07Security Gateway·VSX Gateway 설치Security Gateway·VSX Gateway 설치

게이트웨이도 관리 서버처럼 두 단계입니다. 먼저 장비에서 Gaia를 설치하고 첫 구성 마법사를 돌리고, 그다음 SmartConsole에서 게이트웨이 객체를 만들어 관리 서버와 SIC 신뢰를 세우는 순서입니다.

첫 구성 마법사에서는 Installation Type에서 Security Gateway and/or Security Management를 고른 뒤 Products에서 Security Gateway only 를 선택하고, Unit is a part of a cluster는 체크를 풀어 둡니다(클러스터는 다음 장). 이어 Dynamically Assigned IP 로 이 게이트웨이가 DHCP로 IP를 받는 DAIP 게이트웨이인지 정하고, Secure Internal Communication 창에서 일회용 Activation Key(4~127자) 를 입력합니다. 마지막으로 유효한 라이선스를 넣습니다(라이선스 관리).

설치 후에는 이 게이트웨이를 관리할 Security Management Server나 Domain Management Server에 SmartConsole로 접속해, 새 Gateway 객체를 만듭 니다. 두 가지 방식이 있습니다.

Wizard Mode 는 단계별로 안내합니다. 게이트웨이 이름·플랫폼(하드웨어 종류)·IP를 정하는데, 정적 IP라면 첫 구성 마법사의 Management Connection에서 잡은 것과 같은 IPv4·IPv6를 넣 고(DHCP로 받는다면 Classic Mode로 넘어감), Trusted Communication 페이지에서 같은 Activation Key로 신뢰를 지금 세우거나 나중으로 미룰 수 있습니다. 끝에서 "Edit Gateway properties"를 골라 Network Security·Threat Prevention 탭에서 Software Blade를 켭니다.

Classic Mode 는 속성 창에서 직접 채웁니다 — 이름·IP를 넣고(DHCP면 Dynamic Address 선택), Communication에서 Platform(3000 이상 모델·open server는 Open server/Appliance, 3000 미만 Small Office는 Small Office Appliance)을 고른 뒤 같은 Activation Key로 Initialize 합니다. Certificate state가 Established가 되어야 SIC가 선 것 입니다. 만약 안 서면, 게이트웨이 명령줄에서 물리 연결(ping)을 확인하고 cpconfig 의 Secure Internal Communication 메뉴에서 키를 바꾼 뒤, SmartConsole에서 Reset → 같은 키 입력 → Initialize 를 다시 합니다. Platform 섹션에서 Hardware·Version(R82)·OS(Gaia)를 맞추고 Blade를 켠 뒤 세션을 Publish합니다.

마지막으로 정책을 만듭니다 — Security Policies에서 새 정책과 레이어를 만들고, Access Control 규칙을 짜 게이트웨이에 설치하고, 이어 Threat Prevention 규칙도 만들어 설치 합니다(상세는 R82 Security Management·Threat Prevention Administration Guide).

한 물리 장비 위에 여러 가상 게이트웨이를 올리는 것이 VSX 입니다. R82부터 VSX에는 두 모드가 있습니다 — 새로운 VSNext(ElasticXL 기반, 클러스터 장에서 다룸)와, 기존 방식인 Legacy VSX 입니다. 여기서는 Legacy VSX Gateway의 Clean Install을 다룹니다(실패한 VSX 복구나 non-DMI 구성은 R82 VSX Administration Guide).

Gaia 설치와 첫 구성 마법사는 일반 Security Gateway와 똑같습니다 — Security Gateway only, 클러스터 해제, DAIP 선택, Activation Key, 라이선스. 다른 점은 SmartConsole 단계입니다. 일반 Gateway가 아니라 VSX > Gateway 객체를 만들어 VSX Gateway Wizard 를 띄우고, 이름·IPv4·IPv6·Version(R82)을 정한 뒤 Activation Key로 SIC를 Initialize합니다(Trust established 안 되면 동일하게 cpconfig 로 복구). 이어 Physical Interfaces Usage 페이지에서 물리 인터페이스를 확인 하고(한 물리 인터페이스에 여러 Virtual System을 직접 붙이려면 그 인터페이스를 VLAN Trunk 로 지정), 필요하면 첫 Virtual Switch·Virtual Router를 만들고(나중으로 미루는 것을 권장), VS0의 관리 접근 규칙을 정한 뒤 마칩니다.

만든 뒤에는 Expert 모드에서 vsx stat -v 로 VSX 구성 상태를 확인 하는 습관이 중요합니다 — 각 단계마다 이 명령으로 점검합니다. VS0 객체에서 Network Security 탭의 Blade를 켜고(sk79700: VSX 지원 기능 참고), <VSX Gateway 이름>_VSX 라는 기본 정책을 설치 한 뒤 Threat Prevention 정책까지 깝니다. 그다음 각 Legacy Virtual Device(Virtual System·Switch·Router)를 구성하고, 각자의 Access Control·Threat Prevention 정책을 설치 합니다. VSX의 자세한 운영은 R82 VSX 관리자 가이드를 참고하세요.

여러 대를 묶어 가용성을 높이려면 다음 장으로 — ClusterXL·VSX·VRRP 클러스터 설치로 이어집니다.