05규칙 만들기 — 시나리오별규칙 만들기 — 시나리오별
이제 실제 규칙을 만들어 봅니다. Application Control·URL Filtering 규칙은 Access Control Policy 안에서, 해당 기능이 켜진 Layer를 골라 만듭니다. 규칙이 정의하는 것은 간단합니다 — 누가, 어떤 앱·사이트를, 어떻게(허용·차단·제한) 쓸 수 있고, 무엇을 로그로 남기는가 입니다. 아래는 Check Point가 제시하는 대표 시나리오를 풀어 쓴 것입니다.
먼저: 한 규칙에 App Control과 URL Filtering을 섞지 마라
본격적인 시나리오에 앞서 가장 중요한 Best Practice 하나를 짚습니다.
한 규칙에 Application Control(앱)과 URL Filtering(카테고리)을 함께 넣으면 잘못 매칭될 수 있 습니다. 따로 규칙을 만들어야 카테고리가 식별되는 즉시 URL Filtering 규칙이 적용됩니다. 자세한 배경은 sk174045를 참고하세요.
시나리오 1 — 앱 모니터링 (막지 않고 보기만)
조직의 Facebook 트래픽을 막지는 않되 전부 기록하고 싶을 때입니다. 규칙을 이렇게 구성합니다.
- Name —
Monitor Facebook처럼 알아보기 쉬운 이름 - Source —
Any(조직의 모든 트래픽) - Destination —
Internet(인터넷·DMZ로 가는 트래픽) - Services & Applications — Application viewer를 열어 Facebook 앱 추가(검색창에 "face" 입력 → Available 목록에서 선택)
- Action —
Accept - Track —
Log - Install On —
Policy Targets또는 특정 게이트웨이
이 규칙은 Facebook을 허용하되 모두 로그에 남 깁니다. 누가 어떻게 쓰는지는 Logs & Events에서 보고, 사용 양상 분석은 Access Control 뷰(SmartEvent Server 필요)에서 봅니다. 앞 장에서 본 대로 허용된 앱이므로 Recommended services에서만 매칭됩니다.
시나리오 2 — 차단하고 사용자에게 알리기
성인물 사이트를 막고, 사용자에게 위반 사실을 알리고 싶을 때입니다.
- Services & Applications —
Pornography카테고리 선택 - Action —
Drop, 그리고 Blocked Message – Access Control (UserCheck) - Track —
Log
| Name | Source | Destination | Services & Applications | Action | Track |
|---|---|---|---|---|---|
| Block Porn | Any | Internet | Pornography (category) | Drop + Blocked Message | Log |
차단된 사용자는 "회사 보안 정책에 따라 차단되었습니다" 라는 UserCheck 메시지를 받습니다. 메시지에 사이트가 잘못 분류되었을 때 신고하는 링크 를 넣을 수도 있습니다.
시나리오 3 — 차단 대신 제한 (대역폭·시간)
스트리밍 미디어를 아예 막기보다, 업무에 지장이 없을 만큼만 허용 하고 싶을 때입니다. 막지 않고 한도를 두는 두 가지 방법이 있습니다 — 규칙에 Limit 객체 를 더해 대역폭을 제한하고, Time 객체 를 더해 특정 시간대에만 활성화합니다.
- Services & Applications —
Media Streams카테고리 - Action — More를 눌러
Accept+Limit객체(예:Upload_1Gbps) - Time — 비업무 시간대만 활성화하는 Time 객체
| Name | Source | Destination | Services & Applications | Action | Track | Time |
|---|---|---|---|---|---|---|
| Limit Streaming Media | Any | Internet | Media Streams (category) | Accept + Upload_1Gbps | Log | All Off-Work |
대역폭 제한에는 클러스터·Scalable Platform에서 주의할 점 이 있습니다. ClusterXL Load Sharing이나 Security Group에서는 지정한 대역폭이 멤버 수만큼 나뉘어 적용됩니다. 예를 들어 30Gbps가 목표인데 멤버가 3개라면, Limit 객체를 30 / 3 = 10Gbps 로 설정해야 합니다.
시나리오 4 — 신원으로 통제하기 (Access Role)
특정 그룹에게만 어떤 원격 접속 도구를 허용하고, 나머지에게는 막고 싶을 때입니다. Identity Awareness를 켜면 Access Role 객체를 Source에 넣어 신원 기반 규칙을 만들 수 있습니다. 규칙 순서가 핵심입니다.
| Name | Source | Destination | Services & Applications | Action | Track |
|---|---|---|---|---|---|
| Allow Radmin to Identified Users | Identified_Users | Internet | Radmin | Accept | Log |
| Block other Remote Admins | Any | Internet | Remote Administration (category) | Block | Log |
허용 규칙을 차단 규칙 위에 두는 것 이 포인트입니다. 첫 규칙이 먼저 매칭되므로 Identified_Users는 Radmin을 쓸 수 있고, 그 아래 규칙이 나머지 모두의 Remote Administration 카테고리 전체를 차단 합니다. Source의 Access Role을 "기술지원 부서"로 바꾸면 그 부서만 Radmin을 쓰게 됩니다. Access Role과 Identity Awareness는 Identity Awareness 가이드에서 자세히 다룹니다.
시나리오 5 — 여러 카테고리 + 사내 사이트를 한 번에 차단
책임 문제를 일으킬 만한 카테고리 여러 개와, 데이터베이스에 없는 사내 정의 사이트를 함께 막고 싶을 때입니다. 이럴 때는 Application/Site Group 으로 묶습니다.
- Object Explorer에서 New > More > Custom Application/Site > Application/Site Group
- 그룹 이름 지정 (예:
Liability_Sites) - + 로 멤버 추가 — Custom 앱
FreeMovies, 그리고 카테고리Anonymizer·Critical Risk·Gambling - OK
이제 규칙의 Services & Applications에 Liability_Sites 그룹 하나만 넣고 Action을 Drop으로 하면, 그룹에 담은 모든 카테고리와 사이트가 한 줄로 차단 됩니다.
시나리오 6 — URL 카테고리 차단
성인물처럼 명확한 카테고리 하나를 막는 가장 단순한 경우입니다. Pornography 카테고리를 Services & Applications에 넣고 차단 규칙을 만들면 됩니다. 절차는 시나리오 2와 같고, Identity Awareness를 켜면 여기서도 Access Role로 범위를 좁힐 수 있습니다.
규칙에서 사용자에게 메시지를 보내는 UserCheck와, URL 목록을 자동으로 갱신하는 Dynamic URL List 는 다음 장에서 다룹니다.