기본 개념
Active/Standby
- L2/L3/가상회선에서 사용 가능.
- 구성 간편, 트러블 슈팅 간편
Active/Active
- L3/가상회선에서 사용 가능
- 세션 및 라우팅 동기화함
- 장비별 IP 필요.
- 구성 복잡
- 페일오버 속도가 빠르고 트래픽 처리를 더 많이 할 수 있음
HA
- Control Link(HA1), Data Link(HA2)가 필요함
- 모델별로 전용 HA 포트가 있거나, In-Band 포트를 HA로 사용함
PoC한 5260 장비는 전용 HA 포트가 있음.(HA1-A, HA1-B)
HA2는 In-band로 연결.
- Control Link에는 HA 정보, Hello Message, HeartBeat 에 사용 됨 (HA1)
- Data Link는 세션, 라우팅 테이블, IPsec 보안연결, ARP 테이블 동기화에 사용 됨(HA2)
- A-A 모드일때, HA3 링크도 필요함
Failover
- Link-Monitor : Link or Link Group을 모니터링하여, 일부 혹은 전체 단절 시 스탠바이 장비로 페일오버 시킴
- Path-Monitor : Virtual Wire, Virtual Router, VLAN을 기반으로 사용. ICMP를 전송해서 응답이 없을 경우 페일오버 시킴. 링크모니터링으로 충분하지 않은 virtual wire, vlan에 사용
- 장비 간 HeartBeat 체크 및 Hello Message 체크가 안될 경우
- 장비의 크리티컬한 오류가 발생했을 때
virtual wire (L1)
Virtual router
- 방화벽의 가상 라우터 (L3 라우팅 처리)
Path-Monitor (static routing)
- Destination or Destination Group에 icmp를 날려서 모니터링, 일부 혹은 전체 icmp 실패 시 라우팅 정보를 RIB, FIB에서 날려버려서 차선 경로를 탈 수 있도록 함
아키텍처
3P (Single Pass Parallel Processing)
- 각각의 기능을 하는 ASIC이 병렬 처리하여 한번의 프로세싱으로 퍼포먼스 저하 없이 트래픽을 처리
Packet Flow
1. Ingress (패킷 초기화 단계)
[ packet ingress process ]
- L2 - L4 헤더 정보 추출 및 파싱
- Ingress 인터페이스/존 lookup
- IP 조각화 재조립 (reassembly)
[ Ingress process error ]
- ingress process 과정에서 error 발생하면 discard
※ error는 ip version / ethernet type mismatch 등
[ FW inspection applicable ]
- FW inspection이 필요한지 확인하는 단계
- interface mode에 따라 처리방식이 상이함
[ IPSec/SSL-VPN tunnel packet ]
- tunneling packet이면 decapsuplation 후 packet ingress process부터 다시 진행
- tunneling packet이 아니면 FW Fastpath proceess 수행
[ Firewall Session lookup]
- 트래픽이 기존 세션과 매칭 되는지 6-tuple을 대조하여 확인
※ 6-tuple : src/dst IP and Port, Protocol, Security Zone(ingress interface를 통해)
- 신규 세션인 경우 slowpath process를 진행, 기존세션은 fastpath를 진행
2. FW Slowpath (세션 설정 단계)
- 방화벽 세션을 수립하는 단계임. slowpath 단계에선 lookup만 이뤄짐
- 향후 동일한 세션으로 후속 패킷이 오갈경우 slowpath 단계를 건너뛰고 fastpath 과정만 거침.
[Forwarding lookup]
- 인터페이스 모드에 따라 전달 경로를 결정.
L2 mode는 MAC table을, L3 mode는 라우팅 테이블을 lookup하여 결정.
[NAT Policy lookup]
- L3 mode와 virtual wire에 해당
- DNAT의 경우 한번더 전달 경로를 lookup 함
[User-ID lookup]
- user ip table에서 source IP를 이용하여 user 정보를 가져옴
- 유저 정보를 토대로 유저가 속한 그룹 정보도 가져옴
[DoS Protection lookup]
- 단일 IP(Classfied Profile) or 정책에 매칭(Aggregate Profile)되는 패킷에 임계치를 걸어서 초과시 차단시킬 수 있음.
[Firewall security policy lookup]
- 방화벽 정책 lookup 후 포트 방화벽 수준의 정책 Action을 적용 (Rule match with action allow?)
- 포트 방화벽 수준이라고 함은, 해당 단계에선 app-id를 'any'로 세팅하여 rule 매칭을 체크하는 것을 말함
[Create and Install Session]
- Flow lookup table에 세션 유무 확인 후 C2S(Client to Server), S2C(Server to Client) 각각 단방향 세션 생성
3. FW Fastpath (보안 정책 처리)
- 기존 세션이 있거나 신규로 세션이 생성하고 난 뒤 적용되는 절차
- 기존 세션이 있으므로 정책 lookup(조회) 과정을 건너 뜀.
※ 신규 세션은 Slowpath 절차를 거친 후 Fastpath 절차를 밟음
- 실제 L2-L4 트래픽이 Rule에 의해 처리됨
[L2-4 Firewall processing]
- 트래픽의 L2-L4 헤더값을 정책과 대조하는 절차
- 세션 타임을 리셋시킴 (만료된 세션은 discard)
- NAT 적용
[SSL proxy: decrypt packet if applicable]
- ssl/tls 트래픽을 복호화 함
4. Application identification (APP-ID 식별)
[Pattern-based application identification]
- app-override policy에 매칭되지 않으면 시그니처 기반으로 APP의 패턴을 식별
[Security policy lookup based on application]
- application에 해당하는 정책 Action 적용
5. Content inspection (콘텐츠 검사)
- 프로토콜 파싱/디코딩, 콘텐츠 매칭, 터널이 적용된 어플리케이션 탐지 등의 콘텐츠 검사를 수행
- 검사가 모두 완료되면 복호화한 ssl/tls 트래픽을 다시 암호화 함.
6. Forwading/Egress
- 앞선 절차에서 정의된 설정을 통해 route/swtich/virtual wire 포워딩을 수행함
- QoS(Shaping)을 적용하고, 다시 IP 패킷을 조각화 함
- 터널 인터페이스면 다시 터널링을 맺어서 Egress 절차를 다시 수행함.
결론
참고
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVHCA0
'보안 > 보안솔루션' 카테고리의 다른 글
| checkpoint url filtering (HTTPS inspection X) (0) | 2022.06.30 |
|---|---|
| 2. 팔로알토 NGFW - 초기 세팅 (0) | 2022.05.19 |
| SASE (0) | 2022.05.19 |
| ZeroTrust (0) | 2022.05.19 |
| CASB (0) | 2022.05.19 |
