Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

네트워크 계층

JSA는 네트워크 계층 개체 및 그룹을 사용하여 네트워크 활동을 보고 네트워크에서 그룹 또는 서비스를 모니터링합니다.

네트워크 계층을 개발할 때 네트워크 활동을 보는 가장 효과적인 방법을 고려합니다. 네트워크 계층이 네트워크의 물리적 구축과 유사할 필요는 없습니다. JSA 는 IP 주소 범위로 정의할 수 있는 모든 네트워크 계층을 지원합니다. 지리적 또는 사업부를 포함한 다양한 변수를 기반으로 네트워크를 구축할 수 있습니다.

네트워크 계층 정의 지침

JSA에서 네트워크 계층을 구축하는 것은 구축 구성의 필수적인 첫 단계입니다. 잘 구성된 네트워크 계층이 없으면 JSA는 흐름 방향을 결정하거나, 신뢰할 수 있는 자산 데이터베이스를 구축하거나, 규칙의 유용한 구성 요소를 활용할 수 없습니다.

네트워크 계층을 정의할 때 다음 지침을 고려하십시오.

  • 역할 또는 유사한 트래픽 패턴별로 시스템과 네트워크를 구성합니다.

    예를 들어 메일 서버, 부서별 사용자, 실습 또는 개발 팀에 대한 그룹을 포함하도록 네트워크를 구성할 수 있습니다. 이 조직을 사용하면 네트워크 동작을 차별화하고 행동 기반 네트워크 관리 보안 정책을 시행할 수 있습니다. 그러나 고유한 동작이 있는 서버를 네트워크의 다른 서버와 그룹화하지 마십시오. 고유한 서버를 단독으로 배치하면 JSA에서 서버의 가시성이 향상되고 서버에 대한 특정 보안 정책을 쉽게 생성할 수 있습니다.

  • 메일 서버와 같이 트래픽이 많은 서버를 그룹 맨 위에 배치합니다. 이 계층은 불일치가 발생할 때 시각적 표현을 제공합니다.

  • 루트 수준에 너무 많은 요소가 있지 않도록 합니다.

    루트 수준 요소 수가 많으면 네트워크 계층 구조 페이지를 로드하는 데 시간이 오래 걸릴 수 있습니다.

  • 15개 이상의 개체가 있는 네트워크 그룹을 구성하지 마십시오.

    큰 네트워크 그룹으로 인해 각 개체에 대한 세부 정보를 볼 때 어려움이 발생할 수 있습니다. 배포에서 600,000개 이상의 흐름을 처리하는 경우 여러 최상위 그룹을 만드는 것이 좋습니다.

  • 여러 CIDR(Classless Inter-Domain Routing) 또는 서브넷을 단일 네트워크 그룹으로 결합하여 디스크 공간을 절약합니다.

    예를 들어, 키 서버를 개별 객체로 추가하고 다른 주요 관련 서버를 다중 CIDR 객체로 그룹화합니다.

    표 1: 단일 네트워크 그룹에 있는 여러 CIDR 및 서브넷의 예

    그룹

    묘사

    IP 주소

    1

    마케팅

    10.10.5.0/24

    2

    영업

    10.10.8.0/21

    3

    데이터베이스 클러스터

    10.10.1.3/32

    10.10.1.4/32

    10.10.1.5/32

  • 새 네트워크를 정의할 때 적절한 정책 및 동작 모니터가 적용되도록 전체를 포괄하는 그룹을 정의합니다.

    다음 예에서 HR 부서 네트워크(예: 10.10.50.0/24)를 Cleveland 그룹에 추가하면 트래픽이 Cleveland 기반으로 표시되고 Cleveland 그룹에 적용하는 모든 규칙이 기본적으로 적용됩니다.

    표 2: 모든 것을 포괄하는 그룹의 예

    그룹

    하위

    IP 주소

    클리블랜드

    클리블랜드 기타

    10.10.0.0/16

    클리블랜드

    클리블랜드 영업

    10.10.8.0/21

    클리블랜드

    클리블랜드 마케팅

    10.10.1.0/24

  • 도메인 사용 환경에서는 각 IP 주소가 적절한 도메인에 할당되어 있는지 확인합니다.

허용되는 CIDR 값

JSA는 특정 CIDR 값을 수용합니다.

다음 표에는 JSA 가 수락하는 CIDR 값 목록이 나와 있습니다.

표 3: 허용 가능한 CIDR 값

CIDR 길이

마스크

네트워크 개수

호스트

/1

128.0.0.0

128암페어

2,147,483,392

/2

192.0.0.0

64 암페어

1,073,741,696

/3

224.0.0.0

32 암페어

536,870,848

/4

240.0.0.0

16 암페어

268,435,424

/5

248.0.0.0

8 암페어

134,217,712

/6

252.0.0.0

4 암페어

67,108,856

/7

254.0.0.0

2 암페어

33,554,428

/8

255.0.0.0

1 암페어

16,777,214

/9

255.128.0.0

128 나

8,388,352

/10

255.192.0.0

재질 보기 64 B 조

4,194,176

/11

255.224.0.0

32 나

2,097,088

/12

255.240.0.0

재질 보기 16 B

1,048,544

/13

255.248.0.0

8 나

524,272

/14

255.252.0.0

4 비

262,136

/15

255.254.0.0

2 비

131,068

/16

255.255.0.0

1 비

65,534

/17

255.255.128.0

128 C

32,512

/18

255.255.192.0

64 씨

16,256

/19

255.255.224.0

32 씨

8,128

/20

255.255.240.0

16 씨

4,064

/21

255.255.248.0

8 씨

2,032

/22

255.255.252.0

4 씨

1,016

/23

255.255.254.0

2 씨

508

/24

255.255.255.0

1 씨

254

/25

255.255.255.128

서브넷 2개

124

/26

255.255.255.192

서브넷 4개

62

/27

255.255.255.224

서브넷 8개

30

/28

255.255.255.240

서브넷 16개

14

/29

255.255.255.248

서브넷 32개

6

/30

255.255.255.252

서브넷 64개

2

/31

255.255.255.254

없음

없음

/32

255.255.255.255

1/256 씨

1

예를 들어, 접두사 경계에 네트워크의 자연(또는 클래스풀) 마스크보다 적은 비트가 포함된 경우 네트워크를 슈퍼넷이라고 합니다. 접두사 경계에 네트워크의 자연 마스크보다 더 많은 비트가 포함된 경우 네트워크를 서브넷이라고 합니다.

  • 209.60.128.0은 마스크가 /24인 클래스 C 네트워크 주소입니다.

  • 209.60.128.0 /22는 다음을 산출하는 슈퍼넷입니다.

    • 209.60.128.0 /24

    • 209.60.129.0 /24

    • 209.60.130.0 /24

    • 209.60.131.0 /24

  • 192.0.0.0 /25

    서브넷 호스트 범위

    0 192.0.0.1-192.0.0.126

    1 192.0.0.129-192.0.0.254

  • 192.0.0.0 /26

    서브넷 호스트 범위

    0 192.0.0.1 - 192.0.0.62

    1 192.0.0.65 - 192.0.0.126

    2 192.0.0.129 - 192.0.0.190

    3 192.0.0.193 - 192.0.0.254

  • 192.0.0.0 /27

    서브넷 호스트 범위

    0 192.0.0.1 - 192.0.0.30

    1 192.0.0.33 - 192.0.0.62

    2 192.0.0.65 - 192.0.0.94

    3 192.0.0.97 - 192.0.0.126

    4 192.0.0.129 - 192.0.0.158

    5 192.0.0.161 - 192.0.0.190

    6 192.0.0.193 - 192.0.0.222

    7 192.0.0.225 - 192.0.0.254

네트워크 계층 정의

사전 정의된 네트워크 그룹을 포함하는 기본 네트워크 계층이 JSA에 포함되어 있습니다. 사전 정의된 네트워크 계층 개체를 편집하거나 새 네트워크 그룹 또는 개체를 생성할 수 있습니다.

네트워크 객체는 CIDR(Classless Inter-Domain Routing) 주소의 컨테이너입니다. 네트워크 계층의 CIDR 범위로 정의된 모든 IP 주소는 로컬 주소로 간주됩니다. 네트워크 계층의 CIDR 범위에 정의되지 않은 모든 IP 주소는 원격 주소에 있는 것으로 간주됩니다. CIDR은 하나의 네트워크 개체에만 속할 수 있지만 CIDR 범위의 하위 집합은 다른 네트워크 개체에 속할 수 있습니다. 네트워크 트래픽이 가장 정확한 CIDR과 일치합니다. 네트워크 개체에는 여러 CIDR 범위가 할당될 수 있습니다.

JSA의 기본 빌딩 블록 및 규칙 중 일부는 기본 네트워크 계층 객체를 사용합니다. 기본 네트워크 계층 객체를 변경하기 전에 규칙 및 빌딩 블록을 검색하여 객체가 어떻게 사용되는지, 그리고 객체를 수정한 후 조정이 필요할 수 있는 규칙 및 빌딩 블록을 파악해야 합니다. 허위 공격을 방지하기 위해 네트워크 계층 구조, 규칙 및 빌딩 블록을 최신 상태로 유지하는 것이 중요합니다.

  1. 탐색 메뉴()에서 Admin(관리)을 클릭합니다.

  2. System Configuration(시스템 컨피그레이션) 섹션에서 Network Hierarchy(네트워크 계층)를 클릭합니다.

  3. 네트워크 보기 창의 메뉴 트리에서 작업할 네트워크 영역을 선택합니다.

  4. 네트워크 개체를 추가하려면 Add(추가 )를 클릭하고 다음 필드를 완료합니다.

    표 4: 네트워크 개체 추가

    선택

    묘사

    이름

    네트워크 개체의 고유한 이름입니다.

    메모:

    네트워크 개체 이름에 마침표를 사용하여 네트워크 개체 계층을 정의할 수 있습니다. 예를 들어, 객체 이름 D.E.F를 입력하면 E를 D의 하위 노드로, F를 E의 하위 노드로 하는 3계층 계층이 생성됩니다.

    그룹

    네트워크 개체를 추가할 네트워크 그룹입니다. 그룹 목록에서 선택하거나 새 그룹 추가를 클릭합니다.

    메모:

    네트워크 그룹을 추가할 때 네트워크 그룹 이름에 마침표를 사용하여 네트워크 그룹 계층을 정의할 수 있습니다. 예를 들어, 그룹 이름 A.B.C를 입력하면 B를 A의 하위 노드로, C를 B의 하위 노드로 하는 3계층 계층이 생성됩니다.

    IP/CIDR

    네트워크 개체의 IP 주소 또는 CIDR 범위를 입력하고 Add(추가)를 클릭합니다. 여러 IP 주소 및 CIDR 범위를 추가할 수 있습니다.

    묘사

    네트워크 개체에 대한 설명입니다.

    국가/지역

    네트워크 개체가 위치한 국가 또는 지역입니다.

    경도 및 위도

    네트워크 개체의 지리적 위치(경도 및 위도)입니다. 이러한 필드는 상호 종속적입니다.

  5. 만들기를 클릭합니다.

  6. 이 단계를 반복하여 네트워크 개체를 더 추가하거나, 편집 또는 삭제 를 클릭하여 기존 네트워크 개체로 작업합니다.

관련 설명서