Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPS 정책 규칙 생성

시작하기 전에

이 페이지에서는 일치하는 트래픽 패턴이 발견될 때 취해야 할 조치를 정의하는 침입 방지 시스템(IPS) 규칙을 생성합니다. IPS 정책에 규칙을 추가, 편집 또는 삭제할 수 있습니다.

IPS 정책을 생성하는 동안 사전 정의된 IPS 템플릿을 사용할 수 있습니다. 이러한 템플릿에는 공격 객체와 관련된 기본 작업을 사용하는 규칙이 포함되어 있습니다. 자체 소스 및 대상 주소를 선택하고 보안 요구 사항을 반영하는 IPS 작업을 선택하여 네트워크에서 작동하도록 이러한 템플릿을 사용자 지정할 수 있습니다.

IPS 규칙은 공격 객체를 사용하여 스테이트풀 시그니처 및 프로토콜 이상을 기반으로 알려진 공격과 알려지지 않은 공격을 탐지함으로써 공격으로부터 네트워크를 보호합니다. IPS 면제 규칙은 불필요한 알람이 생성되는 것을 방지합니다.

IPS 정책 규칙을 구성하려면 다음을 수행합니다.

  1. Configure > IPS Policy(IPS 정책) > Policies > or Templates(정책 또는 템플릿) 구성을 선택합니다.
  2. 생성된 정책에서 Add Rules(규칙 추가) 링크를 클릭합니다.
  3. Create(생성)를 클릭한 다음 IPS Rule(IPS 규칙) 또는 Exempt Rule(예외 규칙)을 선택합니다.
  4. 표 1과 표 2에 제공된 지침에 따라 구성을 완료합니다.
  5. 게시를 클릭합니다.

구성이 포함된 새 IPS 규칙이 생성됩니다. IPS 정책 또는 IPS 정책 템플릿에서 이 규칙을 사용할 수 있습니다.

표 1: IPS 정책 규칙 설정

설정

가이드

이름

영숫자 문자, 콜론, 마침표, 대시 및 밑줄의 고유한 문자열을 입력합니다. 공백은 허용되지 않으며 최대 길이는 255자입니다.

IPS 유형

지정된 유형의 규칙을 표시합니다. 예를 들어, IPS, Exempt.

Src. 구역

Source Zone(소스 영역) 필드를 클릭하고 소스 영역 편집기 설정을 구성합니다.

소스 영역 편집기

영역

소스에 대한 영역을 선택합니다. 영역 예외를 사용하여 각 장치의 영역에 고유하게 지정할 수도 있습니다. 모든 영역에서 발생하는 네트워크 트래픽을 모니터링하려면 any를 지정합니다. 기본값은 any입니다.

Src. 주소

Source Address(소스 주소) 필드를 클릭하고 소스 주소 설정을 구성합니다.

소스 주소

주소 선택

규칙에 대해 선택한 주소 목록에서 주소를 포함하거나 제외합니다. 소스 개체의 IP 주소를 포함하도록 선택할 수도 있습니다.

주소

사용 가능 열에서 사용 가능한 IP 주소를 하나 이상 선택하여 규칙에 대해 선택한 목록에 포함합니다.

새 소스 주소 추가

버튼을 클릭하여 새 소스 주소를 추가합니다.

Dest. 구역

대상 영역 필드를 클릭하고 대상 영역 편집기 설정을 구성합니다.

대상 영역 편집기

영역

대상에 대한 영역을 선택합니다. 영역 예외를 사용하여 각 장치에 대해 고유한 영역부터 지정할 수도 있습니다. 모든 영역에 대한 네트워크 트래픽을 모니터링하려면 any를 지정합니다. 기본값은 any입니다.

Dest. 주소

대상 주소 필드를 클릭하고 대상 주소 설정을 구성합니다.

목적지 주소

주소 선택

규칙에 대해 선택한 주소 목록에서 주소를 포함하거나 제외합니다. 소스 개체의 IP 주소를 포함하도록 선택할 수도 있습니다.

주소

사용 가능 열에서 사용 가능한 IP 주소를 하나 이상 선택하여 정책 규칙의 선택된 목록에 포함합니다.

새 목적지 주소 추가

버튼을 클릭하여 새 목적지 주소를 추가합니다.

서비스

서비스 필드를 클릭하고 서비스 편집기 설정을 구성합니다.

서비스 편집기

서비스

정책 규칙에 사용할 수 있는 서비스를 선택합니다. 예를 들어:

  • ftp - FTP를 사용하면 시스템 간에 파일을 송수신할 수 있습니다.

  • ssh - SSH는 안전하지 않은 채널에서 강력한 인증 및 보안 통신을 통해 네트워크를 통해 다른 컴퓨터에 로그인하는 프로그램입니다.

  • Web(웹) - Policy(정책)를 통해 이전에 웹 인증으로 인증된 사용자에게 액세스할 수 있습니다.

  • User Firewall(사용자 방화벽) - 사용자 이름 및 역할 정보를 사용하여 사용자의 세션 또는 트래픽을 허용할지 거부할지 여부를 결정합니다.

  • Infranet - 액세스 제어 서비스에서 인증된 모든 사용자에 대한 사용자 및 역할 정보를 푸시합니다.

기본값은 Default입니다.Security Director의 서비스는 DNS(Domain Name System)와 같은 디바이스의 애플리케이션을 나타냅니다. 서비스는 프로토콜 및 포트를 기반으로 하며, 정책에 추가되면 Security Director가 관리하는 모든 디바이스에 적용할 수 있습니다.

새로운 서비스 추가

버튼을 클릭하여 새 서비스를 추가합니다.

IPS 시그니처

IPS 시그니처 필드를 클릭하고 IPS 시그니처 설정을 구성합니다.

IPS 시그니처

IPS 시그니처

사용 가능(Available) 열에서 하나 이상의 사용 가능한 IPS 시그니처를 선택하여 정책 규칙의 선택된 목록에 포함시킵니다.

새 IPS 시그니처 추가

버튼을 클릭하여 새 IPS 서명을 추가합니다.

작업

작업 필드를 클릭하고 작업 설정을 구성합니다.

작업

작업

모니터링되는 트래픽이 규칙에 지정된 공격 객체와 일치할 때 IPS가 수행할 조치에 대한 옵션을 선택합니다.

  • 작업 없음(No Action) - 작업을 수행하지 않습니다. 일부 트래픽에 대한 로그만 생성하려는 경우 이 작업을 사용합니다.

  • 무시 - 공격 일치가 발견되면 나머지 연결에 대한 트래픽 스캔을 중지합니다. IPS는 특정 연결에 대한 규칙 베이스를 비활성화합니다.

    참고:

    이 작업은 공격을 무시하는 것을 의미하지 않습니다.

  • Drop Packet(패킷 삭제) - 대상에 도달하기 전에 일치하는 패킷을 삭제하지만 연결을 닫지는 않습니다. UDP 트래픽과 같이 스푸핑이 발생하기 쉬운 트래픽의 공격에 대한 패킷을 삭제하려면 이 작업을 사용합니다. 이러한 트래픽에 대한 연결을 끊으면 서비스 거부가 발생하여 합법적인 소스 IP 주소에서 트래픽을 수신하지 못할 수 있습니다.

  • 연결 삭제 - 연결과 관련된 모든 패킷을 삭제하여 연결 트래픽이 대상에 도달하지 못하도록 합니다. 스푸핑이 발생하지 않는 트래픽에 대한 연결을 끊으려면 이 작업을 사용합니다.

  • Close Client(클라이언트 닫기) - 연결을 닫고 RST 패킷을 서버가 아닌 클라이언트로 보냅니다.

  • 서버 닫기 - 연결을 닫고 RST 패킷을 클라이언트보다는 서버로 보냅니다.

  • 클라이언트 및 서버 닫기 - 연결을 닫고 클라이언트와 서버 모두에 RST 패킷을 보냅니다.

  • 권장 - 주니퍼 네트웍스가 심각한 위협으로 간주하는 모든 공격 객체의 목록을 범주별로 정리하여 제공합니다. 예를 들어, 심각도 그룹은 공격에 할당된 심각도에 따라 객체를 공격합니다.

  • Diffserv Marking(Diffserv Marking) - 표시된 DSCP(Differentiated Services Code Point) 값을 공격의 패킷에 할당한 다음 패킷을 정상적으로 전달합니다.

    Diffserv Marking을 선택할 때 코드 값을 입력해야 합니다.

    • 코드 포인트 for Diffserv Marking(코드 포인트 for Diffserv Marking) - 코드 포인트 값을 입력합니다. DSCP 값을 기반으로 행동 집계 분류자는 트래픽이 수신하는 전달 처리를 결정하는 트래픽에 대한 포워딩 클래스와 손실 우선순위를 설정합니다.

참고:

DSCP 값은 공격으로 탐지된 첫 번째 패킷에는 적용되지 않지만 후속 패킷에 적용됩니다.

알림 옵션

알림 필드를 클릭하고 알림 설정을 구성합니다.

알림 옵션

공격 로깅

공격을 기록하려면 이 옵션을 활성화합니다.

경고 플래그

공격 로그에 경고 플래그를 추가하려면 이 옵션을 사용하도록 설정합니다.

로그 패킷

이 옵션을 활성화하면 규칙이 일치할 때 패킷 캡처를 기록할 수 있습니다.

이전 패킷

공격이 캡처되기 전에 처리된 패킷 수를 입력합니다.

이후 패킷

공격이 캡처된 후 처리된 패킷 수를 입력합니다.

게시 창 시간 초과

세션에 대한 공격 후 패킷을 캡처하기 위한 시간 제한을 입력합니다.

시간 초과가 만료된 후에는 패킷 캡처가 수행되지 않습니다. 범위는 0초에서 1800초 사이입니다.

IP 작업 옵션

IP 작업 필드를 클릭하고 IP 작업 설정을 구성합니다.

IP 작업 옵션

IP 작업

동일한 IP 작업 속성을 사용하는 향후 연결에 작업을 적용하려면 옵션을 선택합니다.

  • 없음 - 향후 트래픽에 대해 어떠한 작업도 수행하지 않습니다.

  • IP Notify(IP 알림) - 향후 트래픽에 대해 어떠한 조치도 취하지 않지만 이벤트를 기록합니다. 이것이 기본값입니다.

  • IP Close(IP 닫기) - RST 패킷을 클라이언트 및 서버로 전송하여 이 IP 작업 규칙과 일치하는 모든 새 세션을 닫습니다.

  • IP Block(IP 차단) - IP 작업 규칙과 일치하는 모든 세션의 모든 패킷이 자동으로 삭제됩니다.

    트래픽이 여러 규칙과 일치하면 일치하는 모든 규칙 중 가장 심각한 IP 작업이 적용됩니다. 가장 심각한 IP 작업은 세션 닫기 작업이고, 다음으로 심각도가 높은 것은 세션 삭제/차단 작업, 알림 작업 순입니다.

IP 대상

향후 연결을 차단하는 옵션을 선택합니다.

  • 없음 - 트래픽과 일치하지 않습니다.

  • Destination Address(대상 주소) - 공격 트래픽의 대상 주소를 기준으로 트래픽을 일치시킵니다.

  • 서비스 - TCP 및 UDP의 경우, 공격 트래픽의 소스 주소, 소스 포트, 대상 주소 및 대상 포트를 기반으로 트래픽을 일치시킵니다. 이것이 기본값입니다.

  • Source Address(소스 주소) - 공격 트래픽의 소스 주소를 기준으로 트래픽을 일치시킵니다.

  • Source Zone(소스 영역) - 공격 트래픽의 소스 영역을 기반으로 트래픽을 일치시킵니다.

  • 소스 영역 주소 - 공격 트래픽의 소스 영역 및 소스 주소를 기반으로 트래픽을 일치시킵니다.

  • Zone Service(영역 서비스) - 공격 트래픽의 소스 영역, 대상 주소, 대상 포트 및 프로토콜에 따라 트래픽을 일치시킵니다.

새로 고침 시간 초과

향후 연결이 IP 작업 필터와 일치할 때 만료되지 않도록 IP 작업 시간 제한을 새로 고치려면 이 옵션을 사용하도록 설정합니다.

시간 초과 값

트래픽 일치 후 IP 작업이 계속 적용될 시간(초)을 입력합니다.

기본값은 0초이고 범위는 0초에서 64,800초 사이입니다.

로그 작성

규칙과 일치하는 트래픽에 대한 IP 작업에 대한 정보를 기록하려면 이 옵션을 활성화합니다.

로그 생성

IP 작업 필터에 로그 이벤트를 생성하려면 이 옵션을 사용하도록 설정합니다.

추가 옵션

추가 필드를 클릭하고 추가 설정을 구성합니다.

추가 옵션

심각도

규칙에서 상속된 공격 심각도를 재정의할 심각도 수준을 선택합니다. 수준은 심각도가 증가하는 순서대로 정보, 경고, 사소함, 주요, 중요입니다. 가장 위험한 수준은 서버를 충돌시키거나 네트워크를 제어하려고 시도하는 위험입니다. 정보 제공은 가장 위험하지 않은 수준으로, 네트워크 관리자가 보안 시스템의 허점을 발견하는 데 사용합니다.

터미널

이 옵션을 활성화하면 터미널 규칙 플래그를 설정할 수 있습니다. 터미널 규칙이 일치하면 디바이스는 세션에 대한 규칙 일치를 중지합니다.

설명

IPS 정책 규칙에 대한 설명을 입력합니다. 최대 길이는 4096자입니다.

표 2: IPS 정책 템플릿 규칙 설정

설정

가이드

이름

영숫자 문자, 콜론, 마침표, 대시 및 밑줄의 고유한 문자열을 입력합니다. 공백은 허용되지 않으며 최대 길이는 63자입니다.

IPS 유형

지정된 유형의 규칙을 표시합니다. 예를 들어, IPS, Exempt.

IPS 시그니처

IPS 시그니처 필드를 클릭하고 IPS 시그니처 설정을 구성합니다.

IPS 시그니처

IPS 시그니처

사용 가능(Available) 열에서 하나 이상의 사용 가능한 IPS 시그니처를 선택하여 정책 규칙의 선택된 목록에 포함시킵니다.

새 IPS 시그니처 추가

버튼을 클릭하여 새 IPS 서명을 추가합니다.

작업

작업 필드를 클릭하고 작업 설정을 구성합니다.

작업

작업

모니터링되는 트래픽이 규칙에 지정된 공격 객체와 일치할 때 IPS가 수행할 조치에 대한 옵션을 선택합니다.

  • 작업 없음(No Action) - 작업을 수행하지 않습니다. 일부 트래픽에 대한 로그만 생성하려는 경우 이 작업을 사용합니다.

  • 무시 - 공격 일치가 발견되면 나머지 연결에 대한 트래픽 스캔을 중지합니다. IPS는 특정 연결에 대한 규칙 베이스를 비활성화합니다.

    참고:

    이 작업은 공격을 무시하는 것을 의미하지 않습니다.

  • Drop Packet(패킷 삭제) - 대상에 도달하기 전에 일치하는 패킷을 삭제하지만 연결을 닫지는 않습니다. UDP 트래픽과 같이 스푸핑이 발생하기 쉬운 트래픽의 공격에 대한 패킷을 삭제하려면 이 작업을 사용합니다. 이러한 트래픽에 대한 연결을 끊으면 서비스 거부가 발생하여 합법적인 소스 IP 주소에서 트래픽을 수신하지 못할 수 있습니다.

  • 연결 삭제 - 연결과 관련된 모든 패킷을 삭제하여 연결 트래픽이 대상에 도달하지 못하도록 합니다. 스푸핑이 발생하지 않는 트래픽에 대한 연결을 끊으려면 이 작업을 사용합니다.

  • Close Client(클라이언트 닫기) - 연결을 닫고 RST 패킷을 서버가 아닌 클라이언트로 보냅니다.

  • 서버 닫기 - 연결을 닫고 RST 패킷을 클라이언트보다는 서버로 보냅니다.

  • 클라이언트 및 서버 닫기 - 연결을 닫고 클라이언트와 서버 모두에 RST 패킷을 보냅니다.

  • 권장 - 주니퍼 네트웍스가 심각한 위협으로 간주하는 모든 공격 객체의 목록을 범주별로 정리하여 제공합니다. 예를 들어, 심각도 그룹은 공격에 할당된 심각도에 따라 객체를 공격합니다.

  • Diffserv Marking(Diffserv Marking) - 표시된 DSCP(Differentiated Services Code Point) 값을 공격의 패킷에 할당한 다음 패킷을 정상적으로 전달합니다.

    Diffserv Marking을 선택할 때 코드 값을 입력해야 합니다.

    • 코드 포인트 for Diffserv Marking(코드 포인트 for Diffserv Marking) - 코드 포인트 값을 입력합니다. DSCP 값을 기반으로 행동 집계 분류자는 트래픽이 수신하는 전달 처리를 결정하는 트래픽에 대한 포워딩 클래스와 손실 우선순위를 설정합니다.

참고:

DSCP 값은 공격으로 탐지된 첫 번째 패킷에는 적용되지 않지만 후속 패킷에 적용됩니다.

알림 옵션

알림 필드를 클릭하고 알림 설정을 구성합니다.

알림 옵션

공격 로깅

공격을 기록하려면 이 옵션을 활성화합니다.

경고 플래그

공격 로그에 경고 플래그를 추가하려면 이 옵션을 사용하도록 설정합니다.

로그 패킷

이 옵션을 활성화하면 규칙이 일치할 때 패킷 캡처를 기록할 수 있습니다.

이전 패킷

공격이 캡처되기 전에 처리된 패킷 수를 입력합니다.

이후 패킷

공격이 캡처된 후 처리된 패킷 수를 입력합니다.

게시 창 시간 초과

세션에 대한 공격 후 패킷을 캡처하기 위한 시간 제한을 입력합니다.

시간 초과가 만료된 후에는 패킷 캡처가 수행되지 않습니다. 범위는 0초에서 1800초 사이입니다.

IP 작업 옵션

IP 작업 필드를 클릭하고 IP 작업 설정을 구성합니다.

IP 작업 옵션

IP 작업

동일한 IP 작업 속성을 사용하는 향후 연결에 작업을 적용하려면 옵션을 선택합니다.

  • 없음 - 향후 트래픽에 대해 어떠한 작업도 수행하지 않습니다.

  • IP Notify(IP 알림) - 향후 트래픽에 대해 어떠한 조치도 취하지 않지만 이벤트를 기록합니다. 이것이 기본값입니다.

  • IP Close(IP 닫기) - RST 패킷을 클라이언트 및 서버로 전송하여 이 IP 작업 규칙과 일치하는 모든 새 세션을 닫습니다.

  • IP Block(IP 차단) - IP 작업 규칙과 일치하는 모든 세션의 모든 패킷이 자동으로 삭제됩니다.

    트래픽이 여러 규칙과 일치하면 일치하는 모든 규칙 중 가장 심각한 IP 작업이 적용됩니다. 가장 심각한 IP 작업은 세션 닫기 작업이고, 다음으로 심각도가 높은 것은 세션 삭제/차단 작업, 알림 작업 순입니다.

IP 대상

향후 연결을 차단하는 옵션을 선택합니다.

  • 없음 - 트래픽과 일치하지 않습니다.

  • Destination Address(대상 주소) - 공격 트래픽의 대상 주소를 기준으로 트래픽을 일치시킵니다.

  • 서비스 - TCP 및 UDP의 경우, 공격 트래픽의 소스 주소, 소스 포트, 대상 주소 및 대상 포트를 기반으로 트래픽을 일치시킵니다. 이것이 기본값입니다.

  • Source Address(소스 주소) - 공격 트래픽의 소스 주소를 기준으로 트래픽을 일치시킵니다.

  • Source Zone(소스 영역) - 공격 트래픽의 소스 영역을 기반으로 트래픽을 일치시킵니다.

  • 소스 영역 주소 - 공격 트래픽의 소스 영역 및 소스 주소를 기반으로 트래픽을 일치시킵니다.

  • Zone Service(영역 서비스) - 공격 트래픽의 소스 영역, 대상 주소, 대상 포트 및 프로토콜에 따라 트래픽을 일치시킵니다.

새로 고침 시간 초과

향후 연결이 IP 작업 필터와 일치할 때 만료되지 않도록 IP 작업 시간 제한을 새로 고치려면 이 옵션을 사용하도록 설정합니다.

시간 초과 값

트래픽 일치 후 IP 작업이 계속 적용될 시간(초)을 입력합니다.

기본값은 0초이고 범위는 0초에서 64,800초 사이입니다.

로그 작성

규칙과 일치하는 트래픽에 대한 IP 작업에 대한 정보를 기록하려면 이 옵션을 활성화합니다.

로그 생성

IP 작업 필터에 로그 이벤트를 생성하려면 이 옵션을 사용하도록 설정합니다.

추가 옵션

추가 필드를 클릭하고 추가 설정을 구성합니다.

추가 옵션

심각도

규칙에서 상속된 공격 심각도를 재정의할 심각도 수준을 선택합니다. 수준은 심각도가 증가하는 순서대로 정보, 경고, 사소함, 주요, 중요입니다. 가장 위험한 수준은 서버를 충돌시키거나 네트워크를 제어하려고 시도하는 위험입니다. 정보 제공은 가장 위험하지 않은 수준으로, 네트워크 관리자가 보안 시스템의 허점을 발견하는 데 사용합니다.

터미널

이 옵션을 활성화하면 터미널 규칙 플래그를 설정할 수 있습니다. 터미널 규칙이 일치하면 디바이스는 세션에 대한 규칙 일치를 중지합니다.

설명

IPS 정책 규칙에 대한 설명을 입력합니다. 최대 길이는 1024자입니다.