J-Web UTM 안티바이러스를 사용하여 바이러스 공격 방지
요약 통합 위협 관리 안티바이러스 보호와 J-Web을 사용하여 SRX 시리즈 디바이스에서 바이러스 공격을 방지하기 위해 UTM 안티바이러스를 구성하는 방법에 대해 알아보십시오. SRX 시리즈 디바이스의 UTM 바이러스 차단 기능은 네트워크 트래픽을 스캔하여 바이러스 공격으로부터 네트워크를 보호하고 바이러스 확산을 방지합니다.
UTM 안티바이러스 개요
사이버 보안 위협이 진화하고 더욱 정교해지고 있는 오늘날과 같은 세계에서 바이러스 공격으로부터 네트워크를 보호하는 것은 매우 중요합니다. 바이러스, 웜 및 맬웨어는 파일 손상 또는 삭제, 개인 데이터 해킹, 시스템 성능 저하, 하드 디스크 다시 포맷 또는 사용자 컴퓨터를 사용하여 다른 컴퓨터로 바이러스를 전송하는 등 원치 않는 악의적인 행위를 수행합니다. UTM 바이러스 백신 소프트웨어는 이러한 보안 위협에 대한 첫 번째 방어선 역할을 하며 바이러스가 네트워크로 확산되는 것을 방지합니다. 바이러스 공격, 원치 않는 컴퓨터 맬웨어, 스파이웨어, 루트킷, 웜, 피싱 공격, 스팸 공격, 트로이 목마 등으로부터 네트워크를 보호합니다.
바이러스 백신 소프트웨어 및 바이러스 패턴 데이터베이스가 항상 최신 상태인지 확인해야 합니다.
주니퍼 네트웍스는 다음과 같은 UTM 바이러스 차단 솔루션을 제공합니다.
-
온디바이스 안티바이러스 보호
온디바이스 안티바이러스는 온박스 솔루션입니다. 장치 내 바이러스 백신 검색 엔진은 장치에 로컬로 저장된 바이러스 패턴 데이터베이스에 액세스하여 데이터를 검사합니다. 별도의 라이선스 구독 서비스를 통해 사용할 수 있는 전체 파일 기반 바이러스 백신 검사 기능을 제공합니다.
참고:-
온디바이스 Express 또는 Kaspersky 스캔 엔진은 Junos OS 릴리스 15.1X49-D10부터 지원되지 않습니다. 그러나 Junos OS 릴리스 12.3X48에는 여전히 적용됩니다.
-
Junos OS 릴리스 18.4R1부터 SRX 시리즈 디바이스는 Avira 온디바이스 안티바이러스 검색 엔진을 지원합니다.
-
Avira 온디바이스 안티바이러스 검색 엔진은 SRX300, SRX320, SRX340, SRX345, SRX380 및 SRX550 HM 디바이스에서 지원되지 않습니다.
-
-
소포스 안티바이러스 보호
Sophos 바이러스 백신은 클라우드 내 바이러스 백신 솔루션입니다. 바이러스 패턴 및 멀웨어 데이터베이스는 Sophos(Sophos Extensible List) 서버에서 유지 관리하는 외부 서버에 있습니다. 또한 Sophos 바이러스 차단 스캐너는 로컬 내부 캐시를 사용하여 외부 목록 서버의 쿼리 응답을 유지 관리합니다. 전체 파일 기반 바이러스 백신 기능에 대한 CPU 집약도가 낮은 대안으로 Sophos 바이러스 차단 검사를 제공합니다.
UTM 바이러스 백신의 이점
-
온디바이스 안티바이러스 솔루션:
-
서버에 연결하지 않고 로컬로 응용 프로그램 트래픽을 검사하여 응용 프로그램 트래픽에 바이러스가 있는지 여부를 쿼리합니다.
-
패턴 데이터베이스가 로컬에 저장되고 스캔 엔진이 디바이스에 있기 때문에 처리 지연을 최소화합니다.
-
-
Sophos 바이러스 백신 솔루션:
-
바이러스 패턴 및 멀웨어 데이터베이스가 Sophos가 유지 관리하는 외부 서버에 위치하므로 Juniper 디바이스에서 대형 패턴 데이터베이스를 다운로드하거나 유지 관리할 필요가 없습니다.
-
Sophos 바이러스 차단 스캐너는 로컬 내부 캐시를 사용하여 외부 목록 서버의 쿼리 응답을 유지하기 때문에 조회 성능이 향상됩니다.
-
URI(Uniform Resource Identifier) 검사 기능을 사용하여 악의적인 콘텐츠가 엔드포인트 클라이언트 또는 서버에 도달하는 것을 효과적으로 방지합니다.
-
바이러스 백신 워크플로
범위
주니퍼 웹(J-Web) 디바이스 관리자는 SRX 시리즈 디바이스에서 UTM 안티바이러스 솔루션을 지원합니다. 이 예에서는 Sophos 바이러스 차단 보호를 사용하여 다음을 수행합니다.
-
서버(10.102.70.89)에서 컴퓨터로의 HTTP 및 FTP 트래픽에서 바이러스 공격을 검사합니다.
-
트래픽을 검색하는 동안 바이러스가 발견될 때 표시할 사용자 지정 메시지 Virus Found! 를 정의합니다.
-
AV 검사를 건너뛸 허용 목록 URL(http://10.102.70.89)을 만듭니다.
참고:예제 URL로 라우팅할 수 있어야 한다고 가정합니다.
시작하기 전에
-
유효한 Sophos 바이러스 차단 라이선스 및 애플리케이션 식별 기능 라이선스를 설치합니다. Installation and Upgrade Guide(설치 및 업그레이드 가이드), Licensing Administration Guide(라이센싱 관리 가이드) 및 Licensing User Guide(라이센싱 사용자 가이드)를 참조하십시오.
-
응용 프로그램 식별을 위해 응용 프로그램 서명 패키지를 설치합니다. 보안 장치에 대한 애플리케이션 보안 사용자 가이드를 참조하십시오.
-
이 예제에서 사용하는 SRX 시리즈 디바이스가 Junos OS 릴리스 20.4R1을 실행하는지 확인합니다.
토폴로지
이 예에서 사용되는 토폴로지는 인터넷과 서버에 액세스할 수 있는 UTM 지원 SRX 시리즈 디바이스에 연결된 PC로 구성됩니다. J-Web을 사용하여 이 간단한 설정으로 서버로 전송된 HTTP 및 FTP 요청을 스캔할 수 있습니다. 그런 다음 Sophos 바이러스 차단 보호 기능을 사용하여 서버에서 PC로의 바이러스 공격을 방지합니다.
비디오
J-Web을 사용하여 UTM 바이러스 차단을 구성하는 방법에 대한 자세한 내용은 다음 비디오를 참조하십시오.
미리보기 – J-Web UTM 바이러스 차단 구성 단계
| 단계 |
작업 |
|---|---|
| 단계 1 |
기본 구성에서 Sophos 엔진을 구성합니다. 여기서는 먼저 기본 구성에서 기본 엔진을 Sophos로 정의합니다. |
| 단계 2 |
바이러스 백신 사용자 지정 개체를 구성합니다. 여기서는 바이러스 백신 검사에서 우회할 URL 또는 주소의 URL 패턴 목록(허용 목록)을 정의합니다. URL 패턴 목록을 만든 후 사용자 정의 URL 범주 목록을 만들고 여기에 패턴 목록을 추가합니다. |
| 단계 3 |
Sophos 엔진을 사용하여 바이러스 백신 기능 프로필을 구성합니다. 기본 구성 후 바이러스 백신 프로필에서 바이러스 검사에 사용할 매개 변수를 정의합니다.
참고:
바이러스 백신 프로필을 만들기 전에 DNS 서버를 구성해야 합니다. DNS 서버를 구성하려면 Device Administration(디바이스 관리 ) > Basic Settings(기본 설정 ) > System Identity(시스템 ID ) > DNS servers(DNS 서버)로 이동합니다. |
| 단계 4 |
Sophos 바이러스 차단에 대한 UTM 정책을 생성하고 바이러스 차단 프로필을 UTM 정책에 적용합니다. 여기서는 UTM 정책을 사용하여 프로토콜 집합(예: HTTP)을 Sophos UTM 기능 프로필에 바인딩합니다. 다른 프로필을 만들거나 프로필에 다른 프로토콜(예: imap-profile, pop3-profile 및 smtp-profile)을 추가하여 다른 프로토콜도 검사할 수 있습니다. |
| 단계 5 |
Sophos 바이러스 차단에 대한 보안 정책을 생성하고 UTM 정책을 보안 정책에 할당합니다. 여기서는 보안 방화벽 및 바이러스 차단 프로필 설정을 사용하여 트러스트 영역(트러스트)에서 신뢰할 수 없는 영역(인터넷)으로의 트래픽을 검사합니다. |
| 단계 6 |
허용 목록 URL(http://10.102.70.89)에서 URL에 액세스하고 10.102.70.89 서버에서 사용할 수 있는 테스트 바이러스 파일(eicar.txt)을 다운로드해 보십시오. |
1단계: 바이러스 백신에 대한 기본 구성 업데이트
현재 위치: UTM> 보안 서비스 > 기본 구성.
이 단계에서는 Sophos Engine 을 기본 엔진 유형으로 설정합니다.
기본 바이러스 백신 프로필을 업데이트하려면 다음과 같이 하십시오.
- 표 2의 조치 열에 나열된 태스크를 완료하십시오.
표 2: 기본 구성 설정 필드
작업
형식
바이러스 백신에 대한 Sophos 엔진 유형을 선택합니다.
URL 허용 목록
없음을 선택합니다.
MIME 허용 목록 목록
없음을 선택합니다.
예외
없음을 선택합니다.
그림 1: 기본 바이러스 백신 구성
2단계: 바이러스 백신 사용자 지정 개체 구성
2a단계: 우회할 URL 패턴 목록 구성
이 단계에서는 바이러스 백신 검사에서 무시할 URL 또는 주소의 URL 패턴 목록(수신 허용 목록)을 정의합니다.
현재 위치(J-Web UI): UTM > 사용자 지정 객체를 > 보안 서비스.
URL의 수신 허용 목록을 구성하려면 다음을 수행합니다.
- 표 3의 조치 열에 나열된 태스크를 완료하십시오.
표 3: URL 패턴 목록 설정 필드
작업
이름
유형 av-url-pattern.
참고:문자 또는 밑줄로 시작하고 영숫자 문자와 대시 및 밑줄과 같은 특수 문자로 구성된 문자열을 사용합니다. 최대 29자까지 사용할 수 있습니다.
값
-
+를 클릭하여 URL 패턴 값을 추가합니다.
-
유형 http://10.102.70.89.
-
체크 아이콘
을 클릭합니다.
그림 2: URL 패턴 목록
추가
-
잘 했어요! 구성 결과는 다음과 같습니다.
2b단계: 허용할 URL 분류
이제 생성된 URL 패턴을 URL 범주 목록에 할당합니다. 범주 목록은 매핑 작업을 정의합니다. 예를 들어 수신 허용 목록 범주를 허용해야 합니다.
현재 위치: UTM > Custom Objects> 보안 서비스.
URL을 분류하는 방법은 다음과 같습니다.
- 표 4의 조치 열에 나열된 태스크를 완료하십시오.
표 4: URL 카테고리 목록 설정 필드
작업
이름
수신 허용 목록에 있는 URL 패턴의 URL 범주 목록 이름으로 입력합니다 av-url .
참고:문자 또는 밑줄로 시작하고 영숫자 문자와 대시 및 밑줄과 같은 특수 문자로 구성된 문자열을 사용합니다. 최대 59자까지 사용할 수 있습니다.
URL 패턴
사용 가능(Available) 열에서 URL 패턴 값 av-url-pattern을 선택하고 오른쪽 화살표를 클릭하여 URL 패턴 값을 선택됨(Selected) 열로 이동합니다. 이렇게 하면 URL 패턴 값 av-url-pattern을 URL 범주 목록 av-url과 연결합니다.
그림 3: URL 범주 목록
추가
- 확인을 클릭하여 범주 목록 구성을 저장합니다.
잘 했어요! 구성 결과는 다음과 같습니다.
3단계: 바이러스 백신 프로필 만들기
현재 위치: UTM > 안티바이러스 프로파일> 보안 서비스.
이 단계에서는 새 UTM 바이러스 차단 프로필을 만들고, 생성된 URL 개체(패턴 및 범주)를 프로필에 참조하고, 알림 세부 정보를 지정합니다.
새 바이러스 백신 프로필을 만들려면 다음과 같이 하십시오.
- 표 5의 조치 열에 나열된 태스크를 완료하십시오.
표 5: 바이러스 차단 프로필 설정 필드
작업
일반 이름
새 바이러스 백신 프로필에 대해 입력합니다 av-profile .
참고:최대 29자까지 사용할 수 있습니다.
URL 허용 목록
드롭다운 목록에서 av-url 을 선택합니다.
대체 옵션 콘텐츠 크기
로그 및 허용을 선택합니다.
기본 작업
로그 및 허용을 선택합니다.
Notification 옵션 바이러스 탐지
메일 보낸 사람에게 알림을 선택합니다.
Notification Type(알림 유형)
메시지를 선택합니다.
사용자 지정 메시지 제목
유형 ***Antivirus Alert***.
커스텀 메시지
유형 Virus Found !.
그림 4: 바이러스 백신 프로필 일반 설정
만들기
그림 5: 바이러스 백신 프로필 알림 설정
만들기
- 성공적인 구성 메시지가 표시되면 닫기를 클릭합니다.
잘 했어요! 구성 결과는 다음과 같습니다.
4단계: UTM 정책에 안티바이러스 프로필 적용
바이러스 백신 기능 프로필을 만든 후 바이러스 백신 검사 프로토콜에 대한 UTM 정책을 구성하고 이 정책을 3단계: 바이러스 백신 프로필 만들기에서 만든 바이러스 백신 프로필에 연결합니다. 이 예제에서는 HTTP 및 FTP 트래픽에서 바이러스를 검사합니다.
현재 위치: UTM > UTM 정책을 > 보안 서비스.
UTM 정책을 생성하려면 다음을 수행합니다.
- 성공적인 구성 메시지가 표시되면 닫기를 클릭합니다.
거의 다 왔어! 구성 결과는 다음과 같습니다.
5단계: 보안 방화벽 정책에 UTM 정책 할당
이 단계에서는 기능 프로필 설정을 사용하여 Sophos 바이러스 차단이 신뢰할 수 있는 영역(신뢰)에서 신뢰할 수 없는 영역(인터넷)으로 전달되는 트래픽을 검사하도록 하는 방화벽 보안 정책을 만듭니다.
아직 UTM 구성을 트러스트 영역에서 인터넷 영역으로 보안 정책에 할당하지 않았습니다. 필터링 작업은 일치 기준 역할을 하는 보안 정책 규칙에 UTM(Unified Threat Management) 정책을 할당한 후에만 수행됩니다.
보안 정책 규칙이 허용되는 경우 SRX 시리즈 디바이스는 다음을 수행합니다.
-
HTTP 연결을 가로채고 각 URL(HTTP 요청에서) 또는 IP 주소를 추출합니다.
참고:HTTPS 연결의 경우 바이러스 백신은 SSL 전달 프록시를 통해 지원됩니다.
-
안티바이러스(UTM >> 기본 구성의 보안 서비스) 아래의 사용자 구성 수신 허용 목록에서 URL을 검색합니다. 그런 다음 URL이 사용자 구성 허용 목록에 있는 경우 디바이스는 URL을 허용합니다.
-
바이러스 백신 프로필에 구성된 기본 작업에 따라 URL(범주가 구성되지 않은 경우)을 허용하거나 차단합니다.
현재 위치: 보안 정책 및 개체 > 보안 정책.
UTM 정책에 대한 보안 정책 규칙을 생성하려면 다음을 수행합니다.
- 체크 아이콘을 클릭하여 변경 사항을 저장합니다.
잘 했어요! 구성 결과는 다음과 같습니다.
6단계: UTM 바이러스 백신이 작동하는지 확인
목적
구성된 UTM 바이러스 백신이 허용 목록 서버의 트래픽을 허용하고 서버의 바이러스 공격을 방지하는지 확인합니다.
작업
-
PC를 사용하여 http://10.102.70.89 에 HTTP 요청을 보냅니다.
잘 했어요! http://10.102.70.89 서버에 액세스할 수 있습니다.
-
PC를 사용하여 10.102.70.89 서버에 FTP 요청을 보내 eicar.txt 파일을 다운로드합니다. eicar.txt 파일은 10.102.70.89 서버에서 사용할 수 있는 테스트 바이러스 파일입니다.
미안해요! SRX 시리즈 디바이스가 파일 다운로드를 차단하고 사용자 지정 차단 메시지 *** Antivirus Alert***- Virus Found!를 보냈습니다.
다음은 eicar.txt 파일을 다운로드하려고 할 때 SRX 시리즈 방화벽이 바이러스 경고를 보낼 때의 출력 예입니다.
[centos-01 ~]$ ftp 10.102.70.89 Connected to 10.102.70.89 (10.102.70.89). 220 XX FTP server (Version 6.00LS) ready. Name (10.102.70.89:lab): root 331 Password required for root. Password: 230 User root logged in. Remote system type is UNIX. Using binary mode to transfer files. ftp> get eicar.txt local: eicar.txt remote: eicar.txt 227 Entering Passive Mode (10,102,70,89,197,55) 150 Opening BINARY mode data connection for 'eicar.txt' (70 bytes). netin: Connection reset by peer 426 10.102.70.89:21->10.0.1.1:36240 ***Antivirus Alert***- Virus Found!
다음은 위협을 발견했을 때 출력되는 안티바이러스 통계의 예입니다.
[edit] root@srx> show security utm anti-virus statistics UTM Anti Virus statistics: Intelligent-prescreening passed: 0 MIME-whitelist passed: 0 URL-whitelist passed: 1 Session abort: 0 Scan Request: Total Clean Threat-found Fallback 2 0 1 0 Fallback: Log-and-Permit Block Permit Engine not ready: 0 0 0 Out of resources: 0 0 0 Timeout: 0 0 0 Maximum content size: 0 0 0 Too many requests: 0 0 0 Decompress error: 0 0 0 Others: 0 0 0
무엇 향후 계획?
| 원하는 경우 |
다음 |
|---|---|
| UTM 바이러스 백신 세부 정보 및 통계 모니터링 |
J-Web에서 UTM > 안티 바이러스> > 보안 서비스 모니터링으로 이동하십시오. |
| 허용 및 차단된 URL에 대한 보고서 생성 및 보기 |
보고서 생성 및 보기:
|
| UTM 기능에 대해 자세히 알아보기 |
통합 위협 관리 사용자 가이드를 참조하십시오 |
샘플 구성 출력
이 섹션에서는 이 예에 정의된 웹 사이트의 바이러스 공격을 차단하는 구성 샘플을 제공합니다.
계층 수준에서 다음과 같은 UTM 구성을 [edit security utm] 구성합니다.
계층 수준에서 사용자 지정 개체 만들기:Creating custom objects at the [edit security utm] hierarchy level:
custom-objects {
url-pattern {
av-url-pattern {
value http://10.102.70.89 ;
}
}
custom-url-category {
av-url {
value av-url-pattern;
}
}
}
계층 수준에서 바이러스 백신 프로필 [edit security utm] 만들기:
default-configuration {
anti-virus {
type sophos-engine;
}
}
feature-profile {
anti-virus {
profile av-profile {
notification-options {
virus-detection {
type message;
notify-mail-sender;
custom-message “Virus-Found!”;
custom-message-subject “***Antivirus Alert***”;
}
}
}
}
}
UTM 정책 생성:
utm-policy av-policy {
anti-virus {
http-profile av-profile;
ftp {
upload-profile av-profile;
download-profile av-profile;
}
}
}
계층 수준에서 보안 정책에 [edit security policies] 대한 규칙 생성:
from-zone trust to-zone internet {
policy av-security-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
application-services {
utm-policy av-policy;
}
}
}
}
}