스테이트풀 방화벽
Stateful firewall시리즈의 일부 |
정보 보안 |
---|
관련 보안 카테고리 |
위협 |
|
방어. |
컴퓨팅에서 스테이트풀 방화벽은 이를 통과하는 네트워크 연결 세션을 개별적으로 추적하는 네트워크 기반 방화벽입니다.스테이트풀 패킷인스펙션은 동적 패킷필터링이라고도 [1]불리며 비상업 및 비즈니스네트워크에서 자주 사용되는 보안 기능입니다.
묘사
A네트워크 방화벽 TCP스트림, UDP데이터그램, ICMP메시지와 같은 네트워크 연결의 상태의, 그리고 LISTEN, ESTABLISHED, 또는 CLOSING.[2]주 테이블 항목은 방화벽을 통해 구성된 보안에 따라 의사 소통을 하는 것이 허용된다 TCP스트림 또는 UDP데이터그램을 위하여 만들어 같은 라벨을 부착할 수 있는지 추적한다. 정치가테이블에 들어가면 저장된 세션의 모든 관련 패킷이 합리화되어 표준 검사보다 CPU 사이클이 적게 소요됩니다.관련 패킷은, 그 호스트로부터의 통신을 허가하는 룰이 설정되어 있지 않은 경우에도, 방화벽을 개입시켜 복귀할 수 있습니다.지정된 시간(실장 상황에 따라 다름) 동안 트래픽이 표시되지 않으면 상태 테이블에서 연결이 삭제됩니다.응용 프로그램은 액티비티가 없는 기간 또는 의도적으로 무음 상태가 긴 응용 프로그램에 대해 방화벽이 연결을 드롭하는 것을 방지하기 위해 정기적으로 킵얼라이브[3] 메시지를 보낼 수 있습니다.
세션 상태를 유지하는 방법은 사용되는 전송 프로토콜에 따라 달라집니다.TCP는 연결 지향[4] 프로토콜로 세션은 SYN 패킷을 사용하여 3방향 핸드쉐이크로 확립되며 FIN [5]알림을 전송함으로써 종료됩니다.방화벽은 이러한 고유 연결 식별자를 사용하여 타임아웃을 기다리지 않고 상태 테이블에서 세션을 삭제할 시기를 알 수 있습니다.UDP는 connectionless 프로토콜입니다.[4] 즉, 통신하는 동안 고유한 연결 관련 식별자를 보내지 않습니다.따라서 세션은 설정된 타임아웃 후에만 스테이트테이블에서 삭제됩니다.UDP 홀 펀칭은 [6]이 특성을 활용하여 인터넷을 통해 데이터 터널을 동적으로 설정할 수 있도록 하는 기술입니다.ICMP 메시지는 TCP 및 UDP와는 다르며 네트워크 자체의 제어 정보를 전달합니다.그 대표적인 [7]예가 ping 유틸리티입니다.ICMP 응답은 방화벽을 통해 반환됩니다.경우에 따라서는 UDP 통신이 ICMP를 사용하여 세션 상태에 대한 정보를 제공할 수 있으므로 UDP 세션과 관련된 ICMP 응답도 허용됩니다.
「 」를 참조해 주세요.
레퍼런스
- ^ Goralski, Walter (12 May 2017). The illustrated network: How TCP/IP works in a modern network. ISBN 978-0-12-811027-0. OCLC 986540207.
- ^ "TCP connection status". IBM Knowledge Center. 12 February 2015. Retrieved Sep 6, 2020.
- ^ "TCP Keepalive HOWTO". The Linux Documentation Project. Retrieved Sep 6, 2020.
- ^ a b Mitchell, Bradley (Apr 1, 2020). "TCP vs UDP". Lifewire. Retrieved Sep 6, 2020.
- ^ "TCP three-way handshake". Study-CCNA. 6 September 2018. Retrieved Sep 6, 2020.
- ^ "Automatic NAT Traversal for Auto VPN Tunneling between Cisco Meraki Peers". Meraki. Retrieved Sep 6, 2020.
- ^ Mitchell, Bradley (Dec 3, 2018). "Guide to Internet Control Message Protocol (ICMP)". Lifewire. Retrieved Sep 6, 2020.