Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

SRX 시리즈 방화벽에서 애플리케이션 정책 구성

애플리케이션 정책은 Juniper WAN Assurance 설계의 보안 정책으로, 어떤 네트워크 및 사용자가 어떤 애플리케이션에 액세스할 수 있는지, 그리고 어떤 트래픽 스티어링 정책에 따라 액세스할 수 있는지 정의합니다. 애플리케이션 정책을 정의하려면 네트워크, 애플리케이션 및 트래픽 스티어링 프로파일을 생성해야 합니다. 그런 다음 이러한 세부 정보를 일치하는 기준으로 사용하여 애플리케이션 또는 대상에 대한 액세스를 허용하거나 차단합니다.

Juniper Mist™ 클라우드 포털에서 네트워크 또는 사용자 설정에 따라 소스 영역이 결정됩니다. 애플리케이션 + 트래픽 스티어링 설정에 따라 대상 영역이 결정됩니다. 트래픽 스티어링 경로는 주니퍼 네트웍스® SRX 시리즈 방화벽의 대상 영역을 결정하므로 트래픽 스티어링 프로필을 애플리케이션 정책에 할당해야 합니다.

응용 프로그램 정책에 대한 참고 사항:

  • 애플리케이션 정책은 조직 수준, WAN 에지 템플릿 내부 또는 허브 프로필 내부의 세 가지 방법 중 하나로 정의할 수 있습니다.

  • 조직 수준에서 애플리케이션 정책을 정의할 때 여러 WAN 에지 템플릿 또는 허브 프로필에서 정책을 가져와서 사용할 수 있습니다. 즉, "한 번 정의, 여러 번 사용" 모델을 따를 수 있습니다.

  • WAN 에지 또는 허브 프로파일 내에서 직접 애플리케이션 정책을 정의하는 경우 정책의 범위는 해당 WAN 에지 템플릿 또는 허브 프로파일로만 제한됩니다. 다른 템플릿이나 프로필에서 정책을 다시 사용할 수 없습니다.

  • Mist는 정책 목록에 나타나는 순서대로 정책을 평가하고 적용합니다.

애플리케이션 정책 구성

응용 프로그램 정책을 구성하려면 다음을 수행합니다.

  1. Juniper Mist 클라우드 포털에서 조직 > WAN > 애플리케이션 정책을 선택하여 조직 수준에서 정책을 생성합니다.
    WAN 에지 템플릿 또는 허브 프로필 수준에서 정책을 생성하려면 조직 > WAN > WAN 에지 템플릿 또는 허브 프로필을 선택하고 필요한 템플릿 또는 프로필을 선택합니다.
  2. Application Policies(응용 프로그램 정책) 섹션까지 아래로 스크롤하고 Add Application Policy(응용 프로그램 정책 추가)를 클릭합니다.
    메모:

    애플리케이션 정책 가져오기(Import Application Policy) 옵션을 클릭하여 글로벌 정책을 WAN 에지 템플릿 또는 허브 프로파일로 가져올 수 있습니다.

    Juniper Mist 클라우드 포털은 가져온 정책을 회색으로 표시하여 템플릿 또는 프로필에 정의된 로컬 정책과 구분합니다.

  3. 이름 열 아래의 새 필드를 클릭하고 정책 이름을 지정한 다음 파란색 확인 표시를 클릭하여 변경 내용을 적용합니다.

    다음 그림(그림 1)에서는 응용 프로그램 정책을 구성할 때 사용할 수 있는 옵션을 보여 줍니다.

    그림 1: 애플리케이션 정책 구성 옵션 Application Policy Configuration Options
    다음 표( 표 1)에서는 응용 프로그램 정책에 사용할 수 있는 구성 옵션을 설명합니다.
    표 1: 애플리케이션 정책 옵션
    필드 설명
    아니요.

    number의 약어입니다. 이 항목은 응용 프로그램 정책의 위치를 나타냅니다. Mist는 포지션, 즉 이 필드에 나열된 순서에 따라 정책을 평가하고 적용합니다.

    이름 응용 프로그램 정책의 이름입니다. 응용 프로그램의 이름을 지정하는 데 영숫자, 밑줄, 대시를 포함하여 최대 32자를 사용할 수 있습니다.
    네트워크/사용자

    네트워크 및 네트워크 사용자. 네트워크는 네트워크에서 요청의 소스입니다. 사용 가능한 네트워크 목록에서 네트워크를 선택할 수 있습니다. 사용자를 네트워크에 연결한 경우 Mist 포털은 드롭다운 메뉴에 세부 정보를 user.network 형식으로 표시합니다.

    행동

    정책 작업. 다음 정책 작업 중 하나를 선택합니다.

    • 허용하다

    • 차단

    신청/목적지

    대상 끝점입니다. 애플리케이션은 정책에 사용되는 대상을 결정합니다

    이미 정의된 응용 프로그램 목록에서 응용 프로그램을 선택할 수 있습니다.
    침입 탐지 및 방지(ID

    (선택 사항) 침입 탐지 및 방지(IDP) 프로필. 침입 탐지 및 방지(IDP) 프로필 중 하나를 선택합니다.

    • Standard—Standard 프로필은 기본 프로필이며 주니퍼 네트웍스에서 권장하는 IDP 서명 및 규칙 집합을 나타냅니다. 작업에는 다음이 포함됩니다.

      클라이언트 및 서버 TCP 연결을 닫습니다.

      현재 패킷 및 모든 후속 패킷 삭제

    • Strict—Strict 프로필에는 표준 프로필과 유사한 침입 탐지 및 방지(IDP) 서명 및 규칙 집합이 포함되어 있습니다. 그러나 시스템이 공격을 탐지하면 profile은 네트워크에서 탐지된 악성 트래픽이나 기타 공격을 능동적으로 차단합니다.
    • 경고

      - 경고 프로필은 경고만 생성하고 추가 작업을 수행하지 않습니다. 경고 프로필은 심각도가 낮은 공격에만 적합합니다. 침입 탐지 및 방지(IDP) 서명 및 규칙은 표준 프로필과 동일합니다.
    • 없음 - 적용된 침입 탐지 및 방지(IDP) 프로필이 없습니다.

    애플리케이션 정책에 적용하는 침입 탐지 및 방지(IDP) 프로필은 허용된 트래픽에 대한 침입을 탐지하고 방지하기 위해 트래픽 검사를 수행합니다.

    트래픽 스티어링

    트래픽 스티어링 프로필. 트래픽 스티어링 프로파일은 트래픽 경로를 정의합니다.

    스티어링 프로필은 WAN 에지 스포크 디바이스 또는 허브 디바이스에 정책을 배포하는 데 필요합니다.

    메모:

    번호(주문 번호) 및 트래픽 스티어링 필드는 조직 수준 애플리케이션 정책에 사용할 수 없습니다. WAN 에지 또는 허브 프로파일 내에서 직접 애플리케이션 정책을 정의하는 경우 주문 번호와 트래픽 조정 옵션을 지정해야 합니다.

  4. 표 2의 세부 정보에 따라 구성을 완료합니다.
    표 2: 애플리케이션 정책 예시
    S.No. Rule Name(규칙 이름) 네트워크 작업 대상 스티어링(Destination Steering)
    1 스포크 투 허브 DMZ 모두. 스포크 LAN1 합격 허브1-LAN1 허브-LAN
    2 허브-DMZ-스포크 허브1-LAN1 합격 스포크 LAN1 오버레이
    3 Spoke-to-Spoke-on-Hub-헤어핀 모두. 스포크 LAN1 합격 스포크 LAN1 오버레이
    4 허브-DMZ-인터넷 허브1-LAN1 합격 어떤 증권 시세 표시기
    5 스포크 트래픽 CBO 온 허브 모두. 스포크 LAN1 합격 어떤 증권 시세 표시기
  5. 저장을 클릭합니다.

    그림 2 는 새로 만든 응용 프로그램 정책 목록을 보여 줍니다.

    그림 2: 애플리케이션 정책 요약 Application Policies Summary

응용 프로그램 정책 순서 변경 및 삭제

응용 프로그램 정책 순서 바꾸기를 사용하면 정책을 만든 후 이동할 수 있습니다.

Mist는 정책을 평가하고 정책 목록에 나타나는 순서대로 정책을 실행합니다. 다음 사항에 유의해야 합니다.

  • 정책 순서가 중요합니다. 정책 평가는 목록의 맨 위에서부터 시작되기 때문에

  • 새 정책은 정책 목록의 끝으로 이동합니다.

정책을 선택하고 위쪽 화살표 또는 아래쪽 화살표를 사용하여 순서를 변경합니다. 정책 순서는 언제든지 변경할 수 있습니다.

그림 3: 정책 순서 Changing Policy Order 변경

응용 프로그램 정책을 삭제하려면 삭제할 응용 프로그램 정책을 선택하고 창의 오른쪽 위에 나타나는 삭제 를 클릭합니다.

네트워크 및 애플리케이션에서 동일한 IP 주소 및 접두사 사용

애플리케이션 정책 구성에서 Network/Users(네트워크/사용자 )는 소스 영역에 속하고 Applications/Destination(애플리케이션/대상 )은 대상 영역에 속합니다.

네트워크와 애플리케이션을 서로 다른 용도로 정의할 때 동일한 IP 주소와 접두사를 사용할 수 있습니다. 즉, 한 정책에서는 소스 역할을 하고 다른 정책에서는 대상으로 역할을 합니다.

그림 4의 정책을 살펴보겠습니다.

그림 4: 애플리케이션 정책 세부 정보 Application Policies Details

여기에는 스포크 LAN 인터페이스에 대한 IP 주소가 192.168.200.0/24인 네트워크/사용자 SPOKE-LAN1이 있습니다. 스크린샷은 다음 정책이 동일한 네트워크를 다른 방식으로 사용하고 있음을 보여 줍니다.

  • Spoke-to-Spoke-via-Hub - 이 정책은 허브를 통한 인바운드 및 아웃바운드 스포크 투 스포크 트래픽을 허용합니다. 여기서는 네트워크와 애플리케이션으로 정의 SPOKE-LAN1 했습니다.

  • Spoke-to-Hub-DMZ - 이 정책은 스포크 투 허브 트래픽을 허용합니다. 여기서는 네트워크라고 정의 SPOKE-LAN1 했습니다.

  • Hub-DMZ-to-Spoke—이 정책은 허브-스포크 트래픽을 허용합니다. 여기서는 애플리케이션으로 정의 SPOKE-LAN1 했습니다.