사용 매뉴얼
개요
대상 사용자: 방화벽 정책관리시스템(FOCS)을 운영하는 방화벽 정책 운영자 및 보안관제 담당자
벨로크 FOCS 앱은 방화벽정책관리시스템의 REST API와 연동하여, 로그프레소 쿼리에서 직접 방화벽 정책 정보를 조회하고 유해 IP를 관리할 수 있는 확장 명령어를 제공합니다. 별도 화면 없이 분석 > 쿼리에서 명령어를 실행하는 방식이므로, 탐지 결과·로그와 방화벽 정책 작업을 한 흐름으로 연결할 수 있습니다.
- 등록된 방화벽 목록과 신청서(기안문) 조회
- 특정 IP가 유해 IP로 등록되어 있는지 조회 (단건·일괄)
- 유해 IP 등록 및 삭제 (단건·일괄)
기본 개념·용어
| 용어 | 의미 | 관련 리소스 |
|---|---|---|
| 접속 프로파일 | FOCS 신청시스템·운영시스템 엔드포인트와 API 접근 키를 저장하는 로그프레소 객체 | 설치 매뉴얼 참고 |
| 신청시스템 | 방화벽 정책 신청서(기안문)를 관리하는 시스템. 방화벽 목록·신청서 조회 명령어가 사용 | 접속 프로파일의 신청시스템 엔드포인트 |
| 운영시스템 | 유해 IP 조회·등록·삭제를 처리하는 시스템 | 접속 프로파일의 운영시스템 엔드포인트 |
| device_seq | 방화벽 장비 고유번호. 신청서 조회·유해 IP 적용 대상을 지정할 때 사용 | focs-firewalls 결과의 device_seq |
| node_seq | 방화벽의 등록 가능 상태 구분값. 1 또는 2이면 신청서 등록이 가능한 장비 | focs-firewalls 결과의 node_seq |
| 유해 IP(block_ip) | 차단 대상으로 운영시스템에 등록하는 IP. 고유번호(block_ip_seq)와 이름(block_ip_nm)을 가짐 | focs-malicious-ip 결과 |
| is_applied | 유해 IP가 방화벽 정책에 실제 반영되었는지 여부. 백엔드 처리 완료 시 true로 갱신 | focs-malicious-ip 결과의 is_applied |
주요 화면·메뉴 경로
| 기능 | 경로 |
|---|---|
| 앱 관리 | 앱 |
| 접속 프로파일 | 시스템 > 접속 프로파일 |
| 확장명령어 실행 | 분석 > 쿼리 |
| 로그 검색 | 분석 > 로그 |
작업 시나리오
시나리오 1: 신청서 등록 가능한 방화벽 목록 확인
목적: 유해 IP 등록이나 신청서 조회를 수행하기 전에, 연동된 방화벽 장비 목록과 각 장비의 고유번호(device_seq)·등록 가능 여부를 파악합니다.
사전 조건:
- 시스템 > 접속 프로파일에 벨로크 FOCS 접속 프로파일이 등록되어 있어야 합니다. (신청시스템 엔드포인트, 운영시스템 엔드포인트, API 접근 키 설정 완료 — 설치 매뉴얼의 접속 프로파일 설정 단계 참고)
- 프로파일 이름을 알고 있어야 합니다. 본 예시에서는
my를 사용합니다.
수행 절차:
- 분석 > 쿼리로 이동합니다.
- 아래 쿼리를 실행합니다.
결과 확인:
쿼리 결과로 아래와 같은 레코드가 나와야 합니다.
| profile | device_seq | device_name | device_ip | node_seq |
|---|---|---|---|---|
| my | 1 | FW-DMZ-01 | 192.0.2.10 | 1 |
| my | 9 | FW-Internal-02 | 192.0.2.20 | 2 |
| my | 15 | FW-Backbone-03 | 192.0.2.30 | 3 |
node_seq가 1 또는 2인 장비는 신청서 등록이 가능한 방화벽입니다. 이후 시나리오에서device_seq값을 신청서 조회·유해 IP 적용 대상으로 사용합니다.- 결과가 1건 이상 정상 출력되면 접속 프로파일과 신청시스템 연동이 올바르게 동작하는 것입니다.
실패 대응:
| 증상 | 원인 | 해결 |
|---|---|---|
벨로크 FOCS 프로파일 이름을 입력하세요 | profile 옵션 누락 또는 잘못된 이름 | 시스템 > 접속 프로파일에서 프로파일 이름을 확인 후 재실행 |
| 쿼리 결과 0건 | 신청시스템에 등록된 방화벽이 없음 | 신청시스템 측 방화벽 등록 상태 확인 |
Bellock FOCS error ... 예외 | 엔드포인트 접속 불가 / 인증 키 오류 | 접속 프로파일의 신청시스템 엔드포인트·API 접근 키 재확인 |
시나리오 2: 탐지된 의심 IP를 유해 IP로 등록하고 반영 상태 확인
목적: 보안 탐지 과정에서 식별한 의심 IP를 운영시스템에 유해 IP로 등록한 뒤, 방화벽 정책 반영 여부를 확인하는 복합 워크플로입니다.
사전 조건:
- 시나리오 1로 적용 대상 방화벽의
device_seq를 확보합니다. - 운영시스템 API를 호출할 등록자 계정(creator-id)이 있어야 합니다.
- 한 번의 등록 요청에 포함하는 IP 건수는 접속 프로파일의 유해 IP 최대 등록 건수(기본 100건)를 초과할 수 없습니다.
수행 절차:
- 먼저 해당 IP가 이미 등록되어 있는지 조회합니다.
- 등록 이력이 없으면 유해 IP로 등록합니다. 적용 대상 방화벽(
device-seqs)과 적용 기간(start-date·end-date, yyyyMMdd 형식)을 함께 지정합니다.
focs-add-malicious-ip profile=my name="의심_C2_차단_20260626" ip="203.0.113.10,203.0.113.11" device-seqs="1,9" creator-id=user@example.com start-date=20260626 end-date=20260726
- 등록 후 동일 IP를 다시 조회하여 반영 상태(
is_applied)를 확인합니다.
결과 확인:
2번 등록 명령의 결과는 아래와 같이 요약 1행으로 반환됩니다.
| profile | status | message | block_ip_nm | count | block_ip_list |
|---|---|---|---|---|---|
| my | success | OK | 의심_C2_차단_20260626 | 2 | [203.0.113.10, 203.0.113.11] |
3번 재조회 결과는 아래와 같습니다.
| profile | block_ip_seq | block_ip_nm | block_ip | is_applied | created | creator_id | dev_seqs |
|---|---|---|---|---|---|---|---|
| my | 5012 | 의심_C2_차단_20260626 | 203.0.113.10 | false | 2026-06-26 10:30:00 | user@example.com | [1, 9] |
status가success이면 운영시스템에 등록 요청이 정상 접수된 것입니다.- 등록 직후
is_applied는false일 수 있습니다. 유해 IP의 방화벽 정책 반영은 운영시스템 백엔드가 별도로 처리한 뒤 결과를 업데이트하는 방식이므로, 반영 완료까지 시간이 걸립니다. 잠시 후 재조회하여is_applied가true로 바뀌면 정책에 반영된 것입니다.
> 주의 — 유해 IP 등록은 운영시스템에 요청을 접수하는 동작입니다. status=success는 요청 접수 성공을 의미할 뿐, 방화벽 정책 반영 완료를 보장하지 않습니다. 실제 차단 여부는 반드시 is_applied 필드로 확인하세요.
실패 대응:
| 증상 | 원인 | 해결 |
|---|---|---|
name 옵션을 지정하세요 | name 옵션 누락 | 유해 IP 이름(name)을 지정 후 재실행 |
creator-id 옵션을 지정하세요 | creator-id 옵션 누락 | 운영시스템 호출 계정을 creator-id로 지정 |
유효한 IP 주소를 지정하세요 | ip 값 형식 오류 | ip 옵션 값을 올바른 IP 형식으로 수정 |
날짜를 yyyyMMdd 형식으로 지정하세요 | start-date / end-date 형식 오류 | 날짜를 yyyyMMdd(예: 20260626) 형식으로 입력 |
등록 가능한 유해 IP 최대 건수를 초과했습니다 | 한 요청의 IP 건수가 최대 등록 건수 초과 | IP 목록을 나눠 등록하거나 접속 프로파일의 최대 등록 건수 조정 |
멀티 프로파일은 허용되지 않습니다 | profile 옵션에 복수 프로파일 지정 | profile 옵션에 단일 프로파일만 지정 |
| 등록 후에도 is_applied가 계속 false | 운영시스템 백엔드 반영 처리 미완료/지연 | 시간 경과 후 재조회. 장시간 미반영 시 운영시스템 측 처리 상태 확인 |
시나리오 3: 로그의 IP 목록을 유해 IP 등록 여부로 일괄 보강
목적: 수집된 로그나 조회 결과의 IP 컬럼 전체에 대해, 각 IP가 운영시스템에 유해 IP로 등록되어 있는지 한 번에 대조합니다. 다건의 IP를 반복 점검하는 작업에 적합합니다.
사전 조건:
- 입력 행에 IP 값을 담은 필드가 있어야 합니다. 본 예시에서는
src_ip필드를 사용합니다. - 배치 명령어는 단일 프로파일만 허용합니다.
수행 절차:
- 분석 > 쿼리에서 IP가 포함된 입력 쿼리 뒤에 배치 명령어를 파이프로 연결합니다.
결과 확인:
각 입력 행에 등록 여부와 등록 정보가 보강됩니다.
| src_ip | is_malicious | block_ip_seq | block_ip_nm | is_applied | created | creator_id |
|---|---|---|---|---|---|---|
| 203.0.113.10 | true | 5012 | 의심_C2_차단_20260626 | true | 2026-06-26 10:30:00 | user@example.com |
| 198.51.100.5 | false |
is_malicious가true인 행은 운영시스템에 등록된 유해 IP입니다. 등록 정보(block_ip_seq·block_ip_nm등)가 함께 채워집니다.is_malicious가false인 행은 미등록 IP이며, 보강 필드는 비어 있습니다.- IP 형식 오류나 조회 실패가 발생한 행은 예외를 던지지 않고
_error필드에 사유가 기록됩니다. 따라서 일부 행에 오류가 있어도 전체 쿼리는 중단되지 않습니다.
실패 대응:
| 증상 | 원인 | 해결 |
|---|---|---|
field 옵션을 지정하세요 | field 옵션 누락 | IP가 담긴 입력 필드명을 field 옵션으로 지정 |
모든 행이 is_malicious=false | field 지정 오류 / 값이 IP가 아님 | field 옵션이 실제 IP 필드를 가리키는지 확인 |
특정 행에 _error 필드 존재 | 해당 행의 값이 빈 값/잘못된 IP | _error 값을 확인하여 원본 데이터의 IP 형식 점검 |
멀티 프로파일은 허용되지 않습니다 | profile 옵션에 복수 프로파일 지정 | profile 옵션에 단일 프로파일만 지정 |
주의사항
- 비동기 반영: 유해 IP 등록·삭제 명령은 운영시스템에 요청을 접수하는 동작입니다. FOCS 운영시스템 백엔드가 요청을 별도로 처리한 뒤 결과를 업데이트하므로, 명령 응답의
status=success는 요청 접수 성공을 의미할 뿐 즉시 차단을 보장하지 않습니다. 실제 정책 반영은is_applied필드로 확인합니다. - 단건 삭제만 지원: 유해 IP 삭제는 운영시스템 API가 복수 처리를 지원하지 않아 IP 1건씩 처리됩니다. 다건 삭제는 배치 명령(focs-remove-malicious-ip-batch)으로 입력 행마다 단건 호출됩니다.
- 최대 등록 건수: 한 번의 등록 요청에 포함할 수 있는 유해 IP 건수는 접속 프로파일의 유해 IP 최대 등록 건수(미지정 시 100건)로 제한됩니다.
- 멀티 프로파일 금지: 모든 명령어는 단일 접속 프로파일만 허용합니다. profile 옵션에 복수 프로파일을 지정하면 오류가 발생합니다.
- 신청서 승인 절차: 신청서(기안문)에는 별도 승인 절차가 있으나 본 앱 명령어는 조회 기능만 제공하며 승인 흐름에는 관여하지 않습니다.
- 권한 주의: 유해 IP 등록·삭제는 외부 운영시스템의 방화벽 정책에 영향을 미치는 작업입니다. creator-id에 지정한 계정의 권한으로 처리되므로, 등록·삭제 명령 실행 전 대상 IP와 적용 장비를 반드시 재확인하세요.
관련 문서
- 설치 매뉴얼 — 최초 설치 및 접속 프로파일 설정
- focs-malicious-ip — 유해 IP 단건 조회
- focs-add-malicious-ip — 유해 IP 등록
- focs-malicious-ip-batch — 유해 IP 일괄 조회(입력 행 보강)
- focs-firewalls — 방화벽 목록 조회