안녕하세요! 커뮤니티 여러분?
오늘은 Secure Firewall기능중 Malware 와 파일 정책에 대해서 알아보겠습니다.
데모 구성도:
데모 장비 및 버전:
SFMCv - 7.3.0(build 69)
SFTDv - 7.3.0(build 69)
License – 90일 데모 라이선스
Malware and file policies 요구사항 :
- License : Threat and Malware
Malware and file policies 소개 :
- 멀웨어로 의심되는 파일로부터 기업을 보호하며, 기업 규정 및 정책으로 특정 확장명의 파일을 업로드 혹은 다운로드에 대한 감시/분석과 필터링 제공
- 다양한 어플리케이션을 기반으로 malware/file 에 대한 제어 기능 지원
- Cloud 기반의 malware 파일 분석 지원
File 제어 configuration :
우선, 내부 Client 2에서 외부 HTTP Server 로부터 PDF 파일을 다운로드 하지 못하는 시나리오로 configuration 과 테스트를 진행하겠습니다.
현재 FMC 에서는 아래와 같이 Inside net 에 대해서 외부로 HTTP, HTTPS, DNS, ICMP 를 허용하여, 인터넷을 사용 할 수 있는 환경입니다.
Policies > Malware & File 클릭
Add a new policy 클릭
원하시는Name 과 Description 을 입력합니다.
Add Rule 클릭
Application Protocol : HTTP
Action : Block Files
Direction of Transfer : Download
File type categories : PDF files
생성한 Malware & File policy 를 ACP(Access Control Policy) 에 적용합니다.
Policies > Access Control 클릭
ACP클릭
internet-allow rule 클릭
전 단계에서 생성한 Malware and File policy 적용
Save and Deploy
Inside Client 2 에서 192.168.7.113 HTTP 서버로 접속확인
PDF 파일 다운로드 시도
아래와 같이 파일 다운로드 실패를 확인 할 수 있습니다.
검증을 위해서 FMC에 Analysis > Unified Events 클릭
PDF file block 에 대한 로그 확인
왼쪽 화살표를 클릭하면 좀더 세부적인 내용을 확인 하실 수 있습니다.
다음은 Malware File Block 에 대해서 설정하고, 검증해보도록 하겠습니다.
이전 File block 설정과 동일하게 Policies > Malware & File 클릭
기존 Malware and File policy 를 수정해서 진행하도록 하겠습니다.
Add Rule 클릭
이번 시나리오에서는 ELF 형태의 malware 파일에 대해서 차단하는 정책을 테스트 해보겠습니다.
아래와 같이 Malware policy 를 설정합니다.
Application Protocol : HTTP
Action : Block Malware
Direction of Transfer : Download
File type categories : Executables
Save and Deploy
Inside Client 2 에서 192.168.7.113 서버로 HTTP 접속 및 malware-test-file 다운로드 시도
아래와 같이 malware-test-file 의 다운로드가 실패되는 것을 확인 할 수 있습니다.
FMC 에서 해당 연결에 대한 로그를 확인해 보도록 하겠습니다.
Analysis > Unified Events 클릭
Event Type 에 Malware 와 Action 에 Malware Block 확인
Malware Block 에 대한 세부 정보 확인
오늘도 긴 글 읽어 주셔서 감사드리며, 다음에는 더욱 좋은 컨텐츠로 찾아 뵙겠습니다.
감사합니다!!!