network 보안/firewall

Throughput Limit

byeong07 2016. 8. 9. 17:35

안녕하세요. 

ZFW(zone-base firewall)의 특징 중 하나인

Throughput Limit에 대해 알아보겠습니다. 

 

 

Throughput Limit

 

 

- 특정 트래픽마다 Policing을 설정하여 접속 트래픽의 양을
  제어하는 것이 가능하다. (QoS 기법을 사용)

- Test를 위해서 Outside에서 DMZ로 ICMP 트래픽을
  inspect 처리가 되도록 설정

 

 

<IOS_FW>

 

 


 

conf t
class-map type inspect ICMP_C
  match protocol icmp

policy-map type inspect OUT->DMZ_P
 class type inspect ICMP_C
  inspect
  police rate 8000 burst 1500

 

 

 

 
-> CE에서 위의 'police' 명령어를 입력하기 전에는
     [ping 100.1.2.2 repear 10000]을 입력했을 때
     ping이 끊기지 않고 전송되는 것을 확인할 수 있다.

 

 

 


   하지만 'police' 명령어 입력 후 동일한 Test를
   수행하면 ping 전송 중간마다 하나씩 실패하는 것을
   확인할 수 있다.

=> 지금은 Test를 하기 위해서 ICMP를 사용한 것이고
     꼭 ICMP가 아닌 모든 트래픽에 대해서 해당 police를
     적용하는 것이 가능하다.


burst 계산
8000 X 1/8 X 1.5 =1500


** Application Inspection 및 Control **

- ZFW의 경우 다음과 같은 Application 프로토콜을 검사하거나
  제어할 수 있다.

 IOS_FW에서 class-map type inspect 목록

 

 

 

- Application 프로토콜을 제어하기 위해서는 다음과 같은 절차를
  가지게 된다.

 

  1) L7 Class-map을 생성 후 특정 트래픽을 분류

  2) L7 Policy-map을 생성 후 정책 정의

  3) L3 / L4 Policy-map을 생성 후 위에서 정의한
      L7 Policy-map을 호출

  4) Zone-pair에 L3 / L4 Policy-map을 적용
   

<IOS_FW>

 

 

conf t
parameter-map type regex HTTP_URI
pattern .*itbank
exit

class-map type inspect http L7_HTTP_C
match request uri regex HTTP_URI
:parameter HTTP_C를 불러온다.
 request uri는 분류, itbank란 것이 보이면 감지

class-map type inspect http L7_HTTPC2
 match request port-misuse any
 match req-resp protocol-violation
: 엉뚱한 행동을 하면 프로토콜을 감지

 policy-map type inspect http L7_HTTP_P
  class type inspect http L7_HTTP_C
  log
  exit


 

 

  class type inspect http L7_HTTPC2
   reset
   log
 
class-map type inspect HTTP_C
 match protocol http
 
 

 

<IOS_FW>

 

 

conf t
parameter-map type regex HTTP_URI
 pattern .*itbank
exit

class-map type inspect http L7_HTTP_C
 match request uri regex HTTP_URI
 

 

 

 

 

class-map type inspect http match-any L7_HTTPC2
 match request port-misuse any
 match req-resp protocol-violation
 : protocol violation이면 request나 response로 된다.
   아니면 request, response 모두 적용된다.

 

 

 

policy-map type inspect http L7_HTTP_P
 class type inspect http L7_HTTP_C
  log
exit

 

 

 

 

 
 class type inspect http L7_HTTPC2
  reset
  log
!
class-map type inspect HTTP_C
 match protocol http
!
policy-map type inspect OUT->DMZ_P
 class type inspect HTTP_C
  inspect
  service-policy http L7_HTTP_P
!

 

'network 보안 > firewall' 카테고리의 다른 글

Cisco ASA Firewall  (0) 2016.09.04
ZFW (Zone-based Firewall)  (0) 2016.08.07

'network 보안/firewall'의 다른글

  • 현재글Throughput Limit

관련글

티스토리툴바