규칙 그룹별 또는 위험도별 규칙 목록에서 다음과 같은 정보를 확인할 수 있습니다.
-
전체 개수: 전체 침입 탐지 규칙 개수, 현재 사용 중인 규칙의 개수를 보여줍니다. 예를 들어, 전체 개수가 5903/5934인 경우, 전체 규칙 개수는 5934개이고, 이중 5903개가 사용 중임을 나타냅니다. 그 외에, 탐지된 규칙의 처리 방법(허용, 차단, 시스템 격리, 세션 끊기, 사용량 제한, DDoS 차단)에 따라 사용 중인 규칙 개수와, 해당 처리 방법이 지정된 규칙의 총계를 보여줍니다. DDoS 차단은 행동 기반 침입 탐지 규칙에서 사용하는 처리 방법으로, 시그니처 기반 침입 탐지 규칙을 보고 있을 때는 나타나지 않습니다.
-
사용: 그룹의 사용 여부(
: 사용, 
: 사용 안 함)를 보여줍니다. 
으로 나타나는 경우, 개별 규칙에 지정된 사용 여부를 따릅니다.
-
이름: 규칙 그룹의 이름입니다. 이름 앞의 
을 눌러 펼치면 규칙 집합, 또는 규칙이 나타납니다.
-
처리 방법: 그룹 또는 개별 규칙에 지정된 공격 처리 방법(차단, 허용, 시스템 격리, 세션 끊기, 사용량 제한, DDoS 공격 차단)을 보여줍니다. 그룹의 경우, 으로 나타나는 경우, 개별 규칙에 지정된 처리 방법을 따릅니다.
-
위험도: 규칙이 탐지하는 공격의 위험도(매누 높음, 높음, 보통, 낮음, 매우 낮음)를 보여줍니다.
-
로그 남김: 공격을 탐지했을 때 로그 기록 여부(: 로그 남김, : 로그를 남기지 않음)를 보여줍니다.
-
수정: 규칙 항목에 있는 
을 누르면 규칙 그룹별 또는 위험도별 그룹 설정을, 개별 규칙 항목에 있는 을 누르면 개별 규칙 설정을 변경할 수 있습니다.
규칙 그룹, 또는 위험도별 그룹에 대해 변경할 수 있는 항목은 다음과 같습니다.
-
사용 여부: 그룹에 해당하는 규칙의 사용 여부를 다음 중에서 선택합니다.
-
개별 규칙의 설정에 따름: 그룹별 사용 여부를 지정하지 않습니다. 개별 규칙에 지정된 사용 여부를 적용합니다.
-
사용: 그룹에 해당하는 규칙을 모두 사용합니다.
-
사용 안 함: 그룹에 해당하는 규칙을 모두 사용하지 않습니다.
-
처리 방법: 그룹에 해당하는 공격을 처리할 방법을 다음 중에서 선택합니다.
-
개별 규칙의 설정에 따름: 그룹에 대해 처리 방법을 지정하지 않습니다. 개별 규칙에 지정된 처리 방법을 적용합니다.
-
차단: 탐지된 공격을 차단합니다.
-
허용: 공격을 탐지해도 차단하지 않습니다.
-
시스템 격리: 공격이 탐지되면 공격 출발지 IP 주소를 격리된 시스템에 등록하고 일정 기간동안 패킷을 차단합니다.
-
세션 끊기: 공격이 발생한 세션을 끊습니다.
-
사용량 제한: 공격이 발생한 세션에 IPS 설정에서 지정한 대역폭을 적용합니다. 사용량 제한 모니터에서 적용 현황을 확인할 수 있습니다.
-
DDoS 공격 차단: DDoS 규칙 그룹에서만 사용할 수 있습니다(DDoS 규칙 그룹은 행동 기반 규칙 그룹 중 하나입니다.) DDoS 공격이 발생하면 DDoS 차단 설정에서 지정한 방법으로 DDoS를 차단합니다.
-
로그 남김: 공격을 탐지했을 때 로그 기록 여부를 다음 중에서 선택합니다.
-
개별 규칙의 설정에 따름: 그룹에 대해 로그 기록 여부를 지정하지 않습니다. 개별 규칙에 지정된 로그 기록 여부를 적용합니다.
-
사용: 탐지된 공격과 처리 내역을 기록합니다.
-
사용 안 함: 탐지된 공격과 처리 내역을 기록하지 않습니다.
-
설명: 
위에 마우스 포인터를 올려놓으면 해당 항목에 대한 설명이 나타납니다. 시그니처 기반 침입 탐지 규칙 그룹에서는 보이지 않습니다.
침입 탐지 규칙에 대해 확인하거나 변경할 수 있는 항목은 다음과 같습니다.
-
규칙 이름: 규칙에 부여된 이름을 보여줍니다. 규칙 이름은 변경할 수 없습니다.
-
규칙 ID: 규칙에 부여된 ID를 보여줍니다. 시그니처 기반 침입 탐지 규칙의 ID는 9자리, 행동 기반 침입 탐지 규칙의 ID는 5자리 숫자로 구성됩니다. 규칙 ID는 변경할 수 없습니다.
-
사용 여부: 규칙의 사용 여부를 다음 중에서 선택합니다.
-
사용: 규칙을 사용합니다.
-
사용 안 함: 규칙을 사용하지 않습니다.
-
위험도: 공격에 부여할 위험도를 매우 높음, 높음, 보통, 낮음, 매우 낮음 중에서 선택합니다.
-
처리 방법: 공격을 처리할 방법을 다음 중에서 선택합니다.
-
차단: 탐지된 공격을 차단합니다.
-
허용: 공격을 탐지해도 차단하지 않습니다.
-
시스템 격리: 공격이 탐지되면 공격 출발지 IP 주소를 격리된 시스템에 등록하고 일정 기간동안 패킷을 차단합니다.
-
세션 끊기: 공격이 발생한 세션을 끊습니다.
-
사용량 제한: 공격이 발생한 세션에 IPS 설정에서 지정한 대역폭을 적용합니다. 사용량 제한 모니터에서 적용 현황을 확인할 수 있습니다.
-
DDoS 공격 차단: 행동 기반 침입 탐지 규칙 중에서 DDoS 규칙에서만 사용할 수 있습니다. DDoS 공격이 발생하면 DDoS 차단 설정에서 지정한 방법으로 DDoS를 차단합니다.
-
로그 남김: 공격을 탐지했을 때 로그 기록 여부를 다음 중에서 선택합니다.
-
개별 규칙의 설정에 따름: 그룹/위험도에 대해 로그 기록 여부를 지정하지 않습니다. 개별 규칙에 지정된 로그 기록 여부를 적용합니다.
-
사용: 탐지된 공격과 처리 내역을 기록합니다.
-
사용 안 함: 탐지된 공격과 처리 내역을 기록하지 않습니다.
-
규칙 적용 예외: 규칙을 적용하지 않을 예외를 설정합니다.
-
조건: 출발지 IP 주소, 출발지 포트, 목적지 IP 주소, 목적지 포트에 대한 조합 조건을 설정합니다. 기본 값은 AND입니다.
-
AND: 출발지 IP 주소, 출발지 포트, 목적지 IP 주소, 목적지 포트에 입력하거나 선택한 내용을 모두 만족하는 경우를 의미합니다.
-
OR: 출발지 IP 주소, 출발지 포트, 목적지 IP 주소, 목적지 포트에 입력하거나 선택한 내용 가운데 하나라도 해당되는 경우를 의미합니다.
-
방향: 패킷의 방향을 설정합니다. 기본 값은 단방향입니다.
-
단방향: 출발지에서 목적지로 가는 패킷에 대해서만 규칙 적용 예외로 설정합니다.
-
양방향: 출발지와 목적지를 오가는 모든 패킷에 대해서 규칙 적용 예외로 설정합니다.
-
출발지 IP 주소: 규칙을 적용하지 않을 출발지 IP 주소를 선택합니다. 객체에 등록된 IPv4 주소 또는 IPv4 주소 그룹 가운데에서 선택합니다. 새로 만들기...를 누르면 새로운 IP 주소나 IP 주소 그룹을 만들 수 있습니다.
-
출발지 포트: 규칙을 적용하지 않을 출발지 포트를 입력합니다.
-
목적지 IP 주소: 규칙을 적용하지 않을 목적지 IP 주소를 선택합니다. 객체에 등록된 IPv4 주소 또는 IPv4 주소 그룹 가운데에서 선택합니다. 새로 만들기...를 누르면 새로운 IP 주소나 IP 주소 그룹을 만들 수 있습니다.
-
목적지 포트: 규칙을 적용하지 않을 목적지 포트를 입력합니다.
-
참고 사이트: 침입 탐지 규칙과 관련된 취약성 정보를 보여줍니다. 침입 탐지 규칙에 따라 참고 사이트가 없을 수도 있습니다.
-
오탐 가능성: 침임 탐지 규칙이 공격을 탐지하지 못할 가능성(높음, 없음, 거의 없음)을 보여줍니다.
-
규칙 버전: 규칙의 버전입니다.
행동 기반 침입 탐지 규칙은 다음과 같은 부가적인 항목을 확인하거나 변경할 수 있습니다.
침입 탐지 규칙 설정 중 다음과 같은 메시지가 나타날 수 있습니다.
모든 규칙 그룹 또는 개별 규칙을 기본 설정으로 초기화해야 하는 경우가 있을 수 있습니다. 규칙 그룹/위험도 화면에서 기본 값을 누르면 모든 규칙 그룹/위험도 값을 초기화합니다. 개별 규칙 설정화면에서 기본 값을 누르면 해당 규칙만 초기화할 수 있습니다.