행동 기반 규칙: 규칙 그룹의 
을 누르면 나타납니다. 네트워크 공격을 차단하기 위한 행동 기반 규칙입니다.
기본 행동은 이미 알려진 네트워크 공격을 분석하여 (주)안랩에서 작성하여 제공하는 행동 기반 규칙입니다. 기본 시그니처는 네트워크 침입 방지->IPS 정책->정책 설정에서 선택한 적용 정책에 따라 다음 두 가지 중 하나로 표시됩니다.
기본 행동 목록(규칙 그룹별): 적용 정책을 규칙 그룹별 설정에 따름으로 설정하면 기본 행동은 규칙이 차단하는 공격의 유형에 따라 그룹으로 분류됩니다.
기본 행동 목록(위험도별): 적용 정책을 위험도별 설정에 따름으로 설정하면 기본 행동은 규칙이 차단하는 공격의 위험도에 따라 분류됩니다.
기본 행동은 규칙이 차단하는 공격의 유형에 따라 규칙 그룹->규칙 순으로 분류되어 있습니다.
규칙 그룹: 차단하는 공격의 유형에 따라 행동 기반 규칙을 분류한 항목입니다. 규칙 그룹에는 다음과 같은 항목이 있으며 보안 위협의 변화에 따라 추가되거나 삭제될 수 있습니다.
DoS: DoS 공격을 탐지하는 규칙입니다. TCP ACK를 과도하게 전송하는 TCP ACK Flooding 공격, TCP SYN을 과도하게 전송하는 TCP SYN Flooding 공격 등을 탐지합니다.
DDoS: DDoS 공격을 탐지하는 규칙입니다. 여러 곳에서 TCP ACK를 과도하게 전송하는 DDoS TCP ACK Flooding 공격, 여러 곳에서 TCP SYN을 과도하게 전송하는 DDoS TCP SYN Flooding 공격 등을 탐지합니다.
Scan: 스캐닝 공격과 관련된 규칙입니다. 네트워크에서 특정한 프로토콜이나 포트를 사용하는 시스템의 IP 주소를 찾는 TCP IP_Scan, 웜이 전파를 위해 네트워크를 스캔하는 Worm Scan 등을 탐지합니다.
Anomaly: 비정상적인 DoS 트래픽을 탐지하는 규칙입니다. HTTP 프로토콜로 트래픽을 과도하게 발생시키는 HTTP traffic 공격, TCP의 DNS 서비스로 트래픽을 과도하게 발생시키는 TCP DNS traffic 공격 등을 탐지합니다.
행동 기반 규칙: 규칙 그룹의 을 누르면 나타납니다. 네트워크 공격을 차단하기 위한 행동 기반 규칙입니다.
행동 기반 탐지: 행동 기반 탐지의 사용 여부입니다.
사용(규칙 그룹별): 행동 탐지를 사용하고 있으며 규칙을 규칙 그룹별로 확인할 수 있습니다.
사용 안 함(규칙 그룹별): 행동 기반 탐지를 사용하고 있지 않으며 규칙을 규칙 그룹별로 확인할 수 있습니다.
전체 개수: 등록된 기본 행동의 개수입니다.
사용: 규칙 그룹 사용 여부입니다.
: 그룹에 포함된 규칙을 사용합니다.
: 그룹에 포함된 규칙을 사용하지 않습니다.
: 개별 규칙에 설정된 대로 규칙의 사용 여부를 결정합니다.
이름: 규칙 그룹의 이름입니다. 이름 앞의 을 눌러 펼치면 규칙 그룹에 속한 규칙이 나타납니다.
처리 방법: 탐지된 패킷을 처리하는 방법입니다.
: 개별 규칙에 설정된 대로 탐지된 패킷을 처리합니다.
차단: 개별 규칙의 설정과 상관 없이 탐지된 패킷을 차단합니다.
허용: 개별 규칙의 설정과 상관 없이 탐지된 패킷을 허용합니다.
시스템 격리: 개별 규칙의 설정과 상관 없이 탐지된 패킷을 차단하고 해당 패킷을 보낸 시스템을 격리된 시스템에 등록하고 네트워크 연결을 차단합니다.
사용량 제한: 개별 규칙의 설정과 상관 없이 탐지된 패킷을 보낸 시스템의 네트워크 사용량을 제한합니다.
DDoS 공격 차단: DDoS 공격으로 판단되는 트래픽을 차단합니다. DDoS 그룹에서만 사용할 수 있습니다.
위험도: 규칙 그룹에 포함된 규칙이 탐지하는 네트워크 공격의 위험도입니다. 규칙 그룹에 포함된 규칙의 위험도가 모두 같을 경우 규칙의 위험도가 표시됩니다. 규칙 그룹에 포함된 규칙의 위험도가 서로 다를 경우 으로 표시됩니다.
로그 남김: 로그 남김 여부입니다.
: 개별 규칙에 설정된 대로 로그를 남기거나 남기지 않습니다.
: 규칙 그룹으로 탐지한 로그를 남깁니다.
: 규칙 그룹으로 탐지한 로그를 남기지 않습니다.
설명: 
위에 마우스 포인터를 올려놓으면 규칙 그룹에 대한 설명이 나타납니다.
수정: 
을 누르면 규칙 그룹을 수정할 수 있습니다.
규칙 그룹의 이름 앞의 을 눌러 펼치면 기본 행동이 나타납니다.
사용: 규칙 사용 여부입니다. 내용이 없는 경우 규칙 그룹의 사용 여부를 따릅니다.
: 규칙을 사용합니다.
: 규칙을 사용하지 않습니다.
이름: 규칙의 이름입니다.
처리 방법: 탐지한 패킷을 처리하는 방법입니다. 내용이 없는 경우 규칙 그룹의 사용 여부를 따릅니다.
차단: 탐지된 패킷을 차단합니다.
허용: 탐지된 패킷을 허용합니다.
시스템 격리: 탐지된 패킷을 차단하고 패킷을 전송한 시스템을 자동으로 격리된 시스템에 등록합니다.
사용량 제한: 탐지된 패킷을 보낸 시스템의 네트워크 사용량을 제한합니다.
DDoS 공격 차단: DDoS 공격으로 판단되는 트래픽을 차단합니다. DDoS 규칙에서만 사용할 수 있습니다.
위험도: 규칙이 탐지하는 네트워크 공격의 위험도입니다. 내용이 없는 경우 규칙 그룹의 사용 여부를 따릅니다.
설명: 위에 마우스 포인터를 올려놓으면 기본 행동에 대한 설명이 나타납니다.
수정: 을 누르면 규칙을 수정할 수 있습니다.
기본 행동은 규칙이 차단하는 공격의 유형에 따라 위험도->규칙 순으로 분류되어 있습니다.
위험도: 네트워크 공격의 위험도입니다. 매우 높음, 높음, 보통, 낮음, 매우 낮음으로 분류되어 있습니다.
행동 기반 규칙: 위험도의 을 누르면 나타납니다. 네트워크 공격을 차단하기 위한 행동 기반 규칙입니다.
행동 기반 탐지: 행동 기반 탐지의 사용 여부입니다.
사용(위험도별): 행동 탐지를 사용하고 있으며 규칙을 위험도별로 확인할 수 있습니다.
사용 안 함(위험도별): 행동 기반 탐지를 사용하고 있지 않으며 규칙을 위험도별로 확인할 수 있습니다.
전체 개수: 등록된 기본 행동의 개수입니다.
사용: 위험도의 사용 여부입니다.
: 위험도로 분류한 규칙을 사용합니다.
: 위험도로 분류한 규칙을 사용하지 않습니다.
: 개별 규칙에 설정된 대로 규칙의 사용 여부를 결정합니다.
이름: 위험도의 이름입니다. 이름 앞의 을 눌러 펼치면 위험도로 분류한 규칙이 나타납니다.
처리 방법: 탐지된 패킷을 처리하는 방법입니다.
: 개별 규칙에 설정된 대로 탐지된 패킷을 처리합니다.
차단: 패킷을 차단합니다.
허용: 패킷을 허용합니다.
시스템 격리: 패킷을 차단하고 해당 패킷을 보낸 시스템을 격리된 시스템에 등록하고 네트워크 연결을 차단합니다.
사용량 제한: 공격이 탐지된 세션이 사용하는 대역폭을 제한합니다. 사용량 제한 모니터에서 적용 현황을 확인할 수 있습니다.
DDoS 공격 차단: DDoS 공격으로 판단되는 트래픽을 차단합니다. DDoS 규칙에서만 사용할 수 있습니다.
로그 남김: 로그 남김 여부입니다.
: 개별 규칙에 설정된 대로 로그를 남기거나 남기지 않습니다.
: 위험도로 탐지한 로그를 남깁니다.
: 위험도로 탐지한 로그를 남기지 않습니다.
설명: 위에 마우스 포인터를 올려놓으면 기본 행동에 대한 설명이 나타납니다.
수정: 을 누르면 위험도를 수정할 수 있습니다.
위험도의 이름 앞의 을 눌러 펼치면 기본 행동이 나타납니다.
사용: 규칙 사용 여부입니다. 내용이 없는 경우 위험도의 사용 여부를 따릅니다.
: 규칙을 사용합니다.
: 규칙을 사용하지 않습니다.
이름: 규칙의 이름입니다.
처리 방법: 탐지한 패킷을 처리하는 방법입니다. 내용이 없는 경우 위험도의 사용 여부를 따릅니다.
차단: 탐지된 패킷을 차단합니다.
허용: 탐지된 패킷을 허용합니다.
시스템 격리: 탐지된 패킷을 차단하고 패킷을 전송한 시스템을 자동으로 격리된 시스템에 등록합니다.
사용량 제한: 공격이 탐지된 세션이 사용하는 대역폭을 제한합니다. 사용량 제한 모니터에서 적용 현황을 확인할 수 있습니다.
DDoS 공격 차단: DDoS 공격으로 판단되는 트래픽을 차단합니다. DDoS 규칙에서만 사용할 수 있습니다.
설명: 위에 마우스 포인터를 올려놓으면 기본 행동에 대한 설명이 나타납니다.
수정: 을 누르면 규칙을 수정할 수 있습니다.
기본 행동 목록에서 원하는 규칙을 검색하는 방법은 다음과 같습니다.
<기본 행동>의 검색 영역에서 검색할 조건을 설정합니다. 원래대로를 누르면 설정한 조건을 초기화합니다.
이름: 규칙의 이름을 입력합니다. 영문자와 숫자를 기준으로 63자까지 입력할 수 있습니다. 한글, 중국어와 같은 2바이트 문자는 한 글자가 2자로 계산됩니다.
처리 방법: 규칙의 처리 방법을 선택합니다. 기본 값은 모두 이며, 모두, 허용, 차단, 시스템 격리, 세션 끊기, 사용량 제한, DDoS 공격 차단 중에서 선택할 수 있습니다.
위험도: 규칙이 탐지하는 네트워크 공격의 위험도를 선택합니다. 기본 값은 모두 이며, 매우 높음, 높음, 보통, 낮음, 매우 낮음 중에서 선택할 수 있습니다.
검색할 조건을 설정한 다음 검색을 누르면 설정한 검색 조건에 맞는 규칙이 목록에 나타납니다.
기본 행동 규칙 내보내기/가져오기를 통해 여러 대의 장비에 동일한 IPS 정책을 적용할 수 있습니다. 내보내기를 통해 침입 탐지 규칙 정보 외에 관리자가 지정한 설정 정보들을 동일하게 유지할 수 있습니다.
메뉴에서 네트워크 침입 방지->행동 기반->기본 행동을 선택합니다.
내보내기를 누릅니다.
파일 전송이 시작됩니다. 파일을 원하는 위치를 선택한 다음 저장을 눌러 저장합니다. 설정이 올바르지 않으면 다음과 같은 메시지가 나타날 수 있습니다.
|
메시지 |
원인 |
|
IPS 라이센스가 만료되어 규칙을 내보내기할 수 없습니다. |
IPS 라이센스가 만료되어 사용할 수 없을 때 |
참고
TrusGuard의 기본 행동 규칙 파일은 보안을 위해 암호화된 파일(YYYY-MM-DD_IPS_predefined_behavior.enc)로 백업됩니다. 안전한 보관을 위해 백업 받은 설정 파일은 다른 저장 장치에 보관할 것을 권장합니다.
메뉴에서 네트워크 침입 방지->행동 기반->기본 행동을 선택합니다.
가져오기를 누릅니다.
<가져오기>가 나타나면 가져올 기본 시그니처 파일을 선택한 다음 저장을 누릅니다. 설정이 올바르지 않으면 다음과 같은 메시지가 나타날 수 있습니다.
|
메시지 |
원인 |
|
가져올 IPS 규칙 파일을 선택하십시오. |
가져오기할 파일을 선택하지 않았을 때 |
|
잘못된 파일입니다. |
유효하지 않은 파일을 선택했을 때 |
참고
기본 시그니처, 사용자 정의 시그니처, 기본 행동 규칙, 사용자 정의 행동 규칙은 서로 다른 암호화 키를 사용하므로 서로 호환되지 않습니다. 만약 다른 파일을 이용해 가져오기를 수행 하더라도 장비에 적용되지 않고 잘못된 파일임을 알려줍니다.
규칙 그룹을 수정하는 방법은 다음과 같습니다.
기본 행동 목록(규칙 그룹별)에서 수정할 규칙 그룹의 오른쪽에 있는 을 누릅니다.
<규칙 그룹 수정>에서 필요한 항목을 수정합니다.
확인을 누릅니다.
주의
규칙을 수정한 다음 네트워크에 이상이 생기면 규칙을 사용하지 않도록 설정을 변경하십시오.
위험도를 수정하는 방법은 다음과 같습니다.
기본 행동 목록(위험도별)에서 수정할 위험도의 오른쪽에 있는 을 누릅니다.
<위험도 수정>에서 필요한 항목을 수정합니다.
확인을 누릅니다.
주의
규칙을 수정한 다음 네트워크에 이상이 생기면 규칙을 사용하지 않도록 설정을 변경하십시오.
기본 행동을 수정하는 방법은 다음과 같습니다.
수정할 규칙이 포함된 규칙 그룹 또는 위험도의 을 눌러 펼칩니다.
수정할 규칙의 오른쪽에 있는 을 누릅니다.
<기본 행동 수정>에서 필요한 항목을 수정합니다.
확인을 누릅니다.
주의
규칙을 수정한 다음 네트워크에 이상이 생기면 규칙을 사용하지 않도록 설정을 변경하십시오.