04Custom — 정책과 프로파일Custom — 정책과 프로파일

이상적으로는 모든 보호를 Prevent로 두고 싶지만, 게이트웨이가 중요한 트래픽에 집중하고 가장 우려스러운 위협만 보고 하게 하려면 설정을 효과적으로 적용해야 합니다. 큰 흐름은 블레이드 켜기 → IPS·Malware DB 최신화 → (선택) Policy Package·Policy Layer 만들기 → 각 레이어에 프로파일을 Action으로 하는 규칙 구성 → 정책 설치 입니다. 관리자별로 Threat Prevention 권한(정책·설정·프로파일·보호별 읽기/쓰기) 을 권한 프로파일로 나눌 수 있습니다.

Rule Base는 여러 Policy Layer 로 나눌 수 있습니다(서비스·네트워크 기준). 각 레이어는 동작을 따로 계산 하며, 한 연결이 여러 레이어의 규칙에 걸리면 가장 엄격한 동작과 설정 을 적용합니다. 예를 들어 IPS 레이어에서 Prevent, Threat Prevention 레이어에서 Detect면 → Prevent 가 적용됩니다(단, 특정 보호에 Inactive 예외가 있으면 그 보호는 Detect로). 한 레이어뿐이면 처음 매칭된 규칙이 적용됩니다.

프로파일 은 활성화할 보호와 켤 블레이드를 정한 설정 묶음 입니다. 프로파일이 보호를 켤지는 성능 영향, 위협 심각도, 식별 확신, 블레이드별 설정 에 따라 정해지며, IPS·Anti-Bot·Anti-Virus·Threat Emulation·Threat Extraction에 적용됩니다. 프로파일이 없으면 활성화 설정·확신 수준마다 규칙을 따로 만들어야 하니, 프로파일이 맞춤화와 효율을 함께 줍니다.

기본 제공 프로파일은 셋입니다 — Optimized(흔한 제품·프로토콜을 최신·인기 공격으로부터 잘 보호, 성능 양호 — 기본값), Strict(모든 제품·프로토콜을 폭넓게 보호하나 성능 영향 큼), Basic(비-HTTP 프로토콜 위주로 서버를 보호, 성능 영향 최소) 입니다.

프로파일이 보호를 켤지 정하는 핵심 잣대가 셋입니다.

Performance Impact(성능 영향) 는 보호가 게이트웨이 성능에 주는 부담 으로, "High 이하 / Medium 이하 / Low 이하 / Very low" 중 어디까지 켤지 정합니다. Severity(심각도) 는 공격 성공 시 예상 피해 로 "Low 이상 / Medium 이상 / High 이상 / Critical" 중 어디부터 보호할지 정합니다. Confidence Level(확신 수준) 은 탐지한 것이 실제 공격이라는 확신 으로, 낮으면 정상 트래픽을 오탐할 수 있습니다.

이 잣대에 따라 보호가 트래픽을 만났을 때의 동작 이 정해집니다 — Prevent(파일·트래픽 차단), Detect(통과시키되 로그), Ask(사용자가 허용 여부 결정할 때까지 차단), Inactive(보호 끔) 입니다. Optimized 프로파일이 확신 Medium/High는 Prevent, 확신 Low는 Detect 로 두어 오탐을 줄이는 것이 그 예입니다.

기본 프로파일(Basic·Optimized·Strict)은 보거나 쓸 수는 있어도 바꿀 수는 없 습니다. 그래서 새로 만들거나(New), 복제(Clone)해서 수정합니다. 새 프로파일은 기본적으로 모든 블레이드를 포함하며, HTTPS Inspection이 켜져 있으면 Threat Emulation·Anti-Bot·Anti-Virus가 HTTPS 트래픽도 분석합니다.

작업은 모두 Security Policies > Threat Prevention > Custom Policy Tools > Profiles 에서 합니다 — New·View·Edit·Clone·Delete·Where Used(어디 쓰이는지) . 변경 이력은 Logs & Events의 Audit 로그 로 추적합니다. 만든 프로파일은 규칙의 Action 셀에서 선택 해 게이트웨이에 입힙니다(IPS 레이어에는 프로파일의 IPS 설정만 적용). 실제 규칙 구성은 프로파일·규칙 구성에서 이어집니다.