고급 액세스 규칙 옵션을 구성하려면 방화벽에서 방화벽 설정 > 고급을 선택합니다.
방화벽 설정 > 고급 페이지에 포함된 방화벽 구성 옵션 그룹은 다음과 같습니다.
• 감지 방지
• 동적 포트
• 원본 전달 패킷
• 연결
• 은폐 모드 사용 - 보안 어플라이언스는 기본적으로 수신 연결 요청에 대해 "차단됨" 또는 "개방"으로 응답합니다. 은폐 모드를 사용하면 보안 어플라이언스가 차단된 인바운드 연결 요청에 응답하지 않습니다. 즉 은폐 모드에서는 보안 어플라이언스가 해커에게 전혀 노출되지 않습니다.
• IP ID 임의 설정 - 해커가 다양한 감지 도구를 사용하여 보안 어플라이언스의 현재 상태를 감지하지 못하도록 하려면 IP ID 임의 설정을 선택합니다. 그러면 IP 패킷에 임의 IP ID가 부여되므로 해커가 보안 어플라이언스의 "지문"을 채취하기가 더 어려워집니다.
• 전달된 트래픽에 대해 IP TTL 감소 - TTL(Time to Live)은 패킷이 네트워크 내에 너무 오래 있어서 취소해야 하는지 여부를 네트워크 라우터에 알려 주는 IP 패킷의 값입니다. 이전에 전달되어 네트워크에 이미 일정 시간 동안 네트워크에 있었던 패킷의 TTL 값을 줄이려면 이 옵션을 선택합니다.
– ICMP 타임아웃 패킷 생성 안 함 - 패킷의 TTL 값이 0이 되어 Dell SonicWALL 어플라이언스가 해당 패킷을 삭제한 경우 레포팅을 위한 타임아웃 패킷이 생성됩니다. Dell SonicWALL 어플라이언스에서 이러한 레포팅 패킷을 생성하지 않도록 하려면 이 옵션을 선택합니다.
• 서비스 개체에서 TCP 포트에 FTP 변환 사용 – FTP는 TCP 포트 20 및 21에서 작동합니다. 포트 21은 제어 포트이고 20은 데이터 포트입니다. 그러나 2020, 2121 등의 비표준 포트를 사용할 때는 Dell SonicWALL이 기본적으로 패킷을 삭제하며 해당 패킷을 FTP 트래픽으로 식별하지 못합니다. 서비스 개체에서 TCP 포트에 FTP 변환 사용 옵션을 사용하면 FTP 트래픽용 사용자 지정 제어 포트를 지정하기 위한 서비스 개체를 선택할 수 있습니다.
이 기능의 작동 방식을 파악하려면 포트 2121에서 수신 대기하는 다음과 같은 Dell SonicWALL 뒤의 FTP 서버 예제를 살펴보십시오.
a. 네트워크 > 주소 개체 페이지에서 다음 값을 사용하여 FTP 서버의 개인 IP 주소에 대해 주소 개체를 만듭니다.
: •: 이름: FTP 서버 개인
: •: 영역: LAN
: •: 유형: 호스트
: •: IP 주소: 192.168.168.2
b. 네트워크 > 서비스 페이지에서 다음 값을 사용하여 FTP 서버에 대해 사용자 지정 서비스를 만듭니다.
: •: 이름: FTP 사용자 지정 포트 제어
: •: 프로토콜: TCP(6)
: •: 포트 범위: 2121~2121
c. 네트워크 > NAT 정책 페이지에서 다음 NAT 정책을 만들고 방화벽 설정 > 고급 페이지에서 다음 액세스 규칙을 만듭니다.
d. 마지막으로 방화벽 설정 > 고급 페이지에서 서비스 개체에서 TCP 포트에 FTP 변환 사용에 대해 FTP 사용자 지정 포트 제어 서비스 개체를 선택합니다.
방화벽 설정 > 고급 페이지의 동적 포트 섹션에서는 다음 옵션도 구성합니다.
• Oracle(SQLNet) 지원 사용 - 네트워크에 Oracle 어플리케이션이 있으면 선택합니다.
• RTSP 변환 사용 - 요청 시 오디오나 비디오 같은 실시간 데이터를 제공하도록 지원하려면 이 옵션을 선택합니다. RTSP(Real Time Streaming Protocol)는 실시간 속성이 포함된 데이터 제공을 제어하는 응용 프로그램 수준 프로토콜입니다.
원본 전달 패킷 끊기 - 기본적으로 사용하도록 설정되며, 두 특정 호스트 간의 트래픽을 테스트할 때 소스 라우팅을 사용하는 경우 이 확인란을 선택 취소합니다.
연결 섹션에서는 어플라이언스 성능을 미세 조정하여 방화벽 서비스에서 검사하는 동시 연결 수를 늘리기 위한 지원 또는 최적의 성능을 우선적으로 고려하는 기능이 제공됩니다. 아래의 DPI 연결 설정에서 제공하는 보안 기능의 보호 수준은 변경되지 않습니다. 사용 가능한 연결 옵션은 다음과 같습니다.
• 최대 SPI 연결(DPI 서비스 사용할 수 없음) - 이 옵션을 선택하면 SonicWALL DPI 보안 서비스의 보호 기능이 제공되지 않으며, 상태 저장 패킷 검사만 사용하도록 설정하여 연결 수를 최대화하도록 방화벽을 최적화합니다.
• 최대 DPI 연결(DPI 서비스 사용할 수 있음) - 대부분의 Dell SonicWALL 배포에서 권장되는 기본 설정입니다.
• DPI 연결(추가 성능 최적화로 DPI 서비스 사용할 수 있음) - 성능이 중요한 배포의 경우 이 옵션을 사용할 수 있습니다. 이 옵션을 사용하면 최대 DPI 연결 수는 감소하는 대신 방화벽 DPI 검사 처리량은 증가합니다.
Note 연결 설정을 변경할 때는 Dell SonicWALL 보안 어플라이언스를 다시 시작해야 변경 내용이 구현됩니다.
최대 연결 수는 앱 플로우가 사용하도록 설정되어 있는지 여부, 외부 수집기 구성 여부, 그리고 Dell SonicWALL 보안 어플라이언스에 있는 특정 모델의 물리적 기능 등에 따라서도 달라집니다. 연결 제목 옆의 물음표 아이콘 위에 마우스를 놓으면 다양한 구성을 적용할 수 있도록 현재 사용 중인 특정 Dell SonicWALL 보안 어플라이언스에 대한 최대 연결 수가 포함된 팝업 테이블이 표시됩니다. 아래 예제와 같이 테이블에는 현재 구성에 해당하는 테이블 항목이 표시됩니다.
기본 포트를 사용하도록 인바운드 및 아웃바운드 FTP 데이터 연결 강제 적용: 20 - 기본 구성의 경우 포트 20에서 나오는 FTP 연결은 허용하되 1024 등의 포트로 이동하는 아웃바운드 트래픽은 다시 매핑합니다. 확인란을 선택하면 보안 어플라이언스를 통한 FTP 데이터 연결이 포트 20에서 나와야 합니다. 그렇지 않으면 연결이 끊어집니다. 그러면 보안 어플라이언스에서 해당 이벤트가 로그 이벤트로 기록됩니다.
같은 인터페이스와 LAN 사이의 상호 트래픽에 방화벽 규칙 적용 - LAN 인터페이스에서 수신되었으며 같은 LAN 인터페이스를 대상으로 하는 방화벽 규칙을 적용합니다. 일반적으로는 이 옵션은 보조 LAN 서브넷이 구성된 경우에만 필요합니다.
• IP 머리글 체크섬 규약 사용 - IP 머리글 체크섬을 적용하려면 이 옵션을 선택합니다.
• UDP 체크섬 규약 사용 - IP 머리글 체크섬을 적용하려면 이 옵션을 선택합니다.
• IPv6 라우팅 헤더 유형 0 패킷 끊기 – IPv6 RH0(라우팅 헤더 유형 0) 패킷을 악용하는 잠재적 DoS 공격을 방지하려면 이 옵션을 선택합니다. 이 설정을 사용하는 경우 RH0 패킷의 목적지가 Dell SonicWALL 보안 어플라이언스이고 남은 세그먼트 값이 0인 경우를 제외하고는 RH0 패킷이 끊깁니다. 남은 세그먼트는 최종 목적지에 도달하기 전에 남은 라우팅 세그먼트의 수를 지정합니다. 자세한 내용은 다음 페이지를 참조하십시오.
http://tools.ietf.org/html/rfc5095