IPS 정책 규칙 생성
시작하기 전에
IPS 정책 이해 주제를 읽어보십시오.
IPS 정책 템플릿 이해 주제를 읽어보십시오.
IPS 정책 및 IPS 정책 템플릿을 생성합니다. IPS 정책 생성 및 IPS 정책 템플릿 생성의 내용을 참조하십시오.
이 페이지에서는 일치하는 트래픽 패턴이 발견될 때 취해야 할 조치를 정의하는 침입 방지 시스템(IPS) 규칙을 생성합니다. IPS 정책에 규칙을 추가, 편집 또는 삭제할 수 있습니다.
IPS 정책을 생성하는 동안 사전 정의된 IPS 템플릿을 사용할 수 있습니다. 이러한 템플릿에는 공격 객체와 관련된 기본 작업을 사용하는 규칙이 포함되어 있습니다. 자체 소스 및 대상 주소를 선택하고 보안 요구 사항을 반영하는 IPS 작업을 선택하여 네트워크에서 작동하도록 이러한 템플릿을 사용자 지정할 수 있습니다.
IPS 규칙은 공격 객체를 사용하여 스테이트풀 시그니처 및 프로토콜 이상을 기반으로 알려진 공격과 알려지지 않은 공격을 탐지함으로써 공격으로부터 네트워크를 보호합니다. IPS 면제 규칙은 불필요한 알람이 생성되는 것을 방지합니다.
IPS 정책 규칙을 구성하려면 다음을 수행합니다.
- Configure > IPS Policy(IPS 정책) > Policies > or Templates(정책 또는 템플릿) 구성을 선택합니다.
- 생성된 정책에서 Add Rules(규칙 추가) 링크를 클릭합니다.
- Create(생성)를 클릭한 다음 IPS Rule(IPS 규칙) 또는 Exempt Rule(예외 규칙)을 선택합니다.
- 표 1과 표 2에 제공된 지침에 따라 구성을 완료합니다.
- 게시를 클릭합니다.
구성이 포함된 새 IPS 규칙이 생성됩니다. IPS 정책 또는 IPS 정책 템플릿에서 이 규칙을 사용할 수 있습니다.
설정 |
가이드 |
---|---|
이름 |
영숫자 문자, 콜론, 마침표, 대시 및 밑줄의 고유한 문자열을 입력합니다. 공백은 허용되지 않으며 최대 길이는 255자입니다. |
IPS 유형 |
지정된 유형의 규칙을 표시합니다. 예를 들어, IPS, Exempt. |
Src. 구역 |
Source Zone(소스 영역) 필드를 클릭하고 소스 영역 편집기 설정을 구성합니다. |
소스 영역 편집기 |
|
영역 |
소스에 대한 영역을 선택합니다. 영역 예외를 사용하여 각 장치의 영역에 고유하게 지정할 수도 있습니다. 모든 영역에서 발생하는 네트워크 트래픽을 모니터링하려면 any를 지정합니다. 기본값은 any입니다. |
Src. 주소 |
Source Address(소스 주소) 필드를 클릭하고 소스 주소 설정을 구성합니다. |
소스 주소 |
|
주소 선택 |
규칙에 대해 선택한 주소 목록에서 주소를 포함하거나 제외합니다. 소스 개체의 IP 주소를 포함하도록 선택할 수도 있습니다. |
주소 |
사용 가능 열에서 사용 가능한 IP 주소를 하나 이상 선택하여 규칙에 대해 선택한 목록에 포함합니다. |
새 소스 주소 추가 |
버튼을 클릭하여 새 소스 주소를 추가합니다. |
Dest. 구역 |
대상 영역 필드를 클릭하고 대상 영역 편집기 설정을 구성합니다. |
대상 영역 편집기 |
|
영역 |
대상에 대한 영역을 선택합니다. 영역 예외를 사용하여 각 장치에 대해 고유한 영역부터 지정할 수도 있습니다. 모든 영역에 대한 네트워크 트래픽을 모니터링하려면 any를 지정합니다. 기본값은 any입니다. |
Dest. 주소 |
대상 주소 필드를 클릭하고 대상 주소 설정을 구성합니다. |
목적지 주소 |
|
주소 선택 |
규칙에 대해 선택한 주소 목록에서 주소를 포함하거나 제외합니다. 소스 개체의 IP 주소를 포함하도록 선택할 수도 있습니다. |
주소 |
사용 가능 열에서 사용 가능한 IP 주소를 하나 이상 선택하여 정책 규칙의 선택된 목록에 포함합니다. |
새 목적지 주소 추가 |
버튼을 클릭하여 새 목적지 주소를 추가합니다. |
서비스 |
서비스 필드를 클릭하고 서비스 편집기 설정을 구성합니다. |
서비스 편집기 |
|
서비스 |
정책 규칙에 사용할 수 있는 서비스를 선택합니다. 예를 들어:
기본값은 Default입니다.Security Director의 서비스는 DNS(Domain Name System)와 같은 디바이스의 애플리케이션을 나타냅니다. 서비스는 프로토콜 및 포트를 기반으로 하며, 정책에 추가되면 Security Director가 관리하는 모든 디바이스에 적용할 수 있습니다. |
새로운 서비스 추가 |
버튼을 클릭하여 새 서비스를 추가합니다. |
IPS 시그니처 |
IPS 시그니처 필드를 클릭하고 IPS 시그니처 설정을 구성합니다. |
IPS 시그니처 |
|
IPS 시그니처 |
사용 가능(Available) 열에서 하나 이상의 사용 가능한 IPS 시그니처를 선택하여 정책 규칙의 선택된 목록에 포함시킵니다. |
새 IPS 시그니처 추가 |
버튼을 클릭하여 새 IPS 서명을 추가합니다. |
작업 |
작업 필드를 클릭하고 작업 설정을 구성합니다. |
작업 |
|
작업 |
모니터링되는 트래픽이 규칙에 지정된 공격 객체와 일치할 때 IPS가 수행할 조치에 대한 옵션을 선택합니다.
참고:
DSCP 값은 공격으로 탐지된 첫 번째 패킷에는 적용되지 않지만 후속 패킷에 적용됩니다. |
알림 옵션 |
알림 필드를 클릭하고 알림 설정을 구성합니다. |
알림 옵션 |
|
공격 로깅 |
공격을 기록하려면 이 옵션을 활성화합니다. |
경고 플래그 |
공격 로그에 경고 플래그를 추가하려면 이 옵션을 사용하도록 설정합니다. |
로그 패킷 |
이 옵션을 활성화하면 규칙이 일치할 때 패킷 캡처를 기록할 수 있습니다. |
이전 패킷 |
공격이 캡처되기 전에 처리된 패킷 수를 입력합니다. |
이후 패킷 |
공격이 캡처된 후 처리된 패킷 수를 입력합니다. |
게시 창 시간 초과 |
세션에 대한 공격 후 패킷을 캡처하기 위한 시간 제한을 입력합니다. 시간 초과가 만료된 후에는 패킷 캡처가 수행되지 않습니다. 범위는 0초에서 1800초 사이입니다. |
IP 작업 옵션 |
IP 작업 필드를 클릭하고 IP 작업 설정을 구성합니다. |
IP 작업 옵션 |
|
IP 작업 |
동일한 IP 작업 속성을 사용하는 향후 연결에 작업을 적용하려면 옵션을 선택합니다.
|
IP 대상 |
향후 연결을 차단하는 옵션을 선택합니다.
|
새로 고침 시간 초과 |
향후 연결이 IP 작업 필터와 일치할 때 만료되지 않도록 IP 작업 시간 제한을 새로 고치려면 이 옵션을 사용하도록 설정합니다. |
시간 초과 값 |
트래픽 일치 후 IP 작업이 계속 적용될 시간(초)을 입력합니다. 기본값은 0초이고 범위는 0초에서 64,800초 사이입니다. |
로그 작성 |
규칙과 일치하는 트래픽에 대한 IP 작업에 대한 정보를 기록하려면 이 옵션을 활성화합니다. |
로그 생성 |
IP 작업 필터에 로그 이벤트를 생성하려면 이 옵션을 사용하도록 설정합니다. |
추가 옵션 |
추가 필드를 클릭하고 추가 설정을 구성합니다. |
추가 옵션 |
|
심각도 |
규칙에서 상속된 공격 심각도를 재정의할 심각도 수준을 선택합니다. 수준은 심각도가 증가하는 순서대로 정보, 경고, 사소함, 주요, 중요입니다. 가장 위험한 수준은 서버를 충돌시키거나 네트워크를 제어하려고 시도하는 위험입니다. 정보 제공은 가장 위험하지 않은 수준으로, 네트워크 관리자가 보안 시스템의 허점을 발견하는 데 사용합니다. |
터미널 |
이 옵션을 활성화하면 터미널 규칙 플래그를 설정할 수 있습니다. 터미널 규칙이 일치하면 디바이스는 세션에 대한 규칙 일치를 중지합니다. |
설명 |
IPS 정책 규칙에 대한 설명을 입력합니다. 최대 길이는 4096자입니다. |
설정 |
가이드 |
---|---|
이름 |
영숫자 문자, 콜론, 마침표, 대시 및 밑줄의 고유한 문자열을 입력합니다. 공백은 허용되지 않으며 최대 길이는 63자입니다. |
IPS 유형 |
지정된 유형의 규칙을 표시합니다. 예를 들어, IPS, Exempt. |
IPS 시그니처 |
IPS 시그니처 필드를 클릭하고 IPS 시그니처 설정을 구성합니다. |
IPS 시그니처 |
|
IPS 시그니처 |
사용 가능(Available) 열에서 하나 이상의 사용 가능한 IPS 시그니처를 선택하여 정책 규칙의 선택된 목록에 포함시킵니다. |
새 IPS 시그니처 추가 |
버튼을 클릭하여 새 IPS 서명을 추가합니다. |
작업 |
작업 필드를 클릭하고 작업 설정을 구성합니다. |
작업 |
|
작업 |
모니터링되는 트래픽이 규칙에 지정된 공격 객체와 일치할 때 IPS가 수행할 조치에 대한 옵션을 선택합니다.
참고:
DSCP 값은 공격으로 탐지된 첫 번째 패킷에는 적용되지 않지만 후속 패킷에 적용됩니다. |
알림 옵션 |
알림 필드를 클릭하고 알림 설정을 구성합니다. |
알림 옵션 |
|
공격 로깅 |
공격을 기록하려면 이 옵션을 활성화합니다. |
경고 플래그 |
공격 로그에 경고 플래그를 추가하려면 이 옵션을 사용하도록 설정합니다. |
로그 패킷 |
이 옵션을 활성화하면 규칙이 일치할 때 패킷 캡처를 기록할 수 있습니다. |
이전 패킷 |
공격이 캡처되기 전에 처리된 패킷 수를 입력합니다. |
이후 패킷 |
공격이 캡처된 후 처리된 패킷 수를 입력합니다. |
게시 창 시간 초과 |
세션에 대한 공격 후 패킷을 캡처하기 위한 시간 제한을 입력합니다. 시간 초과가 만료된 후에는 패킷 캡처가 수행되지 않습니다. 범위는 0초에서 1800초 사이입니다. |
IP 작업 옵션 |
IP 작업 필드를 클릭하고 IP 작업 설정을 구성합니다. |
IP 작업 옵션 |
|
IP 작업 |
동일한 IP 작업 속성을 사용하는 향후 연결에 작업을 적용하려면 옵션을 선택합니다.
|
IP 대상 |
향후 연결을 차단하는 옵션을 선택합니다.
|
새로 고침 시간 초과 |
향후 연결이 IP 작업 필터와 일치할 때 만료되지 않도록 IP 작업 시간 제한을 새로 고치려면 이 옵션을 사용하도록 설정합니다. |
시간 초과 값 |
트래픽 일치 후 IP 작업이 계속 적용될 시간(초)을 입력합니다. 기본값은 0초이고 범위는 0초에서 64,800초 사이입니다. |
로그 작성 |
규칙과 일치하는 트래픽에 대한 IP 작업에 대한 정보를 기록하려면 이 옵션을 활성화합니다. |
로그 생성 |
IP 작업 필터에 로그 이벤트를 생성하려면 이 옵션을 사용하도록 설정합니다. |
추가 옵션 |
추가 필드를 클릭하고 추가 설정을 구성합니다. |
추가 옵션 |
|
심각도 |
규칙에서 상속된 공격 심각도를 재정의할 심각도 수준을 선택합니다. 수준은 심각도가 증가하는 순서대로 정보, 경고, 사소함, 주요, 중요입니다. 가장 위험한 수준은 서버를 충돌시키거나 네트워크를 제어하려고 시도하는 위험입니다. 정보 제공은 가장 위험하지 않은 수준으로, 네트워크 관리자가 보안 시스템의 허점을 발견하는 데 사용합니다. |
터미널 |
이 옵션을 활성화하면 터미널 규칙 플래그를 설정할 수 있습니다. 터미널 규칙이 일치하면 디바이스는 세션에 대한 규칙 일치를 중지합니다. |
설명 |
IPS 정책 규칙에 대한 설명을 입력합니다. 최대 길이는 1024자입니다. |