이 문서에서는 특정 IPS 서명을 포함한 트래픽이 IPS 검사를 우회할 수 있도록 허용 목록 규칙을 만드는 방법에 대해 설명합니다.
카토 침입 방지 시스템(IPS) 엔진은 다양한 네트워크 공격과 WAN 및 인터넷 트래픽을 검사하고, 네트워크를 보호하기 위해 다양한 예방 기법을 사용합니다. 일부 IPS 보호는 잠재적인 네트워크 공격 유형을 정의하는 트래픽 서명에 기반합니다. 트래픽 패턴이 IPS 서명과 일치할 때마다 IPS 엔진은 트래픽에 IPS 정책 조치를 적용합니다(차단, 모니터링, 허용).
IPS 차단 작업의 경우, 일치하는 트래픽을 무시하도록 IPS 엔진을 구성하기 위해 IPS 허용 목록 규칙을 사용할 수 있습니다. 예를 들어, 이벤트 화면의 IPS 차단 이벤트에서 직접 IPS 허용 목록 규칙을 생성할 수 있습니다.
참고
참고: IPS 허용 목록 규칙에서 도메인 이름이나 FQDN을 사용해도 모든 IPS 보호 및 서명에 적용되지 않습니다. 대신, 모든 IPS 보호를 허용 목록에 추가하려면 규칙에 IP 범위를 사용해야 합니다.
네트워크 트래픽의 특정 범위에 따라 IPS 엔진용 허용 목록 트래픽 규칙을 만들 수 있습니다. 소스(에서)로부터 목적지(까지)까지의 트래픽은 다음 네트워크 트래픽 유형 중 한 가지에 따라 허용 목록으로 지정됩니다:
-
WAN - 카토 클라우드를 통해 사이트와 호스트 간의 WAN 트래픽
-
인바운드 - 인터넷에서 내부 고객 네트워크로의 트래픽
-
아웃바운드 - 내부 고객 네트워크에서 인터넷으로의 트래픽
-
모든 - 모든 네트워크 트래픽
다음 표는 IPS 허용 목록 규칙의 설정을 정의하는 데 사용할 수 있는 항목을 설명합니다:
|
항목 |
설명 |
|---|---|
|
이름 |
IPS 허용 목록 규칙의 이름. |
|
범위 |
IPS 허용 목록이 적용되는 트래픽 보호 범위. 규칙의 범위를 편집할 수 없습니다. |
|
소스 |
이 규칙의 트래픽 소스. |
|
목적지 |
이 규칙의 트래픽 목적지. |
|
프로토콜/포트 |
지정된 프로토콜 및 포트와 일치하는 트래픽에만 적용됩니다. 각 규칙에 대해 단일 포트 또는 포트 범위를 정의할 수 있습니다. 여러 포트를 정의하려면 별도의 규칙을 사용하십시오. 예를 들어, TCP 포트 80에 대한 규칙 하나와 TCP 포트 200에 대한 두 번째 규칙. |
|
시그니처 ID |
허용 목록에 있는 IPS 서명이며 이 규칙과 일치하는 이 서명을 가진 트래픽을 IPS 엔진이 허용합니다. 이 규칙과 일치하는 모든 트래픽을 허용하도록 IPS 엔진을 구성하려면 모든을 입력할 수 있습니다. |
|
추적 |
규칙이 일치하면 이벤트가 생성되거나 이메일 알림이 지정된 목록에 전송됩니다. |
|
|
옵션을 활성화, 비활성화 또는 삭제 |
다음 표는 각 IPS 보호 범위에 대한 허용 목록 규칙에서 소스 및 목적지 필드를 구성할 수 있는 엔티티를 보여줍니다:
|
규칙 범위 |
소스용 사용 가능한 엔티티 |
목적지용 사용 가능한 엔티티 |
|---|---|---|
|
인바운드 |
국가 IP 범위 원격 ASN 서브넷 모든 |
부동 서브넷 그룹 호스트 인터페이스 서브넷 IP 네트워크 인터페이스 사이트 시스템 그룹 사용자 사용자 그룹 SDP 사용자 모든 |
|
WAN |
부동 서브넷 그룹 호스트 인터페이스 서브넷 IP 네트워크 인터페이스 사이트 시스템 그룹 사용자 사용자 그룹 SDP 사용자 모든 |
부동 서브넷 그룹 호스트 인터페이스 서브넷 IP 네트워크 인터페이스 사이트 시스템 그룹 사용자 사용자 그룹 SDP 사용자 모든 |
|
아웃바운드 |
부동 서브넷 그룹 호스트 인터페이스 서브넷 IP 네트워크 인터페이스 사이트 시스템 그룹 사용자 사용자 그룹 SDP 사용자 모든 |
국가 도메인 FQDN IP 범위 원격 ASN 모든 |
IP 허용 목록 규칙 집합에는 IPS 엔진의 트래픽을 허용하는 모든 규칙이 포함됩니다. 모든 일치하는 IPS 허용 목록 규칙이 트래픽에 적용되며, 이는 첫 번째 일치 규칙만 적용되는 순서화된 방화벽 규칙 집합과는 다릅니다. 이는 연결이 여러 허용 목록 규칙과 일치하는 경우, 각 일치 규칙이 이벤트를 생성함을 의미합니다.
예시로, 차단된 IPS 서명을 가진 연결이 IPS 허용 목록 규칙 2와 4에 일치합니다. 그 연결은 IPS 엔진에 의해 허용 목록에 포함되고 허용됩니다. 그 연결은 규칙 2와 규칙 4에 대해 각각 별도의 두 가지 이벤트를 생성합니다.
이벤트 탐색을 사용하여 트래픽을 차단하는 IPS 서명을 식별하고 차단 이벤트로부터 IPS 허용 목록 규칙을 생성할 수 있습니다. 이벤트에서 시그니처 ID를 클릭하면 새로운 IPS 허용 목록 규칙의 설정을 구성할 수 있는 창이 열립니다. 그 규칙은 IPS 정책(보안 > IPS)의 IPS 허용 목록 규칙 기반에 추가됩니다.
이벤트에서 IPS 허용 목록 규칙 생성:
-
홈페이지 > 이벤트에서 차단된 트래픽의 IPS 이벤트를 표시합니다. 이는 IPS 이벤트를 표시하기 위한 샘플 절차입니다:
-
프리셋 선택 드롭다운 메뉴에서 IPS를 선택합니다.
-
IPS 시그니처 ID의 이벤트를 찾습니다.
-
이벤트를 확장합니다.
-
-
시그니처 ID에서 시그니처 링크를 클릭합니다.
새 허용 목록 패널이 열립니다. 규칙에 대한 설정은 이벤트의 데이터를 기반으로 합니다.
-
IPS 허용 목록 규칙에 대한 설정을 검토합니다. 범위는 이벤트의 트래픽 방향과 일치하며, 변경할 수 없습니다.
-
추적 섹션에서 이 시그니처가 허용될 때 이벤트와 이메일 알림을 생성할지 선택할 수 있습니다.
-
저장을 클릭합니다. 규칙이 IPS 허용 목록 규칙 기반에 추가됩니다.
-
IPS 허용 목록 규칙 기반을 표시하려면, 네비게이션 메뉴에서 클릭하여 보안 > IPS를 선택하고 허용 목록 탭을 선택합니다.
IPS 정책 화면의 IPS 허용 목록 섹션을 사용하여 IPS 허용 목록 규칙을 수동으로 생성, 편집 및 삭제합니다.
IPS 허용 목록 규칙베이스는 IPS 정책 페이지에 있습니다.
IPS 허용 목록 규칙 기반을 표시하려면:
-
네비게이션 메뉴에서 보안 > IPS를 클릭합니다.
-
허용 목록 탭을 선택합니다. IPS 허용 목록 규칙 기반이 표시됩니다.
IPS 허용 목록 규칙 기반에 새로운 규칙을 추가하고 규칙에 대한 설정을 정의할 수 있습니다. 규칙의 범위를 편집할 수 없습니다.
IPS 시그니처 ID는 Cato에서 IPS 엔진을 위해 사용하는 사용자 정의 시그니처입니다. IPS 이벤트에서만 시그니처 ID를 볼 수 있습니다.
IPS 지리적 제한 트래픽 허용
IPS 지리적 제한 정책에 대한 허용 목록 규칙을 생성해야 하는 경우, 목적지 필드에 IP 범위 를 정의해야 합니다. 규칙이 도메인을 기준으로 정의되어 있는 경우, 트래픽이 IPS 검사 엔진을 우회하지 않습니다. 도메인을 기반으로 하는 지리적 제한을 적용하는 대체 방법은 인터넷 방화벽을 사용하는 것입니다. 자세한 내용을 보려면 인터넷 및 WAN 방화벽 정책 – 모범 사례를 참조하십시오.
IPS 허용 목록 규칙을 수동으로 생성하려면:
-
네비게이션 메뉴에서 보안 > IPS를 클릭합니다.
-
새로운을 클릭합니다. 새 허용 목록 패널이 열립니다.
-
규칙에 대한 이름을 입력합니다.
-
규칙의 범위를 선택합니다.
-
시그니처 ID를 규칙에 대해 정의하십시오, 위의 IPS 허용 목록 규칙의 항목을 참조하십시오.
시그니처 ID를 모든으로 설정하면, IPS 엔진은 모든 일치하는 트래픽을 허용합니다.
-
적용을 클릭합니다. IPS 허용 목록 규칙이 규칙 기반에 추가됩니다.
-
저장을 클릭합니다.
댓글 0개
댓글을 남기려면 로그인하세요.