소켓 차세대 LAN 방화벽 정책 관리

이 문서에서는 소켓 차세대 LAN 방화벽 규칙을 구성하여 소켓에서 사이트 트래픽을 로컬로 라우팅하고 제어하는 방법을 설명합니다. 소켓 차세대 LAN 방화벽에 대한 자세한 내용을 보려면 소켓 차세대 LAN 방화벽이 무엇인가요를 참조하세요.

개요

LAN 트래픽에 대해 규칙을 설정하고 LAN 전송을 통해 라우팅하여 LAN 방화벽 규칙을 생성하여 해당 트래픽에 대한 보안 정책을 시행합니다.

정책 구성을 위한 예시 고급 워크플로우입니다.

  1. 레이어 7 적용 기능이 필요한 사이트를 결정하고 정책에 구성하십시오.

    이 기능은 LAN 방화벽 규칙뿐만 아니라 사이트의 레이어 7 데이터 이벤트에도 적용됩니다.

  2. LDAP 사용자 활성화를 통해 소켓 CPU 사용량 및 이벤트를 모니터링하여 사이트에 레이어 7 활성화가 미치는 영향을 평가합니다.

  3. LAN 네트워크 규칙을 생성하여 트래픽이 소켓을 통해 로컬로 라우팅되도록 정의하고 WAN 대신 사용됩니다.

  4. 각 LAN 네트워크 규칙에 대해 정책을 시행하기 위해 LAN 방화벽 규칙을 생성합니다.

사이트에 레이어 7 기능 활성화

사이트 트래픽에 대한 레이어 7 검사 기능을 활성화합니다. 활성화된 후 소켓은 LAN 방화벽 규칙이 활성화되지 않은 경우에도 LAN 전송을 사용하는 트래픽에 대해 심층 패킷 검사를 수행합니다(다음 링크 참조: What is the Socket Next Gen LAN Firewall). 이것은 애플리케이션, 앱 위험, 사용자 정의 앱과 같은 필드를 포함하여 사이트 트래픽 이벤트에 레이어 7 데이터가 표시됨을 의미합니다. 이것은 또한 소켓 CPU 사용률에 영향을 미칩니다.

LAN_Firewall_L7_Sites.png

사이트에 레이어 7 기능을 활성화하려면:

  1. 네비게이션 메뉴에서 보안 > LAN 방화벽을 클릭합니다.

    LAN 방화벽 페이지가 기존의 게시되지 않은 수정본이거나 최신으로 게시된 수정본으로 열립니다.

  2. Layer 7 Sites 탭을 선택합니다.

  3. 새로운을 클릭합니다. 사이트 추가 패널이 열립니다.

  4. 사이트 아래에서 드롭다운 목록의 소켓 사이트 중 하나 이상의 사이트를 선택합니다.

  5. 적용을 클릭합니다. 사이트가 레이어 7 사이트 목록에 추가됩니다.

  6. 저장을 클릭합니다. 사이트에 대해 레이어 7 기능이 활성화됩니다.

LAN 네트워크 규칙 생성

새 LAN 네트워크 규칙을 생성하고 트래픽 전송을 정의하기 위한 설정을 구성합니다. LAN 전송으로 정의된 규칙의 경우, 트래픽에 대한 접근 제어를 관리하기 위해 LAN 방화벽 규칙을 추가할 수 있습니다. 더 많은 정보를 보려면 아래 LAN 방화벽 규칙 생성을 참조하세요.

LAN_Firewall.png

LAN 네트워크 규칙을 생성하려면:

  1. 네비게이션 메뉴에서 보안 > LAN 방화벽을 클릭합니다.

    LAN 방화벽 페이지가 기존의 게시되지 않은 수정본이거나 최신으로 게시된 수정본으로 열립니다.

  2. 새로운을 클릭하고 드롭다운 메뉴에서 새 LAN 네트워크 규칙을 선택합니다. 새 네트워크 규칙 패널이 열립니다.

  3. 규칙의 이름을 입력합니다.

  4. 슬라이더를 사용하여 규칙을 활성화하거나 비활성화합니다(녹색은 활성화됨, 회색은 비활성화됨).

  5. 새 규칙의 위치방향을 구성합니다.

    • 기본적으로 규칙은 한 방향으로 적용되며, 소스에서 대상 으로 적용됩니다. 방향 드롭다운 메뉴를 클릭하여 규칙을 양방향으로 설정합니다.

  6. 사이트 섹션을 확장하고 규칙이 적용되는 하나 이상의 사이트 또는 사이트 그룹을 선택합니다. 기본값은 모든입니다.

  7. 소스 섹션을 확장하고 이 규칙의 트래픽 소스를 위한 하나 이상의 객체를 선택합니다.

    1. 유형을 선택합니다(예시: 호스트, 네트워크 인터페이스, IP, 사용자, 사용자 그룹, 모든). 기본값은 모든입니다.

    2. 필요 시 해당 유형의 드롭다운 목록에서 특정 객체를 선택합니다.

  8. 목적지 섹션을 확장하고 이 규칙의 목적지 객체를 하나 이상 선택합니다.

    1. 유형을 선택합니다(예시: 호스트, 네트워크 인터페이스, IP, 사용자, 사용자 그룹, 모든). 기본값은 모든입니다.

    2. 필요 시 해당 유형의 드롭다운 목록에서 특정 객체를 선택합니다.

  9. 신뢰할 수 있는 네트워크 식별 기준 섹션을 확장하고 규칙에 장치 조건을 추가합니다. 더 많은 정보를 보려면 방화벽 규칙에 장치 조건 추가하기를 참조하십시오. 기본값은 모든입니다.

  10. 서비스/포트 섹션을 확장하고, 규칙에 적용할 프로토콜을 다음 옵션 중 하나로 선택합니다:

    • 단순 서비스 - 목록에서 관련 레이어 4 서비스를 선택하십시오.

      정의된 서비스 목록은 각 서비스의 RFC 정의를 기반으로 합니다.

    • 사용자 정의 서비스 - "프로토콜/포트" 형식으로 관련 포트와 프로토콜을 입력하십시오 (예: TCP/80-88, UDP/53, ICMP)

    기본값은 모든입니다.

  11. (선택 사항) NAT 섹션을 확장하여 나가는 인터페이스에서 NAT를 활성화합니다. 모든 시작 IP를 하나의 NAT IP로 변환합니다.

    image.png

  12. 규칙에 일치하는 트래픽의 전송을 선택합니다. 옵션은 다음과 같습니다.

    • LAN - 트래픽은 소켓에 의해 로컬로 라우팅되며 PoP로 전송되지 않습니다

    • WAN - 트래픽은 PoP로 전송되어 검사를 받습니다

  13. 저장을 클릭합니다.

    변경 사항은 게시되지 않은 수정본에 저장되며 게시되거나 버려질 때까지 편집 가능합니다.

LAN 방화벽 규칙 생성

새 LAN 방화벽 규칙을 생성하고 트래픽에 대한 접근 제어를 관리하기 위한 설정을 구성합니다. LAN 방화벽 규칙은 상위 LAN 네트워크 규칙의 범위 내에서만 객체를 구성할 수 있습니다.

레이어 7 기능이 활성화된 사이트 규칙에는 애플리케이션, 도메인 등의 애플리케이션 계층 객체와 조건을 포함할 수 있습니다. 레이어 7 기능이 없는 사이트에 대한 규칙에 이러한 객체가 포함된 경우, 규칙이 제대로 작동하지 않습니다.

참고: 같은 사이트 내에서 LAN 방화벽 규칙과 일치하지 않는 트래픽은 WAN 트래픽으로 간주되며, PoP을 거쳐 같은 사이트로 돌아옵니다.

참고

참고: 규칙에서 사용자, 사용자 그룹 객체를 소스목적지 필드에 사용하거나 디바이스 기준을 사용하려면 feature-releases@catonetworks.com에 문의하십시오.

LAN 방화벽 규칙을 생성하려면:

  1. 네비게이션 메뉴에서 보안 > LAN 방화벽을 클릭합니다.

    LAN 방화벽 페이지가 기존의 게시되지 않은 수정본이거나 최신으로 게시된 수정본으로 열립니다.

  2. 신규를 클릭하고 드롭다운 메뉴에서 새 LAN 방화벽 규칙을 선택합니다. 새 방화벽 규칙 패널이 열립니다.

  3. 규칙의 이름을 입력합니다.

  4. 슬라이더를 사용하여 규칙을 활성화하거나 비활성화합니다 (초록색은 활성화, 회색은 비활성화).

  5. 규칙의 위치를 구성하고 규칙 드롭다운에서 관련 참조 규칙을 선택합니다.

    • 이전 규칙이후 규칙 옵션의 경우, 규칙 드롭다운에서 관련 LAN 네트워크 규칙 아래의 LAN 방화벽 규칙을 선택합니다.

    • 규칙 내 첫 번째규칙 내 마지막 옵션의 경우, 이 규칙의 상위 LAN 네트워크 규칙을 규칙 드롭다운에서 선택합니다.

  6. 규칙의 방향을 구성합니다.

    • 기본적으로 규칙은 소스에서 대상으로 한 방향으로 적용됩니다. 규칙을 양방향으로 작동하도록 설정하려면 방향 드롭다운 메뉴를 클릭합니다.

  7. 출처 섹션을 확장하고 이 규칙의 트래픽 출처에 대한 하나 이상의 객체를 선택합니다.

    1. 유형을 선택합니다(예시: 호스트, 네트워크 인터페이스, IP, 사용자, 사용자 그룹, 모든). 기본값은 모든입니다.

    2. 필요한 경우 해당 유형의 드롭다운 목록에서 특정 객체를 선택하십시오.

  8. 목적지 섹션을 확장하고 이 규칙의 하나 이상의 목적지 객체를 선택합니다.

    1. 유형을 선택합니다(예시: 호스트, 네트워크 인터페이스, IP, 사용자, 사용자 그룹, 모든). 기본값은 모든입니다.

    2. 필요한 경우 해당 유형의 드롭다운 목록에서 특정 객체를 선택하십시오.

  9. 앱/카테고리 섹션을 확장하고 규칙에 대한 하나 이상의 애플리케이션을 선택합니다.

    규칙에 다수의 앱/카테고리 객체가 포함된 경우, 이들 간에는 OR 관계가 있습니다. 기본값은 모든입니다.

    참고: 레이어 7 기능이 활성화된 사이트에 대한 규칙에만 앱/카테고리 객체를 구성하십시오. 그렇지 않으면 규칙이 제대로 작동하지 않습니다.

  10. 서비스/포트 섹션을 확장하고, 규칙에 적용할 프로토콜을 다음 옵션 중 하나로 선택합니다:

    • 단순 서비스 - 목록에서 관련 레이어 4 서비스를 선택하십시오

      정의된 서비스 목록은 각 서비스의 RFC 정의를 기반으로 합니다.

    • 서비스 - 목록에서 관련 레이어 7 서비스를 선택하십시오

    • 사용자 정의 서비스 - "프로토콜/포트" 형식으로 관련 포트와 프로토콜을 입력하십시오 (예: TCP/80-88, UDP/53, ICMP)

    기본값은 모든입니다.

  11. 이 규칙에 대한 작업을 선택하십시오. 옵션은 허용차단입니다.

  12. (선택 사항) 추적 옵션을 구성하여 이벤트를 생성하고 알림 보내기를 설정합니다. 첫 번째 알림이 전송된 후 빈도가 계산되기 시작합니다.

    알림에 대한 추가 정보는 알림 섹션의 구독 그룹, 메일링 리스트 및 경고 통합에 관한 관련 기사를 참조하십시오.

  13. 저장을 클릭합니다.

    변경 사항은 게시되지 않은 수정본에 저장되며 게시되거나 버려질 때까지 편집 가능합니다.

모니터링 및 이벤트

각 정의된 규칙에 대해 선택적으로 방화벽 정책의 이벤트 추적 기능을 활성화할 수 있습니다.

참고

참고: LAN 방화벽 트래픽은 애플리케이션 및 네트워크 분석 대시보드에서 보이지 않습니다.

이벤트는 사이트 모니터링 > 이벤트 아래에 나타납니다.

  • 이벤트 유형 - 보안

  • 하위 유형 - LAN 방화벽

LAN 방화벽 이벤트를 필터링하려면:

  1. > 이벤트로 이동합니다.

  2. 필터를 클릭하고 관련 필드, 연산자 및 값을 선택합니다.

    1. 필드 - 여러 필드를 필터로 선택할 수 있습니다. 예를 들어 "소스 사이트" 또는 "하위 유형"(LAN 방화벽)을 필터링하도록 선택할 수 있습니다.

    2. 연산자 - 특정 값을 포함하거나 제외하도록 선택하거나 여러 값을 포함하거나 제외할 수 있습니다 (이다, 아님), 예를 들어 "소스 사이트"와 연산자 "포함됨"을 사용하여 여러 소스 사이트를 값으로 선택할 수 있습니다.

    3. - 필드에 대한 값입니다.

  3. 필터 추가를 클릭합니다.

    image.png
image.png

다음 예에서는 LAN 방화벽 이벤트의 세부 정보를 볼 수 있습니다.

  • 작업 - 차단 또는 모니터링. (트래픽이 LAN 방화벽에 의해 차단되거나 허용됨)

  • 구성된 호스트 이름 - 소스 IP에 대한 추가 호스트 정보, 사용 가능한 경우.

  • 하위 유형 - LAN 방화벽.  LAN 방화벽에서 생성된 모든 이벤트는 이 하위 유형을 가집니다.

  • 네트워크 규칙 - 이벤트를 생성한 LAN 방화벽 규칙의 부모 LAN 네트워크 규칙.

  • 규칙 이름 - 이벤트를 생성한 LAN 방화벽 규칙의 이름.

LAN_FW_L7_Event.png

Cato PoP에서 생성되는 WAN 또는 인터넷 방화벽과 달리 LAN 방화벽 이벤트는 소켓 자체에서 생성됩니다. 이 이벤트는 사이트 터널을 통해 보내져 Cato 관리 응용 프로그램에 저장됩니다. 

터널을 통한 모든 흐름 트래픽은 LAN 방화벽 이벤트보다 우선하여 기본 QoS 우선 순위가 255이며 추가 오버헤드를 생성할 수 있습니다. 

Cato는 터널 상에서 추가 오버헤드를 방지하기 위해 높은 우선 순위의 LAN 방화벽 규칙만 추적할 것을 권장합니다.

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개