03애플리케이션·카테고리 매칭애플리케이션·카테고리 매칭

Access Control 규칙의 Services & Applications 칸에는 여러 종류의 객체를 함께 넣을 수 있습니다. Service(서비스), Application(앱), Mobile Application, Web site, 기본 카테고리, 그리고 직접 만든 Custom 그룹·카테고리 가 모두 한 칸에 들어갑니다. 이렇게 한 칸에서 서비스와 앱을 같이 다루는 것이 통합 정책의 특징입니다.

Service 매칭 은 전통적인 방식입니다. 게이트웨이가 IP 프로토콜, TCP·UDP 포트 번호, 프로토콜 시그니처 로 서비스를 식별합니다. 다만 프로토콜 시그니처로 매칭하려면 게이트웨이와 Layer 양쪽에서 Application & URL Filtering이 켜져 있어야 합니다.

예를 들어 Facebook을 허용 하는 규칙은 Application Control Web Browsing Services(http, https, HTTP_proxy, HTTPS_proxy)에서만 매칭됩니다. 모든 포트를 여는 것보다 안전한 기본값이죠. 반대로 Facebook을 차단 하면 모든 포트에서 막 습니다. "막을 거면 확실히 막는다"는 설계입니다.

이 기본 동작은 바꿀 수 있습니다. 허용된 앱은 객체를 더블클릭해 Match Settings 에서 Recommended services(기본) / Any(모든 서비스) / Customize(지정 서비스, Negate로 제외도 가능) 중 고릅니다. 한 곳에서 바꾸면 그 객체가 쓰인 정책 전체에 적용됩니다.

차단된 앱의 매칭은 SmartConsole의 Manage & Settings > Blades > Application & URL Filtering > Advanced Settings > Application Port Match 에서 조정합니다. Match application on 'Any' port when used in 'Block' rule 옵션이 기본으로 켜져 있어 차단 앱이 모든 포트에서 막히는데, 이를 끄면 객체에 설정된 서비스에서만 막힙니다. 다만 Skype처럼 표준 서비스에 자신을 가두지 않는 일부 앱은 끈 상태에서도 여전히 Any로 매칭됩니다.

어떤 앱·카테고리가 위험한지 모를 때는 SmartConsole의 Access Tools에 있는 Application Wiki(AppWiki) 를 엽니다. Check Point가 관리하는 앱·사이트 데이터베이스 라서, 위험도가 높은 항목을 둘러보며 정책에 넣을 후보를 고를 수 있습니다. 규칙에 객체를 넣을 때는 Services & Applications 칸을 우클릭해 Add New Items 를 누르고, 검색해서 + 로 추가합니다.

회사 내부 사이트나 데이터베이스에 없는 앱은 Custom 객체로 만듭니다.

실제로 이 매칭 원리를 활용해 규칙을 만드는 시나리오는 규칙 만들기에서, 데이터 종류로 통제하는 Content Awareness는 다음 장에서 다룹니다.