목차/05. 최초 구성 마법사

05최초 구성 마법사최초 구성 마법사

Gaia를 처음 설치하면 First Time Configuration Wizard(FTW, 최초 구성 마법사) 로 시스템과 그 위의 Check Point 제품을 구성합니다. 마법사는 두 가지 방법으로 실행할 수 있습니다 — Gaia Portal(웹) 또는 CLI Expert 모드(config_system) 입니다. 이 장은 두 방법의 모든 창·필드·파라미터·완료 확인 절차를 빠짐없이 정리합니다.

Gaia Portal에서 마법사 실행하기

  1. Gaia 컴퓨터에 PC를 연결합니다. Scalable Platform에서는 Security Group의 Gaia Management Interface에 연결하며, 설치 때 구성한 인터페이스(예: eth0) 에 붙어야 합니다.
  2. 연결한 PC에 설치 때 구성한 IPv4와 같은 서브넷 의 정적 IPv4 주소를 설정합니다.
  3. 브라우저로 설치 때 구성한 IPv4 주소에 접속합니다 — https://<Gaia Management Interface의 IP>
  4. 기본 사용자 이름·암호 admin / admin 을 입력합니다.
  5. Login 을 누르면 First Time Configuration Wizard가 열립니다.
  6. 각 창의 안내를 따릅니다(아래 창 설명 참고).

마법사 창별 설정

Deployment Options — Gaia OS를 어떻게 배포할지 고릅니다.

구역옵션설명
SetupContinue with R82 configuration이미 설치된 Gaia·제품을 구성
InstallationInstall from Check Point Cloud / USB deviceGaia 버전을 설치
RecoveryImport existing snapshot기존 Gaia 스냅샷을 가져옴

여기서 Install from Check Point Cloud 를 고르면 클라우드 연결을 구성합니다(게이트웨이로 구성한 Check Point 어플라이언스만) — Install major version(클라우드의 주 버전을 골라 CPUSE로 설치)과 Pull appliance configuration(Zero Touch Cloud Service로 미리 준비한 초기 배포 구성 적용, sk116375)이 있습니다. Scalable Platform(ElasticXL·Maestro·Chassis)은 이 기능을 지원하지 않 습니다.

Authentication Details — Gaia OS의 주요 암호를 설정합니다.

  • 관리자 암호 — Expert 모드 암호를 설정합니다.
  • Maintenance Mode(GRUB) 암호 — GRUB 메뉴·터미널을 보호하는 암호로, Maintenance Mode 부팅 시·스냅샷 되돌리기 시 묻습니다.

Management Connection — 주 Gaia Management Interface를 고르고 구성합니다. 이 IP로 Gaia Portal·CLI에 접속 합니다. 기본값은 설치 때 구성한 인터페이스(예: eth0)이며, IPv4는 Manually(주소·서브넷 마스크·기본 게이트웨이 입력) 또는 Off 로 설정합니다. IPv6도 같은 방식이지만 R82는 Gaia Management Interface에서 IPv6 주소를 지원하지 않 습니다(알려진 제한 PMTR-47313). (마법사 완료·재부팅 후 다른 인터페이스를 주 관리 인터페이스로 바꿀 수 있습니다.)

Internet Connection(선택) — Gaia 서버를 인터넷에 연결하는 인터페이스를 IPv4/IPv6로 구성합니다(방식은 위와 동일).

Device Information — 호스트 이름, DNS 서버, 프록시 서버를 설정합니다.

필드설명
Host Name고유한 호스트 이름
Domain Name(선택) 도메인 이름
Primary / Secondary / Tertiary DNS Server기본 DNS(필수)와 보조·3차 DNS(선택)의 IPv4
Use a Proxy server(선택) 프록시 주소(IPv4 또는 해석 가능한 호스트명)와 포트

Date and Time Settings — 날짜·시간을 수동(Date·Time·Time Zone)으로, 또는 NTP 로 자동 설정합니다(Primary/Secondary NTP 서버 주소와 버전, Time Zone).

Installation Type — 설치할 Check Point 제품 유형을 고릅니다.

  • Security Gateway and/or Security Management — 단일 게이트웨이, Cluster Member, 관리 서버(Management HA 포함), Endpoint Security 관리 서버·Policy Server, CloudGuard Controller, 전용 Log Server·SmartEvent Server, Standalone. Scalable Platform은 이 옵션만 지원 합니다.
  • Multi-Domain Server — Multi-Domain Server(Management HA 포함), 전용 Multi-Domain Log Server. Scalable Platform은 지원하지 않 습니다.

Products — 위 선택에 이어 세부 제품을 고릅니다.

  • Security Gateway and/or Security Management 를 골랐다면 — Security Gateway(단일 GW/Cluster Member/Standalone, Scalable Platform은 이것만), Security Management(관리 서버·Endpoint·CloudGuard·Log·SmartEvent·Standalone).
    • Unit is a part of a cluster(Security Gateway 선택 시만) — 클러스터 유형을 고릅니다: ElasticXL(HyperScale 기반 전용 GW 클러스터), ClusterXL(전용 GW 클러스터 또는 Full HA 클러스터), VRRP Cluster.
    • Define Security Management as — Primary(관리 서버 등), Secondary(Management HA의 보조), Log Server / SmartEvent only.
    • Install as VSNext — ElasticXL 클러스터를 VSNext 모드로 구성(설치 후 전환 불가). ElasticXL만 지원하며, Legacy VSX 모드로 설치하려면 이 체크박스를 끄고 SmartConsole에서 VSX 게이트웨이·Virtual System·Virtual Switch 객체를 구성합니다(VSX 가이드).
  • Multi-Domain Server 를 골랐다면 — Primary/Secondary Multi-Domain Server, Multi-Domain Log Server.

Dynamically Assigned IP(Products에서 Security Gateway만 골랐을 때) — 이 게이트웨이가 IP를 동적으로 받는 DAIP 게이트웨이 인지 고릅니다(Yes/No). Scalable Platform은 지원하지 않 습니다(MBS-3246).

Secure Communication to Management Server — (게이트웨이만 설치하거나, Secondary MDS·MDLS일 때 나타남) 일회용 Activation Key(4~127자) 를 설정합니다. 나중에 SmartConsole에서 객체를 만들고 SIC를 초기화할 때 이 키를 입력합니다. Connect to your Management as a Service(게이트웨이 선택 시) — Infinity Portal의 Quantum Smart-1 Cloud로 관리하려면 거기서 생성한 인증 토큰을 입력합니다.

Security Management Administrator — (관리 서버만 설치할 때) SmartConsole 로그인용 주 관리자를 설정합니다 — Gaia의 admin 계정을 쓰거나, 새 관리자를 정의합니다.

Security Management GUI Clients — 이 관리 서버에 SmartConsole로 접속을 허용할 컴퓨터 를 지정합니다 — Any IP Address(모두), This machine(내 컴퓨터), Network(서브넷), Range of IPv4 addresses(범위).

Leading VIP Interfaces Configuration(Multi-Domain Server일 때) — MDS·MDLS의 주 Leading VIP Interface를 고릅니다.

Multi-Domain Server GUI Clients(Primary MDS일 때) — MDS에 SmartConsole 접속을 허용할 컴퓨터를 지정합니다(Any host / IP address).

First Time Configuration Wizard Summary — 선택한 설치 옵션을 확인합니다. 아래 링크로 EULA·개인정보 정책과 Update·Data Sharing 설정을 봅니다(sk175504). 데이터 공유 옵션은 다음과 같습니다.

옵션제어 대상
Software Blade Contracts·보안 업데이트 자동 다운로드·설치(강력 권장)"Security" 데이터 — CPUSE Deployment Agent·Threat Emulation 엔진 업데이트, IPS 시그니처 등
소프트웨어 업데이트·새 기능 자동 다운로드(강력 권장)"Non-Security" 데이터 — CPinfo 도구 업데이트 등
익명 정보 전송으로 제품 개선 돕기익명 로그·진단 정보 업로드(CPUSE·CPinfo). GDPR 적용
코어 덤프·크래시 데이터 공유 승인감지된 core dump 파일을 Check Point Cloud에 업로드 해 R&D가 분석(Crash Data)

완료 확인

마법사가 끝나면 Gaia 컴퓨터가 재부팅 되고, 초기화가 몇 분간 백그라운드로 진행됩니다. 관리 서버·MDS로 설치했다면 이 동안 SmartConsole은 읽기 전용 으로만 접근됩니다. 구성이 끝났는지 확인하려면 — 명령줄에 접속해 Expert 모드로 로그인한 뒤, /var/log/ftw_install.log 끝에 installation succeeded 또는 FTW: Complete 가 있는지 봅니다.

cat /var/log/ftw_install.log | egrep --color "installation succeeded|FTW: Complete"

(Scalable Platform Security Group에서는 g_cat /var/log/ftw_install.log | egrep ... 를 씁니다.)

CLI Expert 모드에서 — config_system

config_system설치 직후 최초 구성을 자동화 하는 Expert 모드 명령입니다. 대화형 도구가 아니라 파라미터를 한 번에 받아 처리하며, 오직 최초 구성용 입니다(이후 일상 구성에는 쓰지 않음). Scalable Platform(Maestro·Chassis)에서는 해당 Security Group의 Expert 모드에서 실행합니다.

config_system -l                              # 설정 가능한 파라미터 보기 (--list-params)
config_system -f <경로/파일명>                 # 설정 파일로 실행 (--config-file)
config_system -s <문자열>                      # 설정 문자열로 실행 (--config-string)
config_system -t <경로>                        # 설정 파일 템플릿 생성 (--create-template)
config_system --dry-run                        # 설정 파일 유효성 검사

설정 문자열로 실행

  1. Expert 모드에서 실행합니다 — config_system --config-string "<파라미터=값 쌍>". 쌍은 앰퍼샌드(&)로 구분 하고 전체를 따옴표로 감쌉니다. 예:
   
  1. 시스템을 재부팅합니다.

설정 파일로 실행

  1. 템플릿을 만듭니다 — config_system -t <파일명>
  2. 텍스트 편집기로 열어 파라미터 값을 채웁니다.
  3. 저장합니다.
  4. (선택) 유효성 검사 — config_system --config-file <파일명> --dry-run
  5. 실행 — config_system -f <파일명> 후 재부팅합니다.

config_system 파라미터

파라미터설명
admin_hash관리자 암호작은따옴표로 감싼 영숫자 문자열
default_gw_v4 / default_gw_v6기본 게이트웨이 IPv4/IPv6단일 IP
domainname도메인 이름(선택)FQDN(예: somedomain.com)
download_infotrue면 Blade Contracts·보안 업데이트·중요 정보 다운로드(sk94508, sk175504)true(기본)/false
download_from_checkpoint_non_securitytrue면 SW 업데이트·새 기능 다운로드true(기본)/false
ftw_sic_keyinstall_security_managment=false일 때 SIC 키영숫자 4~127자
gateway_cluster_membertrue면 ClusterXL 멤버로 구성true/false
gateway_daiptrue면 DAIP 게이트웨이. ClusterXL·관리 서버 활성 시 false여야 함true/false(기본)
hostname로컬 호스트 이름(선택)영숫자 문자열
iface인터페이스 이름(선택)장치 설정 그대로(예: eth0)
install_mds_interfaceMDS 관리 인터페이스인터페이스 이름
install_mds_primary / install_mds_secondary관리 서버를 Primary/Secondary MDS로(서로 배타, install_security_managment=true 필요)true/false
install_mgmt_primary / install_mgmt_secondary관리 서버를 Primary/Secondary로(서로 배타, 전용 Log Server는 false)true/false
install_mlmtrue면 Multi-Domain Log Server 설치true/false
install_security_gwtrue면 Security Gateway 설치true/false
install_security_managmenttrue면 관리 서버 또는 전용 Log Server 설치true/false
install_security_vsxtrue면 VSX Gateway 설치true/false
ipaddr_v4 / ipaddr_v6관리 인터페이스 IP단일 IP
ipstat_v4 / ipstat_v6정적 IP 설정manually / off
maas_authentication_keyManagement as a Service 인증 키(게이트웨이만)작은따옴표 영숫자
masklen_v4 / masklen_v6관리 인터페이스 마스크 길이0~32 / 0~128
mgmt_admin_name / mgmt_admin_passwd관리 관리자 사용자명·암호(install_security_managment=true면 필수)영숫자
mgmt_admin_radio관리자 계정 — gaia_admin(Gaia admin 사용) 또는 new_admin(새 계정)gaia_admin / new_admin
mgmt_gui_clients_radioSmartConsole 접속 허용 방식any / range / network / this
mgmt_gui_clients_first_ip_field / _last_ip_fieldrange일 때 시작·끝 IP단일 IP
mgmt_gui_clients_ip_fieldnetwork일 때 네트워크 주소네트워크 IP
mgmt_gui_clients_hostnamethis일 때 호스트 IP단일 IP
mgmt_gui_clients_subnet_fieldnetwork일 때 넷마스크1~32
primary / secondary / tertiary기본·보조·3차 DNS(선택)IPv4
ntp_primary / ntp_secondary기본·보조 NTP 서버(선택)IPv4
ntp_primary_version / ntp_secondary_versionNTP 버전(선택)1/2/3/4
proxy_address / proxy_port프록시 주소·포트(선택)IP·호스트명 / 1~65535
reboot_if_requiredtrue면 구성 후 재부팅(선택)true/false
sg_cluster_idCheck Point 지원 전용
timezoneArea/Region(선택). set timezone Area<SPACE><TAB>로 목록 확인(대소문자 구분)작은따옴표(예: 'Asia/Tokyo')
upload_crash_datatrue면 core dump 업로드(Crash Data)true/false(기본)
upload_infotrue면 최적 서비스용 데이터 업로드(sk94509)true/false(기본)