6장 로드밸런서/방화벽: 4계층 장비(세션 장비)

2022. 9. 19. 22:34

6.1 4계층 장비들의 특징

4계층 장비는 TCP와 같은 4계층 헤더에 있는 정보를 이해하고 이 정보들을 기반으로 동작함
2, 3계층 네트워크와 차이가 있는데 세션 테이블과 그 안에서 관리하는 세션 정보가 가장 중요하다.
그래서 4계층 장비들을 '세션 장비'라고 부르기도 함
세션 테이블
- 세션 장비는 세션 테이블 기반으로 운영됨
- 세션 정보를 저장, 확인하는 작업 전반에 대한 이해가 필요함
- 세션 정보는 세션 테이블에 남아 있는 라이프타임이 존재함
Symmetric(대칭) 경로 요구
- Inbound 와 Outbound 경로가 일치해야함
정보 변경 (로드밸런서의 경우)
- IP주소가 변경되며 확장된 L7 로드밸런서(ADC)는 애플리케이션 프로토콜 정보도 변경됨

L4 스위치
- 4계층에서 동작하면서 로드 밸런서 기능이 있는 스위치
- 스위치처럼 여러개의 포트를 가지고 있지만 내부 동작 방식은 로드 밸런서
- 부하 분산, 성능 최적화, 리다이렉션기능 제공
- 가상 IP를 리얼 IP로 변경해주는 역할을 함

ADC (Application Delivery Controller)
- 애플리케이션 계층에서 동작하는 로드 밸런서
- L4 스위치와 달리 애플리케이션 프로토콜의 헤더와 내용을 이해하고 동작하므로 다양한 부하 분산, 정보 수정, 정보 필터링 가능
- 상세한 동작을 위해 프록시로 동작함
- 대부분의 ADC는 L4 스위치 기능을 포함하고 있음

네트워크 중간에 위치해 해당 장비를 통과하는 트래픽을 사전에 주어진 정책 조건에 맞추어 허용(Permit) 하거나 차단(Deny)하는 장비
네트워크 3,4 계층에서 동작하고 세션을 인지, 관리하는 SPI(Stateful Packet Inspection) 엔진을 기반으로 동작하는 장비
세션정보를 장비 내부에 저장하여 패킷을 파악함
세션 테이블로 인과 관계를 파악하기 쉬움(어디서 보내고 어디서 받은건지)
세션의 방향성이 중요하다.

세션 테이블 유지, 세션 정보 동기화
- 세션 테이블은 메모리에 저장되므로 메모리 효율을 위해 일정 시간동안만 저장함
- 세션 정보를 무제한으로 저장할 수 없기 때문에 세션 타임아웃값을 정한다.
- 하지만 애플리케이션과 세션 장비가 서로 다른 타임아웃을 갖게되면 오류가 발생할 수 있다.
- 애플리케이션 개발자는 이를 해결하기 위해 주기적인 패킷 발생 기능을 추가하기도 한다.
비대칭 경로 문제
- 네트워크는 안정성을 위해 회선과 장비를 이중화 한다.
- 이때 경로가 2개 이상이므로 인바운드 패킷과 아웃바운드 패킷의 경로가 같거나 다를 수 있다.
- 인바운드와 아웃바운드 경로가 같으면 대칭 경로
- 다른 장비를 통과하면 비대칭 경로이다.
- 비대칭 경로인 경우 세션 정보가 없어 패킷이 드롭될 수 있다.
- 비대칭 경로를 방화벽에서 처리할 수 있는 방법
  1. 세션 테이블 동기화
  2. 비대칭 경로가 생길 경우, 세션 장비에서 다양한 방법으로 이를 보정
하나의 통신에 두개 이상의 세션이 사용될 때의 고려사항
- 두 개이상의 세션이 하나의 통신을 위해 사용되고 있다는 걸 세션 장비도 파악해야한다.