선택한 작업에 따라 침입 규칙이 차단 및 알림(예방 모드) 또는 알림만(탐지 모드)인지 여부가 결정됩니다.

시스템에서 제공하는 정책 또는 기존 정책을 기본 정책으로 사용할 수 있습니다.

새로운 정책의 설정은 기본 정책의 설정과 같습니다.

• 모드 변경 - 검사 모드를 변경하려면 Mode(모드) 드롭다운을 클릭합니다.

• Prevention(방지) - 트리거된 차단 규칙은 이벤트(경고)를 생성하고 연결을 삭제합니다.

• Detection(탐지) - 트리거된 차단 규칙은 알림을 생성합니다.

  탐지를 시작하기 전에 예방을 위해 탐지 모드를 선택할 수 있습니다. 예를 들어, 예방 모드를 선택하기 전에 차단 규칙이 알림만 할 수 있도록 하여 많은 오탐을 유발하는 규칙을 식별할 수 있습니다.

• 검색 규칙 - 검색 필드를 사용하여 표시를 필터링합니다. GID, SID, 규칙 메시지 또는 참조 정보를 입력할 수 있습니다. 예를 들어 GID:1; SID:9621은 1:962 규칙만 표시하고, SID:9621,9622,9623은 서로 다른 SID의 여러 규칙을 표시합니다. Search(검색) 텍스트 상자 내부를 클릭하여 다음 옵션 중 하나를 선택할 수도 있습니다.

  • Action = Alert 또는 Action: Block 필터 적용

  • Disabled Rules 필터 적용

  • Custom/User Defined Rules 표시

  • GID, SID 또는 GID:SID로 필터링

  • CVE로 필터링

  • 코멘트로 필터링

• View filtered rules(필터링된 규칙 보기) - Presets(프리셋)를 클릭하여 알림, 차단, 비활성화 등으로 설정된 규칙을 봅니다.

  재정의된 규칙은 규칙 작업이 기본 작업에서 다른 작업으로 변경된 규칙을 나타냅니다. 변경되면 원래 기본 작업으로 다시 변경하더라도 규칙 작업 상태가 재정의됩니다. 그러나 Rule Action(규칙 작업) 드롭다운 목록에서 Revert to default(기본값으로 되돌리기)를 선택하면 재정의됨 상태가 제거됩니다.

  Advanced Filters(고급 필터)는 LSP(Lightweight Security Package) 릴리스, 침입 분류 및 Microsoft 취약성을 기반으로 하는 필터 옵션을 제공합니다.

• View rule documentation(규칙 문서 보기) - 규칙 ID 또는 Rule Documentation(규칙 문서) 아이콘을 클릭하여 규칙에 대한 Talos 문서를 표시합니다.

• View a rule message(규칙 메시지 보기) - 규칙 세부 정보를 보려면 규칙 행의 확장 화살표( ) 아이콘을 클릭합니다.

• Add rule comments(규칙 코멘트 추가) - 규칙에 대한 코멘트를 추가하려면 Comments(코멘트) 열 아래의 Comment(코멘트)()를 클릭합니다.

• Search rule groups(규칙 그룹 검색) - 검색 필드를 사용하여 키워드를 입력하고 규칙 그룹을 검색합니다.

• 왼쪽 패널에서 프리셋 필터 옵션을 선택하여 규칙 그룹을 검색할 수 있습니다.

  • All(모두) - 모든 규칙 그룹을 표시합니다.

  • Excluded(제외됨) - 제외된 그룹을 표시합니다.

  • Included(포함) - 포함된 그룹을 표시합니다.

  • Overridden(재정의됨) - 재정의된 규칙 그룹 구성을 표시합니다.

• Set the security level for a rule group(규칙 그룹의 보안 레벨 설정) - 왼쪽 창에서 필요한 규칙 그룹으로 이동하여 클릭합니다. 규칙 그룹의 Security Level(보안 레벨) 옆에 있는 Edit(편집)을 클릭하여 시스템 정의 규칙 설정에 따라 보안 수준을 높이거나 낮춥니다.

  Edit Security Level(보안 레벨 편집) 대화 상자에는 Revert to Default(기본값으로 되돌리기)를 클릭하는 옵션이 있으며, 클릭하면 변경 사항을 되돌립니다.

  Management Center는 구성된 보안 레벨에 대해 규칙 그룹의 규칙에 대한 작업을 자동으로 변경합니다. Rule Overrides(규칙 재정의) 레이어에서 보안 레벨을 변경할 때마다 Presets(프리셋)에서 Block Rules(차단 규칙) 및 Disabled Rules(비활성화 규칙)의 수를 확인합니다.

• 보안 레벨을 대량으로 변경하여 특정 규칙 범주에 있는 모든 규칙 그룹의 보안 레벨을 변경할 수 있습니다. 대량 보안 레벨은 둘 이상의 규칙 그룹이 있는 규칙 그룹에 적용됩니다. 규칙 그룹을 대량 업데이트한 후에도 규칙 그룹과 연결된 규칙 그룹의 보안 레벨은 계속 업데이트할 수 있습니다.

  규칙 그룹 내에서 혼합 보안 레벨이 있을 수 있습니다. 혼합은 하위 그룹에 상위 규칙 그룹 내에서 혼합 보안 레벨이 포함되어 있음을 나타냅니다.

• Include or exclude rule groups(규칙 그룹 포함 또는 제외) - 표시되는 규칙 그룹은 시스템에서 제공하는 기본 침입 정책과 연결된 기본 규칙 그룹입니다. 침입 정책에서 규칙 그룹을 포함하거나 제외할 수 있습니다. 제외된 규칙 그룹은 침입 정책에서 제거되며 해당 규칙은 트래픽에 적용되지 않습니다. Management Center의 사용자 지정 규칙 업로드에 대한 자세한 내용은 규칙 그룹에 사용자 지정 규칙 추가를 참조하십시오.

  규칙 그룹을 제외하려면 다음과 같이 합니다.

  1. Rule Groups(규칙 그룹) 창을 탐색하여 제외할 규칙 그룹을 선택합니다.

  2. 오른쪽 창에서 Exclude(제외) 하이퍼링크를 클릭합니다.

  3. Exclude(제외)를 클릭합니다.

  업로드된 사용자 지정 규칙 또는 이전에 제외된 규칙 그룹에 새 규칙 그룹 또는 여러 규칙 그룹을 포함하려면 다음을 수행합니다.

  1. 규칙 그룹 필터 드롭다운 목록 옆에 있는 추가()를 클릭합니다.

  2. 해당 규칙 그룹 옆의 체크 박스를 선택하여 추가할 모든 규칙 그룹을 선택합니다.

  3. Save(저장)를 클릭합니다.

• 리프 규칙 그룹의 경우 Override(재정의) 열 헤더 아래의 아이콘을 클릭하여 침입 규칙에 대한 기본 정책 및 그룹 재정의로 인해 할당될 수 있는 재정의된 규칙 작업의 순서를 설명하는 규칙 작업 추적을 확인합니다. 기본 정책 구성 또는 사용자 그룹 재정의에서 규칙 작업을 가져올 수 있습니다. 사용자 그룹 재정의가 둘 사이의 우선순위를 지정합니다. 우선순위는 규칙 그룹에 할당된 최종 재정의 작업을 나타냅니다.

• 규칙 그룹의 일부인 규칙 요약을 보려면 Rule Count(규칙 수) 열 헤더 아래에 있는 규칙 카운트(숫자)를 클릭합니다.

• Set By(설정 기준) 열에는 상태별(Base Policy(기본 정책))로 설정된 기본값 또는 Group Overrides(그룹 재정의), Rule Overrides(규칙 재정의) 또는 Recommendations(권장 사항)별로 수정된 규칙 상태가 표시됩니다. 왼쪽 창에 있는 All Rules(모든 규칙)의 Set By(설정 기준) 열에는 우선순위 순서에 따라 재정의 작업을 추적한 규칙 작업이 표시됩니다. 규칙 작업의 우선순위 순서는 Rule Override(규칙 재정의) > Recommendations(권장 사항) > Group Override(그룹 재정의) > Base Policy(기본 정책)입니다.

• Rule Action(규칙 작업) 수정 - 규칙 작업을 수정하려면 다음 중 하나를 선택합니다.

  • 대량 편집 - 하나 이상의 규칙을 선택한 다음 Rule Action(규칙 작업) 드롭다운 목록에서 필요한 작업을 선택하고 Save(저장)를 클릭합니다.

    참고	대량 규칙 작업 변경은 처음 500개 규칙에 대해서만 지원됩니다.

  • 단일 규칙 편집 - Rule Action(규칙 작업) 열의 드롭다운 목록에서 규칙에 대한 작업을 선택합니다.

  규칙 작업은 다음과 같습니다.

  • Block(차단) - 이벤트를 생성하고, 현재 일치하는 패킷과 이 연결의 모든 후속 패킷을 차단합니다.

  • Alert(알림) - 일치하는 패킷에 대한 이벤트만 생성하며, 패킷 또는 연결을 삭제하지 않습니다.

  • Disabled(비활성화됨) - 트래픽을 이 규칙과 일치시키지 않습니다. 아무런 이벤트도 생성되지 않습니다.

  • Revert to default(기본값으로 되돌리기) - 시스템 기본 작업으로 되돌립니다.

  • Pass(통과) - 이벤트가 생성되지 않으며, 후속 Snort 규칙에 따른 추가 평가 없이 패킷을 전달할 수 있습니다.

    참고	Pass(통과) 작업은 시스템 제공 규칙이 아닌 사용자 지정 규칙에만 사용할 수 있습니다.

  • Drop(삭제) - 이벤트를 생성하고, 일치하는 패킷을 삭제하며, 이 연결에서 추가 트래픽을 차단하지 않습니다.

  • Reject(거부) - 소스 및 대상 호스트에 대한 TCP 프로토콜인 경우 이벤트를 생성하고, 일치하는 패킷을 삭제하며, 이 연결의 추가 트래픽을 차단하고, TCP 재설정을 전송합니다.

    Behavior of reject in different firewall modes and IP address or source or destination in relation to Client or Server(클라이언트 또는 서버와 관련된 여러 방화벽 모드 및 IP 주소 또는 소스나 대상에서의 거부 동작): Snort는 라우팅, 인라인 및 브리지 인터페이스의 경우 클라이언트와 서버 모두에 RST 패킷을 전송합니다. Snort는 두 개의 RST 패킷을 전송합니다. 클라이언트 방향의 RST 패킷은 소스가 서버 IP로, 대상이 클라이언트 IP로 설정됩니다. 서버 방향의 RST 패킷에서는 소스가 클라이언트 IP로 설정되고 대상이 서버 IP로 설정됩니다.

  • Rewrite(재작성) - 이벤트를 생성하고 규칙의 교체 옵션에 따라 패킷 내용을 덮어씁니다.

  IPS 규칙 작업 로깅에 대해서는 규칙 작업 로깅의 내용을 참조하십시오.

  React(대응) 규칙이 있는 경우 알림 작업으로 변환됩니다.

• 정책의 규칙 배포(활성 규칙, 비활성화된 규칙 등).

• 정책을 내보내고 침입 정책 보고서를 생성하는 옵션.

• 기본 정책 세부 정보.

• 권장 사항 생성 옵션.

• 재정의한 그룹의 목록을 표시하는 그룹 재정의.

• 사용자가 재정의한 규칙의 목록을 표시하는 규칙 재정의.

• Summary(요약) 레이어에서 ? 아이콘을 클릭하여 Snort 계층화 개념을 설명하는 Snort 도움말 가이드 팝업 창을 엽니다.

기본 정책을 변경하려면 침입 정책의 기본 정책 변경 항목을 참조하십시오.

• 생성 - Create Policy(정책 생성)를 클릭합니다(사용자 지정 Snort 3 침입 정책 생성 참조).

• 삭제 - 삭제하려는 정책 옆에 있는 삭제( )를 클릭합니다. 다른 사용자가 정책 변경 사항을 저장하지 않은 경우, 시스템은 확인하라는 메시지를 표시하고 사용자에게 알립니다. OK(확인)를 클릭하여 확인합니다.

  컨트롤이 흐리게 표시되는 경우에는 컨피그레이션이 상위 도메인에 속하거나 컨피그레이션을 수정할 권한이 없는 것입니다.

• 침입 정책 세부 정보 수정 - 수정하려는 정책 옆에 있는 편집 ()을 클릭합니다. 침입 정책의 Name(이름), Inspection Mode(검사 모드) 및 Base Policy(기본 정책)를 수정할 수 있습니다.

• 침입 정책 설정 수정 - Snort 3 Version(Snort 3 버전)을 클릭합니다(Snort 3 침입 정책 편집 참조).

• 내보내기 - 다른 Management Center에서 가져오기 위해 침입 정책을 내보내려는 경우 Export(내보내기)를 클릭합니다(최신 버전의 Cisco Secure Firewall Management Center 구성 가이드에 있는 구성 내보내기 주제 참조).

• 구축 - Deploy(구축) > Deployment(구축)를 선택합니다(구성 변경 사항 구축 참조).

• 보고서 - Report(보고서)를 클릭합니다(최신 버전의 Cisco Secure Firewall Management Center 구성 가이드에 있는 현재 정책 보고서 생성 주제 참조). 각 정책 버전에 대해 하나씩 wo 보고서를 생성합니다.