09Standalone·Scalable Platform·설치 후 구성Standalone·Scalable Platform·설치 후 구성
여기서는 설치의 나머지 갈래와 마무리를 한자리에 모았습니다 — 관리와 집행을 한 대에 합치는 Standalone, 대규모로 확장하는 Scalable Platform, 설치 직후 챙기는 Post-Installation Configuration, 그리고 소프트웨어 패키지를 깔고 업데이트하는 CPUSE 입니다. 각 절차의 단계와 표를 빠짐없이 풀어 둡니다.
Standalone — 한 대에 모두 담기
Standalone 배포에서는 한 Check Point 컴퓨터가 Security Gateway와 Security Management Server를 동시에 돌립 니다. 즉 트래픽을 집행하는 게이트웨이와 정책을 관리하는 관리 서버가 같은 장비에 함께 올라갑니다.
이 방식은 적용 대상이 정해져 있습니다.
- Standalone 배포를 지원하는 Check Point appliance 에 적용됩니다(모든 appliance가 아니라, Standalone을 지원하는 모델에 한합니다).
- 모든 Open Server 에 적용됩니다.
- 가상 머신(Virtual Machine) 에 적용됩니다.
구체적인 하드웨어·리소스 요구 사항은 R82 Release Notes 를 참고하세요. Standalone을 구성하는 방법은 두 가지입니다 — Standard Mode 와 Quick Setup Mode.
Standard Mode로 구성하기
가장 일반적인 방식으로, 위에서 말한 요구 사항을 충족하는 Check Point appliance·Open Server·가상 머신 모두에서 지원됩니다. 전체 흐름은 ① Standalone 설치 → ② SmartConsole에서 Standalone 객체 구성 → ③ Access Control 정책 구성, 세 단계입니다.
1단계 — Standalone 설치하기
| 단계 | 할 일 |
|---|---|
| 1 | Gaia 운영체제를 설치 합니다 — Check Point Appliance에 설치(Gaia OS 설치)하거나 Open Server에 설치합니다. |
| 2 | Gaia 첫 구성("Configuring Gaia for the First Time")을 진행합니다. |
| 3 | 첫 구성 마법사(First Time Configuration Wizard)에서 아래 설정을 반드시 지정합니다. |
3단계의 첫 구성 마법사에서는 다음을 꼼꼼히 맞춰야 합니다.
- Installation Type 창에서 —
Security Gateway and/or Security Management를 선택합니다. - Products 창에서 —
- Products 영역에서 Security Gateway 와 Security Management 를 둘 다 선택합니다(둘을 한 대에 올리는 것이 Standalone의 핵심입니다).
- Clustering 영역에서 —
Unit is a part of a cluster, type체크를 해제(clear) 하고,Define Security Management as필드는 Primary 로 둡니다.
- Security Management Administrator 창에서 — 관리자 계정을 둘 중 하나로 정합니다.
Use Gaia administrator— Gaia 관리자 계정을 그대로 씁니다.Define a new administrator and configure it— 새 관리자를 만들어 구성합니다.
- Security Management GUI Clients 창에서 — SmartConsole로 접속을 허용할 컴퓨터를 정합니다.
| GUI Clients 옵션 | 허용 범위 |
|---|---|
Any IP Address | 모든 컴퓨터의 접속을 허용 |
This machine | 지정한 단일 컴퓨터 하나만 허용 |
Network | 지정한 네트워크의 모든 컴퓨터를 허용 |
Range of IPv4 addresses | 지정한 IPv4 범위 안의 모든 컴퓨터를 허용 |
2단계 — SmartConsole에서 Standalone 객체 구성하기
| 단계 | 할 일 |
|---|---|
| 1 | SmartConsole로 Standalone에 연결합니다. |
| 2 | 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다. |
| 3 | Standalone 객체를 엽니다 — Check Point Gateway properties 창의 General Properties 페이지가 열립니다. |
| 4 | Platform 영역에서 옳은 값을 고릅니다 — Hardware 필드는 Check Point Appliance면 해당 appliance 시리즈를, Open Server면 Open server 를 선택하고, Version 필드는 R82 인지 확인, OS 필드는 Gaia 로 둡니다. |
| 5 | 해당하는 Software Blade 를 켭니다 — Network Security 탭과 Threat Prevention 탭에서. |
| 6 | Management 탭에서도 해당하는 Software Blade를 켭니다. |
| 7 | OK 를 클릭합니다. |
| 8 | SmartConsole 세션을 Publish 합니다. |
3단계 — Access Control 정책 구성하기
| 단계 | 할 일 |
|---|---|
| 1 | SmartConsole로 Standalone에 연결합니다. |
| 2 | 왼쪽 탐색 패널에서 Security Policies 를 클릭합니다. |
| 3 | 새 정책을 만들고 레이어를 구성합니다 — 상단에서 + 탭을 클릭(또는 CTRL T)하고, Manage Policies 탭에서 Manage policies and layers 를 클릭한 뒤, 열린 창에서 새 정책을 만들고 레이어를 구성하고 Close, 다시 Manage Policies 탭에서 방금 만든 정책을 클릭합니다. |
| 4 | 필요한 Access Control 규칙 을 만듭니다. |
| 5 | Standalone 객체에 Access Control Policy 를 설치 합니다. |
Quick Setup Mode로 구성하기
또 하나는 Quick Setup Mode 입니다. 이 방식은 Standalone을 지원하는 Check Point appliance에서만 쓸 수 있고, 게이트웨이를 Bridge Mode 로 설치합니다. 기존 토폴로지에 손쉽게 끼워 넣고 싶을 때 유용합니다. 상세 절차는 sk102231(Gaia Quick Standalone Setup)을 참고하세요.
Scalable Platform — 대규모로 확장하기
Scalable Platform 은 처리 용량을 크게 키우는 플랫폼을 통칭하는 용어로, 세 가지를 포함합니다.
| Scalable Platform | 참고 문서 |
|---|---|
| ElasticXL Cluster | R82 Scalable Platforms Administration Guide |
| Maestro 구성의 Security Group | Quantum Maestro Getting Started Guide, R82 Scalable Platforms Administration Guide |
| Scalable Chassis 의 Security Group | R82 Scalable Platforms Administration Guide |
이들의 설치·구성은 이 설치 가이드의 범위를 넘어 별도 문서에서 다룹니다 — 위 표의 문서들과 함께 R82 Maestro 가이드를 참고하세요. 앞서 본 VSNext 클러스터도 이 Scalable Platform 위에서 동작합니다.
설치 후 구성 — Check Point Configuration Tool
설치를 마치고 Check Point 컴퓨터를 재부팅했다면 두 가지를 챙깁니다.
- Check Point Configuration Tool 에서 해당하는 설정을 구성합니다.
- CPUSE 에서 권장·가용 소프트웨어 패키지를 확인합니다(아래 소프트웨어 패키지 설치 참고).
Check Point Configuration Tool은 장비 종류에 따라 실행 명령과 메뉴가 다릅니다. 세 갈래로 나뉩니다.
Security Management Server·전용 Log/SmartEvent Server — `cpconfig`
이 장비들에서는 cpconfig 명령으로 다음 메뉴를 다룹니다.
(1) Licenses and contracts
(2) Administrator
(3) GUI Clients
(4) SNMP Extension
(5) Random Pool
(6) Certificate Authority
(7) Certificate's Fingerprint
(8) Automatic start of Check Point Products
(9) Exit| 메뉴 옵션 | 설명 |
|---|---|
| Licenses and contracts | 이 서버의 Check Point 라이선스·계약을 관리합니다. |
| Administrator | 이 서버의 Check Point 시스템 관리자를 구성합니다. |
| GUI Clients | SmartConsole로 이 서버에 접속할 수 있는 GUI 클라이언트를 구성합니다. |
| SNMP Extension | 더 이상 쓰지 않습니다(Obsolete). SNMP는 R82 Gaia Administration Guide의 System Management > SNMP를 사용하세요. |
| Random Pool | Gaia 운영체제가 쓸 RSA 키를 구성합니다. |
| Certificate Authority | Internal Certificate Authority(ICA)를 초기화 하고 CA의 FQDN(Fully Qualified Domain Name)을 설정합니다. |
| Certificate's Fingerprint | ICA의 Fingerprint를 보여 줍니다. 서버의 ICA 인증서에서 파생된 문자열로, SmartConsole로 연결할 때 서버의 신원을 확인 하는 데 씁니다. |
| Automatic start of Check Point Products | 부팅 시 자동으로 시작할 Check Point 제품을 보여 주고 제어합니다. |
| Exit | Configuration Tool을 빠져나갑니다. |
자세한 내용은 R82 Security Management Administration Guide를 참고하세요.
Multi-Domain Server·MDLS — `mdsenv` 후 `mdsconfig`
Multi-Domain Server·Multi-Domain Log Server에서는 먼저 mdsenv 를 실행한 뒤 mdsconfig 로 진입합니다.
mdsconfig
(1) Leading VIP Interfaces
(2) Licenses
(3) Random Pool
(4) Groups
(5) Certificate's Fingerprint
(6) Administrators
(7) GUI clients
(8) Automatic Start of Multi-Domain Server
(9) P1Shell
(10) Start Multi-Domain Server Password
(11) IPv6 Support for Multi-Domain Server
(12) IPv6 Support for Existing Domain Management Servers
(13) Exit| 메뉴 옵션 | 설명 |
|---|---|
| Leading VIP Interfaces | 외부 네트워크에 연결된 실제 인터페이스입니다. Domain Management Server의 가상 IP를 구성할 때 이 인터페이스를 씁니다. |
| Licenses | 이 서버의 Check Point 라이선스·계약을 관리합니다. |
| Random Pool | Gaia 운영체제가 쓸 RSA 키를 구성합니다. |
| Groups | 보통 Multi-Domain Server에 접근·실행 그룹 권한을 부여합니다. 그런 그룹의 이름을 정하거나, 그룹 권한을 주지 않도록 지정할 수 있습니다(후자라면 Super-User만 서버에 접근·실행 가능). |
| Certificate's Fingerprint | ICA의 Fingerprint를 보여 줍니다 — SmartConsole 연결 시 서버 신원 확인용입니다. |
| Administrators | 이 서버의 Check Point 시스템 관리자를 구성합니다. |
| GUI Clients | SmartConsole로 이 서버에 접속할 GUI 클라이언트를 구성합니다. |
| Automatic Start of Multi-Domain Server | 부팅 시 Multi-Domain Server를 자동 시작할지 보여 주고 제어합니다. |
| P1Shell | 더 이상 쓰지 않습니다(Obsolete). |
| Start Multi-Domain Server Password | Multi-Domain Server 시작을 제어하는 암호를 구성합니다. |
| IPv6 Support for Multi-Domain Server | Multi-Domain Server의 IPv6 지원을 켜고 끕니다. |
| IPv6 Support for Existing Domain Management Servers | 기존 Domain Management Server의 IPv6 지원을 켜고 끕니다. |
| Exit | Multi-Domain Server Configuration Program을 빠져나갑니다. |
자세한 내용은 R82 Multi-Domain Security Management Administration Guide를 참고하세요.
Security Gateway·Cluster Member — `cpconfig`
게이트웨이·클러스터 멤버에서는 cpconfig 로 다음 메뉴를 다룹니다.
(1) Licenses and contracts
(2) SNMP Extension
(3) PKCS#11 Token
(4) Random Pool
(5) Secure Internal Communication
(6) Disable cluster membership for this gateway
(7) Enable Check Point Per Virtual System State
(8) Enable Check Point ClusterXL for Bridge Active/Standby
(9) Check Point CoreXL
(10) Automatic start of Check Point Products
(11) Exit| 메뉴 옵션 | 설명 |
|---|---|
| Licenses and contracts | 이 게이트웨이·클러스터 멤버의 라이선스·계약을 관리합니다. |
| SNMP Extension | 더 이상 쓰지 않습니다. SNMP는 R82 Gaia Administration Guide의 System Management > SNMP를 사용하세요. |
| PKCS#11 Token | Gaia가 쓸 암호화 토큰을 등록하고, 토큰 정보를 보거나 동작을 테스트합니다. |
| Random Pool | Gaia 운영체제가 쓸 RSA 키를 구성합니다. |
| Secure Internal Communication | 게이트웨이·클러스터 멤버의 SIC 를 관리합니다. 이 변경은 Check Point 서비스 재시작이 필요 합니다. SIC를 다시 세울 때 여기서 합니다(sk65764: SIC 리셋 방법). |
| Enable / Disable cluster membership for this gateway | 게이트웨이의 클러스터 멤버십을 켜거나 끕니다. 변경하면 게이트웨이 재부팅이 필요 합니다. |
| Enable / Disable Check Point Per Virtual System State | VSX Cluster Member에서 Virtual System Load Sharing을 켜거나 끕니다. |
| Enable / Disable Check Point ClusterXL for Bridge Active/Standby | Bridge 모드용 ClusterXL을 켜거나 끕니다. 변경하면 Cluster Member 재부팅이 필요 합니다. |
| Check Point CoreXL | 게이트웨이·클러스터 멤버·Security Group의 CoreXL 과 Firewall 모드를 관리합니다. CoreXL 구성을 바꾼 뒤에는 반드시 재부팅 해야 합니다. |
| Automatic start of Check Point Products | 부팅 시 자동 시작할 Check Point 제품을 보여 주고 제어합니다. |
| Exit | Configuration Tool을 빠져나갑니다. |
소프트웨어 패키지 설치 — CPUSE와 Central Deployment
Gaia R82에 핫픽스나 버전 패키지를 까는 방법은 크게 중앙 배포와 로컬 설치 로 나뉩니다.
게이트웨이·Cluster Member에 중앙 배포
여러 대를 한꺼번에 다룰 때는 R82 관리 서버에서 두 가지 방법을 쓸 수 있습니다.
- Central Deployment(SmartConsole) — 관리되는 게이트웨이·클러스터 멤버에 패키지를 배포합니다. 패키지 출처는 Check Point Cloud, 또는 관리 서버의 Package Repository 두 가지입니다(Repository를 쓰려면 먼저 해당 패키지를 업로드해야 합니다). 자세한 내용은 R82 Security Management Administration Guide의 Managing Gateways > Central Deployment of Hotfixes and Version Upgrades를 참고하세요.
- Central Deployment Tool — 명령줄 버전으로, 관리 서버에서 관리되는 게이트웨이·클러스터에 패키지를 배포합니다(sk111158).
한 대씩 로컬 설치 — CPUSE
각 Gaia 컴퓨터에서 직접 깔 때는 CPUSE 를 씁니다(sk92449). 인터넷 연결 여부에 따라 두 방식으로 갈립니다.
인터넷에 연결된 경우 — Online
| 설치 방식 | 작업 순서 |
|---|---|
| Online | ① Gaia 컴퓨터의 Gaia Portal 또는 Gaia Clish에 접속 → ② 해당 CPUSE 패키지 확인 → ③ 다운로드 → ④ 설치 |
인터넷에 연결되지 않은 경우 — Offline
연결이 없으면 다른 컴퓨터로 R82 Home Page에서 패키지를 받아 Gaia로 옮긴(Import) 뒤 확인·설치합니다. Gaia Portal과 Gaia Clish 두 경로가 있습니다.
| 설치 방식 | 작업 순서 |
|---|---|
| Gaia Portal | ① Portal 접속용 컴퓨터 사용 → ② R82 Home Page에서 CPUSE 패키지 다운로드 → ③ Gaia 컴퓨터의 Gaia Portal 접속 → ④ 패키지 Import → ⑤ 확인 → ⑥ 설치 |
| Gaia Clish | ① Portal 접속용 컴퓨터 사용 → ② R82 Home Page에서 패키지 다운로드 → ③ 패키지를 Gaia 컴퓨터의 디렉터리(예: /var/log/path_to_CPUSE_packages/)로 전송 → ④ Gaia Clish 접속 → ⑤ Import → ⑥ 확인 → ⑦ 설치 |
업그레이드 보고서 보기
이 보고서는 다음 구성만 지원합니다 — Security Management Server, Endpoint Security Management Server, CloudGuard Controller, Multi-Domain Server, Log Server, Endpoint Policy Server, Multi-Domain Log Server, Standalone Server.
설치의 전 과정을 마쳤습니다. 이제 기존 환경을 R82으로 옮기는 업그레이드로 넘어갑니다 — 업그레이드 옵션과 사전 준비부터 시작합니다.