http://zx132435.blog.me/221008004389 http://zx132435.blog.me/221008989607 참조 해보지는 않았습니다. 주의할 것.

1. 방화벽 설정 제어판 -> 시스템 및 보안 -> Windows 방화벽 -> 고급 설정 -> 인바운드 규칙 -> 포트 -> " 특정 로컬 포트 " 에 137-139, 445 추가 -> 연결 차단 -> " 이 규칙이 적용되는 시기"에 모두 체크 확인 -> "이름"에 Block SMB -> 마침 2. 윈도우 업데이트 참고 출처: http://blog.alyac.co.kr/1093

방화벽 이중화 두 개의 동일한 장비를 Failover Link로 연결동작 상태를 체크하고 장애 발생시 failover가 작동한다. Active 장비의 IP, Mac 주소는 Standby 장비가 받고, Standby 장비의 IP Mac 주소는 Active 장비가 받는다. 동작모드 Active/Active : 양쪽 장비 모두가 트래픽 처리. 부하분산 가능. Security Context에서만 지원Active/Standby : 한 장비만 트래픽을 처리. Stateful 이중화 주 장비가 현재의 세션 정보를 standby 장비에게 전달한다.장애가 발생해도 사용자들의 접속은 끊어지지 않는다. ASA-1 에서 설정 다하고 ASA-2에서 failover 설정으로 설정을 받아온다. #ASA-1 int g 0 no sh..

Security Context란? ASA/PIX 장비 하나를 가상으로 여러 개의 장비로 사용하는 것하나의 방화벽을 다수의 서로 다른 고객 혹은 조직이 사용할 경우방화벽 이중화 중 Active/Active 처럼 Security Context에서만 동작하는 기능을 사용할 경우 Security Context의 특징 각 Context는 독립된 장비처럼 동작하기 때문에 독립적인 보안 정책, 인터페이스, 라우팅 테이블, 관리자 등을 갖는다.동적 라우팅, 멀티캐스팅, VPN 등은 지원되지 않는다.여러개의 Context가 인터페이스 하나를 공유할 경우 각 Context 별로 개별적인 MAC 주소를 할당해야 한다. 자동 또는 수동 할당 가능. #ESW1vlan 10 name inside vlan 20 name DMZ i..

MPF (Modular Policy Framework) 방화벽 주소와 번호를 이용한 간단한 트래픽과 IP port 제어는 ACL로 가능하다.하지만 응용 계층 트래픽 제어처럼 복잡한 작업은 MPF(모듈화된 보안 정책 설정)를 사용한다. MPF를 이용한 작업 Application 계층의 제어Qos(폴리싱, 셰이핑, 큐잉)TCP normalization(정상화), TCP/uDP 접속 수 제한, time-out 제어, TCP 순서번호 무작위화Network 계층 제어 라우팅은 ospf로 라우터는 wild mask 쓰지만 ASA는 subnet mask 사용한다. #R1router ospf 1network 1.1.1.1 0.0.0.0 area 0network 10.10.10.1 0.0.0.0 area 0network..

라우터는 sh ip int bri 지만 ASA는 sh int ip bri 이다. show interface ip brief nameif 로 인터페이스 이름을 설정해줘야한다. 밑에 Security level default 100으로 설정 됐다. 이름을 설정하면 기본적으로 100으로 설정된다. 이 Security level 은 높은쪽에서 낮은쪽으로 가는 것은 기본적으로 허용이다. ip 추가해주고 no shut 만약 인터페이스 설정해줬는데도 ????? 뜨면서 통신이 안 될 경우 wireshark각 구간1. arp request 지나는지 확인2. arp reply가 지나는지 확인3. icmp echo request가 지나는지 확인3. icmp echo reply가 지나는지 확인 가상환경에서 ASA를 사용할 때는..

ASA(Adaptive Security Appliance) Cisco 방화벽 장비 IPS Module 장착 지원 바이러스, 스파이웨어 방지, 스팸/피싱 차단과 필터링 방화벽 이중화 구성 interface 마다 security level을 지정한다. 레벨마다 기본적으로 허용되는 트래픽이 있다. 높은쪽에서 낮은 쪽으로 나가는 것은 기본적으로 허용이 된다. [GNS ASA 장비 추가] New 눌러서 새로 만들어준다. 메모리는 1기가로 그대로 놔두고 이미지 넣어준다. ASA 장비를 새로 사용할 때 반드시 해야 할 두가지 1. activation key 입력하기 2. 모든 설정을 초기화 시키기. enconf t sh veractivation-key ~wrreload enconf tclear config allsh..

Web Protection 사용자들이 사용하는 웹 환경을 안전하게 만들어 주는 기능 요청메시지를 보고 보안상에 문제가 있을 것 같은 사이트들의 주소를 자동으로 차단. Allow인 경우 아래에 매칭이 되지않으면 허용 항목이 더럽게 많다.. 만약에 왼쪽에 체크해도 필터링 되지 않는다면 오른쪽에 추가해주면 된다. auction.co.kr 를 따로 추가 해주고 접속해보았다. 블락 뜬다. 혹시나 해서 nslookup으로 ip를 알아와서 ip로 직접 접속하니 우회가 된다. Server Load Balancing 엄청나게 많은 요청이 들어오면 정상적인 요청임에도 불구하고 서버 입장에선 DOS공격처럼 느껴진다. 따라서 Load Balancing이 필요하다. DB는 서버가 여러대라면 서로 동기화를 시킨다. 이 로드 밸런..

외부에서 camel 웹 서버에 접근하게끔 하고 싶다. Matching Condition 이러한 패킷이 발견 된다면 Action 이렇게 해라. 출발지는 상관없지만 목적지는 UTM 장비의 External address다. 서비스는 물론 HTTP Automatic Firewall rule 은 자동으로 방화벽 예외에 추가하는 것이다. 백트랙에서도 bridge 주고, bridge에 해당하는 아이피 주고 접속해보니 들어가진다.아래 망에선 59.5.12.0 이라고 되있지만 각자 네트워크에 따라 다르다. eth0 VMnet1은 서버들 연결할 서버망eth1 VMnet2은 Internal 망eth2 VMnet0(Bridged) 인터넷망 마지막으로 Linux 에 DHCP 서버를 올릴 계획이다. UTM에서 Relay Agen..

2개가 통합되서 하나로 바뀌고 2개가 또 새로 추가되었네요전반적으로 큰 변동은 없습니다이게 정식은 아니고 8월즈음에 정식으로 나온다고 하네요