PANEL_addMacIPspoof

인터페이스 설정

네트워크 보안 어플라이언스 관리 인터페이스 내에서 MAC-IP 안티스푸핑 설정을 편집하려면 네트워크 > MAC-IP 안티스푸핑 페이지로 이동합니다.

특정 인터페이스의 설정을 구성하려면 원하는 인터페이스의 구성 아이콘을 클릭합니다.

선택한 인터페이스의 설정 창이 표시됩니다. 이 창에서 해당하는 확인란을 클릭하면 다음 설정을 사용하거나 사용하지 않도록 설정할 수 있습니다. 해당 인터페이스의 설정을 선택한 후 확인을 클릭합니다. 사용 가능한 옵션은 다음과 같습니다.

• 사용: 이 인터페이스를 통과하는 트래픽에서 MAC-IP 안티스푸핑 하위 시스템을 사용하도록 설정하려면 선택합니다.

• 정적 ARP: 정적 ARP 항목에서 안티스푸핑 캐시를 작성할 수 있습니다.

• DHCP Server[DHCP 서버]: 방화벽 DHCP 서버의 활성 DHCP 임대에서 안티스푸핑 캐시를 작성할 수 있습니다.

• DHCP 릴레이: IP 도우미를 기준으로 DHCP 릴레이의 활성 DHCP 임대에서 안티스푸핑 캐시를 작성할 수 있습니다. IP 도우미에 대한 자세한 내용은 IP 헬퍼 확장을 참조하십시오.

• ARP 잠금: MAC-IP 안티스푸핑 캐시에 나열된 장치의 ARP 항목을 잠급니다. 그러면 MAC-IP 안티스푸핑 구성을 통해 인터페이스 발신 제어가 적용되고, MAC-IP 캐시 항목이 ARP 캐시에 영구 항목으로 추가됩니다. 따라서 ARP 캐시가 부적절한 ARP 패킷에 의해 변경되지 않으므로 ARP 포이즈닝 공격을 제어할 수 있습니다.

• ARP 조사식: 인터페이스의 모든 MAC-IP 캐시 항목에서 클라이언트 시스템에 대한 원치 않는 유니캐스트 ARP 응답을 생성하도록 설정합니다. 이 프로세스를 통해 가로채기(man-in-the-middle) 공격을 방지할 수 있습니다.

• ***안티스푸핑 강제 적용: 인터페이스에서 수신 제어를 사용하도록 설정하고 MAC-IP 안티스푸핑 캐시에 나열되어 있지 않은 장치로부터의 트래픽을 차단합니다.

• 스푸핑 검색 목록: 안티스푸핑 캐시를 통과하지 못한 장치를 모두 기록하고 스푸핑 검색 목록에 추가합니다.

• 관리 허용: 어플라이언스 IP 주소를 대상으로 하는 모든 패킷(현재 안티스푸핑 캐시에 나열되어 있지 않은 장치에서 오는 패킷도 포함)의 통과를 허용합니다.

설정을 조정하면 MAC-IP 안티스푸핑 패널에서 인터페이스 목록이 업데이트됩니다. 흰색 확인 표시 아이콘이 있는 녹색 원은 사용되는 설정을 나타냅니다.

이더넷이 아닌 인터페이스, Portshield 구성원 인터페이스, 레이어 2 브리지 쌍 인터페이스, 고가용성 인터페이스 및 고가용성 데이터 인터페이스는 MAC-IP 안티스푸핑 목록에서 제외됩니다.

안티스푸핑 캐시

MAC-IP 안티스푸핑 캐시에는 현재 네트워크 액세스 "권한이 있는" 모든 장치와, 네트워크에서 "블랙리스트에 포함됨"(액세스 거부됨)으로 표시된 모든 장치가 나열됩니다. 목록에 장치를 추가하려면 추가 단추를 클릭합니다.

장치에 대한 IP/MAC 주소를 수동으로 입력할 수 있는 창이 표시됩니다. 제공된 필드에 정보를 입력합니다. 라우팅 장치를 승인하거나 블랙리스트에 포함하도록 선택할 수도 있습니다. 라우터 설정을 선택하면 이 장치로부터 오는 모든 트래픽이 허용됩니다. 장치를 블랙리스트에 포함하면 IP 주소와 관계없이 이 장치에서 오는 패킷이 차단됩니다. 정보를 입력한 후 확인을 클릭하여 주 패널로 돌아갑니다.

정적 안티스푸핑 캐시 항목을 편집해야 하는 경우 IP 주소 왼쪽의 확인란을 선택한 다음 같은 줄의 "구성" 열에 있은 연필 아이콘을 클릭합니다.

정적 안티스푸핑 캐시 항목을 하나 또는 여러 개 삭제할 수 있습니다. 이렇게 하려면 각 항목 옆의 "삭제 확인란"을 선택하고 "삭제" 단추를 클릭합니다.

캐시 통계를 지우려면 원하는 장치를 선택하고 "통계 지우기"를 클릭합니다.

사용 가능한 최신 캐시 정보를 보려면 "새로 고침" 단추를 클릭합니다.

일부 패킷 유형은 MAC-IP 안티스푸핑 기능을 사용하도록 설정해도 우회됩니다. 여기에는 1) IP가 아닌 패킷, 2) 원본 IP가 0인 DHCP 패킷, 3) VPN 터널의 패킷, 4) 잘못된 유니캐스트 IP가 원본 IP로 지정된 패킷, 5) 안티스푸핑 설정에서 관리 상태가 사용하도록 설정되지 않은 인터페이스의 패킷이 포함됩니다.