- URL Filter
- ZFW의 경우는 Regex를 사용하여 특정 URL을 차단하는 것이
가능하다.
ex. Inside에서 Outside로 나가는 HTTP 중 [naver.com]에 해당되는
URL은 차단하시오
<IOS_FW>
conf t
parameter-map type urlfilter DENY_URL -> 이름 설정
exclusive-domain deny .naver.com
-> naver.com이란 domain을 deny
exclusive-domain permit .* ->any (regex)
-> 그 외 나머지는 허용
allow-mode on
exit
class-map type inspect HTTP_C
: class-map 생성
match protocol http
: http 프로토콜만 match
-> admin_a에서 www.naver.com으로 접속
URL filter 설정으로 naver.com으로 접속이 거부된 것을 알 수 있다.
HTTP 403 사용 권한 없음이라 나온다.
- DoS Attack Mitigation
- 외부에서 특정 서버로 접근하려는 세션의 숫자를 제한하여
DoS 공격을 방어할 수 있다.
- Outside에서 DMZ Web 서버로 접근하는 세션의 숫자를 4개로
제한
<IOS_FW>
conf t
parameter-map type inspect OUT->DMZ_WEB - 검사
session maximum 4 -> session 최대 4로 설정
exit
policy-map type inspect OUT->DMZ_P
class type inspect WEB_SER
inspect OUT->DMZ_WEB
-> 기존에 생성되어 있던 Policy-map에 추가적인
parameter-map 옵션을 적용시킨 것이다.
때문에 별도의 적용 과정은 필요하지 않다.
(이미 zone-pair에 적용되어 있다.)
-> Test는 Outside zone에 XP2를 연결해서 확인해보자
'www.itbank.com' 사이트는 연결 하나 당 기본적으로
세션을 2개 사용하기 때문에 3번째 브라우저로 접근을 시도하면
페이지가 정상적으로 열리지 않는 것을 확인할 수 있다.
-> 위와 같이 특정 zone에서 서버의 session을 모두 차지하는 것을
방지할 수 있다.
'network 보안' 카테고리의 다른 글
| AAA 인증 (0) | 2016.09.01 |
|---|---|
| IP Spooping (0) | 2016.09.01 |
| DNS 공격 및 방어 (0) | 2016.09.01 |
| DHCP 관련 Attack 및 방어 (0) | 2016.08.31 |
| arp spoofing (0) | 2016.08.07 |