허용 목록 및 차단 목록 만들기
허용 목록 또는 차단 목록 > 구성에서 이러한 페이지에 액세스합니다.
이러한 페이지를 사용하여 신뢰할 수 있는 사용자 지정 목록과 신뢰할 수 없는 목록을 구성합니다. 해시 파일을 업로드할 수도 있습니다.
허용 목록의 위치에서 다운로드한 콘텐츠는 신뢰할 수 있으며 멀웨어를 검사할 필요가 없습니다. 호스트는 해당 위치가 신뢰할 수 없기 때문에 차단 목록의 위치에서 콘텐츠를 다운로드할 수 없습니다.
허용 목록 및 차단 목록 개요 주제를 읽어보십시오.
URL, IP, 해시, 이메일 발신자, C&C, ETI 또는 DNS,
현재 목록 항목을 검토하여 추가하는 항목이 아직 존재하지 않았는지 확인합니다.
해시 파일을 업로드하는 경우 파일은 각 해시가 있는 텍스트 파일에 있어야 합니다.
JUNIPER ATP 클라우드 허용 목록 또는 차단 목록을 생성하려면 다음을 수행합니다.
각 탭에서 필요한 데이터에 대해 다음 표를 참조하십시오.
Ip
새 IP 목록 항목을 만들 때 목록의 유형을 IP로 선택해야 합니다. 필요한 정보를 입력해야 합니다. 다음 표를 참조하십시오.
설정 |
지침 |
---|---|
Ip |
IPv4 또는 IPv6 IP 주소를 입력합니다. 예를 들어: 1.2.3.4 또는 0:0:0:0:0:FFFF:0102:0304. CIDR 표기법 및 IP 주소 범위도 허용됩니다. 1.2.3.4, 1.2.3.4/30 또는 1.2.3.4-1.2.3.6 등 모든 IPv4 형식이 유효합니다. 다음 IPv6 형식 중 어느 것이든 유효합니다. 1111::1, 1111:1-1111::9 또는 1111:1:0/64.
참고:
주소 범위: /16 IPv4 주소 및 /48 IPv6 주소 블록 이상이 허용됩니다. 예를 들어, 10.0.0.0-10.0.255.255는 유효하지만 10.0.0.0-10.1.0.0은 아닙니다. 비트마스크: IPv4의 서브넷 레코드에서 비트마스크로 적용되는 IP 주소의 최대 양은 16개이고 IPv6의 경우 48개입니다. 예를 들어, 10.0.0.0/15 및 1234:::/47은 유효하지 않습니다. |
참고:
기존 허용 목록 또는 차단 목록 IP 항목을 편집하려면 편집할 항목 옆에 있는 확인란을 선택하고, 연필 아이콘을 클릭한 후 [확인]을 클릭합니다. |
Url
새 URL 목록 항목을 만들 때 목록 유형( URL)을 선택해야 합니다. 필요한 정보를 입력합니다. 다음 표를 참조하십시오.
설정 |
지침 |
---|---|
Url |
다음 형식을 사용하여 URL을 입력합니다: juniper.net. 와일드카드 및 프로토콜은 유효하지 않은 항목입니다. 시스템은 URL의 시작과 끝에 와일드카드를 자동으로 추가합니다. 따라서 juniper.net a.juniper.net, a.b.juniper.net 및 a.juniper.net/abc 일치합니다. a.juniper.net 명시적으로 입력하면 b.a.juniper.net 일치하지만 c.juniper.net 일치하지는 않습니다. 특정 경로를 입력할 수 있습니다. juniper.net/abc 입력하면 x.juniper.net/abc 일치하지만 x.juniper.net/123 일치하지는 않습니다. |
참고:
기존 허용 목록 또는 차단 목록 URL 항목을 편집하려면 편집할 항목 옆에 있는 확인란을 선택하고 연필 아이콘을 클릭한 후 [확인]을 클릭합니다. |
해시 파일
해시 파일을 업로드할 때는 각 해시가 있는 텍스트 파일에 있어야 합니다. 해시 파일을 실행하는 파일 하나만 가질 수 있습니다. 추가하거나 편집하려면 다음 표의 지침을 참조하십시오.
필드 |
지침 |
---|---|
필터링을 위한 사용자 지정 허용 목록 및 차단 목록 해시를 추가할 수 있지만 각 항목이 한 줄에 있는 텍스트 파일에 나열되어야 합니다. 최대 15,000개의 파일 해시를 포함하는 실행 중인 해시 파일 하나만 가질 수 있습니다. 이것은 "현재" 목록이지만 언제든지 추가, 편집 및 삭제할 수 있습니다. |
|
SHA-256 해시 아이템 |
해시 항목을 추가하려면 여러 텍스트 파일을 업로드할 수 있으며, 이 파일은 자동으로 하나의 파일로 결합됩니다. 아래에서 모두, 병합, 삭제, 교체 옵션을 참조하십시오. 다운로드 - 이 버튼을 클릭하여 텍스트 파일을 보거나 편집하려면 텍스트 파일을 다운로드하십시오. 해시 파일 항목 업로드 옵션 드롭다운 목록에서 다음 옵션 중 원하는 옵션을 선택할 수 있습니다.
모두 삭제 또는 선택된 삭제 - 현재 목록을 다운로드하여 편집하는 것보다 현재 목록을 삭제하는 것이 더 효율적일 때도 있습니다. 이 버튼을 클릭하여 현재 선택한 목록 또는 여기에 추가 및 누적된 모든 목록을 삭제합니다. |
소스 |
이는 허용 목록 또는 차단 목록 중 하나를 말합니다. |
추가일 |
해시 파일이 마지막으로 업로드 또는 편집된 달, 날짜, 연도 및 시간입니다. |
이메일 발신자
이메일 통신의 발신자 또는 수신자 중 하나에서 발견되는 경우 허용 목록 또는 차단 목록으로 이메일 주소를 추가합니다. + 아이콘을 사용하여 주소를 한 번에 하나씩 추가합니다.
필드 |
지침 |
---|---|
이메일 주소 |
name@domain.com 형식으로 이메일 주소를 입력합니다. 와일드카드 및 부분 일치 항목은 지원되지 않지만 전체 도메인을 포함하려면 다음과 같이 도메인만 입력할 수 있습니다: domain.com |
이메일이 차단 목록과 일치하는 경우 악의적인 것으로 간주되며 악의적인 첨부 파일이 포함된 이메일과 동일한 방식으로 처리됩니다. 이메일이 차단되고 대체 이메일이 전송됩니다. 이메일이 허용 목록과 일치하는 경우 해당 이메일은 검사 없이 허용됩니다. SMTP 격리 개요: 차단된 이메일을 참조하십시오. 공격자가 이메일의 "보낸 것" 이메일 주소를 쉽게 가짜로 만들 수 있으므로 차단 목록이 악성 이메일을 차단하는 덜 효과적인 방법입니다. |
C&C 서버
C&C 서버를 허용하면 보안 인텔리전스 차단 목록 또는 C&C 피드(Juniper 글로벌 위협 피드 및 타사 피드 모두)에서 제외될 SRX 시리즈 디바이스로 IP 또는 호스트 이름이 전송됩니다. 이제 서버가 C&C 허용 목록 관리 페이지에 나열됩니다.
C&C 서버 데이터를 수동으로 입력하거나 서버 목록을 업로드할 수 있습니다. 이 목록은 각 IP 또는 도메인이 자체 단일 줄에 있는 텍스트 파일이어야 합니다. 텍스트 파일에는 각각 자체 파일에 모든 IP 또는 모든 도메인이 포함되어야 합니다. 여러 파일을 한 번에 하나씩 업로드할 수 있습니다.
위협 인텔리전스 API를 사용하여 허용 목록 및 차단 목록 항목을 관리할 수도 있습니다. 허용 목록/차단 목록 데이터에 항목을 추가할 때 ,'whitelist_domain' 또는 'whitelist_ip', 'blacklist_domain' 또는 'blacklist_ip'라는 피드 이름 아래의 위협 인텔리전스 API에서 사용할 수 있습니다. JUNIPER ATP 클라우드 위협 인텔리전스 개방형 API 설정 가이드에서 API 를 사용하여 사용자 지정 피드를 관리하는 방법을 자세히 알아보십시오.
필드 |
지침 |
---|---|
형식 |
허용 목록에 추가할 C&C 서버의 IP 주소를 입력하려면 IP를 선택합니다. 도메인을 선택하여 C&C 서버 목록의 전체 도메인을 허용합니다. |
IP 또는 도메인 |
IP의 경우 IPv4 또는 IPv6 주소를 입력합니다. IP는 IP 주소, IP 범위 또는 IP 서브넷일 수 있습니다. 도메인의 경우 다음 구문인 juniper.net 사용합니다. 와일드카드는 지원되지 않습니다. |
설명 |
항목이 목록에 추가된 이유를 나타내는 설명을 입력합니다. |
또한 C&C 모니터링 페이지 세부 정보 보기에서 C&C 서버를 직접 허용하실 수 있습니다. 명령 및 제어 서버 세부 정보를 참조하십시오.
경고:
C&C 서버를 허용 목록에 추가하면 자동으로 문제 해결 프로세스가 트리거되어 해당 영역의 해당 영역에서 whiltelisted C&C 서버에 접촉한 모든 영향을 받는 호스트를 업데이트합니다. 이 허용 목록에 있는 서버와 관련된 모든 C&C 이벤트는 영향을 받는 호스트의 이벤트에서 제거되며 호스트 위협 수준 재계산이 발생합니다. 이 재계산 중에 호스트 점수가 변경되면 기록된 이유를 설명하는 새로운 호스트 이벤트가 나타납니다. (예를 들어, "C&C 서버 1.2.3.4가 삭제된 후 호스트 위협 수준이 업데이트되었습니다.") 또한 서버는 삭제되었기 때문에 더 이상 C&C 서버 목록에 나타나지 않습니다. |
ETI(Encrypted Traffic Insights)
암호화된 트래픽 분석에서 허용하려는 IP 주소 또는 도메인 이름을 지정할 수 있습니다. 이 탭을 사용하여 암호화된 트래픽 분석을 위한 허용 목록을 추가, 수정 또는 삭제할 수 있습니다.
필드 |
지침 |
---|---|
형식 |
허용 목록에 대한 IP 주소 또는 도메인 이름을 지정할지 여부를 선택합니다. |
IP 또는 도메인 |
허용 목록에 대한 IP 주소 또는 도메인 이름을 입력합니다. |
DNS(Domain Name System)
DNS 필터링에서 허용하려는 도메인을 지정할 수 있습니다. 이 탭을 사용하여 DNS 필터링 허용 목록을 추가, 수정 또는 삭제할 수 있습니다.
필드 |
지침 |
---|---|
Url |
허용하려는 도메인에 대한 URL을 입력합니다. |
코멘트 |
도메인이 목록에 추가된 이유를 나타내는 설명을 입력합니다. |
Juniper ATP 클라우드는 새롭고 업데이트된 콘텐츠에 대해 주기적으로 폴을 하고 자동으로 SRX 시리즈 디바이스로 다운로드합니다. 허용 목록 또는 차단 목록 파일을 수동으로 푸시할 필요가 없습니다.
show security dynamic-address instance advanced-anti-malware
명령을 사용하여 SRX 시리즈 디바이스에서 사용자 정의 허용 목록 및 차단 목록을 볼 수 있습니다.
예: 보안 동적 주소 인스턴스 고급 안티 멀웨어 표시
user@host>show security dynamic-address instance advanced-anti-malware No. IP-start IP-end Feed Address 1 x.x.x.0 x.x.x.10 custom_whitelist ID-80000400 2 x.x.0.0 x.x.0.10 custom_blacklist ID-80000800 Instance advanced-anti-malware Total number of matching entries: 2