방화벽 규칙에 장치 조건 추가

이 문서에서는 장치 규칙 조건을 WAN 및 인터넷 방화벽 규칙 기본에 추가하여 보안을 강화하고 보호하는 방법에 대해 설명합니다．

개요

장치 설정은 WAN 및 인터넷 방화벽 규칙을 위해 엔드유저의 실제 장치 또는 네트워크에서 통신하는 다른 장치(IoT/OT) 속성에 기반한 조건부 접근을 포함하도록 방화벽 보안 정책의 범위를 확장할 수 있는 능력을 제공합니다. 네트워크의 장치에 대한 접근 요구 사항을 지정할 수 있습니다． 예시：

WAN 방화벽 -
- 규칙의 소스를 지정하여 사전 정의된 상태를 충족하거나 지리적 위치를 기반으로 하는 장치에만 적용합니다.
- 특정 사용자에게만 비즈니스에 중요한 OT 장치에 대한 액세스를 허용합니다.
인터넷 방화벽 -
- 장치 설정 및 위치를 기준으로 액세스를 제한하는 SaaS 애플리케이션에 대한 규칙을 정의합니다.
- 네트워크의 IP 카메라에 대한 인터넷 액세스를 차단합니다.

기본적으로 모든 트래픽으로 설정되어 있기 때문에 장치 설정이 트래픽에 영향을 미치지 않습니다.

Cato WAN 및 인터넷 방화벽에 대한 자세한 정보는 Cato Firewalls의 지식 베이스 문서를 참조하십시오.

선행 조건

규칙의 장치 설정에 장치 프로필을 추가하기 전에 장치 프로필을 생성하고 구성해야 합니다.
지원되는 클라이언트 OS 및 버전에 대한 장치 검사를 확인하려면 장치 자세 프로필 및 장치 검사 생성을 참조하십시오.
기기 프로파일을 사용하는 규칙은 Cato 클라이언트가 기기에 설치되고 원격으로 또는 Socket 뒤에서 신원 확인 에이전트로 사용될 때만 적용됩니다.

자세한 내용은 사용자 인식을 위한 Cato 아이덴티티 에이전트 사용(ZTNA 라이선스 없이 EA 인증)을 참조하십시오.

참고: 라이선스가 부여된 클라이언트는 자동으로 신원 에이전트로 사용됩니다.

장치 설정 구성

방화벽 규칙에 추가할 수 있는 장치 설정은 다음과 같습니다:

장치 속성 - 장치 인벤토리 감지 엔진에서 식별한 장치의 속성입니다.
플랫폼 - 장치 운영 체제 (OS)
국가 - 장치의 물리적 위치를 기반으로 한 연결의 출처 국가(IP 주소 지리적 위치에 따라)
장치 자세 프로필 - 장치 프로필 (클라우드 액세스 > 장치 자세에서 구성)
연결의 원본 - 장치의 지리적 위치. 장치가 Side 뒤에서 연결 중인지 또는 클라이언트, 브라우저 확장 프로그램, 엔터프라이즈 브라우저를 통해 원격으로 연결 중인지에 따라 규칙을 구성할 수 있습니다(각 원격 연결 옵션은 개별적으로 선택할 수 있음).
사용자 속성: 장치에 로그인한 사용자의 위험 수준 및 신뢰도 수준.

규칙에 대해 여러 조건을 구성할 때, 그들은 그리고 관계를 가지며, 교통이 모든 항목에서 정의된 규칙 조건과 일치해야 규칙이 일치합니다．

단일 조건(단일 셀) 내에서는 항목 사이에 또는 관계가 있습니다． 예를 들어, 플랫폼 조건이 Windows 및 macOS인 규칙은 모든 Windows 또는 macOS 장치와 일치합니다．

다음 장치 조건을 모두 충족해야 하는 규칙의 예시입니다: Windows 장치, 인도에 위치, 장치 자세 프로필 1의 요구 사항 충족.

장치 속성 요구 사항 추가

Use the Device Attributes condition to define rules for devices that were detected on the network by the Device Inventory engine. You can use the following attributes in a firewall rule: Category, Type, Model, OS, Manufacturer, OS Version.

Select a Device Attributes Type, then select the values from the dropdown list. The list is automatically populated with values of devices detected on the network. You can select multiple Device Attribute Types in a rule, and the attributes have an AND relationship between them. For example, if you select OS as Windows and Manufacturer as Dell, the condition applies only to Dell devices with a Windows operating system.

However, when you select multiple values within a Device Attribute Type, there is an OR relationship between them. For example, if you select Manufacturer with the values of Dell and HP, the condition will match for either Dell or HP devices.

A separate Device Inventory license is required for Device Inventory pages and features. For more about purchasing a license, please contact your Cato representative.

플랫폼 요구 사항 추가

The Platforms condition for a firewall rule lets you define the device operating systems that match the rule. For example, for a specific network segment, only allow access to Windows, macOS, or Linux devices.

국가 요구 사항 추가

The Countries condition lets you define the source of the traffic that matches the rule based on the IP geo-location of the device. For example, restrict access to a site for a branch office, so that only devices that are located in the same country as the office are allowed to connect.

장치 프로필 요구 사항 추가

The Profiles condition lets you restrict the rule to only match devices that meet the requirements of the Device Profile. This condition is based on the Device Posture feature, which checks if the device meets the posture requirements. For example, only devices that have the newest Anti-Malware software version meet the posture requirements.

장치 프로필은 현재 모든 클라이언트 버전에서 지원되지 않습니다. 자세한 정보는 장치 자세 프로필 및 장치 검사 생성을 참조하십시오.

지원되지 않는 Cato 클라이언트 작업하기

The firewall can only determine if a Client matches the Device Check for supported Clients. For each Device Check, you can define the behavior for unsupported Clients that match the other requirements firewall rule (Source, App/Category, and so on):

장치 검사를 건너뛰고 지원되지 않는 클라이언트에 방화벽 작업을 적용합니다
장치 검사를 적용하고 클라이언트가 방화벽 규칙과 일치하지 않아 작업이 적용되지 않습니다

다음 표는 연결이 방화벽 규칙의 모든 다른 설정과 일치할 때 지원되지 않는 클라이언트의 동작을 설명합니다. 동작은 장치 검사에서 지원되지 않는 SDP 클라이언트 버전에 대해 이 검사를 건너뛰기 옵션이 활성화되었는지 비활성화되었는지(비활성화됨)에 따라 달라집니다.

지원되지 않는 클라이언트	방화벽 규칙 동작	클라이언트 행동
건너뛰기 확인 (활성화됨)	차단	지원되지 않는 클라이언트는 자동으로 장치 검사를 건너뛰고 차단됩니다 (연결할 수 없음)
건너뛰기 확인 (활성화됨)	허용	지원되지 않는 클라이언트는 자동으로 장치 검사를 건너뛰고 허용됩니다 (연결할 수 있음)
확인 적용 (비활성화됨)	차단	지원되지 않는 클라이언트는 장치 체크와 일치하지 않으며, 방화벽이 이 규칙을 건너뜁니다 (차단 조치를 연결에 적용하지 않음)
확인 적용 (비활성화됨)	허용	지원되지 않는 클라이언트는 장치 체크와 일치하지 않으며, 방화벽이 이 규칙을 건너뜁니다 (허용 조치를 연결에 적용하지 않음)

장치 원점 요구 사항 추가

연결 원본 조건을 통해 규칙과 일치하는 장치의 지리적 위치를 정의할 수 있습니다． 예를 들어, 사이트 뒤의 민감한 정보에 대한 액세스를 허용하되, 원격 근무 시에는 허용하지 않습니다．

사용자 속성 요구 사항 추가

사용자 속성 조건은 사용자의 위험 점수 또는 신뢰 수준을 기준으로 기준을 정의할 수 있습니다. 예를 들어, 사용자 신뢰 수준이 높을 때만 Salesforce에 대한 클라우드 액세스를 허용합니다.

신뢰 수준 속성을 사용하면 민감한 리소스에 액세스할 때 높은 수준의 인증(단계별 인증)을 요구할 수 있습니다. 액세스를 차단할 때 사용자에게 차단된 이유와 액세스 권한을 얻기 위해 필요한 작업을 알리는 사용자 정의 템플릿을 적용할 수 있습니다.

규칙에서 장치 조건 구성하기

새로운 방화벽 규칙이나 기존 방화벽 규칙에서 장치 기준 설정을 구성할 수 있습니다．

방화벽 규칙에 대한 장치 조건을 구성하려면:

탐색 창의 보안 섹션에서 인터넷 방화벽 또는 WAN 방화벽을 선택합니다．
새 규칙을 생성하려면 New를 클릭하거나, 기존 규칙의 신뢰할 수 있는 네트워크 식별 기준 열에서 편집 아이콘을 클릭합니다.
In the Criteria section, configure the Device Attributes, Platforms, Countries, and Profiles that are required to match this rule.
적용을 클릭합니다．

기준 조건이 규칙에 대해 구성됩니다．

장치 조건이 있는 방화벽 규칙 예시

이것은 모든 SDP 사용자가 다음 장치 조건을 모두 충족할 경우 양방향 트래픽을 허용하는 WAN 방화벽 규칙의 예시입니다: Windows OS 장치를 사용하고, 물리적으로 대한민국에 위치하며, 테스트 정책 장치 프로필의 요구 사항을 충족합니다.

이는 소셜 카테고리를 차단하는 규칙의 예외인 인터넷 방화벽 규칙의 예시입니다． 다음 장치 조건을 충족하는 트래픽을 허용하는 예외: Windows 또는 macOS 장치를 사용하고 물리적으로 미국에 위치.

사용자 속성이 있는 방화벽 규칙 예시

이것은 모든 사용자가 신뢰 수준이 낮을 때 Salesforce에 대한 트래픽을 차단하는 인터넷 방화벽 규칙의 예입니다.

사용자가 차단되면 차단 페이지에 대한 전용 차단 페이지가 제공되어 액세스를 얻기 위해 무엇을 해야 하는지 알립니다.

방화벽 장치 조건 구현을 위한 모범 사례

허용 조치가 있는 규칙에 장치 상태 프로필 추가
장치를 연결할 수 있는 최소 요구 사항으로 장치 프로필 정의 (이 요구 사항을 충족하지 않는 장치는 차단됨)