을 클릭합니다. 그러면 주소 오브젝트 추가 창과 같은 설정이 포함된 주소 오브젝트 편집 창이 표시됩니다.Network_netObjView
주소 오브젝트는 SonicOS에서 주소, 사용자, 서비스 및 일정의 네 오브젝트 클래스 중 하나입니다. 이러한 주소 오브젝트를 사용하면 엔터티를 한 번 정의한 다음 SonicOS 인터페이스 전체의 여러 참조 인스턴스에서 다시 사용할 수 있습니다. IP 주소가 67.115.118.80인 내부 웹 서버를 예로 들어 보겠습니다. 주소 오브젝트를 사용하면 액세스 규칙 또는 NAT 정책을 구성할 때 IP 주소를 여러 번 입력하는 대신 "내 웹 서버"라는 단일 엔터티를 IP 주소가 67.115.118.80인 호스트 주소 오브젝트로 만들 수 있습니다. 이 주소 오브젝트, 즉 "내 웹 서버"는 정의 조건으로 주소 오브젝트를 사용하는 모든 구성 화면의 드롭다운 메뉴에서 쉽고 효율적으로 선택할 수 있습니다.
네트워크 주소 수식에는 여러 가지 유형이 있으므로 현재 사용 가능한 주소 오브젝트 유형은 다음과 같습니다.
• 호스트 – 호스트 주소 오브젝트는 IP 주소로 단일 호스트를 정의합니다. 호스트 주소 오브젝트의 네트워크 마스크는 32비트(255.255.255.255)로 자동 설정되어 해당 오브젝트를 단일 호스트로 식별할 수 있습니다. 예로 IP 주소가 "67.115.118.110"이고 기본 네트워크 마스크가 "255.255.255.255"인 "내 웹 서버"를 들 수 있습니다.
• 범위 – 범위 주소 오브젝트는 연속 IP 주소 범위를 정의합니다. 범위 주소 오브젝트에는 네트워크 마스크가 연결되지 않지만 내부 논리에 의해 지정된 범위의 각 구성원은 32비트로 마스킹된 호스트 오브젝트로 처리됩니다. 예로 IP 주소 시작 값이 "67.115.118.66"이고 종료 값이 "67.115.118.90"인 "내 공용 서버"를 들 수 있습니다. 이 범위에 포함되는 25가지 개별 호스트 주소는 모두 이 범위 주소 오브젝트로 구성됩니다.
• 네트워크 – 네트워크 주소 오브젝트는 여러 호스트로 구성된다는 점에서 범위 오브젝트와 비슷하지만, 지정된 상하한 범위 구분 기호로 경계가 지정되는 대신 유효한 네트워크 마스크에 따라 정의됩니다. 네트워크 주소 오브젝트는 네트워크의 주소와 해당하는 네트워크 마스크로 정의되어야 합니다. 예를 들어 네트워크 값이 "67.115.118.64"이고 네트워크 마스크가 "255.255.255.255"인 "내 공용 네트워크"는 67.115.118.64부터 67.115.118.95까지의 주소로 구성됩니다. 일반적으로 네트워크의 첫 번째 주소(네트워크 주소)와 마지막 주소(브로드캐스트 주소)는 사용할 수 없습니다.
• MAC 주소 – MAC 주소 오브젝트를 사용하면 하드웨어 주소 또는 MAC(미디어 액세스 제어) 주소로 호스트를 식별할 수 있습니다. MAC 주소는 하드웨어 제조업체에서 모든 유무선 네트워킹 장치에 고유하게 할당하며, 변경할 수 없습니다. MAC 주소는 6바이트 16진수 표기법으로 표시되는 48비트 값입니다. 예로 MAC 주소가 "00:06:01:AB:02:CD"인 "내 액세스 지점"을 들 수 있습니다. MAC 주소는 보안 어플라이언스의 ARP 캐시를 참조하여 IP 주소로 확인됩니다. MAC 주소 오브젝트는 SonicOS 전체에서 무선 구성의 여러 구성 요소에 사용됩니다.
• FQDN 주소 – FQDN 주소 오브젝트를 사용하면 'www.sonicwall.com' 같은 FQDN(정규화된 도메인)으로 호스트를 식별할 수 있습니다. FQDN은 보안 어플라이언스에 구성되어 있는 DNS 서버를 사용하여 하나 이상의 IP 주소로 확인됩니다. 승인된 DNS 서버로 전송되는 쿼리에 대한 응답 글리닝을 통해 와일드카드 항목이 지원됩니다.
SonicOS에는 주소 오브젝트를 주소 오브젝트 그룹으로 그룹화하는 기능이 있습니다. 주소 오브젝트 그룹을 정의하면 참조 효율성을 높일 수 있습니다. 그룹은 호스트, 범위 또는 네트워크 주소 오브젝트의 조합으로 구성될 수 있습니다 MAC 주소 오브젝트는 별도로 그룹화해야 하지만 IP 기반 주소 오브젝트 그룹에 추가해도 안전합니다. 이 그룹에서는 MAC 주소 오브젝트의 참조가 NAT 정책 등에서 상황상 관련이 없으면 무시됩니다. 예를 들어 "내 공용 그룹"은 호스트 주소 오브젝트 "내 웹 서버"와 범위 주소 오브젝트 "내 공용 서버"를 포함하여 IP 주소 67.115.118.66 ~ 67.115.118.90 및 67.115.118.110을 유효하게 표시할 수 있습니다.
네트워크 > 주소 오브젝트 페이지에서 주소 오브젝트를 만들고 관리할 수 있습니다.
보기 스타일 메뉴를 사용하면 다음과 같은 방식으로 주소 오브젝트를 볼 수 있습니다.
• 모든 주소 오브젝트 - 구성된 모든 주소 오브젝트가 표시됩니다.
• 사용자 지정 주소 오브젝트 - 사용자 지정 속성을 포함하는 주소 오브젝트가 표시됩니다.
• 기본 주소 오브젝트 - 방화벽에서 기본적으로 구성되는 주소 오브젝트가 표시됩니다.
주소 오브젝트를 정렬하면 방화벽에 구성되어 있는 주소 오브젝트를 빠르고 쉽게 찾을 수 있습니다.
참고 NAT 정책, 액세스 규칙 및 서비스를 구성하기 전에 주소 오브젝트를 정의해야 합니다.
주소 오브젝트 및 주소 그룹 항목 탐색/정렬
주소 오브젝트 및 주소 그룹 테이블는 많은 주소 오브젝트와 그룹도 쉽게 확인할 수 있도록 페이지 방식으로 표시됩니다. 테이블 오른쪽 위에 있는 탐색 컨트롤 막대를 사용하면 주소 오브젝트 또는 주소 그룹 테이블에 나와 있는 많은 항목을 탐색할 수 있습니다. 탐색 컨트롤 막대에는 단추가 네 개 있습니다. 맨 왼쪽 단추를 클릭하면 테이블의 첫 페이지가 표시됩니다. 맨 오른쪽 단추를 클릭하면 마지막 페이지가 표시됩니다. 안쪽의 왼쪽/오른쪽 화살표 단추를 클릭하면 각각 이전 페이지와 다음 페이지로 이동합니다.
항목 필드에 정책 번호(# 이름 열의 정책 이름 앞에 나와 있는 번호)를 입력하면 특정 항목으로 이동할 수 있습니다. 기본 테이블 구성에서는 페이지당 항목이 50개 표시됩니다. 시스템 > 관리 페이지에서 이 테이블의 기본 항목 수를 변경할 수 있습니다.
열 헤더를 클릭하면 테이블 항목을 정렬할 수 있습니다. 항목은 오름차순이나 내림차순으로 정렬됩니다. 열 항목 오른쪽의 화살표가 정렬 상태를 나타냅니다. 아래쪽 화살표는 오름차순을, 위쪽 화살표는 내림차순을 의미합니다.
기본 주소 오브젝트 보기에는 방화벽의 기본 주소 오브젝트 및 주소 그룹이 표시됩니다. 기본 주소 오브젝트 항목은 수정하거나 삭제할 수 없습니다. 따라서 편집 및 삭제 아이콘이 흐리게 표시됩니다.
주소 오브젝트를 추가하려면 모든 주소 오브젝트 또는 사용자 지정 주소 오브젝트 보기의 주소 오브젝트 테이블에서 추가 단추를 클릭하여 주소 오브젝트 추가 창을 표시합니다.
1. 이름 필드에 네트워크 오브젝트의 이름을 입력합니다.
2. 유형 메뉴에서 호스트, 범위, 네트워크, MAC 또는 FQDN을 선택합니다.
– 호스트를 선택하는 경우 IP 주소 및 네트워크 마스크 필드에 IP 주소와 네트워크 마스크를 각각 입력합니다.
범위를 선택하는 경우 시작 IP 주소 및 종료 IP 주소 필드에 시작 IP 주소와 종료 IP 주소를 각각 입력합니다.
네트워크를 선택하는 경우 네트워크 및 네트워크 마스크 필드에 네트워크 IP 주소와 네트워크 마스크를 각각 입력합니다.
MAC를 선택하는 경우 네트워크 및 MAC 주소 필드에 MAC 주소와 네트워크 마스크를 각각 입력합니다.
FQDN을 선택하는 경우 FQDN 필드에 개별 사이트 또는 사이트 범위(와일드카드 사용)의 도메인 이름을 입력합니다.
3. 영역 할당 메뉴에서 주소 오브젝트에 할당할 영역을 선택합니다.
주소 오브젝트를 편집하려면 주소 오브젝트 테이블의 구성 열에서 편집 아이콘을 클릭합니다. 그러면 주소 오브젝트 추가 창과 같은 설정이 포함된 주소 오브젝트 편집 창이 표시됩니다.
주소 오브젝트를 삭제하려면 삭제할 주소 오브젝트의 구성 열에서 삭제 
아이콘을 클릭합니다. 그러면 삭제를 확인하라는 대화 상자가 표시됩니다. 확인을 클릭하여 주소 오브젝트를 삭제합니다. 여러 활성 주소 오브젝트를 삭제하려면 해당 오브젝트를 선택한 다음 삭제 단추를 클릭합니다.
방화벽에 주소 오브젝트가 계속 추가되면 주소 그룹을 만들어 주소 및 액세스 정책을 간편하게 관리할 수 있습니다. 그룹에 변경한 내용은 해당 그룹 내의 각 주소에 적용됩니다. 주소 오브젝트 그룹을 추가하려면 다음 단계를 수행합니다.
1. 그룹 추가를 클릭하여 주소 오브젝트 그룹 추가 창을 표시합니다.
2. 이름 필드에서 그룹의 이름을 만듭니다.
3. 목록에서 주소 오브젝트를 선택하고 오른쪽 화살표를 클릭합니다. 그러면 해당 오브젝트가 그룹에 추가됩니다. Ctrl 키를 누른 상태로 오브젝트를 클릭하면 여러 오브젝트를 선택할 수 있습니다.
4. 확인을 클릭합니다.
팁 그룹에서 주소나 서브넷을 제거하려면 오른쪽 열에서 해당 IP 주소 또는 서브넷을 선택하고 왼쪽 화살표를 클릭합니다. 그러면 선택한 항목이 오른쪽 열에서 왼쪽 열로 이동됩니다.
주소 그룹 편집 또는 삭제
그룹을 편집하려면 주소 그룹 테이블의 구성 열에서 편집 아이콘
을 클릭합니다. 주소 오브젝트 그룹 편집 창이 표시됩니다. 그룹을 원하는 대로 변경하고 확인을 클릭합니다.
그룹을 삭제하려면 구성 열에서 삭제 
아이콘을 클릭하여 개별 주소 그룹을 삭제합니다. 그러면 삭제를 확인하라는 대화 상자가 표시됩니다. 확인을 클릭하여 주소 그룹을 삭제합니다. 여러 활성 주소 그룹을 삭제하려면 해당 그룹을 선택한 다음 삭제 단추를 클릭합니다.
SonicOS는 최초 릴리스부터 AO(주소 오브젝트)를 사용하여 사용자 인터페이스 전체에 걸쳐 대부분의 영역에 대한 IP 주소를 표시해 왔습니다. 다음과 같은 다양한 주소 오브젝트가 제공됩니다.
• 호스트 - 개별 IP 주소, 네트워크 마스크 및 영역 연결
• MAC(원본) - 미디어 액세스 제어(이더넷 호스트의 고유 하드웨어 주소). MAC AO는 다음과 같은 용도로 사용됩니다.
– SonicPoint 식별
– 호스트의 게스트 서비스 인증 바이패스 허용
– 무선 스캔 중 감지된 무선 액세스 지점의 BSSID(Basic Service Set Identifier 또는 WLAN MAC) 인증
MAC AO는 원래 액세스 규칙 등의 다른 관리 인터페이스 영역에서는 허용 가능한 대상이 아니었기 때문에 기존에는 하드웨어 주소로 호스트 액세스를 제어하는 데 사용할 수 없었습니다.
• 범위 - 시작 및 종료 IP 주소(두 주소 사이의 주소 모두 포함)
• 그룹 - 모든 유형의 주소 오브젝트 모음 그룹은 다른 그룹, 호스트, MAC, 범위 또는 FQDN 주소 오브젝트를 포함할 수 있습니다
SonicOS에서는 MAC AO의 작업이 다시 정의되었으며 FQDN(정규화된 도메인 이름) AO가 지원됩니다.
• MAC - SonicOS는 방화벽의 ARP 캐시를 참조하여 MAC AO를 IP 주소로 확인합니다.
• FQDN - 'www.reallybadWebsite.com' 같이 정규화된 도메인 이름은 방화벽에 구성되어 있는 DNS 서버를 사용하여 하나 이상의 IP 주소로 확인됩니다. 승인된 DNS 서버로 전송되는 쿼리에 대한 응답 글리닝을 통해 와일드카드 항목이 지원됩니다.
주소 오브젝트를 만들 때는 단순히 IP 주소를 입력하는 것보다 많은 작업을 수행해야 하지만, AO는 SonicOS의 관리 체계를 보완할 수 있도록 구현되었으며 다음과 같은 특성을 제공합니다.
• 영역 연결 - 호스트, MAC 및 FQDN AO는 정의 시 명시적으로 영역을 지정해야 합니다. 액세스 규칙과 같은 대부분의 인터페이스 영역에서 이러한 연결은 참조용으로만 사용됩니다. 작동하는 응용 프로그램은 주소 오브젝트 드롭다운 목록과 사용자 및 그룹에 할당된 "VPN 액세스" 정의 영역이 상황별로 정확하게 채워진 것입니다. AO를 사용하여 VPN 액세스를 정의할 때 액세스 규칙 자동 만들기 프로세스는 AO의 영역을 참조하여 규칙을 배치하는 데 올바른 VPN [영역] 교차를 결정합니다. 즉 LAN 영역에 속하는 호스트 AO인 "192.168.168.200 호스트"를 "신뢰할 수 있는 사용자" 사용자 그룹에 대한 "VPN 액세스"에 추가한 경우, 자동으로 만들어진 액세스 규칙아 VPN LAN 영역에 할당됩니다.
• 관리 및 처리 - 다양한 유형이 지정된 주소 오브젝트 패밀리를 SonicOS 인터페이스 전체에서 쉽게 사용할 수 있으므로 액세스 규칙 등의 핸들을 빠르게 정의 및 관리할 수 있습니다. 구성원을 간편하게 주소 오브젝트 그룹에 추가하거나 그룹에서 제거하는 기능을 사용하여 직접 조작하지 않고도 참조 규칙과 정책을 효율적으로 수정할 수 있습니다.
• 재사용 가능성 - 오브젝트는 한 번만 정의하면 필요한 횟수만큼 쉽게 참조할 수 있습니다.
동적 주소 오브젝트의 주요 기능
DAO(동적 주소 오브젝트)라는 용어는 MAC 및 FQDN AO를 사용하도록 설정하는 기본 프레임워크를 설명합니다. AO를 정적 구조에서 동적 구조로 변환하면 방화벽 > 액세스 규칙에서 네트워크의 변경 내용에 자동으로 응답할 수 있습니다.
|
네트워크에서 승인된 서버 사용 강제 적용
네트워크에서는 권한이 있거나 승인된 서버를 사용하도록 강제 적용하는 것이 좋지만, 반드시 강제 적용해야 하는 것은 아닙니다. 이 방식을 사용하면 불법적인 네트워크 활동을 줄이고 FQDN 와일드카드 확인 프로세스의 안정성을 확보할 수 있습니다. 일반적으로는 가급적 알려진 프로토콜 통신의 끝점을 정의하는 것이 좋습니다. 예를 들면 다음과 같습니다.
• SMTP, DNS 등 승인된 서버의 주소 오브젝트 그룹을 만듭니다.
네트워크에서 승인된 SMTP 서버만 아웃바운드 SMTP와 통신하도록 허용하고, 의도하거나 의도하지 않은 아웃바운드 스팸을 방지하기 위해 기타 모든 아웃바운드 SMTP 트래픽을 차단하는 액세스 규칙을 관련 영역에서 만듭니다.
네트워크에서 승인된 DNS 서버만 DNS 프로토콜(TCP/UDP 53)을 사용하는 모든 대상 호스트와 통신하도록 허용하는 액세스 규칙을 관련 영역에서 만듭니다. 네트워크에 DNS 서버가 있고 해당 규칙을 따르는 제한적인 DNS 규칙을 구성하려는 경우 이 규칙을 만드십시오.
• 방화벽이 적용된 호스트와 승인된 DNS 서버 간의 DNS(TCP/UDP 53) 통신만 허용하고, 권한이 없는 DNS 서버와의 통신을 방지하기 위해 다른 모든 DNS 액세스는 차단하는 액세스 규칙을 관련 영역에서 만듭니다.
승인되지 않은 액세스 시도는 로그에서 확인할 수 있습니다.
MAC 및 FQDN 동적 주소 오브젝트 사용
MAC 및 FQDN DAO를 사용하면 광범위한 액세스 규칙을 유동적으로 구성할 수 있습니다. MAC 및 FQDN AO는 정적 주소 오브젝트와 마찬가지로 네트워크 > 주소 오브젝트 페이지에서 구성합니다. 작성된 AO의 상태는 표시된 AO 위에 마우스를 놓으면 확인할 수 있으며, 로그 이벤트에 AO 추가 및 삭제가 기록됩니다.
동적 주소 오브젝트는 여러 응용 프로그램에서 사용할 수 있습니다. 아래 몇 가지 사용 방법의 예제가 나와 있습니다. 이후 SonicOS 버전에서는 동적 주소 오브젝트의 활용도가 더욱 확대될 수 있습니다.
FQDN DAO를 사용하여 도메인에 대한 모든 프로토콜 액세스 차단
비표준 작업 포트, 알 수 없는 프로토콜 사용, 암호화나 터널링 중 하나 또는 이 두 가지를 모두 사용한 의도적 트래픽 모호화 등의 이유로 특정 대상 IP에 대한 모든 프로토콜 액세스를 차단하려는 경우가 있습니다. 예로, 홈 네트워크를 통해 트래픽을 터널링하여 모호화하려는 의도로 DSL 또는 케이블 모뎀 홈 네트워크에 HTTPS 프록시 서버 또는 다른 포트 전달/터널링 방법(53, 80, 443 등의
"신뢰할 수 있는" 포트와 5734, 23221, 63466 등의 비표준 포트가 모두 해당됨)을 설정하는 사용자를 들 수 있습니다. 이러한 네트워크에서는 주소가 동적으로 지정되어 포트를 예측하기가 더욱 어려워져서 IP 주소도 예측할 수가 없습니다.
이러한 시나리오에서는 대개 사용자가 홈 네트워크를 찾을 수 있도록 허용하기 위해 DDNS(동적 DNS) 등록을 도입하므로, FQDN AO를 적극적으로 사용하면 DDNS 등록 기관 내의 모든 호스트에 대한 액세스를 차단할 수 있습니다.
참고 이 예에서는 설명을 위해 DDNS 대상을 사용합니다. DDNS가 아닌 대상 도메인도 사용 가능합니다.
가정 사항
• 방화벽이 DNS 서버 10.50.165.3, 10.50.128.53을 사용하도록 구성되어 있습니다.
• 방화벽은 방화벽을 사용하도록 설정된 모든 사용자에게 DHCP를 임대합니다. 네트워크의 모든 호스트는 확인 시 위에 구성된 DNS 서버를 사용합니다.
– '네트워크에서 승인된 서버 사용 강제 적용' 섹션에 설명된 바와 같이 승인되지 않은 DNS 서버에 대한 DNS 통신은 액세스 규칙을 사용하여 선택적으로 차단할 수 있습니다.
• DNS 홈 사용자는 DDNS 공급자 DynDNS를 사용하여 호스트 이름 moosifer.dyndns.org를 등록합니다. 이 세션의 경우 ISP가 DSL 연결에 주소 71.35.249.153을 할당했습니다.
– 같은 IP 주소에 대해 다른 호스트 이름을 쉽게 등록할 수 있으므로, 와일드카드 FQDN AO가 설명에 사용되었습니다. 필요에 따라 다른 DDNS 공급자의 항목도 추가할 수 있습니다.
1단계 - FQDN 주소 오브젝트 만들기
• 네트워크 > 주소 오브젝트에서 추가를 선택하고 다음 주소 오브젝트를 만듭니다.
• 이 항목은 처음 만들 때 dyndns.org의 주소(63.208.196.110)로만 확인됩니다.
2단계 - 방화벽 액세스 규칙 만들기
• 방화벽 > 액세스 규칙 페이지의 LAN->WAN 영역 교차에서 다음과 같이 액세스 규칙을 추가합니다.
"특정 호스트에 한해 대상 액세스가 거부되도록 원본으로 'LAN 서브넷'을 지정하는 대신, 보다 구체적인 원본을 적절하게 지정할 수 있습니다.
• 방화벽 뒤의 호스트가 승인된 DNS 서버를 사용하여 moosifer.dyndns.org를 확인하려고 하면 쿼리 응답에서 반환된 IP 주소가 FQDN AO에 동적으로 추가됩니다.
• 해당 FQDN 내의 대상 호스트에 대한 프로토콜 액세스가 모두 차단되고 액세스 시도가 기록됩니다.
FQDN 기반 액세스 규칙에 내부 DNS 서버 사용
일반적으로는 동적으로 구성된(DHCP) 네트워크 환경을 내부 DNS 서버와 함께 사용하여 내부 호스트를 동적으로 등록합니다. 이 방식과 관련하여 잘 알려진 예로 Microsoft의 DHCP 및 DNS 서비스를 들 수 있습니다. 이러한 네트워크의 호스트는 적절하게 구성된 DNS 서버에서 DNS 레코드를 동적으로 업데이트하도록 쉽게 구성할 수 있습니다. 해당 예제는 Microsoft 기술 자료 문서 "Windows Server 2003에서 DNS 동적 업데이트를 구성하는 방법"(http://support.microsoft.com/kb/816592/ko-kr)을 참조하십시오.
아래 그림에는 일반적인 DNS 동적 업데이트 프로세스의 패킷 분석 내용이 나와 있습니다. 여기서 동적으로 구성된 호스트 10.50.165.249는 전체 호스트 이름 bohuymuth.moosifer.com을 DHCP에서 제공한 DNS 서버인 10.50.165.3에 등록합니다.
이러한 환경에서는 FQDN AO를 적용해 호스트 이름별로 액세스를 제어하면 유용할 수 있습니다. 이 방식은 호스트 이름 목록을 유지 관리하거나 예측 가능한 명명 규칙을 사용하는 네트워크 등 호스트 이름이 알려져 있는 네트워크에 가장 적합합니다.
MAC 주소로 동적 호스트의 네트워크 액세스 제어
대부분의 네트워크에서는 정적 주소 지정보다 DHCP를 훨씬 더 많이 사용하기 때문에 동적으로 구성된 호스트의 IP 주소를 예측하기가 어려운 경우도 있습니다. 특히 동적 DNS 업데이트 또는 신뢰할 수 있는 호스트 이름이 없는 경우에는 더욱 그러합니다. 이러한 상황에서는 MAC 주소 오브젝트를 사용하여 비교적 변경하기 어려운 MAC(하드웨어 주소)로 호스트 액세스를 제어할 수 있습니다.
대부분의 다른 액세스 제어 방법과 마찬가지로 이 방법 역시 포괄적(예: 특정 호스트 또는 호스트 그룹에 대한 액세스 거부)으로 적용할 수도 있고 단독(예: 특정 호스트 또는 호스트 그룹에만 액세스 권한을 부여하고 나머지 액세스는 모두 거부)으로 적용할 수도 있습니다. 이 예에서는 단독 적용 방식을 살펴봅니다.
DHCP 지원 무선 클라이언트가 전용 운영 체제(모든 유형의 사용자 수준 인증 불가)를 실행 중이며, 이러한 클라이언트가 LAN의 응용 프로그램 관련 서버(10.50.165.2)에만 액세스하도록 허용하려는 경우를 가정해 보겠습니다. WLAN 세그먼트는 보안상 WPA-PSK를 사용하며, 이 클라이언트 집합에는 10.50.165.2 서버 액세스 권한만 있고 다른 LAN 리소스에 대한 액세스 권한은 없습니다. 다른 모든 무선 클라이언트는 10.50.165.2 서버에 액세스할 수 없어야 하지만 나머지 모든 영역에는 제한 없이 액세스할 수 있어야 합니다.
1단계 - MAC 주소 오브젝트 만들기
• 네트워크 > 주소 오브젝트에서 추가를 선택하고 다음 주소 오브젝트를 만듭니다(필요한 경우 멀티 호밍 적용).
작성된 주소 오브젝트는 방화벽의 ARP 캐시에 호스트가 있는 경우 즉시 확인되고, 그렇지 않으면 활성화한 후 ARP를 통해 검색할 때까지 주소 오브젝트 테이블에서 확인되지 않음 상태로 표시됩니다.
휴대용 장치로 구성된 주소 오브젝트 그룹을 만듭니다.
2단계 - 방화벽 액세스 규칙 만들기
• 액세스 규칙을 만들려면 방화벽 > 액세스 규칙 페이지에서 모든 규칙 라디오 단추를 클릭하고 페이지 아래쪽으로 스크롤하여 추가 단추를 클릭합니다.
• 다음의 네 가지 액세스 규칙을 만듭니다.
|
참고 'MediaMoose Services' 서비스는 휴대용 장치에서 사용하는 특정 응용 프로그램을 표시하는 데 사용됩니다. 필요한 경우 특정 서비스를 선언할 수 있습니다.
전체 도메인에 대한 대역폭 관리 액세스
네트워크 대역폭을 가장 많이 사용하는 항목 중 하나는 스트리밍 미디어입니다. 그러나 스트리밍 미디어를 제공하는 대부분의 사이트는 대규모 서버 팜을 사용하므로, 이러한 사이트에 대한 액세스를 제어하거나 사이트에 할당된 대역폭을 관리하기는 어렵습니다. 또한 이러한 사이트에서는 미디어를 다시 인코딩하여 HTTP를 통해 전송하는 경우가 많으므로 대역폭을 분류 및 분리하기가 더욱 어려워집니다. 서버 목록을 수동으로 관리하는 것은 어려운 작업이지만, 와일드카드 FQDN 주소 오브젝트를 사용하면 이 작업을 간소화할 수 있습니다.
1단계 - FQDN 주소 오브젝트 만들기
• 네트워크 > 주소 오브젝트에서 추가를 선택하고 다음 주소 오브젝트를 만듭니다.
처음 만들 때 youtube.com은 IP 주소 208.65.153.240, 208.65.153.241, 208.65.153.242로 확인되지만 내부 호스트가 youtube.com 도메인 내의 모든 요소에 대해 호스트를 확인하기 시작하면 v87.youtube.com 서버에 대한 항목(208.65.154.84)과 같이 인식된 호스트 항목이 추가됩니다.
2단계 - 방화벽 액세스 규칙 만들기
• 방화벽 > 액세스 규칙 페이지의 LAN->WAN 영역 교차에서 다음과 같이 액세스 규칙을 추가합니다.
대역폭 탭이 표시되지 않으면 WAN 인터페이스에서 대역폭을 선언하여 대역폭 관리 기능을 사용하도록 설정할 수 있습니다.
참고 BWM이 활성 상태이고 통계를 제공함을 나타내는 BWM 아이콘이 액세스 규칙 테이블에 표시됩니다. 이제 모든 *.youtube.com 호스트에 대한 액세스(모든 프로토콜 사용)가 모든 사용자 세션에 사용 가능한 총 대역폭의 2%로 누적 제한됩니다.
Dell SonicWALL의 IPv6 구현에 대한 자세한 내용은 1359페이지의 IPv6을 참조하십시오.
IPv6 주소 오브젝트 또는 주소 그룹은 IPv4 주소 오브젝트와 같은 방식으로 추가할 수 있습니다. 네트워크 > 주소 오브젝트 페이지에서 IP 버전 보기 라디오 단추에는 IPv4만, IPv6만, IPv4 및 IPv6의 3개 옵션이 있습니다.
참고 호스트, 범위 및 네트워크 유형의 주소 오브젝트가 지원됩니다. MAC 및 FQDN에 대한 동적 주소 오브젝트는 현재 IPv6 호스트에 대해 지원되지 않습니다.
IPv4 인터페이스는 각 인터페이스에 대한 DAO(기본 주소 오브젝트) 및 주소 오브젝트 그룹을 정의합니다. IPv4 DAO에 대한 기본 규칙은 각 IPv4 주소가 두 주소 오브젝트, 즉 인터페이스 IP 및 인터페이스 서브넷에 해당해야 한다는 것입니다. 영역 인터페이스 IP, 영역 서브넷, 모든 인터페이스 IP, 모든 인터페이스 관리 IP 등에 대한 AO 그룹도 있습니다.
IPv6 인터페이스는 각 인터페이스에 대해 동일한 DAO 집합을 준비합니다. 여러 IPv6을 인터페이스 하나에 할당할 수 있으므로 이러한 모든 주소를 동적으로 추가, 편집 및 삭제할 수 있습니다. 따라서 IPv6 DAO는 동적으로 만들고 삭제해야 합니다.
이를 위해 IPv6 인터페이스에 대해서는 DAO가 동적으로 생성되지 않습니다. 즉, 제한된 인터페이스 DAO만 생성되므로 인터페이스 DAO를 참조해야 하는 기타 모듈에 대한 지원이 제한됩니다.