반응형
방화벽 기본 옵션 설정
- 방화벽에 기본 설정값과 IPSec 옵션 설정을 할 수 있음.
방화벽 기본 설정값과 IPSec에 사용하는 설정값이 들어있다.
(config)# security parameters
방화벽이 기본 Drop 상태일 때 Drop된 Session 로그 기록시 설정
(config)# audit-default-dropped
방화벽 출발지 IP별 Session 제한 값을 설정
(config)# session-limit 100000- NexG-UTM 장비는 Default Drop을 기본 정책이므로 기본 정책이 필요
- Local out : UTM 장비 자체에서 패킷이 생성되어 나가는 패킷은 모두 허용됨
DHCP Server에서 사용하는 포트 오픈
(config)# ip rule 16
(config-ip-rule)# description DHCP Server
(config-ip-rule)# source any
(config-ip-rule)# destination any
(config-ip-rule)# protocol udp sport eq 68 dport eq 67
(config-ip-rule)# policy pass
(config-ip-rule)# log connections
(config-ip-rule)# enableOSPF에서 사용하는 프로토콜 오픈
(config)# ip rule 17
(config-ip-rule)# description Connect Local OSPF
(config-ip-rule)# source any
(config-ip-rule)# destination any
(config-ip-rule)# protocol ospfigp
(config-ip-rule)# inbound interface eth0
(config-ip-rule)# policy pass
(config-ip-rule)# enable
객체 관리
Network-list 설정
- 방화벽 Rule, PBR(Source, Destination)부분 객체 적용 가능.
(config)# network-list [network-list name] [ip address] description [name]
IP 한 개의 Host 객체 생성
(config)# network-list local 192.168.1.100/32 description Server-1
(config)# network-list local 192.168.1.200/32 description User-1
0 ~ 255번 까지의 IP 목록
(config)# network-list server 10.10.10.0/24
1 ~ 10번 까지의 IP 목록
(config)# network-list test 192.168.1.1 192.168.1.10
11 ~ 15번 까지의 IP 목록
(config)# network-list test 192.168.1.11 192.168.1.15- 객체 변경 수정 발생시 Rule 다시 적용, Network-list 객체 개수 제한 없음.
생성한 Network-list 객체 rule 적용 설정
(config)# ip rule 100
(config-ip-rule)# source network-list test
(config-ip-rule)# source network-list local
(config-ip-rule)# destination network-list server
(config-ip-rule)# policy pass
(config-ip-rule)# enable
Service-list 설정
- 다양한 프로토콜 선택 가능, 객체 개수 제한 없음, 룰별 여러 객체 적용 가능
- service-list 객체에 기본적으로 사용할 수 있는 프로토콜 이름이 있다
- 프로토콜 이름이 없는경우 번호를 입력
service-list 객체 생성 예시
(config)# service-list test icmp
(config)# service-list test tcp sport any dport eq 80 description http
(config)# service-list test udp sport any dport eq 53 description dnsservice-list 객체 적용 예시
(config)# ip rule 100
(config-ip-rule)# source network-list local
(config-ip-rule)# destination network-list server
(config-ip-rule)# service-list test
(config-ip-rule)# policy pass
(config-ip-rule)# enable
IP rule
차단 정책 설정
- 192.168.1.0/24 대역에서 192.168.2.0/24 대역끼리 icmp를 차단 예시 rule
- Protocol 지정하는 설정이 없으면 모든 Protocol을 선택함.
(config)# ip rule 100
(config-ip-rule)# description TEST rule
(config-ip-rule)# source 192.168.1.0/24
(config-ip-rule)# destination 192.168.2.0/24
(config-ip-rule)# protocol icmp
(config-ip-rule)# policy drop
(config-ip-rule)# log connections
(config-ip-rule)# enable
(config-ip-rule)# end
정책 설정 샘플 예시
PASS (단방향 허용 정책)
(config)# ip rule 1
(config-ip-rule)# source 192.168.1.0/24
(config-ip-rule)# destination 10.10.10.0/24
(config-ip-rule)# policy pass
(config-ip-rule)# enable
PASS (양방향 허용 정책)
(config)# ip rule 2
(config-ip-rule)# source 192.168.1.0/24
(config-ip-rule)# destination 10.10.10.0/24
(config-ip-rule)# policy pass bi-direction
(config-ip-rule)# enable
DROP (단방향 차단 정책)
(config)# ip rule 3
(config-ip-rule)# source 192.168.1.0/24
(config-ip-rule)# destination 10.10.10.0/24
(config-ip-rule)# policy drop
(config-ip-rule)# enable
DROP (양방향 차단 정책)
(config)# ip rule 4
(config-ip-rule)# source 192.168.1.0/24
(config-ip-rule)# destination 10.10.10.0/24
(config-ip-rule)# policy drop bi-direction
(config-ip-rule)# enable
반응형
'VPN > NEXG' 카테고리의 다른 글
| [NEXG] Interface Track, NAT 설정 (0) | 2023.10.08 |
|---|---|
| [NEXG] 정책 라우팅(Policy Based Routing) 설정 (0) | 2023.02.26 |
| [NEXG] Offloading 설정 (Config) (0) | 2023.02.26 |
| [NEXG] 기본 설정(Config) (0) | 2023.02.26 |