목차/07. 트래픽·연결 모니터링 (SmartView Monitor)

07트래픽·연결 모니터링 (SmartView Monitor)트래픽·연결 모니터링 (SmartView Monitor)

로그가 "지나간 일"의 기록이라면, 모니터링은 "지금 무슨 일이 벌어지는가"를 봅니다. SmartView Monitor게이트웨이·터널·원격 사용자·트래픽 흐름의 상태와 성능을 한 화면에서 실시간으로 보여 주는 고성능 네트워크·보안 분석 시스템입니다. Check Point의 Security Management 아키텍처를 토대로 동작하며, 여러 Software Blade의 활동과 성능을 하나의 중앙 인터페이스 에서 감시하게 해 줍니다. 이 장은 SmartView Monitor가 동작하는 원리(AMON), 모니터링을 시작하는 법, 즉각 조치와 Suspicious Activity 규칙, 알림과 임계값(SNMP 임계값 포함), 커스텀 뷰 만들기, 그리고 장치·VPN·트래픽·사용자·Cooperative Enforcement 모니터링까지 원문에 실린 모든 절차·표·파라미터·명령·카운터 를 빠짐없이 풀어 정리합니다.

SmartView Monitor는 어떻게 동작하나

상태 데이터를 모으는 흐름

시스템에 속한 모든 Security Gateway의 상태 데이터는 Security Management Server 가 모으고, 그것을 SmartView Monitor 가 보여 줍니다. 상태가 표시되는 대상은 다음과 같습니다.

  • Check Point Security Gateways
  • OPSEC Gateways
  • Check Point Software Blades

이 상태를 보여 주는 SmartView Monitor의 뷰가 Gateway Status 뷰입니다. Gateway Status 뷰는 모든 구성 요소의 상태 정보를 담은 스냅숏 으로, VPN·ClusterXL 같은 Software Blade는 물론 OPSEC Gateway 같은 서드파티 제품 의 상태까지 한눈에 보여 줍니다. 동작 방식은 시스템 내 게이트웨이 정보를 가져오는 SNMP 데몬과 비슷 합니다.

① SmartView Monitor가 Management Server에서 데이터를 받음 ② Security Management Server ③ 로컬·원격 Security Gateway — AMON으로 상태를 수집하는 흐름
① SmartView Monitor가 Management Server에서 데이터를 받음 ② Security Management Server ③ 로컬·원격 Security Gateway — AMON으로 상태를 수집하는 흐름

흐름을 그림으로 풀면 이렇습니다 — 게이트웨이(③, 로컬·원격)와 Security Management Server(②) 사이에 SIC가 초기화되면, Management Server가 AMON(Application Monitoring) 프로토콜 로 각 Software Blade에서 상태 데이터를 가져오고, SmartView Monitor(①)가 그 데이터를 Management Server에서 받습니다.

AMON 프로토콜 지원

AMON 프로토콜의 역할 분담은 명확합니다.

  • Security Management Server는 AMON 클라이언트 로 동작하며, 설치된 Software Blade에 대한 데이터를 수집합니다.
  • 각 Security Gateway(또는 AMON 서버를 실행하는 다른 OPSEC Gateway)는 AMON 서버 로 동작합니다. 이 게이트웨이는 Firewall 커널·네트워크 서버 같은 다른 구성 요소에 상태 갱신을 요청하며, 요청은 정해진 간격으로 이뤄집니다.
  • 상태 수집의 다른 출처로 AMON 프로토콜을 쓰는 임의의 AMON 클라이언트(예: OPSEC 파트너) 도 쓸 수 있습니다.

핵심은 AMON 프로토콜이 SIC 기반 이라는 점입니다. 따라서 SIC가 초기화된 뒤에만 데이터를 수집 할 수 있습니다.

상태 수집 주기(Status Fetch Frequency) 정하기

Security Management Server는 정해진 간격마다 Security Gateway에서 상태 데이터를 모읍니다. 기본값은 60초 입니다. 이 상태 수집 간격(Status Fetching Interval) 은 다음 순서로 바꿉니다.

  1. SmartConsole 을 엽니다.
  2. Global Properties > Log and Alert > Time Settings 로 갑니다.
  3. Status fetching interval 에 원하는 초(seconds)를 입력합니다.

모니터링 시작하기

모니터링 화면을 여는 길은 둘입니다 — 가볍게 보는 SmartConsole 내장 뷰와, 더 풍부한 SmartView Monitor입니다.

SmartConsole에서 모니터링 뷰 열기

  1. Gateways & Servers 뷰에서 Security Gateway를 하나 고릅니다.
  2. Monitor 를 누릅니다.

그러면 Device and License information 창이 열리고, 다음이 표시됩니다.

  • Device Status(장치 상태)
  • License Status(라이선스 상태)
  • System Counters(시스템 카운터)
  • Traffic(트래픽)

SmartView Monitor 열기

  1. SmartConsole > Logs & Events 를 엽니다.
  2. 카탈로그(새 탭)를 엽니다.
  3. Tunnel & User Monitoring 을 누릅니다.

SmartView Monitor의 기능

SmartView Monitor는 관리자가 네트워크 활동의 여러 측면을 손쉽게 구성하고 감시하게 해 주며, 통합된 직관적 인터페이스에서 그래픽 형태 로 결과를 보여 줍니다. 미리 정의된 뷰에는 가장 자주 쓰는 트래픽·카운터·터널·Security Gateway·원격 사용자 정보가 담겨 있습니다. 예를 들어 Check Point System Counter는 VPN·NAT 같은 Check Point 제품의 상태와 활동 정보를 모읍니다. 커스텀 뷰나 정의된 뷰로 특정 게이트웨이나 트래픽 구간의 상태를 깊이 파고들(drill-down) 수 있고, 그렇게 성능에 영향을 주는 대역폭 상위 호스트 를 짚어 냅니다. 의심스러운 활동이 보이면 해당 게이트웨이에 즉시 Firewall 규칙을 적용해 차단 할 수 있는데, 이 규칙은 그래픽 인터페이스에서 동적으로 만들어지고 지정한 시간 뒤에 만료되게 설정됩니다.

또한 모니터링한 이벤트에 대해 실시간(Real-time)·과거(historical) 그래프 보고서를 만들 수 있어, 시간 흐름에 따른 게이트웨이·터널·원격 사용자·네트워크·보안·성능을 종합적으로 봅니다. 모니터링 뷰가 실시간·과거 그래프로 보여 주는 항목은 다음과 같습니다.

  • Gateway status(게이트웨이 상태)
  • Remote users(원격 사용자 — SmartView Monitor 전용)
  • System Counters
  • VPN tunnel monitoring(VPN 터널 모니터링 — SmartView Monitor 전용)
  • Cooperative Enforcement(Endpoint Security Server 대상)
  • Traffic

SmartView Monitor에서는 직접 커스텀 모니터링 뷰 도 만들 수 있습니다.

활용 사례(Use Cases)

SmartView Monitor의 대표적인 쓰임은 다음과 같습니다.

  • 인터넷이 느린 원인 찾기 — Traffic 뷰와 보고서를 만들어 원인을 짚습니다. 뷰는 특정 Services, Firewall 규칙, Network Object 처럼 인터넷 흐름을 막을 만한 대상에 대한 검사로 구성할 수 있습니다. 만약 Traffic 뷰에서 사용자가 그런 서비스나 객체(예: Peer to Peer 응용프로그램이나 HTTP)를 과도하게 쓰고 있다면 그것이 느린 원인입니다. 과도한 사용이 원인이 아니라면 다른 길을 봐야 합니다 — 예컨대 성능 저하가 메모리 과부하 때문일 수도 있습니다.
  • 외근 직원이 접속을 못 하는 원인 찾기CPU Use % 를 기반으로 한 뷰로 Check Point 제품의 상태·활동·하드웨어/소프트웨어 사용을 실시간으로 모읍니다. Counter 뷰에서 성공보다 실패가 더 많게 나오면, 동시에 로그온하려는 직원 수를 회사가 감당하지 못하는 것일 수 있습니다.

즉각 조치(Immediate Actions)

상태에 문제가 보이면 그 네트워크 객체에 바로 손을 쓸 수 있습니다. 예를 들면 다음과 같습니다.

  • Disconnect client — 연결된 SmartConsole 클라이언트를 하나 이상 끊습니다.
  • Start/Stop cluster member — SmartView Monitor에서 Cluster의 모든 Cluster Member를 볼 수 있고, 고른 Cluster Member를 시작하거나 정지할 수 있습니다.
  • Suspicious Action Rules — 실제 위험을 조사하는 동안 의심스러운 네트워크 활동을 차단하거나, 명백한 침입자를 빠르게 막습니다.

알림 모니터링과 처리(Alerts)

Alert(알림) 는 잠재적 보안 위협에 대한 실시간 정보와, 그 피해를 어떻게 피하고·줄이고·복구할지를 알려 줍니다. 관리자는 게이트웨이별로, 또 특정 정책·속성에 대해 알림을 보내도록 정의할 수 있습니다.

흐름은 이렇습니다 — Security Gateway가 알림을 Security Management Server로 보내면, Management Server가 그 알림을 SmartView Monitor로 전달 합니다. 기본적으로 새 알림이 SmartView Monitor에 도착하면 관리자 데스크톱에 팝업 메시지 로 뜹니다. 알림 파라미터는 시스템 내 모든 Security Gateway에 대해 전역으로 설정하거나, 특정 게이트웨이에 대해 따로 동작을 지정할 수 있습니다.

알림이 발생하는 경우는 둘입니다.

  • alert로 추적하도록 설정한 규칙·속성 이 지나가는 연결과 매칭될 때.
  • System Alert(시스템 알림) 가 미리 정의된 임계값을 넘도록 구성됐을 때.

System Alert 는 미리 정의된 시스템 이벤트나 중요한 상황 변화에 대해 보내집니다. 예를 들어 여유 디스크 공간이 10% 미만이거나, 보안 정책이 바뀌었을 때 입니다. System Alert는 제품별로도 정의할 수 있습니다 — 예컨대 Check Point QoS에 대해 별도의 System Alert를 정의할 수 있습니다.

알림 보기(Viewing Alerts)

알림 명령(Alert commands)은 SmartConsole > Global Properties > Log and Alert > Alerts 페이지에서 설정합니다. 이 창의 알림은 Security Gateway에만 적용됩니다. 알림을 보는 순서는 다음과 같습니다.

  1. SmartConsole > Logs & Events 뷰 > External Apps 를 엽니다.
  2. Tunnel & User Monitoring 을 누릅니다. SmartView Monitor가 열립니다.
  3. 툴바에서 Alerts 아이콘을 누릅니다.

그러면 Alerts 창이 열립니다. 이 창에서 알림을 보거나 삭제합니다.

System Alert 모니터링 메커니즘

Check Point Security Management Server의 System Alert 모니터링 메커니즘은 정의된 System Alert 임계값 을 사용합니다. 임계값에 도달하면 정의된 Action을 실행 합니다.

  • System Alert 모니터링 켜기Tools > Start System Alert Daemon 으로 갑니다.
  • System Alert 모니터링 끄기Tools > Stop System Alert Daemon 으로 갑니다.

Suspicious Activity 규칙 모니터링

SAM(Suspicious Activity Monitoring) 은 SmartView Monitor에 통합된 유틸리티로, SmartView Monitor 결과에서 의심스러워 보이는 활동을 차단 합니다. 예를 들어 네트워크나 인터넷 리소스에 허가 없이 여러 번 접근을 시도하는 사용자 를 막을 수 있습니다.

SAM이 켜진 Security Gateway는 보안 정책으로는 제한되지 않는 의심스러운 연결을 차단하는 Firewall 규칙 을 갖게 됩니다. 핵심은 이 규칙이 즉시 적용된다(정책 설치가 필요 없다) 는 점입니다.

Suspicious Activity 규칙이 필요한 이유

기업망과 공용망 사이의 연결은 그 자체가 보안 과제입니다 — 네트워크와 응용프로그램을 공격에 노출시키기 때문입니다. 따라서 들어오고 나가는 모든 네트워크 활동을 검사·식별하고, 그것이 의심스러운지 판단 할 수 있어야 합니다.

Suspicious Activity 규칙 만들기

어떤 활동이 위험하다고 확정되면, 보안 정책을 수정하거나, 사용자를 교육하거나, 그 위험을 다른 방식으로 처리하면 됩니다. 의심 활동은 출처(source)·목적지(destination)·서비스(service) 를 기준으로 차단할 수 있습니다.

활동을 차단하려면

  1. SmartView Monitor에서 툴바의 Suspicious Activity Rules 아이콘을 누릅니다. Enforced Suspicious Activity Rules 창이 열립니다.
  2. Add 를 누릅니다. Block Suspicious Activity 창이 열립니다.
  3. SourceDestination 에서 IP나 Network를 고릅니다.
    • 다른 파라미터와 맞는 모든 출처·목적지를 차단하려면 Any 를 입력합니다.
    • 의심스러운 출처·목적지 하나만 차단하려면 IP AddressNetwork Mask 를 입력합니다.
  4. Service 에서:
    • 다른 파라미터와 맞는 모든 연결을 차단하려면 Any 를 입력합니다.
    • 의심스러운 서비스·프로토콜 하나만 차단하려면 버튼을 눌러 열리는 창에서 서비스를 고릅니다.
  5. Expiration 에서 시간 제한을 정합니다.
  6. Enforce 를 누릅니다.

TCP·UDP 사용 기준으로 규칙 만들기

  1. Block Suspicious Activity 창에서 Service 를 누릅니다. Select Service 창이 열립니다.
  2. Custom Service 를 누릅니다.
  3. TCP 또는 UDP 를 고릅니다.
  4. 포트 번호를 입력합니다.
  5. OK 를 누릅니다.

규칙 매칭 시 SmartView Monitor 동작 정하기

  1. Block Suspicious Activity 창에서 Advanced 를 누릅니다. Advanced 창이 열립니다.
  2. Action 에서 규칙이 매칭됐을 때 SmartView Monitor가 할 Firewall 동작을 고릅니다.
Action설명
Notify활동에 대한 메시지를 보내되, 차단은 하지 않습니다.
Drop패킷을 폐기하되 응답을 보내지 않습니다. 연결은 타임아웃됩니다.
Reject출처로 RST 패킷을 보내고 연결을 닫습니다.
  1. Track 에서 No Log, Log, Alert 중 고릅니다.
  2. Action이 Drop 일 때, 규칙 매칭 즉시 연결을 닫으려면 Close connections 를 고릅니다.
  3. OK 를 누릅니다.

결과에서 곧바로 Suspicious Activity 규칙 만들기

트래픽을 모니터링하다가 의심스러운 결과를 보면, 그 결과에서 곧바로 SAM 규칙 을 만들 수 있습니다.

SAM 규칙 만드는 순서

  1. SmartView Monitor에서 Traffic 뷰를 엽니다. Select Gateway / Interface 창이 열립니다.
  2. 객체를 고릅니다.
  3. OK 를 누릅니다.
  4. 결과에서, 차단하려는 출처·목적지·기타 트래픽 속성을 나타내는 막대(차트)나 행(보고서)을 우클릭 합니다.
  5. Block Source 를 고릅니다. Block Suspicious Activity 창이 열립니다.
  6. 규칙을 만듭니다.
  7. Enforce 를 누릅니다.

예를 들어, 회사 정책상 peer2peer 파일 공유가 금지인데 Traffic > Top P2P Users 결과에서 그 사용을 봤다고 합시다.

  1. 결과 막대를 우클릭하고 Block Source 를 고릅니다. 그러면 그 사용자의 IP 주소와 P2P_File_Sharing_Applications 서비스로 SAM 규칙이 자동으로 짜 입니다.
  2. Enforce 를 누릅니다.
  3. 이후 한 시간 동안 이 트래픽이 폐기·로깅되는 사이에 당사자에게 연락합니다.

Suspicious Activity 규칙 관리하기

Enforced Suspicious Activity Rules 창은 현재 적용 중인 규칙을 보여 줍니다. 다른 규칙과 충돌하는 규칙을 추가하면, 충돌하는 쪽은 숨겨진 채 남 습니다. 예컨대 http 트래픽을 drop 하는 규칙을 정의했는데 이미 http를 reject 하는 규칙이 있다면, drop 규칙만 표시 됩니다.

sam_alert

sam_alert 유틸리티는 표준 입력으로 받은 정보에 따라 SAM 동작을 실행합니다.

  • SAM v1 의 경우, 이 유틸리티는 표준 입력으로 받은 정보에 따라 SAM 동작을 실행합니다.
  • SAM v2 의 경우, 이 유틸리티는 User Defined Alerts 메커니즘으로 SAM 동작을 실행합니다.

자세한 내용은 R82 CLI Reference GuideSecurity Management Server Commands 챕터 중 sam_alert 절을 보세요.

SmartView Monitor에서 알림과 임계값 구성하기

System Alert와 임계값

선택한 Security Gateway에 임계값(threshold)을 정해 두면, 임계값을 넘을 때 System Alert가 보내집니다. System Alert 임계값을 정하는 순서는 다음과 같습니다.

  1. Gateways Status 뷰를 엽니다.
  2. 네트워크 객체를 우클릭하고 Configure Thresholds 를 고릅니다. Threshold Settings 창이 열립니다.
  3. 선택한 객체의 임계값을 정합니다.
옵션설명
Use global settings모든 객체가 System Alert에 대해 같은 임계값 을 갖습니다.
None선택한 Security Gateway 객체는 System Alert 임계값을 갖지 않습니다.
Custom선택한 객체의 임계값을 전역 설정과 다르게 바꿉니다.

전역 임계값 설정(Global Threshold) 바꾸기

  1. Threshold Settings 창에서 Edit Global Settings 를 누릅니다. Global Threshold Settings 창이 열립니다.
임계값 초과 시의 Action 선택 — Global Threshold Settings 창
임계값 초과 시의 Action 선택 — Global Threshold Settings 창
  1. 임계값을 고릅니다.
  2. Action 에서 고릅니다.
Action설명
none알림 없음.
log데이터베이스에 로그 항목을 보냅니다.
alert데스크톱에 팝업 창을 띄웁니다.
mail받은 편지함으로 메일 알림을 보냅니다.
snmptrapSNMP 알림을 보냅니다.
useralert스크립트를 실행합니다. 사용자 정의 동작이 준비돼 있어야 합니다(SmartConsole에서 Menu > Global properties > Log and Alert > Alert Commands).

Custom 임계값 설정 바꾸기

  1. Threshold Settings 창에서 Custom 을 고릅니다. 전역 임계값 설정이 표시됩니다.
  2. 이 Security Gateway나 Cluster Member에 대해 활성화할 임계값을 고릅니다.
  3. 정의 값을 설정합니다.

SNMP 모니터링 임계값 다루기

SNMP trap(또는 알림)을 만들어 내는 여러 SNMP 임계값을 구성할 수 있습니다. 이 임계값을 쓰면 각 객체·장치에 일일이 정보를 묻지 않고도 많은 시스템 구성 요소를 자동으로 감시할 수 있습니다. 구성할 수 있는 임계값의 범주는 다음과 같습니다.

  • Hardware
  • High Availability
  • Networking
  • Resources
  • Log Server Connectivity

일부 범주는 특정 머신·배포 형태에만 적용됩니다. 각 범주 안에는 설정 가능한 개별 임계값이 많습니다 — 예를 들어 Hardware 범주에는 RAID 디스크 상태, 온도 센서 상태, 팬 속도 센서 상태 등에 대한 알림이 있습니다. 개별 임계값마다 다음을 구성할 수 있습니다.

  • 활성/비활성 여부
  • 알림을 얼마나 자주 보낼지
  • 알림의 심각도(severity)
  • 임계점(threshold point, 필요한 경우)
  • 알림을 어디로 보낼지

알림을 얼마나 자주, 어디로 보낼지 같은 일부 설정은 전역으로도 구성할 수 있습니다.

알림의 종류(Types of Alerts)

  • Active alerts — 임계점을 넘었거나 감시 중인 구성 요소의 상태가 문제일 때 보내집니다.
  • Clear alerts — 문제가 해결되어 구성 요소가 정상 값으로 돌아왔을 때 보내집니다. Clear alert는 active alert와 모양이 같지만 심각도가 0 으로 설정됩니다.

SNMP 모니터링 임계값 구성하기

SNMP 모니터링 임계값은 Security Management Server의 명령줄 에서 구성합니다. Security Gateway에 정책을 설치하면 SNMP 모니터링 임계값이 그 게이트웨이들에 전역으로 적용 됩니다.

Multi-Domain Server에서 SNMP 임계값 구성

Multi-Domain Security Management 환경에서는 임계값을 Multi-Domain Server 와 각 Domain Management Server 에서 구성할 수 있습니다.

  • Multi-Domain Server 레벨에서 구성한 임계값은 Multi-Domain Server 전용 입니다.
  • Domain Management Server에 구성한 임계값은 그 Domain Management Server와 그것이 관리하는 Security Gateway용 입니다.
  • 어떤 임계값이 Multi-Domain Server와 Domain Management Server가 관리하는 게이트웨이 모두에 적용된다면 양쪽 모두에 설정 합니다. 다만 이 경우 임계값을 넘으면 Multi-Domain Server에서만 알림을 받습니다.

예를 들어 Multi-Domain Server와 Domain Management Server가 같은 머신에 있을 때 CPU 임계값을 넘으면 둘 다에 적용되지만, 알림은 Multi-Domain Server만 생성합니다. 각 임계값의 Multi-Domain Security Management 레벨은 threshold_config 명령으로 확인합니다.

  • 임계값의 레벨이 Multi-Domain Server 이면: 임계점을 넘을 때 Multi-Domain Server용 알림 이 생성됩니다.
  • 레벨이 Multi-Domain Server and Domain Management Server 이면: 임계점을 넘을 때 Multi-Domain Server와 Domain Management Server에 대해 각각 따로 알림이 생성됩니다.

구성 절차(Configuration Procedures)

Security Gateway에서 SNMP 임계값 구성

Security Gateway에서도 Security Management Server와 같은 절차로 로컬 SNMP 임계값을 구성할 수 있습니다. 다만 그 게이트웨이에 정책을 설치할 때마다 로컬 설정이 지워지고 전역 SNMP 임계값 설정으로 되돌아간다 는 점에 주의하세요. threshold_config 명령으로 구성 파일을 저장했다가 나중에 다시 불러올 수 있습니다. 백업할 수 있는 구성 파일의 경로는 다음과 같습니다.

$FWDIR/conf/thresholds.conf

threshold_config 명령에 대한 자세한 내용은 R82 CLI Reference Guide 를 보세요.

명령줄에서 임계값을 구성하는 주 명령은 하나, threshold_config 입니다. 반드시 Expert mode에서 실행해야 합니다. 명령을 실행한 뒤에는 화면 안내를 따라 전역 설정과 각 임계값을 선택·구성합니다. threshold_config 를 실행하면 다음 옵션이 나옵니다.

옵션설명
Show policy name임계값 정책에 설정된 이름을 보여 줍니다.
Set policy name임계값 정책의 이름을 정합니다.
Save policy정책을 저장합니다.
Save policy to file정책을 파일로 내보냅니다.
Load policy from file파일에서 임계값 정책을 가져옵니다.
Configure global alert settings알림을 얼마나 자주, 몇 개나 보낼지에 대한 전역 설정을 구성합니다.
Configure alert destinationsSNMP 알림을 보낼 위치(들)를 구성합니다.
View thresholds overview설정 가능한 모든 임계값 목록(범주, 활성/비활성 여부, 임계점, 짧은 설명)을 보여 줍니다.
Configure thresholds임계값 범주 목록을 열어 구성할 임계값을 고르게 합니다.

Configure Global Alert Settings(전역 알림 설정 구성)

Configure global alert settings 를 고르면 알림을 얼마나 자주, 몇 개나 보낼지에 대한 전역 설정을 구성할 수 있습니다. 이 설정은 임계값마다 따로 둘 수도 있는데, 자체 알림 설정이 없는 임계값은 기본적으로 전역 설정을 따릅니다. 구성 옵션은 다음과 같습니다.

옵션설명
Enter Alert Repetitionsactive alert가 트리거됐을 때 알림을 몇 번 보낼지. 0 을 입력하면 문제가 고쳐질 때까지 알림을 보냅니다.
Enter Alert Repetitions Delayactive alert를 보내는 사이에 시스템이 얼마나 기다릴지.
Enter Clear Alert Repetitions임계값이 정상 값으로 돌아온 뒤 clear alert를 몇 번 보낼지.
Enter Clear Alert Repetitions Delayclear alert를 보내는 사이에 시스템이 얼마나 기다릴지.

Configure Alert Destinations(알림 대상 구성)

Configure Alert Destinations 를 고르면 알림을 보낼 대상을 추가·제거하고, 구성된 대상 목록을 볼 수 있습니다. 대상은 보통 NMS(Network Management System)나 Check Point Log Server 입니다. 대상 정보를 입력하면 CLI는 그 대상을 모든 임계값에 적용할지 묻습니다.

  • yes 를 입력하면, 개별 임계값에서 대상을 빼지 않는 한 모든 임계값의 알림 이 그 대상으로 갑니다.
  • no 를 입력하면, 기본적으로 그 대상으로는 알림이 가지 않습니다. 하지만 개별 임계값마다 대상을 구성 할 수 있고, 모든 임계값에 적용하지 않았던 대상도 개별 임계값에 추가할 수 있습니다.

각 임계값마다 그 알림을 어느 알림 대상으로 보낼지 고를 수 있습니다. 임계값에 대해 알림 대상 설정을 따로 정의하지 않으면, 모든 임계값에 적용한 대상 전부 로 알림을 보냅니다. 각 알림 대상에는 다음을 입력합니다.

항목설명
Name식별용 이름.
IP대상의 IP 주소.
Port접근하는 포트.
Ver사용하는 SNMP 버전.
Other data일부 SNMP 버전은 추가 데이터가 필요합니다. 그 SNMP 버전에 맞는 데이터를 입력합니다.

Configure Thresholds(임계값 구성)

Configure thresholds 를 고르면 임계값 범주 목록이 보입니다 — Hardware, High Availability, Networking, Resources, Log Server Connectivity. 일부 범주는 특정 머신·배포에만 적용됩니다. 예를 들어 HardwareCheck Point 어플라이언스에만, High Availability클러스터나 High Availability 배포에만 적용됩니다. 범주를 고르면 그 안의 임계값이 보이고, 각 임계값에는 다음 옵션이 있습니다.

옵션설명
Enable/Disable Threshold활성이면 문제가 생길 때 알림을 보내고, 비활성이면 알림을 생성하지 않습니다.
Set Severity심각도를 줍니다 — Low, Medium, High, Critical. 심각도는 알림과 SmartView Monitor에 표시되어 알림의 중요도를 빠르게 알려 줍니다.
Set Repetitions임계값을 넘었을 때 알림을 얼마나 자주, 몇 개 보낼지 정합니다. 설정하지 않으면 전역 알림 설정을 따릅니다.
Set Threshold Point넘으면 active alert가 발생할 값을 입력합니다. 단위 없이 숫자만 입력합니다.
Configure Alert Destinations구성된 모든 알림 대상을 봅니다. 기본적으로 active·clear alert가 대상으로 가며, 대상마다 바꿀 수 있습니다(아래).

알림 대상을 고르면 다음 옵션이 보입니다.

  • Remove from destinations — 이 임계값의 알림을 선택한 대상으로 보내지 않습니다.
  • Add a destination — 전역 알림 대상에 구성했지만 모든 임계값에 적용하지 않은 대상을, 이 임계값에 추가합니다.
  • Disable clear alerts — 이 임계값의 clear alert를 선택한 대상으로 보내지 않습니다. active alert는 보냅니다.

구성 마무리(Completing the Configuration)

  1. Security Management Server에서 모든 Security Gateway에 정책을 설치 합니다.
  2. 로컬 Security Gateway 임계값 정책이거나 Multi-Domain Server 환경이라면 CPD 프로세스를 재시작합니다.

a. 다음을 실행합니다.

   cpwd_admin stop -name CPD -path "$CPDIR/bin/cpd_admin" -command "cpd_admin stop"
   

b. 다음을 실행합니다.

   cpwd_admin start -name CPD -path "$CPDIR/bin/cpd" -command "cpd"
   

SNMP 임계값 모니터링하기

SmartView Monitor에서 구성한 SNMP 임계값의 개요를 볼 수 있습니다.

  1. SmartView Monitor를 열고 Security Gateway를 고릅니다.
  2. 아래 창에 열리는 Security Gateway 데이터 요약에서 System Information 을 누릅니다.
  3. 새로 열리는 창에서 Thresholds 를 누릅니다.

그러면 다음 세부 정보를 볼 수 있습니다.

General Info — SNMP 임계값 정책의 요약.

항목설명
Policy nameCLI에서 정책에 정한 이름.
State정책이 활성인지 비활성인지.
Thresholds활성화된 임계값 수.
Active events현재 알림을 보내고 있는 임계값 수.
Generated Events정책 설치 이후 비활성에서 활성으로 바뀐 임계값 수.

Active Events — 현재 알림을 보내는 임계값의 세부 정보.

항목설명
Name알림 이름(CLI에서 지정).
Category알림 범주(CLI에서 지정), 예: Hardware, Resources.
MIB objectMIB 파일에 기록된 객체 이름.
MIB object value임계값이 활성화됐을 때의 객체 값(MIB 파일 기록 기준).
State객체 상태 — active 또는 clearing(임계값을 넘었다가 정상으로 돌아오는 중).
SeverityCLI에서 구성한 그 임계값의 심각도.
Activation time알림이 처음 보내진 시각.

Alert Destinations — 알림이 보내지는 대상 목록.

항목설명
Name위치 이름.
Type위치 유형, 예: Log Server, NMS.
StateSecurity Gateway·Management Server에서 대상 머신으로 로그가 보내지는지 여부.
Alert Count정책 시작 이후 그 대상으로 보내진 알림 수.

Errors — 모니터링할 수 없는 임계값을 보여 줍니다. 예를 들어 RAID 센서가 없는 머신에서는 Security Gateway가 RAID 센서를 모니터링할 수 없으므로, RAID Sensor Threshold 에 오류가 표시됩니다.

항목설명
Threshold Name오류가 있는 임계값 이름.
Error오류 설명.
Time of Error오류가 처음 발생한 시각.

결과 커스터마이즈(Customizing Results)

Custom View(커스텀 뷰) 를 만들어, 결과에 표시되는 필드를 바꿀 수 있습니다.

커스텀 뷰 편집하기

뷰에 가한 변경은 자동으로 저장되지 않습니다. 미리 정의된 뷰를 새 Custom 뷰로 저장하는 순서는 다음과 같습니다.

  1. 뷰 결과를 우클릭하고 Properties 를 고릅니다.
  1. 뷰의 필드나 기타 옵션을 추가·제거합니다.
  2. OK 를 누릅니다.
  3. 일부 뷰에서는 Security Gateway를 고릅니다.
  4. Results 툴바에서 Save View to Tree 버튼을 누릅니다.
  5. 열리는 창에 새 뷰의 이름을 입력합니다.
  6. Save 를 누릅니다.

커스텀 Gateway Status 뷰 만들기

  1. Tree에서 Custom 을 우클릭하고 New Gateways View 를 고릅니다. Gateway Properties 창이 열립니다.
  2. Select available fields from 에서 데이터 출처를 고릅니다.
  3. Available fields 에서 SmartView Monitor에 추가할 데이터를 더블클릭합니다.
  4. Filter Gateways 탭을 열어 이 뷰 결과에서 제외할 Security Gateway를 뺍니다.
  5. OK 를 누릅니다.
  6. 새 Custom 뷰를 우클릭하고 Rename 을 고릅니다.
  7. 뷰 이름을 입력합니다.

커스텀 Traffic 뷰 만들기

  1. Tree에서 Custom 을 우클릭하고 New Traffic View 를 고릅니다. Query Properties 창이 열립니다.
  2. History 또는 Real Time 을 고릅니다.
  3. Real Time 을 고르면 볼 대상을 고릅니다.
    • Interfaces
    • Services
    • IPs / Network Objects
    • QoS Rules
    • Security Rules
    • Connections
    • Tunnels
    • Virtual Links
    • Packet Size Distribution
  4. Target Security Gateway 를 고릅니다.
    • 한 게이트웨이 결과가 자주 필요하면 Specific Gateway 에서 고릅니다.
    • 게이트웨이가 적으면 각각에 대해 커스텀 뷰를 만들 수 있습니다.
    • 아니라면 Prompt for Gateway before run 을 고릅니다.
  5. 다음 탭들을 엽니다(표시되는 탭은 고른 Query Type 에 따라 다릅니다).
    • History 를 고르면 다음 탭은 Traffic History 로, Time Frame 과 보고서 유형을 고릅니다.
    • Real Time 을 고르면 다음 탭들에서 감시할 서비스·객체, 감시할 게이트웨이·특정 IP, 갱신 간격, 결과 유형, 차트 설정을 정합니다.
  6. Save 를 누릅니다.
  7. 새 Custom 뷰를 우클릭하고 Rename 을 고릅니다.
  8. 뷰 이름을 입력합니다.

커스텀 Counters 뷰 만들기

  1. Tree에서 Custom 을 우클릭하고 New Counters View 를 고릅니다. Query Properties 창이 열립니다.
  2. History 또는 Real Time 을 고릅니다.
  3. Target Security Gateway 를 고릅니다.
    • 한 게이트웨이 결과가 자주 필요하면 Specific Gateway 에서 고릅니다.
    • 게이트웨이가 적으면 각각에 대해 커스텀 뷰를 만들 수 있습니다.
    • 아니라면 Prompt for Gateway before run 을 고릅니다.
  4. Counters 탭을 엽니다.
  5. 범주와 추가할 카운터를 고릅니다. 서로 다른 범주의 카운터를 한 뷰에 섞어 추가할 수 있습니다.
  6. Query Type 에서:
    • History 이면: Time Frame 을 고르고 Save 를 누릅니다.
    • Real Time 이면: a. Settings 탭을 엽니다. b. 갱신 간격과 차트 유형을 정합니다. c. Save 를 누릅니다.
  7. 새 Custom 뷰를 우클릭하고 Rename 을 고릅니다.
  8. 뷰 이름을 입력합니다.

커스텀 Tunnel 뷰 만들기

  1. SmartView Monitor 클라이언트에서 File > New > Tunnels View 를 고릅니다. Query Properties 창이 표시됩니다.
  2. 특정 Tunnel·Community·Gateway에 대한 보고서를 만들려면 Prompt on 을 고릅니다. Prompt on — 뷰를 실행할 때 어떤 Tunnel·Community·Security Gateway를 기준으로 할지 묻습니다.
  1. Show one record per tunnel 또는 Show two records per tunnel 을 고릅니다. Show two records per tunnel 은 터널의 양방향 상태를 모두 제공 하므로 더 정확한 상태를 보여 줍니다.
  2. Show 열에서 이 뷰와 연관할 필터를 고릅니다.
  3. Filter 열에서 해당하는 Any(\*) 링크를 누릅니다.
  4. 선택한 필터를 편집하도록 관련 객체를 고릅니다.
  5. Advanced 버튼을 누릅니다.
  6. Records limitation 창에서 보고서에 표시할 줄 수의 한도를 정합니다.
  7. 레코드 한도를 입력합니다.
  8. OK 를 누릅니다. Tunnels 뷰가 Tree View의 Custom 가지에 표시됩니다.
  9. 새 Tunnel 뷰의 이름을 입력합니다.
  10. Enter 를 누릅니다.

커스텀 Users 뷰 만들기

  1. SmartView Monitor에서 File > New > Users View 를 고릅니다. Query Properties 창이 표시됩니다.
  2. 특정 사용자·게이트웨이에 대한 사용자 보고서를 만들려면 Prompt on 을 고릅니다. Prompt on — 뷰를 실행할 때 어떤 User DN·Security Gateway를 기준으로 할지 묻습니다.
  1. Show 열에서 이 뷰와 연관할 필터를 고릅니다.
  2. Filter 열에서 해당하는 Any(\*) 링크를 누릅니다.
  3. 선택한 필터를 편집하도록 관련 객체를 고릅니다.
  4. Advanced 버튼을 눌러 Records limitation 창에서 보고서 줄 수의 한도를 정합니다.
  5. 레코드 한도를 입력합니다.
  6. OK 를 누릅니다. Users 뷰가 Tree View의 Custom 가지에 표시됩니다.
  7. 새 Users 뷰의 이름을 입력합니다.
  8. Enter 를 누릅니다.

커스텀 뷰 예시(실시간 Services Traffic 뷰)

예를 들어 Services에 대한 실시간 Traffic 뷰를 만들어 보겠습니다.

  1. 바꿀 뷰를 더블클릭하고, 뷰를 만들 Security Gateway를 고릅니다.
  2. 뷰 툴바에서 View Properties 버튼을 고릅니다. Query Properties 창이 표시됩니다.
  3. Real-Time 을 고릅니다. Real-Time은 현재 감시 중인 트래픽·시스템 카운터 정보를 제공합니다. (이전에 로깅된 정보를 보려면 History 를 고릅니다.)
  4. 드롭다운에서 실시간 Traffic 뷰를 만들 주제를 고릅니다. 여기서는 Services 를 고릅니다.
  1. 이 커스텀 Traffic 뷰의 Target 을 고릅니다. Target은 트래픽을 감시할 Security Gateway입니다.
  2. Monitor by Services 탭을 누릅니다.
  3. Specific Services 와, 커스텀 Traffic 뷰를 만들 Services를 고릅니다.
  4. Filter 탭을 누릅니다.
  5. 필요한 선택을 합니다.
  6. Settings 탭을 누릅니다.
  7. 필요한 선택을 합니다.
  8. 끝나면 OK 를 누릅니다. Select Gateway / Interface 창이 표시됩니다.
  9. 이 새 뷰를 만들거나 실행할 Security Gateway·인터페이스를 고릅니다.
  10. 툴바에서 Save to Tree 버튼을 누릅니다.
  11. 새 뷰 이름을 입력합니다.
  12. OK 를 누릅니다. 새 뷰가 Custom 가지에 저장됩니다.

커스텀 뷰 내보내기(Exporting)

업그레이드를 설치하기 전에 커스텀 뷰를 백업하거나, 다른 SmartView Monitor GUI 클라이언트·사용자와 공유할 수 있습니다.

  1. 뷰를 우클릭하고 Export Properties 를 고릅니다.
  2. 열리는 창에 내보낼 파일의 경로명을 입력합니다.
  3. Save 를 누릅니다. 확장자가 svm_setting 인 파일이 만들어집니다.

기본 뷰 설정하기(Setting Your Default View)

SmartView Monitor가 시작할 때 볼 뷰를 정할 수 있습니다. Tree에서 뷰를 우클릭하고 Run at Startup 을 고릅니다.

뷰 새로 고치기(Refreshing Views)

결과는 기본적으로 60초마다 자동 으로 새로 고쳐집니다.

  • 더 일찍 새로 고치려면 Tree에서 뷰 이름을 우클릭하고 Run 을 고릅니다.
  • 현재 뷰의 한 객체에 대한 데이터만 새로 고치려면, 결과에서 그 객체를 우클릭하고 Refresh 를 고릅니다.

장치 상태 모니터링(Monitoring Device Status)

SmartConsole의 Gateways & Servers 뷰에는 Security Management Server와 그것이 관리하는 모든 장치의 상태를 보는 6가지 뷰가 있습니다.

설명
General모든 장치에 대한 일반 정보.
Health각 장치의 상태(health)·동작 상태 정보.
Traffic특정 장치를 지나가는 네트워크 트래픽 양 정보.
Access Control각 장치의 Access Control 블레이드와 Identity Awareness 정보.
Threat Prevention각 장치의 Threat Prevention 블레이드와 정책 정보.
Management각 장치의 관리 블레이드 정보.
Licenses장치의 라이선스와 활성화된 Software Blade 정보.

기본 뷰는 General 입니다. 뷰를 바꾸려면 Gateways & Servers 뷰 왼쪽 위 모서리의 Columns 로 가서 드롭다운에서 원하는 뷰를 고릅니다.

Device Status(장치 상태)

Security Gateway의 상태 갱신은 Software Blade의 상태를 반영 합니다. 예를 들어 SmartEvent 블레이드만 Problem 이고 나머지 블레이드가 모두 OK 라면, 전체 상태는 Problem 이 됩니다.

상태 아이콘설명
OK장치와 모든 Software Blade가 정상 동작합니다.
Attention적어도 한 Software Blade에 사소한 문제가 있지만 장치는 동작합니다.
Problem적어도 한 Software Blade가 오작동을 보고했거나, 활성화된 블레이드가 설치되지 않았습니다.
WaitingSmartView Monitor가 Security Management Server가 게이트웨이에서 데이터를 보내 주기를 기다리는 중입니다.
Disconnected장치에 도달할 수 없습니다.
UntrustedSecurity Management Server와 Security Gateway 사이에 SIC를 맺을 수 없습니다.

게이트웨이 데이터 표시(Displaying Gateway Data)

각 Check Point Security Gateway나 OPSEC Gateway에 대한 상세 정보를 볼 수 있습니다.

  1. SmartConsole에서 Logs & Events 뷰로 갑니다.
  2. 뷰 아래쪽 External Apps 로 가서 Tunnel & User Monitoring 을 고릅니다. Check Point SmartView Monitor가 열립니다.
  3. Gateway Status > Firewalls 로 갑니다. Firewalls 뷰가 각 게이트웨이의 일반 정보를 표시합니다.
  4. 시스템 정보를 보려면 특정 게이트웨이를 누르고 System Information 으로 갑니다.
  5. 특정 Software Blade에 대한 정보를 보려면 해당 블레이드를 누릅니다.

System Information(시스템 정보)

항목설명
CPU각 CPU별 파라미터(예: Idle, User, Kernel, Total). 참고 — Gateways Results 뷰의 Average CPU 는 존재하는 모든 CPU의 평균 총 CPU 사용률을 가리킵니다.
Memory가상 메모리 총량과 그중 사용 비율, 실제(real) 메모리 총량과 그중 사용 비율, 사용 가능한 실제 메모리 양.
Disk모든 디스크 파티션과 그 세부(예: 용량·사용량·여유). 참고 — Gateways Results 뷰의 Disk Free는 Firewall이 설치된 하드디스크의 여유 공간 비율/총량입니다. 예: 하드 드라이브 C·D 중 Firewall이 C에 있으면, Disk Free는 D가 아닌 C의 여유 공간을 나타냅니다.

로컬 서버나 다른 어플라이언스에서 Check Point 애플리케이션의 상태를 보려면 cpstat 명령을 씁니다. 자세히는 R82 CLI Reference GuideSecurity Gateway Commands 챕터 중 cpstat 절을 보세요.

Firewall

항목설명
Security Policy Name and Installed On게이트웨이에 설치된 보안 정책 이름과 설치된 날짜·시각.
Packets게이트웨이가 accept·reject·drop·log한 패킷 수.
UFP Cache performance캐시의 hit ratio(%)와 총 hit 수, UFP Server가 검사한 연결 수.
Hash Kernel Memory / System Kernel MemoryHash Kernel Memory(메모리 상태)와 System Kernel Memory(OS 메모리) — 할당·사용된 메모리 총량, 사용된 메모리 블록 수, 메모리 할당 횟수와 그중 실패한 횟수, 메모리 할당을 해제한·해제 실패한 횟수, NAT Cache의 총 hit·miss 수 포함.

Virtual Private Networks(VPN)

VPN은 세 가지 주요 상태로 나뉩니다.

  • Current — 현재 활성 출력(active output)의 수.
  • High Watermark — 현재 출력의 최댓값.
  • Accumulative data — 출력의 누적 총수.

여기에는 다음이 포함됩니다.

항목설명
Active Tunnels현재 IPsec 터널이 열려 있는 모든 종류의 VPN 피어. VPN 게이트웨이의 활동 수준 추적에 유용. High Watermark는 게이트웨이 재시작 이후 IPsec 터널이 열렸던 VPN 피어의 최댓값.
Remote Access현재 IPsec 터널이 열려 있는 모든 종류의 Remote Access VPN 사용자. 원격 접속 서버로 쓰이는 VPN 게이트웨이의 활동·부하 패턴 추적에 유용. High Watermark는 재시작 이후 IPsec 터널이 열렸던 Remote Access VPN 사용자의 최댓값.
Tunnels Establishment Negotiation성공한 Phase I IKE 협상의 현재 속도(초당 협상 수). 원격 접속 서버 VPN 게이트웨이의 활동·부하 추적에 유용. High Watermark는 정책 설치 이후 성공한 Phase I IKE 협상의 최고 속도. Accumulative는 정책 설치 이후 성공한 Phase I IKE 협상의 총수.
FailedPhase I IKE 협상의 현재 실패 속도. 문제 해결(예: DoS)이나 VPN 원격 접속 과부하 진단에 유용. High Watermark는 정책 설치 이후 실패한 Phase I IKE 협상의 최고 속도. Accumulative는 그 총수.
Concurrent현재 동시 IKE 협상 수. 대규모 원격 접속 VPN에서 연결 개시 동작 추적에 유용. High Watermark는 정책 설치 이후 동시 IKE 협상의 최댓값.
Encrypted and Decrypted throughput암호화·복호화 트래픽의 현재 속도(Mbps). (패킷 속도와 함께) VPN 사용량·성능 추적에 유용. High Watermark는 재시작 이후 최댓값, Accumulative는 재시작 이후 총량(Mbps).
Encrypted and Decrypted packets암호화·복호화 패킷의 현재 속도(초당 패킷 수). (throughput과 함께) VPN 사용량·성능 추적에 유용. High Watermark는 재시작 이후 최댓값, Accumulative는 재시작 이후 암호화 패킷 총수.
Encryption and Decryption errors게이트웨이에서 발생하는 오류의 현재 속도(초당 오류 수). VPN 연결 문제 진단에 유용. High Watermark는 재시작 이후 최고 속도, 그리고 재시작 이후 총 오류 수.
HardwareVPN Accelerator 벤더 이름과 Accelerator 상태. 일반 오류(VPN Accelerator general error의 초당 발생 속도). High Watermark는 재시작 이후 최고 속도, 그리고 재시작 이후 총 일반 오류 수.
IP Compression압축·압축 해제된 패킷 통계와 오류.

QoS

항목설명
Policy informationQoS 정책 이름과 설치된 날짜·시각.
Number of interfacesCheck Point QoS 게이트웨이의 인터페이스 수. 인터페이스 정보는 인바운드·아웃바운드 트래픽 모두에 적용 — 초당 통과 바이트의 최대·평균값, 총 conversation 수 포함. Conversation 은 활성 연결과 이전 검사 결과로 예상되는 연결을 말하며, 예로 FTP의 데이터 연결, UDP 연결의 "후반부"가 있습니다.
Packet and Byte informationCheck Point QoS 큐의 패킷·바이트 수.

ClusterXL

항목설명
Gateway working modeCluster Member로서의 동작 모드(Active 여부)와 우선순위 시퀀스상의 위치. Working modes: ClusterXL, Load Sharing, Sync only. Running modes: Active, Standby, Ready, Down.
Interfaces게이트웨이가 인식한 인터페이스. IP 주소·상태, 그리고 그 인터페이스를 지나는 연결이 verified·trusted·shared인지 포함.
Problem Notes문제 통지 장치의 설명 — 상태, 우선순위, 상태를 마지막으로 검증한 시각 등.

OPSEC

  • Check Point OPSEC SDK와 OPSEC 제품의 버전 이름·번호, 빌드 번호. OPSEC Gateway가 가동된 이후 경과 시간(초).
  • OPSEC 벤더는 자사의 OPSEC Application Gateway 세부에 필드를 추가 할 수 있습니다.

Check Point Security Management

동기화 상태(synchronization status) 는 선택한 Security Management Server를 기준으로 한 피어 Management Server들의 상태를 나타냅니다. Active 또는 Standby Management Server에 연결돼 있으면 Management High Availability Servers 창에서 봅니다. 가능한 동기화 상태는 다음과 같습니다.

상태설명
Never been synchronizedSecondary Management Server 설치 직후, 아직 첫 수동 동기화를 거치지 않은 상태. 이 동기화로 Primary와 같은 최신 상태가 됩니다.
Synchronized피어가 올바로 동기화되어 같은 데이터베이스 정보와 설치된 보안 정책을 갖습니다.
CollisionActive Management Server와 그 피어가 서로 다른 정책·데이터베이스 를 가짐. 관리자가 수동 동기화를 하고 어느 쪽을 덮어쓸지 결정해야 합니다.

Clients — Management Server에 연결된 클라이언트 수, SmartConsole 이름, 그 SmartConsole을 다루는 관리자, SmartConsole 호스트 이름, 잠긴 데이터베이스 이름, SmartConsole 애플리케이션 유형.

SmartEvent Correlation Unit과 SmartEvent Server

SmartView Monitor는 SmartEvent Correlation Unit과 SmartEvent Server에서 상태를 읽습니다.

SmartEvent Correlation Unit 상태 예시

  • SmartEvent Correlation Unit이 active인지 inactive인지
  • SmartEvent Server에 연결돼 있는지
  • Log Server에 연결돼 있는지
  • SmartEvent Correlation Unit과 Log Server의 연결 상태
  • Offline job 상태
  • 디스크 공간 부족 상태

SmartEvent Server 상태 예시

  • 마지막으로 이벤트를 처리한 시각(Last handle event time)
  • SmartEvent Server가 active인지 inactive인지
  • SmartEvent Server가 연결된 SmartEvent Correlation Unit 목록
  • 지정 기간 동안 도착한 이벤트 수

SmartEvent Correlation Unit을 Log Server에 연결하면 로그를 읽고, SmartEvent Server에 연결하면 이벤트를 보냅니다. Correlation Unit이 다른 구성 요소와의 연결에 문제(예: SIC 문제)가 생기면 그 문제가 Correlation Unit 상태에 보고됩니다. 같은 이유로 SmartEvent Server에는 모든 Correlation Unit과의 연결 정보를 담은 상태가 있습니다. 이벤트 분석 전반은 SmartEvent로 이벤트 분석을 함께 보세요.

Anti-Virus와 URL Filtering

SmartView Monitor는 Anti-Virus·URL Filtering이 켜진 Security Gateway의 상태와 카운터를 제공합니다. 상태는 다음 범주로 나뉩니다.

  • Current Status(현재 상태)
  • Update Status(예: 시그니처 업데이트를 마지막으로 확인한 시각)

Anti-Virus 상태는 시그니처 검사 와, URL Filtering 상태는 URL·카테고리 와 연관됩니다. 또한 SmartView Monitor는 Anti-Virus·URL Filtering 카운터를 실행할 수 있습니다. 예를 들면:

  • 지난 한 시간 동안의 상위 5개 공격
  • 마지막 리셋 이후 상위 10개 공격
  • 지난 한 시간 동안의 상위 10개 http 공격
  • HTTP 공격 일반 정보

Multi-Domain Security Management

SmartView Monitor로 Multi-Domain Server를 모니터링할 수 있습니다. 이 정보는 Gateway Status 뷰에서 볼 수 있으며, CPU나 Overall Status 같은 Multi-Domain Security Management 카운터 정보 를 봅니다.

`cpstat` 명령

cpstat 는 Check Point 애플리케이션의 상태와 통계 정보를 보여 줍니다. 자세히는 R82 CLI Reference GuideSecurity Gateway Commands 챕터 중 cpstat 절을 보세요.

Cluster Member 시작·정지

SmartView Monitor에서 클러스터의 한 멤버를 정지·시작하려면:

  1. Gateway Status 뷰를 엽니다.
  2. Cluster Member를 우클릭하고 Cluster Member > Start Member 또는 Stop Member 를 고릅니다.

VPN 터널 모니터링(Monitoring VPN Tunnels)

VPN Tunnels 솔루션

VPN 터널은 게이트웨이 사이의 안전한 링크로, 조직 게이트웨이와 원격 접속 클라이언트 사이의 안전한 연결을 보장합니다. 터널이 만들어져 쓰이기 시작하면 그 정상 동작을 계속 추적해, 오작동과 연결 문제를 가능한 한 빨리 진단·해결할 수 있습니다. SmartView Monitor는 조직 터널의 상태를 끊임없이 감시·분석해 문제를 찾아냅니다. Tunnel 뷰로는 특정 조건에 맞는 터널에 대한 상세 보고서 를 만들어, 터널 상태, 연관된 Community, 연결된 게이트웨이 등을 봅니다. 터널의 의미와 구성은 Site-to-Site VPN 가이드Remote Access VPN 가이드를 함께 보면 좋습니다.

터널 종류는 다음과 같습니다.

  • Regular tunnel — 두 피어 사이에 암호화 데이터를 주고받는 능력. 두 피어 모두 Phase 1·Phase 2 키를 가지면 "up" 으로 간주합니다.
  • Permanent tunnel항상 활성 상태로 유지 되는 터널. 그래서 오작동·연결 문제를 알아채기 쉽습니다. 관리자는 VPN 터널의 양쪽을 감시해 지연 없이 문제를 파악 합니다. Permanent tunnel은 끊임없이 감시되므로 커뮤니티의 각 VPN 터널을 Permanent로 설정할 수 있고, 터널이 down되면 log·alert·user defined action을 낼 수 있습니다.

Permanent tunnel 구성은 커뮤니티 레벨 에서 이뤄지며 다음 범위로 지정합니다.

  • 전체 커뮤니티 에 지정 — 커뮤니티 내 모든 VPN 터널을 permanent로 설정.
  • 특정 Security Gateway 에 지정 — 특정 게이트웨이가 Permanent tunnel을 갖도록 구성.
  • 단일 VPN 터널 에 지정 — 특정 게이트웨이 사이의 특정 터널을 permanent로 구성.

다음 표는 가능한 터널 상태와, 그것이 Permanent·Regular 터널에 갖는 의미를 보여 줍니다.

StatePermanent TunnelRegular Tunnel
Up터널이 동작하고 데이터가 문제없이 흐릅니다.IKE SA(Phase 1)와 IPsec SA(Phase 2)가 피어 게이트웨이와 존재합니다.
Destroyed터널이 파기됨.터널이 파기됨.
Up Phase1해당 없음(Irrelevant).터널 초기화 진행 중이며 Phase 1이 완료(쿠키 포함 IKE SA 존재)됐으나 Phase 2는 없음.
Down터널 장애. 원격 피어와 데이터를 주고받을 수 없음.해당 없음(Irrelevant).
Up Init터널이 초기화됨.해당 없음(Irrelevant).
Gateway not RespondingSecurity Gateway가 응답하지 않음.Security Gateway가 응답하지 않음.

VPN 터널 뷰 갱신(Updates)

  • SmartConsole에서 터널을 삭제하면, Tunnel Results 뷰는 삭제된 터널을 삭제 후 한 시간 동안 계속 보여 줍니다.
  • 커뮤니티를 편집하면, Results 뷰는 커뮤니티에서 제거된 터널을 제거 후 한 시간 동안 보여 줍니다.

VPN 터널 뷰 실행하기

Tunnel 뷰를 실행하면 결과가 SmartView Monitor 클라이언트에 표시됩니다. Tunnel 뷰는 기존 뷰에서, 새 뷰를 만들 때, 기존 뷰를 바꿀 때 실행할 수 있습니다. 만들고 실행할 수 있는 Tunnel 뷰는 다음과 같습니다 — Down Permanent Tunnels, Permanent Tunnels, Tunnels on Community, Tunnels on a Security Gateway.

Down Tunnel 뷰 실행

Down Tunnel 뷰 결과는 현재 활성이 아닌 모든 터널 을 나열합니다.

  1. SmartView Monitor에서 Tree View의 Tunnels 가지를 누릅니다.
  2. Tunnels 가지(Custom 또는 Predefined)에서 Down Permanent Tunnel 뷰를 더블클릭합니다.

선택한 뷰 속성에 연관된 모든 Down Tunnel 목록이 표시됩니다.

Permanent Tunnel 뷰 실행

Permanent Tunnel 뷰 결과는 기존 Permanent Tunnel과 그 현재 상태 를 모두 나열합니다(Permanent Tunnel은 항상 활성으로 유지되는 터널).

  1. SmartView Monitor 클라이언트에서 Tree View의 Tunnels 가지를 누릅니다.
  2. Tunnels 가지에서 실행할 Custom Permanent Tunnel 뷰를 더블클릭합니다.

선택한 뷰 속성에 연관된 Permanent Tunnel 목록이 표시됩니다.

Tunnels on Community 뷰 실행

이 뷰 결과는 선택한 Community에 연관된 모든 터널을 나열합니다.

  1. SmartView Monitor 클라이언트에서 Tree View의 Tunnels 가지를 누릅니다.
  2. Tunnels 가지(Custom 또는 Predefined)에서 Tunnels on Community 뷰를 더블클릭합니다. 모든 Community 목록이 표시됩니다.
  3. 터널을 감시할 Community를 고릅니다.
  4. OK 를 누릅니다. 선택한 Community에 연관된 모든 터널 목록이 표시됩니다.

Tunnels on Gateway 뷰 실행

이 뷰 결과는 선택한 Security Gateway에 연관된 모든 터널을 나열합니다.

  1. SmartView Monitor 클라이언트에서 Tree View의 Tunnels 가지를 누릅니다.
  2. Tunnels 가지(Custom 또는 Predefined)에서 Tunnels on Gateway 뷰를 더블클릭합니다. Security Gateway 목록이 표시됩니다.
  3. 터널과 그 상태를 볼 Security Gateway를 고릅니다.
  4. OK 를 누릅니다. 선택한 게이트웨이에 연관된 터널 목록이 표시됩니다.

트래픽·System Counter 모니터링

Traffic·System Counters 솔루션

SmartView Monitor는 특정 네트워크 활동·서버와 관련된 트래픽, 그리고 여러 Check Point 제품의 활동·하드웨어·소프트웨어 사용 상태를 실시간으로 감시하는 도구를 제공합니다. 이를 통해 다음을 할 수 있습니다.

  • 특정 트래픽 차단
  • Security Gateway에서 트래픽 흐름 제어
  • 현재 열린 터널 수, VPN 게이트웨이를 지나는 새 연결의 속도 확인

트래픽을 모니터링할 때는 가로채고 로깅된 모든 연결에 대해, 그리고 네트워크 사용량을 셀 때는 여러 속도·수치에 대해 상세하거나 요약된 그래프·차트 를 만들 수 있습니다.

Traffic(트래픽)

Traffic 모니터링은 네트워크 트래픽과 활동의 심층 세부를 제공합니다. 관리자는 트래픽 정보를 생성해 다음을 합니다.

  • 네트워크 트래픽 패턴 분석 — 어떤 서비스가 네트워크 자원을 가장 많이 쓰는지 파악합니다.
  • 네트워크 사용 비용 감사·산정 — 자원 사용이 사용자·부서별로 어떻게 나뉘는지 정보를 얻고, 서비스·대역폭·시간 사용을 요약한 보고서로 비용 산정 근거를 마련합니다.
  • 트래픽을 가장 많이 만드는 부서·사용자와 활동 피크 시간 식별.
  • 의심 활동 탐지·감시 — 차단된 트래픽, 알림, 거부된 연결, 실패한 인증 시도를 기록한 그래프·차트를 만들어 침입 시도 가능성을 식별합니다.

Traffic 뷰로 감시할 수 있는 Traffic 유형은 다음과 같습니다.

Traffic Type설명
Services선택한 게이트웨이를 통해 쓰인 Services의 현재 상태.
IPs/Network Objects선택한 게이트웨이를 통과하는 활성 IP·Network Object의 현재 상태.
Security Rules가장 자주 쓰인 Access Control 규칙의 현재 상태. 범례의 Name 열은 SmartConsole에서 구성한 규칙 번호를 나타냅니다.
Interfaces선택한 게이트웨이에 연관된 인터페이스의 현재 상태.
Connections선택한 게이트웨이를 통해 시작된 현재 연결의 상태.
Tunnels선택한 게이트웨이에 연관된 터널과 그 사용량의 현재 상태.
Virtual Link두 게이트웨이 사이의 현재 트래픽 상태(예: Bandwidth, Bandwidth Loss, Round Trip Time).
Packet Size Distribution패킷 크기별 현재 상태.
QoS각 QoS 규칙의 현재 트래픽 수준. 참고 — SecureXL이 켜진 게이트웨이에서는 SmartView Monitor의 "Top QoS Rules" 뷰가 거의 모든 트래픽을 "No Match" 규칙으로 표시합니다. sk118720 참고.

Traffic 범례 출력(Traffic Legend Output)

범례에 보이는 값은 실행한 Traffic 뷰에 따라 다릅니다. 뷰 결과의 모든 단위는 구성 가능한 Interval 단위로 표시됩니다.

System Counters(시스템 카운터)

System Counter 모니터링은 Check Point Software Blade의 사용·활동에 대한 심층 세부를 제공합니다. 관리자는 다음에 대한 시스템 상태 정보를 생성할 수 있습니다.

  • 게이트웨이에 연관된 다양한 구성 요소의 자원 사용 — 예: 실제 물리 메모리 평균 사용량, 사용자 응용프로그램이 쓴 CPU 시간 평균 비율, 여유 디스크 공간 등.
  • 여러 Firewall 구성 요소의 게이트웨이 성능 통계 — 예: HTTP 보안 서버가 처리한 평균 동시 CVP 세션 수, 동시 IKE 협상 수, SMTP 보안 서버가 처리한 새 세션 수 등.
  • 의심 활동 탐지·감시 — 알림·거부된 연결·실패한 인증 시도 수를 기록한 그래프·차트로 침입 시도 가능성을 식별합니다.

Traffic·System Counters 뷰 선택·실행

Traffic·System Counter 뷰를 실행하면 결과가 SmartView Monitor 클라이언트에 표시됩니다. 이 뷰는 기존 뷰에서, 새 뷰를 만들 때, 기존 뷰를 바꿀 때 실행할 수 있습니다.

  1. SmartView Monitor 클라이언트에서 Tree View의 Traffic 또는 System Counter 가지를 고릅니다.
  2. 실행할 Traffic·System Counter 뷰를 더블클릭합니다. 사용 가능한 게이트웨이 목록이 표시됩니다.
  3. 뷰를 실행할 Security Gateway를 고릅니다.
  4. OK 를 누릅니다. 선택한 뷰의 결과가 표시됩니다.

Traffic·Counter 뷰 녹화하기(Recording)

Traffic·System Counter 뷰 결과의 기록을 저장할 수 있습니다.

  1. Traffic·System Counter 뷰를 실행합니다.
  2. Traffic 메뉴를 고릅니다.
  3. Recording > Record 를 고릅니다. Save As 창이 표시됩니다.
  4. 기록 이름을 정합니다.
  5. 관련 디렉터리에 저장합니다.
  6. Save 를 누릅니다. Traffic·Counter 툴바 아래에 Recording 이라는 단어가 표시되며, 이는 지금 실행 중인 뷰가 녹화·저장되고 있음을 뜻합니다.
  7. 녹화를 멈추려면 Traffic 메뉴에서 Recording > Stop 을 고릅니다. 결과 기록이 위 단계에서 고른 디렉터리에 저장됩니다.

녹화한 뷰 재생하기(Play)

녹화 뒤에는 재생할 수 있습니다. 결과를 더 빠르게 보려면 Play 또는 Fast Play 를 고릅니다.

  1. SmartView Monitor 클라이언트에서 Traffic > Recording > Play 를 고릅니다. Select Recorded File 창이 표시됩니다.
  2. 기록 파일이 있는 디렉터리로 가서 해당 기록을 고릅니다.
  3. Open 을 누릅니다. 선택한 기록 뷰의 결과가 실행되기 시작하고, 툴바 아래에 Playing 이라는 단어가 표시됩니다.

재생 중인 녹화 일시정지·정지

  • 일시정지하려면 Traffic > Recording > Pause 를 고릅니다.
  • 앞서 녹화한 결과 재생을 다시 시작하려면 Recording > Play 를 누릅니다.
  • 멈추려면 Traffic > Recording > Stop 을 고릅니다.

사용자 모니터링(Monitoring Users)

Users 솔루션

User Monitor 는 관리 기능으로, 특정 Security Management Server에 현재 로그온한 Endpoint Security VPN 사용자 를 추적하게 해 줍니다. 풍부한 필터를 제공해 뷰 정의가 쉽고 효율적이며, 얻은 결과를 손쉽게 탐색하게 해 줍니다. 현재 열린 세션, 겹치는 세션, 라우트 트래픽, 연결 시간 등의 데이터로 원격 사용자의 접속 경험 에 대한 상세 정보를 주며, 열린 원격 접속 세션에 대한 실시간 통계 를 봅니다. 특정 데이터가 어떤 사용자에게 해당하지 않으면, 그 사용자의 해당 열에는 N/A 가 표시됩니다.

Users 뷰 실행하기

Users 뷰를 실행하면 결과가 SmartView Monitor에 표시됩니다. 이 뷰는 기존 뷰에서, 새 뷰를 만들 때, 기존 뷰를 바꿀 때 실행할 수 있습니다. 만들고 실행할 수 있는 Users 뷰의 대상은 한 사용자, 모든 사용자, 특정 Security Gateway, Mobile Access 사용자 입니다.

특정 사용자에 대한 User 뷰 실행

  1. SmartView Monitor > Tree View에서 Users 를 누릅니다.
  2. Get User by Name 을 누릅니다. User DN Filter 창이 열립니다.
  3. 지정한 User DN을 입력합니다.
  4. OK 를 누릅니다. 뷰 결과가 Results View에 표시됩니다.

모든 사용자·Mobile Access 사용자에 대한 User 뷰 실행

  1. SmartView Monitor > Tree View에서 Users 를 누릅니다.
  2. All Users 또는 Mobile Access Users 를 누릅니다. 뷰 결과가 Results View에 표시됩니다.

특정 Security Gateway에 대한 User 뷰 실행

  1. SmartView Monitor > Tree View에서 Users 를 누릅니다.
  2. Users by Gateway 를 누릅니다. Select Gateway 창이 표시됩니다.
  3. 뷰를 실행할 Security Gateway를 고릅니다.
  4. OK 를 누릅니다. 뷰 결과가 Results View에 표시됩니다.

Cooperative Enforcement 솔루션

Cooperative Enforcement 는 Check Point Endpoint Security Management Server 와 함께 동작합니다. 이 기능은 Endpoint Security Management Server의 준수(compliance) 기능 을 활용해, 내부망의 여러 호스트에서 오는 연결을 확인합니다. Endpoint Security Management Server는 내부·원격 PC에 대해 정책 기반 보안을 강제하는 중앙 관리형 다층 엔드포인트 보안 솔루션 으로, 해커·웜·스파이웨어 같은 위협의 위험을 줄여 줍니다. 정책 템플릿과 응용프로그램 권한 제어 같은 기능으로 관리자가 Cooperative Enforcement를 쉽게 개발·관리·강제할 수 있습니다.

Cooperative Enforcement에서는 Security Gateway를 통해 연결을 시작하는 호스트가 준수 여부를 검사 받습니다. 이로써 악성 소프트웨어가 든 호스트의 네트워크 접근을 막아 네트워크 무결성이 높아집니다. Cooperative Enforcement는 Endpoint Security Management Server가 관리하는 호스트와 그 서버 사이의 중간자(middle-man) 역할 을 하며, 서버의 준수 기능에 의존해 호스트가 안전한지 판단하고, 정의된 소프트웨어 구성 요소 조건을 충족하지 못하는 연결을 차단합니다.

Cooperative Enforcement 동작 흐름 — Endpoint Security 클라이언트(A)가 내부망(B)에서 Security Gateway(D)를 통해 인터넷(C)으로 연결, 게이트웨이가 Endpoint Security Management Server(E)에 준수 여부 질의
Cooperative Enforcement 동작 흐름 — Endpoint Security 클라이언트(A)가 내부망(B)에서 Security Gateway(D)를 통해 인터넷(C)으로 연결, 게이트웨이가 Endpoint Security Management Server(E)에 준수 여부 질의

동작 흐름은 다음과 같습니다.

  1. 내부망(B)의 Endpoint Security 클라이언트(A)가 Security Gateway(D)를 통해 인터넷(C)으로 연결을 엽니다.
  2. Cooperative Enforcement는 서버의 첫 응답이 클라이언트로 갈 때 부터 동작을 시작합니다.
  3. Security Gateway가 자기 테이블에서 클라이언트의 준수 여부를 보고, Endpoint Security Management Server(E)에 질의합니다.
  4. 응답을 받으면, 준수하는 호스트의 인터넷 연결은 허용 됩니다. 클라이언트가 준수하지 않고 Cooperative Enforcement가 Monitor-only 모드가 아니라면, 그 연결은 닫힙니다.

NAT 환경

Cooperative Enforcement는 모든 NAT 구성에서 지원되는 것은 아닙니다. NAT 환경에서 동작하려면 Security Gateway와 Endpoint Security Management Server가 클라이언트의 같은 IP 주소를 인식 해야 합니다. NAT 때문에 게이트웨이가 받는 IP 주소가 Management Server가 받는 IP 주소와 다르면, Cooperative Enforcement는 동작하지 않습니다.

Cooperative Enforcement 구성하기

Security Gateway의 Cooperative Enforcement 페이지에서 Authorize clients using Endpoint Security Server 를 눌러 기능을 켭니다.

  • Monitor Only — Security Gateway가 Endpoint Security Management Server에 인가를 요청하지만 연결을 폐기하지는 않습니다. 게이트웨이가 인가를 부여하는 동안 호스트는 연결할 수 있습니다. 게이트웨이는 인가되지 않은 호스트에 대해 로그를 만듭니다. 그런 호스트를 호스트 예외 목록에 넣거나 다른 방식으로 준수하게 만들 수 있습니다. Monitor Only 를 고르지 않으면 Enforcement 모드 로 동작하며, Endpoint Security Firewall이 준수하지 않는 호스트 연결을 차단합니다. HTTP 연결의 경우 클라이언트는 자기 호스트가 준수하지 않는다는 통지를 받고, 컴퓨터를 준수하도록 바꿀 수 있습니다(예: Endpoint Security 클라이언트 버전 업그레이드).
  • Track unauthorized client status — Monitor Only 모드가 아니었다면 폐기됐을 호스트에 대해 log·alert 옵션을 설정합니다.
  • Endpoint Security Server Selection 섹션 — 어느 Endpoint Security Management Server를 쓸지 고릅니다.
    • 이 머신을 쓰려면 Use Endpoint Security Server installed on this machine 을 고릅니다.
    • 다른 머신을 쓰려면 Select Endpoint Security Server 에서 서버를 고릅니다. 새 서버를 만들려면 New 를 누릅니다.
  • Client Authorization 섹션 — 클라이언트 인가의 예외를 정의합니다.
    • Check authorization of all clients — 모든 클라이언트의 인가를 받습니다.
    • Bypass authorization of the following clients — 선택한 그룹의 클라이언트는 인가 검사 없이 항상 연결되게 합니다. 나머지는 모두 검사합니다.
    • Check authorization only of the following clients — 선택한 그룹의 클라이언트만 인가를 검사합니다. 나머지는 모두 인가를 건너뜁니다.

Non-Compliant Hosts by Gateway 뷰

이 뷰는 Endpoint Security Management Server의 준수 상태별로 호스트 IP 주소를 보여 줍니다.

  • Authorized — 인터넷 접근을 허용. Authorized 상태인 게이트웨이는 이 뷰에 나타나지 않습니다.
  • Unauthorized — Endpoint Security 클라이언트가 준수하지 않아 호스트가 인가되지 않음.
    • Monitor Only mode — Endpoint Security 클라이언트가 인가 여부와 무관하게 인터넷에 접근.
    • Blocked mode — 인터넷 접근을 차단.
  • No Endpoint Security client — Security Gateway가 Endpoint Security 클라이언트와 연관되지 않음.