03Custom — 시작하기Custom — 시작하기

먼저 게이트웨이/클러스터 객체에서 Custom Threat Prevention 블레이드를 켭 니다. R82부터 Anti-Virus 와 Anti-Bot & Advanced DNS 는 새 게이트웨이에 기본으로 켜져 있습니다(단, Legacy VSX Virtual System에서는 수동으로 켜야 함).

나머지는 General Properties > Network Security 탭에서 켭니다. IPS 는 선택 후 마법사를 따라가고, SandBlast Threat Emulation 을 켜면 마법사가 Emulation Location(ThreatCloud / 로컬 어플라이언스 / 다른 어플라이언스) 을 묻고 Threat Extraction 활성화 여부 도 함께 제안합니다. Threat Extraction 을 켜면 웹 다운로드 검사가 자동으로 켜지며(이메일 첨부 검사는 MTA 구성 필요), Zero Phishing 은 마법사에서 자동 설정(권장, tp_dummy 더미 인터페이스 생성) 또는 게이트웨이 FQDN 을 고릅니다.

블레이드를 하나라도 켜면 미리 정의된 규칙 하나가 Rule Base에 자동 추가 됩니다. 이 규칙은 모든 트래픽(Protected Scope = Any)을 Optimized 프로파일로 검사 하고, 로그를 남기며 모든 게이트웨이에 설치됩니다.

Optimized 프로파일의 결과는 이렇습니다 — Confidence가 Medium 이상이고 Performance Impact가 Medium 이하이며 Severity가 Medium 이상이면 Prevent(차단), Confidence가 Low이고 Performance Impact가 Medium 이상이며 Severity가 Medium 이상이면 Detect(탐지만) 입니다. 즉 확신이 높고 성능 영향이 적은 위협은 막고, 애매한 것은 일단 지켜보는 균형입니다(이 잣대의 의미는 정책과 프로파일에서 자세히).

기본 규칙으로 충분하지 않으면 직접 규칙을 짭니다(프로파일·규칙 구성).

Custom Threat Prevention은 Access Control과 별개의 전용 정책 을 가집니다. Threat Prevention 정책만 따로 설치 하면 게이트웨이 성능 영향을 줄일 수 있습니다. Install Policy 에서 Threat Prevention 을 선택 하고 설치 모드(게이트웨이별 독립 / 같은 버전 일괄)를 고른 뒤 설치합니다.

설치 후에는 Logs & Events로 트래픽을 보며 예외(Exception)를 더하거나 Rule Base를 다듬 어 갑니다.