Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지 내용
 

SRX 시리즈 방화벽에서 애플리케이션 정책 구성

다음 단계에 따라 응용 프로그램에 대한 액세스를 제어하는 정책을 설정합니다.

애플리케이션 정책은 주니퍼 WAN Assurance 설계의 보안 정책으로, 어떤 네트워크와 사용자가 어떤 애플리케이션에 액세스할 수 있는지, 그리고 트래픽 스티어링 정책에 따라 정의됩니다. 애플리케이션 정책을 정의하려면 네트워크, 애플리케이션 및 트래픽 스티어링 프로파일을 생성해야 합니다. 그런 다음 이러한 세부 정보를 일치 기준으로 사용하여 애플리케이션 또는 대상에 대한 액세스를 허용하거나 차단합니다.

Juniper Mist™ 클라우드 포털에서 네트워크 또는 사용자 설정에 따라 원본 영역이 결정됩니다. 애플리케이션 + 트래픽 스티어링 설정은 대상 영역을 결정합니다. 트래픽 스티어링 경로는 주니퍼 네트웍스® SRX 시리즈 방화벽의 대상 영역을 결정하므로 애플리케이션 정책에 트래픽 스티어링 프로파일을 할당해야 합니다.

응용 프로그램 정책에 대한 참고 사항:

  • 애플리케이션 정책은 조직 수준, WAN 에지 템플릿 내부 또는 허브 프로필 내부의 세 가지 방법 중 하나로 정의할 수 있습니다.

  • 조직 수준에서 애플리케이션 정책을 정의할 때 여러 WAN 에지 템플릿 또는 허브 프로파일에서 정책을 가져와서 사용할 수 있습니다. 즉, "한 번 정의, 여러 번 사용" 모델을 따를 수 있습니다.

  • WAN 에지 또는 허브 프로파일 내에서 직접 애플리케이션 정책을 정의하는 경우 정책의 범위는 해당 WAN 에지 템플릿 내에서나 해당 허브 프로파일 내에서만 제한됩니다. 다른 템플릿이나 프로필에서는 정책을 재사용할 수 없습니다.

  • Mist는 정책 목록에 나타나는 순서대로 정책을 평가하고 적용합니다.

    메모: Session Smart 라우터의 경우 정책 순서는 중요하지 않습니다. 정책 목록 끝에 글로벌 정책을 배치하는 것이 좋습니다.

응용 프로그램 정책 구성

응용 프로그램 정책 구성:

  1. Juniper Mist 클라우드 포털에서 조직 > WAN > 애플리케이션 정책을 선택하여 조직 수준에서 정책을 만듭니다.
    WAN 에지 템플릿 또는 허브 프로파일 수준에서 정책을 생성하려면 WAN > > 조직(Organization WAN Edge Templates ) 또는 허브 프로파일(Hub Profile )을 선택하고 필요한 템플릿 또는 프로파일을 선택합니다.
  2. Application Policies(응용 프로그램 정책) 섹션까지 아래로 스크롤하고 Add Application Policy(응용 프로그램 정책 추가)를 클릭합니다.
    메모:

    애플리케이션 정책 가져오기(Import Application Policy) 옵션을 클릭하여 글로벌 정책을 WAN 에지 템플릿 또는 허브 프로파일로 가져올 수 있습니다.

    Juniper Mist 클라우드 포털은 가져온 정책을 회색으로 표시하여 템플릿 또는 프로필에 정의된 로컬 정책과 구분합니다.
  3. 이름 열 아래의 새 필드를 클릭하고 정책에 이름을 지정한 다음 파란색 확인 표시를 클릭하여 변경 내용을 적용합니다.

    다음 그림(그림 1)에서는 응용 프로그램 정책을 구성할 때 사용할 수 있는 옵션을 보여 줍니다.

    그림 1: 응용 프로그램 정책 구성 옵션 Application Policy Configuration Options
    다음 표( 표 1)에서는 응용 프로그램 정책에 사용할 수 있는 구성 옵션에 대해 설명합니다.
    표 1: 애플리케이션 정책 옵션
    필드 설명
    아니요.

    number의 약어입니다. 이 항목은 응용 프로그램 정책의 위치를 나타냅니다. Mist는 위치, 즉 이 필드에 나열된 순서에 따라 정책을 평가하고 적용합니다.
    이름 응용 프로그램 정책의 이름입니다. 응용 프로그램 이름을 지정하는 데 영숫자, 밑줄 및 대시를 포함하여 최대 32자를 사용할 수 있습니다.
    네트워크/사용자

    네트워크 및 네트워크의 사용자. 네트워크는 네트워크에서 요청의 소스입니다. 사용 가능한 네트워크 목록에서 네트워크를 선택할 수 있습니다. 사용자를 네트워크에 연결한 경우 Mist 포털의 드롭다운 메뉴에 세부 정보가 user.network 형식으로 표시됩니다.
    행동

    정책 작업. 다음 정책 작업 중 하나를 선택합니다.

    • 허용하다

    • 차단
    신청/목적지

    대상 끝점입니다. 애플리케이션은 정책에 사용되는 대상을 결정합니다.

    이미 정의된 응용 프로그램 목록에서 응용 프로그램을 선택할 수 있습니다.
    침입 탐지 및 방지(ID

    (선택 사항) 침입 탐지 및 방지(IDP) 프로파일. 침입 탐지 및 방지(IDP) 프로필 중 하나를 선택합니다.

    • 표준 - 표준 프로필은 기본 프로필이며 주니퍼 네트웍스에서 권장하는 침입 탐지 및 방지(IDP) 서명 및 규칙 집합을 나타냅니다. 작업은 다음과 같습니다.

      클라이언트 및 서버 TCP 연결을 닫습니다.

      현재 패킷 및 모든 후속 패킷 삭제

    • 엄격한—엄격한 프로필에는 표준 프로필과 유사한 침입 탐지 및 방지(IDP) 서명 및 규칙 세트가 포함되어 있습니다. 그러나 시스템이 공격을 탐지하면 프로필은 네트워크에서 탐지된 악성 트래픽 또는 기타 공격을 능동적으로 차단합니다.

    • 경고

      - 알림 프로파일은 경고만 생성하고 추가 작업을 수행하지 않습니다. 경고 프로필은 심각도가 낮은 공격에만 적합합니다. 침입 탐지 및 방지(IDP) 서명 및 규칙은 표준 프로파일과 동일합니다.

    • 치명적 전용(SRX) - 중요 전용 프로필은 심각도 공격에 적합합니다. 시스템이 치명적인 공격을 탐지하면 이 프로필은 적절한 조치를 취합니다. SRX300 방화벽 제품군에는 위험 - 전용 SRX 프로필을 권장합니다.

    • 없음 - 침입 탐지 및 방지(IDP) 프로파일이 적용되지 않았습니다.

    애플리케이션 정책에 적용하는 침입 탐지 및 방지(IDP) 프로필은 허용된 트래픽에 대한 침입을 탐지하고 방지하기 위해 트래픽 검사를 수행합니다.
    고급 보안 서비스(SRX만 해당)

    SRX 시리즈 방화벽용 고급 보안 서비스(Advanced Security Services for SRX Series Firewalls)의 애플리케이션 정책에서 다음과 같은 보안 AI 네이티브 에지 기능을 구성할 수 있습니다.

    • SSL(Secure Sockets Layer) 포워드 프록시 - SSL 포워드 프록시는 클라이언트와 서버 간의 SSL 암호화 및 복호화를 수행하는 중개자 역할을 합니다. SSL 포워드 프록시는 투명 프록시입니다. 즉, 클라이언트와 서버 간에 SSL 암호화 및 복호화를 수행하지만 서버와 클라이언트 모두 그 존재를 감지할 수 없습니다. 암호 범주에 따라 사용할 수 있는 SSL 프록시 프로필은 Weak(약함), Medium(중간) 및 Strong(강함)입니다.

    • 바이러스 차단—바이러스 차단 구성을 생성하여 애플리케이션 정책과 연결할 수 있습니다. 사전 정의된 구성 집합(기본값, HTTP(S) 전용 및 FTP 없음)에서 선택하거나 사용자 지정 바이러스 차단 구성을 만들 수 있습니다.

    메모: 이러한 기능을 사용하려면 추가 디바이스 측 라이선스가 필요합니다.
    트래픽 스티어링

    트래픽 스티어링 프로필. 트래픽 스티어링 프로파일은 트래픽 경로를 정의합니다.

    스티어링 프로필은 WAN 에지 스포크 디바이스 또는 허브 디바이스에 정책을 배포하는 데 필요합니다.
    히트 카운트 응용 프로그램 정책 적중 횟수(허용/차단/필터)는 트래픽이 지정된 응용 프로그램 정책에 도달한 횟수를 표시합니다.
    메모:

    번호(주문 번호) 및 트래픽 스티어링 필드는 조직 수준 애플리케이션 정책에 사용할 수 없습니다. WAN 에지 또는 허브 프로파일 내에서 직접 애플리케이션 정책을 정의하는 경우 주문 번호와 트래픽 스티어링 옵션을 지정해야 합니다.
    메모: WAN에서 LAN으로의 트래픽을 허용하는 애플리케이션 정책은 대상 NAT가 구성된 네트워크에서 구성해야 합니다. 이 구성은 SRX 시리즈 방화벽에 푸시될 애플리케이션 정책을 암호화합니다. 자세한 내용은 SRX 시리즈 방화벽용 네트워크 구성의 표 1을 참조하십시오.
  4. 표 2에 나와 있는 세부 사항에 따라 구성을 완료합니다.
    표 2: 애플리케이션 정책 예
    S.No. 규칙 이름 네트워크 작업 대상 스티어링
    1 Spoke-to-Hub-DMZ 모두. 스포크 LAN1 합격 HUB1-LAN1 시리즈 허브-LAN
    2 허브-DMZ-스포크 HUB1-LAN1 시리즈 합격 스포크 LAN1 오버레이
    3 스포크 투 스포크 온 허브 헤어핀 모두. 스포크 LAN1 합격 스포크 LAN1 오버레이
    4 허브-DMZ-인터넷 HUB1-LAN1 시리즈 합격 어떤 증권 시세 표시기
    5 스포크-트래픽-CBO-온-허브 모두. 스포크 LAN1 합격 어떤 증권 시세 표시기
  5. 저장을 클릭합니다.

    그림 2 는 새로 만든 응용 프로그램 정책 목록을 보여 줍니다.

    그림 2: 응용 프로그램 정책 요약 Application Policies Summary

응용 프로그램 정책 순서 변경 및 삭제

애플리케이션 정책의 순서를 바꾸면 정책을 만든 후 이동할 수 있습니다.

Mist 정책을 평가하고 정책 목록에 나타나는 순서대로 정책을 실행할 때는 다음 사항에 유의해야 합니다.

  • 정책 순서가 중요합니다. 정책 평가는 목록의 맨 위에서 시작하기 때문에

  • 새 정책은 정책 목록의 끝으로 이동합니다.

정책을 선택하고 위쪽 화살표 또는 아래쪽 화살표를 사용하여 순서를 변경합니다. 정책 순서는 언제든지 변경할 수 있습니다.

그림 3: 정책 순서 Changing Policy Order 변경

응용 프로그램 정책을 삭제하려면 삭제할 응용 프로그램 정책을 선택하고 창의 오른쪽 위에 표시되는 삭제 를 클릭합니다.

네트워크 및 애플리케이션에서 동일한 IP 주소 및 접두사 사용

응용 프로그램 정책 구성에서 네트워크/사용자는 원본 영역에 속하고 응용 프로그램/대상 은 대상 영역에 속합니다.

네트워크와 애플리케이션을 서로 다른 목적으로 정의할 때 둘 다에 동일한 IP 주소와 접두사를 사용할 수 있습니다. 즉, 한 정책에서는 소스 역할을, 다른 정책에서는 대상 역할을 합니다.

그림 4의 정책을 고려하십시오.

그림 4: 응용 프로그램 정책 세부 정보 Application Policies Details

여기에는 스포크 LAN 인터페이스용 IP 주소가 192.168.200.0/24인 네트워크/사용자 SPOKE-LAN1이 있습니다. 스크린샷은 다음 정책이 동일한 네트워크를 서로 다른 방식으로 사용하고 있음을 보여 줍니다.

  • Spoke-to-Spoke-via-Hub—이 정책은 허브를 통한 인바운드 및 아웃바운드 스포크 투 스포크 트래픽을 허용합니다. 여기서는 네트워크 및 애플리케이션으로 정의 SPOKE-LAN1 했습니다.

  • Spoke-to-Hub-DMZ - 이 정책은 스포크-투-허브 트래픽을 허용합니다. 여기서는 네트워크라고 정의 SPOKE-LAN1 했습니다.

  • Hub-DMZ-to-Spoke—이 정책은 허브 투 스포크 트래픽을 허용합니다. 여기서는 애플리케이션으로 정의 SPOKE-LAN1 했습니다.

참조