본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.
Cisco는 일부 지역에서 본 콘텐츠의 현지 언어 번역을 제공할 수 있습니다. 이러한 번역은 정보 제공의 목적으로만 제공되며, 불일치가 있는 경우 본 콘텐츠의 영어 버전이 우선합니다.
다음 주제는 Firepower Management Center의 다양한 정책을 관리하는 방법에 대해 설명합니다.
모두
모든
관리자
네트워크 관리자
보안 승인자
 경고 |
FTD에서 직접 종료되는 VPN 터널을 통해 FMC 구축을 푸시하지 마십시오. FMC 구축을 푸시하면 잠재적으로 터널이 비활성화되고 FMC 및 FTD 연결이 끊어질 수 있습니다. 이 상황에서 디바이스를 복구하는 것은 매우 큰 피해를 일으킬 수 있으며 재해 복구 절차를 실행해야 합니다. 이 절차에서는 관리자를 FMC에서 로컬로 변경하고 디바이스를 처음부터 구성하여 FTD 구성을 공장 기본값으로 재설정합니다. 자세한 내용은 VPN 터널을 통한 FMC 정책 구성 구축를 참고하십시오. |
구축 설정을 완료하거나 구성을 변경한 뒤 영향받는 디바이스에 변경 사항을 구축해야 합니다. 메시지 센터에서 배포 상태를 확인할 수 있습니다.
다음 구성 요소 업데이트를 배포합니다.
디바이스 및 인터페이스 컨피그레이션
장치 관련 정책: NAT, VPN, QoS, 플랫폼 설정
액세스 제어 및 관련 정책: DNS, 파일, ID, 침입, 네트워크 분석, 사전 필터, SSL
네트워크 검색 정책
침입 규칙 업데이트
설정 및 해당 요소와 관련된 개체
배포 작업을 예약하거나 침입 규칙 업데이트를 가져올 때 시스템 배포로 설정하여 자동으로 구축 시스템을 구성할 수 있습니다. 자동화 정책을 구축하는 것은 특히 침입 및 네트워크 분석에 대한 시스템 제공 기본 정책을 수정하는 침입 규칙 업데이트를 허용하는 경우에 유용합니다. 또한 침입 규칙 업데이트는 액세스 제어 정책의 고급 전처리 및 성능 옵션에 대한 기본값을 변경할 수 있습니다.
다중 도메인 구축에서 사용자 계정에 속해있는 모든 도메인에 대한 변경 사항을 구축할 수 있습니다.
상위 도메인이 모든 하위 도메인에 동시에 변경 사항을 구축하도록 전환합니다.
리프 도메인이 해당 도메인에만 변경 사항을 구축하도록 전환합니다.
다음은 구성 변경 사항 구축을 위한 지침입니다.
터널을 종료하지 않는 디바이스에 대한 구축인 경우에만 VPN 터널을 통해 FMC 정책 구성을 구축할 수 있습니다. FMC-FTD 관리 트래픽은 자체 보안 전송 SF 터널이어야 하며, 모든 연결을 위해 S2S VPN 터널을 통과할 필요는 없습니다.
정책 기반 VPN 터널의 경우 FMC-FTD 관리 트래픽을 제외할 양쪽에서 보호되는 네트워크를 선택합니다. 경로 기반 VPN 터널의 경우, VTI 인터페이스에 대한 FMC-FTD 관리 트래픽을 제외하도록 라우팅을 구성합니다.
또한 터널을 통과하는 관리 트래픽을 사용하여 VPN 터널을 통해 FMC 구축을 푸시하는 경우, VPN 구성이 잘못된 경우 터널이 비활성화되고 FMC 및 FTD의 연결이 끊어집니다.
터널 구성을 다시 인스턴스화하려면 다음 중 하나를 수행합니다.
FTD 및 FMC에서 센서를 제거한 다음(모든 구성이 손실됨) FMC에 센서를 다시 추가합니다.
또는
Cisco TAC에 문의하십시오.
 참고 |
터널 구성을 다시 인스턴스화하려면 시스템을 점검해야 합니다. |
수동으로 구축된 디바이스에 인라인 컨피그레이션을 적용하거나 인라인으로 구축된 디바이스에 수동 컨피그레이션을 적용하지 마십시오.
구축 소요 시간은 다음을 비롯한 여러 요인에 따라 달라집니다.
디바이스로 전송하는 컨피그레이션. 예를 들어 차단할 보안 인텔리전스 항목의 수를 크게 늘리면 구축이 더 오래 걸릴 수 있습니다.
디바이스 모델 및 메모리. 메모리가 적은 디바이스에서는 구축이 더 오래 걸릴 수 있습니다.
디바이스의 기능을 초과하는 작업을 수행하지 마십시오. 대상 디바이스에서 지원하는 최대 규칙 또는 정책 수를 초과하면 경고가 표시됩니다. 최대치는 디바이스의 프로세서 수와 메모리뿐 아니라 정책 및 규칙의 복잡성과 같은 여러 가지 요인에 따라 달라집니다. 정책 및 규칙 최적화에 대한 정보는 액세스 제어 규칙 순서에 대한 모범 사례를 참조하십시오.
구축 시 리소스 수요로 인해 약간의 패킷이 검사 없이 삭제될 수 있습니다. 또한 일부 컨피그레이션을 구축하면 Snort 프로세스가 재시작되므로 트래픽 검사가 중단됩니다. 이 중단 기간 동안 트래픽이 삭제되는지 아니면 추가 검사 없이 통과되는지는 대상 디바이스가 트래픽을 처리하는 방법에 따라 달라집니다. Snort 재시작 트래픽 동작 및 구축 또는 활성화 시 Snort 프로세스를 재시작하는 컨피그레이션의 내용을 참조하십시오.
FTD 디바이스의 경우 구축 시에 트래픽 플로우 또는 검사가 중단될 수 있다는 경고가 Deploy(구축) 대화 상자의 Inspect Interruption(검사 중단) 열에 표시됩니다. 구축을 계속 진행하거나 취소하거나 지연시킬 수 있습니다. 자세한 내용은 FTD 디바이스의 재시작 경고를 참조하십시오.
경고 |
중단의 영향이 가장 적은 시간이나 유지 보수 기간에 구축을 수행하는 것이 좋습니다. |
애플리케이션 제어를 수행할 때 필요한 탐지기를 비활성화할 경우 정책 구축 시 적절한 시스템 제공 탐지기가 자동으로 활성화됩니다. 시스템 제공 탐지기가 없으면 애플리케이션에 대해 가장 최근에 수정된 사용자 정의 탐지기가 활성화됩니다.
네트워크 검색 정책에 대한 변경 사항을 구축할 때는 시스템이 모니터링되는 네트워크의 호스트에 대한 네트워크 맵에서 MAC 주소, TTL 및 홉 정보를 삭제한 후 다시 검색합니다. 또한, 영향을 받는 매니지드 디바이스는 아직 FMC로 전송되지 않은 검색 데이터를 모두 삭제합니다.
구축 시에 Deploy(구축) 페이지의 Inspect Interruption(검사 중단) 열에 구축된 컨피그레이션이 FTD 디바이스의 Snort 프로세스를 재시작하는지 명시합니다. Snort 프로세스라는 트래픽 검사 엔진이 재시작되면 프로세스가 다시 시작될 때까지 검사가 중단됩니다. 중단 중에 트래픽이 중단되는지 아니면 검사 없이 통과되는지는 디바이스가 트래픽을 처리하는 방법에 따라 다릅니다. 구축을 계속 진행하거나, 구축을 취소하고 컨피그레이션을 수정하거나, 구축이 네트워크에 미치는 영향이 가장 적어질 때까지 구축을 지연할 수 있습니다.
Inspect Interruption(검사 중단) 열에 Yes(예)가 표시되는 경우 디바이스 컨피그레이션 목록을 확장하면 Inspect Interruption(검사 중단) (
)을 사용하여 Snort 프로세스를 재시작하는 특정 컨피그레이션이 표시됩니다. 아이콘 위에 마우스를 올리면 컨피그레이션 구축 시 트래픽이 중단될 수 있음을 알리는 메시지가 표시됩니다.
다음 표에는 Deploy(구축) 페이지에 검사 중단 경고가 어떻게 표시되는지 요약되어 있습니다.
|
유형 |
검사 중단 |
설명 |
|---|---|---|
|
FTD |
Inspect Interruption(검사 중단) ( |
하나 이상의 컨피그레이션이 구축 시에 디바이스에서 검사를 중단하며 디바이스가 트래픽을 처리하는 방법에 따라 트래픽도 중단할 수 있습니다. 디바이스 컨피그레이션 목록을 확장하면 자세한 내용을 확인할 수 있습니다. |
|
-- |
구축된 컨피그레이션이 디바이스에서 트래픽을 중단하지 않습니다. |
|
|
확인되지 않음 |
시스템은 구축된 컨피그레이션이 디바이스에서 트래픽을 중단할 수 있는지 여부를 확인할 수 없습니다. Undetermined(확인되지 않음) 상태는 소프트웨어 업그레이드 후 처음으로 구축하기 전이나, 경우에 따라 지원 통화 중에 표시됩니다. |
|
|
Error(오류) ( |
시스템이 내부 오류로 인해 상태를 확인할 수 없습니다. 작업을 취소하고 Deploy(구축)를 다시 클릭하면 시스템이 Inspect Interruption(검사 중단) 상태를 다시 확인할 수 있습니다. 문제가 계속되면 지원 팀에 문의하십시오. |
|
|
sensor(센서) |
-- |
센서로 식별된 디바이스가 FTD 디바이스가 아니며, 구축된 컨피그레이션이 해당 디바이스에서 트래픽을 중단할 수 있는지를 시스템이 확인할 수 없습니다. |
모든 디바이스 유형에 대해 Snort 프로세스를 재시작하는 모든 컨피그레이션에 대한 정보는 구축 또는 활성화 시 Snort 프로세스를 재시작하는 컨피그레이션를 참조하십시오.
Deployment(구축) 페이지에서 Status(상태) 열은 각 디바이스의 구축 상태를 제공합니다. 구축이 진행중인 경우 구축 진행률의 라이브 상태가 표시됩니다. 그렇지 않으면 다음 상태 중 하나가 표시됩니다.
Pending(보류 중) - 구축할 디바이스에 변경 사항이 있음을 나타냅니다.
Warnings or errors(경고 또는 오류) - 사전 구축 확인에서 구축에 대한 경고 또는 오류를 식별했으며 구축을 진행하지 않았음을 나타냅니다. 경고가 있는 경우 구축을 계속할 수 있지만 오류가 있는 경우에는 구축을 계속할 수 없습니다.
참고 |
상태 열은 구축 페이지의 단일 사용자 세션에 대해서만 경고 또는 오류 상태를 제공합니다. 페이지에서 다른 페이지로 이동하거나 페이지를 새로 고치면 상태가 보류 중으로 변경됩니다. |
Failed(실패) - 이전 구축 시도가 실패했음을 나타냅니다. 세부 사항을 보려면 상태를 클릭합니다.
In queue(대기열) - 구축이 시작되었으며 시스템이 아직 구축 프로세스를 시작하지 않았음을 나타냅니다.
Completed(완료됨) - 구축이 성공적으로 완료되었음을 나타냅니다.
디바이스, 정책 또는 구성을 선택한 후에는 구축 페이지에서가 가견적 링크를 사용할 수 있습니다. 가견적 링크를 클릭하여 구축 기간의 가견적을 확인합니다. 소요 시간은 대략적인 가견적(약 70% 정확도)이며 구축에 소요되는 실제 시간은 몇 가지 시나리오에서 달라질 수 있습니다. 일부 FTD 디바이스에 대한 구축은 예상 구축 기간을 참조하십시오. 가견적은 최대 20개의 FTD 디바이스를 구축할 때 신뢰할 수 있습니다.
가견적을 사용할 수 없으면 선택한 디바이스에서 첫 번째로 성공한 구축이 보류 중이므로 데이터를 사용할 수 없음을 나타냅니다. 이 상황은 FMC 버전 업그레이드 후 또는 새로 설치한 후에 발생할 수 있습니다.
참고 |
가견적은 휴리스틱 기술을 기반으로 하므로 대량 정책 변경(대량 정책 마이그레이션의 경우) 및 선택적 구축에 대한 가견적이 올바르지 않으며 신뢰할 수 없습니다. |
구축 참고 사항은 사용자가 구축의 일부로 추가할 수 있는 맞춤형 참고 사항이며, 이러한 참고 사항은 선택 사항입니다.
Deployment History(구축 기록) 페이지에서 구축 참고 사항을 볼 수 있습니다. Firepower Management Center 메뉴 바에서 Deploy(구축)를 클릭한 다음 Deployment History(구축 기록)를 선택하여 각 작업에 대한 Deployment Notes(구축 참고 사항) 열을 확인합니다.
작업 이름, 디바이스 이름, 사용자 이름, 상태, 구축 메모 또는 '즐겨찾기' 키워드를 사용하여 검색하려면 Deployment History(구축 기록) 페이지의 검색 옵션을 사용합니다.
미리보기에서는 디바이스에 구축할 모든 정책 및 개체 변경 사항의 스냅샷을 제공합니다. 정책 변경 사항에는 새 정책, 기존 정책의 변경 사항 및 삭제된 정책이 포함됩니다. 개체 변경 사항에는 정책에 사용되는 추가 및 수정된 개체가 포함됩니다. 사용되지 않는 개체 변경 사항은 디바이스에 구축되지 않으므로 표시되지 않습니다.
Deployment(구축) 페이지에서 Preview(미리보기) 열은 나열된 각 디바이스에 대한 Preview(미리보기)(
) 아이콘을 제공합니다. 미리보기 아이콘을 클릭하면 FMC에서 모든 정책 및 개체 변경 사항을 나열하는 UI 페이지를 표시합니다. 미리보기 페이지의 왼쪽 창에는 디바이스에서 변경된 모든 정책 유형이 트리 구조로 구성되어 있습니다.
필터 아이콘(미리보기 페이지에 제공된 
)은 사용자 레벨 및 정책 레벨에서 정책을 필터링하는 옵션을 제공합니다. Filter(필터) 아이콘()을 클릭합니다. 정책 또는 사용자 이름 또는 둘 다를 선택한 다음 Apply(적용)를 클릭하여 표시된 목록을 선택한 항목으로만 제한합니다. 보류 중인 모든 구축을 보려면 Filter(필터) 아이콘을 클릭하고 Reset(재설정)을 선택합니다.
오른쪽 창에는 정책의 모든 추가, 변경 또는 삭제된 항목이나 왼쪽 창에서 선택한 개체가 나열됩니다. 오른쪽 창에 있는 2개의 열은 마지막으로 구축한 구성 설정(Deployed Device(구축된 디바이스) 열)과 구축 예정인 변경 사항(Version on FMC 열)을 제공합니다. 마지막으로 구축된 구성 설정은 디바이스가 아니라 FMC에 마지막으로 저장된 구축의 스냅샷에서 가져옵니다. 설정의 배경색은 페이지 오른쪽 상단에 있는 범례에 따라 색상으로 구분됩니다.
Modified By(수정 주체) 열에는 컨피그레이션 설정을 수정했거나 추가한 사용자가 나열됩니다. 정책 레벨에서 FMC는 정책을 수정한 모든 사용자를 표시하고, 규칙 레벨에서 FMC는 규칙을 수정한 마지막 사용자만 표시합니다.
보안 인텔리전스, 지리위치, 싱크홀 및 파일 목록 개체에 대한 변경 사항의 구축 미리보기가 지원됩니다. FMC에서 지원되는 이러한 재사용 가능 개체 및 기타 재사용 가능 개체에 대한 설명은 개체 관리를 참조하십시오.
Download as PDF(PDF로 다운로드) 버튼을 클릭하여 변경 로그 사본을 다운로드할 수 있습니다.
참고 |
|
Deployment(구축) 페이지에 제공된 Filter(필터) 아이콘()은 구축 보류중인 디바이스 목록을 필터링하는 옵션을 제공합니다. 필터 아이콘은 선택한 디바이스 및 사용자 이름을 기준으로 목록을 필터링하는 옵션을 제공합니다. 검색 옵션과 함께 필터를 사용하여 필요한 목록으로 좁힐 수
있습니다.
필터 아이콘()을 클릭합니다. 디바이스, 사용자 이름 또는 둘 다를 선택한 다음 Apply(적용)를 클릭하여 표시된 목록을 선택한 항목으로만 제한합니다. 보류중인 모든 구축을 보려면 필터 아이콘()을 클릭하고 Reset(재설정)을 선택합니다.
경고 |
FTD에서 직접 종료되는 VPN 터널을 통해 FMC 구축을 푸시하지 마십시오. FMC 구축을 푸시하면 잠재적으로 터널이 비활성화되고 FMC 및 FTD 연결이 끊어질 수 있습니다. 이 상황에서 디바이스를 복구하는 것은 매우 큰 피해를 일으킬 수 있으며 재해 복구 절차를 실행해야 합니다. 이 절차에서는 관리자를 FMC에서 로컬로 변경하고 디바이스를 처음부터 구성하여 FTD 구성을 공장 기본값으로 재설정합니다. 자세한 내용은 VPN 터널을 통한 FMC 정책 구성 구축를 참고하십시오. |
FMC를 사용하면 구축할 예정인 디바이스의 모든 변경 사항 목록에서 특정 정책을 선택하고 선택한 정책만 구축할 수 있습니다. 선택적으로 다음 정책에 대해서만 구축을 사용할 수 있습니다.
액세스 제어 정책
침입 정책
악성코드 및 파일 정책
DNS 정책
ID 정책
SSL 정책
QoS 정책
사전 필터 정책
네트워크 검색
NAT 정책
라우팅 정책
VPN 정책
구축 페이지에서 디바이스별 컨피그레이션 변경 사항을 보기 위해서 Expand Arrow(확장 화살표)(
)을 클릭하면 Policy selection(정책 선택) (
) 아이콘이 표시됩니다. 정책 선택 아이콘을 사용하면 구축하지 않고 나열된 나머지 변경 사항을 보류하면서 구축 할 개별 정책 또는 컨피그레이션을 선택할 수 있습니다. 이 옵션을 사용하여 특정 정책 또는 컨피그레이션에 대한
상호 의존적인 변경 사항을 볼 수도 있습니다. FMC는 정책 간(예: 액세스 제어 정책과 침입 정책 간) 공유 개체와 정책 간의 종속성을 동적으로 탐지합니다. 상호 의존적인 변경 사항은 상호 의존적인 구축 변경 사항을 식별하기 위해 색상 코드 태그를 사용하여 표시됩니다.
구축 변경 사항 중 하나를 선택하면 상호 의존적인 변경 사항이 자동으로 선택됩니다.
참고 |
|
선택적으로 정책을 구축하는 데에는 몇 가지 제한 사항이 있습니다. 아래 표의 내용에 따라 언제 선택적 정책 구축을 사용할 수 있는지 파악하십시오.
|
유형 |
설명 |
시나리오 |
|---|---|---|
|
전체 구축 |
전체 구축은 특정 구축 시나리오에 필요하며 FMC는 이러한 시나리오에서 선택적 구축을 지원하지 않습니다. 이러한 시나리오에서 오류가 발생하는 경우 디바이스에서 구축할 모든 변경 사항을 선택하여 진행하도록 선택할 수 있습니다. |
전체 구축이 필요한 시나리오는 다음과 같습니다.
|
|
연결된 정책 구축 |
FMC는 상호 연결된 상호 의존적인 정책을 식별합니다. 상호 연결된 정책 중 하나를 선택하면 나머지 상호 연결된 정책이 자동으로 선택됩니다. |
연결된 정책이 자동으로 선택되는 시나리오:
여러 정책이 자동으로 선택되는 시나리오:
|
|
상호 의존적 정책 변경(컬러 코딩 태그를 사용하여 표시) |
FMC는 정책 간 및 공유 개체와 정책 간의 종속성을 동적으로 탐지합니다. 개체 또는 정책의 상호 종속성은 색상으로 구분된 태그를 사용하여 표시됩니다. |
색상으로 구분된 상호 의존적 정책 또는 개체가 자동으로 선택되는 시나리오:
|
|
액세스 정책 그룹 사양 |
액세스 정책 그룹 정책은 클릭하면 액세스 정책 그룹 아래의 미리보기 창에 함께 나열됩니다Show or Hide Policy(정책 표시 또는 숨기기) ( |
액세스 정책 그룹 정책에 대한 시나리오 및 예상되는 동작은 다음과 같습니다.
|
경고 |
FTD에서 직접 종료되는 VPN 터널을 통해 FMC 구축을 푸시하지 마십시오. FMC 구축을 푸시하면 잠재적으로 터널이 비활성화되고 FMC 및 FTD 연결이 끊어질 수 있습니다. 이 상황에서 디바이스를 복구하는 것은 매우 큰 피해를 일으킬 수 있으며 재해 복구 절차를 실행해야 합니다. 이 절차에서는 관리자를 FMC에서 로컬로 변경하고 디바이스를 처음부터 구성하여 FTD 구성을 공장 기본값으로 재설정합니다. 자세한 내용은 VPN 터널을 통한 FMC 정책 구성 구축를 참고하십시오. |
컨피그레이션을 변경한 후 해당하는 디바이스에 구축합니다. 컨피그레이션 변경 사항은 트래픽 흐름 및 검사 중단의 영향이 가장 적은 시간이나 유지 보수 기간에 구축하는 것이 좋습니다.
경고 |
구축 시 리소스 수요로 인해 약간의 패킷이 검사 없이 삭제될 수 있습니다. 또한 일부 컨피그레이션을 구축하면 Snort 프로세스가 재시작되므로 트래픽 검사가 중단됩니다. 이 중단 기간 동안 트래픽이 삭제되는지 아니면 추가 검사 없이 통과되는지는 대상 디바이스가 트래픽을 처리하는 방법에 따라 달라집니다. Snort 재시작 트래픽 동작 및 구축 또는 활성화 시 Snort 프로세스를 재시작하는 컨피그레이션의 내용을 참조하십시오. |
구성 변경 사항 구축을 위한 모범 사례에 설명되어 있는 지침을 검토합니다.
모든 매니지드 디바이스가 동일한 수정 버전의 보안 영역 개체를 사용하는지 확인합니다. 보안 영역 개체를 편집한 경우: 동기화하려는 모든 디바이스에서 인터페이스에 대한 영역 설정을 수정하기 전에는 구성 변경 사항을 디바이스에 구축하지 마십시오. 모든 매니지드 디바이스에 동시에 구축해야 합니다.
참고 |
구축하는 동안 시스템에서 센서 구성을 읽는 경우 정책 구축 프로세스가 실패합니다. 센서 CLI에서 show running-config와 같은 명령을 실행하면 구축이 중단되어 구축이 실패합니다.
|
| 단계 1 |
FMC 메뉴 모음에서 Deploy(구축)를 클릭한 다음 Deployment(구축)를 선택합니다. GUI 페이지에는 오래된 상태의 구성이 보류중인 디바이스가 나열됩니다.
|
||
| 단계 2 |
컨피그레이션 변경 사항을 구축할 디바이스를 식별하여 선택합니다.
|
||
| 단계 3 |
(선택 사항) 대략적인 구축 기간을 확인하려면 Estimate(견적)를 클릭합니다. 자세한 내용은 구축 견적를 참조하십시오. |
||
| 단계 4 |
Deploy(구축)를 클릭합니다. |
||
| 단계 5 |
구축할 변경 사항에서 오류나 경고를 식별하면 시스템은 Validation Messages(검증 메시지) 창에 이를 표시합니다. 전체 세부 사항을 보려면 경고 또는 오류 앞에 있는 화살표 아이콘을 클릭합니다. 다음 옵션을 이용할 수 있습니다.
|
(선택 사항) 구축 상태를 모니터링합니다. 구축 메시지 보기(Viewing Deployment Messages)를 Firepower Management Center 관리 가이드에서 참조하십시오.
구축에 실패하는 경우 구성 변경 사항 구축을 위한 모범 사례를 참조하십시오.
구축 중에 어떤 이유로든 구축 장애가 발생하는 경우 해당 장애가 트래픽에 영향을 미칠 수 있습니다. 그러나 특정 조건에 따라 달라집니다. 구축에 특정 구성이 변경된 경우 구축 장애로 인해 트래픽이 중단될 수 있습니다. 다음 표를 참조하여 구축 실패 시 트래픽 중단을 일으킬 수 있는 구성 변경 사항을 확인하십시오.
|
구성 변경 |
있습니까? |
트래픽이 영향을 받습니까? |
|---|---|---|
|
액세스 제어 정책의 위협 방어 서비스 변경 |
예 |
예 |
|
VRF |
예 |
예 |
|
인터페이스 |
예 |
예 |
|
QoS |
예 |
예 |
참고 |
구축 중 트래픽을 중단하는 구성 변경 사항은 FMC 및 FTD 버전이 6.2.3 이상인 경우에만 유효합니다. |
관리되는 단일 디바이스에 기존의 (변경되지 않은) 구성을 강제 구축할 수 있습니다. 컨피그레이션 변경 사항은 트래픽 흐름 및 검사 중단의 영향이 가장 적은 시간이나 유지 보수 기간에 구축하는 것이 좋습니다.
경고 |
구축 시 리소스 수요로 인해 약간의 패킷이 검사 없이 삭제될 수 있습니다. 또한 일부 컨피그레이션을 구축하면 Snort 프로세스가 재시작되므로 트래픽 검사가 중단됩니다. 이 중단 기간 동안 트래픽이 삭제되는지 아니면 추가 검사 없이 통과되는지는 대상 디바이스가 트래픽을 처리하는 방법에 따라 달라집니다. Snort 재시작 트래픽 동작 및 구축 또는 활성화 시 Snort 프로세스를 재시작하는 컨피그레이션의 내용을 참조하십시오. |
구성 변경 사항 구축을 위한 모범 사례에 설명되어 있는 지침을 검토합니다.
| 단계 1 |
를 선택합니다. |
||
| 단계 2 |
강제 구축을 원하는 디바이스 옆의 Edit(수정) ( 다중 도메인 구축에서 현재 위치가 리프 도메인이 아니면 도메인을 전환하라는 메시지가 표시됩니다. |
||
| 단계 3 |
디바이스를 클릭합니다. |
||
| 단계 4 |
General(일반) 섹션 옆에 있는 Edit(수정) ( |
||
| 단계 5 |
Force Deploy(강제 구축)(
|
||
| 단계 6 |
Deploy(구축)를 클릭합니다. 시스템은 구축하려는 설정과 관련된 모든 오류나 경고를 식별합니다. 경고 상황을 해결하지 않고 계속하려면 Proceed(진행)를 클릭합니다. 그러나 시스템이 오류를 식별하는 경우 계속 진행할 수 없습니다. |
(선택 사항) 구축 상태를 모니터링합니다. 구축 메시지 보기(Viewing Deployment Messages)를 Firepower Management Center 관리 가이드에서 참조하십시오.
구축에 실패하는 경우 구성 변경 사항 구축을 위한 모범 사례를 참조하십시오.
| 단계 1 |
Firepower Management Center 메뉴 표시줄에서 Deploy(구축)를 클릭한 다음 Deployment History(구축 기록)를 선택합니다. 모든 이전 구축 및 롤백 작업의 목록이 역순으로 표시됩니다. |
||||
| 단계 2 |
필요한 구축 작업 옆의 Expand Arrow(확장 화살표)( |
||||
| 단계 3 |
(선택 사항) 디바이스로 전송된 명령 및 수신된 응답을 보려면 Transcript Details(대화 내용 상세정보)( 기록은 다음 섹션으로 구성되어 있습니다.
CLI Apply(CLI 적용) 섹션의 구축 기록에는 디바이스로 전송된 명령과 디바이스에서 반환된 응답이 포함되어 있습니다. 이러한 응답은 정보 메시지 또는 오류 메시지일 수 있습니다. 장애가 발생한 구축의 경우 명령 오류를 나타내는 메시지를 확인합니다. FlexConfig 정책을 사용하여 맞춤화된 기능을 구성하는 경우 이러한 오류를 검사하면 특히 유용할 수 있습니다. 이 오류를 확인하여 명령을 구성하려는 FlexConfig 개체의 스크립트를 수정할 수 있습니다.
예를 들어 다음 시퀀스에서는 Firepower Management Center가 외부에서 논리적 이름으로 GigabitEthernet0/0을 구성하기 위해 명령을 전송했음을 확인할 수 있습니다. 디바이스에서 보안 수준을 0으로 자동 설정했다고 응답했습니다. FTD에서는 어떠한 경우에도 보안 수준을 사용하지 않습니다. |
||||
| 단계 4 |
(선택 사항) 디바이스에 구축된 정책 및 개체 변경 사항과 이전에 구축한 버전을 보려면 Preview(미리보기)( Modified By(수정 주체) 열에는 정책 또는 개체를 수정한 사용자가 나열됩니다. 정책 레벨에서 FMC는 정책을 수정한 모든 사용자 이름을 표시합니다. 규칙 레벨에서 FMC는 규칙을 수정한 마지막 사용자를 표시합니다. 또한 드롭다운 상자에서 필요한 버전을 선택한 다음 Show(표시) 버튼을 클릭하여 변경 로그를 보고 두 버전을 비교할 수 있습니다. Download as PDF(PDF로 다운로드) 버튼을 클릭하여 변경 로그 사본을 다운로드할 수 있습니다.
|
||||
| 단계 5 |
(선택 사항) 각 구축 작업에 대해 추가 (
|
| 단계 1 |
Firepower Management Center 메뉴 표시줄에서 Deploy(구축)를 클릭한 다음 Deployment History(구축 기록)를 선택합니다. 모든 이전 구축 및 롤백 작업의 목록이 역순으로 표시됩니다. |
||||||
| 단계 2 |
필요한 구축 작업 옆의 Expand Arrow(확장 화살표)( |
||||||
| 단계 3 |
(선택 사항) 디바이스에 구축된 정책 및 개체 변경 사항과 이전에 구축한 버전을 보려면 Preview(미리보기)(
Modified By(수정 주체) 열에는 정책 또는 개체를 수정한 사용자가 나열됩니다. 정책 레벨에서 FMC는 정책을 수정한 모든 사용자 이름을 표시합니다. 규칙 레벨에서 FMC는 규칙을 수정한 마지막 사용자를 표시합니다. 또한 드롭다운 상자에서 필요한 버전을 선택한 다음 Show(표시) 버튼을 클릭하여 변경 로그를 보고 두 버전을 비교할 수 있습니다. Download as PDF(PDF로 다운로드) 버튼을 클릭하여 변경 로그 사본을 다운로드할 수 있습니다.
|
다음 HA 시나리오에서는 미리 보기가 지원되지 않습니다.
디바이스가 독립형 모드이고 체인이 설정된 경우 자동 구축이 트리거됩니다. 해당 특정 작업에 대해서는 미리보기가 지원되지 않습니다. Preview(미리보기)()에 마우스를 올려놓으면 HA 부트스트랩 구축이며 미리보기가 지원되지 않는다는 메시지가 표시됩니다.
Configuration groups(구성 그룹) - 디바이스가 처음에 독립형이었던 플로우를 고려합니다. 그 후, 3개의 구축이 수행되었습니다. 네 번째 구축에서 디바이스는 HA 부트스트랩 구축이었습니다. 그런 다음 사용자는 디바이스 5, 6, 7을 구축합니다. 구축 7은 HA 중단 구축이며, 사용자가 디바이스 8, 9 및 10을 구축합니다.
이 플로우에서는 4가 HA 구축이므로 3과 5 사이의 미리보기가 지원되지 않습니다. 마찬가지로, 8과 3 사이의 미리보기도 지원되지 않습니다. 미리보기는 3에서 1, 7, 6, 5, 4 및 10, 9, 8까지만 지원됩니다.
디바이스가 손상되면(HA가 손상됨) 새 디바이스가 새로운 디바이스로 간주됩니다.
경고 |
FTD에서 직접 종료되는 VPN 터널을 통해 FMC 구축을 푸시하지 마십시오. FMC 구축을 푸시하면 잠재적으로 터널이 비활성화되고 FMC 및 FTD 연결이 끊어질 수 있습니다. 이 상황에서 디바이스를 복구하는 것은 매우 큰 피해를 일으킬 수 있으며 재해 복구 절차를 실행해야 합니다. 이 절차에서는 관리자를 FMC에서 로컬로 변경하고 디바이스를 처음부터 구성하여 FTD 구성을 공장 기본값으로 재설정합니다. 자세한 내용은 VPN 터널을 통한 FMC 정책 구성 구축를 참고하십시오. |
롤백은 FTD 디바이스에서 기존 구축을 지우고 이전에 구축한 구성으로 디바이스를 재구성하기 위해 제공되는 구축 기능입니다.
정책 구축 후 FTD를 통과하는 트래픽이 의도하지 않은 방식으로 영향을 받는 경우 롤백이 디바이스를 결함 있는 구축 이전의 상태로 되돌릴 수 있는 옵션을 제공합니다.
구축이 잘못되어 의도하지 않은 방식으로 트래픽이 중단된 경우에는 구축의 변경 사항을 확인하여 문제를 해결하는 것이 좋습니다. 이전 구축의 변경 사항을 확인하려면 를 선택하고 마지막 구축된 작업을 확장한 후 미리보기 아이콘()을 클릭합니다. 미리보기 페이지에서는 구축을 비교할 수 있는 옵션을 제공합니다. 이 옵션은 이전 구축과 비교하여 구축의 특정 변경 사항을 식별하는 데 유용할 수 있습니다. 문제를 일으키는 변경 사항을
식별한 후 구성을 수정하고 디바이스에 다시 구축합니다. 이것이 권장되는 접근 방식입니다. 그러나 문제를 일으킨 변경 사항을 식별할 수 없는 경우 디바이스에서 마지막으로 구축된 안정적인 버전으로 롤백합니다.
롤백 작업이 정상적으로 완료되면 로 이동하여 롤백된 디바이스 옆의 Preview(미리보기) 아이콘을 클릭합니다. 롤백 구성과 FMC의 현재 변경 사항 간의 변경 사항을 확인합니다. 문제를 일으킨 변경 사항을 식별하고 수정합니다.
롤백은 일부를 제외하고 디바이스의 모든 구성을 되돌립니다. 자세한 내용은 아래 표를 참조하십시오.
|
롤백 중에 복귀되는 구성 |
롤백 중에 복귀되지 않은 구성 |
||
|---|---|---|---|
|
|
중요사항 |
|
참고 |
|
다음 HA 시나리오에서는 롤백이 지원되지 않습니다.
롤백하려는 버전에 FTD HA 부트 스트랩 구성이 포함된 경우.
롤백하려는 버전에 FTD HA 중단 구성이 포함된 경우.
현재 독립형 모드인 FTD가 이전 구축 버전에서 HA 또는 클러스터의 일부인 경우.
클러스터에 여러 제어 노드가 있는 경우 롤백이 지원되지 않습니다.
| 단계 1 |
Firepower Management Center 메뉴 표시줄에서 를 선택합니다. 모든 이전 구축 작업 목록이 역순으로 표시됩니다. |
| 단계 2 |
Rollback(롤백)을 클릭합니다. |
| 단계 3 |
Job(작업) 옵션을 선택하고 Selected Job(선택한 작업) 드롭다운 목록에서 작업을 선택하거나 Device List(디바이스 목록)를 선택하여 표시되는 디바이스 목록을 필터링합니다. |
| 단계 4 |
(선택 사항) Search Device(디바이스 검색) 검색 상자에 디바이스 이름을 입력하여 디바이스 목록을 필터링합니다. |
| 단계 5 |
디바이스를 선택합니다. |
| 단계 6 |
Rollback Version(롤백 버전) 드롭다운 목록에서 버전을 선택합니다. 특정 롤백 버전에 대한 작업 이름 및 관련 구축 참고 사항도 나열됩니다. |
| 단계 7 |
(선택 사항) 미리보기 아이콘( |
| 단계 8 |
Rollback(롤백)을 클릭합니다. |
롤백 상태를 확인하려면 를 선택합니다. 디바이스 이름 옆의 롤백 상태를 볼 수 있습니다.
롤백 기록은 디바이스에서 반환되는 응답과 함께 디바이스로 전송되는 명령이 작성된 버전입니다. 롤백 작업이 실패한 경우, Deploy(구축) > Deployment History(구축 기록) 페이지의 기록에 실패 이유가 표시됩니다. 단, 롤백 작업을 성공적으로 수행하기 위해 실행된 CLI 명령을 확인하려면 롤백 작업이 완료된 후 아래 단계를 수행하십시오. 이 정보는 다음 구축까지만 확인할 수 있습니다.
참고 |
CLI 명령 정보는 롤백이 완료된 후에 확인할 수 있으며, 다음 구축까지만 살펴볼 수 있습니다. 롤백 작업 후 첫 번째 구축에서는 모든 롤백 관련 정보가 지워집니다. |
참고 |
롤백 구축의 경우, 구축 참고 사항은 Rollback Job(롤백 작업)으로 자동 업데이트됩니다. Deployment History(구축 기록) 페이지에서 사용자는 Search(검색) 옵션을 사용하여 롤백 작업을 쉽게 필터링할 수 있습니다. |
| 단계 1 |
Firepower Management Center 메뉴 표시줄에서 를 선택합니다. |
| 단계 2 |
왼쪽 창에서 롤백된 디바이스를 선택합니다. |
| 단계 3 |
View System & Troubleshooting Details(시스템 및 문제 해결 세부 사항 보기) 링크를 클릭합니다. |
| 단계 4 |
Advanced Troubleshooting(고급 문제 해결)을 클릭합니다. |
| 단계 5 |
Threat Defense CLI(위협 방어 CLI)를 클릭합니다. |
| 단계 6 |
Command(명령) 드롭다운 상자에서 show를 클릭합니다. |
| 단계 7 |
Parameter(매개변수) 필드에 running을 입력합니다. |
| 단계 8 |
Execute(실행)를 클릭합니다. |
Snort 프로세스라는 트래픽 검사 엔진이 매니지드 디바이스에서 재시작되면, 프로세스가 다시 시작될 때까지 검사가 중단됩니다. 이 중단 기간 동안 트래픽이 삭제되는지 아니면 추가 검사 없이 통과되는지는 대상 디바이스가 트래픽을 처리하는 방법에 따라 달라집니다. 자세한 내용은 Snort 재시작 트래픽 동작을 참고하십시오. 또한, 구축 시에는 Snort 프로세스가 재시작되는지와 관계없이 리소스 수요로 인해 약간의 패킷이 검사 없이 삭제될 수 있습니다.
다음 표의 시나리오 중 하나가 발생하는 경우 Snort 프로세스가 재시작됩니다.
|
시나리오 다시 시작 |
추가 정보 |
|---|---|
|
Snort 프로세스를 재시작해야 하는 특정 설정을 구축합니다. |
|
|
즉시 Snort 프로세스를 재시작해야 하는 특정 설정을 수정합니다. |
|
|
현재 구축된 자동 애플리케이션 우회(AAB) 설정을 활성화하는 트래픽을 활성화합니다. |
정책 적용 중 트래픽 검사는 고급 액세스 제어 정책 일반 설정으로서 설정 변경이 구축되는 동안 관리되는 디바이스가 트래픽을 검사하도록 허용합니다. 단 구축하려는 설정이 Snort 프로세스를 재시작할 필요가 없는 경우에 한정됩니다. 이 옵션은 다음과 같이 구성할 수 있습니다.
활성화 — 재시작 시 특정 설정이 Snort 프로세스를 요구하지 않는 한 구축 시 트래픽을 검사합니다.
구축하려는 구성이 Snort 재시작을 요구하지 않는 경우 시스템은 현재 구축된 액세스 제어 정책을 사용해 트래픽을 검사하고 구축 시 구축하려는 액세스 제어 정책으로 전환합니다.
비활성화 — 구축 중 트래픽을 검사하지 않습니다. 구축 시 항상 Snort 프로세스를 재시작합니다.
다음 그래픽은 정책 적용 중 트래픽 검사 활성화에 따라 Snort가 재시작되는 방식을 나타냅니다.
경고 |
구축 시 리소스 수요로 인해 약간의 패킷이 검사 없이 삭제될 수 있습니다. 또한 일부 컨피그레이션을 구축하면 Snort 프로세스가 재시작되므로 트래픽 검사가 중단됩니다. 이 중단 기간 동안 트래픽이 삭제되는지 아니면 추가 검사 없이 통과되는지는 대상 디바이스가 트래픽을 처리하는 방법에 따라 달라집니다. Snort 재시작 트래픽 동작 및 구축 또는 활성화 시 Snort 프로세스를 재시작하는 컨피그레이션의 내용을 참조하십시오. |
다음 표에서는 Snort 프로세스가 재시작될 때 각 디바이스가 트래픽을 처리하는 방법을 설명합니다.
|
인터페이스 컨피그레이션 |
재시작 트래픽 동작 |
|---|---|
|
인라인: Snort Fail Open: Down(Snort Fail-Open: 중단): 비활성화 |
차단 |
|
인라인: Snort Fail Open: Down(Snort Fail-Open: 중단): 활성화 |
검사 없이 통과됨 일부 패킷은 시스템에서 Snort가 다운되었음을 인식하기 전에 몇 초 동안 버퍼에서 지연될 수 있습니다. 이 지연은 로드 분포에 따라 달라질 수 있습니다. 그러나 버퍼링된 패킷은 결국 전달됩니다. |
|
라우팅, Transparent(EtherChannel, 이중화, 하위 인터페이스 포함): preserve-connection 활성화(configure snort preserve-connection enable , 기본값) 자세한 내용은 Secure Firewall Threat Defense 명령 참조의 내용을 참고하십시오. |
기존 TCP / UDP 플로우 : Snort가 중단된 상태에서 하나 이상의 패킷이 도착하는 한 검사 없이 통과됨 새 TCP/UDP 플로우와 모든 비TCP/UDP 플로우: 삭제됨 다음 트래픽은 preserve-connection 활성화 시에도 삭제됩니다.
|
|
라우팅, Transparent(EtherChannel, 이중화, 하위 인터페이스 포함): preserve-connection 비활성화(configure snort preserve-connection disable ) |
차단 |
|
인라인: 탭 모드 |
즉시 패킷 이그레스, 복사 시 Snort 우회 |
|
패시브 |
중단되지 않음, 검사되지 않음 |
참고 |
Snort 프로세스가 재시작되는 동안 중단되는 경우 트래픽 처리 외에도 Snort Fail-Open Busy(사용 중) 옵션(인라인 집합 구성 참조)의 구성에 따라 Snort 프로세스가 사용 중인 경우 트래픽이 검사 없이 통과하거나 삭제될 수 있습니다. 디바이스는 Failsafe 옵션 또는 Snort Fail-Open 옵션을 지원하며 둘 다 지원하지는 않습니다. |
참고 |
구성 구축 중에 Snort 프로세스가 사용 중이지만 중단되지는 않은 경우, 총 CPU 로드가 60%를 초과하면 라우팅, 스위칭 또는 Transparent 인터페이스에서 일부 패킷이 삭제될 수 있습니다. |
 경고 |
Snort Rule 업데이트가 진행 중에는 어플라이언스를 재부팅하지 마십시오. |
Snort-busy 삭제는 snort가 패킷을 충분히 빠르게 처리할 수 없을 때 발생합니다. Lina는 Snort가 처리 지연으로 인해 사용 중인지 아니면 가 중단되거나 통화 차단으로 인해 사용 중인지 알 수 없습니다. 전송 대기열이 가득 차면 snort-busy 삭제가 발생합니다. 전송 대기열 사용률을 기준으로, 대기열이 원활하게 처리되고 있다면 Lina가 액세스를 시도합니다.
AAB를 제외한 다음 구성을 구축할 때는 설명대로 Snort 프로세스가 재시작됩니다. AAB를 구축할 때는 프로세스가 재시작되지 않지만, 과도한 패킷 레이턴시로 인해 현재 구축된 AAB 컨피그레이션이 활성화되어 Snort 프로세스가 부분적으로 재시작됩니다.
Inspect Traffic During Policy Apply(정책 적용 중에 트래픽 검사)가 비활성화되었을 때 구축합니다.
SSL 정책을 추가하거나 제거합니다.
다음 컨피그레이션 중 하나의 첫 번째 또는 마지막 항목을 구축합니다. 이러한 파일 정책 컨피그레이션을 다른 방식으로 구축할 때는 프로세스가 재시작되지 않지만, 비 파일 정책 컨피그레이션을 구축할 때는 프로세스가 재시작될 수 있습니다.
다음 작업 중 하나를 수행합니다.
구축된 액세스 컨트롤 정책에 파일 정책이 하나 이상 포함되어 있으면 Inspect Archives(아카이브 검사)를 활성화하거나 비활성화합니다.
Inspect Archives(아카이브 검사)가 활성화되어 있으면 첫 번째 정책 규칙을 추가하거나 마지막 파일 정책을 제거합니다. Inspect Archives(아카이브 검사)가 적용되려면 규칙이 하나 이상 필요합니다.
Detect Files(파일 탐지) 또는 Block Files(파일 차단) 규칙에서 Store Files(파일 저장)를 활성화하거나 해제합니다.
Malware Cloud Lookup(악성코드 클라우드 조회) 또는 Block Malware(악성코드 차단) 규칙 작업을 분석 옵션(Spero Analysis or MSEXE(Spero 분석 또는 MSEXE), Dynamic Analysis(동적 분석), Local Malware Analysis(로컬 악성코드 분석)) 또는 파일 저장 옵션(Malware(악성코드), Unknown(알 수 없음), Clean(정상), Custom(맞춤형))과 결합하는 첫 번째 활성 파일 규칙을 추가하거나 마지막 활성 파일 규칙을 제거합니다.
이러한 파일 정책 컨피그레이션을 보안 영역이나 터널 영역에 구축하는 액세스 컨트롤 규칙의 경우 컨피그레이션이 다음 조건을 충족할 때만 프로세스가 재시작됩니다.
액세스 컨트롤 규칙의 소스 또는 대상 보안 영역이 대상 디바이스의 인터페이스와 연결된 보안 영역과 일치해야 합니다.
액세스 컨트롤 규칙의 대상 영역이 any(임의)가 아니면 규칙의 소스 터널 영역은 사전 필터 정책의 터널 규칙에 할당된 터널 영역과 일치해야 합니다.
SSL 암호 해독이 비활성화되어 있으면(액세스 제어 정책에 SSL 정책이 포함되지 않음) 첫 번째 활성 인증 규칙을 추가하거나 마지막 활성 인증 규칙을 제거합니다.
활성 인증 규칙에는 Active Authentication(활성 인증) 규칙 작업 또는 Use active authentication if passive or VPN identity cannot be established(패시브 또는 VPN ID를 설정할 수 없는 경우 활성 인증 사용)가 선택된 Passive Authentication(패시브 인증) 규칙 작업이 있습니다.
네트워크 검색 정책을 사용하여 HTTP, FTP 또는 MDNS 프로토콜을 통한 신뢰할 수 없는 트래픽 기반 사용자 탐지를 활성화하거나 비활성화합니다.
MTU: 디바이스의 모든 비 관리 인터페이스 중에서 가장 높은 MTU 값을 변경합니다.
AAB(자동 애플리케이션 바이패스): Snort 프로세스 오작동 또는 잘못된 디바이스 컨피그레이션으로 인해 단일 패킷이 과도한 처리 시간을 사용하면 현재 구축되어 있는 AAB 컨피그레이션이 활성화됩니다. 이 경우 매우 긴 레이턴시를 완화하거나 완전한 트래픽 정지를 방지하기 위해 Snort 프로세스가 부분적으로 재시작됩니다. 이처럼 프로세스가 부분적으로 재시작되면 디바이스가 트래픽을 처리하는 방법에 따라 일부 패킷이 검사 없이 통과되거나 삭제됩니다.
시스템 업데이트: Snort 이진 또는 데이터 획득 라이브러리(DAQ)의 새 버전을 포함하는 소프트웨어 업데이트 후에 처음으로 구성을 구축합니다.
VDB: Snort 2를 구동하는 매니지드 디바이스의 경우 매니지드 디바이스에 적용 가능한 변경 사항을 포함하는 VDB(취약성 데이터베이스) 업데이트를 설치한 후 처음으로 구성을 구축하려면 탐지 엔진 재시작이 필요하며 그러면 일시적인 트래픽 중단이 발생할 수 있습니다. 이러한 경우, 설치를 시작하기 위해 FMC를 선택하면 경고 메시지가 표시됩니다. VDB 변경 사항이 보류 중인 경우 구축 대화 상자에서 FTD 디바이스에 대한 추가 경고를 제공합니다. FMC에만 적용되는 VDB 업데이트로는 탐지 엔진이 재시작되지 않으므로 해당 업데이트는 구축할 수 없습니다.
Snort 3을 실행하는 매니지드 디바이스의 경우 VDB(취약점 데이터베이스) 업데이트를 설치 한 후 처음으로 구성을 구축하면 애플리케이션 탐지가 일시적으로 중단 될 수 있지만 트래픽 중단은 발생하지 않습니다.
다음 변경 사항은 구축 단계를 거치지 않고 즉시 Snort 프로세스를 재시작합니다. 재시작으로 인해 어떻게 트래픽이 영향을 받는지는 대상 디바이스가 트래픽을 처리하는 방법에 따라 달라집니다. 자세한 내용은 Snort 재시작 트래픽 동작을 참고하십시오.
애플리케이션 또는 애플리케이션 탐지기와 관련된 다음 작업 중 하나를 수행합니다.
시스템 또는 사용자 정의 애플리케이션 탐지기를 활성화하거나 비활성화합니다.
활성화된 사용자 정의 탐지기를 삭제합니다.
활성화된 사용자 정의 탐지기를 저장하고 다시 활성화합니다.
사용자 정의 애플리케이션 생성
Snort 프로세스를 재시작한다는 경고 메시지가 표시되며 진행을 취소할 수 있습니다. 현재 도메인 또는 하위 도메인의 관리되는 디바이스가 재시작됩니다.
Firepower Threat Defense 고가용성 쌍을 생성하거나 중단 - 고가용성 쌍을 생성하면 기본 및 보조 디바이스에서 Snort 프로세스가 재시작된다는 경고 메시지가 표시되며 사용자가 취소할 수 있습니다.
조직의 표준 규정을 준수하는지에 대한 정책 변경을 검토하고 시스템 성능을 최적화하기 위해 두 정책 또는 저장된 정책과 실행 설정 간 차이를 검토할 수 있습니다.
다음 정책 유형을 비교할 수 있습니다.
DNS
파일
상태
ID
침입(Snort 2 정책만 해당)
네트워크 분석
SSL
비교 보기는 옵션 요약 비교 형식으로 두 정책을 표시합니다. 두 정책 간 차이점은 강조 표시됩니다.
파란색은 강조 표시된 설정이 두 정책 사이에서 다름을 나타내고, 그러한 차이점은 빨간색 텍스트로 표시됩니다.
녹색은 강조 표시된 설정이 한 정책에서는 나타나지만 다른 정책에서는 나타나지 않음을 표시합니다.
특정 정책에 대한 액세스 권한 및 필요한 라이선스가 있고 정책을 구성하기 위한 올바른 도메인에 있는 경우에만 정책을 비교할 수 있습니다.
| 단계 1 |
비교할 정책의 관리 페이지에 액세스합니다.
|
||||
| 단계 2 |
Compare Policies(정책 비교)를 클릭합니다. |
||||
| 단계 3 |
Compare Against(비교 대상) 드롭다운 목록에서 원하는 비교 유형을 선택합니다.
|
||||
| 단계 4 |
선택한 비교 유형에 따라 다음을 선택할 수 있습니다.
|
||||
| 단계 5 |
OK(확인)를 클릭합니다. |
||||
| 단계 6 |
비교 결과를 검토합니다.
|
대부분의 정책에 대해 두 종류의 보고서를 생성할 수 있습니다. 보고서 목록은 두 정책 간 차이를 비교하는 반면, 단일 정책에 대한 보고서는 정책에 현재 저장된 설정의 세부 정보를 제공합니다. 상태를 제외한 모든 정책 유형에 대한 단일 정책 보고서를 생성할 수 있습니다.
참고 |
침입 정책 보고서는 기본 정책 설정과 정책 레이어의 설정을 결합하며 기본 정책 또는 정책 레이어 중 기반이 되는 설정이 무엇인지 구분하지 않습니다. |
특정 정책에 대한 액세스 권한 및 필요한 라이선스가 있고 정책을 설정하기 위한 올바른 도메인에 있는 경우에만 정책을 생성할 수 있습니다.
| 단계 1 |
보고서를 생성할 정책의 관리 페이지에 액세스합니다.
|
||
| 단계 2 |
보고서를 생성하려는 정책 옆에 있는 Report(보고서) ( |
Firepower System은 정책 업데이트가 필요한 대상 디바이스 수를 나타내는 빨간색 상태 텍스트로 오래된 정책을 표시합니다. 이 상태를 지우려면 다시 디바이스에 정책을 구축해야 합니다.
정책 재구축이 필요한 구성 변경에는 다음이 포함됩니다.
액세스 제어 정책을 수정하는 경우: 액세스 제어 규칙, 기본 작업, 정책 대상, 보안 인텔리전스 필터링, 전처리를 포함한 고급 옵션 등의 모든 변경 사항
액세스 제어 정책이 호출하는 모든 정책을 변경하는 경우: SSL 정책, 네트워크 분석 정책, 침입 정책, 파일 정책, ID 정책 또는 DNS 정책
액세스 제어 정책 또는 호출 정책에 사용된 재사용 가능한 개체 또는 구성의 변경:
네트워크, 포트, VLAN 태그, URL 및 지리위치 개체
보안 인텔리전스 목록 및 피드
애플리케이션 필터 또는 탐지기
침입 정책 변수 집합
파일 목록
암호 해독 관련 개체 및 보안 영역
시스템 소프트웨어, 침입 규칙 또는 취약성 데이터베이스(VDB)의 업데이트
웹 인터페이스 내 여러 위치에서 이러한 구성 중 일부를 변경할 수 있다는 점에 주의하십시오. 예를 들어, 개체 관리자()를 사용하여 보안 영역을 수정할 수 있습니다. 그러나, 디바이스의 구성()에서 인터페이스 유형을 수정하면 영역도 변경될 수 있으며 정책 재구축이 필요합니다.
참고로 다음 업데이트에는 정책 재구축이 필요하지 않습니다.
보안 인텔리전스 피드에 대한 자동 업데이트 그리고 컨텍스트 메뉴를 사용하여 보안 인텔리전스 차단 또는 차단 금지 목록에 추가
URL 필터링 데이터에 대한 자동 업데이트
예약된 GeoDB(지정학적 위치 데이터베이스) 업데이트
호스트, 애플리케이션, 사용자 검색 데이터는 시스템이 네트워크 전체의 최신 프로파일을 생성하도록 허용합니다. 또한 시스템은 침입 및 공격 네트워크 트래픽을 분석하고 선택적으로 공격 패킷을 제거하는 침입 탐지 및 예방 시스템(IPS)으로 작용합니다.
검색 및 IPS를 결합하면 네트워크 활동에 대한 컨텍스트를 제공하며 다음과 같은 다양한 기능을 활용할 수 있습니다.
영향 플래그 및 보안 침해 지표는 특정 익스플로잇, 공격, 악성코드에 취약한 호스트가 무엇인지 나타냅니다
적응형 프로파일 업데이트 및 Firepower 권장 사항은 대상 호스트에 따라 트래픽을 다른 방법으로 검사할 수 있습니다
상관관계는 영향을 받은 호스트에 따라 침입(및 기타 이벤트)에 다른 방식으로 대응합니다
그러나 조직이 IPS 수행 또는 검색 수행에만 관심이 있는 경우 다음 설정으로 시스템의 설정을 최적화할 수 있습니다.
검색 기능은 네트워크 트래픽을 모니터링하고 네트워크의 (네트워크 디바이스를 포함한) 호스트 유형 개수 및 운영 시스템, 활성 애플리케이션, 해당 호스트에 개방된 포트 정보를 확인할 수 있습니다. 또한 네트워크의 사용자 활동을 모니터링하도록 관리되는 디바이스를 구성할 수 있습니다. 검색 데이터를 사용해 트래픽 프로파일링을 수행하고 네트워크 규정 준수를 평가하고 정책 위반에 대응할 수 있습니다.
기본 구축(검색 및 단순한 네트워크 기반 액세스 제어만 수행)의 경우 액세스 제어 정책을 구성할 때 몇 가지 중요 지침을 따름으로서 디바이스의 성능을 향상할 수 있습니다.
참고 |
모든 트래픽을 허용하는 경우에도 액세스 제어 정책을 사용해야 합니다. 네트워크 검색 정책은 액세스 제어 정책이 통과를 허용하는 트래픽에 한해서만 검사할 수 있습니다. |
우선 액세스 제어 정책에 복잡한 프로세스가 필요하지 않으며 단순한 네트워크 기반 조건을 사용하여 네트워크 트래픽을 처리할 수 있는지 확인합니다. 다음 지침을 모두 시행해야 합니다. 이런 옵션 중 하나의 구성 오류가 발생할 경우 성능 이점이 사라집니다.
보안 인텔리전스 기능을 사용하지 마십시오. 정책의 보안 인텔리전스 설정에서 생성된 전역 차단 또는 차단 금지 목록을 제거합니다.
차단 활동을 모니터링하거나 상호 작용과 관련된 액세스 제어 규칙을 포함하지 마십시오. 허용되고 신뢰할 수 있는 차단 규칙만 사용합니다. 허용된 트래픽은 검색을 통해서만 검사할 수 있으며 신뢰할 수 있는 차단된 트래픽은 검사할 수 없습니다.
애플리케이션, 사용자, URL, ISE 속성, 위치 정보에 기반한 네트워크 조건과 관련된 제어 규칙을 포함하지 않습니다. 단순한 네트워크 기반 조건인 영역, IP 주소, VLAN 태그, 포트만 사용합니다.
파일, 악성코드, 침입 검사를 수행하는 액세스 제어 규칙을 포함하지 않습니다. 즉 파일 또는 침입 정책을 액세스 제어 규칙과 연결하지 마십시오.
액세스 제어 정책의 Advanced(고급) 설정에서 Access Control(액세스 제어) 규칙이 결정되기 전에 사용되는 Intrusion Policy(침입 정책)가 No Rules Active(활성 규칙 없음)로 설정되어 있는지 확인합니다.
Network Discovery Only(네트워크 검색만)를 정책의 기본 활동으로 선택합니다. 침입 검사를 수행하는 정책을 기본 활동으로 선택하지 않습니다.
액세스 제어 정책을 결합하면 시스템이 세그먼트, 포트, 영역에서 발견된 검색 데이터, 호스트, 애플리케이션, 사용자에 대한 검색을 수행하는 네트워크 세그먼트, 포트, 영역을 특정하는 네트워크 검색 정책을 설정하고 구축할 수 있습니다.
필요하지 않을 경우 (IPS 전용 구축 등) 검색을 비활성화하면 성능을 향상시킬 수 있습니다. 검색을 비활성화하려면 다음의 모든 변경 사항을 구현해야 합니다.
네트워크 검색 정책의 모든 규칙을 삭제합니다.
영역, IP 주소, VLAN 태그, 포트의 액세스 제어를 수행하는 단순한 네트워크 기반 조건만 사용합니다.
모든 유형의 어플리케이션, 사용자, URL, 지리 위치 제어, 보안 인텔리전스를 수행하지 마십시오. 검색 데이터의 스토리지를 비활성화할 수 있지만 시스템은 이런 기능을 수행하기 위해 수집 및 검사를 수행합니다.
기본 전역 목록을 포함해 액세스 제어 정책의 보안 인텔리전스 설정에서 모든 차단 및 차단 안 함 목록을 삭제하면 네트워크 및 URL 기반 보안 인텔리전스를 비활성화합니다.
DNS 규칙에 대해 DNS 및 전역 차단 목록에 대한 기본 전역 차단 안 함 목록을 포함해 DNS 정책과 관련된 모든 규칙을 삭제 또는 비활성화하여 DNS 기반 보안 인텔리전스를 비활성화합니다.
구축 후 대상 디바이스에서 새 검색을 중지합니다. 시스템은 시간 초과 환경 설정에 따라 네트워크 맵에서 점진적으로 정보를 삭제합니다. 또는 사용자가 모든 데이터를 즉시 제거할 수 있습니다.
|
기능 |
버전 |
세부 사항 |
|---|---|---|
|
구축 미리보기 및 미리보기의 사용자 정보 |
7.0 |
구축 페이지에는 다음과 같은 기능이 새로 추가되었습니다.
지원되는 플랫폼: Firepower Management Center |
|
FTD 디바이스의 롤백 구축 |
6.7 |
롤백은 FTD 디바이스에서 기존 구축을 제거하고 이전에 구축한 구성으로 디바이스를 재구성하기 위해 제공되는 구축 기능입니다. 신규 / 수정 페이지: 페이지에 롤백 아이콘이 있는 새로운 롤백 열이 제공됩니다. 작업이 확장되어도 디바이스 레벨에서 롤백을 시작하기 위해 유사한 롤백 아이콘을 찾을 수 있습니다. 지원되는 플랫폼: Firepower Management Center |
|
Firepower Management Center의 구축 섹션을 개정합니다. |
6.6 |
FMC 메뉴 모음의 Deploy(구축) 버튼이 Deploy(구축) 메뉴로 변경됩니다. 그 아래에는 2개의 새로운 하위 메뉴 옵션이 있습니다. 이들은 Deployment(구축) 및 Deployment History(구축 히스토리)입니다. 새로 구축된 기능과 함께 구축 페이지가 개선되었으며, 새로운 구축 히스토리 페이지에서는 모든 이전 구축의 범례를 제공합니다. 구축 페이지에는 다음과 같은 기능이 새로 추가되었습니다.
지원되는 플랫폼: Firepower Management Center |
)
)
)
)
)
)
)
피드백