.. _permissions:

권한 생성하기
====================

권한 이해하기
-------------------------

권한을 사용하면 네트워크, 서비스 및 시간을 포함하는 다양한 객체 조합을 기반으로 노드 엑세스를 정의 할 수 있습니다. 
Genians는 사전 정의된 제어 정책에 사용되는 2개의 사용 권한을 가집니다. 이것은 **PERM-ALL** 및 **PERM-DENY** 입니다.
**PERM-DENY** 객체는 시스템에서 자동으로 생성되며 정책에 할당된 권한이 없을 경우 **PERM-DENY** 권한을 부여 받게 됩니다.   

- **PERM-ALL**: 모든 네트워크와 서비스를 허용합니다.
- **PERM-DENY**: 모든 네트워크에서 오직 DNS 서비스만 허용합니다. (CWP Redirection을 위해 DNS 프로토콜을 허용합니다.)

(*사용자 지정 권한을 만들 수 있지만 먼저 네트워크, 서비스 및 시간 객체와 편집 및 생성 방법을 이해해야합니다.*)

.. note:: 권한은 :ref:`ARP 제어<config-arp>`, :ref:`미러 제어<config-mirror>`, :ref:`windows-firewall` 에 적용됩니다.
 
- **네트워크**  - 특정 네트워크를 식별하고 IP/Netmask 또는 IP 범위 그리고 FQDN 을 기반으로 제어를 정의 할 수있게 해주는 규칙입니다.
- **서비스**  - 여러 프로토콜 및 포트를 통해 제어를 정의 할 수 있도록 서비스를 식별하는 규칙입니다.
- **시간**  - 특정 요일과 시간에 허용하거나 특정 요일이나 시간에 거부 할 수 있도록 여러 제어 시간을 만드는 데 사용되는 규칙입니다.

(*제외 확인란은 **NOT 연산자** 로 사용됩니다. 예를 들어 정의된 네트워크의 경우 제외 확인란을 선택하면 노드가 이 네트워크 이외의 모든 네트워크에 제어 할 수 있습니다.*)

.. note:: 객체에 세부적인 정보는 다음에 :ref:`object-detail` 참고하시기 바랍니다.

1단계. 사용자 지정 네트워크 객체를 만듭니다.
----------------------------------------------

#. 상단 항목에서 **정책** 로 이동합니다.
#. 왼쪽 정책 항목에서 **객체 > 네트워크** 로 이동합니다.
#. **작업선택 > 생성** 을 클릭합니다.
#. 다음을 입력합니다.

   - **ID**: 고유 이름 (*예 : 게스트 네트워크*)
   - **포함그룹**: 네트워크 객체에 적용할 그룹을 선택합니다.
   - **네트워크주소**: IP/Netmask or Range and FQDN

#. **생성** 버튼을 클릭합니다.
#. **변경정책적용** 버튼을 클릭합니다.

기본 네트워크 객체
-----------------------

- **@LOCAL** - 각 센서 인터페이스의 로컬 네트워크를 나타내는 객체입니다. 로컬 서버는 로컬 네트워크의 모든 사용자가 액세스 할 수 있지만 외부 접속은 차단 됩니다.
- **@MANAGED** - 모든 네트워크센서의 결합 된 네트워크입니다. 새 네트워크센서가 추가되면 해당 네트워크가 자동으로 추가되어 @MANAGED 그룹에 포함됩니다.

예제:

+----------------+------------------+
|네트워크센서    |IP 주소           |
+================+==================+ 
|센서 1          |192.168.10.10     |
+----------------+------------------+  
| 센서 2         | 192.168.20.10    |
+----------------+------------------+
| 센서 3         | 192.168.30.10    |
+----------------+------------------+

노드에 연결 된 IP: 192.168.10.100

노드가 허용되고 네트워크 객체가 LOCAL인 경우입니다.
그룹: A(192.168.10.100)
Perm Destination Network: Local
노드는 네트워크 범위 192.168.10.0/24에만 연결할 수 있습니다.

노드가 허용되고 네트워크 객체가 관리 됩니다.
그룹:A(192.168.10.100)
Perm Destination Network: Manage
노드는 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24의 네트워크 범위에만 연결 할 수 있습니다.


2단계. 사용자 지정 서비스 객체를 생성
------------------------------------------

#. 상단 항목에서 **정책** 로 이동합니다.
#. 왼쪽 정책 항목에서 **객체 > 서비스** 로 이동합니다.
#. **작업선택 > 생성** 을 클릭합니다.
#. 다음을 입력합니다.

   - **ID**: 고유 이름 (*예 : 80 port*)
   - **포함그룹**: Select Group or Groups to apply to this Network Object
   - **서비스 포트**: 서비스 포트로 선택 할 프로토콜과 연산자를 선택합니다.(*예: 포트 80의 경우: TCP/ = 80, TCP/ = 8080*)입니다.
      
#. **생성** 버튼을 클릭합니다.
#. **변경정책적용** 버튼을 클릭합니다.

3단계. 사용자 지정 시간 객체 생성
--------------------------------------

#. 상단 항목에서 **정책** 로 이동합니다.
#. 왼쪽 정책 항목에서 **객체 > 시간** 로 이동합니다.
#. **작업선택 > 생성** 을 클릭합니다.
#. 다음을 입력합니다.

   - **ID**: 고유 이름 (*예 : 방문자의 업무시간*)
   - **Group**: 네트워크 객체에 적용할 그룹을 선택합니다.
   - **시간객체**: 특정 날짜 또는 일 및 시간의 범위입니다. (*예. 시간: 0800-1800, 일: 월요일-금*)
            
#. **생성** 버튼을 클릭합니다.
#. **변경정책적용** 버튼을 클릭합니다.

4단계. 권한 생성
---------------------------

#. 상단 항목에서 **정책** 로 이동합니다.
#. 왼쪽 정책 항목에서 **객체 > 권한** 로 이동합니다.
#. **작업선택 > 생성** 을 클릭합니다.
#. 다음을 입력합니다.

   - **ID**: 권한 명
   - **설명**: 권한의 기능을 이해하는 데 도움이 되는 설명입니다.
   - **조건설정**: 네트워크, 서비스 및 시간을 선택하고 편집합니다.
   - **Exclude 체크 박스**: NOT 연산자로 사용 됩니다.
         
#. **생성** 버튼을 클릭합니다.
#. **변경정책적용** 버튼을 클릭합니다.