인터페이스 규칙 조건은 소스 및 대상 인터페이스를 통해 트래픽을 제어합니다.

구축의 규칙 유형 및 디바이스에 따라, 보안 영역 또는 인터페이스 그룹이라는 사전 정의된 인터페이스 개체를 사용하여 인터페이스 조건을 만들 수 있습니다. 인터페이스 개체는 네트워크를 세그멘테이션화하여 여러 디바이스에 걸쳐 인터페이스를 그룹화하는 방법을 통해 트래픽 흐름을 관리하고 분류할 수 있도록 지원합니다(Interface(인터페이스) 참조).

팁	인터페이스로 규칙을 제한하는 것은 시스템 성능을 개선하는 가장 좋은 방법 중 하나입니다. 규칙이 모든 디바이스의 인터페이스를 제외할 경우, 해당 규칙은 해당 디바이스의 성능에 영향을 미치지 않습니다.

인터페이스 개체의 모든 인터페이스가 동일한 유형이어야 하는 것과 마찬가지로(모든 인라인, 수동, 스위칭, 라우팅 또는 ASA FirePOWER), 인터페이스 조건에 사용된 모든 인터페이스 개체도 동일한 유형이어야 합니다. 패시브 방식으로 구축된 디바이스는 트래픽을 전송하지 않으므로, 패시브 구축에서는 대상 인터페이스를 통해 규칙을 제한할 수 없습니다.

네트워크 규칙 조건은 내부 헤더를 사용하여 트래픽의 소스 및 대상 IP 주소를 기준으로 삼아 트래픽을 제어합니다. 외부 헤더를 사용하는 터널 규칙에는 네트워크 조건 대신 터널 엔드포인트 조건이 있습니다.

사전 정의된 개체를 사용하여 네트워크 조건을 작성하거나, 수동으로 개별 IP 주소 또는 주소 블록을 지정할 수 있습니다.

참고	시스템은 각 리프 도메인에 대해 별도의 네트워크 맵을 작성합니다. 다중 도메인 구축에서 리터럴 IP 주소를 사용하여 이 컨피그레이션을 제한하면 예기치 않은 결과가 발생할 수 있습니다. 하위 도메인 관리자는 재정의가 활성화된 개체를 사용하여 로컬 환경에 맞게 글로벌 컨피그레이션을 조정할 수 있습니다.

특히 보안 영역, 네트워크 개체 및 포트 개체에 대한 일치 기준은 가능한 경우 항상 비워 둡니다. 여러 기준을 지정하는 경우 시스템에서는 지정된 기준의 모든 콘텐츠 조합에 대해 일치시켜야 합니다.

사용자 규칙 조건은 연결을 시작한 사용자 또는 사용자가 속한 그룹을 기준으로 트래픽을 매칭합니다. 예를 들어, Finance 그룹의 모든 사용자가 네트워크 리소스에 액세스하는 것을 금지하도록 Block(차단) 규칙을 구성할 수 있습니다.

액세스 제어 규칙의 경우에만 먼저 액세스 제어에 다른 정책 연결에 설명된 대로 ID 정책을 액세스 제어 정책과 연결해야 합니다.

구성된 영역에 대한 사용자 및 그룹을 구성하는 것 외에도 다음 특수 ID 사용자에 대한 정책을 설정할 수 있습니다.

• Failed Authentication(실패한 인증): 캡티브 포털(captive portal) 인증에 실패한 사용자입니다.

• Guest(게스트): 캡티브 포털에서 게스트 사용자로 구성된 사용자입니다.

• No Authentication Required(인증 필요 없음): ID가 No Authentication Required(인증 필요 없음) 규칙 작업과 일치하는 사용자입니다.

• Unknown(알 수 없음): 식별할 수 없는 사용자입니다. 예를 들어 구성된 영역에 의해 다운로드되지 않은 사용자입니다.

시스템에서 IP 트래픽을 분석할 때, 사용자의 네트워크에서 자주 사용되는 애플리케이션을 식별하여 분류할 수 있습니다. 이 검색 기반 애플리케이션 인식은 애플리케이션 컨트롤을 위한 기본 요소로, 애플리케이션 트래픽을 제어하는 기능입니다.

시스템에서 제공되는 애플리케이션 필터는 유형, 위험, 사업 타당성, 카테고리, 태그라는 기본 특성에 따라 애플리케이션을 구성하여 애플리케이션 컨트롤을 수행할 수 있도록 지원합니다. 시스템에서 제공되는 필터를 조합하거나 애플리케이션을 맞춤형으로 조합하여 재사용 가능한 사용자 정의 필터를 생성할 수 있습니다.

정책의 애플리케이션 규칙 조건마다 적어도 하나의 탐지기가 활성화되어야 합니다. 애플리케이션에 탐지기가 활성화되지 않은 경우, 시스템은 시스템에서 제공된 모든 탐지기를 해당 애플리케이션에 자동으로 활성화합니다. 시스템에서 제공된 탐지기가 없는 경우, 시스템은 가장 최근에 수정된 사용자 정의 탐지기를 애플리케이션에 활성화합니다. 애플리케이션 탐지기에 대한 자세한 내용은 애플리케이션 탐지기 기초을 참조하십시오.

두 애플리케이션 필터를 모두 사용하거나 개별적으로 지정된 애플리케이션을 사용하여 완전한 커버리지를 보장할 수 있습니다. 그러나 액세스 제어 규칙 순서를 지정하기 전에 다음을 참고하십시오.

(Snort 2만 해당.) 애플리케이션 컨트롤의 일부로, 액세스 제어 규칙을 사용하여 콘텐츠 제한(예: 안전 검색 및 YouTube EDU)을 시행할 수도 있습니다.

경고

액세스 제어 규칙을 올바르게 설정하지 못하는 경우, 차단해야 하는 트래픽이 허용되는 등 예기치 못한 결과가 발생할 수 있습니다. 일반적으로 애플리케이션 제어 규칙은 액세스 제어 목록에서 낮은 순위에 있어야 합니다. 한 예로 IP 주소에 기반한 애플리케이션 제어 규칙의 경우 매칭되려면 시간이 더 오래 걸리기 때문입니다. 특정 조건(예: 네트워크 및 IP 주소)을 사용하는 액세스 제어 규칙은 일반 조건(예: 애플리케이션)을 사용하는 규칙보다 앞에 배치합니다. OSI(Open Systems Interconnect) 모델에 익숙하다면 컨셉이 유사한 번호를 사용합니다. 계층 1, 2 및 3(물리적, 데이터 링크 및 네트워크)에 대한 조건이 있는 규칙은 액세스 제어 규칙의 앞부분에 배치합니다. 계층 5, 6 및 7(세션, 프레젠테이션 및 애플리케이션)에 대한 조건은 액세스 제어 규칙의 뒷부분에 배치합니다. OSI 모델에 대한 자세한 내용은 이 위키피디아 문서를 참조하십시오.

포트 조건을 사용하면 소스 및 대상 포트를 기준으로 트래픽을 제어할 수 있습니다.

특히 보안 영역, 네트워크 개체 및 포트 개체에 대한 일치 기준은 가능한 경우 항상 비워 둡니다. 여러 기준을 지정하는 경우 시스템에서는 지정된 기준의 모든 콘텐츠 조합에 대해 일치시켜야 합니다.

네트워크의 사용자가 액세스할 수 있는 웹 사이트를 제어하기 위해 URL 조건을 사용합니다.

자세한 내용은 URL 필터링를 참조하십시오.

ISE/ISE-PIC를 ID 소스로 구성하지 않을 경우, ISE에서 할당하지 않은 SGT(Security Group Tags)를 사용하여 트래픽을 제어할 수 있습니다. SGT는 신뢰할 수 있는 네트워크 내에서 트래픽 소스의 권한을 지정합니다.

맞춤형 SGT 규칙 조건은 시스템이 ISE 서버에 연결하여 가져온 ISE SGT 대신 수동으로 생성한 SGT 개체를 사용하여 트래픽을 필터링합니다. 이러한 수동으로 생성한 SGT 개체는 제어하려는 트래픽의 SGT 속성에 해당합니다. 맞춤형 SGT를 사용하여 트래픽을 제어하는 것은 사용자 제어로 간주되지 않습니다.

할당된 SGT를 바탕으로 한 일부 규칙을 사용해 트래픽을 제어할 수 있습니다. 규칙 유형 및 ID 소스 설정에 따라 할당 SGT 속성에 트래픽을 일치시키기 위해 ISE 할당 SGT 또는 사용자 지정 SGT를 사용할 수 있습니다.

참고	패킷에 할당 SGT 속성이 없는 경우에도 트래픽을 일치시키기 위해 ISE SGT를 사용하는 경우 패킷의 소스 IP 주소와 관련된 SGT가 ISE에 알려진 경우 패킷은 ISE SGT 규칙을 따릅니다.

사용자 정의 SGT와 일치하는 규칙을 생성하고 ID 소스로 ISE/ISE-PIC를 설정하면 시스템은 다음을 실행합니다.

• 개체 관리자에서 Security Group Tag(보안 그룹 태그) 옵션을 비활성화합니다. 그러나 시스템은 기존 SGT 개체를 유지하기만 하고 이를 수정하거나 새로운 개체를 추가할 수 없습니다.

• 사용자 정의 SGT 규칙이 포함된 기존 규칙을 유지합니다. 그러나 이런 규칙은 트래픽에 일치하지 않습니다. 또한 기존 규칙에 추가 사용자 정의 SGT 기준을 추가하거나 사용자 정의 SGT 조건이 포함된 새 규칙을 생성할 수 없습니다.

ISE를 설정하는 경우 사용자 정의 SGT 조건을 포함한 기존 규칙을 삭제하거나 비활성화하는 것이 좋습니다. 대신 ISE 속성 조건을 사용해 SGT 속성이 있는 트래픽을 일치시킵니다.