IPS 정책 이해
침입 방지 시스템(IPS) 정책을 사용하면 IPS 지원 디바이스를 통과하는 네트워크 트래픽에 대해 다양한 공격 탐지 및 방지 기술을 선택적으로 적용할 수 있습니다. 정책 옵션에는 두 가지 유형이 있습니다.
Group Policy(그룹 정책) - 디바이스 그룹에 구성을 푸시하려는 경우 이 옵션을 선택합니다. 그룹 정책에 대한 규칙을 만들 수 있습니다.
그룹 정책에 대한 장치를 할당하는 동안 현재 및 자식 도메인(부모 보기가 사용되도록 설정됨)의 장치만 나열됩니다. 부모 보기가 비활성화된 하위 도메인의 디바이스는 나열되지 않습니다. 전역 도메인의 모든 그룹 정책이 하위 도메인에 표시되는 것은 아닙니다. 전역 도메인의 그룹 정책(모든 장치 정책 포함)은 해당 자식 도메인의 부모 보기를 사용하지 않도록 설정한 경우 자식 도메인에 표시되지 않습니다. 하위 도메인의 디바이스가 할당된 전역 도메인의 그룹 정책만 하위 도메인에서 볼 수 있습니다. 전역 도메인에 D1 및 전역 도메인의 디바이스가 모두 할당된 그룹 정책이 있는 경우 글로벌 도메인의 이 그룹 정책만 D1 도메인 디바이스와 함께 D1 도메인에 표시됩니다. 전역 도메인의 다른 디바이스, 즉 Device-Exception 정책은 D1 도메인에 표시되지 않습니다.
자식 도메인에서 전역 도메인의 그룹 정책을 편집할 수 없습니다. 이는 모든 디바이스 정책에도 적용됩니다. 정책 수정, 정책 삭제, 스냅샷 관리, 스냅샷 정책 및 정책 잠금 획득도 허용되지 않습니다. 마찬가지로 전역 도메인에서 D1 도메인의 Device-Exception 정책에 대해 이러한 작업을 수행할 수 없습니다. 현재 도메인에서 그룹 정책의 우선 순위를 지정할 수 있습니다. 다른 도메인의 그룹 정책은 나열되지 않습니다.
Device Policy(디바이스 정책) - 디바이스별로 고유한 IPS 정책 구성을 푸시하려면 이 옵션을 선택합니다. 디바이스 IPS 정책에 대한 디바이스 규칙을 생성할 수 있습니다.
Security Director는 다른 보안 디바이스와 마찬가지로 논리적 시스템 또는 테넌트 시스템을 보고 논리적 시스템 또는 테넌트 시스템의 보안 구성에 대한 소유권을 갖습니다. Security Director에서 각 논리적 시스템 또는 테넌트 시스템은 고유한 보안 디바이스로 관리됩니다.
장치 정책에 대한 장치 할당 중에는 현재 도메인의 장치만 나열됩니다.
Security Director가 루트 논리적 시스템을 검색하면 루트 LSYS는 디바이스 내부의 다른 모든 사용자 LSYS 및 TSYS를 검색합니다.
IPS 정책은 규칙 베이스로 구성되며 각 규칙 베이스에는 규칙 세트가 포함되어 있습니다. 이를 통해 영역, 네트워크 및 애플리케이션을 기반으로 트래픽 섹션과 일치하는 정책 규칙을 정의한 다음 해당 트래픽에 대해 능동 또는 수동 예방 조치를 취할 수 있습니다.
IPS 규칙 베이스는 공격 객체를 사용하여 알려지거나 알려지지 않은 공격을 탐지함으로써 공격으로부터 네트워크를 보호합니다. 스테이트풀 시그니처 및 프로토콜 이상을 기반으로 공격을 탐지합니다.
면제 규칙 베이스는 IPS 규칙 베이스와 함께 작동합니다. IPS 규칙 베이스에 규칙이 있어야 면제 규칙을 생성할 수 있습니다. 트래픽이 IPS 규칙 베이스의 규칙과 일치하는 경우, IPS 정책은 지정된 작업을 수행하거나 이벤트에 대한 로그 레코드를 생성하기 전에 트래픽을 예외 규칙 베이스와 일치시키려고 시도합니다. IPS 정책이 소스 또는 대상 쌍 및 예외 규칙 베이스에 지정된 공격 객체와 일치하는 트래픽을 탐지하면 해당 트래픽을 공격 탐지에서 자동으로 제외합니다.
다음 조건에서 면제 규칙 베이스를 구성합니다.
IPS 규칙이 오탐 또는 관련 없는 로그 레코드를 생성하는 하나 이상의 공격 객체를 포함하는 공격 객체 그룹을 사용하는 경우.
특정 소스, 대상 또는 소스-대상 쌍을 IPS 규칙과 일치하지 않도록 제외하려는 경우. 이렇게 하면 IPS가 불필요한 경보를 생성하는 것을 방지할 수 있습니다.
하나 이상의 규칙 베이스에 규칙을 추가하여 IPS 정책을 생성한 후 정책을 게시하거나 업데이트할 수 있습니다. 또한 IPS 정책이 할당된 보안 디바이스 목록을 볼 수도 있습니다. 이 목록은 디바이스별로 할당된 모든 IPS 정책 및 규칙의 세부 정보를 보는 데 도움이 됩니다.
통합 및 표준 방화벽 정책을 위한 IPS 정책 지원
Junos Space Security Director 릴리스 19.3부터 IPS 정책을 표준 및 통합 방화벽 정책에 할당할 수 있습니다. 방화벽 정책 내에서 IPS 정책 지원:
이제 IPS 정책에 명시적인 소스, 대상 또는 애플리케이션이 정의되어 있지 않는 한 모든 IPS 일치가 표준 또는 통합 방화벽 정책 내에서 처리됩니다.
방화벽 정책에서 일치가 발생하므로 소스 또는 대상 주소, 소스 및 대상 제외, 시작 및 대상 영역 또는 애플리케이션을 구성할 필요가 없습니다. 그러나 IPS 정책에서 일치 조건을 구성하여 추가 세분성을 달성할 수 있습니다.
초기 방화벽 정책 일치로 인해 단일 또는 여러 정책 일치가 발생할 수 있습니다. 세션 관심 확인의 일환으로, 일치하는 규칙에 IPS 정책이 있는 경우 IPS가 활성화됩니다.
Junos OS 릴리스 18.2가 탑재된 디바이스의 경우, 방화벽 정책 규칙에서 단일 IPS 정책이 지원됩니다. Junos OS 릴리스 18.3 이후 디바이스의 경우, 방화벽 정책 규칙에서 여러 IPS 정책이 지원됩니다.
기존 방화벽 정책(5튜플 일치 조건 또는 동적 애플리케이션이 없음으로 구성됨) 및 통합 정책(6튜플 일치 조건 포함)을 구성한 경우 기존 방화벽 정책은 통합 정책 전에 먼저 트래픽과 일치합니다.
일치하는 조건 중 하나로 동적 애플리케이션을 사용하여 통합 정책을 구성하면 IPS 정책 구성과 관련된 추가 단계가 제거됩니다. 모든 IPS 정책 구성은 통합 방화벽 정책 내에서 처리되며, 지정된 세션에 대한 공격이나 침입을 탐지하도록 IPS 정책을 구성하는 작업을 단순화합니다.
Junos OS 릴리스 18.2부터는 IPS 정책을 위한 CLI 구성이 IPS 정책이 첨부된 표준 또는 통합 방화벽 정책과 함께 생성됩니다.
통합 및 표준 방화벽 정책에 대한 여러 IPS 정책
SRX 시리즈 디바이스가 표준 및 통합 방화벽 정책으로 구성된 경우, 여러 IPS 정책을 구성하고 이러한 정책 중 하나를 기본 정책으로 설정할 수 있습니다. 세션에 대해 여러 IPS 정책이 구성된 경우 정책 충돌이 발생하면 디바이스는 해당 세션에 기본 IPS 정책을 적용하여 정책 충돌을 해결합니다.
방화벽 정책에서 두 개 이상의 IPS 정책을 구성한 경우 기본 IPS 정책을 구성해야 합니다.
동적 애플리케이션이 식별되기 전에 발생하는 초기 보안 정책 조회 단계에서는 여러 개의 잠재적 정책 일치가 발생할 수 있습니다. 일치하는 보안 정책 중 하나 이상에 IPS 정책이 구성된 경우 세션에서 IPS가 활성화됩니다.
잠재적 정책 목록에 하나의 IPS 정책만 구성된 경우 해당 IPS 정책이 세션에 적용됩니다. 잠재적 정책 목록에 세션에 대해 구성된 여러 IPS 정책이 있는 경우 SRX 시리즈 디바이스는 기본 IPS 정책으로 구성된 IPS 정책을 적용합니다.
논리적 시스템의 IPS
Junos Space Security Director 릴리스 20.1R1부터 IPS 정책을 통해 논리적 시스템(LSYS)을 통과하는 네트워크 트래픽에 대해 다양한 공격 탐지 및 방지 기술을 선택적으로 적용할 수 있습니다.
루트 수준에서 IPS 정책을 구성할 수 있습니다. LSYS에 대한 IPS 정책을 구성하는 것은 LSSYS에 대해 구성되지 않은 디바이스에서 IPS 정책을 구성하는 것과 유사합니다. 여기에는 사용자 지정 공격 객체의 구성이 포함될 수 있습니다. 루트 LSYS에 설치된 IPS 정책 템플릿은 모든 LSYS에서 볼 수 있고 사용됩니다. LSYS에 바인딩된 보안 프로파일에서 IPS 정책을 지정하십시오. 여러 IPS 정책을 구성할 수 있지만 LSYS는 한 번에 하나의 활성 IPS 정책만 가질 수 있습니다. 사용자 LSYS의 경우, 동일한 IPS 정책을 다중 사용자 LSYS에 바인드하거나 각 사용자 LSYS에 고유한 IPS 정책을 바인드할 수 있습니다.
보안 정책에 둘 이상의 IPS 정책을 구성한 경우 기본 IPS 정책 구성을 구성해야 합니다. 사용자 LSYS에 대해 IPS 정책이 구성되지 않은 경우 구성된 기본 IPS 정책이 사용됩니다.
루트 수준에서 IPS 서명 라이센스를 설치해야 합니다. 루트 수준에서 IPS가 활성화되면 디바이스의 모든 LSYS와 함께 사용할 수 있습니다. 루트 수준에서 디바이스의 모든 LSYS에 대해 단일 IPS 보안 패키지가 설치됩니다. 다운로드 및 설치 옵션은 루트 수준에서만 실행할 수 있습니다. 모든 LSYS는 동일한 버전의 IPS 공격 데이터베이스를 공유합니다.
Junos OS 릴리스 18.3 이상을 실행하는 디바이스는 IPS for Logical System을 지원합니다.
방화벽 정책에서 IPS 정책을 구성하고 IPS 정책이 구성된 방화벽 정책을 가져오려면 In Focus 가이드를 참조하십시오.