Cato WAN 방화벽이란 무엇입니까?

이 기사에서는 귀하의 계정을 위한 WAN 방화벽에 대한 배경 정보를 제공하고 있습니다.

WAN 방화벽 작업에 대한 자세한 정보는 WAN 방화벽 정책 관리를 참조하세요.

Cato WAN 방화벽 개요

Cato 클라우드의 WAN 방화벽은 귀하의 광역 네트워크(WAN) 내 객체와 엔터티에 대한 액세스를 제어합니다. 네트워크를 보호하고 안전한 접근 정책을 생성하기 위해 WAN 방화벽 룰베이스를 구성하십시오.

WAN 방화벽은 Cato 클라우드에 통합된 차세대 방화벽(NGFW)의 일부로서 네트워크에 무단 접근을 방지하는 규칙을 생성할 수 있게 합니다. WAN 방화벽은 화이트리스트 방식으로 사용되며, 룰 베이스에 명시적으로 허용되지 않은 모든 연결을 드롭하기 위한 기본 ANY-ANY 차단 규칙이 있습니다.

트래픽을 검사하고 설정에 맞는 연결만 허용하도록 방화벽을 구성하기 위해 규칙을 사용하세요. 방화벽은 순서가 정해진 룰베이스를 사용합니다. 이는 연결을 검사하기 시작하고 첫 번째 규칙과의 일치를 확인하는 것을 의미합니다. 일치하지 않으면 계속해서 연결에 대해 각 규칙을 순차적으로 적용하여 일치하는 규칙을 찾습니다.

WAN 방화벽은 사용자 인식을 포함한 전체 계층 7 기능을 통합하여 WAN에서 특정 애플리케이션에 대한 제로 트러스트 접근 정책을 허용합니다.

사용 사례 - 승인된 비디오 회의 기기 제조업체만 허용

보안 관리자는 런던 지점 사무실 사이트 미팅룸의 보안 태세 검토 작업을 받습니다. 관리자는 장치 인벤토리 페이지로 이동하여 필드 - 장치 유형, 연산자 - 포함됨, 값 - 비디오 컨퍼런싱을 필터링하고 런던 사이트의 모든 비디오 컨퍼런싱 장치를 확인합니다. 관리자는 여러 다른 제조사에서 비디오 컨퍼런싱 장치가 있음을 인식하고, 이것이 조직의 보안 정책을 충족하지 않습니다. IT 팀은 이미 IoT 보안 라이선스를 보유하고 있으며 장치 속성 설정을 사용하여 비디오 컨퍼런싱 장치에 대해 승인된 두 제조업체만 허용하는 WAN 및 인터넷 방화벽 정책의 새로운 규칙을 생성합니다. 런던 사이트의 일부 비디오 컨퍼런싱 장치는 승인된 제조사로부터 새 장치로 교체될 때까지 방화벽 정책에 의해 차단되므로 더 이상 작동하지 않습니다.

자율 방화벽 인사이트 이해하기

WAN 자율 방화벽 인사이트는 Cato의 권장 사항을 준수하는 방법을 평가하여 WAN 방화벽 정책 검토를 위한 태세 검사 목록입니다. 이 권장 사항을 따르면 방화벽 구성 최적화 및 보안 태세 개선이 가능합니다.

인사이트는 두 유형이 있습니다.

스타 아이콘(AI 지원): 귀하의 WAN 방화벽 정책에 활성화된 규칙은 인공지능(AI)에 의해 자동 분석되어, 예를 들어 폐기되거나 수정될 수 있는 규칙을 감지하도록 합니다.
- 임시 규칙: 즉각적인 필요를 해결하기 위해 단기 솔루션으로 도입됩니다. 이 규칙들은 올바른 또는 영구적인 솔루션이 배치되거나 개발 중인 동안 대체로 일시적으로 기능하도록 생성됩니다.
- 테스트 규칙: 특정 기능이나 시나리오를 검증, 디버깅 또는 실험하기 위해 명시적으로 생성된 규칙입니다.
- 만료된 규칙 또는 미래 만료 날짜가 있는 규칙: 특정 필요를 해결하기 위해 생성되며 이미 지난 또는 아직 도달하지 못한 바람직한 종단 날짜를 가진 규칙입니다.
- 과도히 허용적인 규칙: 규칙에 정의된 사용자, 호스트, 앱 또는 프로토콜에 따라 과도히 허용적인 규칙일 수 있습니다. 이 인사이트는 위상적 휴리스틱을 사용하여 제로 트러스트 전략에 더 잘 부합하기 위해 규칙에서 여분의 항목을 제거할 것을 권장하는 것을 나타냅니다.
  
  예를 들어: 특정 제로 트러스트 장치 상태 프로필로 조건이 제한된 sampleAdmin에게만 사용자 접근을 제한하고, TCP만 제한된 프로토콜로 RDP만 애플리케이션으로 제한하십시오.
- 사용되지 않은 규칙: 지난 60일 동안 어떠한 이벤트도 생성하지 않은 허용 작업이 있는 방화벽 규칙을 식별합니다.
구성 기반: 귀하의 인터넷 방화벽 정책의 구성 및 설정은 모범 사례를 따르도록 합니다.

WAN 방화벽 구성 마법사와 함께 작업하기

WAN 방화벽 구성 마법사는 이러한 검사와 인사이트를 사용하여 귀하의 정책을 자율적으로 검토합니다. 검사가 실패하면 개별 규칙을 편집하지 않고 마법사에서 직접 정책을 검토하고 업데이트할 수 있습니다. 이는 정책 관리를 간소화하면서 보안을 유지하는 데 도움이 됩니다. 자세한 내용은 구성 마법사 사용하기를 참조하세요.

Cato 방화벽의 안티 스푸핑 보호

NGFW의 기본 기능 중 하나는 안티 스푸핑 공격을 보호하는 것입니다. Cato Cloud의 보안 엔진은 설정된 엔티티(사이트, 네트워크 범위, 장치 또는 사용자 등)의 범위를 벗어난 소스 IP를 포함하는 모든 연결을 암묵적으로 차단합니다. 이는 안티 스푸핑 공격을 차단하고 설정된 논리적 토폴로지의 위반을 방지합니다.

정렬된 규칙 작업하기

WAN 방화벽은 연결을 순차적으로 검사하고 연결이 규칙과 일치하는지 확인합니다. 규칙 기반의 마지막 규칙은 기본 ANY-ANY 차단 규칙입니다. 따라서 연결이 규칙과 일치하지 않으면 마지막 기본 규칙에 의해 차단됩니다. 강력한 접근 제어 정책에는 WAN에서 특정 연결 및 트래픽을 허용하는 방화벽 규칙이 포함되어 있습니다.

규칙 기반의 맨 끝에 있는 기본 규칙 섹션에서 기본 규칙 설정을 검토할 수 있습니다. 이 규칙 설정은 편집할 수 없습니다.

규칙 기반의 맨 위에 있는 규칙은 규칙 기반에서 아래 규칙보다 먼저 연결에 적용되기 때문에 우선순위가 높습니다. 예를 들어, 연결이 규칙 #3과 일치하면, 그 작업이 연결에 적용되며, 방화벽은 이를 더 이상 검사하지 않습니다. 방화벽은 연결에 규칙 #4 이하의 규칙들을 계속 적용하지 않습니다. WAN 방화벽의 효율성을 높이고 가장 많은 연결과 일치하는 규칙에 높은 우선순위를 부여할 수 있습니다.

단일 규칙에서 여러 객체 작업하기

애플리케이션 및 서비스와 같은 여러 열에 객체가 있는 규칙이 있을 때, 그 사이에는 AND 관계가 있습니다. 예를 들어, 포트 443용 백업 서비스 애플리케이션을 허용하는 규칙이 있을 경우, 트래픽이 애플리케이션과 포트를 모두 충족하는 경우에 허용됩니다.

단일 열에서 여러 객체를 사용하는 규칙의 경우, 하나 이상의 포트와 같은 객체 사이에는 OR 관계가 있습니다. 예를 들어, SMTP 서비스 및 포트 25, 265, 587, 2525에 대한 메일 서버 액세스를 허용하는 규칙이 있을 경우, 트래픽이 SMTP 서비스 또는 포트 중 하나와 일치하면 허용됩니다.

참고: 각 규칙은 그들 사이에 AND 관계가 있는 최대 64개의 조건을 가질 수 있으며, 규칙의 예외는 규칙 한도에 포함됩니다. 예를 들어, 두 개의 AND 조건(예: 소스와 서비스)을 가진 규칙이 있을 때, 규칙에는 각각 3개의 AND 조건(예: 소스, 앱, 및 서비스)이 있는 25개의 예외가 있으며, 규칙에는 총 77개의 조건이 있습니다. 이것은 지원되는 64 조건 한도를 초과하여 규칙이 정상적으로 작동하지 않을 수 있습니다. 그러나 규칙의 동일한 열에 64개 이상의 객체를 지정할 수 있으므로 그들 사이에는 OR 관계가 있습니다. 예를 들어, 하나의 규칙에 64개 이상의 앱을 지정할 수 있습니다.

히트 수 이해하기

적중 횟수는 정책에서 제거할 수 있는 사용되지 않는 규칙을 식별하고 필요한 트래픽 범위에 더 잘 맞도록 규칙 구성을 최적화하는 데 도움이 됩니다. 규칙의 적중 횟수는 규칙에 의해 생성된 이벤트 수를 기준으로 합니다. 규칙이 이벤트를 생성하지 않으면 적중 횟수는 0입니다.

적중 횟수에는 두 가지 숫자가 포함됩니다:

정책의 각 규칙에 의해 생성된 이벤트의 대략적인 수
규칙이 다른 규칙에 비해 얼마나 자주 히트했는지를 백분위 순위로 정렬하여 보여줍니다.

상태 바의 색상에 따라 가장 높은 적중 횟수와 가장 낮은 적중 횟수를 가진 규칙을 빠르게 식별할 수 있습니다. 이 색상은 다른 규칙에 비해 규칙이 얼마나 자주 적중되는지를 반영합니다:

Blue: 0 - 24th 백분위
Green: 25th - 49th 백분위
Orange: 50th - 74th 백분위
Red: 75th -100th 백분위

히트 카운터 리셋 및 새로고침

히트 수 값은 매 24시간마다 자동으로 업데이트되며, 지난 14일 동안의 트래픽을 기반으로 합니다. 각 규칙 끝의 세 개의 점에서 최신 가시성을 위해 히트 수를 재설정하거나 새로고침할 수 있습니다. 이를 통해 규칙의 효과성을 정확하게 측정하고 규칙 활동을 즉시 검증할 수 있습니다.

특정 방화벽 규칙의 히트 카운터를 재설정하면 히트 수를 0으로 되돌립니다.
히트 카운터를 새로 고침하여 모든 방화벽 규칙에 대해 요구에 따라 히트 수를 업데이트합니다.

정책 수정 및 다중 관리자 동시 편집

WAN 방화벽은 다른 관리자들이 정책을 병렬로 편집할 수 있도록 해줍니다. 각 관리자는 규칙을 편집하고 자신만의 개인 수정본에 규칙 기반 변경 사항을 저장한 후 계정 정책(출판된 수정본)에 이를 게시할 수 있습니다. 정책 수정본을 관리하는 방법에 대한 자세한 정보는 Working with Policy Revisions를 참조하세요．

규칙을 위한 시간 설정 구성하기

규칙의 활성화 또는 비활성화를 특정 날짜와 시간에 설정할 수 있습니다. 시간 드롭 다운에서 일일 일정 및/또는 활성 기간을 구성할 수 있습니다.

두 옵션을 모두 구성하여 예를 들어 2025년 5월 평일에 규칙이 활성 상태가 되게 할 수 있습니다. 또는 각 옵션을 개별적으로 구성하여 요구 사항을 충족할 수 있습니다.

매일 일정 이해하기

일일 일정은 규칙이 활성화되는 일정을 정의합니다. 규칙에 일정이 설정된 경우 규칙 테이블에서 작업 열에 시계 기호가 표시됩니다.

일일 일정의 옵션은 다음과 같습니다:

시간 제약 없음: 규칙에 대한 일정이 없습니다. 이것은 규칙의 기본 동작입니다.
근무 시간으로 제한: 규칙은 Cato 관리 애플리케이션에서 구성된 근무 시간 동안에만 활성화됩니다. 근무 시간에 대해 더 알고 싶으면, 계정 기본 근무 시간 정의를 참조하세요.
사용자 지정: 규칙이 활성화되는 요일과 시간을 선택하십시오. 반복 옵션의 선택을 해제하고 날짜를 선택하여 규칙에 대한 시간 설정을 지정하십시오.
- 반복됨: 시간 설정은 매주 화요일 오전 9시부터 오후 5시까지와 같이 한 번 이상 적용됩니다.

활성 기간 이해하기

활성 기간은 규칙이 활성화되는 날짜와 시간대를 UTC로 정의합니다. 효력 발생 필드가 선택되지 않으면 규칙이 저장되고 게시된 직후 규칙이 즉시 활성화됩니다.

규칙 테이블에서 활성 기간이 정의된 경우, 작업 열에 모래시계 기호가 표시됩니다. 기호의 색상은 상태를 반영합니다:

Black: 규칙이 활성화되지 않았고 향후 활성화될 예정입니다.
Green: 규칙이 활성화되었습니다.
Red: 규칙이 만료되었습니다.

WAN 방화벽 규칙 설정 이해하기

이 섹션에서는 WAN 방화벽 규칙 기본 규칙의 항목 및 설정을 설명합니다. WAN 방화벽에 대한 철저한 이해는 기업 네트워크에 대한 접근 제어를 성공적으로 관리하는 데 도움이 됩니다.

규칙 작업

다음 표는 각 방화벽 규칙이 네트워크 트래픽에 적용될 수 있는 작업을 설명합니다. 이벤트를 생성하는 작업에 대해 홈 > 이벤트에서 이벤트 로그를 표시할 수 있습니다.

항목 설명

허용 방화벽은 일치하는 트래픽을 허용합니다.

차단 방화벽은 일치하는 트래픽을 차단합니다.

프롬프트

항목	설명
허용	방화벽은 일치하는 트래픽을 허용합니다.
차단	방화벽은 일치하는 트래픽을 차단합니다.
프롬프트	방화벽은 일치하는 트래픽을 메시지가 포함된 웹 페이지로 리디렉션합니다. 사용자가 계속할지 여부를 결정하도록 프롬프트됩니다. 프롬프트 웹 페이지를 사용자 정의할 수 있습니다. 경고/차단 페이지 사용자 정의를 참조하세요. Cato 프롬프트 페이지는 사용자의 동의를 관리하기 위해 JavaScript와 세션 쿠키를 사용하는 HTML 페이지입니다. 이 쿠키들은 도메인별, 임시이며 브라우저를 닫으면 일반적으로 삭제됩니다. Cato는 현재 `tls_cert_err`, `fw_wan`, 및 `fw_inet`를 포함한 세 가지 쿠키 이름 접두사를 사용합니다. 쿠키 처리 및 세션 지속성은 사용자 설정과 행동, 브라우저 및 운영 체제에 따라 달라집니다. 사용자가 프롬프트 페이지 이후 진행하기로 선택한 이벤트를 검토하려면, 이벤트 페이지를 필터링하여 프롬프트 작업 필드에 계속하기 값이 설정된 이벤트를 표시하세요.

방화벽은 일치하는 트래픽을 메시지가 포함된 웹 페이지로 리디렉션합니다. 사용자가 계속할지 여부를 결정하도록 프롬프트됩니다. 프롬프트 웹 페이지를 사용자 정의할 수 있습니다. 경고/차단 페이지 사용자 정의를 참조하세요.

Cato 프롬프트 페이지는 사용자의 동의를 관리하기 위해 JavaScript와 세션 쿠키를 사용하는 HTML 페이지입니다. 이 쿠키들은 도메인별, 임시이며 브라우저를 닫으면 일반적으로 삭제됩니다. Cato는 현재 tls_cert_err, fw_wan, 및 fw_inet를 포함한 세 가지 쿠키 이름 접두사를 사용합니다. 쿠키 처리 및 세션 지속성은 사용자 설정과 행동, 브라우저 및 운영 체제에 따라 달라집니다.

사용자가 프롬프트 페이지 이후 진행하기로 선택한 이벤트를 검토하려면, 이벤트 페이지를 필터링하여 프롬프트 작업 필드에 계속하기 값이 설정된 이벤트를 표시하세요.

규칙 기반 열

다음 표에서는 WAN 방화벽 규칙 기본의 각 열을 설명합니다. 규칙에 대해 여러 열이 구성된 경우 그들 사이에는 AND 관계가 있습니다.

규칙의 소스, 목적지, 앱 및 카테고리 항목에 대한 자세한 내용은 Reference for Rule Objects를 참조하세요．

항목	설명
#	WAN 방화벽 규칙 기반에서 규칙의 우선 순위를 표시합니다. 규칙 순서 필드를 사용하여 규칙의 우선 순위를 변경하십시오. 활성화됨 토글을 사용하여 규칙을 활성화하거나 비활성화합니다. 토글이 활성화되면 초록색입니다 .
이름	규칙에 대한 이름을 입력하십시오
소스	이 규칙에 대한 트래픽의 소스
신뢰할 수 있는 네트워크 식별 기준	조건부 액세스를 정의하십시오 최종 사용자 또는 네트워크에서 통신하는 다른 장치의 실제 장치 속성(IoT/OT 포함)에 따라. 옵션 포함: 장치 속성 - 장치 인벤토리 탐지 엔진이 식별한 장치의 속성 플랫폼 - 장치 운영 체제(OS) 국가 - 장치(물리적 위치에 따라)의 소스 국가 (IP 주소 지리적 위치에 따름) 장치 자세 프로필 - 액세스 > 장치 자세에서 구성된 장치 프로필. 연결 원본 - 장치의 지리적 위치(원격 또는 사이트 뒤에 있음)
방향	규칙의 방향을 나타냅니다. 옵션 포함: 대상 - 이 규칙은 트래픽을 소스에서 목적지로 이동하는 단일 방향에서만 허용합니다. 예를 들어, 사이트 Alpha는 사이트 Bravo에 연결할 수 있지만 사이트 Bravo는 사이트 Alpha에 연결할 수 없습니다. 양방향 - 이 규칙은 소스와 목적지 모두와의 트래픽을 관리합니다.
목적지	이 규칙에 대한 트래픽의 목적지
앱/카테고리	특정 애플리케이션, 카테고리 및 기타 객체에 대한 일치하는 객체에만 적용됩니다.
서비스/포트	특정 서비스 및 포트를 일치하는 트래픽에만 적용됩니다.
작업	일치하는 트래픽에 지정된 작업을 적용합니다. 예를 들어, 트래픽이 차단되었을 때 연결이 끊어지고 이 연결에 대해 낮은 우선순위 규칙이 적용되지 않습니다.
추적	규칙이 일치할 때 이벤트가 생성되거나 이메일 알림 알림이 지정된 목록에 전송됩니다.
히트 수	이 규칙의 히트 수
	이 옵션을 포함하는 드롭다운 메뉴가 열립니다: 위에 규칙 추가 - 선택한 규칙 위에 새 규칙 추가 아래에 규칙 추가 - 선택한 규칙 아래에 새 규칙 추가 규칙 복제: 동일한 섹션 내에서 원본 선택된 규칙 바로 아래에 동일한 규칙 생성 규칙 이동 - 규칙 순서에서 다른 위치를 정의하여 규칙의 우선순위를 변경합니다. 예외 추가 - 선택한 규칙에 새 예외 생성 LDAP 사용자 활성화/비활성화 - 규칙이 비활성화되면 방화벽은 규칙의 설정에 대해 연결을 검사하지 않습니다 규칙 이벤트 보기 - 규칙과 관련된 이벤트로 미리 필터링된 이벤트 페이지를 표시 사용자 삭제 DNS 정책 - 선택한 DNS 정책을 삭제

WAN 방화벽에 대한 관련 리소스

애플리케이션과 카테고리에 대한 자세한 정보는 카테고리 작업을 참조하십시오
WAN 방화벽의 설정에 대한 자세한 내용은 WAN 방화벽 정책 관리를 참조하십시오