Throughput Limit

network 보안/firewall

Throughput Limit

byeong07 2016. 8. 9. 17:35

안녕하세요.

ZFW(zone-base firewall)의 특징 중 하나인

Throughput Limit에 대해 알아보겠습니다.

- Throughput Limit

- 특정 트래픽마다 Policing을 설정하여 접속 트래픽의 양을

제어하는 것이 가능하다. (QoS 기법을 사용)

- Test를 위해서 Outside에서 DMZ로 ICMP 트래픽을

inspect 처리가 되도록 설정

<IOS_FW>

conf t

class-map type inspect ICMP_C

match protocol icmp

policy-map type inspect OUT->DMZ_P

class type inspect ICMP_C

inspect

police rate 8000 burst 1500

-> CE에서 위의 'police' 명령어를 입력하기 전에는

[ping 100.1.2.2 repear 10000]을 입력했을 때

ping이 끊기지 않고 전송되는 것을 확인할 수 있다.

하지만 'police' 명령어 입력 후 동일한 Test를

수행하면 ping 전송 중간마다 하나씩 실패하는 것을

확인할 수 있다.

=> 지금은 Test를 하기 위해서 ICMP를 사용한 것이고

꼭 ICMP가 아닌 모든 트래픽에 대해서 해당 police를

적용하는 것이 가능하다.

burst 계산

8000 X 1/8 X 1.5 =1500

** Application Inspection 및 Control **

- ZFW의 경우 다음과 같은 Application 프로토콜을 검사하거나

제어할 수 있다.

IOS_FW에서 class-map type inspect 목록

- Application 프로토콜을 제어하기 위해서는 다음과 같은 절차를

가지게 된다.

1) L7 Class-map을 생성 후 특정 트래픽을 분류

2) L7 Policy-map을 생성 후 정책 정의

3) L3 / L4 Policy-map을 생성 후 위에서 정의한

L7 Policy-map을 호출

4) Zone-pair에 L3 / L4 Policy-map을 적용

<IOS_FW>

conf t

parameter-map type regex HTTP_URI

pattern .*itbank

exit

class-map type inspect http L7_HTTP_C

match request uri regex HTTP_URI

:parameter HTTP_C를 불러온다.

request uri는 분류, itbank란 것이 보이면 감지

class-map type inspect http L7_HTTPC2

match request port-misuse any

match req-resp protocol-violation

: 엉뚱한 행동을 하면 프로토콜을 감지

policy-map type inspect http L7_HTTP_P

class type inspect http L7_HTTP_C

log

exit

class type inspect http L7_HTTPC2

reset

log

class-map type inspect HTTP_C

match protocol http

<IOS_FW>

conf t

parameter-map type regex HTTP_URI

pattern .*itbank

exit

class-map type inspect http L7_HTTP_C

match request uri regex HTTP_URI

class-map type inspect http match-any L7_HTTPC2

match request port-misuse any

match req-resp protocol-violation

: protocol violation이면 request나 response로 된다.

아니면 request, response 모두 적용된다.

policy-map type inspect http L7_HTTP_P

class type inspect http L7_HTTP_C

log

exit

class type inspect http L7_HTTPC2

reset

log

class-map type inspect HTTP_C

match protocol http

policy-map type inspect OUT->DMZ_P

class type inspect HTTP_C

inspect

service-policy http L7_HTTP_P

'network 보안 > firewall' 카테고리의 다른 글

Cisco ASA Firewall (0)	2016.09.04
ZFW (Zone-based Firewall) (0)	2016.08.07

현재글Throughput Limit

훌륭한 개발자로 성장하기

dhcp, Java, C++, Spring, JavaScript, JSP, 태그, UDP, IT, arp, GET, DI, SpringBoot, 변수, spring boot, AOP, TCP, HTML4, 복합 대입 연산자, ARP spoofing,

Today :
Yesterday :

일	월	화	수	목	금	토
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

공부하는 개발자의 스토리