콘텐츠로 이동

IPS 경고 처리

IPS(침입 방지 시스템)는 네트워크 트래픽을 모니터링하고 감지된 위협에 대응합니다.

이렇게 하면 공격자가 익스플로잇을 사용하여 로컬 장치를 장악하는 것을 방지할 수 있습니다. 인바운드 및 아웃바운드 트래픽을 모니터링합니다.

검사에서 특정 응용 프로그램 또는 네트워크 트래픽을 제외할 수 있습니다. 예를 들어 특정 프로토콜(예: HTTP)을 허용하거나 응용 프로그램에 대한 잘못된 IPS 경고를 방지할 수 있습니다.

이렇게 하려면, 다음 과정을 수행하십시오.

  • 장치에서 파일 또는 폴더를 제외합니다. 이렇게 하면 아웃바운드 IPS 검사에서 응용 프로그램이 제외됩니다.
  • 악성 네트워크 트래픽 방지 (IPS) (Windows) 제외를 사용하여 네트워크 트래픽을 제외합니다.

제외에 대한 자세한 내용은 전역 제외를 참조하십시오.

로컬 장치에서 응용 프로그램 제외

IPS 경고(아웃바운드 감지)에서 응용 프로그램을 제외하려면 다음과 같이 하십시오.

  1. 개요 > 전역 설정 > 전역 제외로 이동합니다.
  2. 제외 추가를 클릭합니다.

    제외 추가 대화 상자가 표시됩니다.

  3. 제외 유형에서 파일 또는 폴더(Windows)를 선택합니다.

  4. 에 제외할 실행 파일 또는 폴더의 경로를 입력합니다.
  5. 활성 기간에서 제외가 실시간 검색에서 유효해야 한다고 지정합니다.
  6. 추가를 클릭합니다.

자세한 내용은 응용 프로그램 감지 중지를 참조하십시오.

네트워크 트래픽 제외

참고

이러한 제외는 IPS가 제외와 일치하는 트래픽을 모니터링하지 않음을 의미합니다. 방화벽을 별도로 구성해야 합니다.

네트워크 트래픽을 제외하려면 다음과 같이 하십시오.

  1. 개요 > 전역 설정 > 전역 제외로 이동합니다.
  2. 제외 추가를 클릭합니다.

    제외 추가 대화 상자가 표시됩니다.

  3. 제외 유형에서 악성 네트워크 트래픽 방지 (IPS) (Windows)를 선택합니다.

  4. 제외할 트래픽을 지정하려면 다음 설정을 사용합니다.

    • 방향: 인바운드 또는 아웃바운드 연결.
    • 원격 주소: 트래픽이 들어오고 나가는 대상 컴퓨터의 주소입니다.
    • 원격 포트: 대상 컴퓨터에서 트래픽이 들어오고 나가는 포트입니다.
    • 로컬 포트: 트래픽이 로컬 컴퓨터에서 들어오고 나가는 포트입니다. 주소 또는 포트 옵션을 하나 이상 설정해야 합니다.
  5. 추가를 클릭합니다.

대부분의 TCP 연결에는 원본 포트로서 임의의 포트 번호가 있습니다. 로컬 포트를 사용하고 특정 프로토콜(예: RDP(3389) 또는 HTTP(80) 트래픽)을 허용 목록에 추가하는 것이 좋습니다.

예를 들어, 10.10.10.15의 관리자 컴퓨터에서 다른 컴퓨터로 RDP 연결을 허용하려면 다음 설정을 사용하십시오.

  • 방향: 인바운드 연결
  • 로컬 포트: 3389
  • 원격 포트: 공백으로 둠
  • 원격 주소: 10.10.10.15
맨위로