KyumLab

패킷이 전송될 때 하나의 세션에 포함되는 패킷들이 반드시 동일한 방화벽을 통해서 전달되는 것은 아니다. 

따라서 방화벽을 이중화하여 구성함에 있어서, 각각의 방화벽에서 패킷 검사가 정상적으로 수행되기 위해서는 이중화된 방화벽 사이에 세션의 상태 정보(이하, 세션 정보)가 동기화되어야 한다. 뿐만 아니라, 하나의 방화벽에 오류가 발생하여 모든 패킷이 다른 한 방화벽에만 전송되는 경우에 도 마찬가지로 패킷 검사를 정상적으로 수행하기 위해서는 이중화된 방화벽 사이에 세션 정보가 동기화되어야 한다.

NAT

NAT(Network Address Translation)의 약자로써 네트워크 주소 변환을 의미합니다.

NAT의 종류는 여러가지가 있지만 현재 우리 NGFW에서 지원하는 NAT의 종류는 4가지가 있습니다.

1)     XNAT(eXclude NAT) : 해당 출발지 목적지에 대해서는 NAT를 제외합니다.

2)     SNAT(Source NAT) : 출발지에 대해서 NAT를 수행합니다.

3)     DNAT(Destination NAT) : 목적지에 대해서 NAT를 수행합니다.

4)     FNAT(Full NAT) : SNAT + DNAT, 출발지와 목적지 두 개에 대해서 NAT를 수행합니다.

보안존의 관점에서 NAT를 썼던 걸 생각해보면 SNAT는 ‘내부’=>’외부’ 보안존으로 갈 때 사용하는 NAT이고 DNAT의 경우는 ‘외부’=>’내부’의 보안존으로 갈 때 사용하는 NAT입니다.

             DNAT 예제)

ð  실제 테스트망에 Breaking Point 들여올 때 낸 퀴즈입니다.

10.0.6.203에 대해서 10.0.5.0/24 에 대해서 대역대가 다르기 때문에 이럴 때 DNAT를 사용합니다.

PC사용자 예를들어 10.0.50.52에서 10.0.6.203으로 접속 시 목적지에 대해서 10.0.6.203을 10.0.5.x의 대역대로 변환해 줌으로 써 통신이 되도록 하는 것입니다.

             Full NAT 예제)

ð  출발지와 목적지를 둘 다 NAT 시킵니다. 실제로 설치해보면서 어떻게 동작하는지 배울 수 있었습니다.

139번 Full NAT

NAT시 우리가 흔히 말하는 일반 NAT는 IPv4 NAT를 의미합니다. NAT는 버전에 따라 3가지 종류로 구분 할 수 있겠습니다.

1)     일반 NAT (IPv4)

2)     NAT64 (IPv6 -> IPv4)

3)     NAT46(IPv4 -> IPv6)

다음으로 NAT의 유형에 대해서도 정리 해보겠습니다.

1)     Static NAT(1:1) : 사설,공인 IP에 대해서 1:1맵핑을 시켜줌, 외부->내부 접속시 사용

2)     NAT-PAT(N:1) : 다수의 사설 IP를 1개의 공인 IP로 변환 시킴 (공유기)

3)     Dynamic NAT(N:M) : 대역과 대역간의 NAT를 시킬 때 사용

VRRP(Virtual Router Redundancy Protocol)

VRRP 여러 대 (최소 2대 이상)의 Router를 하나의 group으로 묶어서, Client가 바라보는 Gateway에 대한 IP Address를 공유하며, Priority가 높은 Router가 동작하다가, Router에 문제가 발상하면, 그 다음 Priority를 가진 Router가 Active role를 가지고 Gateway IP Address를 넘겨 받아 동작하여, Client 입자에서는 Router의 장애와 관계 없이 Gateway의 IP Address를 변경하지 않고 Data를 전달합니다.

실제로 꾸며봤던 VRRP 망 입니다.

위아래 이중으로 VRRP를 걸고 137번 eth1에 대해서 장애가 발생 했을 때의 llcf 동작과 함께 VRRP의 master-backup 동작을 테스트 해봤었습니다. 실제로 137번 eth1번이 장애로 인해 끊어졌을 시 eth2가 llcf로 인해서 같이 끊어짐과 동시에 138번이 master 역할을 가져가는 동작을 확인하였고 master를 가져감과 동시에 VIP를 가져오는 걸 확인 하였습니다.