04Gaia 운영체제 설치와 첫 구성Gaia 운영체제 설치와 첫 구성

설치 대상이 Check Point appliance 인지 open server 인지에 따라 방법이 갈립니다.

Check Point appliance 에는 세 갈래가 있습니다. 가장 간단한 것은 factory defaults로 초기화 — 직렬 콘솔로 접속해 재부팅하고, 부팅 중 Boot menu에서 "Reset to factory defaults"를 골라 마지막 Clean Install 버전으로 되돌리는 방법입니다. 또는 Bootable USB 로 Clean Install ISO를 부팅 하거나(USB는 sk65205의 ISOmorphic Tool 로 제작), Gaia가 이미 깔려 있다면 CPUSE로 로컬 설치할 수 있습니다.

Open Server 도 비슷하되 미디어 선택이 더 넓습니다. DVD-ROM 으로 ISO를 구워 BIOS에서 부팅 순서를 잡아 설치 하거나, Bootable USB 또는 CPUSE 로 깝니다. DVD 설치는 설치가 끝난 뒤 재부팅 전에 DVD를 빼고, BIOS에서 부팅 순서를 다시 Hard Disk로 돌려놓는 점만 유의하면 됩니다. 어느 경로든 마지막은 First Time Configuration Wizard 실행으로 끝납니다.

Blink 는 Gaia를 빠르게 배포하는 절차 로, 아직 첫 구성 마법사를 돌리지 않은 appliance에 깨끗한 Security Gateway를 5~7분 안에 깔아 줍니다. Clean Gateway·Hotfix·최신 Software Blade 시그니처까지 한 번에 설치 되고, 수동 마법사 실행을 대신합니다. Blink 이미지는 USB로 굽거나 appliance로 내려받아 쓰며, USB를 첫 구성 마법사가 뜨기 전에 꽂아 두면 과정이 자동으로 시작 됩니다.

여기에 더해 Blink는 특별한 XML 파일로 무인(unattended) 설치 도 지원합니다. 호스트 이름, Gaia 관리자 암호, 네트워크 옵션(IP·서브넷·기본 게이트웨이), SIC 키, 클러스터 멤버십, 업로드·다운로드 승인 같은 값을 미리 정의해 둘 수 있습니다(자세히는 sk120193).

비슷한 무인 설치는 ISOmorphic Tool로도 가능합니다 — 숙련된 관리자가 특정 인터페이스의 IP·넷마스크·기본 게이트웨이를 미리 설정한 USB를 만들어 보내면, 받은 사람은 그저 꽂고 재부팅만 하면 됩니다(단 open server는 무인 설치 미지원).

appliance에서는 디스크 파티션 크기가 미리 정해져 있습니다. 일부 Smart-1 모델(525·5050·5150, 50·150·3050·3150)에서는 설치 시작 후 첫 20초 안 에만 기본 파티션을 바꿀 수 있고, 이 창을 놓치면 비대화식 설치가 그대로 진행됩니다. Open Server 설치 시에는 System-swap·System-root·Logs·Backup and upgrade 파티션이 기본 크기로 잡히며, system-root와 logs 파티션 크기를 바꾸면 backup·upgrade 파티션 용량이 자동으로 따라 조정 됩니다(상세는 sk95566). 설치를 마친 뒤에는 Expert 모드에서 df -h 로 파티션 크기를 보고, Gaia Portal의 Maintenance > Snapshot Management에서 백업 이미지용 공간을 확인합니다.

Gaia를 처음 깔고 나면 First Time Configuration Wizard 로 시스템과 그 위의 Check Point 제품을 구성합니다. Gaia Portal(웹) 또는 CLI Expert 모드 둘 중 하나 로 돌릴 수 있습니다.

Gaia Portal 방식은 직관적입니다 — 컴퓨터를 Gaia 장비에 연결하고, 같은 서브넷의 정적 IPv4를 잡은 뒤, 브라우저로 https://<Gaia 관리 인터페이스 IP> 에 접속해 기본 계정 admin/admin 으로 로그인 하면 마법사가 열립니다. 마법사 창들은 제품·하드웨어에 따라 다르게 나타나며, 큰 흐름은 다음을 차례로 묻습니다.

먼저 Deployment Options 에서 이 Gaia를 그대로 구성할지(Continue), Check Point Cloud나 USB에서 다른 버전을 새로 깔지, 기존 스냅샷을 가져올지 를 정합니다. 이어 Authentication Details 에서 Expert 모드 암호와 Maintenance Mode(GRUB) 암호를 잡는데, 보안상 둘을 서로 다르게 두는 것이 권장 됩니다. Management Connection 에서는 Gaia Portal·CLI 접속에 쓸 주 관리 인터페이스와 그 IP를 정합니다.

그다음 Internet Connection(선택), Device Information(호스트 이름·DNS·프록시), Date and Time(수동 또는 NTP)을 채웁니다. 여기까지는 어떤 제품이든 공통입니다.

마법사의 핵심 분기점은 Installation Type 과 Products 창입니다. 여기서 이 Gaia가 어떤 역할이 될지 가 결정됩니다.

크게 두 갈래입니다. Security Gateway and/or Security Management 를 고르면 단일 Security Gateway·Cluster Member·Security Management Server(Management High Availability 포함)·Endpoint Security Management Server·Endpoint Policy Server·CloudGuard Controller·전용 Log Server·전용 SmartEvent Server·Standalone 중 하나를 깔 수 있고, Multi-Domain Server 를 고르면 Multi-Domain Server(HA 포함)나 전용 Multi-Domain Log Server를 깝니다. Scalable Platform(ElasticXL·Maestro·Chassis)은 단일 Security Gateway 옵션만 지원 한다는 점을 기억하세요.

게이트웨이를 고른 경우 Unit is a part of a cluster 를 켜면 클러스터 멤버가 되며, 클러스터 종류로 ElasticXL(HyperScale 기반)·ClusterXL·VRRP Cluster 중 하나를 고릅니다. 관리 서버 쪽이면 Define Security Management as 에서 Primary·Secondary·Log Server/SmartEvent only를 정합니다.

뒤이어 나오는 창들은 앞 선택에 따라 달라집니다. 게이트웨이라면 Dynamically Assigned IP 로 DAIP 여부 를, Secure Communication to Management Server 에서 일회용 Activation Key 를 정합니다(이 키는 나중에 SmartConsole에서 객체를 만들고 SIC 를 초기화할 때 다시 입력). 관리 서버라면 SmartConsole 로그인용 Security Management Administrator 와, 접속을 허용할 GUI Clients(모든 IP·이 컴퓨터·특정 네트워크·IP 범위)를 정합니다. Multi-Domain Server라면 Leading VIP Interface와 GUI Clients를 추가로 묻습니다.

마지막 Summary 창에서는 EULA와 함께 Software Blade 계약·보안 업데이트·기능 업데이트 자동 다운로드, 익명 정보·core dump 공유 여부를 정합니다(보안·비보안 데이터 다운로드는 모두 강력 권장).

마법사가 끝나면 Gaia가 재부팅하고 초기화가 몇 분간 백그라운드로 진행됩니다. 관리 서버·Multi-Domain Server는 이 시간 동안 SmartConsole에서 읽기 전용으로만 접근됩니다. 구성이 끝났는지는 /var/log/ftw_install.log 파일에 installation succeeded 또는 FTW: Complete 가 찍혔는지 로 확인합니다.

마법사를 손으로 클릭하는 대신, Expert 모드의 config_system 유틸리티로 첫 구성을 자동화할 수 있습니다. 대화식 도구가 아니라, 미리 적어 둔 값으로 첫 구성을 한 번에 적용 하는 비대화식 자동화 도구입니다(Scalable Platform에서는 해당 Security Group의 Expert 모드에서 실행).

쓰는 방식은 세 가지입니다 — config_system --config-string 으로 parameter=value 쌍을 & 로 이어 한 줄로 넘기거나, config_system -f <파일> 로 구성 파일을 읽거나, 먼저 config_system -t <경로> 로 템플릿을 만든 뒤 값을 채워 쓰는 방법입니다. 적용 전에는 config_system --config-file <파일> --dry-run 으로 파일이 유효한지 검증하고, 끝나면 시스템을 재부팅합니다. 쓸 수 있는 파라미터 전체는 config_system --list-params 로 보며(버전마다 달라질 수 있음), 예시 문자열은 다음과 같습니다.

config_system --config-string "hostname=myhost&domainname=somedomain.com&install_security_gw=true&gateway_daip=false&gateway_cluster_member=true&install_security_managment=false&ftw_sic_key=aaaa"

주요 파라미터를 흐름으로 보면, 설치 역할은 install_security_gw·install_security_managment·install_security_vsx·install_mds_primary·install_mds_secondary·install_mlm·install_mgmt_primary·install_mgmt_secondary 로 정하고, 네트워크는 ipaddr_v4·masklen_v4·default_gw_v4·iface, 관리자 계정은 mgmt_admin_radio·mgmt_admin_name·mgmt_admin_passwd, 게이트웨이가 관리 서버에 붙을 키는 ftw_sic_key 로 줍니다. 클러스터 멤버는 gateway_cluster_member=true(이때 gateway_daip 은 반드시 false), DNS·NTP·프록시·시간대·업데이트 다운로드(download_info 등)도 모두 파라미터로 지정합니다.

Gaia 관리 인터페이스는 처음에 192.168.1.1 로 잡혀 있습니다. 이 IP는 첫 구성 마법사 중에 또는 나중에 바꿀 수 있는데, 마법사 중에 바꾸면 브라우저 연결을 유지하려고 기존 IP가 보조 IP로 남습니다. 설치 후에는 Gaia Portal의 Network Management > Network Interfaces에서 관리 인터페이스를 지정·편집하거나, Gaia Clish에서 show management interface → set management interface <이름> → set interface <이름> ipv4-address <IP> subnet-mask <마스크> → save config 로 바꿉니다.

IPv6 는 마법사에서 IPv6 주소를 넣었다면 자동으로 켜 지고, 그러지 않았다면 나중에 수동으로 켭니다 — Gaia Portal의 System Management > System Configuration에서 IPv6 Support를 On으로 하거나, Gaia Clish에서 set ipv6-state on → save config → reboot 합니다(Scalable Platform은 gClish에서). 어느 쪽이든 재부팅 전에는 IPv6 지원이 활성화되지 않 습니다.

Gaia 바탕을 깔았으니, 이제 역할별 제품을 얹을 차례입니다 — 관리 서버 설치로 이어집니다.