IPS 인터페이스
이 섹션에서는 IPS 인터페이스에 대해 설명합니다.
IPS 인터페이스 유형
IPS 전용 모드 인터페이스는 여러 방화벽 검사를 건너뛰며 IPS 보안 정책만 지원합니다. 이런 인터페이스를 보호하는 개별 방화벽이 있고 방화벽 기능의 오버헤드를 원하지 않는 경우 IPS 전용 인터페이스를 구현합니다.
참고 |
방화벽 모드는 일반 방화벽 인터페이스에만 영향을 주고 인라인 집합이나 패시브 인터페이스 등 IPS 전용 인터페이스에는 영향을 주지 않습니다. 두 개의 방화벽 모드 모두에서 IPS 전용 인터페이스를 사용할 수 있습니다. |
IPS 전용 인터페이스는 다음과 같은 유형으로 구축할 수 있습니다.
-
필요에 따라 탭 모드가 가능한 인라인 집합 - 인라인 집합은 비활성 엔드포인트(bump in the wire)처럼 작동하며 두 인터페이스를 슬롯에 포함해 기존 네트워크에 바인딩합니다. 이 기능을 사용하면 인접한 네트워크 디바이스의 설정 없이 네트워크 환경에 FTD를 설치할 수 있습니다. 인라인 인터페이스는 모든 트래픽을 조건 없이 수신하지만 이러한 인터페이스에서 수신한 모든 트래픽은 명시적으로 삭제되지 않는 한 인라인 집합으로부터 다시 전송됩니다.
탭 모드에서는 FTD가 인라인으로 구축되지만, 네트워크 트래픽 플로우는 방해받지 않습니다. 대신 FTD는 패킷을 분석할 수 있도록 각 패킷의 복사본을 만듭니다. 트리거되면 이런 유형의 규칙은 침입 이벤트를 생성하며, 침입 이벤트의 테이블 보기는 인라인 구축에서 트리거링 패킷이 삭제되었을 수도 있음을 표시합니다. 인라인으로 구축된 FTD에서 탭 모드를 사용하는 데는 몇 가지 이점이 있습니다. 예를 들어, 디바이스가 인라인 상태인 것처럼 FTD와 네트워크 간에 케이블링을 설정할 수 있으며 FTD가 생성하는 침입 이벤트의 종류를 분석할 수 있습니다. 결과를 기반으로 침입 정책을 수정할 수 있으며, 효율성 저하 없이 네트워크를 가장 잘 보호하는 삭제 규칙을 추가할 수 있습니다. FTD를 인라인으로 구축할 준비가 되면 FTD와 네트워크 간 케이블링을 다시 설정하지 않고도 탭 모드를 비활성화하고 의심스러운 트래픽을 삭제할 수 있습니다.
참고
탭 모드는 트래픽에 따라 FTD 성능에 상당한 영향을 줍니다.
참고
인라인 집합은 "투명 인라인 집합"으로 익숙할 수 있지만 인라인 인터페이스 유형은 투명 방화벽 모드 또는 방화벽 유형 인터페이스와는 관련이 없습니다.
-
패시브 또는 ERSPAN 패시브 - 패시브 인터페이스는 스위치 SPAN 또는 미러 포트를 사용해 네트워크를 통과하는 트래픽을 모니터링합니다. SPAN 또는 미러 포트를 사용하면 스위치의 다른 포트에서 트래픽을 복사할 수 있습니다. 이 기능을 사용하면 네트워크 트래픽의 플로우 내에 있지 않더라도 시스템 가시성이 확보됩니다. 패시브 구축으로 FTD를 설정한 경우, FTD에서 트래픽 차단 또는 형성과 같은 특정 작업을 할 수 없습니다. 패시브 인터페이스는 모든 트래픽을 조건 없이 수신하며, 이러한 인터페이스에서 수신된 트래픽은 재전송되지 않습니다. 캡슐화된 원격 스위치 포트 분석기(ERSPAN) 인터페이스는 여러 스위치를 통해 배포되는 소스 포트의 트래픽을 모니터링하고 GRE를 사용해 트래픽을 캡슐화합니다. ERSPAN 인터페이스는 FTD가 라우팅된 방화벽 모드에 있을 때만 허용됩니다.
참고
NGFWv에서 SR-IOV 인터페이스를 패시브 인터페이스로 사용하는 것은 무차별 모드 제한으로 인해 SR-IOV 드라이버를 사용하는 일부 Intel 네트워크 어댑터(예: Intel X710 또는 82599)에서 지원되지 않습니다. 이 경우 이 기능을 지원하는 네트워크 어댑터를 사용하십시오. Intel 네트워크 어댑터에 대한 자세한 내용은 Intel 이더넷 제품을 참조하십시오.
인라인 집합용 하드웨어 바이패스 정보
지원되는 모델의 특정 인터페이스의 경우(인라인 집합의 요구 사항 및 사전 요건 참조) 하드웨어 바이패스 기능을 활성화할 수 있습니다. 하드웨어 바이패스는 트래픽이 정전 중에 1개의 인라인 인터페이스 쌍 사이에서 이동하도록 해 줍니다. 이 기능은 소프트웨어 또는 하드웨어 오류의 경우 네트워크 연결성을 유지 관리하는 데 사용될 수 있습니다.
하드웨어 바이패스 트리거
하드웨어 바이패스 다음 시나리오에서 트리거될 수 있습니다.
-
FTD 애플리케이션 충돌
-
FTD 애플리케이션 재부팅
-
보안 모듈 재부팅
-
화력 섀시 충돌
-
Firepower 섀시의 재부팅 또는 업그레이드
-
수동 트리거
-
Firepower 섀시 전력 손실
-
보안 모듈 전력 손실
참고 |
하드웨어 우회는 계획되지 않은/예기치 않은 장애 시나리오를 위한 것이며, 계획된 소프트웨어 업그레이드 중에 자동으로 트리거되지 않습니다. 하드웨어 우회는 FTD 애플리케이션이 재부팅될 때 계획된 업그레이드 프로세스가 끝날 때만 사용됩니다. |
하드웨어 우회 전환
정상 작동 상태에서 하드웨어 우회로 전환하거나 그 반대로 전환하는 경우에는 몇 초 동안 트래픽 전송이 중단될 수 있습니다. 구리 포트 자동 협상이나 파트너가 링크 결함 및 디바운스 타이밍을 처리하는 방식 등 광학 링크 파트너의 활동, STP(Spanning Tree Protocol) 컨버전스, 동적 라우팅 프로토콜 컨버전스 등 여러 가지 요인이 이 중단 시간에 영향을 줄 수 있습니다. 이 시간 동안에는 연결이 끊길 수 있습니다.
일반 작업으로 돌아온 이후 연결 미드스트림을 분석할 때 애플리케이션 식별 오류 때문에 연결 중단이 발생할 수도 있습니다.
Snort Fail Open vs.하드웨어 바이패스
탭 모드의 인라인 집합이 아닌 경우 Snort 프로세스가 바쁘거나 중단된 경우 검사 없이 트래픽을 삭제하거나 허용하려고 할 때 Snort Fail Open 옵션을 사용할 수 있습니다. Snort Fail Open는 하드웨어 바이패스을 지원하는 인터페이스만이 아니라 탭 모드가 아닌 모든 인라인 집합에서 지원합니다.
하드웨어 바이패스 기능을 사용하면 전원 완전 차단을 포함한 하드웨어 오류와 일부 한정 소프트웨어 오류가 발생한 경우에도 트래픽이 전송됩니다. Snort Fail Open을 트리거하는 소프트웨어 오류는 하드웨어 바이패스을 트리거하지 않습니다.
하드웨어 바이패스 Status(상태)
시스템에 전원이 있는 경우 우회 LED는 하드웨어 바이패스 상태를 나타냅니다. LED 설명에 대해서는 Firepower 섀시 하드웨어 설치 가이드를 참조하십시오.