구성 구축

이 장에서는 하나 이상의 매니지드 디바이스에 구성 변경 사항을 다운로드하는 방법을 설명합니다.

구성 구축 정보

모든 디바이스 설정은 management center에서 관리한 다음 매니지드 디바이스에 구축합니다.

구축이 필요한 구성 변경

시스템은 정책 업데이트가 필요한 대상 디바이스 수를 나타내는 빨간색 상태 텍스트로 오래된 정책을 표시합니다. 이 상태를 지우려면 다시 디바이스에 정책을 구축해야 합니다.

구축 필요

구축이 필요한 구성 변경은 다음과 같습니다.

액세스 제어 정책을 수정하는 경우: 액세스 제어 규칙, 기본 작업, 정책 대상, 보안 인텔리전스 필터링, 전처리를 포함한 고급 옵션 등의 모든 변경 사항
액세스 제어 정책이 호출하는 모든 정책을 변경하는 경우: SSL 정책, 네트워크 분석 정책, 침입 정책, 파일 정책, ID 정책 또는 DNS 정책
액세스 제어 정책 또는 호출 정책에 사용된 재사용 가능한 개체 또는 구성의 변경:
- 네트워크, 포트, VLAN 태그, URL 및 지리위치 개체
- 보안 인텔리전스 목록 및 피드
- 애플리케이션 필터 또는 탐지기
- 침입 정책 변수 집합
- 파일 목록
- 암호 해독 관련 개체 및 보안 영역
시스템 소프트웨어, 침입 규칙 또는 취약성 데이터베이스(VDB)의 업데이트

웹 인터페이스 내 여러 위치에서 이러한 구성 중 일부를 변경할 수 있다는 점에 주의하십시오. 예를 들어, 개체 관리자(Objects(개체) > Object Management(개체 관리))를 사용하여 보안 영역을 수정할 수 있습니다. 그러나, 디바이스의 구성(Devices(디바이스) > Device Management(디바이스 관리))에서 인터페이스 유형을 수정하면 영역도 변경될 수 있으며 재구축이 필요합니다.

구축이 필요하지 않음

참고로 다음 업데이트에는 구축이 필요하지 않습니다.

보안 인텔리전스 피드에 대한 자동 업데이트 그리고 컨텍스트 메뉴를 사용하여 보안 인텔리전스 차단 또는 차단 금지 목록에 추가
URL 필터링 데이터에 대한 자동 업데이트
예약된 GeoDB(지정학적 위치 데이터베이스) 업데이트

구축 미리보기

미리보기에서는 디바이스에 구축할 모든 정책 및 개체 변경 사항의 스냅샷을 제공합니다. 정책 변경 사항에는 새 정책, 기존 정책의 변경 사항 및 삭제된 정책이 포함됩니다. 개체 변경 사항에는 정책에 사용되는 추가 및 수정된 개체가 포함됩니다. 사용되지 않는 개체 변경 사항은 디바이스에 구축되지 않으므로 표시되지 않습니다.

디바이스에 구축되기 위해 보류 중인 의 구성 변경 로그를 보려면 구축 작업 옆의 미리보기 아이콘을 클릭합니다. 변경 로그에는 다음이 포함됩니다.

Comparison View(비교 보기): 마지막 구축 이후 적용된 모든 디바이스 설정 변경 사항을 나란히 비교하여 표시합니다.
고급 보기 : 디바이스에 적용하기 위해 보류 중인 CLI 명령을 표시합니다.

구축 미리보기 보기에 대한 자세한 내용은 를 참조하십시오.구성 변경 사항 구축

변경되지 않은 경우에도 인터페이스 또는 플랫폼 설정 정책을 처음 추가할 때 구성된 다른 설정과 함께 모든 기본값이 미리보기에 표시됩니다. 마찬가지로, 설정에 대한 고가용성 관련 정책 및 기본값은 변경되지 않은 경우에도 고가용성 쌍이 설정되거나 중단된 후 첫 번째 미리보기에 표시됩니다.

자동 롤백으로 인한 변경 사항을 보려면 배포 설정 편집를 참조하십시오.

지원되지 않는 기능

개체가 디바이스 또는 인터페이스와 연결된 경우에만 개체 추가 및 속성 변경 사항이 미리보기에 표시됩니다. 개체 삭제는 표시되지 않습니다.
다음 정책에 대해서는 미리보기가 지원되지 않습니다.
- 고가용성
- 네트워크 검색
- 네트워크 분석
- 디바이스 설정
규칙 레벨의 사용자 정보는 침입 정책에 사용할 수 없습니다.
미리보기에는 여러 정책 간 규칙의 재정렬이 표시되지 않습니다.

DNS 정책의 경우 재정렬된 규칙이 미리보기 목록에 규칙 추가 및 삭제로 표시됩니다. 예를 들어, 규칙 순서에서 규칙 1의 위치를 3으로 이동하면 위치 1에서 규칙이 삭제되고 위치 3의 새 규칙으로 추가된 것처럼 표시됩니다. 마찬가지로 규칙이 삭제되면 그 아래에 속한 규칙은 위치가 변경되었으므로 편집된 규칙으로 나열됩니다. 변경 사항은 정책에 나타나는 최종 순서대로 표시됩니다.
다음 HA 시나리오에서는 미리 보기가 지원되지 않습니다.
- 디바이스가 독립형 모드이고 체인이 설정된 경우 자동 구축이 트리거됩니다. 해당 특정 작업에 대해서는 미리보기가 지원되지 않습니다. Preview(미리보기)()에 마우스를 올려놓으면 HA 부트스트랩 구축이며 미리보기가 지원되지 않는다는 메시지가 표시됩니다.
- Configuration groups(구성 그룹) - 디바이스가 처음에 독립형이었던 플로우를 고려합니다. 그 후, 3개의 구축이 수행되었습니다. 네 번째 구축에서 디바이스는 HA 부트스트랩 구축이었습니다. 그런 다음 사용자는 디바이스 5, 6, 7을 구축합니다. 구축 7은 HA 중단 구축이며, 사용자가 디바이스 8, 9 및 10을 구축합니다.
  
  이 플로우에서는 4가 HA 구축이므로 3과 5 사이의 미리보기가 지원되지 않습니다. 마찬가지로, 8과 3 사이의 미리보기도 지원되지 않습니다. 미리보기는 3에서 1, 7, 6, 5, 4 및 10, 9, 8까지만 지원됩니다.
- 디바이스가 손상되면(HA가 손상됨) 새 디바이스가 새로운 디바이스로 간주됩니다.

선택적 정책 구축

management center를 사용하면 구축할 예정인 디바이스의 모든 변경 사항 목록에서 특정 정책을 선택하고 선택한 정책만 구축할 수 있습니다. 선택적으로 다음 정책에 대해서만 구축을 사용할 수 있습니다.

액세스 제어 정책
침입 정책
악성코드 및 파일 정책
DNS 정책
ID 정책
SSL 정책
QoS 정책
사전 필터 정책
네트워크 검색
NAT 정책
라우팅 정책
VPN 정책

선택적으로 정책을 구축하는 데에는 몇 가지 제한 사항이 있습니다. 아래 표의 내용에 따라 언제 선택적 정책 구축을 사용할 수 있는지 파악하십시오.

표 1. 선택적 구축에 대한 제한 사항
유형	설명	시나리오
전체 구축	전체 구축은 특정 구축 시나리오에 필요하며 management center는 이러한 시나리오에서 선택적 구축을 지원하지 않습니다. 이러한 시나리오에서 오류가 발생하는 경우 디바이스에서 구축할 모든 변경 사항을 선택하여 진행하도록 선택할 수 있습니다.	전체 구축이 필요한 시나리오는 다음과 같습니다. threat defense또는 management center를 업그레이드한 후 첫 번째 구축. threat defense를 복원한 후의 첫 번째 구축. threat defense인터페이스 설정 수정 후 첫 번째 구축. 가상 라우터 설정을 수정한 후 첫 번째 구축. threat defense 디바이스가 새 도메인(전역에서 하위 도메인으로 또는 하위 도메인에서 전역으로)으로 이동하는 경우.
연결된 정책 구축	management center는 상호 연결된 상호 의존적인 정책을 식별합니다. 상호 연결된 정책 중 하나를 선택하면 나머지 상호 연결된 정책이 자동으로 선택됩니다.	연결된 정책이 자동으로 선택되는 시나리오: 새 개체가 기존 정책과 연결된 경우 기존 정책의 개체가 수정된 경우 여러 정책이 자동으로 선택되는 시나리오: 새 개체가 기존 정책과 연결되어 있고 동일한 개체가 이미 다른 정책과 연결되어 있으면 연결된 모든 정책이 자동으로 선택됩니다. 공유 개체가 수정되면 연결된 모든 정책이 자동으로 선택됩니다.
상호 의존적 정책 변경(컬러 코딩 태그를 사용하여 표시)	management center는 정책 간 및 공유 개체와 정책 간의 종속성을 동적으로 탐지합니다. 개체 또는 정책의 상호 종속성은 색상으로 구분된 태그를 사용하여 표시됩니다.	색상으로 구분된 상호 의존적 정책 또는 개체가 자동으로 선택되는 시나리오: 모든 오래된 정책에 상호 의존적인 변경 사항이 있는 경우 예를 들어, 액세스 제어 정책, 침입 정책 및 NAT 정책이 오래된 경우입니다. 액세스 제어 정책과 NAT 정책은 개체를 공유하므로 구축을 위해 모든 정책이 함께 선택됩니다. 모든 오래된 정책이 하나의 개체를 공유하고 해당 개체가 수정된 경우
액세스 정책 그룹 사양	액세스 정책 그룹 정책은 클릭하면 액세스 정책 그룹 아래의 미리보기 창에 함께 나열됩니다Show or Hide Policy(정책 표시 또는 숨기기) ().	액세스 정책 그룹 정책에 대한 시나리오 및 예상되는 동작은 다음과 같습니다. 액세스 제어 정책이 만료된 경우, 파일 그룹 및 침입 정책을 제외하고 이 그룹에 속한 다른 모든 이전 정책은 액세스 제어 정책이 구축을 위해 선택될 때 선택됩니다. 그러나 액세스 제어 정책이 만료된 경우에는 액세스 제어 정책의 선택 여부와 관계 없이 침입 및 파일 정책을 개별적으로 선택하거나 선택을 취소할 수 있습니다(종속적인 변경이 없는 한). 예를 들어 새 침입 정책이 액세스 제어 규칙에 할당된 경우 종속 변경 사항이 있음을 나타내며, 둘 중 하나를 선택하면 액세스 제어 정책과 침입 정책이 모두 자동으로 선택됩니다. 액세스 제어 정책이 만료된 경우 이 그룹의 다른 만료된 정책을 개별적으로 선택하여 구축할 수 있습니다.

시스템 사용자 이름

management center는 다음 작업의 사용자 이름을 시스템으로 표시합니다.

롤백
업그레이드
Threat Defense 백업 및 복원
SRU 업데이트
LSP 업데이트
VDB 업데이트

애플리케이션 탐지기 자동 활성화

애플리케이션 제어를 수행할 때 필요한 탐지기를 비활성화할 경우 정책 구축 시 적절한 시스템 제공 탐지기가 자동으로 활성화됩니다. 시스템 제공 탐지기가 없으면 애플리케이션에 대해 가장 최근에 수정된 사용자 정의 탐지기가 활성화됩니다.

네트워크 검색 정책 변경이 있는 자산 재검색

네트워크 검색 정책에 대한 변경 사항을 구축할 때는 시스템이 모니터링되는 네트워크의 호스트에 대한 네트워크 맵에서 MAC 주소, TTL 및 홉 정보를 삭제한 후 다시 검색합니다. 또한, 영향을 받는 매니지드 디바이스는 아직 management center로 전송되지 않은 검색 데이터를 모두 삭제합니다.

Snort 재시작 시나리오

Snort 프로세스라는 트래픽 검사 엔진이 매니지드 디바이스에서 재시작되면, 프로세스가 다시 시작될 때까지 검사가 중단됩니다. 이 중단 기간 동안 트래픽이 삭제되는지 아니면 추가 검사 없이 통과되는지는 대상 디바이스가 트래픽을 처리하는 방법에 따라 달라집니다. 자세한 내용은 Snort 재시작 트래픽 동작을 참조하십시오. 또한, 구축 시에는 Snort 프로세스가 재시작되는지와 관계없이 리소스 수요로 인해 약간의 패킷이 검사 없이 삭제될 수 있습니다.

다음 표의 시나리오 중 하나가 발생하는 경우 Snort 프로세스가 재시작됩니다.

표 2. Snort 재시작 시나리오
시나리오 다시 시작	추가 정보
Snort 프로세스를 재시작해야 하는 특정 설정을 구축합니다.	구축 또는 활성화 시 Snort 프로세스를 재시작하는 컨피그레이션
즉시 Snort 프로세스를 재시작해야 하는 특정 설정을 수정합니다.	즉시 Snort 프로세스를 재시작시키는 변경 사항
현재 구축된 자동 애플리케이션 우회(AAB) 설정을 활성화하는 트래픽을 활성화합니다.	AAB(Automatic Application Bypass) 구성
"RAM 디스크에 연결 이벤트 로깅" 기능 활성화 또는 비활성화.	FMC 미처리 이벤트 드레인 문제 해결에서 RAM 디스크에 로깅 섹션을 참조하십시오.https://www.cisco.com/c/en/us/support/docs/security/firepower-ngfw/216081-troubleshoot-drain-of-fmc-unprocessed-ev.html

디바이스의 재시작 경고

구축 시에 Deploy(구축) 페이지의 Inspect Interruption(검사 중단) 열에 구축된 구성이 threat defense 디바이스의 Snort 프로세스를 재시작하는지 명시합니다. Snort 프로세스라는 트래픽 검사 엔진이 재시작되면 프로세스가 다시 시작될 때까지 검사가 중단됩니다. 중단 중에 트래픽이 중단되는지 아니면 검사 없이 통과되는지는 디바이스가 트래픽을 처리하는 방법에 따라 다릅니다. 구축을 계속 진행하거나, 구축을 취소하고 컨피그레이션을 수정하거나, 구축이 네트워크에 미치는 영향이 가장 적어질 때까지 구축을 지연할 수 있습니다.

Inspect Interruption(검사 중단) 열에 Yes(예)가 표시되는 경우 디바이스 컨피그레이션 목록을 확장하면 Inspect Interruption(검사 중단) ( 검사 중단 아이콘 )을 사용하여 Snort 프로세스를 재시작하는 특정 컨피그레이션이 표시됩니다. 아이콘 위에 마우스를 올리면 컨피그레이션 구축 시 트래픽이 중단될 수 있음을 알리는 메시지가 표시됩니다.

다음 표에는 Deploy(구축) 페이지에 검사 중단 경고가 어떻게 표시되는지 요약되어 있습니다.

표 3. 검사 중단 표시기
유형	검사 중단	설명
Threat Defense	Inspect Interruption(검사 중단) ()Yes(예)	하나 이상의 컨피그레이션이 구축 시에 디바이스에서 검사를 중단하며 디바이스가 트래픽을 처리하는 방법에 따라 트래픽도 중단할 수 있습니다. 디바이스 컨피그레이션 목록을 확장하면 자세한 내용을 확인할 수 있습니다.
	--	구축된 컨피그레이션이 디바이스에서 트래픽을 중단하지 않습니다.
	확인되지 않음	시스템은 구축된 컨피그레이션이 디바이스에서 트래픽을 중단할 수 있는지 여부를 확인할 수 없습니다. Undetermined(확인되지 않음) 상태는 소프트웨어 업그레이드 후 처음으로 구축하기 전이나, 경우에 따라 지원 통화 중에 표시됩니다.
	Error(오류) ()	시스템이 내부 오류로 인해 상태를 확인할 수 없습니다. 작업을 취소하고 Deploy(구축)를 다시 클릭하면 시스템이 Inspect Interruption(검사 중단) 상태를 다시 확인할 수 있습니다. 문제가 계속되면 지원 팀에 문의하십시오.
sensor	--	센서로 식별된 디바이스가 threat defense 디바이스가 아니며, 구축된 컨피그레이션이 해당 디바이스에서 트래픽을 중단할 수 있는지를 시스템이 확인할 수 없습니다.

모든 디바이스 유형에 대해 Snort 프로세스를 재시작하는 모든 컨피그레이션에 대한 정보는 구축 또는 활성화 시 Snort 프로세스를 재시작하는 컨피그레이션를 참조하십시오.

정책 적용 중에 트래픽 검사

정책 적용 중 트래픽 검사는 고급 액세스 제어 정책 일반 설정으로서 설정 변경이 구축되는 동안 관리되는 디바이스가 트래픽을 검사하도록 허용합니다. 단 구축하려는 설정이 Snort 프로세스를 재시작할 필요가 없는 경우에 한정됩니다. 이 옵션은 다음과 같이 구성할 수 있습니다.

활성화 — 재시작 시 특정 설정이 Snort 프로세스를 요구하지 않는 한 구축 시 트래픽을 검사합니다.

구축하려는 구성이 Snort 재시작을 요구하지 않는 경우 시스템은 현재 구축된 액세스 제어 정책을 사용해 트래픽을 검사하고 구축 시 구축하려는 액세스 제어 정책으로 전환합니다.
비활성화 — 구축 중 트래픽을 검사하지 않습니다. 구축 시 항상 Snort 프로세스를 재시작합니다.

다음 그래픽은 정책 적용 중 트래픽 검사 활성화에 따라 Snort가 재시작되는 방식을 나타냅니다.

경고	배포 시 리소스 수요로 인해 약간의 패킷이 검사 없이 삭제될 수 있습니다. 또한 일부 컨피그레이션을 구축하면 Snort 프로세스가 재시작되므로 트래픽 검사가 중단됩니다. 이 중단 기간 동안 트래픽이 삭제되는지 아니면 추가 검사 없이 통과되는지는 대상 디바이스가 트래픽을 처리하는 방법에 따라 달라집니다. Snort 재시작 트래픽 동작 및 구축 또는 활성화 시 Snort 프로세스를 재시작하는 컨피그레이션을 참조하십시오.

Snort 재시작 트래픽 동작

다음 표에서는 Snort 프로세스가 재시작될 때 각 디바이스가 트래픽을 처리하는 방법을 설명합니다.

표 4. Threat Defense 및 Threat Defense Virtual 재시작 트래픽의 영향
인터페이스 컨피그레이션	재시작 트래픽 동작
인라인: Snort Fail Open: Down(Snort Fail-Open: 중단): 비활성화	차단
인라인: Snort Fail Open: Down(Snort Fail-Open: 중단): 활성화	검사 없이 통과됨 일부 패킷은 시스템에서 Snort가 다운되었음을 인식하기 전에 몇 초 동안 버퍼에서 지연될 수 있습니다. 이 지연은 로드 분포에 따라 달라질 수 있습니다. 그러나 버퍼링된 패킷은 결국 전달됩니다.
라우팅, Transparent(EtherChannel, 이중화, 하위 인터페이스 포함): preserve-connection 활성화(configure snort preserve-connection enable , 기본값) 자세한 내용은 Cisco Secure Firewall Threat Defense 명령 참조의 내용을 참고하십시오.	기존 TCP / UDP 플로우 : Snort가 중단된 상태에서 하나 이상의 패킷이 도착하는 한 검사 없이 통과됨 새 TCP/UDP 플로우와 모든 비TCP/UDP 플로우: 삭제됨 다음 트래픽은 preserve-connection 활성화 시에도 삭제됩니다. Analyze 규칙 작업 또는 Analyze all tunnel traffic 기본 정책 작업 과 일치하는 plaintext, passthrough prefilter 터널 트래픽 연결은 액세스 제어 규칙과 일치하지 않으며 대신 기본 작업에 의해 처리됩니다. 암호 해독된 TLS/SSL 트래픽 안전한 검색 흐름 캡티브 포털 흐름
라우팅, Transparent(EtherChannel, 이중화, 하위 인터페이스 포함): preserve-connection 비활성화(configure snort preserve-connection disable )	차단
인라인: 탭 모드	즉시 패킷 이그레스, 복사 시 Snort 우회
패시브	중단되지 않음, 검사되지 않음

참고	Snort 프로세스가 재시작되는 동안 중단되는 경우 트래픽 처리 외에도 Snort Fail-Open Busy(사용 중) 옵션(인라인 집합 구성 참조)의 구성에 따라 Snort 프로세스가 사용 중인 경우 트래픽이 검사 없이 통과하거나 삭제될 수 있습니다. 디바이스는 Failsafe 옵션 또는 Snort Fail-Open 옵션을 지원하며 둘 다 지원하지는 않습니다.

참고	구성 구축 중에 Snort 프로세스가 사용 중이지만 중단되지는 않은 경우, 총 CPU 로드가 60%를 초과하면 라우팅, 스위칭 또는 Transparent 인터페이스에서 일부 패킷이 삭제될 수 있습니다.

경고	Snort Rule 업데이트가 진행 중에는 어플라이언스를 재부팅하지 마십시오.

Snort-busy 삭제는 snort가 패킷을 충분히 빠르게 처리할 수 없을 때 발생합니다. Lina는 Snort가 처리 지연으로 인해 사용 중인지 아니면 가 중단되거나 통화 차단으로 인해 사용 중인지 알 수 없습니다. 전송 대기열이 가득 차면 snort-busy 삭제가 발생합니다. 전송 대기열 사용률을 기준으로, 대기열이 원활하게 처리되고 있다면 Lina가 액세스를 시도합니다.

구축 또는 활성화 시 Snort 프로세스를 재시작하는 컨피그레이션

AAB를 제외한 다음 구성을 구축할 때는 설명대로 Snort 프로세스가 재시작됩니다. AAB를 구축할 때는 프로세스가 재시작되지 않지만, 과도한 패킷 레이턴시로 인해 현재 구축된 AAB 컨피그레이션이 활성화되어 Snort 프로세스가 부분적으로 재시작됩니다.

액세스 제어 정책 고급 설정

Inspect Traffic During Policy Apply(정책 적용 중에 트래픽 검사)가 비활성화되었을 때 구축합니다.
SSL 정책을 추가하거나 제거합니다.

파일 정책

다음 컨피그레이션 중 하나의 첫 번째 또는 마지막 항목을 구축합니다. 이러한 파일 정책 컨피그레이션을 다른 방식으로 구축할 때는 프로세스가 재시작되지 않지만, 비 파일 정책 컨피그레이션을 구축할 때는 프로세스가 재시작될 수 있습니다.

다음 작업 중 하나를 수행합니다.
- 구축된 액세스 컨트롤 정책에 파일 정책이 하나 이상 포함되어 있으면 Inspect Archives(아카이브 검사)를 활성화하거나 비활성화합니다.
- Inspect Archives(아카이브 검사)가 활성화되어 있으면 첫 번째 정책 규칙을 추가하거나 마지막 파일 정책을 제거합니다. Inspect Archives(아카이브 검사)가 적용되려면 규칙이 하나 이상 필요합니다.
Detect Files(파일 탐지) 또는 Block Files(파일 차단) 규칙에서 Store Files(파일 저장)를 활성화하거나 해제합니다.
Malware Cloud Lookup(악성코드 클라우드 조회) 또는 Block Malware(악성코드 차단) 규칙 작업을 분석 옵션(Spero Analysis or MSEXE(Spero 분석 또는 MSEXE), Dynamic Analysis(동적 분석), Local Malware Analysis(로컬 악성코드 분석)) 또는 파일 저장 옵션(Malware(악성코드), Unknown(알 수 없음), Clean(정상), Custom(맞춤형))과 결합하는 첫 번째 활성 파일 규칙을 추가하거나 마지막 활성 파일 규칙을 제거합니다.

이러한 파일 정책 컨피그레이션을 보안 영역이나 터널 영역에 구축하는 액세스 컨트롤 규칙의 경우 컨피그레이션이 다음 조건을 충족할 때만 프로세스가 재시작됩니다.

액세스 컨트롤 규칙의 소스 또는 대상 보안 영역이 대상 디바이스의 인터페이스와 연결된 보안 영역과 일치해야 합니다.
액세스 컨트롤 규칙의 대상 영역이 any(임의)가 아니면 규칙의 소스 터널 영역은 사전 필터 정책의 터널 규칙에 할당된 터널 영역과 일치해야 합니다.

ID 정책

SSL 암호 해독이 비활성화되어 있으면(액세스 제어 정책에 SSL 정책이 포함되지 않음) 첫 번째 활성 인증 규칙을 추가하거나 마지막 활성 인증 규칙을 제거합니다.

활성 인증 규칙에는 Active Authentication(활성 인증) 규칙 작업 또는 Use active authentication if passive or VPN identity cannot be established(패시브 또는 VPN ID를 설정할 수 없는 경우 활성 인증 사용)가 선택된 Passive Authentication(패시브 인증) 규칙 작업이 있습니다.

네트워크 검색

네트워크 검색 정책을 사용하여 HTTP, FTP 또는 MDNS 프로토콜을 통한 신뢰할 수 없는 트래픽 기반 사용자 탐지를 활성화하거나 비활성화합니다.

디바이스 관리

MTU: 디바이스의 모든 비 관리 인터페이스 중에서 가장 높은 MTU 값을 변경합니다.
AAB(자동 애플리케이션 바이패스): Snort 프로세스 오작동 또는 잘못된 디바이스 컨피그레이션으로 인해 단일 패킷이 과도한 처리 시간을 사용하면 현재 구축되어 있는 AAB 컨피그레이션이 활성화됩니다. 이 경우 매우 긴 레이턴시를 완화하거나 완전한 트래픽 정지를 방지하기 위해 Snort 프로세스가 부분적으로 재시작됩니다. 이처럼 프로세스가 부분적으로 재시작되면 디바이스가 트래픽을 처리하는 방법에 따라 일부 패킷이 검사 없이 통과되거나 삭제됩니다.

업데이트

시스템 업데이트: Snort 이진 또는 데이터 획득 라이브러리(DAQ)의 새 버전을 포함하는 소프트웨어 업데이트 후에 처음으로 구성을 구축합니다.
VDB: Snort 2를 구동하는 매니지드 디바이스의 경우 매니지드 디바이스에 적용 가능한 변경 사항을 포함하는 VDB(취약성 데이터베이스) 업데이트를 설치한 후 처음으로 구성을 구축하려면 탐지 엔진 재시작이 필요하며 그러면 일시적인 트래픽 중단이 발생할 수 있습니다. 이러한 경우, 설치를 시작하기 위해 management center를 선택하면 경고 메시지가 표시됩니다. VDB 변경 사항이 보류 중인 경우 구축 대화 상자에서 threat defense 디바이스에 대한 추가 경고를 제공합니다. management center에만 적용되는 VDB 업데이트로는 탐지 엔진이 재시작되지 않으므로 해당 업데이트는 구축할 수 없습니다.

Snort 3을 실행하는 매니지드 디바이스의 경우 VDB(취약점 데이터베이스) 업데이트를 설치 한 후 처음으로 구성을 구축하면 애플리케이션 탐지가 일시적으로 중단 될 수 있지만 트래픽 중단은 발생하지 않습니다.

즉시 Snort 프로세스를 재시작시키는 변경 사항

다음 변경 사항은 구축 단계를 거치지 않고 즉시 Snort 프로세스를 재시작합니다. 재시작으로 인해 어떻게 트래픽이 영향을 받는지는 대상 디바이스가 트래픽을 처리하는 방법에 따라 달라집니다. 자세한 내용은 Snort 재시작 트래픽 동작을 참조하십시오.

애플리케이션 또는 애플리케이션 탐지기와 관련된 다음 작업 중 하나를 수행합니다.
- 시스템 또는 사용자 정의 애플리케이션 탐지기를 활성화하거나 비활성화합니다.
- 활성화된 사용자 정의 탐지기를 삭제합니다.
- 활성화된 사용자 정의 탐지기를 저장하고 다시 활성화합니다.
- 사용자 정의 애플리케이션 생성
Snort 프로세스를 재시작한다는 경고 메시지가 표시되며 진행을 취소할 수 있습니다. 현재 도메인 또는 하위 도메인의 관리되는 디바이스가 재시작됩니다.
threat defense 고가용성 쌍을 만들거나 분리합니다.

고가용성 쌍을 계속 생성하면 기본 및 보조 디바이스에서 Snort 프로세스가 재시작된다는 경고 메시지가 나타나며 사용자가 작업을 취소할 수 있습니다.

정책 관리를 위한 요구 사항 및 사전 요건

모델 지원

모두

지원되는 도메인

모두

사용자 역할

관리자
네트워크 관리자
보안 승인자

구성 변경 사항 구축을 위한 모범 사례

다음은 구성 변경 사항 구축을 위한 지침입니다.

신뢰할 수 있는 관리 연결

management center 및 디바이스 간의 관리 연결은 해당 디바이스와 디바이스 간의 안전한 TLS-1.3 암호화 통신 채널입니다.

보안을 위해 사이트 간 VPN과 같은 추가 암호화 터널을 통해 이 트래픽을 실행할 필요가 없습니다. 예를 들어 VPN이 다운되면 관리 연결이 끊어지므로 간단한 관리 경로를 사용하는 것이 좋습니다.

경고	디바이스 자체에서 종료되는 VPN 터널을 통과하는 디바이스의 관리 연결은 사용하지 않는 것이 좋습니다. VPN이 다운되는 구성 변경 사항을 구축하는 경우, 관리 연결이 끊어지며 디바이스에 직접 연결하지 않고 구성을 복구할 수 없습니다. 관리 트래픽이 VPN 종료 인터페이스에서 나가는 경우, VPN 터널에서 관리 트래픽을 제외해야 합니다.

최대 동시 구축 수

동일한 작업에서 에 대해 허용되는 최대 디바이스의 25%를 초과하여 구축해서는 안 됩니다.management center 예를 들어 FMCv300의 경우 최대 작업 크기는 디바이스 75개(300개의 25%)여야 합니다. 더 많은 디바이스에 동시에 구축하면 성능 문제가 발생할 수 있습니다.

공유 정책 구축

최고의 성능을 위해서는 동일한 정책을 사용하는 디바이스에 를 구축하십시오. 정책을 공유하는 각 디바이스 그룹에 대해 별도의 구축 작업을 생성합니다.

구축 시간 및 메모리 제한

구축 소요 시간은 다음을 비롯한 여러 요인에 따라 달라집니다.

디바이스로 전송하는 컨피그레이션. 예를 들어 차단할 보안 인텔리전스 항목의 수를 크게 늘리면 구축이 더 오래 걸릴 수 있습니다.
디바이스 모델 및 메모리. 메모리가 적은 디바이스에서는 구축이 더 오래 걸릴 수 있습니다.

디바이스의 기능을 초과하는 작업을 수행하지 마십시오. 대상 디바이스에서 지원하는 최대 규칙 또는 정책 수를 초과하면 경고가 표시됩니다. 최대치는 디바이스의 프로세서 수와 메모리뿐 아니라 정책 및 규칙의 복잡성과 같은 여러 가지 요인에 따라 달라집니다. 정책 및 규칙 최적화에 대한 정보는 액세스 제어 규칙 순서에 대한 모범 사례를 참조하십시오.

유지 보수 기간을 사용하여 트래픽 중단의 영향 줄이기

중단의 영향이 가장 적은 시간이나 유지 보수 기간에 구축을 수행하는 것이 좋습니다.

배포 시 리소스 수요로 인해 약간의 패킷이 검사 없이 삭제될 수 있습니다. 또한 일부 컨피그레이션을 구축하면 Snort 프로세스가 재시작되므로 트래픽 검사가 중단됩니다. 이 중단 기간 동안 트래픽이 삭제되는지 아니면 추가 검사 없이 통과되는지는 대상 디바이스가 트래픽을 처리하는 방법에 따라 달라집니다. Snort 재시작 트래픽 동작 및 구축 또는 활성화 시 Snort 프로세스를 재시작하는 컨피그레이션을 참조하십시오.

threat defense 디바이스의 경우 구축 시에 트래픽 플로우 또는 검사가 중단될 수 있다는 경고가 Deploy(구축) 대화 상자의 Inspect Interruption(검사 중단) 열에 표시됩니다. 구축을 계속 진행하거나 취소하거나 지연시킬 수 있습니다. 자세한 내용은 디바이스의 재시작 경고를 참조하십시오.

구성 구축

구축 설정을 완료하거나 구성을 변경한 뒤 영향받는 디바이스에 변경 사항을 구축해야 합니다. 메시지 센터에서 배포 상태를 확인할 수 있습니다.

다음 구성 요소 업데이트를 배포합니다.

디바이스 및 인터페이스 컨피그레이션
장치 관련 정책: NAT, VPN, QoS, 플랫폼 설정
액세스 제어 및 관련 정책: DNS, 파일, ID, 침입, 네트워크 분석, 사전 필터, SSL
네트워크 검색 정책
침입 규칙 업데이트
설정 및 해당 요소와 관련된 개체

배포 작업을 예약하거나 침입 규칙 업데이트를 가져올 때 시스템 배포로 설정하여 자동으로 구축 시스템을 구성할 수 있습니다. 자동화 정책을 구축하는 것은 특히 침입 및 네트워크 분석에 대한 시스템 제공 기본 정책을 수정하는 침입 규칙 업데이트를 허용하는 경우에 유용합니다. 또한 침입 규칙 업데이트는 액세스 제어 정책의 고급 전처리 및 성능 옵션에 대한 기본값을 변경할 수 있습니다.

다중 도메인 구축에서 사용자 계정에 속해있는 모든 도메인에 대한 변경 사항을 구축할 수 있습니다.

상위 도메인이 모든 하위 도메인에 동시에 변경 사항을 구축하도록 전환합니다.
리프 도메인이 해당 도메인에만 변경 사항을 구축하도록 전환합니다.

구성 변경 사항 구축

컨피그레이션을 변경한 후 해당하는 디바이스에 구축합니다. 컨피그레이션 변경 사항은 트래픽 흐름 및 검사 중단의 영향이 가장 적은 시간이나 유지 보수 기간에 구축하는 것이 좋습니다.

경고	배포 시 리소스 수요로 인해 약간의 패킷이 검사 없이 삭제될 수 있습니다. 또한 일부 컨피그레이션을 구축하면 Snort 프로세스가 재시작되므로 트래픽 검사가 중단됩니다. 이 중단 기간 동안 트래픽이 삭제되는지 아니면 추가 검사 없이 통과되는지는 대상 디바이스가 트래픽을 처리하는 방법에 따라 달라집니다. Snort 재시작 트래픽 동작 및 구축 또는 활성화 시 Snort 프로세스를 재시작하는 컨피그레이션을 참조하십시오.

시작하기 전에

모든 매니지드 디바이스가 동일한 수정 버전의 보안 영역 개체를 사용하는지 확인합니다. 보안 영역 개체를 편집한 경우: 동기화하려는 모든 디바이스에서 인터페이스에 대한 영역 설정을 수정하기 전에는 구성 변경 사항을 디바이스에 구축하지 마십시오. 모든 매니지드 디바이스에 동시에 구축해야 합니다.
구축 변경 사항을 미리 보려면 REST API 액세스를 활성화합니다. REST API 액세스를 활성화하려면 Cisco Secure Firewall Management Center 관리 가이드의 단계를 수행합니다.

참고	구축하는 동안 디바이스 CLI에서 디바이스 구성을 읽는 경우 구축 프로세스가 실패합니다. 구축 중에는 등의 명령을 실행하지 마십시오.show running-config

프로시저

단계 1

management center 메뉴 바에서 Deploy(구축)를 클릭합니다.

단계 2

빠르게 구축하려면 특정 디바이스를 선택한 다음 Deploy(구축)를 클릭하거나, 모든 디바이스에 구축하려면 Deploy All(모두 구축)을 클릭합니다. 그렇지 않으면 추가 구축 옵션에 대해 Advanced Deploy(고급 구축)를 클릭합니다.

이 절차의 나머지는 Advanced Deploy(고급 구축) 화면에 적용됩니다.

단계 3

구축할 디바이스 별 구성 변경 사항을 보려면 Expand Arrow(확장 화살표)( 확장 화살표 아이콘 )을 클릭합니다.

Modified By(수정 주체) 열에는 정책 또는 개체를 수정한 사용자가 나열됩니다. 디바이스 목록을 확장하면 각 정책 목록에 대해 정책을 수정한 사용자를 볼 수 있습니다. (로그인된 사용자 대신) 시스템 사용자가 표시되는 시점에 대한 자세한 내용은 을 참조하십시오.시스템 사용자 이름

참고	삭제된 정책 및 개체에 대해서는 사용자 이름이 제공되지 않습니다.

Inspect Interruption(검사 중단) 열은 구축 중에 디바이스에서 트래픽 검사 중단이 발생할 수 있는지 여부를 나타냅니다.

상태가 구축 시 threat defense 디바이스의 검사 및 트래픽이 중단될 수 있음을 나타내는 경우(예), 확장된 목록은 Inspect Interruption(검사 중단) ()에 대한 중단을 유발하는 특정 구성을 표시합니다.

디바이스에 대한 이 열의 항목이 비어 있으면 구축 중에 해당 디바이스에서 트래픽 검사가 중단되지 않음을 나타냅니다.

threat defense 디바이스에 배포할 때 트래픽 검사를 중단하며 트래픽을 중단할 수 있는 구성을 식별하는 데 도움이 되는 내용은 디바이스의 재시작 경고를 참조하십시오.
마지막 수정 시간 열은 구성을 마지막으로 변경한 시간을 나타냅니다.
Preview(미리보기) 열에서는 다음 구축에 대한 변경 사항을 미리 볼 수 있습니다.
Status(상태) 열은 각 구축의 상태를 제공합니다. 자세한 내용은 구축 상태 보기를 참고하십시오.

단계 4

Preview(미리보기) 열에서 을 클릭하여 구축 가능한 컨피그레이션 변경 사항을 확인합니다.Preview(미리보기)( 미리보기 아이콘 )

참고	시스템 ( ) > Configuration(구성) > Information(정보)에서 management center 이름을 변경하면 구축 미리보기에서 이 변경 사항을 지정하지 않지만, 그럼에도 구축해야 합니다.

미리보기에 대해 지원되지 않는 기능에 대해서는 를 참조하십시오.구축 미리보기

Comparison View(비교 보기) 탭에는 모든 정책 및 개체 변경 사항이 나열됩니다. 왼쪽 창에는 디바이스에서 변경된 모든 정책 유형이 트리 구조로 구성되어 있습니다.

필터 아이콘()을 사용하면 사용자 레벨 및 정책 레벨에서 정책을 필터링할 수 있습니다.

오른쪽 창에는 정책의 모든 추가, 변경 또는 삭제된 항목이나 왼쪽 창에서 선택한 개체가 나열됩니다. 오른쪽 창에 있는 2개의 열은 마지막으로 구축한 구성 설정(Deployed Device(구축된 디바이스) 열)과 구축 예정인 변경 사항(Version on FMC 열)을 제공합니다. 마지막으로 구축된 구성 설정은 디바이스가 아니라 management center에 마지막으로 저장된 구축의 스냅샷에서 가져옵니다. 설정의 배경색은 페이지 오른쪽 상단에 있는 범례에 따라 색상으로 구분됩니다.

Modified By(수정 주체) 열에는 구성 설정을 수정했거나 추가한 사용자가 나열됩니다. 정책 레벨에서 management center는 정책을 수정한 모든 사용자를 표시하고, 규칙 레벨에서 management center는 규칙을 수정한 마지막 사용자만 표시합니다.

Download Report(보고서 다운로드) 버튼을 클릭하여 변경 로그 사본을 다운로드할 수 있습니다.

Advanced View(고급 보기) 탭에는 적용되는 CLI 명령이 표시됩니다. 이 보기는 의 백엔드에서 사용되는 ASA CLI에 익숙한 경우 유용합니다.threat defense

단계 5

수정되지 않은 관련 정책을 필요에 따라 보거나 숨기는 데 Show or Hide Policy(정책 표시 또는 숨기기) ( 정책 표시 또는 숨기기 아이콘 )을 사용할 수 있습니다.

단계 6

디바이스 이름 옆의 체크 박스를 선택하여 모든 구성 변경 사항을 구축하거나, Policy selection(정책 선택) ( 정책 선택 아이콘 )을 클릭하여 구축하지 않고 나머지 변경 사항을 보류하면서 구축할 개별 정책 또는 구성을 선택할 수 있습니다.

이 옵션을 사용하여 특정 정책 또는 컨피그레이션에 대한 상호 의존적인 변경 사항을 볼 수도 있습니다. management center는 정책 간(예: 액세스 제어 정책과 침입 정책 간) 공유 개체와 정책 간의 종속성을 동적으로 탐지합니다. 상호 의존적인 변경 사항은 상호 의존적인 구축 변경 사항을 식별하기 위해 색상 코드 태그를 사용하여 표시됩니다. 구축 변경 사항 중 하나를 선택하면 상호 의존적인 변경 사항이 자동으로 선택됩니다.

자세한 내용은 선택적 정책 구축를 참조하십시오.

참고

공유 개체의 변경 사항을 구축할 때는 영향을 받는 정책도 함께 구축해야 합니다. 구축 중에 공유 개체를 선택하면 영향을 받는 정책이 자동으로 선택됩니다.
선택적 구축은 예약된 구축 및 REST API를 사용하는 구축의 경우에는 지원되지 않습니다. 이러한 경우에는 모든 변경 사항을 완전히 구축하도록만 선택할 수 있습니다.
경고 및 오류에 대한 사전 구축 검사는 선택한 정책뿐만 아니라 오래된 모든 정책에 대해서도 수행됩니다. 따라서 경고 또는 오류 목록에는 선택 취소된 정책도 표시됩니다.
마찬가지로 Deployment(구축) 페이지의 Inspect Interruption(검사 중단) 열 표시는 선택한 정책뿐 아니라 모든 오래된 정책을 고려합니다. Inspect Interruption(검사 중단) 열에 대한 자세한 내용은 디바이스의 재시작 경고를 참조하십시오.

단계 7

구축할 디바이스 또는 정책을 선택한 후 Estimate(견적)를 클릭하여 구축 기간을 대략적으로 파악합니다.

소요 시간은 대략적인 가견적(약 70% 정확도)이며 구축에 소요되는 실제 시간은 몇 가지 시나리오에서 달라질 수 있습니다. 가견적은 최대 20개의 디바이스를 구축할 때 신뢰할 수 있습니다.

가견적을 사용할 수 없으면 선택한 디바이스에서 첫 번째로 성공한 구축이 보류 중이므로 데이터를 사용할 수 없음을 나타냅니다. 이 상황은 management center 이미지 재설치, 버전 업그레이드 후 또는 고가용성 페일오버 후에 발생할 수 있습니다.

참고	가견적은 휴리스틱 기술을 기반으로 하므로 대량 정책 변경(대량 정책 마이그레이션의 경우) 및 선택적 구축에 대한 가견적이 올바르지 않으며 신뢰할 수 없습니다.

단계 8

Deploy(구축)를 클릭합니다.

단계 9

구축할 변경 사항에서 오류나 경고를 식별하면 시스템은 Validation Messages(검증 메시지) 창에 이를 표시합니다. 전체 세부 사항을 보려면 경고 또는 오류 앞에 있는 화살표 아이콘을 클릭합니다.

다음 옵션을 이용할 수 있습니다.

Deploy(구축) - 경고 조건을 해결하지 않고 구축을 계속합니다. 오류가 식별되는 경우 계속 진행할 수 없습니다.
Close(닫기) -구축하지 않고 종료합니다. 오류 및 경고 조건을 해결하고 컨피그레이션을 재구축합니다.

다음에 수행할 작업

(선택 사항) 배포 상태를 모니터링합니다. 구축 메시지 보기(Viewing Deployment Messages)를 Cisco Secure Firewall Management Center 관리 가이드에서 참조하십시오.
구측에 실패하는 경우 구성 변경 사항 구축을 위한 모범 사례의 내용을 참조하십시오.

구축 중에 어떤 이유로든 구축 장애가 발생하는 경우 해당 장애가 트래픽에 영향을 미칠 수 있습니다. 그러나 특정 조건에 따라 달라집니다. 구축에 특정 구성이 변경된 경우 구축 장애로 인해 트래픽이 중단될 수 있습니다. 다음 표를 참조하여 구축 실패 시 트래픽 중단을 일으킬 수 있는 구성 변경 사항을 확인하십시오.


구성 변경	있습니까?	트래픽이 영향을 받습니까?
액세스 제어 정책의 위협 방어 서비스 변경	예	예
VRF	예	예
인터페이스	예	예
QoS	예	예

참고	배포 중 트래픽을 중단하는 구성 변경 사항은 management center 및 threat defense 버전이 6.2.3+인 경우에만 유효합니다.

디바이스에 기존 구성 재구축

관리되는 단일 디바이스에 기존의 (변경되지 않은) 구성을 강제 구축할 수 있습니다. 컨피그레이션 변경 사항은 트래픽 흐름 및 검사 중단의 영향이 가장 적은 시간이나 유지 보수 기간에 구축하는 것이 좋습니다.

경고	배포 시 리소스 수요로 인해 약간의 패킷이 검사 없이 삭제될 수 있습니다. 또한 일부 컨피그레이션을 구축하면 Snort 프로세스가 재시작되므로 트래픽 검사가 중단됩니다. 이 중단 기간 동안 트래픽이 삭제되는지 아니면 추가 검사 없이 통과되는지는 대상 디바이스가 트래픽을 처리하는 방법에 따라 달라집니다. Snort 재시작 트래픽 동작 및 구축 또는 활성화 시 Snort 프로세스를 재시작하는 컨피그레이션을 참조하십시오.

시작하기 전에

구성 변경 사항 구축을 위한 모범 사례에 설명되어 있는 지침을 검토합니다.

프로시저

단계 1

Devices(디바이스) > Device Management(디바이스 관리)를 선택합니다.

단계 2

강제 구축을 원하는 디바이스 옆의 Edit(수정) ( 수정 아이콘 )을 클릭합니다.

다중 도메인 구축에서 현재 위치가 리프 도메인이 아니면 도메인을 전환하라는 메시지가 표시됩니다.

단계 3

디바이스를 클릭합니다.

단계 4

General(일반) 섹션 옆에 있는 Edit(수정) ( 수정 아이콘 )을 클릭합니다.

단계 5

Force Deploy(강제 구축)( 강제 구축 아이콘 ) 버튼을 클릭합니다.

참고	강제 구축은 FTD에 구축할 정책 규칙의 완전한 생성을 포함하므로 일반 구축보다 시간이 더 오래 걸립니다.

단계 6

Deploy(구축)를 클릭합니다.

시스템은 구축하려는 설정과 관련된 모든 오류나 경고를 식별합니다. 경고 상황을 해결하지 않고 계속하려면 Proceed(진행)를 클릭합니다. 그러나 시스템이 오류를 식별하는 경우 계속 진행할 수 없습니다.

다음에 수행할 작업

(선택 사항) 배포 상태를 모니터링합니다. 구축 메시지 보기(Viewing Deployment Messages)를 Cisco Secure Firewall Management Center 관리 가이드에서 참조하십시오.
배포에 실패하는 경우 구성 변경 사항 구축을 위한 모범 사례를 참조하십시오.

구축 관리

구축 상태 보기

Deployment(구축) 페이지에서 Status(상태) 열은 각 디바이스의 구축 상태를 제공합니다. 구축이 진행중인 경우 구축 진행률의 라이브 상태가 표시됩니다. 그렇지 않으면 다음 상태 중 하나가 표시됩니다.

Pending(보류 중) - 구축할 디바이스에 변경 사항이 있음을 나타냅니다.

Warnings or errors(경고 또는 오류) - 사전 구축 확인에서 구축에 대한 경고 또는 오류를 식별했으며 구축을 진행하지 않았음을 나타냅니다. 경고가 있는 경우 구축을 계속할 수 있지만 오류가 있는 경우에는 구축을 계속할 수 없습니다.

참고	상태 열은 구축 페이지의 단일 사용자 세션에 대해서만 경고 또는 오류 상태를 제공합니다. 페이지에서 다른 페이지로 이동하거나 페이지를 새로 고치면 상태가 보류 중으로 변경됩니다.

Failed(실패) - 이전 구축 시도가 실패했음을 나타냅니다. 세부 사항을 보려면 상태를 클릭합니다.
In queue(대기열) - 구축이 시작되었으며 시스템이 아직 구축 프로세스를 시작하지 않았음을 나타냅니다.
Completed(완료됨) - 구축이 성공적으로 완료되었음을 나타냅니다.

구축 히스토리 보기

구축 기록에는 마지막으로 성공한 10개의 구축, 마지막으로 실패한 구축 5개 및 마지막 5개의 롤백 구축이 캡처됩니다.

프로시저

단계 1

management center 메뉴 모음에서 Deploy(구축)를 클릭한 다음 Deployment History(구축 기록) ( 구축 기록 아이콘 )을 클릭합니다.

모든 이전 구축 및 롤백 작업의 목록이 역순으로 표시됩니다.

단계 2

필요한 구축 작업 옆의 Expand Arrow(확장 화살표)( 확장 화살표 아이콘 )를 클릭하여 작업에 포함된 디바이스 및 구축 상태를 확인합니다.

Deployment Notes(구축 참고 사항) 열에서 참고 사항을 확인합니다.

구축 참고 사항은 사용자가 구축의 일부로 추가할 수 있는 맞춤형 참고 사항이며, 이러한 참고 사항은 선택 사항입니다.

단계 3

(선택 사항) 디바이스로 전송된 명령 및 수신된 응답을 보려면 Transcript Details(대화 내용 상세정보)( 대화 내용 상세정보 아이콘 )를 클릭합니다.

기록은 다음 섹션으로 구성되어 있습니다.

Snort Apply(Snort 적용) - Snort 관련 정책에서 장애 또는 응답이 발생하는 경우, 이 섹션에 메시지가 표시됩니다. 일반적으로 이 섹션은 비어 있습니다.

CLI Apply(CLI 적용) - 이 섹션에서는 디바이스로 전송되는 명령을 사용하여 설정한 기능에 대해 설명합니다.

참고	롤백 작업의 기록은 CLI 명령 정보를 제공하지 않습니다. 롤백 명령을 보려면 구축 롤백 기록 보기의 내용을 참조하십시오.

Infrastructure Messages(인프라 메시지) - 이 섹션에는 여러 구축 모듈의 상태가 표시됩니다.

CLI Apply(CLI 적용) 섹션의 구축 기록에는 디바이스로 전송된 명령과 디바이스에서 반환된 응답이 포함되어 있습니다. 이러한 응답은 정보 메시지 또는 오류 메시지일 수 있습니다. 장애가 발생한 구축의 경우 명령 오류를 나타내는 메시지를 확인합니다. FlexConfig 정책을 사용하여 맞춤화된 기능을 구성하는 경우 이러한 오류를 검사하면 특히 유용할 수 있습니다. 이 오류를 확인하여 명령을 구성하려는 FlexConfig 개체의 스크립트를 수정할 수 있습니다.

참고	관리 기능에 대해 전송된 명령과 FlexConfig 정책에서 생성된 명령이 기록에서 구분되지는 않습니다.

예를 들어 다음 시퀀스에서는 management center가 외부에서 논리적 이름으로 GigabitEthernet0/0을 구성하기 위해 명령을 전송했음을 확인할 수 있습니다. 디바이스에서 보안 수준을 0으로 자동 설정했다고 응답했습니다. Threat Defense에서는 어떠한 경우에도 보안 수준을 사용하지 않습니다.


========= CLI APPLY =========

FMC >> interface GigabitEthernet0/0
FMC >>  nameif outside
FTDv 192.168.0.152 >> [info] : INFO: Security level for "outside" set to 0 by default.

단계 4

(선택 사항) 디바이스에 구축된 정책 및 개체 변경 사항과 이전에 구축한 버전을 보려면 Preview(미리보기)( 미리보기 아이콘 )을(를) 클릭합니다.

또한 드롭다운 상자에서 필요한 버전을 선택한 다음 Show(표시) 버튼을 클릭하여 변경 로그를 보고 두 버전을 비교할 수 있습니다. 드롭다운 상자에 구축 작업 이름 및 구축 종료 시간이 표시됩니다.

참고	드롭다운 상자에는 실패한 구축도 표시됩니다.

Modified By(수정 주체) 열에는 정책 또는 개체를 수정한 사용자가 나열됩니다.
1. 정책 레벨에서 management center는 정책을 수정한 모든 사용자 이름을 표시합니다.
2. 규칙 레벨에서 management center는 규칙을 수정한 마지막 사용자를 표시합니다.
Download Report(보고서 다운로드)를 클릭하여 변경 로그 사본을 다운로드할 수도 있습니다.

참고	인증서 등록, HA 작업 및 실패한 구축에 대해서는 구축 기록 미리보기가 지원되지 않습니다. 디바이스가 등록되면 생성되는 작업 기록 레코드에 대한 미리보기가 지원되지 않습니다.

단계 5

(선택 사항) 각 구축 작업에 대해 추가 ( 추가 아이콘 ) 아이콘을 클릭하고 다른 작업을 실행합니다.

Bookmark(즐겨찾기) - 구축 작업을 즐겨찾기에 추가합니다.
Edit Deployment Notes(구축 메모 편집) - 구축 작업을 위해 추가한 맞춤형 구축 메모를 편집합니다.
Generate Report(보고서 생성) - 감사에 사용할 수 있는 구축 보고서를 생성합니다. 이 보고서에는 미리보기 및 트랜스크립트 정보가 포함된 작업 속성이 포함되며, PDF 파일로 다운로드할 수 있습니다.
1. Generate Report(보고서 생성)를 클릭하여 구축 보고서를 생성합니다.
  
  그림 17. 보고서 생성
2. Generate Report(보고서 생성) 팝업 창에서 Email(이메일) 확인란을 선택합니다.
3. 메일 릴레이 호스트가 구성된 경우 이메일을 통해 보고서를 전송할 수도 있습니다. 메일 릴레이 호스트가 구성되지 않은 경우 Edit(수정) () 아이콘을 사용하여 메일 릴레이 호스트를 구성하거나 수정합니다. 자세한 내용은 Cisco Secure Firewall Management Center 관리 가이드의 메일 릴레이 호스트 및 알림 주소 구성을 참조하십시오.
4. Recipient List(수신자 목록)에서 여러 이메일 주소를 세미콜론으로 구분하여 입력할 수 있습니다.
5. Generate(생성)를 클릭하여 보고서를 생성하면 이 보고서가 수신자에게 이메일로 전송됩니다.
6. Notifications(알림) 작업 탭에서 진행 상황을 추적할 수 있습니다. 보고서 생성이 완료되면 알림 작업 탭의 링크를 클릭하여 PDF 보고서를 다운로드합니다.

구성 버전 수 설정

management center에서는 디바이스 구성 기록 파일을 디스크에 구성 버전으로 저장합니다. 디바이스에 대해 유지할 구성 버전의 수를 지정할 수 있습니다. 이 설정을 사용하면 디스크에 있는 디바이스 구성 파일의 크기를 추정하고 허용되는 한도 내로 유지할 수 있습니다. 구성 버전 수를 줄이면 백업 크기를 줄이고 management center의 고가용성 동기화 속도를 개선할 수 있습니다.

management center 고가용성 구축의 경우 구성 버전 설정은 활성 management center에서만 사용할 수 있습니다.

시작하기 전에

이 기능은 7.4.0 버전에서 지원되지 않습니다.

프로시저

단계 1

management center 메뉴 모음에서 Deploy(구축) > Deployment History(구축 기록) ( 구축 기록 아이콘 )를 선택합니다.

단계 2

Deployment Setting(구축 설정)을 클릭합니다.

단계 3

Number of Versions to Retain(유지할 버전 수) 드롭다운 목록에서 디바이스에 대해 유지하려는 구성 버전의 수를 선택합니다.

참고	버전 수를 줄이면 선택한 버전 크기와 일치하도록 가장 오래된 구성 버전들이 제거됩니다. 제거된 버전을 롤백하거나 미리 볼 수는 없습니다.

Maximum Permitted Disk Size(허용되는 최대 디스크 크기): 구성 버전을 저장할 수 있는 최대 크기는 20GB입니다. management center에서는 구성 버전의 크기를 주기적으로 계산하며 구성 버전의 크기가 20GB를 초과할 경우 상태 알림을 보냅니다. 상태 알림을 해결하려면 예상 구성 버전 크기가 20GB 미만인 Number of Versions to Retain(유지할 버전 수)을 선택합니다.
Current Configuration Version Size(현재 구성 버전 크기): 이전 구축에 대한 management center의 구성 파일 크기입니다.
Estimated Configuration Version Size(예상 구성 버전 크기): management center의 대략적인 구성 파일 크기입니다. 이는 보존하기로 선택한 구성 버전의 수를 기준으로 계산됩니다.

단계 4

Save(저장)를 클릭합니다.

구축 롤백

디바이스를 이전에 구축한 구성으로 롤백할 수 있습니다. 정책 구축 후 디바이스를 통과하는 트래픽이 의도하지 않은 방식으로 영향을 받는 경우 롤백이 디바이스를 결함 있는 구축 이전의 상태로 되돌릴 수 있는 옵션을 제공합니다.

롤백은 중단이 발생하는 작업입니다. 모든 기존 연결 및 경로가 삭제되고 트래픽이 중단됩니다.

중단이 발생하는 구성 식별

구축이 잘못되어 의도하지 않은 방식으로 트래픽이 중단된 경우에는 문제가 발생한 구축의 변경 사항을 확인하여 다음 구축이 성공적으로 이루어지도록 문제를 해결하는 것이 좋습니다.

구성을 비교하려면 다음 방법을 참고하십시오.

롤백 전

Deploy(구축) > Deployment History(구축 기록)를 선택하고 마지막 구축된 작업(트래픽 중단 발생)을 확장한 후 미리보기 아이콘()을 클릭합니다.

미리보기 페이지에서는 구축을 비교할 수 있는 옵션을 제공합니다. 이 옵션은 이전 구축과 비교하여 구축의 특정 변경 사항을 식별하는 데 유용할 수 있습니다.
문제를 일으키는 변경 사항을 식별한 후 구성을 수정하고 디바이스에 다시 구축합니다.

롤백 후

롤백 작업이 정상적으로 완료되면 Deploy(구축) > Deployment(구축)를 선택하여 롤백된 디바이스 옆의 Preview(미리보기) 아이콘을 클릭합니다.
롤백 구성과 구축 보류 중인 management center의 현재 변경 간의 변경 사항을 확인합니다.
문제를 일으키는 변경 사항을 식별한 후 구성을 수정하고 디바이스에 다시 구축합니다.

롤백 지침 및 제한 사항

현재 구축된 버전 이전의 마지막 10개 버전 중 하나로 롤백할 수 있습니다. 이전 버전으로의 롤백은 지원되지 않습니다. 지원되지 않는 버전의 경우 롤백 아이콘이 회색으로 표시됩니다.
롤백하기 전에 구축을 수행해야 합니다.
롤백을 수행한 후에는 롤백된 디바이스가 management center에서 최신 상태가 아닌 것으로 표시됩니다. 구성에 대한 변경 사항은 다음 구축을 위해 계속 보류 중입니다. 보류 중인 변경 사항을 확인하려면 Deploy(구축) > Deployment(구축)를 선택하여 롤백된 디바이스 옆의 Preview(미리보기) 아이콘을 클릭합니다.
Object Group Search(개체 그룹 검색) 설정이 비활성화된 경우 큰 액세스 목록이 있는 디바이스에 대해서는 롤백 작업을 완료하는 데 더 오래 걸릴 수 있습니다. 이 Object Group Search(개체 그룹 검색) 설정을 확인하려면 Devices(디바이스) > Device Management(디바이스 관리)를 선택한 후 디바이스를 선택하고 Edit Advanced Settings(고급 설정 편집)를 클릭합니다.
Firepower 4100/9300의 경우, 현재 섀시 관리자 인터페이스 구성이 모든 롤백 버전에서 동일해야 합니다. 그렇지 않으면 롤백 인터페이스 구성이 실제 인터페이스와 일치하지 않을 수 있습니다.
관리자 액세스 인터페이스(관리자 또는 데이터 인터페이스)가 롤백 버전과 현재 버전 간에 다를 경우 롤백이 지원되지 않습니다.
독립 인증서 등록도 Deployment History(구축 기록) 페이지에 구축 작업으로 나열됩니다. 그러나 이러한 버전으로 롤백할 수는 없습니다. 인증서 등록 이후에 생성된 구축 버전의 롤백은 인증서 연결도 되돌립니다. 롤백 후 다음 구축에서는 구축을 진행하기 전에 인증서를 수동으로 연결합니다.
management center를 업그레이드하는 경우 디바이스를 업그레이드하지 않았더라도 이전 소프트웨어 릴리스의 모든 롤백 버전을 디바이스에서 더 이상 사용할 수 없습니다.
디바이스를 업그레이드하는 경우 현재 소프트웨어 릴리스의 버전으로만 롤백할 수 있습니다.
구축 빈도가 Once(한 번)로 설정된 상태로 구성된 FlexConfig 개체가 있는 디바이스에 대한 구축이 롤백되는 경우, Preview (미리보기) 페이지에서 해당 객체가 오래된 것으로 표시되더라도 해당 구축을 재구축할 수 없습니다. 롤백 후에는 다음 구축 전에 FlexConfig 개체를 수동으로 할당 해제한 다음 디바이스에 다시 할당해야합니다.
고가용성의 경우 다음 시나리오에서 롤백이 지원되지 않습니다.
- 롤백하려는 버전에 고가용성 부트 스트랩 구성이 포함된 경우. 다시 말해, 독립형 디바이스에 대해 고가용성을 처음 구성할 때의 상태를 나타냅니다.
- 현재 독립형 모드인 디바이스가 이전 구축 버전에서 고가용성 페어의 일부인 경우.
클러스터링에 대해서는 다음 지침을 참고하십시오.
- 현재 독립형 모드인 디바이스가 이전 구축 버전에서 클러스터의 일부인 경우 롤백이 지원되지 않습니다.
- (프라이빗 클라우드의 Secure Firewall 3100/4200 및 threat defense virtual) 클러스터링 부트스트랩 설정을 변경하거나 노드를 추가 또는 삭제하는 경우 이러한 변경 이전 버전으로 롤백할 수 없습니다.

롤백 중에 복귀되지 않은 구성

롤백은 일부를 제외하고 디바이스의 모든 구성을 되돌립니다. 자세한 내용은 아래 표를 참조하십시오.

롤백 중에 복귀되는 구성

롤백 중에 복귀되지 않은 구성

모든 정책 구성

인터페이스 구성

SRU 구성
VDB 구성
LSP 구성
VPN 구성
FXOS 구성

Snort 이진

참고	Snort 3에서 Snort 2 버전 정책으로의 롤백 및 그 반대의 경우도 지원됩니다.

Geo DB

롤백 수행

롤백은 선택한 디바이스에서만 구성을 되돌립니다.

프로시저

단계 1	Deploy(구축)>Deployment History(구축 기록) ()를 선택합니다. 모든 이전 구축 작업 목록이 역순으로 표시됩니다.
단계 2	Rollback(롤백)을 클릭합니다.
단계 3	Job(작업)을 클릭하고 Selected Job(선택한 작업) 드롭다운 목록에서 작업을 선택하거나 Device List(디바이스 목록)를 클릭하여 표시되는 디바이스 목록을 필터링합니다.
단계 4	(선택 사항) Search Device(디바이스 검색) 검색 상자에 디바이스 이름을 입력하여 디바이스 목록을 필터링합니다.
단계 5	롤백할 디바이스 옆의 체크 박스를 선택하고 Rollback Version(롤백 버전) 드롭다운 목록에서 각 디바이스의 버전을 선택합니다. 그림 18. 선택한 작업 목록 그림 19. Device List 특정 롤백 버전에 대한 작업 이름 및 관련 구축 참고 사항도 나열됩니다.
단계 6	(선택 사항) 미리보기 아이콘()을 클릭하여 선택한 버전에서 구축된 변경 사항을 확인합니다.
단계 7	Rollback(롤백)을 클릭합니다.

다음에 수행할 작업

롤백 상태를 확인하려면 Deploy(구축) > Deployment(구축)를 선택합니다. 디바이스 이름 옆의 롤백 상태를 볼 수 있습니다.

구축 롤백 기록 보기

롤백 기록은 디바이스에서 반환되는 응답과 함께 디바이스로 전송되는 명령이 작성된 버전입니다. 롤백 작업이 실패한 경우, Deploy(구축) > Deployment History(구축 기록) 페이지의 기록에 실패 이유가 표시됩니다. 단, 롤백 작업을 성공적으로 수행하기 위해 실행된 CLI 명령을 확인하려면 롤백 작업이 완료된 후 아래 단계를 수행하십시오. 이 정보는 다음 구축까지만 확인할 수 있습니다.

참고	CLI 명령 정보는 롤백이 완료된 후에 확인할 수 있으며, 다음 구축까지만 살펴볼 수 있습니다. 롤백 작업 후 첫 번째 구축에서는 모든 롤백 관련 정보가 지워집니다.

참고	롤백 구축의 경우, 구축 참고 사항은 Rollback Job(롤백 작업)으로 자동 업데이트됩니다. Deployment History(구축 기록) 페이지에서 사용자는 Search(검색) 옵션을 사용하여 롤백 작업을 쉽게 필터링할 수 있습니다.

프로시저

단계 1	Secure Firewall Management Center 메뉴 표시줄에서 System(시스템) > Health(상태) > Monitor(모니터)를 선택합니다.
단계 2	왼쪽 창에서 롤백된 디바이스를 선택합니다.
단계 3	View System & Troubleshooting Details(시스템 및 문제 해결 세부 사항 보기) 링크를 클릭합니다.
단계 4	Advanced Troubleshooting(고급 문제 해결)을 클릭합니다.
단계 5	Threat Defense CLI(위협 방어 CLI)를 클릭합니다.
단계 6	Command(명령) 드롭다운 상자에서 show를 클릭합니다.
단계 7	Parameter(매개변수) 필드에 `running`을 입력합니다.
단계 8	Execute(실행)를 클릭합니다.

여러 디바이스에 대한 정책 변경 보고서 다운로드

여러 threat defense 디바이스에 대한 마지막 구축 이후 정책 및 개체 변경 사항에 대한 보고서를 다운로드합니다. 다음 보고서가 포함된 zip 파일 형식의 보고서를 다운로드할 수 있습니다.

각 디바이스에 대한 보류 중인 변경 사항 보고서로서, 정책의 추가, 업데이트, 삭제 또는 디바이스에 구축될 개체를 미리 봅니다. 자세한 내용은 구성 변경 사항 구축 및 구축 미리보기를 참조하십시오.
보고서 상태에 따라 각 디바이스를 분류하는 통합 보고서입니다.

프로시저

단계 1	Deploy(구축) > Advanced Deploy(고급 구축)를 선택합니다.
단계 2	보류 중인 정책 변경 보고서를 생성하려는 디바이스 옆의 체크 박스를 선택하고 Pending Changes Reports(보류 중인 변경 사항 보고서)를 클릭합니다.
단계 3	Pending Changes Reports(보류 중인 변경 사항 보고서)를 클릭합니다. 보고서는 백그라운드에서 생성됩니다.
단계 4	management center 메뉴 모음에서 Notifications(알림) > Tasks(작업)를 선택하여 보고서 생성 작업을 확인합니다. 보고서 요청 작업이 완료되면 작업 알림 내에 다운로드 링크가 표시됩니다.
단계 5	Download Report(s)(보고서 다운로드) 링크를 클릭하여 보고서를 다운로드합니다.

정책 비교

조직의 표준 규정을 준수하는지에 대한 정책 변경을 검토하고 시스템 성능을 최적화하기 위해 두 정책 또는 저장된 정책과 실행 설정 간 차이를 검토할 수 있습니다.

다음 정책 유형을 비교할 수 있습니다.

DNS
파일
상태
ID
침입(Snort 2 정책만 해당)
네트워크 분석
SSL

비교 보기는 옵션 요약 비교 형식으로 두 정책을 표시합니다. 두 정책 간 차이점은 강조 표시됩니다.

파란색은 강조 표시된 설정이 두 정책 사이에서 다름을 나타내고, 그러한 차이점은 빨간색 텍스트로 표시됩니다.
녹색은 강조 표시된 설정이 한 정책에서는 나타나지만 다른 정책에서는 나타나지 않음을 표시합니다.

시작하기 전에

특정 정책에 대한 액세스 권한 및 필요한 라이선스가 있고 정책을 구성하기 위한 올바른 도메인에 있는 경우에만 정책을 비교할 수 있습니다.

프로시저

단계 1

비교할 정책의 관리 페이지에 액세스합니다.

DNS—Policies(정책) > Access Control(액세스 제어) > DNS
파일 — Policies(정책) > Access Control(액세스 제어) > Malware & File(악성코드 및 파일)
상태 — 시스템 ( ) > Health(상태) > Policy(정책)
ID — Policies(정책) > Access Control(액세스 제어) > Identity(ID)

침입 — Policies(정책) > Access Control(액세스 제어) > Intrusion(침입)

참고	Snort 2 정책만 비교할 수 있습니다.

네트워크 분석 — Policies(정책) > Access Control(액세스 제어)로 이동한 다음 Network Analysis Policy(네트워크 분석 정책) 또는 Policies(정책) > Access Control(액세스 제어) > Intrusion(침입)으로 이동한 다음 Network Analysis Policy(네트워크 분석 정책)

참고	맞춤형 사용자 역할이 여기 나와 있는 첫 번째 경로에 대한 액세스를 제한하는 경우에는 두 번째 경로를 사용하여 정책에 액세스합니다.

SSL — Policies(정책) > Access Control(액세스 제어) > Decryption(해독)

단계 2

Compare Policies(정책 비교)를 클릭합니다.

단계 3

Compare Against(비교 대상) 드롭다운 목록에서 원하는 비교 유형을 선택합니다.

두 가지의 서로 다른 정책을 비교하려면, Other Policy(다른 정책)를 선택합니다.
동일한 정책의 두 가지 수정 버전을 비교하려면, Other Revision(다른 수정 버전)을 선택합니다.
현재 활성화된 정책과 다른 정책을 비교하려면, Running Configuration(실행 중인 컨피그레이션)을 선택합니다.

단계 4

선택한 비교 유형에 따라 다음을 선택할 수 있습니다.

두 가지 서로 다른 정책을 비교하는 경우 Policy A(정책 A) 및 Policy B(정책 B) 드롭다운 목록에서 비교할 정책을 각각 선택합니다.
실행 중인 컨피그레이션을 다른 정책과 비교하는 경우 Policy B(정책 B) 드롭다운 목록에서 두 번째 정책을 선택합니다.

단계 5

OK(확인)를 클릭합니다.

단계 6

비교 결과를 검토합니다.

비교 뷰어—비교 뷰어를 사용하여 정책 차이점을 개별적으로 탐색하려면 제목 바 위의 Previous(이전) 또는 Next(다음)를 클릭합니다.
비교 보고서 — 두 정책 간의 차이점을 나열하는 PDF 보고서를 생성하려면 Comparison Report(비교 보고서)를 클릭합니다.

현재 정책 보고서 생성

대부분의 정책에 대해 두 종류의 보고서를 생성할 수 있습니다. 보고서 목록은 두 정책 간 차이를 비교하는 반면, 단일 정책에 대한 보고서는 정책에 현재 저장된 설정의 세부 정보를 제공합니다. 상태를 제외한 모든 정책 유형에 대한 단일 정책 보고서를 생성할 수 있습니다.

참고	침입 정책 보고서는 기본 정책 설정과 정책 레이어의 설정을 결합하며 기본 정책 또는 정책 레이어 중 기반이 되는 설정이 무엇인지 구분하지 않습니다.

시작하기 전에

특정 정책에 대한 액세스 권한 및 필요한 라이선스가 있고 정책을 설정하기 위한 올바른 도메인에 있는 경우에만 정책을 생성할 수 있습니다.

프로시저

단계 1

보고서를 생성할 정책의 관리 페이지에 액세스합니다.

액세스 제어 -Policies(정책) > Access Control(액세스 제어)
DNS—Policies(정책) > Access Control(액세스 제어) > DNS
파일 — Policies(정책) > Access Control(액세스 제어) > Malware & File(악성코드 및 파일)
상태 — 시스템 ( ) > Health(상태) > Policy(정책)
ID — Policies(정책) > Access Control(액세스 제어) > Identity(ID)
침입 — Policies(정책) > Access Control(액세스 제어) > Intrusion(침입)
NAT—Devices(디바이스) > NAT

참고	맞춤형 사용자 역할이 여기 나와 있는 첫 번째 경로에 대한 액세스를 제한하는 경우에는 두 번째 경로를 사용하여 정책에 액세스합니다.

SSL - Policies(정책) > Access Control(액세스 제어) > Decryption(해독)

단계 2

보고서를 생성하려는 정책 옆에 있는 Report(보고서) ( 보고서 아이콘 )를 클릭합니다.

구성 구축 기록


기능	최소 Management Center	최소 Threat Defense	세부 사항
디바이스 롤백을 위해 보존할 구축 기록 파일의 수 설정.	모두	모두	이제 디바이스 롤백에 대해 보존할 구축 기록 파일의 수를 최대 10개(기본값)까지 설정할 수 있습니다. 이렇게 하면 Management Center의 디스크 공간을 절약할 수 있습니다. 신규/수정된 화면: Deploy(구축) > Deployment History(구축 기록) () > Deployment Setting(구축 설정) > Configuration Version Setting(구성 버전 설정)
마지막 구축 이후의 구성 변경에 대한 보고서 조회 및 생성.	모두	모두	마지막 구축 이후 구성 변경에 대한 다음 보고서를 생성, 확인 및 다운로드(zip 파일)할 수 있습니다. 각 디바이스에 대한 정책 변경 보고서에서 정책의 추가, 변경, 삭제 또는 디바이스에 구축할 개체를 미리 봅니다. 통합 보고서는 정책 변경 보고서 생성 상태에 따라 각 디바이스를 분류합니다. 이는 Management Center나 Threat Defense 디바이스를 업그레이드한 후에 구축하기 전 업그레이드에서 변경된 사항을 확인할 수 있도록 하는 데 특히 유용합니다. 신규/수정된 화면: Deploy(구축) > Advanced Deploy(고급 구축).
구성 변경 사항을 구축할 때 보고서를 생성하고 이메일로 보냅니다.	7.2	Any(모든)	이제 모든 구축에 대한 보고서를 생성할 수 있습니다. 신규/수정된 페이지: Deploy(구축) > Deployment History(구축 기록) () 아이콘 > 추가 ( )Generate Report(보고서 생성)
구축 미리보기 및 미리보기의 사용자 정보.	7.0	Any(모든)	구축 페이지에는 다음과 같은 기능이 새로 추가되었습니다. Deployment(구축) 페이지의 Modified By(수정한 사람) 열에 각 정책 목록에 대해 정책을 수정한 사용자가 나열됩니다. 구축에 대한 필터 지원 - Deployment(구축) 페이지에 제공된 Filter(필터) 아이콘은 구축 보류중인 디바이스 목록을 필터링하는 옵션을 제공합니다. 필터 아이콘은 선택한 디바이스 및 사용자 이름을 기준으로 목록을 필터링하는 옵션을 제공합니다. 구축 기록 미리 보기 - 디바이스에 구축된 정책 및 개체 변경 사항과 이전에 구축한 버전을 보려면 Preview(미리 보기)를 클릭합니다. 구축 기록에는 마지막으로 성공한 10개의 구축, 마지막으로 실패한 구축 5개 및 마지막 5개의 롤백 구축이 캡처됩니다. 구축 참고 사항 – 구축 참고 사항은 사용자가 구축의 일부로 추가할 수 있는 맞춤형 및 선택적 참고 사항입니다. Deployment History(구축 기록) 페이지에서 Deployment Notes(구축 참고 사항) 열을 볼 수 있습니다. 구축 롤백은 Snort 3 정책에도 사용할 수 있습니다.
threat defense 디바이스에서 구축을 롤백합니다.	6.7	6.7	롤백은 threat defense 디바이스에서 기존 구축을 제거하고 이전에 구축한 구성으로 디바이스를 재구성하기 위해 제공되는 구축 기능입니다. 신규 / 수정 페이지: Deploy(구축) > Deployment History(구축 히스토리) 페이지에 롤백 아이콘이 있는 새로운 롤백 열이 제공됩니다. 작업이 확장되어도 디바이스 레벨에서 롤백을 시작하기 위해 유사한 롤백 아이콘을 찾을 수 있습니다.
새로운 구축 웹 인터페이스.	6.6	Any(모든)	management center 메뉴 모음의 Deploy(구축) 버튼이 Deploy(구축) 메뉴로 변경됩니다. 그 아래에는 2개의 새로운 하위 메뉴 옵션이 있습니다. 이들은 Deployment(구축) 및 Deployment History(구축 히스토리)입니다. 새로 구축된 기능과 함께 구축 페이지가 개선되었으며, 새로운 구축 히스토리 페이지에서는 모든 이전 구축의 범례를 제공합니다. 구축 페이지에는 다음과 같은 기능이 새로 추가되었습니다. 구축 상태-구축 페이지의 Status(상태) 열에서 각 디바이스의 구축 상태를 제공합니다. 구축 견적-디바이스, 정책 또는 구성을 선택한 후 구축 페이지에서 견적 링크를 사용할 수 있습니다. 견적 링크를 한 번 클릭하면 구축 기간의 견적이 제공됩니다. 구축 미리보기-미리보기는 디바이스에 구축할 모든 정책 및 개체 변경 사항의 스냅샷을 제공합니다. 정책 변경 사항에는 새 정책, 기존 정책의 변경 사항 및 삭제된 정책이 포함됩니다. 개체 변경 사항에는 정책에 사용되는 추가 및 수정된 개체가 포함됩니다. 선택적 정책 구축: management center를 사용하면 구축해야 하는 디바이스의 모든 변경 사항 목록에서 특정 정책을 선택하고 선택한 정책만 구축할 수 있습니다.

Cisco Secure Firewall Management Center 디바이스 구성 가이드, 7.4

편견 없는 언어

번역에 관하여

결과

장: 구성 구축

구성 구축

구성 구축 정보

구축이 필요한 구성 변경

구축 필요

구축이 필요하지 않음

구축 미리보기

지원되지 않는 기능

선택적 정책 구축

시스템 사용자 이름

애플리케이션 탐지기 자동 활성화

네트워크 검색 정책 변경이 있는 자산 재검색

Snort 재시작 시나리오

디바이스의 재시작 경고

정책 적용 중에 트래픽 검사

Snort 재시작 트래픽 동작

구축 또는 활성화 시 Snort 프로세스를 재시작하는 컨피그레이션

액세스 제어 정책 고급 설정

파일 정책

ID 정책

네트워크 검색

디바이스 관리

업데이트

즉시 Snort 프로세스를 재시작시키는 변경 사항

정책 관리를 위한 요구 사항 및 사전 요건

모델 지원

지원되는 도메인

사용자 역할

구성 변경 사항 구축을 위한 모범 사례

신뢰할 수 있는 관리 연결

최대 동시 구축 수

공유 정책 구축

구축 시간 및 메모리 제한

유지 보수 기간을 사용하여 트래픽 중단의 영향 줄이기

구성 구축

구성 변경 사항 구축

시작하기 전에

프로시저

다음에 수행할 작업

디바이스에 기존 구성 재구축

시작하기 전에

프로시저

다음에 수행할 작업

구축 관리

구축 상태 보기

구축 히스토리 보기

프로시저

구성 버전 수 설정

시작하기 전에

프로시저

구축 롤백

중단이 발생하는 구성 식별

롤백 지침 및 제한 사항

롤백 중에 복귀되지 않은 구성

롤백 수행

프로시저

다음에 수행할 작업

구축 롤백 기록 보기

프로시저

여러 디바이스에 대한 정책 변경 보고서 다운로드

프로시저

정책 비교

시작하기 전에

프로시저

현재 정책 보고서 생성

시작하기 전에

프로시저

구성 구축 기록

이 문서가 도움이 되셨습니까?

지원 문의