네트워크 분석 및 침입 정책 개요

다음 주제에서는 Snort 검사 엔진 개요 및 네트워크 분석 및 침입 정책의 개요를 제공합니다.

네트워크 분석 및 침입 정책 기본 사항

네트워크 분석 및 침입 정책은 시스템의 침입 탐지 및 방지 기능의 일환으로 함께 작동합니다.

  • 침입 탐지란 용어는 일반적으로 네트워크 트래픽에서 잠재적인 침입을 수동적으로 모니터링 및 분석하고 보안 분석을 위한 공격 데이터를 저장하는 프로세스를 말합니다. 'IDS'라고 하기도 합니다.

  • 침입 방지란 용어에는 침입 탐지의 개념이 포함되지만, 악성 트래픽이 네트워크를 통과할 때 이를 차단 또는 변경하는 기능이 추가됩니다. 'IPS'라고 하기도 합니다.


참고


Snort 3 및 SSL 암호 해독 또는 TLS 서버 ID를 사용하는 경우 방지 모드에서 NAP(Network Analysis Policy)를 구성해야 합니다. Snort 3 NAP가 탐지 모드인 경우 SSL 기능이 작동하지 않습니다.


침입 방지 구축에서 시스템이 패킷을 검토할 때:

  • 네트워크 분석 정책은 특히 침입 시도의 신호가 될 수 있는 변칙 트래픽을 향후에 평가할 수 있도록 트래픽을 해독하고 전처리하는 방법을 제어합니다.

  • 침입 정책침입 및 전처리 규칙(집합적으로 침입 규칙이라고도 함)을 사용하여 패턴 기반의 공격에 대한 디코딩된 패킷을 검사합니다. 침입 정책은 변수 집합과 페어링되는데, 이를 통해 네트워크 환경을 올바르게 반영하는 지정된 값을 사용할 수 있습니다.

네트워크 분석과 침입 정책 모두 상위 액세스 제어 정책에 의해 호출되지만 그 시점은 다릅니다. 시스템이 트래픽을 분석하기 때문에, 네트워크 분석(디코딩 및 전처리) 단계는 침입 방지(추가 전처리 및 침입 규칙) 단계보다 이전에 또는 별도로 발생합니다. 네트워크 분석 및 침입 정책은 폭넓고 심층적인 패킷 검사를 제공합니다. 이 둘을 함께 사용하면 호스트 및 호스트 데이터의 가용성, 무결성 및 기밀성을 위협할 수 있는 네트워크 트래픽을 탐지하고 알리고 방지할 수 있습니다.

시스템에서는 상호 보완하고 함께 작동하는 비슷한 이름의 여러 네트워크 분석 및 침입 정책(예: Balanced Security and Connectivity)을 제공합니다. 시스템이 제공하는 정책을 사용하면 Talos 인텔리전스 그룹의 경험을 활용할 수 있습니다. Talos는 이 정책에 대해 침입 및 전처리기 규칙 상태를 설정할 뿐만 아니라 전처리기 및 다른 고급 설정에 대한 초기 구성을 제공합니다.

또한 사용자 지정 네트워크 분석 및 침입 정책을 만들 수 있습니다. 사용자 지정 정책의 설정을 조정하여 가장 중요하다고 생각되는 방식으로 트래픽을 검사할 수 있으며, 따라서 매니지드 디바이스의 성능과 디바이스가 생성하는 이벤트에 효과적으로 대응하는 능력 모두를 향상시킬 수 있습니다.

웹 인터페이스에서 유사한 정책 편집기를 사용하여 네트워크 분석 및 침입 정책을 생성, 수정, 저장 및 관리합니다. 정책 유형 중 하나를 수정할 때 탐색 패널이 웹 인터페이스의 왼쪽에 표시되며, 오른쪽에는 다양한 구성 페이지가 표시됩니다.

정책이 트래픽에서 침입을 검토하는 방법

시스템이 액세스 제어 배포의 일부로 트래픽을 분석할 때, 네트워크 분석(디코딩 및 전처리) 단계는 침입 방지(침입 규칙 및 고급 설정) 단계보다 이전에 또는 별도로 발생합니다.

다음 다이어그램은 인라인, 침입 방지 및 악성코드 대응 구축에서 트래픽 분석의 순서를 간소화된 형식으로 보여줍니다. 또한 액세스 제어 정책이 다른 정책을 호출하여 트래픽을 검토하는 방법 및 그러한 정책이 호출되는 순서를 보여줍니다. 네트워크 분석 및 침입 정책 선택 단계는 강조 표시됩니다.


위의 설명처럼 네트워크 분석 정책에 의한 전처리가 SSL 검사 후에 액세스 제어 규칙이 침입 정책을 호출하기 전에 이루어짐을 보여주는 트래픽 흐름 다이어그램.

인라인 구축(즉, 관련 설정을 라우팅, 스위칭 또는 투명한 인터페이스 또는 인라인 인터페이스 쌍을 사용하여 디바이스에 구축하는 경우)의 경우, 시스템은 예시된 프로세스의 거의 모든 단계에서 추가 검사 없이 트래픽을 차단할 수 있습니다. 보안 인텔리전스, SSL 정책, 네트워크 분석 정책, 파일 정책 및 침입 정책은 모두 트래픽을 삭제 또는 수정할 수 있습니다. 수동으로 패킷을 검사하는 네트워크 검색 정책만으로는 트래픽의 흐름에 영향을 줄 수 없습니다.

마찬가지로 프로세스의 각 단계에서 패킷은 시스템이 이벤트를 생성하도록 할 수 있습니다. 침입 및 전처리기 이벤트(침입 이벤트로 총칭)는 패킷 또는 패킷의 콘텐츠에 보안 위험 있음을 나타내는 것입니다.



다이어그램에는 SSL 검사 설정에서 암호화 트래픽의 통과를 허용하는 경우 또는 SSL 검사를 설정하지 않은 경우, 액세스 제어 규칙이 암호화 트래픽을 처리한다는 점이 반영되어 있지 않습니다. 기본적으로, 시스템에서는 암호화된 페이로드의 침입 및 파일 검사를 비활성화합니다. 이는 암호화 연결이 침입 및 파일 검사가 구성된 액세스 제어 규칙과 일치하는 경우 오탐을 줄이고 성능을 높이는 데 도움이 됩니다.


단일 연결의 경우, 다이어그램에 나타난 것처럼 시스템은 액세스 제어 규칙에 앞서 네트워크 분석 정책을 선택하지만, 일부 전처리(특히 애플리케이션 레이어 전처리)는 액세스 제어 규칙 선택 이후에 발생한다는 점에 유의하십시오. 이는 사용자 지정 네트워크 분석 정책에서 전처리를 구성하는 방식에 영향을 주지 않습니다.

복호화, 정규화 및 전처리: 네트워크 분석 정책

프로토콜 차이가 패턴 일치를 불가능하게 할 수 있으므로 디코딩과 전처리가 없으면 시스템은 침입 탐지를 위해 트래픽을 제대로 평가할 수 없습니다. 네트워크 분석 정책은 이러한 트래픽 처리 작업을 제어합니다.

  • 보안 인텔리전스에 의해 트래픽이 필터링된

  • 암호화된 트래픽이 선택적인 SSL 정책에 의해 해독된

  • 트래픽을 파일 또는 침입 정책으로 검사할 수 있기

네트워크 분석 정책은 처리 단계에서 패킷을 제어합니다. 먼저 시스템이 첫 세 개 TCP/IP 레이어를 통해 패킷을 디코딩한 다음, 프로토콜 이상 징후를 표준화하고, 전처리하며, 계속해서 탐지합니다.

  • 패킷 디코더는 패킷 헤더 및 페이로드를 전처리기에서 쉽게 사용할 수 있는 형식으로, 그리고 추후 침입 규칙에서 쉽게 사용할 수 있는 형식으로 변환합니다. TCP/IP 스택의 각 레이어는 데이터 링크 레이어로 시작하여 계속해서 네트워크 및 전송 레이어를 통해 차례로 디코딩됩니다. 패킷 디코더는 또한 패킷 헤더의 다양하고 변칙적인 작업을 탐지합니다.

  • 인라인 배포에서, 인라인 표준화 전처리기는 공격자가 탐지를 우회하는 가능성을 최소화하기 위해 트래픽을 새로 포맷합니다(표준화합니다). 이는 다른 전처리기 및 침입 규칙에 따라 패킷이 검사될 수 있도록 준비하고, 시스템이 처리하는 패킷이 사용자 네트워크 호스트에서 수신된 패킷과 동일한지 확인할 수 있도록 지원합니다.


    참고


    패시브 구축의 경우, Cisco는 네트워크 분석 수준에서 인라인 표준화를 구성하는 대신 액세스 제어 정책 수준에서 하고 적응형 프로파일 업데이트를 활성화할 것을 권장합니다.


  • 다양한 네트워크 및 전송 레이어 전처리기는 IP 조각을 이용한 익스플로잇을 탐지하고 체크섬 유효성 검증을 수행하며, TCP와 UDP 세션 전처리를 수행합니다.

    일부 고급 전송 및 네트워크 전처리기 설정은 액세스 제어 정책의 대상 디바이스에서 처리된 모든 트래픽에 전역으로 적용된다는 점에 유의하십시오. 이러한 설정은 네트워크 분석 정책보다는 액세스 제어 정책에서 구성합니다.

  • 다양한 애플리케이션 레이어 프로토콜 디코더는 특정 패킷 데이터 유형을 침입 규칙 엔진이 분석할 수 있는 형식으로 표준화합니다. 애플리케이션 레이어 프로토콜 인코딩을 정규화함으로써 시스템에서는 데이터가 다르게 표현된 패킷에 동일한 콘텐츠 관련 침입 규칙을 효과적으로 적용하고 의미 있는 결과를 얻을 수 있습니다.

  • Modbus, DNP3, CIP 및 s7commplus SCADA 전처리기는 트래픽의 비정상적인 상태를 탐지하고 침입 규칙에 데이터를 제공합니다. Supervisory Control(감시 제어) 및 Data Acquisition(데이터 획득. SCADA) 프로토콜은 제조, 생산, 정수 처리, 배전, 공항 및 배송 시스템 등과 같은 산업, 인프라 및 설비의 데이터를 모니터링하고, 제어하며, 획득합니다.

  • 여러 전처리기는 사용자가 Back Orifice, portscans, SYN floods 및 기타 속도 기반 공격과 같은 특정 위협을 탐지하도록 합니다.

    침입 정책에서 ASCII 텍스트의 신용카드 번호 및 주민등록번호/사회보장번호 같은 민감한 데이터를 탐지하는 민감한 데이터 프리프로세서를 구성할 수 있습니다.

새로 만든 액세스 제어 정책에서 하나의 기본 네트워크 분석 정책은 동일한 상위 액세스 제어 정책에 의해 호출된 모든 침입 정책에 대한 모든 트래픽에 대해 전처리를 제어합니다. 먼저, 시스템은 Balanced Security and Connectivity(균형 잡힌 보안 및 연결성) 네트워크 분석 정책을 기본값으로 사용하지만, 기타 시스템이 제공하는 네트워크 분석 정책 또는 사용자 지정 네트워크 분석 정책으로 변경할 수 있습니다. 더 복잡한 구축에서 고급 사용자는 일치하는 트래픽을 전처리하는 다양한 맞춤형 네트워크 분석 정책을 할당하여 특정 보안 영역, 네트워크, VLAN에 트래픽 전처리 옵션을 맞출 수 있습니다.

액세스 제어 규칙: 침입 정책 선택

초기 전처리 후, (있는 경우) 액세스 제어 규칙이 트래픽을 평가합니다. 대부분의 경우 패킷과 일치하는 첫 번째 액세스 제어 규칙이 트래픽을 처리하는 규칙입니다. 일치하는 트래픽을 모니터링, 신뢰, 차단 또는 허용할 수 있습니다.

액세스 제어 규칙을 통해 트래픽을 허용할 경우, 시스템은 트래픽에서 데이터 검색, 악성코드, 금지 파일 및 침입을 순서대로 검사할 수 있습니다. 액세스 제어 규칙과 일치하지 않는 트래픽은 검색 데이터와 침입을 검사할 수 있는 액세스 제어 정책의 기본 작업에 의해 처리됩니다.


참고


어느 네트워크 분석 정책이 패킷을 전처리하는지에 상관없이 모든 패킷은 구성된 액세스 제어 규칙에 일치되며 따라서 하향식 순서로 침입 정책에 의한 잠재적 검사의 대상이 됩니다.


정책이 트래픽에서 침입을 검토하는 방법의 다이어그램은 다음과 같이 인라인, 침입 방지 및 악성코드 대응 구축에서 디바이스를 통한 트래픽 흐름을 보여줍니다.

  • Access Control Rule A는 일치하는 트래픽의 진행을 허용합니다. 그런 다음 트래픽은 네트워크 검색 정책에 의해 검색 데이터가, File Policy A에 의해 금지 파일 및 악성코드가 검사된 다음 Intrusion Policy A에 의해 침입이 검사됩니다.

  • Access Control Rule B 역시 일치하는 트래픽을 허용합니다. 그러나 이 시나리오에서는 트래픽에서 침입(또는 파일이나 악성코드)이 검사되지 않으므로 규칙과 연결된 침입 또는 파일 정책이 없습니다. 기본적으로 진행을 허용하는 트래픽은 네트워크 검색 정책에 의해 검사되며 이것은 구성할 필요가 없습니다.

  • 이 시나리오에서 액세스 제어 정책의 기본 작업은 일치하는 트래픽을 허용하는 것입니다. 다음으로 트래픽은 네트워크 검색 정책으로 그리고 침입 정책의 검사를 받습니다. 침입 정책을 액세스 제어 규칙 또는 기본 작업과 연결할 때 다른 침입 정책을 사용할 수 있습니다(그러나 반드시 그렇게 해야 할 필요는 없음).

시스템은 차단된 트래픽 또는 신뢰할 수 있는 트래픽은 검사하지 않으므로 다이어그램의 예에는 차단 또는 신뢰 규칙이 포함되어 있지 않습니다.

침입 검사: 침입 정책, 규칙 및 변수 집합

침입 방지는 트래픽이 목적지로 들어가기 전 시스템의 최후의 방어선으로 사용할 수 있습니다. 침입 정책은 보안 위반 확인을 위해 시스템이 인라인 배포에서 트래픽을 검사하는 방식을 제어하며, 악성 트래픽을 차단하거나 변경할 수 있습니다. 침입 정책의 주요 기능은 어느 침입 및 전처리기 규칙이 활성화되는지와 이들이 구성되는 방식을 관리하는 것입니다.

침입 및 전처리기 규칙

침입 규칙은 네트워크의 취약성을 이용하려는 시도를 탐지하는 키워드 및 논쟁의 지정된 집합이며, 시스템은 침입 규칙을 사용하여 네트워크 트래픽을 분석하고, 규칙의 기준과 일치하는지를 확인합니다. 시스템은 패킷을 각 규칙에 지정된 조건과 비교하며, 패킷 데이터가 규칙에 지정된 모든 조건에 일치하는 경우 규칙이 트리거됩니다.

시스템에는 Talos 인텔리전스 그룹가 생성한 다음 유형의 규칙이 포함됩니다.

  • 공유 개체 침입 규칙. 이는 컴파일된 것이며 수정할 수 없습니다(소스 및 대상 포트, IP 주소와 같은 규칙 헤더 정보 제외)

  • 표준 텍스트 침입 규칙. 이는 규칙의 새 사용자 지정 인스턴스로 저장되며 수정할 수 있습니다.

  • 전처리기 규칙. 이는 네트워크 분석 정책에서 전처리기 및 패킷 디코더 탐지 옵션과 관련된 규칙입니다. 전처리기 규칙을 복사하거나 편집할 수 없습니다. 대부분의 전처리기 규칙은 기본적으로 비활성화됩니다. 이벤트를 생성하고, 인라인 구축에서 문제가 되는 패킷을 삭제합니다.전처리기를 사용하려면 이들을 활성화해야 합니다.

시스템이 침입 정책에 따라 패킷을 처리할 때, 먼저 규칙 최적화기가 다음과 같은 기준에 근거하여 하위 집합 내 모든 활성화된 규칙을 분류합니다. 전송 레이어, 애플리케이션 프로토콜, 보호된 네트워크로 오가는 방향 등. 다음으로, 침입 규칙 엔진은 각 패킷에 적용하기 위해 적절한 규칙 하위 집합을 선택합니다. 마지막으로 다중 규칙 검색 엔진은 세 가지 검색 유형을 사용하여 트래픽이 규칙과 일치하는지 확인합니다.

  • 프로토콜 필드 검색은 애플리케이션 프로토콜 내 특정 필드에서 일치 항목을 검색합니다.

  • 일반적인 콘텐츠 검색은 패킷 페이로드의 ASCII 또는 이진 바이트 일치 항목을 검색합니다.

  • 패킷 이상 징후 검색은 특정 내용을 포함하기보다는 잘 알려진 프로토콜을 위반하는 패킷 헤더 및 페이로드를 검색합니다.

사용자 지정 침입 정책에서 규칙을 활성화 및 비활성화고 사용자 고유의 표준 텍스트 규칙을 작성 및 추가하여 탐지를 설정할 수 있습니다. Cisco 권장 사항을 사용하여 네트워크에서 탐지된 운영 체제, 서버 및 클라이언트 애플리케이션 프로토콜을 이러한 자산을 보호하기 위해 특별히 작성한 규칙과 연결할 수도 있습니다.

변수 집합

시스템이 트래픽 평가를 위해 침입 정책을 사용할 때마다, 연결된 변수 집합을 사용합니다. 집합 내 대부분의 변수는 소스 및 대상 IP 주소와 포트 확인을 위해 침입 규칙에서 일반적으로 사용되는 값을 나타냅니다. 또한 침입 정책 내 변수를 사용하여 규칙 삭제 및 동적 규칙 상태의 IP 주소를 나타낼 수 있습니다.

시스템은 단일 기본 변수 집합을 제공하는데, 이는 미리 정의된 기본 변수로 구성되어 있습니다. 대부분의 시스템이 제공하는 공유 개체 규칙과 표준 텍스트 규칙은 미리 정의된 이러한 기본 변수를 사용하여 네트워크와 포트 번호를 정의합니다. 예를 들어, 대부분의 규칙은 $HOME_NET 변수를 사용하여 보호된 네트워크를 지정하고 $EXTERNAL_NET 변수를 사용하여 보호되지 않은(또는 외부) 네트워크를 지정합니다. 또한, 전문 규칙은 종종 미리 정의된 다른 변수를 사용합니다. 예를 들어, 웹 서버에 대한 익스플로잇을 탐지하는 규칙은 $HTTP_SERVERS$HTTP_PORTS 변수를 사용합니다.



시스템에서 제공한 침입 정책을 사용하는 경우에도 Cisco는 기본 변수 집합의 주요 기본 변수를 수정할 것을 강력하게 권장합니다. 올바르게 네트워크 환경을 반영하는 변수를 사용할 때, 처리는 최적화되고 시스템은 의심스러운 활동에 대해 관련 시스템을 모니터링할 수 있습니다. 고급 사용자는 하나 이상의 사용자 지정 침입 정책으로 페어링을 위한 사용자 지정 변수 집합을 만들고 사용할 수 있습니다.


침입 이벤트 생성

시스템은 가능한 침입을 식별하면 침입 또는 전처리기 이벤트(총칭하여 침입 이벤트라고도 함)를 생성합니다. 매니지드 디바이스는 management center에 자체 이벤트를 전송합니다. 여기서는 집계된 데이터를 보고 네트워크 자산에 대한 공격을 더 잘 이해할 수 있습니다. 인라인 구축에서 매니지드 디바이스는 유해한 것으로 알려진 패킷을 삭제 또는 교체할 수도 있습니다.

데이터베이스의 각 침입 이벤트는 이벤트 헤더를 포함하며, 이벤트 이름 및 분류에 관한 정보를 포함합니다. 여기에는 소스 및 대상 IP 주소, 포트, 이벤트를 생성한 프로세스, 이벤트의 날짜 및 시간, 그리고 공격의 출처 및 공격 대상에 대한 컨텍스트 관련 정보 등이 있습니다. 패킷 기반 이벤트의 경우, 시스템은 또한 해독된 패킷 헤더 및 패킷의 페이로드 또는 이벤트를 시작한 패킷의 복사본을 로깅합니다.

패킷 디코더, 전처리기 및 침입 규칙 엔진은 모두 시스템이 이벤트를 생성하도록 할 수 있습니다. 예를 들면 다음과 같습니다.

  • (네트워크 분석 정책에서 구성된) 패킷 디코더가 어떤 옵션 또는 페이로드도 없는 IP 데이터그램의 크기인 20바이트보다 작은 IP 패킷을 수신한 경우, 디코더는 이를 이상 트래픽으로 해석합니다. 나중에, 패킷을 검토하는 침입 정책에서 관련 디코더 규칙이 활성화된 경우, 시스템은 전처리기 이벤트를 생성합니다.

  • IP 조각 모음 전처리기에 중복되는 일련의 IP 조각이 발생할 경우, 전처리기는 이를 잠재적인 공격으로 해석하며, 관련 전처리기 규칙이 활성화된 경우 시스템은 전처리기 이벤트를 생성합니다.

  • 패킷에 의해 트리거될 때 침입 이벤트를 생성할 수 있도록 침입 규칙 엔진 내에서 대부분의 표준 텍스트 규칙 및 공유 개체 규칙이 작성됩니다.

데이터베이스에 침입 이벤트가 누적됨에 따라 잠재적인 공격의 분석을 시작할 수 있습니다. 시스템은 침입 이벤트를 검토하고 네트워크 환경 및 보안 정책의 컨텍스트에서 중요성을 띠는지 여부를 평가하는 데 필요한 도구를 제공합니다.

시스템 제공 및 맞춤형 네트워크 분석 및 침입 정책

새로운 액세스 제어 정책을 생성하는 것이 시스템을 사용하여 트래픽 플로우를 관리하는 첫 과정 중 하나입니다. 기본적으로, 새로 만든 액세스 제어 정책은 트래픽을 검토하기 위해 시스템 제공 네트워크 분석 및 침입 정책을 호출합니다.

다음 다이어그램은 인라인 침입 방지 배포에서 새로 만든 액세스 제어 정책이 트래픽을 초반에 처리하는 방식을 보여줍니다. 전처리 및 침입 방지 단계는 강조 표시됩니다.

그림 1. 새 액세스 제어 정책: 침입 방지
인라인 침입 방지 구축에서 새로 생성된 액세스 제어 규칙이 처음에 트래픽을 어떻게 처리하는지 보여주는 다이어그램. 순서: 보안 인텔리전스, 전처리, 액세스 제어 기본 작업, 네트워크 검색, 마지막으로 침입 검사.

다음 방식을 참고하십시오.

  • 기본 네트워크 분석 정책이 액세스 제어 정책에서 처리된 모든 트래픽의 전처리를 제어하는 방식. 초기에는 시스템이 제공한 Balanced Security and Connectivity(균형 잡힌 보안 및 연결성) 네트워크 분석 정책이 기본값입니다.

  • 액세스 제어 정책의 기본 작업은 시스템이 제공한 Balanced Security and Connectivity(균형 잡힌 보안 및 연결성)에 의해 결정된 대로 모든 비 악성 트래픽을 허용합니다. 기본 작업에서 트래픽 통과를 허용하므로 침입 정책이 악성 트래픽을 검사하고 잠재적으로 차단하기 전에 검색 기능이 트래픽에서 호스트, 애플리케이션, 사용자 데이터를 검사할 수 있습니다.

  • 정책은 기본 보안 인텔리전스 옵션(전역 차단 및 차단 금지 목록)을 사용하고, SSL 정책 내에서 암호화된 트래픽을 해독하지 않으며, 액세스 제어 규칙을 사용하여 네트워크 트래픽의 특수 처리 및 검사를 수행하지 않습니다.

침입 방지 배포를 조정하기 위해 취할 수 있는 간단한 조치는 시스템 제공 네트워크 분석 및 침입 정책의 서로 다른 집합을 기본값으로 사용하는 것입니다. Cisco는 시스템에서 이러한 정책의 여러 쌍을 제공합니다.

또는, 사용자 지정 정책을 생성하고 사용하여 침입 방지 배포를 맞춤화할 수 있습니다. 전처리기 옵션, 침입 규칙 및 이 정책에 구성된 기타 고급 설정이 네트워크의 보안 요구를 충족하지 않음을 알게 될 수도 있습니다. 네트워크 분석 및 침입 정책을 설정하여 시스템이 침입 탐지를 위해 네트워크에서 트래픽을 처리하고 검사하는 방식을 매우 세부적으로 구성할 수 있습니다.

시스템 제공 네트워크 분석 및 침입 정책

Cisco는 시스템에서 네트워크 분석 정책과 침입 정책의 여러 쌍을 제공합니다. 시스템이 제공하는 네트워크 분석 및 침입 정책을 사용하여 Talos 인텔리전스 그룹의 경험을 활용할 수 있습니다. Talos는 이 정책에 대해 침입 및 전처리기 규칙 상태뿐 아니라 전처리기의 초기 구성과 기타 고급 설정을 제공합니다.

모든 네트워크 프로파일, 트래픽 혼합 또는 방어 태세를 포괄하는 시스템 제공 정책은 없습니다. 각각은 잘 조정된 방어 정책의 시작점을 제공하는 일반적인 사례와 네트워크 설정을 다룹니다. 시스템에서 제공하는 정책을 그대로 사용해도 되지만 Cisco는 사용자의 네트워크에 맞게 조정하는 맞춤형 정책의 기반으로 사용할 것을 강력하게 권장합니다.



시스템에서 제공한 네트워크 분석 및 침입 정책을 사용하고 있는 경우에도 자신의 네트워크 환경을 정확하게 반영할 수 있도록 시스템의 침입 변수를 구성해야 합니다. 최소한 기본값 집합의 주요 기본 변수는 수정하시기 바랍니다.


새로운 취약성이 알려지면 Talos에서 침입 규칙 업데이트(Snort Rule Updates(Snort 규칙 업데이트)라고도 함)를 릴리스합니다. 이 규칙 업데이트는 모든 시스템 제공 네트워크 분석 또는 침입 정책을 수정할 수 있고 새롭게 업데이트된 침입 규칙 및 전처리기 규칙, 기존 규칙을 위한 수정된 상태, 그리고 수정된 기본 정책 설정을 제공할 수 있습니다. 규칙 업데이트는 또한 시스템 제공 정책에서 규칙을 삭제할 수 있고, 새로운 규칙 카테고리를 제공할 수 있으며, 기본 변수 집합을 수정할 수 있습니다.

규칙 업데이트가 구축에 영향을 미치는 경우, 웹 인터페이스에는 영향을 받는 침입 및 네트워크 분석 정책은 물론 해당 상위 액세스 제어 정책도 최신이 아닌 것으로 표시됩니다. 변경 사항이 적용되려면 업데이트된 정책을 다시 구축해야 합니다.

편의상 규칙 업데이트를 구성하여 영향을 받는 침입 정책을 단독으로 또는 영향을 받는 액세스 제어 정책과 조합하여 자동으로 다시 구축할 수 있습니다. 이를 통해 쉽고 자동적으로 사용자 배포를 최신 상태로 유지하여 최근 발견된 침입 및 익스플로잇으로부터 보호할 수 있습니다.

전처리 설정을 최신으로 유지하려면 반드시 액세스 제어 정책을 다시 구축해야 합니다. 그러면 현재 실행 중인 것과 다른 모든 관련 SSL, 네트워크 분석 및 파일 정책이 다시 적용되며, 고급 전처리 및 성능 옵션의 기본값도 업데이트할 수 있습니다.

Cisco는 시스템에서 다음 네트워크 분석 및 침입 정책을 제공합니다.
Balanced Security and Connectivity(보안과 연결의 균형 유지) 네트워크 분석 및 침입 정책

이 정책은 속도 및 탐지 모두에 구축됩니다. 이들은 함께 사용되며, 대다수 조직 및 배포 유형을 위해 좋은 시작점의 역할을 합니다. 시스템은 Balanced Security and Connectivity(균형 잡힌 보안 및 연결성) 정책 및 설정을 대부분의 경우 기본값으로 사용합니다.

Connectivity Over Security(연결이 보안에 우선함) 네트워크 분석 및 침입 정책

이 정책은 (모든 리소스에 접근할 수 있는) 연결성이 네트워크 인프라 보안에 우선하는 조직을 위해 구축됩니다. 침입 정책은 Security Over Connectivity(보안이 연결에 우선함)에서 활성화된 것보다 훨씬 더 적은 규칙을 활성화합니다. 트래픽을 차단하는 가장 중요한 규칙만 사용 설정됩니다.

Security Over Connectivity(보안이 연결에 우선함) 네트워크 분석 및 침입 정책

이 정책은 네트워크 인프라 보안이 사용자 편의에 우선하는 조직을 위해 구축됩니다. 침입 정책은 적합한 트래픽에 대해 경계하거나 중단할 수 있는 다양한 네트워크 이상 침입 규칙을 활성화합니다.

Maximum Detection(최대 탐지) 네트워크 분석 및 침입 정책

이러한 정책은 Security over Connectivity(연결보다 보안 우선) 정책보다 네트워크 인프라 보안이 더 강조되는 조직에 구축되며, 운영에 더 큰 영향을 미칠 수 있습니다. 예를 들어 이 침입 정책에서는 악성코드, 익스플로잇 킷, 오래된 일반적인 취약성, 통제되지 않은 알려진 익스플로잇 등 다수의 위협 범주에서 규칙을 활성화합니다.

No Rules Active(활성 규칙 불가) 침입 정책

No Rules Active(활성 규칙 불가) 침입 정책에서는 모든 침입 규칙 및 침입 규칙 임계값을 제외한 모든 고급 설정이 비활성화됩니다. 이 정책은 다른 시스템 제공 정책 중 하나에서 활성화된 규칙에 근거를 두는 것을 대신하여 사용자 고유의 침입 정책 생성을 원할 경우 시작점이 됩니다.


참고


선택한 시스템 제공 기본 정책에 따라 정책 설정은 달라집니다. 정책 설정을 보려면 정책 옆에 있는 수정 아이콘을 클릭하고 Manage Base Policy(기본 정책 관리) 링크를 클릭합니다.


맞춤형 네트워크 분석 및 침입 정책의 이점

전처리기 옵션, 침입 규칙 및 시스템 제공 네트워크 분석 또는 침입 정책에 구성된 기타 고급 설정이 조직의 보안 요구를 완전히 충족하지 않음을 확인할 수도 있습니다.

사용자 지정 정책을 구축하는 것은 사용자 환경에서 시스템의 성능을 개선할 수 있으며, 사용자 네트워크에서 일어나는 악의적인 트래픽 및 정책 위반을 집중적으로 살펴볼 수 있도록 할 수 있습니다. 사용자 지정 정책을 생성하고 설정함에 따라 사용자는 시스템이 침입 탐지를 위해 네트워크에서 트래픽을 처리하고 검사하는 방식을 매우 세부적으로 구성할 수 있습니다.

모든 사용자 정책에는 기본 정책이 있으며, 이는 기본 레이어라고도 하는데, 정책의 모든 구성에 대한 기본 설정을 정의합니다. 레이어는 여러 네트워크 분석 또는 침입 정책을 효율적으로 관리하는 데 사용할 수 있는 구성 요소입니다.

대부분의 경우, 사용자 지정 정책은 시스템 제공 정책을 기반으로 하지만, 다른 사용자 지정 정책을 사용할 수 있습니다. 하지만, 사용자 지정 정책은 시스템 제공 정책을 정책 체인의 궁극적인 기반으로 둡니다. 사용자 지정 정책을 사용자 기반으로 사용하는 경우 규칙 업데이트는 시스템 제공 정책을 변경할 수 있으며, 규칙 업데이트를 가져오는 것이 사용자에게 영향을 미칠 수 있습니다. 규칙 업데이트가 구축에 영향을 미치는 경우, 웹 인터페이스는 영향받는 정책을 최신 상태가 아닌 것으로 표시합니다.

맞춤형 네트워크 분석 정책의 이점

기본적으로 하나의 네트워크 분석 정책이 액세스 제어 정책에서 다루는 모든 암호화되지 않은 트래픽을 전처리합니다. 이는 모든 패킷이 나중에 이들을 검토하는 침입 정책(따라서 침입 규칙 집합)에 관계없이 동일한 설정에 따라 디코딩 및 전처리된다는 것을 의미합니다.

초기에는 시스템이 제공한 Balanced Security and Connectivity(균형 잡힌 보안 및 연결성) 네트워크 분석 정책이 기본값입니다. 전처리를 조정하는 간단한 방법은 기본값으로 사용자 네트워크 분석 정책을 생성하고 사용하는 것입니다.

사용 가능한 옵션 조정은 전처리기에 따라 다르지만, 전처리기 및 디코더를 조정할 수 있는 일부 방법은 다음을 포함합니다:

  • 모니터링하는 트래픽에 적용하지 않는 전처리를 비활성화할 수 있습니다. 예를 들어, HTTP Inspect(HTTP 검사) 전처리기는 HTTP 트래픽을 표준화합니다. 네트워크에 Microsoft IIS(Internet Information Services)를 사용하는 웹 서버가 없는 것이 확실하면 IIS 관련 트래픽을 검색하는 전처리기 옵션을 비활성화하여 시스템 처리 오버헤드를 줄일 수 있습니다.


참고


맞춤형 네트워크 분석 정책에서 전처리기를 비활성화했지만 시스템이 나중에 해당 전처리기를 사용하여 활성화된 침입 또는 전처리기 규칙에 대해 패킷을 평가해야 하는 경우, 네트워크 분석 정책 웹 인터페이스에서는 전처리기가 비활성화되어 있더라도 시스템은 전처리기를 자동으로 활성화하여 사용합니다.


  • 적절하다고 판단되는 경우, 포트를 지정하여 특정 전처리기 활동에 집중합니다. 예를 들어 DNS 서버 응답이나 암호화된 SSL 세션을 모니터링하기 위한 추가 포트 또는 텔넷, HTTP 및 RPC 트래픽을 해독하는 포트를 식별할 수 있습니다.

복합적인 배포를 사용하는 고급 사용자의 경우, 다수의 네트워크 분석 정책을 생성할 수 있는데, 각각은 트래픽을 다르게 전처리하기 위해 조정된 것입니다. 그런 다음 이러한 정책을 사용하도록 시스템을 구성하여 서로 다른 보안 영역, 네트워크 또는 VLAN을 사용하는 트래픽의 전처리를 제어할 수 있습니다


참고


사용자 지정 네트워크 분석 정책, 특히 다중 네트워크 분석 정책을 사용하여 전처리를 조작하는 것은 고급 작업입니다. 전처리 및 침입 탐지는 매우 밀접하게 연관되어 있기 때문에, 사용자는 반드시 주의하여 서로 보완하는 단일 패킷을 검토하는 네트워크 분석 및 침입 정책을 허용해야 합니다.


사용자 지정 침입 정책의 이점

처음에 침입 방지를 수행하도록 구성된 새로 만든 액세스 제어 정책에서 기본 작업은 모든 트래픽을 허용하지만, 먼저 시스템이 제공한 Balanced Security and Connectivity(균형 잡힌 보안 및 연결성) 침입 정책으로 이를 검사합니다. 액세스 제어 규칙을 추가하거나 기본 작업을 변경하지 않는 한 모든 트래픽은 해당 침입 정책에 의해 검사됩니다.

침입 방지 배포를 사용자 정의하려면 여러 침입 정책을 만들 수 있는데, 각각은 트래픽을 검사하기 위해 서로 다르게 지정됩니다. 다음으로 어떤 정책이 어떤 트래픽을 검사하는지를 지정하는 규칙으로 액세스 제어 정책을 구성합니다. 액세스 제어 규칙은 간단하거나 복잡할 수 있으며, 보안 영역, 네트워크 또는 지리위치, VLAN, 포트, 애플리케이션, 요청된 URL 및 사용자를 포함하는 여러 기준을 사용하여 트래픽과 일치시키고 검사합니다.

침입 정책의 주요 기능은 어느 침입 및 전처리기 규칙이 활성화되는지와 다음과 같이 이들이 구성되는 방식을 관리하는 것입니다.

  • 각 침입 정책 내에서 사용자의 환경에 적용 가능한 모든 규칙이 활성화되어 있음을 확인해야 하며, 환경에 적용할 수 없는 규칙은 비활성화하여 성능을 향상시켜야 합니다. 인라인 배포에서, 악성 패킷을 삭제하거나 수정할 규칙을 지정할 수 있습니다.

  • Cisco 권장 사항을 사용하여 네트워크에서 탐지된 운영 체제, 서버 및 클라이언트 애플리케이션 프로토콜을 이러한 자산을 보호하기 위해 특별히 작성한 규칙과 연결할 수 있습니다.

  • 필요에 따라 기존 규칙을 수정하고 새 표준 텍스트 규칙을 작성하여 새로운 익스플로잇을 포착하거나 보안 정책을 적용할 수 있습니다.

침입 정책에 만들 수 있는 다른 사용자 지정은 다음을 포함합니다.

  • 중요한 데이터 전처리기는 신용 카드 번호 및 ASCII 문자로 표시된 Social Security numbers(사회 보장 번호)와 같은 중요한 데이터를 탐지합니다. Back Orifice 공격, 몇몇 포트스캔 유형 및 과도한 트래픽으로 네트워크의 무력화를 시도하는 속도 기반 공격 등 특정 위협을 탐지하는 그 밖의 전처리기는 네트워크 분석 정책에서 구성됩니다.

  • 전역 임계값은 침입 규칙과 일치하는 트래픽이 얼마나 많이 지정된 기간 내 특정 주소 또는 주소 범위를 대상으로 하거나 특정 주소 또는 주소 범위로부터 발생하는지에 근거하여 시스템이 이벤트를 생성하도록 합니다. 이를 통해 많은 수의 이벤트로 인해 시스템이 마비되는 것을 방지할 수 있습니다.

  • 침입 이벤트 알림을 차단하고 개별 규칙 또는 전체 침입 정책에 대한 임계값을 설정하여 많은 수의 이벤트로 인해 시스템이 마비되는 것을 방지할 수 있습니다.

  • 웹 인터페이스 내 침입 이벤트다양한 보기 이외에도, syslog 기능에 로깅을 활성화하거나 SNMP 트랩 서버에 이벤트 데이터를 보낼 수 있습니다. 정책별로 침입 이벤트 알림 제한을 지정하고, 외부 로깅 기능에 침입 이벤트 알림을 설정하며, 침입 이벤트에 외부 응답을 구성할 수 있습니다. 이러한 정책 단위 경고 컨피그레이션 외에도 각 규칙이나 규칙 그룹에 대해 침입 이벤트의 이메일 경고를 전역적으로 활성화 또는 비활성화할 수 있습니다. 어떤 침입 정책이 패킷을 처리하는지와 상관없이 이메일 경고 설정이 사용됩니다.

사용자 지정 정책의 한계

전처리 및 침입 탐지는 매우 밀접하게 연관되어 있기 때문에, 사용자는 반드시 주의하여 구성이 서로 보완하는 단일 패킷을 처리하고 검토하는 네트워크 분석 및 침입 정책을 허용할 수 있도록 해야 합니다.

기본적으로, 시스템은 단일 액세스 제어 정책을 사용하여 매니지드 디바이스에서 처리된 모든 트래픽을 전처리하도록 하나의 네트워크 분석 정책을 사용합니다. 다음 다이어그램은 인라인 침입 방지 배포에서 새로 만든 액세스 제어 정책이 트래픽을 초반에 처리하는 방식을 보여줍니다. 전처리 및 침입 방지 단계는 강조 표시됩니다.

그림 2. 새 액세스 제어 정책: 침입 방지
인라인 침입 방지 구축에서 새로 생성된 액세스 제어 규칙이 처음에 트래픽을 어떻게 처리하는지 보여주는 다이어그램. 순서: 보안 인텔리전스, 전처리, 액세스 제어 기본 작업, 네트워크 검색, 마지막으로 침입 검사.

기본 네트워크 분석 정책이 액세스 제어 정책에서 처리된 모든 트래픽의 전처리를 제어하는 방식에 유의하십시오. 초기에는 시스템이 제공한 Balanced Security and Connectivity(균형 잡힌 보안 및 연결성) 네트워크 분석 정책이 기본값입니다.

전처리를 조정하는 간단한 방법은 기본값으로 사용자 네트워크 분석 정책을 생성하고 사용하는 것입니다. 그러나 맞춤형 네트워크 분석 정책에서 전처리기를 비활성화했지만 시스템이 활성화된 침입 또는 전처리기 규칙에 대해 전처리된 패킷을 평가해야 하는 경우, 네트워크 분석 정책 웹 인터페이스에서는 전처리기가 비활성화되어 있더라도 시스템은 전처리기를 자동으로 활성화하여 사용합니다.


참고


전처리기를 비활성화하는 성능 이점을 가져오려면, 반드시 전처리기를 요구하는 규칙을 활성화한 침입 정책이 없음을 확인해야 합니다.


여러 사용자 지정 네트워크 분석 정책을 사용하는 경우 추가 문제가 발생합니다. 복잡한 구축을 수행하는 고급 사용자의 경우, 일치하는 트래픽을 전처리하는 맞춤형 네트워크 분석 정책을 할당하여 특정 보안 영역, 네트워크, VLAN에 맞게 전처리를 조정할 수 있습니다. 이를 수행하려면, 액세스 제어 정책에 사용자 지정 네트워크 분석 규칙을 추가합니다. 각 규칙에 규칙과 일치하는 트래픽의 전처리를 관리하는 연결된 네트워크 정책 분석이 있습니다.



액세스 제어 정책의 고급 설정으로 네트워크 분석 규칙을 구성합니다. 시스템의 다른 규칙 유형과는 달리, 네트워크 분석 규칙은 네트워크 분석 정책을 호출합니다(정책에 포함되기보다는).


시스템은 규칙 번호로 하향식 순서로 구성된 모든 네트워크 분석 규칙에 패킷을 일치시킵니다. 어떤 네트워크 분석 규칙과도 일치하지 않는 트래픽은 기본 네트워크 분석 정책에 의해 전처리됩니다. 이는 사용자에게 트래픽을 전처리하는 데 있어 많은 유연성을 제공하지만, 어느 네트워크 분석 정책이 패킷을 전처리했는지에 상관없이 모든 패킷은 고유의 프로세스에서 순차적으로 액세스 제어 규칙에 일치되므로 침입 정책에 의해 잠재적인 검사에도 일치된다는 점에 유의하십시오. 즉, 특정 네트워크 분석 정책을 통해 패킷을 전처리하면 해당 패킷이 특정 침입 정책으로 검토된다고 보장되지 않습니다. 반드시 신중하게 액세스 제어 정책을 구성하여 특정 패킷을 평가하는 올바른 네트워크 분석 및 침입 정책을 호출하도록 해야 합니다.

다음 다이어그램은 네트워크 분석 정책 (전처리) 선택 단계가 어떻게 해서 침입 방지 (규칙) 단계 전에 또는 별도로 발생하는지를 집중적으로 자세히 보여줍니다. 간소화를 위해 다이어그램은 탐색 및 파일/악성코드 검사 단계를 포함하지 않습니다. 이는 또한 기본 네트워크 분석 및 기본 작업 침입 정책을 강조 표시합니다.

네트워크 분석 정책(전처리) 선택 단계가 어떻게 침입 방지 (규칙) 단계 전에 별도로 발생하는지 보여주는 단순화된 다이어그램

이 시나리오에서 액세스 제어 정책은 두 개의 네트워크 분석 규칙 및 기본 네트워크 분석 정책으로 구성됩니다.

  • Network Analysis Rule A(네트워크 분석 규칙 A)는 Network Analysis Policy A(네트워크 분석 규칙 A)로 일치하는 트래픽을 전처리합니다. 나중에 이 트래픽을 Intrusion Policy A(침입 정책 A)로 검사할 수 있습니다.

  • Network Analysis Rule B(네트워크 분석 규칙 B)는 Network Analysis Policy B(네트워크 분석 규칙 B)로 일치하는 트래픽을 전처리합니다. 나중에 이 트래픽을 Intrusion Policy B(침입 정책 B)로 검사할 수 있습니다.

  • 나머지 모든 트래픽은 기본 네트워크 분석 정책으로 전처리됩니다. 나중에, 이 트래픽을 액세스 제어 정책의 기본 작업과 관련된 침입 정책에 따라 검사할 수 있습니다.

시스템은 트래픽을 전처리한 후, 침입 탐지를 위해 트래픽을 검토할 수 있습니다. 다이어그램은 두 개의 액세스 제어 규칙 및 기본 작업으로 액세스 제어 정책을 보여 줍니다.

  • Access Control Rule A(액세스 제어 규칙 A)가 일치하는 트래픽을 허용합니다. 다음으로 트래픽은 Intrusion Policy A(침입 정책 A)로 검사됩니다.

  • Access Control Rule B(액세스 제어 규칙 B)가 일치하는 트래픽을 허용합니다. 다음으로 트래픽은 Intrusion Policy B(침입 정책 B)로 검사됩니다.

  • 액세스 제어 정책의 기본 작업이 일치하는 트래픽을 허용합니다. 다음으로 트래픽은 기본 작업의 침입 정책에 의해 검사됩니다.

각 패킷의 처리는 네트워크 분석 정책과 침입 정책 쌍에 의해 제어되지만, 시스템이 사용자를 대신하여 쌍을 조정하는 것은 아닙니다. Network Analysis Rule A(네트워크 분석 규칙 A) 및 Access Control Rule A(액세스 제어 규칙 A)가 동일한 트래픽을 처리하지 않도록 액세스 제어 정책을 잘못 설정한 시나리오를 고려하십시오. 예를 들어, 특정 보안 영역에서 트래픽 처리를 제어하기 위해 페어링된 정책을 의도할 수 있지만 두 규칙의 조건에서 서로 다른 영역을 잘못 사용하는 것입니다. 그러면 트래픽이 잘못 전처리될 수 있습니다. 따라서, 네트워크 분석 규칙 및 사용자 지정 정책을 사용하여 전처리를 조작하는 것은 고급 작업입니다.

단일 연결의 경우, 시스템은 액세스 제어 규칙에 앞서 네트워크 분석 정책을 선택하지만, 일부 전처리(특히 애플리케이션 레이어 전처리)는 액세스 제어 규칙 선택 이후에 발생한다는 점에 유의하십시오. 이는 사용자 지정 네트워크 분석 정책에서 전처리를 구성하는 방식에 영향을 주지 않습니다.

네트워크 분석 및 침입 정책에 대한 라이선스 요건

Threat Defense 라이선스

IPS

기본 라이선스

보호

네트워크 분석 및 침입 정책 요구 사항 및 사전 요건

모델 지원

모두

지원되는 도메인

모든

사용자 역할

  • 관리자

  • 침입 관리자

탐색 패널: 네트워크 분석 및 침입 정책

네트워크 분석 정책과 침입 정책은 비슷한 웹 인터페이스를 사용하여 구성을 수정하고 변경 사항을 저장합니다.

탐색 패널은 두 정책 유형 중 하나를 수정할 때 웹 인터페이스의 왼쪽에 나타납니다. 다음 그래픽은 네트워크 분석 정책(왼쪽) 및 침입 정책(오른쪽) 탐색 패널을 표시합니다.


네트워크 분석 정책 편집기와 침입 정책 편집기의 탐색 패널 비교 스크린샷

분계선이 정책 설정으로 연결되는 링크로 탐색 패널을 분리합니다. 정책 설정은 정책 레이어와의 직접 상호 작용이 있는 것(아래) 또는 해당 상호 작용이 없는 것(위)으로 구성할 수 있습니다. 모든 설정 페이지로 이동하려면 탐색 패널에서 해당 이름을 클릭합니다. 탐색 패널에서 항목을 어둡게 하는 것은 현재 설정 페이지를 강조 표시합니다. 예를 들어, Policy Information(정책 정보) 위에 있는 그림에서 페이지는 탐색 패널의 오른쪽에 표시됩니다.

정책 정보

Policy Information(정책 정보) 페이지는 일반적으로 사용되는 설정을 위한 구성 옵션을 제공합니다. 위에 표시된 네트워크 분석 정책 패널의 그림과 같이, 정책이 저장되지 않은 변경 사항을 포함할 때 정책 변경 아이콘이 탐색 패널의 Policy Information(정책 정보) 옆에 나타납니다. 변경 사항을 저장하면 아이콘은 사라집니다.

규칙(침입 정책만)

침입 정책의 Rules(규칙) 페이지에서 공유 개체 규칙, 표준 텍스트 규칙, 전처리 규칙의 규칙 상태 및 기타 설정을 구성할 수 있습니다.

Cisco 권장 사항(침입 정책만 해당)

침입 정책의 Cisco Recommendations 페이지에서는 네트워크에서 탐지되는 운영 체제, 서버 및 클라이언트 애플리케이션 프로토콜을 이러한 자산 보호를 위해 특별히 작성된 침입 규칙과 연결할 수 있습니다. 이렇게 하면 모니터링되는 네트워크의 특정 요구에 맞게 침입 정책을 맞춤화할 수 있습니다.

설정(네트워크 분석 정책) 및 고급 설정(침입 정책)

네트워크 분석 정책에서 Settings(설정) 페이지를 통해 전처리기를 활성화하거나 비활성화하고 전처리기 구성 페이지에 액세스할 수 있습니다. Settings(설정) 링크를 확장하여 정책의 모든 활성화된 전처리기를 위한 개별 구성 페이지로 연결되는 하위 링크를 표시합니다.

침입 정책에서 Advanced Settings(고급 설정) 페이지를 통해 고급 설정 및 해당 고급 설정을 위한 액세스 구성 페이지를 활성화하거나 비활성화할 수 있습니다. Advanced Settings(고급 설정) 링크를 확장하여 정책에서 활성화된 모든 고급 설정을 위한 개별 구성 페이지로 연결되는 하위 링크를 표시합니다.

정책 레이어

Policy Layers(정책 레이어) 페이지는 네트워크 분석 또는 침입 정책을 구성하는 레이어에 대한 요약을 표시합니다. Policy Layers(정책 레이어) 페이지를 확장하여 정책의 레이어를 위한 요약 페이지로 연결되는 하위 링크를 표시합니다. 각 레이어 하위 링크를 확장하면 레이어에서 활성화된 모든 규칙, 전처리기 또는 고급 설정에 대한 구성 페이지로 연결되는 하위 링크를 표시합니다.

충돌 및 변경: 네트워크 분석 및 침입 정책

네트워크 분석 또는 침입 정책을 편집하면 탐색 패널의 Policy Information(정책 정보) 옆에 정책 변경 아이콘이 나타나 저장되지 않은 변경 사항이 정책에 포함되어 있음을 표시합니다. 시스템에서 변경 내용을 인식하기 전에 변경 내용을 저장(또는 커밋)해야 합니다.


참고


저장한 후에는 변경 사항을 적용하기 위해 네트워크 분석 또는 침입 정책을 배포해야 합니다. 저장하지 않고 정책을 배포했다면 가장 최근에 저장된 구성을 사용하십시오.


수정 문제 해결

네트워크 분석 정책 페이지(Policies(정책) > Access Control(액세스 제어)로 이동한 다음 Network Analysis Policy(네트워크 분석 정책) 또는 Policies(정책) > Access Control(액세스 제어) > Intrusion(침입)으로 이동한 다음 Network Analysis Policy(네트워크 분석 정책))와 침입 정책 페이지(Policies(정책) > Access Control(액세스 제어) > Intrusion(침입))는 각 정책이 저장되지 않은 변경 사항을 가지고 있는지 여부와 현재 정책을 편집하고 있는 사람에 대한 정보를 표시합니다. Cisco는 한 번에 한 명만 정책을 편집할 것을 권장합니다. 동시 편집을 수행하는 경우 그 결과는 다음과 같습니다.

  • 네트워크 분석 또는 침입 정책을 동시에 편집하거나 다른 사용자가 동일한 정책을 편집하는 경우 다른 사용자가 변경 내용을 정책에 저장하면 다른 사용자의 변경 내용을 덮어쓸 것이라는 주의를 받습니다.

  • 여러 웹 인터페이스 인스턴스를 통해 동일한 사용자와 동일한 네트워크 분석 또는 침입 정책을 편집하는 경우 한 인스턴스에 대한 변경 내용을 저장하면 다른 인스턴스에 대한 변경 내용을 저장할 수 없습니다.

구성 종속성 해결

특정 분석을 수행하기 위해, 많은 전처리기와 침입 규칙은 트래픽이 특정 방법으로 먼저 디코딩되거나 전처리되도록, 또는 다른 종속성을 갖도록 요청합니다. 네트워크 분석 또는 침입 정책을 저장하면, 시스템은 자동으로 필수 설정을 활성화하거나 다음과 같이 비활성화된 설정은 트래픽에 영향을 미치지 못함을 경고합니다.

  • SNMP 알림 규칙을 추가했지만 SNMP 경고를 구성하지 않은 경우 침입 정책을 저장할 수 없습니다. SNMP 경고를 설정하거나 규칙 경고를 비활성화한 후 다시 저장해야 합니다.

  • 침입 정책이 활성화된 중요한 데이터를 포함하지만 중요한 데이터 전처리를 활성화하지 않은 경우 침입 정책을 저장할 수 없습니다. 시스템이 전처리를 활성화하고 정책을 저장할 수 있도록 하거나, 규칙을 비활성화하고 다시 저장할 수 있도록 해야 합니다.

  • 네트워크 분석 정책에 필요한 전처리기를 비활성화한 경우에도, 여전히 정책을 저장할 수 있습니다. 그러나 시스템은 웹 인터페이스에서 전처리기가 비활성화된 상태로 유지되더라도 현재 설정으로 비활성화된 전처리기를 자동으로 사용합니다.

  • 네트워크 분석 정책에서 인라인 모드를 비활성화하지만 Inline Normalization(인라인 표준화) 전처리기를 활성화한 경우, 여전히 정책을 저장할 수 있습니다. 그러나 시스템은 표준화 설정이 무시될 것임을 경고합니다. 인라인 모드를 비활성화해도 전처리기가 트래픽을 수정하거나 차단할 수 있는 다른 설정을 시스템이 무시하는 결과를 야기하며, 여기에는 체크섬 유효성 검증 및 속도 기반 공격 방지가 포함됩니다.

정책 변경 커밋, 삭제 및 캐싱

네트워크 분석 또는 침입 정책을 수정할 때 변경 사항을 저장하지 않고 정책 편집기를 종료할 경우, 시스템은 해당 변경 사항을 캐시합니다. 변경 사항은 시스템에서 로그아웃하거나 시스템 충돌이 발생할 때도 캐시됩니다. 시스템 캐시는 사용자 당 네트워크 분석 하나와 침입 정책 하나에 대한 저장되지 않은 변경 사항을 저장할 수 있습니다. 동일한 유형의 다른 정책을 수정하려면 먼저 변경 사항을 커밋하거나 삭제해야 합니다. 시스템은 변경 내용을 처음 정책에 저장하지 않고 다른 정책을 수정할 때 또는 침입 규칙 업데이트를 가져올 때 캐시된 변경 사항을 삭제합니다.

네트워크 분석 또는 침입 정책 편집기의 정책 정보 페이지에서 정책 변경을 커밋하거나 취소할 수 있습니다.

Secure Firewall Management Center 컨피그레이션을 제어할 수 있습니다.

  • 네트워크 분석 또는 침입 정책 변경 사항을 커밋할 때 코멘트를 표시할지 여부를 묻거나 필수인 경우

  • 여부 변경 및 메모는 감사 로그 기록

네트워크 분석 또는 침입 정책 종료

프로시저


네트워크 분석 또는 침입 정책 고급 편집기를 종료하려면 다음 중에서 선택할 수 있습니다.

  • 캐시 - 정책을 종료하고 변경 사항을 캐시하려면 아무 메뉴 또는 다른 페이지 경로를 선택합니다. 종료 시 메시지가 표시되면 Leave page(페이지에서 나가기)를 클릭하거나 고급 편집기에 남으려면 Stay on page(페이지에 남기)를 클릭합니다.
  • 취소 - 저장되지 않은 변경 사항을 취소하려면 Policy Information(정책 정보 페이지)에서 Discard Changes(변경 취소)를 클릭한 다음 OK(확인)를 클릭합니다.
  • 저장 - 정책 변경 사항을 저장하려면 Policy Information(정책 정보) 페이지에서 Commit Changes(변경 적용)를 클릭합니다. 메시지가 표시되면 코멘트를 입력하고 OK(확인)를 클릭합니다.