08정책 관리 기초정책 관리 기초
여러 종류의 정책을 하나로 묶어 함께 설치하고, 검색·이력으로 운영을 관리 하는 것이 정책 관리의 핵심입니다. SmartConsole은 정책을 정의하는 단계 와 유지·관리하는 단계 양쪽을 모두 돕는 도구를 제공합니다.
정의 단계에서는 두 가지 도구가 중심입니다. 첫째, Policy Package(정책 패키지) 로 서로 다른 종류의 정책을 묶어 같은 설치 대상에 한꺼번에 설치 할 수 있습니다. 둘째, Predefined Installation Targets(미리 정의된 설치 대상) 로 각 패키지에 설치할 게이트웨이 집합을 미리 연결 해 두면, 설치할 때마다 게이트웨이를 고르는 과정을 되풀이하지 않아도 됩니다.
유지·관리 단계에서도 두 가지가 유용합니다. Search(검색) 는 네트워크 객체와 Rule Base의 규칙을 다양한 방식으로 찾아 주고, Database version control(데이터베이스 버전 관리) 은 데이터베이스에 일어난 과거 변경을 추적하게 해 줍니다.
이 장은 Policy Package의 구조와 만드는 법부터 정책 설치·사용자 데이터베이스 설치·정책 내리기, 그리고 Rule Log·설치 이력·동시 설치·가속 설치까지 정책을 다루는 운영 과정 전체 를 차례로 정리합니다.
Policy Package — 정책을 묶는 단위
Policy Package 는 서로 다른 종류의 정책을 한데 묶은 모음 입니다. 설치하고 나면 Security Gateway는 그 패키지 안의 모든 정책을 집행 합니다. 한 패키지에는 다음 정책 종류 중 하나 이상을 담을 수 있습니다.
| 정책 종류 | 내용 |
|---|---|
| Access Control | 다음 규칙들로 이루어집니다 — Firewall, NAT, Application Control & URL Filtering, Content Awareness, Mobile Access |
| QoS | 대역폭 관리를 위한 Quality of Service 규칙 |
| Desktop Security | Endpoint Security VPN 원격 접속 클라이언트를 독립형(standalone)으로 설치한 엔드포인트 컴퓨터용 Firewall 정책 |
| Threat Prevention | IPS·Anti-Bot·Anti-Virus·Threat Emulation·Threat Extraction·Zero Phishing(아래 표 참고) |
| HTTPS Inspection | 내부 브라우저 클라이언트와 웹 서버 사이에서 TLS(Transport Layer Security) 로 암호화된 트래픽을 검사하는 규칙. R82부터 HTTPS Inspection 정책은 Inbound Policy 와 Outbound Policy 로 나뉩니다. |
Threat Prevention 안에 들어가는 보호 기능들은 각각 역할이 다릅니다.
| 보호 기능 | 하는 일 |
|---|---|
| IPS | IPS Services로 계속 갱신되는 IPS 보호 |
| Anti-Bot & Advanced DNS | 봇에 감염된 장비를 탐지하고, 봇 명령·제어(C&C) 통신을 차단 해 봇 피해를 막습니다 |
| Anti-Virus | 휴리스틱 분석을 포함해, 바이러스·웜·기타 멀웨어를 게이트웨이에서 차단합니다 |
| Threat Emulation | 의심스러운 파일을 샌드박스에서 열어 제로데이·고급 다형성(polymorphic) 공격을 탐지합니다 |
| Threat Extraction | 이메일 첨부에서 잠재적으로 악성인 콘텐츠를 회사 네트워크에 들어오기 전에 제거합니다 |
| Zero Phishing | 업계 선도 머신러닝 알고리즘과 특허 검사 기술로 웹사이트의 알려진/알려지지 않은 피싱 공격을 실시간으로 막습니다 |
사이트 유형별로 다른 패키지
핵심 발상은 사이트(지점) 유형마다 다른 패키지 를 두는 것입니다. 조직 안의 사이트마다 게이트웨이에 설치된 Software Blade 조합이 다르므로, 그 조합에 맞는 정책 종류만 묶어 패키지를 만듭니다.

예로 든 조직에는 네 개의 사이트가 있고, 각 게이트웨이의 블레이드 구성이 서로 다릅니다.
| 번호 | Security Gateway | 설치된 Software Blade |
|---|---|---|
| ① | Sales California | Firewall, VPN |
| ② | Sales Alaska | Firewall, VPN, IPS, DLP |
| ③ | Executive management | Firewall, VPN, QoS, Mobile Access |
| ④ | Server farm | Firewall |
| ⑤ | Internet | — |
이런 사이트들을 효율적으로 관리하려면 세 가지 정책 패키지 를 만듭니다. 각 패키지는 그 사이트 게이트웨이에 설치된 블레이드에 대응하는 정책 종류 조합을 담습니다.
- Access Control 정책 종류를 담은 패키지 — Access Control 정책은 Firewall·NAT·Application Control & URL Filtering·Content Awareness 블레이드를 제어하며, VPN 구성도 이 패키지가 결정 합니다. 이 패키지는 모든 Security Gateway에 설치합니다.
- QoS 정책 종류를 담은 패키지 — 대역폭을 관리하는 QoS 블레이드용으로, Executive management 게이트웨이에 설치합니다.
- Desktop Security 정책 종류를 담은 패키지 — Mobile Access를 처리하는 게이트웨이용으로, 마찬가지로 Executive management 게이트웨이에 설치합니다.
새 Policy Package 만들기
새 패키지는 다음 순서로 만듭니다.
- Menu 에서 Manage policies and layers 를 선택합니다 — Manage policies and layers 창이 열립니다.
- New 를 누릅니다 — New Policy 창이 열립니다.
- 정책 패키지의 이름을 입력합니다.
- General 페이지의 Policy types 섹션에서 다음 정책 종류 중 하나 이상을 고릅니다.
- Access Control & HTTPS Inspection
- Threat Prevention
- QoS — Recommended 또는 Express 중 선택
- Desktop Security
- Installation targets 페이지에서 정책을 설치할 게이트웨이를 지정합니다.
- All gateways(모든 게이트웨이), 또는
- Specific gateways(특정 게이트웨이) — 게이트웨이마다
[+]기호를 눌러 목록에서 선택합니다.
- OK 를 누릅니다.
- Close 를 누릅니다 — 새 정책이 Security Policies 페이지에 나타납니다.
미리 패키지마다 적절한 설치 대상을 묶어 두는 이유는, 패키지를 올바르게 설치하고 오류를 없애기 위해서입니다. 각 패키지가 알맞은 설치 대상 집합과 연결돼 있으면 설치 때마다 대상을 다시 고를 필요가 없습니다.
기존 패키지에 정책 종류 추가하기
이미 만들어 둔 패키지에 정책 종류를 더할 수도 있습니다.
- Menu 에서 Manage policies and layers 를 선택합니다.
- 정책 패키지를 고르고 Edit 버튼을 누릅니다 — New Policy package 창이 열립니다.
- General > Policy types 페이지에서 추가할 정책 종류(Access Control & HTTPS Inspection, Threat Prevention, QoS(Recommended/Express), Desktop Security)를 고릅니다.
- OK 를 누릅니다.
Policy Package 설치하기
정책 설치는 다음 순서로 진행합니다.
- Global Toolbar 에서 Install Policy 를 누릅니다 — Install Policy 창이 열리고 설치 대상(Security Gateway)들이 표시됩니다.
- Select a policy 메뉴에서 정책 패키지를 고릅니다.
- 그 패키지에서 쓸 수 있는 정책 종류를 하나 이상 고릅니다.
- Install Mode(설치 모드) 를 고릅니다(아래 설명).
- Install 을 누릅니다.
설치 모드는 두 가지입니다.
- Install on each selected gateway independently — 각 게이트웨이에 서로 독립적으로 설치 합니다. 한 게이트웨이에서 설치가 실패해도 나머지 게이트웨이의 설치에는 영향이 없습니다.
- Install on all selected gateways, if it fails do not install on gateways of the same version — 모든 대상 게이트웨이에 설치하되, 한 게이트웨이에서 실패하면 같은 버전의 다른 대상 게이트웨이에는 설치하지 않습니다.
설치 과정에서 일어나는 일
Install Policy 를 누르면 설치 과정은 다음을 수행합니다.
- 규칙에 대해 휴리스틱 검증(heuristic verification) 을 실행해, 규칙들이 일관적이고 중복된 규칙이 없는지 확인합니다. 검증 오류(verification error)가 있으면 정책을 설치하지 않습니다. 반면 검증 경고(verification warning)만 있으면(예: 인터페이스가 여러 개인 게이트웨이에서 anti-spoofing이 꺼져 있는 경우) 경고와 함께 패키지를 설치 합니다.
- 각 Security Gateway가 최소 한 규칙은 집행하는지 확인합니다. 집행되는 규칙이 하나도 없으면 기본 drop 규칙(default drop rule)이 집행 됩니다.
- 사용자 데이터베이스와 객체 데이터베이스를 선택한 설치 대상에 배포합니다.
사용자 데이터베이스 설치하기
SmartConsole에서 사용자 정의를 바꾸면 그 내용은 Security Management Server의 사용자 데이터베이스에 저장 됩니다. 사용자 인증 방식과 암호화 키도 이 데이터베이스에 함께 저장됩니다.
이 데이터베이스는 게이트웨이 외부에 정의된 사용자 (예: 외부 User Directory 그룹에 속한 사용자)에 대한 정보는 담지 않지만, 그 외부 그룹 자체에 대한 정보 (예: 그 외부 그룹이 어느 Account Unit에 정의돼 있는지)는 담습니다. 따라서 외부 그룹에 대한 변경은 정책을 설치하거나 Security Management Server에서 사용자 데이터베이스를 내려받은 뒤에야 효력을 가집니다.
무엇을 설치할지는 어떤 변경을 했는지에 따라 갈립니다.
- 정책 패키지의 다른 구성요소를 바꿨다면 (예: 새 Security Policy 규칙을 추가) 정책을 설치 합니다.
- 사용자 정의나 관리자 정의만 바꿨다면 사용자 데이터베이스를 설치 합니다 — Menu 에서 Install Database 를 선택합니다.
사용자 데이터베이스가 실제로 들어가는 시점은 대상에 따라 다릅니다.
| 설치 대상 | 들어가는 시점 |
|---|---|
| Security Gateway | 정책 설치(policy installation) 때 |
| 하나 이상의 Management Software Blade를 켠 Check Point 호스트 | 데이터베이스 설치(database installation) 때 |
명령줄에서도 Security Management Server에서 게이트웨이나 원격 서버(예: Log Server)에 사용자 데이터베이스를 설치할 수 있습니다. Security Management Server에서 Expert mode로 다음을 실행합니다.
fwm dbload <Main IP address of Name of Security Gateway Object>자세한 내용은 R82 CLI Reference Guide 의 Security Management Server Commands 장에서 fwm > fwm dbload 항목을 참고합니다.
Access Control 정책 내리기(Uninstall)
게이트웨이에 적용된 Access Control 정책은 Security Gateway의 명령줄에서 내릴 수 있습니다.
- Security Gateway의 명령줄에 접속합니다.
- Expert mode로 로그인합니다.
- 다음을 실행합니다.
fw unloadlocal자세한 내용은 R82 CLI Reference Guide 의 Security Gateway Commands 장에서 fw > fw unloadlocal 항목을 참고합니다. 다른 종류의 Security Policy를 내리는 방법은 해당 관리 가이드(Administration Guide)를 확인하세요.
Rule Log 보기 — 특정 규칙이 만든 로그
특정 규칙이 생성한 로그는 Security Policy 에서 직접 보거나, Logs & Events > Logs 탭에서 검색해 볼 수 있습니다.
Security Policy에서 보기
- SmartConsole에서 Security Policies 뷰로 갑니다.
- Access Control Policy 또는 Threat Prevention Policy 에서 규칙 하나를 고릅니다.
- 아래 창(bottom pane)에서 다음 탭 중 하나를 누릅니다.
- Logs — 기본적으로 Current Rule(현재 규칙)의 로그를 보여 줍니다. Source, Destination, Blade, Action, Service, Port, Source Port, Rule(기본값은 현재 규칙), Origin, User 또는 기타 필드로 걸러 볼 수 있습니다.
- History(Access Control Policy 전용) — 그 규칙과 관련된 규칙 작업 이력(Audit log)을 시간순으로 보여 주며, 규칙 종류와 변경한 관리자 정보가 함께 표시됩니다.
로그 검색으로 보기
- SmartConsole에서 Security Policies 뷰로 갑니다.
- Access Control Policy 또는 Threat Prevention Policy 에서 규칙 하나를 고릅니다.
- 규칙 번호를 오른쪽 클릭하고 Copy Rule UID 를 선택합니다.
- Logs & Events > Logs 탭에서 다음 중 한 방법으로 로그를 검색합니다.
- 복사한 Rule UID 를 쿼리 검색창에 붙여 넣고 Enter 를 누릅니다.
- 더 빠르게 찾으려면 검색창에 다음 구문을 씁니다.
예를 들어 다음을 붙여 넣고 Enter 를 누릅니다.
Policy Installation History — 설치 이력과 되돌리기
Installation History(설치 이력) 에서는 Security Gateway와 정책이 설치된 날짜·시각을 골라 다음을 할 수 있습니다.
- 게이트웨이에 설치된 리비전(revision)과 누가 설치했는지 확인
- 설치된 변경 내용과 누가 변경했는지 확인
- 특정 버전으로 되돌려, 마지막 "정상(good)" 정책을 설치
설치 이력을 다루는 순서는 다음과 같습니다.
- SmartConsole에서 Security Policies 로 갑니다.
- Access Tools 또는 Threat Prevention Tools 에서 Installation History 를 선택합니다.
- Gateways 섹션에서 Security Gateway를 고릅니다.
- Policy Installation History 섹션에서 설치 날짜를 고릅니다.
- 필요한 작업을 수행합니다.
- 설치된 리비전과 작업자를 보려면 — View installed changes 를 누릅니다.
- 설치된 변경 내용과 변경자를 보려면 — View 를 누릅니다.
- 특정 버전으로 되돌리려면 — Install specific version 을 누릅니다.
Concurrent Install Policy — 동시 설치
R81부터 는 한 명 이상의 관리자가 여러 게이트웨이에 서로 다른 정책 설치 작업을 동시에 돌릴 수 있습니다. 그 이전 버전에서는 여러 게이트웨이에 "같은" 정책 설치 작업만 동시에 돌릴 수 있었습니다.
Concurrent Install Policy는 Access Control 과 Threat Prevention 정책만 지원 하며, Desktop 과 QoS 정책은 지원하지 않습니다.
동시에 돌릴 수 있는 (서로 다른 정책의) 설치 작업은 최대 5개 입니다. 5개를 넘는 설치 요청이 들어오면 처음 5개를 제외한 나머지는 큐(queue)에서 대기 합니다. 실행 중인 작업과 대기 중인 작업은 화면 왼쪽 아래의 Recent Tasks 창에 나타납니다.
Accelerated Install Policy — 가속 설치
R81 은 Access Control 정책을 위한 Accelerated Install Policy(가속 설치) 기능을 도입했습니다. Access Control 정책 설치가 가속되면 설치에 걸리는 시간이 크게 단축 됩니다.
정책 설치가 가속되는지는 마지막 설치 이후 Access Control 정책에 어떤 변경이 있었는지에 따라 결정됩니다. 예를 들어 Host 객체를 만들어 Access Control 규칙에 더하면 가속 설치가 트리거 됩니다.
가속 설치에 대한 자세한 내용과 가속 설치를 트리거하는 이벤트의 상세 목록은 sk169096 을 참고합니다.