사람들이 IPsec을 생각할 때 데이터 암호화를 생각하지만 패킷을 삭제하거나 암호화없이 허용하는 데 사용할 수도 있습니다. 소스 및 대상 IP 주소 및 포트 번호를 기반으로 이 작업을 수행할 수 있습니다. 방화벽이 하는 일입니다. 따라서 VOS의 IPsec 기능을 방화벽으로 사용할 수 있습니다.
예를 들어*.12345에서 수신 대기하는 내부 문서 서비스 응용 프로그램이 있다고 가정해 보겠습니다. 공급업체의 네트워크에 연결되는 모듈에 새 인터페이스가 추가되었습니다. 해당 네트워크의 어느 누구도 문서 서비스에 연결해서는 안 됩니다. 이상적으로 는 포트 12345를 차단하는 모듈과 공급 업체의 네트워크 사이의 네트워크에 방화벽이 있지만 "심층 방어"의 원칙은 네트워크 및 호스트 기반 방화벽이 네트워크 방화벽보다 낫다고 말합니다.
IPsec을 구성하여 공급업체 네트워크에서 연결을 삭제하는 방법에는 여러 가지가 있습니다. 가장 간단한 방법은 새 인터페이스에 해당하는 대상 IP 주소로 포트 12345에 대한 연결을 삭제하는 것입니다. 새 인터페이스에 IP 주소가 172.16.1.1이라고 가정하면 IPsec 정책은
{daddr 172.16.1.1 ulp tcp dport 12345 dir in} 드롭 {}
iPsec 정책은 ipsec_policy_admin 명령에 추가됩니다. 기본 구성 파일은 >system>stcp>ipsec.conf이지만 모든 파일을 지정할 수 있습니다. 이 작업을 위해 모듈은 패킷을 전달해서는 안되며, 그렇지 않으면 172.16.1.1 인터페이스에서 수신되는 다른 모듈 인터페이스에 대한 연결 요청이 전달됩니다. 대상은 172.16.1.1 IPsec이 아니기 때문에 연결을 허용합니다. 실제로 사용해야 한다는 것을 알지 못하면 전달을 해제하는 것이 좋습니다. IP_forwarding 명령으로 전달을 해제합니다. 예 IP는 대문자입니다.
새 인터페이스가 추가되지 않고 내부 사용자와 공급업체가 동일한 인터페이스를 사용하는 경우 대상 주소가 아닌 소스 주소에 정책을 기본으로 지정해야 합니다. 공급업체의 네트워크가 192.168.1.0/24라고 가정하면 정책은
{saddr 192.168.1.0/24 ulp tcp dport 12345 dir in} 드롭 {}
물론 공급업체 네트워크의 호스트가 모듈의 다른 서비스에 연결할 수 있습니다. 공급자를 하나의 서비스로만 제한할 수 있습니다., 포트에서 듣고 하나 말 24680 다음 정책
{saddr 192.168.1.0/24 ulp tcp dport 24680 dir in} 바이패스 {}
{saddr 192.168.1.0/24 ulp tcp dir in} 드롭 {}
문서 서비스가 하나의 부서 문서만 호스팅하는 경우 해당 부서의 서브넷에서만 12345포트에 대한 연결을 허용하는 정책을 설정할 수 있습니다.1.1.0/28 정책과 함께
{saddr 10.1.1.0/28 ulp tcp dport 12345 dir in} 우회 {}
{saddr 0.0.0.0.0/0 ulp tcp dport 12345 dir in} 드롭 {}
주문을 취소하면 아무도 포트 12345에 연결할 수 없습니다.
CIO가 문서에 액세스할 수 있어야 하는 경우 CIO워크스테이션 주소에 대한 정책을 추가할 수 있습니다.
{saddr 10.1.1.0/28 ulp tcp dport 12345 dir in} 우회 {}
{saddr 10.7.7.7 ulp tcp dport 12345 dir in} 우회 {}
{saddr 0.0.0.0.0/0 ulp tcp dport 12345 dir in} 드롭 {}
IPsec을 실험할 때 항상 연결을 허용하는 정책이 있는지 확인하므로 IPsec 정책은 추가되는 즉시 작동하므로 잘못 입력된 정책이 모듈에서 연결을 끊을 수 있도록 재부팅하거나 다시 시작할 필요가 없습니다. 예를 들어 워크스테이션의 IP 주소가 10.1.100.50이라고 가정하면 항상 정책 파일에 다음 정책을 먼저 배치합니다.
{saddr 10.1.100.50 ulp tcp dir in} 우회 {}