라이선스를 통해 다음을 수행할 수 있습니다.Base

• 디바이스를 구성하고 스위칭 및 라우팅(DHCP 릴레이 및 NAT 포함)을 수행합니다.

• 디바이스를 고가용성 쌍으로 구성합니다.

• 클러스터링 구성

• 액세스 제어 규칙에 사용자 및 애플리케이션 상태를 추가하여 사용자 및 애플리케이션 제어를 수행할 수 있습니다.

• VDB(취약점 데이터베이스) 및 GeoDB(지리적 데이터베이스)를 업데이트합니다.

• SRU/LSP와 같은 침입 규칙을 다운로드합니다. 그러나 위협 라이선스가 활성화되어 있지 않으면 액세스 제어 정책 또는 침입 정책이 있는 규칙을 디바이스에 구축할 수 없습니다.

Secure Firewall 3100

Secure Firewall 3100을 구매하면 Base 라이선스를 받게 됩니다.

다른 모든 모델

Specific License Reservation(특정 라이선스 예약)을 사용하는 구축을 제외하고 Base 라이선스는 디바이스를 management center에 등록하면 자동으로 사용자 어카운트에 추가됩니다. 특정 라이선스 예약의 경우 Base 라이선스를 어카운트에 추가해야 합니다.

악성코드 방어 라이선스를 사용하면 악성코드 대응 및 Secure Malware Analytics을 수행할 수 있습니다. 이러한 기능으로 디바이스를 사용하여 네트워크를 통해 전송된 파일에서 악성코드를 탐지 및 차단할 수 있습니다. 이러한 기능 라이선스를 지원하기 위해 악성코드 방어 (AMP) 서비스 구독을 독립형 구독으로 또는 위협 (TM) 또는 위협 및 URL 필터링 (TMC) 구독과 결합하여 구입할 수 있습니다.

참고	악성코드 방어 라이선스가 정기적으로 활성화되는 매니지드 디바이스는 사용자가 동적 분석을 구성하지 않은 경우에도 Secure Malware Analytics 클라우드 연결을 시도합니다. 따라서, 디바이스의 Interface Traffic(인터페이스 트래픽) 대시보드 위젯은 전송된 트래픽을 보여주며, 이는 예상된 작업입니다.

사용자는 파일 정책의 일부로서 악성코드 대응 를 구성한 후 하나 이상의 액세스 제어 규칙과 연결합니다. 파일 정책은 사용자가 특정 애플리케이션 프로토콜을 통해 특정 유형의 파일을 업로드 또는 다운로드하는지를 탐지할 수 있습니다. 악성코드 대응 을 통해 로컬 악성 코드 분석 및 파일 사전 분류를 사용하여 그러한 제한된 파일 유형의 집합에 악성코드가 있는지 검사할 수 있습니다. 또한 Secure Malware Analytics 클라우드에서 특정 파일 유형을 다운로드 및 전송하여 동적 분석과 Spero 분석으로 해당 파일에 악성코드가 포함되었는지 여부를 결정합니다. 이러한 파일에서 네트워크 파일 경로를 상세히 볼 수 있습니다. 악성코드 라이선스는 또한 특정 파일을 파일 목록에 추가하고 파일 정책 내에서 파일 목록을 활성화하며, 해당 파일이 탐지되면 자동으로 허용하거나 차단하도록 허용합니다.

참고로 악성코드 대응 및 Secure Malware Analytics를 구축하는 경우에만 악성코드 방어 라이선스가 필요합니다. 악성코드방어라이선스가 없는 경우, management center은 엔드포인트 Secure Endpoint 악성코드 이벤트 및 보안 침해 지표(IOC)를 Secure Malware Analytics 클라우드에서 받을 수 있습니다.

Cisco Secure Firewall Management Center 디바이스 구성 가이드의 파일 및 악성코드 정책에 대한 라이선스 요구 사항의 중요 정보도 참조하십시오.

이 라이선스를 비활성화하는 경우:

• 시스템에서 Secure Malware Analytics 클라우드에 대한 쿼리를 중단하며 Secure Malware Analytics 클라우드에서 전송한 회귀적 이벤트 확인도 중지합니다.

• 악성코드 대응 구성이 포함된 경우, 기존 액세스 제어 정책은 재적용할 수 없습니다.

• 악성코드 방어 라이선스가 비활성화된 매우 짧은 시간 동안 시스템은 기존에 캐시된 파일 상태를 사용할 수 있습니다. 시간대가 만료된 후 시스템은 해당 파일에 Unavailable(사용 불가) 속성을 할당합니다.

위협 라이선스는 침입 탐지 및 방지, 파일 제어 및 보안 인텔리전스 필터링을 수행할 수 있습니다.

• 침입 탐지 및 방지를 사용하면 침입 및 공격의 트래픽을 분석하고, 선택적으로 문제가 되는 패킷을 삭제할 수 있습니다.

• File control(파일 제어)를 사용하면 사용자가 특정 애플리케이션 프로토콜에 특정 유형의 파일을 업로드(전송)하거나 다운로드(수신)하는 것을 탐지하고, 선택적으로 차단할 수 있습니다. 악성코드 차단 라이선스가 필요한 악성코드 대응 는 제한적인 해당 파일 유형 집합을 속성에 따라 검사 및 차단할 수 있습니다.

• Security Intelligence filtering(보안 인텔리전스 필터링)을 사용하면 트래픽이 액세스 제어 규칙에 따라 분석의 대상이 되기 전에 특정 IP 주소, URL 및 DNS 도메인 이름을 차단 목록에 추가하고 이를 오고가는 트래픽을 거부할 수 있습니다. 동적 피드를 사용하면 최신 인텔리전스를 기반으로 연결을 즉시 차단할 수 있습니다. 경우에 따라 Seurity Intelligence 필터링에 "모니터링 전용" 설정을 사용할 수 있습니다.

위협 라이선스를 독립형 서브스크립션(T) 또는 URL 필터링 (TC), 악성코드 차단(TM)과 각각 결합하거나 동시에 결합(TMC)한 서브스크립션으로 구입할 수 있습니다.

이 라이선스를 비활성화하는 경우:

• management center이 영향을 받는 디바이스에서 침입 및 파일 이벤트 인지를 중단합니다. 결과적으로, 해당 이벤트를 트리거 기준으로 사용하는 상관성 규칙이 실행을 중지합니다.

• management center은 Cisco 제공 정보나 서드파티 Security Intelligence 정보를 검색하기 위해 인터넷에 접속하지 않습니다.

• 위협 라이선스를 다시 활성화할 때까지 현재 침입 정책을 다시 배포할 수 없습니다.

URL 필터링 라이선스를 사용하면 액세스 제어 규칙을 작성할 수 있습니다. 이 규칙은 모니터링된 호스트에서 요청하고 URL 정보와 상호 연결된 해당 URL을 기준으로 네트워크를 이동할 수 있는 트래픽을 결정합니다. 이러한 기능 라이선스를 지원하기 위해 URL 필터링 서비스 서브스크립션을 독립형 서브스크립션으로 또는 위협(TC)이나 위협 및 악성코드 방어(TMC) 서브스크립션과 결합하여 구입할 수 있습니다.

팁	URL 필터링 라이선스 없이, 허용하거나 차단할 개별 URL 또는 URL 그룹을 지정할 수 있습니다. 이 옵션을 통해 웹 트래픽에 대한 세분화된 사용자 지정 제어를 가질 수 있지만 URL 카테고리와 평판 데이터를 사용하여 네트워크 트래픽을 필터링할 수는 없습니다.

URL 필터링 라이선스 없이도 액세스 제어 규칙에 카테고리 및 평판 기반 URL 조건을 추가할 수 있지만, management center은 URL 정보를 다운로드하지 않습니다. 먼저 URL 필터링 라이센스를 management center에 추가한 후 정책의 대상이 되는 디바이스에서 활성화에 추가할 때까지 액세스 제어 정책을 구축할 수 없습니다.

이 라이선스를 비활성화하는 경우:

• URL 필터링에 액세스하지 못할 수 있습니다.

• URL 조건이 포함된 액세스 제어 규칙은 즉시 URL 필터링을 중지합니다.

• management center는 더 이상 URL 데이터에 대한 업데이트를 다운로드할 수 없습니다.

• 카테고리 및 평판 기반 URL 조건이 들어 있는 규칙을 포함하는 기존 액세스 제어 정책은 재적용할 수 없습니다.

AnyConnect Client 및 표준 기반 IPSec/IKEv2를 사용하여 원격 액세스 VPN을 구성할 수 있습니다.

원격 액세스 VPN을 사용하려면 AnyConnect Plus, AnyConnect Apex 또는 AnyConnect VPN Only 라이선스 중 하나를 구입하여 활성화해야 합니다. 두 라이선스가 둘 다 있으며 모두 사용하려는 경우 AnyConnect Plus 및 AnyConnect Apex를 선택할 수 있습니다. AnyConnect VPN Only 라이선스는 Apex 또는 Plus와 사용할 수 없습니다. AnyConnect Client 라이선스는 스마트 어카운트와 공유해야 합니다. 자세한 설명은 http://www.cisco.com/c/dam/en/us/products/collateral/security/anyconnect-og.pdf을 참조하십시오.

지정된 디바이스에 지정된 AnyConnect Client 라이선스 유형 중 하나에 대한 최소한의 엔타이틀먼트가 없는 경우, 원격 액세스 VPN 구성을 디바이스에 배포할 수 없습니다. 등록된 라이선스를 준수하지 않거나 엔타이틀먼트가 만료된 경우, 시스템에 라이선스 경고 및 상태 이벤트가 나타납니다.

원격 액세스 VPN을 사용하는 동안 스마트 어카운트는 내보내기 제어 기능(강력한 암호화)가 활성화되어 있어야 합니다. threat defense는 원격 액세스 VPN과 AnyConnect Client의 성공적인 연결을 위해 강력한 암호화(DES 보다 더 높은 수준)를 필요로 합니다.

다음의 경우에 원격 액세스 VPN을 구축할 수 없습니다.

• management center에서 스마트 라이선싱이 평가판 모드로 실행됩니다.

• 스마트 어카운트가 내보내기 제어 기능(강력한 암호화)를 사용하도록 구성되지 않습니다.

내보내기 제어 기능이 필요한 기능

특정 소프트웨어 기능은 국가 보안, 외교 정책, 테러 방지법 및 규제의 적용을 받습니다. 이러한 내보내기 제어 기능은 다음을 포함합니다.

• 보안 인증 컴플라이언스

• 원격 액세스 VPN

• 사이트 간 VPN 및 강력한 암호화

• SSH 플랫폼 정책 및 강력한 암호화

• SSL 정책 및 강력한 암호화

• SNMPv3 같은 기능 및 강력한 암호화

시스템에서 현재 내보내기 제어 기능이 활성화되어 있는지를 결정하는 방법

시스템에서 현재 내보내기 제어 기능이 활성화되어 있는지를 결정하는 방법: System(시스템) > Licenses(라이선스) > Smart Licenses(스마트 라이선스)로 이동하고 Export-Controlled Features(내보내기 제어 기능)에 Enabled(활성화 완료)로 나타나는지 확인합니다.

내보내기 제어 기능 활성화 정보

Export-Controlled Features(내보내기 제어 기능)이 Disabled(비활성화)로 표시되고 강력한 암호화를 필요로 하는 기능을 사용하려는 경우, 강력한 암호화 기능을 활성화하는 방법에는 두 가지가 있습니다. 해당 기관에서는 둘 중 하나를 사용할 수 있겠지만(또는 둘 다 아님) 둘 모두를 사용할 수는 없습니다.

• Smart Software Manager에서 새 Product Instance Registration(제품 인스턴스 등록)을 생성할 때 내보내기 제어 기능을 활성화하는 옵션이 없는 경우 계정 담당자에게 문의하십시오.

• Smart Software Manager에서 새 제품 인스턴스 등록 토큰을 생성할 때 "Allow export-controlled features on the products registered with this token(이 토큰으로 등록된 제품에서 내보내기 제어 기능 허용)" 옵션이 표시되는 경우, 토큰을 생성하기 전에 해당 토큰을 선택해야 합니다.

  management center 등록에 사용한 제품 인스턴스 등록 토큰에 대해 내보내기 제어 기능을 활성화하지 않은 경우, 내보내기 제어 기능이 활성화된 상태에서 새 제품 인스턴스 등록 토큰을 사용하여 management center를 등록 취소한 다음 다시 등록해야 합니다.

평가 모드에서 또는 management center에서 강력한 암호화를 활성화하기 전에 management center에 디바이스를 등록한 경우, 각 매니지드 디바이스를 재부팅하여 강력한 암호화를 사용할 수 있게 합니다. 고가용성 구축에서, 액티브-액티브 상태를 방지하기 위해 액티브 디바이스 및 스탠바이 디바이스를 함께 재부팅해야 합니다.

엔타이틀먼트는 영구적이며 서브스크립션이 필요하지 않습니다.

추가 정보

내보내기 제어에 대한 일반 정보는 https://www.cisco.com/c/en/us/about/legal/global-export-trade.html를 참조하십시오.

이 섹션에서는 threat defense virtual에서 사용 가능한 성능 계층 라이선스 자격을 설명합니다.

모든 threat defense virtual 라이선스는 지원되는 threat defense virtual vCPU/메모리 설정에서 사용할 수 있습니다. 따라서 threat defense virtual 고객은 다양한 VM 리소스 사용 공간에서 실행할 수 있습니다. 또한 지원되는 AWS 및 Azure 인스턴스 유형의 수가 증가합니다. threat defense virtual VM을 설정할 때 지원되는 최대 코어 수(vCPU)는 16개이고 지원되는 최대 메모리는 32GB RAM입니다.

Threat Defense Virtual 스마트 라이선싱의 성능 계층

RA VPN의 세션 제한은 설치된 threat defense virtual 플랫폼 엔타이틀먼트 계층에 따라 결정되고, 속도 제한기를 통해 적용됩니다. 다음 테이블에는 엔타이틀먼트 계층 및 속도 제한기에 따른 세션 제한이 요약되어 있습니다.

Threat Defense Virtual PID

FTDV-SEC-SUB를 주문할 때 Base 라이선스 및 선택적 기능 라이선스(12개월 기간)를 선택해야 합니다.

• Base 라이선스:

  • FTD-V-5S-BSE-K9

  • FTD-V-10S-BSE-K9

  • FTD-V-20S-BSE-K9

  • FTD-V-30S-BSE-K9

  • FTD-V-50S-BSE-K9

  • FTD-V-100S-BSE-K9

• 위협, Malware 방어 및 URL 라이선스 조합:

  • FTD-V-5S-TMC

  • FTD-V-10S-TMC

  • FTD-V-20S-TMC

  • FTD-V-30S-TMC

  • FTD-V-50S-TMC

  • FTD-V-100S-TMC

• RA VPN—Cisco Secure Client 주문 가이드를 참조하십시오.

Firepower 1010 PID

• 위협, Malware 방어 및 URL 라이선스 조합:

  • L-FPR1010T-TMC =

  위의 PID를 주문에 추가하면 다음 PID 중 하나에 해당하는 기간별 서브스크립션을 선택할 수 있습니다.

  • FPR1010T-TMC-1Y

  • L-FPR1010T-TMC-3Y

  • L-FPR1010T-TMC-5Y

• RA VPN—Cisco Secure Client 주문 가이드를 참조하십시오.

Firepower 1100 PID

• 위협, Malware 방어 및 URL 라이선스 조합:

  • L-FPR1120T-TMC =

  • L-FPR1140T-TMC =

  • L-FPR1150T-TMC =

  위의 PID 중 하나를 주문에 추가하면 다음 PID 중 하나에 해당하는 기간별 서브스크립션을 선택할 수 있습니다.

  • L-FPR1120T-TMC-1Y

  • L-FPR1120T-TMC-3Y

  • L-FPR1120T-TMC-5Y

  • L-FPR1140T-TMC-1Y

  • L-FPR1140T-TMC-3Y

  • L-FPR1140T-TMC-5Y

  • L-FPR1150T-TMC-1Y

  • L-FPR1150T-TMC-3Y

  • L-FPR1150T-TMC-5Y

• RA VPN—Cisco Secure Client 주문 가이드를 참조하십시오.

Firepower 2100 PID

• 위협, Malware 방어 및 URL 라이선스 조합:

  • L-FPR2110T-TMC=

  • L-FPR2120T-TMC=

  • L-FPR2130T-TMC=

  • L-FPR2140T-TMC=

  위의 PID 중 하나를 주문에 추가하면 다음 PID 중 하나에 해당하는 기간별 서브스크립션을 선택할 수 있습니다.

  • FPR2110T-TMC-1Y

  • L-FPR2110T-TMC-3Y

  • L-FPR2110T-TMC-5Y

  • L-FPR2120T-TMC-1Y

  • L-FPR2120T-TMC-3Y

  • L-FPR2120T-TMC-5Y

  • L-FPR2130T-TMC-1Y

  • L-FPR2130T-TMC-3Y

  • L-FPR2130T-TMC-5Y

  • L-FPR2140T-TMC-1Y

  • L-FPR2140T-TMC-3Y

  • L-FPR2140T-TMC-5Y

• RA VPN—Cisco Secure Client 주문 가이드를 참조하십시오.

Secure Firewall 3100 PID

• Base 라이선스:

  • L-FPR3110-BSE=

  • L-FPR3120-BSE=

  • L-FPR3130-BSE=

  • L-FPR3140-BSE=

• 위협, Malware 방어 및 URL 라이선스 조합:

  • L-FPR3110T-TMC=

  • L-FPR3120T-TMC=

  • L-FPR3130T-TMC=

  • L-FPR3140T-TMC=

  위의 PID 중 하나를 주문에 추가하면 다음 PID 중 하나에 해당하는 기간별 서브스크립션을 선택할 수 있습니다.

  • L-FPR3110T-TMC-1Y

  • L-FPR3110T-TMC-3Y

  • L-FPR3110T-TMC-5Y

  • L-FPR3120T-TMC-1Y

  • L-FPR3120T-TMC-3Y

  • L-FPR3120T-TMC-5Y

  • L-FPR3130T-TMC-1Y

  • L-FPR3130T-TMC-3Y

  • L-FPR3130T-TMC-5Y

  • L-FPR3140T-TMC-1Y

  • L-FPR3140T-TMC-3Y

  • L-FPR3140T-TMC-5Y

• RA VPN—Cisco Secure Client 주문 가이드를 참조하십시오.

Firepower 4100 PID

• 위협, Malware 방어 및 URL 라이선스 조합:

  • L-FPR4110T-TMC=

  • L-FPR4112T-TMC=

  • L-FPR4115T-TMC =

  • L-FPR4120T-TMC=

  • L-FPR4125T-TMC =

  • L-FPR4140T-TMC=

  • L-FPR4145T-TMC =

  • L-FPR4150T-TMC=

  위의 PID 중 하나를 주문에 추가하면 다음 PID 중 하나에 해당하는 기간별 서브스크립션을 선택할 수 있습니다.

  • L-FPR4110T-TMC-1Y

  • L-FPR4110T-TMC-3Y

  • L-FPR4110T-TMC-5Y

  • L-FPR4112T-TMC-1Y

  • L-FPR4112T-TMC-3Y

  • L-FPR4112T-TMC-5Y

  • FPR4115T-TMC-1Y

  • L-FPR4115T-TMC-3Y

  • L-FPR4115T-TMC-5Y

  • L-FPR4120T-TMC-1Y

  • L-FPR4120T-TMC-3Y

  • L-FPR4120T-TMC-5Y

  • L-FPR4125T-TMC-1Y

  • L-FPR4125T-TMC-3Y

  • L-FPR4125T-TMC-5Y

  • L-FPR4140T-TMC-1Y

  • L-FPR4140T-TMC-3Y

  • L-FPR4140T-TMC-5Y

  • L-FPR4145T-TMC-1Y

  • L-FPR4145T-TMC-3Y

  • L-FPR4145T-TMC-5Y

  • L-FPR4150T-TMC-1Y

  • L-FPR4150T-TMC-3Y

  • L-FPR4150T-TMC-5Y

• RA VPN—Cisco Secure Client 주문 가이드를 참조하십시오.

Firepower 9300 PID

• 위협, Malware 방어 및 URL 라이선스 조합:

  • L-FPR9K-24T-TMC =

  • L-FPR9K-36T-TMC =

  • L-FPR9K-40T-TMC =

  • L-FPR9K-44T-TMC =

  • L-FPR9K-48T-TMC =

  • L-FPR9K-56T-TMC =

  위의 PID 중 하나를 주문에 추가하면 다음 PID 중 하나에 해당하는 기간별 서브스크립션을 선택할 수 있습니다.

  • L-FPR9K-24T-TMC-1Y

  • L-FPR9K-24T-TMC-3Y

  • L-FPR9K-24T-TMC-5Y

  • L-FPR9K-36T-TMC-1Y

  • L-FPR9K-36T-TMC-3Y

  • L-FPR9K-36T-TMC-5Y

  • L-FPR9K-40T-TMC-1Y

  • L-FPR9K-40T-TMC-3Y

  • L-FPR9K-40T-TMC-5Y

  • L-FPR9K-44T-TMC-1Y

  • L-FPR9K-44T-TMC-3Y

  • L-FPR9K-44T-TMC-5Y

  • L-FPR9K-48T-TMC-1Y

  • L-FPR9K-48T-TMC-3Y

  • L-FPR9K-48T-TMC-5Y

  • L-FPR9K-56T-TMC-1Y

  • L-FPR9K-56T-TMC-3Y

  • L-FPR9K-56T-TMC-5Y

• RA VPN—Cisco AnyConnect 주문 가이드를 참조하십시오.

ISA 3000 PID

• 위협, Malware 방어 및 URL 라이선스 조합:

  • L-ISA3000T-TMC=

  위의 PID를 주문에 추가하면 다음 PID 중 하나에 해당하는 기간별 서브스크립션을 선택할 수 있습니다.

  • L-ISA3000T-TMC-1Y

  • L-ISA3000T-TMC-3Y

  • L-ISA3000T-TMC-5Y

• RA VPN—Cisco AnyConnect 주문 가이드를 참조하십시오.