.. _permissions: 권한 생성하기 ==================== 권한 이해하기 ------------------------- 권한을 사용하면 네트워크, 서비스 및 시간을 포함하는 다양한 객체 조합을 기반으로 노드 엑세스를 정의 할 수 있습니다. Genians는 사전 정의된 제어 정책에 사용되는 2개의 사용 권한을 가집니다. 이것은 **PERM-ALL** 및 **PERM-DENY** 입니다. **PERM-DENY** 객체는 시스템에서 자동으로 생성되며 정책에 할당된 권한이 없을 경우 **PERM-DENY** 권한을 부여 받게 됩니다. - **PERM-ALL**: 모든 네트워크와 서비스를 허용합니다. - **PERM-DENY**: 모든 네트워크에서 오직 DNS 서비스만 허용합니다. (CWP Redirection을 위해 DNS 프로토콜을 허용합니다.) (*사용자 지정 권한을 만들 수 있지만 먼저 네트워크, 서비스 및 시간 객체와 편집 및 생성 방법을 이해해야합니다.*) .. note:: 권한은 :ref:`ARP 제어`, :ref:`미러 제어`, :ref:`windows-firewall` 에 적용됩니다. - **네트워크** - 특정 네트워크를 식별하고 IP/Netmask 또는 IP 범위 그리고 FQDN 을 기반으로 제어를 정의 할 수있게 해주는 규칙입니다. - **서비스** - 여러 프로토콜 및 포트를 통해 제어를 정의 할 수 있도록 서비스를 식별하는 규칙입니다. - **시간** - 특정 요일과 시간에 허용하거나 특정 요일이나 시간에 거부 할 수 있도록 여러 제어 시간을 만드는 데 사용되는 규칙입니다. (*제외 확인란은 **NOT 연산자** 로 사용됩니다. 예를 들어 정의된 네트워크의 경우 제외 확인란을 선택하면 노드가 이 네트워크 이외의 모든 네트워크에 제어 할 수 있습니다.*) .. note:: 객체에 세부적인 정보는 다음에 :ref:`object-detail` 참고하시기 바랍니다. 1단계. 사용자 지정 네트워크 객체를 만듭니다. ---------------------------------------------- #. 상단 항목에서 **정책** 로 이동합니다. #. 왼쪽 정책 항목에서 **객체 > 네트워크** 로 이동합니다. #. **작업선택 > 생성** 을 클릭합니다. #. 다음을 입력합니다. - **ID**: 고유 이름 (*예 : 게스트 네트워크*) - **포함그룹**: 네트워크 객체에 적용할 그룹을 선택합니다. - **네트워크주소**: IP/Netmask or Range and FQDN #. **생성** 버튼을 클릭합니다. #. **변경정책적용** 버튼을 클릭합니다. 기본 네트워크 객체 ----------------------- - **@LOCAL** - 각 센서 인터페이스의 로컬 네트워크를 나타내는 객체입니다. 로컬 서버는 로컬 네트워크의 모든 사용자가 액세스 할 수 있지만 외부 접속은 차단 됩니다. - **@MANAGED** - 모든 네트워크센서의 결합 된 네트워크입니다. 새 네트워크센서가 추가되면 해당 네트워크가 자동으로 추가되어 @MANAGED 그룹에 포함됩니다. 예제: +----------------+------------------+ |네트워크센서 |IP 주소 | +================+==================+ |센서 1 |192.168.10.10 | +----------------+------------------+ | 센서 2 | 192.168.20.10 | +----------------+------------------+ | 센서 3 | 192.168.30.10 | +----------------+------------------+ 노드에 연결 된 IP: 192.168.10.100 노드가 허용되고 네트워크 객체가 LOCAL인 경우입니다. 그룹: A(192.168.10.100) Perm Destination Network: Local 노드는 네트워크 범위 192.168.10.0/24에만 연결할 수 있습니다. 노드가 허용되고 네트워크 객체가 관리 됩니다. 그룹:A(192.168.10.100) Perm Destination Network: Manage 노드는 192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24의 네트워크 범위에만 연결 할 수 있습니다. 2단계. 사용자 지정 서비스 객체를 생성 ------------------------------------------ #. 상단 항목에서 **정책** 로 이동합니다. #. 왼쪽 정책 항목에서 **객체 > 서비스** 로 이동합니다. #. **작업선택 > 생성** 을 클릭합니다. #. 다음을 입력합니다. - **ID**: 고유 이름 (*예 : 80 port*) - **포함그룹**: Select Group or Groups to apply to this Network Object - **서비스 포트**: 서비스 포트로 선택 할 프로토콜과 연산자를 선택합니다.(*예: 포트 80의 경우: TCP/ = 80, TCP/ = 8080*)입니다. #. **생성** 버튼을 클릭합니다. #. **변경정책적용** 버튼을 클릭합니다. 3단계. 사용자 지정 시간 객체 생성 -------------------------------------- #. 상단 항목에서 **정책** 로 이동합니다. #. 왼쪽 정책 항목에서 **객체 > 시간** 로 이동합니다. #. **작업선택 > 생성** 을 클릭합니다. #. 다음을 입력합니다. - **ID**: 고유 이름 (*예 : 방문자의 업무시간*) - **Group**: 네트워크 객체에 적용할 그룹을 선택합니다. - **시간객체**: 특정 날짜 또는 일 및 시간의 범위입니다. (*예. 시간: 0800-1800, 일: 월요일-금*) #. **생성** 버튼을 클릭합니다. #. **변경정책적용** 버튼을 클릭합니다. 4단계. 권한 생성 --------------------------- #. 상단 항목에서 **정책** 로 이동합니다. #. 왼쪽 정책 항목에서 **객체 > 권한** 로 이동합니다. #. **작업선택 > 생성** 을 클릭합니다. #. 다음을 입력합니다. - **ID**: 권한 명 - **설명**: 권한의 기능을 이해하는 데 도움이 되는 설명입니다. - **조건설정**: 네트워크, 서비스 및 시간을 선택하고 편집합니다. - **Exclude 체크 박스**: NOT 연산자로 사용 됩니다. #. **생성** 버튼을 클릭합니다. #. **변경정책적용** 버튼을 클릭합니다.