침입 차단 관리

기본 침입 차단 설정은 여러 가지 위협 요소로부터 클라이언트 시스템을 보호합니다. 네트워크에 대한 기본 설정을 변경할 수 있습니다.
서버에서
Symantec Endpoint Protection
을(를) 실행하는 경우 침입 방지가 서버 리소스 또는 응답 시간에 영향을 미칠 수 있습니다. 자세한 내용은 다음을 참조하십시오.
Linux 클라이언트에서는 침입 차단이 지원되지 않습니다.
침입 차단 관리
태스크
설명
침입 차단에 대해 알아보기
침입 차단에서 네트워크 및 브라우저 공격을 탐지하고 차단하는 방법에 대해 알아봅니다.
침입 차단 실행
클라이언트 시스템을 안전하게 보호하려면 침입 차단을 실행 상태로 유지해야 합니다.
  • 네트워크 침입 차단
  • 브라우저 침입 차단(Windows 시스템만 해당)
    또한 브라우저 침입 차단 기능에서 탐지만 기록하고 차단은 수행하지 않도록 구성할 수 있습니다. 이 구성은 클라이언트의 보안 프로필 수준을 저하시키기 때문에 일시적으로 사용해야 합니다. 예를 들어, 클라이언트의 차단된 트래픽 문제를 해결하는 동안만 로그 전용 모드를 구성할 수 있습니다. 트래픽을 차단하는 시그니처를 식별 및 제외하기 위해 공격 로그를 검토한 후에는 로그 전용 모드를 실행 중지하십시오.
또한 그룹 또는 클라이언트에
네트워크 위협 요소 차단 실행
명령을 실행하는 경우 두 유형의 침입 차단과 방화벽을 실행할 수 있습니다.
예외를 생성하여 시만텍 네트워크 침입 차단 시그니처의 기본 동작 변경
예외를 생성하여 기본 시만텍 네트워크 침입 차단 시그니처의 기본 동작을 변경할 수 있습니다. 어떤 시그니처는 기본적으로 트래픽을 차단하고, 다른 시그니처는 기본적으로 트래픽을 허용합니다.
브라우저 침입 차단 시그니처의 동작은 변경할 수 없습니다.
일부 네트워크 시그니처의 기본 동작은 다음과 같은 이유로 변경할 수 있습니다.
  • 클라이언트 시스템에서 리소스 소비량을 줄입니다.
    예를 들어 트래픽을 차단하는 시그니처의 개수를 줄일 수 있습니다. 그러나 공격 시그니처를 차단 대상에서 제외하기 전에 위협 요소가 없는지 확인하십시오.
  • 시만텍이 기본적으로 차단하는 일부 네트워크 시그니처를 허용합니다.
    예를 들어 정상적인 네트워크 작업이 공격 시그니처와 일치하는 것으로 탐지되는 경우 예외를 생성하여 오탐지 수를 줄일 수 있습니다. 해당 네트워크 작업이 안전하다고 판단되면 예외를 생성할 수 있습니다.
  • 시만텍이 허용하는 일부 시그니처를 차단합니다.
    예를 들어 시만텍에는 Peer-to-Peer 응용 프로그램에 대한 시그니처가 포함되어 있으며 기본적으로 트래픽을 허용합니다. 대신 트래픽을 차단하는 예외를 생성할 수 있습니다.
  • 특정 트래픽 유형을 모니터링하는 감사 시그니처 사용(Windows만 해당)
    감사 시그니처에는 인스턴트 메시지 응용 프로그램의 트래픽과 같은 특정 트래픽 유형에 대한 기
    록 안 함
    기본 작업이 있습니다. 네트워크에서 로그를 보고 이 트래픽을 모니터링할 수 있도록 트래픽 기록의 예외를 생성할 수 있습니다. 그런 다음 트래픽 차단의 예외를 사용하고, 트래픽을 차단하는 방화벽 규칙을 생성하거나 트래픽 작업을 하지 않을 수 있습니다.
    트래픽에 대한 응용 프로그램 규칙을 생성할 수도 있습니다.
응용 프로그램 제어를 사용하여 사용자가 시스템에서 Peer-to-Peer 응용 프로그램을 실행하지 못하게 차단할 수 있습니다.
Peer-to-Peer 트래픽을 주고 받는 포트를 차단하려면 방화벽 정책을 사용하십시오.
클라이언트 시스템에서 브라우저 시그니처를 무시하는 예외 생성
(Windows만 해당).
Windows 시스템에서 브라우저 시그니처를 브라우저 침입 차단 대상에서 제외하는 예외를 생성할 수 있습니다.
브라우저 침입 차단이 네트워크의 브라우저에서 문제를 일으키는 경우 브라우저 시그니처를 무시할 수 있습니다.
특정 시스템을 네트워크 침입 차단 검사에서 제외
특정 시스템을 네트워크 침입 차단에서 제외할 수 있습니다. 예를 들어, 내부 네트워크에 있는 일부 시스템은 테스트 용도로 설정된 것일 수 있습니다.
Symantec Endpoint Protection
이(가) 이러한 시스템에서 들어오고 나가는 트래픽을 무시하도록 할 수 있습니다.
시스템을 제외하면 방화벽이 제공하는 서비스 거부 차단 및 포트 검사 보호 대상에서도 제외됩니다.
침입 차단 통지 구성
기본적으로 침입 차단이 발생하면 클라이언트 시스템에 메시지가 나타납니다. 통지 메시지는 사용자 정의할 수 있습니다.
사용자 정의 침입 차단 시그니처 생성(Windows만 해당)
특정 위협 요소를 식별하는 사용자 정의 침입 차단 시그니처를 작성할 수 있습니다. 사용자 정의 시그니처를 작성하면 시그니처가 오탐지를 일으킬 가능성이 낮아집니다.
예를 들어 사용자 정의 침입 차단 시그니처를 사용하여 웹 사이트를 차단하고 기록할 수 있습니다.
사용자 정의 IPS 시그니처를 사용하려면 방화벽이 설치되고 실행 중이어야 합니다.
침입 차단 모니터링
네트워크의 클라이언트 시스템에 침입 차단이 실행되어 있는지 정기적으로 확인하십시오.