09Access Control 정책 만들기Access Control 정책 만들기

핵심은 여러 기능을 하나의 Rule Base로 통합 한다는 것입니다. Firewall(접근 통제), Application & URL Filtering(앱·사이트 차단), Content Awareness(데이터 타입 제한), IPsec VPN·Mobile Access(보안 통신), Identity Awareness(사용자·컴퓨터·네트워크 식별) 를 따로 관리하지 않고 한 규칙에 녹 입니다.

그래서 "특정 네트워크의 사용자가 특정 애플리케이션은 쓰되, 일정 크기 이상 파일 다운로드는 막는다" 같은 직관적 규칙 하나에 Security Zone·Service·Application·Data Type·Access Role 객체를 함께 쓸 수 있고, 그 결과가 하나의 로그(네트워크·프로토콜·앱·사용자·접근 자원·데이터 타입) 로 모입니다.

규칙은 여러 열로 이뤄집니다. No(번호), Hits(매칭 횟수), Name, Source/Destination(트래픽의 시작·목적지 — Network·Host·Zone·Access Role·Updatable Object 등), VPN(적용 VPN Community), Services & Applications, Content(보호할 데이터 — 방향: Download/Upload/Any), Action, Track(로깅), Install On(규칙을 받을 게이트웨이), Time, Comment 입니다. 일부는 기본으로 숨겨져 있어 헤더 우클릭으로 켭니다.

Action 에는 Accept·Drop·Reject·Ask·Inform(UserCheck 메시지)·Inline Layer 가 있습니다.

게이트웨이는 연결에 적용할 규칙을 위에서부터 찾 습니다(matching). 이 동작을 이해하면 Rule Base 성능을 끌어올리고 로그를 해석 하는 데 도움이 됩니다. 연결의 첫 패킷(SYN)에서 위에서부터 검사해 처음 맞는 규칙을 적용하고, 거기서 멈춰 나머지 규칙의 검사 엔진은 켜지 않습니다. 그래서 규칙 순서가 결과를 좌우 합니다.

규칙이 많아지면 레이어 로 정리합니다. Ordered Layer 는 Rule Base를 관리하기 쉬운 묶음으로 나누고 여러 패키지에서 재사용, Inline Layer 는 규칙 안의 독립된 하위 정책(sub-policy) 입니다. 덕분에 Rule Base를 평면이 아닌 계층 구조로 만들고, 레이어별로 관리자에게 소유권을 위임 할 수 있습니다.

Inline Layer는 부모 규칙(Action이 레이어 이름)과 하위 규칙 으로 이뤄집니다. 패킷이 부모 규칙에 안 맞으면 다음 Ordered Layer 규칙으로 넘어가 고, 부모에 맞으면 하위 규칙을 검사 합니다. 이때 Inline Layer 끝에는 항상 명시적 Cleanup Rule을 두고, 그 Action을 Implicit Cleanup Rule과 같게 하는 것이 권장됩니다(없으면 Implicit Cleanup Rule 적용).

정책을 다 짜면 검증을 거쳐 게이트웨이에 설치 합니다(정책 관리 기초). 이 장은 그 밖에 Best Practices(규칙 작성 모범 사례), Hit Count 분석(규칙 사용 빈도), IP Spoofing 방지, NAT 정책 구성, 그리고 Mobile Access·Site-to-Site VPN·Remote Access VPN 연동과 Implied Rules(암묵 규칙) 까지 폭넓게 다룹니다. 각 주제의 상세 절차는 원문 해당 절과 전용 가이드(Site-to-Site VPN·Remote Access VPN 관리자 가이드)를 참고하세요. 요지는 하나의 통합 Rule Base에 모든 접근 통제를 녹이고, 위에서부터 매칭되며, 레이어로 정리해 설치 한다는 한 줄기입니다.