08정책 관리 기초정책 관리 기초

Policy Package 는 서로 다른 종류의 정책을 한데 묶은 것 으로, 설치하면 게이트웨이가 그 안의 모든 정책을 집행합니다. 한 패키지에는 다음을 담을 수 있습니다 — Access Control(Firewall·NAT·Application Control & URL Filtering·Content Awareness·Mobile Access), QoS, Desktop Security, Threat Prevention(IPS·Anti-Bot·Anti-Virus·Threat Emulation·Threat Extraction·Zero Phishing), HTTPS Inspection(R82부터 Inbound·Outbound로 나뉨).

핵심 발상은 사이트 유형별로 다른 패키지 입니다. 예를 들어 어떤 지점은 Firewall·VPN만, 어떤 곳은 QoS·Mobile Access까지 쓴다면, 각 사이트의 게이트웨이에 설치된 블레이드에 맞는 정책 조합을 패키지로 만들어 둡니다.

!사이트 유형별 정책 패키지 예 *① Sales California(Firewall·VPN) ② Sales Alaska(Firewall·VPN·IPS·DLP) ③ Executive management(Firewall·VPN·QoS·Mobile Access) ④ Server farm(Firewall) ⑤ 인터넷*

패키지는 Manage policies and layers > New 에서 만들며, General에서 정책 종류를 선택하고, Installation targets에서 설치할 게이트웨이(전체/특정)를 지정 합니다. 이렇게 패키지마다 적절한 설치 대상을 미리 묶어 두면 설치 때마다 게이트웨이를 다시 고를 필요가 없습니다.

Install Policy 를 누르면 설치가 시작됩니다. 설치 과정은 규칙을 휴리스틱 검증(일관성·중복 확인) 하고 — 검증 오류가 있으면 설치를 멈추고, 경고만 있으면 경고와 함께 설치 — , 각 게이트웨이가 최소 한 규칙은 집행하는지 확인(아니면 기본 drop 규칙 적용) 하며, 사용자·객체 데이터베이스를 설치 대상에 배포 합니다.

설치 모드는 두 가지입니다. 각 게이트웨이에 독립적으로 설치(한 곳이 실패해도 나머지엔 영향 없음) 와 모든 게이트웨이에 설치하되 한 곳이라도 실패하면 같은 버전 게이트웨이에는 설치 안 함 입니다(클러스터는 "모든 멤버에 설치, 안 되면 전부 취소" 옵션도).

변경 내용에 따라 무엇을 설치할지 갈립니다. 정책 규칙 등을 바꿨으면 정책 설치, 사용자·관리자 정의만 바꿨으면 Install Database 입니다. 사용자 데이터베이스는 게이트웨이에는 정책 설치 때, 관리 블레이드를 켠 호스트에는 DB 설치 때 들어갑니다(CLI로는 fwm dbload). 한편 게이트웨이에서 fw unloadlocal 로 Access Control 정책을 내릴 수 있는데, 이 명령은 IP Forwarding을 꺼 모든 트래픽을 막고 모든 정책을 제거 하므로 주의해야 합니다.

운영을 돕는 기능들이 있습니다. Installation History 로 누가 언제 무엇을 설치했는지 보고, 특정 버전으로 되돌려 마지막 "정상" 정책을 설치 할 수 있습니다. Rule Logs 로 특정 규칙이 만든 로그 를 보거나(Rule UID로 검색), 규칙의 변경 이력(History)을 봅니다.

성능 면에서, R81부터 Concurrent Install Policy 로 여러 게이트웨이에 서로 다른 정책 설치를 동시에(최대 5개, 초과분은 큐 대기, Access Control·Threat Prevention만 지원) 돌릴 수 있고, Accelerated Install Policy 로 마지막 설치 이후 변경분에 따라 Access Control 정책 설치 시간을 크게 단축 합니다(예: Host 객체를 만들어 규칙에 더하면 가속 설치 트리거).