안녕하세요.
현재 170 명 정도 내부 인원이 사용중인 회사에
안랩 TG100B 장비를 사용하고 있습니다.
이직한지 얼마 되지 않아 자세히 보고 있지 않다가, 유지보수 재 계약때 확인해보니
IPS 라이센스도 매년 사왔더라구요. 근데 IPS 기능을 켜지 않아서 유지보수 업체에 물어보니
현재 장비인 TG100B 장비에서 IPS 기능을 키면 장비에 무리가 간다. 많이 느려진다 등 얘기를 하는데
제품 스펙이 200명도 감당 못할정도 일까요?
방화벽 스펙 관련 문의
9개의 답변이 있습니다.
방화벽과 IPS의 기능이 다릅니다.
방화벽이야 트래픽 관리하고 외부/내부 IP allow, deny 에 정책을 세우고 관리하지만
IPS는 악의적인 활동을 차단하고 패턴 분석하고 침입 차단을 합니다.
하나의 UTM에 기능에 IPS 기능을 어떻게 설정하느냐에 따라 다를수 있지만 어떤 정책을 복잡하게 한다면 성능 이슈가 있고 그렇지 않다면 큰 문제는 없어 보입니다.
그렇다고하여 IPS을 활성화하여 Test 한다는건 전체 시스템에 문제가 있으니 분석 및 정책 확인 후
진행하시길 바랍니다.
아닌것 같으니 일단 가동을 해보시고 장비 성능을 점검해 보시길 바랍니다.
데이터 전송량이 얼마나 되느냐에 따라서 장비에 무리가 가느냐 안가느냐 확인할 수 있을 듯 하네요.
유지보수 업체에 단순히 기능을 켜서 문제가 되느냐?
해당 근거를 제시하라고 해야 할 듯 합니다.
너무 안일하게 문제가 될 소지가 있어서 기능 사용 안하는게 좋다고 하는데,
조금 대응 하는데 있어서 소극적인 듯 하네요.
IPS ( Intrusion Prevention System, 침입 차단 시스템 ) 기능을 활성화한다면 지나가는 패킷을 분석해서 악성 패킷을 찾아내어서 차단을 한다거나 허용되게 처리해야 하기 때문에 활성화하지 않는 것 보다는 부하가 증가되어 처리 성능이 늦어 지게 되는 건 당연할거라 생각되네요.
단지, 그 성능 저하 문제가 사용자가 불편함을 느낄정도인지 어떤지가 중요하지 않을까 싶고...
하드웨어 사양이 충분히 높거나 검사해야할 지나다니는 패킷량이 많지 않을 경우라면 성능 저하가 미미하겠지만, 하드웨어 사양이 충분하지 않거나 검사해야할 트래픽 량이 많다면 성능 저하 정도가 심할 가능성도 있을 거라 보이고요.
내부 사용자들이 얼마만큼의 트래픽을 유발하는지 등등에 따라 차이가 있지 않을까 싶고...
일정 시간 시험 운영을 해 보면서 평가해 본 후에 본격 사용하거나 사용하지 않거나 결정하면 되지 않을까 하는 생각이 드네요.
IPS기능 켜도 무리는 안갑니다. 저희는 TG80B를 사용하는데 크게 문제가 없습니다.
ioi | 2달 전
혹시 사내 유저수가 몇명이나 되실까요?
인원과 장비 스펙으로 비교하긴 어렵습니다.
그리고 말씀해주신 장비 스펙도 그렇게 높은 사양은 아닌 것 같구요
IPS 성능에 가장 영향이 큰 부분이 네트워크 트래픽과 보안정책입니다.
트래픽의 양이 많으면 느려질 수 밖에 없습니다.
그리고 잘못된 보안정책은 불필요한 트래픽 처리로 성능을 떨어뜨릴 수 있습니다.
사전에 트래픽 양과 보안 정책 검토를 해보시고 진행하세요.
우선 현재 시스템 모니터링 상황이 어떤지 체크 해보시고,
IPS 적용해서 모니터링 수치와 비교해보세요.
IPS가 웹 취약점 공격, 악성코드 등을 방어하는데 특화되어 있어서 기능이 활성되면 느려집니다. 그리고 홈페이지 등 대외 서비스를 하고 있다면 200명이 아닌 훨씬 큰 트래픽이 왔다갔다 할 것입니다.
현상이 지속된다면, 구매 업체 또는 유지보수 업체에 요청해서 IPS 영향으로 실제 느려지는지 점검해 보는 것도 방법이 될 수 있습니다. 점검 후 실제로 IPS 영향을 받아 느려지는 것이라면 여유가 된다면, 존을 구분하여 IPS 이중화도 고려해 보세요.
참고로, 현재 안랩 UTM 장비 이중화 구성하여 사용하고 있습니다. 교육기관이라 온라인 교육을 진행하면 평일 기준 동시접속자가 5000명 ~ 7000명은 보통 나옵니다. 특강이 포함되면 만명도 훌쩍 넘어가구요.. 그럴 땐 마비 현상처럼 느려집니다.
^^ 일시적이지만...
IPS 기능은 활성화 되어 있지만 IPS 규칙을 검토하여 최적화 후 운영하고 있습니다.
네트워크의 특정 요구사항에 따라 규칙을 사용자 정의하고 우선 순위를 지정할 수 있으니 이 방법도 고려해 보세요. 불필요한 오버헤드를 줄일 수 있습니다.
CPU 등 사용량 모니터링 될텐데요?
직접 테스트 해보심이... 과부하시엔 언제든 내리면 됩니다.
외부 서비스가 없으면 과부하가 걸리지는 않을 듯 합니다만.
제일 좋은 방법은 테스트해보는 거죠. 가능한 사용량이 적을때 (금요일 오후 추천) 해보시면 됩니다.
인원으로는 판단이 어렵습니다. 업종별, 업무별로 네트워크 트래픽이 천차만별이기 때문이죠
엔지니어에게 현재 네트워크 트래픽이 얼마이기 때문에 IPS적용시 어느정도 예상되기때문에
기능적용이 어려운지 설명해 달라고 요청해 보세요