ACL(Access-list)

1. Congestion(네트워크 혼잡)

: 네트워크 전체 Bandwidth보다 그 네트워크를 지나는 데이터가 많이 몰리게 되면 발생 (네트워크 상에서 필연적으로 발생)

 

[congestion 방지 방법]

1) 사용자와 어플리케이션에 대한 filtering : 무분별한 접근 제어

 

2. Filtering 기능 : Arista 7130 장비의 MetaProtect

2-1) MetaProtect는 Arista 7130 시리즈의 FPGA 기반 네트워크 애플리케이션 중 하나로, 트래픽 필터링과 같은 방화벽 역할

2-2) 설계 목적 

2-3) 성능 및 지연 시간

2-4) 기능 범위

2-5) 처리 방식

2-6) 장단점 비교

 

 

네트워크 트래픽을 필터링하기 위한 간단하고 기본적인 보안 메커니즘인 ACL (Access Control List)에 대해 알아보자.

 

 

3. ACL의 역할

1) 기본적인 보안 제공

• 네트워크 경계에서 불필요하거나 위험한 트래픽 차단.
• 예: 내부 네트워크에 외부에서 접근하는 특정 IP 차단.

2) 네트워크 성능 최적화

• 불필요한 트래픽을 초기에 차단하여 네트워크 리소스를 절약.
• 예: 악성 트래픽이나 비승인된 데이터 흐름을 방지.

3) 트래픽 흐름 제어

• 특정 애플리케이션이나 서비스만 네트워크에서 허용.
• 예: HTTP(포트 80) 트래픽은 허용하되, FTP(포트 21)는 차단.

 

4. ACL의 한계

ACL은 단순한 트래픽 필터링 도구로 설계되었기 때문에 한계가 있음

1) 제한된 보안 기능

• ACL은 트래픽 패턴 분석이나 **딥 패킷 검사(DPI)**를 수행하지 못합니다.
• 예: 악성 코드 탐지, 애플리케이션 계층의 세부 트래픽 분석 불가.

2) 상태 비저장(Stateless)

• ACL은 세션 상태를 저장하거나 추적하지 않습니다.
• TCP 세션이 연결되었는지 여부와 관계없이 규칙만 기반으로 동작합니다.

3) 동적 환경에 부적합

• ACL은 정적 규칙 기반으로 작동하므로, 빠르게 변화하는 네트워크 환경에 적응하기 어렵습니다.

4) 관리 복잡성

• 많은 규칙이 작성되면 관리와 유지보수가 어렵고, 설정 오류가 발생할 가능성이 증가합니다.