04Gaia 운영체제 설치와 첫 구성Gaia 운영체제 설치와 첫 구성
모든 Check Point 제품은 Gaia 운영체제 위에서 돕니다. 그래서 어떤 배포 시나리오를 고르든 출발점은 같습니다 — Gaia를 깨끗하게(Clean Install) 깐 뒤, First Time Configuration Wizard(첫 구성 마법사)로 첫 구성을 마치는 일입니다. 이 장은 appliance와 open server에 Gaia를 설치하는 여러 방법, 빠른 배포 도구 Blink, 무인(unattended) USB 설치, 디스크 파티션 조정, 첫 구성 마법사가 묻는 모든 창과 필드, CLI 자동화 도구 config_system 의 전 파라미터, 그리고 설치 후 관리 인터페이스 IP·IPv6 설정까지를 원문 순서대로 빠짐없이 풀어 설명합니다. Gaia 용어가 낯설면 Gaia 가이드의 용어집을, 마법사 단계의 자세한 화면 흐름은 최초 구성 마법사를 함께 보세요.
원문 "The Gaia Operating System" 절은 다음 주제를 차례로 다룹니다 — appliance에 Gaia 설치, open server에 Gaia 설치, Blink 이미지로 게이트웨이 구성, 설치 중 디스크 파티션 크기 변경, 무인 USB 설치, 첫 구성 마법사(Gaia Portal·CLI 두 방식), 관리 인터페이스 IP 설정, 설치된 Gaia의 파티션 크기 변경, IPv6 활성화. 이 장도 같은 순서를 따릅니다.
Check Point Appliance에 Gaia 설치하기
Check Point appliance에 깨끗한 Gaia를 까는 길은 세 가지입니다.
1) Factory defaults로 초기화
가장 간단한 방법입니다. 이 작업은 appliance를 Clean Install 방식으로 설치했던 마지막 Gaia 버전 으로 되돌립니다.
| 단계 | 할 일 |
|---|---|
| 1 | 직렬(serial) 콘솔로 appliance에 접속합니다. |
| 2 | appliance를 재시작합니다. |
| 3 | 부팅 중 안내가 뜨면 4초 안에 아무 키나 눌러 Boot menu에 진입 합니다. |
| 4 | Reset to factory defaults 를 골라 Enter 를 누릅니다. |
| 5 | yes 를 입력하고 Enter 를 누릅니다. |
| 6 | 첫 구성 마법사를 실행합니다(아래 "Gaia 첫 구성" 참고). |
부팅 중 화면에는 다음과 같은 메시지가 보입니다.
Loading the system
Press any key to see the boot menu [Booting in 5 seconds]2) Bootable USB로 Clean Install
| 단계 | 할 일 |
|---|---|
| 1 | R82 Home Page SK에서 Gaia Clean Install ISO 파일을 내려받습니다. |
| 2 | sk65205 를 참고해 부팅 가능한 USB를 만듭니다. |
| 3 | 첫 구성 마법사를 실행합니다. |
3) CPUSE로 Clean Install
이 방법은 Gaia가 이미 깔려 있을 때만 쓸 수 있습니다. 패키지 설치 절차(원문 "Installing Software Packages on Gaia")의 로컬 설치 액션 플랜을 따르면 됩니다. 자세한 흐름은 독립형 설치와 설치 후 작업에서 다룹니다.
Open Server에 Gaia 설치하기
Open server는 미디어 선택이 더 넓습니다. 세 가지 길이 있습니다.
1) DVD-ROM으로 Clean Install
| 단계 | 할 일 |
|---|---|
| 1 | R82 Home Page SK에서 Gaia Clean Install ISO 를 내려받습니다. |
| 2 | ISO 이미지를 DVD에 굽습니다. |
| 3 | DVD-ROM을 open server에 연결합니다. |
| 4 | open server를 재부팅합니다. |
| 5 | BIOS에 들어가 DVD-ROM을 첫 번째 부팅 옵션 으로 설정합니다. |
| 6 | open server를 다시 재부팅합니다. |
| 7 | open server가 DVD-ROM으로 부팅됩니다. |
| 8 | Gaia 설치 메뉴가 나타납니다. |
| 9 | 화면 안내를 따릅니다. |
| 10 | Gaia가 설치된 뒤 재부팅 전에 DVD-ROM을 분리 합니다. |
| 11 | open server를 재부팅합니다. |
| 12 | BIOS에 들어가 Hard Disk를 첫 번째 부팅 옵션 으로 되돌립니다. |
| 13 | open server를 다시 재부팅합니다. |
| 14 | open server가 Gaia 운영체제로 부팅됩니다. |
| 15 | 첫 구성 마법사를 실행합니다. |
2) Bootable USB로 Clean Install
부팅 가능한 USB 제작은 sk65205 를 참고합니다.
| 단계 | 할 일 |
|---|---|
| 1 | R82 Home Page SK에서 Gaia ISO 파일을 내려받습니다. |
| 2 | sk65205 를 참고해 부팅 가능한 USB를 만듭니다. |
| 3 | 첫 구성 마법사를 실행합니다. |
3) CPUSE로 Clean Install
appliance와 마찬가지로 Gaia가 이미 깔려 있을 때만 가능하며, 패키지 설치 절차의 로컬 설치 액션 플랜을 따릅니다.
Blink — 5~7분 만에 게이트웨이 배포
Blink 는 Gaia를 빠르게 배포하는 절차 입니다. Blink 유틸리티를 쓰면 아직 첫 구성 마법사를 돌리지 않은 appliance에 깨끗한 Security Gateway를 5~7분 안 에 깔 수 있습니다.
Blink 설치가 끝나면 깨끗한 Security Gateway, Hotfix, 최신 Software Blade 시그니처가 한꺼번에 설치 되며, 수동으로 첫 구성 마법사를 돌리는 과정을 대신합니다.
Blink Gaia 이미지는 USB로 굽거나 appliance로 직접 내려받아 쓸 수 있습니다.
설치가 끝난 뒤에는 웹 브라우저로 appliance에 접속해 간소화된 Blink 구성을 마무리합니다.
또한 Blink는 특별한 XML 파일 로 미리 값을 정해 두고 무인(unattended) 설치 를 돌리는 것도 지원합니다. XML 파일에 미리 담을 수 있는 값은 다음과 같습니다.
- Host name(호스트 이름)
- Gaia administrator password(Gaia 관리자 암호)
- Network options — IP 주소, Subnet(서브넷), Default Gateway(기본 게이트웨이)
- Secure Internal Communication (SIC) key
- Cluster membership(클러스터 멤버십)
- Upload to Check Point approval(Check Point 업로드 승인)
- Download from Check Point approval(Check Point 다운로드 승인)
자세한 내용은 sk120193 을 참고하세요.
설치 중 디스크 파티션 크기 변경
Check Point appliance에서는 디스크 파티션 크기가 미리 정해져 있습니다.
다만 다음 모델에서는 설치 시작 후 첫 20초 안 에만 기본 파티션을 바꿀 수 있습니다. 이 창을 놓치면 비대화식(non-interactive) 설치가 그대로 이어집니다.
- Smart-1 525, Smart-1 5050, Smart-1 5150
- Smart-1 50, Smart-1 150, Smart-1 3050, Smart-1 3150
Open server에 Gaia를 깔 때는 다음 네 파티션이 기본 크기로 잡힙니다.
- System-swap
- System-root
- Logs
- Backup and upgrade
이 가운데 system-root 와 logs 파티션 크기를 바꿀 수 있고, 그러면 backup and upgrade 파티션에 할당되는 용량이 그에 맞춰 자동으로 조정 됩니다. 파티션 크기를 바꾸는 방법은 sk95566 을 참고하세요.
Check Point Appliance에서 무인 USB 설치
Check Point appliance에는 이동식 USB 드라이브의 ISO로도 Gaia를 설치 할 수 있습니다(USB 제작은 sk65205).
appliance에서는 ISOmorphic 도구가 관리자에게 무인 설치 를 허용합니다. 무인 설치의 흐름은 다음과 같습니다.
| 단계 | 할 일 |
|---|---|
| 1 | 숙련된 Check Point 시스템 관리자가 특정 네트워크 인터페이스에 대해 IP 주소·Network mask·Default Gateway 를 미리 설정한 USB 를 준비합니다. |
| 2 | 그 USB를 다른 관리자에게 보내면, 받은 사람은 USB를 appliance에 꽂고 재부팅만 하면 됩니다. 도구가 Gaia OS를 설치하고 미리 정한 값으로 appliance를 구성합니다. 설치가 성공하면 LCD에 표시가 뜨고 인터페이스들이 라운드로빈(round-robin)으로 깜빡 입니다. |
| 3 | 처음의 관리자가 다음 중 하나로 이어 작업합니다 — Gaia Portal에 접속해 첫 구성 마법사를 돌리거나, appliance에 명령줄로 접속해 OS 수준 구성을 더 진행합니다. |
Gaia 첫 구성 — First Time Configuration Wizard
Gaia를 처음 깔고 나면 First Time Configuration Wizard 로 시스템과 그 위의 Check Point 제품을 구성합니다. 마법사는 두 방식으로 돌릴 수 있습니다.
- Gaia Portal(웹)
- CLI Expert mode(명령줄 자동화 —
config_system)
Gaia Portal에서 마법사 돌리기
| 단계 | 할 일 |
|---|---|
| 1 | 컴퓨터를 Gaia 장비에 연결합니다. Scalable Platform이라면 Security Group의 Gaia 관리 인터페이스에 연결하며, Gaia 설치 때 구성한 인터페이스(예: eth0) 에 붙어야 합니다. |
| 2 | 연결한 컴퓨터에 Gaia 설치 때 정한 IPv4와 같은 서브넷의 정적 IPv4 주소 를 잡습니다. |
| 3 | 웹 브라우저로 Gaia 설치 때 정한 IPv4 주소에 접속합니다. |
| 4 | 기본 사용자 이름·암호 admin / admin 을 입력합니다. |
| 5 | Login 을 누르면 First Time Configuration Wizard가 열립니다. |
| 6 | 마법사 창의 안내를 따릅니다. 제품별 세부 설치는 이어지는 장들을 참고합니다. |
https://<Gaia 관리 인터페이스 IP 주소>"Deployment Options" 창
Gaia 운영체제를 어떻게 배포할지 고르는 창입니다.
| 구역(Section) | 옵션 | 설명 |
|---|---|---|
| Setup | Continue with R82 configuration | 이미 설치된 Gaia와 Check Point 제품을 그대로 구성합니다. |
| Installation | Install from Check Point Cloud / Install from USB device | 다른 Gaia 버전을 새로 설치합니다. |
| Recovery | Import existing snapshot | 기존 Gaia 스냅샷을 가져옵니다. |
Deployment Options에서 Install from Check Point Cloud 를 골랐다면, 마법사가 Check Point Cloud 연결을 구성하라고 요청합니다. 다음 옵션이 나타나며 Security Gateway로 구성한 Check Point appliance에만 해당 됩니다.
- Install major version — Check Point Cloud에서 제공하는 메이저 버전을 골라 설치합니다. 설치는 Gaia CPUSE 가 수행합니다.
- Pull appliance configuration — appliance에 다른 OS 버전을 포함한 초기 배포 구성을 적용합니다. 이 구성은 Zero Touch Cloud Service 로 미리 준비해야 합니다(자세히는 sk116375).
"Authentication Details" 창
Gaia OS의 주요 암호를 정하는 창입니다.
| 구역 | 설명 |
|---|---|
| Change the default administrator password | Expert mode 암호 를 설정합니다. |
| Change the default password for Gaia maintenance mode | Maintenance Mode(GRUB) 암호 를 설정합니다. 이 GRUB 암호는 GRUB 메뉴와 GRUB 터미널을 보호하며, Maintenance Mode로 부팅하거나 Gaia 스냅샷을 되돌릴 때 묻습니다. |
"Management Connection" 창
주(主) Gaia 관리 인터페이스를 골라 구성하는 창입니다. Gaia Portal·CLI 세션은 이 IP 주소로 접속 합니다.
| 필드 | 설명 |
|---|---|
| Interface | 기본값으로 Gaia 설치 때 구성한 인터페이스(예: eth0)가 선택됩니다. |
| Configure IPv4 | 관리 인터페이스가 IPv4를 얻는 방식. Manually(다음 필드에서 직접 설정) 또는 Off(없음). |
| IPv4 address | 적용할 IPv4 주소. |
| Subnet mask | 적용할 IPv4 서브넷 마스크. |
| Default Gateway | 기본 게이트웨이의 IPv4 주소. |
| Configure IPv6 | 관리 인터페이스가 IPv6를 얻는 방식. Manually 또는 Off. |
| IPv6 Address | 적용할 IPv6 주소. |
| Mask Length | 적용할 IPv6 마스크 길이. |
| Default Gateway | 기본 게이트웨이의 IPv6 주소. |
"Internet Connection" 창 (선택)
Gaia 서버를 인터넷에 연결하는 인터페이스를 구성하는 선택 사항 창입니다. 필드 구성은 Management Connection 창과 같습니다.
| 필드 | 설명 |
|---|---|
| Interface | 해당 인터페이스 선택. |
| Configure IPv4 | Manually 또는 Off. |
| IPv4 address / Subnet mask / Default Gateway | 해당 IPv4 값. |
| Configure IPv6 (선택) | Manually 또는 Off. |
| IPv6 Address / Mask Length / Default Gateway | 해당 IPv6 값. |
"Device Information" 창
Gaia의 호스트 이름, DNS 서버, 프록시 서버 를 정하는 창입니다.
| 필드 | 설명 |
|---|---|
| Host Name | 고유한 호스트 이름. |
| Domain Name (선택) | 도메인 이름. |
| Primary DNS Server | 주 DNS 서버의 IPv4 주소. |
| Secondary DNS Server (선택) | 보조 DNS 서버의 IPv4 주소. |
| Tertiary DNS Server (선택) | 3차 DNS 서버의 IPv4 주소. |
| Use a Proxy server (선택) | 프록시 서버 사용 여부. |
| Address | 프록시 서버의 IPv4 주소 또는 해석 가능한 호스트명. |
| Port | 프록시 서버 포트 번호. |
"Date and Time Settings" 창
날짜·시간을 수동 또는 NTP 로 정합니다.
| 필드 | 설명 |
|---|---|
| Set time manually | 날짜·시간을 수동으로 설정합니다. |
| Date / Time / Time Zone | 올바른 날짜·시각·시간대 선택. |
| Use Network Time Protocol (NTP) | NTP로 날짜·시간을 자동 설정합니다. |
| Primary NTP server | 주 NTP 서버의 IPv4 주소 또는 해석 가능한 호스트명. |
| Version | 주 NTP 서버의 NTP 버전. |
| Secondary NTP server (선택) | 보조 NTP 서버의 IPv4 주소 또는 호스트명. |
| Version | 보조 NTP 서버의 NTP 버전. |
| Time Zone | 올바른 시간대 선택. |
여기까지의 창은 어떤 제품을 깔든 거의 공통입니다. 이제부터가 이 Gaia의 역할을 가르는 핵심 분기 입니다.
"Installation Type" 창
Gaia에 어떤 종류의 Check Point 제품을 깔지 고릅니다. 크게 두 갈래입니다.
| 필드 | 설명 |
|---|---|
| Security Gateway and/or Security Management | 다음을 설치할 때 선택 — 단일 Security Gateway, Cluster Member, Security Management Server(Management High Availability 포함), Endpoint Security Management Server, Endpoint Policy Server, CloudGuard Controller, 전용 단일 Log Server, 전용 단일 SmartEvent Server, Standalone. |
| Multi-Domain Server | 다음을 설치할 때 선택 — Multi-Domain Server(Management High Availability 포함), 전용 단일 Multi-Domain Log Server. |
"Products" 창
Installation Type에서 고른 갈래에 따라 다른 옵션이 이어집니다.
Security Gateway and/or Security Management 를 골랐다면 다음 옵션이 나타납니다.
| 필드 | 설명 |
|---|---|
| Security Gateway | 단일 Security Gateway, Cluster Member, Standalone 설치. (Scalable Platform은 단일 Security Gateway만 지원) |
| Security Management | Security Management Server(MHA 포함), Endpoint Security Management Server, Endpoint Policy Server, CloudGuard Controller, 전용 단일 Log Server, 전용 단일 SmartEvent Server, Standalone 설치. (Scalable Platform 미지원) |
| Unit is a part of a cluster | Security Gateway 를 골랐을 때만 나타납니다. 전용 Security Gateway 클러스터 또는 Full High Availability Cluster를 설치합니다. 클러스터 종류는 아래 참고. (Scalable Platform 미지원) |
Unit is a part of a cluster 의 클러스터 종류는 셋 중 하나입니다.
- ElasticXL — HyperScale 기술 기반의 전용 Security Gateway 클러스터.
- ClusterXL — 전용 Security Gateway 클러스터 또는 Full High Availability Cluster.
- VRRP Cluster — Gaia 위의 VRRP 클러스터.
관리 서버 쪽이면 다음을 정합니다.
| 필드 | 설명 |
|---|---|
| Define Security Management as | Primary — Security Management Server / Endpoint Security Management Server / Endpoint Policy Server / CloudGuard Controller. Secondary — Management High Availability의 보조 관리 서버. Log Server / SmartEvent only — 전용 단일 Log Server / SmartEvent Server. (Scalable Platform 미지원) |
| Install as VSNext | 이 ElasticXL 클러스터를 VSNext 모드 로 구성합니다. 설치 후에는 VSNext 모드로 변환할 수 없 습니다(R82 VSX Administration Guide 참고). |
Install as VSNext 에는 다음 제약이 있습니다.
- VSNext 옵션은 ElasticXL 만 지원 합니다.
- Security Gateway를 Legacy VSX 모드 로 설치하려면 — ① 이 체크박스를 선택하지 말고, ② SmartConsole에서 VSX Gateway와 필요한 Virtual System·Virtual Switch 객체를 구성합니다.
Multi-Domain Server 를 골랐다면 다음 옵션이 나타납니다.
| 필드 | 설명 |
|---|---|
| Primary Multi-Domain Server | Management High Availability의 주(Primary) Multi-Domain Server 설치. |
| Secondary Multi-Domain Server | Management High Availability의 보조(Secondary) Multi-Domain Server 설치. |
| Multi-Domain Log Server | 전용 단일 Multi-Domain Log Server 설치. |
"Dynamically Assigned IP" 창
Products 창에서 Security Gateway 만 골랐을 때 나타납니다. 이 Security Gateway가 IP를 동적으로 받는 DAIP 게이트웨이 인지 고릅니다.
| 필드 | 설명 |
|---|---|
| Yes | IP를 동적으로 받는 DAIP 게이트웨이로 구성. |
| No | 정적 IP로 구성. |
"Secure Communication to Management Server" 창
이 창은 다음 두 경우에만 나타납니다.
- Installation Type에서 Security Gateway and/or Security Management 를 고르고, Products에서 Security Gateway 만(선택적으로 Unit is a part of a cluster 포함) 고른 경우.
- Installation Type에서 Multi-Domain Server 를 고르고, Secondary Multi-Domain Server 또는 Multi-Domain Log Server 를 고른 경우.
여기서 일회용 Activation Key 를 정합니다. 이 키는 나중에 SmartConsole에서 해당 객체를 만들고 SIC 를 초기화할 때 다시 입력 합니다.
| 필드 | 설명 |
|---|---|
| Activation Key | 일회용 활성화 키(4~127자). |
| Confirm Activation Key | 같은 키를 다시 입력. |
| Connect to your Management as a Service | Products에서 Security Gateway 를 골랐을 때만 나타납니다. 이 Security Gateway를 Infinity Portal의 Quantum Smart-1 Cloud 서비스에서 관리하려면 선택. |
| Authentication token | Quantum Smart-1 Cloud 서비스에서 생성한 토큰 입력(Quantum Smart-1 Cloud Administration Guide 참고). |
"Security Management Administrator" 창
이 창은 Installation Type에서 Security Gateway and/or Security Management 를 고르고 Products에서 Security Management 만(선택적으로 다른 옵션 포함) 고른 경우 에만 나타납니다. SmartConsole 로그인용 주 관리자를 정합니다.
| 필드 | 설명 |
|---|---|
| Use Gaia administrator: admin | 사용자 이름 admin 을 그대로 사용. |
| Define a new administrator | 사용자가 정한 새 사용자 이름을 구성. |
"Security Management GUI Clients" 창
이 Security Management Server에 SmartConsole로 접속할 수 있는 컴퓨터 를 정합니다.
| 필드 | 설명 |
|---|---|
| Any IP Address | 모든 컴퓨터의 접속을 허용. |
| This machine | 특정 컴퓨터만 허용. 기본값은 내 컴퓨터의 IPv4 주소이며 다른 IP로 바꿀 수 있음. |
| Network | IPv4 서브넷 전체를 허용. 서브넷 IPv4 주소와 마스크 입력. |
| Range of IPv4 addresses | 특정 IPv4 범위를 허용. 시작·끝 IPv4 주소 입력. |
"Leading VIP Interfaces Configuration" 창
이 창은 Installation Type에서 Multi-Domain Server 를 고른 경우 에만 나타납니다. 이 Multi-Domain Server 또는 Multi-Domain Log Server의 주(主) Leading VIP Interface 를 고릅니다.
| 필드 | 설명 |
|---|---|
| Select leading interface | 해당 인터페이스 선택. |
"Multi-Domain Server GUI Clients" 창
이 창은 Installation Type에서 Multi-Domain Server, Products에서 Primary Multi-Domain Server 를 고른 경우 에만 나타납니다. 이 Multi-Domain Server에 SmartConsole로 접속할 컴퓨터를 정합니다.
| 필드 | 설명 |
|---|---|
| Any host | 모든 컴퓨터 접속 허용. |
| IP address | 특정 컴퓨터만 허용. 기본값은 내 컴퓨터의 IPv4 주소이며 다른 IP로 바꿀 수 있음. |
"First Time Configuration Wizard Summary" 창
마지막 창에서 고른 설치 옵션을 한눈에 확인합니다. 창 아래에는 두 가지 링크가 있습니다.
- End-user License Agreement and Privacy Policy(EULA·개인정보 정책)
- Update and Data Sharing Settings(업데이트·데이터 공유 설정 — sk175504)
여기서 자동 다운로드·업로드 항목을 정합니다.
| 필드 | 설명 |
|---|---|
| Automatically download and install Software Blade Contracts, security updates and other important data(강력 권장) | 온라인 Check Point 서버에서 "Security" 데이터 다운로드 를 제어합니다. "Security"로 정의된 Check Point 제품(예: CPUSE Deployment Agent, Threat Emulation Engine)을 업데이트하고, "Security" 데이터(예: IPS Software Blade 시그니처)를 내려받습니다. |
| Automatically download software updates and new features(강력 권장) | 온라인 Check Point 서버에서 "Non-Security" 데이터 다운로드 를 제어합니다. "Non-Security"로 정의된 제품(예: CPinfo 도구) 업데이트와 새 기능을 내려받습니다. |
| Help Check Point improve the product by sending anonymous information | 익명 데이터 업로드 를 제어합니다. 익명 로그(예: CPUSE 도구 로그)와 익명 진단 정보(예: CPinfo·CPUSE 데이터)를 업로드합니다. Check Point는 이를 버그 분석·제품 개선에 내부적으로 쓰며, 모든 데이터는 유럽 개인정보 정책(GDPR)을 따릅니다. |
| I approve sharing core dump files and other relevant crash data which might contain personal information | 켜면 Gaia가 감지한 core dump 파일을 Check Point Cloud로 업로드 합니다. Check Point R&D가 크래시를 분석해 수정본을 낼 수 있습니다(R82 Gaia Administration Guide 참고). |
마법사가 끝난 뒤 — 완료 확인
- 마법사가 끝나면 Gaia 컴퓨터가 재부팅하고, 초기화 과정이 몇 분간 백그라운드로 진행됩니다.
- Gaia를 Security Management Server 나 Multi-Domain Server 로 깔았다면, 이 초기화 시간 동안 SmartConsole에서는 읽기 전용(read-only)으로만 접근 됩니다.
- 구성이 끝났는지는
/var/log/ftw_install.log파일 끝부분에installation succeeded또는FTW: Complete가 찍혔는지 로 확인합니다. 명령줄에서 Expert mode로 로그인해 다음을 실행합니다.
cat /var/log/ftw_install.log | egrep --color "installation succeeded|FTW: Complete"장비 유형별 출력 예시는 다음과 같습니다.
# Security Gateway 또는 Cluster Member
[Expert@GW:0]# cat /var/log/ftw_install.log | egrep --color "installation succeeded|FTW: Complete"
Dec 06, 19 19:19:51 FTW: Complete
[Expert@GW:0]#
# Security Management Server 또는 Standalone
[Expert@SA:0]# cat /var/log/ftw_install.log | egrep --color "installation succeeded|FTW: Complete"
Dec 06, 2019 03:48:38 PM installation succeeded.
06/12/19 15:48:39 FTW: Complete
[Expert@SA:0]#
# Multi-Domain Server
[Expert@MDS:0]# cat /var/log/ftw_install.log | egrep --color "installation succeeded|FTW: Complete"
Dec 06, 2019 07:43:15 PM installation succeeded.
[Expert@MDS:0]#
# Scalable Platform Security Group (g_cat 사용)
[Expert@HostName-ch0x-0x:0]# g_cat /var/log/ftw_install.log | egrep --color "installation succeeded|FTW: Complete"
Dec 06, 19 19:19:51 FTW: Complete
[Expert@HostName-ch0x-0x:0]#CLI Expert mode에서 마법사 돌리기 — config_system
마법사를 손으로 클릭하는 대신 Expert mode의 config_system 유틸리티로 첫 구성을 자동화할 수 있습니다. 시스템 설치 직후 처음으로 첫 구성을 테스트·실행할 때 씁니다.
구문(Syntax)
설정 가능한 파라미터 보기.
config_system -l # 짧은 형식
config_system --list-params # 긴 형식지정한 구성 파일로 마법사 실행.
config_system -f <경로와 파일명>
config_system --config-file <경로와 파일명>지정한 구성 문자열로 마법사 실행.
config_system -s <문자열>
config_system --config-string <문자열>지정한 경로에 구성 파일 템플릿 만들기.
config_system -t <경로>
config_system --create-template <경로>구성 파일이 유효한지 검증(dry-run).
config_system --dry-run절차(Procedure)
구성 문자열로 실행 — Expert mode에서 다음을 실행합니다.
config_system --config-string <파라미터=값 문자열>구성 문자열은 parameter=value 쌍을 앰퍼샌드(&) 로 이은 것 이며, 전체를 따옴표로 감싸 야 합니다. 예시는 다음과 같습니다.
config_system --config-string "hostname=myhost&domainname=somedomain.com&timezone='America/Indiana/Indianapolis'&ftw_sic_key=aaaa&install_security_gw=true&gateway_daip=false&install_ppak=true&gateway_cluster_member=true&install_security_managment=false"유효한 파라미터·값은 config_system --list-params 로 확인합니다. 실행이 끝나면 시스템을 재부팅 합니다.
구성 파일 만들기.
| 단계 | 할 일 |
|---|---|
| 1 | Expert mode에서 config_system -t <파일명> 으로 템플릿을 만듭니다. |
| 2 | 만든 파일을 텍스트 편집기로 엽니다. |
| 3 | 필요한 파라미터 값을 모두 편집합니다. |
| 4 | 구성 파일을 저장합니다. |
구성 파일 검증 — 적용 전에 파일이 유효한지 확인합니다.
config_system --config-file <파일명> --dry-run구성 파일로 실행.
| 단계 | 할 일 |
|---|---|
| 1 | Expert mode에서 config_system -f <파일명> 을 실행합니다. |
| 2 | 시스템을 재부팅합니다. |
config_system 파라미터 전체
| 파라미터 | 설명 | 유효한 값 |
|---|---|---|
admin_hash | 관리자 암호를 설정합니다. | 작은따옴표로 감싼 영숫자 문자열. |
default_gw_v4 | 기본 게이트웨이의 IPv4 주소. | 단일 IPv4 주소. |
default_gw_v6 | 기본 게이트웨이의 IPv6 주소. | 단일 IPv6 주소. |
domainname | 도메인 이름(선택). | FQDN. 예: somedomain.com |
download_info | true면 Software Blade 계약·보안 업데이트·기타 중요 정보를 내려받아 설치합니다(sk94508·sk175504). | true(기본), false |
download_from_checkpoint_non_security | true면 Check Point 소프트웨어 업데이트와 새 기능을 내려받습니다(sk94508·sk175504). | true(기본), false |
ftw_sic_key | install_security_managment 가 false 일 때 SIC 키를 설정합니다. | 영숫자 문자열(4~127자). |
gateway_cluster_member | true면 Security Gateway를 ClusterXL 멤버로 구성합니다. | true, false |
gateway_daip | true면 Security Gateway를 동적 IP(DAIP)로 구성합니다. ClusterXL·Security Management Server를 켰으면 반드시 false. | true, false(기본) |
hostname | 로컬 호스트 이름(선택). | 영숫자 문자열. |
iface | 인터페이스 이름(선택). | 장치 구성에 보이는 그대로의 이름. 예: eth0, eth1 |
install_mds_interface | Multi-Domain Server 관리 인터페이스. | 인터페이스 이름. 예: eth0, eth1 |
install_mds_primary | 관리 서버를 Primary Multi-Domain Server로 만듭니다. install_mds_secondary 가 false 이고 install_security_managment 가 true 일 때만 true 가능. | true, false |
install_mds_secondary | 관리 서버를 Secondary Multi-Domain Server로 만듭니다. install_mds_primary 가 false 이고 install_security_managment 가 true 일 때만 true 가능. | true, false |
install_mgmt_primary | 관리 서버를 Primary로 만듭니다. install_mgmt_secondary 가 false 일 때만 true 가능. 전용 Log Server 설치 시에는 false. | true, false |
install_mgmt_secondary | 관리 서버를 Secondary로 만듭니다. install_mgmt_primary 가 false 일 때만 true 가능. 전용 Log Server 설치 시에는 false. | true, false |
install_mlm | true면 Multi-Domain Log Server를 설치합니다. | true, false |
install_security_gw | true면 Security Gateway를 설치합니다. | true, false |
install_security_managment | true면 Security Management Server 또는 전용 Log Server를 설치합니다. | true, false |
install_security_vsx | true면 VSX Gateway를 설치합니다. | true, false |
ipaddr_v4 | 관리 인터페이스의 IPv4 주소. | 단일 IPv4 주소. |
ipaddr_v6 | 관리 인터페이스의 IPv6 주소. | 단일 IPv6 주소. |
ipstat_v4 | manually면 정적 IPv4 구성을 켭니다. | manually(기본), off |
ipstat_v6 | manually면 정적 IPv6 구성을 켭니다. | manually, off(기본) |
maas_authentication_key | Management as a Service(MaaS) 인증 키. Security Gateway에만 적용. | 작은따옴표로 감싼 영숫자 문자열. |
masklen_v4 | 관리 인터페이스의 IPv4 마스크 길이. | 0~32. |
masklen_v6 | 관리 인터페이스의 IPv6 마스크 길이. | 0~128. |
mgmt_admin_name | 관리 서버 관리자 사용자 이름. install_security_managment 가 true 면 반드시 지정. | 영숫자 문자열. |
mgmt_admin_passwd | 관리 서버 관리자 암호. install_security_managment 가 true 면 반드시 지정. | 영숫자 문자열. |
mgmt_admin_radio | 관리 서버 관리자 계정 방식. 관리 서버를 설치하면 반드시 지정. | gaia_admin(Gaia admin 계정 사용), new_admin(새 계정 구성) |
mgmt_gui_clients_first_ip_field | mgmt_gui_clients_radio 가 range 일 때 범위의 첫 주소. | 호스트 단일 IPv4 주소. 예: 192.168.0.10 |
mgmt_gui_clients_hostname | mgmt_gui_clients_radio 가 this 일 때의 값. | 호스트 단일 IPv4 주소. 예: 192.168.0.15 |
mgmt_gui_clients_ip_field | mgmt_gui_clients_radio 가 network 일 때 네트워크 주소. | 네트워크 IPv4 주소. 예: 192.168.0.0 |
mgmt_gui_clients_last_ip_field | mgmt_gui_clients_radio 가 range 일 때 범위의 마지막 주소. | 호스트 단일 IPv4 주소. 예: 192.168.0.20 |
mgmt_gui_clients_radio | 관리 서버에 접속 가능한 SmartConsole 클라이언트를 지정. | any, range, network, this |
mgmt_gui_clients_subnet_field | mgmt_gui_clients_radio 가 network 일 때 넷마스크. | 1~32. |
ntp_primary | 주 NTP 서버 IP 주소(선택). | IPv4 주소. |
ntp_primary_version | 주 NTP 서버의 NTP 버전(선택). | 1, 2, 3, 4 |
ntp_secondary | 보조 NTP 서버 IP 주소(선택). | IPv4 주소. |
ntp_secondary_version | 보조 NTP 서버의 NTP 버전(선택). | 1, 2, 3, 4 |
primary | 주 DNS 서버 IP 주소(선택). | IPv4 주소. |
proxy_address | 프록시 서버 IP 주소(선택). | IPv4 주소 또는 호스트명. |
proxy_port | 프록시 서버 포트 번호(선택). | 1~65535. |
reboot_if_required | true면 구성 후 시스템을 재부팅(선택). | true, false |
secondary | 보조 DNS 서버 IP 주소(선택). | IPv4 주소. |
sg_cluster_id | Check Point 지원 전용. | — |
tertiary | 3차 DNS 서버 IP 주소(선택). | IPv4 주소. |
timezone | Area/Region(선택). | 작은따옴표로 감쌈. 예: 'America/New_York', 'Asia/Tokyo' |
upload_crash_data | true면 안정성 문제 해결을 돕는 core dump 파일을 업로드(R82 Gaia Administration Guide 참고). | true, false(기본) |
upload_info | true면 최적 서비스를 돕는 데이터를 업로드(sk94509). | true, false(기본) |
설치 후 Gaia 관리 인터페이스 IP 설정
Gaia 관리 인터페이스는 처음에 192.168.1.1 로 잡혀 있습니다. 이 IP는 첫 구성 마법사 중에 또는 나중에 바꿀 수 있습니다. 네트워크 너머로 Gaia에 접근해야 한다면, Gaia를 네트워크에 붙이기 전에 해당 인터페이스에 알맞은 IP를 먼저 할당 하세요.
마법사 중에 관리 인터페이스 IP를 바꾸면 다음 경고가 뜹니다 — 브라우저 연결을 유지하려고 기존 IP가 보조(secondary) IP로 남 는다는 안내입니다.
Your IP address has been changed. In order to maintain the browser
connection, the old IP address will be retained as a secondary IP address.Gaia Portal에서 IP 바꾸기
| 단계 | 할 일 |
|---|---|
| 1 | 웹 브라우저로 현재 관리 인터페이스 IP의 Gaia Portal에 접속합니다 — https://<Gaia 관리 인터페이스 IP> |
| 2 | 왼쪽 탐색 트리에서 Network Management > Network Interfaces 로 갑니다. |
| 3 | Management Interface 구역에서 Set Management Interface 를 누릅니다. |
| 4 | 알맞은 인터페이스를 고릅니다. |
| 5 | OK 를 누릅니다. |
| 6 | Interfaces 구역에서 관리 인터페이스를 골라 Edit 를 누릅니다. |
| 7 | 알맞은 IP 주소를 할당합니다. |
| 8 | OK 를 누릅니다. |
Gaia Clish에서 IP 바꾸기
| 단계 | 할 일 |
|---|---|
| 1 | Gaia 명령줄에 접속합니다 — 현재 관리 인터페이스 IP로 SSH 접속하거나 콘솔로 접속합니다. |
| 2 | Gaia Clish에 로그인합니다. |
| 3 | 현재 관리 인터페이스 이름을 확인합니다. |
| 4 | 다른 인터페이스를 관리 인터페이스로 지정합니다. |
| 5 | 관리 인터페이스에 다른 IP를 할당합니다. |
| 6 | Gaia 데이터베이스에 변경을 저장합니다. |
show management interface
set management interface <인터페이스 이름>
set interface <인터페이스 이름> ipv4-address <IPv4 주소> subnet-mask <마스크>
save configGaia Clish 명령 다루는 법이 낯설면 Gaia Clish 명령줄 인터페이스를 참고하세요.
설치된 Gaia의 디스크 파티션 크기 보기·변경
디스크 공간 요구사항은 R82 Release Notes를 참고합니다.
system-root·log 파티션 크기 보기.
| 단계 | 할 일 |
|---|---|
| 1 | Gaia 명령줄에 접속합니다. |
| 2 | Expert mode에 로그인합니다. |
| 3 | df -h 를 실행합니다. |
df -h백업 이미지용 공간 보기.
| 단계 | 할 일 |
|---|---|
| 1 | 웹 브라우저로 Gaia Portal(https://<Gaia 관리 인터페이스 IP>)에 접속합니다. 기본 포트 443을 바꿨다면 https://<IP>:<포트> 처럼 포트도 함께 적습니다. |
| 2 | 왼쪽 탐색 트리에서 Maintenance > Snapshot Management 를 누릅니다. |
파티션 크기 관리는 sk95566 을 참고하세요.
Gaia에서 IPv6 활성화
마법사에서 IPv6 주소를 넣었다면 IPv6가 자동으로 켜 집니다. 넣지 않았다면 나중에 수동으로 켭니다.
Gaia Portal에서 IPv6 켜기
| 단계 | 할 일 |
|---|---|
| 1 | 웹 브라우저로 Gaia Portal(https://<Gaia 관리 인터페이스 IP>)에 접속합니다. 기본 포트를 바꿨다면 포트도 함께 적습니다. |
| 2 | 탐색 트리에서 System Management > System Configuration 을 누릅니다. |
| 3 | IPv6 Support 구역에서 On 을 고릅니다. |
| 4 | Apply 를 누릅니다. |
| 5 | 안내가 뜨면 Yes 를 골라 재부팅합니다. |
Gaia Clish에서 IPv6 켜기
| 단계 | 할 일 |
|---|---|
| 1 | Gaia 명령줄에 접속합니다. |
| 2 | Gaia Clish에 로그인합니다. |
| 3 | Scalable Platform이면 gclish 를 입력해 Gaia gClish로 갑니다. |
| 4 | IPv6 지원을 켭니다. |
| 5 | 변경을 저장합니다. |
| 6 | 재부팅합니다. |
set ipv6-state on
save config
rebootGaia 바탕을 깔았으니, 이제 역할별 제품을 얹을 차례입니다 — 관리 서버 설치로 이어집니다.