웹방화벽 보안정책 웹서버 적용
1) 웹사이트에 적용할 보안정책 결정
: 보안 정책은 사용자가 정책을 추가할 수 있고, WAPPLES 에서 기본으로 제공하는 기본 정책을 사용할 수 있습니다.
a) WAPPLES 에서 제공하는 7 가지 기본 정책
: 기본 정책의 Security Level 의 숫자가 클 수록 강화된 정책을 의미합니다.
ㄱ) Security Level 6. 무조건 차단: 모든 웹 트래픽을 무조건 차단시키는 정책
ㄴ) Security Level 5. PCI-DSS 보안 정책: PCI-DSS 인증을 준수하는 시스템에 적용 가능한 정책
ㄷ) Security Level 4. 고급 보안 정책: 영향도가 낮은 공격까지 방어해주는 높은 수준의 보안 정책
ㄹ) Security Level 3. 표준 보안 정책: 일반적인 웹 환경에 가장 최적화된 보안 정책
ㅁ) Security Level 2. 기본 보안 정책: 대중화 되고 영향도가 높은 기본적인 웹 공격을 방어하기 위한 보안 정책
ㅂ) Security Level 1. 탐지만하고 차단 안 함: 웹 공격을 탐지만 하고 차단은 하지 않는 정책
ㅅ) Security Level 0. 탐지 없이 통과: 모든 웹 트래픽을 탐지하지 않고 무조건 통과 시키는 정책
처음 WAPPLES 을 적용할때는 보호하고자 웹 서비스의 특징이 파악되지 않았으므로 [탐지만하고 차단 안함]정책 적용을 권장합니다.
2) 웹 사이트 추가
: 웹사이트를 추가할때 보안정책을 선택합니다.
a) [정책설정]에서 [웹 사이트 추가] 버튼을 클릭 후 보호 대상 웹 사이트 주소와 Port 를 입력해야합니다. “웹 사이트 주소:Port” 형식으로 입력합니다. (Port 를 입력하지 않은 경우 Default 값은 80.)
b) 웹 사이트에 적용할 [탐지만하고 차단 안 함] 정책을 선택한 후 [확인] 버튼을 클릭
c) 정책과 웹 사이트가 추가된 것이 확인되면 [저장]을 클릭
이로써 WAPPLES 사용을 위한 기본설정이 완료되었으며, 필요하다면 웹 사이트의 추가 정보를 설정할 수 있습니다.
세부 내용은 아래를 참고하시기 바랍니다.
ㄱ)기본 정보
· 서브 디렉토리
디렉토리를 포함한 가상 웹 사이트를 사용하고 싶은 경우에는 웹 사이트의 서브 디렉토리를 입력하여 사용합니다.
· 웹 사이트의 다른 이름
IP 로 등록한 웹 사이트를 도메인으로도 사용하고 싶거나 도메인으로 등록한 웹 사이트를 IP 로도 사용하고 싶은 경우에 웹 사이트의 다른 이름을 입력하여 사용합니다.
· URL 의 대/소문자 구분
파일 시스템의 대/소문자를 구분하게 설정할 수 있다. 단, Unix 계열의 환경에서만 구분합니다.
· 웹 서버 보안키
웹 사이트의 중요 정보를 암호화하는데 사용하는 보안키입니다. 보안키를 변경하고자 한다면 [보안키 변경] 버튼을 클릭하여 변경할 수 있습니다.
· 신뢰할 수 있는 IP
신뢰할 수 있는 IP 는 URL Access Control 룰이나 URL 접근 제어 목록을 사용할 경우에만 사용할 수 있습니다.
· 암호화 설정
[사용 안 함], [ISSAC-WEB 사용], [Paramter Encryption]로 설정하여 암호화 설정을 선택할 수 있습니다.
ㄴ) 부가 정보
· 웹 사이트 상태를 체크하여 [대시보드]-[서비스 현황]에 웹사이트 상태를 표시합니다
ㄷ) 접근 제어
· 웹 사이트의 개별 URL 별로 접근 제어를 설정 할 수 있고, 아래 정보를 추가 확인할 수 있습니다.
· 웹 사이트에 적용된 정책의 [URL Access Rule]룰에서 설정한 [신뢰 IP 설정] 여부
· 웹 사이트의 [기본 정보]에 설정한 [신뢰할 수 있는 IP] 목록