LAN에서 IPS 구성

개요

Cato의 LAN에서의 IPS 보호는 Cato의 고급 위협 방지 기능을 로컬 네트워크 트래픽으로 확장해 알려진 및 신종 공격 벡터로부터 동서 트래픽을 방어합니다. IPS 엔진은 소켓에서 로컬로 실행되며, 주기적으로 서명 및 위협 인텔리전스 업데이트를 받는 PoP에서 실행되지 않습니다. 업데이트가 다운로드되면 검사 및 강제 적용이 소켓에서 로컬로 발생합니다. 이것은 다음을 보장합니다:

PoP 또는 인터넷에 연결하지 않고도 지속적인 보호
WAN 장애 시에도 검사하여 로컬 트래픽이 항상 적용됩니다.
LAN 트래픽이 검사를 위해 PoP를 통과해야 할 필요가 없기 때문에 지연 시간이 감소됩니다.
불필요한 로컬 트래픽의 백홀을 피함으로써 WAN 대역폭 사용량 감소

LAN 방화벽 네트워크 규칙을 통해 세분화하여 LAN IPS 강제 적용을 제어합니다. 어떤 트래픽이 어느 사이트에서 검사될지 정의할 수 있습니다. 구성된 LAN 방화벽 규칙과 일치하는 트래픽만 IPS에 의해 검사됩니다. 이를 통해 강제 적용 범위를 정확하게 제어하고 검사를 보안 및 성능 요구 사항에 맞출 수 있습니다. 위협이 감지되면 IPS는 방화벽 정책 설정에 따라 동작을 실행하여 악성 트래픽을 차단하거나 가시성 및 조사를 위한 이벤트를 생성합니다. 올바르게 구성된 IPS는 추가 장비 없이도 온프레미스 보안 자세를 향상시킵니다.

필수 조건

소켓 버전 26 이상에서 지원됩니다.
IPS 보호가 활성화됩니다. IPS 보호에 대한 자세한 내용은 IPS 정책 구성을 참조하세요.
네트워크에 최대한의 보호를 제공하기 위해 TLS 검사를 활성화할 것을 권장합니다.

LAN에서 IPS 보호 구성

LAN IPS 보호를 구성하려면 다음이 필요합니다:

IPS 정책에서 LAN IPS 보호 범위를 활성화합니다.
LAN 방화벽 규칙을 사용하여 소켓 LAN IPS 엔진이 검사할 트래픽을 정의합니다.

1단계: LAN IPS 보호 활성화

IPS 정책에서 소켓 LAN 보호 범위를 활성화하고 관련 설정을 구성합니다.

LAN IPS 보호를 활성화하려면:

네비게이션 메뉴에서 보안 > IPS를 클릭합니다.
소켓 LAN을 클릭합니다.

편집 패널이 열립니다.
슬라이더를 클릭하여 활성화(녹색)하고 필요한 작업 및 추적 설정을 구성합니다.
적용을 클릭한 다음 저장을 클릭합니다.

소켓 LAN IPS가 계정에 대해 활성화되지만 LAN 방화벽이 구성되지 않으면 강제 적용되지 않습니다.

IPS 보호 조치 이해

LAN IPS에 의해 트리거되는 작업을 정의하고 알림을 설정할 수 있습니다. 다음은 사용 가능한 작업입니다:

차단 - 악성 트래픽이 목적지에 도달하지 못하도록 차단합니다. 적용 가능한 경우, 사용자는 지정된 차단 웹 페이지로 리디렉션됩니다.
모니터 - 악성 트래픽에 대한 이벤트를 생성하여 (홈 > 이벤트에 표시됨) 트래픽은 목적지로 계속 이동합니다.

2단계: 소켓 LAN IPS 엔진이 LAN 방화벽 규칙을 사용하여 검사할 트래픽 정의

어떤 사이트가 IPS 보호를 강제 적용할지 정의하려면 네트워크 LAN 방화벽 규칙에 포함하세요. IPS 페이지에서 적용 대상 열의 링크는 소켓 LAN이 LAN IPS를 현재 사용 중인 LAN 방화벽 규칙의 총 네트워크 규칙 수를 표시합니다.

LAN 방화벽 규칙을 사용하여 IPS 검사를 위한 트래픽을 정의하려면:

네비게이션 메뉴에서 보안 > LAN 방화벽을 클릭합니다.
LAN IPS 보호를 추가하려는 규칙을 편집합니다.
보안 섹션에서 애플리케이션 인식 및 LAN IPS 체크박스를 확인합니다.
저장을 클릭하고 게시합니다.