01용어 정리용어 정리

Check Point 환경은 크게 두 축으로 나뉩니다. Security Gateway 는 트래픽을 검사하고 보안 정책을 집행하는 전용 서버 이고, Security Management Server 는 그 게이트웨이가 따를 객체와 정책을 한 도메인 안에서 관리하는 서버 입니다. 게이트웨이가 길목에서 막아서는 문지기라면, 관리 서버는 그 문지기에게 규칙을 내려보내는 본부인 셈입니다. 관리 서버를 GUI로 다루는 도구가 SmartConsole 로, 정책 구성·장비 관리·모니터링·업데이트 설치를 모두 여기서 합니다.

규모가 커지면 Multi-Domain Server(MDS) 를 씁니다. 하나의 물리 서버 안에 Domain Management Server 라 불리는 가상 관리 서버를 여러 개 호스팅 해, 여러 도메인을 한자리에서 운영하게 합니다. 로그만 따로 모으는 전용 서버는 Log Server, Multi-Domain 환경의 로그 서버는 Multi-Domain Log Server(MDLS) 입니다.

같은 제품을 어떻게 펼치느냐가 배포 시나리오를 가릅니다. Distributed Deployment 는 Security Gateway와 Security Management Server를 서로 다른 컴퓨터에 나눠 설치 하는 것이고, Standalone 은 둘을 같은 서버에 함께 설치 하는 것입니다. 운영체제는 모두 Gaia — SecurePlatform과 IPSO의 장점을 합친 Check Point 보안 운영체제 입니다. Gaia는 웹 인터페이스 Gaia Portal, 기본 제한 셸 Gaia Clish, 그리고 root 권한의 Expert Mode 로 다룹니다.

가용성을 높이는 구성도 있습니다. Cluster 는 게이트웨이 둘 이상을 High Availability나 Load Sharing으로 묶은 것 이고, 그 안의 각 멤버가 Cluster Member 입니다. VSX(Virtual System Extension) 는 한 장비·클러스터 위에 여러 가상 게이트웨이와 네트워크 장치를 올리는 가상 네트워킹 솔루션 이고, 이를 호스팅하는 물리 서버가 VSX Gateway 입니다. Bridge Mode 는 게이트웨이를 L2 브리지로 동작시켜 기존 토폴로지에 손쉽게 끼워 넣는 방식입니다.

가장 처음부터 까는 일을 Clean Install — 빈 컴퓨터에 운영체제를 새로 설치 — 라 합니다. 반대로 기존 환경을 옮길 때는 두 가지 개념이 등장합니다. Migration 은 한 Check Point 컴퓨터에서 구성 데이터베이스를 내보내(export) 다른 컴퓨터로 들여오는(import) 일 이고, Database Migration 은 그중에서도 최신 버전을 별도 컴퓨터에 깔고 기존 관리 데이터베이스를 옮겨 위험을 최소화하는 업그레이드 방식 을 가리킵니다.

업데이트를 떠받치는 엔진이 CPUSE(Check Point Upgrade Service Engine) 로, Gaia OS와 그 위의 Check Point 제품을 자동으로 갱신 합니다. 그 위에 작은 수정은 Hotfix, 여러 핫픽스를 한 패키지로 묶은 것이 Jumbo Hotfix Accumulator(JHF) 입니다. 라이선스·계약을 다루던 옛 GUI 도구가 SmartUpdate, 옛 정책 편집 클라이언트가 SmartDashboard 입니다.

게이트웨이와 관리 서버가 서로를 믿고 안전하게 대화하려면 신원 확인이 필요합니다. 관리 서버에 내장된 인증 기관 ICA(Internal Certificate Authority) 가 인증서를 발급 하고, 그 인증서를 바탕으로 Check Point 컴퓨터끼리 SSL로 서로를 인증하는 메커니즘이 SIC(Secure Internal Communication) 입니다. 설치 후 게이트웨이를 관리 서버에 처음 붙일 때 이 SIC를 세우는 일이 핵심 단계입니다.

게이트웨이의 처리량을 끌어올리는 두 기술이 자주 언급됩니다. CoreXL 은 멀티코어에서 Firewall 커널을 여러 벌 복제해 코어마다 병렬로 돌리는 기술이고(각 복제본이 CoreXL Firewall Instance, 들어오는 트래픽을 분배하는 부분이 CoreXL SND), SecureXL 은 게이트웨이를 지나는 IPv4·IPv6 트래픽을 가속 합니다. 어느 것이든 업그레이드·설치 후 게이트웨이 성능에 직결되는 기반 기술입니다.

Check Point의 기능은 Software Blade 단위로 켜고 끕니다. 게이트웨이 쪽 Blade는 트래픽의 특정 측면을 검사 하고(IPS·Anti-Virus·Anti-Bot·Application Control·URL Filtering·IPsec VPN·Mobile Access·Threat Emulation 등), 관리 서버 쪽 Blade는 관리 기능 을 더합니다(Network Policy Management·Endpoint Policy Management·Logging & Status·Compliance·Provisioning 등). 어떤 Blade를 켜느냐가 곧 그 장비의 역할이 되므로, 설치 후 첫 구성에서 정합니다.

이 용어들을 손에 쥐었다면, 이제 시작하기 — 배포 시나리오로 넘어가 R82을 어떤 형태로 펼칠지부터 정해 봅시다.