SRX 시리즈 방화벽에서 애플리케이션 정책 구성
애플리케이션 정책은 Juniper WAN Assurance 설계의 보안 정책으로, 어떤 네트워크 및 사용자가 어떤 애플리케이션에 액세스할 수 있는지, 그리고 어떤 트래픽 스티어링 정책에 따라 액세스할 수 있는지 정의합니다. 애플리케이션 정책을 정의하려면 네트워크, 애플리케이션 및 트래픽 스티어링 프로파일을 생성해야 합니다. 그런 다음 이러한 세부 정보를 일치하는 기준으로 사용하여 애플리케이션 또는 대상에 대한 액세스를 허용하거나 차단합니다.
Juniper Mist™ 클라우드 포털에서 네트워크 또는 사용자 설정에 따라 소스 영역이 결정됩니다. 애플리케이션 + 트래픽 스티어링 설정에 따라 대상 영역이 결정됩니다. 트래픽 스티어링 경로는 주니퍼 네트웍스® SRX 시리즈 방화벽의 대상 영역을 결정하므로 트래픽 스티어링 프로필을 애플리케이션 정책에 할당해야 합니다.
응용 프로그램 정책에 대한 참고 사항:
-
애플리케이션 정책은 조직 수준, WAN 에지 템플릿 내부 또는 허브 프로필 내부의 세 가지 방법 중 하나로 정의할 수 있습니다.
-
조직 수준에서 애플리케이션 정책을 정의할 때 여러 WAN 에지 템플릿 또는 허브 프로필에서 정책을 가져와서 사용할 수 있습니다. 즉, "한 번 정의, 여러 번 사용" 모델을 따를 수 있습니다.
-
WAN 에지 또는 허브 프로파일 내에서 직접 애플리케이션 정책을 정의하는 경우 정책의 범위는 해당 WAN 에지 템플릿 또는 허브 프로파일로만 제한됩니다. 다른 템플릿이나 프로필에서 정책을 다시 사용할 수 없습니다.
-
Mist는 정책 목록에 나타나는 순서대로 정책을 평가하고 적용합니다.
애플리케이션 정책 구성
응용 프로그램 정책을 구성하려면 다음을 수행합니다.
응용 프로그램 정책 순서 변경 및 삭제
응용 프로그램 정책 순서 바꾸기를 사용하면 정책을 만든 후 이동할 수 있습니다.
Mist는 정책을 평가하고 정책 목록에 나타나는 순서대로 정책을 실행합니다. 다음 사항에 유의해야 합니다.
-
정책 순서가 중요합니다. 정책 평가는 목록의 맨 위에서부터 시작되기 때문에
-
새 정책은 정책 목록의 끝으로 이동합니다.
정책을 선택하고 위쪽 화살표 또는 아래쪽 화살표를 사용하여 순서를 변경합니다. 정책 순서는 언제든지 변경할 수 있습니다.
응용 프로그램 정책을 삭제하려면 삭제할 응용 프로그램 정책을 선택하고 창의 오른쪽 위에 나타나는 삭제 를 클릭합니다.
네트워크 및 애플리케이션에서 동일한 IP 주소 및 접두사 사용
애플리케이션 정책 구성에서 Network/Users(네트워크/사용자 )는 소스 영역에 속하고 Applications/Destination(애플리케이션/대상 )은 대상 영역에 속합니다.
네트워크와 애플리케이션을 서로 다른 용도로 정의할 때 동일한 IP 주소와 접두사를 사용할 수 있습니다. 즉, 한 정책에서는 소스 역할을 하고 다른 정책에서는 대상으로 역할을 합니다.
그림 4의 정책을 살펴보겠습니다.
여기에는 스포크 LAN 인터페이스에 대한 IP 주소가 192.168.200.0/24인 네트워크/사용자 SPOKE-LAN1이 있습니다. 스크린샷은 다음 정책이 동일한 네트워크를 다른 방식으로 사용하고 있음을 보여 줍니다.
-
Spoke-to-Spoke-via-Hub - 이 정책은 허브를 통한 인바운드 및 아웃바운드 스포크 투 스포크 트래픽을 허용합니다. 여기서는 네트워크와 애플리케이션으로 정의 SPOKE-LAN1 했습니다.
-
Spoke-to-Hub-DMZ - 이 정책은 스포크 투 허브 트래픽을 허용합니다. 여기서는 네트워크라고 정의 SPOKE-LAN1 했습니다.
-
Hub-DMZ-to-Spoke—이 정책은 허브-스포크 트래픽을 허용합니다. 여기서는 애플리케이션으로 정의 SPOKE-LAN1 했습니다.