마이그레이션된 Fortinet 컨피그레이션을 management center로 푸시하기 전에 컨피그레이션을 최적화하고 신중하게 검토하여 해당 컨피그레이션이 올바르며 위협 방어 디바이스 구성 방법과 일치하는지 확인하십시오. 깜박이는 탭은 다음 작업 과정을 수행해야 함을 나타냅니다.
여기서 Firewall Migration Tool은 management center에 이미 있는 IPS(Intrusion Prevention System, 침입 방지 시스템) 정책 및 파일 정책을 가져와 마이그레이션 중인 액세스 제어 규칙에 연결할 수 있도록 합니다.
파일 정책은 네트워크에 대한 지능형 악성코드 차단 및 파일 제어를 수행하기 위해 시스템에서 전체 액세스 제어 구성의 일부로 사용하는 구성 집합입니다. 이 연결은 시스템이 액세스 제어 규칙의 조건에 일치하는 트래픽에 파일을
통과시키기 전에 먼저 파일을 검사하도록 합니다.
마찬가지로 트래픽이 대상으로 들어가기 전 시스템의 최후의 방어선으로 IPS 정책을 사용할 수 있습니다. 침입 정책은 보안 위반 확인을 위해 시스템이 인라인 배포에서 트래픽을 검사하는 방식을 제어하며, 악성 트래픽을 차단하거나
변경할 수 있습니다. 시스템이 트래픽 평가를 위해 침입 정책을 사용할 때마다, 연결된 변수 집합을 사용합니다. 집합 내 대부분의 변수는 소스 및 대상 IP 주소와 포트 확인을 위해 침입 규칙에서 일반적으로 사용되는 값을
나타냅니다. 규칙 삭제, 동적 규칙 상태의 IP 주소를 나타내려면 침입 정책 내 변수를 사용할 수도 있습니다.
탭에서 특정 컨피그레이션 항목을 검색하려면 열 맨 위의 필드에 항목 이름을 입력합니다. 검색어와 일치하는 항목만 표시하도록 테이블 행이 필터링됩니다.
참고 |
기본적으로 인라인 그룹화 옵션은 활성화되어 있습니다.
|
Optimize, Review and Validate Configuration(컨피그레이션 최적화, 검토 및 검증) 화면에서 Firewall Migration Tool을 닫으면 진행 상황이 저장되고 나중에 마이그레이션을 재개할 수 있습니다. 이 화면 전에 Firewall Migration Tool을 닫으면 진행 상황이 저장되지 않습니다. 구문 분석 후 오류가 발생한 경우 Firewall Migration Tool을 다시 실행하면 Interface Mapping(인터페이스 매핑) 화면에서 재개됩니다.
Firewall Migration Tool ACL 최적화 개요
Firewall Migration Tool는 네트워크 기능에 영향을 주지 않고 방화벽 규칙 베이스에서 최적화(비활성화 또는 삭제)할 수 있는 ACL을 식별하고 분리하기 위한 지원을 제공합니다.
ACL 최적화는 다음 ACL 유형을 지원합니다.
-
중복 ACL - 두 ACL에 동일한 컨피그레이션 및 규칙 집합이 있는 경우 기본이 아닌 ACL을 제거해도 네트워크에 영향을 주지 않습니다. 예를 들어, 액세스 거부에 대해 정의된 규칙 없이 동일한 네트워크에서 FTP 및
IP 트래픽을 허용하는 두 규칙이 있는 경우 첫 번째 규칙을 삭제할 수 있습니다.
-
섀도우 ACL - 첫 번째 ACL은 두 번째 ACL의 컨피그레이션을 완전히 섀도잉합니다. 두 규칙에 유사한 트래픽이 있는 경우, 두 번째 규칙은 액세스 목록의 뒷부분에 나타나므로 어떤 트래픽에도 적용되지 않습니다. 두
규칙이 트래픽에 대해 서로 다른 작업을 지정하는 경우, 섀도잉된 규칙을 이동하거나 규칙 중 하나를 편집하여 필요한 정책을 구현할 수 있습니다. 예를 들어 기본 규칙은 IP 트래픽을 거부할 수 있으며, 섀도잉된 규칙은 지정된
소스 또는 대상에 대한 FTP 트래픽을 허용할 수 있습니다.
Firewall Migration Tool는 ACL 최적화를 위한 규칙을 비교하는 동안 다음 매개변수를 사용합니다.
참고 |
최적화는 Fortinet ACP 규칙 작업에만 사용할 수 있습니다.
|
개체 최적화
마이그레이션 프로세스 중에 개체 최적화를 위해 다음 개체가 고려됩니다.
-
참조되지 않은 개체 - 마이그레이션을 시작할 때 참조되지 않은 개체를 마이그레이션하지 않도록 선택할 수 있습니다.
-
중복 개체 - 개체가 이미 management center에 있는 경우 중복 개체를 생성하는 대신 정책이 재사용됩니다.
-
일치하지 않는 개체 - 이름은 비슷하지만 콘텐츠가 다른 개체가 있는 경우 마이그레이션 푸시 전에 Firewall Migration Tool에서 개체 이름을 수정합니다.