방화벽은 기업 네트워크 보안 및 내부 자원 보호에 중요한 역할을 합니다. 본 글은 귀하의 조직을 위한 가장 강력한 보안 정책을 만드는데 도움을 주는 권장 사항과 모범 사례를 포함하고 있습니다. 또한 방화벽 정책을 깨끗하고 관리 가능한 상태로 유지하는 방법도 설명합니다.
인터넷 방화벽은 네트워크 내 사용자와 장치가 다양한 웹 서비스, 애플리케이션 및 콘텐츠에 대한 접근을 관리하도록 도와줍니다. WAN 방화벽은 내부 자원 및 사용자와 사이트 간의 WAN 트래픽을 관리할 수 있게 해줍니다. 이 가이드는 각 방화벽의 규칙을 구성하고 미세 조정하여 보안 정책의 효과를 극대화하는 방법을 도와줍니다.
특정 규칙 설정에 대한 추가 정보는 규칙 객체 참고를 참조하세요.
방화벽 규칙 베이스에는 허용 목록과 차단 목록의 두 가지 접근 방식이 있습니다. 방화벽 규칙 베이스를 허용 목록에 추가한다는 것은 규칙이 방화벽에서 허용하는 트래픽을 정의한다는 것을 의미합니다. 기타 모든 트래픽은 방화벽에 의해 차단됩니다. 방화벽 규칙 베이스를 차단 목록에 추가하는 것은 반대의 경우로, 규칙이 차단되는 트래픽을 정의합니다. 기타 모든 트래픽은 방화벽에 의해 허용됩니다. 조직은 특정 요구 사항과 상황에 가장 적합한 접근 방식을 선택합니다.
-
허용 목록 보안 정책에서는 허용 규칙과 일치하지 않는 모든 트래픽을 차단하기 위해 최종 규칙으로 '모두 차단' 규칙이 설정됩니다
-
차단 목록 보안 정책에서는 차단 규칙과 일치하지 않는 모든 트래픽을 허용하기 위해 최종 규칙으로 '모두 허용' 규칙이 설정됩니다
각 접근 방식에 대한 추천 사항은 아래 인터넷 및 WAN 방화벽 각각의 섹션에서 논의됩니다.
카토의 인터넷 및 WAN 방화벽은 두 가지 유형의 방화벽 규칙을 사용합니다:
이 섹션에서는 이러한 규칙 유형 간의 차이점과 방화벽이 이를 네트워크 트래픽에 적용하는데 사용하는 논리를 설명합니다.
카토는 네트워크 보안 정책을 정의하고 네트워크 내의 수신 및 출력 트래픽을 제어할 수 있는 전통적인 방화벽 규칙을 구성할 수 있게 해줍니다. 카토의 전통적인 방화벽 규칙은 다음 설정들 중 하나 이상만 가지고 있습니다:
전통적인 방화벽 엔진은 첫 번째 패킷에서 트래픽을 평가합니다. 예를 들어, 네트워크 관리자는 프로토콜과 포트를 기반으로 방화벽 규칙을 구성할 수 있습니다. 이 종류의 규칙에 대해서는 방화벽이 첫 번째 패킷을 기준으로 트래픽을 허용할지 차단할지를 결정합니다.
다음 스크린샷은 포트 80에서 TCP 트래픽을 차단하는 전통적인 WAN 방화벽 규칙의 예를 보여줍니다:
다음 그림은 호스트 A에서 호스트 B로의 TCP 연결 예시와 전통적인 방화벽 엔진이 차단 규칙을 평가하는 지점을 보여줍니다:
참고
참고: 전통적인 방화벽 엔진은 패킷을 삭제하지 않습니다. PoP는 목적지(호스트 B)로 패킷을 전송하지 않고 TCP 핸드셰이크를 완료합니다. 그 이유는 차단 또는 프롬프트 작업을 위한 인터넷 리디렉션 페이지를 표시하기 위함입니다. 리디렉션 페이지에 대한 자세한 내용은 차단/프롬프트 페이지 사용자 정의를 참조하세요.
Cato의 NG 방화벽 엔진은 상태 기반이며, 애플리케이션 및 서비스에 대한 완전한 인식과 제어를 위해 애플리케이션 계층 데이터 검사를 사용합니다. 딥 패킷 검사(DPI)와 다수의 보안 엔진을 적용하여 트래픽을 검사합니다. NG 방화벽 엔진의 주요 요소는 애플리케이션 인식으로, 이를 통해 애플리케이션 및 서비스에 따라 트래픽을 허용하거나 차단하는 규칙을 정의할 수 있습니다. NG 방화벽 엔진은 애플리케이션, 사용자 정의 애플리케이션, 카테고리, 사용자 정의 카테고리, 서비스, 정규화된 도메인 이름(FQDN), 도메인 등을 기반으로 패킷 내용을 검사합니다. 예를 들어, 네트워크에서 uTorrent 애플리케이션 트래픽을 차단하는 규칙을 정의할 수 있습니다. 통신 흐름의 데이터 내용을 검사하기 위해 방화벽은 흐름 내 여러 패킷을 평가하며, 이는 애플리케이션과 콘텐츠 페이로드의 다른 속성을 식별하는 데 도움이 됩니다.
다음 그림은 호스트 A에서 호스트 B로의 TCP 연결 예시와 NG 방화벽이 차단 규칙을 평가하는 지점을 보여줍니다:
이 섹션에는 인터넷 및 WAN 방화벽과 관련된 강력한 보안 정책을 위한 모범 사례가 포함되어 있습니다.
Cato Networks의 WAN 및 인터넷 방화벽은 순서가 지정된 방화벽입니다. 방화벽은 연결을 순차적으로 검사하고 연결이 규칙과 일치하는지 확인합니다. 예를 들어, 연결이 규칙 #3과 일치하면 동작이 연결에 적용되고 방화벽은 더 이상 검사를 수행하지 않습니다. 방화벽은 연결에 대해 규칙 #4 및 이후 규칙을 계속해서 적용하지 않습니다.
방화벽 규칙의 순서가 잘못되면 실수로 트래픽을 차단하거나 허용할 수 있습니다. 이로 인해 사용자의 경험이 나빠지거나 보안 위험이 발생할 수 있습니다. 방화벽 규칙 정렬에 대한 자세한 내용은 방화벽 지식 베이스 기사를 참조하세요.
대부분의 경우에 권장되는 규칙 기반의 순서는 다음과 같습니다:
-
특정 차단 규칙
-
일반 허용 규칙
-
특정 허용 규칙
-
모두 모두 규칙
-
허용 목록(기본 WAN 방화벽)은 최종 차단 규칙을 사용합니다
-
차단 목록(기본 인터넷 방화벽) 사용자는 최종 허용 규칙을 사용합니다
-
Cato 방화벽은 순서가 지정된 규칙 기반을 따르기 때문에 NG 방화벽 규칙을 전통적인 방화벽 규칙 전에 구성하면, DPI 엔진이 트래픽을 검사하여 애플리케이션이나 서비스를 식별한 후 조치를 적용합니다. 이는 첫 번째 패킷이 통과하여 목적지에 도달할 수 있음을 의미합니다. 따라서 전통적인 규칙이 네트워크를 적절히 보호하고 첫 번째 패킷에 동작을 적용하기 위해서는 높은 우선순위를 가지고 규칙 기반의 최상단에 위치해야 합니다(모든 NG 방화벽 규칙 전에). 모든 전통적인 방화벽 규칙을 NG 방화벽 규칙 이전에 규칙 기반의 최상단에 배치할 것을 권장합니다.
위 정보를 보려면, 전통적 vs. NG 방화벽 규칙 을 참조하세요.
방화벽 규칙의 추적 옵션을 사용하면 방화벽 트래픽 이벤트와 알림을 모니터링하고 분석할 수 있습니다. 차단 작업에 대한 규칙을 구성하여 제한된 콘텐츠에 액세스하려는 출처를 쉽게 모니터링할 것을 권장합니다. 보안 위험이 큰 트래픽을 처리하는 규칙에 대한 이벤트 및 알림을 구성할 수 있습니다.
모범 사례로서 모든 인터넷 트래픽을 기록하기 위해 모니터링을 사용할 것을 권장합니다. 이를 구현하려면 명시적 ANY-ANY 허용 규칙을 최종 인터넷 방화벽 규칙으로 추가하고 이벤트를 생성하도록 구성합니다. 이렇게 하면 네트워크의 모든 인터넷 트래픽에 대한 가시성을 제공하여 사용성을 유지하면서 네트워크 및 사용자를 더 잘 보호할 수 있습니다.
이메일 알림 및 이벤트에 대한 자세한 내용은 계정 수준 알림 및 시스템 알림을 참조하세요.
시간 설정을 통해 방화벽 규칙에 대한 특정 시간 범위를 정의할 수 있습니다. 시간 범위 외부의 경우 방화벽이 이 규칙을 무시합니다. 이 기능을 사용하면 인터넷 액세스를 제한하고 네트워크에서 접근 제어를 개선할 수 있습니다. 예를 들어, 정규 근무 시간 동안에만 소셜 카테고리에 대한 접근을 차단하는 인터넷 방화벽 규칙을 정의할 수 있습니다. 또는 WAN 방화벽에서 근무 시간 동안에만 클라우드 데이터 센터에 접근을 허용하는 규칙을 만들 수 있습니다. 규칙의 작업 섹션에는 사전 설정된 근무 시간 제한 옵션이 있습니다.
또한 사용자 정의 시간 제약을 예약하고 규칙을 지정된 시간으로 제한할 수 있습니다. 부터 시간을 까지 시간보다 이전으로 설정해야 합니다. 그렇지 않으면 규칙이 제대로 작동하지 않습니다. 하루의 끝과 다음 날의 시작을 아우르는 제약 조건을 만들려면 두 개의 규칙을 만들고 각 날의 관련 시간에 대한 제약 조건을 정의하십시오. 예를 들어, 월요일 23:00-23:59에 대해 정의된 제한을 가진 하나의 규칙과 화요일 00:00부터 01:00까지 정의된 제한을 가진 두 번째 규칙입니다.
참고
참고: 시간 제약이 있는 방화벽 규칙은 사용자 유형에 따라 다양한 분류를 갖습니다:
-
사이트의 경우, 구성된 시간대를 사용하여 시간 제약이 있는 방화벽 규칙을 적용합니다
-
SDP 사용자의 경우, 공용 IP 주소의 지리적 위치를 기반으로 시간 제약이 있는 방화벽 규칙이 적용됩니다
간단하고 정돈된 방화벽 규칙 기반은 강력한 보안 정책을 구현하는 데 도움이 됩니다. 이렇게 하면 관리가 용이하고 혼동을 줄일 수 있습니다. 이 섹션의 권장 사항은 명확하고 일관된 보안 정책을 만들고 실수를 피하는 데 도움이 됩니다.
규칙을 만들 때 구체적이고 독특한 규칙 이름을 지정합니다. 자체 설명 규칙 이름을 사용하면 팀의 다른 관리자가 규칙의 목적을 쉽게 이해할 수 있습니다. 잘못된 이름의 규칙은 실수를 초래하고 혼란을 초래할 수 있습니다.
예를 들어, 도박 웹사이트를 차단하는 인터넷 방화벽 규칙을 도박 차단으로 명명하고 불명확한 차단된 웹사이트 대신 사용할 수 있습니다.
각각의 개별 방화벽 규칙을 비활성화하거나 활성화할 수 있습니다. 그러나 규칙은 짧은 시간 동안만 비활성화해야 합니다. 오래되었거나 더 이상 사용되지 않는 규칙은 비활성화하지 말고 규칙 기반에서 삭제하십시오. 비활성화된 규칙은 규칙 기반을 더 복잡하게 만들고 관리하기 어렵게 만듭니다.
방화벽 규칙을 만들 때 사용자 또는 사이트 그룹을 사용하여 이 그룹의 멤버에 대해 네트워크 접근을 제한합니다. 예를 들어, 사용자 그룹(자원 > 그룹)을 생성하고 이 그룹에 대해서만 인터넷 액세스를 차단할 수 있습니다.
예외는 방화벽 규칙에 대한 강력한 도구이지만, 규칙 기반을 읽기 어렵게 만들 수 있습니다. 규칙에서 예외를 사용하는 경우, 규칙 이름을 정할 때 예외가 포함되어 있다는 것을 명확히 나타내십시오. 예를 들어, 소셜 차단(예외 포함).
Cato 인터넷 방화벽은 인터넷 트래픽을 검사하며, 인터넷 액세스를 제어할 수 있는 규칙을 만들 수 있게 합니다. 인터넷 방화벽은 사이트와 사용자로부터 웹사이트, 카테고리, 애플리케이션 등으로의 액세스를 허용하거나 차단하는 보안 규칙 집합에 기반합니다. 인터넷 방화벽의 기본 접근 방식은 차단 목록(ANY ANY 허용)입니다.
다음 스크린샷은 Cato 관리 애플리케이션(보안 > 인터넷 방화벽)의 예시 인터넷 방화벽 정책을 보여줍니다:
이 섹션은 계정의 인터넷 액세스를 안전하게 보호하는 데 도움을 주는 모범 사례를 포함합니다.
QUIC는 UDP 위에 구축된 새로운 다중 전송 프로토콜입니다. HTTP/3는 스트림 간의 헤드-오브-라인 차단이 없는 QUIC의 기능을 활용하기 위해 설계되었습니다. QUIC 프로젝트는 사용자 경험, 특히 페이지 로드 시간을 향상시키기 위해 TCP+TLS+HTTP/2의 대안으로 시작되었습니다. Cato는 QUIC 트래픽 및 GQUIC(Google QUIC) 트래픽을 식별하고 차단할 수 있습니다.
방화벽이나 네트워크 규칙에서 QUIC 트래픽을 관리하기 위해 관련 규칙에서 서비스 QUIC 및 애플리케이션 GQUIC을 사용합니다. 다음은 계정의 QUIC 트래픽을 차단하는 인터넷 방화벽 규칙 예제입니다:
QUIC 프로토콜은 UDP 443에서 작동하기 때문에 캡슐화된 HTTP 트래픽은 파싱되지 않습니다. 이것은 애플리케이션 분석 스크린에 애플리케이션 자체 대신 QUIC 트래픽만을 위한 항목을 표시하는 것을 의미합니다.
따라서 브라우저가 HTTP 3.0과 QUIC 대신 기본 HTTP 버전을 사용하도록 QUIC 및 GQUIC 트래픽을 차단하는 특정 규칙을 만드는 것이 좋습니다. 이것은 QUIC 서비스 또는 GQUIC 애플리케이션의 사용을 보고하는 대신 사용된 애플리케이션에 대한 상세한 분석을 제공합니다.
인터넷 액세스를 허용하는 규칙의 경우 특정 사이트, 호스트 또는 사용자를 소스 열에 선택하는 것이 좋으며 어떤 옵션을 사용하지 않는 것을 추천합니다. 인터넷으로의 모든 트래픽을 허용하는 규칙은 예기치 않은 소스로부터의 트래픽을 허용하기 때문에 잠재적인 보안 위험이 됩니다.
다음 스크린샷은 소스 열이 모든 사이트 및 모든 SDP 사용자 그룹으로 설정된 규칙을 보여주며 어떤 대신 사용되었습니다:
몇 가지 설정에서 어떤을 사용하는 인터넷 방화벽 규칙은 중요하고 유용한 정보를 포함하지 않는 이벤트를 생성할 수 있습니다. 예를 들어, 모든 애플리케이션으로 구성된 규칙은 트래픽 흐름에서 애플리케이션을 식별하지 못하는 이벤트를 생성할 수 있습니다. 이것은 방화벽이 어떤 애플리케이션도 규칙과 일치하기 때문에 애플리케이션 식별을 완료하기 전에 규칙을 트리거하기 때문에 발생합니다. 그런 다음 카토 보안 스택이 애플리케이션 식별 프로세스를 완료하면, 이 애플리케이션 사용 데이터는 애플리케이션 분석 화면에 포함됩니다. 그러나 이벤트는 동일한 정보를 모두 포함하지 않으며, 따라서 애플리케이션 사용량을 추가로 조사하기 어려울 수 있습니다.
애플리케이션 사용 분석을 향상시키기 위해 규칙 조건에서 모든 애플리케이션을 최소화하고, 대신 특정 애플리케이션, 서비스, 포트 등의 세분화된 규칙을 사용할 것을 권장합니다.
특정 서비스나 포트에 대해 모든 인터넷 아웃바운드 트래픽을 허용하는 방화벽 규칙을 구성해야 하는 경우, 잠재적 보안 위험이 있는 카테고리나 애플리케이션을 차단할 것을 권장합니다.
예를 들어, 모든 HTTP 트래픽을 허용하는 규칙이 있는 경우, 다음과 같은 카테고리에 대한 예외를 규칙에 추가하십시오: 속임수, 도박, 폭력과 증오, 주차된 도메인, 나체, 무기, 성교육, 사이비 종교, 그리고 익명화 도구. 이러한 것은 악성 콘텐츠를 포함할 수 있는 카테고리 예시이며, 이러한 카테고리에 대한 예외는 인터넷 액세스를 차단합니다.
일반적으로, 인터넷 트래픽을 허용하는 규칙에 대해서는 보안 암호화 프로토콜을 사용하고 일반 평문 프로토콜 대신 사용할 것을 권장합니다. 예를 들어, FTP 대신 FTPS를 사용하고, Telnet 또는 SNMP 대신 SSH를 사용하십시오. 보안 프로토콜로 허용된 인터넷 트래픽은 암호화되어 있으며, 해커가 이를 가로채고 해독하기 매우 어렵습니다.
보안 위험이 적은 웹사이트에 액세스를 허용하는 규칙이 있는 경우, 프롬프트 작업을 허용 대신 사용할 것을 권장합니다. 사용자가 이러한 웹사이트 중 하나에 액세스하려고 시도하면, 프롬프트 작업은 사용자를 웹 페이지로 리디렉션하여 계속할지 여부를 결정합니다. 이러한 웹사이트는 네트워크에 보안 위험을 추가하기 때문에, 이 규칙과 일치하는 트래픽 이벤트를 추적할 것을 권장합니다.
프롬프트 작업이 올바르게 작동하려면, 지원되는 모든 장치에 카토 인증서를 설치할 것을 권장합니다.
규칙에 여러 카테고리를 포함하면 규칙 기반 관리가 어려워집니다. 대신 모든 관련 카테고리를 포함하는 사용자 정의 카테고리를 정의하고, 이 단일 사용자 정의 카테고리를 규칙에 추가할 수 있습니다. 하나의 사용자 정의 카테고리를 사용하는 간단한 규칙을 정의하면 규칙 기반을 읽고 검색하기가 쉬워집니다.
예를 들어, 허용하려는 모든 카테고리, 앱, 서비스가 포함된 인터넷 프로필이라는 사용자 정의 카테고리를 생성한 후 관련 인터넷 방화벽 규칙에 사용자 정의 카테고리를 추가할 수 있습니다. 규칙을 최신 상태로 유지하려면 사용자 정의 카테고리를 간단히 편집하며 필요한 업데이트를 추가하거나 제거할 수 있습니다.
사용자 정의 카테고리를 사용하여 모범 사례를 구현하는 규칙에 대한 추가 제안은 다음과 같습니다:
-
프롬프트 작업으로 정의하고자 하는 모든 트래픽에 대해 규칙을 생성하십시오. 그런 다음 프롬프트 사이트라는 사용자 정의 카테고리를 생성하여 모든 관련 URL과 카테고리를 포함하고, 이를 규칙에 추가하십시오. 프롬프트 작업에 대한 추천 카테고리는 다음을 포함합니다: 속임수, 도박, 폭력과 증오, 저급한 내용, 주차된 도메인, 무기, 성교육, 사이비 종교, 익명화 도구. 일치하는 트래픽에 대한 이벤트를 생성하기 위해 규칙에 대해 추적을 설정하십시오.
-
차단 작업으로 정의하고자 하는 모든 트래픽에 대해 규칙을 생성하십시오. 그런 다음 사이트 차단이라는 사용자 정의 범주를 만들고, 관련된 모든 URL과 카테고리를 포함시켜 규칙에 추가하십시오. 차단 작업을 위한 권장 카테고리에는 다음이 포함됩니다: 봇넷, 손상된, 포르노, 키로거, 멀웨어, 피싱, 스파이웨어, 불법 약물, 해킹, 스팸, 의심스러운. 규칙에 대한 추적을 구성하여 일치하는 트래픽에 대한 이벤트를 생성하십시오.
인터넷 방화벽의 최종 규칙은 암묵적인 모두 - 모두 - 허용 규칙이지만, 우리는 최종 규칙으로 명시적인 모두 - 모두 - 허용 규칙을 추가할 것을 권장합니다. 이렇게 하면 모든 인터넷 트래픽을 쉽게 로그할 수 있습니다. 규칙별로 이벤트 추적을 선택하십시오.
허용 목록 동작을 사용하여 인터넷 방화벽을 구현하면 기본적으로 방화벽이 모든 인터넷 트래픽을 차단하게 됩니다. 기업 보안 정책의 필요에 따라 인터넷 트래픽을 특정적으로 허용하는 방화벽 규칙을 추가하십시오.
Cato 관리 애플리케이션에서 허용 목록 인터넷 방화벽을 구현하려면, 규칙 베이스의 최종 규칙이 모든 소스에서 모든 목적지로의 모든 트래픽을 차단하는 명시적 규칙이어야 합니다. 다음 예시를 참조하세요:
또한, 네트워크에서 인터넷 트래픽을 모니터링하고 분석하는 데 도움이 되는 이벤트를 생성하기 위해 최종 규칙에 대한 추적을 활성화할 것을 권장합니다.
이 섹션에서는 허용 목록 접근 방식을 사용하는 인터넷 방화벽의 규칙 베이스에 포함시키기를 권장하는 규칙에 대해 논의합니다.
HTTP 및 HTTPS 트래픽을 허용할 때, 리스크가 높거나 부적절한 콘텐츠를 포함하는 웹사이트를 차단할 것을 권장합니다. 이러한 웹사이트는 일반적으로 기업에 의해 차단되며, 멀웨어의 잠재적인 출처가 될 수도 있습니다. 각 카테고리 (자원 > 카테고리)는 다양한 웹사이트와 앱을 포함하고 있으며, 이를 규칙에 쉽게 추가할 수 있습니다. 카테고리에는 예를 들어, 봇넷, 손상된, 포르노, 키로거, 멀웨어, 피싱, 스파이웨어, 불법 약물, 해킹, 스팸, 의심스러운 것이 포함됩니다.
규칙 베이스의 맨 위에 모든 DNS 서비스를 인터넷 트래픽의 일부로 허용하는 규칙이 있는지 확인하십시오.
다음 스크린샷은 DNS 트래픽을 허용하는 예시 규칙을 보여줍니다:
계정에서 사용하는 서비스 중 인터넷 접근이 필요한 것은 허용하는 규칙을 만듭니다. 또한, 특정 사이트에서만 사용하는 서비스가 있다면, 그 사이트에만 접근을 허용하는 별도의 규칙을 만들 수 있습니다.
귀사의 조직에서 사용하는 애플리케이션을 미리 정의된 애플리케이션 목록에서 인터넷 방화벽 규칙에 추가하십시오. Cato는 이 목록을 지속적으로 업데이트하여 새로운 애플리케이션을 포함시킵니다. 목록에 없는 애플리케이션이 필요하면 사용자 정의 애플리케이션을 정의할 수 있습니다. 사용자 정의 앱 구성에 대한 자세한 정보는 사용자 정의 앱 작업을 참조하십시오.
차단 목록 동작을 사용하여 인터넷 방화벽을 구현하면 기본적으로 방화벽이 모든 인터넷 트래픽을 허용하게 됩니다. 기업 보안 정책의 필요에 따라 인터넷 트래픽을 특정적으로 차단하는 방화벽 규칙을 추가하십시오. 차단 목록은 인터넷 방화벽의 기본 구조이며, 규칙에 의해 차단되지 않은 모든 트래픽을 허용합니다.
또한, 불필요한 인터넷 트래픽을 식별하기 위해 학습 기간을 사용할 것을 권장합니다. 이 학습 기간 동안, 규칙 베이스 하단에 모든 소스에서 모든 목적지로 추적이 활성화된 트래픽을 허용하는 임시 규칙을 추가하십시오. 이 규칙은 인터넷에 접근이 허용된 모든 연결에 대해 이벤트를 생성합니다. 계정에 대한 인터넷 트래픽을 검토할 때 원치 않는 트래픽을 식별하면 이를 차단하는 규칙을 추가할 수 있습니다.
방화벽 이벤트에 대한 자세한 내용은 네트워크에서의 이벤트 분석을 참조하십시오.
이 섹션에서는 차단 목록 접근 방식을 사용하는 인터넷 방화벽의 규칙베이스에 포함할 것을 권장하는 규칙을 설명합니다.
Telnet 및 SNMP v1 & v2와 같은 서비스는 잠재적인 보안 위험이며 인터넷 규칙베이스에서 차단할 수 있습니다. 귀 조직이 이러한 서비스에 대한 액세스를 요구한다면, 특정 사용자나 그룹에 대해 차단 규칙에 예외를 추가할 것을 권장합니다.
다음 스크린샷은 IT부서에 대해 허용을 설정한 Telnet과 SNMP 트래픽을 차단하는 예시 규칙을 보여줍니다:
카테고리 미분류에는 카테고리 목록의 기존 카테고리에 할당되지 않은 웹사이트가 포함됩니다. 이 웹사이트들은 네트워크에 잠재적인 보안 위험이 될 수 있습니다. 모든 인터넷 트래픽에 대해 미분류 카테고리를 차단하는 규칙을 만드십시오.
또한 Cato의 RBI 서비스를 사용하여 미분류 사이트에 대한 안전한 액세스를 활성화할 수 있습니다. RBI에 대한 자세한 내용은 원격 브라우저 격리(RBI)를 통한 브라우징 세션 보안을 참조하십시오.
Cato의 WAN 방화벽은 Cato Cloud에 연결된 다양한 네트워크 요소 간의 트래픽을 제어하는 데 책임이 있습니다. WAN 방화벽을 통해 네트워크 위의 WAN 트래픽을 제어하고 최적의 네트워크 보안을 달성할 수 있습니다.
WAN 방화벽은 기본적으로 ANY ANY 차단(허용 목록) 접근 방식을 사용합니다. 이는 특정 WAN 방화벽 규칙을 정의하지 않으면 사이트와 사용자 간의 모든 연결성이 차단된다는 의미입니다.
다음 스크린샷은 Cato 관리 애플리케이션의 WAN 방화벽 규칙 예시를 보여줍니다 (보안 > WAN 방화벽)
이 섹션에는 계정의 WAN 연결성을 보호하는 데 도움이 되는 모범 사례가 포함되어 있습니다.
WAN 방화벽의 황금 규칙은 원하는 트래픽만 허용하는 것입니다. 이러한 허용 규칙의 경우 사용되는 특정 서비스 및 포트를 추가하여 WAN 방화벽에 대해 향상된 보안 연결성을 제공합니다.
다음 스크린샷은 모든 SDP 사용자가 데이터센터 사이트에 액세스할 수 있도록 허용하는 WAN 방화벽 규칙 예시를 보여줍니다. 이 규칙은 SDP 사용자에 대해서만 RDP 트래픽을 허용하기 때문에 보안을 강화합니다.
WAN 방화벽 규칙에서 소스 또는 목적지에 대한 접근을 허용하는 경우 특정 사이트와 사용자에 비해 보안이 낮습니다. 보다 구체적인 설정은 계정의 WAN 연결성을 제어할 수 있는 권한을 증가시켜 줍니다.
다음 스크린샷은 소스 및 목적지 설정에 특정 사이트를 사용하는 WAN 방화벽 규칙의 예시를 보여줍니다:
일부 설정에서 모든을 사용하여 WAN 방화벽 규칙을 구성할 때, 해당 규칙과 관련된 이벤트가 모든 관련 데이터를 반드시 포함하는 것은 아니며, 이는 앱 사용 분석을 어렵게 만들 수 있습니다. 모든 설정을 사용하는 규칙에 대한 이벤트에 대한 자세한 내용은 위의 세부 규칙을 통한 이벤트 데이터 개선을 참조하세요. 앱 사용 분석을 개선하기 위해 규칙 조건에서 모든의 사용을 최소화하고, 특정 앱, 서비스, 포트 등을 사용하는 세부 규칙을 사용하는 것이 좋습니다.
허용 목록 동작을 가진 WAN 방화벽을 구현한다는 것은 기본적으로 방화벽이 사이트, 서버, 사용자 등 간의 모든 WAN 연결을 차단한다는 의미입니다. 네트워크에서 WAN 트래픽 연결성을 구체적으로 허용하는 규칙을 방화벽에 추가하십시오. 허용 목록은 Cato WAN 방화벽의 기본 구조이며, WAN 규칙의 암시적인 최종 규칙은 모든 모든 차단입니다.
WAN에서 어떤 소스에서 어떤 목적지로의 연결을 허용하는 규칙을 추가하지 않는 것이 좋습니다. 이러한 유형의 모든 모든 허용 규칙은 네트워크를 상당한 보안 위험에 노출시킵니다.
허용 목록 WAN 방화벽의 강력한 보안 정책에는 조직에서 사용하는 특정 서비스 및 애플리케이션만 허용하는 규칙이 포함됩니다. 사이트 간 트래픽을 위한 모든 서비스를 허용하는 규칙을 사용하는 대신, 이 규칙에 서비스 또는 애플리케이션을 추가하십시오. 서비스가 포트보다 더 구체적이기 때문에, 가능한 경우 포트 대신 서비스를 사용하여 규칙을 정의하는 것이 좋습니다.
조직에서 자주 사용하는 서비스의 예로는 DNS, DHCP, SMB, 데이터베이스, Citrix, RDP, DCE/RPC, SMTP, FTP, ICMP, NetBIOS, NTP, SNMP 등이 있습니다.
조직에서 자주 사용하는 애플리케이션의 예로는 SharePoint, Slack, Citrix ShareFile 등이 있습니다.
WAN 방화벽용으로 모든 애플리케이션과 서비스를 포함하는 사용자 정의 카테고리를 생성한 후, 이 사용자 정의 카테고리를 관련 규칙에 추가할 수 있습니다. 방화벽에 사전 정의되지 않은 애플리케이션 또는 서비스에 대해 사용자 정의 애플리케이션을 사용하십시오. 이렇게 하면 이벤트에 애플리케이션 이름이 포함되어 더 나은 분석이 가능합니다.
차단 목록 동작을 가진 WAN 방화벽을 구현한다는 것은 기본적으로 방화벽이 사이트, 서버, 사용자 등 간의 모든 WAN 연결을 허용한다는 의미입니다. 기업 보안 정책의 필요에 따라 WAN 트래픽을 차단하는 규칙을 방화벽에 추가하십시오. WAN 보안 정책에는 이 접근 방식을 사용하지 않는 것이 좋습니다. 그러나 조직에서 이 방법을 사용하는 경우 원하지 않는 WAN 트래픽을 차단해야 합니다.
Cato 관리 애플리케이션에서 차단 목록 WAN 방화벽을 구현하려면, 규칙집 하단에 모든 모든 허용 규칙이 포함되어 있습니다.
댓글 0개
댓글을 남기려면 로그인하세요.