Cato 인터넷 방화벽이란 무엇입니까?

이 문서는 계정에 대한 인터넷 방화벽의 배경 정보를 제공합니다.

인터넷 방화벽 구성에 대한 자세한 내용은 인터넷 방화벽 정책 관리를 참조하십시오.

개요

인터넷 방화벽은 WAN과 인터넷 사이의 트래픽을 검사하며 이 트래픽을 제어하기 위한 규칙을 만들 수 있습니다. WAN 방화벽과 유사하게, 인터넷 방화벽은 정렬된 규칙 기반을 사용하여 첫 번째 규칙부터 시작하여 각 규칙에 따라 연결을 검사합니다. 인터넷 방화벽은 블랙리스트 접근 방식을 사용합니다. 이는 규칙 기반에서 명시적으로 차단되지 않은 모든 트래픽과 연결을 허용하는 암시적 ANY - ANY 규칙이 있는 것을 의미합니다. 인터넷 방화벽은 사용자 인식 기능이 있는 전체 레이어 7 기능을 포함하며 특정 애플리케이션에 대한 규칙을 만들 수 있습니다. 예를 들어, 인터넷 방화벽을 다음과 같이 사용할 수 있습니다:

Facebook 또는 LinkedIn과 같은 특정 웹사이트 차단
총, 알코올, 도박과 같은 부적절한 웹사이트 카테고리 차단
IT 부서만 원격 관리 애플리케이션(SaaS 및 IaaS)을 사용할 수 있도록 허용

자율 방화벽 인사이트 이해

자율 방화벽 인사이트는 귀하의 인터넷 방화벽 정책을 평가하고 Cato의 권장 사항을 준수하는 방법을 보여주는 모범 사례 목록입니다． 이러한 권장 사항을 따르면 방화벽 구성을 최적화하고 보안 태세를 개선할 수 있습니다.

인사이트에는 두 가지 유형이 있습니다:

스타 아이콘(AI 기반): 여러분의 인터넷 방화벽 정책에서 활성화된 규칙은 인공지능(AI)에 의해 자동으로 분석되어, 예를 들어 삭제하거나 수정할 수 있는 규칙을 감지합니다. 예:
- 만료된 규칙 또는 향후 만료 날짜가 있는 규칙: 특정 필요를 해결하기 위해 생성되었으며 이미 지나쳤거나 아직 도달하지 않았거나 입증/평가될 수 없는 바람직한 마감일이 있는 규칙.
- 임시 규칙: 즉각적인 필요를 해결하기 위한 단기 솔루션으로 도입된 규칙입니다. 이 규칙은 적절하거나 영구적인 솔루션이 배포되거나 개발되는 동안 일시적으로 작동하도록 대부분 생성됩니다.
- 테스트 규칙: 특정 기능이나 시나리오를 검증, 디버그 또는 실험하기 위해 명시적으로 생성된 규칙입니다.
- 미사용 규칙: 허용 작업이 포함된 방화벽 규칙이며 지난 60일 동안 이벤트를 생성하지 않은 규칙입니다.
- 모순된 규칙 검사: 동일한 조건이 있지만 다른 작업을 가진 방화벽 규칙을 식별하여 하위 우선 순위 규칙이 적용되는 것을 방지할 수 있는 충돌을 만들 수 있습니다.
구성 기반: 인터넷 방화벽 정책의 구성 및 설정은 최상의 실무를 따르도록 되어 있습니다.

인터넷 방화벽 구성 마법사와 작업

인터넷 방화벽 구성 마법사는 이러한 검토 및 인사이트를 사용하여 정책을 자율적으로 검토합니다. 검사가 실패하면 마법사에서 직접 개별 규칙을 수정하지 않고도 정책을 검토하고 업데이트할 수 있습니다. 이는 정책 관리를 단순화하면서 보안을 유지하는 데 도움이 됩니다. 자세한 내용은 구성 마법사 사용을 참조하세요.

Cato 방화벽에서의 스푸핑 방지 보호

차세대 방화벽(NGFW)의 기본 기능 중 하나는 안티-스푸핑 공격에 대한 보호입니다. 카토 클라우드의 보안 엔진은 구성된 엔티티의 범위(예: 사이트, 네트워크 범위, 장치 또는 사용자) 외부에 있는 소스 IP가 있는 모든 연결을 묵시적으로 차단합니다. 이로 인해 안티-스푸핑 공격이 차단되고 구성된 논리적 토폴로지 위반이 방지됩니다.

주문된 규칙과 작업

인터넷 방화벽은 순차적으로 연결을 검사하며 해당 연결이 규칙과 일치하는지 확인합니다. 규칙 기반의 마지막 규칙은 암시적인 ANY - ANY 허용 규칙이며, 따라서 연결이 규칙과 일치하지 않으면 암시적인 최종 규칙에 의해 허용됩니다.

규칙 기반의 맨 위에 위치한 규칙은 규칙의 우선순위가 높습니다. 이는 하단에 위치한 규칙보다 먼저 연결에 적용되기 때문입니다. 연결이 규칙 #3과 일치하면, 동작이 연결에 적용되고 방화벽은 이를 검사하는 것을 중지합니다. 방화벽은 연결에 규칙 #4 이하를 계속 적용하지 않습니다.

단일 규칙의 여러 객체와 작업

하나의 규칙에 여러 열에 있는 개체가 있을 경우, 예를 들어 애플리케이션과 서비스가 있는 경우, 그들 사이에는 AND 관계가 있습니다. 예를 들어, 포트 443에서 Netflix 애플리케이션을 차단하는 규칙이 있을 경우, 애플리케이션과 포트 모두와 일치하면 트래픽이 차단됩니다.

단일 열에 여러 개체를 사용하는 규칙의 경우, 예를 들어 애플리케이션이 여러 개일 경우, 그들 사이에는 OR 관계가 있습니다. 예를 들어, Netflix, iTunes 및 YouTube 애플리케이션에 대한 액세스를 차단하는 규칙이 있을 경우, 애플리케이션 중 하나라도 일치하면 트래픽이 차단됩니다.

참고

참고: 각 규칙은 AND 관계로 최대 64개 조건을 가질 수 있으며, 규칙의 예외도 규칙 한도에 포함됩니다. 예를 들어, 두 개의 AND 조건(소스 및 서비스)이 있는 규칙과 25개의 예외가 각각 3개의 AND 조건(소스, 앱, 서비스)이 있는 경우, 규칙은 77개의 조건을 갖게 됩니다. 이는 64개 조건의 지원 한도를 초과하며 규칙이 제대로 작동하지 않을 수 있습니다. 하나의 규칙에서 동일한 열에 64개 이상의 개체를 할당할 수 있으며, OR 관계가 있기 때문입니다. 예를 들어, 하나의 규칙에 64개 이상의 앱을 할당할 수 있습니다.

히트 수 이해

히트 카운트는 사용되지 않는 규칙을 식별하여 정책에서 제거하고, 필요한 트래픽 범위에 더 잘 맞게 규칙 구성을 최적화하는 데 도움이 됩니다. 규칙의 히트 카운트는 규칙에 의해 생성된 이벤트 수를 기반으로 합니다. 규칙이 이벤트를 생성하지 않으면, 히트 카운트는 0입니다.

히트 카운트는 두 숫자로 구성됩니다:

정책의 각 규칙에 의해 생성된 대략적인 이벤트 수
다른 규칙에 비해 규칙이 히트되는 빈도(백분위수로 등급 매김된)

이 값은 매 24시간마다 업데이트되며 지난 14일 동안의 트래픽을 기반으로 합니다.

상태 바의 색상을 통해 가장 높은 히트 카운트와 가장 낮은 히트 카운트를 가진 규칙을 신속하게 식별할 수 있습니다. 이 색상은 다른 규칙과 비교한 규칙의 피적중 여부를 반영합니다:

블루: 0 - 24번째 백분위수
그린: 25번째 - 49번째 백분위수
오렌지: 50번째 - 74번째 백분위수
레드: 75번째 - 100번째 백분위수

히트 카운터 재설정 및 새로 고침

히트 수 값은 매 24시간마다 자동으로 업데이트되며 지난 14일간의 트래픽을 기반으로 합니다. 각 규칙 끝의 세 개의 점을 통해 최신 가시성을 위해 히트 수를 재설정하거나 새로고침할 수 있습니다. 이를 통해 규칙의 효과를 정확하게 측정하고 규칙 활동을 즉시 검증할 수 있습니다.

특정 방화벽 규칙에 대한 히트 카운터를 재설정하면 히트 수가 0으로 돌아갑니다
모든 방화벽 규칙에 대한 히트 수를 요청 시 업데이트하는 히트 카운터 새로고침

여러 관리자의 정책 수정 및 동시 편집

인터넷 방화벽은 서로 다른 관리자가 정책을 병렬로 편집할 수 있게 해줍니다. 각 관리자는 규칙을 편집하고 규칙 기반에 변경 사항을 자신만의 개인 수정본에 저장한 다음, 이를 계정 정책(게시된 수정본)에 게시할 수 있습니다. 정책 수정본을 관리하는 방법에 대한 자세한 정보는 Working with Policy Revisions를 참조하세요．

규칙에 대한 시간 설정 구성

규칙의 시간 설정을 구성하여 지정된 날짜와 시간에 활성화되거나 비활성화되도록 할 수 있습니다. 시간 드롭다운에서 일일 일정 및/또는 활성 기간을 구성할 수 있습니다.

예를 들어， 규칙이 2025년 5월의 주중에 활성이 되도록 두 옵션을 모두 구성할 수 있습니다. 대안으로， 각 옵션을 독립적으로 구성하여 요구 사항에 맞출 수 있습니다.

일일 일정 이해

일일 일정은 규칙이 활성화되는 일정을 정의합니다. 규칙에 일정이 구성된 경우 규칙 테이블의 작업 열에 시계 기호가 표시됩니다.

일일 일정의 옵션은 다음과 같습니다:

시간 제약 없음: 규칙에 대한 일정이 없습니다. 이는 규칙의 기본 동작입니다.
근무 시간 제한: 규칙은 Cato 관리 애플리케이션에서 구성된 근무 시간 동안에만 활성화됩니다. 근무 시간에 대한 자세한 내용은 계정의 기본 근무 시간 정의를 참조하십시오．
사용자 정의: 규칙이 활성 상태인 요일과 시간대를 선택하십시오. 반복 옵션의 선택을 해제하고, 규칙의 시간 설정을 날짜로 선택하십시오.
- 반복: 시간 설정이 여러 번 적용됩니다, 예를 들어 매주 화요일 아침 9시부터 오후 5시까지.

활성 기간 이해

활성 기간은 규칙이 UTC 기준으로 활성 상태인 날짜 및 시간 기간을 정의합니다. 시작일 필드가 선택되지 않으면 규칙이 저장되고 게시된 후 즉시 활성화가 됩니다.

규칙 테이블에서 활성 기간이 정의된 경우 작업 열에 모래시계 기호가 표시됩니다. 기호의 색상은 상태를 반영합니다:

블랙: 규칙은 활성화되지 않았으며 미래에 활성화될 것입니다
그린: 규칙이 활성화됨
레드: 규칙이 만료됨

MSA와 관련된 트래픽 차단

Cato Networks 마스터 서비스 계약(MSA)은 자동으로 차단되는 잠재적으로 불법적이거나 악성인 트래픽을 정의합니다. 인터넷 방화벽 규칙 기반의 최상단에 이러한 연결을 차단하는 숨겨진 암시적인 규칙이 있습니다.

MSA에 대한 자세한 내용은 Cato Networks MSA를 참조하십시오．

인터넷 방화벽 규칙 설정 이해

이 섹션은 인터넷 방화벽 규칙 기반의 규칙에 대한 필드 및 설정을 설명합니다. 인터넷 방화벽에 대한 철저한 이해는 기업 네트워크의 접근 제어를 성공적으로 관리하는 데 도움이 됩니다.

규칙 작업

다음 표는 각 방화벽 규칙이 네트워크 트래픽에 적용할 수 있는 작업을 설명합니다. 이벤트를 생성하는 동작에 대해 홈 > 이벤트에서 이벤트 로그를 표시할 수 있습니다.

항목	설명
허용	방화벽이 일치하는 트래픽을 허용합니다.
차단	방화벽이 일치하는 트래픽을 차단합니다.
프롬프트	방화벽이 일치하는 트래픽을 메시지 웹 페이지로 리디렉션합니다. 사용자는 계속할지 여부를 결정하라는 프롬프트를 받습니다. 프롬프트 웹 페이지를 사용자 정의할 수 있습니다, 경고/차단 페이지 사용자 정의를 참조하세요． Cato 프롬프트 페이지는 JavaScript와 세션 쿠키를 사용하여 사용자 동의를 관리하는 HTML 페이지입니다. 이 쿠키들은 도메인별이고 일시적이며 일반적으로 브라우저가 닫힐 때 삭제됩니다. Cato는 현재 세 개의 쿠키 이름 접두사(`tls_cert_err`, `fw_wan`, `fw_inet`)를 사용하고 있습니다. 쿠키 처리 및 세션 지속성은 사용자 설정과 행동, 브라우저 및 운영 체제에 따라 달라집니다. 프롬프트 페이지 이후 사용자가 진행하기로 선택한 이벤트를 검토하려면， 이벤트 페이지를 필터링하여 프롬프트 작업 필드에 계속하기 값이 설정된 이벤트를 표시하세요．
원격 브라우징 (RBI)	일치하는 트래픽이 RBI에 의해 전달됩니다.
캡티브 포털	일치하는 트래픽이 캡티브 포털로 전송됩니다.

인터넷 방화벽 규칙 기반 열

다양한 규칙 기반 열 및 규칙의 소스, 앱 및 카테고리 항목에 대한 설명은 Cato WAN 방화벽이란 무엇입니까? 및 규칙 객체 참조를 참고하십시오． 그리고 규칙 객체 참조. WAN 방화벽과 달리 인터넷 방화벽의 대상은 항상 인터넷입니다. 규칙에 여러 열이 구성된 경우 이들 간에 AND 관계가 있습니다.

규칙 순서 설정

규칙 순서는 다른 규칙과의 상대적인 위치를 설정하여 정의됩니다. 예를 들어 특정 규칙을 따르거나 섹션에서 처음으로 설정합니다.

규칙 순서를 정의하기 위한 옵션은 다음과 같습니다.

규칙 앞 - 규칙이 선택된 규칙 바로 앞에 위치됩니다.
규칙 뒤 - 규칙이 선택된 규칙 바로 뒤에 위치됩니다.
섹션의 첫 번째 - 규칙이 선택된 섹션의 첫 번째로 위치합니다.
섹션 마지막 - 규칙이 선택된 섹션의 마지막에 위치합니다.
첫 번째 - 규칙이 규칙 기반의 상단에 위치합니다.
마지막 - 규칙이 규칙 기반의 하단에 위치합니다.