서 tracert 명령어로 경로추적을 해도 드러나지 않기 때문에 보안상 안전하다. ※ L2 Firewall은 기본 L3 Firewall과 동일한 기능을 수행한다. -------------------------.. 2023. 3. 13. 41.BGP - BGP 동기화 법칙 해결 iBGP로 광고 받은 네트워크는 IGP가 확인해 주어야 라우팅 테이블(show ip route)에 올릴수 있다. BGP 테이블(show ip bgp)에는 보임 1.기본(default) - No sync 동기화 법칙 - bgp로 배운 것들을 igp로 동기화 한다. 그러나 기본값 no sync로 bgp igp가 달라도 연결되어 라우팅 테이블로 올려준다. 만약 syn상태일 겨우 어떻게 나오는지 보기위해 rotuer bgp 100 sync 작성시 라우팅 테이블에 올라간다. BGP sync ⇒ iBGP로 광고받은 네트워크는 IGP 가 확인해 주어야 한다. BGP 동기화는 iBGP 경로에 대해서만 동기화 규칙이 적용한다. AS 내에 모든 라우터들이 2. BGP를 IGP에게 재분배 ( AS 경계 라우터에서 재분배) .. 2023. 3. 13. 40.BGP- 넥스트 홉 해결 BGP로 받은 경로의 next-hop 주소가 라우팅 테이블에서 확인되지 않으면 라우팅 테이블에 올리수 없다.” 받은 BGP 네트워크 주소를 이웃 BGP neighbor에 게 보낼수 없음 router eigrp 100 network 2.2.12.0 0.0.0.255 network 3.3.12.0 0.0.0.255 => 제거해본다. network 192.168.30.0 router bgp 100 bgp log-neighbor-changes network 192.168.30.0 neighbor 1.1.12.1 remote-as 100 neighbor 2.2.12.1 remote-as 100 neighbor 3.3.12.2 remote-as 200 router ospf 1 network 3.3.12.0 0.0... 2023. 3. 13. 39.BGP - Split horizon 법칙 해결 요건 3. BGP Split Horizon 법칙 해결 (라우터 3개 부터) ibgp로 광고받은 네트워크는 ibgp로 광고하지 못한다. router bgp 100 bgp router-id 1.1.1.1 bgp log-neighbor-changes network 1.1.1.0 mask 255.255.255.0 neighbor 1.1.12.2 remote-as 100 router bgp 100 bgp router-id 2.2.2.2 bgp log-neighbor-changes network 1.1.2.0 mask 255.255.255.0 neighbor 1.1.12.1 remote-as 100 neighbor 1.1.23.2 remote-as 100 router bgp 100 bgp router-id 3.3... 2023. 3. 13. 38.BGP - eBGP, iBGP 2023.03.13 - [분류 전체보기] - 37.BGP 37.BGP BGP란 ? BGP는 RIP, EIGRP, OSPF에 비해 컨버전스는 느리지만, 대용량의 라우팅 정보를 교환할 수 있음 모든 IP 서브넷 정보들을 IGP를 이용하여 교환한다면, ‘ 네트워크 및 장비 부하 현상과 대역폭 고 codejinjinh.tistory.com router bgp [as number] bgp router-id [ id ] neighbor [ 연결된 next hope network ] remote-as [as number] network [알려줄 network 주소/보통 회사쪽 네트워크만] mask [subnetmask] router bgp 100 bgp router-id 1.1.1.1 neighbor 1.1.12.2.. 2023. 3. 13. 37.BGP BGP란 ? BGP는 RIP, EIGRP, OSPF에 비해 컨버전스는 느리지만, 대용량의 라우팅 정보를 교환할 수 있음 모든 IP 서브넷 정보들을 IGP를 이용하여 교환한다면, ‘ 네트워크 및 장비 부하 현상과 대역폭 고갈’이라는 문제가 발생하기 때문에 BGP를 이용하여 AS 와 AS간에 대용량 라우팅 정보를 교환함 IGP와 다르게 TCP 포트 번호 179번을 이용해 TCP 3-WAY Handshaking 으로 네이버를 맺음 (서로 붙어 있지 않고 멀리 떨어진 장비와도 네이버를 맺을 수 있음) BGP에 장애가 발생하면 특정 지역, 국가, 또는 전세계의 네트워크에 영향을 줄 수 있음 BGP의 AS는 IANA에서 따로 관리함(AS를 보고 어느나라에서 사용하는지 알 수 있음) AS 번호는 대략 65000개 이.. 2023. 3. 13. 이전 1 2 3 4 5 6 7 8 다음 728x90 반응형
