원글 페이지 : 바로가기
네트워크 중간에서 해당 장비를 통과하는 트래픽을 정책 조건에 맞춰 허용 or 차단하는 장비 세션 테이블이 있는 방화벽 패킷이 외부로 나갈 때 세션 정보를 저장하고 패킷이 들어오거나 나갈 때 저장했던 세션 정보를 먼저 참조한다. 들어오는 패킷이 외부에서 처음 시작된 것인지 내부 사용자가 외부로 요청한 응답인지 가려낸다. 방화벽은 세션 테이블을 이용해 패킷의 인과 관계를 파악 세션테이블을 이용해 패킷의 인과 관계를 파악해 정책을 간단히 유지할 수 있다. 만약, 세션테이블이 없다면 상태 정보를 담아두는 공간이 없어 세션 방향성을 파악하지 못함 > 정책을 복잡학게 관리해야 함 인터넷과 같이 불특정 다수와 통신해야 할 때는 정책의 복잡도가 증가하므로 방화벽은 메모리에 남은 상태와 세션 정보를 이용해 패킷을 상세히 로깅하고 관찰 4계층 장비를 통과 시 유의 (세션 관리) 세션 장비는 2,3계층 네트워크 장비와 달리 세션을 이해하고 세션 테이블을 유지함 세션 테이블 정보를 이용해 패킷을 변경하거나 어플리케이션 성능을 최적화하고 보안을 강화를 위해 패킷을 포워드하거나 드랍가능 세션 테이블 유지 및 세션 정보 동기화 세션 정보는 무제한으로 저장할 수 없고 여러 어플리케이션을 관리하므로 일반적인 어플리케이션에 맞춰 적당한 세션 타임아웃 값을 유지해야함 세션 타임아웃 값 보다 어플리케이션의 세션 타임아웃 값이 짧으면 생기는 문제 중간 세션 장비의 유지 시간이 지나 세션 테이블에 있는 정보가 사라졌는데 양쪽 단말에서는 세션이 유지되고 있다면 다시 통신이 시작되어 데이터를 보낼 때 중간 세션 장비에서 막히는 문제가 발생한다. 세션장비의 세션테이블에 세션 정보가 없는 상황에서 SYN가 아닌 ACK로 표시된 패킷이 들어오게 되면 세션 장비에서는 비정상적 통신으로 판단해 패킷을 차단한다. 이러한 문제는 세션 장비와 어플리케이션에서 각 세션 타임아웃 값에 대한 설정을 적용해 해결 가능 세션 장비 운영자 입장 세션 만료 시 세션 장비에서 양 단말에 통보 세션 만료 시의 동작 과정은 다음과 같다. 1. 세션 설정 2. 일정 시간 동안 통신 없음 3. ① 세션 타임아웃값이 넘어 세션 만료 4. ② 방화벽에서 양 종단 장비에 RST 패킷 전송 A. A, B 장비 통신일 경우 B. A 장비에는 출발지 B, 도착지 A인 RST 패킷 전송 C. B 장비에는 출발지 A, 도착지 B인 RST 패킷 전송 5. ③ RST 패킷을 받은 양 종단 장비는 해당 프로세스 종료 세션 만료 시간 증가 어플리케이션 세션 유지 시간보다 방화벽 세션 유지 시간이 더 길어야한다. 세션 시간은 둔 채로 중간 패킷을 수용할 수 있도록 방화벽 설정 세션 테이블에 정보가 없는 ACK 패킷이 들어오면 방화벽은 패킷을 차단하지만 옵션을 조정해 세션 테이블에 없는 ACK 패킷이 들어오더라도 세션을 새로 만들어 통과시킬 수 있는 옵션이 있다. 하지만 이러한 방법은 보안을 취약하게 만든다. 때문에, 여러가지 고려가 필요하고 가능하면 적용하지 않는게 좋다. 세션 장비에서 세션 타임아웃 시 양 단말에 세션 종료 통보 세션 테이블 유지에 대한 문제는 양 종단의 세션 정보와 중간 세션장비의 세션정보가 일치하지 않아서 발생함 그러므로 세션 상태정보를 강제로 공유하기 위해 세션 장비에서는 세션 타임아웃 시 세션 정보를 삭제하는 것이 아닌 세션 정보에 있는 양 종단 장비에 세션 정보 만료를 통보 개발자 입장 세션 장비의 세션 테이블을 유지하기 위해 통신이 없더라도 어플리케이션에서 상태 체크 패킷을 보낸다 어플리케이션에서 주기적인 패킷 발생 기능 추가 어플리케이션과 세션 장비의 타임아웃 시간을 일치시키는 가장 좋은 방법은 어플리케이션에서 패킷을 주기적으로 발생시키는 것 주기적으로 더미 패킷을 보내게 되어 방화벽에서는 세션 타임아웃이 발생하지 않는다 비대칭 경로 문제 네트워크 안전성을 높이기 위해 회선과 장비를 이중화한다. 이때 패킷이 지나는 경로는 2개 이므로 인,아웃 바운드 패킷의 경로가 같거나 다를 수 있다. 인,아웃 바운드 패킷이 같은 장비를 통과하는 것을 대칭 경로 다른 장비를 통과하는 것을 비대칭 경로 대칭 경로. 인,아웃 바운드 패킷이 한 장비를 통과해 통신에 문제 없음 비대칭 경로, 인,아웃 바운드 패킷이 한 장비를 통과하지 않아 세션 정보가 없어 패킷이 드롭 세션 장비는 세션 테이블을 만들어 관리해야 하므로 패킷이 들어오고 나갈 때 동일한 장비를 통과해야한다. 네트워크 경로 이중화를 위해 세션 장비를 두 대 이상 설치한 경우 패킷이 들어올 때와 나갈 때 경로가 일정하지 않으면 정상적 서비스가 되지 않는다. 그래서 비대칭 경로가 생기지 않도록 네트워크 경로를 디자인하는게 중요 1. 세션 테이블 동기화 세션 테이블을 동기화하면 두 개의 경로상의 두 장비가 하나의 장비처럼 동작한다. 그래서 비대칭 경로에서도 정상적으로 동작할 수 있다. 이 방식을 이용해 패킷의 경로를 변경하지 않아도 된다는 이점이 있다. 하지만, 패킷 응답 시간이 세션 동기화 시간보다 빠르게 되면 정상적으로 동작하지 않을 수 있다. 해당 기능은 비교적 응답시간이 긴 인터넷 게이트웨이로 방화벽이 사용될 때 자주 사용된다. 2. 비대칭 경로가 생길 경우 세션 장비에서 다양한 방법으로 보정 인바운드 패킷이 통과하지 않았는데 아웃바운드 패킷이 장비로 들어온 경우, 인바운드 패킷을 통과한 다른 세션 장비 쪽으로 패킷을 보내 경로를 보정한다. 강제로 대칭 경로를 만들어주게 되므로 비대칭 경로문제를 해결 가능 출처 :https://thebook.io/007046/0010/ https://velog.io/@indongcha/IT-%EC%97%94%EC%A7%80%EB%8B%88%EC%96%B4%EB%A5%BC-%EC%9C%84%ED%95%9C-%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EC%9E%85%EB%AC%B8-6%EC%9E%A5-%EB%A1%9C%EB%93%9C%EB%B0%B8%EB%9F%B0%EC%84%9C-%EB%B0%A9%ED%99%94%EB%B2%BD-4%EA%B3%84%EC%B8%B5-%EC%9E%A5%EB%B9%84%EC%84%B8%EC%85%98%EC%9E%A5%EB%B9%84