Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

방화벽 정책 개요

Security Director는 다음과 같은 두 가지 유형의 방화벽 정책을 제공합니다.

  • Device Policy(디바이스 정책): 디바이스별로 생성되는 방화벽 정책의 유형입니다. 이 유형의 정책은 디바이스별로 고유한 방화벽 정책 구성을 푸시하려는 경우에 사용됩니다. 디바이스 방화벽 정책에 대한 디바이스 규칙을 생성할 수 있습니다.

    Security Director는 다른 보안 디바이스와 마찬가지로 논리적 시스템 또는 테넌트 시스템을 보고 논리적 시스템 또는 테넌트 시스템의 보안 구성에 대한 소유권을 갖습니다. Security Director에서 각 논리적 시스템 또는 테넌트 시스템은 고유한 보안 디바이스로 관리됩니다.

    장치 정책에 대한 장치 할당 중에는 현재 도메인의 장치만 나열됩니다.

    참고:

    Security Director가 루트 논리적 시스템을 검색하면 루트 lsys는 디바이스 내부의 다른 모든 사용자 lsys를 검색합니다.

    Security Director를 사용하면 디바이스가 디바이스 지정 정책을 갖고 여러 그룹 정책의 일부가 될 수 있습니다. 장치에 대한 규칙은 다음 순서로 업데이트됩니다.

    • '디바이스별 정책' 전에 적용된 정책 내의 규칙

    • 장치별 정책 내의 규칙

    • '장치별 정책' 이후에 적용되는 정책 내의 규칙

    '장치별 정책' 이전에 적용된 정책 내의 규칙이 우선권을 가지며 재정의할 수 없습니다. 그러나 장치별 정책에 재정의 규칙을 추가하여 '장치별 정책' 이후에 적용된 정책 내에서 규칙을 재정의할 수 있습니다. 엔터프라이즈 시나리오에서 '공통-적용' 규칙은 '디바이스별 정책' 이전에 적용된 정책에서 디바이스에 할당할 수 있으며, '공통-있으면 좋은' 규칙은 '디바이스별 정책' 이후에 적용된 정책에서 디바이스에 할당할 수 있습니다.

    참고:

    "장치별 정책"에서 장치별로 예외를 추가할 수 있습니다. 디바이스에 적용된 규칙의 전체 목록을 보려면 Configure > Firewall Policy > Devices(디바이스 구성을 선택합니다. 장치를 선택하면 해당 장치와 연결된 규칙을 볼 수 있습니다.

    모든 디바이스 정책을 사용하면 Security Director에서 관리하는 모든 디바이스에 전역적으로 규칙을 적용할 수 있습니다. 모든 디바이스 정책은 전역 도메인의 일부이며 상위 보기가 사용하도록 설정된 경우 모든 하위 도메인에 표시됩니다.

  • Group(그룹) - 여러 디바이스와 공유되는 방화벽 정책 유형입니다. 이 유형의 정책은 특정 방화벽 정책 구성을 대규모 디바이스 집합으로 업데이트하려는 경우에 사용됩니다. 정책 배치를 장치별 이전 또는 이후별로 선택할 수 있습니다. 디바이스에서 그룹 방화벽 정책이 업데이트되면 규칙은 다음 순서로 업데이트됩니다.

    • '디바이스별 정책' 전에 적용된 정책 내의 규칙

    • 장치별 정책 내의 규칙

    • '장치별 정책' 이후에 적용되는 정책 내의 규칙

    그룹 정책에 대한 장치를 할당하는 동안 현재 및 자식 도메인(부모 보기가 사용되도록 설정됨)의 장치만 나열됩니다. 부모 보기가 비활성화된 하위 도메인의 디바이스는 나열되지 않습니다. 전역 도메인의 모든 그룹 정책이 하위 도메인에 표시되는 것은 아닙니다. 전역 도메인의 그룹 정책(모든 장치 정책 포함)은 해당 자식 도메인의 부모 보기를 사용하지 않도록 설정한 경우 자식 도메인에 표시되지 않습니다. 하위 도메인의 디바이스가 할당된 전역 도메인의 그룹 정책만 하위 도메인에서 볼 수 있습니다. 전역 도메인에 D1 및 전역 도메인의 디바이스가 모두 할당된 그룹 정책이 있는 경우 글로벌 도메인의 이 그룹 정책만 D1 도메인 디바이스와 함께 D1 도메인에 표시됩니다. 전역 도메인의 다른 디바이스, 즉 Device-Exception 정책은 D1 도메인에 표시되지 않습니다.

    자식 도메인에서 전역 도메인의 그룹 정책을 편집할 수 없습니다. 이는 모든 디바이스 정책에도 적용됩니다. 정책 수정, 정책 삭제, 스냅샷 관리, 스냅샷 정책 및 정책 잠금 획득도 허용되지 않습니다. 마찬가지로 전역 도메인에서 D1 도메인의 Device-Exception 정책에 대해 이러한 작업을 수행할 수 없습니다. 현재 도메인에서 그룹 정책의 우선 순위를 지정할 수 있습니다. 다른 도메인의 그룹 정책은 나열되지 않습니다.

참고:

Security Director를 통해 장치별 정책 전(사전) 또는 이후(사후)에 적용된 그룹 정책:

  • 전역 기반 정책과 영역 기반 정책에 대해 별도로 작동합니다.

  • 정책 순서 개요에 명시된 대로 Junos-SRX 정책 우선 순위를 변경하지 마십시오.

방화벽 정책의 기본 설정은 정책 프로필에서 가져옵니다. 기본 설정에는 로그 옵션, 방화벽 인증 체계 및 트래픽 리디렉션 옵션이 포함됩니다.

방화벽 정책은 테이블 형식 보기로 표시됩니다. 정책을 선택하고 인라인 또는 + 아이콘을 사용하여 규칙을 적용할 수 있습니다. 자세한 내용은 방화벽 정책 규칙 만들기를 참조하십시오.

Junos Space Security Director 릴리스 19.3R1부터 IPS 정책을 표준 방화벽 정책 규칙에 할당할 수 있습니다. CLI는 Junos OS 릴리스 18.2 이후의 디바이스에 대한 표준 방화벽 정책(IPS 정책이 할당됨)과 함께 IPS 정책에 대해 생성됩니다. IPS 정책 이름은 방화벽 정책 규칙에서 직접 사용되므로 [edit security idp active-policy policy-name] 문은 Junos OS 릴리스 18.2 이상에서 더 이상 사용되지 않습니다. Security Director에서 더 이상 사용되지 않는 활성 정책 CLI를 가져와 새 CLI로 변환할 수 있습니다. Junos OS 버전 18.2 이상에서 더 이상 사용되지 않는 active-policy에 대한 IPS 정책을 가져올 수 있습니다. IPS 정책을 가져오면 디바이스의 방화벽 정책과 관련된 규칙이 IPS 정책 세부 정보로 업데이트됩니다. Security Director의 후속 업데이트에서 IDP를 연결하기 위한 새로운 방화벽 정책 CLI를 미리 보기로 볼 수 있으며 동일한 방화벽 정책 CLI를 디바이스로 업데이트할 수 있습니다.

참고:

  • Junos OS 릴리스 18.2가 설치된 디바이스에서는 방화벽 정책의 모든 규칙에 동일한 IPS 정책을 할당해야 하며, 그렇지 않으면 커밋이 실패합니다.

  • Junos OS 릴리스 18.3 이상의 디바이스에서는 방화벽 정책의 규칙에 다른 IPS 정책을 할당할 수 있습니다. 기본 침입 탐지 및 방지(IDP) 정책을 설정해야 하며, 그렇지 않으면 커밋이 실패합니다.

관련 문서