고정 헤더 영역
상세 컨텐츠
본문
다산 V6424 추가설정 (Rule 설정)
1. Admin-access-rule 설정 ( 설정 시 반드시 아래내용을 숙지하여야 합니다.)
1.1 telnet, ftp, snmp 접속 허용 및 거부 관련 flow 설정
설정 방법
V6424(config)# flow admin telnet_permit create
V6424(config-admin-flow[telnet_permit])# ip 2.2.2.0/24 any tcp any 23
V6424(config-admin-flow[telnet_permit])# apply
V6424(config)# flow admin ftp_permit create
V6424(config-admin-flow[ftp_permit])# ip 2.2.2.0/24 any tcp any 21
V6424(config-admin-flow[ftp_permit])# apply
V6424(config)# flow admin snmp_permit create
V6424(config-admin-flow[snmp_permit])# ip 2.2.2.0/24 any tcp any 161
V6424(config-admin-flow[snmp_permit])# apply
=> 특정 Network(운용자의 IP등 2.2.2.0/24)과 Service에 대해 정의.
V6424(config)# flow admin telnet_deny create
V6424(config-admin-flow[telnet_deny])# ip any any tcp any 23
V6424(config-admin-flow[telnet_deny])# apply
V6424(config)# flow admin ftp_deny create
V6424(config-admin-flow[ftp_deny])# ip any any tcp any 21
V6424(config-admin-flow[ftp_deny])# apply
V6424(config)# flow admin snmp_deny create
V6424(config-admin-flow[snmp_deny])# ip any any tcp any 161
V6424(config-admin-flow[snmp_deny])# apply
=> 모든 Network과 Service에 대해 정의
1.2 telnet, ftp, snmp 접속 허용 및 거부 관련 class 설정
설정 방법
V6424(config)# class admin admin_permit flow telnet_permit ftp_permit snmp_permit
=> 허용할 flow를 class로 묶음
V6424(config)# class admin admin_deny flow telnet_deny ftp_deny snmp_deny
=> 차단할 flow를 class로 묶음
1.3 telnet, ftp, snmp 접속 허용 및 거부 관련 policy 설정
설정 방법
V6424(config)# policy admin permit create
V6424(config-admin-policy[permit])# include-class admin_permit
V6424(config-admin-policy[permit])# priority medium
V6424(config-admin-policy[permit])# action match permit
V6424(config-admin-policy[permit])# apply
=> 허용할 class에 대해 허용정책 적용
V6424(config)# policy admin deny create
V6424(config-admin-policy[deny])# include-class admin_deny
V6424(config-admin-policy[deny])# priority low
V6424(config-admin-policy[deny])# action match deny
V6424(config-admin-policy[deny])# apply
=> 차단할 class에 대해 차단 정책 적용
주의> Admin-access-rule 설정 시 반드시 운용자의 IP 허용을 먼저 설정해야 함.
주의> Admin-access-rule 설정은 flow => class => policer => policy 순으로 설정해야 함.
2. Rule 설정
2.1 worm 및 virus 등 공격성 L4 port flow 설정
설정 방법
V6424(config)# flow udp_1434 create
V6424(config-flow[udp_1434])# ip any any udp any 1434
V6424(config-flow[udp_1434])# apply
V6424(config)# flow tcp_707 create
V6424(config-flow[tcp_707])# ip any any tcp any 707
V6424(config-flow[tcp_707])# apply
V6424(config)# flow tcp_4444 create
V6424(config-flow[tcp_4444])# ip any any tcp any 4444
V6424(config-flow[tcp_4444])# apply
V6424(config)# flow tcp_139 create
V6424(config-flow[tcp_139])# ip any any tcp any 139
V6424(config-flow[tcp_139])# apply
V6424(config)# flow tcp_135 create
V6424(config-flow[tcp_135])# ip any any tcp any 135
V6424(config-flow[tcp_135])# apply
=> udp 1434, tcp 707, tcp 4444, tcp 139, tcp 135에 대한 flow 설정
2.2 worm 및 virus 등 공격성 L4 port class 설정
설정 방법
V6424(config)# class L4_deny flow udp_1434 tcp_707 tcp_4444 tcp_139 tcp_135
=> udp_1434, tcp_707, tcp_4444, tcp_139, tcp_135 flow에 대해 class 설정
2.3 worm 및 virus 등 공격성 L4 port policy 설정
설정 방법
V6424(config)# policy L4_deny create
V6424(config-policy[L4_deny])# include-class L4_deny
V6424(config-policy[L4_deny])# priority low
V6424(config-policy[L4_deny])# interface-binding port ingress any
V6424(config-policy[L4_deny])# action match deny
V6424(config-policy[L4_deny])# apply
=> L4_deny class에 대해 policy 설정
주의> Rule 설정은 flow => class => policer => policy 순으로 설정해야 함.
3. martian-filter 설정 ( 상위 uplink Vlan 제외 )
설정 방법
V6424(config)# ip martian-filter 1
=> interface 1에 martian-filter를 설정
=> 해당 interface 에 설정된 IP 이외에 모든 IP 를 drop 한다.
반응형
'IT > DASAN' 카테고리의 다른 글
| 다산 V6424 유해 트래픽 차단 설정 (0) | 2017.05.15 |
|---|---|
| 다산V6424 초기화 및 기본설정 (0) | 2017.05.12 |
| 다산 스위치 V6424 샘플 configuration 설정 (0) | 2017.04.28 |
