목차/05. Custom — 프로파일·규칙 구성

05Custom — 프로파일·규칙 구성Custom — 프로파일·규칙 구성

이 장은 Threat Prevention 정책을 구성하는 규칙(Rule)과 예외(Exception)를 만들고, 한 프로파일 안에서 각 블레이드(IPS·Anti-Bot·Anti-Virus·Threat Emulation·Threat Extraction·Zero Phishing·Mail)를 얼마나 공격적으로 적용할지 손잡이를 하나하나 돌리는 방법 을 빠짐없이 정리합니다. Threat Prevention 매뉴얼에서 가장 분량이 큰 장이라, 화면 단위 절차와 모든 설정·파라미터·표를 그대로 담되 "왜 그렇게 쓰는지"를 함께 풀어 두었습니다.

Threat Prevention 페이지는 정책의 규칙과 예외를 보여 줍니다. 규칙은 보호 대상 범위(protected scope)로 정의한 네트워크 객체나 위치에 대해 어떤 Threat 프로파일 을 적용할지 정합니다. 시작은 간단합니다 — Add Rule 버튼을 눌러 규칙을 추가하면 됩니다. 지정한 규칙의 Threat Prevention 동작은 Threat Prevention 프로파일 안에서 세부 구성합니다. 봇과 보호에 대해 더 알고 싶다면 ThreatWiki 를 둘러보세요.

각 블레이드의 역할 자체는 솔루션 개요에서 본 그대로이며, 프로파일은 그 보호들을 조율하는 손잡이입니다. 더 깊은 엔진 설정(Allow List·고급 엔진 옵션 등)은 Custom — 고급 설정에서 다룹니다.

Mail 설정 구성

메일 트래픽 검사 동작은 프로파일의 Mail 페이지에 둡니다. 어떤 블레이드가 SMTP 트래픽을 검사할지, 악성 메일을 막을지 허용할지, 허용한다면 어떻게 무해화할지를 여기서 정합니다.

General — 어떤 블레이드로 메일을 검사할까

Options 에서 세 가지 검사를 켤 수 있습니다. 각 항목은 해당 블레이드가 함께 켜져 있어야만 동작합니다.

옵션의미
Emulate emails for malicious content (requires Threat Emulation)이 옵션과 Threat Emulation 블레이드가 모두 켜지면 Threat Emulation이 SMTP 트래픽 을 검사합니다.
Scan emails for viruses (requires Anti-Virus)이 옵션과 Anti-Virus 블레이드가 모두 켜지면 Anti-Virus가 SMTP 트래픽을 검사합니다.
Extract potentially malicious attachments (requires Threat Extraction)이 옵션과 Threat Extraction 블레이드가 모두 켜지면 Threat Extraction이 SMTP 트래픽을 검사합니다.

MTA Gateway에서의 악성 메일 정책

Malicious Email Policy on MTA Gateways 절에서는 악성으로 판정된 메일을 차단(Block)할지 허용(Allow)할지 를 결정합니다. 허용하기로 했다면 아래 옵션을 하나 또는 여럿 함께 선택할 수 있습니다.

  • Remove attachments and links — 기본으로 선택되어 있습니다. 악성으로 판정된 링크나 첨부를 무해화한 버전 으로 바꿉니다. 무해화된 메일은 사용자에게 전달되며, 사용자에게 보일 내용은 템플릿으로 직접 꾸밀 수 있습니다(Configure 클릭). 다음 세 가지 상황별 메시지를 다듬을 수 있습니다.
    • Malicious Attachments — 무해화된 txt 파일 로 교체됩니다. 사용자가 받을 메시지를 직접 작성할 수 있고, 파일명이나 MD5 해시 같은 파일 정보를 더 넣으려면 Insert Field 를 누릅니다.
    • Failed to Scan Attachments — 첨부 검사가 실패했을 때, fail mode가 fail-close 이면 첨부가 txt 첨부로 교체되고, fail-open 이면 원본 첨부가 그대로 허용됩니다. 여기서도 Insert Field 로 파일 정보를 추가할 수 있습니다.
    • Malicious Links — 무해화된 링크로 교체됩니다. 무해화된 URL 같은 링크 관련 정보를 메시지에 더할 수 있습니다.
  • Add an X-Header to the email — 악성으로 판정된 메일에 X-Header 태그 를 붙입니다. 형식은 다음과 같습니다.
  X-Check Point-verdict: <verdict>; confidence: <confidence>
  

예: X-Check Point-verdict: malicious; confidence: high. 이 옵션을 쓰면 MTA의 Next Hop 이 특정 X-Header가 붙은 메일을 모두 격리(quarantine)하도록 구성할 수 있습니다. - Add a prefix to the email subject — 악성 메일의 제목 앞에 접두어 를 붙입니다. 예를 들어 "이 메일은 악성입니다" 같은 경고 문구를 넣을 수 있습니다. Configure 로 접두어를 편집합니다. - Add customized text to the email body — 메일 본문 앞에 템플릿 기반의 섹션을 추가합니다. 악성으로 판정되었거나 검사에 실패한 링크·첨부의 판정 결과(verdict)를 선택적 자리표시자로 넣을 수 있습니다. 링크는 무해화된 형태로, 첨부는 파일명만 표시됩니다. Configure 로 템플릿을 편집합니다.

Send a copy to the following list — 이 옵션은 악성 메일을 허용하든 차단하든 모두 사용할 수 있습니다. 원본 메일(악성 첨부·링크 포함)을 새 메일에 첨부해 보내는데, 그 새 메일에는 무해화된 링크와 첨부 파일명이 담긴 판정 목록과 SMTP 봉투(envelope) 정보가 들어갑니다. 메일 내용은 Gateway에서 구성할 수 있으며, 연구·조사 목적 으로 활용합니다.

Use Case — 악성 메일을 건건이 판단하고 싶을 때(외부 격리)

Mail 페이지의 설정으로 악성 메일을 차단하거나 허용할 수 있지만, 모든 악성 메일에 대해 전역 결정을 내리지 않고 메일마다 따로 판단 하고 싶을 때가 있습니다. 이때는 Threat Emulation이 메일을 허용하되 곧바로 수신자에게 보내지 않고, 검토 후 차단/허용을 결정할 수 있는 컨테이너에 보관 하는 체계를 만듭니다.

악성 메일용 외부 격리를 구성하려면 다음 순서를 따릅니다.

단계작업
1Gateway에서 MTA 를 활성화합니다(메일 전송 에이전트 구성 참고).
2구성하려는 프로파일을 복제(Clone)하고 이름을 바꿉니다.
3새 프로파일에서 Mail > General > Malicious Email Policy on MTA Gateways 로 가서 Allow the email 을 선택합니다.
4Remove attachments and links 의 선택을 해제합니다.
5Add an X-Header to the email 을 선택합니다.
6OK 를 누릅니다.
7정책을 설치(Install Policy)합니다.

이렇게 한 뒤 Next Hop 에서는 MTA가 X-Header로 표시한 메일을 모두 격리하는 규칙을 구성합니다. 그러면 격리된 메일을 원본 그대로 Next Hop에서 살펴보고, 검토 후 허용할지 차단할지 결정할 수 있습니다.

Exceptions — 특정 주소를 검사에서 제외

특정 이메일 주소를 Threat Emulation이나 Threat Extraction 보호에서 제외할 수 있습니다.

Threat Emulation에서 메일 제외 는 다음과 같이 합니다.

단계작업
1Emulation Exceptions 에서 Configure 를 누릅니다.
2Recipients 절에서 + 버튼으로 이메일을 하나 이상 입력합니다. 이 수신자에게 보내는 메일·첨부는 에뮬레이션으로 보내지 않습니다.
3Senders 절에서 + 버튼으로 이메일을 입력합니다. 이 발신자에게서 받은 메일·첨부는 에뮬레이션으로 보내지 않습니다. 와일드카드 문자를 쓰면 한 도메인의 여러 주소를 한꺼번에 제외할 수 있습니다.
4OK 를 누릅니다.

Threat Extraction에서 메일 제외 는 다음과 같이 합니다.

단계작업
1Extraction Exclusion/Inclusion 에서: ① Scan all emails(기본 선택)를 고르고 Exceptions 클릭 → + 버튼으로 특정 수신자·사용자·그룹·발신자를 제외, 또는 ② Scan mail only for specific users or groups 를 고르고 Configure 클릭 → Add 버튼으로 특정 User Group·Recipient·Sender 를 포함 대상으로 지정.
2OK 를 누릅니다.

여기서 쓰이는 개념은 다음과 같습니다.

  • user — 이메일 주소와 기타 세부 정보를 담을 수 있는 객체입니다.
  • group — 사용자들의 AD 그룹 또는 LDAP 그룹입니다.
  • recipient — 이메일 주소만을 가리킵니다.

Signed Email Attachments — 디지털 서명 메일

서명된 메일은 암호화되는 것이 아니라, 메일 내용에 발신자를 인증하는 서명 이 붙는 것입니다. 받은 메일이 보낸 메일과 다르면 수신자에게 경고가 뜨고 디지털 서명은 더 이상 유효하지 않습니다.

  • Clean — 원본 첨부를 위협이 제거된 첨부로 바꾸거나 PDF로 변환합니다. 두 동작 모두 디지털 서명을 무효화 합니다. 다만 첨부에 활성 콘텐츠(active content)가 없으면 메일은 변형되지 않고 서명도 유효하게 남습니다.
  • Allow — 메일을 전혀 변형하지 않으므로 서명이 그대로 유효 합니다. 디지털 서명을 보존해야 한다면 이 옵션을 선택합니다.

MIME Nesting — 메일 속 메일 검사 깊이

선택적 설정입니다. 스캔할 MIME 중첩 단계(nesting level) 의 최대 수를 정합니다(중첩 단계란 메일 안의 메일을 뜻합니다). 이 설정은 Anti-Virus·Threat Emulation·Threat Extraction 에 공통 으로 적용됩니다.

  • Maximum MIME nesting is (levels) — 엔진이 검사할 최대 단계 수를 정합니다.
  • When nesting level is exceeded (action on file) — 설정한 단계보다 깊게 중첩되어 있으면 메일을 Block 할지 Allow 할지 정합니다.

IPS 프로파일 설정 구성

IPS 보호를 프로파일 단위로 세부 조정합니다. 기본 절차는 다음과 같습니다.

단계작업
1SmartConsole에서 Security Policies > Threat Prevention 선택.
2Custom Policy Tools 에서 Profiles 클릭.
3프로파일을 오른쪽 클릭하고 Edit.
4탐색 트리에서 IPS > Additional Activation 클릭, 사용자 지정 보호 구성.
5IPS > Pre-R80 Settings 클릭, 새로 내려받은 보호의 설정 구성.
6(Pre-R80 배포에서 IPS 프로파일을 가져오는 경우) Pre-R80 Settings 에서 해당 Client·Server 보호를 활성화하고, 이 프로파일에서 제외할 IPS 보호 카테고리를 구성.
7OK 클릭 후 Install Policy.

Additional Activation Fields — 보호를 개별로 켜고 끄기

더 세밀하게 제어하려면 프로파일의 Additional Activation 절에서 활성화할 IPS 보호와 비활성화할 보호를 직접 선택 할 수 있습니다. IPS 보호는 검색을 쉽게 하도록 Product, Vendor, Threat Year 같은 태그(카테고리)로 정리되어 있습니다. Gateway는 활성화된 보호만 적용하고 비활성화된 보호는 적용하지 않으며, 이는 일반 프로파일 보호 설정과 무관 합니다.

  • Activate IPS protections according to the following additional properties — 선택하면 이 페이지에서 구성한 카테고리가 프로파일의 IPS 보호를 수정합니다.
    • Protections to activate — 여기에 있는 IPS 보호 카테고리는 이 프로파일을 쓰는 Gateway에서 켜집니다.
    • Protections to deactivate — 여기에 있는 카테고리는 이 프로파일을 쓰는 Gateway에서 켜지지 않습니다.

다만 이 카테고리는 활성화 모드 임계값(Confidence·Severity·Performance)을 충족하는 보호만 걸러 내거나 추가합니다. 예를 들어 어떤 보호가 Performance 등급 때문에 비활성 상태라면, 그 카테고리가 Protections to activate 에 들어 있어도 켜지지 않습니다.

Updates — 새로 갱신된 보호를 어떻게 다룰까

IPS에는 보호가 매우 많아서 환경에 맞는 것을 파악하는 데 시간이 걸립니다. 일부는 기본 보안을 위해 손쉽게 구성할 수 있고 안전하게 자동 활성화할 수 있습니다. 프로파일에서 새로 갱신된 IPS 보호에 대한 업데이트 정책IPS > Updates 페이지에서 정할 수 있습니다. Newly Updated Protections 에 대해 다음 중 하나를 고릅니다.

  • Active - According to profile settings — 기본값. 프로파일 General 페이지의 설정에 따라 보호가 활성화됩니다. Check Point 권장 구성 입니다.
  • Set activation as staging mode — 새로 갱신된 보호를 구성을 바꿀 때까지 스테이징(staging) 모드 에 둡니다. 스테이징 모드 보호의 기본 동작은 Detect 입니다. 동작은 IPS Protections 페이지에서 수동으로 바꿀 수 있습니다. Configure 를 눌러 특정 보호를 스테이징에서 제외할 수 있습니다.
  • Inactive — 새로 갱신된 보호가 활성화되지 않습니다.

Pre-R80 Settings — 구버전 Gateway 전용

Pre-R80 설정은 Pre-R80 Security Gateway에만 해당됩니다.

Protections Activation 에서 다음 유형의 보호를 활성화합니다.

  • Client Protections — 클라이언트(예: 개인용 컴퓨터)만 보호하는 보호를 활성화합니다.
  • Server Protections — 서버만 보호하는 보호를 활성화합니다.

네트워크에 클라이언트만 있거나 서버만 있다면, 불필요한 보호를 끄는 것으로 Gateway 성능을 높일 수 있습니다. Client ProtectionsServer Protections 를 둘 다 선택하면 다음을 제외한 모든 보호가 활성화됩니다.

  • 여기서 선택한 옵션으로 제외된 보호
  • Application Controls 또는 Engine Settings
  • Performance Impact - Critical 로 정의된 보호

Excluded Protections CategoriesDo not activate protections of the following categories — 여기서 선택한 IPS 보호 카테고리는 자동으로 활성화되지 않으며, 이 프로파일을 동작(Action)으로 쓰는 Threat Prevention 규칙에서 제외됩니다.

Custom Threat Prevention용 IPS 보호 구성

Protection Browser — 보호 둘러보기

Protection Browser 는 Threat Prevention 블레이드의 보호 유형과 중요한 정보·사용 지표 요약을 보여 줍니다. 요약 표의 기본 열은 다음과 같습니다.

설명
Protection보호의 이름. 보호 유형 설명은 창 하단에 표시됩니다.
Industry Reference공격에 대한 국제 CVE 또는 CVE 후보 이름.
Performance Impact이 보호가 Gateway 성능에 미치는 영향. 가능하면 정확한 수치를 표시.
Severity환경에 대한 공격 성공 시 예상 심각도.
Confidence LevelIPS가 그 공격을 얼마나 확신하며 인식하는지.
<Profile_Name>각 IPS 프로파일에 대한 이 보호의 활성화(Activation) 설정.

Severity — 심각도

Critical·High Severity 보호는 활성화 하는 것이 원칙입니다(굳이 끄고 싶은 분명한 이유가 없는 한). 예를 들어 어떤 보호가 Severity: High, Performance Impact: Critical 이라면, 활성화하기 전에 그 보호가 환경에 정말 필요한지 확인하세요.

Confidence Level — 확신 수준

어떤 공격은 다른 것보다 덜 심각하며, 정상 트래픽이 위협으로 잘못 인식되기도 합니다. Confidence는 그 보호가 해당 공격을 얼마나 정확히 인식 하는지를 나타냅니다. 이 값은 Gateway의 연결 문제를 진단하는 데도 쓰입니다. 정상 트래픽이 어떤 보호에 막혔는데 그 보호의 Confidence가 Low 라면, 그 보호에 더 세밀한 구성이 필요하다는 좋은 신호 입니다.

Performance Impact — 성능 영향

어떤 보호는 자원을 더 많이 쓰거나 흔한 트래픽 유형에 적용되어 Gateway 성능에 악영향 을 줍니다.

예를 들어, Critical/High Performance Impact 보호는 Critical/High Severity 가 아니거나 꼭 필요하다고 확신하지 않는 한 켜지 않는 편이 좋습니다. 트래픽 부하가 큰 Gateway라면, 클라이언트·서버가 섞인 다수 컴퓨터에 영향을 주는 프로파일에서 High/Critical Performance Impact 보호를 켜는 데 특히 신중하세요. 이 값을 활용해 Gateway 자원이 과부하되지 않는 최적의 보호 프로파일 을 만드세요.

Protection Types — 보호의 두 종류

IPS 보호는 크게 둘로 나뉩니다.

  • Core protections — 제품에 포함되어 Gateway 단위로 배정 되며 Access Control 정책의 일부입니다.
  • ThreatCloud protections — Check Point 클라우드에서 업데이트되며 Threat Prevention 정책 의 일부입니다.

Browsing IPS Protections — 보호 목록 보기·필터·정렬

IPS 보호 표시 는 다음과 같이 합니다.

단계작업
1Security Policies > Threat Prevention 으로 이동.
2Custom Policy Tools 에서 IPS Protections 클릭.

보호 이름·엔진, 또는 열에 표시된 어떤 정보 유형으로든 검색할 수 있습니다.

보호 필터링 은 다음과 같이 합니다.

단계작업
1IPS Protections 창에서 Filter 아이콘 클릭 → Filters 창에 보호 카테고리 표시.
2카테고리를 더 추가하려면 Add filter 클릭 → 카테고리 선택 시 Filters 창에 추가됨.
3적용할 필터를 하나 이상 클릭.
4한 카테고리의 추천 필터를 모두 보려면 View All 클릭.

목록을 정보 기준으로 정렬하려면 원하는 정보의 열 머리글 을 클릭합니다.

Updating IPS Protections — 보호 업데이트

Check Point는 최신 위협에 맞서 보호를 끊임없이 개발·개선합니다. 공격에 대한 실시간 정보와 최신 보호로 IPS를 즉시 업데이트할 수 있으며, 수동 업데이트는 물론 자동으로 내려받아 설치하는 일정 도 설정할 수 있습니다. IPS에는 위협 관리를 돕는 보호가 매우 많으니, 설정을 직접 바꾸기 전에 그 복잡성을 충분히 이해하세요.

참고 사항:

  • IPS 업데이트를 적용하려면 Threat Prevention 정책을 설치 해야 합니다.
  • Domain에서 IPS 업데이트가 도는 동안 전역 구성을 배정·재배정하면 "Internal error occurred" 오류가 날 수 있습니다. 해결은 다음과 같습니다.
    1. SmartConsole로 Domain Management Server 에 접속.
    2. IPS 업데이트 실행.
    3. Domain Management Server에 연결된 SmartConsole 종료.
    4. 전역 SmartConsole에서 전역 구성을 배정·재배정.

IPS 보호 업데이트Security Policies > Threat Prevention > Custom Policy Tools > Updates 에서 합니다.

단계작업
1IPS 절 > Update Now 드롭다운에서 선택: Download with SmartConsole(Security Management Server에 인터넷이 없을 때), Download with Security Management Server, Offline Update(파일을 수동 업로드 — 파일을 선택하고 Open).
2Threat Prevention 정책 설치.

Scheduling IPS Updates — 업데이트 일정

최신 IPS 보호와 보호 설명을 내려받는 일정을 구성할 수 있습니다(예약 업데이트 절 참고).

Reverting to an Earlier IPS Protection Package — 이전 패키지로 되돌리기

문제 해결이나 성능 튜닝을 위해 이전 IPS 보호 패키지로 되돌릴 수 있습니다.

단계작업
1Threat Prevention Updates 페이지의 IPS 절에서 Switch to version 클릭.
2열린 창에서 IPS Package Version 을 선택하고 OK.
3Threat Prevention 정책 설치.

Reviewing New Protections — 새 보호 검토

새로 내려받은 보호를 보려면 Security Policies > Threat Prevention > Custom Policy Tools > IPS Protections 로 가서, Update Date 열로 날짜순 정렬합니다(기본은 최신 우선이며, 아니면 열을 클릭해 최신이 먼저 오게 합니다).

Activating Protections — 보호 활성화

각 프로파일은 활성화된 보호의 집합과, 트래픽 검사가 활성 보호에 매칭될 때 IPS가 할 일에 대한 지시 입니다. 다음 절차는 특정 보호의 동작을 바꾸는 방법입니다.

Activating Protections for All Profiles — 모든 프로파일에 적용

모든 프로파일에서 한 보호를 수동 활성화 하려면 IPS Protections 페이지에서:

단계작업
1보호를 오른쪽 클릭하고 모든 Threat Prevention 프로파일에 적용할 동작을 선택. 동작이 모든 프로파일에 걸리는지 확인.
2OK 클릭.
3Threat Prevention 프로파일 창 닫기.
4Threat Prevention 정책 설치.

Editing Protections for a Specific Profile — 특정 프로파일만 편집

단계작업
1Protections Browser에서 활성화할 보호를 찾습니다.
2Edit 클릭.
3해당 프로파일을 오른쪽 클릭하고 Edit. 한 프로파일에서는 활성화하고 다른 프로파일에서는 비활성화할 수 있어, 일부 Gateway에서는 활성·일부에서는 비활성이 됩니다. 정책상 비활성이라면 정책 우선순위를 재정의하거나 정책 기준을 바꿀 수 있습니다.
4특정 보호의 설정을 재정의하려면 Override with 클릭.
5적용할 동작 선택: Prevent(이 보호에 IPS 검사를 켜고 능동 차단 실행), Detect(검사를 켜고 관련 트래픽·이벤트만 추적), Inactive(이 보호를 적용하지 않음).
6로깅 설정: Track(관리자가 알림을 받는 방식 — log·alert·mail 등), Capture Packets(추가 분석을 위해 관련 패킷 캡처).
7필요하면 Additional Settings 구성. 예: Web Login Form Password Brute Force Attempt 보호라면 Customize > Configure 로 로그인 시도 횟수·시간을 구성.
8Threat Prevention 정책 설치.

Removing Activation Overrides — 재정의 제거

수동으로 활성화한 IPS 보호를 프로파일 설정으로 되돌릴 수 있습니다. 하나, 선택한 여럿, 또는 전체 보호의 재정의를 한꺼번에 제거할 수 있습니다.

선택한 보호의 재정의 제거 는 다음과 같습니다.

단계작업
1Security Policies > Threat Prevention 선택.
2Custom Policy Tools > IPS Protections 클릭.
3해당 프로파일 열에서 보호를 클릭(CTRL을 누른 채 여러 개 선택 가능).
4강조된 셀을 오른쪽 클릭하고 Restore to profile settings 선택.
5All Profiles 또는 Displayed Profiles 선택 → 경고 메시지 표시.
6Yes 클릭.
7Threat Prevention 정책 설치.

모든 보호에서 재정의 제거 는 다음과 같습니다.

단계작업
1IPS Protections 페이지에서 Actions > Profile Cleanup 선택.
2Action 영역에서 Remove all user modified, Clear all staging, 또는 둘 다 선택.
3Select Profiles 영역에서 작업할 프로파일 선택.
4OK 클릭.
5Threat Prevention 정책 설치.

Editing Core IPS Protections — Core 보호 편집

단계작업
1Security Policies > Threat Prevention > Custom Policy Tools > IPS Protections 로 이동(Filters 창에서 Type: Core 로 필터링 가능).
2Core 보호를 오른쪽 클릭하고 Edit.
3필요한 설정 구성.
4Threat Prevention 정책 설치.

IPS Protections Follow Up — 추적 표시

Follow Up 표시는 선택한 IPS 보호를 모니터링 대상으로 표시 해, 매번 다시 찾지 않고 IPS Protections 페이지에서 필터로 바로 볼 수 있게 합니다.

추적 표시된 보호를 보려면 IPS Protections > Filters 에서 Follow Up 을 선택합니다. 개별 보호를 표시하거나, IPS Updates 페이지에서 갱신된 보호 전체를 한꺼번에 표시할 수 있습니다.

Manually Marking Protections for Follow Up — 수동 표시

개별 보호에 Follow Up을 표시하면 IPS Protections 페이지에서 빠르게 검토할 수 있습니다. 표시 목록은 가능한 짧게 유지 해야 효율적입니다. 새로 내려받은 보호와 모니터링하려는 보호를 표시하되, 환경에 맞게 잘 구성했다고 확신하면 목록에서 빼세요. 목록이 길수록 작업 목록으로 쓰기 어려워집니다.

  • 수동 표시: IPS Protections 페이지에서 보호를 하나 이상 선택해 오른쪽 클릭 후 Follow Protection 선택.
  • 표시 해제: 보호를 오른쪽 클릭하고 Follow Protection 의 선택 해제.

IPS 보호가 업데이트될 때마다 자동으로 Follow Up이 표시됩니다. 해제하려면 Unfollow Protections, 모든 표시를 지우려면 Actions > Cleanup Options > Remove All Follow Up Flags.

Automatically Marking New Protections for Follow Up — 자동 표시

새 보호가 환경에 미칠 영향을 평가할 시간을 갖도록, 새 보호를 자동으로 Follow Up 표시할 수 있습니다.

단계작업
1SmartConsole에서 Security Policies 선택.
2Threat Prevention > Custom Policy Tools > Updates > IPS 선택.
3Follow Protections 선택.

Anti-Bot & Advanced DNS 설정 구성

프로파일 설정에서 Anti-Bot & Advanced DNS Settings 로 갑니다. General 절에서 Anti-Bot UserCheck Settings 를 구성합니다.

  • Prevent — Prevent 동작 시 열리는 UserCheck 메시지 선택.
  • Ask — Ask 동작 시 열리는 UserCheck 메시지 선택.

Configure Advanced DNS Settings — 고급 DNS 기능

DNS 기반 위협을 탐지하는 고급 기능을 켜고 끕니다.

  • DGA (Domain Generation Algorithm) — 주로 멀웨어의 C&C 통신에 쓰이는, DGA로 생성된 도메인 을 탐지합니다.
  • DNS Tunneling (domain name based)도메인 이름으로 데이터를 옮기는 DNS 터널 을 탐지합니다.
  • NXNS Attack Detection — DNS 응답이 NXNS 공격 과 일치하는 동작을 보이는지 탐지합니다.

프로토콜 관련 기능:

  • DoH (DNS over HTTPS) — DoH 트래픽 검사를 허용합니다. Gateway에서 HTTPS Inspection을 켜야 합니다. RFC 8484 와, 요청·응답을 JSON으로 옮기는 비RFC 변형(Google·Cloudflare 등 주요 DNS 서버가 지원)을 모두 지원하며, HTTP/1.2와 HTTP/2에서 동작합니다.

Configuring a Malware DNS Trap — 멀웨어 DNS 함정

Malware DNS Trap알려진 악성 호스트·도메인에 대해 Gateway가 가짜(조작된) IP 주소를 반환 하도록 구성하는 기능입니다. Gateway의 외부 IP를 함정 주소로 쓸 수 있지만 다음을 지켜야 합니다.

  • 내부 네트워크로 향하는 Gateway 주소는 쓰지 마세요.
  • Gateway 내부 관리 주소는 쓰지 마세요.
  • Gateway 외부 IP가 관리 주소이기도 하면, 함정용으로 다른 주소 를 선택하세요.

내부 DNS 서버를 추가하면 악성 DNS 요청의 출처를 더 잘 식별할 수 있습니다. 가짜 IP로 연결을 시도한 로그를 확인해 감염된 클라이언트 를 찾을 수 있습니다. Gateway 단위에서는 프로파일 설정에 따르거나, 그 Gateway의 모든 프로파일에 특정 IP를 쓰도록 구성할 수 있습니다. Malware DNS Trap은 IPv4만 지원 합니다.

프로파일에 함정 파라미터 구성 은 다음과 같습니다.

단계작업
1Security Policies > Threat Prevention 선택.
2Custom Policy Tools > Profiles 클릭.
3프로파일 오른쪽 클릭 후 Edit.
4탐색 트리에서 Malware DNS Trap 클릭.
5Activate DNS Trap 클릭.
6DNS 함정용 IP 주소 입력.
7(선택) 출처 식별을 위해 Internal DNS Servers 추가.
8OK 후 프로파일 창 닫기.
9Threat Prevention 정책 설치.

Gateway 단위 함정 파라미터 구성 은 다음과 같습니다.

단계작업
1Gateways & Servers 에서 Gateway 더블 클릭.
2탐색 트리에서 Anti-Bot and Anti-Virus 선택.
3Malicious DNS Trap 절에서 선택: According to profile settings(프로파일별 함정 IP 사용) 또는 IPv4(이 Gateway에 배정된 모든 프로파일에 쓸 IP 입력).
4OK 클릭.
5정책 설치.

Anti-Virus 설정 구성

내부 메일이나 내부 파일 전송처럼 검사에서 제외할 파일 을 정할 수 있습니다. 이 설정은 인터페이스 유형(internal/external, SmartConsole에서 정의)과 트래픽 방향(incoming/outgoing)을 기준으로 합니다. 범위를 정하기 전에 DMZ 인터페이스가 올바로 구성되어 있는지 확인해야 합니다.

DMZ 인터페이스 구성 확인 은 DMZ로 향하는 인터페이스마다 다음을 합니다.

단계작업
1Gateways & Servers 에서 Gateway 객체 더블 클릭.
2탐색 트리에서 Network Management 클릭 후 DMZ 인터페이스 더블 클릭.
3Interface 창의 General 페이지에서 Modify 클릭.
4Topology Settings 창에서 OverrideInterface leads to DMZ 선택.
5OK 후 편집기 닫기. (DMZ로 향하는 인터페이스마다 반복)

프로파일의 Anti-Virus 페이지에서는 다음을 구성합니다.

  • UserCheck SettingsPrevent(Prevent 동작 메시지), Ask(Ask 동작 메시지).
  • Protected Scope:
    • Inspect incoming files from — 지정 인터페이스 유형의 수신 파일만 검사하고 발신 파일은 검사하지 않습니다.
옵션검사 대상
External외부 인터페이스의 수신 파일만. DMZ·내부 인터페이스 파일은 검사 안 함.
External and DMZ외부·DMZ 인터페이스의 수신 파일. 내부 인터페이스 파일은 검사 안 함.
All모든 인터페이스 유형의 모든 수신 파일.
  • Inspect incoming and outgoing files — 모든 수신·발신 파일을 검사로 보냅니다.
  • ProtocolWeb (HTTP/HTTPS), FTP, SMB, Mail (SMTP)(클릭 시 프로파일의 Mail 페이지로 이동).
  • File Types:
    • Process file types known to contain malware — 멀웨어를 담을 수 있는 것으로 알려진 기본 파일을 검사. 기본 목록은 Process specific file type families > Configure 에서 확인.
    • Process all file types — 필요하면 Enable deep inspection scanning (impacts performance) 선택.
    • Process specific file types families — 파일 유형 구성: ① Configure 클릭 → ② File Types Configuration 창에서 각 유형별 Anti-Virus 동작 선택 → ③ OK.
  • ArchivesEnable Archive scanning (impacts performance) 선택 가능(아래 참고).

Enabling Archive Scanning — 압축 파일 검사

Anti-Virus 엔진이 압축을 풀고 선제적 휴리스틱(proactive heuristics) 을 적용합니다. 이 기능은 네트워크 성능에 영향을 줍니다. Enable Archive scanning (impacts performance) 를 선택하고 Configure 를 누릅니다.

설정설명
Stop processing archive after (seconds)압축 처리를 멈추는 시간(초). 기본 30초.
When maximum time is exceeded (action on file)처리 시간이 초과되면 파일을 Block 할지 Allow 할지. 기본은 Allow.

Additionally Supported Protocols for Anti-Virus — IMAP·POP3

SmartConsole GUI에서 고를 수 있는 HTTP·FTP·SMB·SMTP 외에, Anti-Virus는 IMAP·POP3 도 지원합니다.

단계작업
1Gateway 명령줄에 접속.
2Expert mode 로그인.
3백업: cp -v $FWDIR/conf/malware_config{,_BKP}
4편집: vi $FWDIR/conf/malware_config
5IMAP 지원: [imap] 절의 imap_av_policy_on01. POP3 지원: [temp_for_av_profile] 절의 pop3_enabled01.
6저장 후 편집기 종료.
7SmartConsole에서 Threat Prevention 정책 설치.

Threat Emulation 솔루션

Threat Emulation 시작하기

  1. Threat Emulation 어플라이언스를 쓴다면, 내부 네트워크에서 로컬·원격 에뮬레이션을 위해 네트워크와 어플라이언스를 준비합니다.
단계작업
1SmartConsole에서 Threat Emulation 어플라이언스용 Gateway 객체 생성.
2HTTPS 트래픽을 에뮬레이션하면 HTTPS Inspection 구성.
3배포에 맞게 트래픽 전달: Local Emulation(어플라이언스가 Gateway처럼 트래픽 수신), Remote Emulation(트래픽을 어플라이언스로 라우팅).
  1. Gateway에서 Threat Emulation 블레이드 활성화.
단계작업
1Gateways & Servers 에서 Gateway/Cluster 객체 더블 클릭.
2General Properties > Network Security 탭에서 SandBlast Threat Emulation 선택 → First Time Configuration Wizard의 Emulation Location 페이지 열림.
3Emulation Location 선택: ThreatCloud Emulation Service, Locally on this Threat Emulation appliance, Other Threat Emulation appliances(+로 하나 이상 추가).
4Next → Activate Threat Extraction 창. 체크박스 Clean potentially malicious parts from files (Threat Extraction) 가 선택된 상태. Threat Extraction을 켜려면 유지, 끄려면 해제.
5Next → Summary 페이지.
6Finish 로 Threat Emulation(선택 시 Threat Extraction)을 켜고 마법사 종료.
7OK.
  1. 배포 선택(아래 "Threat Emulation 배포 선택" 참고).
  2. Threat Prevention 프로파일에 Threat Emulation 설정 구성.
  3. (선택) Gateway에 Threat Emulation 설정 구성.
  4. 고급 Threat Emulation 설정 구성.
  5. Gateway(어플라이언스를 쓰면 어플라이언스에도)에 Threat Prevention 정책 설치.

Private ThreatCloud 관련: sk149692(Private ThreatCloud), sk113332(엔진 업데이트), sk161534(Scalable Platform에서 PTC 구성).

Using Cloud Emulation — 클라우드 에뮬레이션

파일을 보안 TLS 연결로 Check Point ThreatCloud에 보내 에뮬레이션합니다. ThreatCloud 에뮬레이션은 내부 네트워크와 동일하지만 Gateway의 CPU·RAM·디스크를 아주 조금만 씁니다. ThreatCloud는 항상 모든 OS 환경이 최신으로 유지됩니다.

ThreatCloud Emulation 워크플로

새 Threat Emulation 엔진은 인터넷 연결 샌드박스 로 다단계 공격을 초기 단계에서 차단합니다. 전체 감염 사슬을 분석해 Threat Emulation 보고서의 MITRE ATT&CK Matrix 시각화로 보여 줍니다. 이 기능은 Threat Emulation AWS 클라우드 플랫폼과 모든 벡터(Web download·MTA·CloudGuard SaaS·SandBlast Agent·API)에서 지원됩니다.

  1. Gateway가 인터넷·외부 네트워크에서 파일을 받습니다.
  2. 파일의 암호화 해시를 데이터베이스와 비교합니다 — 이미 있으면 추가 에뮬레이션 불필요, 없으면 전체 에뮬레이션 필요.
  3. 파일을 TLS 연결로 ThreatCloud에 보냅니다.
  4. ThreatCloud의 가상 컴퓨터가 에뮬레이션을 실행합니다.
  5. 결과가 보안 채널로 Gateway에 전달되어 해당 동작을 수행합니다.
p.83
p.83
항목설명
1인터넷·외부 네트워크
2경계 Security Gateway
3Check Point ThreatCloud 서버
4내부 네트워크의 컴퓨터·서버

Threat Emulation Analysis Locations — 분석 위치

회사 요구에 맞는 에뮬레이션 분석 위치를 고를 수 있습니다.

  • ThreatCloud — 모든 파일을 Check Point ThreatCloud로 보냅니다. 파일 전송에 대역폭이 쓰이지만 Gateway 성능 영향은 최소 입니다.
  • Threat Emulation Appliance in the Internal network — 내부 네트워크의 어플라이언스에서 로컬 또는 원격으로 에뮬레이션합니다.

Local or Remote Emulation — 로컬·원격

로컬 Threat Emulation 워크플로:

  1. Gateway가 트래픽을 받아 파일을 모읍니다.
  2. 파일 해시를 데이터베이스와 비교 — 있으면 에뮬레이션 불필요, 없으면 Gateway의 가상 컴퓨터가 전체 에뮬레이션.
p.84
p.84
항목설명
1인터넷·외부 네트워크
2Security Gateway / Threat Emulation 어플라이언스
3내부 네트워크의 컴퓨터·서버

원격 어플라이언스 Threat Emulation 워크플로:

  1. Gateway가 파일을 모아 Threat Emulation 어플라이언스로 보냅니다.
  2. 어플라이언스가 파일 해시를 데이터베이스와 비교(파일마다 고유 해시가 있고 에뮬레이션 후 DB에 저장됨) — 있으면 에뮬레이션 불필요, 없으면 어플라이언스의 가상 컴퓨터가 전체 에뮬레이션.

Selecting the Threat Emulation Deployment — 배포 선택

p.85
p.85
항목설명
1인터넷·외부 네트워크
2경계 Security Gateway
3Threat Emulation 어플라이언스
4내부 네트워크의 컴퓨터·서버

트래픽을 에뮬레이션으로 보내는 방식은 다음과 같습니다.

옵션설명
Inline트래픽이 내부 네트워크에 들어가기 전 에뮬레이션됩니다. 정책으로 멀웨어를 차단할 수 있습니다.
Monitor (SPAN/TAP)미러·TAP 포트로 트래픽을 복제합니다. 파일은 내부 컴퓨터로 가고, 멀웨어가 발견되면 해당 로그 동작이 실행됩니다.
MTASMTP 트래픽이 Gateway로 가서 에뮬레이션됩니다. MTA가 메일 프록시 역할로 SMTP 연결을 관리하고, 연결을 닫은 뒤 메일 파일을 에뮬레이션으로 보냅니다. 완료되면 메일을 내부 메일 서버로 보냅니다.

Inline Deployments

ThreatCloud 또는 어플라이언스가 Gateway에서 파일을 받습니다. 에뮬레이션 후 안전하면 내부 컴퓨터로 보내고, 멀웨어가 들어 있으면 격리하고 로그 를 남깁니다. 내부 컴퓨터는 바뀌지 않습니다. (Prevent 동작 흐름: 파일 수신 → 에뮬레이션 → 멀웨어면 격리, 아니면 내부 컴퓨터로 전송.)

Monitor (SPAN/TAP) Deployments

Gateway가 파일을 받아 내부 네트워크에 들여보내고, 어플라이언스는 사본 을 받습니다. 어플라이언스가 해시를 DB와 비교해 없으면 에뮬레이션합니다. 멀웨어로 식별되면 규칙의 Track 동작에 따라 로그를 남깁니다. Monitor 배포는 Detect 동작만 지원 합니다.

Threat Emulation Deployments with a Mail Transfer Agent

SMTP 트래픽이 Gateway로 가서 에뮬레이션됩니다. MTA가 메일 프록시로 SMTP 연결을 관리하고, 연결을 닫은 뒤 메일 파일을 에뮬레이션으로 보냅니다. 완료되면 메일을 내부 메일 서버로 전달합니다.

Configuring Threat Emulation Settings on the Security Profile — 프로파일에 설정

범위를 정하기 전에 DMZ 인터페이스 구성을 확인합니다(앞 Anti-Virus의 DMZ 절차와 동일: Gateways & Servers → Network Management → DMZ 인터페이스 → Modify → Topology Settings → Override → Interface leads to DMZ → OK, DMZ 인터페이스마다 반복). 프로파일과 Gateway의 Threat Emulation 설정이 충돌하면 프로파일 설정이 우선 합니다.

프로파일 설정은 Profiles → 프로파일 Edit → 탐색 트리 Threat Emulation 에서 General·Environment·Advanced를 구성한 뒤 OK → 정책 설치 순서로 진행합니다.

Threat Emulation General Settings

UserCheck SettingsPrevent(Prevent 메시지), Ask(Ask 메시지).

Protected Scope — 인터페이스 유형과 트래픽 방향을 고릅니다.

  • Inspect incoming files from the following interfaces — 지정 유형의 수신 파일만 검사(발신은 미검사):
    • External — 외부 인터페이스 수신 파일만. (예: 외부에서 받는 메일·클라우드 파일은 검사하되 내부 파일 전송은 방해하지 않음.)
    • External and DMZ — 외부·DMZ 수신 파일.
  • All — 모든 인터페이스 유형의 모든 수신 파일.
  • Inspect incoming and outgoing files — 모든 수신·발신 파일 검사.

Protocols — 에뮬레이션할 프로토콜: Web (HTTP/HTTPS), FTP, SMB, Mail (SMTP/POP3)(클릭 시 Mail 페이지로 이동).

File Types — 유형별 Threat Emulation 동작과 에뮬레이션 위치를 구성합니다.

  • Process all enabled file types — 기본값. 파란 링크로 지원 유형 목록을 보고, 그중 검사할 파일을 선택.
  • Process specific file type familiesConfigure 로 유형별 동작·위치 변경.
    • 동작(Action 열): Inspect(이 파일을 검사), Bypass(안전한 것으로 보고 에뮬레이션 안 함).
    • 위치(Emulation Location): According to gateway(각 Gateway 설정), Locally(Gateway에서 — R80.40 미지원), ThreatCloud(ThreatCloud로 전송).

ArchivesConfigure 로 금지 파일 유형을 선택. 압축 안에 금지 유형이 있으면 Gateway가 압축 전체를 드롭 합니다.

Threat Emulation Environment — 환경(이미지)

이 프로파일이 쓸 에뮬레이션 위치와 이미지를 구성합니다.

  • Analysis Locations — 에뮬레이션 위치 선택: According to the gateway(Gateway 설정 사용) 또는 Specify(다른 위치 지정).
  • Environments — 에뮬레이션을 도는 OS 이미지 선택. 프로파일과 Gateway/어플라이언스의 이미지가 다르면 프로파일 설정 우선. 옵션: Use Check Point recommended emulation environments(Check Point 보안 분석가 권장) 또는 Use the following emulation environments(조직 OS에 가장 가까운 이미지 직접 선택).

Threat Emulation Advanced Settings — 고급 설정

Emulation Connection Handling Mode 는 파일 분석이 끝나는 동안 연결을 허용할지 막을지 를 정하며, SMTP·HTTP에 서로 다른 모드를 지정할 수도 있습니다. 이 모드는 사용자가 받는 파일의 형태와 받는 시점에 영향을 줍니다. 구성은 Security Policies > Threat Prevention > Policy > 프로파일 오른쪽 클릭 > Threat Emulation > Advanced 에서 합니다.

Threat Extraction이 꺼져 있을 때:

  • Threat Emulation이 3초 이내 판정을 내리면: 양성이면 원본 전달, 악성이면 페이지 차단.
  • 3초보다 오래 걸리면:
    • Rapid Delivery 모드 — 원본을 사용자에게 전달(나중에 악성으로 판명돼도).
    • Maximum Prevention 모드 — 사용자가 완료를 기다림. 양성이면 원본 전달, 악성이면 차단 페이지를 띄우고 접근 불가. 보안이 강한 대신 다운로드 지연 이 생길 수 있음.
    • Custom 모드 — SMTP·HTTP에 서로 다른 모드 지정(예: HTTP는 Rapid Delivery, SMTP는 Maximum Prevention).

Threat Extraction이 켜져 있을 때: Gateway가 내려받은·첨부된 파일에서 잠재 악성 부분을 제거해 즉시 전달하고, Threat Emulation은 백그라운드에서 원본을 계속 검사합니다. Threat Extraction은 주로 Microsoft Office·PDF 등 일부 유형을 지원하며 실행 파일 등은 지원하지 않습니다.

  • 양성으로 판정되면 사용자는 파일 안의 링크나 메일 본문 배너로 헬프데스크 없이 원본 에 접근.
  • 악성으로 판정되면 원본은 차단되고 무해화된 파일만 접근 가능.

이로써 보안을 최대로 하면서도 생산성을 해치지 않습니다. 이 동작은 Rapid Delivery·Maximum Prevention 모두 동일합니다. 다만 Maximum Prevention 을 고르면 CLI에서 더 엄격한 모드를 설정할 수 있습니다 — 사용자가 Threat Extraction 지원 파일이라도 항상 완료를 기다리고, 양성일 때만(지원 파일이면 무해화까지 거쳐) 받는 모드입니다(sk146593). Threat Extraction이 켜져 있어도 지원하지 않는 파일 은 무해화 버전을 줄 수 없어 동작이 비활성 때와 같습니다(Rapid Delivery는 원본, Maximum Prevention은 판정 대기).

  • Static Analysis — 파일을 먼저 1차 분석해 단순하고 악성 코드를 담을 수 없는 파일이면 에뮬레이션 없이 바로 전달 합니다. 에뮬레이션 대상 파일 수를 크게 줄입니다. 끄면 전체 에뮬레이션 비율이 늘어납니다. 기본은 켜짐이며 끌 수 있습니다.
  • Logging — 에뮬레이션 후 파일마다 로그를 만듭니다. Log every file scanned 가 켜지면 동작이 없어도 File Types에서 선택된 모든 파일을 로깅하고, 꺼져도 악성 파일은 여전히 로깅 됩니다.

Use Case — 국외 전송 금지 환경의 위치 설정

Corp X는 민감 문서를 국외 클라우드로 보낼 수 없는 ThreatLand에 있습니다. 관리자는 에뮬레이션 분석이 국외에서 일어나지 않도록 위치를 설정해야 합니다.

단계작업
1Gateways & Servers 에서 Gateway 더블 클릭 → Threat Emulation > Analysis Location.
2선택: Locally(R80.40 미지원) 또는 Remote Emulation Appliances(+로 Gateway 선택).
3OK.

Configuring Threat Emulation on the Security Gateway — Gateway에 설정

Changing the Analysis Location — 분석 위치 변경

마법사에서 고른 위치는 Gateway Properties의 Threat Emulation 창에서 바꿀 수 있습니다.

단계작업
1어플라이언스의 Gateway 객체 더블 클릭.
2탐색 트리에서 Threat Emulation 선택.
3Analysis Location 에서: According to the gateway, 또는 SpecifyCheck Point ThreatCloud / Local Gateway(이 Gateway가 에뮬레이션) / Remote Emulation Appliances(하나 이상 선택).
4(선택) Emulate files on ThreatCloud if not supported locally — 어플라이언스가 지원 안 하지만 ThreatCloud가 지원하는 파일은 ThreatCloud로 전송(추가 라이선스 불필요).
5OK.
6어플라이언스에 정책 설치.

Setting the Activation Mode — 활성화 모드

에뮬레이션이 정책의 Prevent 동작을 쓸지, Detect·로그만 할지 정합니다.

단계작업
1어플라이언스 Gateway 객체 더블 클릭.
2탐색 트리에서 Threat Emulation 선택.
3Activation Mode 에서: According to policy 또는 Detect only.
4OK 후 정책 설치.

Optimizing System Resources — 자원 최적화

Resource Allocation 설정은 어플라이언스를 쓰는 배포에만 해당됩니다. 에뮬레이션에 쓸 어플라이언스 자원량을 조절하며, 바꾸면 네트워크·에뮬레이션 성능에 영향을 줍니다.

  • Minimum available hard disk space — 파일이 에뮬레이션되지 못하면 Threat Prevention Fail Mode 설정이 허용·차단을 결정.
  • Maximum available RAM that can be used for Virtual Machines — 어플라이언스를 Threat Emulation 전용으로 쓰면 RAM을 늘리고, 다른 블레이드와 같이 쓰면 줄이는 것을 권장.
단계작업
1어플라이언스 Gateway 객체 더블 클릭.
2탐색 트리에서 Threat Emulation > Advanced.
3에뮬레이션 중단은 로그 저장 메커니즘이 로그를 자동 삭제하는 시점에 따라 정해집니다. 값을 바꾸려면 Logs > Local Storage > When disk space is below \<value\> Start deleting old files 에서 \<value\> 변경(로그 파일 삭제에도 영향).
4에뮬레이션 최대 RAM을 정하려면 Limit memory allocation 선택. 기본은 총 RAM의 70%.
5(선택) RAM 변경: Configure% of total memory(20~90%) 또는 MB(512MB~1000GB) 입력 → OK.
6When limit is exceeded traffic is accepted with track 에서 파일이 에뮬레이션되지 못할 때 동작 선택: None(아무 동작 없음), Log(로그), Alert(SmartView Monitor에 경보).
7OK.
8Threat Prevention 정책 설치.

Managing Images for Emulation — 이미지 관리

어플라이언스별·프로파일별로 Threat Emulation이 쓰는 OS 이미지를 정합니다. 프로파일과 어플라이언스에 서로 다른 이미지가 정의되면, 둘 다에 선택된 이미지만 사용 됩니다. 한쪽에만 선택된 이미지는 쓰이지 않습니다.

단계작업
1어플라이언스 Gateway 객체 더블 클릭.
2탐색 트리에서 Threat Emulation > Advanced.
3Image Management 에서: Use all the images that are assigned in the policy(Emulation Environment 창의 이미지 사용) 또는 Use specific images(Gateway가 쓸 이미지 직접 선택).
4OK 후 정책 설치.

Additionally Supported Protocols for Threat Emulation — IMAP·POP3

SmartConsole에서 고를 수 있는 HTTP·FTP·SMTP 외에 IMAP·POP3 도 지원합니다.

IMAP 지원 활성화:

단계작업
1~2Gateway 명령줄 접속 후 Expert mode.
3백업: cp -v $FWDIR/conf/malware_config{,_BKP}
4편집: vi $FWDIR/conf/malware_config
5[imap] 절의 imap_av_policy_on01.
6저장 후 Vi 종료.
7Threat Prevention 정책 설치.

POP3 지원 활성화 는 같은 절차로, [temp_for_av_profile] 절의 pop3_enabled01 로 바꿉니다.

Configuring Advanced Threat Emulation Settings — 고급 설정

Updating Threat Emulation — 엔진·이미지 업데이트

Threat Emulation은 ThreatCloud에 연결해 엔진과 OS 이미지를 업데이트합니다. 어플라이언스 기본값은 자동 업데이트, 하루 한 번 패키지 다운로드 입니다. 이미지 업데이트 패키지는 보통 2GB 이상 입니다(구성에 따라 다름).

단계작업
1Updates 페이지로 이동.
2Threat Emulation 아래 Schedule Update 클릭.
3선택·해제: Enable Threat Emulation engine scheduled update, Enable Threat Emulation images scheduled update.
4엔진·이미지 업데이트 일정을 정하려면 Configure.
5자동 업데이트 설정: Update every(몇 시간·분·초마다), Update at > Daily(매일 특정 시각), 또는 매주·매월(At 에 시각 입력 → DaysDays of week/Days of month → 날짜 선택).
6OK 후 정책 설치.

Updating Threat Emulation Images Manually — 이미지 수동 업데이트

이미지 패키지는 보통 수 GB입니다. 기본은 일요일 주 1회 다운로드이며, 일요일이 근무일이면 비근무일로 바꾸길 권장합니다.

단계작업
1Updates 페이지로 이동.
2Threat Emulation 아래 Update Images 클릭.
3Gateway 선택 후 OK.
4Threat Prevention 정책 설치.

Fine-Tuning the Threat Emulation Appliance — 어플라이언스 미세 조정

Configuring the Emulation Limits — 에뮬레이션 한도

에뮬레이션 대기 파일이 너무 쌓이지 않도록 다음 한도를 정합니다.

  • Maximum file size (최대 100,000 KB)
  • Maximum time that the Software Blade does emulation (에뮬레이션 최대 시간)
  • Maximum time that a file waits for emulation in the queue (큐 대기 최대 시간 — 어플라이언스 전용)

이 한도들 때문에 파일이 에뮬레이션되지 못하면 Threat Prevention Fail Mode 가 허용·차단을 결정합니다.

  • Allow all connections (Fail-open) — 엔진 과부하·장애 시 모든 연결 허용(기본).
  • Block all connections (Fail-close) — 엔진 과부하·장애 시 모든 연결 차단.

Gateway가 MTA로 활성화되어 있으면 MTA 설정 이 허용·차단을 결정합니다.

단계작업
1Manage & Settings > Blades > Threat Prevention > Advanced Settings → Threat Prevention Engine Settings 창.
2Threat Emulation 탭 > Emulation Limits.
3Maximum file size for emulationMaximum file time in queue 구성.
4When limit is exceeded traffic is accepted with track 에서 동작 선택: None·Log·Alert(SmartView Monitor에 경보).
5OK 후 정책 설치.

Changing the Size of the Local Cache — 로컬 캐시 크기

파일이 깨끗하다고 판정되면 그 해시가 캐시에 저장됩니다. 새 파일을 보내기 전 캐시와 비교해 일치하면 다시 에뮬레이션할 필요가 없습니다. 캐시는 성능 최적화에 쓰이며 이 설정은 바꾸지 않기를 권장 합니다.

단계작업
1Manage & Settings > Blades > Threat Prevention > Advanced Settings.
2Threat Emulation 탭 > Advanced Settings.
3Number of file hashes to save in local cache 에서 캐시에 저장할 해시 수 구성.
4OK 후 정책 설치.

Threat Extraction 설정 구성

프로파일에 Threat Extraction 설정을 구성하는 기본 절차는 다음과 같습니다.

단계작업
1Security Policies 클릭.
2Custom Policy Tools > Profiles 클릭.
3프로파일 오른쪽 클릭 후 Edit.
4탐색 트리에서 Threat Extraction 으로 가서 General·Advanced 설정 구성.
5OK.
6Threat Prevention 정책 설치.

Threat Extraction General Settings

UserCheck Settings:

  • Allow the user to access the original file — 사용자가 원본에 접근하도록 허용.
  • Allow access to original files that are not malicious according to Threat Emulation — Threat Emulation이 악성이 아니라고 본 원본만 접근 허용. 이 옵션은 프로파일의 General Properties에서 Threat Emulation이 켜져 있을 때만 구성 가능.
  • UserCheck Message — 무해화된 파일을 받을 때 사용자에게 보일 메시지 선택. 이 메시지에서 사용자는 원본을 받을지 말지 고릅니다.

다운로드 성공·취소 메시지는 Manage & Settings > Blades > Threat Prevention > Advanced Settings > UserCheck 에서 고릅니다. UserCheck 메시지는 SMTP 파일만 맞춤 설정할 수 있습니다. HTTP 파일(R80.30 이상 지원)은 SmartConsole에서 맞춤 불가이며 Gateway에서만 맞춤할 수 있습니다.

(선택) 사용자가 원본 메일에 접근하게 하려면 Threat Extraction Success Page에 Send Original Mail 필드를 추가합니다: Threat Prevention > Custom Policy Tools > UserCheck > Threat Extraction > Success Page → 오른쪽 클릭 Clone → 메시지 안 클릭 → Insert FieldSend Original Mail 선택.

Protocol:

  • Web (HTTP/HTTPS) — R80.30 이상 지원. 웹 지원을 켜려면 HTTPS Inspection 을 활성화해야 합니다. 기본 표준 포트: HTTP 80, HTTPS 443, HTTPS Proxy 8080. 다른 포트를 쓰려면 새 TCP 서비스를 만들어 General > Protocol 에서 HTTP 선택, Match By 에서 Customize 후 포트 번호 입력.
    • Threat Extraction을 켜면 웹 지원이 자동으로 켜집니다. 끄려면 이 체크박스를 해제.
    • 파일 검사 후 사용자는 파일에 한 동작에 대한 메시지를 받습니다(맞춤은 sk142852).
    • 웹 지원은 웹 다운로드에만 적용되고 웹 업로드에는 적용되지 않습니다.
  • Mail (SMTP) — 클릭하면 Mail 페이지로 이동.

원본 파일 저장은 아래 "원본 파일 저장" 절을 참고하세요.

Extraction Method:

  • Extract potentially malicious parts from files — 기본값. Configure 로 추출할 악성 부분(매크로·JavaScript·이미지 등)을 선택.
  • Convert to PDF — 파일을 PDF로 변환하며 텍스트·서식을 유지.

Extraction Settings:

  • Process all files — 기본값.
  • Process malicious files when the confidence level isLow/Medium/High 확신 수준 설정. 프로파일 General Properties에서 Threat Emulation이 켜져 있을 때만 구성 가능.

File Types:

  • Process all enabled file types — 기본값. 파란 링크로 지원 유형을 보고 검사할 파일 선택.
  • Process specific file type families — 특정 유형에 다른 추출 방식 적용. Configure 로 목록을 열고, 유형을 오른쪽 클릭해 bypass·clean·convert to PDF 선택. Mail·Web에 서로 다른 방식 지정 가능.

지원 파일 유형 관련 참고:

  • 웹 지원 유형: Word, Excel, PowerPoint, PDF.
  • 메일 첨부:
    • jpg, bmp, png, gif, tiff — 잠재 악성 콘텐츠 추출만 지원.
    • hwp, jtd, eps — PDF 변환만 지원.
    • Microsoft Office·PDF 및 목록의 그 밖의 모든 유형 — 추출과 PDF 변환 모두 지원.
    • 지원 유형은 구성 파일로도 설정 가능(sk112240).

Protected Scope — Threat Extraction은 외부 인터페이스·DMZ의 수신 파일 을 보호하며, 사용자가 범위를 바꿀 수 없습니다.

Threat Extraction Advanced Settings

Logging:

  • Log only those files from which threats were extracted — 동작(clean/convert)이 수행된 파일만 로깅.
  • Log every file — File Types에서 선택된 모든 파일을 동작이 없어도 로깅.

Threat Extraction Exceptions:

  • Corrupted files — 메일·웹의 손상 파일을 Block·Allow. 손상 파일은 형식 오류 등으로 블레이드가 처리에 실패한 파일이며, 그래도 관련 앱(Word·Adobe Reader)이 내용을 보여 줄 때가 있습니다. Block 은 손상 파일을 제거하고 잠재 악성 콘텐츠가 있었다는 설명 텍스트를 보냅니다. Threat Emulation상 악성이면 차단할 수 있고, 차단 시 원본 접근을 막을 수 있습니다. Allow 는 수신자가 손상 파일을 받게 합니다.
  • Encrypted files — 메일·웹의 암호화 파일을 Block·Allow. Block 은 암호화 파일을 제거하고 설명 텍스트를 보내며, 차단 시 원본 접근을 막을 수 있습니다. Allow 는 수신자가 받게 합니다.

Scenario 1: 발신자를 검사에서 제외

검사는 시간·자원을 쓰므로 안전한 출처라면 그 보고서 검사를 멈출 수 있습니다(예: IT부서에 일일 보고서를 보내는 관제·모니터링 시스템, 차단한 스팸을 보고하는 Mail Relay 서버).

단계작업
1Security Policies > Threat Prevention > Profiles.
2프로파일 이름 오른쪽 클릭 후 Clone.
3복제 프로파일 이름 입력.
4OK.
5새 프로파일에서 Mail > Exceptions > Extraction Exclusion/Inclusion > Scan all emails 에서 Exceptions 클릭 → Exclude/Include Users 창.
6Senders 절에서 + 로 검사 제외 발신자 추가.

Scenario 2: 디지털 서명 메일을 검사 없이 허용

Corp X 법무팀은 디지털 서명된 계약·법률 문서를 주고받습니다. 정책상 Threat Extraction이 모든 파일을 검사하지만, 검사하면 서명이 더 이상 진본성을 증명하지 못하므로 서명 메일은 허용해야 합니다. Mail > Exceptions > Threat Extraction Exceptions > Signed email attachments 의 기본 옵션 Allow 가 이를 보장합니다 — 서명 메일은 검사 없이 허용되어 형태가 바뀌지 않습니다.

Scenario 3: 추출 방식 변경

Corp X IT부서가 기본 추출 방식을 Extract potentially malicious parts from files 에서 Convert to PDF 로 바꿨습니다. 그런데 재무팀 경제 분석가들은 excel 파일을 원본 형식 그대로 다뤄야 하므로, 그 파일은 PDF 변환이 아니라 clean 하도록 설정해야 합니다.

단계작업
1File Types 에서 Process specific file type families 선택 후 Configure → Supported File Types 창.
2xslx 행에서 Mail Extraction Method 를 오른쪽 클릭해 Clean 선택. Web Extraction Method 도 동일하게.

Configuring Threat Extraction on the Security Gateway — Gateway에 설정

단계작업
1Gateway에서 Threat Extraction이 켜져 있는지 확인.
2Gateways & Servers 에서 Gateway 객체 더블 클릭 후 Threat Extraction 페이지.
3Activation ModeActive 인지 확인.
4Resource Allocation 에서 자원 설정 구성.
5OK.
6Access Control Policy 설치.

또한 다음 문서 유형 검사를 켜려면:

  • 메일 첨부 검사 — Gateway를 MTA 로 활성화해야 합니다.
  • 웹 다운로드 검사 — Gateway에서 Threat Extraction을 켜면 자동으로 켜집니다. 끄려면 Custom Policy Tools > Profiles → 프로파일 더블 클릭 → Threat Extraction > General > ProtocolWeb (HTTP/HTTPS) 체크박스 해제.
  • API 지원 — Gateway 편집기에서 Threat Extraction > Web API > Enable API.

Threat Extraction and Endpoint Security — 이중 무해화 방지

네트워크 Gateway에서 Threat Extraction과 SandBlast Agent for Browsers 가 모두 켜지면, 다운로드 파일이 두 번 무해화 될 수 있어 특별한 구성이 필요합니다. 이를 막기 위해 Gateway는 자신이 무해화한 파일에 디지털 서명 을 붙이고, SandBlast Agent가 그 서명을 성공적으로 검증하면 파일을 다시 무해화하지 않습니다. 구성 방법은 sk142732를 참고하세요.

Configuring Threat Extraction in a Cluster — 클러스터 구성

클러스터 구성은 Gateway와 비슷하되 클러스터 전용 지침이 있습니다.

단계작업
1Gateways & Servers 에서 클러스터 오른쪽 클릭 후 edit.
2ClusterXL and VRRP 페이지 열기.
3High Availability 선택.

참고: High Availability 모드만 지원 됩니다. 원본 파일은 Cluster Member 간에 동기화되어, 장애가 나도 원본에 계속 접근할 수 있습니다.

Threat Extraction Statistics — 통계

단계작업
1Threat Extraction이 켜진 Gateway 명령줄에 접속.
2다음 명령 실행: cpview, cpstat scrub -f threat_extraction_statistics.

Using the Gateway CLI — scrub 메뉴

Gateway에는 Threat Extraction 메뉴가 있어 디버그 메시지 제어, 큐 정보 확인, 초기 첨부를 수신자에게 전송, ThreatCloud에서 자동 업데이트 등을 할 수 있습니다. Gateway/각 Cluster Member 명령줄에 접속해 Expert mode에서 scrub 을 실행하면 다음 옵션이 나옵니다.

옵션설명
debug디버그 메시지 제어.
queuesThreat Extraction 큐 정보 표시. MTA·scrubd 데몬의 큐 상태·부하 파악에 유용. MTA→scrubd의 대기 요청 수와 최대치, scrubd→scrub_cp_file_convert 의 현재·최대 대기 요청 수를 표시.
send_orig_email원본 메일을 수신자에게 전송. 보내려면 reference number(사용자가 받은 메일의 링크 클릭)와 email ID(Logs & Events 또는 디버그 로그)를 확보.
bypass모든 파일을 우회. scrubd 데몬 문제를 디버그할 때 사용. active로 설정하면 MTA→scrub 데몬 요청이 처리되지 않고 Threat Extraction이 중단되어 파일이 무해화되지 않음.
counters카운터 표시·초기화.
update다운로드 센터 업데이트 관리.
send_orig_file원본 파일을 메일로 전송.
cache캐시 표시·초기화.
backup_expired_mail만료된 메일을 외부 저장소로 백업.

Storage of Original Files — 원본 파일 저장

Threat Extraction이 파일을 재구성(무해화·PDF 변환)한 뒤 원본은 Gateway에 일정 기간 저장 됩니다.

메일 첨부 — 기본 14일 저장.

단계작업
1Gateways & Servers 클릭.
2Gateway/Cluster 객체 열기.
3왼쪽 트리에서 Threat Extraction 클릭.
4Resource Allocation > Delete stored original files older than x Days.
5일수 변경(최대 45일).
6OK.
7Threat Prevention 정책 설치.

더 오래 보관하려면 외부 저장소로 백업해야 합니다.

웹 다운로드 — 기본 2일 저장.

단계작업
1~2Gateway/각 Cluster Member 명령줄 접속 후 Expert mode.
3$FWDIR/conf/scrub_debug.conf 편집.
4http_keep_original_duration 을 찾아 값 변경(2~45일).
5저장 후 종료.

Backup to External Storage — 외부 저장소 백업

디스크 공간이 부족하면 메일 첨부나 웹 다운로드를 외부 저장소로 백업할 수 있습니다.

참고: 클러스터에서는 모든 Cluster Member를 동일하게 구성해야 합니다. 최종 사용자는 외부 저장소 파일에 접근할 수 없고 관리자만 접근할 수 있습니다.

단계작업
1~2Gateway/각 Cluster Member 명령줄 접속 후 Expert mode.
3백업 폴더 생성: mkdir /mnt/<local_backup_folder> (예: mkdir /mnt/MyLocalBackupFolder)
4원격 폴더 마운트: mount -t cifs <remote_folder> /mnt/<local_backup_folder> (예: mount -t cifs //MyServer/MyBackupFolder /mnt/MyLocalBackupFolder)
5$FWDIR/conf/scrub_debug.conf 편집: vi $FWDIR/conf/scrub_debug.conf
6~7:external_storage 절을 찾아 값 구성.
8저장 후 종료.

:external_storage 절 구성: enabled01, external_path 에 로컬 백업 폴더 전체 경로, expired_in_days 에 만료 며칠 전 백업할지를 적습니다.

:external_storage (
:enabled (1)
:external_path ("/mnt/MyLocalBackupFolder")
:expired_in_days (5)

수동 백업 테스트: scrub backup_expired_mail <days for expired entries> <external_path><days for expired entries>0 을 입력합니다.

Zero Phishing 설정 구성

Zero Phishing은 두 엔진을 씁니다.

  • URL 기반 실시간 피싱 방지
  • In-Browser Zero Phishing

Zero Phishing 보호 끄기: SmartConsole > Security Policies > Threat Prevention > Custom Threat Prevention > Custom Policy Tools > Profiles → 프로파일 선택 → General Policy 페이지에서 Zero Phishing 해제.

In-browser Zero Phishing 끄기: 같은 경로로 프로파일 선택 후 Zero Phishing 페이지에서 In-browser Zero Phishing 체크박스 해제.

제약:

  • In-browser Zero Phishing은 Internet Explorer를 지원하지 않습니다.
  • 미러링 트래픽(Mirror Port·Span Port·Tap 모드)을 지원하지 않습니다.

Cloud Service가 피싱·정상으로 분류하지 못한 사이트를 차단·허용할 수 있습니다(Gateway CLI):

zph att set inbrowser_block_unclassified_sites 1   # 미분류 사이트 차단
zph att set inbrowser_block_unclassified_sites 0   # 미분류 사이트 허용(기본)

Configuring Zero Phishing UserCheck Settings

의심 피싱 시 뜨는 UserCheck 메시지를 고릅니다. Prevent — Prevent 동작 메시지(기본 Zero Phishing Blocked). 직접 만들려면 Custom Policy Tools > UserCheck 에서 New 클릭.

Configuring Zero Phishing Exceptions — 인기 사이트 우회

인기 사이트의 불필요한 검사를 줄이려면 특정 인기 사이트를 우회하도록 권장합니다.

단계작업
1Security Policies > Threat Prevention > Exceptions.
2Add Exception > Below.
3규칙 이름 지정.
4Protected Scope 열에서 +Import > Updatable ObjectsZero Phishing Bypass 검색·선택 → OK.
5Protection/Site/File/Blade 열에서 +BladesZero Phishing 선택.
6Action 열에서 Inactive 선택.
7Threat Prevention 정책 설치.

참고: 올바른 적용을 위해 이 규칙은 Global Exceptions의 마지막 규칙 이어야 합니다. Protection/Site/File/Blade 열에 Zero Phishing이 들어가는 예외 규칙은 Install On 열에서 Zero Phishing이 켜진 Gateway 를 선택해야 합니다. 우회 사이트 목록은 동적으로 바뀌며 sk179726에서 확인할 수 있습니다.

Exception Rules — 예외 규칙

필요하면 규칙에 예외를 직접 추가할 수 있습니다. 예외는 Protected Scope의 객체에 대해 규칙이 지정한 것과 다른 Action 을 줍니다. 일반적으로 예외는 특정 보호의 적용 수준을 낮추기 위한 것이지 높이기 위한 것이 아닙니다.

예외는 규칙 아래 음영 행으로 추가되며, No 열에 규칙 번호 + 문자 E + 예외 번호로 표시됩니다. 예를 들어 규칙 1번에 예외 둘을 추가하면 E-1.1, E-1.2 로 표시됩니다. 여러 규칙에서 쓸 예외는 예외 그룹 으로 묶을 수 있습니다. No 열의 ± 부호로 예외를 펼치거나 접습니다.

규칙에 예외 추가:

단계작업
1Policy 창에서 예외를 추가할 규칙 선택.
2Add Exception 클릭.
3위치 선택: Above·Below·Bottom.
4열 값 입력: Protected Scope(관련 객체로 변경), Protection(셀의 + 로 Protections viewer 열어 보호 선택 후 OK).
5Threat Prevention 정책 설치.

Disabling a Protection on One Server — 한 서버에서만 보호 완화

시나리오: Backdoor.Win32.Agent.AH 보호가 Windows 서버의 멀웨어를 차단하는데, 한 서버에서만 Detect로 바꾸고 싶습니다. 다음 규칙을 만들고 정책을 설치합니다.

NameProtected ScopeProtection/SiteAction
* Monitor Bot ActivityAnyN/AOptimized 기반 프로파일. General Policy의 Activation Mode에서 모든 Confidence를 Prevent로 설정.
ExcludeServer_1Backdoor.Win32.Agent.AHDetect

예외 추가:

단계작업
1Security Policies > Threat Prevention > Custom Policy.
2Server_1 범위를 담은 규칙 클릭.
3규칙 오른쪽 클릭 후 New Exception.
4설정: Name(예: Exclude), Protected Scope(Server_1로 변경), Protection/Site(+ → 카테고리에서 제외 항목 선택), Action(Detect 유지), Track(Log 유지), Install On(Policy Targets 유지 또는 특정 Gateway).
5Threat Prevention 정책 설치.

Creating an Exception for a Specific Protection, Site, File or Blade

단계작업
1Security Policies > Threat Prevention 선택.
2탐색 트리에서 Policy Layer 선택.
3규칙 오른쪽 클릭 후 New Exception → 예외 하위 규칙 추가됨.
4Protection/Site/File/Blade 셀 오른쪽 클릭 후 Add new items.
5드롭다운에서 카테고리(IPS Protections, Anti-Bot & Anti-Virus Protections, User Applications, Whitelist Files, Blades) 선택 후 항목 선택.
6정책 설치.

참고:

  • 드롭다운에 DNS 보호는 없습니다. DNS 보호 예외는 해당 로그로 가서 거기서 추가합니다(아래 "로그·이벤트에서 예외 만들기" 참고).
  • IPS 보호 예외는 Custom Policy > IPS Protections 에서 보호를 오른쪽 클릭하고 Add Exception 으로도 추가할 수 있습니다.

비투명 프록시 모드에서 특정 사이트에 블레이드 예외 만들기

비투명(non-transparent) 프록시 모드에서는 목적지가 항상 Gateway 자신 이라, 특정 사이트에 특정 블레이드 예외를 만드는 것이 까다롭습니다(투명 모드나 Gateway 검사 시에는 목적지가 Destination 열에, 제외 블레이드가 Protection/Site/File/Blade 열에 들어가므로 문제없음). 비투명 모드에서는 다음과 같이 합니다.

  1. 블레이드(또는 한 쌍의 블레이드 — 예: Anti-Virus와 Anti-Bot & Advanced DNS, 또는 Threat Emulation과 Threat Extraction)마다 별도 레이어를 만듭니다.
p.124
p.124
  1. 레이어마다 별도 프로파일을 만들고 해당 블레이드만 켭니다.
p.124
p.124
  1. 레이어마다 사용자 지정 Application/Site를 만듭니다(sk165094).
p.125
p.125
  1. 레이어마다 Rule Base를 만들고, 만든 Custom Application/Site를 Protection/Site/File/Blade에 넣은 다른 예외 규칙을 둡니다.
p.125
p.125
  1. Action 열에서 Detect 또는 Inactive 를 골라 해당 사이트·URL에 대한 블레이드를 끕니다.

참고:

  • Threat Prevention 프로파일을 바꾸면 적용되는 모든 프로파일 에 같은 변경을 해야 합니다(예: medium confidence 보호의 동작을 바꾸면 모든 프로파일에서).
  • 레이어는 가능한 적게 두기를 권장합니다.
  • HTTPS Inspection과 비투명 프록시가 모두 켜지면, Gateway의 프록시 IP가 HTTPS Inspection Rule Base에서 목적지로 매칭됩니다.
  • 다중 레이어 정책의 적용에 대한 자세한 설명은 정책과 프로파일의 Threat Prevention Policy Layers를 참고하세요.
  • Gateway를 HTTP/HTTPS 프록시로 구성하는 방법은 sk110013을 참고하세요.

Creating Exceptions from Logs or Events — 로그·이벤트에서 예외 만들기

Logs & Events 뷰에서 로그·이벤트를 평가한 뒤 Rule Base의 예외를 갱신해야 할 때가 있습니다. 이를 Logs & Events 뷰에서 바로 할 수 있으며, 지정 규칙에 적용하거나 Global Exceptions 아래 모든 규칙에 적용할 수 있습니다.

단계작업
1Logs & Events > Logs 탭 클릭.
2로그 오른쪽 클릭 후 Add Exception.
3예외 설정 구성.
4New Exception Rule 창에서: 정책에 표시하려면 Go to, 아니면 Close.
5Threat Prevention 정책 설치.

Exception Groups — 예외 그룹

예외 그룹은 하나 이상의 예외를 담는 컨테이너 입니다. 모든 규칙 또는 일부 규칙에 붙일 수 있어, 규칙마다 예외를 일일이 정의하는 대신 같은 그룹을 여러 규칙에 붙여 더 쉽게 관리할 수 있습니다. Exception Groups 창은 만든 그룹 목록과 그것을 쓰는 규칙, 코멘트를 보여 줍니다.

옵션의미
New새 예외 그룹 생성.
Edit기존 그룹 수정.
Delete그룹 삭제.
Search그룹 검색.

Global Exceptions — 시스템에 미리 정의된 그룹입니다. 여기 정의한 예외는 Rule Base의 모든 규칙에 자동 추가 됩니다. 다른 예외 그룹은 어느 규칙에 붙일지 직접 정할 수 있습니다.

Rule Base의 예외 그룹 — Global 및 기타 예외 그룹은 규칙 아래 음영 행으로 추가되고, 그룹 이름 탭이 붙습니다. 그룹 안 예외는 No 열에 E - <규칙번호>.<예외번호> 형식으로 표시됩니다. 예를 들어 예외 둘을 담은 Global Exceptions 그룹이 있으면 모든 규칙에 E-1.1, E-1.2 가 표시됩니다(규칙 안에서 예외를 옮기면 번호가 바뀝니다). No 열의 ± 부호로 펼치거나 접습니다.

Creating Exception Groups — 예외 그룹 만들기

단계작업
1Security Policies > Threat Prevention > Exceptions.
2Exceptions 절에서 New 클릭.
3Apply On 구성: Manually attach to a rule(규칙에 직접 붙일 때만 적용), Automatically attached to each rule with profile(지정 프로파일의 모든 규칙에 적용), Automatically attached to all rules(모든 규칙에 적용).
4OK.
5Threat Prevention 정책 설치.

Adding Exceptions to Exception Groups — 그룹에 예외 추가

예외 그룹을 쓰려면 예외 규칙을 추가해야 합니다.

단계작업
1Security Policies > Threat Prevention > Exceptions.
2Exceptions 절에서 예외를 추가할 그룹 클릭.
3Add Exception Rule 클릭.
4새 예외 규칙 설정 구성.
5Threat Prevention 정책 설치.

Adding Exception Groups to the Rule Base — 그룹을 Rule Base에 추가

Manually attach to a rule 로 구성된 그룹에만 해당됩니다.

단계작업
1Security Policies > Threat Prevention > Custom Policy.
2규칙 오른쪽 클릭 후 Add Exception Group > <그룹 이름>.
3Threat Prevention 정책 설치.