사전 필터링 정보
사전 필터링은 시스템에서 더 많은 리소스를 사용하는 평가를 수행하기 전에 이루어지는 첫 번째 액세스 제어 단계입니다. 사전 필터링은 간단하고 빠르며 일찍 이루어집니다. 사전 필터링은 제한된 외부 헤더 기준을 사용하여 신속하게 트래픽을 처리합니다. 내부 헤더를 사용하며 검사 기능이 더 강력한 후속 평가와 사전 필터링을 비교해 보십시오.
다음 경우에 사전 필터링을 구성하십시오.
-
성능 향상 - 검사가 필요하지 않은 트래픽은 일찍 제외할수록 좋습니다. 캡슐화된 연결을 검사하지 않고 외부 캡슐화 헤더를 기반으로 특정 유형의 일반 텍스트, 패스스루 터널을 단축 경로 지정 또는 차단할 수 있습니다. 조기에 처리하는 것이 유리한 그 밖의 연결도 단축 경로를 지정하거나 차단할 수 있습니다.
-
캡슐화된 트래픽에 심층 검사 맞춤 설정 - 동일한 검사 기준을 사용하여 나중에 캡슐화된 연결을 처리할 수 있도록 특정 터널 유형의 영역을 다시 지정할 수 있습니다. 영역 재지정이 필요한 이유는 사전 필터링 후 액세스 제어가 내부 헤더를 사용하기 때문입니다.
사전 필터링 및 액세스 제어 비교
사전 필터 정책과 액세스 제어 정책은 모두 트래픽을 차단하고 신뢰하도록 해 주지만 사전 필터링 '신뢰' 기능은 더 많은 검사를 건너뛰기 때문에 '단축 경로 설정(fastpathing)'이라고 합니다. 다음 표에서는 맞춤형 사전 필터링을 구성해야 하는지 결정하는 데 도움이 되도록 사전 필터링과 액세스 제어의 이러한 차이점 및 그 밖의 차이점을 설명합니다.
맞춤형 사전 필터링을 구성하지 않는 경우, 액세스 제어 정책에서 조기 배치된 Block(차단) 및 Trust(신뢰) 규칙으로 사전 필터 기능을 비슷하게 모방할 수 있을 뿐 복제할 수는 없습니다.
특성 |
사전 필터링 |
액세스 제어 |
자세한 내용은 다음을 참고하십시오. |
---|---|---|---|
기본 기능 |
특정 유형의 일반 텍스트 통과 터널을 신속히 단축 경로 지정 또는 차단(캡슐화 조건 참조)하거나 캡슐화된 트래픽에 맞게 후속 검사를 조정합니다. 조기에 처리하는 것이 유리한 그 밖의 연결도 단축 경로를 지정하거나 차단할 수 있습니다. |
상황별 정보 및 심층 검사 결과를 포함하여 간단하거나 복잡한 기준을 사용하여 모든 네트워크 트래픽을 검사하고 제어합니다. |
|
구현 |
사전 필터 정책. 사전 필터 정책은 액세스 제어 정책에 의해 호출됩니다. |
액세스 제어 정책 액세스 제어 정책은 주요 구성입니다. 액세스 제어 정책은 하위 정책 호출 외에도 자체 규칙을 갖습니다. |
|
액세스 제어 내 순서 |
첫 번째. 시스템은 다른 모든 액세스 제어 구성 전에 트래픽과 사전 필터 기준의 일치를 확인합니다. |
— |
— |
규칙 작업 |
더 적습니다. 추가 검사(단축 경로 지정 및 차단)를 중지하거나 나머지 액세스 제어(분석)로 추가 분석을 허용할 수 있습니다. |
자세한 내용. 액세스 제어 규칙에는 모니터링, 심층 검사, 차단 후 재설정, 인터랙티브 차단을 포함하여 훨씬 다양한 작업이 있습니다. |
|
우회 기능 |
단축 경로 지정 규칙 작업. 사전 필터 단계에서 트래픽 단축 경로를 지정하면 다음을 포함한 모든 추가 검사 및 처리를 우회합니다.
|
Trust(신뢰) 규칙 작업. 액세스 제어 규칙이 신뢰할 수 있는 트래픽은 심층 검사 및 검색에서만 제외됩니다. |
|
규칙 기준 |
Limited(제한적). 사전 필터 정책의 규칙은 IP 주소, VLAN 태그, 포트, 프로토콜 등 간단한 네트워크 기준을 사용합니다. 터널의 경우, 터널 엔드포인트 조건은 터널 양쪽에 있는 네트워크 디바이스의 라우팅된 인터페이스의 IP 주소를 지정합니다. |
강력합니다. 액세스 제어 규칙은 네트워크 기준뿐 아니라 사용자, 애플리케이션, 요청된 URL 및 패킷 페이로드에서 사용할 수 있는 기타 상황별 정보도 사용합니다. 네트워크 조건은 소스 및 대상 호스트의 IP 주소를 지정합니다. |
|
사용되는 IP 헤더(터널 처리) |
가장 바깥쪽입니다. 외부 헤더를 사용하면 전체 일반 텍스트, 통과 터널을 처리할 수 있습니다. 비캡슐화 트래픽의 경우, 사전 필터링은 '외부' 헤더(이 경우에는 유일한 헤더)를 계속 사용합니다. |
가장 안쪽도 가능합니다. 암호화되지 않은 터널의 경우, 액세스 제어는 전체 터널이 아니라 캡슐화된 개별 연결에 적용됩니다. |
|
추가 분석을 위해 캡슐화된 연결 영역 다시 지정 |
터널링된 트래픽 영역을 다시 지정합니다. 터널 영역을 사용하면 사전 필터링된 캡슐화된 트래픽에 맞게 후속 검사를 조정할 수 있습니다. |
터널 영역을 사용합니다. 액세스 제어는 사전 필터링 중에 할당하는 터널 영역을 사용합니다. |
|
연결 로깅 |
단축 경로가 지정되고 차단된 트래픽만. 허용되는 연결은 다른 구성에 의해 계속 로깅될 수 있습니다. |
모든 연결. |
|
지원되는 장치 |
Firepower Threat Defense 수정할 수 있습니다. |
All. |
통과 터널 및 액세스 제어
일반 텍스트(암호화되지 않은) 터널은 종종 불연속 네트워크 사이를 흐르는 다중 연결을 캡슐화할 수 있습니다. 이러한 터널은 IP 네트워크를 통한 맞춤형 프로토콜, IPv4 네트워크를 통한 IPv6 트래픽 등을 라우팅하는 데 특히 유용합니다.
외부 캡슐화 헤더는 터널 양쪽에 있는 네트워크 디바이스의 라우티드 인터페이스인 터널 엔드포인트의 소스 및 대상 IP 주소를 지정합니다. 내부 페이로드 헤더는 캡슐화된 연결의 실제 엔드포인트의 소스 및 대상 IP 주소를 지정합니다.
네트워크 보안 디바이스는 종종 일반 텍스트 터널을 통과 트래픽으로 처리합니다. 즉, 해당 디바이스는 터널 엔드포인트 중 하나가 아닙니다. 그 대신, 이러한 디바이스는 터널 엔드포인트 간에 구축되고 터널 엔드포인트 간의 트래픽 플로우를 모니터링합니다.
(Firepower Threat Defense 대신) Cisco ASA 소프트웨어를 실행하는 Cisco ASA 방화벽과 같은 일부 네트워크 보안 디바이스는 외부 IP 헤더를 사용하여 보안 정책을 시행합니다. 일반 텍스트 터널의 경우에도, 이러한 디바이스는 캡슐화된 개별 연결 및 해당 페이로드를 제어할 수 없거나 이를 파악할 수 없습니다.
이와 달리, Firepower System은 다음과 같이 액세스 제어를 활용합니다.
-
외부 헤더 평가 — 첫째, 사전 필터링이 외부 헤더를 사용하여 트래픽을 처리합니다. 이 단계에서 전체 일반 텍스트, 통과 터널을 차단하거나 단축 경로를 지정할 수 있습니다.
-
내부 헤더 평가 — 그 다음, 나머지 액세스 제어(및 QoS 같은 기타 기능) 기능은 가장 내부에 있는 탐지 가능한 수준의 헤더를 사용하여 가장 세부적인 수준의 검사 및 처리를 보장합니다.
통과 터널이 암호화되지 않은 경우, 이 단계에서 시스템은 캡슐화된 개별 연결에서 작동합니다. 모든 캡슐화된 연결에서 작동하려면 (터널 영역 및 사전 필터링 참조) 터널의 영역을 다시 지정해야 합니다.
액세스 제어로는 암호화된 통과 터널을 파악할 수 없습니다. 예를 들어 액세스 제어 규칙은 통과 VPN 터널을 하나의 연결로 간주합니다. 시스템은 외부의 캡슐화 헤더에 있는 정보만 사용하여 전체 터널을 처리합니다.