04Identity Awareness 구성Identity Awareness 구성

게이트웨이 객체의 General Properties 에서 Identity Awareness 블레이드를 켜면 구성 마법사 가 열립니다. 마법사를 따라간 뒤, 객체의 Identity Awareness 페이지 에서 쓸 Identity Source와 그 설정 을 잡고 Access Control 정책을 설치합니다.

Access Role(액세스 롤) 은 특정 사용자·컴퓨터·네트워크 위치를 하나의 객체로 묶은 것으로, 규칙의 출발지 또는 목적지 로 씁니다. Access Role에는 네트워크, 사용자/사용자 그룹, 컴퓨터/컴퓨터 그룹, Remote Access Client 를 담을 수 있습니다.

예를 들어 IT 부서와 영업 부서 롤이 FTP로 파일을 공유하도록 허용 하는 규칙은, Source에 IT_dept·Sales_dept 롤을 두고 Service에 ftp, Action에 accept를 두면 됩니다.

세부 조정으로, LDAP 사용자에 SID(Security Identifier) 를 구성 해 정확히 매칭하거나, Identity Tag 를 Access Role 매칭에 활용 할 수 있습니다.

Access Role을 만들면 방화벽 Rule Base의 Source/Destination에 넣어 신원 기반 규칙을 완성합니다. 이렇게 IP가 아니라 "누구냐"로 접근을 통제 하는 것이 Identity Awareness의 핵심입니다(소개의 Finance 그룹 예시처럼).

특수 상황으로, HTTP 프록시 서버 뒤의 사용자를 식별 해야 할 때가 있습니다. 프록시를 거치면 출발지 IP가 프록시로 보이므로, 게이트웨이가 프록시 뒤의 실제 사용자를 식별하도록 별도 구성 합니다.

Identity Awareness는 여러 기본 포트 로 통신합니다(신원 공유·에이전트·포털 등). 방화벽이나 중간 장비가 이 포트를 막으면 신원 취득·공유가 안 되므로, Identity Awareness Default Ports 를 확인해 두는 것이 좋습니다. Check Point 게이트웨이에는 이들을 허용하는 implied rule이 있지만, 서드파티 장비가 경로에 있으면 직접 열어야 합니다(Identity Sharing).