07트래픽·연결 모니터링 (SmartView Monitor)트래픽·연결 모니터링 (SmartView Monitor)

상태 데이터는 Management Server가 모아 SmartView Monitor가 보여 줍니다. 대상은 Check Point Security Gateway, OPSEC Gateway, 그리고 VPN·ClusterXL 같은 Software Blade 입니다.

흐름은 이렇습니다 — 게이트웨이(③)와 Management Server(②) 사이에 SIC가 맺히면, Management Server가 AMON(Application Monitoring) 프로토콜 로 각 블레이드의 상태를 가져오고, SmartView Monitor(①)가 그 데이터를 받습니다. 즉 Management Server는 AMON 클라이언트, 각 게이트웨이는 AMON 서버 역할이며, AMON은 SIC 기반이라 SIC가 초기화돼야만 데이터를 모읍니다. 수집 주기는 기본 60초이고, Global Properties > Log and Alert > Time Settings에서 바꿉니다.

모니터링 화면을 여는 길은 둘입니다 — SmartConsole의 Gateways & Servers에서 게이트웨이를 골라 Monitor 를 누르면 Device Status·License·System Counter·Traffic 이 뜨고, 더 풍부한 SmartView Monitor 는 Logs & Events에서 새 탭을 열어 Tunnel & User Monitoring 으로 엽니다.

미리 정의된 뷰로 게이트웨이 상태, 원격 사용자, System Counter, VPN 터널, Cooperative Enforcement, 트래픽 을 실시간·과거 그래프로 봅니다. 활용 예를 들면, 인터넷이 느린 원인을 찾을 때 특정 서비스·규칙·객체별 Traffic 뷰로 P2P나 HTTP 과다 사용을 짚 거나, 원격 직원이 접속을 못 할 때 CPU 사용률 Counter 뷰로 동시 접속 한계를 의심 하는 식입니다. SmartView Monitor에서는 직접 커스텀 뷰도 만들 수 있습니다.

상태에 문제가 보이면 그 객체에 바로 손을 쓸 수 있습니다 — SmartConsole 클라이언트 연결 끊기, Cluster Member 시작·정지, 그리고 의심 트래픽 차단 입니다.

특히 SAM(Suspicious Activity Monitoring) 은 SmartView Monitor에 통합된, 의심 활동을 즉시 차단하는 도구 입니다. 핵심은 SAM 규칙이 정책 설치 없이 바로 적용된다 는 점이라, 명백한 침입자를 조사하는 동안 빠르게 막을 수 있습니다. 다만 SAM 규칙은 CPU를 쓰므로 만료 시간(Expiration)을 꼭 정해 성능에 부담을 주지 않게 합니다. 출처·목적지·서비스로 차단 대상을 정하고, Advanced 에서 동작을 Notify(통보만)·Drop(응답 없이 폐기)·Reject(RST 보내고 종료) 중에 고르며 Track(No Log·Log·Alert)을 설정합니다.

이미 적용된 규칙은 Enforced Suspicious Activity Rules 창에서 관리하며, 충돌하는 규칙이 있으면 한쪽만 보입니다(예: drop과 reject 규칙이 겹치면 drop만 표시). CLI에서는 sam_alert 유틸리티로 SAM 동작을 실행할 수 있습니다(자세히는 R82 CLI Reference Guide).

Alert 는 잠재적 위협을 실시간으로 알리는 장치입니다. 게이트웨이가 알림을 Management Server로 보내면, 그것이 SmartView Monitor로 전달되고 기본적으로 관리자 화면에 팝업으로 뜹니다. 알림이 발생하는 경우는 둘 — alert로 추적하게 설정한 규칙·속성이 매칭될 때, 그리고 System Alert(예: 여유 디스크 10% 미만, 정책 변경)의 임계값을 넘을 때 입니다. 알림 명령은 SmartConsole의 Global Properties > Log and Alert > Alerts에서 정의하고, System Alert 모니터링은 SmartView Monitor의 Tools > Start/Stop System Alert Daemon으로 켜고 끕니다.

임계값(Threshold) 은 게이트웨이별로 정합니다 — Gateways Status 뷰에서 객체를 우클릭해 Configure Thresholds를 열고, 전역 설정을 따를지(Use global settings), 끌지(None), 따로 정할지(Custom) 고릅니다.

임계를 넘었을 때의 Action은 none·log·alert(팝업)·mail·snmptrap·useralert(스크립트) 중에서 고릅니다. 한편 SNMP 모니터링 임계값 을 쓰면 각 장치에 일일이 묻지 않고도 Hardware·High Availability·Networking·Resources 같은 범주를 SNMP trap으로 자동 감시 할 수 있습니다.

SmartView Monitor의 나머지 뷰들은 운영 상태를 깊이 들여다봅니다. Device Status 는 게이트웨이·블레이드의 동작 여부를, VPN Tunnels 는 터널이 살아 있는지, 어떤 커뮤니티·피어와 연결돼 있는지 를, Users 는 현재 접속한 원격 사용자 를, Traffic / System Counters 는 대역폭 상위 호스트와 제품별 자원 사용량 을 보여 줍니다. VPN 터널의 의미와 구성은 Site-to-Site VPN 가이드와 Remote Access VPN 가이드를, 클러스터 상태는 ClusterXL 가이드를 함께 보면 좋습니다.

끝으로 Cooperative Enforcement 는 온프레미스 Harmony Endpoint Security 서버와 Security Gateway를 연동 해, 단말의 준수 상태를 게이트웨이 차원에서 강제하는 기능입니다. 요지는 SmartView Monitor로 실시간 상태를 보고, 이상이 보이면 SAM으로 즉시 막고, 임계값·알림으로 자동 감시 체계를 갖춘다 는 것입니다.