목차/14. Security Gateway 특수 시나리오 — Monitor·Bridge Mode

14Security Gateway 특수 시나리오 — Monitor·Bridge ModeSecurity Gateway 특수 시나리오 — Monitor·Bridge Mode

게이트웨이를 평범하게 길목에 끼우는 것 말고도, 기존 환경을 건드리지 않고 트래픽을 관찰하거나, IP 구조를 바꾸지 않고 보안 장비를 끼워 넣는 특수 배포가 있습니다. 이 장은 세 가지를 빠짐없이 다룹니다 — 운영망을 그대로 둔 채 트래픽만 복제해 듣는 Monitor Mode, Layer 3에 보이지 않게 두 포트 사이에 검사를 끼워 넣는 Bridge Mode, 그리고 게이트웨이가 부팅·업그레이드 중에도 스스로를 지키는 Security Before Firewall Activation(방화벽 활성화 전 보안)입니다. 단일 Security Gateway는 물론 단일 VSX Gateway, ClusterXL까지 각 구성 절차를 SmartConsole 화면 단계와 CLI 명령까지 그대로 풀어 정리합니다.

Monitor Mode — 환경을 건드리지 않고 관찰하기

Monitor Mode 는 운영 환경을 전혀 바꾸지 않고 네트워크 트래픽을 분석 하는 배포입니다. Check Point Security Gateway의 인터페이스 하나를 스위치의 Mirror Port(또는 Span Port)에 연결하면, 스위치가 오가는 모든 패킷을 복제해서 게이트웨이로 보내 줍니다. 게이트웨이는 이 복제 트래픽을 듣기만 하면서 활동 로그를 기록합니다. 이 인터페이스에서는 어떤 보안 정책도 집행하지 않고(prevent/drop/reject 같은 능동적 동작 없음), 도착한 패킷을 전부 종료(terminate)할 뿐 다시 내보내거나 전달하지 않 습니다. 즉 Monitor Mode 인터페이스로는 게이트웨이가 어떤 트래픽도 내보내지 않 습니다.

Monitor Mode를 쓰는 대표적인 두 가지 목적은 다음과 같습니다.

  • 배포의 상시 구성 요소로서 애플리케이션 사용 현황을 계속 모니터링 하기.
  • Software Blade의 능력을 평가(evaluate) 하기.

장점은 분명합니다.

  • 운영 환경에 위험이 전혀 없 습니다.
  • 설정이 최소 로 끝납니다.
  • 값비싼 TAP 장비가 필요 없 습니다.

Monitor Mode 토폴로지 예시

p.565
p.565
번호설명
1모든 입출력 패킷을 복제하는 mirror/SPAN 포트가 있는 스위치. Security Gateway가 이 스위치의 mirror/SPAN 포트에 연결됩니다.
2서버들.
3클라이언트들.
4Monitor Mode 인터페이스를 가진 Security Gateway.
5이 Security Gateway를 관리하는 Security Management Server.

Monitor Mode에서 지원되는 Software Blade

단일 Security Gateway 배포에서 각 Software Blade가 Monitor Mode를 얼마나 지원하는지 정리한 표입니다.

Software BladeMonitor Mode 지원
FirewallMonitor Mode를 완전히 지원합니다.
IPS다음 보호·기능이 동작하지 않습니다 — SYN Attack 보호(SYNDefender), ISN(Initial Sequence Number) Spoofing 보호, Web Intelligence의 Send error page 동작, 연결 종료에 대한 클라이언트·서버 알림.
Application ControlUserCheck를 지원하지 않습니다.
URL FilteringUserCheck를 지원하지 않습니다.
Data Loss Prevention다음을 지원하지 않습니다 — UserCheck, Prevent·Ask User 동작(자동으로 Inform User 로 강등됨), FTP inspection.
Identity AwarenessCaptive Portal, Identity Agent를 지원하지 않습니다.
Threat EmulationEmulation Connection의 Prevent Handling Mode 중 "Background"와 "Hold"를 지원하지 않습니다(sk106119 참고). FTP inspection도 지원하지 않습니다.
Content AwarenessFTP inspection을 지원하지 않습니다.
Anti-BotMonitor Mode를 완전히 지원합니다.
Anti-VirusFTP inspection을 지원하지 않습니다.
IPsec VPNMonitor Mode를 지원하지 않습니다.
Mobile AccessMonitor Mode를 지원하지 않습니다.
Anti-Spam & Email SecurityMonitor Mode를 지원하지 않습니다.
QoSMonitor Mode를 지원하지 않습니다.

Monitor Mode의 제약

다음 기능·배포는 Monitor Mode에서 지원되지 않습니다.

  • Monitor Mode 인터페이스를 구성한 Security Gateway로 운영 트래픽을 통과시키는 것.
  • 한 게이트웨이에 Monitor Mode 인터페이스를 둘 이상 둘 때, 서로 다른 Monitor Mode 인터페이스가 같은 트래픽을 받지 않도록 반드시 보장해야 합니다.
  • HTTPS Inspection.
  • NAT 규칙.
  • HTTP / HTTPS proxy.
  • Traditional Mode의 Anti-Virus.
  • User Authentication, Client Authentication.
  • Check Point Active Streaming(CPAS).
  • Cluster 배포.
  • CloudGuard Gateway.
  • CoreXL Dynamic Dispatcher(sk105261).
  • fw ctl set int 명령으로 커널 파라미터 psl_tap_enable·fw_tap_enable동작 중(on-the-fly)에 1로 바꾸는 것(Issue ID 02386641).

단일 Security Gateway를 Monitor Mode로 구성하기

1. Security Gateway 설치

단계내용
1Gaia 운영체제를 설치합니다(Appliance 설치 / Open Server 설치).
2"Configuring Gaia for the First Time"(최초 구성 마법사)을 따릅니다.
3First Time Configuration Wizard에서 아래 설정을 반드시 지정합니다(다음 표 참고).

최초 구성 마법사에서의 설정입니다.

  • Management Connection 창 — Gaia 운영체제에 접속할 인터페이스를 선택합니다.
  • Internet Connection 창 — IP 주소를 구성하지 않 습니다.
  • Installation Type 창 — Security Gateway and/or Security Management 를 선택합니다.
  • Products 창 — Products 섹션에서 Security Gateway 만 선택하고, Clustering 섹션에서 Unit is a part of a cluster해제 합니다.
  • Dynamically Assigned IP 창 — No 를 선택합니다.
  • Secure Internal Communication 창 — 사용할 Activation Key(4~127자)를 입력합니다.

2. 해당 인터페이스에 Monitor Mode 구성

Monitor Mode는 Gaia Portal 또는 Gaia Clish 에서 인터페이스에 설정할 수 있습니다.

Gaia Portal에서 구성

단계내용
1웹 브라우저로 Gaia Portal에 접속합니다 — https://<Gaia 관리 인터페이스 IP>. 기본 포트(443)를 바꿨다면 포트도 함께 입력합니다(https://<IP>:<Port>).
2왼쪽 트리에서 Network Management > Network Interfaces 를 클릭합니다.
3해당 물리 인터페이스를 선택하고 Edit 를 클릭합니다.
4Enable 옵션을 선택해 인터페이스 상태를 UP으로 만듭니다.
5Comment 필드에 설명(최대 100자)을 입력합니다.
6IPv4 탭에서 Use the following IPv4 address 를 선택하되, IPv4 주소는 입력하지 않 습니다.
7IPv6 탭에서 Use the following IPv6 address 를 선택하되, IPv6 주소는 입력하지 않 습니다.
8Ethernet 탭에서 아래 설정 후 Monitor Mode 를 선택합니다.
9OK 를 클릭합니다.

Ethernet 탭에서 다룰 항목은 다음과 같습니다.

  • Auto Negotiation 을 선택하거나, 링크 속도·duplex를 직접 고릅니다.
  • Hardware Address 필드에 하드웨어 MAC 주소를 입력합니다(NIC에서 자동으로 받아오지 못한 경우).
  • MTU 필드에 MTU 값을 입력합니다(최솟값 68, 최댓값 16000, 기본값 1500).
  • Monitor Mode 를 선택합니다.

Gaia Clish에서 구성

게이트웨이 명령줄에 접속해 Gaia Clish에 로그인한 뒤, 먼저 인터페이스 상태를 확인하고 IP 주소가 있으면 제거합니다.

show interface <물리 인터페이스 이름>

IPv4·IPv6 주소를 제거합니다(있는 경우).

delete interface <물리 인터페이스 이름> ipv4-address
delete interface <물리 인터페이스 이름> ipv6-address

물리 인터페이스에 Monitor Mode를 켜고, 필요한 다른 설정을 적용한 뒤 상태를 다시 확인하고 저장합니다.

set interface <물리 인터페이스 이름> monitor-mode on
set interface <물리 인터페이스 이름> ...
show interface <물리 인터페이스 이름>
save config

3. SmartConsole에서 Security Gateway 오브젝트 구성

SmartConsole에서 게이트웨이 오브젝트는 Wizard Mode 또는 Classic Mode 로 만들 수 있습니다.

Wizard Mode로 구성

  1. 이 게이트웨이를 관리할 Security Management Server(또는 Domain Management Server)에 SmartConsole로 접속합니다.
  2. 왼쪽 패널에서 Gateways & Servers 를 클릭합니다.
  3. 새 Security Gateway 오브젝트를 만듭니다(상단 툴바 New > Gateway, 또는 Objects menu > More object types > Network Object > Gateways and Servers > New Gateway, 또는 Objects Pane > New > More > ... > Gateway).
  4. Check Point Security Gateway Creation 창에서 Wizard Mode 를 클릭합니다.
  5. General Properties 페이지 — Gateway name 에 이름을, Gateway platform 에 하드웨어 종류를 입력하고, Gateway IP address 에서 Static IP address 를 골라 최초 구성 마법사의 Management Connection에서 지정한 것과 동일한 IPv4·IPv6 주소를 넣습니다(관리 서버가 이 주소로 접속 가능해야 함). Next.
  6. Trusted Communication 페이지 — Initiate trusted communication now 를 골랐다면 최초 구성 때와 동일한 Activation Key를 입력하고, Skip and initiate trusted communication later 를 골랐다면 7단계를 따릅니다. Next.
  7. End 페이지 — 요약을 확인하고 Edit Gateway properties for further configuration 을 선택한 뒤 Finish 를 클릭하면 게이트웨이 속성 창이 General Properties 페이지로 열립니다.
  8. 마법사에서 Skip and initiate trusted communication later 를 골랐다면 — Secure Internal Communication 필드가 Uninitialized 로 보입니다. Communication 을 클릭하고, Platform 필드에서 Check Point 3000 이상 모델 및 Open Server 모두 Open server / Appliance 를 선택합니다. 최초 구성 때와 동일한 Activation Key를 입력하고 Initialize 를 누른 뒤 Certificate state가 Established 로 바뀌는지 확인하고 OK.
  9. Network Security 탭에서 Firewall Software Blade 하나만 켭니다.
  10. Network Management 페이지에서 Get Interfaces > Get Interfaces With Topology 를 클릭하고 인터페이스 정보를 확인합니다.
  11. Monitor Mode 인터페이스를 선택해 Edit 한 뒤 — General 페이지의 General 섹션에 임의의 IPv4 주소 를 넣고, Topology 섹션에서 ModifyLeads ToNot defined (Internal), Security ZoneAccording to topology: Internal Zone 으로 설정하고 OK로 닫습니다.
  12. OK 를 클릭합니다.
  13. SmartConsole 세션을 Publish 합니다.
  14. 이제 이 게이트웨이 오브젝트는 보안 정책을 받을 준비가 되었습니다.

Classic Mode로 구성

  1. 관리 서버에 SmartConsole로 접속하고 Gateways & Servers 에서 새 Gateway 오브젝트를 만든 뒤, Check Point Security Gateway Creation 창에서 Classic Mode 를 클릭합니다(게이트웨이 속성 창이 General Properties로 열림).
  2. Name 에 이름을 입력합니다.
  3. IPv4 address·IPv6 address 필드에 최초 구성 마법사의 Management Connection과 동일한 주소를 입력합니다.
  4. SIC(Secure Internal Communication) 를 수립합니다 — Secure Internal Communication 옆 Communication 클릭, Platform에서 Open server / Appliance 선택, 동일한 Activation Key 입력 후 Initialize, OK.
  5. Certificate state가 Established 가 아니면 — 게이트웨이 명령줄에 접속해 관리 서버와 물리적 연결(ping 등)을 확인하고 cpconfig 실행 후 Secure Internal Communication 옵션 번호를 골라 화면 안내대로 Activation Key를 바꿉니다. 이어 SmartConsole에서 Reset → 동일 Key 입력 → Initialize.
  6. Platform 섹션 — Hardware는 Appliance면 해당 시리즈, Open Server면 Open server; Version은 R82; OS는 Gaia.
  7. Network Security 탭에서 Firewall Blade 하나만 켭니다.
  8. Network Management 페이지에서 Get Interfaces > Get Interfaces With Topology 클릭 후 정보를 확인합니다.
  9. Monitor Mode 인터페이스를 Edit 해서 임의 IPv4 주소를 넣고, Topology를 Not defined (Internal) / According to topology: Internal Zone 으로 설정합니다.
  10. OK → 세션 Publish. 이제 정책을 받을 준비가 됩니다.

cpconfig에서 SIC를 다시 설정할 때 입력하는 옵션입니다.

cpconfig
Secure Internal Communication

4. 순서가 뒤바뀐 패킷을 처리하도록 게이트웨이 구성

Mirror/SPAN 포트로는 TCP [SYN]보다 [SYN-ACK]가 먼저 도착하는 등 패킷이 비정상적인 순서로 들어올 수 있습니다. 이를 대비해 PSL(Passive Streaming Layer) Tap ModeFirewall Tap Mode 를 켭니다.

게이트웨이 Expert 모드에서 먼저 $FWDIR/boot/modules/fwkern.conf 를 수정합니다. 백업(없으면 생성)하고 편집합니다.

cp -v $FWDIR/boot/modules/fwkern.conf{,_BKP}
touch $FWDIR/boot/modules/fwkern.conf
vi $FWDIR/boot/modules/fwkern.conf

다음 두 줄을 추가합니다.

fw_tap_enable=1

이어 $PPKDIR/conf/simkern.conf 를 백업(없으면 생성)·편집합니다.

cp -v $PPKDIR/conf/simkern.conf{,_BKP}
touch $PPKDIR/conf/simkern.conf
vi $PPKDIR/conf/simkern.conf

다음 한 줄을 추가하고 저장 후 종료합니다.

fw_tap_enable=1

게이트웨이를 재부팅한 뒤, 새 구성이 적재됐는지 확인합니다.

fw ctl get int psl_tap_enable
fw ctl get int fw_tap_enable

각각 psl_tap_enable = 1, fw_tap_enable = 1 이 나와야 합니다.

5. SmartConsole에서 필요한 Global Properties 구성

Monitor Mode 트래픽은 게이트웨이를 실제로 통과하지 않 으므로, 상태(state) 정보가 기록되지 않습니다. 그래서 out-of-state로 드롭되지 않도록 전역 설정을 조정해야 합니다.

  1. 관리 서버에 SmartConsole로 접속합니다.
  2. 좌상단 Menu > Global properties 를 클릭합니다.
  3. Stateful Inspection 창에서 — Default Session TimeoutsTCP session timeout 을 기본 3600초에서 60초 로, TCP end timeout 을 기본 20초에서 5초 로 바꾸고, Out of state packets 섹션의 모든 체크박스를 해제 합니다(해제하지 않으면 트래픽이 out of state로 드롭됨).
  4. Advanced 페이지 > Configure 버튼 → FireWall-1 > Stateful Inspection 에서 reject_x11_in_any 를 해제하고 OK.
  5. OK 로 Global Properties를 닫습니다.
  6. 세션을 Publish 합니다.

6. SmartConsole에서 필요한 Access Control 정책 구성

  1. 관리 서버에 SmartConsole로 접속합니다.
  2. Security Policies 를 클릭합니다.
  3. 새 정책을 만들고 레이어를 구성합니다(상단 + 탭 또는 CTRL+T → Manage policies and layers 에서 새 정책 생성 → Close → 새 정책 선택).
  4. 모든 트래픽을 허용 하는 Access Control 규칙을 만듭니다.
NoNameSourceDestinationVPNServices & ApplicationsActionTrackInstall On
1Accept All*Any*AnyAny*AnyAcceptLogMonitor Mode의 Security Gateway 오브젝트
  1. Best Practice — 가장 흔한 TCP 연결에 Aggressive Aging 을 권장합니다. Objects menu > Object ExplorerServices 에서 TCP를 열고, 이 네트워크에서 가장 흔한 TCP 서비스를 검색해 더블클릭한 뒤 Advanced 에서 Override default settings(Domain Management Server에서는 Override global domain settings)와 Match for 'Any' 를 선택하고, Aggressive aging 섹션에서 Enable aggressive aging + Specific60 을 입력하고 OK합니다.
  2. 세션을 Publish 합니다.
  3. 이 Security Gateway 오브젝트에 Access Control Policy 를 설치합니다.

7. Software Blade용 Monitor Mode가 켜졌는지 확인

게이트웨이 Expert 모드에서, 설치된 정책에 fw_span_port_mode 파라미터가 들어갔는지 확인합니다.

grep -A 3 -r fw_span_port_mode $FWDIR/state/local/*

반환 결과에 다음이 나와야 합니다.

:val (true)

8. 게이트웨이를 스위치에 연결

게이트웨이의 Monitor Mode 인터페이스를 스위치의 mirror/SPAN 포트에 연결합니다. 더 자세한 내용은 R82 Gaia Administration Guide, R82 Security Management Administration Guide를 참고하세요.

단일 VSX Gateway를 Monitor Mode로 구성하기

VSX Gateway에도 Monitor Mode를 구성할 수 있습니다. 큰 흐름은 단일 게이트웨이와 같되, VSX 특유의 단계(Virtual System 구성, Anti-Spoofing 해제 등)가 더해집니다.

1. VSX Gateway 설치

Gaia OS 설치 → 최초 구성 마법사 진행은 단일 게이트웨이와 동일합니다. 마법사에서 Internet Connection 은 IP를 구성하지 않고, Products 는 Security Gateway만 + Clustering 해제, Dynamically Assigned IP 는 No, Secure Internal Communication 에 Activation Key(4~127자)를 입력합니다.

2. 해당 인터페이스에 Monitor Mode 구성

Gaia Portal·Gaia Clish 절차는 단일 Security Gateway와 동일 합니다(앞의 표·명령 참고). Portal에서는 인터페이스를 Enable하고 IPv4/IPv6 주소를 비운 채 Ethernet 탭에서 Monitor Mode 를 선택하며, Clish에서는 IP 주소 제거 후 set interface <이름> monitor-mode onsave config 를 실행합니다.

3. 순서가 뒤바뀐 패킷을 처리하도록 VSX Gateway 구성

$FWDIR/boot/modules/fwkern.confpsl_tap_enable=1·fw_tap_enable=1 을, $PPKDIR/conf/simkern.conffw_tap_enable=1 을 추가하는 절차도 단일 게이트웨이와 동일합니다. 재부팅 후 fw ctl get int psl_tap_enable·fw ctl get int fw_tap_enable 로 각각 값이 1인지 확인합니다(참고 사항도 위와 같습니다 — 순서가 뒤바뀐 패킷 처리, 초기 10~30분 개선, 분리된 TX/RX 큐 환경 필수, 동작 중 즉시 변경 불가).

4. SmartConsole에서 VSX Gateway 오브젝트 구성

  1. 관리 서버(또는 Main Domain Management Server)에 SmartConsole로 접속하고 Gateways & Servers 에서 New > VSX > Gateway 로 새 VSX Gateway 오브젝트를 만듭니다(VSX Gateway Wizard가 열림).
  2. VSX Gateway General Properties — 이름, 최초 구성 마법사와 동일한 IPv4·IPv6 주소, Version은 R82 를 입력하고 Next.
  3. Secure Internal Communication 페이지 — Activation Key를 두 번 입력하고 InitializeNext.
  4. Trust State가 Trust established 가 아니면 — VSX Gateway 명령줄에서 물리 연결을 확인하고 cpconfigSecure Internal Communication 으로 Key를 바꾼 뒤, SmartConsole에서 Reset → 동일 Key → Initialize.
  5. Physical Interfaces Usage 페이지 — 모든 물리 인터페이스가 보이는지 확인하고, 한 물리 인터페이스에 여러 Virtual System을 직접 연결할 계획이면 그 인터페이스에 VLAN Trunk 를 선택합니다. Next.
  6. Virtual Network Device Configuration 페이지 — 첫 Virtual Network Device(Virtual Switch/Virtual Router)를 지금 만들 수도 있으나 나중에 만드는 것을 권장 합니다. Next.
  7. VSX Gateway Management 페이지 — 기본 접근 규칙을 확인·선택하고 필요하면 source 오브젝트를 구성합니다. Next.
  8. VSX Gateway Creation Finalization 페이지 — Finish 후 완료를 기다리고, View Report 로 결과를 확인한 뒤 Close.

오브젝트 생성 전후로 VSX 구성을 점검하고, 기본 정책을 설치합니다. 명령줄 Expert 모드에서 다음을 실행합니다.

vsx stat -v

기본 정책 설치는 Install Policy → Policy 필드에서 <VSX Gateway 오브젝트 이름>_VSX 를 선택 → Install 입니다. SIC를 다시 설정할 때는 cpconfig 에서 Secure Internal Communication 옵션을 사용합니다.

5. SmartConsole에서 Virtual System(및 기타 Virtual Device) 구성

  1. 각 Virtual Device를 관리할 관리 서버(또는 Target Domain Management Server)에 접속합니다.
  2. 이 VSX Gateway에 Virtual System(및 기타 Virtual Device)을 구성합니다. Monitor Mode 인터페이스에는 일반 인터페이스를 추가 하고, IPv4 Configuration 섹션에 임의의 IPv4 주소 를 넣습니다(기존 주소와 충돌 금지).
  3. 명령줄 Expert 모드에서 vsx stat -v 로 구성을 점검합니다.
  4. Monitor Mode 인터페이스에서 Anti-Spoofing 을 비활성화 합니다 — Virtual System 오브젝트를 열고 Topology 페이지에서 해당 인터페이스를 Edit, General 탭의 Security ZoneNone 으로, Topology 탭에서 Internal (leads to the local network) + Not Defined 인지 확인하고, Anti-Spoofing 섹션의 Perform Anti-Spoofing based on interface topology해제 합니다. OK로 창들을 닫으면 관리 서버가 VSX 구성을 푸시합니다.

6. SmartConsole에서 Virtual System용 Global Properties 구성

단일 게이트웨이의 5단계와 동일합니다. Stateful Inspection 에서 TCP session timeout을 60초, TCP end timeout을 5초로 바꾸고 Out of state packets 의 모든 체크박스를 해제하며(해제하지 않으면 Virtual System이 out of state로 드롭함), Advanced > FireWall-1 > Stateful Inspection 에서 reject_x11_in_any 를 해제합니다. OK 후 Publish.

7. SmartConsole에서 Virtual System용 Access Control 정책 구성

새 정책·레이어를 만들고 모든 트래픽을 허용하는 규칙을 추가합니다.

NoNameSourceDestinationVPNServices & ApplicationsActionTrackInstall On
1Accept All*Any*AnyAny*AnyAcceptLogVirtual System 오브젝트

Best Practice — 단일 게이트웨이와 동일하게 흔한 TCP 서비스에 Aggressive Aging(Specific 60초)을 권장합니다. 그다음 세션을 Publish하고, Virtual System 오브젝트에 Install Policy → 해당 정책 선택 → Install 합니다. 설치 후 vsx stat -v 로 구성을 다시 점검합니다.

8. Software Blade용 Monitor Mode가 켜졌는지 확인

VSX Gateway Expert 모드에서, 설치된 정책에 fw_span_port_mode 가 포함됐는지 확인합니다.

grep -A 3 -r fw_span_port_mode $FWDIR/state/local/*

결과에 :val (true) 가 나와야 합니다.

9. VSX Gateway를 스위치에 연결

Monitor Mode 인터페이스를 스위치의 mirror/SPAN 포트에 연결합니다. 자세한 내용은 R82 Gaia·VSX·Security Management Administration Guide를 참고하세요.

Monitor Mode용 개별 Software Blade 구성

Monitor Mode에서 특정 Blade를 쓸 때의 추가 설정입니다.

Threat Prevention Software Blade

IPS·Anti-Bot·Anti-Virus·Threat Emulation·Threat Extraction 중 하나라도 Monitor Mode 게이트웨이에서 켰다면 아래를 설정합니다.

  1. 관리 서버에 접속해 Security Policies > Threat Prevention 을 엽니다.
  2. 모든 트래픽을 허용 하는 Threat Prevention 규칙을 만듭니다.
Protected ScopeProtection/Site/File/BladeActionTrack
*AnyN/A해당 Threat Prevention ProfileLog / Packet Capture
  1. 해당 Threat Prevention 프로파일을 우클릭 → Edit.
  2. General Policy 페이지 — Blades Activation 에서 해당 Blade를 선택하고, Activation ModeHigh/Medium/Low Confidence 를 모두 Detect 로 설정합니다.
  3. Anti-Virus 페이지 — Protected Scope 에서 Inspect incoming and outgoing files, File Types 에서 Process all file types(선택: Enable deep inspection scanning — 성능 영향), 선택적으로 ArchivesEnable Archive scanning(성능 영향)을 선택합니다.
  4. Threat Emulation > GeneralProtected Scope 에서 Inspect incoming files from the following interfaces 를 고르고 메뉴에서 All 을 선택합니다.
  5. 나머지 Blade 설정을 마치고 OK → 게이트웨이 오브젝트에 Threat Prevention Policy 를 설치합니다.

자세한 내용은 R82 Threat Prevention Administration Guide를 참고하세요.

Application Control 및 URL Filtering

해당 Blade를 켰다면 — 관리 서버에서 Manage & Settings > Blades 로 가서 Application Control & URL Filtering 섹션의 Advanced Settings 를 엽니다.

  • General 페이지 — Fail mode 에서 Allow all requests (fail-open), URL Filtering 에서 Categorize HTTPS websites 선택.
  • Check Point online web service 페이지 — Website categorization mode 에서 Background 선택, Categorize social networking widgets 선택.

OK로 닫고 게이트웨이 오브젝트에 Access Control Policy를 설치합니다(자세한 내용은 R82 Security Management Administration Guide, R82 Quantum Security Gateway Guide).

Data Loss Prevention(DLP)

DLP Blade를 켰다면 — Manage & Settings > BladesData Loss Prevention 섹션에서 Configure in SmartDashboard 를 엽니다.

  1. My Organization 페이지 — Email Addresses or Domains 에 회사 도메인 전체를 넣습니다(서브도메인은 불필요, 예: mydomain.com, mydomain.uk). Networks 에서 Anything behind the internal interfaces of my DLP gateways, Users 에서 All users 를 선택합니다.
  2. Policy 페이지 — Data 열의 사전 정의 데이터 타입을 우클릭 Edit 해 General Properties의 FlagImprove Accuracy 로 설정하고, Customer Names 데이터 타입에는 실제 고객 이름을 추가하길 권장합니다. Action 열은 모두 Detect, Severity 열은 해당 규칙에서 Critical 또는 High 로 설정합니다. 회사에 해당 없는 규칙은 비활성화·삭제하거나 Severity를 낮출 수 있습니다.
  3. Additional Settings > Protocols 페이지 — Email 에서 SMTP (Outgoing Emails), Web 에서 HTTP(HTTPS는 구성하지 않음), File Transfer 에서 FTP는 선택하지 않음.
  4. Launch Menu > File > Update(또는 CTRL+S) 후 SmartDashboard를 닫고, 게이트웨이 오브젝트에 Access Control Policy를 설치합니다.

게이트웨이가 SMTP Mirror Port Mode 를 켰는지 Expert 모드에서 확인합니다.

dlp_smtp_mirror_port status

커널 파라미터 dlp_force_smtp_kernel_inspection 값이 1인지 두 명령으로 확인합니다.

fw ctl get int dlp_force_smtp_kernel_inspection
grep dlp_force_smtp_kernel_inspection $FWDIR/boot/modules/fwkern.conf

자세한 내용은 R82 Data Loss Prevention Administration Guide를 참고하세요.

프록시 서버 뒤의 Monitor Mode 구성

Monitor Mode 게이트웨이와 스위치 사이에 Proxy Server 가 끼어 있으면, 로그에서 Source IP와 Source User 를 보려면 다음을 설정합니다.

  1. 프록시 서버에서 X-Forward-For 헤더 를 구성합니다(해당 프록시 문서 참고).
  2. Monitor Mode 게이트웨이에서 X-Forward-For(XFF) 필드 스트리핑을 활성화합니다(sk100223 참고).

Bridge Mode — IP 구조를 그대로 둔 채 끼워 넣기

기존 네트워크를 IP가 다른 여러 네트워크로 나눌 수 없을 때 Bridge Mode 로 게이트웨이(또는 ClusterXL)를 설치 합니다. Bridge Mode의 게이트웨이는 Layer 3 트래픽에 보이지 않 습니다 — 한 bridge subordinate 인터페이스로 트래픽이 들어오면 게이트웨이(또는 Cluster Member)가 그것을 검사한 뒤 두 번째 subordinate 인터페이스로 넘깁 니다. 즉 라우팅 구조를 다시 짜지 않고도 두 포트 사이에 보안 검사를 끼워 넣는, 두 포트짜리 Layer 2 스위치 같은 셈입니다.

Bridge Mode에서 지원되는 Software Blade

다음 표는 단일 Security Gateway, ClusterXL(스위치 한 대) Active/Active·Active/Standby, ClusterXL(스위치 네 대) 배포에 적용됩니다. 각 칸의 (1)·(2)·(3)은 아래 각주를 가리킵니다.

Software BladeSecurity Gateway (Bridge)ClusterXL (Bridge)VSX Virtual System (Bridge)
Firewall지원지원지원
IPS지원지원지원
URL Filtering지원지원지원
DLP지원지원지원
Anti-Bot지원지원지원
Anti-Virus지원 (1)지원 (1)지원 (1)
Application Control지원지원지원
HTTPS Inspection지원 (2)지원 (2)
Identity Awareness지원 (3)지원 (3)
Threat Emulation — ThreatCloud emulationActive/Active Bridge Mode에서 Yes, Active/Standby Bridge Mode에서 No
Threat Emulation — Local emulation모든 Bridge Mode에서 No
Threat Emulation — Remote emulationActive/Active Bridge Mode에서 Yes, Active/Standby Bridge Mode에서 No
Threat ExtractionActive/Active Bridge Mode에서 Yes, Active/Standby Bridge Mode에서 No
Zero Phishing지원지원지원
UserCheck지원지원지원
QoSsk89581 참고sk89581 참고sk79700 참고
HTTP / HTTPS proxy미지원미지원미지원
Security Servers — SMTP, HTTP, FTP, POP3미지원미지원미지원
Client Authentication미지원미지원미지원
User Authentication미지원미지원미지원
Multi-Portal (Mobile Access Portal, IA Captive Portal, DLP Portal 등)미지원미지원미지원
IPsec VPN미지원미지원미지원
Mobile Access미지원미지원미지원

각주는 다음과 같습니다.

  1. Traditional Mode의 Anti-Virus 는 지원하지 않습니다.
  2. Layer 2의 HTTPS InspectionMAC 주소를 기준으로 한 Man-in-the-Middle 방식으로 동작합니다 — 클라이언트가 MAC 주소 X로 TCP [SYN]을 보내면, 게이트웨이가 TCP [SYN-ACK]를 만들어 MAC 주소 X로 보냅니다. CPAS가 원본 패킷에서 라우팅과 MAC 주소를 가져오므로 Bridge Mode 게이트웨이는 IP 주소가 필요 없 습니다. 다만 인증서 검증(CRL/OCSP 다운로드)을 하려면 최소 한 인터페이스에는 IP 주소가 있어야 합니다. 또한 Probe bypass 는 Bridge Mode에서 문제가 생길 수 있어 권장하지 않 습니다.
  3. Bridge Mode의 Identity AwarenessAD Query 인증만 지원합니다.

Bridge Mode의 제약

하나의 Bridge 인터페이스에는 subordinate 인터페이스를 두 개만 둘 수 있습니다 — 이 Bridge를 두 포트짜리 Layer 2 스위치로 생각하면 됩니다. 각 포트는 물리 인터페이스, VLAN 인터페이스, 또는 Bond 인터페이스가 될 수 있습니다.

Bridge Mode에서 지원되지 않는 것들입니다.

  • ClusterXL에서 Bridge 인터페이스에 IP 주소를 할당 하는 것.
  • NAT 규칙(방화벽 커널 로그에는 accepted로 보이지만 실제로는 전달하지 않음 — sk106146 참고).
  • bridge에 IP 주소가 없을 때 bridged 네트워크에서 Multi-Portal(Mobile Access Portal, IA Captive Portal, DLP Portal 등)에 접근하는 것.
  • Cluster Member가 셋 이상 인 클러스터.
  • Full High Availability Cluster.
  • Active/Active Bridge Mode ClusterXL에서의 비대칭(asymmetric) 트래픽 검사(클라이언트→서버 패킷을 한 Member가, 서버→클라이언트 패킷을 다른 Member가 검사하는 상황 — 이 경우 여러 보안 기능이 동작하지 않음).

단일 Security Gateway를 Bridge Mode로 구성하기

토폴로지 예시

p.604
p.604
번호설명
1관리자가 두 개의 Layer 2 세그먼트로 나누려는 네트워크. Bridge Mode 게이트웨이가 두 세그먼트 사이를 잇습니다.
2첫 번째 네트워크 세그먼트.
3첫 세그먼트를 게이트웨이의 한 bridge subordinate 인터페이스(4)에 연결하는 스위치.
4게이트웨이의 한 bridge subordinate 인터페이스(예: eth1).
5Bridge Mode의 Security Gateway.
6게이트웨이의 다른 bridge subordinate 인터페이스(예: eth2).
7게이트웨이의 전용 Gaia 관리 인터페이스(예: eth0).
8두 번째 세그먼트를 다른 subordinate 인터페이스(6)에 연결하는 스위치.
9두 번째 네트워크 세그먼트.

1. Security Gateway 설치

Gaia OS 설치 → 최초 구성 마법사 진행. 마법사 설정은 Monitor Mode 단일 게이트웨이와 동일합니다 — Management Connection에서 접속 인터페이스 선택, Internet Connection은 IP 미구성, Installation Type은 Security Gateway and/or Security Management, Products는 Security Gateway만 + Clustering 해제, Dynamically Assigned IP는 No, SIC에 Activation Key(4~127자) 입력.

2. Bridge 인터페이스 구성

Bridge 인터페이스는 Gaia Portal 또는 Gaia Clish 에서 만듭니다.

Gaia Portal에서 구성

  1. 왼쪽 트리에서 Network Management > Network Interfaces.
  2. Bridge에 넣을 subordinate 인터페이스에 IP 주소가 없는지 확인합니다.
  3. Add > Bridge 를 클릭합니다(기존 Bridge를 고치려면 선택 후 Edit).
  4. Bridge 탭에서 Bridge Group ID(1~1024의 고유 정수)를 입력·선택합니다.
  5. Available Interfaces 목록에서 인터페이스를 골라 Add 합니다.
  6. IPv4 탭에서 IPv4 주소와 서브넷 마스크를 입력합니다(선택: Obtain IPv4 Address automatically).
  7. 선택 — IPv6 탭에서 Autoconfig / Normal DHCPv6 / Prefix Delegation 자동 취득 중 하나, 또는 Use the following IPv6 address 를 고릅니다.
  8. OK 를 클릭합니다.

5단계의 주의 사항입니다.

  • subordinate 인터페이스에는 IP 주소나 alias가 없어야 합니다.
  • Gaia 관리 인터페이스로 쓰는 인터페이스는 고르지 마세요.
  • Gaia의 Bridge 인터페이스는 subordinate 인터페이스를 두 개만 가질 수 있습니다.

7단계(IPv6)의 중요 사항입니다.

  • 먼저 IPv6 Support를 켜고 재부팅해야 합니다(System Configuration).
  • R82는 Gaia 관리 인터페이스에 IPv6 주소를 지원하지 않 습니다(Known Limitation PMTR-47313).
  • Multi-Domain Security Management Server에서는 별도 절차로 IPv6 주소를 구성합니다.
  • Scalable Platform(ElasticXL, Maestro, Chassis)은 이 기능을 지원하지 않습니다(Known Limitation MBS-3246).

Gaia Clish에서 구성

게이트웨이 명령줄에서 Gaia Clish에 로그인한 뒤, subordinate 인터페이스에 IP가 없는지 확인합니다.

show interface <인터페이스 이름> ipv4-address
show interface <인터페이스 이름> ipv6-address

새 bridging group을 만들고 subordinate 인터페이스 두 개를 추가합니다.

add bridging group <Bridge Group ID 0 - 1024>
add bridging group <Bridge Group ID> interface <첫 번째 subordinate 인터페이스 이름>
add bridging group <Bridge Group ID> interface <두 번째 subordinate 인터페이스 이름>

bridging group에 IP 주소를 할당합니다(IPv4 또는 IPv6, 자동 취득도 가능). IPv6는 먼저 IPv6 Support를 켜고 재부팅해야 합니다.

set interface <Bridge 인터페이스 이름> ipv4-address <IPv4 주소> {subnet-mask <마스크> | mask-length <마스크 길이>}
set interface <Bridge 인터페이스 이름> ipv6-address <IPv6 주소> mask-length <마스크 길이>

마지막으로 저장합니다.

save config

3. SmartConsole에서 Security Gateway 오브젝트 구성

Wizard Mode 또는 Classic Mode로 만듭니다. SIC 수립·Platform·Trust 단계는 Monitor Mode와 동일하며, Bridge에 특화된 차이 는 Software Blade 선택과 Topology입니다.

Wizard Mode — General Properties(이름·platform·Static IP)와 Trusted Communication, End 페이지를 거쳐 게이트웨이 속성을 엽니다. 그다음 General PropertiesNetwork Security 탭과 Threat Prevention 탭에서 필요한 Blade를 켜고, Network Management 페이지에서 Bridge 인터페이스의 Topology 를 구성합니다. OK → Publish.

Classic Mode — Name·IPv4/IPv6 입력 → SIC 수립(필요 시 cpconfig 의 Secure Internal Communication으로 Key 재설정 후 Reset/Initialize) → Platform(Hardware/Version R82/OS Gaia) → Network Security·Threat Prevention 탭에서 Blade 활성화 → Network Management에서 Bridge Topology 구성 → OK → Publish.

4. SmartConsole에서 보안 정책 구성

관리 서버에 접속해 Security Policies 에서 새 정책·레이어를 만들고, Access Control과 Threat Prevention 정책에 필요한 규칙을 만듭니다(앞의 지원·제약 표 확인). 그다음 게이트웨이 오브젝트에 Access Control PolicyThreat Prevention Policy 를 각각 설치합니다. 자세한 내용은 R82 Gaia·Security Management Administration Guide와 R82 Home Page의 해당 가이드를 참고하세요.

ClusterXL을 Bridge Mode로 구성하기

ClusterXL은 다음 배포로 Bridge Mode를 구성할 수 있습니다.

Bridge Mode지원 스위치 수
Active/Standby Bridge Mode두 대만
Active/Active Bridge Mode두 대 또는 네 대

Active/Standby — 스위치 두 대

토폴로지 예시(스위치 두 대)

p.616
p.616
번호설명
1두 Layer 2 세그먼트로 나누려는 네트워크. ClusterXL이 사이를 잇습니다.
2첫 번째 네트워크 세그먼트.
3첫 세그먼트를 한 bridge subordinate 인터페이스(4)에 연결하는 스위치.
4Cluster Member의 한 bridge subordinate 인터페이스(예: eth1).
5Cluster Member의 전용 Gaia 관리 인터페이스(예: eth0).
6첫 번째 Cluster Member(예: Active 상태).
7전용 동기화 인터페이스(예: eth3)를 잇는 네트워크.
8두 번째 Cluster Member(예: Standby 상태).
9Cluster Member의 다른 bridge subordinate 인터페이스(예: eth2).
10두 번째 세그먼트를 다른 subordinate 인터페이스(9)에 연결하는 스위치.
11두 번째 네트워크 세그먼트.

1. 두 Cluster Member 설치 — Gaia OS 설치 → 최초 구성 마법사. Installation Type은 Security Gateway and/or Security Management, Products는 Security Gateway만, Clustering 섹션에서 Unit is a part of a clusterClusterXL 두 가지를 선택, SIC에 Activation Key 입력.

2. SmartConsole에서 High Availability ClusterXL 오브젝트 구성 — Wizard 또는 Classic Mode로 진행합니다.

Wizard Mode 큰 흐름은 다음과 같습니다.

  1. 관리 서버에 접속 → Gateways & ServersNew > Cluster > ClusterWizard Mode.
  2. Cluster General Properties — Cluster Name, 주 Virtual IPv4/IPv6 주소 입력, Choose the Cluster's Solution 에서 Check Point ClusterXL and High Availability 선택 → Next.
  3. Cluster members' propertiesAdd > New Cluster Member 로 각 Member의 이름·물리 IP(최초 구성 때와 동일)·Activation Key를 넣고 Initialize → OK, 두 번째 Member도 반복. Trust State가 Trust established 가 아니면 cpconfig 의 Secure Internal Communication으로 Key 재설정 후 Reset/Initialize.
  4. Cluster Topology — 트래픽 인터페이스는 Representing a cluster interface(Virtual IPv4·Net Mask 지정), 동기화 인터페이스는 Cluster Synchronization + Primary only(클러스터는 동기화 네트워크 하나만 지원), 트래픽을 넘기지 않는 인터페이스는 Private use of each member 선택 → Next.
  5. Wizard Complete — 요약 확인 후 Edit Cluster's Properties → Finish.
  6. General Properties 의 Machine·Platform 섹션에서 이름·IP·Hardware·Version(R82)·OS(Gaia)를 확인·설정하고, Network Security 탭에서 ClusterXL Blade가 켜진지 확인한 뒤 추가 Blade를 켭니다.
  7. Cluster Members 페이지에서 각 Member를 추가하고 Communication 으로 One-time password(=Activation Key)를 넣어 Initialize합니다.
  8. ClusterXL and VRRP 페이지 — High Availability and ClusterXL 선택, Tracking 선택, Advanced Settings에서 선택적으로 Use State Synchronization(권장), Use Virtual MAC(sk50840), Cluster Member recovery method 를 고릅니다.
  9. Network Management 페이지에서 각 인터페이스의 Network Type을 설정합니다(아래 공통 설명 참고).
  10. OK → Publish.

Classic Mode는 마법사 없이 같은 항목(Machine/Platform/Cluster Members/ClusterXL and VRRP/Network Management)을 직접 설정하는 차이만 있고 내용은 동일합니다.

Network Type 설정(공통) — 각 인터페이스를 Edit → General 페이지의 Network Type 을 정합니다.

  • 트래픽 인터페이스는 Cluster(Virtual IPv4·Net Mask 정확히).
  • 동기화 인터페이스는 Sync 또는 Cluster+Sync.
  • 트래픽을 넘기지 않는 인터페이스는 Private.

동기화 인터페이스의 규칙입니다.

  • Cluster+Sync 구성은 권장하지 않 습니다.
  • 클러스터가 지원하는 조합은 — Sync 하나, Cluster+Sync 하나, 또는 Sync 하나 + Cluster+Sync 하나뿐입니다.
  • Appliance·Open Server에서는 동기화 네트워크가 VLAN 인터페이스의 가장 낮은 VLAN 태그에서만 지원됩니다.
  • Member IPs 섹션에서 각 Member의 IPv4·Net Mask가 정확한지 확인합니다. 클라우드 환경의 Geo Cluster(HA)에서는 동기화·트래픽 인터페이스에 서로 다른 네트워크의 IP를 둘 수 있습니다.

Topology 섹션의 규칙입니다.

  • Leads To·Security Zone을 확인하되, cluster 인터페이스에서는 Override > Network defined by routes(기본) 또는 Override > Specific(Network/Network Group 오브젝트 선택)만 지원됩니다(Known Limitation PMTR-70260).
  • 보안 강화를 위해 Anti-Spoofing 을 켭니다.

3. 보안 정책 구성 — 새 정책·레이어를 만들고 Access Control·Threat Prevention 규칙을 작성한 뒤(지원·제약 표 확인) ClusterXL 오브젝트에 각각 설치합니다.

4. 클러스터 구성 점검 — 각 Member 명령줄에서 상태와 인터페이스를 확인합니다.

show cluster state          # Gaia Clish
cphaprob state              # Expert mode

예시 출력입니다.

Member1> show cluster state
Cluster Mode: High Availability (Active Up) with IGMP Membership
ID            Unique Address   Assigned Load   State     Name
1 (local)     11.22.33.245     100%            ACTIVE    Member1
2             11.22.33.246     0%              STANDBY   Member2

인터페이스도 확인합니다.

show cluster members interfaces all     # Gaia Clish
cphaprob -a if                           # Expert mode

5. 두 Member에서 Active/Standby Bridge Mode 활성화 — 각 Member 명령줄에서 cpconfig 를 실행하고 Enable Check Point ClusterXL for Bridge Active/Standby 를 선택해 y 로 확인한 뒤 각 Member를 재부팅 합니다. 그다음 관리 서버에 접속해 이 클러스터 오브젝트에 Access Control Policy를 설치합니다.

cpconfig

6. 클러스터 구성 다시 점검 — 4단계와 같은 명령으로 확인합니다. 이번에는 Bridge Mode가 표시됩니다.

Member1> show cluster state
Cluster Mode: High Availability (Active Up, Bridge Mode) with IGMP Membership
ID            Unique Address   Assigned Load   State     Name
1 (local)     11.22.33.245     100%            ACTIVE    Member1
2             11.22.33.246     0%              STANDBY   Member2

Active/Active — 스위치 두 대 또는 네 대

Cluster Member에 Bridge 인터페이스를 정의하면 Active/Active Bridge Mode가 기본으로 켜집니다.

토폴로지 예시(스위치 두 대) — Active/Standby와 같되 두 Member 모두 Active 상태입니다.

p.633
p.633
번호설명
1두 Layer 2 세그먼트로 나누려는 네트워크.
2첫 번째 세그먼트.
3첫 세그먼트를 subordinate 인터페이스(4)에 연결하는 스위치.
4Cluster Member의 bridge subordinate 인터페이스(예: eth1).
5Cluster Member의 전용 Gaia 관리 인터페이스(예: eth0).
6첫 번째 Cluster Member(Active 상태).
7전용 동기화 인터페이스(예: eth3)를 잇는 네트워크.
8두 번째 Cluster Member(Active 상태).
9Cluster Member의 다른 subordinate 인터페이스(예: eth2).
10두 번째 세그먼트를 연결하는 스위치.
11두 번째 세그먼트.

토폴로지 예시(스위치 네 대)

p.634
p.634
번호설명
1두 Layer 2 세그먼트로 나누려는 네트워크.
2첫 번째 세그먼트.
3첫 세그먼트를 subordinate 인터페이스(6)에 연결하는 스위치.
4첫 세그먼트에 직접 연결된 스위치와 subordinate 인터페이스(6) 사이를 잇는 스위치.
5Cluster Member의 전용 Gaia 관리 인터페이스(예: eth0).
6Cluster Member의 bridge subordinate 인터페이스(예: eth1).
7첫 번째 Cluster Member(Active 상태).
8전용 동기화 인터페이스(예: eth3)를 잇는 네트워크.
9두 번째 Cluster Member(Active 상태).
10Cluster Member의 다른 subordinate 인터페이스(예: eth2).
11두 번째 세그먼트를 subordinate 인터페이스(10)에 연결하는 스위치.
12두 번째 세그먼트에 직접 연결된 스위치와 subordinate 인터페이스(10) 사이를 잇는 스위치.
13두 번째 세그먼트.

1. 두 Cluster Member 설치 — Active/Standby와 동일합니다(Clustering 섹션에서 Unit is a part of a cluster + ClusterXL 선택).

2. 두 Member에 Bridge 인터페이스 구성 — Gaia Portal·Gaia Clish 절차는 단일 게이트웨이의 Bridge 인터페이스 구성과 동일 합니다. 단, Clish에서는 bridging group에 IP 주소를 할당하지 않 습니다(클러스터에서는 Bridge에 IP를 줄 수 없음). 이름 규칙(br<ID>), MTU 규칙, subordinate 두 개 제한, 관리 인터페이스 제외 규칙도 같습니다.

show interface <인터페이스 이름> ipv4-address
show interface <인터페이스 이름> ipv6-address
add bridging group <Bridge Group ID 0 - 1024>
add bridging group <Bridge Group ID> interface <첫 번째 subordinate 인터페이스 이름>
add bridging group <Bridge Group ID> interface <두 번째 subordinate 인터페이스 이름>
save config

3. SmartConsole에서 ClusterXL 오브젝트 구성 — Wizard 또는 Classic Mode. Active/Standby와 거의 같으나, Choose the Cluster's Solution 에서 Check Point ClusterXL 을 고른 뒤 High Availability 또는 Load Sharing 모드를 선택할 수 있고, ClusterXL and VRRP 페이지에서 High Availability and ClusterXL / Load Sharing and Multicast or Unicast / Active-Active 중에서 고릅니다.

선택한 모드별 Advanced Settings 옵션입니다.

  • High Availability 모드 — 선택적으로 Use State Synchronization(권장: failover 후 연결 끊김 방지), Start synchronizing [N] seconds after connection initiation(R80.20+, 범위 2~60초, 기본 3초 — 단명 연결의 동기화를 줄여 성능 향상), Use Virtual MAC(sk50840), 그리고 Cluster Member recovery method 를 고릅니다.
  • Load Sharing > Multicast 모드 — Use Sticky Decision Function(R80.10 이하만), Start synchronizing [N] seconds after ..., 그리고 연결 공유 방식(connection sharing method) 을 선택합니다.
  • Load Sharing > Unicast 모드 — Multicast와 같은 옵션에 더해 Use Virtual MAC 도 고를 수 있고, 마찬가지로 연결 공유 방식을 선택합니다.

Cluster Member recovery method(failover 후 정상 복귀 시 누구를 Active로 둘지)입니다.

방식동작
Maintain current active Cluster Member현재 Active인 Member가 계속 Active로 남고, 복귀하는 다른 Member는 Standby로 둡니다.
Switch to higher priority Cluster Member우선순위가 가장 높은 Member(오브젝트 목록 맨 위)가 새 Active가 되고, 직전 Active는 Standby로 바뀌며, 복귀하는 나머지는 Standby로 둡니다.

연결 공유 방식(connection sharing method) — Load Sharing에서 각 Member가 어떤 연결을 검사할지 정합니다.

방식설명
IPs, Ports, SPIsSource/Destination IP, Source/Destination 포트, IPsec SPI 번호가 모두 같은 연결을 한 Member가 검사. 가장 덜 "sticky" 하고 분배가 가장 고르며, 한 연결이 양방향에서 같은 Member를 거칠 확률을 낮춥니다. 권장 방식 입니다.
IPs, PortsSource/Destination IP와 포트가 같으면(SPI 무관) 한 Member가 검사. IPsec 패킷 분배에 문제가 있을 때만 사용합니다.
IPsSource/Destination IP만 같으면(포트·SPI 무관) 한 Member가 검사. 가장 "sticky" 하고 분배가 가장 나쁘며, 포트가 다르거나 IPsec 패킷 분배에 문제가 있을 때만 사용합니다.

Network Management(Network Type/Sync 규칙/Member IPs/Topology)와 Bridge 인터페이스를 Topology에 넣지 않는다 는 중요 규칙은 Active/Standby와 동일합니다.

4. 보안 정책 구성 — Active/Standby의 3단계와 동일합니다(Access Control·Threat Prevention 작성·설치).

5. 클러스터 구성 점검 — 각 Member에서 상태·인터페이스를 확인합니다. Active/Active이므로 두 Member 모두 ACTIVE, Assigned Load 100%로 보입니다.

show cluster state          # Gaia Clish
cphaprob state              # Expert mode
Member1> show cluster state
Cluster Mode: High Availability (Active Up, Bridge Mode) with IGMP Membership
ID            Unique Address   Assigned Load   State     Name
1 (local)     11.22.33.245     100%            ACTIVE    Member1
2             11.22.33.246     100%            ACTIVE    Member2

추가로, MILS(Monitoring of the Interface Link State) 기능을 켜는 커널 파라미터 fwha_monitor_if_link_state 값이 1(기본)인지 확인합니다.

fw ctl get int fwha_monitor_if_link_state

1이 아니면 즉시 1로 설정하고 값을 다시 확인합니다.

fw ctl set int fwha_monitor_if_link_state 1

또한 이 파라미터가 영구 설정 파일에 잘못 들어가 있지 않은지 확인하고, 있으면 해당 줄 전체를 삭제합니다.

grep fwha_monitor_if_link_state $FWDIR/boot/modules/fwkern.conf
vi $FWDIR/boot/modules/fwkern.conf

특정 프로토콜의 Ethernet 프레임 허용·차단

Bridge Mode의 게이트웨이·클러스터·Scalable Platform Security Group은 기본적으로 IPv4(0x0800)·IPv6(0x86DD)·ARP(0x0806) 이외의 프로토콜을 실은 Ethernet 프레임도 허용합니다. 관리자는 이를 특정 프로토콜에 대해 허용·차단하도록 바꿀 수 있습니다.

Access Mode VLAN(VLAN translation) 이 구성되면, BPDU 프레임이 Bridge 인터페이스를 통해 잘못된 VLAN 번호로 스위치 포트에 도착할 수 있고, 이 불일치로 스위치 포트가 blocking 모드에 빠질 수 있습니다. Active/Standby Bridge Mode에서만 BPDU forwarding을 꺼서 이를 피할 수 있습니다.

게이트웨이·각 Cluster Member·Security Group의 Expert 모드에서 /etc/rc.d/init.d/network 파일을 백업합니다.

cp -v /etc/rc.d/init.d/network{,_BKP}        # 게이트웨이/각 Cluster Member
g_cp -v /etc/rc.d/init.d/network{,_BKP}      # Scalable Platform Security Group

파일을 편집해, ./etc/init.d/functions 줄 다음에 한 줄을 추가합니다.

vi /etc/rc.d/init.d/network
/sbin/sysctl -w net.bridge.bpdu_forwarding=0

저장 후, Scalable Platform이라면 수정 파일을 다른 Member에 복사합니다.

asg_cp2blades -b all /etc/rc.d/init.d/network

재부팅합니다.

reboot          # 게이트웨이/각 Cluster Member
g_reboot -a     # Scalable Platform Security Group

새 구성이 적재됐는지 확인합니다.

sysctl net.bridge.bpdu_forwarding                 # 게이트웨이/각 Cluster Member
g_all sysctl net.bridge.bpdu_forwarding           # Scalable Platform Security Group

다음이 나와야 합니다.

net.bridge.bpdu_forwarding = 0

라우팅과 Bridge 인터페이스

Bridge 인터페이스를 가진 Security Gateway는 bridge가 아닌 인터페이스에서 Layer 3 라우팅을 지원 할 수 있습니다. 게이트웨이(클러스터 아님) 의 Bridge 인터페이스에 IP 주소를 주면, 그 Bridge 인터페이스는 일반 Layer 3 인터페이스처럼 동작하며 게이트웨이의 IP 라우팅 결정에 참여합니다.

규칙은 다음과 같습니다.

  • 클러스터 배포는 이 구성을 지원하지 않 습니다.
  • Bridge 인터페이스를 route의 nexthop 게이트웨이로 지정할 수 없 습니다.
  • 게이트웨이는 여러 Bridge 인터페이스를 둘 수 있지만 IP 주소를 가질 수 있는 Bridge 인터페이스는 하나뿐 입니다.
  • 게이트웨이는 이미 Bridge 인터페이스에서 검사한 패킷을 다시 필터·전송하지 않 습니다(이중 검사 방지).

Bridge 인터페이스를 통한 게이트웨이 관리

토폴로지 예시

p.669
p.669
번호설명
1Security Management Server
2라우터
3게이트웨이의 Bridge 인터페이스
4Security Gateway
5게이트웨이의 일반 트래픽 인터페이스
6게이트웨이의 일반 트래픽 인터페이스

패킷 흐름 — 이대로 두면 마지막에 재전송으로 오인되어 드롭 되는 문제가 있습니다.

  1. 관리 서버가 게이트웨이의 관리 인터페이스로 관리 패킷을 보냅니다(이 관리 인터페이스가 Bridge 인터페이스로 구성됨).
  2. 게이트웨이가 Bridge 인터페이스의 첫 subordinate 인터페이스에서 첫 관리 패킷을 검사합니다.
  3. 검사한 패킷을 Bridge의 두 번째 subordinate 인터페이스로 라우터에 전달합니다.
  4. 라우터가 그 패킷을 Bridge의 첫 subordinate 인터페이스로 되돌려 보냅니다.
  5. 게이트웨이가 이 패킷을 재전송으로 판단하고 드롭 합니다.

해결 절차 — Bridge 인터페이스에서 패킷을 재라우팅하도록, 커널 파라미터 fwx_bridge_reroute_enabled 값을 1로 설정합니다. 그러면 게이트웨이는 관리 인터페이스를 떠나 Bridge 인터페이스로 들어오는 패킷의 MD5 해시가 같은지 확인하고, 그 연결의 나머지 패킷은 라우터를 거치지 않고 Bridge 인터페이스가 직접 처리합니다.

게이트웨이 Expert 모드에서 $FWDIR/boot/modules/fwkern.conf 를 백업(없으면 생성)·편집하고 한 줄을 추가합니다.

cp -v $FWDIR/boot/modules/fwkern.conf{,_BKP}
touch $FWDIR/boot/modules/fwkern.conf
vi $FWDIR/boot/modules/fwkern.conf
fwx_bridge_reroute_enabled=1

즉시 적용하고 값을 확인합니다.

fw ctl set int fwx_bridge_reroute_enabled 1
fw ctl get int fwx_bridge_reroute_enabled

fwx_bridge_reroute_enabled = 1 이 나와야 합니다. 가능할 때 게이트웨이를 재부팅하고, 재부팅 후 같은 명령으로 다시 값을 확인합니다.

IPv6 Neighbor Discovery

Neighbor discovery는 IPv4의 ARP에 해당 하는 ICMPv6 Neighbor Discovery 프로토콜로 동작합니다. 그런데 ARP 트래픽은 Layer 2 전용이라 Rule Base와 무관하게 허용되는 반면, ICMPv6 Neighbor Discovery는 모든 bridged 네트워크에 대해 Access Control Rule Base에서 명시적으로 허용 해야 합니다.

ICMPv6 Neighbor Discovery를 허용하는 명시적 규칙 예시입니다.

NameSourceDestinationVPNServices & ApplicationsActionTrackInstall On
IPv6 Neighbor DiscoveryBridged 네트워크를 나타내는 Network 오브젝트Bridged 네트워크를 나타내는 Network 오브젝트Anyneighbor-advertisement, neighbor-solicitation, router-advertisement, router-solicitation, redirect6AcceptLogPolicy Targets

Ethernet 프로토콜 관리

Bridge 인터페이스를 가진 게이트웨이에서, IP 기반이 아닌 프로토콜(IPv4·IPv6·ARP가 아닌 것)이 bridge 인터페이스를 지날 때 허용·드롭할지 구성할 수 있습니다. 기본적으로 이런 프로토콜은 허용 됩니다.

비-IP 프레임이 허용되는 조건입니다.

  • 게이트웨이의 커널 파라미터 fwaccept_unknown_protocol 값이 1이거나(모든 프레임 허용),
  • 또는 관리 서버의 해당 user.def 파일에서 그 프로토콜이 allowed_ethernet_protocols 테이블에 정의되어 있고,
  • 그리고 그 프로토콜이 dropped_ethernet_protocols 테이블에는 정의되어 있지 않을 때.

IPv4·IPv6·ARP가 아닌 특정 프로토콜만 허용 하도록 구성하려면 다음을 따릅니다.

1단계 — 게이트웨이에서 fwaccept_unknown_protocol 을 0으로 설정합니다.

게이트웨이 Expert 모드에서 $FWDIR/boot/modules/fwkern.conf 를 백업·편집하고 한 줄을 추가(공백·주석 불가)한 뒤 게이트웨이를 재부팅합니다.

cp -v $FWDIR/boot/modules/fwkern.conf{,_BKP}
vi $FWDIR/boot/modules/fwkern.conf
fwaccept_unknown_protocol=0

지금 재부팅할 수 없다면 즉시 적용하고 확인합니다.

fw ctl set int fwaccept_unknown_protocol 0
fw ctl get int fwaccept_unknown_protocol

2단계 — 관리 서버에서 해당 user.def 파일을 편집 합니다.

파일을 백업·편집해 다음 directive를 추가합니다.

  • allowed_ethernet_protocols — 허용할 프로토콜의 EtherType 번호(16진수).
  • dropped_ethernet_protocols — 드롭할 프로토콜의 EtherType 번호(16진수).

예시입니다.

$ifndef __user_def__
$define __user_def__
\\
\\ User defined INSPECT code
\\
allowed_ethernet_protocols={ <0x0800,0x86DD,0x0806>);
dropped_ethernet_protocols={ <0x8137,0x8847,0x9100>);
endif /*__user_def__*/

EtherType 번호 목록은 http://standards-oui.ieee.org/ethertype/eth.csv 를 참고합니다. 파일을 저장한 뒤,

3단계 — SmartConsole에서 이 게이트웨이 오브젝트에 Access Control Policy를 설치합니다.

Link State Propagation(LSP) 구성

Security Gateway 또는 ClusterXL Member로 동작하는 Check Point Appliance에서, Expansion Line Card물리 포트 두 개를 Bridge Mode로 묶을 수 있습니다. 한쪽 bridged subordinate 포트의 링크가 내려가면 반대쪽 포트도 함께 내려가 므로, 스위치가 bridge 반대편(또는 네트워크 다른 부분)의 링크 장애를 더 빨리 감지·대응합니다. 이것이 LSP의 핵심입니다.

LSP를 지원하는 Expansion Line Card입니다.

Line Card SKU설명Driver
CPAC-4-1C4 Port 10/100/1000 Base-T Ethernet (RJ45) interface cardIGB
CPAC-8-1C8 Port 10/100/1000 Base-T Ethernet (RJ45) interface cardIGB
CPAC-4-1F4 Port 1000 Base-F Fiber (SFP) interface cardIGB
CPAC-4-10F4 Port 10G Base-F Fiber (SFP+) interface cardIXGBE

LSP는 두 모드로 구성합니다.

LSP 모드설명
Automatic port detection and port pair creation게이트웨이·Cluster Member가 모든 bridged 포트를 포트 쌍에 자동 배정 합니다.
Manual port pair creationbridged 포트의 포트 쌍 배정을 수동으로 구성합니다.

자동 포트 감지로 LSP 구성 — 게이트웨이(또는 각 Member) Expert 모드에서 $FWDIR/boot/modules/fwkern.conf 를 백업(없으면 생성)·편집해 한 줄을 추가하고 재부팅합니다.

cp -v $FWDIR/boot/modules/fwkern.conf{,_BKP}
touch $FWDIR/boot/modules/fwkern.conf
vi $FWDIR/boot/modules/fwkern.conf
fw_link_state_propagation_enabled=1

재부팅 후 값을 확인합니다.

fw ctl get int fw_link_state_propagation_enabled

fw_link_state_propagation_enabled = 1 이 나와야 합니다.

수동 포트 감지로 LSP 구성 — 같은 파일에 다음 줄들을 추가합니다(포트 쌍 최대 4개).

fw_manual_link_state_propagation_enabled=1
fw_lsp_pair1="<interface_name_1,interface_name_2>"
fw_lsp_pair2="<interface_name_3,interface_name_4>"
fw_lsp_pair3="<interface_name_5,interface_name_6>"
fw_lsp_pair4="<interface_name_7,interface_name_8>"

예시입니다.

fw_lsp_pair2="eth3,eth4"

저장·재부팅 후 다음 명령들로 값을 확인합니다.

fw ctl get int fw_link_state_propagation_enabled              # = 1
fw ctl get int fw_manual_link_state_propagation_enabled       # = 1
fw ctl get str fw_lsp_pair1     # <interface_name_1,interface_name_2>
fw ctl get str fw_lsp_pair2     # <interface_name_3,interface_name_4>
fw ctl get str fw_lsp_pair3     # <interface_name_5,interface_name_6>
fw ctl get str fw_lsp_pair4     # <interface_name_7,interface_name_8>

Security Before Firewall Activation — 부팅·전환 중의 보호

게이트웨이가 정책을 아직 못 받은 순간에도 무방비여선 안 됩니다. Check Point Security Gateway는 그래서 기본(baseline) 보안 두 가지를 갖춥니다.

Baseline Security정책 이름설명
Boot Securitydefaultfilter부팅 과정 중 의 보안.
Initial PolicyInitialPolicy정책이 처음 설치되기 전, 또는 게이트웨이가 정책 적재에 실패했을 때 의 보안.

관련 명령들입니다(자세한 내용 R82 CLI Reference Guide).

명령설명
$CPDIR/bin/cpstat -f policy fw현재 설치된 정책을 표시합니다.
`$FWDIR/bin/control_bootsec {-r \-R}`boot security를 비활성화 합니다.
`$FWDIR/bin/control_bootsec [-g \-G]`boot security를 활성화 합니다.
`$FWDIR/bin/comp_init_policy [-u \-U]`local state policy를 삭제 합니다.
`$FWDIR/bin/comp_init_policy [-g \-G]`local state Initial Policy를 생성 합니다.
$FWDIR/bin/fw unloadlocal현재 설치된 정책을 unload 합니다.

Boot Security

Boot Security 는 부팅 동안 게이트웨이와 네트워크를 보호합니다 — Linux OS 커널의 IP Forwarding을 끄고, Default Filter Policy를 적재 합니다.

Default Filter Policy

Default Filter Policy(defaultfilter) 는 게이트웨이가 부팅한 순간부터 사용자 정의 보안 정책이 설치될 때까지 게이트웨이를 보호합니다. Boot Security는 IP Forwarding을 끄고 이 Default Filter Policy를 적재합니다. 게이트웨이에는 세 가지 Default Filter 템플릿이 있습니다.

Default Filter 모드정책 파일설명
Boot Filter$FWDIR/lib/defaultfilter.boot게이트웨이 인터페이스에 할당된 IP와 같은 source IP 를 가진 들어오는 패킷을 모두 드롭하고, 게이트웨이에서 나가는 패킷은 모두 허용 합니다.
Drop Filter$FWDIR/lib/defaultfilter.drop게이트웨이의 들어오고 나가는 모든 패킷을 드롭 합니다.
Filter for Dynamically Assigned Gateways (DAG)$FWDIR/lib/defaultfilter.dag동적 IP를 받는 게이트웨이용 — 모든 DHCP Request·Reply를 허용 하고, 그 외에는 Boot Filter를 따릅니다(게이트웨이 IP와 같은 source IP의 들어오는 패킷 드롭, 나가는 패킷 허용).

Default Filter Policy 선택 — 먼저 게이트웨이에 보안 정책을 구성·설치해 두고, 명령줄 Expert 모드에서 현재 Default Filter Policy 파일을 백업합니다.

cp -v $FWDIR/conf/defaultfilter.pf{,_BKP}

원하는 템플릿으로 새 Default Filter Policy 파일을 만듭니다.

cp -v $FWDIR/lib/defaultfilter.boot $FWDIR/conf/defaultfilter.pf     # Boot Filter
cp -v $FWDIR/lib/defaultfilter.drop $FWDIR/conf/defaultfilter.pf     # Drop Filter
cp -v $FWDIR/lib/defaultfilter.dag  $FWDIR/conf/defaultfilter.pf     # DAG Filter

새 Default Filter를 컴파일합니다.

fw defaultgen

컴파일 결과는 IPv4용 $FWDIR/state/default.bin, IPv6용 $FWDIR/state/default.bin6 입니다. Default Filter Policy 파일의 경로를 확인합니다.

$FWDIR/boot/fwboot bootconf get_def

예시입니다.

[Expert@MyGW:0]# $FWDIR/boot/fwboot bootconf get_def
/etc/fw.boot/default.bin
[Expert@MyGW:0]#

컴파일된 파일을 그 경로로 복사합니다.

cp -v $FWDIR/state/default.bin  /etc/fw.boot/default.bin       # IPv4
cp -v $FWDIR/state/default.bin6 /etc/fw.boot/default.bin6      # IPv6

마지막으로 반드시 serial console로 접속 한 상태에서 게이트웨이를 재부팅합니다.

사용자 정의 Default Filter 만들기

Check Point INSPECT 언어를 아는 관리자는 Default Filter를 직접 정의할 수 있습니다.

절차는 위의 "Default Filter Policy 선택"과 거의 같습니다 — 보안 정책을 미리 설치하고, $FWDIR/conf/defaultfilter.pf 를 백업한 뒤, Boot/Drop/DAG 중 하나를 템플릿으로 복사합니다.

cp -v $FWDIR/conf/defaultfilter.pf{,_BKP}
cp -v $FWDIR/lib/defaultfilter.boot $FWDIR/conf/defaultfilter.pf     # Boot Filter 템플릿
cp -v $FWDIR/lib/defaultfilter.drop $FWDIR/conf/defaultfilter.pf     # Drop Filter 템플릿
cp -v $FWDIR/lib/defaultfilter.dag  $FWDIR/conf/defaultfilter.pf     # DAG Filter 템플릿

그다음 새 파일을 편집해 원하는 INSPECT 코드를 넣습니다.

컴파일·경로 확인·복사·재부팅은 위와 동일합니다.

fw defaultgen
$FWDIR/boot/fwboot bootconf get_def
cp -v $FWDIR/state/default.bin  /etc/fw.boot/default.bin       # IPv4
cp -v $FWDIR/state/default.bin6 /etc/fw.boot/default.bin6      # IPv6

마찬가지로 serial console로 접속한 상태에서 재부팅하며, 새 필터가 모든 접근을 막으면 unload 후 정상 정책을 설치할 수 있습니다.

유지 보수에 Default Filter Policy 활용

가끔은 유지 보수를 위해 게이트웨이를 멈춰야 하는데, 원격지 게이트웨이처럼 물리적으로 분리하기 어려울 때 가 있습니다. 보안을 유지하면서 멈추려면 다음 명령을 씁니다.

명령설명
cpstop -fwflag -defaultCheck Point 프로세스를 종료 하고, Default Filter 정책(defaultfilter)을 적재 합니다.
cpstop -fwflag -procCheck Point 프로세스를 종료 하되, 현재 적재된 커널 정책을 유지 하고, Connections 테이블을 보존cpstart 후 "out of state"로 인한 드롭이 없게 합니다.

Initial Policy

게이트웨이 관리자가 처음으로 보안 정책을 설치하기 전까지Initial Policy 가 보안을 집행합니다. Initial Policy는 Default Filter 정책에 사전 정의된 implied rule을 더해 동작합니다 — 이 implied rule들은 대부분의 통신을 막되, 보안 정책 설치에 필요한 통신만 허용 합니다.

Initial Policy는 또한 Check Point 제품 업그레이드, 게이트웨이의 SIC 인증서 리셋, 라이선스 만료 시에도 게이트웨이를 보호합니다.

게이트웨이가 부팅해 처음으로 보안 정책이 적재될 때까지 의 동작 순서입니다.

  1. 게이트웨이가 부팅합니다.
  2. IP Forwarding을 끄고 Default Filter 정책을 적재합니다.
  3. 인터페이스를 구성합니다.
  4. 게이트웨이 서비스가 시작합니다.
  5. 로컬 디렉터리에서 Initial Policy를 가져옵니다(fetch).
  6. 관리자가 관리 서버에서 사용자 정의 보안 정책을 설치합니다.

게이트웨이는 관리자가 사용자 정의 정책을 설치할 때까지 Initial Policy를 집행하며, 이후의 부팅에서는 Default Filter 정책 직후에 사용자 정의 정책을 바로 적재 합니다.

Standalone 구성과 분산(distributed) 구성의 Initial Policy는 다릅니다.

  • Standalone(관리 서버와 게이트웨이가 같은 컴퓨터) — Initial Policy가 CPMI 관리 통신만 허용 해, SmartConsole 클라이언트가 관리 서버에 접속할 수 있게 합니다.
  • 분산(관리 서버와 게이트웨이가 다른 컴퓨터) — Initial Policy가 cpd·fwd 데몬의 통신(SIC 신뢰 수립·정책 설치)은 허용 하되, 게이트웨이를 통한 CPMI 연결은 허용하지 않 습니다. 따라서 SmartConsole이 Initial Policy 상태의 게이트웨이를 거쳐 관리 서버에 접근해야 하는 경우라면 접속하지 못합니다.

문제 해결 — 재부팅을 끝내지 못할 때

일부 구성에서는 Default Filter 정책 때문에 설치 후 재부팅을 끝내지 못 할 수 있습니다. 먼저 Default Filter가 부팅 절차에 필요한 트래픽을 허용하는지 살펴보세요. 그래도 부팅이 끝나지 않으면 Default Filter를 제거합니다.

  1. serial console로 게이트웨이에 접속합니다.
  2. 게이트웨이를 재부팅합니다.
  3. 부팅 중 아무 키나 눌러 Boot Menu에 들어갑니다.
  4. Start in maintenance mode 를 선택합니다.
  5. Expert 모드 암호를 입력합니다.
  6. Default Filter가 다시 적재되지 않도록 설정합니다.
cd /opt/CPsuite-<VERSION>/fw1/
./fwboot bootconf set_def
  1. $FWDIR/boot/boot.conf 파일에서 DEFAULT_FILTER_PATH 값을 확인합니다.
cd /opt/CPsuite-<VERSION>/fw1/
grep DEFAULT_FILTER_PATH boot/boot.conf
  1. 게이트웨이를 다시 재부팅합니다.

이로써 게이트웨이가 운영 길목, 관찰 전용, IP 무변경 끼워넣기, 그리고 정책이 없는 순간까지 어떤 배포·상태에서도 자신과 네트워크를 지키는 방법을 모두 다뤘습니다. 다음은 환경 전반을 떠받치는 라이선스 관리와 클라우드 서비스입니다.