액세스 제어는 빠른 경로가 아닌 네트워크 트래픽을 지정하고, 검사하고 로깅할 수 있는 정책 기반 기능입니다.

각 매니지드 디바이스는 하나의 액세스 제어 정책에 의해 대상이 될 수 있습니다. 네트워크 트래픽에 대한 정책의 대상 디바이스가 수집하는 정보를 사용하여 다음을 기반으로 트래픽을 필터링 및 제어할 수 있습니다.

• 소스와 목적지, 포트, 프로토콜 등 간단하고 쉽게 결정되는 전송 및 네트워크 레이어 특성

• 평판, 위험, 비즈니스 관련성, 사용된 애플리케이션 또는 방문한 URL 등의 특성을 비롯하여 트래픽에 대한 최신 상황 정보

• 영역, 사용자, 사용자 그룹 또는 ISE 속성

• 암호화된 트래픽의 특성(추가 분석을 위해 이 트래픽을 해독할 수도 있음)

• 암호화되지 않은 또는 해독된 트래픽에 금지된 파일, 탐지된 악성코드 또는 침입 시도가 포함되었는지 여부

• 시간 및 요일(지원되는 디바이스)

각 유형의 트래픽 검사와 제어는 유연성과 성능을 최대화할 수 있는 방식으로 발생합니다. 예를 들어, 평판에 기반한 차단은 단순한 소스 및 대상 데이터를 사용하므로 프로세스 초기에 금지된 트래픽을 차단할 수 있습니다. 반면, 침입과 익스플로잇의 탐지 및 차단은 최후의 방어 수단입니다.

새로 생성된 액세스 제어 정책은 기본 작업을 사용하여 모든 트래픽을 처리하도록 대상 디바이스에 지시합니다.

간단한 액세스 제어 정책에서 기본 작업은 대상 디바이스가 모든 트래픽을 처리하는 방법을 지정합니다. 보다 복잡한 정책에서 기본 작업은 다음과 같은 트래픽을 처리합니다.

• IAB(Intelligent Application Bypass)가 신뢰하지 않는 트래픽

• 보안 인텔리전스 차단 목록 제외

• SSL 검사에서 차단되지 않은 트래픽(암호화된 트래픽만 해당)

• 정책 내 규칙 중 어느 것과도 일치하지 않는 것입니다(트래픽에 일치시키거나 트래픽을 로깅하지만 처리하거나 검사하지는 않는 모니터링 규칙은 제외).

액세스 제어 정책 기본 작업을 사용하여 추가 검사 없이 트래픽을 차단하거나 신뢰할 수 있고, 침입 및 검색 데이터 트래픽을 검사할 수 있습니다.

참고	기본 작업에 의해 처리되는 트래픽에 대해서는 파일 또는 악성코드 검사를 수행할 수 없습니다. 기본 작업으로 처리되는 연결에 대한 로깅은 초기에는 비활성화되어 있지만 활성화할 수는 있습니다.

정책 상속을 사용하는 경우 가장 낮은 수준의 하위 항목에 대한 기본 작업에 따라 최종 트래픽 처리가 결정됩니다. 액세스 제어 정책은 기본 정책에서 기본 작업을 상속할 수 있지만 이 상속을 적용할 수는 없습니다.

다음 표는 각 기본 작업에 의해 처리된 트래픽에서 수행할 수 있는 검사 유형을 나열합니다.

다음 다이어그램은 테이블을 보여 줍니다.

다음 다이어그램은 Block All Traffic(모든 트래픽 차단) 및 Trust All Traffic(모든 트래픽 신뢰) 기본 작업을 설명합니다.

다음 다이어그램은 Intrusion Prevention(침입 방지) 및 Network Discovery Only(네트워크 검색 한정) 기본 작업을 설명합니다.

팁	Network Discovery Only의 목적은 검색 전용 구축 작업의 성능을 향상하는 것입니다. 침입 탐지 및 방지만 사용하려는 경우 다른 구성으로 검색을 비활성화할 수 있습니다.

심층 검사는 트래픽이 원하는 대상에 도달하도록 허용하기 전에 최종 방어선으로서 침입 및 파일 정책을 사용합니다.

• 침입 정책은 시스템의 침입 방지 기능을 제어합니다.

  자세한 내용은 침입 탐지 및 방지를 참조하십시오.

• 파일 정책은 시스템의 파일 제어 및 AMP for Networks 기능을 제어합니다.

  자세한 내용은 파일 정책 및 악성코드 보호를 참조하십시오.

액세스 제어는 심층 검사 전에 이루어집니다. 액세스 제어 규칙 및 액세스 제어 기본 작업은 정책 및 파일 정책으로 어떤 트래픽을 검사할지 결정합니다.

침입 또는 파일 정책을 액세스 제어 규칙과 연결하여 시스템이 액세스 제어 규칙의 조건과 일치하는 트래픽이 통과하기 전에 침입 정책이나 파일 정책 또는 두 정책을 모두 사용하여 우선 트래픽을 검사하도록 할 수 있습니다.

액세스 제어 정책에서는 하나의 침입 정책을 각 허용 및 인터랙티브 차단 규칙 및 기본 작업과 연결할 수 있습니다. 모든 고유한 침입 정책 및 변수 집합의 쌍은 하나의 정책으로 계산됩니다.

침입 및 파일 정책을 액세스 제어 규칙과 결합하려면 다음을 확인합니다.

• 침입 방지를 수행하는 액세스 제어 규칙 설정

• 악성코드 보호를 수행하는 액세스 제어 규칙 구성

참고	기본적으로, 시스템에서는 암호화된 페이로드의 침입 및 파일 검사를 비활성화합니다. 이는 암호화 연결이 침입 및 파일 검사가 구성된 액세스 제어 규칙과 일치하는 경우 오탐을 줄이고 성능을 높이는 데 도움이 됩니다.

다중 도메인 구축에서 특히 유용하며 액세스 제어 정책을 중복할 수 있습니다. 각 정책은 상위(또는 기본) 정책의 규칙 및 설정을 상속합니다. 이 상속을 적용하거나 하위 정책을 허용하여 해당 상위 항목을 재정의할 수 있습니다.

액세스 컨트롤은 계층적 정책 기반 실행을 사용합니다. 도메인 계층을 생성하는 것처럼 액세스 제어 정책의 해당 계층을 생성할 수 있습니다. 하위 항목 또는 차일드, 액세스 제어 정책은 직속 부모 또는 기본 정책으로부터 규칙과 설정을 상속합니다. 기본 정책은 다른 부모 정책으로부터 규칙과 설정을 상속 받았을 수 있습니다.

액세스 제어 정책의 규칙은 상위 정책의 Mandatory(필수) 및 Default(기본값) 규칙 섹션 사이에 중첩됩니다. 이 구현은 상위 정책의 필수 규칙을 적용하지만 현재 정책이 상위 정책의 기본 규칙을 선점하는 규칙을 작성하도록 허용합니다.

다음 설정을 잠금 처리하여 모든 하위 정책에서 적용할 수 있습니다. 하위 정책은 잠금 해제된 설정을 재정의할 수 있습니다.

• 보안 인텔리전스 - IP 주소, URL 및 도메인 이름에 대한 최신 평판 인텔리전스를 기반으로 연결을 허용하거나 차단합니다.

• HTTP 응답 페이지 - 사용자의 웹 사이트 요청을 차단할 때 사용자 정의 또는 시스템 제공 응답 페이지를 표시합니다.

• 고급 설정 - 관련 하위 정책, 네트워크 분석 설정, 성능 설정 및 기타 일반 옵션을 지정합니다.

정책 상속을 사용하는 경우, 가장 낮은 수준의 하위 항목에 대한 기본 작업에 따라 최종 트래픽 처리가 결정됩니다. 액세스 제어 정책은 상위 정책에서 기본 작업을 상속할 수 있지만 이 상속을 적용할 수는 없습니다.

정책 상속 및 멀티 테넌시

액세스 컨트롤의 계층적 정책 기반 실행은 멀티 테넌시를 보완합니다.

일반적인 다중 도메인 구축에서 액세스 제어 정책 계층은 도메인 구조에 해당하며, 매니지드 디바이스에 최하위 수준 액세스 제어 정책을 적용합니다. 이 구현은 상위 도메인 수준에서 선택적 액세스 제어 적용을 허용하고 하위 도메인 관리자는 구축별 설정을 조정할 수 있습니다. (하위 도메인의 관리자를 제한하려면 정책 상속 및 적용을 단독으로 수행하지 말고 역할을 사용해야 합니다.)

예를 들어 조직의 전역 도메인 관리자는 전역 수준에서 액세스 제어 정책을 만들 수 있습니다. 그런 다음 기능별로 하위 도메인으로 구분된 모든 디바이스가 해당 전역 수준 정책을 기본 정책으로 사용하도록 요구할 수 있습니다.

하위 도메인 관리자가 Firepower Management Center에 액세스하여 액세스 제어를 구성하면 전역 수준의 정책을 있는 그대로 배포할 수 있습니다. 또는 전역 수준 정책의 범위 내에서 하위 수준의 액세스 제어 정책을 만들고 구축할 수 있습니다.

참고	액세스 제어 상속 및 적용의 가장 유용한 구현이 멀티 테넌시를 보완하지만 단일 도메인 내에서 액세스 제어 정책의 계층 구조를 생성할 수 있습니다. 또한 모든 수준에서 액세스 제어 정책을 지정하고 구축할 수도 있습니다.