firewall_bwm
BWM(대역폭 관리)을 사용하여 네트워크의 중요 응용 프로그램에 대역폭 리소스를 할당할 수 있습니다.
SonicOS에서는 아웃바운드(발신)/인바운드(수신) BWM 인터페이스를 통한 통합 트래픽 구성 메커니즘을 제공합니다. 발신 BWM은 신뢰할 수 있는 영역과 공용 영역에서 생성되어 신뢰할 수 없는 영역과 암호화된 영역으로 이동하는 트래픽에 적용할 수 있습니다. 수신 BWM은 신뢰할 수 없는 영역과 암호화된 영역에서 생성되어 신뢰할 수 있는 영역과 공용 영역으로 이동하는 트래픽에 적용할 수 있습니다.
이 장에 포함된 섹션은 다음과 같습니다.
– 인터페이스 구성
• 용어집
Note 완전하게 통합된 QoS(서비스 품질) 시스템인 BWM은 분류 및 구성 작업이 단일 SonicWALL 어플라이언스에서 수행되어 외부 시스템을 사용하지 않아도 되기 때문에 표시할 필요도 없지만, 단일 액세스 규칙에서 BWM 및 QoS(레이어 2 및/또는 레이어 3 표시) 설정을 동시에 구성할 수 있습니다. 이렇게 하면 트래픽이 이미 구성된 후에도 외부 시스템이 방화벽에서 수행한 분류를 활용할 수 있습니다. BWM QoS에 대한 자세한 내용은 방화벽 설정 > QoS 매핑을 참조하십시오.
Dell SonicWALL 네트워크 보안 어플라이언스는 BWM을 사용하여 수신/발신 트래픽을 제어합니다. 네트워크 관리자는 BWM을 사용하여 관리 인터페이스의 방화벽 > 액세스 규칙 페이지에서 만든 액세스 규칙을 기준으로 트래픽 우선 순위를 지정하고 최소 대역폭을 보장할 수 있습니다. 네트워크 관리자는 응용 프로그램 또는 사용자 대역폭의 양을 제어함으로써 소수의 응용 프로그램이나 사용자가 사용 가능한 대역폭을 모두 사용하지 않도록 방지할 수 있습니다. 각 네트워크 트래픽에 할당되는 대역폭의 균형을 조정하고 트래픽에 우선 순위를 할당하면 네트워크 성능을 개선할 수 있습니다. Anti-Spam for UTM에는 8가지 우선 순위 큐가 나와 있습니다(0 ~ 7 또는 실시간 ~ 가장 낮음).
세 가지 유형의 대역폭 관리를 사용할 수 있습니다.
|
인터페이스에서 전역 BWM을 사용하도록 설정하면 해당 인터페이스에 대한 모든 수신/발신 트래픽의 대역폭을 관리합니다.
예를 들어 대역폭 관리 유형이 없음인 경우, 링크 기능의 속도가 100Mbps인 인터페이스를 세 가지 트래픽 유형(1, 2, 3)에서 사용 중이라면 세 가지 유형 모두의 누적 용량이 100Mbps입니다.
해당 인터페이스에서 대역폭 관리 유형으로 전역을 사용하도록 설정하고, 사용 가능한 수신/발신 트래픽을 10Mbps로 구성하면 다음 작업이 수행됩니다.
기본적으로 트래픽 유형이 중간(4) 우선 순위 큐로 전송됩니다. 기본적으로 이 큐에서 보장된 대역폭 백분율은 50%이고 최대 대역폭 백분율은 100%입니다. 이러한 값은 전역 BWM 사용 가능 정책이 구성되지 않은 상태에서 누적 링크 기능의 속도가 10Mbps임을 의미합니다.
패킷 큐
각 BWM 규칙은 패킷 큐의 메모리를 사용하므로 SonicOS에서 허용되는 대기 중인 패킷 및 규칙의 수가 플랫폼별로 제한됩니다(값은 변경될 수 있음).
BWM은 먼저 방화벽 설정 > BWM 페이지에서 대역폭 관리를 사용하도록 설정하여 인터페이스/방화벽/앱 규칙에서 BWM을 사용하도록 설정한 다음, 수신/발신 트래픽에서 해당 인터페이스에 사용 가능한 대역폭을 할당하는 방식으로 작동합니다. 그런 다음 각 네트워크 트래픽 클래스에 개별 제한을 할당합니다. 네트워크 트래픽에 우선 순위를 할당하면 텔넷처럼 응답 시간이 빨라야 하는 응용 프로그램에 FTP처럼 응답 시간이 그만큼 빠르지 않아도 되는 트래픽보다 먼저 대역폭을 할당할 수 있습니다.
BWM 구성을 확인하려면 방화벽 설정 > BWM 페이지로 이동합니다.
이 페이지는 다음과 같은 엔터티로 구성됩니다.
Note BWM을 쉽게 사용할 수 있도록 기본값은 SonicWALL에서 설정됩니다. 구체적인 대역폭 요구 사항을 검토한 후 그에 따라 이 페이지에서 값을 입력하는 것이 좋습니다.
• 대역폭 관리 유형 옵션:
– 전역 - 모든 영역에서 서비스에 보장된 대역폭 및 최대 대역폭을 할당하고 트래픽의 우선 순위를 지정할 수 있습니다.
– 없음 - (기본값) BWM이 사용하지 않도록 설정됩니다.
• 우선 순위 열 - 우선 순위 번호와 이름이 표시됩니다.
• 사용 확인란 - 선택하면 우선 순위 큐가 사용하도록 설정됩니다.
• 보장됨 및 최대\버스트 텍스트 필드 - 보장된 속도 및 최대/버스트 속도를 사용하도록 설정합니다. 속도를 적용하려면 해당하는 사용 확인란을 선택해야 합니다. 이러한 속도는 백분율로 표시됩니다. 인터페이스에 구성된 대역폭을 사용하여 절대값을 계산합니다. 보장된 모든 대역폭의 합이 100%를 초과해서는 안 되며, 보장된 대역폭이 큐당 최대 대역폭보다 커도 안 됩니다.
Note 이 페이지의 기본 설정은 보장된 대역폭 및 최대 대역폭이 미리 구성된 세 가지 우선 순위로 구성됩니다. BWM 사용 가능 정책을 통해 관리되지 않는 모든 트래픽에 대해 이 우선 순위 큐가 기본적으로 사용되기 때문에 중간 우선 순위의 보장됨 값이 가장 큽니다.
다음과 같은 방법으로 BWM을 구성할 수 있습니다.
Note 이 섹션에서는 방화벽 설정 > BWM에서 전역 BWM을 대역폭 관리 유형으로 사용합니다.
• 인터페이스 구성
인터페이스별로 BWM을 구성하려면 다음 단계를 수행합니다.
1. 방화벽 설정 > BWM 페이지로 이동합니다.
2. 대역폭 관리 유형을 전역 또는 없음 중에서 선택한 다음 수락을 클릭합니다.
3. 네트워크 > 인터페이스 페이지로 이동합니다.
4. BWM을 설정하려는 인터페이스의 구성 열에서 구성 아이콘을 클릭합니다.
인터페이스 편집 대화 상자가 표시됩니다.
Note 유형: 없음을 사용하는 경우에는 수신 또는 발신 대역폭을 설정할 수 없습니다.
5. 고급 탭을 클릭합니다.
6. 대역폭 관리에서 발신 사용 또는 수신 사용 확인란 중 하나 또는 둘 다를 선택하고, 사용 가능한 대역폭을 Kbps(초당 킬로비트) 단위로 입력합니다.
7. 확인을 클릭합니다.
각 방화벽 규칙에 대해 BWM을 구성할 수 있습니다. 이 방법을 통해 BWM을 적용할 방향을 구성하고 우선 순위 큐를 설정합니다.
방화벽 규칙에 대해 BWM을 구성하려면 다음 단계를 수행합니다.
1. 방화벽 > 액세스 규칙 페이지로 이동합니다.
2. 편집하려는 규칙의 구성 아이콘을 클릭합니다.
규칙 편집 > 일반 탭 대화 상자가 표시됩니다.
3. 이더넷 BWM 탭을 클릭합니다.
4. 확인란을 선택하고 대역폭 우선 순위를 선택한 다음 확인을 클릭합니다.
Note 이 경우 모든 우선 순위(실시간 ~ 가장 낮음)가 구성되었는지에 상관없이 우선 순위가 모두 표시됩니다. 사용하도록 설정된 우선 순위를 확인하려면 방화벽 설정 > BWM 페이지를 참조하십시오. 대역폭 관리 유형이 전역으로 설정된 상태에서 사용하지 않도록 설정된 대역폭 우선 순위를 선택하면 트래픽이 수준 4 우선 순위(중간)로 자동 매핑됩니다.
5. BWM이 설정되었는지 확인합니다.
응용 프로그램 계층 BWM을 사용하면 프로토콜 내의 특정 파일 형식을 기준으로 대역폭 사용 규정을 지정하는 동시에, 다른 파일 형식에서는 대역폭을 무제한 사용하도록 허용하는 정책을 만들 수 있습니다. 그러면 같은 프로토콜 내에서 적절한 트래픽과 부적절한 트래픽을 구분할 수 있습니다. 응용 프로그램 계층 대역폭 관리는 일치하는 모든 응용 프로그램뿐만 아니라 HTTP 클라이언트, HTTP 서버, 사용자 지정 및 FTP 파일 전송 유형을 이용하는 사용자 지정 앱 규칙 정책에도 지원됩니다. 응용 프로그램 규칙에 대한 자세한 내용은 응용 프로그램 규칙 구성을 참조하십시오.
Note BWM을 사용하는 앱 컨트롤 정책을 구성하기 전에 BWM 설정을 구성하는 것이 좋습니다.
인터페이스에서 대역폭 관리를 사용하도록 설정하면 방화벽 > 앱 규칙 페이지에서 특정 응용 프로그램 규칙에 대해 BWM을 구성할 수 있습니다.
특정 응용 프로그램에 대해 BWM을 구성하려면 다음 단계를 수행합니다.
1. 방화벽 > 앱 규칙 페이지로 이동합니다.
2. 앱 규칙 정책에서 작업 유형: 대역폭 관리를 선택합니다.
페이지가 대역폭 관리 작업 유형을 기준으로 정렬됩니다.
3. 변경하려는 정책의 구성 열에서 구성 아이콘을 클릭합니다.
앱 컨트롤 정책 편집 창이 표시됩니다.
4. 작업 개체를 원하는 BWM 설정으로 변경한 후에 확인을 클릭합니다.
Note 이 경우 모든 우선 순위(실시간 ~ 가장 낮음)가 구성되었는지에 상관없이 우선 순위가 모두 표시됩니다. 사용하도록 설정된 우선 순위를 확인하려면 방화벽 설정 > BWM 페이지를 참조하십시오. 사용하지 않도록 설정된 대역폭 우선 순위를 선택하면 트래픽이 중간 우선 순위(기본값)로 자동 매핑됩니다.
앱 규칙 페이지로 돌아오면 변경 내용이 적용됩니다.
BWM 작업 개체의 이해
작업 개체는 앱 규칙 정책이 일치하는 이벤트에 반응하는 방법을 정의합니다. 작업을 사용자 지정하거나 미리 정의된 기본 작업 중 하나를 선택할 수 있습니다. 미리 정의된 작업은 앱 규칙 페이지에서 정책을 추가 또는 편집할 때 앱 컨트롤 정책 설정 페이지에 표시됩니다.
사용자 지정 BWM 작업은 기본 BWM 작업과 다른 방식으로 작동합니다. 방화벽 > 작업 개체 페이지에서 새 작업 개체를 추가한 다음 대역폭 관리 작업 유형을 선택하여 사용자 지정 BWM 작업을 구성합니다.
미리 정의된 기본 작업 목록에서는 다양한 BWM 작업 옵션도 제공됩니다. 방화벽 설정 > BWM 페이지에서 대역폭 관리 유형을 전역으로 설정하면 사용하도록 설정된 우선 순위에 따라 BWM 작업 옵션이 변경됩니다. BWM 작업에 대한 자세한 내용은 대역폭 관리를 사용한 작업을 참조하십시오.
정책을 추가할 때 사용할 수 있는 미리 정의된 기본 작업은 다음과 같습니다.
• BWM 전역-실시간
• BWM 전역-가장 높음
• BWM 전역-높음
• BWM 전역-보통 높음
• BWM 전역-보통
• BWM 전역-보통 낮음
• BWM 전역-낮음
• BWM 전역-가장 낮음
새 BWM 작업 또는 정책 만들기
미리 정의된 BWM 작업이나 정책을 사용하지 않으려는 경우 필요에 맞는 새 항목을 만들 수 있습니다.
새 BWM 작업 또는 정책을 만들려면 다음 단계를 수행합니다.
1. 방화벽 > 작업 개체 페이지로 이동합니다.
2. 페이지 아래쪽에서 새 작업 개체 추가를 클릭합니다.
작업 개체 추가/편집 창이 표시됩니다.
3. BWM 유형이 전역인 경우 다음 작업을 수행합니다.
• 작업 이름 필드: 정책의 이름을 입력합니다.
• 작업 드롭다운: 대역폭 관리를 선택합니다.
• 아웃바운드 대역폭 관리 사용 확인란을 선택하고 대역폭 우선 순위를 선택합니다.
• 인바운드 대역폭 관리 사용 확인란을 선택하고 대역폭 우선 순위를 선택합니다.
Note 이 경우 모든 우선 순위(0 ~ 7)가 구성되었는지에 상관없이 우선 순위가 모두 표시됩니다. 사용하도록 설정된 우선 순위를 확인하려면 방화벽 설정 > BWM 페이지를 참조하십시오. 사용하지 않도록 설정된 대역폭 우선 순위를 선택하면 트래픽이 중간 우선 순위(기본값)로 자동 매핑됩니다.
4. 다음 중 하나 또는 둘 다를 수행합니다.
– 아웃바운드 대역폭을 관리하려면 아웃바운드 대역폭 관리 사용 확인란을 선택합니다.
– 인바운드 대역폭을 관리하려면 인바운드 대역폭 관리 사용 확인란을 선택합니다.
5. 보장된 대역폭을 지정하려면 필요에 따라 백분율 또는 초당 킬로비트 단위로 값을 입력합니다. 드롭다운 목록에서 % 또는 Kbps를 선택합니다.
대역폭을 보장하는 대신 속도를 제한하는 데 이 사용자 지정 작업을 사용하려면 보장된 대역폭 필드의 값을 변경하지 않아도 됩니다.
6. 최대 대역폭을 지정하려면 필요에 따라 백분율 또는 초당 킬로비트 단위로 값을 입력합니다. 드롭다운 목록에서 % 또는 Kbps를 선택합니다.
속도를 제한하는 대신 대역폭을 보장하는 데 이 사용자 지정 작업을 사용하려면 최대 대역폭 필드의 값을 변경하지 않아도 됩니다.
7. 대역폭 우선 순위의 경우 드롭다운 목록에서 우선 순위 수준을 선택합니다. 0이 최고 우선 순위이고 7이 최저 우선 순위입니다.
8. 필요에 따라서는 추적 대역폭 사용량 사용을 선택하여 사용량을 추적합니다. 대역폭 사용량 추적을 사용하도록 설정하는 경우 방화벽 > 앱 규칙 페이지에서 정책의 BWM 작업 위에 마우스를 놓으면 작업 속성 도구 설명에서 사용량을 확인할 수 있습니다.
9. 확인을 클릭합니다.
그러면 생성되는 작업을 작업 개체 화면에서 확인할 수 있습니다.
서비스 유형 응용 프로그램 또는 서명 유형 응용 프로그램을 선택하고 규칙 만들기 단추를 클릭하여 AppFlow 모니터 페이지에서 BWM을 구성할 수도 있습니다. 이 페이지에서 사용 가능한 대역폭 관리 옵션은 방화벽 설정 > BWM 페이지의 전역 우선 순위 큐 테이블에서 사용하도록 설정된 우선 순위 수준에 따라 달라집니다. 기본적으로 사용하도록 설정되는 우선 순위 수준은 높음, 중간, 낮음입니다.
Note 이 섹션의 작업을 진행하기 전에 Dell SonicWALL 응용 프로그램 시각화 응용 프로그램을 사용하도록 설정해야 합니다.
AppFlow 모니터를 사용하여 BWM을 구성하려면 다음 단계를 수행합니다.
1. 대시보드 > AppFlow 모니터 페이지로 이동합니다.
2. 전역 BWM을 적용할 서비스 기반 응용 프로그램 또는 서명 기반 응용 프로그램을 선택합니다.
Note 일반 응용 프로그램은 선택할 수 없습니다. 서비스 기반 응용 프로그램과 서명 기반 응용 프로그램을 단일 규칙에 혼합하여 포함할 수는 없습니다.
Note 서비스 기반 응용 프로그램의 규칙을 만들면 방화벽 액세스 규칙이 만들어지고, 서명 기반 응용 프로그램의 규칙을 만들면 응용 프로그램 컨트롤 정책이 만들어집니다.
3. 규칙 만들기를 클릭합니다.
규칙 만들기 팝업이 표시됩니다.
4. 대역폭 관리 라디오 단추를 선택하고 전역 BWM 우선 순위를 선택합니다.
5. 규칙 만들기를 클릭합니다.
확인 팝업이 표시됩니다.
6. 확인을 클릭합니다.
7. 서비스 기반 응용 프로그램은 방화벽 > 액세스 규칙 페이지로 이동하고, 서명 기반 응용 프로그램은 방화벽 > 앱 규칙 페이지로 이동하여 규칙이 만들어졌는지 확인합니다.
Note 서비스 기반 응용 프로그램의 경우 새 규칙에는 주석 열에 압정 모양 아이콘이 있고 서비스 열에는 ~services=<서비스 이름> 접두사가 있습니다. 예를 들면 ~services=NTP&t=1306361297과 같습니다.
Note 서명 기반 응용 프로그램의 경우 새 규칙에는 이름 열에 ~BWM_Global-<우선 순위>=~catname=<앱_이름> 접두사가 있고, 개체 열에는 ~catname=<앱_이름> 접두사가 있습니다.
BWM(대역폭 관리): 트래픽을 구성하거나 제어하는 데 사용되는 다양한 알고리즘 또는 방법을 총칭하는 명칭입니다. 여기서 구성은 아웃바운드 트래픽을 지칭하고, 제어는 인바운드 트래픽을 지칭하는 경우가 많습니다(허용 제어라고도 함). 다양한 큐 및 취소 기술을 비롯해 여러 가지 대역폭 관리 방법이 있으며, 각 방법에는 설계상의 장점이 있습니다. SonicWALL에서는 인바운드/아웃바운드 BWM용 토큰 기반 클래스 기반 큐 방법과 특정 유형의 인바운드 트래픽용 취소 메커니즘을 동시에 사용합니다.
보장된 대역폭: 인터페이스에서 사용 가능한 총 대역폭 중 항상 특정 트래픽 클래스에 부여되는 선언된 대역폭의 백분율입니다. 인바운드 BWM과 아웃바운드 BWM에 모두 적용됩니다. 모든 BWM 규칙의 보장된 총 대역폭은 사용 가능한 총 대역폭의 100%를 초과할 수 없습니다. SonicOS에서는 대역폭 관리 기능이 개선되어 속도 제한 기능이 제공됩니다. 이제 레이어 2, 3, 4 네트워크 트래픽의 최대 속도를 지정하는 트래픽 정책을 만들 수 있습니다. 그러면 기본 WAN 링크가 보조 연결로 장애 조치(failover)되었는데 해당 연결이 기본 링크만큼 트래픽을 처리할 수 없는 경우 대역폭 관리를 사용할 수 있습니다. 보장된 대역폭을 0%로 설정할 수도 있습니다.
인바운드(수신) BWM: 트래픽이 특정 인터페이스로 들어오는 속도를 구성하는 기능입니다. TCP 트래픽은 발신 승인(ACK)을 지연시켜서 보낸 사람이 속도를 낮추도록 해 수신 흐름의 속도를 조정할 수 있는 경우 실제로 구성할 수 있습니다. UDP에는 기본 피드백 컨트롤이 없으므로 UDP 트래픽에는 취소 메커니즘이 사용됩니다.
최대 대역폭: 인터페이스에서 사용 가능한 총 대역폭 중 특정 트래픽 클래스에 허용되는 최대 대역폭을 정의하는 선언된 대역폭의 백분율입니다. 인바운드 BWM과 아웃바운드 BWM에 모두 적용됩니다. 대역폭 속도 제한을 지정하는 제한 메커니즘으로 사용됩니다. 대역폭 관리 기능이 개선되어 속도 제한 기능이 제공됩니다. 이제 레이어 2, 3, 4 네트워크 트래픽의 최대 속도를 지정하는 트래픽 정책을 만들 수 있습니다. 그러면 기본 WAN 링크가 보조 연결로 장애 조치(failover)되었는데 해당 연결이 기본 링크만큼 트래픽을 처리할 수 없는 경우 대역폭 관리를 사용할 수 있습니다. 최대 대역폭을 0%로 설정할 수 있는데, 그러면 모든 트래픽이 차단됩니다.
아웃바운드(발신) BWM: 트래픽이 인터페이스에서 나가는 속도의 조건을 지정합니다. 아웃바운드 BWM은 8가지 우선 순위 링이 포함된 크레딧(토큰) 기반 큐 시스템을 사용하여 액세스 규칙에 따라 분류된 각 트래픽 유형을 처리합니다.
우선 순위: 트래픽 분류에서 사용되는 추가 차원입니다. SonicOS에서는 8가지 우선 순위 값(0 = 가장 높음, 7 = 가장 낮음)을 사용하여 BWM에 사용되는 큐 구조를 구성합니다. 큐는 우선 순위 순서대로 처리됩니다.
큐: 링크에서 사용 가능한 대역폭을 유효하게 사용하는 것입니다. 큐는 보통 분류된 트래픽을 정렬하고 개별적으로 관리하는 데 사용됩니다.