자주 묻는 질문

운영 정전에 대비해서 방화벽 시스템을 미리 내려야 합니다. 방화벽 시스템은 어떻게 끄나요?

정전에 대비해서 방화벽 시스템을 미리 끄시려면 다음과 같은 명령어로 방화벽 시스템을 내리면 됩니다.
#sync
#sync
#poweroff
만약, 내부적인 정전으로 방화벽 시스템이 비정상적으로 종료되어 OS상의 파일시스템에 문제가 생겼을 경우 본
FAQ5
를 참고하시기 바랍니다.

내부로 spam메일이 수신이 되고 있습니다. 메일이 많이 들어오는데 방화벽에서 막을 방법은 없나요?

다만, 다음과 같은 조건을 만족해야 합니다,
첫째, 방화벽 내부에 메일서버가 존재해야 합니다. 서비스존에 존재하거나 내부망에 존재하는 것을 포함한다는 의미입니다.
둘째, 방화벽을 통해서 SMTP패킷이 통과를 해야합니다. 메일서비스가 방화벽이 아닌 다른 망을 통해서 서비스가 된다면 의미가 없습니다.
위의 조건을 만족한다면 기존에 방화벽에 SMTP gateway가 설정이 되서 바이러스 필터링 및 메일 릴레이 방지 설정이 되어 있을 겁니다.
(기본적인 SMTP gateway설정 방법은 본 FAQ ‘SMTP 게이트웨이는 어떻게 설정해서 사용합니까?’를 참조해주시고 본 홈페이지
교육서비스 > Online 교육 > Service > SMTP gateway 설정
을 참조하시면 설정방법 및 접속방법에 대해서 보다 상세한 설명을 확인하실 수 있습니다.)
[SMTP gateway 보안정책]

위의 그림에서 볼 수 있듯이 키워드 정책에서 광고라는 키워드로 들어오는 메일에 대해서는 필터링이 가능합니다. 또한 거부정책이므로 허용되는 룰위에 올라가야 한다는 점에 유의하시기 바랍니다.
(키워드로 필터링을 하는 경우, 제목, 본문, 파일명, 전체로 구분이 되어 있으므로 선택해서 제어를 할 수 있습니다.)
[SMTP gateway 보안정책]

추가된 보안정책은 위와 같습니다.

Warning message 중 Possible Spoofed IP Packet 이 발생하는 이유는 무엇 때문입니까?

IP Spoof 경고 메시지는 SecureWorks에서 제공하는 IDS 기능 중의 하나 입니다.
[SecureWorks의 Spoofed Log]

IP Spoof 경고 메시지는 SecureWorks가 인식하지 못하는 routing 경로에서 패킷이 System의 interface에 감지 됐을 때 발생합니다.
경고 메시지의 마지막 부분(IFN)은 패킷이 감지된 interface정보를 알려주며 위의 로그는 hme1에 Spoofing 된 패킷이 감지된 것입니다.
예를 들어 Iprb1의 네트웍이 172.168.1.100 이라고 가정할 때 출발지 주소가 192.168.20.162과 같은 패킷은 네트워크 상에서 발생할 수가 없음에도 불구하고 출발지가 192.168.20.162인 패킷이 System의 Iprb1 interface에 감지 되기 때문에 SECUREWORKS은 관리자에 IP Spoof 라는 경고 메시지를 보내는 것입니다. 실제 이러한 메시지가 나타나는 경우는 IP 설정 오류로 나타나는 경우가 많습니다.
또 하나는 client pc에서 자동 ip할당 설정을 해놓은 경우(실제로는 DHCP서버를 통한 서비스를 받지 않는 경우…) 해당 ip대역이 169.254.X.X로 방화벽 로그에서 감지가 되는 경우인데 이때는 자동 ip할당 설정을 해놓은 pc를 찾아서 설정을 수정해주어야 합니다.
(**이러한 기능은 실제 외부에서 주소지 정보를 속여서 공격하는 형태의 IP Spoof 공격에 대한 감지 기능을 제공하는 것인데. 실제는 내부에 잘못 설정된 IP 정보를 가지는 host 가 존재하거나 또는 내부에서 복잡한 형태의 Dynamic Routing 을 수행하는 경우 위와 같은 형태의 message 가 SecureWorks에 의해서 감지될 수 있습니다. )