을 누르면 IPS 정책을 설정할 수 있는 창이 새로 열립니다. IPS 정책 보기 웹 UI는 다음과 같이 4개 영역으로 구성되어 있습니다.IPS 정책 항목에서 을 누르면 IPS 정책을 설정할 수 있는 창이 새로 열립니다. IPS 정책 보기 웹 UI는 다음과 같이 4개 영역으로 구성되어 있습니다.
IPS 정책은 시그니처 기반 침입 탐지 규칙, 행동 기반 침입 탐지 규칙으로 구성됩니다. 현재 화면에 창에 보여주는 침입 탐지 규칙이 어느 유형(시그니처 기반, 행동 기반)인지 알려줍니다.
2개의 콤보 메뉴를 통해 조회할 침입 탐지 규칙 유형을 선택합니다. 기본 값은 시그니처 기반입니다.
시그니처 기반: 악성코드, 또는 애플리케이션이나 운영체제 등의 취약성을 이용한 공격 정보를 포함하고 있는 시그니처 기반 침입 탐지 규칙 목록을 화면에 보여줍니다. 하위 그룹을 두 번째 콤보 메뉴에서 선택할 수 있습니다.
기본 시그니처: (주)안랩에서 제공하는 시그니처 기반 침입 탐지 규칙입니다.
사용자 정의 시그니처: 사용자 정의 시그니처는 관리자가 직접 정의하여 사용하는 시그니처 기반 침입 탐지 규칙입니다.
행동 기반: 스캐닝과 같은 수동적인 공격, 프로토콜 취약성을 이용한 DoS, DDoS와 같은 공격과 기타 비정상적인 트래픽 탐지 정보를 포함하고 있는 행동 기반 침입 탐지 규칙 목록을 화면에 보여줍니다. 하위 그룹으로 기본 행동과 사용자 정의 행동이 있습니다. 하위 그룹은 두 번째 콤보 메뉴에서 선택할 수 있습니다.
기본 행동: (주)안랩에서 제공하는 행동 기반 침입 탐지 규칙입니다.
사용자 정의 행동: 사용자 정의 행동은 관리자가 직접 정의하여 사용하는 행동 기반 침입 탐지 규칙입니다.
기본 시그니처, 기본 행동 침입 탐지 규칙을 사용하려면 먼저 시그니처와 행동 규칙을 업데이트해야 합니다. 사용자 정의 시그니처, 사용자 정의 행동을 선택하면 사용자 정의 규칙 설정을 실행할 수 있습니다.
침입 탐지 규칙의 사용 여부를 보여주고, 검색 조건을 입력하고 검색을 누르면 조건에 맞는 침입 탐지 규칙을 침입 탐지 규칙 목록에 보여줍니다. 침입 탐지 규칙의 사용 여부는 IPS 설정에서 변경할 수 있습니다. 검색 조건을 모두 지우려면 원래대로를 누르십시오. 침입 탐지 규칙 검색 조건은 다음과 같습니다.
이름: 침입 탐지 규칙의 이름을 입력합니다. 이름은 영문자와 숫자를 기준으로 1~23자까지 입력할 수 있습니다.
처리 방법: 모두, 허용, 차단, 시스템 격리, 세션 끊기, 사용량 제한, DDoS 공격 차단 중에서 선택합니다. DDoS 공격 차단은 행동 기반 침입 탐지 규칙을 검색할 때 사용할 수 있습니다.
위험도: 침입 탐지 규칙의 위험도를 모두, 매우 높음, 높음, 보통, 낮음, 매우 낮음 중에서 선택합니다.
규칙 ID: 규칙의 ID를 입력합니다. 시그니처 기반 침입 탐지 규칙의 ID는 9자리, 행동 기반 침입 탐지 규칙의 ID는 5자리 숫자로 구성됩니다.
가져오기, 내보내기는 default IPS 정책에서만 사용할 수 있습니다. 내보내기를 통해 기본 시그니처, 사용자 정의 시그니처, 기본 행동, 사용자 정의 행동 침입 탐지 규칙을 암호화된 파일로 관리자 PC에 저장할 수 있습니다.
침입 탐지 규칙을 규칙 그룹 또는 위험도를 기준으로 묶어서 보여 줍니다. (IPS 설정에서 적용 정책을 규칙 그룹별 설정에 따름으로 지정하면 침입 탐지 규칙 그룹을 기준으로, 위험도별 설정에 따름을 지정하면 위험도를 기준으로 그룹을 구성합니다.)
규칙 그룹 또는 위험도별로 탐지된 공격의 처리 방법, 로그 남김 설정 등을 변경하거나, 개별 규칙 단위로 설정을 보다 상세한 설정을 변경할 수 있습니다. 규칙 그룹 또는 위험도에 구성된 설정이 개별 규칙 설정보다 우선합니다. 규칙 그룹과 개별 규칙 설정이 서로 다르면 규칙 그룹 설정에 따라 탐지된 공격을 처리하므로 주의하십시오. 자세한 내용은 침입 탐지 규칙 설정을 참조하십시오.