방화벽 정책 규칙 생성

General Information

규칙 이름

영숫자, 콜론, 마침표, 대시 및 밑줄로 구성된 고유한 문자열을 입력합니다. 공백은 허용되지 않으며 ; 최대 길이는 63자입니다.

묘사

정책 규칙에 대한 설명을 입력합니다. 최대 길이는 1024자입니다. 이 필드에 입력한 코멘트는 디바이스로 전송됩니다.

Identify the traffic that the rule applies to

(출처) 구역

SRX 시리즈 디바이스의 경우, 소스 영역(from-zone)을 지정하여 정책에 대한 컨텍스트를 정의합니다. 영역 정책은 하나의 보안 영역(소스 영역)에서 다른 보안 영역(대상 영역)으로 들어오는 트래픽에 적용됩니다. 원본 영역과 대상 영역의 이러한 조합을 컨텍스트라고 합니다.

Junos Space Security Director 릴리스 16.2부터 MX 시리즈 라우터의 경우 소스 영역 필드는 패킷이 들어가는 수신 인터페이스 역할을 합니다. 패킷이 인터페이스에 들어가는 경우 일치 방향이 입력됩니다. 패킷이 인터페이스를 떠나는 경우 일치 방향이 출력됩니다. 어그리게이션 멀티서비스(AMS) 값을 선택하여 수신 키를 구성합니다.

Junos Space Security Director 릴리스 16.2부터는 SRX 시리즈 디바이스와 MX 시리즈 라우터를 동일한 그룹 정책에 할당할 때 다형성 영역을 소스 영역과 대상 영역으로 사용할 수 있습니다.

(출처) 주소(들)

하나 이상의 주소 이름 또는 주소 집합 이름을 입력합니다. 선택을 클릭하여 소스 주소를 추가합니다.

Source Address(소스 주소) 페이지에서 다음을 수행합니다.

• Include Any Address(모든 주소 포함) - 방화벽 규칙에 모든 주소를 추가합니다.

• Include Specific(특정 포함) - 선택한 소스 주소를 규칙에 추가합니다.

  NSX Manager를 추가하면 보안 그룹이 동기화되고 해당 DAG(동적 주소 그룹)가 Security Director 데이터베이스에 생성됩니다. NSX Manager의 경우 목록에서 필요한 DAG를 선택합니다.

• Exclude Specific(특정 제외) - 선택한 소스 주소를 규칙에서 제외합니다.

• By Metadata Filter(메타데이터 필터별) - 사용자 정의 메타데이터와 일치하는 주소를 소스 주소로 선택합니다.

  • 메타데이터 필터 - 필드를 클릭하여 목록에서 필요한 메타데이터를 선택합니다. 일치하는 주소가 필터링되어 일치하는 주소 필드에 나열됩니다.

  • 일치하는 주소 - 선택한 메타데이터와 일치하는 주소를 나열합니다. 이 주소는 소스 주소로 사용됩니다.

    모든 메타데이터 식에 대해 고유한 DAG(동적 주소 그룹)가 만들어집니다. 이 DAG에는 Security Director의 피드 서버 URL을 가리키는 피드 서버 URL이 있습니다.

    이제 Office 365가 타사 피드 목록에 포함되어 Microsoft Office 365 서비스 엔드포인트 정보(IP 주소)를 SRX 시리즈 디바이스로 푸시합니다. 이 피드는 다른 피드와 다르게 작동하며 미리 정의된 이름 'ipfilter_office365'를 비롯한 특정 구성 매개 변수가 필요합니다. 주니퍼 ATP 클라우드에서 Office 365 피드를 사용하도록 설정해야 합니다. 주니퍼 ATP 클라우드에서 Office 365 피드를 사용하도록 설정하고 ipfilter_office365 피드를 참조하는 DAG를 SRX 시리즈 디바이스에서 만드는 방법을 이해하려면 타사 위협 피드 사용을 참조하십시오.

    메타데이터 기반 정책에 따라 작동하는 각 SRX 시리즈 디바이스 또는 vSRX에 대해 다음 CLI 명령을 사용하여 피드 서버 URL을 구성합니다.

    set security dynamic-address feed-server <SD IP Address> hostname <SD IP Address>

주소 및 주소 그룹 생성을 참조하십시오.

(출처) 사용자 ID

정책의 일치 기준으로 사용할 소스 ID(사용자 및 역할)를 지정합니다. 사용자 역할 및 사용자 그룹에 따라 다른 정책 규칙을 가질 수 있습니다.

Select(선택)를 클릭하여 허용 또는 거부할 소스 ID를 지정합니다. 사용자 ID 페이지의 사용 가능한 목록에서 사용자 ID를 선택하거나 새 사용자 ID 추가를 클릭하여 새 ID를 추가할 수 있습니다.

Security Director 데이터베이스에서 사용자 ID를 삭제하려면 사용자 ID 삭제 를 클릭하고 드롭다운 목록에서 어떤 정책에도 구성되지 않은 값을 선택합니다. 정책에 구성된 사용자 ID를 삭제하려고 하면 참조 ID 및 사용자 ID가 포함된 메시지가 표시됩니다.

(출처) 최종 사용자 프로필

목록에서 최종 사용자 프로필을 선택합니다. 방화벽 정책 규칙이 적용됩니다.

디바이스 A의 트래픽이 SRX 시리즈 디바이스에 도착하면 SRX 시리즈는 첫 번째 트래픽 패킷에서 디바이스 A의 IP 주소를 획득하고 이를 사용하여 디바이스 ID 인증 테이블에서 일치하는 디바이스 ID 항목을 검색합니다. 그런 다음 해당 디바이스 ID 프로필을 End User Profile(최종 사용자 프로필) 필드에 디바이스 ID 프로필 이름이 지정된 보안 정책과 일치시킵니다. 일치하는 항목이 발견되면 디바이스 A에서 발급되는 트래픽에 보안 정책이 적용됩니다.

(대상) 구역

SRX 시리즈 디바이스의 경우, 대상 영역(to-zone)을 지정하여 정책에 대한 컨텍스트를 정의합니다. 영역 정책은 하나의 보안 영역(소스 영역)에서 다른 보안 영역(대상 영역)으로 들어오는 트래픽에 적용됩니다. 원본 영역과 대상 영역의 이러한 조합을 컨텍스트라고 합니다.

Junos Space Security Director 릴리스 16.2부터 MX 시리즈 라우터의 경우 이 필드는 패킷이 들어가는 송신 인터페이스 역할을 합니다. 패킷이 인터페이스에 들어가는 경우 일치 방향이 입력됩니다. 패킷이 인터페이스를 떠나는 경우 일치 방향이 출력됩니다. 어그리게이션 멀티서비스(AMS) 값을 선택하여 송신 키를 구성합니다.

SRX 시리즈 디바이스와 MX 시리즈 라우터를 동일한 그룹 정책에 할당하면 다형성 영역을 소스 영역과 대상 영역으로 사용할 수 있습니다.

(대상) 주소(들)

하나 이상의 주소 이름 또는 주소 집합을 선택합니다. 선택(Select )을 클릭하여 대상 주소를 추가합니다.

Destination Address(대상 주소) 페이지에서 다음을 수행합니다.

• 포함 옵션을 선택하여 선택한 대상 주소 또는 주소를 규칙에 추가합니다.

• 제외 옵션을 선택하여 선택한 대상 주소를 규칙에서 제외합니다.

• 메타데이터 필터별 옵션을 선택하여 사용자 정의 메타데이터의 일치하는 주소를 대상 주소로 선택합니다.

  • 메타데이터 필터 - 필드를 클릭하여 목록에서 필요한 메타데이터를 선택합니다. 일치하는 주소가 필터링되어 일치하는 주소 필드에 나열됩니다.

  • 일치하는 주소 - 선택한 메타데이터와 일치하는 주소를 나열합니다. 이 주소는 대상 주소로 사용됩니다.

    모든 메타데이터 식에 대해 고유한 DAG(동적 주소 그룹)가 만들어집니다. 이 DAG에는 Security Director의 피드 서버 URL을 가리키는 피드 서버 URL이 있습니다.

    이제 Office 365가 타사 피드 목록에 포함되어 Microsoft Office 365 서비스 엔드포인트 정보(IP 주소)를 SRX 시리즈 디바이스로 푸시합니다. 이 피드는 다른 피드와 다르게 작동하며 미리 정의된 이름 'ipfilter_office365'를 비롯한 특정 구성 매개 변수가 필요합니다. 주니퍼 ATP 클라우드에서 Office 365 피드를 사용하도록 설정해야 합니다. 주니퍼 ATP 클라우드에서 Office 365 피드를 사용하도록 설정하고 ipfilter_office365 피드를 참조하는 DAG를 SRX 시리즈 디바이스에서 만드는 방법을 이해하려면 타사 위협 피드 사용을 참조하십시오.

    메타데이터 기반 정책에 따라 작동하는 각 SRX 시리즈 디바이스 또는 vSRX에 대해 다음 CLI 명령을 사용하여 피드 서버 URL을 구성합니다.

    set security dynamic-address feed-server <SD IP Address> hostname <SD IP Address>

주소 및 주소 그룹 생성을 참조하십시오.

(대상) URL 범주

하나 이상의 사전 정의된 URL 범주 또는 사용자 지정 URL 범주를 일치 기준으로 선택합니다. URL 범주는 Junos OS 릴리스 18.4R3 이상을 실행하는 디바이스에서 지원됩니다.

선택을 클릭하여 URL 범주를 선택합니다. [사용 가능] 목록에서 미리 정의된 URL 범주 또는 사용자 지정 URL 범주를 하나 이상 선택하고 [선택됨] 목록으로 이동합니다. 확인을 클릭합니다.

(서비스 프로토콜) 서비스

하나 이상의 서비스(애플리케이션) 이름을 선택합니다. 포함, 모든 서비스를 선택하여 서비스 목록 빌더에서 any 옵션을 비활성화합니다. 모든 서비스 확인란의 선택을 취소하여 서비스 목록 작성기 사용 가능 열에서 서비스를 허용하거나 거부합니다. Add New Service(새 서비스 추가)를 클릭하여 서비스를 생성합니다. 서비스 및 서비스 그룹 만들기를 참조하십시오.

애플리케이션 시그니처

+ 아이콘을 클릭하여 애플리케이션 서명을 추가합니다. 사전 정의된 애플리케이션 서명과 사용자 지정 애플리케이션 서명을 모두 추가할 수 있습니다.

Advanced Security

규칙 작업(Rule Action)

작업은 지정된 기준과 일치하는 모든 트래픽에 적용됩니다.

• Deny—디바이스는 세션의 모든 패킷을 자동으로 삭제하고 TCP 재설정 또는 ICMP 도달 불가 등의 활성 제어 메시지를 전송하지 않습니다.

• 거부—프로토콜이 TCP인 경우 디바이스가 TCP 재설정을 전송하고, 프로토콜이 UDP, ICMP 또는 기타 IP 프로토콜인 경우 디바이스가 ICMP 재설정을 전송합니다. 이 옵션은 신뢰할 수 있는 리소스에 직면할 때 유용하므로 애플리케이션이 시간 초과를 기다리는 데 시간을 낭비하지 않고 대신 활성 메시지를 가져옵니다.

• Permit(허용) - 디바이스는 정책에 적용한 방화벽 인증 유형을 사용하여 트래픽을 허용합니다.

• Tunnel(터널) - 디바이스는 정책에 적용한 VPN 터널링 옵션 유형을 사용하여 트래픽을 허용합니다.

고급 보안

방화벽 정책은 정책 일치 기준을 통해 지시하는 트래픽으로만 네트워크 트래픽을 제한하도록 하는 핵심 보안 계층을 제공합니다.

방화벽 정책은 정책 일치 기준을 통해 지시하는 트래픽으로만 네트워크 트래픽을 제한하도록 하는 핵심 보안 계층을 제공합니다. 기존 정책으로 충분하지 않은 경우 애플리케이션 식별 구성 요소를 선택하여 정책에 대한 고급 보안 프로필을 생성합니다.

• App Firewall(앱 방화벽) - 응용 프로그램 방화벽을 계층화하면서 트래픽에 기존 방화벽 제어를 적용하여 응용 프로그램이 포트 정보뿐만 아니라 클라이언트와 서버 간에 전송되는 내용도 준수하도록 하려면 이 옵션을 선택합니다. 응용 프로그램을 허용, 거부 및 거부할 수 있습니다. HTTP 및 HTTPS에 대한 특별한 리디렉션 기능도 있습니다.

  Add New(새로 추가) 링크를 클릭하여 응용 프로그램 방화벽 정책을 만들고 Add New APPFW Rule(새 APPFW 규칙 추가)을 클릭하여 규칙을 만듭니다. Application Firewall 정책 만들기를 참조하십시오.

• SSL Forward Proxy(SSL 포워드 프록시) - 인터넷에 암호화 기술을 제공하는 애플리케이션 수준 프로토콜을 활성화하려면 이 옵션을 선택합니다.

  Add Forward Proxy(포워드 프록시 추가)를 클릭하여 SSL Forward Proxy Profiles(SSL 포워드 프록시 프로파일)를 생성합니다. SSL 포워드 프록시 프로파일 생성을 참조하십시오.

  Add Reverse Proxy(역방향 프록시 추가)를 클릭하여 SSL Reverse Proxy Profiles(SSL 역방향 프록시 프로파일)를 생성합니다. SSL 역방향 프록시 프로파일 생성을 참조하십시오.

• IPS(침입 방지 시스템) - IPS 값을 On(켜기) 또는 Off(끄기)로 선택합니다.

• IPS Policy(IPS 정책) - 표준 방화벽 정책 내에서 IPS 정책에 대한 지원을 제공합니다. 방화벽 정책에 할당할 IPS 정책을 선택합니다. 디바이스에 할당되지 않은 IPS 정책이 드롭다운에 나열됩니다.

  Junos OS 릴리스 18.2 이상을 사용하는 디바이스의 경우, 할당된 IPS 정책에 대한 CLI 구성이 표준 방화벽 정책과 함께 생성됩니다.

  메모:

  규칙 작업은 허용이어야 합니다.

  • Junos OS 릴리스 18.1 이전 버전에서 IPS를 켜짐 또는 꺼짐으로 사용하고 IPS 정책을 모두 사용하여 정책을 구성한 경우, Security Director는 IPS 정책을 무시하고 IPS On CLI 명령만 디바이스로 보냅니다.

  • Junos OS 릴리스 18.2 이상에서 IPS를 켜짐 또는 꺼짐으로 사용하고 IPS 정책을 모두 사용하여 정책을 구성한 경우, Security Director는 IPS On CLI 명령을 무시하고 IPS 정책 CLI 명령만 디바이스로 보냅니다.

• UTM - 클라이언트 측 위협에 대한 레이어 7 보호를 정의하려면 이 옵션을 선택합니다.

  새로 추가를 클릭하여 Content Security 정책을 만듭니다. UTM 정책 작성을 참조하십시오.

• Secure Web Proxy(보안 웹 프록시 프로파일) - Create a Secure Web Proxy Profile(보안 웹 프록시 프로파일 생성)에서 생성한 보안 Web 프록시 프로파일을 선택합니다.

  보안 웹 프록시를 사용하여 선택한 응용 프로그램에 대한 트래픽이 외부 프록시 서버를 우회하여 웹 서버로 직접 전송되도록 할 수 있습니다.

• Threat Prevention Policy(위협 방지 정책) - 명령 및 제어 서버, 감염된 호스트 및 악성코드를 포함하여 선택한 위협 프로파일에 대한 보호 및 모니터링을 제공하려면 옵션을 선택합니다.

위협 프로파일링(Threat Profiling)

주니퍼 ATP 클라우드 능동형 위협 프로파일링을 사용하면 SRX 시리즈 디바이스가 자체 고급 탐지 및 정책 일치 이벤트를 기반으로 위협 피드를 생성, 전파 및 소비할 수 있습니다.

Junos Space Security Director 릴리스 21.2부터 소스 및 대상 주소를 위협 유형으로 사용하여 방화벽 정책을 구성할 수 있습니다. 이 방화벽 정책은 트래픽이 규칙과 일치할 때 선택한 위협 피드에 소스 IP 주소와 대상 IP 주소를 삽입합니다. 위협 피드는 다른 디바이스에서 DAG(동적 주소 그룹)로 활용될 수 있습니다.

피드에 소스 IP 추가 - 목록에서 보안 피드를 선택합니다. 트래픽이 규칙과 일치하면 소스 IP 주소가 위협 피드에 추가됩니다.

피드에 대상 IP 추가 - 목록에서 보안 피드를 선택합니다. 트래픽이 규칙과 일치하면 대상 IP 주소가 위협 피드에 추가됩니다.

Rule Options

윤곽

기본 프로필 또는 사용자 지정 프로필을 선택하거나 다른 정책에서 정책 프로필을 상속할 수 있습니다. 정책 프로필은 보안 정책의 기본 설정을 지정합니다. 방화벽 정책 프로필 생성을 참조하십시오.

일정

정책 일정을 사용하면 정책이 활성화되는 시점을 정의할 수 있으며, 이는 암시적 일치 기준이 됩니다. 정책이 활성화되는 요일과 시간을 정의할 수 있습니다. 예를 들어, 업무 시간에 따라 액세스를 열거나 닫는 보안 정책을 정의할 수 있습니다. 여러 스케줄러를 서로 다른 정책에 적용할 수 있지만 정책당 하나의 스케줄러만 활성화할 수 있습니다. 미리 저장된 스케줄을 선택하면 스케줄 옵션이 선택한 스케줄의 데이터로 채워집니다. 새로 만들기 를 클릭하여 다른 일정을 만듭니다.

Rule Analysis

새 규칙, 분석 수행

규칙을 분석하여 변칙을 방지하려면 이 옵션을 선택합니다.

Rule Placement

위치/시퀀스

시퀀스 번호와 규칙이 배치된 순서를 표시합니다.