목차/07. Security Gateway·VSX Gateway 설치

07Security Gateway·VSX Gateway 설치Security Gateway·VSX Gateway 설치

네트워크 길목에 서서 오가는 트래픽을 검사하고 보안 정책을 집행하는 장비가 Security Gateway 입니다. 이 장은 단일 Security Gateway를 설치해 관리 서버에 붙이는 전체 흐름 과, 한 물리 장비 위에 여러 가상 게이트웨이를 올리는 Legacy VSX Gateway 설치를 원문의 모든 단계·표·주의 사항을 빠짐없이 풀어 정리합니다. 두 절차 모두 Check Point appliance와 open server 양쪽에 똑같이 적용 되지만, 3000 미만의 Small Office appliance 모델에는 적용되지 않 습니다.

VSNext 모드(R82에서 새로 들어온 ElasticXL 기반 방식)로 게이트웨이를 설치하려면 이 장이 아니라 클러스터 설치 장의 "VSNext 모드 클러스터 설치"를 참고하세요.

Security Gateway 설치 — 큰 그림

Security Gateway 설치는 크게 세 묶음 으로 진행합니다. (1) 장비에 게이트웨이를 설치하고, (2) SmartConsole에서 게이트웨이 객체를 만들어 관리 서버와 신뢰(SIC)를 세우고, (3) 그 게이트웨이에 보안 정책을 만들어 설치 하는 순서입니다. 하나씩 따라가 봅시다.

1단계 — 장비에 Security Gateway 설치하기

장비 자체를 준비하는 단계입니다. 다음 순서대로 진행합니다.

단계할 일
1Gaia 운영체제 를 설치합니다. Check Point appliance라면 Check Point Appliance에 Gaia 설치, open server라면 Open Server에 Gaia 설치를 따릅니다.
2Gaia 첫 구성(First Time Configuration Wizard)을 진행합니다.
3첫 구성 마법사에서 아래 설정을 반드시 지정합니다(다음 단락 참고).
4유효한 라이선스를 설치 합니다(라이선스 관리).

첫 구성 마법사에서는 다음 항목을 정확히 골라야 합니다.

  • Installation Type 창 — Security Gateway and/or Security Management 를 선택합니다.
  • Products 창 —
    • Products 섹션에서 Security Gateway only 를 고릅니다.
    • Clustering 섹션에서 Unit is a part of a cluster 체크를 풉 니다(클러스터로 묶으려면 클러스터 설치 장을 따릅니다).
  • Dynamically Assigned IP 창 — 이 게이트웨이가 DHCP로 IP를 받는 DAIP 게이트웨이 인지에 맞는 옵션을 고릅니다.
  • Secure Internal Communication 창 — 일회용 Activation Key(4~127자) 를 입력합니다. 이 키는 잠시 뒤 SmartConsole에서 신뢰를 세울 때 똑같이 다시 넣어야 하니 잘 기억해 둡니다.

2단계 — SmartConsole에서 게이트웨이 객체 만들기

장비 설치가 끝나면, 이 게이트웨이를 관리할 Security Management Server나 Domain Management Server에 SmartConsole로 접속해 새 Gateway 객체를 만듭 니다. 만드는 방식은 Wizard ModeClassic Mode 두 가지입니다. 정적 IP를 쓰면 어느 쪽이든 좋지만, DHCP로 IP를 받는 게이트웨이라면 Classic Mode를 써야 합니다.

공통으로, 객체 생성은 다음 세 경로 중 하나로 시작합니다.

  • 상단 툴바에서 New ( ) > Gateway
  • 왼쪽 위 Objects 메뉴 > More object types > Network Object > Gateways and Servers > New Gateway
  • 오른쪽 위 Objects Pane > New > More > Network Object > Gateways and Servers > Gateway

Wizard Mode로 만들기

단계별로 안내해 주는 방식입니다.

단계할 일
1이 게이트웨이를 관리할 Security Management Server / Domain Management Server 에 SmartConsole로 접속합니다.
2왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다.
3위 세 경로 중 하나로 새 Security Gateway 객체를 만듭니다.
4Check Point Security Gateway Creation 창에서 Wizard Mode 를 클릭합니다.
5General Properties 페이지를 채웁니다(아래 설명).
6Trusted Communication 페이지에서 신뢰를 세웁니다(아래 설명).
7End 페이지에서 마무리합니다(아래 설명).
8(신뢰를 나중으로 미뤘다면) 게이트웨이 속성 창에서 직접 신뢰를 세웁니다(아래 설명).
9General Properties 페이지의 Network Security 탭과 Threat Prevention 탭에서 알맞은 Software Blade 를 켭니다.
10OK 를 클릭합니다.
11SmartConsole 세션을 Publish 합니다.

General Properties 페이지(5단계) 에서는 이렇게 채웁니다.

  • Gateway name — 이 게이트웨이 객체의 이름을 정합니다.
  • Gateway platform올바른 하드웨어 종류 를 고릅니다.
  • Gateway IP address — 상황에 맞게 고릅니다.
    • Static IP address 를 골랐다면, 게이트웨이 첫 구성 마법사의 Management Connection 페이지에서 잡았던 것과 똑같은 IPv4·IPv6 주소 를 넣습니다. 관리 서버(Security Management Server·Multi-Domain Server)가 이 IP로 접속할 수 있어야 합니다.
    • 이 게이트웨이가 DHCP로 IP를 받는다면 Cancel 을 누르고 아래 Classic Mode 절차로 넘어갑니다.
  • 마지막에 Next 를 클릭합니다.

Trusted Communication 페이지(6단계) 에서는 신뢰를 지금 세울지 나중으로 미룰지 고릅니다.

  • Initiate trusted communication now 를 골랐다면, 게이트웨이 첫 구성 마법사에서 넣었던 것과 똑같은 Activation Key 를 입력합니다.
  • Skip and initiate trusted communication later 를 골랐다면, 뒤의 8단계를 반드시 진행해야 합니다.
  • Next 를 클릭합니다.

End 페이지(7단계) 에서는 Configuration Summary 를 살펴본 뒤, 추가 설정을 위해 Edit Gateway properties 를 선택 하고 Finish 를 누릅니다. 그러면 Check Point Gateway 속성 창의 General Properties 페이지가 열립니다.

신뢰를 나중으로 미뤘을 때(8단계) 는 다음을 진행합니다.

  • Secure Internal Communication 필드가 Uninitialized 로 보입니다.
  • Communication 을 클릭합니다.
  • Platform 필드를 고릅니다.
    • 3000 이상 모든 Check Point appliance 모델 → Open server / Appliance
    • Open server → Open server / Appliance
    • 3000 미만 Small Office appliance 모델 → Small Office Appliance
  • 첫 구성 마법사에서 넣었던 것과 똑같은 Activation Key 를 입력하고 Initialize 를 클릭합니다.
  • Certificate state 필드가 Established 로 바뀌어야 SIC가 선 것입니다. 확인 후 OK 를 클릭합니다.

Classic Mode로 만들기

속성 창을 직접 채워 넣는 방식입니다. DHCP로 IP를 받는 게이트웨이는 이 방식을 써야 합니다.

단계할 일
1관리 서버에 SmartConsole로 접속합니다.
2왼쪽 패널에서 Gateways & Servers 클릭.
3위 세 경로 중 하나로 새 객체를 만듭니다.
4Check Point Security Gateway Creation 창에서 Classic Mode 클릭 → General Properties 페이지가 열립니다.
5Name 필드에 게이트웨이 객체 이름을 넣습니다.
6IPv4 / IPv6 address 에 첫 구성 마법사의 Management Connection에서 잡은 것과 같은 주소를 넣습니다. DHCP로 받는다면 Dynamic Address 를 선택 합니다.
7SIC(Secure Internal Communication) 를 세웁니다(아래 설명).
8Platform 섹션을 맞춥니다(아래 설명).
9Network Security 탭과 Threat Prevention 탭에서 알맞은 Software Blade 를 켭니다.
10OK 클릭.
11SmartConsole 세션을 Publish 합니다.

SIC 세우기(7단계) 의 자세한 과정입니다.

  • Secure Internal Communication 필드 옆의 Communication 을 클릭합니다.
  • Platform 필드를 고릅니다 — 3000 이상 모든 모델은 Open server / Appliance, open server도 Open server / Appliance 입니다.
  • 첫 구성 마법사에서 넣었던 것과 똑같은 Activation Key 를 입력하고 Initialize, OK 를 차례로 클릭합니다.

만약 Certificate stateEstablished 로 뜨지 않으면 신뢰가 깨진 것이므로 다음으로 복구합니다.

  1. 게이트웨이 명령줄에 접속합니다.
  2. 게이트웨이와 관리 서버 사이의 물리 연결을 확인 합니다(예: ping이 오가는지).
  3. 다음을 실행합니다.
   
  1. 메뉴에서 다음 항목 번호를 고릅니다.
   Secure Internal Communication
   
  1. 화면 안내에 따라 Activation Key를 바꿉 니다.
  2. SmartConsole에서 Reset 을 클릭합니다.
  3. cpconfig 메뉴에서 넣었던 키와 똑같은 키 를 입력합니다.
  4. SmartConsole에서 Initialize 를 클릭합니다.

Platform 섹션 맞추기(8단계) 에서는 다음을 고릅니다.

  • Hardware — Check Point appliance면 알맞은 appliance 시리즈를, open server면 Open server 를 고릅니다.
  • VersionR82 를 고릅니다.
  • OSGaia 를 고릅니다.

3단계 — 게이트웨이에 보안 정책 만들고 설치하기

게이트웨이가 관리 서버에 붙었으면, 마지막으로 보안 정책을 만들어 설치합니다.

단계할 일
1이 게이트웨이를 관리하는 서버에 SmartConsole로 접속합니다.
2왼쪽 패널에서 Security Policies 클릭.
3새 정책을 만들고 알맞은 레이어를 구성합니다(아래 설명).
4알맞은 Access Control 규칙을 만듭니다.
5Access Control 정책을 게이트웨이 객체에 설치(Install) 합니다.
6알맞은 Threat Prevention 규칙을 만듭니다.
7Threat Prevention 정책을 게이트웨이 객체에 설치 합니다.

새 정책 만들기(3단계)는 이렇게 합니다 — 상단의 + 탭을 누르거나 CTRL T 를 누르고, Manage Policies 탭에서 Manage policies and layers 를 클릭한 다음, 열린 창에서 새 정책을 만들고 레이어를 구성한 뒤 Close 합니다. 그리고 Manage Policies 탭에서 방금 만든 정책을 클릭합니다.

Legacy VSX Gateway 설치

한 물리 장비 위에 여러 개의 가상 게이트웨이(Virtual System 등)를 올리는 기술이 VSX 입니다. R82부터 VSX에는 두 가지 모드 가 있습니다.

  • VSNext(새 방식) — VSNext 모드 클러스터 설치에서 다룹니다.
  • Legacy VSX(예전엔 그냥 "VSX"라 부르던 방식) — 이 절에서 다루는 방식 입니다.

이 절차도 Check Point appliance와 open server 모두에 적용 되며, 3000 미만 Small Office appliance에는 적용되지 않 습니다.

1단계 — 장비에 Legacy VSX Gateway 설치하기

이 단계는 일반 Security Gateway와 완전히 똑같 습니다.

단계할 일
1Gaia 운영체제 를 설치합니다(appliance용 / open server용).
2Gaia 첫 구성을 진행합니다.
3첫 구성 마법사에서 — Installation TypeSecurity Gateway and/or Security Management, ProductsSecurity Gateway only 선택에 Unit is a part of a cluster 해제, Dynamically Assigned IP 는 상황에 맞게, Secure Internal Communication 에 Activation Key(4~127자) 입력.
4유효한 라이선스를 설치 합니다(라이선스 관리).

2단계 — SmartConsole에서 VSX Gateway 객체 만들기

일반 게이트웨이와 달리, 일반 Gateway가 아니라 VSX > Gateway 객체를 만들어 VSX Gateway Wizard 를 띄웁니다.

단계할 일
1이 Legacy VSX Gateway를 관리할 Security Management Server / Main Domain Management Server 에 SmartConsole로 접속합니다.
2왼쪽 패널에서 Gateways & Servers 클릭.
3VSX Gateway 객체 를 만듭니다(아래 경로). VSX Gateway Wizard가 열립니다.
4VSX Gateway General Properties(기본 설정) 페이지를 채웁니다(아래 설명).
5VSX Gateway General Properties(Secure Internal Communication) 페이지에서 신뢰를 세웁니다(아래 설명).
6VSX Gateway Interfaces(Physical Interfaces Usage) 페이지에서 물리 인터페이스를 확인합니다(아래 설명).
7Virtual Network Device Configuration 페이지(아래 설명).
8VSX Gateway Management(관리 접근 규칙) 페이지(아래 설명).
9VSX Gateway Creation Finalization 페이지에서 마칩니다(아래 설명).
10명령줄·Expert mode에서 vsx stat -v 로 VSX 구성을 점검합니다.
11~17Legacy VSX Gateway 객체를 열어 Blade를 켜고 기본 정책을 설치합니다(아래 설명).
18~20Threat Prevention 정책을 구성·설치하고 다시 점검합니다(아래 설명).

VSX Gateway 객체 생성은 다음 경로 중 하나로 시작합니다.

  • 상단 툴바 New ( ) > VSX > Gateway
  • 왼쪽 위 Objects 메뉴 > More object types > Network Object > Gateways and Servers > VSX > New Gateway
  • 오른쪽 위 Objects Pane > New > More > Network Object > Gateways and Servers > VSX > Gateway

General Properties 기본 설정(4단계)Enter the VSX Gateway Name 에 이름을, Enter the VSX Gateway IPv4 / IPv6첫 구성 마법사의 Management Connection에서 잡은 것과 같은 주소 를 넣고, Select the VSX Gateway Version 에서 R82 를 고른 뒤 Next 를 클릭합니다.

Secure Internal Communication(5단계)Activation Key 필드에 첫 구성 마법사에서 넣었던 것과 똑같은 키 를, Confirm Activation Key 에 같은 키를 한 번 더 넣고 Initialize, Next 를 클릭합니다.

만약 Trust StateTrust established 로 뜨지 않으면 일반 게이트웨이와 같은 방식으로 복구합니다.

  1. VSX Gateway 명령줄에 접속합니다.
  2. VSX Gateway와 관리 서버 사이 물리 연결을 확인 합니다(ping 등).
  3. cpconfig 를 실행합니다.
   
  1. 메뉴에서 다음을 고릅니다.
   Secure Internal Communication
   
  1. 화면 안내에 따라 Activation Key를 바꿉니다.
  2. SmartConsole의 VSX Gateway General Properties 페이지에서 Reset 을 클릭합니다.
  3. cpconfig 메뉴에서 넣은 것과 똑같은 키를 입력합니다.
  4. SmartConsole에서 Initialize 를 클릭합니다.

Physical Interfaces Usage(6단계) — 표시된 인터페이스 목록을 살펴봅니다. VSX Gateway의 모든 물리 인터페이스가 보여야 합니다. 만약 한 물리 인터페이스에 둘 이상의 Virtual System을 직접 붙일 계획이라면, 그 인터페이스에 VLAN Trunk 를 선택 해야 합니다. 그다음 Next 를 클릭합니다.

Virtual Network Device Configuration(7단계) — 여기서 Create a Virtual Network Device 를 골라 첫 Virtual Switch나 Virtual Router를 지금 만들 수도 있지만, 나중에 만드는 것을 권장 합니다. Next 를 클릭합니다.

VSX Gateway Management(8단계) — 기본 접근 규칙을 살펴보고, 알맞은 기본 접근 규칙을 선택한 뒤, 필요하면 출발지(source) 객체를 설정하고 Next 를 클릭합니다.

Creation Finalization(9단계)Finish 를 누르고 작업이 끝날 때까지 기다립니다. 자세한 내용은 View Report 로 보고 Close 합니다.

VSX 구성 점검과 Blade·정책 설치

만든 뒤에는 각 단계마다 vsx stat -v 로 VSX 구성을 점검 하는 습관이 중요합니다. 점검 방법은 늘 같습니다 — VSX Gateway 명령줄에 접속해 Expert mode로 들어간 뒤 실행합니다.

vsx stat -v

이어지는 단계는 다음과 같습니다.

  • (11~14단계) Legacy VSX Gateway 객체를 열고, General Properties 페이지의 Network Security 탭에서 이 VSX Gateway 객체 자체(VS0 맥락)에 알맞은 Software Blade 를 켭 니다. 어떤 기능이 지원되는지는 sk79700(VSX supported features), sk106496(Software Blades updates), R82 Home Page의 관리자 가이드를 참고합니다. OK 를 눌러 갱신된 VSX 구성을 밀어 넣고(자세한 내용은 View Report), 다시 vsx stat -v 로 점검합니다.
  • (16단계) VSX Gateway 객체에 기본 정책을 설치합니다 — Install Policy 를 누르고 Policy 필드에서 이 VSX Gateway의 기본 정책을 고릅니다. 이 정책의 이름은 다음과 같습니다.
  <VSX Gateway 객체 이름>_VSX
  

Install 을 클릭합니다. - (18~19단계) 이 Legacy VSX Gateway에 알맞은 Threat Prevention 정책을 구성 하고, Install Policy → Policy 필드에서 해당 Threat Prevention 정책 선택 → Install 로 설치합니다. - 각 단계 사이사이 vsx stat -v 로 거듭 점검 합니다(15·17·20단계).

3단계 — Legacy Virtual Device와 그 보안 정책 구성하기

마지막으로, VSX Gateway 위에 올라가는 각 가상 장치(Virtual System·Virtual Switch·Virtual Router)를 구성하고 각자의 정책을 설치 합니다.

단계할 일
1Security Management Server, 또는 각 Legacy Virtual Device를 관리할 Target Domain Management Server 에 SmartConsole로 접속합니다.
2이 VSX Gateway 위에 알맞은 Legacy Virtual Device 들을 구성합니다.
3이 가상 장치들에 알맞은 Access Control 정책을 구성합니다.
4구성한 Access Control 정책을 가상 장치들에 설치 합니다.
5vsx stat -v 로 VSX 구성을 점검합니다.
6가상 장치들에 알맞은 Threat Prevention 정책을 구성합니다.
7구성한 Threat Prevention 정책을 가상 장치들에 설치 합니다.
8vsx stat -v 로 다시 점검합니다.

여러 대를 묶어 가용성을 높이려면 다음 장으로 이어집니다 — ClusterXL·VSX·VRRP 클러스터 설치.