Configure Terminal_

ZFW Zone-based Policy Firewall IOS에서 구현하는 가장 상위 단계의 방화벽으로써 사실상 ASA/PIX 방화벽에 필적하는 기능들을 제공한다.존 기반으로 방화벽을 구현하며, 각각의 인터페이스에 존을 할당하고 존과존을 묶어 존페어를 만들어 트래픽의 흐름,응용계층을 포함한 프로토콜 제어, 폴리싱, 파라메터 맵을 이용한 세세한 필터링 기능을 제공한다. 위의 예제에서, (1) HOST 에서 SMTP, DNS, FTP 세개의 서버로 각각 서버가 운용하는 프로토콜과 텔넷세션이 가능하도록 설정 (2) HOST 에서 INTERNET으로 HTTP, ICMP, TELNET 을 허용 그리고 대역폭을 10Mbps 로 제한 (3) INTERNET 에서 SMTP, DNS, FTP 서버들로 HTTP만 허용 인..

URL Filtering 말그대로 특정 URL 주소를 필터링하는 정책을 말한다.IOS 기반의 URL 필터링은 프록시나 기타 우회접속은 차단할수 없다. 따라서 보다 본격적인 URL 필터링을 구현하기 위해서는 전문 시스코 방화벽 장비나 PaloAlto 등의 차세대 방화벽을 사용하는것이 권장된다. 1. Filter Server (CBAC) Websense 등의 URL 필터 서버를 이용해 조회하고 이를 허용하거나 차단한다. (1) CBAC 에서 http urlfter 항목을 설정한다. (2) websense 로 필터링할 URL을 조회하도록 하고 서버주소를 명시한다. (3) exclusive-domain 명령은 서버의 조회 없이 임시로 필터링을 할수 있도록 지원하며, 12시간후 혹은 10분간 도메인과 통신이 없을..

CBAC Context-based Access Control RACL 에서 좀더 발전된 형태로써 RACL이 커버하는 Layer4 계층을 넘어 응용계층 Layer7 까지 제어가 가능하다.내부 소스의 프로토콜에 따라 state table을 생성하고 이를 관리한다. 관리하는 각 프로토콜 별로 별도의 세션 종료시간을가진다(UDP 30초, ICMP 10초, TCP fin 패킷 수신후 5초뒤에 삭제) 또한 이는 변경가능하다. 허용되는 패킷에 대해 ACL과 함께 유동적으로 작동하는데, 먼저 CBAC에서 걸러진 패킷에 대해 허용하고 해당하지 않는정보는 모두 ACL에 의해 분류된다. 예를 들어 내부에서 외부로 나갔다 돌아올때 허용될 프로토콜을 세세하게 지정하여 외부와 통신하게 하고 외부에서 들어오는 패킷은 DACL을 이..

DACL Dynamic Access Control List 외부에서 ACL 방화벽을 올린 라우터로 인증을 받은후 인증완료된 사용자에 한해 내부로 통신이 가능하게 한다.ACL에 외부 인증기능을 추가함으로써 원격지의 인증된 사용자와의 통신을 가능하게 한다. 1. 방화벽 기능을 하는 중간라우터에서 DACL 기능을 활성화 2. 외부에서 방화벽 라우터로 텔넷 접속 3. 중간라우터에서 외부사용자에 대한 인증. 여기서 인증은 AAA 혹은 로컬 데이터베이스 사용(텔넷 패스워드는 비추) 4. 인증받은 사용자의 IP가 중간라우터에서 임시 ACL에 출발지 IP로 정의됨으로써 일종의 백도어가 생성됨 Router (1) AAA 인증을 사용하여, line 연결시 로컬 데이터베이스를 참고하도록 하였다. 인증에 관련된 부분은 유저 ..