05관리 서버 설치관리 서버 설치

어떤 관리 서버든 두 단계로 나뉩니다. 먼저 장비에서 Gaia를 설치하고 첫 구성 마법사를 돌려 역할을 정한 뒤 유효한 라이선스를 넣고(라이선스 관리), 그다음 SmartConsole에서 그 서버를 나타내는 객체를 만들어 Software Blade를 켜고 데이터베이스를 설치 합니다. 두 번째 서버나 전용 서버라면 여기에 SIC(Secure Internal Communication) 초기화 한 단계가 더 붙습니다.

마법사에서 무엇을 고르느냐가 곧 서버의 정체가 됩니다. 단일 도메인 관리 서버 계열은 Installation Type에서 Security Gateway and/or Security Management 를 고른 뒤 Products에서 Security Management only 를 선택하고, Multi-Domain 계열은 Installation Type에서 바로 Multi-Domain Server 를 고릅니다.

가장 기본인 Security Management Server 는, 첫 구성 마법사에서 Security Management only를 고른 뒤 Define Security Management as 에서 Primary 를 선택하고, GUI Clients 창에서 SmartConsole로 접속을 허용할 컴퓨터(모든 IP·이 컴퓨터·특정 네트워크·IP 범위) 를 정합니다. 설치 후 SmartConsole에서 서버 객체를 열어 Management 탭에서 필요한 Software Blade를 켜면 끝입니다.

가용성을 위해 두 번째 서버를 둘 때는 Management High Availability가 됩니다. Secondary는 반드시 Primary와 같은 Gaia 설치 버전을 써야 하고, 마법사에서 Define Security Management as 를 Secondary 로 고른 뒤 Secure Internal Communication 창에서 일회용 Activation Key(4~127자) 를 입력합니다. 그다음 SmartConsole로 Primary에 접속해 Secondary를 나타내는 Check Point Host 객체를 만들고 — 이름·IP·플랫폼(Hardware/Version R82/OS Gaia)을 채우고 Management 탭에서 Network Policy Management를 켠 뒤 — Communication에서 같은 Activation Key를 넣어 SIC를 Initialize(Trust state가 Established가 되어야 함) 합니다. 마지막으로 Install database로 모든 객체에 데이터베이스를 설치하고, Management High Availability 화면에서 두 서버가 동기화되는지 확인합니다.

설치 후에는 로그 인덱스용 디스크 공간도 챙겨야 합니다. Log Indexing을 켜면 $RTDIR/log_indexes/ 에 인덱스 파일이 쌓이는데, 가용 공간이 정해진 최소값(기본 5000 MB 또는 가용 공간의 15%) 아래로 떨어지면 오래된 인덱스부터 지웁니다. 이 최소값은 SmartConsole에서 서버 객체의 Logs > Storage에서 조정합니다.

로그만 따로 받는 전용 Log Server 나 이벤트 분석용 SmartEvent Server 도 같은 패턴입니다. 마법사에서 Define Security Management as 를 Log Server / SmartEvent only 로 고르고 Activation Key를 잡은 뒤, SmartConsole에서 Check Point Host 객체를 만들어 SIC를 세웁니다. Software Blade는 역할에 따라 — Log Server라면 Logging & Status(Identity Awareness를 쓰면 Identity Logging까지), SmartEvent Server라면 SmartEvent Server와 SmartEvent Correlation Unit — 를 켭니다. 전용 SmartEvent Server와 전용 Correlation Unit을 따로 설치할 수도 있습니다.

Multi-Domain 환경이라면 한 단계 더 나아간 Domain Dedicated Log Server 가 있습니다. R81부터 특정 Domain의 로그만 받는 전용 Log Server를 별도 컴퓨터에 둘 수 있어, 규제 요건에 맞춰 로그를 Multi-Domain 환경과 분리된 네트워크에 둘 수 있습니다. 이 Log Server는 연결된 Domain Server하고만 통신하며 다른 Domain은 그 로그에 접근하지 못 합니다(다만 Domain Dedicated Log Server에 SmartConsole로 붙어 정책을 보는 것은 미지원). 구성은 R82 Multi-Domain Server를 깐 뒤 일반 전용 Log Server를 설치하고, SmartConsole로 해당 Domain에 접속해 그 Log Server 객체를 추가하는 순서입니다. R82로 업그레이드한 환경에서는 마지막에 각 Multi-Domain Server에서 $MDS_FWDIR/scripts/cpm.sh -tm -op reset -d all -sd 를 한 번 돌려 주어야 합니다.

규모가 크면 Multi-Domain Server(MDS) 를 깝니다. 마법사 Installation Type에서 Multi-Domain Server 를 고른 뒤 Primary Multi-Domain Server 를 선택하고, Leading VIP Interface(Multi-Domain 환경의 주 인터페이스) 와 GUI Clients(Any host 또는 특정 IP), 그리고 관리자 계정을 정합니다. Secondary Multi-Domain Server 는 Primary와 같은 방식이되 Activation Key로 SIC를 세웁니다. 로그 전용인 Multi-Domain Log Server(MDLS) 는 Installation Type에서 Multi-Domain Server를 고른 뒤 Multi-Domain Log Server 를 선택하고 Leading VIP Interface와 Activation Key를 잡는 식으로, 거의 동일한 흐름을 따릅니다.

엔드포인트 보안을 관리하는 Endpoint Security Management Server 와, 부하를 나눠 받는 Endpoint Policy Server 도 설치 뼈대는 일반 관리 서버와 같습니다 — 마법사에서 Security Management only·Primary를 고르고 라이선스를 넣은 뒤 SmartConsole에서 마무리합니다. Endpoint 환경은 서비스 연결 포트와 디스크 공간 요건이 추가로 있으니(원문 "Connection Port to Services"·"Disk Space" 절), 방화벽 사이에 둘 때 포트 개방을 확인하세요.

CloudGuard Controller 도 일반 Security Management Server로 설치한 뒤, 관리 서버 명령줄에서 cloudguard on 으로 켜고, 해당 게이트웨이에서 Identity Awareness Software Blade를 활성화하면 됩니다(상세는 R82 CloudGuard Controller Administration Guide).

관리 서버는 Gaia 외에 Red Hat Enterprise Linux 위에도 올릴 수 있습니다. 다만 이 경우는 별도 절차가 필요해 sk44925·sk98760을 따르고 Check Point Support의 구체적 설치 지침을 받 아야 합니다.

본부를 세웠으니, 이제 그 본부를 다룰 도구를 깝니다 — SmartConsole 설치로 넘어갑니다.