18.12.11. 고급 필터 구성 주제
다음 섹션에서는 고급 필터 구성 항목에 대해 설명합니다.
18.12.11.1. 연결 추적
네트워크 필터링 하위 시스템(Linux)은 IP 테이블에 대한 연결 추적 지원을 사용합니다. 이를 통해 네트워크 트래픽(상태 일치)의 방향성을 적용하고 게스트 가상 시스템에 대한 동시 연결 수를 계산 및 제한하는 데 도움이 됩니다. 예를 들어 게스트 가상 시스템에 TCP 포트 8080이 서버로 열려 있는 경우 클라이언트는 포트 8080의 게스트 가상 머신에 연결할 수 있습니다. 방향성에 대한 연결 추적 및 적용은 게스트 가상 머신이 (TCP 클라이언트) 포트 8080에서 호스트 물리적 시스템과 원격 호스트 물리적 시스템으로의 연결을 시작하지 못하도록 합니다. 더 중요한 것은 추적이 원격 공격자가 게스트 가상 머신에 다시 연결하는 것을 방지하는 데 도움이 됩니다. 예를 들어 게스트 가상 머신 내부의 사용자가 공격자 사이트에서 포트 80에 대한 연결을 설정한 경우 공격자는 게스트 가상 머신으로 다시 TCP 포트 80에서 연결을 시작할 수 없습니다. 기본적으로 연결 추적을 활성화하는 연결 상태 일치 및 트래픽 방향성 적용이 설정되어 있습니다.
예 18.9. TCP 포트 연결을 해제하는 XML 예
다음은 TCP 포트 12345에 대한 수신 연결을 위해 이 기능이 꺼져 있는 XML 조각의 예를 보여줍니다.
[...]
<rule direction='in' action='accept' statematch='false'>
<cp dstportstart='12345'/>
</rule>
[...]
이제 TCP 포트 12345로 들어오는 트래픽을 허용하지만 VM 내에서 (클라이언트) TCP 포트 12345를 시작해도 바람직하지 않을 수도 있습니다.
