| 리포트 | 기술문서 | 테크-블로그 | 원샷 갤러리 | 링크드인 | 스폰서 컨텐츠 | 네트워크/통신 뉴스 | 인터넷자료실 | 자유게시판    한국 ICT 기업 총람 |

제품 검색

|

통신 방송 통계

 
 
 
섹션 5G 4G LTE C-RAN/Fronthaul Gigabit Internet IPTV/UHD IoT SDN/NFV Wi-Fi Video Streaming KT SK Telecom LG U+ OTT Network Protocol CDN YouTube Data Center
 

2024

5G 특화망

포탈

Private 5G/이음 5G

 포탈홈

  넷매니아즈 5G 특화망 분석글 (136)   5G 특화망 4가지 구축모델   산업계 5G 응용   산업분야별 5G 특화망 활용사례  [5G 특화망 벤더Samsung | HFR | Nokia | more
 

해외

  국가별 사설5G 주파수 [국가별 구축현황] 일본 | 독일 | 미국 | 프랑스 | 영국  [사설5G 사업자] Verizon | AT&T | DT | Telefonica | AWS | Microsoft | NTT동일본 | NTT Com    
 

국내

  5G 특화망 뉴스 | 국내 5G 특화망 구축 현황 | 국내 5G 특화망사업자 현황 (19개사) | 국내 자가구축사례 일람 | 국내 특화망 실증사업사례 일람 | 5G 특화망 정책
 
 

[5G 특화망 구축 사례] 한국식품산업클러스터 | 반월시화산단 삼성서울병원 | 롯데월드 | 한국수력원자력 | 해군본부 | 한국전력공사 | more  [이통사] KT

 
 
스폰서채널 |

 HFR Mobile의 5G 특화망 솔루션 (my5G)  Updated   |   뉴젠스의 5G 특화망 구축 및 운영 서비스  NEW  

  스폰서채널 서비스란?
banner
banner
Firewall의 dynamic ACL
Reg. Date: September 07, 2011 By 최우진
안녕하세요. 처음으로 질문을 올려봅니다 ^^ 

Firewall의 일반적인 개념이나 동작은 알고 있습니다. 그런데 Firewall에서 등장하는 Dynamic ACL의 개념은 무엇인가요? 관리자가 Firewall에 permit/deny할 Src/Dst IP를 설정해주면 되는것 아닌가요?? 웹에서도 알기 쉬운 설명은 찾기가 어렵네요..


임정식 2011-09-16 10:51:34
저도 처음으로 답변을 달아봅니다ㅎ

Dynamic ACL이라는 개념을 조금 쉽게 이해하고자 하나의 예를 들어 설명하도록 하겠습니다.

한 기업의 네트워크 관리자가 Src. IP: 10.10.10.1 / Dst. IP: 100.1.1.1에 대한 트래픽만 permit으로 하고 나머지는 모두 deny 했다고 가정해보겠습니다.
(즉, 내부에서 사용하는 10.10.10.1이라는 IP 주소를 가진 PC와 외부의 100.1.1.1이라는 서버의 통신만 허락하고 싶은 것이죠.)
그래서 이 관리자는 아래와 같이 Firewall에 ACL을 정의했습니다.

=====================
ip access-list ACL#1
permit 10.10.10.1 100.1.1.1
deny any any
=====================

이때, 내부(10.10.10.1)에서 Firewall을 거쳐 100.1.1.1로 전달된 트래픽에 대한 응답 트래픽은 어떻게 될까요?

내부에서 외부로 나갈때는 ACL#1에 정의한대로 해당 트래픽이 문제없이 나갈 수 있습니다.
그런데, 이 트래픽에 대한 응답 트래픽은 Src. IP가 100.1.1.1이고 Dst. IP가 10.10.10.1 입니다.
이는 ACL#1에 의해 deny가 되지요. 내부에서 요청한 트래픽에 대한 응답이 외부에서 들어올 수 없게 되는 상황입니다.

돌아오는 트래픽도 permit이 되도록 하려면 관리자가 해당 트래픽에 대해 permit하는 config를 또 한 줄 적어야지요.
(permit 100.1.1.1 10.10.10.1)
그러나 이러한 정보가 더욱 많아진다면 관리자도 하나하나 적용하기도 힘들고 성가시겠죠;;;
새로운 연결이 생성되거나, 기존 연결 정보를 삭제하려면 관리자가 Firewall에 ACL을 일일이 생성/삭제해야하니까요.

그래서 내부 PC와 외부 서버의 연결 즉, 세션에 대한 상태 정보를 Firewall에서 관리할 수 있도록한 Firewall이 등장했습니다.
이름하여 Stateful Firewall.

이러한 Stateful Firewall은 패킷을 까볼 수 있는 Inspection 기능을 수행할 수 있는데, 이를 통해 TCP 세션이 맺어지는 순간부터 해당 세션에 대한 상태 정보를 관리합니다.
이때 Dynamic ACL의 개념이 등장하구요..
앞서 가정했던 것과 동일한 상황 (관리자가 동일한 ACL#1을 Stateful Firewall에 적용)을 살펴보죠.

내부 사용자가 서버에 접속하기 위한 패킷은 Src. IP: 10.10.10.1 / Dst. IP: 100.1.1.1로 생성되어 Firewall에 도착합니다.
이 outgoing 패킷은 ACL#1에 의해 permit되구요.
이때 Firewall에서는 ACL#1에 관리자가 직접 정의하지는 않았지만, Firewall을 통해 나간 트래픽에 대한 응답 트래픽을 허용하기 위해 일시적인 ACL이 자동으로 생성 ('>' 표시된 라인)됩니다.

=====================
ip access-list ACL#1
> permit 100.1.1.1 10.10.10.1
permit 10.10.10.1 100.1.1.1
deny any any
=====================

바로 이렇게 말이죠.

따라서 돌아오는 패킷을 위한 ACL을 관리자가 따로 정의하지 않아도 자동으로 생성되었다가, 일정 시간 동안 해당 패킷이 없으면 자동으로 삭제됩니다.
이러한 기능이 바로 Dynamic ACL입니다.

이렇듯 Dynamic ACL은 관리자에게 편리성을 제공해 줄 수 있을 뿐만 아니라, 보안적인 측면에서도 기존 방식에 비해 더 효율적입니다.
(외부에서 들어오는 패킷을 통한 공격을 막기 위해서 일반적으로 내부에서 나가는 패킷에 대한 ACL만 정의를 하고, 들어오는 패킷은 Dynamic ACL을 이용하여 내부에서 먼저 발생한 패킷에 대해 한시적으로 들어올 수 있도록 허용하기 때문이지요.)

답변을 통해 궁금증이 어느 정도 명쾌해지셨으면 좋겠네요. ^^
Thank you for visiting Netmanias! Please leave your comment if you have a question or suggestion.

 

     
         
     

 

     
     

넷매니아즈 회원 가입 하기

2020년 1월 현재 넷매니아즈 회원은 47,000+분입니다.

 

넷매니아즈 회원 가입을 하시면,

► 넷매니아즈 신규 컨텐츠 발행 소식 등의 정보를 이메일 뉴스레터로

   발송해드립니다.

► 넷매니아즈의 모든 컨텐츠를 pdf 파일로 다운로드받으실 수 있습니다. 

     
     

 

     
         
     

 

비밀번호 확인
코멘트 작성시 등록하신 비밀번호를 입력하여주세요.
비밀번호