728x90
반응형
Cisco의 IOS 방화벽 기능 중 하나로, 트래픽의 상태(State)를 추적하며 접근 제어하는 기술입니다.
핵심 개념 요약
| 항목 | 설명 |
| 정의 | 트래픽의 상태 정보를 기반으로 동적으로 ACL을 생성하여 트래픽을 허용 또는 차단 |
| 역할 | 내부에서 시작된 합법적인 트래픽에 대해 외부 응답을 허용하고, 그외엔 차단 |
| 추적 대상 | TCP/UDP 세션, FTP의 제어 및 데이터 채널 등 상태 추적이 필요한 프로토콜 |
| 동작 방식 | 1. 트래픽 감시 2. 세션 테이블 생성 3. 일시적인 ACL 적용 4. 세션 종료 시 삭제 |
| 장점 | 일반 ACL과 달리 응답 패킷을 자동으로 허용하여 보안 + 유연성 확보 |
예시 비교
| 일반 ACL | CBAC |
| 트래픽의 방향만 고려(in/out) | 트래픽 상태까지 고려(stateful) |
| 수동 설정 필요 | 자동 ACL 생성 (동적) |
| FTP처럼 역방향 트래픽 허용 어려움 | FTP 데이터 채널 등도 자동 허용 가능 |
| 보안성 낮음 | 보안성 + 실용성 모두 우수 |
예시 상황
- 내부 PC에서 외부 웹사이트에 접속 →
CBAC는 이 세션을 추적해서 외부 서버의 응답 트래픽은 자동 허용
(기존 ACL이라면 별도로 응답 허용 설정 필요)
주의할 점
- 라우터에서만 동작(L3 장비)
- 설정 시 insperction rule + interface 설정 필요
- 이제는 Zone-Based Firewall(ZBF)으로 점점 대체되는 추세
반응형
'네트워크 > 네트워크' 카테고리의 다른 글
| ZBF(Zone-Based Firewall) (0) | 2025.07.25 |
|---|---|
| RALC DACL (2) | 2025.07.25 |
| NAT, PAT 실습(Static, Dynamic) (1) | 2025.07.23 |
| BGP (2) | 2025.07.22 |
| NAT (2) | 2025.07.22 |
