[네트워크] IT 엔지니어를 위한 네트워크 입문 - 6장. 로드 밸런서/방화벽: 4계층 장비(세션 장비) - 下

6.3 방화벽

네트워크 3, 4계층에서 트래픽을 조건에 맞게 허용하거나 차단하는 장비

세션을 인지하고 관리하는 SPI(Stateful Packet Inspection)을 기반으로 동작함

정책에 따라 세션 정보를 세션 테이블에 저장하고 이후 세션 테이블을 참조하여 처리

 

기본 정책

외부로 나가는 모든 패킷 허용(Outbound Permit) & 내부로 들어오는 패킷 차단 (Inbound Deny)

 

cf. 

상태 테이블(State Table) = 세션 테이블(Session Table): 패킷 상태 정보를 Stateful하게 인지하는 장비 

 

 

6.4 4계층 장비 통과할 때 세션 관리 유의점

1. 세션 테이블 유지, 세션 정보 동기화

문제 상황

세션 장비 세션 만료 시간 < 애플리케이션 세션 만료 시간 의 경우

1) 3 방향 핸드쉐이크로 정상적으로 세션 설정 : 방화벽에 세션 테이블 기록됨

2) 세션 테이블을 참조해 방화벽 패킷 통과

3) 일정 시간 동안 통신 없음

4) 세션 테이블 세션 만료

5) 그 후 애플리케이션 통신 시작하면 세션 만료 되었기 때문에 방화벽에서 패킷 드롭

 

대처 - 세션 장비 운영자

가. 세션 만료 시간 증가

나. 세션 시간을 두고 중간 패킷을 수용할 수 있는 방화벽 설정

다. 세션 타임아웃시 세션 장비에서 양 단말 세션 종료 통보