사전 필터링 정보
사전 필터링은 시스템에서 더 많은 리소스를 사용하는 평가를 수행하기 전에 이루어지는 첫 번째 액세스 제어 단계입니다. 사전 필터링은 간단하고 빠르며 일찍 이루어집니다. 사전 필터링은 제한된 외부 헤더 기준을 사용하여 신속하게 트래픽을 처리합니다. 내부 헤더를 사용하며 검사 기능이 더 강력한 후속 평가와 사전 필터링을 비교해 보십시오.
다음 경우에 사전 필터링을 구성하십시오.
-
성능 향상 - 검사가 필요하지 않은 트래픽은 일찍 제외할수록 좋습니다. 캡슐화된 연결을 검사하지 않고 외부 캡슐화 헤더를 기반으로 특정 유형의 일반 텍스트, 패스스루 터널을 단축 경로 지정 또는 차단할 수 있습니다. 조기에 처리하는 것이 유리한 그 밖의 연결도 단축 경로를 지정하거나 차단할 수 있습니다.
-
캡슐화된 트래픽에 심층 검사 맞춤 설정 - 동일한 검사 기준을 사용하여 나중에 캡슐화된 연결을 처리할 수 있도록 특정 터널 유형의 영역을 다시 지정할 수 있습니다. 영역 재지정이 필요한 이유는 사전 필터링 후 액세스 제어가 내부 헤더를 사용하기 때문입니다.
사전 필터 정책 정보
사전 필터링은 정책 기반 기능입니다. 디바이스에 할당하려면 디바이스에 할당된 액세스 제어 정책에 할당합니다.
정책 구성 요소: 규칙 및 기본 작업
사전 필터 정책에서는 터널 규칙, 사전 필터 규칙, 기본 작업이 네트워크 트래픽을 처리합니다.
-
터널 및 사전 필터 규칙 - 우선 사전 필터 정책의 규칙은 사용자가 지정하는 순서로 트래픽을 처리합니다. 터널 규칙은 특정 터널만 일치를 확인하고 영역 다시 지정을 지원합니다. 사전 필터 규칙은 제약 조건이 더 광범위하고 영역 다시 지정을 지원하지 않습니다. 자세한 내용은 터널 규칙과 사전 필터 규칙 비교를 참고하십시오.
-
기본 작업(터널만 해당) - 터널이 어느 규칙과도 일치하지 않으면 기본 작업이 이를 처리합니다. 기본 작업은 이러한 터널을 차단하거나 캡슐화된 개별 연결에서 액세스 제어를 계속할 수 있습니다. 기본 작업으로 터널의 영역을 다시 지정할 수 없습니다.
캡슐화되지 않은 트래픽에 대한 기본 작업은 없습니다. 캡슐화되지 않은 연결이 어느 사전 필터 규칙과도 일치하지 않으면 시스템이 액세스 제어를 계속합니다.
연결 로깅
사전 필터 정책에 의해 단축 경로가 지정되고 차단된 연결을 로깅할 수 있습니다.
연결 이벤트에는 전체 터널을 포함하여 로깅된 연결이 사전 필터링되었는지 여부와 그 방법에 대한 정보가 포함되어 있습니다. 이벤트 보기(워크플로), 대시보드, 보고서에서 이 정보를 확인하고 상관관계 기준으로 사용할 수 있습니다. 단축 경로가 지정되고 차단된 연결은 심층 검사 대상이 아니므로 연결된 연결 이벤트에는 제한된 정보가 포함되어 있음에 유의하십시오.
기본 사전 필터 정책
모든 액세스 제어 정책에는 연결된 사전 필터 정책이 있습니다.
맞춤형 사전 필터링을 구성하지 않은 경우, 기본 정책이 사용됩니다. 시스템이 제공하는 이 정책은 처음에는 모든 트래픽을 액세스 제어의 다음 단계로 통과시킵니다. 정책의 기본 작업을 변경하고 로깅 옵션을 구성할 수 있지만 규칙을 추가하거나 삭제할 수는 없습니다.
사전 필터 정책 상속 및 멀티 테넌시
액세스 제어는 멀티 테넌시를 보완하는 계층적 구현을 사용합니다. 다른 고급 설정과 함께 사전 필터 정책 연결을 잠가 모든 하위 항목 액세스 제어 정책에서 해당 연결을 적용할 수 있습니다. 자세한 내용은 액세스 제어 정책 상속를 참고하십시오.
다중 도메인 구축에서 시스템은 현재 도메인에서 생성된 정책을 표시하며 이러한 정책은 수정할 수 있습니다. 상위 도메인에서 생성된 정책도 표시되지만, 이러한 정책은 수정할 수 없습니다. 하위 도메인에서 생성된 정책을 보고 수정하려면 해당 도메인으로 전환하십시오. 기본 사전 필터 정책은 전역 도메인에 속합니다.
터널 규칙과 사전 필터 규칙 비교
터널 규칙 또는 사전 필터 규칙 중 어느 것을 구성할 것인지는 일치할 특정 유형의 트래픽, 그리고 수행하려는 작업이나 추가 분석에 따라 결정됩니다.
특성 |
터널 규칙 |
사전 필터 규칙 |
---|---|---|
기본 기능 |
일반 텍스트, 통과 터널의 단축 경로 지정, 차단, 영역 다시 지정을 신속하게 수행합니다. |
조기에 처리하는 것이 유리한 모든 기타 연결의 단축 경로 지정 또는 차단을 신속하게 수행합니다. |
캡슐화 및 포트/프로토콜 기준 |
캡슐화 조건은 캡슐화 규칙 조건에 나와 있는 선택한 프로토콜을 통한 일반 텍스트 터널에만 일치됩니다. |
포트 조건은 터널 규칙보다 더 광범위한 포트 및 프로토콜 제약 조건을 사용할 수 있습니다(포트, 프로토콜 및 ICMP 코드 규칙 조건 참조). |
네트워크 기준 |
터널 엔드포인트 조건은 처리할 터널의 엔드포인트를 제한합니다(네트워크 규칙 조건 참조). |
네트워크 조건은 각 연결의 소스 및 대상 호스트를 제약합니다. 네트워크 규칙 조건의 내용을 참조하십시오. |
방향 |
양방향 또는 단방향(구성 가능). 터널 규칙은 기본적으로 양방향이므로, 터널 엔드포인트 간의 모든 트래픽을 처리할 수 있습니다. |
단방향 전용(구성 불가). 사전 필터 규칙은 소스-대상 트래픽만 매치합니다. |
추가 분석을 위한 세션 영역 다시 지정 |
지원됨, 터널 영역 사용(터널 영역 및 사전 필터링 참조). |
지원되지 않음 |
사전 필터링 및 액세스 제어 비교
사전 필터 정책과 액세스 제어 정책은 모두 트래픽을 차단하고 신뢰하도록 해 주지만 사전 필터링 '신뢰' 기능은 더 많은 검사를 건너뛰기 때문에 '단축 경로 설정(fastpathing)'이라고 합니다. 다음 표에서는 맞춤형 사전 필터링을 구성해야 하는지 결정하는 데 도움이 되도록 사전 필터링과 액세스 제어의 이러한 차이점 및 그 밖의 차이점을 설명합니다.
맞춤형 사전 필터링을 구성하지 않는 경우, 액세스 제어 정책에서 조기 배치된 Block(차단) 및 Trust(신뢰) 규칙으로 사전 필터 기능을 비슷하게 모방할 수 있을 뿐 복제할 수는 없습니다.
특성 |
사전 필터링 |
액세스 제어 |
자세한 내용은 다음을 참고하십시오. |
---|---|---|---|
기본 기능 |
특정 유형의 일반 텍스트 통과 터널을 신속히 단축 경로 지정 또는 차단(캡슐화 규칙 조건 참조)하거나 캡슐화된 트래픽에 맞게 후속 검사를 조정합니다. 조기에 처리하는 것이 유리한 그 밖의 연결도 단축 경로를 지정하거나 차단할 수 있습니다. |
상황별 정보 및 심층 검사 결과를 포함하여 간단하거나 복잡한 기준을 사용하여 모든 네트워크 트래픽을 검사하고 제어합니다. |
|
구현 |
사전 필터 정책. 사전 필터 정책은 액세스 제어 정책에 의해 호출됩니다. |
액세스 제어 정책 액세스 제어 정책은 주요 구성입니다. 액세스 제어 정책은 하위 정책 호출 외에도 자체 규칙을 갖습니다. |
|
액세스 제어 내 순서 |
첫 번째. 시스템은 다른 모든 액세스 제어 구성 전에 트래픽과 사전 필터 기준의 일치를 확인합니다. |
— |
— |
규칙 작업 |
더 적습니다. 추가 검사(단축 경로 지정 및 차단)를 중지하거나 나머지 액세스 제어(분석)로 추가 분석을 허용할 수 있습니다. |
자세한 내용. 액세스 제어 규칙에는 모니터링, 심층 검사, 차단 후 재설정, 인터랙티브 차단을 포함하여 훨씬 다양한 작업이 있습니다. |
|
우회 기능 |
단축 경로 지정 규칙 작업. 사전 필터 단계에서 트래픽 단축 경로를 지정하면 다음을 포함한 모든 추가 검사 및 처리를 우회합니다.
|
Trust(신뢰) 규칙 작업. 액세스 제어 규칙이 신뢰할 수 있는 트래픽은 심층 검사 및 검색에서만 제외됩니다. |
|
규칙 기준 |
제한적. 사전 필터 정책의 규칙은 IP 주소, VLAN 태그, 포트, 프로토콜 등 간단한 네트워크 기준을 사용합니다. 터널의 경우, 터널 엔드포인트 조건은 터널 양쪽에 있는 네트워크 디바이스의 라우팅된 인터페이스의 IP 주소를 지정합니다. |
강력합니다. 액세스 제어 규칙은 네트워크 기준뿐 아니라 사용자, 애플리케이션, 요청된 URL 및 패킷 페이로드에서 사용할 수 있는 기타 상황별 정보도 사용합니다. 네트워크 조건은 소스 및 대상 호스트의 IP 주소를 지정합니다. |
|
사용되는 IP 헤더(터널 처리) |
가장 바깥쪽입니다. 외부 헤더를 사용하면 전체 일반 텍스트, 통과 터널을 처리할 수 있습니다. 비캡슐화 트래픽의 경우, 사전 필터링은 '외부' 헤더(이 경우에는 유일한 헤더)를 계속 사용합니다. |
가장 안쪽도 가능합니다. 암호화되지 않은 터널의 경우, 액세스 제어는 전체 터널이 아니라 캡슐화된 개별 연결에 적용됩니다. |
|
추가 분석을 위해 캡슐화된 연결 영역 다시 지정 |
터널링된 트래픽 영역을 다시 지정합니다. 터널 영역을 사용하면 사전 필터링된 캡슐화된 트래픽에 맞게 후속 검사를 조정할 수 있습니다. |
터널 영역을 사용합니다. 액세스 제어는 사전 필터링 중에 할당하는 터널 영역을 사용합니다. |
|
연결 로깅 |
단축 경로가 지정되고 차단된 트래픽만. 허용되는 연결은 다른 구성에 의해 계속 로깅될 수 있습니다. |
모든 연결. |
|
지원되는 장치 |
Secure Firewall Threat Defense 수정할 수 있습니다. |
All. |
— |
통과 터널 및 액세스 제어
일반 텍스트(암호화되지 않은) 터널은 종종 불연속 네트워크 사이를 흐르는 다중 연결을 캡슐화할 수 있습니다. 이러한 터널은 IP 네트워크를 통한 맞춤형 프로토콜, IPv4 네트워크를 통한 IPv6 트래픽 등을 라우팅하는 데 특히 유용합니다.
외부 캡슐화 헤더는 터널 양쪽에 있는 네트워크 디바이스의 라우티드 인터페이스인 터널 엔드포인트의 소스 및 대상 IP 주소를 지정합니다. 내부 페이로드 헤더는 캡슐화된 연결의 실제 엔드포인트의 소스 및 대상 IP 주소를 지정합니다.
네트워크 보안 디바이스는 종종 일반 텍스트 터널을 통과 트래픽으로 처리합니다. 즉, 해당 디바이스는 터널 엔드포인트 중 하나가 아닙니다. 그 대신, 이러한 디바이스는 터널 엔드포인트 간에 구축되고 터널 엔드포인트 간의 트래픽 플로우를 모니터링합니다.
(Secure Firewall Threat Defense 대신) Cisco ASA 소프트웨어를 실행하는 Cisco ASA 방화벽과 같은 일부 네트워크 보안 디바이스는 외부 IP 헤더를 사용하여 보안 정책을 시행합니다. 일반 텍스트 터널의 경우에도, 이러한 디바이스는 캡슐화된 개별 연결 및 해당 페이로드를 제어할 수 없거나 이를 파악할 수 없습니다.
이와 달리, Firepower System은 다음과 같이 액세스 제어를 활용합니다.
-
외부 헤더 평가 — 첫째, 사전 필터링이 외부 헤더를 사용하여 트래픽을 처리합니다. 이 단계에서 전체 일반 텍스트, 통과 터널을 차단하거나 단축 경로를 지정할 수 있습니다.
-
내부 헤더 평가 — 그 다음, 나머지 액세스 제어(및 QoS 같은 기타 기능) 기능은 가장 내부에 있는 탐지 가능한 수준의 헤더를 사용하여 가장 세부적인 수준의 검사 및 처리를 보장합니다.
통과 터널이 암호화되지 않은 경우, 이 단계에서 시스템은 캡슐화된 개별 연결에서 작동합니다. 모든 캡슐화된 연결에서 작동하려면 (터널 영역 및 사전 필터링 참조) 터널의 영역을 다시 지정해야 합니다.
액세스 제어로는 암호화된 통과 터널을 파악할 수 없습니다. 예를 들어 액세스 제어 규칙은 통과 VPN 터널을 하나의 연결로 간주합니다. 시스템은 외부의 캡슐화 헤더에 있는 정보만 사용하여 전체 터널을 처리합니다.