목차/04. Custom — 정책과 프로파일

04Custom — 정책과 프로파일Custom — 정책과 프로파일

Custom Threat Prevention의 심장은 프로파일 입니다. 어떤 보호를 켜고 어떤 동작을 할지 를 프로파일이 정하고, 규칙(rule)이 그 프로파일을 트래픽에 입힙니다. 이 장은 Threat Prevention 정책을 만드는 전체 흐름, 정책을 여러 Policy Layer로 나누었을 때 동작이 어떻게 계산되는지, Rule Base를 이루는 규칙 칼럼 하나하나의 의미, 그리고 보호의 켜짐·동작을 정하는 프로파일의 잣대와 그 관리 방법 까지 원문의 내용을 빠짐없이 풀어 정리합니다.

정책을 만드는 큰 흐름

이상적으로는 모든 보호를 Prevent 로 두어 잠재적인 위협을 전부 막고 싶을 것입니다. 하지만 게이트웨이가 정말 중요한 트래픽 처리에 집중하고, 가장 우려스러운 위협만 보고 하게 하려면 Threat Prevention 설정을 가장 효과적인 방식으로 적용해야 합니다. 새 Threat Prevention 프로파일을 정의하면 필요한 보호만 활성화하고, 네트워크에 가장 위협이 되는 공격만 차단 하는 정책을 만들 수 있습니다.

Threat Prevention 정책을 만들어 배포하는 큰 흐름은 다음과 같습니다.

단계할 일
1Security Gateway에서 Threat Prevention Software Blade 를 켭니다.
2IPS 데이터베이스Malware 데이터베이스 를 최신 보호로 업데이트합니다.
3(선택) Policy Package 를 만듭니다.
4(선택) 각 Policy Package마다 Threat Prevention Policy Layer 를 만듭니다. 각 Policy Layer에는 Threat Prevention 프로파일을 규칙의 Action으로 삼는 Rule Base를 구성합니다.
5Threat Prevention 정책을 설치(install)합니다.

관리자 권한 나누기

관리자마다 Threat Prevention 권한을 맞춤 Permission Profile 로 다르게 줄 수 있습니다. 이 권한 프로파일은 Threat Prevention 정책·설정(settings)·프로파일·보호(protection) 각각에 대해 읽기/쓰기 권한을 따로 지정할 수 있습니다.

Threat Prevention Policy Layer — 레이어별로 따로 계산

Threat Prevention Rule Base는 여러 개의 Policy Layer 로 만들 수 있습니다. Policy Layer는 Rule Base를 조직의 필요에 맞게 정리하는 수단으로, 서비스 기준이나 네트워크 기준 으로 나눌 수 있습니다. 여기서 핵심은 각 Policy Layer가 다른 레이어와 별개로 자신의 동작을 따로 계산 한다는 점입니다.

  • Policy Package에 레이어가 하나뿐 이면, 처음 매칭된 규칙 이 적용됩니다.
  • 레이어가 여럿 일 때는 다음과 같습니다.
    • 한 연결이 한 레이어의 규칙에만 걸리면, 그 규칙의 동작이 적용됩니다.
    • 한 연결이 둘 이상의 레이어 규칙 에 걸리면, 게이트웨이는 가장 엄격한(strictest) 동작과 설정 을 적용합니다.

여러 레이어가 겹칠 때 — 동작 계산 예시

한 연결이 둘 이상의 Policy Layer 규칙에 걸렸을 때 게이트웨이가 어떤 동작을 적용하는지, 원문의 예시들을 그대로 살펴봅니다.

예시 1 — 더 엄격한 쪽이 이긴다. 사전 정의된 "IPS" 레이어와 "Threat Prevention" 레이어가 있습니다.

IPS LayerThreat Prevention Layer
매칭된 규칙Rule 3Rule 1
프로파일 동작PreventDetect

→ 적용되는 동작은 Prevent 입니다.

예시 2 — 특정 보호에 Inactive 예외가 있으면. 레이어 구성은 예시 1과 같지만, 보호 X에 대한 예외가 있습니다.

IPS LayerThreat Prevention Layer
매칭된 규칙Rule 3Rule 1
프로파일 동작PreventDetect
보호 X에 대한 예외Inactive-

→ 보호 X에 대해 적용되는 동작은 Detect 입니다.

예시 3 — 예외는 override보다, override는 프로파일 동작보다 앞선다. 사용자 정의 레이어입니다.

Data Center LayerCorporate LAN Layer
매칭된 규칙Rule 3Rule 1
프로파일 동작PreventDetect
보호 X에 대한 OverrideDetect-
보호 X에 대한 예외Inactive-

예외는 override와 프로파일 동작보다 우선하므로, Data Center Layer의 동작은 Inactive 가 됩니다. Corporate LAN Layer의 동작은 Detect 입니다. → 보호 X에 대해 최종 적용되는 동작은 Detect 입니다.

예시 4 — 파일 유형별로 엄격한 쪽을 조합한다. 사용자 정의 레이어입니다.

Data Center LayerCorporate LAN Layer
매칭된 규칙Rule 3Rule 1
프로파일 동작Deep Scan all files특정 파일 유형군 처리: doc 파일은 Inspect, rtf 파일은 Drop

→ 적용되는 동작은 doc 파일은 Deep Scan, rtf 파일은 Drop 입니다.

예시 5 — MIME 중첩 단계와 최대 아카이브 검사 시간. 이때 "가장 엄격한 동작"은 다음 중 하나로 정해집니다.

  • Allow + 최대 중첩 단계/검사 시간 의 조합, 또는
  • Block + 최소 중첩 단계/검사 시간 의 조합, 또는
  • Block과 Allow가 모두 매칭되면 → Block 이 적용됩니다.

예시 6 — UserCheck의 경우. 사용자 정의 레이어이며, 가장 엄격한 동작을 가진 첫 번째 레이어 가 적용됩니다.

HR LayerFinance LayerData Center Layer 3
매칭된 규칙Rule 3Rule 1Rule 4
프로파일 동작DetectPreventPrevent
설정된 페이지Page APage BPage C

→ 적용되는 동작은 Prevent + UserCheck Page B 입니다.

새 Policy Layer 만들기

새 Threat Prevention Policy Layer를 만드는 방법입니다. 이 레이어는 여러 Policy Package에서 재사용 하도록 구성할 수 있고, 레이어마다 관리자 권한을 따로 둘 수 있습니다.

단계할 일
1SmartConsole에서 Security Policies > Threat Prevention 으로 갑니다.
2Policy 를 오른쪽 클릭해 Edit Policy 를 선택합니다.
3General 탭에서 Threat Prevention으로 가 + 기호를 클릭합니다.
4New Layer 를 선택하면 New Threat Prevention Layer 창이 열립니다.
5Layer Name 을 입력합니다.
6(선택) General 탭의 Sharing 영역에서 여러 Policy Package에서 재사용하도록 설정합니다 — Multiple policies and rules can use this layer 를 선택합니다.
7Permissions 탭에서 이 레이어를 편집할 수 있는 권한 프로파일을 선택합니다. 모든 레이어를 편집하도록 설정된 권한 프로파일은 따로 추가할 필요가 없습니다.
8OK 를 클릭합니다.

Pre-R80 게이트웨이의 Threat Prevention 레이어

R80 이전 버전에서는 IPS Software Blade 가 Threat Prevention 정책의 일부가 아니라 따로 관리 되었습니다. R80.XX 버전부터는 IPS 블레이드가 Threat Prevention 정책에 통합되었습니다.

SmartConsole을 R80.XX로 올리면서 일부 게이트웨이는 R80.XX로 업그레이드하고 다른 게이트웨이는 이전 버전으로 남아 있는 상황이라면 다음과 같이 동작합니다.

  • IPS와 Threat Prevention 블레이드를 켠 pre-R80 게이트웨이 는, 정책이 IPS 레이어와 Threat Prevention 레이어, 두 개의 평행 레이어 로 나뉩니다. 어느 게이트웨이가 어떤 IPS 프로파일을 적용하는지는 IPS Layer의 Install On 칼럼에서 볼 수 있습니다.
  • R80.XX 게이트웨이 는 R80 이상의 Policy Layer를 기준으로 따로 관리됩니다.

Threat Prevention Rule Base

각 Threat Prevention 레이어는 Rule Base 를 담고 있습니다. Rule Base는 시스템이 연결을 어떻게 검사해 멀웨어를 찾을지 를 정합니다.

Threat Prevention 규칙은 Malware 데이터베이스네트워크 객체 를 사용합니다. Identity Awareness가 켜진 게이트웨이라면 Access Role 객체 를 규칙의 Protected Scope로 쓸 수 있어, 개인이나 사용자 그룹별 규칙을 쉽게 만들 수 있습니다.

이 Rule Base에는 implied rule(암묵 규칙)이 없 습니다. 트래픽의 허용 여부는 오로지 관리자가 Rule Base를 어떻게 구성했는지 에 달려 있습니다. 예를 들어 Prevent로 설정된 규칙은 해당 멀웨어의 활동과 통신을 차단합니다.

규칙을 이루는 칼럼들

규칙의 칼럼은 그 규칙이 어떤 트래픽에 매칭되고, 그 트래픽에 무엇을 하는지 를 정의합니다.

Number (No.) — 순서가 중요하다

규칙의 순서는 중요합니다. Protected Scope와 프로파일에 따라 처음 매칭되는 규칙 이 적용되기 때문입니다. 예를 들어 Rule 1과 Rule 2가 같은 Protected Scope를 공유하고, Rule 1의 프로파일은 확신 Medium을 Detect 로, Rule 2의 프로파일은 확신 Medium을 Prevent 로 설정했다면, 확신 Medium인 보호는 Rule 1을 따라 Detect 됩니다.

Name — 규칙 이름

규칙에는 알아보기 쉬운 이름을 붙입니다. 이름에는 공백을 넣을 수 있습니다. 규칙의 Name 칼럼을 더블클릭해 이름을 추가·변경한 뒤 OK를 클릭합니다.

Protected Scope — 보호 대상 범위

Threat Prevention 규칙에는 Protected Scope 라는 매개변수가 있습니다. Threat Prevention은 Protected Scope에 지정된 모든 객체를 오가는(to and/or from) 트래픽을 검사하며, 그 객체가 연결을 열지 않았더라도 검사합니다. 이것이 연결을 여는 객체를 정의하는 Firewall 규칙의 Source 객체와는 결정적으로 다른 점 입니다.

예를 들어 Protected Scope에 "MyWebServer"라는 네트워크 객체가 있으면, Threat Prevention은 "MyWebServer"가 연결을 열지 않았더라도 그 서버로 보내지는 모든 파일 을 멀웨어 위협이 있는지 검사합니다.

Protected Scope에 넣을 수 있는 객체는 다음과 같습니다.

  • 네트워크 객체 — 게이트웨이, 클러스터, 서버, 네트워크, IP 범위 등. R80.10부터는 dynamic object와 domain object 도 지원합니다.
  • 네트워크 객체 그룹
  • Updatable object (R80.40부터)
  • IP 주소 범위
  • Role
  • Zone
  • Data Center

Protected Scope를 Any 로 두면, Threat Prevention은 그 규칙에 할당된 프로파일이 정한 방향(direction)과 인터페이스 유형 에 따라 트래픽을 검사합니다. 기본적으로 사전 정의된 Optimized Rule 은 Protected Scope가 Any로 설정되어 있습니다.

트래픽 방향과 인터페이스 유형 설정

검사를 위해 파일을 보내는 트래픽 방향과 게이트웨이 인터페이스 유형 을 지정할 수 있습니다. 이 설정은 Anti-Virus 또는 Threat Emulation Settings 창의 Protected Scope 섹션에서 합니다. 선택지는 다음과 같습니다.

  • Inspect incoming files from — 지정한 인터페이스 유형으로 들어오는 파일만 검사합니다(나가는 파일은 검사하지 않음). 인터페이스 유형을 골라야 합니다.
    • External — 외부 인터페이스로 들어오는 파일만 검사. DMZ·내부 인터페이스의 파일은 검사하지 않습니다.
    • External and DMZ — 외부·DMZ 인터페이스로 들어오는 파일을 검사. 내부 인터페이스의 파일은 검사하지 않습니다.
    • All — 모든 인터페이스 유형으로 들어오는 파일을 검사합니다.
  • Inspect incoming and outgoing files들어오고 나가는 모든 파일 을 검사합니다.

규칙의 Protected Scope에서 Any 를 고르면 방향과 인터페이스 유형은 그 규칙에 할당된 프로파일이 정합니다. Protected Scope에 객체를 추가하면, 그 객체에 매칭되는 파일은 모든 연결에 대해 검사됩니다.

SPAN·TAP 구성에서 Protected Scope 쓰기

SPAN·TAP 구성의 전역 기본값은 모두 검사(inspect all) 입니다. 다음 두 가지로 게이트웨이가 Threat Emulation에서 Protected Scope 설정을 쓰도록 바꿀 수 있습니다.

  • fw ctl set int 명령 — 현재 SPAN·TAP의 Protected Scope 설정을 바꾸지만, 재부팅하면 사라 집니다.
  • $FWDIR/module/fwkern.conf 파일재부팅 후에도 유지 되도록 설정을 바꿉니다.

SPAN 포트가 전역 기본값(inspect all) 대신 정책을 쓰도록 하려면 다음 명령을 실행합니다.

# fw ctl set int te_handle_span_port_interfaces_according_to_topolgy 1
# echo "te_handle_span_port_interfaces_according_to_topolgy=1" >> $FWDIR/boot/modules/fwkern.conf

제약과 문제 해결

  • 게이트웨이 인터페이스에 topology가 정의되어 있지 않으면 모든 트래픽을 검사하거나 에뮬레이션으로 보냅니다.
  • R76 이하에서 업그레이드하면 Inspect incoming files 옵션이 기본적으로 All 로 설정됩니다.
  • 인터페이스 topology가 정의되어 있고 SPAN·TAP 모드를 쓸 때는, 일부 연결이 올바르게 정의되지 않 을 수 있습니다.

Protection — 보호 칼럼

Protection/Site/File/Blade 칼럼은 Threat Prevention 정책의 보호를 보여 줍니다.

  • 일반 규칙에서는 이 필드가 항상 n/a 로 표시되며 바꿀 수 없습니다.
  • 규칙 예외(exception)와 예외 그룹 에서는 이 필드를 하나 이상의 특정 보호로 설정할 수 있습니다.

Action — 동작 칼럼

Action 은 트래픽을 어떻게 검사할지를 가리킵니다.

  • 일반 규칙에서는 프로파일이 동작을 정 합니다. 프로파일에는 확신 수준·성능 영향별 설정이 담겨 있습니다.
  • 규칙 예외와 예외 그룹에서는 동작을 Prevent 또는 Detect 로 설정할 수 있습니다.

규칙에 프로파일을 고르려면 Action 칼럼을 클릭 한 뒤, 목록에서 기존 프로파일을 고르거나, 새 프로파일을 만들거나, 기존 프로파일을 편집합니다.

Track — 추적 옵션

Track 옵션설명
None알림을 생성하지 않습니다.
Alert로그를 생성하고 명령을 실행합니다 — 팝업 창 표시, 이메일·SNMP trap 알림, 또는 Menu > Global Properties > Log and Alert > Alerts 에 정의된 사용자 스크립트 실행.
Packet CaptureIPS·Anti-Virus·Anti-Bot & Advanced DNS·Threat Emulation·Threat Extraction의 raw 패킷 데이터 를 로그에 추가합니다. 차단된 패킷만 추가됩니다.
ForensicsThreat Prevention 로그에 필드를 더해, 공격을 더 깊이 이해할 수 있는 정보를 줍니다.

Install On — 설치 대상

규칙을 설치할 Security Gateway를 고릅니다. 기본값은 All(Threat Prevention 블레이드를 켠 모든 게이트웨이) 입니다. 칼럼에 마우스를 올리면 + 기호가 나타나고, 이를 클릭해 게이트웨이 목록을 열어 해당 게이트웨이를 고릅니다. 표의 칼럼을 오른쪽 클릭하면 칼럼을 더 추가 할 수 있습니다.

Concurrent Install Policy — 동시 정책 설치

R81부터는 한 명 이상의 관리자가 여러 게이트웨이에 서로 다른 정책 설치 작업을 동시에 실행할 수 있습니다. 이전 버전에서는 여러 게이트웨이에 같은 정책 설치 작업만 동시에 돌릴 수 있었습니다.

  • Concurrent Install Policy는 Access Control과 Threat Prevention 정책만 지원합니다. Desktop·QoS 정책은 지원하지 않습니다.
  • 동시에 돌릴 수 있는 (서로 다른 정책의) 설치 작업은 최대 5개 입니다. 5개를 넘는 요청은 대기열(queue) 에 들어갑니다.
  • 실행 중인 작업과 대기 중인 작업은 화면 왼쪽 아래 Recent Tasks 창에 나타납니다.

프로파일이란

Check Point Threat Prevention은 사전 정의된 Threat Prevention 프로파일 을 기반으로 즉각적인 보호를 제공합니다. 조직에 꼭 맞는 보호 수준을 위해 맞춤(custom) 프로파일 을 따로 구성할 수도 있습니다. Threat Prevention 정책을 게이트웨이에 설치하면, 게이트웨이는 곧바로 네트워크 트래픽에 IPS 보호를 적용 하기 시작합니다.

프로파일지정한 규칙·정책에 대해 어떤 보호를 활성화하고 어떤 Software Blade를 켤지 를 정합니다. 프로파일이 어떤 보호를 켜는지는 다음 네 가지에 달려 있습니다.

  • 보호의 성능 영향(Performance impact)
  • 위협의 심각도(Severity)
  • 보호가 공격을 정확히 식별하는 확신(Confidence)
  • Software Blade별 고유 설정

프로파일은 IPS·Anti-Bot & Advanced DNS·Anti-Virus·Threat Emulation·Threat Extraction 중 하나 이상의 Threat Prevention 블레이드 에 적용됩니다.

프로파일이 담는 설정

프로파일은 다음을 기반으로 한 설정 묶음입니다.

  • ThreatSpect 엔진이 분석하는 보호의 확신 수준별 활성화 설정(prevent, detect, inactive)
  • IPS Settings
  • Anti-Bot & Advanced DNS
  • Anti-Virus Settings
  • Threat Emulation Settings
  • Threat Extraction Settings
  • Indicator configuration

프로파일이 없으면 활성화 설정·확신 수준마다 규칙을 따로 만들어야 합니다. 프로파일이 있으면 맞춤화와 효율 을 함께 얻습니다.

기본 제공 프로파일 셋

SmartConsole은 다음 기본 프로파일을 제공합니다.

프로파일설명
Optimized흔한 네트워크 제품·프로토콜을 최신·인기 공격으로부터 잘 보호합니다(성능 양호 — 기본값).
Strict모든 제품·프로토콜을 폭넓게 보호하나, 네트워크 성능에 영향을 줍니다.
Basic비-HTTP 프로토콜 위주로 서버를 안정적으로 보호하며, 성능 영향이 최소입니다.

Optimized 프로파일이 노리는 것

Optimized 프로파일은 보안과 게이트웨이 성능의 균형이 좋아 기본으로 활성화 되어 있습니다. 이 프로파일이 노리는 목표와, 그 목표를 이루는 설정은 다음과 같습니다.

목표매개변수설정
모든 Threat Prevention 블레이드에 설정 적용Blades ActivationIPS·Anti-Bot & Advanced DNS·Anti-Virus·Threat Emulation·Threat Extraction에 대해 프로파일을 활성화합니다.
성능에 치명적 영향을 주지 않음Performance impactMedium 이하 의 성능 영향을 가진 보호를 활성화합니다.
중요한 위협으로부터 보호Severity심각도 Medium 이상 의 위협을 막습니다.
오탐(false-positive) 줄이기Confidence확신 Medium·High 인 보호는 Prevent, 확신 Low 인 보호는 Detect로 둡니다.

세 가지 잣대와 동작

프로파일이 보호를 켤지, 켜면 어떻게 동작할지를 정하는 핵심 잣대가 셋입니다.

Performance Impact — 성능 영향

Performance Impact보호가 게이트웨이 성능에 주는 부담 입니다. 활성화한 보호 중 일부는 연결성·성능 문제를 일으킬 수 있으므로, 성능 영향이 큰 보호는 prevent·detect하지 않도록 설정할 수 있습니다. 선택지는 다음과 같습니다.

  • High or lower (High 이하)
  • Medium or lower (Medium 이하)
  • Low or lower (Low 이하)
  • Very low

Severity — 심각도

Severity 는 위협의 심각도로, 공격이 성공했을 때 환경에 입을 수 있는 피해 를 뜻합니다. 단계는 다음과 같습니다.

  • Low or above (Low 이상)
  • Medium or above (Medium 이상)
  • High or above (High 이상)
  • Critical

Confidence Level — 확신 수준

Confidence Level 은 인식한 공격이 실제로 바이러스나 봇 트래픽이라는 확신 의 정도입니다. 어떤 공격 유형은 다른 것보다 미묘해서, 정상 트래픽이 위협으로 잘못 인식 되기도 합니다. 확신 수준 값은 보호가 특정 공격을 얼마나 정확히 인식할 수 있는지 를 보여 줍니다.

Activation Settings — 동작 네 가지

이 잣대에 따라 보호가 트래픽을 만났을 때의 동작 이 정해집니다.

설정설명
Ask게이트웨이가 보내도 되는지 사용자가 확인할 때까지 파일·트래픽을 차단합니다. 사용자가 허용 여부를 결정하며, 그 결정 자체는 Ask User 로그의 User Response 필드에 기록됩니다.
Prevent파일·트래픽이 게이트웨이를 통과하지 못하게 차단 합니다. Rule Base 설정에 따라 로그·추적도 합니다.
Detect식별된 파일·트래픽을 통과시키되 , Rule Base 설정에 따라 로그·추적합니다.
Inactive보호를 끕니다(비활성화) .

Optimized 프로파일이 확신 Medium·High는 Prevent, 확신 Low는 Detect 로 두어 오탐을 줄이는 것이 이 잣대를 활용한 좋은 예입니다.

Profiles Pane — 프로파일 창

Profiles 창은 만들어진 프로파일 목록과 각 확신 수준·성능 영향 설정 을 보여 줍니다. 이 창의 옵션은 다음과 같습니다.

옵션의미
New새 프로파일을 만듭니다.
View기존 프로파일을 봅니다.
Edit기존 프로파일을 수정합니다.
Clone기존 프로파일을 복제합니다.
Delete프로파일을 삭제합니다.
Where Used그 프로파일이 어디서 참조되는지 보여 줍니다.
Search프로파일을 검색합니다.
Last Modified누가·언제·어느 클라이언트에서 마지막으로 수정했는지 보여 줍니다.

프로파일 만들기·복제·편집·삭제

여러 사전 구성된 프로파일 중에서 고를 수 있지만 이를 바꿀 수는 없 습니다. 그래서 새로 만들거나(New) 복제(Clone) 해서 수정합니다. 새 프로파일은 기본적으로 모든 Threat Prevention 블레이드를 포함 합니다. 게이트웨이에서 HTTPS Inspection 이 켜져 있으면 Threat Emulation·Anti-Bot & Advanced DNS·Anti-Virus가 해당 HTTPS 트래픽도 분석 합니다.

새 프로파일 만들기

단계할 일
1SmartConsole에서 Security Policies > Threat Prevention 을 선택합니다.
2Custom Policy Tools 섹션에서 Profiles 를 클릭하면 Profiles 페이지가 열립니다.
3프로파일을 오른쪽 클릭해 New 를 선택합니다.
4프로파일 설정을 구성합니다.
5OK 를 클릭합니다.
6Threat Prevention 정책을 설치합니다.

프로파일 복제하기

선택한 프로파일을 복제한 뒤 바꿀 수 있습니다. 기본 제공 프로파일(Basic·Optimized·Strict)은 바꿀 수 없 으므로 복제가 유용합니다.

단계할 일
1SmartConsole에서 Security Policies > Threat Prevention 을 선택합니다.
2Custom Policy Tools 섹션에서 Profiles 를 클릭합니다.
3프로파일을 오른쪽 클릭해 Clone 을 선택합니다.
4Name 필드에 복제본 이름(원래 이름 + _copy) 이 표시됩니다.
5프로파일 이름을 바꿉니다.
6OK 를 클릭합니다.
7SmartConsole 세션을 publish합니다.

프로파일 편집하기

요구에 맞게 프로파일 설정을 바꿀 수 있습니다. SmartConsole에서 Security Policies > Threat Prevention 을 선택하고, Custom Policy Tools > Profiles 로 간 뒤, 프로파일을 오른쪽 클릭해 Edit 를 선택합니다.

프로파일 삭제하기

프로파일은 삭제할 수 있지만 기본 프로파일은 삭제할 수 없 습니다.

단계할 일
1SmartConsole에서 Security Policies > Threat Prevention 을 선택합니다.
2Custom Policy Tools > Profiles 를 클릭합니다.
3프로파일을 오른쪽 클릭해 Delete 를 클릭하면 확인 메시지가 나타납니다.
4Yes 를 클릭합니다. 단, 다른 객체가 그 프로파일을 쓰고 있으면 삭제할 수 없 으며, 오류 메시지가 Tasks 창에 표시됩니다.
5SmartConsole에서 정책을 설치합니다.

프로파일을 쓰는 객체를 보려면, Profiles 페이지에서 프로파일을 선택해 Summary 페이지를 연 뒤, Where Used 섹션에서 Where Used 를 클릭합니다. Where Used 창이 열려 그 프로파일을 보여 주며, 규칙을 오른쪽 클릭해 View in policy 를 선택할 수 있습니다.

프로파일 변경 이력 보기

Threat Prevention 프로파일에 가해진 변경은 Audit 로그 로 추적합니다.

단계할 일
1SmartConsole에서 Logs & Events 를 클릭합니다.
2Audit 탭을 클릭하거나 CTRL + T 를 누른 뒤 Open Audit Logs View 를 클릭합니다.
3검색창에 프로파일 이름을 입력합니다.
4검색을 좁히려면 Object Type 칼럼 머리글을 오른쪽 클릭해 Add Filter 를 선택하고, Threat Prevention Profile 을 입력해 필터를 추가한 뒤 OK를 클릭합니다. 결과가 Threat Prevention 프로파일로 좁혀집니다.
5변경 내용을 더 보려면 Audit 로그를 더블클릭합니다.

프로파일을 게이트웨이에 할당하기

pre-R80 게이트웨이에서 IPS Software Blade 를 켜면, 정책의 IPS Policy Layer에 기본 IPS 규칙이 자동 생성 됩니다. 이 규칙의 Action은 할당된 Threat Prevention 프로파일의 IPS 설정 에 따라 정해지며, Action 칼럼에서 프로파일을 바꿀 수 있습니다.

게이트웨이에 프로파일을 할당하려면 SmartConsole에서 Security Policies > Threat Prevention > Policy > IPS 를 선택하고, Action 셀을 클릭해 Threat Prevention 프로파일을 고른 뒤, Access Control 정책을 설치 합니다.

실제 규칙과 프로파일을 자세히 구성하는 방법은 Custom — 프로파일·규칙 구성에서 이어집니다.