Blue Coat Certified ProxySG

Administrator Course
BCCPA 관리자 과정

Bccpa-v41-student-us-wmk
ProxySG 소개

Web 위협에 대한 방어

 최신 Malware 에 대한 방어
 임직원 생산성에 대한 웹 어플리케이션 최적화와 컨텐츠 필터링
 정보 누수 및 유실에 대한 차단
 원격 사용자에 대한 Malware 차단과 웹 필터링
 신원 인증을 통한 신뢰성 확인
1. ProxySG 소개

방화벽의 한계

 지능형 방화벽 과 UTM 방화벽 역시 한계를 가지고 있다

: 장비 성능의 부하를 주거나 , 세부적인 제어 불가
1. ProxySG 소개

Proxy Servers
1. ProxySG 소개

ProxySG 기능

 신원 확인 , 관리 , 그리고 가장 사용량이 많은 웹 프로토콜에 대한 로그 , 사용자

에이전트와 Method 확인
 전체 사용자 , 개인 사용자 또는 그룹에게 적용 가능한 종합적인 정책 정의
 필요 시 인증과 접속 권한 부여 가능
 Database 를 이용한 URL 필터링과 Custom URL DB 정의
 웹 기반 E-mail 을 통한 바이러스나 악의적인 코드가 있는지 실시간 스캔 검사
1. ProxySG 소개

왜 ProxySG 인가 ?

 간단한 설치
 높은 신뢰도
 통합된 하드웨어와 소프트웨어 구성
 낮은 유지 보수 비용 (TCO: Total cost of ownership)
 관리의 용의성
 추가적인 서비스는 가능하다 ?
 Additional services can be layered.
1. ProxySG 소개

ProxySG 하드웨어 Lineup

1. ProxySG 소개

Blue Coat 보안 솔루션

Web Filtering
Blue Coat Web Filter WebPulse Cloud Service

Inline Threat Detection

ProxyAV with 6 AV partners

Centralized Reporting
Blue Coat Reporter
Web Application and content Controls
ProxySG + Director Cloud Service PacketShaper

Data Loss Prevention

Bluecoat DLP

Remote / Endpoint Clients

ProxyClient K9 Cloud Connector DLP Connector
1. ProxySG 소개

Blue Coat 커뮤니티 자원 활용

 Bto.bluecoat.com 내의 자원 활용
- Service Request (SR) Open
- Knowledge Base (KB) 를 통한 1 Reference 확인 및 질문
- Support Forum 을 통한 지식 공유 및 토론
- Deployment Assistance 를 통한 구성 도움
2. ProxySG 보안 구성

구성에 따른 고려사항

 물리적 구성 방법
- Inline
- Virtual Inline
- Out of path

 사용자 연결 방식에 따른 구성 방법
- Explicit Proxy
- Transparent Proxy

 프록시 역할에 따른 구성 방법
- Forward Proxy
- Reverse Proxy
2. ProxySG 보안 구성

물리적 구성 방법

 Inline
- ProxySG 가 Network 에 바로 연결되며 모든 트래픽이 ProxySG 를 통과하여 지나간다 .

 Virtually Inline
- 라우터 또는 Layer 4 스위치를 통해 연결된다
- 선택된 트래픽만 가시성을 가지게 된다
- ProxySG 는 물리적으로 Out of Path 구성이 된다

 Out of Path
- ProxySG 는 스위칭된 네트워크 세그먼트에 구성된다
- 네트워크 트래픽과는 별도의 물리적 구성이 된다
2. ProxySG 보안 구성

Inline 구성

장 점 단 점
• 쉬운 구성 • 설치될 때 Down time 이 필요함
• 스위치나 라우터에 요구되는 별도의 구성이 • 1 대 이상으로 확장을 할 수 없음
요구되지 않음 • 복잡한 경로를 지원하지 못함
• 전체 트래픽에 대한 즉각적인 가시성을 가짐 • 단일 장애점 (Single point of failure)
• Client 에 구성이 필요없음
2. ProxySG 보안 구성

Virtually Inline

장 점 단 점
• 설치될 때 Down time 이 필요 없음 • 네트워크 구성이 복잡해짐
• 뛰어난 확장성 • 추가적인 하드웨어 구성이 요구됨
• 추가적인 ProxySG 를 통한 처리 용량 및 (WCCP 지원가능한 라우터 ,
이중화 구성 가능 PBR 지원가능한 라우터 ,
또는 Layer 4 스위치 )
2. ProxySG 보안 구성

Out of Path

장 점 단 점
• 설치될 때 Down time 이 필요 없음 • ProxySG 를 통해 Traffic 가시성을 가지려면
• 아주 쉬운 구성 Client 구성이 요구됨
2. ProxySG 보안 구성

Client 연결 방법

 Explicit proxy
- Client 가 ProxySG 로 연결하기 위해서는 구성이 필요함
- Client 구성
: Manual ( 테스트 또는 작은 사업장 환경에 적당 )
: Auto-detect (WPAD.dat file)
: Proxy auto-configuration (PAC) file

 Transparent proxy
- Client 의 세부구성이 필요 없으며 , Network 상 Proxy 가 존재하는 것을 알지 못함
- Inline 또는 Virtual inline 구성이 요구됨
- 특정 어플리케이션 (streaming, authentication with SSL) 에서 문제가 될 수도 있음
2. ProxySG 보안 구성

Explicit Proxy
2. ProxySG 보안 구성

Explicit Proxy Detail

장 점 단 점
• 덜 복잡한 구성 • Client 구성이 요구됨
• 테스트 또는 평가하기 적합 • 특정 Client 를 지원하지 못함 (FTP 같은 )
• Proxy 구성을 위한 모든 RFC 규격 지원 • Over HTTP 를 사용하는 어플리케이션의
• 사용자 인증이 필요할 때 가장 좋은 방법 경우 가시성을 확보하기 힘들 수 있음 ( 예
• 인터넷 트래픽에 바인딩 되지 않은 Skype)
트래픽의 영향을 미치지 않음
• WCCP 또는 Layer 4 Switch 와 같은 별도
하드웨어에 의존하지 않음
2. ProxySG 보안 구성

Transparent Proxy
2. ProxySG 보안 구성

Transparent Proxy Details

장 점 단 점
• 뛰어난 확장성 • 보다 복잡한 셋업이 필요
• Client 구성이 필요하지 않음 • 추가 장비가 필요할 경우 보다 비싼
• 전체 Network 트래픽에 대한 가시성 비용이 요구됨
• 처리되는 트래픽을 식별하기 위해서
일반적으로 많은 트래픽을 Bypass 함
• SSL 인증은 구현하기 보다 힘들 수 있음
2. ProxySG 보안 구성

Proxy Roles
2. ProxySG 보안 구성

Best Practices

 Inline 구성 권고
- 규모가 커지지 않는 제한된 소규모 사업소
- 단기간 평가를 위한 구성

 Virtually inline 또는 Out of Path 구성 권고

- 이중화 또는 확장성을 요구하는 사이트

 Explicit proxy 구성 권고
- 인증과 / 또는 SSL 을 전사에 적용하기 원하는 사이트

 Transparent proxy 구성 권고
- 물리적으로 Inline 구성을 원하는 사이트
3. ProxySG 초기 보안 구성

접속 방법
2. ProxySG 초기 보안 구성

워크 플로우 선택
3. ProxySG 초기 보안 구성

주소 설정
3. ProxySG 초기 보안 구성

초기 구성 단계 : SWG

 주소 구성
- VLAN 구성 ( 필요 시 )
- IP Address, Subnet mask, Gateway, DNS server

 비밀번호
- Console
- Enable
- Setup

 Access control
 SGOS Edition
3. ProxySG 초기 보안 구성

SGOS Editions

Proxy Edition MACH5 Edition

(Security) (Acceleration)

대체 명칭 Full Proxy Edition Acceleration Edition

Full SWG 기능 Yes No

Full WAN Op 기능 Yes Yes

기본 정책 연결 차단 연결 허용

ProxySG VA 지원 No Yes
3. ProxySG 초기 보안 구성

Command Line Interface

3. ProxySG 초기 보안 구성

Passwords

 강력한 암호는 자동으로 적용되지 않음

 Setup Password 를 분실 시에는 복구 또는 변경 불가능
- 프론트 패널 , 공장 초기화 , 리셋 버튼
3. ProxySG 초기 보안 구성

리셋 단위

restore-defaults …

Confirmation ProxySG IP addresses SGOS license

needed configuration edition

Factory-
Yes Reset Reset Reset
Defaults

Reset
Force No Reset Reset

Keep-console Yes Reset saved saved

3. ProxySG 초기 보안 구성

IPv6 구성

 IPv6 지원은 기본적으로 활성화 되어 있음

 초기 구성은 IPv4 Address 가 요구됨
 IPv6 Address 는 모든 인터페이스에서 자동적으로 생성되나 추후에 변경 가능함
 좀 더 상세한 내역은 “ IPv6 in ProxySG Security Deployments” 를 참조
4. ProxySG Management Console

Management Console 구조
4. ProxySG Management Console

기능 영역

영역 Displays / Functions
• 장비명
• 하드웨어 모델
Header • Serial Number
• Software Version (SGOS)
Statistics tab • ProxySG 의 상태 및 Health 확인
• ProxySG Sets up
• 정책을 관리하는 데 사용되는 개체와 매개 변수를
Configuration tab
생성
• 구성에 대한 저장 및 복구
• 라이센싱
Maintenance tab • 모니터링
• 장비에 대한 Health Check
4. ProxySG Management Console

Command Generation

 Management Console 은 생성된 CLI command 에 의해 동작함

4. ProxySG Management Console

Preview, Revert, and Apply

4. ProxySG Management Console

Concurrent Access
4. ProxySG Management Console

Access Control
4. ProxySG Management Console

문서 및 Help
5. ProxySG 보안 라이센싱

SGOS License Editions

Proxy Edition MACH5 Edition
기본 동작 접속 차단 접속 허용
Trust client destination IP address No Yes
HTTP errors 허용 No Yes
Transparent WAN interception on bridge cards 허용 Bypass
Overflow 에 대한 행동 Drop Bypass
Access logging
Forwarding
제한된 지원 -
Policy controls
Proxy services
사용자 인증
Content filtering
연동 서비스
미지원 ProxySG VA
(ICAP 등 )
IM, P2P
위협 차단
5. ProxySG 보안 라이센싱

Edition 변경
5. ProxySG 보안 라이센싱

SGOS 라이선스 타입

License 타입 속성 만료 ?
• SGOS 기본 제공 60 일
• 새로운 ProxySG 하드웨어와 함께 제공됨
평가판 • Proxy Edition 또는 MACH5 중 선택 가능함 Yes
• SGOS user 는 무제한
• Reset-trial 명령어로 두 번 재사용 가능
• 임시로 Bluecoat 또는 Reseller 에 요청 가능함
• 평가 기간 연장 가능
데모 Yes
• 고객 평가에 필요한 추가 기능
• Bluecoat 또는 Reseller 에 의한 기간 설정
• 구입된 기능을 모두 영구 해제
영구 No
• 평가 기간이 유효하더라도 User 제한 적용
Subscription
• ProxySG VA only Yes
( 신청 )
5. ProxySG 보안 라이센싱

추가적인 기능

License 타입 속성

• 거의 모든 모델에 포함 : 일부 추가로 적용 가능
SSL ( 일부 모델 )
• 추가로 적용할 경우 옵션에 대한 비용 추가

Flash steaming • 추가 비용 필요

• 기능이 활성화 되었더라도 DB 는 포함되지 않음

Content Filtering • BCWF 에 대한 별도 라이선스를 구매해야 함
• 상세 정보는 “ Content Filtering Module” 에 있음
5. ProxySG 보안 라이센싱

License 상태
5. ProxySG 보안 라이센싱

User 제한
6. Proxy 서비스

Key 컨셉
6. Proxy 서비스

Proxy Service 구성 요소

 IP Address 와 Port 조합에 대한 대응 Match

 Intercept 또는 Bypass 여부에 대한 선택적 Traffic Match
 Intercept 된 traffic 에 대해서만 proxy 처리
 Proxy 동작을 제어하는 속성
6. Proxy 서비스

Intercept and Bypass

6. Proxy 서비스

Listeners

• 각각의 Proxy service 는 적어도 하나의

listner 가 있어야 한다 .

• 하나의 서비스에 다중 Listener 가 허용됨

• 정책은 오직 intercept 된 Traffic set 에

대해서만 적용 가능하다 .
6. Proxy 서비스

Services and Proxies

 각 서비스는 하나의 Proxy 에 연결된다 .

 Proxy 는 다중 서비스에 연결 가능하다 .
 Proxy Edition : 기본적으로 모든 서비스에 대해 미리 bypass 정의 되어 있다 .
6. Proxy 서비스

Proxy Service Groups

Group Name 서비스 타입들 미리 정의된 서비스 타입들

HTTP services, FTP, Streaming,

Standard 가장 일반적으로 Intercept 한 경우
DNS, IM, SOCKS

Bypass 암호화 또는 상호적인 ; Cisco VPN, Oracle over SSL,

Recommended 보통 최적화에서는 혜택이 없다 . other encrypted services

Tunnel 어플리케이션 독립 최적화 부분에서는 Citrix, IMAP, LDAP, Lotus

Recommended 특정 업무용 App 들은 혜택이 없다 Notes, other business apps

Custom
관리자에 의해서 생성 가능함 None
Service groups

Default action Listener 에 매칭되지 않는 모든 트래픽 Default

6. Proxy 서비스

HTTP Proxy Services

6. Proxy 서비스

Global Proxy Service Settings

Setting 유효성 상세

어떤 HTTP 서비스의 Non-HTTP 트래픽에

Tunnel on protocol error All
대한 Tunnel

Transparent
Reflect client IP Client 의 IP Address 를 이용해 OCS 로 연결
Proxy only

Transparent 세부 주소에 대해 Proxy 에서 DNS lookup 을

Trust destination IP
Proxy only 하지 않음

License 허용 범위가 넘어가는 트래픽에 대한

User overflow action All
제어
6. Proxy 서비스

세부적인 Proxy Service Setting

 다양한 세부 서비스들에 대한 설정이 가능함

 일부 설정에 대해서는 설정 변경이 불가능할 수 있음
6. Proxy 서비스

Static Bypass

• Transparent proxy 만 가능

• 위배되는 트래픽에 대한 관리에 용의

6. Proxy 서비스

Restricted Intercepted

• Transparent proxy 만 가능

• 테스트에 유용함

• Restricted intercept list 에 Static bypass 를

추가적으로 적용 가능
7. Visual Policy Manager 소개

Policy 컨셉
7. Visual Policy Manager 소개

VPM 구조
7. Visual Policy Manager 소개

VPM Layers 와 Rules

• VPM 은 Layer 내에서 동작한다

• 모든 Layer 는 하나 또는 그 이상의 Rule

들을 가진다

• 11 가지 layer 타입 ; 일반적으로
사용되는

- Web Authentication
- Web Access
- Web Content
- SSL Intercept
- SSL Access
7. Visual Policy Manager 소개

Triggers and Action

 모든 룰은 trigger(s) 와 action(s) 로 이뤄져있다 .

 Triggers 는 rule 에 부합하는지 아닌지에 대해 결정한다 .

 Actions 는 어떻게 처리를 하는지에 대해서 결정한다 .

7. Visual Policy Manager 소개

Policy 심사 순서
• Default proxy policy 가 시작점이다 .

• Layer 내의 룰은 부합되기 전까지

심사된다 .

• 동일한 유형의 Layer 순서대로 심사한다 .

• 논리적 순서에 의해 다른 유형의 Layer 가

심사된다 .

- 예제 : Web Authentication Layer 는 Web

Access Layer 이전에 심사한다 .

7. Visual Policy Manager 소개

VPM Layer Guards

• 하나의 룰이 다른 모든 VPM Layer 정책
이전에 적용 가능하다 .

• 만약 룰이 부합한다면 , 해당 layer 는
심사된다 ; 만약 아니라면 해당 layer 는
심사를 하지 않는다 .

• Layer guard 에서 다른 action 에 대해서는

부합시키지 않는다 .

• Layer 내 사용된 일반적인 요소들과

부합되는지 미리 걸러내는데 유용하다

• 정책 구성을 효과적으로 할 수 있다
7. Visual Policy Manager 소개

허용되는 사용 정책 : 예제

 Hacking category 에 등재되어 있는 사이트에 접속 하는 유저들을 차단함

 사용자들은 여행 관련 사이트에 등재된 사이트들에 대해서 주중 8AM to 5PM 까지 접속

가능하게 함

 IT 그룹에 속한 사용자들만 업무시간에 FTP 를 사용가능하게 함

위 정책 적용이 가능하도록 하려면 Proxy VPM 에서 어떻게 설정하면 되는가 ?

7. Visual Policy Manager 소개

AUP 예제 : Triggers and Actions

 Hacking category 에 등재되어 있는 사이트에 접속 하는 유저들을 차단함

 사용자들은 여행 관련 사이트에 등재된 사이트들에 대해서 주중 8AM to 5PM 까지 접속

가능하게 함

 IT 그룹에 속한 사용자들만 업무시간에 FTP 를 사용가능하게 함

7. Visual Policy Manager 소개

AUP 예제 : Policy 심사 과정
7. Visual Policy Manager 소개

VPM 설정 연습

 정책 구조
- 별도의 레이어에 별도의 정책을 구현 한다 .
- 구현되는 정책이 생각한 구조와 일치하여야 한다 .

 정책 보존
- 허용되는 정책에는 주의한다

 정책 최적화
- RegEx( 정규표현식 ) 은 꼭 필요한 경우에만 사용한다 .
- 부합되는 가능성이 가능 높은 룰을 가장 상단의 Layer 에 위치시킨다 .
- 가능하다면 subnet 을 이용한다 .
- Layer guard 를 적절히 이용한다 .
8. Content Filtering and WebPulse

Content Filtering 의 역할 변경

구 버전 신 버전
• Web 요청 필터 • Web 2.0 위협 증가
• 부적절한 컨텐츠 • 유명 웹사이트 주입
• 규정준수와 경영구조 • 검색 엔진의 미끼 페이지
• 인적 자원에 대한 가시성 • IT/ 위험 관리에 대한 가시성

웹 인식은 새로운 방어를 위해 필요 !

8. Content Filtering and WebPulse

발전되는 요구사항들

 순수한 Anti-virus 솔루션들은 오직 사후대응만 가능 ; 부족함

 새로운 웹 링크와 컨텐츠에 대한 인식

 URL 요청에 대한 즉각적인 분석

 소프트웨어 업데이트를 필요로 하지 않아도 사용자를 보호함

 다운로드 또는 패치가 없이도 변경되는 능력

 어떤 위치에서도 쓰기 용이하고 효과적

8. Content Filtering and WebPulse

동적 링크 분석

 광범위하고 다양한 커뮤니티인 클라우드에 연결

 클라우드 서비스로 새로운 웹 링크에 대한 실시간 입력

 위협과 등록에 대한 즉각적인 URL 분석

 클라우드에 업데이트된 Master DB 는 모든 멤버를 보호

8. Content Filtering and WebPulse

WebPulse 와 WebFilter
8. Content Filtering and WebPulse

WebPulse 처리 흐름
8. Content Filtering and WebPulse

Content Filtering 실행

 WebFilter 라이선스 설치와 비용

 WebPulse 구성

 활성화 , 구성 , 그리고 Content Filter(s) 다운로드

- WebFilter
- Local database
- Internet Watch Foundation (IWF : 인터넷 감시 재단 )

 정책 쓰기
8. Content Filtering and WebPulse

Content Filtering 의 역할 변경

 사용자 한 명 단위의 판매

 계속 지속되는 라이선스 , 1 년 단위의 지원 요금

- 지원 만료 시 -> 더 이상의 DB 업데이트를 지원하지 않음

 Blue Coat Licensing Portal 을 통해 License 활성화

 ProxySG 는 WebFilter 에 대한 username 과 password 를 요구함

8. Content Filtering and WebPulse

WebPulse 와 WebFilter 구성

 Dynamic categorization
- Off : local DB 만 확인하며 , 주기적으로 업데이트한다 .
- Immediate : 클라우드의 결과를 기다린다 . ( 모든 구성에서 권고하는 설정 )
- Background : 만약 즉시 처리가 안 될 경우 “ Pending” 카테고리로 보내진다 .

 WebFilter 의 username 과 password 를 입력한다 .

 필요 시 상세 구성 업데이트 확인
- Default : 변경된 DB 업데이트에 대해 하루 매 5 분 확인하며 , 변경이 되었다면 업데이
트 내역을 설치한다 .
- 매일 정해진 시간에 업데이트 확인 가능
- 5 분 주기의 간격은 변경 불가능
8. Content Filtering and WebPulse

Local Category List

 별도로 생성 및 유지 관리
 WebFilter 와 마찬가지로 업데이트 다운로드가 자동으로 가능함

장 점
• 다수의 URL 일 경우 정책보다 효과적
• 정책에서 카테고리로 관리
• 분류되지 않은 사이트에 대한 번잡함을
줄이고 조직의 내부 사이트를 분류 할 수
있음
• 정책의 혼란을 줄일 수 있음
• 여러 대의 ProxySG 장비로 Category
목록들을 공유할 수 있음
단 점 / 제 한
• Webpulse DB 는 더 완전하며 지속적인
업데이트가 가능
• 최대 200 개의 Category
• 32 Characters 로 Category 이름 제한
• 특정 URL 패턴은 4 개 이상의 Category
정의에 나타낼 수 없음
8. Content Filtering and WebPulse

VPM 안의 Content Filtering

 카테고리화 기반의 허용 / 차단 선택 생성
 Rules 는 세부 카테고리 ; 계층 구조를 미리 정의 할 수 없음
 Layers : Web Access (HTTP), SSL Access (HTTPS)
 Objects : 요청 URL 카테고리 추가
 카테고리 유형
- Policy : VPM 과 함께 생성 및 유지
- Local : local DB 안에 생성 및 유지
- Blue Coat : WebFilter 카테고리들 (80 개 이상 )
- System : 특별한 카테고리들
 Other triggers : Time of day, IP addresses, etc
8. Content Filtering and WebPulse

System Categories

 None
- Content filter 가 설치되지 않았음
- 내부 사이트 또는 URL 이 분류되지 않음
- 오류 조건은 필요하지 않음
 Pending
- WebPulse 에서 Background categorization 을 수행함
 Unavailable
- DB 가 다운로드 되지 않음
- System 오류 (WebPulse 서버로 접속이 되지 않을 경우 등 )
 Unlicensed
- WebFilter 라이선스 만료로 Category 화 할 수 없음
8. Content Filtering and WebPulse

WebFilter 분류화 구성요소

8. Content Filtering and WebPulse

WebPulse 정보 공유

# (config) content-filter
# (config content-filter) bluecoat
# (config content-filter bluecoat) service send-request-info enable
# (config content-filter bluecoat) service send-request-info disable
WebPulse 로 data 를 안보낼 때 WebPulse 로 data 를 보낼 때
• 라우팅 불가한 IP 주소에 의해 식별된 모든 • Blue Coat 사용자 License key
Host • Scheme (HTTP, HTTPS, etc)
• DNS lookup 로 조회하여 라우팅 불가한 IP • Method (GET, POST, etc)
주소로 확인되는 모든 Host • URL host, port, path
• 사설 네트워크 목록에 명시적으로 구성된 • Sent only if send-request-info enable
모든 Host - URL query string
• 위의 조건을 일치하는 모든 HTTP 참조 헤더 - Referer header
- User-Agent header
9. Authenticating Users on the ProxySG (Skipped)

인증 및 허용 (Authentication and Authorization)

 별개의 실행
- Authentication : 사용자의 신뢰성을 결정
- Authorization : 사용자가 수행 할 수 있는지 결정

 ProxySG 는 이 기능들을 별도로 처리함

 인증 문제
- 사용자의 경험은 동일 : 추가 행위 없음 (No extra prompt)
- 거의 모든 web page 는 많은 object 를 가지고 있음 ; 좋지 않은 구성은 사용자에게
하나의 object 당 추가 행위를 필요하게 만듦

10. IWA and LDAP Authentication Realms (Skipped)

11. Exceptions and Notifications

Overview

 예외 페이지
- 특정 조건이나 전송 오류 발생 시 발송
- 내장 지원 및 사용자 정의
- 50 가지 이상의 예외 페이지 내장
- 관리 콘솔 및 CLI 에서 구성

 사용자 Object 에 대한 통지
- Splash pages
- Coaching pages
- VPM 의 Web Access layer 에서만 구성 가능
- CLI 에서 설정 불가
- User action 이 요구됨
11. Exceptions and Notifications

Built-in Exceptions

- Contents 는 원하는 대로 수정 ( 제작 ) 가능함

- 삭제는 불가
- 새로운 Bulilt-in exceptions 은 생성 불가함
11. Exceptions and Notifications

User-defined Exceptions

- 세부 정책에 맞을 경우 Customized 된 예외 페이지를 보여줌

- 기본 Response 는 HTTP 403
- 정책에서 사용되고 있을 경우에 삭제 불가
- 메시지는 HTML, image links, JavaScript 를 포함할 수 있음

Triggers Actions
Source Dest Service Time Action Track

Return exception
Rule 1 Any Hacking Any Any None
No-Hacking

M-F Return exception

Rule 2 Any Travel Any None
8a-5p Travel-Policy
11. Exceptions and Notifications

Exception 의미

Item 목적 대체하는 변수

Identifier Exception 이름 $(exception.id)

Format Exception 의 모습 정의 (HTML 또는 간단한 간단한 대체들 ) -

Summary 보여지는 짧은 제목 (“Access Denied” 등과 같은 ) $(exception.summary)

Details Exception 이 보여지게 되는 이유가 나오는 확장된 설명 문구 $(exception.details)

Help 사용자에게 접속 가능한 방법과 해결책을 알려줌 $(exception.help)

Contact 사이트 담당자 ( 등 ) 의 상세 연락 정보 $(exception.contact)

HTTP-Code HTTP 응답 코드 사용 -
11. Exceptions and Notifications

대체 변수
 사용자에게 보여지는 예외 메시지의 Custom

 변수 타입

- 예외 정의 일부 (ID, summary, details, etc)

- HTTP 요청 데이터 (method, URL, etc)

11. Exceptions and Notifications

예외 계층 구조
 자식은 자신의 특성을 부모로 부터
상속

 사용자 정의 예외의 속성은 excepti

on.user-defined.all 에서 상속

 exception.user-defined.all 는 ex
ception.all 에서 속성을 상속
11. Exceptions and Notifications

예외 목록

 구조적 데이터 언어 (SDL) 형석

- 키 / 값 쌍 (Key/Value pair) 의 계층 구조
- 관리 콘솔 또는 CLI 를 통해 접속

 모범 사례

- 모든 목록은 반드시 exception.all 에 대한 정의로 시작

- 모든 정의는 반드시 exception.all 의 닫는 괄호와 묶어야 함
- 가능하면 한 줄보다 더 한 줄이하로 , 짧은 정의 문자열과 괄호를 유지
- 텍스트 편집기로 수정하며 , 기존 목록을 다운로드한 후 수정된 내용을 업로드
11. Exceptions and Notifications

사용자 알림 (Notify User) Object

 VPM 룰 내의 Action Object

 사용자의 브라우저에 중간 웹페이지를 표시

- Splash (compliance) page : 사용자에게 메시지를 전달

- Coaching page : 특정 콘텐츠 액세스에 대한 경고
 화면 표시 시간 간격은 조정 가능
 사용자 브라우저에서의 쿠키가 필요
 HTTP Only
11. Exceptions and Notifications

Splash Page

사용자는 첫 페이지를 요청

ProxySG 는 Slash page 를 전송

사용자는 허용을 클릭

ProxySG 는 content 를 사용자에게 제공

사용자는 다른 페이지를 나중에 요청

ProxySG Splash page 를 전송

ProxySG 는 content 를 검색하고 사용자에게 제공

11. Exceptions and Notifications

Coaching Page

사용자는 제한된 페이지를 요청

ProxySG 는 Coaching page 전송

사용자는 허용을 클릭

ProxySG 는 content 를 사용자에게 제공

사용자는 또 다른 제한된 페이지를 요청

ProxySG 는 Coaching page 전송

사용자는 허용을 클릭

ProxySG 는 content 를 검색하고 사용자에게 제공

11. Exceptions and Notifications

사용자 알림 (Notify User) Object 구성 요소

Item 대체 변수
Name VPM 에서는 짧은 식별자만 사용 가능

페이지의 제목은 사용자에게 표시

Title
HTML 은 사용할 수 없음
페이지의 주 내용이 표시
Body HTML 사용 가능
허용 링크나 버튼을 포함하여야 함 ( 기본적으로 사용가능 )

Notify mode 얼마나 자주 페이지를 표시할 것인지 정의

Notify users again 동일 사용자에 페이지를 다시 표시하는 빈도 수를 정의

12. Access Logging

Access Logging
12. Access Logging

Log 기능
 일반적인 log 파일은 아님

 또한 관련 특성과 행동을 내포
- 업로드 일정
- Rotation 일정
- 로그 형식
- 업로드 자격 증명

매개 변수 기능

Log name 관리자 고유 숫자 식별자

Log type 로그 항목의 유형을 정의 ; NCSA 공통 , SQUID 호환 , W3C 확장 로그 파일 형식 (ELFF)

각 로그에 기록된 트랜젝션에 대한 정보를 정의

Log format
사전 정의 또는 사용자 정의 형식
13. SSL 트래픽 관리

더 많은 SSL 트래픽 : 과제들

 어플리케이션들에 대한 Web 모델

- 현재 증가하고 있는 핵심적인 어플리케이션은 웹 기반으로 되어 있음

- 전송되는 Content 에 대한 보안 암호화

 공공 인프라의 SSL 사용 증가

- 규정된 ( 일반적인 , 상식적인 ) 암호화를 요구

- 원격 사용자와의 통신

 HTTPS 는 단순히 SSL 로 포장된 HTTP

- SSL 은 다른 프로토콜도 캡슐화 할 수 있음

 Proxy 에서의 SSL 은 TLS 를 포함함

- SSL Version 2 and 3

- TLS Version 1.x

13. SSL 트래픽 관리

Tunnel vs Intercept
 “Intercept” 는 프록시 서비스 리스너 설정에 따라 다름

- Service Intercept : ProxySG 에서 정책을 적용

- SSL Intercept : ProxySG 가 정책을 적용할 수 있도록 트래픽을 해독

- HTTPS 프록시 서비스가 트래픽을 가로챔 .(“Intercept”)

- SSL 프록시는 Intercept( 복호화 ) 또는 트래픽을 Tunnel 할 수 있음

13. SSL 트래픽 관리

왜 SSL 트래픽을 가로채야 (Intercept) 하는가 ?

 ProxySG Interception 은 반드시 활성화 해야 함

 암호화된 세션들은 복호화 할 수 있음

- Malware scanning

- Contnet filtering

- Data Loss Protection (DLP)

 복호화된 콘텐츠는 캐쉬할 수 있음

 Phishing 공격은 올바른 호스트에 SSL 인증서가 등록된 것을 확인 후 방지 가능

 Non-SSL 트래픽도 감지하고 차단 가능

- Instant messaging ( 메신저 )

- 일부 Peer-to-peer (P2P) 트래픽

13. SSL 트래픽 관리

법률 및 보안 고려 사항

당신은 SSL 프록시 구성을 사용함에 있어 모든 관련

법률 및 조직에 대한 정책을 준수할 책임이 있습니다 .

 당신이 사업을 하는 모든 지역의 법을 파악

- SSL 트래픽의 암호 해독 및 / 또는 로깅이 금지 될 수 있음

- 사용자에 의한 통지 및 동의가 요구될 수 있음 ( 이것은 ProxySG 에서 구성 가능함 )

 ProxySG 의 물리적 보안

- 캐시 된 콘텐트는 암호화되지 않음

- 그러나 Object 는 파일 시스템 없이 무작위로 저장됨

- 디스크 도난이 발생해도 콘텐트를 재구성 할 수 없음

13. SSL 트래픽 관리

메시지 흐름

 ProxySG 는 서버 인증서를 모방함

 ProxySG 기능은 SSL client 와 SSL server 모두 가능
 브라우저 보안 경고를 방지하기 위해 , Client 는 ProxySG 인증서를 인식하도록 구성
13. SSL 트래픽 관리

Explicit vs Transparent Proxy

13. SSL 트래픽 관리

SSL 트래픽을 위한 ProxySG 정책

 SSL Intercept Layer
- Client IP address 또는 hostname ; 인증된 사용자 , 그룹 또는 속성 ;

사용자 로그인 속성 ; 그리고 기타 속성으로 SSL 트래픽 복호화 제어

- 모방된 인증서의 시작 텍스트 또는 URL 을 지정

- 프록시 Service Intercept 와 동일하지 않음

 SSL Access Layer

- 사용자 정의 서버 및 Client 인증서의 유효성 검사

- 인증서의 해지 확인
- Web Access Layer 와 동일하지 않음
 Web Authentication 그리고 Web Access Layer 또한 속성을 사용
13. SSL 트래픽 관리

* 고객 동의 인증서
 SSL 프록시 클라이언트 인증서가 필요할지 여부를 지정할 수 있습니다 . 이 인증서는
없는 사용자 인증을 위해 , 사용자의 동의에 사용됩니다 . 그들이 필요 여부는 지역의
개인 정보 보호 법률에 따라 달라집니다 .
 클라이언트의 동의 인증서로 , 각 사용자는 해당 개인 키와 인증서 쌍을 발급됩니다 .
두 인증서는 일반 이름 필드에 의미있는 사용자가 읽을 수있는 문자열이 있습니다 .
 하나의 인증서는 " 예 , SSL 가로 채기에 동의합니다 .“ 와 같은 동의하는 문자열이 ,
다른 인증서는 " 아니 , 난 SSL 차단에 동의하지 않는합니다 .“ 와 같은 일반적으로
동의를 거부하는 의사가 담긴 문자열을 가지고 있습니다 .
 당신은 프록시 SG 이러한 일반적인 이름을 찾기 위해 허용하거나 작업을 거부에 대한
정책을 만들 수 있습니다 . 자세한 내용은 SGOS 관리 설명서의 " 클라이언트 동의
인증서 사용 " 절을 참조하십시오 .
13. SSL 트래픽 관리

*Tunnel on Protocol Error

 ProxySG 로 정상적으로 만들어진 SSL 트래픽을 Intercept 하는 것에는 문제는 없지만 그 외의
여러가지 이유로 인해 문제가 발생할 수 있습니다 .
 알 수 없는 Client Protocol, Skype 또는 P2P 트래픽과 같은 경우 SSL 포트 (443) 이외의 SSL
구성으로 전송 프로토콜을 사용 가능합니다 .
 서버 인증서를 제공하지 않습니다 .
 ProxySG 는 Client 가 Server 와 협상 가능한 Cipher, 압축 방법 , 또는 SSL Version 을 지원하지
않습니다 .

 이러한 경우 , ProxySG 는 글로벌 Proxy 설정인 “ Tunnel on Protocol Error” 을 사용합니다 .

 ProxySG 는 SSL 포트를 사용하고 목적지 트래픽이 해독 불가능한 경우 이 설정을 사용하여

정책이나 다른 기능을 적용 받지 않고 트래픽을 Tunnel 처리하게 됩니다 .

 Tunnel on Protocol Error 설정은 SSL 뿐만 아니라 전역 (Global) 과 모든 프로토콜에 적용 됩니다 .

참고 자료

• bccpa-v41-student-us-wmk.pdf
• 2013 년 자료 발췌
*. Accelation profiles
Caching 환경 안에서의 옵션 구성들
Management Console Check Box Field
Pipeline redirects for
prefetch request
Pipeline redirects for client request
Pipeline embedded objects in prefetch
request
효과
This configuration item applies only to HTML responses. When this setting is
enabled, and the object associated with an embedded object reference in
the HTML is not already cached, HTTP proxy acquires the object’s content
before the client requests the object. This improves response time
dramatically. If this setting is disabled, HTTP proxy does not acquire
embedded objects until the client requests them.
When this setting is enabled, and the response of a client request is one of
the redirection responses (such as 301, 302, or 307 HTTP response code),
then HTTP proxy pipelines the object specified by the Location header of
that response, provided that the redirection location is an HTML object. This
feature improves response time for redirected URLs. If this setting is
disabled, HTTP proxy does not pipeline redirect responses resulting from
client requests.
This configuration item applies only to HTML responses resulting from
pipelined objects. When this setting is enabled, and a pipelined
object’s content is also an HTML object, and that HTML object has
embedded objects, then HTTP proxy also pipelines those embedded objects.
This nested pipelining behavior can occur three levels deep at most.
If this setting is disabled, the HTTP proxy does not perform nested
pipelining.
*. Accelation prfiles
Caching 환경 안에서의 옵션 구성들
Management Console Check Box Field
Pipeline embedded objects in client
request
Substitute Get for IMS
효과
When this setting is enabled, HTTP proxy pipelines the object specified by a
redirect location returned by a pipelined response. If this setting is disabled,
HTTP proxy does not try to pipeline redirect locations resulting from
a pipelined response.
If the time specified by the If-Modified-Since: header in the client’s
conditional request is greater than the last modified time of
the object in the cache, it indicates that the copy in cache is stale. If so,
HTTP proxy does a conditional GET to the OCS, based on the last
modified time of the cached object. To change this aspect of the If-
Modified-Since: header on the ProxySG, enable the Substitute Get for IMS
setting. When this setting is enabled, a client time condition greater than
the last modified time of the object in the cache does not trigger
revalidation of the object.
Note: All objects do not have a last-modified time specified by the OCS.