Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

규칙 추가

현재 위치: 보안 정책 및 개체 > 보안 정책.

참고:

보안 정책 규칙에서 UTM 정책 및 AppQoS 프로필을 참조하려면 필요한 경우 보안 정책 규칙을 생성하거나 편집하기 전에 생성할 수 있습니다. UTM 정책을 생성하려면 UTM > 보안 서비스 > UTM 정책으로 이동하고, AppQoS 프로필을 생성하려면 네트워크 > 애플리케이션 QoS로 이동합니다.

규칙을 추가하려면:

  1. 보안 정책 페이지의 오른쪽 상단에 있는 추가 아이콘(+)을 클릭합니다.

    인라인 편집 가능 필드가 나타납니다.

  2. 표 1에 제공된 지침에 따라 구성을 완료합니다.
  3. 구성이 완료되면 행의 오른쪽에 있는 체크 아이콘을 클릭합니다.
    참고:

    새 규칙을 만들 때 인라인 눈금 및 취소 아이콘을 사용할 수 없는 경우 가로 막대를 뒤로 스크롤합니다.

  4. Save(저장)를 클릭하여 변경 사항을 저장하거나 Discard(취소)를 클릭하여 변경 사항을 취소합니다.
    참고:

    J-Web UI에서 추가 작업을 수행하기 전에 3 단계와 4 단계를 수행해야 합니다.

표 1: 보안 정책 페이지의 필드

필드

작업

규칙 이름

새 규칙 또는 정책의 이름을 입력합니다.

규칙 설명

보안 정책에 대한 설명을 입력합니다.

글로벌 정책

이 옵션을 사용하면 정의된 정책이 글로벌 정책이며 영역이 필요하지 않도록 지정할 수 있습니다.

소스 영역

소스를 추가하려면:

  1. +를 클릭합니다.

    소스 선택 페이지가 나타납니다.

  2. 다음 세부 정보를 입력합니다.

    • Zone(영역) - 목록에서 규칙을 연결할 소스 영역을 선택합니다.

    • Addresses(주소) - 임의(any) 또는 특정(specific)을 선택합니다.

      특정 주소를 선택하려면 사용 가능 열에서 주소를 선택한 다음 오른쪽 화살표를 클릭하여 선택됨 열로 이동합니다. 선택한 주소 제외 를 선택하여 선택한 주소를 목록에서 제외할 수 있습니다.

      새 주소를 만들려면 +를 클릭합니다. Create Address(주소 생성) 페이지가 나타납니다. 필드에 대한 자세한 정보는 표 2의 내용을 참조하십시오.

    • Source identity(소스 ID) - Available(사용 가능) 열에서 사용자 ID를 선택한 다음 오른쪽 화살표를 클릭하여 Selected(선택됨) 열로 이동합니다.

      새 소스 ID를 만들려면 +를 클릭합니다. [Create Source Identity] 페이지에 새 사용자 이름 또는 ID를 입력하고 [OK]를 클릭합니다.

대상 영역

목적지 추가하기:

  1. +를 클릭합니다.

    대상 선택 페이지가 나타납니다.

  2. 다음 세부 정보를 입력합니다.

    • Zone(영역) - 목록에서 규칙을 연결할 대상 영역을 선택합니다.

    • Addresses(주소) - 임의(any) 또는 특정(specific)을 선택합니다.

      특정 주소를 선택하려면 사용 가능 열에서 주소를 선택한 다음 오른쪽 화살표를 클릭하여 선택됨 열로 이동합니다. 선택한 주소 제외 를 선택하여 선택한 주소를 목록에서 제외할 수 있습니다.

      새 주소를 만들려면 +를 클릭합니다. 필드에 대한 자세한 정보는 표 2의 내용을 참조하십시오.

      참고:

    • 동적 응용 프로그램(Dynamic applications) - 모두(Any), 특정(Specific) 또는 없음( None)을 선택합니다.

      참고:

      동적 응용 프로그램 옵션은 테넌트에 대해 지원되지 않습니다.

      특정 응용 프로그램을 선택하려면 사용 가능 열에서 응용 프로그램을 선택한 다음 오른쪽 화살표를 클릭하여 선택됨 열로 이동합니다.

      참고:

      모두 선택 확인란은 특정 동적 응용 프로그램을 검색할 때만 사용할 수 있습니다.

      새 응용 프로그램을 만들려면 +를 클릭합니다. 응용 프로그램 서명 만들기 페이지가 나타납니다. 필드에 대한 자세한 내용은 응용 프로그램 서명 추가를 참조하십시오.

      참고:

      논리적 시스템의 경우, 새로운 동적 애플리케이션을 인라인으로 생성할 수 없습니다.

    • Services(서비스) - Any(모두), Specific( 특정) 또는 None(없음)을 선택합니다.

      특정 서비스를 선택하려면 사용 가능 열에서 서비스를 선택한 다음 오른쪽 화살표를 클릭하여 선택됨 열로 이동합니다.

      새 서비스를 만들려면 +를 클릭합니다. 서비스 생성 페이지가 나타납니다. 필드에 대한 자세한 정보는 표 3의 내용을 참조하십시오.

    • URL category(URL 범주) - any( 임의), Specific(특정) 또는 None(없음 )을 선택하여 웹 필터링 범주의 기준과 일치시킵니다.

      특정 URL 범주를 선택하려면 사용 가능 열에서 URL 범주를 선택한 다음 오른쪽 화살표를 클릭하여 선택됨 열로 이동합니다.

      참고:

      이 옵션은 논리적 시스템 및 테넌트에는 사용할 수 없습니다.

작업

옵션을 선택하여 트래픽이 기준과 일치할 때 수행할 작업을 지정합니다.

  • Permit(허용) - 패킷이 방화벽을 통과하도록 허용합니다.

  • Deny(거부) - 패킷을 차단 및 삭제하지만 소스에 알림을 다시 보내지는 않습니다.

  • 거부 - 패킷을 차단 및 삭제하고 소스 호스트에 알림을 보냅니다.

고급 보안

+를 클릭합니다. 고급 보안 선택 페이지가 나타납니다.

참고:
  • 작업이 거부인 경우:

    • SSL 프록시 및 리디렉션 프로파일 옵션만 구성할 수 있습니다.

    • 동적 애플리케이션이 None인 경우 SSL Proxy 옵션만 구성할 수 있습니다.

    • 고급 보안 옵션은 논리적 시스템 및 테넌트에 대해 지원되지 않습니다.

  • 작업이 허용인 경우:

    • 논리적 시스템의 경우 IPS, IPS 정책, UTM, 위협 방지 정책, ICAP 리디렉션 프로파일 및 AppQOS 옵션만 지원됩니다.

    • 테넌트 시스템의 경우 위협 방지 정책 및 AppQOS만 지원됩니다.

Ips

목록에서 끄기 또는 켜기 를 선택합니다. On(켜기)을 선택하면 IPS Policy(IPS 정책) 필드가 비활성화됩니다.

참고:

규칙에 대해 IPS 정책이 이미 구성된 경우 IPS에 대해 켜기 를 선택하지 않아야 합니다. IPS를 On으로 선택하면 커밋이 실패합니다.

IPS 정책

목록에서 IPS 정책을 선택합니다.

참고:

IPS가 켜짐 이고 규칙에 대해 IPS 정책이 아직 구성되지 않은 경우 목록에서 IPS 정책을 선택하지 않았는지 확인합니다. 목록에서 IPS 정책을 선택하면 커밋이 실패합니다.

Utm

목록에서 이 규칙과 연결할 UTM 정책을 선택합니다. 이 목록에는 사용 가능한 모든 UTM 정책이 표시됩니다.

새 UTM 정책을 생성하려면 새로 추가를 클릭합니다. UTM 정책 생성 페이지가 나타납니다. 새 UTM 정책 생성에 대한 자세한 내용은 UTM 정책 추가를 참조하십시오.

SSL 프록시

목록에서 이 규칙과 연결할 SSL 프록시 정책을 선택합니다.

IPsec VPN

목록에서 IPSec VPN 터널을 선택합니다.

참고:

대상에서 동적 애플리케이션을 선택하면 IPsec VPN 옵션이 지원되지 않습니다.

페어 정책 이름

반대 방향으로 동일한 IPsec VPN을 사용하는 정책 이름을 입력하여 쌍 정책을 생성합니다.

참고:

대상에서 Dynamic applications(동적 애플리케이션)를 선택하는 경우, Pair Policy Name(페어 정책 이름) 옵션이 지원되지 않습니다.

위협 방지 정책

목록에서 구성된 위협 방지 정책을 선택합니다.

ICAP 리디렉션 프로필

목록에서 구성된 ICAP 리디렉션 프로필 이름을 선택합니다.

애플리케이션 QoS 프로파일

목록에서 구성된 AppQoS 프로필을 선택합니다.

새 AppQoS 프로필을 만들려면 새로 추가를 클릭합니다. AppQoS 프로파일 추가 페이지가 나타납니다. 새 AppQoS 프로필을 만드는 방법에 대한 자세한 내용은 애플리케이션 QoS 프로필 추가를 참조하세요.

규칙 옵션

Rule Options(규칙 옵션)를 클릭합니다. SELECT RULE OPTIONS 페이지가 나타납니다.

로깅

세션 시작

이 옵션을 활성화하면 세션이 생성될 때 이벤트를 기록할 수 있습니다.

세션 닫기

이 옵션을 활성화하면 세션이 닫힐 때 이벤트를 기록할 수 있습니다.

횟수

이 정책으로 방화벽을 통과하는 패킷, 바이트 및 세션 수에 대한 통계를 수집하려면 이 옵션을 활성화합니다.

통계 개수를 지정합니다. 트래픽이 지정된 패킷 및 바이트 임계값을 초과할 때마다 알람이 트리거됩니다.

참고:

Enable Count(개수 활성화)가 활성화되지 않은 경우 Alarm threshold(경보 임계값) 필드는 비활성화됩니다.

인증
참고:
  • 대상에서 Dynamic applications(동적 애플리케이션)를 선택하면 Authentication(인증) 옵션이 지원되지 않습니다.

  • 이 옵션은 논리적 시스템 및 테넌트 시스템에는 지원되지 않습니다.

JIMS에 인증 항목 푸시

인증 성공 상태인 방화벽 인증에서 JIMS(Juniper Identity Management Server)로 인증 항목을 푸시하려면 이 옵션을 활성화합니다. 이렇게 하면 시리즈 방화벽이 JIMS를 쿼리하여 IP/사용자 매핑 및 디바이스 정보를 얻을 수 있습니다.

이것은 필수 옵션이 아닙니다. 로컬 Active Directory에 하나 이상의 도메인이 구성된 경우 선택하거나 ID 관리를 구성할 수 있습니다.

형식

목록에서 방화벽 인증 유형을 선택합니다. 사용 가능한 옵션은 없음, 통과, 사용자 방화벽 및 웹 인증입니다.

액세스 프로필

목록에서 액세스 프로필을 선택합니다.

참고:

인증 유형을 웹 인증으로 선택한 경우에는 이 옵션이 지원되지 않습니다.

클라이언트 이름

클라이언트 사용자 이름 또는 클라이언트 사용자 그룹 이름을 입력합니다.

참고:

인증 유형을 User-firewall(사용자 방화벽)로 선택한 경우에는 이 옵션이 지원되지 않습니다.

도메인

목록에서 클라이언트 이름에 있어야 하는 도메인 이름을 선택합니다.

참고:

이 옵션은 인증 유형을 사용자 방화벽으로 선택한 경우에만 지원됩니다.

웹 리디렉션(http)

이 옵션을 활성화하면 사용자 인증을 위해 웹 서버에 다시 연결하기 위해 클라이언트 시스템에 리디렉션 HTTP 응답을 전송하여 HTTP 요청을 디바이스의 내부 웹 서버로 리디렉션할 수 있습니다.

참고:

인증 유형을 웹 인증으로 선택한 경우에는 이 옵션이 지원되지 않습니다.

캡티브 포털(captive portal)

클라이언트 HTTP 또는 HTTPS 요청을 디바이스의 내부 HTTPS 웹 서버로 리디렉션하려면 이 옵션을 활성화합니다. SSL 종료 프로파일이 구성되면 HTTPS 클라이언트 요청이 리디렉션됩니다.

참고:

인증 유형을 웹 인증으로 선택한 경우에는 이 옵션이 지원되지 않습니다.

인터페이스

클라이언트 HTTP 또는 HTTPS 요청이 리디렉션되는 웹 서버의 인터페이스를 선택합니다.

참고:

정책이 생성되면 편집할 수 없습니다. 인터페이스를 편집하려면 네트워크 > 연결 > 인터페이스로 이동합니다.

IPv4 주소

클라이언트 HTTP 또는 HTTPS 요청이 리디렉션되는 웹 서버의 IPv4 주소를 입력합니다.

참고:

정책이 생성되면 편집할 수 없습니다. 인터페이스를 편집하려면 네트워크 > 연결 > 인터페이스로 이동합니다.

SSL 종료 프로파일

SSL 종료 연결 설정이 포함된 목록에서 SSL 종료 프로파일을 선택합니다. SSL 종료는 SRX 시리즈 디바이스가 SSL 프록시 서버 역할을 하고 클라이언트에서 SSL 세션을 종료하는 프로세스입니다.

새 SSL 종료 프로파일을 추가하려면 다음을 수행합니다.

  1. Add(추가)를 클릭합니다.

    Create SSL Termination Profile(SSL 종료 프로파일 생성) 페이지가 나타납니다.

  2. 다음 세부 정보를 입력합니다.

    • Name(이름) - SSL 종료 프로파일 이름을 입력합니다. 최대 63자.

    • 서버 인증서 - 서버 ID를 인증하는 데 사용되는 서버 인증서를 목록에서 선택합니다.

      인증서를 추가하려면 추가를 클릭합니다. 장치 인증서 추가에 대한 자세한 내용은 장치 인증서 추가를 참조하십시오.

      인증서를 가져오려면 Import(가져오기)를 클릭합니다. 장치 인증서 가져오기에 대한 자세한 내용은 장치 인증서 가져오기를 참조하십시오.

인증 전용 브라우저

브라우저를 사용하여 액세스를 요청하는 인증되지 않은 사용자에게 캡티브 포털을 제공할 수 있도록 브라우저가 아닌 HTTP 트래픽을 삭제하려면 이 옵션을 활성화합니다.

참고:

인증 유형을 웹 인증으로 선택한 경우에는 이 옵션이 지원되지 않습니다.

사용자 에이전트

사용자의 브라우저 트래픽이 HTTP/HTTPS 트래픽인지 확인하는 데 사용되는 user-agent 값을 입력합니다.

참고:

인증 유형을 웹 인증으로 선택한 경우에는 이 옵션이 지원되지 않습니다.

고급 설정

대상 주소 변환

목록에서 대상 주소 변환에 대해 수행할 작업을 선택합니다. 사용 가능한 옵션은 None, Drop Translated 및 Drop Untranslated입니다.

리디렉션 옵션

목록에서 리디렉션 작업을 선택합니다. 사용 가능한 옵션은 없음, 리디렉션 Wx 및 역방향 리디렉션 Wx입니다.

참고:

이 옵션은 SRX5000 디바이스 제품군에 대해 지원되지 않습니다.

TCP 세션 옵션

시퀀스 번호 확인

정책 규칙 수준에서 상태 저장 검사 중에 TCP 세그먼트의 시퀀스 번호 확인을 사용하거나 사용하지 않도록 설정합니다. 기본적으로 검사는 전역 수준에서 수행됩니다. 커밋 실패를 방지하려면 TCP 세션플로우 > 글로벌 옵션에서 시퀀스 번호 확인을 끕니다>.

SYN 플래그 확인

정책 규칙 수준에서 세션을 생성하기 전에 TCP SYN 비트 검사를 활성화하거나 비활성화합니다. 기본적으로 검사는 전역 수준에서 수행됩니다. 커밋 실패를 방지하려면 TCP 세션플로우 > 글로벌 옵션에서 SYN 플래그 체크> 끕니다.

일정

일정

스케줄을 클릭하고 목록에서 구성된 스케줄 중 하나를 선택합니다.

새 일정을 추가하려면 새 일정 추가를 클릭합니다. Add New Schedule 페이지가 나타납니다. 새 스케줄 작성에 대한 자세한 정보는 표 4의 내용을 참조하십시오.

표 2: 주소 생성 페이지의 필드

필드

작업

이름

주소의 이름을 입력합니다. 이름은 영숫자로 시작해야 하며 콜론, 마침표, 대시 및 밑줄을 포함할 수 있는 고유한 문자열이어야 합니다. 공백이 허용되지 않습니다. 최대 63자.

IP 유형

IPv4 또는 IPv6을 선택합니다.

IPv4 (영어)

IPv4 주소

유효한 IPv4 주소를 입력합니다.

서브넷

IPv4 주소의 서브넷 마스크를 입력합니다.

IPv6 (영어)

IPv6 주소

유효한 IPv6 주소를 입력합니다.

서브넷 접두사

IPv6 주소에 대한 서브넷 접두사를 입력합니다.

표 3: 서비스 생성 페이지의 필드

필드

작업

전역 설정

이름

응용 프로그램의 고유한 이름을 입력합니다.

설명

응용 프로그램에 대한 설명을 입력합니다.

애플리케이션 프로토콜

애플리케이션 프로토콜 목록에서 옵션을 선택합니다.

IP 프로토콜 일치

목록에서 IP 프로토콜과 일치하는 옵션을 선택합니다.

소스 포트

소스 포트 목록에서 옵션을 선택합니다.

목적지 포트

대상 포트 목록에서 옵션을 선택합니다.

ICMP 유형

ICMP 메시지 유형 목록에서 옵션을 선택합니다.

ICMP 코드

ICMP 메시지 코드 목록에서 옵션을 선택합니다.

RPC 프로그램 번호

RPC 프로그램 번호 값을 입력합니다.

값의 형식은 W 또는 X-Y여야 합니다. 여기서 W, X 및 Y는 0에서 65535 사이의 정수입니다.

비활성 시간 초과

응용 프로그램별 비활성 시간 제한에 대한 목록에서 옵션을 선택합니다.

Uuid

DCE RPC 개체에 대한 값을 입력합니다.

참고:

값의 형식은 12345678-1234-1234-1234-123456789012여야 합니다.

사용자 지정 응용 프로그램 그룹

목록에서 응용 프로그램 세트 이름을 선택합니다.

용어

+를 클릭합니다. 용어 생성 페이지가 나타납니다.

이름

용어 이름을 입력합니다.

Alg

ALG 목록에서 옵션을 선택합니다.

IP 프로토콜 일치

목록에서 IP 프로토콜과 일치하는 옵션을 선택합니다.

소스 포트

소스 포트 목록에서 옵션을 선택합니다.

목적지 포트

대상 포트 목록에서 옵션을 선택합니다.

ICMP 유형

ICMP 메시지 유형 목록에서 옵션을 선택합니다.

ICMP 코드

ICMP 메시지 코드 목록에서 옵션을 선택합니다.

RPC 프로그램 번호

RPC 프로그램 번호 값을 입력합니다.

참고:

값의 형식은 W 또는 X-Y여야 합니다. 여기서 W, X 및 Y는 0에서 65535 사이의 정수입니다.

비활성 시간 초과

응용 프로그램별 비활성 시간 제한에 대한 목록에서 옵션을 선택합니다.

Uuid

DCE RPC 개체에 대한 값을 입력합니다.

참고:

값의 형식은 12345678-1234-1234-1234-123456789012여야 합니다.

표 4: 새 스케줄 추가 페이지의 필드

필드

작업

이름

일정의 이름을 입력합니다.

설명

일정에 대한 설명을 입력합니다.

반복

목록에서 옵션을 선택하여 일정을 반복합니다.

  • 결코

  • 매일

  • 주간

하루 종일

하루 종일 이벤트를 예약하려면 이 옵션을 활성화합니다.

이 옵션은 Never 및 Daily repeat 유형 스케줄에만 사용할 수 있습니다.

시작 날짜

일정 시작 날짜를 YYYY-MM-DD 형식으로 선택합니다.

이 옵션은 반복 유형 일정 안 함에만 사용할 수 있습니다.

중지 날짜

일정 중지 날짜를 YYYY-MM-DD 형식으로 선택합니다.

이 옵션은 반복 유형 일정 안 함에만 사용할 수 있습니다.

시작 시간

일정의 시작 시간을 HH:MM:SS 24시간 형식으로 입력합니다.

이 옵션은 일일 반복 유형 일정에만 사용할 수 있습니다.

정지 시간

일정의 종료 시간을 HH:MM:SS 24시간 형식으로 입력합니다.

이 옵션은 일일 반복 유형 일정에만 사용할 수 있습니다.

에서 반복

일정을 반복할 날짜와 시간을 선택합니다.

선택한 날짜의 시간을 설정하려면:

  1. 시간 설정 또는 선택한 요일로 시간 설정을 클릭합니다.

    Set Time to Selected Days(선택한 요일로 시간 설정) 페이지가 나타납니다.

  2. 다음 세부 정보를 입력합니다.

    • 이름 - 선택한 날짜를 표시합니다.

    • 하루 종일 - 이벤트를 하루 종일 실행하려면 이 옵션을 활성화합니다.

    • 시작 시간 - 시작 시간을 HH:MM:SS 24시간 형식으로 입력합니다.

    • 중지 시간 - 중지 시간을 HH:MM:SS 24시간 형식으로 입력합니다.

  3. OK(확인)를 클릭하여 변경 사항을 저장합니다.

이 옵션은 주간 반복 유형 일정에만 사용할 수 있습니다.

일정 기준

다음 옵션 중 하나를 선택합니다.

  • 일정 절대 중지(Schedule Never Stops) - 일정은 영원히(반복) 활성화될 수 있지만 매일 또는 매주 일정에 지정된 대로만 활성화됩니다.

  • 일정 기간 지정 - 시작 날짜와 중지 날짜로 지정된 대로 단일 시간 슬롯 동안 일정이 활성화될 수 있습니다.

    다음 세부 정보를 입력합니다.

    • 스케줄 시작 - 스케줄 시작 날짜를 YYYY-MM-DD 형식으로 입력합니다.

    • 일정 종료 - 일정 시작 날짜를 YYYY-MM-DD 형식으로 입력합니다.

이 옵션은 일간(Daily) 및 주간(Weekly) 반복 유형 스케줄에만 사용할 수 있습니다.