FireSIGHT 가상 설치 가이드 버전 5.3.1

Similar documents
Cisco FirePOWER 호환성 가이드

Windows 8에서 BioStar 1 설치하기

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

vRealize Automation용 VMware Remote Console - VMware

View Licenses and Services (customer)

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

MF5900 Series MF Driver Installation Guide

Install stm32cubemx and st-link utility

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

MF Driver Installation Guide

System Recovery 사용자 매뉴얼

IRISCard Anywhere 5

ISP and CodeVisionAVR C Compiler.hwp

MF3010 MF Driver Installation Guide

메뉴얼41페이지-2

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

01장

Operating Instructions

Windows Server 2012

PowerPoint 프레젠테이션

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

McAfee Security Virtual Appliance 5.6 설치 안내서

(Veritas\231 System Recovery 16 Monitor Readme)

Microsoft Word - wiseCLOUD_v2.4_InstallGuide.docx

ThinkVantage Fingerprint Software

Microsoft Word - src.doc

Studuino소프트웨어 설치

SBR-100S User Manual

User Guide

Endpoint Protector - Active Directory Deployment Guide

Windows 10 General Announcement v1.0-KO

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

Cloud Friendly System Architecture

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

TOOLS Software Installation Guide

gcloud storage 사용자가이드 1 / 17

VPN.hwp

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

Microsoft Word - release note-VRRP_Korean.doc

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

EEAP - Proposal Template

CODESYS 런타임 설치과정

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

NTD36HD Manual

Microsoft Word - Armjtag_문서1.doc

라우터

Office 365 사용자 가이드

810 & 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을

본교재는수업용으로제작된게시물입니다. 영리목적으로사용할경우저작권법제 30 조항에의거법적처벌을받을수있습니다. [ 실습 ] 스위치장비초기화 1. NVRAM 에저장되어있는 'startup-config' 파일이있다면, 삭제를실시한다. SWx>enable SWx#erase sta

Microsoft PowerPoint SDK설치.HelloAndroid(1.5h).pptx

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

경우 1) 80GB( 원본 ) => 2TB( 복사본 ), 원본 80GB 는 MBR 로디스크초기화하고 NTFS 로포맷한경우 복사본 HDD 도 MBR 로디스크초기화되고 80GB 만큼포맷되고나머지영역 (80GB~ 나머지부분 ) 은할당되지않음 으로나온다. A. Window P

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

RHEV 2.2 인증서 만료 확인 및 갱신

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

2 노드

vm-웨어-01장

<4D F736F F D D31312D30312D53572D30312DBBE7BFEBC0DABCB3B8EDBCAD5FBFDCBACEB9E8C6F7BFEB2E646F63>

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

vm-웨어-앞부속

Microsoft PowerPoint - 권장 사양

Cubase AI installation guide

[Brochure] KOR_TunA

Microsoft PowerPoint - 02_Linux_Fedora_Core_8_Vmware_Installation [호환 모드]

온라인등록용 메뉴얼

제 2 장 기본 사용법

BEA_WebLogic.hwp

Microsoft Azure 클라우드용 Cisco Firepower Threat Defense Virtual 빠른 시작 가이드

DBMS & SQL Server Installation Database Laboratory

ICAS CADWorx SPLM License 평가판설치가이드

Oracle VM VirtualBox 설치 VirtualBox에서 가상머신 설치 가상머신에 Ubuntu 설치

PowerPoint Template

소개 Mac OS X (10.9, 10.10, 10.11, 10.12) 와 OKI 프린터호환성 Mac OS X 를사용하는 PC 에 OKI 프린터및복합기 (MFP) 제품을연결하여사용할때, 최고의성능을발휘할수있도록하는것이 OKI 의목 표입니다. 아래의문서는 OKI 프린터및

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

사용설명서를 읽기 전에 ios용 아이디스 모바일은 네트워크 연결을 통해 ios 플랫폼 기반의 모바일 기기(iOS 버전 6.0 이상의 ipod Touch, iphone 또는 ipad)에서 장치(DVR, 네트워크 비디오 서버 및 네트워크 카메라)에 접속하여 원격으로 영상을

Security.hwp

201112_SNUwifi_upgrade.hwp

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

슬라이드 1

1. 무선 이미지 유틸리티 설명 1-1. 기능 이 Wireless Image Utility 는 안드로이드용 응용 프로그램입니다. 안드로이드 태블릿 또는 안드로이드 스마트폰에서 사용할 수 있습니다. 안드로이드 기기에 저장된 파일을 프로젝터로 무선 전송 컴퓨터에서 USB

SBR-100S User Manual

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

VMware vsphere

소프트웨어공학 Tutorial #2: StarUML Eun Man Choi

범용프린터드라이버가이드 Brother Universal Printer Driver(BR-Script3) Brother Mono Universal Printer Driver (PCL) Brother Universal Printer Driver (Inkjet) 버전 B K

Microsoft Word - NAT_1_.doc

왜곡보정버전업그레이드순서 - Windows 판 - 니콘제품을애용해주셔서대단히감사합니다. 여기에서는왜곡보정의버전업그레이드에대해설명하고있습니다. 그리고니콘서비스센터에서의업데이트도받고있으므로사용하시는환경등으로펌웨어를업데이트할수없는사용자는이용하여주십시오. 사용하시는카메라사용법

Transcription:

버전 5.3.1 2014 년 7 월 17 일 Cisco Systems, Inc. www.cisco.com Cisco 는전세계에 200 여개이상의지사가있습니다. 주소, 전화번호및팩스번호는 Cisco 웹사이트 www.cisco.com/go/offices 에서확인하십시오.

이설명서의제품사양및정보는예고없이변경될수있습니다. 이설명서의모든설명, 정보및권장사항은정확한것으로간주되지만이에대해명시적이든묵시적이든어떠한보증도없이제공됩니다. 모든제품의애플리케이션사용에대한책임은전적으로사용자에게있습니다. 동봉된제품의소프트웨어라이센스및제한보증은제품과함께제공되는정보패킷에설명되어있으며본참조문서에통합되어있습니다. 소프트웨어라이센스또는제한보증을찾을수없는경우 CISCO 담당자에게사본을요청하십시오. Cisco 의 TCP 헤더압축은 UNIX 운영체제의 UCB 퍼블릭도메인버전의일부로서 University of California, Berkeley(UCB) 에서개발된프로그램을적용하여구현합니다. All rights reserved. Copyright 1981, Regents of the University of California. 여기에언급된기타모든보증에도불구하고이러한공급자의모든문서및소프트웨어는모든결함이포함된 " 있는그대로 " 제공됩니다. CISCO 및위에언급된모든공급업체는상품성, 특정목적에의적합성, 타인의권리비침해또는처리, 사용, 거래행위로발생하는문제에대한묵시적보증을포함하여 ( 단, 이에한하지않음 ) 묵시적이든명시적이든모든종류의보증을부인합니다. Cisco 또는해당공급업체는피해의가능성에대해언급한경우라도이설명서의사용또는사용불능으로인해발생하는이익손실, 데이터손실또는손상을포함하여 ( 단, 이에한하지않음 ) 간접, 특별, 중대또는부수적손해에대해어떠한경우라도책임을지지않습니다. Cisco 및 Cisco 로고는미국및기타국가에서 Cisco Systems, Inc. 및 / 또는계열사의상표입니다. Cisco 상표목록을확인하려면 www.cisco.com/go/trademarks 로이동하십시오. 언급된타사상표는해당소유주의재산입니다. " 파트너 " 라는용어의사용이 Cisco 와다른회사간의파트너관계를의미하지는않습니다. (1110R) 이문서에사용된모든 IP( 인터넷프로토콜 ) 주소와전화번호는실제주소와전화번호가아닙니다. 이문서에포함된예제, 명령표시출력, 네트워크토폴로지다이어그램및다른그림은이해를돕기위한자료일뿐이며, 실제 IP 주소나전화번호가사용되었다면이는의도하지않은우연의일치입니다. 2014 년 Cisco Systems, Inc. All rights reserved.

목차 가상어플라이언스소개 1-1 FireSIGHT 시스템가상어플라이언스 1-2 가상방어센터 1-2 가상관리되는기기 1-2 가상어플라이언스기능이해 1-3 가상방어센터기능이해 1-3 가상의관리되는기기기능이해 1-4 운영환경조건 1-5 가상어플라이언스성능 1-6 FireSIGHT 시스템구성요소 1-7 FireSIGHT 1-7 액세스제어 1-7 침입감지및방지 1-8 파일추적, 제어, 악성코드차단 1-8 API(Application Programming Interface) 1-9 가상어플라이언스라이센싱 1-10 보안, 인터넷액세스, 통신포트 1-12 인터넷액세스요구사항 1-12 통신포트요구사항 1-13 가상어플라이언스구축 2-1 일반 FireSIGHT 시스템구축 2-1 VMWare 가상어플라이언스구축 2-2 가상화및가상디바이스추가 2-2 인라인탐지에가상디바이스사용 2-3 가상방어센터추가 2-4 원격사무실구축사용 2-5 가상어플라이언스설치 3-1 설치파일얻기 3-2 가상어플라이언스설치 3-3 VMware vcloud Director 웹포털로설치 3-4 가상어플라이언스 OVF 패키지업로드 3-5 vapp 템플릿사용 3-5 iii

목차 vsphere Client 로설치 3-7 설치후중요설정업데이트 3-8 가상기기인터페이스구성 3-9 가상어플라이언스제거 3-10 가상어플라이언스종료 3-10 가상어플라이언스삭제 3-11 가상어플라이언스설정 4-1 가상어플라이언스초기화 4-2 CLI 를사용하여가상기기설정 4-3 가상기기를방어센터에등록 4-5 가상방어센터설정 4-6 가상방어센터네트워크설정자동화 4-7 초기설정페이지 : 가상방어센터 4-7 비밀번호변경 4-8 네트워크설정 4-8 시간설정 4-9 반복규칙업데이트가져오기 4-9 반복위치업데이트 4-9 자동백업 4-10 라이센스설정 4-10 기기등록 4-10 최종사용자라이센스계약 4-11 다음단계 4-12 가상어플라이언스구축문제해결 5-1 시간동기화 5-1 성능문제해결 5-1 연결문제 5-1 VMware vcloud Director 웹포털사용 5-2 vsphere Client 사용 5-2 관리연결 5-2 센싱인터페이스 5-3 인라인인터페이스컨피그레이션 5-3 도움이필요할경우 5-4 iv

1 장 가상어플라이언스소개 Cisco FireSIGHT 시스템에는업계최고의네트워크침입방지시스템의보안과감지된애플리케이션, 사용자, URL 을기준으로네트워크에대한액세스를제어하는기능이결합되어있습니다. Cisco 에서는 VMWare vsphere 및 VMware vcloud Director 호스팅환경을위해 64 비트가상방어센터 및가상기기를패키징합니다. vcenter 또는 vcloud Director 를사용하여 64 비트가상방어센터및 64 비트가상관리되는기기를 ESXi 호스트에구축할수있습니다. 방어센터에서는시스템에대해중앙집중식관리콘솔과데이터베이스리포지토리를제공합니다. 가상기기는수동또는인라인구축에서가상또는물리적네트워크의트래픽을검사할수있습니다. 수동구축의가상기기는단지네트워크에서이동하는트래픽을모니터링합니다. 수동센싱인터페이스는모든트래픽을조건없이수신하며이러한인터페이스에서수신된트래픽은재전송되지않습니다. 인라인방식으로구축된가상기기를사용할경우네트워크호스트의가용성, 무결성또는기밀성에영향을미칠수있는공격으로부터네트워크를보호할수있습니다. 인라인기기는간단한침입방지시스템으로구축할수있습니다. 또한인라인기기가액세스제어를수행하고다른방식으로네트워크트래픽을관리하도록구성할수있습니다. 인라인인터페이스는모든트래픽을조건없이수신하며이러한인터페이스에수신된트래픽은구축의일부컨피그레이션에의해명시적으로삭제되지않는이상다시전송됩니다. 가상방어센터는물리적기기, Sourcefire Software for X-Series, Cisco ASA with FirePOWER Services(ASA FirePOWER) 를관리하며물리적방어센터는가상기기를관리할수있습니다. 하지만가상어플라이언스는시스템의하드웨어기반기능을지원하지않습니다. 가상방어센터는고가용성을지원하지않으며가상기기는클러스터링, 스태킹, 스위칭, 라우팅등을지원하지않습니다. 물리적 FireSIGHT 시스템어플라이언스에대한자세한내용은 FireSIGHT 시스템설치가이드를참조하십시오. 본설치가이드는가상 FireSIGHT 시스템어플라이언스의구축, 설치설정에대한정보를제공합니다 ( 기기및방어센터 ). 또한사용자가 vsphere Client, VMware vcloud Director 웹포털을포함하여 VMWare 제품의기능과명명법을잘알고있는것으로가정합니다. 아래항목은 FireSIGHT 시스템가상어플라이언스에대해소개합니다. 1-2 페이지의 FireSIGHT 시스템가상어플라이언스 1-3 페이지의가상어플라이언스기능이해 1-7 페이지의 FireSIGHT 시스템구성요소 1-10 페이지의가상어플라이언스라이센싱 1-12 페이지의보안, 인터넷액세스, 통신포트 1-1

FireSIGHT 시스템가상어플라이언스 1 장가상어플라이언스소개 FireSIGHT 시스템가상어플라이언스 FireSIGHT 시스템가상어플라이언스는트래픽을감지하는가상기기또는관리하는가상방어센터입니다. 자세한내용은다음섹션을참조하십시오. 1-2 페이지의가상방어센터 1-2 페이지의가상관리되는기기 1-3 페이지의가상어플라이언스기능이해 1-5 페이지의운영환경조건 1-6 페이지의가상어플라이언스성능 가상방어센터 방어센터에서는 FireSIGHT 시스템구축을위해중앙집중화된관리지점및이벤트데이터베이스를제공합니다. 가상방어센터는감염지표를이용하여침입, 파일, 악성코드, 검색, 연결, 성능데이터를집계하고상관관계를분석하며이벤트가특정호스트와태깅호스트에미치는영향을평가합니다. 따라서기기가기기상호관계에대해보고하는정보를모니터링할수있으며네트워크에서일어나는전반적인활동을평가하고제어할수있습니다. 가사의방어센터의핵심기능은다음과같습니다. 기기, 라이센스, 정책관리 테이블, 그래프, 차트형식으로표시되는이벤트및상황별정보 상태및성능모니터링 외부알림및경고 상관관계분석, 감염지표, 위협요소제거기능으로실시간위협대응 맞춤형, 템플릿기반보고 가상관리되는기기 조직내네트워크세그먼트에구축된가상기기는분석용트래픽을모니터링합니다. 수동구축된가상기기를이용하면네트워크트래픽에대한통찰력을얻을수있습니다. 인라인형태로구축할경우가상기기를사용하여복수기준을기반으로트래픽플로우에영향을미칠수있습니다. 기기는모델및라이센스에따라다음을수행합니다. 조직의호스트, 운영체제, 애플리케이션, 사용자, 파일, 네트워크, 취약점에대한세부정보수집 다양한네트워크기반기준및애플리케이션, 사용자, URL, IP 주소평판, 침입, 악성코드검사결과와같은기타기준에따라네트워크트래픽을차단또는허용 가상기기에는웹인터페이스가없습니다. 콘솔과명령행을통해구성하고방어센터로관리해야합니다. 주의 가상기기를버전 5.3.1 로업데이트하거나이미지로다시설치할수없지만, 5.3.1 방어센터에서는버전 5.2 또는 5.3 에서이러한기기를관리할수있습니다. 1-2

1 장가상어플라이언스소개 가상어플라이언스기능이해 가상어플라이언스기능이해 가상어플라이언스에는물리적어플라이언스의여러기능이있습니다. 가상방어센터에는가상방어센터의고가용성페어를만들수있다는점을제외하고물리적방어센터와기능이동일합니다. FireSIGHT 라이센스에서는가상방어센터로 5 만개의호스트와사용자를모니터링할수있습니다. 가상기기에는물리적기기의트래픽및차단분석기능이있습니다. 하지만스위칭, 라우팅, VPN, 기타하드웨어기반, 이중화, 리소스공유기능을수행할수없습니다. 가상방어센터기능이해 1-3 페이지의표 1-1 가상방어센터에지원되는기능에시스템의주요기능과가상방어센터에서해당기능을지원하는지여부가표시되어있습니다. 여기서는이러한기능을지원하는관리기기가있고올바른라이센스가설치및적용되어있는경우를가정합니다. 가상어플라이언스에지원되는기능과라이센스를간략히보려면 1-7 페이지의 FireSIGHT 시스템구성요소및 1-10 페이지의가상어플라이언스라이센싱을참조하십시오. 가상방어센터는 Series 2, Series 3, ASA FirePOWER, X-Series 기기를관리하는점을기억하십시오. 마찬가지로, Series 2 및 Series 3 방어센터는가상기기를관리할수있습니다. 기기기반기능 ( 스태킹, 스위칭, 라우팅 ) 에대한방어센터열은가상방어센터에서기기를관리및구성하여이러한기능을수행하는지여부를나타냅니다. 예를들어, 가상기기에서 VPN 을구성할수없는경우에도가상방어센터를사용하여 VPN 구축의 Series 3 기기를관리할수있습니다. 표 1-1 가상방어센터에지원되는기능 기능 관리되는기기가보고하는검색데이터 ( 호스트, 애플리케이션, 사용자 ) 수집및조직의네트워크맵구축 네트워크트래픽의위치데이터보기 IPS( 침입감지및방지 ) 구축관리 보안인텔리전스필터링을실행하는기기관리 위치기반필터링을포함하여간단한네트워크기반제어를수행하는기기관리 애플리케이션제어를실행하는기기관리 사용자제어를실행하는기기관리 리터럴 URL 을통해네트워크트래픽을필터링하는기기관리 범주및평판별 URL 필터링을수행하는기기관리 파일유형별로간단한파일제어를수행하는기기관리 네트워크기반 AMP(advanced malware protection) 실행기기관리 FireAMP 구축에서엔드포인트기반악성코드 (FireAMP) 이벤트수신 가상방어센터예예예예예예예예예예예예 1-3

가상어플라이언스기능이해 1 장가상어플라이언스소개 표 1-1 가상방어센터에지원되는기능 ( 계속 ) 기능기기기준하드웨어기반기능관리 : 빠른경로규칙 엄격한 TCP 적용 구성가능한바이패스인터페이스 탭모드 스위칭및라우팅 NAT 정책 VPN 기기기반이중화및리소스공유관리 : 기기스택 기기클러스터 Sourcefire Software for X-Series VAP 그룹 클러스터링스택고가용성구현악성코드스토리지팩설치 estreamer, 호스트입력또는데이터베이스클라이언트에연결 가상방어센터예예아니요아니요예 가상의관리되는기기기능이해 1-4 페이지의표 1-2 가상의관리되는기기에지원되는기능시스템의주요기능과가상의관리되는기기에서해당기능을지원하는지여부가표시되어있습니다. 여기서는방어센터에서올바른라이센스를설치및적용한경우를가정합니다. 또한시스템의버전 5.3.1 을실행하는방어센터모델을사용하여버전 5.2 또는가상기기를관리할수있는경우에도몇가지시스템기능은방어센터모델에따라제한됩니다. 예를들어, 가상의관리되는기기가보안인텔리전스필터링을지원하는경우에도 Series 2 DC500 을사용하여해당기능을수행하는가상의관리되는기기를관리할수없습니다. 자세한내용은 1-3 페이지의가상방어센터기능이해을참조하십시오. 표 1-2 가상의관리되는기기에지원되는기능 기능 관리되는기기가보고하는검색데이터 ( 호스트, 애플리케이션, 사용자 ) 수집및조직의네트워크맵구축 네트워크트래픽의위치데이터보기 네트워크검색 : 호스트, 애플리케이션, 사용자 IPS( 침입감지및방지 ) 보안인텔리전스필터링 액세스제어 : 기본적네트워크제어 액세스제어 : 위치기반필터링 가상의관리되는기기예예예예예예예 1-4

1 장가상어플라이언스소개 가상어플라이언스기능이해 표 1-2 가상의관리되는기기에지원되는기능 ( 계속 ) 기능액세스제어 : 애플리케이션제어액세스제어 : 사용자제어액세스제어 : 리터럴 URL 액세스제어 : 범주및평판별 URL 필터링파일제어 : 파일유형별네트워크기반 AMP(Advanced Malware Protection) 자동애플리케이션바이패스빠른경로규칙엄격한 TCP 적용구성가능한바이패스인터페이스탭모드스위칭및라우팅 NAT 정책 VPN 기기스태킹기기클러스터링클러스터링스택악성코드스토리지팩 FireSIGHT 시스템별대화형 CLI estreamer 클라이언트에연결 가상의관리되는기기예예예예예예예아니요아니요아니요아니요아니요아니요아니요아니요아니요아니요아니요예아니요 운영환경조건 다음과같은호스팅환경에서 64 비트가상어플라이언스를호스팅할수있습니다. VMWare vsphere Hypervisor 5.1 VMWare vsphere Hypervisor 5.0 VMware vcloud Director 5.1 호스팅환경을만드는방법은 VMware vcloud Director, VMware vcenter 를포함하여 VMWare ESXi 설명서를참조하십시오. 가상어플라이언스는 OVF(Open Virtual Format) 패키징을사용합니다. VMWare 워크스테이션, 플레이어및서버는 OVF 패키징을인식하지않으며지원되지않습니다. 또한, 가상어플라이언스는버전 7 가상하드웨어와함께가상머신으로패키징됩니다. ESXi 호스트로사용할컴퓨터는다음과같은요구사항을충족해야합니다. Intel VT(Virtualization Technology) 또는 AMD-V (AMD Virtualization ) 가상화지원을제공하는 64 비트 CPU 가있어야합니다. BIOS 설정에서가상화를활성화해야합니다. 가상기기를호스팅하려면컴퓨터에 Intel e1000 드라이버 ( 예 : PRO 1000MT 이중포트서버어댑터또는 PRO 1000GT 데스크톱어댑터 ) 와호환되는네트워크인터페이스가있어야합니다. 1-5

가상어플라이언스기능이해 1 장가상어플라이언스소개 자세한내용은 VMWare 웹사이트 : http://www.vmware.com/resources/guides.html 을참조하십시오. 각각의가상어플라이언스를만들경우 ESXi 호스트에특정양의메모리, CPU, 하드디스크공간이있어야합니다. 기본설정은시스템소프트웨어를실행하는데필요한최소설정이므로기본설정을줄이지마십시오. 하지만성능을향상하려면가용리소스에따라가상어플라이언스의메모리와 CPU 수를늘릴수있습니다. 다음표는기본어플라이언스설정입니다. 표 1-3 기본가상어플라이언스설정 설정기본값조정가능여부 메모리 4GB 예, 가상기기의경우반드시다음을할당합니다. 최소 4GB 가상 CPU 4 예, 최대 8 개 하드디스크프로비저닝크기 40GB( 기기 ) 250GB( 방어센터 ) URL 필터링기준범주및평판을사용하기위한 5GB 많은동적피드를사용하여보안인텔리전스필터링을수행하기위한 6GB URL 필터링및보안인텔리전스를수행하기위한 7GB 아니요 가상어플라이언스성능 가상어플라이언스의처리량과처리용량을정확하게예측할수없습니다. 다음을포함한여러요소가성능에큰영향을미칩니다. ESXi 호스트의메모리및 CPU 용량 ESXi 호스트에실행되는총가상머신의수 센싱인터페이스수, 네트워크성능, 인터페이스속도 각가상어플라이언스에할당된리소스의양 호스트를공유하는다른가상어플라이언스의활동수준 가상기기에적용된정책의복잡성 팁 VMWare 에서는다양한성능측정및리소스할당툴을제공합니다. 가상어플라이언스를실행하면서트래픽을모니터링하고처리량을확인하는동시에 ESXi 호스트에서이러한툴을사용하십시오. 처리량이만족스럽지않을경우 ESXi 호스트를공유하는가상어플라이언스에할당된리소스를조정합니다. Cisco 는게스트레이어에툴설치를지원하지않지만 (VMWare Tools 포함 ) ESXi 호스트에툴 ( 예 : esxtop 또는 VMWare/third-party add-ons) 을설치하여가상성능을검사할수있습니다. 하지만이러한툴은호스트또는가상화관리레이어에설치해야하며, 게스트레이어에설치할수없습니다. 1-6

1 장가상어플라이언스소개 FireSIGHT 시스템구성요소 FireSIGHT 시스템구성요소 다음섹션에서는가상방어센터및가상기기가조직의보안, 허용되는사용정책, 트래픽관리전략에기여하는몇가지주요기능에대해설명합니다. Series 2 및 Series 3 어플라이언스에지원되는추가기능은 FireSIGHT 시스템설치가이드및 FireSIGHT 시스템사용설명서를참조하십시오. FireSIGHT 팁대부분의가상어플라이언스기능은라이센스및사용자역할에따라달라집니다. 필요에따라, FireSIGHT 시스템설명서에각기능및작업의요구사항이요약설명되어있습니다. 다음항목에서는 FireSIGHT 시스템이조직의보안, 허용되는사용정책, 트래픽관리전략에기여하는몇가지주요기능에대해설명합니다. 1-7 페이지의 FireSIGHT 1-7 페이지의액세스제어 1-8 페이지의침입감지및방지 1-8 페이지의파일추적, 제어, 악성코드차단 1-9 페이지의 API(Application Programming Interface) FireSIGHT 는네트워크에대한완전한가시성을제공하기위해호스트, 운영체제, 애플리케이션, 사용자, 파일, 네트워크위치정보, 취약성에대한정보를수집하는 Cisco 검색및인식기술입니다. 방어센터의웹인터페이스를통해 FireSIGHT 에서수집한데이터를보고분석할수있습니다. 또한액세스를제어하고침입규칙상태를수정할때도이데이터를사용할수있습니다. 또한호스트에대한상관관계이벤트데이터를기준으로네트워크의호스트에대한감염지표를생성및추적할수있습니다. 액세스제어 액세스제어는네트워크를통해이동할수있는트래픽을지정, 검사, 로깅할수있는정책기반기능입니다. 액세스제어정책에따라시스템이네트워크의트래픽을처리하는방식이결정됩니다. 액세스제어규칙이포함되지않은정책을사용하여기본동작이라고하는다음중한가지방법으로트래픽을처리할수있습니다. 모든트래픽이네트워크에진입하는것을차단 추가검사없이모든트래픽이네트워크로진입하는것을신뢰 모든트래픽이네트워크에진입하는것을허용하고네트워크검색정책으로만트래픽검사 모든트래픽이네트워크에진입하는것을허용하고침입및네트워크검색정책으로트래픽검사 액세스제어정책에액세스제어규칙을포함하여간단한 IP 주소매칭부터다른사용자, 애플리케이션, 포트, URL 이관련된복잡한시나리오까지대상기기에서트래픽을처리하는방식을추가정의할수있습니다. 각규칙에대해규칙동작, 즉, 침입또는파일정책을이용하여일치하는트래픽을신뢰, 모니터링, 차단또는검사할지를지정합니다. 각액세스제어정책의경우시스템이 HTTP 요청을차단할때사용자에게표시되는사용자정의 HTML 페이지를만들수있습니다. 또는사용자에게경고하는페이지를표시할수도있지만버튼을클릭하면원래요청된사이트를계속표시할수도있습니다. 1-7

FireSIGHT 시스템구성요소 1 장가상어플라이언스소개 보안인텔리전스기능은액세스제어에포함되며, 액세스제어규칙으로트래픽을자세히분석하기전에특정 IP 주소를블랙리스트에추가합니다 ( 트래픽의수신및송신거부 ). 또한시스템이위치를지원할경우감지된소스, 대상국가및대륙을기준으로트래픽을필터링할수있습니다. 액세스제어에는침입감지및방지, 파일제어, AMP 가포함됩니다. 자세한내용은다음섹션을참조하십시오. 침입감지및방지 침입감지및방지에서는네트워크트래픽을모니터링하여보안위반을찾을수있으며인라인구축의경우악성트래픽을차단또는변경할수있습니다. 침입감지는액세스제어에통합되므로침입정책을특정액세스제어규칙과연결할수있습니다. 네트워크트래픽이규칙의조건을충족할경우침입정책으로일치하는트래픽을분석할수있습니다. 또한침입정책을액세스제어정책의기본동작과연결할수있습니다. 침입정책에는다음과같이다양한구성요소가포함되어있습니다. 프로토콜헤더값, 페이로드콘텐츠, 특정패킷크기의특성을검사하는규칙 FireSIGHT 권장사항을기반으로하는규칙상태컨피그레이션 전처리기, 기타감지및성능등의고급설정 관련전처리기및전처리기옵션의이벤트를발생할수있는전처리기규칙 파일추적, 제어, 악성코드차단 악성코드의효과를식별및감소할수있도록 FireSIGHT 시스템의파일제어, 네트워크파일전파흔적분석 (File trajectory), AMP 구성요소는네트워크트래픽의파일 ( 악성코드파일포함 ) 전송을감지, 추적, 캡처, 분석하고, 선택적으로차단할수있습니다. 파일제어 파일제어에서는관리되는기기가사용자가특정애플리케이션프로토콜에서특정유형의파일을업로드 ( 전송 ) 또는다운로드 ( 수신 ) 하는행동을감지하고차단할수있습니다. 파일제어를전반적액세스제어컨피그레이션의일부로구성하고, 액세스제어규칙과연결된파일정책이규칙조건을충족하는네트워크트래픽을검사합니다. 네트워크기반 AMP 네트워크기반 AMP는시스템에서네트워크트래픽을검사하여여러유형의파일에서악성코드를찾아냅니다. 가상기기는추가분석을위해감지된파일을하드드라이브에저장할수있습니다. 감지된파일의저장여부와상관없이, 파일을종합보안인텔리전스클라우드에제출하고파일의 SHA-256 해시값을이용하여알려진속성을간단히조회할수있습니다. 또한파일을위협스코어를생성하는동적분석으로제출할수도있습니다. 이상황인식정보를바탕으로시스템을구성하여특정파일을차단또는허용할수있습니다. 악성코드차단을전반적액세스제어컨피그레이션의일부로구성하면액세스제어규칙과연결된파일정책이규칙조건을충족하는네트워크트래픽을검사합니다. FireAMP 통합 FireAMP는첨단악성코드침투, APT(Advanced Persistent Threat), 표적공격을발견, 이해및차단하는 Cisco의엔터프라이즈급고급악성코드분석및보호솔루션입니다. 1-8

1 장가상어플라이언스소개 FireSIGHT 시스템구성요소 조직이 FireAMP에가입된경우개별사용자는컴퓨터와모바일기기 ( 엔드포인트라고도함 ) 에 FireAMP Connector를설치할수있습니다. 이와같이가벼운에이전트는종합보안인텔리전스클라우드와통신하며, Cisco 클라우드는방어센터와통신합니다. 방어센터를구성하여클라우드에연결한다음에는방어센터웹인터페이스를사용하여조직의엔드포인트에서검사, 감지, 격리의결과로생성된엔드포인트기반악성코드이벤트를확인할수있습니다. 방어센터에서는또한 FireAMP 데이터를사용하여호스트의감염지표를생성및추적하고네트워크파일전파흔적분석을표시합니다. FireAMP 포털 (http://amp.sourcefire.com/) 을사용하여 FireAMP 구축을구성합니다. 이포털을통해악성코드를빠르게식별및격리할수있습니다. 악성코드의침입을식별하고전파흔적을추적하며이로인한영향을이해하고성공적복구방법을배울수있습니다. 또한 FireAMP 를사용하여사용자정의보호를만들고그룹정책을기준으로특정애플리케이션의실행을차단하며사용자정의화이트리스트를작성할수있습니다. 네트워크 File Trajectory( 파일전파흔적분석 ) 네트워크파일전파흔적분석기능은네트워크에서파일의전송경로를추적합니다. 시스템은 SHA-256 해시값을사용하여파일을추적하므로파일을추적하려면시스템이다음을수행해야합니다. 파일의 SHA-256 해시값을계산하고이값을사용하여악성코드클라우드조회수행 방어센터를조직의 FireAMP 구독과통합하여엔드포인트기반위협을수신하고해당파일에대한데이터격리각파일에는이와관련하여시간의경과에따른파일의전송과정과파일에대한추가정보의시각적표시가포함된전파흔적분석맵이있습니다. API(Application Programming Interface) API 를사용하여시스템과상호작용하는몇가지방법이있습니다. 자세한내용은지원사이트에서추가설명서를다운로드할수있습니다. estreamer estreamer(event Streamer) 에서는 Cisco 어플라이언스에서맞춤개발된클라이언트애플리케이션으로여러종류의이벤트데이터를스트리밍할수있습니다. 클라이언트애플리케이션을만든다음 estreamer 서버 ( 방어센터또는관리되는기기 ) 에연결하고 estreamer 서비스를시작하고데이터교환을시작합니다. estreamer 통합은사용자정의프로그래밍이필요하지만어플라이언스에서특정데이터를요청할수있습니다. 예를들어, 네트워크관리애플리케이션중하나안에서네트워크호스트데이터를표시할경우방어센터에서호스트중요도또는취약성데이터를검색하고이정보를디스플레이에추가할수있습니다. 외부데이터베이스액세스 데이터베이스액세스기능을사용하면 JDBC SSL 연결을지원하는타사클라이언트를사용하여방어센터의여러데이터베이스테이블을쿼리할수있습니다. Crystal Reports, Actuate BIRT 또는 JasperSoft ireport 와같은업계표준보고툴을사용하여쿼리를설계및제출할수있습니다. 또는자체사용자정의애플리케이션을구성하여 Cisco 데이터를쿼리할수있습니다. 예를들어, 서블렛을구축하여침입및검색이벤트데이터를정기적으로보고하거나알림대시보드를새로고칠수있습니다. 1-9

가상어플라이언스라이센싱 1 장가상어플라이언스소개 호스트입력 호스트입력기능은스크립트또는명령행파일을사용하여타사소스에서데이터를가져오는방법으로네트워크맵의정보를보강할수있습니다. 웹인터페이스는또한몇가지호스트입력기능을제공합니다. 운영체제또는애플리케이션프로토콜을수정하거나취약성을식별, 검증, 무효화하고클라이언트및서버포트를포함한다양한네트워크맵에서다양한항목을삭제할수있습니다. 리미디에이션 시스템에는네트워크조건이관련상관관계정책또는규정준수화이트리스트를위반할경우방어센터에서자동으로시작하는위협요소제거를만들수있습니다. 이프로그램은문제를즉시해결할수없을때공격을자동으로완화할뿐만아니라시스템이조직의보안정책을준수함을보장할수있습니다. 리미디에이션을만드는것이외에도, 방어센터에는여러개의사전정의된위협요소제거모듈이기본제거됩니다. 가상어플라이언스라이센싱 다양한기능의라이센스를취득하여조직에최적의 FireSIGHT 시스템구축을만들수있습니다. 방어센터자체와여기에서관리하는기기의라이센스를관리하려면방어센터를사용해야합니다. 방어센터의초기설정과정에서조직이구매한라이센스를추가하는것이좋습니다. 그렇지않을경우초기설정중등록하는기기는방어센터에라이센스가없는상태로추가됩니다. 초기설정과정을마친다음각기기에서라이센스를개별적으로활성화해야합니다. 자세한내용은 4-1 페이지의가상어플라이언스설정을참조하십시오. FireSIGHT 라이센스는구매한각방어센터에포함되어있으며호스트, 애플리케이션, 사용자검색을수행하는데필요합니다. 방어센터의 FireSIGHT 라이센스에따라, 방어센터를사용하여모니터링할수있는개별호스트및사용자의수, 관리되는기기, 사용자제어를수행하는데사용할수있는사용자수가결정됩니다. 가상방어센터의경우이 5 만개의개별호스트및사용자로제한됩니다. 방어센터에서이전에버전 4.10.x 를실행중이었다면 FireSIGHT 라이센스대신레거시 RNA 호스트및 RUA 사용자라이센스를사용할수있습니다. 자세한내용은 4-10 페이지의라이센스설정을참조하십시오. 추가모델별라이센스에서는관리되는기기로다음과같이다양한기능을수행할수있습니다. 보호 제어 보호라이센스에서는가상기기가침입감지및방지, 파일제어, 보안인텔리전스필터링을수행할수있습니다. 제어라이센스에서는가상기기가사용자및애플리케이션제어를수행할수있습니다. 가상기기는제어라이센스 ( 스위칭또는라우팅 ) 로 Series 2 및 Series 3 기기에부여된하드웨어기반기능을지원하지않지만, 가상방어센터는물리적기기에서이러한기능을관리할수있습니다. 제어라이센스에는보호라이센스가필요합니다. URL 필터링 URL 필터링라이센스에서는가상기기가정기적으로업데이트되는클라우드기반범주및평판데이터를사용하고모니터링되는호스트에서요청한 URL을기준으로네트워크를이동할수있는트래픽을결정합니다. URL 필터링라이센스에는보호라이센스가필요합니다. 1-10

1 장가상어플라이언스소개 가상어플라이언스라이센싱 악성코드 VPN 악성코드라이센스에서는가상기기가네트워크에서전송된파일에서악성코드를감지및차단하는네트워크기반 AMP 를수행할수있습니다. 또한네트워크에서전송된파일을추적하는전파흔적분석을볼수있습니다. 악성코드라이센스에는보호라이센스가필요합니다. VPN 라이센스에서는가상방어센터를사용하여 Series 3 기기의가상라우터사이또는 Series 3 기기에서원격기기또는다른타사 VPN 엔드포인트로보안 VPN 터널을구축할수있습니다. VPN 라이센스에는보호및제어라이센스가필요합니다. 아키텍처및리소스제한으로인해, 일부라이센스를관리되는모든기기에적용할수없습니다. 일반적으로기기가지원하지않는기능의라이센스를취득할수없습니다. 1-3 페이지의가상어플라이언스기능이해를참조하십시오. 다음표에는가상방어센터에추가하고각기기모델에적용할수있는라이센스가요약되어있습니다. 기기행은방어센터를포함한관리하는방어센터를사용하여해당라이센스를기기에적용할수있는지여부를나타냅니다. 방어센터행 (FireSIGHT 를제외한모든라이센스 ) 은방어센터에서라이센스를기기 ( 가상기기포함 ) 에적용할수있는가여부를나타냅니다. 예를들어, DC500 은 URL 필터링라이센스를가상기기에적용할수없습니다. 예를들어, 가상방어센터를사용하여 Series 3 기기를이용한 VPN 구축을만들수있지만, DC500 을사용하여가상기기를이용한범주및평판기반 URL 필터링을수행할수없습니다. 해당없음표시는관리되는기기와관련없는방어센터기반라이센스를나타냅니다. 표 1-4 모델별지원되는라이센스 모델 FireSIGHT 보호 제어 URL 필터링 악성코드 VPN Series 2 기기 : 해당없음 자동, 보안인텔 아니요 아니요 아니요 아니요 3D500/1000/2000 리전스없음 3D2100/2500/ 3500/4500 3D6500 3D9900 Series 3 기기 : 7000 Series 8000 Series 해당없음예예예예예 가상기기 해당없음 예 예. 단, 하드웨어 기능에는지원되 지않음 Sourcefire Software for X-Series Cisco ASA with FirePOWER Services 해당없음 예 예. 단, 하드웨어기능에는지원되지않음 해당없음 예 예. 단, 하드웨어 기능에는지원되 지않음 DC500 Series 2 방어센터 예 예. 단, 보안인텔 리전스없음 예. 단, 사용자제어없음 예예아니요 예예아니요 예예아니요 아니요아니요예 1-11

보안, 인터넷액세스, 통신포트 1 장가상어플라이언스소개 표 1-4 모델별지원되는라이센스 ( 계속 ) 모델 FireSIGHT 보호제어 URL 필터링악성코드 VPN DC1000/3000 Series 2 방어센터 DC750/1500/3500 Series 3 방어센터 예예예예예예 예예예예예예 가상방어센터예예예예예예 라이센싱에대한자세한내용은 FireSIGHT 시스템사용설명서의 FireSIGHT 시스템장에서라이센싱을참조하십시오. 보안, 인터넷액세스, 통신포트 방어센터를보호하려면보호된내부네트워크에설치해야합니다. 방어센터에서필수서비스와사용가능한포트만사용하도록구성한경우에도방화벽밖의공격이방어센터 ( 또는관리되는기기 ) 에도달할수없도록해야합니다. 방어센터및관리되는기기가동일네트워크에상주하는경우기기의관리인터페이스를방어센터와동일한보호된내부네트워크에연결할수있습니다. 그럼으로써방어센터에서기기를안전하게제어할수있습니다. 어플라이언스를구축하는방식과상관없이어플라이언스간통신은암호화됩니다. 하지만 DDoS(Distributed Denial of Service) 또는중간자 (man-in-the-middle) 등의공격으로어플라이언스간통신이중단, 차단, 변경되지않도록조치를취해야합니다. 또한 FireSIGHT 시스템의특정기능에는인터넷연결이필요합니다. 기본적으로모든어플라이언스는인터넷에직접연결할수있도록구성됩니다. 또한특정포트는보안어플라이언스액세스를제공하고특정시스템기능이올바르게작동하는데필요한로컬또는인터넷리소스에액세스할수있도록개방하여기본적인어플라이언스간통신을제공해야합니다. 팁 Sourcefire Software for X-Series 및 Cisco ASA with FirePOWER Services 를제외하고 FireSIGHT 시스템어플라이언스는프록시서버사용을지원합니다. 자세한내용은 FireSIGHT 시스템사용설명서를참조하십시오. 자세한내용은다음을참조하십시오. 1-12 페이지의인터넷액세스요구사항 1-13 페이지의통신포트요구사항 인터넷액세스요구사항 가상방어센터는기본적으로개방되는 443/tcp(HTTPS) 및 80/tcp(HTTP) 포트에서인터넷에직접연결하도록구성되었습니다. 가상기기에서포트 443 은기기에서동적분석을위한파일을제출할수있도록악성코드라이센스를활성화할경우에만개방됩니다. 자세한내용은 1-13 페이지의통신포트요구사항을참조하십시오. FireSIGHT 가상어플라이언스는프록시서버를지원합니다. 자세한내용은 FireSIGHT 시스템사용설명서를참조하십시오. 다음표는 FireSIGHT 시스템의특정기능에대한인터넷액세스요구사항을설명합니다. 1-12

1 장가상어플라이언스소개 보안, 인터넷액세스, 통신포트 표 1-5 FireSIGHT 시스템기능의인터넷액세스요구사항 기능인터넷액세스가필요한이유어플라이언스 동적분석 : 쿼리 동적분석 : 제출 FireAMP 통합 침입규칙, VDB, GeoDB 업데이트 이전에동적분석을위해제출한파일의위협스코어를확인하기위해종합보안인텔리전스클라우드에쿼리 동적분석을위해종합보안인텔리전스클라우드로파일제출 종합보안인텔리전스클라우드에서엔드포인트기반 (FireAMP) 악성코드이벤트수신침입규칙, GeoDB 또는 VDB 업데이트를어플라이언스로직접다운로드하거나다운로드일정예약 방어센터 관리되는기기 방어센터 방어센터 네트워크기반 AMP 악성코드클라우드조회수행방어센터 RSS 피드대시보드위젯 Cisco 를포함한외부소스에서 RSS 피드데이터다운로드 보안인텔리전스필터링 시스템소프트웨어업데이트 FireSIGHT 시스템인텔리전트피드를포함한외부소스에서보안인텔리전스피드데이터다운로드시스템업데이트를어플라이언스로직접다운로드하거나다운로드일정예약 가상기기, X-Series, ASA FirePOWER 를제외한모든기기 방어센터 가상기기, X-Series, ASA FirePOWER 를제외한모든기기 URL 필터링 액세스제어를위해클라우드기반 URL 방어센터 범주및평판데이터다운로드, 분류되지않은 URL에대한조회수행 whois 외부호스트의 whois 정보요청 가상기기, X-Series, ASA FirePOWER를제외한모든기기 통신포트요구사항 FireSIGHT 시스템어플라이언스는기본적으로포트 8305/tcp 를사용하는양방향 SSL- 암호화통신을사용하여통신합니다. 이포트는기본적어플라이언스간통신을위해반드시개방되어있어야합니다. 개방된다른포트를통해다음과같은작업을수행할수있습니다. 어플라이언스의웹인터페이스에액세스 어플라이언스로안전하게원격연결 시스템의특정기능이올바르게작동하는데필요한로컬또는인터넷리소스에액세스 일반적으로기능과관련된포트는관련기능을활성화또는구성할때까지닫은상태를유지해야합니다. 예를들어, 방어센터를사용자에이전트에연결할때까지에이전트통신포트 (3306/tcp) 를닫아야합니다. 다른예를들어, LOM 포트를활성화하기전까지 Series 3 어플라이언스에서 623/udp 포트를닫아두어야합니다. 1-13

보안, 인터넷액세스, 통신포트 1 장가상어플라이언스소개 주의 개방된포트를닫음으로써구축에어떤영향을미칠지이해하기전까지개방된포트를닫지마십시오. 예를들어, 관리되는기기블록에서아웃바운드 25/tcp(SMTP) 포트를닫을경우기기가개별침입이벤트에대한이메일알림을전송할수없습니다 (FireSIGHT 시스템사용설명서참조 ). 다른예를들어, 포트 443/tcp(HTTPS) 를닫아물리적관리되는기기의웹인터페이스에대한액세스를비활성화할수있지만, 그럴경우기기가의심되는악성코드파일을동적분석을위해종합보안인텔리전스클라우드로제출하지못하게됩니다. 일부통신포트는변경할수있습니다. 시스템과인증서버간연결을구성할경우 LDAP 및 RADIUS 인증에대해사용자정의포트를지정할수있습니다. FireSIGHT 시스템사용설명서를참조하십시오. 관리포트 (8305/tcp) 를변경할수있습니다. FireSIGHT 시스템사용설명서를참조하십시오. 하지만기본설정을유지하는것이좋습니다. 관리포트를변경하는경우구축에서서로통신해야하는모든어플라이언스에대해변경해야합니다. 32137/tcp 포트를사용하면업그레이드된방어센터에서종합보안인텔리전스클라우드와통신할수없습니다. 하지만, 버전 5.3 이상의초기설치에대한기본설정인포트 443 으로전환하는것이좋습니다. 자세한내용은 FireSIGHT 시스템사용설명서를참조하십시오. 다음표는 FireSIGHT 시스템기능을완전히활용하기위해각어플라이언스유형에필요한개방포트입니다. 표 1-6 FireSIGHT 시스템기능및작동을위한기본통신포트 포트설명방향개방위치목적 22/tcp SSH/SSL 양방향모든기기어플라이언스에대한안전한원격연결허용 25/tcp SMTP 아웃바운드모든기기어플라이언스의이메일알림및경고전송 53/tcp DNS 아웃바운드모든기기 DNS 사용 67/udp 68/udp DHCP 아웃바운드 X-Series를제외 한모든기기 80/tcp HTTP 아웃바운드 가상기기, X-Series, ASA FirePOWER 를제외한모든기기 DHCP 사용 참고이러한포트는기본적으로닫혀있습니다. RSS 피드대시보드위젯에서원격웹서버에연결 양방향 방어센터 HTTP를통해사용자정의및타사보안인텔리전 스피드업데이트 161/udp SNMP 양방향 X-Series 및 ASA FirePOWER 를제외한모든기기 URL 범주및평판데이터다운로드 ( 포트 443도필요 ) SNMP 폴링을통해어플라이언스의 MIB에대한액세스허용 162/udp SNMP 아웃바운드모든기기 SNMP 경고를원격트랩서버로전송 389/tcp 636/tcp LDAP 아웃바운드 가상기기및 X-Series를제외 한모든기기 외부인증을위해 LDAP 서버와통신 1-14

1 장가상어플라이언스소개 보안, 인터넷액세스, 통신포트 표 1-6 FireSIGHT 시스템기능및작동을위한기본통신포트 ( 계속 ) 포트설명방향개방위치목적 389/tcp 636/tcp LDAP 아웃바운드방어센터감지된 LDAP 사용자의메타데이터가져오기 443/tcp HTTPS 인바운드 가상기기, X-Series, ASA FirePOWER 를제외한모든기기 443/tcp HTTPS AMQP 클라우드통신 양방향방어센터가져오기 : Series 2 및 Series 3 기기 Series 3, 가상기기, X-Series, ASA FirePOWER 어플라이언스의웹인터페이스에액세스 소프트웨어, 침입규칙, VDB, GeoDB 업데이트 URL 범주및평판데이터 ( 포트 80 도필요 ) 집합적보안인텔리전트피드및다른보안인텔리전스피드 엔드포인트기반 (FireAMP) 악성코드이벤트 네트워크트래픽에서감지된파일의악성코드처리 전송된파일에대한동적분석정보 기기의로컬웹인터페이스를사용하여소프트웨어업데이트다운로드동적분석을위해파일제출 514/udp syslog 아웃바운드모든기기원격 syslog 서버에대한경보전송 623/udp SOL/LOM 양방향 Series 3 SOL(Serial Over LAN) 연결을사용하여 Lights-Out 관리수행 1500/tcp 2000/tcp 1812/udp 1813/udp 3306/tcp 인바운드 TCP 방어센터 타사클라이언트의데이터베이스에대한읽기전 용액세스허용 RADIUS 양방향 가상기기, X-Series, ASA FirePOWER 를제외한모든기기 사용자에이 전트 외부인증및계정관리를위해 RADIUS 서버와통신 인바운드방어센터사용자에이전트와통신 8302/tcp estreamer 양방향 가상기기및 X-Series를제외 한모든기기 estreamer 클라이언트와통신 8305/tcp 기기관리양방향모든기기구축의어플라이언스간안전하게통신. 필수. 1-15

보안, 인터넷액세스, 통신포트 1 장가상어플라이언스소개 표 1-6 FireSIGHT 시스템기능및작동을위한기본통신포트 ( 계속 ) 포트 설명 방향 개방위치 목적 8307/tcp 호스트입력 양방향 방어센터 호스트입력클라이언트와통신 클라이언트 32137/tcp 클라우드통신 양방향 방어센터 업그레이드된방어센터와종합보안인텔리전스 클라우드클라우드의통신허용 1-16

2 장 가상어플라이언스구축 가상디바이스와가상방어센터를사용하면가상환경에보안솔루션을구축하여물리적및가상자산에대한보호를강화할수있습니다. 가상디바이스및가상방어센터 ( 으 ) 로 VMWare 플랫폼에보안솔루션을손쉽게구현할수있습니다. 또한가상디바이스를사용하면리소스가제한적일수있는원격사이트에서디바이스를손쉽게구축및관리할수있습니다. 물리적또는가상방어센터를사용하여물리적또는가상디바이스를관리하는예시를보여주고있습니다. IPv4 또는 IPv6 네트워크에구축할수있습니다. 주의 Cisco 에서는운영네트워크트래픽과신뢰하는관리네트워크트래픽을다른네트워크세그먼트에유지할것을권고하고있습니다. 어플라이언스및관리트래픽데이터스트림을보호하기위한주의사항을준수해야합니다. 이장에는다음에대한구축예제가있습니다. 2-1 페이지의일반 FireSIGHT 시스템구축 2-2 페이지의 VMWare 가상어플라이언스구축 일반 FireSIGHT 시스템구축 물리적어플라이언스환경에서일반적 FireSIGHT 시스템구축은물리적디바이스와물리적방어센터를사용합니다. 다음그래픽은구축예제입니다. 아래와같이디바이스 A 와디바이스 C 를인라인컨피그레이션에구축하고디바이스 B 를수동컨피그레이션으로구축할수있습니다. 2-1

VMWare 가상어플라이언스구축 2 장가상어플라이언스구축 대부분의네트워크스위치에서포트미러링을구성하여한스위치포트 ( 또는전체 VLAN) 에서볼수있는네트워크패킷의복사본을네트워크모니터링연결로전송할수있습니다. 포트미러링은주요네트워크장비제공업체에서 SPAN(Switch Port Analyzer) 이라고도하며네트워크트래픽모니터링기능을제공합니다. 디바이스 B 는서버 A 와서버 B 사이의스위치에있는 SPAN 포트를통해서버 A 와서버 B 사이의트래픽을모니터링합니다. VMWare 가상어플라이언스구축 다음가상어플라이언스구축시나리오에서일반구축예를참조하십시오. 2-2페이지의가상화및가상디바이스추가 2-3페이지의인라인탐지에가상디바이스사용 2-4페이지의가상방어센터추가 2-5페이지의원격사무실구축사용 가상화및가상디바이스추가 가상인프라를사용하여 2-1 페이지의일반 FireSIGHT 시스템구축의물리적내부서버를교체할수있습니다. 다음예에서 ESXi 호스트를사용하고서버 A 와서버 B 를가상화할수있습니다. 가상디바이스를사용하여서버 A 와서버 B 사이의트래픽을모니터링할수있습니다. 가상디바이스센싱인터페이스는아래그림과같이무차별모드 (promiscuous mode) 트래픽을수신하는스위치또는포트그룹에연결해야합니다. 2-2

2 장가상어플라이언스구축 VMWare 가상어플라이언스구축 참고 모든트래픽을감지하려면디바이스센싱인터페이스가연결된가상스위치또는포트그룹에서무차별모드트래픽을허용해야합니다. 3-9 페이지의가상기기인터페이스구성을참조하십시오. 예제에는하나의센싱인터페이스만있지만가상디바이스에서기본적으로두개의센싱인터페이스를사용할수있습니다. 가상디바이스관리인터페이스는신뢰하는관리네트워크및방어센터에연결됩니다. 인라인탐지에가상디바이스사용 가상디바이스의인라인인터페이스세트를통해트래픽을이동하여가상서버주위에보안경계를제공할수있습니다. 이시나리오는 2-1 페이지의일반 FireSIGHT 시스템구축및 2-2 페이지의가상화및가상디바이스추가의예제를기준으로합니다. 가장먼저, 보호된가상스위치를만들고가상서버에연결합니다. 그런다음, 보호된스위치를가상디바이스를통해외부네트워크에연결합니다. 자세한내용은 FireSIGHT 시스템사용설명서를참조하십시오. 2-3

VMWare 가상어플라이언스구축 2 장가상어플라이언스구축 참고 모든트래픽을감지하려면디바이스센싱인터페이스가연결된가상스위치또는포트그룹에서무차별모드트래픽을허용해야합니다. 3-9 페이지의가상기기인터페이스구성을참조하십시오. 가상디바이스는침입정책에따라서버 A 및서버 B 에대한트래픽을모니터링하고악성트래픽을삭제합니다. 가상방어센터추가 ESXi 호스트에가상방어센터를구축하고아래그림과같이가상네트워크및물리적네트워크에연결합니다. 이시나리오는 2-1 페이지의일반 FireSIGHT 시스템구축및 2-3 페이지의인라인탐지에가상디바이스사용의예제를기준으로합니다. 가상방어센터에서 NIC2 를통해신뢰하는관리네트워크로연결할경우가상방어센터에서물리적및가상디바이스를관리할수있습니다. Cisco 가상디바이스는필수애플리케이션소프트웨어가사전구성되어있으므로 ESXi 호스트에구축하여실행할수있습니다. 이경우복잡한하드웨어및소프트웨어호환성문제가감소하므로더욱빠르게가속화하고 FireSIGHT 시스템의이점에주력할수있습니다. ESXi 호스트에가상서버, 가상방어센터, 가상디바이스를구축하고, 아래그림과같이가상방어센터에서구축을관리할수있습니다. 2-4

2 장가상어플라이언스구축 VMWare 가상어플라이언스구축 네트워크트래픽을모니터링하려면가상디바이스의센싱연결을허용해야합니다. 가상스위치또는해당스위치에서가상인터페이스가연결되는포트그룹은무차별모드트래픽을허용해야합니다. 그럴경우가상디바이스가다른장비또는네트워크장비로보내는패킷을읽을수있습니다. 이예에서 P 포트그룹은무차별모드트래픽을허용하도록설정되어있습니다. 3-9 페이지의가상기기인터페이스구성을참조하십시오. 가상어플라이언스관리연결은더일반적인 non-promiscuous mode 연결입니다. 가상방어센터에서는가상디바이스에명령및제어를제공합니다. ESXi 호스트의네트워크인터페이스카드 ( 이예에서 NIC2) 를통해연결할경우가상방어센터에액세스할수있습니다. 가상방어센터및가상디바이스관리연결을설정하는방법은 4-7 페이지의가상방어센터네트워크설정자동화및 4-3 페이지의 CLI 를사용하여가상기기설정을참조하십시오. 원격사무실구축사용 가상디바이스는리소스가제한적인원격사무실을모니터링하는이상적방법입니다. 아래그림과같이 ESXi 호스트에가상디바이스를구축하고로컬트래픽을모니터링할수있습니다. 2-5

VMWare 가상어플라이언스구축 2 장가상어플라이언스구축 네트워크트래픽을모니터링하려면가상디바이스의센싱연결을허용해야합니다. 그러려면센싱인터페이스가연결된가상스위치또는포트그룹에서무차별모드트래픽을허용해야합니다. 그럴경우가상디바이스가다른장비또는네트워크장비로보내는패킷을읽을수있습니다. 이예에서는모든 vswitch3 가무차별모드트래픽을허용하도록설정되어있습니다. vswitch3 도 NIC3 을통해 SPAN 포트로연결되어있어원격사무실의스위치를통과하는트래픽을모니터링할수있습니다. 3-9 페이지의가상기기인터페이스구성을참조하십시오. 가상디바이스는반드시방어센터로관리해야합니다. ESXi 호스트의네트워크인터페이스카드 ( 이예에서 NIC2) 를통해연결할경우가상방어센터에액세스할수있습니다. 디바이스를각각다른지리적위치에구축할경우디바이스를보호되지않은네트워크로부터격리함으로써디바이스및데이터스트림을보호해야합니다. 그러려면 VPN 또는다른보안터널링프로토콜에서디바이스의데이터스트림을전송합니다. 가상디바이스관리연결을설정하는방법은 4-3 페이지의 CLI 를사용하여가상기기설정을참조하십시오. 2-6

3 장 가상어플라이언스설치 Cisco 에서는지원사이트의 VMWare ESXi 호스트환경을위해패키지형가상어플라이언스를압축된아카이브 (.tar.gz) 파일로제공합니다. Cisco 가상어플라이언스는버전 7 가상하드웨어와함께가상머신으로패키징됩니다. 가상어플라이언스는 VI( 가상인프라 ) 또는 ESXi OVF(Open Virtual Format) 템플릿으로구축합니다. VI OVF 템플릿으로구축할경우구축의설정마법사를사용하여 FireSIGHT 시스템의필수설정 ( 예 : 관리계정의비밀번호및어플라이언스가네트워크에서통신할수있는설정 ) 을구성할수있습니다. 관리하는플랫폼, 즉, VMware vcloud Director 또는 VMware vcenter 로구축해야합니다. ESXi OVF 템플릿으로구축할경우설치후가상어플라이언스의 VMWare 콘솔에 CLI(Command Line Interface) 를사용하여설정을구성해야합니다. 관리하는플랫폼 (VMware vcloud Director 또는 VMware vcenter) 으로구축하거나독립형어플라이언스로구축할수있습니다. 참고 Cisco 가상어플라이언스의 VMWare 스냅샷은지원되지않습니다. 이장의지침을사용하여 Cisco 가상어플라이언스를다운로드, 설치, 구성하십시오. 가상호스트환경을만드는방법은 VMWare ESXi 설명서를참조하십시오. 다음절차에따라가상어플라이언스를설치및구성한다음전원을켜서초기화하고다음장에설명된대로초기설정프로세스를시작합니다. 가상어플라이언스제거에대한자세한내용은 3-10 페이지의가상어플라이언스제거를참조하십시오. Cisco 가상어플라이언스를설치및구축하는방법 1 단계계획된구축이 1-5 페이지의운영환경조건에설명된전제조건을충족하는지확인합니다. 2 단계지원사이트에서올바른아카이브파일을얻고적절한저장매체로복사한다음압축을풉니다. 3-2 페이지의설치파일얻기를참조하십시오. 3 단계웹포털 VMware vcloud Director 또는 vsphere Client 를사용하여가상어플라이언스를설치하되, 전원을끄지마십시오. 3-3 페이지의가상어플라이언스설치를참조하십시오. 4 단계네트워크, 하드웨어, 메모리설정을확인및조정합니다. 3-8 페이지의설치후중요설정업데이트를참조하십시오. 5 단계가상인터페이스의센싱인터페이스가 ESXi 호스트가상스위치에올바르게연결되었는지확인합니다. 3-9 페이지의가상기기인터페이스구성을참조하십시오. 3-1

설치파일얻기 3 장가상어플라이언스설치 설치파일얻기 Cisco 에서는가상어플라이언스를설치할수있는방어센터용압축아카이브 (.tar.gz) 파일하나와기기용파일하나를제공합니다. 각아카이브에는다음파일이포함되어있습니다. 파일이름에 -ESXi- 가포함된 Open Virtual Format(.ovf) 템플릿 파일이름에 -VI- 가포함된 Open Virtual Format(.ovf) 템플릿 파일이름에 -ESXi- 가포함된매니페스트파일 (.mf) 파일이름에 -VI- 가포함된매니페스트파일 (.mf) 가상머신디스크형식 (.vmdk) 가상어플라이언스를설치하기전에지원사이트에서올바른아카이브파일을얻으십시오. 언제나이용가능한최신패키지를사용하는것이좋습니다. 가상어플라이언스패키지는일반적으로주버전의시스템소프트웨어와연결되어있습니다 ( 예 : 5.2 또는 5.3). 가상어플라이언스아카이브파일을얻는방법 1 단계지원계정의사용자이름과비밀번호를사용하여지원사이트 (https://support.sourcefire.com/) 에로그인합니다. 2단계 Downloads( 다운로드 ) 를클릭하고표시되는페이지에서 3D System(3D 시스템 ) 탭을선택한다음설치하려는시스템소프트웨어의주버전을클릭합니다. 예를들어, 버전 5.3.1 아카이브파일을다운로드하려면 Downloads( 다운로드 ) > 3D System(3D 시스템 ) > 5.3을클릭합니다. 3 단계다음의명명법에따라가상기기또는가상방어센터용으로다운로드할아카이브파일을검색합니다. Sourcefire_3D_Device_Virtual64_VMware-X.X.X-xxx.tar.gz Sourcefire_Defense_Center_Virtual64_VMware-X.X.X-xxx.tar.gz 여기서, X.X.X-xxx는다운로드하려는아카이브파일의버전및빌드번호입니다. 페이지의적절한섹션을보려면페이지의왼쪽에있는링크중하나를클릭합니다. 예를들어, FireSIGHT 시스템의버전 5.3.1용아카이브파일을보려면 5.3 Virtual Appliances(5.3 가상어플라이언스 ) 를클릭합니다. 4단계다운로드하려는아카이브를클릭합니다. 파일다운로드가시작됩니다. 팁 지원사이트에로그인되어있는동안에는가상어플라이언스를주버전으로설치한다음시스템소프트웨어를업데이트할수있도록가상어플라이언스에사용가능한모든업데이트를다운로드하는것이좋습니다. 또한항상어플라이언스에서지원하는최신버전의시스템소프트웨어를실행해야합니다. 방어센터의경우새로운침입규칙및 VDB(Vulnerability Database) 도모두다운로드해야합니다. 5 단계 vsphere Client 또는 VMware vcloud Director 웹포털을실행하는워크스테이션또는서버가액세스할수있는위치로아카이브파일을복사합니다. 주의아카이브파일을이메일로전송하지마십시오. 파일이손상될수있습니다. 3-2

3 장가상어플라이언스설치 가상어플라이언스설치 6단계선호하는툴을사용하여아카이브파일의압축을풀고설치파일을추출합니다. 가상기기 : Sourcefire_3D_Device_Virtual64_VMware-X.X.X-xxx-disk1.vmdk Sourcefire_3D_Device_Virtual64_VMware-ESXi-X.X.X-xxx.ovf Sourcefire_3D_Device_Virtual64_VMware-ESXi-X.X.X-xxx.mf Sourcefire_3D_Device_Virtual64_VMware-VI-X.X.X-xxx.ovf Sourcefire_3D_Device_Virtual64_VMware-VI-X.X.X-xxx.mf 가상방어센터 : Sourcefire_Defense_Center_Virtual64_VMware-X.X.X-xxx-disk1.vmdk Sourcefire_Defense_Center_Virtual64_VMware-ESXi-X.X.X-xxx.ovf Sourcefire_Defense_Center_Virtual64_VMware-ESXi-X.X.X-xxx.mf Sourcefire_Defense_Center_Virtual64_VMware-VI-X.X.X-xxx.ovf Sourcefire_Defense_Center_Virtual64_VMware-VI-X.X.X-xxx.mf 여기서, X.X.X-xxx는다운로드한아카이브파일의버전및빌드번호입니다. 모든파일을동일한디렉토리에보관합니다. 7 단계가상어플라이언스설치를계속해서가상어플라이언스를구축합니다. 가상어플라이언스설치 가상어플라이언스를설치하려면플랫폼인터페이스 (VMware vcloud Director 웹포털또는 vsphere Client) 를사용하여관리하는플랫폼 (VMware vcloud Director 또는 VMware vcenter) 에 OVF(VI 또는 ESXi) 템플릿을구축합니다. VI OVF 템플릿을구축하는경우설치중 FireSIGHT 시스템의필수설정을구성할수있습니다. VMware vcloud Director 또는 VMware vcenter 를사용하여이가상어플라이언스를관리해야합니다. ESXi OVF 템플릿을사용하여구축할경우설치후 FireSIGHT 시스템의필수설정을구성해야합니다. 이가상어플라이언스를 VMware vcloud Director 또는 VMware vcenter 를사용하여관리하거나독립형어플라이언스로사용할수있습니다. 계획된구축이전제조건 (1-5 페이지의운영환경조건에서설명 ) 을충족하는지확인하고필요한아카이브파일을다운로드한다음 VMware vcloud Director 웹포털또는 vsphere Client 를사용하여가상어플라이언스를설치합니다. 가상어플라이언스설치에대해다음설치옵션이있습니다. 가상방어센터 : Sourcefire_Defense_Center_Virtual64_VMware-VI-X.X.X-xxx.ovf Sourcefire_Defense_Center_Virtual64_VMware-ESXi-X.X.X-xxx.ovf 가상기기 : Sourcefire_3D_Device_Virtual64_VMware-VI-X.X.X-xxx.ovf Sourcefire_3D_Device_Virtual64_VMware-ESXi-X.X.X-xxx.ovf 여기서, X.X.X-xxx 는사용하려는파일의버전및빌드번호입니다. 다음표는구축에필요한정보입니다. 3-3

가상어플라이언스설치 3 장가상어플라이언스설치 표 3-1 VMWare OVF 템플릿 설정 Import/Deploy OVF Template(OVF 템플릿가져오기 / 구축 ) OVF Template Details(OVF 템플릿상세정보 ) Name and Location( 이름및위치 ) Host / Cluster( 호스트 / 클러스터 ) Disk Format( 디스크형식 ) Network Mapping( 네트워크매핑 ) 작업 앞절차에서사용하기위해다운로드한 OVF 템플릿을탐색합니다. 설치하는어플라이언스 ( 가상방어센터또는가상기기 ) 및구축옵션 (VI 또는 ESXi) 을확인합니다. 가상어플라이언스에고유하고의미있는이름을입력하고어플라이언스의인벤토리위치를선택합니다. 가상기기에서만기기를구축하려는호스트또는클러스터를선택합니다. 가상디스크를저장할형식 (thick provision lazy zeroed, thick provision eager zeroed 또는 thin provision) 을선택합니다. 가상어플라이언스의관리인터페이스를선택합니다. VI OVF 템플릿을구축할경우설치프로세스에서가상방어센터의기본설정및가상기기의전체초기설정을수행할수있습니다. 다음을지정할수있습니다. 관리계정의새로운비밀번호 어플라이언스가관리네트워크에서통신할수있는네트워크설정 가상기기에서만초기감지모드 가상기기에서만관리하는방어센터 ESXi OVF 템플릿으로구축하거나설정마법사로구성하지않을경우 VMWare 콘솔을사용하여가상어플라이언스의초기설정을수행해야합니다. 지정할컨피그레이션에대한지침을포함하여, 초기설정수행에대한자세한내용은 4-1 페이지의가상어플라이언스설정을참조하십시오. 다음중한가지옵션을사용하여가상어플라이언스를설치합니다. 3-4 페이지의 VMware vcloud Director 웹포털로설치에서는가상어플라이언스를 VMware vcloud Director 에구축하는방법에대해설명합니다. 3-7 페이지의 vsphere Client 로설치에서는가상어플라이언스를 VMware vcenter 에구축하는방법에대해설명합니다. 네트워크설정및감지모드에대해이해하려면 4-3 페이지의 CLI 를사용하여가상기기설정및 4-6 페이지의가상방어센터설정을참조하십시오. VMware vcloud Director 웹포털로설치 VMware vcloud Director 웹포털을사용하여다음단계에따라가상어플라이언스를구축할수있습니다. vapp 템플릿을포함할조직과카탈로그를만듭니다. 자세한내용은 VMware vcloud Director 사용설명서를참조하십시오. FireSIGHT 시스템가상어플라이언스 OVF 패키지를 vapp 템플릿으로카탈로그에업로드합니다. 자세한내용은 3-5 페이지의가상어플라이언스 OVF 패키지업로드를참조하십시오. 3-4

3 장가상어플라이언스설치 가상어플라이언스설치 vapp 템플릿을사용하여가상어플라이언스를만듭니다. 자세한내용은 3-5 페이지의 vapp 템플릿사용를참조하십시오. 가상어플라이언스 OVF 패키지업로드 다음 OVF 패키지를 VMware vcloud Director 조직카탈로그에업로드할수있습니다. 가상방어센터 : Sourcefire_Defense_Center_Virtual64_VMware-VI-X.X.X- xxx.ovf 가상기기 : Sourcefire_3D_Device_Virtual64_VMware-VI-X.X.X-xxx.ovf 여기서, X.X.X-xxx는다운로드하려는 OVF 패키지의버전및빌드번호입니다. 가상어플라이언스 OVF 패키지를업로드하는방법 1 단계 VMware vcloud Director 웹포털에서 Catalogs( 카탈로그 ) > Organization( 조직 ) > vapp Templates(vApp 템플릿 ) 을선택합니다. 여기서, Organization( 조직 ) 은 vapp 템플릿을포함하려는조직의이름입니다. 2단계 vapp Templates(vApp 템플릿 ) 미디어탭에서업로드아이콘 ( ) 을클릭합니다. Upload OVF package as a vapp Template(OVF 패키지를 vapp 템플릿으로업로드 ) 팝업창이나타납니다. 3 단계 OVF 패키지필드에서 OVF 패키지의위치를입력하거나 Browse( 검색 ) 를클릭하여 OVF 패키지로이동합니다. 가상방어센터 : Sourcefire_Defense_Center_Virtual64_VMware-VI-X.X.X-xxx.ovf 가상기기 : Sourcefire_3D_Device_Virtual64_VMware-VI-X.X.X-xxx.ovf 여기서, X.X.X-xxx 는다운로드하려는 OVF 패키지의버전및빌드번호입니다. 4 단계 OVF 패키지의이름과설명 ( 선택사항 ) 을입력합니다. 5 단계드롭다운목록에서가상데이터센터, 스토리지프로파일, vapp 템플릿을포함할카탈로그를선택합니다. 6단계 Upload( 업로드 ) 를클릭하여 OVF 패키지를 vapp 템플릿을카탈로그에업로드합니다. OVF 패키지가조직카탈로그로업로드합니다. 7 단계 vapp 템플릿사용을계속하여 vapp 템플릿에서가상어플라이언스를만듭니다. vapp 템플릿사용 vapp 템플릿을사용하여가상어플라이언스를만들면설정마법사로설치하는동안 FireSIGHT 시스템의필수설정을구성할수있습니다. 마법사의각페이지에서설정을지정한다음 Next( 다음 ) 를클릭하여계속합니다. 절차를완료하기전에마법사의마지막페이지에서설정을확인할수있습니다. 3-5

가상어플라이언스설치 3 장가상어플라이언스설치 vapp 템플릿을사용하여가상어플라이언스를만드는방법 1 단계 VMware vcloud Director 웹포털에서 My Cloud( 내클라우드 ) > vapps 를선택합니다. 2단계 vapps 미디어탭에서추가아이콘 ( ) 을클릭하여카탈로그의 vapp을추가합니다. Add vapp from Catalog( 카탈로그의 vapp 추가 ) 창이나타납니다. 3단계템플릿메뉴모음에서 All Templates( 모든템플릿 ) 를클릭합니다. 사용가능한모든 vapp 템플릿의목록이표시됩니다. 4 단계추가할 vapp 템플릿을선택하여가상어플라이언스에대한설명을표시합니다. 가상방어센터 : Sourcefire_Defense_Center_Virtual64_VMware-VI-X.X.X-xxx.ovf 가상기기 : Sourcefire_3D_Device_Virtual64_VMware-VI-X.X.X-xxx.ovf 여기서, X.X.X-xxx는아카이브파일의버전및빌드번호입니다. EULA( 최종사용자라이센스계약 ) 가나타납니다. 5단계 EULA를읽고동의합니다. Name this vapp( 이 vapp 이름지정 ) 화면이나타납니다. 6단계 vapp의이름과설명 ( 선택사항 ) 을입력합니다. Configure Resources( 리소스구성 ) 화면이나타납니다. 7단계 Configure Resources( 리소스구성 ) 화면에서가상데이터베이스를선택하고컴퓨터이름을입력하고 ( 또는기본컴퓨터이름사용 ) 스토리지프로파일을선택합니다. Network Mapping( 네트워크매핑 ) 화면이나타납니다. 8단계외부, 관리, 내부소스및 IP 할당의대상을선택하여 OVF 템플릿에사용된네트워크를인벤토리의네트워크로매핑합니다. Custom Properties( 맞춤형속성 ) 화면이나타납니다. 9단계또는, Custom Properties( 맞춤형속성 ) 화면의설정마법사에서 FireSIGHT 시스템의필수설정을입력하여어플라이언스의초기설정을수행합니다. 지금초기설정을수행하지않을경우 4-1페이지의가상어플라이언스설정의지침에따라나중에수행할수있습니다. 가상어플라이언스의컨피그레이션을표시하는 Ready to Complete( 완료준비 ) 화면이나타납니다. 10 단계설정을확인하고 Finish( 마침 ) 를클릭합니다. 참고 가상기기의 Power on after deployment( 구축후전원켜기 ) 옵션을활성화하지마십시오. 센싱인터페이스를매핑하고어플라이언스전원을켜기전에연결하도록설정해야합니다. 자세한내용은 4-2 페이지의가상어플라이언스초기화를참조하십시오. 11 단계 3-8 페이지의설치후중요설정업데이트에서계속하십시오. 3-6

3 장가상어플라이언스설치 가상어플라이언스설치 vsphere Client 로설치 vsphere Client 를사용하여 VI OVF 또는 ESXi OVF 템플릿으로구축할수있습니다. VI OVF 템플릿을사용하여구축할경우어플라이언스를 VMware vcenter 또는 VMware vcloud Director 로관리해야합니다. ESXi OVF 템플릿을사용하여구축할경우어플라이언스를 VMware vcenter, VMware vcloud Director 로관리하거나독립형호스트로구축할수있습니다. 각각의경우에설치후 FireSIGHT 시스템의필수설정을구성해야합니다. 마법사의각페이지에서설정을지정한다음 Next( 다음 ) 를클릭하여계속합니다. 절차를완료하기전에마법사의마지막페이지에서설정을확인할수있습니다. vsphere Client 를사용하여가상어플라이언스를설치하는방법 1단계 vsphere Client를사용하여 File( 파일 ) > Deploy OVF Template(OVF 템플릿구축 ) 을클릭하여앞에서다운로드한 OVF 템플릿파일을구축합니다. Source( 소스 ) 화면이나타나면드롭다운목록에서구축할템플릿을검색할수있습니다. 2 단계드롭다운목록에서구축할 OVF 템플릿을선택합니다. 가상방어센터 : Sourcefire_Defense_Center_Virtual64_VMware-VI-X.X.X-xxx.ovf Sourcefire_Defense_Center_Virtual64_VMware-ESXi-X.X.X-xxx.ovf 가상기기 : Sourcefire_3D_Device_Virtual64_VMware-VI-X.X.X-xxx.ovf Sourcefire_3D_Device_Virtual64_VMware-ESXi-X.X.X-xxx.ovf 여기서, X.X.X-xxx 는다운로드한아카이브파일의버전및빌드번호입니다. OVF Template Details(OVF 템플릿상세정보 ) 화면이나타납니다. 3 단계올바른가상머신을선택했는지확인합니다. ESXi OVF 템플릿 : Name and Location( 이름및위치 ) 화면이나타납니다. VI OVF 템플릿 : EULA( 최종사용자라이센스계약 ) 화면이나타납니다. EULA를읽고동의하면 Name and Location( 이름및위치 ) 화면이나타납니다. 4단계텍스트필드에가상어플라이언스의이름을입력하고어플라이언스를구축하려는인벤토리위치를선택합니다. Host / Cluster( 호스트 / 클러스터 ) 화면이나타납니다. 5단계템플릿을구축할호스트또는클러스터를선택합니다. Specific Host( 특정호스트 ) 화면이나타납니다. 6단계클러스터안에서템플릿을구축하려는특정호스트를선택합니다. Storage( 스토리지 ) 화면이나타납니다. 7단계가상머신의대상스토리지를선택합니다. Disk Format( 디스크형식 ) 화면이나타납니다. 3-7

설치후중요설정업데이트 3 장가상어플라이언스설치 8 단계다음옵션중에서가상디스크를저장할형식을선택합니다. thick provision lazy zeroed thin provision eager zeroed thin provision Network Mapping( 네트워크매핑 ) 화면이나타납니다. 9 단계템플릿을구축할네트워크를선택합니다. ESXi OVF 템플릿 : ESXi Finish(ESXi 마침 ) 화면이나타납니다. VI OVF 템플릿 : Properties( 속성 ) 화면이나타납니다. 어플라이언스에대한 FireSIGHT 시스템의필수설정을입력하거나나중에설정을완료하도록클릭하고설정을확인한다음 Finish( 마침 ) 를클릭합니다. 참고 가상기기의 Power on after deployment( 구축후전원켜기 ) 옵션을활성화하지마십시오. 센싱인터페이스를매핑하고어플라이언스전원을켜기전에연결하도록설정해야합니다. 자세한내용은 4-2 페이지의가상어플라이언스초기화를참조하십시오. 10 단계설치가완료되면상태창을닫습니다. 11 단계설치후중요설정업데이트에서계속하십시오. 설치후중요설정업데이트 가상어플라이언스를설치한다음가상어플라이언스의하드웨어및메모리설정이구축요구사항을충족하는지확인해야합니다. 기본설정은시스템소프트웨어를실행하는데필요한최소설정이므로기본설정을줄이지마십시오. 하지만성능을향상하려면가용리소스에따라가상어플라이언스의메모리와 CPU 수를늘릴수있습니다. 다음표는기본어플라이언스설정입니다. 표 3-2 기본가상어플라이언스설정 설정기본값조정가능여부 메모리 4GB 예, 가상기기의경우반드시다음을할당합니다. 최소 4GB 가상 CPU 4 예, 최대 8 개 하드디스크프로비저닝크기 40GB( 기기 ) 250GB( 방어센터 ) 범주및평판기준 URL 필터링을사용하기위한 5GB 많은동적피드를사용하여보안인텔리전스필터링을추가하기위한 6GB URL 필터링및보안인텔리전스를추가하기위한 7GB 아니요 3-8

3 장가상어플라이언스설치 가상기기인터페이스구성 다음절차는가상어플라이언스의하드웨어및메모리설정을확인및조정하는방법에대해설명합니다. 가상어플라이언스설정을확인하는방법 : 1단계새로운가상어플라이언스의이름을마우스오른쪽버튼으로클릭한다음콘텍스트메뉴에서 Edit Settings( 설정편집 ) 를선택하거나메인창의 Getting Started( 시작하기 ) 탭에서 Edit virtual machine settings( 가상머신설정편집 ) 를클릭합니다. Hardware( 하드웨어 ) 탭이표시된 Virtual Machine Properties( 가상머신속성 ) 팝업창이나타납니다. 2단계 3-8페이지의표 3-2기본가상어플라이언스설정에설명된대로, Memory( 메모리 ), CPU, Hard disk 1( 하드디스크 1) 설정이기본값미만으로설정되지않았는지확인합니다. 어플라이언스의메모리설정및가상 CPU 수가창왼쪽에나열됩니다. 하드디스크의 Provisioned Size( 프로비저닝된크기 ) 를보려면 Hard disk 1( 하드디스크 1) 을클릭합니다. 3 단계또는창왼쪽에서적절한설정을클릭하여메모리및가상 CPU 의수를높인다음창오른쪽에서변경사항을지정합니다. 4 단계 Network adapter 1( 네트워크어댑터 1) 설정이다음과같이확인하고, 필요에따라변경합니다. Device Status( 기기상태 ) 아래에서 Connect at power on( 전원켤때연결 ) 확인란을활성화합니다. Mac Address(Mac 주소 ) 아래에서가상어플라이언스관리인터페이스의 MAC 주소를수동으로설정합니다. MAC 주소가변경되거나동적풀의다른시스템과충돌하지않도록 MAC 주소를가상기기로수동으로할당합니다. 또한, 가상방어센터에서 MAC 주소를수동으로설정하면어플라이언스를이미지로다시설치해야할경우 Cisco 에서라이센스를다시요청하지않아도됩니다. Network Connection( 네트워크연결 ) 에서 Network label( 네트워크레이블 ) 을가상어플라이언스의관리네트워크이름으로설정합니다. 5단계 OK( 확인 ) 를클릭합니다. 변경내용이저장됩니다. 6 단계다음단계는설치한어플라이언스유형에따라달라집니다. 가상방어센터를초기화할준비가되었습니다. 4-1 페이지의가상어플라이언스설정에서계속하십시오. 가상기기는몇가지추가컨피그레이션이필요합니다. 가상기기인터페이스구성에서계속하십시오. 가상기기인터페이스구성 가상기기의인터페이스는프로미스큐어스모드를허용하는 ESXi 호스트가상스위치의포트에대한네트워크연결이있어야합니다. 팁 가상스위치에포트그룹을추가하여운영트래픽에서프로미스큐어스모드가상네트워크연결을격리합니다. 포트그룹추가및보안속성설정에대한자세한내용은 VMWare 설명서를참조하십시오. 3-9

가상어플라이언스제거 3 장가상어플라이언스설치 프로미스큐어스모드를허용하는방법 1 단계 vsphere Client 를사용하여서버에로그인하고서버의 Configuration( 컨피그레이션 ) 탭을클릭합니다. Hardware( 하드웨어 ) 및 Software( 소프트웨어 ) 섹션목록이나타납니다. 2단계 Hardware( 하드웨어 ) 목록에서 Networking( 네트워킹 ) 을클릭합니다. 가상스위치다이어그램이나타납니다. 3 단계가상기기의센싱인터페이스를연결하는스위치및포트그룹에서 Propertie( 속성 ) 를클릭합니다. Switch Propertie( 속성전환 ) 팝업창이나타납니다. 4 단계 Switch Properties( 속성전환 ) 팝업창에서 Edit( 편집 ) 을클릭합니다. Detailed Properties( 상세속성 ) 팝업창이나타납니다. 5 단계 Detailed Propertie( 상세속성 ) 팝업창에서 Security( 보안 ) 탭을선택합니다. Policy Exceptions( 정책예외 ) > Promiscuous Mode( 프로미스큐어스모드 ) 에서 Promiscuous Mode( 프로미스큐어스모드 ) 가 Accept( 허용 ) 로설정되어있는지확인합니다. 팁 가상환경의 VLAN 트래픽을모니터링하려면프로미스큐어스포트의 VLAN ID 를 4095 로설정합니다. 6단계변경내용을저장합니다. 기기를초기화할수있습니다. 7 단계다음장, 4-1 페이지의가상어플라이언스설정에서계속하십시오. 가상어플라이언스제거 가상어플라이언스를제거해야하는경우가있습니다. 가상어플라이언스를종료한다음가상어플라이언스를삭제하여제거합니다. 팁 가상기기를제거한다음반드시센싱연결가상스위치포트그룹을기본설정인 Promiscuous Mode( 프로미스큐어스모드 ): Reject( 거부 ) 로복원하십시오. 자세한내용은 3-9 페이지의가상기기인터페이스구성을참조하십시오. 가상어플라이언스종료 다음절차에따라가상어플라이언스를올바르게종료합니다. 가상어플라이언스를종료하는방법 1단계 VMWare 콘솔에서관리자 ( 가상기기의경우 CLI Configuration(CLI 컨피그레이션 )) 권한이있는사용자로로그인합니다. 가상기기를사용하는경우 expert를입력하여셸프롬프트를표시합니다. 어플라이언스의프롬프트가나타납니다. 3-10

3 장가상어플라이언스설치 가상어플라이언스제거 2단계가상어플라이언스를종료합니다. 가상방어센터에서 sudo shutdown -h now를입력합니다. 가상기기에서 system shutdown을입력합니다. 가상어플라이언스가종료됩니다. 가상어플라이언스삭제 가상어플라이언스의전원을끈다음가상어플라이언스를삭제할수있습니다. 다음절차에따라 VMware vcloud Director에구축된가상어플라이언스를삭제합니다. VMware vcloud Director 웹포털을사용하여가상어플라이언스를삭제하는방법 1단계 My Cloud( 내클라우드 ) > vapp을선택하고삭제하려는 vapp을마우스오른쪽버튼으로클릭한다음메뉴에서 Delete( 삭제 ) 를클릭하고확인팝업창에서 Yes( 예 ) 를클릭합니다. 가상어플라이언스가제거됩니다. 다음절차에따라 VMware vcenter 에구축된가상어플라이언스를삭제합니다. vsphere Client 를사용하여가상어플라이언스를삭제하는방법 1단계 vsphere Client에서어플라이언스이름을클릭하고 Inventory( 인벤토리 ) 메뉴를사용하여 Delete( 삭제 ) 를클릭한다음확인대화상자에서 Yes( 예 ) 를클릭합니다. 가상어플라이언스가제거됩니다. 3-11

가상어플라이언스제거 3 장가상어플라이언스설치 3-12

4 장 가상어플라이언스설정 가상어플라이언스를설치한다음새어플라이언스가신뢰하는관리네트워크에서통신할수있도록설정프로세스를완료해야합니다. 또한관리자비밀번호를변경하고 EULA( 최종사용자라이센스계약 ) 에동의해야합니다. 설정프로세스에서는시간설정, 기기등록및라이센싱, 업데이트예약등관리수준의많은초기작업을실행할수있습니다. 설정및등록중선택하는옵션에따라기본인터페이스, 인라인세트, 시스템에서만들고적용하는정책이결정됩니다. 이러한초기컨피그레이션및정책의목적은아웃 - 오브 - 더 - 박스환경을제공하고옵션을제한하는대신구축을빠르게설정할수있도록돕는것입니다. 기기를초기에어떻게구성하는지와상관없이, 방어센터를사용하여해당컨피그레이션을언제든지변경할수있습니다. 예를들어, 설정중감지모드또는액세스제어정책을선택할경우반드시특정기기, 영역또는정책컨피그레이션을사용해야하는것은아닙니다. VI OVF 템플릿구축 다음다이어그램은 VI OVF 템플릿으로구축하는경우가상방어센터및관리되는기기를설치하는일반적프로세스입니다. ESXi OVF 템플릿구축 다음다이어그램은 ESXi VI 템플릿으로구축하는경우가상방어센터및관리되는기기를설치하는일반적프로세스입니다. 구축방법과상관없이어플라이언스전원을켜고초기화합니다. 초기화가완료된후 VMWare 콘솔을사용하여로그인하고어플라이언스유형에따라다음중한가지방법으로설정을완료합니다. 4-1

가상어플라이언스초기화 4 장가상어플라이언스설정 가상기기 가상기기에는웹인터페이스가없습니다. VI OVF 템플릿으로구축할경우구축마법사를사용하여방어센터에등록하는작업을포함하여기기의초기설정을수행할수있습니다. ESXi OVF 템플릿으로구축할경우대화형 CLI(Command Line Interface) 를사용해야합니다. 가상방어센터 VI OVF 템플릿으로구축할경우구축시마법사를사용하여네트워크컨피그레이션을수행할수있습니다. 설정마법사를사용하지않거나 ESXi OVF 템플릿으로구축할경우스크립트를사용하여네트워크설정을구성합니다. 네트워크를구성한후관리네트워크의컴퓨터를사용하여설정프로세스를완료하고방어센터의웹인터페이스로이동합니다. 팁 여러어플라이언스를구축하는경우우선기기를설정한다음이러한기기를관리하는방어센터를설정합니다. 기기의초기설정프로세스에서는기기를방어센터에사전등록할수있으며, 방어센터설정프로세스에서는사전등록된관리되는기기를추가및라이센싱할수있습니다. 자세한내용은다음을참조하십시오. 4-2페이지의가상어플라이언스초기화 4-3페이지의 CLI를사용하여가상기기설정 4-6페이지의가상방어센터설정 4-12페이지의다음단계 가상어플라이언스초기화 가상어플라이언스를설치한다음처음으로가상어플라언스의전원을켜면초기화가자동으로시작됩니다. 주의 시작시간은서버리소스가용성을포함한여러요소에따라달라집니다. 초기화가완료될때까지최대 40 분이소요됩니다. 초기화를중단하지마십시오. 그렇지않으면어플라이언스를삭제하고다시시작해야할수있습니다. 다음절차를사용하여가상어플라이언스를초기화합니다. 가상어플라이언스를초기화하는방법 1 단계어플라이언스의전원을켭니다. VMware vcloud Director 웹포털화면에서 vapp 을선택한다음 Start( 시작 ) 를클릭합니다. vsphere Client 의인벤토리목록에서가져온가상어플라이언스의이름을마우스오른쪽버튼으로클릭한다음콘텍스트메뉴에서 Power( 전원 ) > Power On( 전원켜기 ) 을선택합니다. 2 단계 VMWare 콘솔탭에서초기화를모니터링합니다. 이프로세스중가장긴두부분에서메시지가나타납니다. 프로세스가종료되면로그인프롬프트가나타납니다. 4-2

4 장가상어플라이언스설정 CLI 를사용하여가상기기설정 다음단계는어플라이언스유형과구축에따라다릅니다. VI OVF 템플릿을사용하고구축중 FireSIGHT 시스템의필수설정을구성한경우 가상방어센터의경우 4-6 페이지의가상방어센터설정을계속하여설정을완료합니다. 가상기기의경우추가컨피그레이션이필요하지않습니다. ESXi OVF 템플릿을사용했거나 VI OVF 템플릿으로구축할때 FireSIGHT 시스템의필수설정을구성하지않은경우 가상방어센터의경우 4-6 페이지의가상방어센터설정을계속하고스크립트로네트워크설정을구성하여가상방어센터를설정합니다. 가상기기의경우 4-3 페이지의 CLI 를사용하여가상기기설정을계속하고 CLI 를사용하여가상기기를설정합니다. CLI 를사용하여가상기기설정 가상기기에는웹인터페이스가없으므로 ESXi OVF 템플릿으로구축한경우 CLI 를사용하여가상기기를설정해야합니다. 또한 VI OVF 템플릿으로구축하면서구축중설정마법사를사용하지않은경우 CLI 를사용하여 FireSIGHT 시스템의필수설정을사용해야할수있습니다. 팁 VI OVF 템플릿으로구축하면서설정마법사를사용한경우가상기기는구성되어있으며추가작업이필요하지않습니다. 새로구성된기기에처음으로로그인하면 EULA 를읽고동의해야합니다. 그런다음설정프롬프트에따라관리자비밀번호를변경하고기기의네트워크설정과감지모드를구성합니다. 설정프롬프트를따를때선택형질문의경우 (y/n) 과같이선택사항이괄호안에나열됩니다. 기본값은 [y] 와같이대괄호에나열됩니다. Enter 를눌러선택을확인합니다. CLI 는물리적기기의설정웹페이지와거의동일한설정정보에대한메시지를표시합니다. 자세한내용은 FireSIGHT 시스템설치가이드를참조하십시오. 팁 초기설정을마친후가상기기에대해이러한설정을변경하려면 CLI 를사용해야합니다. 자세한내용은 FireSIGHT 시스템사용설명서에서명령행참조장을참조하십시오. 기기네트워크설정이해 FireSIGHT 시스템에서는 IPv4 및 IPv6 관리환경에이중스택구현을제공합니다. IPv4 또는 IPv6 관리 IP 주소, 넷마스크또는접두사길이, 기본게이트웨이를설정해야합니다. 또한최대 3 개의 DNS 서버와기기의호스트이름및도메인을지정할수있습니다. 호스트이름은기기를재부팅하기전까지 syslog 에반영되지않습니다. 감지모드이해 가상기기에대해선택하는감지모드에따라시스템이초기에기기인터페이스를구성하는방식및이러한인터페이스가인라인세트또는보안영역에속하는지가결정됩니다. 감지모드는나중에변경할수있는설정이아니며시스템이기기의초기컨피그레이션을맞춤설정하는데도움이되도록설정과정에서선택하는옵션에불과합니다. 일반적으로, 기기가구축된방식을기준으로감지모드를선택해야합니다. 4-3

CLI 를사용하여가상기기설정 4 장가상어플라이언스설정 수동 기기가 IDS(Intrusion Detection System) 로수동으로구축된경우이모드를선택합니다. 수동구축에서가상기기는네트워크기반파일및악성코드감지, 보안인텔리전스모니터링, 네트워크검색을수행할수있습니다. 인라인 기기가 IPS( 침입방지시스템 ) 로인라인으로구축된경우이모드를선택합니다. 참고 IPS 구축은일반적으로 Fail Open 및일치하지않는트래픽을허용하지만가상기기의인라인세트는바이패스기능이없습니다. 네트워크검색 기기가호스트, 애플리케이션, 사용자검색만수행하도록수동적으로구축된경우이모드를선택합니다. 다음표는사용자가선택하는감지모드에따라시스템에서생성하는인터페이스, 인라인세트, 영역입니다. 표 4-1 감지모드에따른초기컨피그레이션 감지모드보안영역인라인세트인터페이스 인라인 내부및외부 기본인라인세트 첫번째페어가기본인라인세트에 추가됨 ( 하나는내부, 다른하나는 외부영역 ) 수동수동없음첫번째페어가수동모드에할당됨 네트워크검색수동없음첫번째페어가수동모드에할당됨 보안영역은사용자가실제로기기를방어센터에추가할때까지시스템에서생성하지않는방어센터수준컨피그레이션입니다. 이때방어센터에이미적절한영역 ( 내부, 외부, 수동 ) 이있는경우등록시스템이목록의인터페이스를기존영역에추가합니다. 영역이없을경우시스템에서영역을만들고인터페이스를추가합니다. 인터페이스, 인라인세트, 보안영역에대한자세한내용은 FireSIGHT 시스템사용설명서를참조하십시오. CLI 를사용하여가상기기를설정하는방법 액세스 : 관리 1단계 VMWare 콘솔에서사용자이름으로 admin을사용하고구축설정마법사에서지정한새로운관리자계정비밀번호를사용하여가상기기에로그인합니다. 마법사를사용하여비밀번호를변경하지않았거나 ESXi OVF 템플릿으로구축하는경우비밀번호로 Cisco를사용합니다. 기기에즉시 EULA를읽으라는메시지가표시됩니다. 2 단계 EULA 를읽고동의합니다. 3단계 admin 계정의비밀번호를변경합니다. 이계정의액세스수준은컨피그레이션 CLI이며삭제할수없습니다. 대문자, 소문자, 1개이상의숫자가포함된 8자이상의영숫자로만든강력한비밀번호를사용하는것이좋습니다. 사전에나오는단어를사용하지마십시오. 4-4

4 장가상어플라이언스설정 CLI 를사용하여가상기기설정 4단계기기의네트워크설정을구성합니다. IPv4 및 IPv6 관리설정을차례로구성 ( 또는비활성화 ) 합니다. 네트워크설정을수동으로지정하는경우다음작업을해야합니다. 넷마스크를포함한 IPv4 주소를점으로구분된 10 진수로입력합니다. 예를들어, 넷마스크로 255.255.0.0 을지정할수있습니다. IPv6를콜론으로구분된 16진수양식으로입력합니다. IPv6 접두사의경우비트수를지정합니다. 예를들어, 접두사길이로 112를입력합니다. 설정이구현되면 VMWare 콘솔에메시지가표시될수있습니다. 5단계기기를구축한방식에따라감지모드를지정합니다. 설정이구현되면 VMWare 콘솔에메시지가표시될수있습니다. 마쳤으면기기가이기기를방어센터에등록하도록다시알려주고 CLI 프롬프트를표시합니다. 6단계기기를관리할방어센터에기기를등록하기위해 CLI를사용하려면 4-5페이지의가상기기를방어센터에등록을참조하십시오. 방어센터를사용하여기기를관리해야합니다. 지금기기를등록하지않으면나중에방어센터에추가하기전에로그인하고등록해야합니다. 가상기기를방어센터에등록 가상기기에웹인터페이스가없을경우 CLI 를사용하여가상기기를물리적또는가상방어센터에등록해야합니다. 기기의 CLI 에이미로그인되어있는초기설정프로세스중기기를방어센터에등록하는것이가장쉬운방법입니다. 기기를등록하려면 configure manager add 명령을사용합니다. 기기를방어센터에등록하려면항상자체생성된고유한영숫자등록키가필요합니다. 이키는사용자가지정하는간단한키이며라이센스키와동일하지않습니다. 대부분의경우등록키와함께방어센터의 IP 주소를입력해야합니다. 예를들면다음과같습니다. configure manager add XXX.XXX.XXX.XXX my_reg_key 여기서, XXX.XXX.XXX.XXX 는관리하는방어센터의 IP 주소이며 my_reg_key 는가상기기에입력한등록키입니다. 참고 vsphere Client 를사용하여가상기기를방어센터에등록할경우관리하는방어센터의 IP 주소 ( 호스트이름이아님 ) 를사용해야합니다. 하지만기기와방어센터가 NAT(Network Address Translation) 기기로구분되지않은경우등록키와고유한 NAT ID 를입력하고 IP 주소대신 DONTRESOLVE 를지정합니다. 예를들면다음과같습니다. configure manager add DONTRESOLVE my_reg_key my_nat_id 여기서, my_reg_key 는가상기기에대해입력한등록키이며 my_nat_id 는 NAT 기기의 NAT ID 입니다. 가상기기를방어센터에등록하는방법 액세스 : CLI 컨피그레이션 1 단계 CLI 컨피그레이션 ( 관리자 ) 권한이있는사용자로가상기기에로그인합니다. VMWare 콘솔에서초기설정을수행하는경우필요한액세스수준이있는 admin 사용자로이미로그인되어있는것입니다. 4-5

가상방어센터설정 4 장가상어플라이언스설정 그렇지않을경우 VMWare 콘솔을사용하여기기에로그인합니다. 기기의네트워크설정을이미구성한경우에는기기의 IP 주소또는호스트이름으로 SSH 를통해연결합니다. 2 단계프롬프트에서다음과같은구문을가진 configure manager add 명령을사용하여기기를방어센터에등록합니다. configure manager add {hostname IPv4_address IPv6_address DONTRESOLVE} reg_key [nat_id] 여기서, {hostname IPv4_address IPv6_address DONTRESOLVE} 는방어센터의 IP 주소를지정합니다. 방어센터의주소를직접지정할수없는경우 DONTRESOLVE 를사용합니다. reg_key 는방어센터에기기를등록하는데필요한고유한영숫자등록키입니다. nat_id 는방어센터와기기간등록프로세스에사용하는선택적영숫자문자열입니다. 이문자열은호스트이름이 DONTRESOLVE 로설정된경우필요합니다. 3 단계어플라이언스에서로그아웃합니다. 4 단계다음단계는관리하는방어센터를이미설정했는지여부와방어센터모델에따라달라집니다. 이미방어센터를설정한경우웹인터페이스로로그인하고 Device Management( 기기관리 )(Devices( 기기 ) > Device Management( 기기관리 )) 페이지를사용하여기기를추가합니다. 자세한내용은 FireSIGHT 시스템사용설명서에서기기관리장을참조하십시오. 이미방어센터를설정하지않은경우가상방어센터의경우 4-6 페이지의가상방어센터설정을참조하고물리적방어센터의경우 FireSIGHT 시스템설치가이드를참조하십시오. 가상방어센터설정 가상방어센터를설정하는데필요한단계는 VI OVF 템플릿또는 ESXi OVF 템플릿으로구축되었는지여부에따라달라집니다. VI OVF 템플릿으로구축하고설정마법사를사용한경우 FireSIGHT 시스템의필수설정을구성할때설정한비밀번호를사용하여가상방어센터로로그인한다음 FireSIGHT 시스템을사용하여로컬어플라이언스컨피그레이션을설정하고라이센스와기기를추가하며트래픽을모니터링및관리하기위한정책을적용합니다. 자세한내용은 FireSIGHT 시스템사용설명서를참조하십시오. ESXi OVF 템플릿을구축했거나 VI OVF 템플릿구축시 FireSIGHT 시스템의필수설정을구성하지않은경우가상방어센터설정은 2 단계프로세스입니다. 가상방어센터를초기화한다음어플라이언스가관리네트워크에서통신할수있도록구성할수있는 VMWare 콘솔에서스크립트를실행합니다. 그런다음관리네트워크에서컴퓨터를사용하여설정프로세스를완료하고어플라이언스의웹인터페이스를탐색합니다. ESXi OVF 템플릿으로가상방어센터를구축하고 VI OVF 템플릿으로모든가상기기를구축한경우 1 페이지설정마법사를통해가상방어센터에모든기기를동시에등록할수있습니다. 자세한내용은 4-7 페이지의초기설정페이지 : 가상방어센터를참조하십시오. 자세한내용은다음을참조하십시오. 4-7 페이지의가상방어센터네트워크설정자동화 4-7 페이지의초기설정페이지 : 가상방어센터 4-6

4 장가상어플라이언스설정 가상방어센터설정 가상방어센터네트워크설정자동화 새로운가상방어센터를초기화한다음어플라이언스가관리네트워크에서통신할수있도록하는설정을구성해야합니다. VMWare 콘솔에서스크립트를실행하여이단계를완료합니다. FireSIGHT 시스템에서는 IPv4 및 IPv6 관리환경에이중스택구현을제공합니다. 가장먼저, 스크립트에서 IPv4 관리설정을구성한다음 IPv6 를구성하라는메시지를표시합니다. IPv6 구축의경우로컬라우터에서설정을검색할수있습니다. IPv4 또는 IPv6 관리 IP 주소, 넷마스크또는접두사길이, 기본게이트웨이를입력해야합니다. 스크립트프롬프트를따를때선택형질문의경우 (y/n) 과같이선택사항이괄호안에나열됩니다. 기본값은 [y] 와같이대괄호에나열됩니다. Enter 를눌러선택을확인합니다. 스크립트를사용하여방어센터네트워크설정을구성하는방법 액세스 : 관리 1단계초기화프로세스가완료되면 VMWare 콘솔에서사용자이름으로 admin을사용하고 VI OVF 템플릿으로구축할때설정마법사에서지정한관리자계정에지정한비밀번호를사용하여가상방어센터에로그인합니다. 마법사를사용하여비밀번호를변경하지않았거나 ESXi OVF 템플릿으로구축하는경우비밀번호로 Cisco를사용합니다. 2 단계관리프롬프트에서다음스크립트를실행합니다. sudo /usr/local/sf/bin/configure-network 3단계스크립트의프롬프트를따릅니다. IPv4 및 IPv6 관리설정을차례로구성 ( 또는비활성화 ) 합니다. 네트워크설정을수동으로지정하는경우다음작업을해야합니다. 넷마스크를포함한 IPv4 주소를점으로구분된 10 진수로입력합니다. 예를들어, 넷마스크로 255.255.0.0 을지정할수있습니다. IPv6 를콜론으로구분된 16 진수양식으로입력합니다. IPv6 접두사의경우비트수를지정합니다. 예를들어, 접두사길이로 112 를입력합니다. 4단계설정이정확한지확인합니다. 설정을잘못입력한경우프롬프트에서 n을입력하고 Enter를입력합니다. 그런다음정확한정보를입력할수있습니다. 설정이구현되면 VMWare 콘솔에메시지가표시될수있습니다. 5 단계어플라이언스에서로그아웃합니다. 6 단계 4-7 페이지의초기설정페이지 : 가상방어센터를계속하고방어센터의웹인터페이스를사용하여설정을완료합니다. 초기설정페이지 : 가상방어센터 가상방어센터에대해방어센터의웹인터페이스에로그인하고설정페이지에서초기컨피그레이션옵션을지정하여설정프로세스를완료해야합니다. 관리자비밀번호를변경하고네트워크설정을지정한다음 ( 아직하지않은경우 ) EULA 에동의해야합니다. 설정프로세스에서는기기를등록및라이센싱할수도있습니다. 기기를등록하기전에기기자체에서설정프로세스를완료하고방어센터를원격관리자로추가해야하며, 그렇지않을경우등록이실패합니다. 4-7

가상방어센터설정 4 장가상어플라이언스설정 웹인터페이스를사용하여방어센터에서초기설정을완료하는방법 액세스 : 관리 1단계관리네트워크의컴퓨터에서지원되는브라우저로 https://dc_name/ 를표시합니다. 여기서, DC_name은앞절차에서방어센터의관리인터페이스에할당된호스트이름또는 IP 주소입니다. 로그인페이지가나타납니다. 2단계사용자이름으로 admin을사용하고 VI OVF 템플릿구축으로설정마법사에서지정한관리자계정비밀번호를사용하여로그인합니다. 마법사를사용하여비밀번호를변경하지않은경우비밀번호로 Cisco를사용합니다. 설정페이지가표시됩니다. 설정완료에대한자세한내용은다음섹션을참조하십시오. 4-8 페이지의비밀번호변경 4-8 페이지의네트워크설정 4-9 페이지의시간설정 4-9 페이지의반복규칙업데이트가져오기 4-9 페이지의반복위치업데이트 4-10 페이지의자동백업 4-10 페이지의라이센스설정 4-10 페이지의기기등록 4-11 페이지의최종사용자라이센스계약 3단계마쳤으면 Apply( 적용 ) 를클릭합니다. 선택사항에따라방어센터가구성됩니다. 중간페이지가나타나면웹인터페이스에관리자역할이있는 admin 사용자로로그인된것입니다. 4단계 Task Status( 작업상태 ) 페이지 (System( 시스템 ) > Monitoring( 모니터링 ) > Task Status( 작업상태 )) 를사용하여초기설정이성공적인지확인합니다. 페이지가 10초마다자동으로새로고쳐집니다. 초기기기등록및정책적용작업에대해 Completed( 완료 ) 가표시될때까지페이지를모니터링합니다. 설정과정에서침입규칙또는위치업데이트를구성한경우해당작업도모니터링할수있습니다. 방어센터를사용할준비가되었습니다. 구축구성에대한자세한내용은 FireSIGHT 시스템사용설명서를참조하십시오. 5 단계 4-12 페이지의다음단계에서계속하십시오. 비밀번호변경 admin 계정의비밀번호를변경해야합니다. 이계정에는관리자권한이있으며삭제할수없습니다. 대문자, 소문자, 1 개이상의숫자가포함된 8 자이상의영숫자로만든강력한비밀번호를사용하는것이좋습니다. 사전에나오는단어를사용하지마십시오. 네트워크설정 방어센터의네트워크설정을사용하면관리네트워크에서통신할수있습니다. 이미스크립트를사용하여네트워크설정을구성했으므로이페이지의섹션은이미채워져있습니다. 4-8

4 장가상어플라이언스설정 가상방어센터설정 미리채워진설정을변경할경우 FireSIGHT 시스템에서 IPv4 및 IPv6 관리환경둘다에대해이중스택구현을제공하는점을기억하십시오. 관리네트워크프로토콜 (IPv4, IPv6 또는둘다 ) 을지정해야합니다. 선택사항에따라, 설정페이지에 IPv4 또는 IPv6 관리 IP 주소, 넷마스크또는접두사길이, 기본게이트웨이를설정해야하는다양한필드가표시됩니다. IPv4 의경우주소와넷마스크를점으로구분된 10 진수형식으로설정해야합니다 ( 예 : 넷마스크 255.255.0.0). IPv6 넷마스크의경우 Assign the IPv6 address using router autoconfiguration( 라우터자동컨피그레이션을사용하여 IPv6 주소할당 ) 확인란을선택하여 IPv6 네트워크설정을자동으로할당합니다. 그렇지않을경우콜론으로구분된 16 진수형식의주소와접두사의비트수를설정해야합니다 ( 예 : 접두사길이 112). 또한최대 3 개의 DNS 서버와기기의호스트이름및도메인을지정할수있습니다. 시간설정 반복규칙업데이트가져오기 방어센터시간을수동으로설정하거나 NTP 서버의 NTP(Network Time Protocol) 를통해설정할수있습니다. 또한 admin 계정의로컬웹인터페이스에사용된시간대를지정할수있습니다. 팝업창을사용하여변경할현재시간대를클릭합니다. 물리적 NTP 서버를사용하여시간을설정하는것이좋습니다. 새로운취약성이알려지면 Cisco VRT(Vulnerability Research Team) 에서침입규칙업데이트를릴리스합니다. 규칙업데이트는업데이트된새로운침입규칙과전처리기규칙, 기존규칙의수정된상태, 수정된기본침입정책설정을제공합니다. 또한규칙업데이트는규칙을삭제하고새로운규칙범주와시스템변수를제공합니다. 구축에서침입감지및방지를수행하려는경우 Enable Recurring Rule Update Imports( 반복규칙업데이트가져오기활성화 ) 를수행하는것이좋습니다. Import Frequency( 가져오기빈도 ) 를지정하고시스템이규칙이업데이트된이후매번침입 Policy Reapply( 정책재적용 ) 를수행하도록구성할수있습니다. 초기컨피그레이션프로세스에서규칙업데이트를수행하려면 Install Now( 지금설치 ) 를선택합니다. 참고 규칙업데이트에는새로운이진이포함될수있습니다. 규칙업데이트다운로드및설치가보안정책을준수하는지확인합니다. 또한규칙업데이트규모가클수있으므로네트워크이용률이낮은시간동안규칙을가져오십시오. 반복위치업데이트 가상방어센터를사용하여시스템에서생성한이벤트와관련된라우팅된 IP 주소에대한위치정보를보고대시보드및 Context Explorer( 콘텍스트탐색기 ) 에서위치통계를모니터링할수있습니다. 방어센터의 GeoDB( 위치데이터베이스 ) 에는 IP 주소의관련 ISP(Internet Service Provider), 연결유형, 프록시정보, 정확한위치등의정보가포함됩니다. 일반 GeoDB 업데이트를활성화할경우시스템에서는최신위치정보를사용합니다. 구축에서위치관련분석을수행하려는경우 Enable Recurring Weekly Updates( 반복적주별업데이트활성화 ) 를수행하는것이좋습니다. 4-9

가상방어센터설정 4 장가상어플라이언스설정 GeoDB 의주별업데이트빈도를지정할수있습니다. 팝업창을사용하여변경할시간대를클릭합니다. 초기컨피그레이션프로세스에서데이터베이스를다운로드하려면 Install Now( 지금설치 ) 를선택합니다. 참고 GeoDB 업데이트는규모가클수있으며다운로드후설치까지최대 45 분이소요될수있습니다. GeoDB 는네트워크이용률이낮은시간동안업데이트해야합니다. 자동백업 방어센터에서는장애발생시컨피그레이션을복원할수있는데이터보관메커니즘을제공합니다. 초기설정과정에서 Enable Automatic Backups( 자동백업활성화 ) 를수행할수있습니다. 이설정을활성화하면방어센터의컨피그레이션을매주백업하는예약작업을만들수있습니다. 라이센스설정 다양한기능의라이센스를취득하여조직에최적의 FireSIGHT 시스템구축을만들수있습니다. 호스트, 애플리케이션, 사용자검색을수행하려면방어센터의 FireSIGHT 라이센스가필요합니다. 추가모델별라이센스에서는관리되는기기로다양한기능을수행할수있습니다. 아키텍처및리소스제한으로인해, 일부라이센스를관리되는모든기기에적용할수없습니다. 1-3 페이지의가상어플라이언스기능이해및 1-10 페이지의가상어플라이언스라이센싱을참조하십시오. 초기설정페이지를사용하여조직에서구입한라이센스를추가하는것이좋습니다. 지금라이센스를추가하지않을경우초기설정중등록하는기기는방어센터에라이센스가없는것으로추가됩니다. 그런다음초기설정프로세스가종료되면각각의기기를개별적으로라이센싱해야합니다. 팁 가상방어센터를다시만들고관리인터페이스에삭제된어플라이언스와동일한 MAC 주소를사용한경우기존라이센스를사용할수있습니다. 동일한 MAC 주소를사용할수없는경우 ( 예 : 동적으로할당된경우 ) 고객지원에문의하여새라이센스를얻으십시오. 이미라이센스를얻지않은경우 https://keyserver.sourcefire.com/ 에대한탐색링크를클릭하고화면의지침을따르십시오. 라이센스키 ( 초기설정페이지에나열 ) 및지원계약과연결된연락처에이메일로전송받은활성화키가필요합니다. 라이센스를텍스트상자로붙여넣어추가하고 Submit License( 라이센스제출 ) 를클릭합니다. 유효한라이센스를추가하면페이지가업데이트되고추가한라이센스를추적할수있습니다. 한번에하나의라이센스를추가하십시오. 기기등록 가상방어센터에서는 FireSIGHT 시스템에서지원하는모든가상또는물리적기기를관리할수있습니다. 초기설정프로세스중대부분의사전등록된기기를방어센터에추가할수있습니다. 하지만기기와방어센터가 NAT 기기로구분된경우설정프로세스가완료된후에추가해야합니다. 기기를등록할때등록된기기에액세스제어정책을적용하려면 Apply Default Access Control Policies( 기본액세스제어정책적용 ) 확인란을활성화된상태로둡니다. 방어센터에서각기기에어떤정책을적용하는지는선택할수없으며, 적용여부만선택할수있습니다. 각기기에적용되는정책은다음표와같이기기를구성할때선택한감지모드에따라달라집니다. 4-10

4 장가상어플라이언스설정 가상방어센터설정 표 4-2 감지모드인라인수동액세스제어 네트워크검색 감지모드별로적용되는기본액세스제어정책기본액세스제어정책기본침입방지기본침입방지기본액세스제어 기본네트워크검색 이전에기기를방어센터로관리하면서기기의초기인터페이스컨피그레이션을변경한경우예외가발생합니다. 이경우이새로운방어센터페이지에서적용하는정책은기기의변경된 ( 최신 ) 컨피그레이션에따라다릅니다. 구성된인터페이스가있는경우방어센터에서기본침입방지정책을적용합니다. 그렇지않을경우방어센터에서는기본액세스제어정책을적용합니다. 가상기기의감지모드에대한자세한내용은 4-3 페이지의 CLI 를사용하여가상기기설정을참조하십시오. 물리적기기의경우 FireSIGHT 시스템설치가이드를참조하십시오. 기기를추가하려면기기를등록할때지정한호스트이름또는 IP 주소와등록키를입력합니다. 이키는사용자가지정하는간단한키이며라이센스키와동일하지않습니다. 그런다음확인란을사용하여기기에라이센스가있는기능을추가합니다. 이미방어센터에추가한라이센스만선택할수있습니다. 또한다른라이센스를활성화하기전까지특정라이센스를활성화할수없습니다. 예를들어, 보호를활성화하기전까지기기에서제어를활성화할수없습니다. 아키텍처및리소스제한으로인해, 일부라이센스를관리되는모든기기에적용할수없습니다. 하지만설정페이지에서는관리되는기기에지원되지않는라이센스를활성화하거나모델별라이센스가없는기능을활성화할수있습니다. 그이유는방어센터에서아직기기모델을확인하지않았기때문입니다. 시스템에서는유효하지않은라이센스를활성화할수없으며, 유효하지않은라이센스를활성화하려고시도할경우사용가능한라이센스수가줄어들지않습니다. 자세한내용은 1-3 페이지의가상어플라이언스기능이해및 1-10 페이지의가상어플라이언스라이센싱을참조하십시오. 참고 Apply Default Access Control Policies( 기본액세스제어정책적용 ) 를활성화한경우인라인또는수동감지모드를선택한기기에서보호라이센스를활성화해야합니다. 또한인터페이스가구성된이전의관리되는기기에도보호을활성화해야합니다. 그렇지않을경우, 기본정책 ( 이경우보호필요 ) 을적용할수없습니다. 라이센스를활성화한이후 Add( 추가 ) 를클릭하여기기의등록설정을저장하고, 선택적으로기기를추가합니다. 잘못된옵션을선택했거나기기이름을잘못입력한경우 Delete( 삭제 ) 를클릭하여제거합니다. 그런다음기기를다시추가할수있습니다. 최종사용자라이센스계약 EULA 를주의하여읽고조항을준수하는것에동의할경우확인란을선택합니다. 입력한모든정보가올바른지확인하고 Apply( 적용 ) 를클릭합니다. 선택사항에따라방어센터가구성됩니다. 중간페이지가나타나면웹인터페이스에관리자역할이있는 admin 사용자로로그인된것입니다. 4-7 페이지의초기설정페이지 : 가상방어센터의 3 단계단계를계속실행하여방어센터의초기설정을완료합니다. 4-11

다음단계 4 장가상어플라이언스설정 다음단계 어플라이언스의초기설정프로세스를마치고성공적인지확인한다음구축을쉽게관리할수있는다양한관리작업을완료하는것이좋습니다. 또한기기등록, 라이센싱과같이초기설정중생략한작업을완료해야합니다. 다음섹션에서설명하는작업에대한자세한내용과구축구성을시작하는방법은 FireSIGHT 시스템사용설명서를참조하십시오. 개별사용자계정 초기설정을마치면시스템에는관리자역할및액세스권한을가진 admin 사용자한명만있습니다. 해당역할의사용자는셸또는 CLI 를통하는경우를포함하여시스템메뉴및컨피그레이션에완전히액세스할수있습니다. 보안및감사이유로 admin 계정 ( 및관리자역할 ) 의사용을제한하는것이좋습니다. 시스템을사용할각사용자에대해별도의계정을만들경우조직이각사용자의동작과각사용자에의한변경사항을감사할수있을뿐만아니라각사용자의관련사용자액세스역할을제한할수있습니다. 이러한조치는대부분의컨피그레이션및분석작업을수행하는방어센터에서특히중요합니다. 예를들어, 분석가는네트워크보안을분석하기위해이벤트데이터에대한액세스가필요할수있지만구축관리기능에는액세스가필요하지않을수있습니다. 시스템에는다양한관리자및분석가에맞게설계된 10 가지사전정의사용자역할이포함되어있습니다. 또한특수액세스권한을가진맞춤사용자역할을만들수도있습니다. 상태및시스템정책 기본적으로, 모든어플라이언스에는초기시스템정책이적용되어있습니다. 시스템정책은메일릴레이호스트기본설정, 시간동기화설정등구축에서복수어플라이언스에대해유사한경우가대부분인설정을관리합니다. 방어센터자체와여기에서관리하는모든기기에동일한시스템정책을적용하는것이좋습니다. 기본적으로, 방어센터에도상태정책이적용되어있습니다. 상태정책은상태모니터링기능에포함되어있으며구축된어플라이언스의성능을지속적으로모니터링하는기준을제공합니다. 방어센터를사용하여여기에서관리하는모든기기에상태정책을적용하는것이좋습니다. 소프트웨어및데이터베이스업데이트 구축을시작하기전에어플라이언스에서시스템소프트웨어를업데이트해야합니다. 구축된모든어플라이언스에서최신버전의 FireSIGHT 시스템을실행하는것이좋습니다. 구축에서최신버전을사용하고있는경우최신침입규칙업데이트, VDB, GeoDB 도설치해야합니다. 주의 FireSIGHT 시스템의일부를업데이트하기전에업데이트에포함된릴리스노트또는권고문구를반드시읽어야합니다. 릴리스노트는지원되는플랫폼, 호환성, 전제조건, 경고, 특정설치및제거지침과같은중요정보를제공합니다. 4-12

2024 © docsplayer.org 개인정보보호 | 약관 | 지원