오늘은 애플리케이션 제어에 대해서 간단한 기본 설정을 해보자.
애플리케이션 제어의 정의는 뭘까?
애플리케이션에서 생성된 트래픽을 인식하여 Fortigate 내 IPS 엔진을 통한 트래픽 감지 및 제어
우리가 컴퓨터에서 다운로드하는 애플리케이션 즉, 프로그램에 대한 접근 트래픽을 제어하는 것이다.
Application Control은 Web Filter 카테고리와 마찬가지로 FortiGuard에서 각 애플리케이션에 대한 카테고리를 나눠 준다.
우리가 일상적으로 사용하는 '카카오톡' 에 대해선 카테고리 분류가 어떻게 나누어져 있는지 확인해 보면 'Collabortaion'으로 나누어져 있다.
Application Control 기능을 통해 사용자가 카카오톡 접근을 하지 못하게 하려면 어떻게 해야할까?
우선, Application Control에 대한 default 프로파일 설정부터 해보자.
FortiGuard에서 '카카오톡'의 카테고리 분류가 'Collraboration'으로 되어있으니 해당 카테고리를 차단으로 놓을 것이다.
위 정책을 간단하게 설명해 보면,
사용자가 카카오톡 로그인을 시도하는 패킷을 방화벽을 통해 내부에서 외부로 요청 패킷을 전송하는 경우 방화벽 정책은 허용시키나 Application Control 프로파일에 대해 필터를 거치게 할 것이다.
사용자 PC에서 카카오톡으로 로그인을 시도했을 경우, Fortigate에서 차단 로그를 확인할 수 있다.
다음은, 카테고리를 이용한 제어가 아닌 'Application and Filter Override'를 이용한 차단 테스트를 진행해 보자.
방화벽 정책은 위와 동일하게 default 프로파일을 사용하였고, default 프로파일만 수정하였다.
Override Filter를 사용할 경우,
애플리케이션을 직접 추가 또는 행동 / 카테고리 / 인기도 / 프로토콜 / 위험도 / 기술 또는 벤더로 필터를 적용하여 설정할 수 있다.
위 프로파일 설정을 보면 기존 카카오톡에 대한 카테고리 'Collraboration'은 차단으로 설정되어 있는 상태이고,
Override 설정은 Monitor로 설정되어 있는 상태다.
그럼 여기서 궁금한 점. 사용자 PC에서 카카오톡 접근을 시도할 때 허용이 될까 차단이 될까?
결과는 허용된다.
Application and Filter Override 가 Categories 보다 우선순위가 더 높다는 것을 알 수 있다.
- 이와이제
'FORTIGATE > SECURITY PROFILES' 카테고리의 다른 글
| [fortigate][security profiles] Web filter (0) | 2023.01.13 |
|---|
