방화벽은 기업 네트워크 보안 및 내부 자원 보호에 중요한 역할을 합니다. 본 글은 귀하의 조직을 위한 가장 강력한 보안 정책을 만드는데 도움을 주는 권장 사항과 모범 사례를 포함하고 있습니다. 또한 방화벽 정책을 깨끗하고 관리 가능한 상태로 유지하는 방법도 설명합니다.
인터넷 방화벽은 네트워크 내 사용자와 장치가 다양한 웹 서비스, 애플리케이션 및 콘텐츠에 대한 접근을 관리하도록 도와줍니다. WAN 방화벽은 내부 리소스 및 사용자와 사이트 간의 WAN 트래픽을 관리할 수 있습니다. 이 가이드는 각 방화벽의 규칙을 구성하고 조정하여 보안 정책의 효과를 극대화하는 데 도움이 됩니다.
특정 규칙 설정에 대한 추가 정보는 규칙 객체 참고를 참조하세요.
Cato 관리 애플리케이션(CMA)의 모범 사례 페이지에서는 여러 방화벽 검사 항목을 표시하며, 계정이 규정을 준수하는 경우 더 많은 정보는 CMA에서 계정에 대한 모범 사례 검토를 참조하세요.
방화벽 규칙 기반에는 허용 목록과 차단 목록의 두 가지 접근 방식이 있습니다. 방화벽 규칙 베이스를 허용 목록에 추가한다는 것은 규칙이 방화벽에서 허용하는 트래픽을 정의한다는 것을 의미합니다. 기타 모든 트래픽은 방화벽에 의해 차단됩니다. 방화벽 규칙 베이스를 차단 목록에 추가하는 것은 반대의 경우로, 규칙이 차단되는 트래픽을 정의합니다. 기타 모든 트래픽은 방화벽에 의해 허용됩니다. 조직은 특정 요구 사항과 상황에 가장 적합한 접근 방식을 선택합니다.
- 허용 목록 보안 정책에는 허용 규칙과 일치하지 않는 모든 트래픽을 차단하는 최종 규칙으로 ANY ANY 차단 규칙이 포함됩니다.
- 차단 목록 보안 정책에는 차단 규칙과 일치하지 않는 모든 트래픽을 허용하는 최종 규칙으로 ANY ANY 허용 규칙이 포함됩니다.
각 접근 방식에 대한 추천 사항은 아래 인터넷 및 WAN 방화벽 각각의 섹션에서 논의됩니다.
카토의 인터넷 및 WAN 방화벽은 두 가지 유형의 방화벽 규칙을 사용합니다:
이 섹션에서는 이러한 규칙 유형 간의 차이점과 방화벽이 이를 네트워크 트래픽에 적용하는데 사용하는 논리를 설명합니다.
카토는 네트워크 보안 정책을 정의하고 네트워크 내의 수신 및 출력 트래픽을 제어할 수 있는 전통적인 방화벽 규칙을 구성할 수 있게 해줍니다. 카토의 전통적인 방화벽 규칙은 다음 설정들 중 하나 이상만 가지고 있습니다:
전통적인 방화벽 엔진은 첫 번째 패킷에서 트래픽을 평가합니다. 예를 들어, 네트워크 관리자는 프로토콜과 포트를 기반으로 방화벽 규칙을 구성할 수 있습니다. 이 종류의 규칙에 대해서는 방화벽이 첫 번째 패킷을 기준으로 트래픽을 허용할지 차단할지를 결정합니다.
다음 스크린샷은 포트 80에서 TCP 트래픽을 차단하는 전통적인 WAN 방화벽 규칙의 예를 보여줍니다:
다음 그림은 호스트 A에서 호스트 B로의 TCP 연결 예시와 전통적인 방화벽 엔진이 차단 규칙을 평가하는 지점을 보여줍니다:
참고
참고: 전통적인 방화벽 엔진은 패킷을 삭제하지 않습니다. PoP는 목적지(호스트 B)로 패킷을 전송하지 않고 TCP 핸드셰이크를 완료합니다. 그 이유는 차단 또는 프롬프트 작업을 위한 인터넷 리디렉션 페이지를 표시하기 위함입니다. 리디렉션 페이지에 대한 자세한 내용은 경고/차단 페이지 사용자 정의를 참조하십시오.
Cato의 NG 방화벽 엔진은 상태 기반이며 애플리케이션 및 서비스에 대한 완전한 인식과 제어를 위해 애플리케이션 계층 데이터 검사를 사용합니다. 딥 패킷 검사(DPI)와 다수의 보안 엔진을 적용하여 트래픽을 검사합니다. NG 방화벽 엔진의 주요 요소는 애플리케이션 인식으로, 이를 통해 애플리케이션 및 서비스에 따라 트래픽을 허용하거나 차단하는 규칙을 정의할 수 있습니다. NG 방화벽 엔진은 애플리케이션, 사용자 정의 애플리케이션, 카테고리, 사용자 정의 카테고리, 서비스, FQDN, 도메인 등에 기반하여 패킷 내용을 검사합니다. 예를 들어, 네트워크에서 uTorrent 애플리케이션 트래픽을 차단하는 규칙을 정의할 수 있습니다. 통신 흐름의 데이터 내용을 검사하기 위해 방화벽은 흐름 내 여러 패킷을 평가하며, 이는 애플리케이션과 콘텐츠 페이로드의 다른 속성을 식별하는 데 도움이 됩니다.
다음 그림은 호스트 A에서 호스트 B로의 TCP 연결 예시와 NG 방화벽이 차단 규칙을 평가하는 지점을 보여줍니다:
이 섹션에는 인터넷 및 WAN 방화벽과 관련된 강력한 보안 정책을 위한 모범 사례가 포함되어 있습니다.
Cato Networks의 WAN 및 인터넷 방화벽은 순서가 지정된 방화벽입니다. 방화벽은 연결을 순차적으로 검사하고 연결이 규칙과 일치하는지 확인합니다. 예시로, 연결이 규칙 #3과 일치하면, 작업이 연결에 적용되고 방화벽은 이를 검사하는 것을 멈춥니다. 방화벽은 연결에 대해 규칙 #4 및 이후 규칙을 계속해서 적용하지 않습니다.
방화벽 규칙이 잘못된 순서에 있으면 우연히 트래픽을 차단하거나 허용할 수 있습니다. 이로 인해 사용자의 경험이 나빠지거나 보안 위험이 발생할 수 있습니다. 방화벽 규칙의 순서에 대한 더 많은 정보를 보려면 방화벽 지식 베이스 문서를 참조하십시오.
대부분의 경우에 권장되는 규칙 기반의 순서는 다음과 같습니다:
- 특정 차단 규칙
- 일반 허용 규칙
- 특정 허용 규칙
-
모두 모두 규칙
- 허용 목록(기본 WAN 방화벽)은 최종 차단 규칙을 사용합니다.
- 차단 목록(기본 인터넷 방화벽) 사용자에게 최종 허용 규칙이 적용됩니다.
Cato 방화벽은 순서가 지정된 규칙 기반을 따르기 때문에 NG 방화벽 규칙을 전통적인 방화벽 규칙 전에 구성하면, DPI 엔진이 트래픽을 검사하여 애플리케이션이나 서비스를 식별한 후 조치를 적용합니다. 이는 첫 번째 패킷이 통과하여 목적지에 도달할 수 있음을 의미합니다. 따라서 전통적인 규칙이 네트워크를 적절히 보호하고 첫 번째 패킷에 동작을 적용하기 위해서는 높은 우선순위를 가지고 규칙 기반의 최상단에 위치해야 합니다(모든 NG 방화벽 규칙 전에). 모든 전통적인 방화벽 규칙을 NG 방화벽 규칙 이전에 규칙 기반의 최상단에 배치할 것을 권장합니다.
더 많은 정보를 보려면 상단의 전통적인 vs. NG 방화벽 규칙을 참조하십시오.
Cato는 DNS 트래픽과 관련된 위험을 완화하기 위해 WAN 및 인터넷 방화벽에 대해 다음 구성을 권장합니다:
- 방화벽 정책에서 DNS Over HTTPS - DoH 서비스를 제한하여 DNS의 은폐 사용을 차단하십시오.
-
인터넷 방화벽에서 DNS 트래픽에 대한 주차 도메인 애플리케이션 카테고리를 차단합니다.
- DNS 재구속 공격을 차단하기 위해 WAN 세분화를 정확하게 정의하십시오.
WAN 및 인터넷 방화벽 정책은 각각 규칙당 최대 128개 술어를 지원합니다.
조건은 규칙에 정의된 설정의 유형이고, 요소는 항목의 총 수입니다. 예를 들어, 100명의 사용자와 10개의 사이트가 있는 규칙에는 110개의 요소와 2개의 조건(사용자 및 사이트)이 있습니다.
그룹 그리고 고급 그룹 각각은 단일 수식어로 계산됩니다.
방화벽 규칙의 추적 옵션을 사용하면 방화벽 트래픽 이벤트와 알림을 모니터링하고 분석할 수 있습니다. 차단 작업에 대한 규칙을 구성하여 제한된 콘텐츠에 액세스하려는 출처를 쉽게 모니터링할 것을 권장합니다. 보안 위험이 큰 트래픽을 처리하는 규칙에 대한 이벤트 및 알림을 구성할 수 있습니다.
모범 사례로서 모든 인터넷 트래픽을 기록하기 위해 모니터링을 사용할 것을 권장합니다. 이를 구현하려면 명시적 ANY-ANY 허용 규칙을 최종 인터넷 방화벽 규칙으로 추가하고 이벤트를 생성하도록 구성합니다. 이렇게 하면 네트워크의 모든 인터넷 트래픽에 대한 가시성을 제공하여 사용성을 유지하면서 네트워크 및 사용자를 더 잘 보호할 수 있습니다.
이메일 알림 및 이벤트에 대한 자세한 내용은 계정 수준 경고 및 시스템 알림을 참조하세요.
시간 설정을 통해 방화벽 규칙에 대한 특정 시간 범위를 정의할 수 있습니다. 시간 범위 외부의 경우 방화벽이 이 규칙을 무시합니다. 이 기능을 사용하면 인터넷 액세스를 제한하고 네트워크에서 접근 제어를 개선할 수 있습니다. 예를 들어, 정규 근무 시간 동안에만 소셜 카테고리에 대한 접근을 차단하는 인터넷 방화벽 규칙을 정의할 수 있습니다. 또는 WAN 방화벽에서 근무 시간 동안 클라우드 데이터 센터로의 액세스만 허용하는 규칙을 생성할 수 있습니다. 규칙의 작업 섹션에는 사전 설정된 근무 시간 제한 옵션이 있습니다.
또한 사용자 정의 시간 제약을 예약하고 규칙을 지정된 시간으로 제한할 수 있습니다. From 시간이 To 시간보다 먼저 설정되었는지 확인하십시오. 그렇지 않으면 규칙이 제대로 작동하지 않습니다. 하루의 끝과 다음 날의 시작을 아우르는 제약 조건을 만들려면 두 개의 규칙을 만들고 각 날의 관련 시간에 대한 제약 조건을 정의하십시오. 예를 들어, 월요일 23:00-23:59에 대해 정의된 제한을 가진 하나의 규칙과 화요일 00:00부터 01:00까지 정의된 제한을 가진 두 번째 규칙입니다.
참고
참고: 시간 제약이 있는 방화벽 규칙은 사용자 유형에 따라 다양한 분류를 갖습니다:
- 사이트의 경우, 구성된 시간대가 시간 제한이 있는 방화벽 규칙을 적용하는 데 사용됩니다.
- ZTNA 사용자에 대해, 시간 제한이 있는 방화벽 규칙은 공인 IP 주소의 지리적 위치를 기반으로 합니다. 사용할 수 없는 경우 계정의 시간대의 지리적 위치가 사용됩니다.
간단하고 정돈된 방화벽 규칙 기반은 강력한 보안 정책을 구현하는 데 도움이 됩니다. 이렇게 하면 관리가 용이하고 혼동을 줄일 수 있습니다. 이 섹션의 권장 사항은 명확하고 일관된 보안 정책을 만들고 실수를 피하는 데 도움이 됩니다.
규칙을 만들 때 구체적이고 독특한 규칙 이름을 지정합니다. 자체 설명 규칙 이름을 사용하면 팀의 다른 관리자가 규칙의 목적을 쉽게 이해할 수 있습니다. 잘못된 이름의 규칙은 실수를 초래하고 혼란을 초래할 수 있습니다.
예를 들어, 도박 웹사이트를 차단하는 인터넷 방화벽 규칙을 도박 차단으로 명명하고 불명확한 차단된 웹사이트 대신 사용할 수 있습니다.
각각의 개별 방화벽 규칙을 비활성화하거나 활성화할 수 있습니다. 그러나 규칙을 짧은 시간 동안만 비활성화할 것을 권장합니다. 오래되었거나 더 이상 사용되지 않는 규칙은 비활성화하지 말고 규칙 기반에서 삭제하십시오. 비활성화된 규칙은 규칙 기반을 더 복잡하게 만들고 관리하기 어렵게 만듭니다.
방화벽 규칙을 만들 때 사용자 또는 사이트 그룹을 사용하여 이 그룹의 멤버에 대해 네트워크 접근을 제한합니다. 예를 들어, 사용자 그룹(자원 > 그룹)을 생성하고 이 그룹에 대해서만 인터넷 액세스를 차단할 수 있습니다.
예외는 방화벽 규칙에 대한 강력한 도구이지만, 규칙 기반을 읽기 어렵게 만들 수 있습니다. 규칙에서 예외를 사용하는 경우, 규칙 이름을 정할 때 예외가 포함되어 있다는 것을 명확히 나타내십시오. 예를 들어, 소셜 차단(예외 포함).
Cato 인터넷 방화벽은 인터넷 트래픽을 검사하고 인터넷 액세스를 제어하기 위한 규칙을 만들 수 있습니다. 인터넷 방화벽은 사이트와 사용자로부터 웹사이트, 카테고리, 애플리케이션 등으로의 액세스를 허용하거나 차단하는 보안 규칙 집합에 기반합니다. 인터넷 방화벽의 기본 접근 방식은 차단 목록(ANY ANY 허용)입니다.
다음 스크린샷은 CMA의 예제 인터넷 방화벽 정책을 보여줍니다 (보안 > 인터넷 방화벽):
참고: 인터넷 방화벽 규칙 베이스 상단의 시스템 규칙입니다. 이 규칙은 Cato Networks 마스터 서비스 계약(MSA)에서 정의한 대로 잠재적으로 불법적이거나 악의적인 트래픽을 자동으로 차단합니다.
Cato 인터넷 방화벽 정책에 대한 우수 사례
이 섹션은 계정의 인터넷 액세스를 안전하게 보호하는 데 도움을 주는 모범 사례를 포함합니다.
QUIC는 UDP 위에 구축된 새로운 다중 전송 프로토콜입니다. HTTP/3는 스트림 간의 헤드-오브-라인 차단이 없다는 점을 포함하여 QUIC의 기능을 활용하도록 설계되었습니다. QUIC 프로젝트는 사용자 경험, 특히 페이지 로드 시간을 향상시키기 위해 TCP+TLS+HTTP/2의 대안으로 시작되었습니다. Cato는 QUIC 트래픽 및 GQUIC(Google QUIC) 트래픽을 식별하고 차단할 수 있습니다.
방화벽이나 네트워크 규칙에서 QUIC 트래픽을 관리하기 위해 관련 규칙에서 서비스 QUIC 및 애플리케이션 GQUIC을 사용합니다. 다음은 계정의 QUIC 트래픽을 차단하는 인터넷 방화벽 규칙 예제입니다:
QUIC 프로토콜은 UDP 443에서 작동하기 때문에 캡슐화된 HTTP 트래픽은 파싱되지 않습니다. 이것은 애플리케이션 분석 스크린에 애플리케이션 자체 대신 QUIC 트래픽만을 위한 항목을 표시하는 것을 의미합니다.
따라서 브라우저가 HTTP 3.0 및 QUIC 대신 기본 HTTP 버전을 사용하도록 QUIC 및 GQUIC 트래픽을 차단하는 특정 규칙을 생성할 것을 권장합니다. 이는 QUIC 서비스 또는 GQUIC 애플리케이션 사용에 대한 보고 대신 사용된 애플리케이션에 대한 상세한 분석을 제공합니다.
인터넷 액세스를 허용하는 규칙의 경우 특정 사이트, 호스트 또는 사용자를 소스 열에 선택하는 것이 좋으며 어떤 옵션을 사용하지 않는 것을 추천합니다. 인터넷으로의 모든 트래픽을 허용하는 규칙은 예기치 않은 소스로부터의 트래픽을 허용하기 때문에 잠재적인 보안 위험이 됩니다.
다음 스크린샷은 소스 열이 모든 사이트 및 모든 SDP 사용자 그룹으로 설정된 규칙을 보여주며 어떤 대신 사용되었습니다:
인터넷 방화벽 규칙에서 모두를 사용하는 경우 일부 설정에서 중요한 유용한 정보를 포함하지 않는 이벤트를 생성할 수 있습니다. 예를 들어, 모든 애플리케이션으로 구성된 규칙은 트래픽 흐름에서 애플리케이션을 식별하지 못하는 이벤트를 생성할 수 있습니다. 방화벽이 규칙을 시작하기 전에 애플리케이션 식별을 완료하지 않았기 때문에, 어떤 애플리케이션도 규칙에 맞게 됩니다. 그런 다음 Cato 보안 스택이 앱 식별 프로세스를 완료하면 이 애플리케이션 사용 데이터가 앱 분석 화면에 포함됩니다. 그러나 이벤트는 동일한 정보를 모두 포함하지 않으며, 따라서 애플리케이션 사용량을 추가로 조사하기 어려울 수 있습니다.
애플리케이션 사용 분석을 개선하기 위해, 우리는 규칙 조건에 모두 사용을 최소화하고 대신 특정 앱, 서비스, 포트 등을 사용하는 세밀한 규칙을 사용할 것을 권고합니다.
특정 서비스나 포트에 대해 모든 인터넷 아웃바운드 트래픽을 허용하는 방화벽 규칙을 구성해야 하는 경우, 잠재적 보안 위험이 있는 카테고리나 애플리케이션을 차단할 것을 권장합니다.
예를 들어, 모든 HTTP 트래픽을 허용하는 규칙이 있는 경우, 다음과 같은 카테고리에 대한 예외를 규칙에 추가하십시오: 속임수, 도박, 폭력과 증오, 주차된 도메인, 나체, 무기, 성교육, 사이비 종교, 그리고 익명화 도구. 이러한 것은 악성 콘텐츠를 포함할 수 있는 카테고리 예시이며, 이러한 카테고리에 대한 예외는 인터넷 액세스를 차단합니다.
일반적으로 인터넷 트래픽을 허용하는 규칙의 경우 일반 평문 프로토콜 대신 보안, 암호화된 프로토콜을 사용할 것을 권장합니다. 예를 들어, FTP 대신 FTPS를 사용하고, Telnet 또는 SNMP 대신 SSH를 사용하십시오. 보안 프로토콜로 허용되는 인터넷 트래픽은 암호화되어 해커가 인터셉트하고 해독하기 매우 어렵습니다.
보안 위험이 적은 웹사이트에 액세스를 허용하는 규칙이 있는 경우, 프롬프트 작업을 허용 대신 사용할 것을 권장합니다. 사용자가 이러한 웹사이트 중 하나에 액세스하려고 시도하면, 프롬프트 작업은 사용자를 웹 페이지로 리디렉션하여 계속할지 여부를 결정합니다. 이러한 웹사이트는 네트워크에 보안 위험을 추가하기 때문에, 이 규칙과 일치하는 트래픽 이벤트를 추적할 것을 권장합니다.
프롬프트 작업이 올바르게 작동하려면, 지원되는 모든 장치에 카토 인증서를 설치할 것을 권장합니다.
규칙에 여러 카테고리를 포함하면 규칙 기반 관리가 어려워집니다. 대신 관련 카테고리를 모두 포함하는 사용자 정의 카테고리를 정의한 다음 이 단일 사용자 정의 카테고리를 규칙에 추가할 수 있습니다. 하나의 사용자 정의 카테고리를 사용하는 간단한 규칙을 정의하면 규칙 기반을 읽고 검색하기가 쉬워집니다.
예를 들어, 허용하려는 모든 카테고리, 앱, 서비스가 포함된 인터넷 프로필이라는 사용자 정의 카테고리를 생성한 후 관련 인터넷 방화벽 규칙에 사용자 정의 카테고리를 추가할 수 있습니다. 규칙을 최신 상태로 유지하려면 사용자 정의 카테고리를 간단히 편집하며 필요한 업데이트를 추가하거나 제거할 수 있습니다.
사용자 정의 카테고리를 사용하여 모범 사례를 구현하는 규칙에 대한 추가 제안은 다음과 같습니다:
- 프롬프트 작업으로 정의하고자 하는 모든 트래픽에 대해 규칙을 생성하십시오. 그런 다음 모든 관련 URL과 카테고리를 포함하는 Prompt Sites라는 사용자 정의 카테고리를 생성하여 규칙에 추가합니다. 프롬프트 작업에 대한 추천 카테고리는 다음을 포함합니다: 속임수, 도박, 폭력과 증오, 저급한 내용, 주차된 도메인, 무기, 성교육, 사이비 종교, 익명화 도구. 일치하는 트래픽에 대한 이벤트를 생성하기 위해 규칙에 대해 추적을 설정하십시오.
- 차단 작업으로 정의하고자 하는 모든 트래픽에 대해 규칙을 생성하십시오. 그런 다음 모든 관련 URL과 카테고리를 포함하는 Block Sites라는 사용자 정의 카테고리를 생성하여 규칙에 추가합니다. 차단 작업을 위한 권장 카테고리에는 다음이 포함됩니다: 봇넷, 손상된, 포르노, 키로거, 멀웨어, 피싱, 스파이웨어, 불법 약물, 해킹, 스팸, 의심스러운. 규칙에 대한 추적을 구성하여 일치하는 트래픽에 대한 이벤트를 생성하십시오.
인터넷 방화벽의 최종 규칙은 암묵적인 모두 - 모두 - 허용 규칙이지만, 우리는 최종 규칙으로 명시적인 모두 - 모두 - 허용 규칙을 추가할 것을 권장합니다. 이렇게하면 모든 인터넷 트래픽을 쉽게 기록할 수 있으며, 모든 규칙에 대해 이벤트 추적을 선택하기만 하면 됩니다.
Cato의 인터넷 방화벽은 전체 최상위 도메인(TLD) 차단을 간단하고 효과적으로 수행합니다. 예를 들어 .shop, .info 또는 .cg (콩고)와 같은 국가 코드 TLD를 차단합니다. 이 기능은 조직이 네트워크 전반에 걸쳐 높은 위험 또는 원하지 않는 TLD에 대한 액세스를 사전에 차단할 수 있도록 보안을 강화합니다.
TLD를 차단하려면 인터넷 방화벽 규칙의 App/Category에 대한 Domain을 정의하십시오. 와일드카드 (예: *.info)를 사용할 필요가 없습니다; 하위 도메인은 자동으로 포함됩니다. info를 추가하면 example.info, subdomain.example.info 및 .info TLD 아래의 모든 도메인이 차단됩니다.
인터넷 방화벽은 지정된 TLD 아래의 도메인에 대한 아웃바운드 트래픽을 차단합니다. 인바운드 트래픽은 차단하지 않습니다. 도메인을 통해 국가를 차단하는 것은 IP 기반 필터링이 아니라 도메인 이름 자체에 의존합니다.
위의 예제는 다음과 같은 행동으로 차단 규칙에 추가할 수 있는 도메인을 보여줍니다:
- info는 모든 .info 도메인을 차단합니다.
- shop는 모든 .shop 도메인을 차단합니다.
- cg는 모든 .cg (콩고) 도메인을 차단합니다.
허용 목록 행동으로 인터넷 방화벽을 구현하는 것은 기본적으로 방화벽이 모든 인터넷 트래픽을 차단함을 의미합니다. 기업 보안 정책의 필요에 따라 인터넷 트래픽을 특정적으로 허용하는 방화벽 규칙을 추가하십시오.
CMA에서 허용 목록 인터넷 방화벽을 구현하려면 규칙 기반의 맨 아래에 모든 소스로부터 모든 목적지로의 트래픽을 차단하는 명시적 규칙이 있어야 합니다. 다음 예시를 참조하세요:
또한, 네트워크에서 인터넷 트래픽을 모니터링하고 분석하는 데 도움이 되는 이벤트를 생성하기 위해 최종 규칙에 대한 추적을 활성화할 것을 권장합니다.
이 섹션에서는 허용 목록 접근 방식을 사용하는 인터넷 방화벽의 규칙 베이스에 포함시키기를 권장하는 규칙에 대해 논의합니다.
HTTP 및 HTTPS 트래픽을 허용할 때, 리스크가 높거나 부적절한 콘텐츠를 포함하는 웹사이트를 차단할 것을 권장합니다. 이러한 웹사이트는 일반적으로 기업에 의해 차단되며, 멀웨어의 잠재적인 출처가 될 수도 있습니다. 각 카테고리 (자원 > 카테고리)는 다양한 웹사이트와 앱을 포함하고 있으며, 이를 규칙에 쉽게 추가할 수 있습니다. 카테고리에는 예를 들어 Botnets, Compromised, Porn, Keyloggers, Malware, Phishing, Spyware, Illegal Drugs, Hacking, SPAM 및 Questionable이 포함됩니다.
규칙 베이스의 맨 위에 모든 DNS 서비스를 인터넷 트래픽의 일부로 허용하는 규칙이 있는지 확인하십시오.
다음 스크린샷은 DNS 트래픽을 허용하는 예시 규칙을 보여줍니다:
계정에서 사용하는 서비스 중 인터넷 접근이 필요한 것은 허용하는 규칙을 만듭니다. 또한, 특정 사이트에서만 사용하는 서비스가 있다면, 그 사이트에만 접근을 허용하는 별도의 규칙을 만들 수 있습니다.
귀사의 조직에서 사용하는 애플리케이션을 미리 정의된 애플리케이션 목록에서 인터넷 방화벽 규칙에 추가하십시오. Cato는 이 목록을 지속적으로 업데이트하여 새로운 애플리케이션을 포함시킵니다. 목록에 없는 애플리케이션이 필요하면 사용자 정의 애플리케이션을 정의할 수 있습니다. 사용자 정의 앱 구성에 대한 자세한 정보는 사용자 정의 앱 작업을 참조하십시오.
차단 목록 동작을 사용하는 인터넷 방화벽을 구현하면, 기본적으로 방화벽이 모든 인터넷 트래픽을 허용합니다. 기업 보안 정책의 필요에 따라 인터넷 트래픽을 특정적으로 차단하는 방화벽 규칙을 추가하십시오. 차단 목록은 인터넷 방화벽의 기본 구조이며, 규칙에 의해 차단되지 않은 모든 트래픽을 허용합니다.
또한, 불필요한 인터넷 트래픽을 식별하기 위해 학습 기간을 사용할 것을 권장합니다. 이 학습 기간 동안, 규칙 베이스 하단에 모든 소스에서 모든 목적지로 추적이 활성화된 트래픽을 허용하는 임시 규칙을 추가하십시오. 이 규칙은 인터넷에 접근이 허용된 모든 연결에 대해 이벤트를 생성합니다. 계정의 인터넷 트래픽을 검토할 때 원치 않는 트래픽을 식별하면 이를 차단하기 위한 규칙을 추가할 수 있습니다.
방화벽 이벤트에 대한 자세한 내용은 네트워크에서의 이벤트 분석을 참조하십시오.
이 섹션에서는 차단 목록 접근 방식을 사용하는 인터넷 방화벽의 규칙베이스에 포함할 것을 권장하는 규칙을 설명합니다.
Telnet 및 SNMP v1 & v2와 같은 서비스는 잠재적인 보안 위험이며 인터넷 규칙베이스에서 차단할 수 있습니다. 귀 조직이 이러한 서비스에 대한 액세스를 요구한다면, 특정 사용자나 그룹에 대해 차단 규칙에 예외를 추가할 것을 권장합니다.
다음 스크린샷은 IT부서에 대해 허용을 설정한 Telnet과 SNMP 트래픽을 차단하는 예시 규칙을 보여줍니다:
카테고리 미분류에는 카테고리 목록의 기존 카테고리에 할당되지 않은 웹사이트가 포함됩니다. 이 웹사이트들은 네트워크에 잠재적인 보안 위험이 될 수 있습니다. 모든 인터넷 트래픽에 대해 미분류 카테고리를 차단하는 규칙을 만드십시오.
또한 Cato의 RBI 서비스를 사용하여 미분류 사이트에 대한 안전한 액세스를 활성화할 수 있습니다. RBI에 대한 자세한 내용은 원격 브라우저 격리를 통한 브라우징 세션 보안을 참조하십시오.
여러 국가가 악성 트래픽을 생성하는 것으로 알려져 있습니다. 귀하의 조직이 이러한 국가와 사업을 하지 않는다면, 인터넷 접근을 차단하고 잠재적인 악성 트래픽을 줄일 것을 권장합니다. 지정된 국가로의 인터넷 트래픽을 차단하기 위해 앱/카테고리 섹션의 국가 설정을 사용하는 규칙을 생성할 수 있습니다.
특정 국가의 트래픽을 차단하고 특정 FQDN에 대한 접근을 허용하려면, 해당 FQDN을 허용 작업과 함께 포함한 규칙을 생성하십시오. 그런 다음 국가를 차단하는 낮은 우선순위의 규칙을 생성하십시오.
Cato의 WAN 방화벽은 Cato Cloud에 연결된 다양한 네트워크 요소 간의 트래픽을 제어하는 데 책임이 있습니다. WAN 방화벽을 통해 네트워크 위의 WAN 트래픽을 제어하고 최적의 네트워크 보안을 달성할 수 있습니다.
WAN 방화벽은 기본적으로 ANY ANY 차단(허용 목록) 접근 방식을 사용합니다. 이는 특정 WAN 방화벽 규칙을 정의하지 않으면 사이트와 사용자 간의 모든 연결성이 차단된다는 의미입니다.
다음 스크린샷은 CMA의 예제 WAN 방화벽 정책을 보여줍니다 (보안 > WAN 방화벽)
이 섹션에는 계정의 WAN 연결성을 보호하는 데 도움이 되는 모범 사례가 포함되어 있습니다.
WAN 방화벽의 황금 규칙은 원하는 트래픽만 허용하는 것입니다. 이러한 허용 규칙의 경우 사용되는 특정 서비스 및 포트를 추가하여 WAN 방화벽에 대해 향상된 보안 연결성을 제공합니다.
다음 스크린샷은 모든 ZTNA 사용자가 데이터센터 사이트에 액세스할 수 있도록 하는 WAN 방화벽 규칙 샘플을 보여줍니다. 이 규칙은 ZTNA 사용자에 대해서만 RDP 트래픽을 허용하므로 보안이 향상됩니다.
WAN 방화벽 규칙에서 소스 또는 목적지에 대한 접근을 허용하는 경우 특정 사이트와 사용자에 비해 보안이 낮습니다. 보다 구체적인 설정은 계정의 WAN 연결성을 제어할 수 있는 권한을 증가시켜 줍니다.
다음 스크린샷은 소스 및 목적지 설정에 특정 사이트를 사용하는 WAN 방화벽 규칙의 예시를 보여줍니다:
일부 설정에서 Any를 사용하여 WAN 방화벽 규칙을 구성할 때, 규칙과 관련된 이벤트는 반드시 모든 관련 데이터를 포함하지 않으며 애플리케이션 사용을 분석하는 데 어려움을 줄 수 있습니다. 모든 설정을 사용하는 규칙의 이벤트에 대한 더 많은 정보는 상단의 세부 규칙으로 이벤트 데이터 개선을 참조하십시오. 애플리케이션 사용 분석을 개선하기 위해, 우리는 규칙 조건에 모든 사용을 최소화하고 대신 특정 앱, 서비스, 포트 등을 사용하는 세밀한 규칙을 사용할 것을 권고합니다.
허용 목록 행동으로 WAN 방화벽을 구현하는 것은 기본적으로 방화벽이 사이트, 서버, 사용자 간의 모든 WAN 연결을 차단함을 의미합니다. 네트워크에서 WAN 트래픽 연결성을 구체적으로 허용하는 규칙을 방화벽에 추가하십시오. 허용 목록은 Cato WAN 방화벽의 기본 구조이며, WAN 규칙 기반의 암시적 최종 규칙은 ANY ANY Block입니다.
WAN에서 어떤 소스에서 어떤 목적지로의 연결을 허용하는 규칙을 추가하지 않는 것이 좋습니다. 이러한 유형의 모든 모든 허용 규칙은 네트워크를 상당한 보안 위험에 노출시킵니다.
허용 목록 WAN 방화벽의 강력한 보안 정책에는 조직에서 사용하는 특정 서비스 및 애플리케이션만 허용하는 규칙이 포함됩니다. 사이트 간 트래픽을 위한 모든 서비스를 허용하는 규칙을 사용하는 대신, 이 규칙에 서비스 또는 애플리케이션을 추가하십시오. 서비스가 포트보다 더 구체적이기 때문에, 가능한 경우 포트 대신 서비스를 사용하여 규칙을 정의하는 것이 좋습니다.
조직에서 자주 사용하는 서비스의 예로는 DNS, DHCP, SMB, 데이터베이스, Citrix, RDP, DCE/RPC, SMTP, FTP, ICMP, NetBIOS, NTP, SNMP 등이 있습니다.
조직에서 자주 사용하는 애플리케이션의 예로는 SharePoint, Slack, Citrix ShareFile 등이 있습니다.
또한 WAN 방화벽의 모든 애플리케이션과 서비스를 포함하는 사용자 정의 카테고리를 생성한 후 해당 사용자 정의 카테고리를 관련 규칙에 추가할 수 있습니다. 방화벽에 사전 정의되지 않은 애플리케이션 또는 서비스에 대해 사용자 정의 애플리케이션을 사용하십시오. 이렇게 하면 이벤트에 애플리케이션 이름이 포함되어 더 나은 분석이 가능합니다.
차단 목록 동작을 사용하는 WAN 방화벽을 구현하면, 기본적으로 방화벽이 사이트, 서버, 사용자 간 모든 WAN 연결을 허용합니다. 기업 보안 정책의 필요에 따라 WAN 트래픽을 차단하는 규칙을 방화벽에 추가하십시오. WAN 보안 정책에는 이 접근 방식을 사용하지 않는 것이 좋습니다. 그러나 조직에서 이 방법을 사용하는 경우 원하지 않는 WAN 트래픽을 차단해야 합니다.
CMA에서 차단 목록 WAN 방화벽을 구현하려면 규칙 기반의 맨 아래에 ANY ANY 허용 규칙이 포함되어 있습니다.
댓글 0개
댓글을 남기려면 로그인하세요.