안녕하세요! 커뮤니티 여러분?

오늘은 Secure Firewall기능중 Malware 와 파일 정책에 대해서 알아보겠습니다.

데모 구성도:

데모 장비 및 버전:

SFMCv - 7.3.0(build 69)

SFTDv - 7.3.0(build 69)

License – 90일 데모 라이선스

Malware and file policies 요구사항 :

• License : Threat and Malware

Malware and file policies 소개 :

• 멀웨어로 의심되는 파일로부터 기업을 보호하며, 기업 규정 및 정책으로 특정 확장명의 파일을 업로드 혹은 다운로드에 대한 감시/분석과 필터링 제공
• 다양한 어플리케이션을 기반으로 malware/file 에 대한 제어 기능 지원
• Cloud 기반의 malware 파일 분석 지원

File 제어 configuration :

우선, 내부 Client 2에서 외부 HTTP Server 로부터 PDF 파일을 다운로드 하지 못하는 시나리오로 configuration 과 테스트를 진행하겠습니다.

현재 FMC 에서는 아래와 같이 Inside net 에 대해서 외부로 HTTP, HTTPS, DNS, ICMP 를 허용하여, 인터넷을 사용 할 수 있는 환경입니다.

Policies > Malware & File 클릭

Add a new policy 클릭

원하시는Name 과 Description 을 입력합니다.

 Add Rule 클릭

 Application Protocol : HTTP

Action : Block Files

Direction of Transfer : Download

File type categories : PDF files

 생성한 Malware & File policy 를 ACP(Access Control Policy) 에 적용합니다.

Policies > Access Control 클릭

ACP클릭

internet-allow rule 클릭

전 단계에서 생성한 Malware and File policy 적용

Save and Deploy

Inside Client 2 에서 192.168.7.113 HTTP 서버로 접속확인

PDF 파일 다운로드 시도

아래와 같이 파일 다운로드 실패를 확인 할 수 있습니다.

검증을 위해서 FMC에 Analysis > Unified Events 클릭

PDF file block 에 대한 로그 확인

왼쪽 화살표를 클릭하면 좀더 세부적인 내용을 확인 하실 수 있습니다.

다음은 Malware File Block 에 대해서 설정하고, 검증해보도록 하겠습니다.

이전 File block 설정과 동일하게 Policies > Malware & File 클릭

기존 Malware and File policy 를 수정해서 진행하도록 하겠습니다.

 Add Rule 클릭

 이번 시나리오에서는 ELF 형태의 malware 파일에 대해서 차단하는 정책을 테스트 해보겠습니다.

아래와 같이 Malware policy 를 설정합니다.

Application Protocol : HTTP

Action : Block Malware

Direction of Transfer : Download

File type categories : Executables

 Save and Deploy

 Inside Client 2 에서 192.168.7.113 서버로 HTTP 접속 및 malware-test-file 다운로드 시도

 아래와 같이 malware-test-file 의 다운로드가 실패되는 것을 확인 할 수 있습니다.

 FMC 에서 해당 연결에 대한 로그를 확인해 보도록 하겠습니다.

Analysis > Unified Events 클릭

Event Type 에 Malware 와 Action 에 Malware Block 확인

Malware Block 에 대한 세부 정보 확인

오늘도 긴 글 읽어 주셔서 감사드리며, 다음에는 더욱 좋은 컨텐츠로 찾아 뵙겠습니다.

감사합니다!!!