본문 바로가기
AWS 교육/Network (목,금)

241227_방화벽(ZBF) 이후 프로젝트 시작

나빛 2024. 12. 27. 10:32
728x90

◆ FireWall

방화벽기기에 대한 내용을 확인하기 위해 패킷 트레이서를 킨 후

  ㄴenable 후 Enter로 관리자 모드로 접속 후 # sh run 으로 내용확인한 내용

  ㄴ일반적인 방화벽에는 시큐리티 레벨이 존재하며 높은데서 낮추는 거는 가능하나 낮은데서 높이는 것은 어려움

 

이제 GNS3를 킨 후 아래와 같이 준비를 하여 준다

  각각의 IP를 등록한 후 디폴트라우팅을 지정하여 준다

 

   ACL은 status less방식으로 단방향의 트래픽을 제어하는 것

  만약 3핸드 셰이크라는 웹서버 트래픽 방식에서 신크를 하면 신크, 에크를 전송 후 에크를 받아오는 형식인데

  여기서 나갔다가 응답이 오는 지 바로 응답이 오는 지 알 수 없다

  리눅스에서 사용하는 방화벽 : IP table 방식또한 status less 방식

  status full 방식으로 3세대 방화벽이라고 불리기도 하며, 문맥을 보고 막거나 통과시키기에 가능하다

  asa_zbf 방식이 statusfull 형식을 사용하며, 연결 상태 추적 및 문맥 기반 처리를 함

  statusless 방식은 개별 패킷을 독립적으로 처리

 ☆외국계회사의 경우 보안을 신경 많이쓰기 때문에 며칠전이나 24시간 전에 보고 다되어서 임시계정 등을 받아서 해야하는 경우 많음

 

  이제 다시 GNS3로 돌아와서 R1에서 R3로 ping을 보내면 정상적으로 갔다 오는 것을 알 수 있으며,

  R2에서 각각의 방화벽을 구분지어서 등록하면 서로 통신되지 않는 것을 볼 수 있다

 

  이런식으로 지역을 나누면 서로는 막히게 된다

 

  이제 연결짓는 페어를 만들어주고

  여기선 아직 설정값이 존재하지 않지만

  값을 지정하기 위해 먼저 class-map을 열어서 조건을 설정하여 주는 데 조건 여러개가 다맞아야 하는 지

  조건 중 하나가 맞아야 하는 지에 따라 잘 보고 만들어야 하며, 따로 지정하지 않을 시 match-all로 설정된다  

  그렇기에 지금은 match-any로 지정하여 등록한 후 해당 조건이 들어갈 명령 값을 만들어 주어 적용시켜준 후

  ㄴclass-map은 조건들의 집합이며, policy-map은 처리명령(정책)들의 집합을 의미

   즉, class-map은 트래픽을 식별하고 분류하는 데 사용되며, policy-map은 정의된 트래픽을 처리하는 데 사용

  여기에 적용된 존페어에 해당 policy를 적용시키면 정상적으로 연결되는 것을 볼 수 있다

  여기에 외부에서 텔넷으로 접속하려는 것을 허용하려면 클래스맵에서 프로토콜을 연결시켜 주면된다

  

  각각의 클래스맵(빵틀)에서 특정한 조건을 설정하여 틀을 만들어 놓고 폴리시맵에 해당 빵틀을 적용하여 각 지역을 통과할 때 해당 클래스맵의 조건을 벗어나지 않아야 통과되도록 이루어짐

  인터페이스에서 지정은 따로 없으며, 지역 할당만 이루어짐

 

[ Rack 실습 ]

 먼저 해당 라우터에 방화벽 기능을 켜야하는 데 라이센스가 있는 지 확인해야 한다

 # sh license 하여 security 관련 라이센스가 있는 지 확인한 후 

 fig)# license boot module c2900 technology-package [라이센스이름]  한 후 # write 를 쓰라고 하기에 써준 후 재부팅해야 적용이 된다 (끄는 방법은 위 긴 명령어 앞에 no 붙이기)

 

 즉, 라이센스를 사용하기에 기간이 제한이 있어서 VPN이나 방화벽 설정 시 켜야하며 마지막 가까이에 설치해주어야 한다

 

  먼저 각각 방향의 IP를 지정하여 준 후

  NAT를 먼저 해주어야 하기에 내부사용자 IP를 외부로 내보내는 NAT 설정을 먼저 하여주고

  VPN 설정을 하여준다

끝나게 되면 다시 fig)# no license boot module c2900 technology-package [라이센스이름]  한 후 # write 를 써준 후 종료하여 해당 라이센스가 종료상태로 변경되도록 한다

1227-test.txt
0.07MB

MobaXterm

1227_Rack-test.txt
0.00MB

명령어만 모아둔 파일

728x90
저작자표시 비영리 변경금지

'AWS 교육 > Network (목,금)' 카테고리의 다른 글

온프레미스 인프라 구축 프로젝트 완료  (0) 2025.02.21
250214 온프레미스 인프라 구축 프로젝트 발표자료  (0) 2025.02.14
241226_CCP VPN  (0) 2024.12.26
241220_CCP  (0) 2024.12.20
241219_LibreNMS Syslog(Radius), Tunneling(IPsec)  (0) 2024.12.19

'AWS 교육/Network (목,금)' Related Articles

티스토리툴바