목차/09. Access Control 정책 만들기

09Access Control 정책 만들기Access Control 정책 만들기

이 가이드에서 가장 큰 장입니다. Check Point의 핵심인 하나로 통합된(unified) Access Control 정책 을 어떻게 짜는지를, 규칙의 구성·매칭·레이어·설치는 물론 NAT·IP Spoofing 방지·Mobile Access·Site-to-Site VPN·Remote Access VPN·Implied Rules까지 빠짐없이 풀어 정리합니다. 분량이 방대하니 필요한 절을 골라 읽어도 되지만, 전체를 관통하는 한 줄기는 모든 접근 통제를 하나의 Rule Base에 녹이고, 위에서부터 매칭하며, 레이어로 정리해 설치 한다는 것입니다. 정책의 검증·게시·설치 같은 기초 작업은 정책 관리 기초를, Threat Prevention·UserCheck 연동은 Threat Prevention·UserCheck를, 애플리케이션·URL 차단의 상세는 Application Control·URL Filtering 가이드를 함께 보세요.

통합 Access Control 정책

핵심은 여러 보안 기능을 하나의 Rule Base로 통합 한다는 것입니다. 다음 기능을 따로 관리하지 않고 한 정책에 함께 담습니다.

  • Firewall — 내부 네트워크를 드나드는 접근을 통제합니다.
  • Application & URL Filtering — 애플리케이션과 사이트를 차단합니다.
  • Content Awareness — 사용자가 업로드·다운로드할 수 있는 Data Type(데이터 유형)을 제한합니다.
  • IPsec VPN과 Mobile Access — Site-to-Site·Remote Access VPN으로 보안 통신을 구성합니다.
  • Identity Awareness — 사용자·컴퓨터·네트워크를 식별합니다.

별도의 Rule Base를 여러 개 운영할 필요가 없습니다. 예를 들어 "지정한 네트워크의 사용자가 특정 애플리케이션은 쓰되, 정해진 크기를 넘는 파일 다운로드는 막는다" 같은 직관적인 규칙 하나에 다음 객체를 모두 함께 쓸 수 있습니다.

  • Security Zones
  • Services
  • Applications and URLs
  • Data Types
  • Access Roles

그리고 이 모든 기능의 정보가 하나의 로그 에 모입니다 — 네트워크, 프로토콜, 애플리케이션, 사용자, 접근한 자원, 데이터 타입까지 한곳에서 봅니다.

Access Control Rule Base의 열(컬럼)

규칙은 여러 열로 이뤄집니다. 일부는 기본으로 숨겨져 있으니, Rule Base 헤더를 우클릭 해서 보이게 켜면 됩니다.

열(Column)설명
No레이어 안에서의 규칙 번호입니다.
Hits연결이 규칙에 매칭된 횟수입니다(아래 "Hit Count 분석" 참고).
Name관리자가 규칙에 붙이는 이름입니다.
Source / Destination트래픽이 시작하는 곳향하는 목적지 를 정의하는 네트워크 객체입니다.
VPN규칙이 적용되는 VPN Community입니다.
Services & Applications서비스, 애플리케이션, 카테고리, 사이트입니다. Application & URL Filtering이 꺼져 있으면 Services 만 보입니다.
Content보호할 데이터 자산(예: 신용카드 번호, 의료 기록)입니다. 데이터 방향을 Download Traffic(조직 안으로)·Upload Traffic(조직 밖으로)·Any Direction 으로 정할 수 있습니다.
Action트래픽이 규칙에 맞을 때 수행하는 동작입니다 — Accept, Drop, Ask, Inform(UserCheck 메시지), Inline Layer, Reject.
Track매칭 시 수행하는 추적·로깅 동작입니다.
Install On이 규칙을 받을 네트워크 객체(게이트웨이)입니다.
Time규칙이 적용되는 시간대입니다.
Comment규칙을 요약하는 선택 입력란입니다.

Source·Destination 열

Source·Destination 열에는 모든 종류의 그룹을 포함해 네트워크 객체 를 넣을 수 있습니다. 대표적으로 다음이 있습니다.

  • Network(네트워크), Network Groups(네트워크 그룹)
  • Host(호스트)
  • Zones(Security Zones)
  • Dynamic Objects(동적 객체)
  • Domain Objects(도메인 객체)
  • Access Roles(액세스 역할)
  • Updatable Objects(업데이트 가능 객체)

네트워크 객체를 만들고 관리하는 자세한 방법은 객체 관리(Managing Objects) 절을 참고하세요.

VPN 열

VPN 열로 Site-to-Site VPN, Remote Access VPN, Mobile Access Portal·클라이언트 에 대한 규칙을 만듭니다. 특정 VPN Community에 적용하려면 Site-to-Site CommunityRemote Access VPN Community 객체를 이 열에 추가하고, 모든 VPN Community에 적용하려면 Any 를 고릅니다.

게이트웨이에서 Mobile Access 를 켜면 그 게이트웨이는 자동으로 RemoteAccess VPN Community 에 추가됩니다. 규칙의 VPN 열에 그 Community를 넣거나 Any 를 써서 Mobile Access 게이트웨이에 규칙이 적용되게 합니다. 게이트웨이가 VPN Community에서 제거되었다면 VPN 열은 반드시 Any 여야 합니다.

IPsec VPN

IPsec VPN 은 게이트웨이가 다른 게이트웨이·클라이언트와 주고받는 트래픽을 암호화·복호화하게 해 줍니다. SmartConsole로 게이트웨이와 원격 장치 사이의 VPN 연결을 손쉽게 구성합니다. Site-to-Site Community에서는 VPN 네트워크의 Star·Mesh 토폴로지를 구성하고 서드파티 게이트웨이도 포함할 수 있습니다.

VPN 터널은 다음 세 가지를 보장합니다.

  • Authenticity(인증성) — 표준 인증 방식을 사용합니다.
  • Privacy(기밀성) — 모든 VPN 데이터를 암호화합니다.
  • Integrity(무결성) — 업계 표준 무결성 보증 방식을 사용합니다.

여기서 IKEIPsec 두 프로토콜이 쓰입니다. IKE(Internet Key Exchange)는 VPN 터널을 만드는 표준 키 관리 프로토콜이고, IPsec 은 사설·공용 네트워크에서 인증·암호화된 안전한 IP 통신을 지원하는 프로토콜입니다.

Mobile Access로 네트워크 접속

Check Point Mobile Access 는 원격 사용자가 인터넷을 통해 안전하고 쉽게 내부 네트워크에 접속하게 해 줍니다. 원격 사용자는 표준 HTTPS 요청을 Mobile Access 게이트웨이로 보내고, 하나 이상의 보안 인증 방식으로 인증합니다. Mobile Access Portal 은 모바일·원격 근무자가 인터넷으로 핵심 자원에 안전하게 접속하게 하고, Check Point Mobile Apps 는 관리되지 않는 스마트폰·태블릿에서도 회사 자원(내부 앱·메일·일정·연락처)에 암호화 통신으로 접근하게 합니다.

  • Rule Base에 Mobile Access 애플리케이션 접근을 넣으려면 Services & Applications 열에 Mobile Application 을 추가합니다.
  • 지정한 원격 접속 클라이언트로 자원을 주려면 그 클라이언트용 Access Role 을 만들어 규칙의 Source 열에 넣습니다.

Services & Applications 열

이 열에는 규칙에 포함할 애플리케이션·사이트·서비스 를 정의합니다. 한 규칙에 다음을 하나 이상 담을 수 있습니다.

  • Services(서비스)
  • Applications(애플리케이션)
  • Mobile Access용 Mobile Applications
  • Web sites(웹 사이트)
  • 인터넷 트래픽의 기본 카테고리
  • Check Point Application Database에 없는, 직접 만든 사용자 정의 그룹·카테고리

Service 매칭

게이트웨이는 서비스를 IP 프로토콜, TCP·UDP 포트 번호, 프로토콜 시그니처 로 식별(매칭)합니다. 프로토콜 시그니처로 서비스를 매칭하려면 게이트웨이와 Ordered Layer 양쪽에서 Application & URL Filtering을 켜야 합니다. TCP·UDP 서비스는 출발지 포트(source port) 로 매칭하도록 구성할 수도 있습니다.

Application 매칭

애플리케이션이 정책에서 허용 되면, 규칙은 그 애플리케이션의 Recommended services(권장 서비스) 에서만 매칭됩니다. 이 기본 설정은 모든 서비스에서 허용하는 것보다 안전합니다. 예를 들어 Facebook을 허용하는 규칙은 Facebook을 Application Control Web Browsing Services(http, https, HTTP_proxy, HTTPS_proxy)에서만 허용합니다.

반대로 애플리케이션이 차단 되면 모든 서비스, 즉 모든 포트에서 차단 됩니다. 기본 매칭 설정은 바꿀 수 있습니다.

허용된 애플리케이션의 매칭 구성 — 허용된 애플리케이션·카테고리가 어떤 서비스에서 매칭될지 다음 방식으로 바꿀 수 있습니다.

  1. Services & Applications 열에 애플리케이션·카테고리가 있는 규칙에서 그것을 더블클릭 합니다.
  2. Match Settings 를 선택합니다.
  3. 옵션을 고릅니다.
    • 기본값은 Recommended services 입니다(웹 서비스의 기본은 Application Control Web Browsing Services).
    • 모든 서비스에서 매칭하려면 Any 를 클릭합니다.
    • 지정한 서비스에서만 매칭하려면 Customize 를 누르고 서비스를 더하거나 뺍니다.
    • 모든 서비스에서 매칭하되 특정 서비스만 제외하려면 Customize 로 제외할 서비스를 넣고 Negate 를 선택합니다.
  4. OK 를 누릅니다. 이 변경은 정책 안에서 그 객체가 쓰인 모든 곳에 적용 됩니다.

차단된 애플리케이션의 매칭 구성 — 기본적으로 차단된 애플리케이션은 모든 서비스(모든 포트)에서 차단됩니다. 이를 권장 서비스에서만 매칭되게 바꿀 수 있습니다.

  1. SmartConsole에서 Manage & Settings > Blades > Application & URL Filtering > Advanced Settings > Application Port Match 로 갑니다.
  2. Match application on 'Any' port when used in 'Block' rule 를 설정합니다.
    • 선택(기본값) — 차단된 애플리케이션은 Any 포트로 매칭됩니다.
    • 해제 — 애플리케이션 객체에 구성된 서비스로만 매칭됩니다. 단 Skype처럼 표준 서비스 집합에 자신을 한정하지 않는 일부 애플리케이션은 여전히 Any 로 매칭됩니다.

다음 표는 "Block" 규칙에서의 애플리케이션 매칭을 요약합니다.

애플리케이션의 Match 설정'Any' 포트 매칭 체크박스차단 시 실제 매칭되는 서비스
Recommended services(기본)선택(기본)Any
Recommended services(기본)해제Recommended services
Customize무관Customized(지정한 서비스)
Any무관Any

규칙에 서비스·애플리케이션·사이트 추가하기

  1. SmartConsole의 Security Policies 뷰에서 Access Control Policy로 갑니다.
  2. 애플리케이션을 넣으려면 Application & URL Filtering이 켜진 레이어 를 고릅니다.
  3. 규칙의 Services & Applications 셀을 우클릭해 Add New Items 를 선택합니다.
  4. 서비스·사이트·애플리케이션·카테고리를 검색합니다.
  5. 넣을 항목 옆의 + 를 누릅니다.

사용자 정의 애플리케이션·카테고리·그룹 만들기

Application Database에 없는 애플리케이션·카테고리·그룹을 직접 만들 수 있습니다.

새 애플리케이션·사이트 만들기

  1. Access Control Policy로 가서 Application & URL Filtering이 켜진 레이어 를 고릅니다.
  2. Services & Applications 셀을 우클릭 > Add New Items 로 Application viewer를 엽니다.
  3. New > Custom Applications/Site > Application/Site 를 클릭합니다.
  4. 이름을 입력하고 하나 이상의 URL 을 넣습니다. 정규식을 썼다면 URLs are defined as Regular Expressions 를 체크합니다.
  5. OK 를 누릅니다.

사용자 정의 카테고리 만들기

  1. 레이어를 고른 뒤 Services & Applications 셀 우클릭 > Add New Items.
  2. New > Custom Applications/Site > User Category 를 클릭합니다.
  3. 이름과 설명을 입력하고 OK 를 누릅니다.

R77.30 이하 게이트웨이와 업그레이드 후의 동작

R77.30 이하 게이트웨이는 TCP·UDP 서비스를 포트 번호로만 매칭 하며 프로토콜 시그니처로는 매칭하지 못합니다. 애플리케이션은 애플리케이션 시그니처로 매칭합니다. Management Server를 R80 이상, 게이트웨이를 R80.10 이상으로 업그레이드하면, Application & URL Filtering Rule Base에 정의된 애플리케이션이 권장 포트에서 허용 되도록 동작이 바뀝니다.

Content 열

규칙의 Content 열에 Data Type 을 넣어 데이터 자산을 보호합니다. 이 열을 쓰려면 게이트웨이의 General Properties와 레이어 양쪽에서 Content Awareness를 켜야 합니다.

Data Type 은 데이터의 분류입니다. 게이트웨이는 드나드는 트래픽을 Data Type으로 분류해 정책을 적용합니다. 데이터 방향은 정책에서 Download Traffic(조직 안으로)·Upload Traffic(조직 밖으로)·Any Direction 으로 정합니다.

Data Type에는 두 종류가 있습니다 — Content Types(파일 내용을 분석해 분류)와 File Types(파일 ID를 분석해 분류).

Content Type 예시File Type 예시
PCI — 신용카드 번호Viewer File — PDF
HIPAA — 의료 기록 번호(MRN)Executable file(실행 파일)
국제 은행 계좌 번호(IBAN)Database file
Source Code — JAVADocument file
미국 사회보장번호(SSA 기준)Presentation file
Salary Survey Terms(급여 조사 용어)Spreadsheet file

Content Awareness에 대해 알아 둘 점이 여럿 있습니다.

  • Content Awareness Software Blade 는 모든 포트에서 HTTP, HTTPS, SMTP, FTP 프로토콜을 지원하며 통합 Rule Base에 완전히 통합됩니다. QUIC·WebSocket 트래픽은 검사하지 않 으며, 새 Application 규칙에서 'Quic protocol'/'WebSocket protocol'로 Drop·Allow할 수 있습니다. RFC를 따르지 않는 HTTP 연결은 검사하지 않습니다.
  • 바이너리 인증서 *.cer 파일은 'Certificates and Private Keys' Data Type에 매칭되지 않습니다.
  • Content Awareness와 DLP(Data Loss Prevention) 는 둘 다 Data Type을 쓰지만, 기능과 능력이 다르고 독립적으로 동작하며 게이트웨이가 따로 적용합니다.
  • Inline Layer의 부모 규칙 Content 열에 Archive File 이 있고 하위 규칙의 Content 열에 다른 값(예: Presentation File)이 있으면, 매칭된 압축 파일이 그 값을 포함하더라도 규칙은 매칭되지 않습니다. 두 Content 타입은 일반 규칙으로 처리하세요.
  • Content 열에 Compound Data Type Group 또는 Traditional Data Type Group 으로 Archive File과 다른 Data Type(예: PCI 신용카드 번호)을 함께 넣으면, 신용카드가 든 파일을 담은 압축 파일을 올리거나 내려받아도 규칙은 매칭되지 않습니다.
  • Content 열에 Archive File이 있는 규칙이 매칭되었고, Rule Base 아래쪽 규칙이 그 압축 파일 안에 든 Data Type을 검사한다면, 아래쪽 규칙도 함께 매칭 됩니다.

제한 사항도 있습니다.

  • Content Awareness는 일본어·한국어·그리스어·아랍어를 포함해 60개가 넘는 문자 집합(charset) 을 지원합니다. 검사 트래픽에 지원되는 charset이 없으면 UTF-8로 디코딩합니다(목록·기본 charset 변경은 sk116155).
  • 파일 이름 기반 Data Type을 지원하지만, 파일 이름이 URL이나 content-disposition 헤더에 없는 특정 HTTP 트래픽에서는 파일 이름이 부정확할 수 있습니다.

Action — 트래픽에 무엇을 할지

Action의미
Accept트래픽을 허용합니다.
Drop트래픽을 드롭합니다. 게이트웨이는 연결 시작 측에 응답을 보내지 않 아 연결이 결국 타임아웃됩니다. 이 동작에 UserCheck 객체가 없으면 어떤 페이지도 표시되지 않습니다.
Ask사용자에게 질문하고 확인 체크박스나 사유 입력란을 보여 줍니다(UserCheck 객체 사용).
Inform애플리케이션·콘텐츠에 접근하려는 사용자에게 메시지를 보냅니다(UserCheck 객체 사용).
Reject트래픽을 거부합니다. 게이트웨이가 시작 측에 RST 패킷 을 보내 연결을 즉시 닫습니다.

우클릭 후 More 를 선택하면 추가 설정이 나옵니다.

  • UserCheck Frequency — action이 ask·inform·block일 때 사용자가 메시지를 보는 빈도를 정합니다.
  • Confirm UserCheck — UserCheck 메시지를 띄우는 기준을 고릅니다.
    • Per rule — 트래픽이 한 규칙에 맞으면 메시지를 한 번만 보여 줍니다.
    • Per category — 규칙 안에서 맞는 카테고리마다 보여 줍니다.
    • Per application/Site — 맞는 애플리케이션·사이트마다 보여 줍니다.
    • Per Data type — 맞는 데이터 타입마다 보여 줍니다.
  • Limit — 규칙에 허용되는 대역폭을 제한합니다. Limit 객체를 추가해 업로드·다운로드 최대 처리량을 정합니다.
  • Enable Identity Captive Portal — HTTP 트래픽을 인증(Captive) 포털로 리디렉션합니다. 인증 후에는 같은 출발지의 새 연결을 다시 인증하지 않고 검사합니다.

Track 열 — 로깅

옵션설명
None로그를 생성하지 않습니다.
Log기본값입니다. 게이트웨이가 연결을 매칭하는 데 쓴 모든 정보를 보여 줍니다.
Accounting10분 간격으로 로그를 갱신 해 연결에서 오간 데이터를 보여 줍니다 — Upload bytes, Download bytes, browse time.

규칙 매칭 — 가장 먼저 맞는 규칙

게이트웨이는 연결에 적용할 규칙을 결정 하는데, 이를 "연결 매칭"이라고 합니다. 이 동작을 이해하면 Rule Base 성능을 끌어올리고 매칭된 연결의 로그를 해석 하는 데 도움이 됩니다. 아래 예시들은 설명을 명확히 하려고 일부러 모범 사례를 따르지 않았습니다.

예시 1 — 첫 패킷에서 바로 결정

NoSourceDestinationServices & ApplicationsContentAction
1InternalZoneInternetftp-pasvDownload executable fileDrop
2AnyAnyAnyExecutable fileAccept
3AnyAnyGambling (Category)AnyDrop
4AnyAnyAnyAnyAccept

FTP 연결의 매칭 절차입니다.

연결 부분게이트웨이 동작검사 결과
SYNRule Base를 실행해 처음 맞는 규칙을 찾습니다.Rule 1 — Match. 최종 매칭(규칙 1에서 Drop). 로그에 표시 됩니다. 게이트웨이는 나머지 규칙의 검사 엔진을 켜지 않습니다.

예시 2 — 여러 번 검사하며 좁혀 간다

No.SourceDestinationServices & ApplicationsContentAction
1InternalZoneInternetAnyDownload executable fileDrop
2AnyAnyGambling (category)AnyDrop
3AnyAnyftpAnyDrop
4AnyAnyAnyAnyAccept

파일 공유 웹 사이트를 탐색할 때의 절차입니다. 위에서 아래로, 또 왼쪽에서 오른쪽으로 따라 읽습니다.

연결 부분게이트웨이 동작검사 결과
SYNRule Base 실행. 처음 맞는 규칙 탐색.Rule 1 — 가능성 있음, Rule 2 — 가능성 있음, Rule 3 — 불일치, Rule 4 — Match. (계속 검사)
HTTP Header검사 엔진을 켭니다. Application: File sharing(category). Content: 아직 모름.URL Filtering 엔진 — 도박 사이트인가? / Content Awareness 엔진 — 실행 파일인가? 매칭 최적화 → Rule 1 가능성, Rule 2·3 불일치, Rule 4 — Match.
HTTP Body파일을 검사. Data: PDF file.매칭 최적화 → Rule 1·2·3 불일치, Rule 4 — Match. 최종 매칭(규칙 4에서 Accept). 로그에 표시.

예시 3 — 본문 검사 후 위쪽 규칙으로 되돌아 매칭

No.SourceDestinationServices & ApplicationsContentAction
1InternalZoneInternetAnyDownload executable fileDrop
2AnyAnyGambling (Category)AnyDrop
3AnyAnyAnyAnyAccept

업무용 웹 사이트에서 실행 파일을 내려받을 때의 절차입니다.

연결 부분게이트웨이 동작검사 결과
SYNRule Base 실행.Rule 1·2 가능성, Rule 3 — Match. (계속 검사)
HTTP Header검사 엔진을 켭니다. Application: Business(Category). Content: 아직 모름.매칭 최적화 → Rule 1 가능성, Rule 2 불일치, Rule 3 — Match.
HTTP Body파일 검사. Content: Executable file.매칭 최적화 → Rule 1 — Match, Rule 2 불일치, Rule 3 Match. 최종 매칭(규칙 1에서 Drop). 로그에 표시.

이 예시들이 보여 주는 점은 다음과 같습니다.

  • 게이트웨이는 때때로 Rule Base를 여러 번 실행 합니다. 실행할 때마다 매칭을 최적화해 적용될 첫 규칙을 찾습니다.
  • 규칙에 애플리케이션·사이트·프로토콜 시그니처가 있는 서비스(Services & Applications 열), 또는 Data Type(Content 열)이 들어 있으면 게이트웨이는 하나 이상의 검사 엔진을 켜고, 연결 본문을 검사할 때까지 최종 매칭 결정을 미 룹니다.
  • 게이트웨이는 매칭되는 첫 규칙을 찾되, 매칭 규칙을 식별할 정보가 부족하면 트래픽을 계속 검사합니다.

기본 Access Control 정책 만들기

게이트웨이는 Access Control Rule Base 라는 규칙 집합으로 컴퓨터·클라이언트·서버·애플리케이션 접근을 통제합니다. 강력한 Rule Base는 권한 있는 연결만 허용해 취약점을 막고, 사용자에게 올바른 내부 자원 접근을 주며, 연결을 효율적으로 검사 합니다.

Use Case — 기본 Access Control

단순한 보안 정책의 예입니다(Hits·VPN·Content 열은 생략).

NoNameSourceDestinationServices & ApplicationsActionTrackInstall On
1Admin Access to Security GatewaysAdmins (Access Role)Group of Security GatewaysAnyAcceptLogPolicy Targets
2StealthAnyGroup of Security GatewaysAnyDropAlertPolicy Targets
3Critical subnetInternalFinance / HR / R&DAnyAcceptLogCorpGW
4Tech supportTechSupportRemote1-webHTTPAcceptAlertRemote1GW
5DNS serverAnyDNSDomain UDPAcceptNonePolicy Targets
6Mail and Web serversAnyDMZHTTP / HTTPS / SMTPAcceptLogPolicy Targets
7SMTPMailNOT Internal net groupSMTPAcceptLogPolicy Targets
8DMZ & InternetIntGroupAnyAnyAcceptLogPolicy Targets
9Cleanup ruleAnyAnyAnyDropLogPolicy Targets

각 규칙의 뜻은 다음과 같습니다.

  • 1 Admin Access — SmartConsole 관리자가 게이트웨이에 접속하도록 허용합니다.
  • 2 Stealth — 관리자가 아닌 모든 내부 트래픽이 게이트웨이로 향하면 드롭합니다. 매칭되면 SmartView Monitor에 경고 창이 뜹니다.
  • 3 Critical subnet — 내부 네트워크에서 Finance·HR·R&D 세 핵심 서브넷으로 가는 트래픽을 로깅합니다.
  • 4 Tech support — Tech Support 서버가 Remote-1 게이트웨이 뒤의 웹 서버에 HTTP만 으로 접근하도록 허용하고, 매칭 시 Alert를 수행합니다.
  • 5 DNS server — 외부 DNS 서버로 가는 UDP 트래픽을 허용하며 로깅하지 않습니다.
  • 6 Mail and Web servers — DMZ의 메일·웹 서버로 들어오는 HTTP·HTTPS·SMTP를 허용합니다.
  • 7 SMTP — 메일 서버로 나가는 SMTP를 허용하되, 손상된 메일 서버로부터 내부망을 보호하려고 내부망으로의 SMTP는 막습니다.
  • 8 DMZ and Internet — 내부망에서 DMZ·인터넷으로 가는 트래픽을 허용합니다.
  • 9 Cleanup rule — 앞선 규칙에 맞지 않은 모든 트래픽을 드롭합니다.

Use Case — 부서별 Inline Layer

부서마다 하위 정책을 둔 예입니다. 각 부서 규칙은 Inline Layer 안에 있으며, Inline Layer는 Rule Base의 나머지와 독립적입니다. 레이어별로 다른 관리자에게 소유권을 위임할 수 있습니다.

NoNameSourceDestinationServices & ApplicationsContentActionTrack
1Critical subnetInternalFinance / HRAnyAnyAcceptLog
2SMTPMailNOT internal network (Group)smtpAnyAcceptLog
3R&D departmentR&D RolesAnyAnyAnyTechSupport LayerN/A
3.1R&D serversAnyR&D servers (Group) / QA networkAnyAnyAcceptLog
3.2R&D source controlInternalZoneSource control servers (Group)ssh / http / httpsAnyAcceptLog
3.XCleanup ruleAnyAnyAnyAnyDropLog
4QA departmentQA networkAnyAnyAnyQA LayerN/A
4.1Allow access to R&D serversAnyR&D Servers (Group)Web ServicesAnyAcceptLog
4.YCleanup ruleAnyAnyAnyAnyDropLog
5Allow all users to access employee portalAnyEmployee portalWeb ServicesAnyAcceptNone
9Cleanup ruleAnyAnyAnyAnyDropLog
  • 규칙 1·2 — 조직 전체를 위한 일반 규칙입니다.
  • 규칙 3·3.1·3.2·3.X — R&D 부서용 Inline Layer입니다. 규칙 3은 부모 규칙이고 Action이 Inline Layer 이름입니다. 패킷이 부모 규칙 3에 안 맞으면 다음 규칙(4)으로 넘어가 고, 맞으면 첫 하위 규칙(3.1)부터 검사합니다. 하위 규칙에 맞으면 그 동작을 하고 멈춥니다. 안 맞으면 다음 하위 규칙(3.2)으로 갑니다. 패킷은 Inline Layer 안에서만 매칭되며, Implicit Cleanup Rule이 있어 레이어 밖(4·5번 등)으로 나가지 않 습니다. 규칙 3.X는 기본 명시적 Cleanup rule로, 바꾸거나 지울 수 있습니다.
  • 규칙 4·4.1·4.Y — QA 부서용 또 다른 Inline Layer입니다.
  • 규칙 5 — 조직 전체를 위한 추가 일반 규칙입니다.
  • 규칙 9 — Ordered Layer의 Cleanup rule입니다.

기본 셀 값(Default Cell Values)

R81.10부터 새 규칙의 Source·Destination·Services & Applications 열 기본값은 "None" 입니다(R81 이하는 "Any"). 또한 셀에서 마지막 객체를 지운 뒤 남는 기본값도 "None" 입니다(R81 이하는 "Any"). "마지막 객체"란 다른 객체를 모두 지운 뒤 셀에 마지막으로 남았던 객체를 뜻합니다.

  • 새 규칙 기본값을 바꾸려면 Manage & Settings > Policy Settings > Rule Base Cell SettingsSecurity Access Defaults 에서 세 열의 값을 고릅니다.
  • 마지막 객체 제거 후 동작을 바꾸려면 같은 화면의 After removing the last object in a cell 에서 Add 'None' to the cell(None으로) 또는 Add the object according to the Rule Base cell default(기본값대로) 중 하나를 고릅니다.

"None" 값 규칙의 적용 — R80.10~R81 게이트웨이에서는 한 셀 이상에 "None"이 든 규칙을 빼고 정책이 설치됩니다. 규칙에 "None"이 있을 때 나오는 메시지는 Manage & Settings > Policy Settings > Rule Base Cell Settings > 'None' object behavior 에서 구성합니다.

R81 이하에서 업그레이드 — Management Server를 R81 이하에서 업그레이드하면, 세 열의 기본값은 "Any"로 유지되고, 마지막 객체 제거 후 기본값은 "None"이 됩니다.

Application Control·URL Filtering 규칙 만들기

Application Control·URL Filtering 정책은 SmartConsole의 Access Control 뷰에서 Access Control Policy로 관리합니다. 이 규칙은 조직 안에서 누가 어떤 애플리케이션·사이트를 쓸 수 있는지, 그 사용을 로그에 어떻게 남길지 정의합니다. 위험도가 높은 애플리케이션·카테고리는 Access Tools의 Application Wiki 에서, 정책·트래픽 개요는 Logs & Events > New Tab > Views 의 Access Control 뷰에서 봅니다.

게이트웨이·클러스터 멤버가 인터넷에 직접 연결되어 있지 않으면 Management Server를 프록시로 써서 Application Control·URL Filtering 패키지를 업데이트합니다. 이 기능은 기본으로 켜져 있습니다. Expert mode에서 다음을 실행해 끄거나 켭니다.

cpprod_util FwSetParam CP_BLADE_UPDATE_PROXY_MGMT_DISABLE 1   # 비활성화
cpprod_util FwSetParam CP_BLADE_UPDATE_PROXY_MGMT_DISABLE 0   # 다시 활성화

애플리케이션 모니터링

시나리오: 조직 내 모든 Facebook 트래픽을 모니터링하고 싶습니다.

  1. Access Control Policy로 가서 Application & URL Filtering이 켜진 레이어를 고릅니다.
  2. Add rule 버튼으로 원하는 위치에 규칙을 추가합니다(가장 먼저 맞는 규칙이 적용됨).
  3. 다음을 갖춘 규칙을 만듭니다.
    • Name — 예: Monitor Facebook
    • Source — Any(조직의 모든 트래픽)
    • Destination — Internet(인터넷·DMZ로 가는 모든 트래픽)
    • Services & Applications+ 를 눌러 Application viewer를 열고 "face"를 입력해 Facebook을 찾아 추가
    • Action — Accept, Track — Log, Install On — Policy Targets

애플리케이션 차단 및 사용자 안내

시나리오: 포르노 사이트를 차단하고 사용자에게 위반 사실을 알리고 싶습니다.

  1. Access Control Policy로 가서 적절한 레이어를 고릅니다.
  2. 다음을 갖춘 규칙을 만듭니다.
    • Services & ApplicationsPornography 카테고리
    • Action — Drop, 그리고 UserCheck Blocked Message – Access Control
    • Track — Log
NameSourceDestinationServices & ApplicationsActionTrackInstall On
Block PornAnyInternetPornography (category)Drop / Blocked MessageLogPolicy Targets

이 규칙은 포르노 사이트 트래픽을 차단하고 접근 시도를 로깅합니다. 위반한 사용자는 차단 사유를 알리는 UserCheck 메시지를 받으며, 메시지에 잘못된 카테고리 신고 링크를 넣을 수 있습니다.

애플리케이션 트래픽 제한

시나리오: 스트리밍 미디어가 업무를 방해하지 않도록 직원 접근을 제한하고 싶습니다.

차단하지 않고 제한하는 방법은 두 가지입니다.

  • 규칙에 Limit 객체를 더해 허용 대역폭을 제한합니다.
  • 하나 이상의 Time 객체를 더해 지정한 시간에만 규칙이 동작하게 합니다.

아래 예시 규칙은 비업무 시간에만 스트리밍 미디어를 허용하고, 업로드 처리량을 1 Gbps로 제한합니다.

NameSourceDestinationServices & ApplicationsActionTrackInstall OnTime
Limit Streaming MediaAnyInternetMedia Streams (Category)Accept / Upload_1GbpsLogAllOff-Work

Identity Awareness 기능을 규칙에 쓰기

시나리오: 특정 사용자 그룹에는 어떤 Remote Access 애플리케이션을 허용하고 나머지에게는 막으며, 다른 Remote Access 애플리케이션은 모두에게 막고 싶습니다.

게이트웨이에서 Identity Awareness 를 켜면 Access Role 객체로 사용자·머신·네트워크 위치를 하나의 객체로 정의해 규칙에 쓸 수 있습니다. 이 예에서는 식별된 모든 사용자를 나타내는 Access Role Identified_Users 가 이미 있다고 가정합니다. 두 규칙을 추가합니다.

NameSourceDestinationServices & ApplicationsActionTrackInstall On
Allow Radmin to Identified UsersIdentified_UsersInternetRadminAllowLogAll
Block other Remote AdminsAnyInternetRemote AdministrationBlockLogAll
  • Radmin을 허용하는 규칙이 다른 Remote Administration을 차단하는 규칙보다 위에 있어 먼저 매칭 됩니다.
  • 첫 규칙의 Source를 기술 지원 부서를 나타내는 Access Role로 바꾸면, 그 부서만 Radmin을 쓸 수 있습니다.
  • 애플리케이션은 권장 서비스에서 매칭됩니다(상세는 Access Roles·Identity Awareness 관련 문서, R82 Identity Awareness Administration Guide 참고).

사이트 차단 (사용자 정의 그룹 활용)

시나리오: 법적 책임을 부를 수 있는 카테고리의 사이트를 차단하고 싶은데, 대부분 Application Database에 있지만 직접 정의한 사이트도 포함해야 합니다.

이때는 사용자 정의 그룹 을 만들어 해당 카테고리들과 사이트를 모두 넣습니다. 이 예에서는 Access Role Identified_Users 와 사용자 정의 사이트 FreeMovies 가 이미 있다고 가정합니다.

사용자 정의 그룹 만들기

  1. Object Explorer에서 New > More > Custom Application/Site > Application/Site Group.
  2. 그룹 이름을 줍니다(예: Liability_Sites).
  3. + 로 멤버를 추가합니다 — 사용자 정의 애플리케이션 FreeMovies 검색·추가, Categories 에서 차단할 카테고리(예: Anonymizer, Critical Risk, Gambling) 추가 후 Close.
  4. OK 를 누릅니다.

이제 이 그룹을 Rule Base에 씁니다.

NameSourceDestinationServices & ApplicationsActionTrack
Block sites that may cause a liabilityIdentified_UsersInternetLiability_SitesDropLog

URL 카테고리 차단

시나리오: 포르노 사이트를 차단하고 싶습니다.

모든 포르노 자료 사이트를 담는 Pornography 카테고리로 차단 규칙을 만들면 됩니다. 절차는 위 "애플리케이션 차단 및 사용자 안내"와 비슷합니다. Identity Awareness를 켜면 Access Role과 함께 써서 특정 사용자에게만 적용할 수도 있습니다.

Ordered Layer와 Inline Layer

정책은 게이트웨이가 드나드는 트래픽에 적용하는 규칙의 집합이며, Access Control과 Threat Prevention이 서로 다른 정책을 갖습니다. Access Control 규칙은 Ordered Layer와 Inline Layer 로 더 관리하기 쉬운 묶음으로 정리할 수 있습니다.

레이어가 필요한 이유

레이어를 쓰면 사이버 보안을 더 효율적으로 관리할 수 있습니다.

  • Rule Base를 단순화하거나 특정 목적에 맞게 일부를 정리합니다.
  • 평면이 아닌 계층 구조 로 정책을 만듭니다(Inline Layer는 Rule Base와 독립된 하위 정책).
  • Ordered Layer를 여러 정책 패키지에서, Inline Layer를 여러 레이어에서 재사용 합니다.
  • 레이어별로 관리자에게 소유권을 위임 해 관리를 단순화합니다.
  • 한 레이어의 규칙 수를 줄여 성능을 개선 합니다.

Inline Layer의 규칙 적용 순서

Ordered Layer는 Inline Layer를 포함할 수 있습니다. Inline Layer의 예입니다.

No.SourceDestinationVPNServicesAction
2Lab_networkAnyAnyAnyLab_rules
2.1AnyAnyAnyhttps / httpAllow
2.2AnyAnyAnyAnyDrop

Inline Layer는 부모 규칙(예: 규칙 2)과 하위 규칙(예: 2.1, 2.2) 으로 이뤄지고, 부모 규칙의 Action이 Inline Layer 이름입니다.

  • 패킷이 부모 규칙에 안 맞으면 다음 Ordered Layer 규칙(규칙 3) 으로 넘어갑니다.
  • 부모 규칙(규칙 2)에 맞으면 하위 규칙을 검사 합니다. 하위 규칙(2.1)에 맞으면 더 이상 매칭하지 않습니다. Ordered Layer의 위쪽 규칙 중 아무것도 안 맞으면 명시적 Cleanup Rule(2.2)이 적용되고, 이 규칙이 없으면 Implicit Cleanup Rule이 적용됩니다. 그 후로는 더 매칭하지 않습니다.

Ordered Layer의 규칙 적용 순서

패킷이 게이트웨이에 도착하면, 게이트웨이는 첫 Ordered Layer의 규칙을 위에서 아래로 순차 검사해 처음 맞는 규칙을 적용합니다. 매칭 규칙의 Action이 Drop 이면 이후 규칙 검사를 멈추고 패킷을 드롭하며, Accept 이면 다음 Ordered Layer 규칙 검사를 이어 갑니다.

p.300
p.300
항목설명
1Ordered Layer 1
2Ordered Layer 2
3Ordered Layer 3

Ordered Layer의 규칙이 아무것도 안 맞으면 명시적 Default Cleanup Rule 이 적용되고, 없으면 Implicit Cleanup Rule이 적용됩니다. 모든 Ordered Layer는 자체 Implicit Cleanup Rule 을 가지며 레이어 설정에서 Accept·Drop으로 구성합니다.

Inline Layer 만들기

Inline Layer를 만드는 흐름은, 공통 속성(같은 source·service·user 등)을 가진 부모 규칙 을 만든 다음, 더 상세한 조건의 하위 규칙 을 만드는 것입니다.

  1. Ordered Layer에 규칙을 추가합니다(부모 규칙).
  2. Source·Destination·VPN·Services & Applications 셀에 Inline Layer의 매칭 조건을 정의합니다.
  3. 규칙의 Action 셀에서 표준 동작 대신 Inline Layer > New Layer 를 고릅니다.
  4. Layer Editor 창에서 속성을 구성합니다.
    • Firewall, Application & URL Filtering, Content Awareness, Mobile Access Blade를 하나 이상 켭니다.
    • (Best Practice) 가능하면 다른 정책 패키지와 공유하도록 Multiple policies can use this layer 를 선택합니다.
    • Advanced 에서 Implicit Cleanup Rule 을 Drop·Accept로 구성합니다.
  5. 부모 규칙 아래에 하위 규칙을 추가합니다.
  6. Inline Layer의 마지막 규칙으로 명시적 Cleanup rule이 있는지 확인합니다.

Ordered Layer 만들기

  1. SmartConsole에서 Menu > Manage Policies and Layers 를 클릭합니다.
  2. 왼쪽에서 Layers 를 클릭합니다(공유 레이어만 보려면 Show only shared Layers).
  3. 위쪽 도구 모음에서 New 아이콘을 누릅니다.
  4. Layer Editor 에서 설정을 구성합니다.
  5. (Best Practice) 가능하면 Multiple policies can use this layer 를 선택합니다.
  6. OK, Close 후 세션을 Publish 합니다. 이 Ordered Layer는 아직 정책 패키지에 할당되지 않았습니다.

Access Control Policy에 Ordered Layer 추가하기

  1. Security Policies 를 클릭합니다.
  2. Access Control 섹션의 레이어를 우클릭 > Edit Policy 로 Policy 창을 엽니다.
  3. Access Control 섹션의 + 를 누릅니다(여기에는 "Multiple policies can use this layer"가 켜진 레이어만 나옴).
  4. 레이어를 고르고 OK 후 세션을 Publish 합니다.

R77.30 이하 게이트웨이용 URL Filtering·Application Control 레이어는, 위와 비슷하게 새 레이어를 만들되 General 뷰에서 이름(권장: Application)을 주고 Blades 에서 Application & URL Filtering 을 켜서 만듭니다.

Access Control 기능 켜기(Enabling Features)

정책을 만들기 전에, 쓸 기능을 게이트웨이와 레이어 양쪽 에서 켜야 합니다.

게이트웨이에서 켜기

  1. Gateways & Servers 에서 게이트웨이 객체를 더블클릭합니다.
  2. General PropertiesNetwork Security 탭에서 다음 중 필요한 것을 켭니다 — IPsec VPN, Mobile Access, Application Control, URL Filtering, Content Awareness, Identity Awareness.
  3. OK.

Ordered Layer에서 켜기

  1. Security Policies > Access Control의 Policy 우클릭 > Edit Policy > 레이어 옵션 > Edit Layer.
  2. Layer Editor의 General 뷰에서 쓸 Blade(Firewall, Application & URL Filtering, Content Awareness, Mobile Access)를 켜고 OK.

Inline Layer에서 켜기 — 부모 규칙의 Action 열 우클릭 > Inline Layer > Edit Layer 에서 Blade를 켭니다.

Rule Base의 규칙 종류

Rule Base에는 세 종류의 규칙이 있습니다 — explicit(명시), implied(암묵), implicit.

Explicit rules — 관리자가 직접 구성해 트래픽을 허용·차단하는 규칙입니다.

Implied rules — Global Properties의 일부로 제공되며 편집할 수 없 는 기본 규칙입니다. 선택해서 Rule Base 내 위치만 정할 수 있습니다.

  • First — 모든 규칙(명시·암묵)보다 먼저 적용
  • Last — 모든 규칙보다 나중에, 단 Implicit Cleanup Rule 전에 적용
  • Before Last — 마지막 명시적 규칙 직전에 적용

Implied rules는 게이트웨이가 쓰는 서비스 연결을 허용하도록 구성됩니다. 예를 들어 Accept Control Connections 규칙은 정책 설치, 게이트웨이→Management Server 로그 전송, RADIUS·TACACS 같은 서드파티 서버 연결 등을 제어하는 패킷을 허용합니다.

Implicit cleanup rule — 레이어의 명시·암묵 규칙 어디에도 안 맞는 트래픽을 처리하는 기본 "catch-all" 규칙입니다. 레이어를 만들 때 자동 생성되며 Rule Base에는 표시되지 않 습니다. R80.10 이상에서 기본 동작은 Drop 입니다(대부분 정책이 Accept 기반 Allow List이므로). Drop 기반 Blacklist 정책이라면 Layer Editor에서 Accept로 바꿉니다. R77.30 이하에서는 Network Layer는 Drop, Application & URL Filtering 레이어는 Accept입니다.

게이트웨이가 규칙을 적용하는 순서

  1. First Implied Rule — 앞에 어떤 명시적 규칙도 놓을 수 없습니다.
  2. Explicit Rules — 직접 만든 규칙.
  3. Before Last Implied Rules — 마지막 명시적 규칙 직전.
  4. Last Explicit Rule — Cleanup rule을 마지막 명시적 규칙으로 두기를 권장.
  5. Last Implied Rule — 모든 규칙 뒤에 적용되지만, 그 뒤에 Implicit Cleanup Rule이 끝에 적용됩니다.
  6. Implicit Cleanup Rule — 레이어 규칙이 아무것도 안 맞을 때 적용되는 기본 규칙.

Implied Rules 구성Access Control Policy 선택 후 도구 모음의 Actions > Implied Rules 로 Implied Policy 창을 열고, Configuration 에서 규칙을 켜고/끄고 위치(First·Last·Before Last)를 정한 뒤 OK·정책 설치합니다. 이 창은 명시적 규칙은 보여 주지 않고 암묵 규칙만 보여 줍니다.

Implicit Cleanup Rule 구성Menu > Manage Policies and Layers > Layers 에서 레이어 선택 후 Edit > Advanced 에서 Drop·Accept로 구성합니다.

레이어 관리자·공유·섹션

  • Access Control 레이어 관리자 — Access Control 전용 관리자 계정에 자체 설치·SmartConsole 읽기/쓰기 권한을 줄 수 있고, 레이어별로 다른 관리자에게 소유권을 위임할 수 있습니다.
  • 레이어 공유(Sharing Layers) — 같은 규칙을 정책 여러 곳·여러 패키지에서 쓰려면, 레이어를 한 번 정의하고 shared 로 표시해 재사용합니다. 시간을 아끼고 실수를 막으며, 공유 규칙을 한 번만 바꾸면 모든 곳에 반영됩니다. Manage policies and layers > Layers 에서 레이어 우클릭 > Edit Layer, General에서 Multiple policies and rules can use this layer 를 선택합니다. Threat Prevention Ordered Layer도 정책 편집 창의 Threat Prevention 박스에서 + 로 재사용합니다.
  • 섹션(Sections)으로 시각적 분할 — 규칙이 많을 때 Rule Base를 Section 으로 나눠 더 작은 논리 묶음으로 봅니다. 이 분할은 시각적일 뿐 이며 섹션별 관리 위임은 되지 않습니다.
  • 레이어 규칙을 CSV로 내보내기Menu > Manage Policies and Layers > Layers 에서 레이어 선택 후 Actions > Export selected Layer 로 경로·파일명을 지정합니다. Excel 등에서 열어 수정할 수 있습니다.

레이어와 정책 관리Menu > Manage policies and layers 의 Layers 창에서 각 레이어의 Name, Number of Rules, Modifier(마지막 변경 관리자), Last ModifiedLayer Details(쓰인 정책, Mode: Ordered·Inline·Not in use)를 봅니다. 레이어 우클릭 > Open layer in policy 로 규칙을 봅니다.

통합 Rule Base 사용 사례

Use Case — Application Control·Content Awareness Ordered Layer

애플리케이션과 콘텐츠를 한 Ordered Layer에서 통제하는 통합 정책의 예입니다.

No.NameSourceDestinationVPNServices & ApplicationsContentActionTrack
1Block categoriesAnyInternetAnyAnonymizer / Critical RiskAnyDrop / Block MessageLog
2Block download of executable files from uncategorized and high risk sitesInternal ZoneInternetAnyUncategorized / High RiskDownload Traffic / Executable FileDropLog
3Allow uploading of credit cards numbers, by finance, and only over HTTPSFinance (Access Role)Web ServersAnyhttpsUpload Traffic / PCI - Credit Card NumbersAcceptLog
4Block other credit cards from company Web serversAnyWeb ServersAnyAnyAny Direction / PCI - Credit Card NumbersDropLog
5Inform the user about sensitive data from VPN sitesAnyAnyRemoteAccessAnyAny Direction / Salary Survey ReportInformLog
6Cleanup ruleAnyAnyAnyAnyAnyAcceptLog
  • 1 General Compliance — 허용되지 않는 사이트·애플리케이션 접근을 차단합니다.
  • 2 Block risky executables — 고위험 실행 파일 다운로드를 차단합니다.
  • 3–4 Credit card data — Finance 부서가 HTTPS로만 신용카드 번호를 업로드하도록 허용하고, 그 외 신용카드는 차단합니다.
  • 5 Block sensitive data over VPN — 조직 VPN으로 접속한 원격 사용자가 안내 메시지를 봅니다.
  • 6 Cleanup — 앞선 규칙에 안 맞는 모든 트래픽을 허용합니다.

Use Case — 웹 트래픽용 Inline Layer

웹 트래픽을 통제하며 웹 서버 규칙을 Inline Layer에 둔 예입니다.

NoNameSourceDestinationServices & ApplicationsContentActionTrack
1Headquarter WEB traffic – via proxyHQ ProxyWeb ProxyAnyAsk (Web Access Policy)Log
2Allow Proxy to the InternetProxyInternetWebAnyAcceptNone
3Allow local branch to access the internet directlyLocal BranchInternetWebAnyAsk (Web Access Policy)Log
4Web ServersInternalZoneWeb ServersWebAnyWeb Servers protectionN/A
4.1Block browsing with unapproved browsersAnyAnyNEGATED: Google Chrome / Internet Explorer 11 / Firefox / SafariAnyDropLog
4.2Inform user when uploading Credit Cards only over HTTPSAnyAnyhttpsUpload Traffic / PCI - Credit Card NumbersInform (Access Notification)Log
4.3Block Credit CardsAnyAnyAnyAny Direction / PCI - Credit Card NumbersDrop / Block MessageLog
4.4Block downloading of sensitive contentAnyAnyAnyDownload Traffic / HIPAA - Medical Record HeadersDropLog
4.5Cleanup ruleAnyAnyAnyAnyAcceptNone
5Ask user when sending credit cards to PayPalInternalZoneInternetPayPalAny Direction / PCI - Credit Card NumbersAsk (Company Policy)Log
6Cleanup ruleAnyAnyAnyAnyDropLog
  • 4 가 Inline Layer의 부모 규칙입니다. 부모에 맞으면 4.1로, 안 맞으면 5로 이어집니다.
  • 4.1–4.4 — 맞으면 동작 후 멈추고, 안 맞으면 다음 하위 규칙으로 갑니다.
  • 4.5 — Ordered Layer 위쪽 규칙이 안 맞을 때 적용되는 명시적 Cleanup Rule입니다.

Use Case — Content Awareness Ordered Layer

조직을 드나드는 데이터의 업로드·다운로드를 통제하는 정책입니다.

NoNameSourceDestinationContentActionTrack
1Block the download of executable filesInternalZoneInternetDownload Traffic / Executable fileDropLog
2Allow uploading of credit cards numbers by finance users, only over HTTPSFinance (Access Role)Web ServersUpload Traffic / PCI - Credit Card Numbers (Service: https)AcceptLog
3Block other credit cards from company Web serversInternalZoneWeb ServersAny Direction / PCI - Credit Card NumbersDrop / Block MessageLog
4Matches U.S. Social Security Numbers (SSN) allocated by the SSAInternalZoneInternetUpload Traffic / U.S. Social Security Numbers – According to SSAInform (Access Notification)Log
5Block downloading of sensitive medical informationInternalZoneInternetDownload Traffic / HIPAA - Medical Records HeadersDrop / Block MessageLog
6Ask user when uploading documents containing salary survey reportsInternalZoneInternetUpload Traffic / Salary Survey ReportAsk (Company Policy)Log
7Matches data containing source codeInternalZoneInternetAny Direction / Source CodeRestrict source codeN/A
7.1AnyAnyDownload Traffic / Source CodeAcceptLog
7.2AnyAnyUpload Traffic / Source CodeAsk (Company Policy)Log
7.3Cleanup Inline LayerAnyAnyAnyDrop / Block MessageLog
  • 1–3 Regulatory Compliance — 실행 파일과 신용카드의 업로드·다운로드를 통제합니다. 규칙 1은 Download Traffic, 2는 Upload Traffic, 3은 Any Direction입니다. 규칙 1은 File Type(실행 파일)이라, Content Type 규칙(2~7)보다 위에 두어 더 빨리 매칭되게 해 효율을 높였습니다.
  • 4–5 Personally Identifiable Information — 사회보장번호·의료 기록의 업로드·다운로드를 통제합니다. 규칙 4의 Action은 Inform이라, 사용자가 SSN이 든 파일을 올리면 메시지를 봅니다.
  • 6 Human Resources — 급여 조사 정보의 외부 전송을 통제합니다. Action은 Ask이며, 민감 콘텐츠가 탐지되면 사용자가 정책 준수를 확인해야 합니다.
  • 7 Intellectual Property — 소스 코드의 유출을 통제하는 Inline Layer입니다(부모 규칙 7).

Use Case — Application & URL Filtering Ordered Layer

인터넷 브라우징을 모니터링·통제하는 전형적 정책의 예입니다(Hits·VPN·Install On 열은 생략).

No.NameSourceDestinationServices & ApplicationsActionTrackTime
1Liability sitesAnyInternetPotential liability (group)Drop / Blocked MessageLogAny
2High risk applicationsAnyInternetHigh Risk / iTunes / Anonymizer (category)Drop / Blocked MessageLogAny
3Allow IT department Remote AdminIT (Access Role)AnyRadminAllowLogWork-Hours
4Allow Facebook for HRHR (Access Role)InternetFacebookAllow / Download_1GbpsLogAny
5Block these categoriesAnyInternetStreaming Media Protocols / Social Networking / P2P File Sharing / Remote AdministrationDrop / Blocked MessageLogAny
6Log all applicationsAnyInternetAnyAllowLogAny
  • 1 Liability sites — 사용자 정의 Potential_liability 그룹의 사이트·애플리케이션을 차단하고 UserCheck Blocked Message로 사유를 안내합니다.
  • 2 High risk applications — High Risk 카테고리와 iTunes를 차단합니다.
  • 3 Allow IT department Remote Admin — IT 부서 컴퓨터가 Work-Hours(예: 8:00~18:30)에만 Radmin을 쓰도록 허용합니다.
  • 4 Allow Facebook for HR — HR 네트워크의 Facebook을 허용하되 다운로드를 1 Gbps로 제한합니다(업로드 제한 없음).
  • 5 Block these categories — Streaming Media·Social Networking·P2P File Sharing·Remote Administration 카테고리를 차단합니다.
  • 6 Log all applications — 매칭되는 모든 트래픽을 로깅합니다.

Self-Managed Security Gateways (Dynamic Layer)

R82에서 고도로 자동화된 네트워크 환경을 위한 새 Dynamic Layer 가 도입되었습니다. 이 레이어는 Gaia API 호출 set-dynamic-content게이트웨이에서 직접 생성한 규칙의 컨테이너 로, JSON 파일 배포로 프로비저닝·구성을 정기적으로 다루는 환경을 위한 것입니다.

흐름은 이렇습니다. (1) Management Server의 Access Control에서 새 Policy Layer를 만들어 Dynamic Layer 로 구성하고, (2) 게이트웨이에서 Gaia API set-dynamic-content(JSON)로 그 Dynamic Layer에 규칙을 구성합니다. Dynamic Layer는 컨테이너로만 동작하며, 게이트웨이에서 API를 실행하면 SmartConsole에서 구성한 그 Dynamic Layer의 모든 규칙을 무시 합니다. 영구 규칙(예: 원격 API 클라이언트 접근 허용)이 필요하면 Dynamic Layer가 아닌 Management Server의 주 정책에 구성해야 합니다(sk182252).

요구 사항

  • Management Server R82 이상(Security Management Server 또는 Multi-Domain Security Management Server).
  • 게이트웨이 R82 이상(단일 게이트웨이, ElasticXL Cluster, ClusterXL, Maestro·Scalable Chassis의 Security Group).
  • Gaia API를 실행하는 사용자는 Gaia OS에서 Role: adminRole, Access Mechanism: Gaia API, Shell: /bin/cli.sh 또는 /bin/bash 여야 합니다.

제한 사항

  • 이 기능은 JSON 형식용 입니다. JSON 본문을 붙여 넣을 수 있는 서드파티 REST API 클라이언트를 쓰세요. Check Point CLI API 클라이언트 mgmt_cli 는 쓰지 않습니다.
  • 추가한 개별 dynamic 규칙을 게이트웨이에서 편집·삭제할 수 없 습니다. 개별 규칙을 바꾸거나 지우려면, 전체 규칙을 담은 업데이트된 API 본문으로 set-dynamic-content 를 다시 실행해야 합니다.
  • 현재 규칙·전체 JSON을 보려면 게이트웨이에서 show-dynamic-layer 를 실행합니다. 필요하면 Dynamic Layer를 리셋해 모든 규칙을 지울 수 있습니다.
  • VSNext Virtual Gateway, Legacy VSX Virtual System, Legacy VSX Virtual Router 는 지원되지 않습니다.

알아 둘 점

  • 한 Policy Package는 Inline Layer·Ordered Layer로 여러 Dynamic Layer 를 가질 수 있습니다(관리자별로 다른 레이어 사용 가능). 게이트웨이는 Policy Package 내 레이어 순서대로 규칙을 적용합니다.
  • Dynamic Layer에 구성한 규칙은 게이트웨이에서 set-dynamic-content 를 처음 실행할 때까지 적용됩니다.
  • Policy Package에서 Dynamic Layer를 지우거나 Set as a Dynamic Layer 체크를 해제하고 설치하면, 게이트웨이는 모든 dynamic 규칙을 제거하고 SmartConsole의 정적 규칙만 적용합니다.
  • 지원 객체 목록은 set-dynamic-content API의 Request Body > objects 파라미터를 참고하세요.

구성 — SmartConsole로 연결한 뒤 새 Policy Layer를 추가해 Dynamic Layer로 구성합니다(SmartConsole에서, 또는 Management API add-access-layer dynamic-layer true 로). 특정 정책의 Ordered Layer 로 구성할 때는 Manage policies and layers > Policies에서 패키지 Edit > Access Control의 + > New Layer 로 만들고, General의 Blades에서 필수: Firewall, 선택: Application & URL Filtering 을 고른 뒤, Advanced에서 Implicit Cleanup Action: Drop(기본) 을 선택하고(게이트웨이에서 API를 실행하기 전까지 매칭 트래픽을 모두 드롭), Dynamic Layer 섹션에서 Set as a Dynamic Layer 를 선택합니다. Permissions 페이지에서 Dynamic Layer를 편집할 수 있는 권한 프로필을 고릅니다(권한 프로필은 Manage & Settings > Permissions & Administrators > Permission Profiles에서 Access Control > Policy의 Edit layers by the selected profile in a layer editor 가 선택되어야 함).

특정 규칙 안의 Inline Layer 로 구성할 때는 Action 셀 > Inline Layer > New Layer 로 만들고, Advanced의 Implicit Cleanup Action을 Accept 로 둡니다(API 실행 전까지 매칭 트래픽을 허용). 공유 Ordered Layer 는 Manage policies and layers > Layers > Access Control에서 New로 만들어 여러 정책에서 씁니다.

이후 단계는 다음과 같습니다.

  • 원격 API 클라이언트로 게이트웨이에서 Gaia API를 실행한다면, Access Control 정책이 그 연결을 허용하는지 확인합니다.
  • 게이트웨이/클러스터에 이 Access Control Policy를 설치합니다.
  • 게이트웨이/각 클러스터 멤버/Security Group에서 set-dynamic-content 를 실행해 dynamic 규칙을 구성합니다.

로컬 Gaia API Reference는 https://<Gaia 관리 인터페이스 IP>/gaia_docs/#web/set-dynamic-content 에서 보고, 상단의 Web Services 탭을 클릭합니다. 원격 REST API 클라이언트(Postman 기준) 흐름은, Postman 설치 → sk143612에서 Gaia REST API 컬렉션 받기·임포트 → API 변수 구성 → login 으로 SID 받기 → SID 변수 설정·저장 → set-dynamic-content 의 Body 탭에 JSON 구성 후 Send → 응답의 Task ID를 show task 로 확인합니다.

구성한 변수는 다음과 같습니다.

변수 이름설명
username게이트웨이 Gaia OS의 사용자 이름기본 사용자는 admin. 다른 사용자도 만들 수 있음(요구 사항 참고).
password그 사용자의 암호직접 설정한 암호.
ip게이트웨이/각 클러스터 멤버/Security Group의 Gaia 관리 인터페이스 IPAPI 클라이언트가 접속하는 IP.
sid처음에는 비움login 실행 후 받은 SID를 담음.

구성한 dynamic 규칙을 확인하려면 특정 Dynamic Layer는 show-dynamic-layer, 모든 Dynamic Layer는 show-dynamic-layers 를 게이트웨이에서 실행합니다.

Dynamic Layer 리셋 — 모든 dynamic 규칙을 지우려면 게이트웨이에서 set-dynamic-content"operation": "reset" 으로 실행합니다.

"access-layers-content": [
  {
    "name": "<Name_of_Dynamic_Layer>",
    "operation": "reset",
    "rulebase": []
  }
]

Access Control 규칙 모범 사례(Best Practices)

  1. Stealth rule(게이트웨이 직접 접근 차단)과 Cleanup rule(앞 규칙에 허용되지 않은 트래픽 드롭) 을 반드시 둡니다.
  2. Layers 로 Rule Base에 구조와 계층을 더합니다.
  3. 출발지·목적지 IP와 포트만 보는 규칙은 Rule Base 맨 위의 Firewall/Network Ordered Layer 에 모읍니다.
  4. Firewall/Network 규칙으로 안전한 트래픽을 명시적으로 Accept하고, Ordered Layer 끝에 나머지를 드롭하는 명시적 Cleanup rule을 둡니다.
  5. Firewall/Network Ordered Layer 뒤에 Application Control Ordered Layer 를 만들어 원치 않는 트래픽을 명시적으로 Drop하고, 끝에 나머지를 Accept하는 Cleanup rule을 둡니다. 또는 Application Control 규칙을 Firewall/Network 규칙의 Inline Layer로 두고, 부모 규칙에 Source·Destination을 정의합니다.
  6. 가능하면 Ordered Layer·Inline Layer를 공유합니다.
  7. R80.10 이상: Firewall/Network용과 Application Control용 Ordered Layer가 따로 있다면, 애플리케이션·Data Type·Mobile Access를 검사하는 규칙은 모두 Application Control Ordered Layer나 그 뒤 레이어에 둡니다.
  8. 게이트웨이가 프록시 뒤에 있지 않다면 XFF 검사를 끄 세요(sk92839).
  9. 작업 중인 규칙은 비활성화하고 쓸 때 켭니다. 비활성 규칙은 성능에 영향을 주지 않습니다. No 열 우클릭 > Disable.

효율적 매칭을 위한 모범 사례

  1. 출발지·목적지·포트를 보는 네트워크 규칙을 Rule Base 위쪽 에 둡니다(더 빨리 매칭되고 검사 엔진을 덜 켭니다).
  2. 애플리케이션·콘텐츠(Data Type)를 보는 규칙은 네트워크 규칙 아래에 둡니다.
  3. Source·Destination이 모두 Any인데 Application·Data Type을 쓰는 규칙은 만들지 마 세요. 다음은 권장하지 않습니다.
SourceDestinationServices & ApplicationsContent
AnyAnyFacebook
AnyAnyCredit Card numbers

대신 이렇게 정의합니다.

SourceDestinationServices & ApplicationsContent
AnyInternetFacebook
AnyServerCredit Card numbers

이유(2·3): Application Control·Content Awareness 규칙은 콘텐츠 검사가 필요해, 헤더·본문을 검사할 때까지 연결을 허용하므로 성능에 영향을 줄 수 있습니다. 4. Data Type 규칙에서는 File Type 규칙을 Content Type 규칙보다 위 에 둡니다(File Type이 더 빨리 매칭됨). 5. 한 규칙에 Application Control과 URL Filtering을 함께 쓰지 않습니다(sk174045).

Access Control 정책 설치

  1. Global Toolbar 에서 Menu > Verify Access Control Policy > 정책 선택 > Verify 를 누릅니다. 또는 Security Policies > Access Control 에서 Actions > Verify Access Policy 를 누릅니다. 필요한 수정을 합니다.
  1. 상단 Global Toolbar에서 Publish session 을 클릭합니다.
  2. Install Policy 를 클릭하면 게이트웨이 목록이 있는 Install Policy 창이 열립니다.
  3. 정책 패키지가 여럿이면 Policy 드롭다운에서 하나를 고릅니다.
  4. Access Control 을 선택합니다(다른 정책도 함께 선택 가능).
  5. 게이트웨이가 여럿이면 설치할 게이트웨이를 고릅니다.
  6. Install Mode 를 고릅니다.
    • Install on each selected gateway independently — 게이트웨이마다 독립적으로 설치해, 한 곳이 실패해도 나머지에 영향이 없습니다.
    • Install on all selected gateways, if it fails do not install on gateways of the same version — 모든 게이트웨이에 설치하되, 한 곳이 실패하면 다른 게이트웨이에도 설치하지 않습니다.

Pre-R80.10 게이트웨이와 통합 정책

R77.30 이하 Management Server(R77.30 이하 게이트웨이 관리)를 R80.10 이상으로 업그레이드하면, 기존 정책이 이렇게 변환됩니다.

  • pre-R80.10 Firewall 정책 → R80 Access Control의 Network Policy Layer (Implicit Cleanup Rule은 Drop).
  • pre-R80.10 Application & URL Filtering 정책 → 두 번째 레이어인 Application Policy Layer (Implicit Cleanup Rule은 Accept).

R80.x Management Server에서 pre-R80.10 게이트웨이용 새 정책은 다음 구조여야 합니다 — (1) 첫 레이어는 Network Layer(Firewall blade), (2) 두 번째 레이어는 Application & URL Filtering Layer, (3) 그 외 레이어 없음. 구조가 다르면 설치가 실패합니다. 레이어 이름은 바꿔도 됩니다. Network Layer는 Drop, Application Control Layer는 Accept로 두기를 권장합니다.

Rule Base Hit Count 분석

Hit Count 는 각 규칙에 매칭된 연결 수를 보여 줍니다. 이를 통해 매칭 연결이 없는 규칙을 삭제 하고 정책 동작을 더 잘 이해할 수 있습니다.

Hit Count 값은 전체 대비 백분율과 지시 수준(very high·high·medium·low·zero) 으로 표시됩니다. 켜면 Management Server가 지원 게이트웨이(R75.40 이상)에서 데이터를 모읍니다. Hit Count는 로깅과 무관하게 동작 하며 Track이 None이어도 집계합니다.

전역으로 켜고 끄기Menu > Global properties > Hit Count 에서 Enable Hit Count 를 켜고, Keep Hit Count data up to 에서 보관 기간(기본 3개월)을 고른 뒤 OK·정책 설치합니다. 게이트웨이별 로는 Gateway Properties > Hit Count에서 Enable Hit Count 를 켜고 정책을 설치합니다. 켜고 끈 뒤에는 반드시 정책을 설치 해야 수집이 시작·중지됩니다.

Hits 열 표시 구성

  • Value — 지원 게이트웨이의 매칭 횟수입니다. 지원하지 않거나 Hit Count를 끈 게이트웨이는 합계에 포함되지 않습니다. 표기는 K=천, M=백만, G=십억, T=조 입니다(예: 259K는 25만 9천 연결, 2M은 2백만 연결).
  • Percentage — 전체 매칭 대비 백분율(0.1% 단위 반올림).
  • Level — Hit Count 범위에 따른 라벨입니다. (Hit Count 범위 = 최대 hit − 최소 hit, 0 hit 제외.)
Level범위
Zero0 hits
Low범위의 10% 미만
Medium범위의 10~70%
High범위의 70~90%
Very High범위의 90% 초과

Rule Base에 Hit Count를 보이려면 헤더 우클릭 > Hits. 규칙별로는 규칙 번호 우클릭 > Hit Count 에서 Timeframe(All·1 day·7 days·1 month·3 months)과 Display(Percentage·Value·Level)를 고르고, Refresh 로 갱신합니다.

IP Spoofing 방지

IP spoofing 은 신뢰할 수 없는 출발지 IP를 가짜로 신뢰된 IP로 바꿔 연결을 가로채는 공격입니다. 공격자는 이를 멀웨어·봇 유포, DoS 공격, 무단 접근에 씁니다. Anti-Spoofing어떤 인터페이스 뒤에 있어야 할 IP를 가진 패킷이 다른 인터페이스로 들어오는지 탐지해 차단합니다. 예를 들어 외부 네트워크에서 온 패킷이 내부 IP를 갖고 있으면 차단합니다.

p.341
p.341

Anti-Spoofing은 인터페이스 토폴로지를 기준으로 동작하며, 토폴로지는 인터페이스가 어디로 이어지는지(Leads To: External(Internet) 또는 Internal)와 인터페이스의 Security Zone 을 정의합니다. 내부 인터페이스를 포함한 모든 인터페이스 에 Anti-Spoofing을 구성하세요.

인터페이스에 Anti-Spoofing 구성하기

  1. Gateways & Servers 에서 게이트웨이 객체를 더블클릭합니다.
  2. Network Management 를 선택합니다.
  3. Get Interfaces > Accept 로 토폴로지를 가져옵니다(자동 조회가 실패하면 General Properties와 통신 상태를 확인).
  4. 인터페이스를 고르고 Edit > General 로 갑니다.
  5. Topology 섹션에서 Modify 를 누릅니다.
  6. Leads To 에서 인터페이스가 이어지는 네트워크 종류를 고릅니다.
    • Internet (External) — 기본값으로 토폴로지에서 자동 계산됩니다.
    • Override — 기본값을 재정의합니다. 재정의 시 Internet (External)(모든 외부 주소), 또는 This Network (Internal) 에서 다음 중 하나를 고릅니다 — Not Defined(이 인터페이스 뒤 모든 IP를 내부망으로), Network defined by the interface IP and Net Mask(직접 연결된 네트워크만), Network defined by routes(토폴로지를 동적 계산 — 네트워크가 바뀌어도 Get Interfaces·설치 불필요), Specific(특정 객체), Interface leads to DMZ(직접 연결된 DMZ).
  7. (선택) Security Zone 에서 User defined 로 인터페이스의 Zone을 지정합니다.
  8. Perform Anti-Spoofing based on interface topology 가 선택되어 있는지 확인합니다.
  9. Anti-Spoofing 동작을 고릅니다 — Prevent(스푸핑 패킷 드롭) 또는 Detect(허용하되 모니터링, Spoof Tracking Log와 함께 토폴로지 학습용).
  10. (선택) 예외를 구성합니다 — Don't check packets from 을 선택하고 검사 제외할 객체를 고릅니다.
  11. Spoof Tracking 을 고릅니다 — Log(기본)·Alert·None.
  12. OK 를 두 번 눌러 저장합니다. 인터페이스마다 반복한 뒤 정책을 설치합니다.

Anti-Spoofing 옵션 요약

  • Perform Anti-Spoofing based on interface topology — 이 인터페이스의 스푸핑 보호를 켭니다.
  • Anti-Spoofing action is set to — Prevent(거부) 또는 Detect(모니터링, 추적 옵션과 함께 사용).
  • Don't check packets from — 유효 주소를 가진 내부망 트래픽이 외부 인터페이스에 닿을 때 Anti-Spoofing을 적용하지 않게 합니다.
  • Spoof Tracking — 추적 옵션을 고릅니다.

NAT 정책 구성

이 절은 NAT 전반과, IPv6→IPv4 변환인 NAT64 구성을 다룹니다. NAT64는 IPv6 전용 클라이언트와 IPv4 전용 서버의 통신을 가능하게 하며, IPv4/IPv6 변환 알고리즘(RFC 6145)으로 패킷 헤더를 변환합니다.

NAT 시작하기

  1. NAT Rule의 종류와 NAT Method의 종류를 익힙니다(아래).
  2. 알맞은 절차를 따릅니다 — 자동 NAT 규칙, 수동 NAT 규칙, NAT46(IPv4→IPv6), NAT64(IPv6→IPv4).
  3. 고급 NAT 설정을 구성합니다.
  4. Access Control Policy를 설치합니다.

NAT 는 Firewall Software Blade의 기능으로, IPv4·IPv6 주소를 바꿔 보안을 더합니다. 내부 IP를 인터넷에 노출하지 않 아 네트워크 정체를 보호합니다. 게이트웨이는 패킷의 출발지 IP, 목적지 IP, TCP/UDP 포트를 바꿀 수 있습니다.

흐름 예: (1) 내부 컴퓨터가 외부로 패킷 전송 → (2) 게이트웨이가 출발지 IP를 새 IP로 변환 → (3) 외부에서 응답이 돌아옴 → (4) 게이트웨이가 새 IP를 원래 IP로 되돌림 → (5) 패킷이 올바른 내부 컴퓨터로 전달.

NAT Rule의 종류

NAT 규칙만드는 법바꾸는 법
Automatic NAT Rules객체 속성의 NAT 페이지 설정에 따라 Management Server가 자동 생성객체 속성의 NAT 페이지에서 설정을 바꿉니다.
Manual NAT Rule직접 만들고 모든 객체와 NAT Method를 고름규칙을 직접 바꿉니다.

NAT Method의 종류

자동·수동 NAT 규칙 모두에서 다음 Method를 쓸 수 있습니다.

Hide — 한 출발지의 모든 연결의 출발지 IP를 같은 IP 로 바꿉니다. 게이트웨이의 나가는 인터페이스 IP(Hide behind gateway) 또는 직접 지정한 IP(Hide behind IP address)를 씁니다.

  • Hide NAT에서는 연결이 내부에서만 시작 될 수 있습니다(외부에서 내부 자원에 접근 불가).
  • Host 객체(IP 하나)면 1:1 변환, Network·Address Range 객체면 다대일 변환입니다.
  • 포트 번호(600~1023, 10,000~60,000)로 모든 내부 IP를 하나의 외부 IP로 변환하며, 동시에 최대 50,000 연결 을 변환할 수 있습니다.
  • 포트 번호를 못 바꾸는 프로토콜, IP로 컴퓨터를 구분하는 외부 서버에는 쓸 수 없습니다.
p.348
p.348

Hide NAT 흐름 예: 내부 컴퓨터 A(10.10.0.26)가 외부로 패킷을 보내면 게이트웨이가 출발지를 192.0.2.1, 포트 11000으로 변환합니다. 외부에서 192.0.2.1:11000으로 응답이 오면 게이트웨이가 다시 10.10.0.26으로 되돌려 A에게 보냅니다.

Static — 한 출발지의 모든 연결의 출발지 IP를 직접 지정한 IP 로 바꿉니다.

  • Static NAT에서는 외부에서 내부 자원에 접근 할 수 있습니다.
  • Host 객체면 1:1, Network·Address Range면 각 내부 IP를 서로 다른 외부 IP로 변환합니다.
p.349
p.349

Static NAT 흐름 예: 외부에서 192.0.2.5로 보낸 패킷을 게이트웨이가 10.10.0.26으로 변환해 A에게 전달하고, A의 응답은 192.0.2.5로 변환합니다. 내부 B(10.10.0.37)는 192.0.2.16으로 변환됩니다.

SmartConsole의 NAT 규칙

NAT Rule Base는 IP·포트가 어떻게 변환되는지를 보여 주는 두 섹션을 갖습니다 — Original(Source·Destination·Services)과 Translated(Source·Destination·Services). 자동 NAT 규칙에서는 = Original(변환 없음), S(Static), H(Hide) 표기가 쓰입니다.

NAT Rule 적용 순서

게이트웨이는 NAT Rule Base를 No. 열 순서대로 순차 적용하되, 자동과 수동 규칙을 다르게 다룹니다.

  • Manual NAT rules처음 맞는 한 규칙만 적용하고 다른 수동 규칙은 보지 않습니다.
  • Automatic NAT rules — 한 연결에 Source용·Destination용 두 자동 규칙 을 함께 적용할 수 있습니다.

자동 NAT 규칙 다루기

자동 NAT 규칙은 게이트웨이, Host, Network, Address Range 객체에 만들 수 있습니다. Static NAT는 출발지·목적지 변환을 위해 두 규칙을, Hide NAT는 출발지 변환을 위해 한 규칙을 만듭니다. Network·Address Range 객체에는 인트라넷 트래픽을 변환하지 않는 별도 규칙도 생깁니다(같은 객체 내 컴퓨터끼리는 변환 안 됨).

트래픽 종류Automatic NAT – StaticAutomatic NAT – Hide
내부→외부출발지 IP 변환출발지 IP 변환
외부→내부목적지 IP 변환N/A(외부 연결 불가)
인트라넷(Network·Address Range)변환 안 함변환 안 함

자동 NAT 구성

  1. Gateways & Servers 에서 게이트웨이 객체를 더블클릭합니다.
  2. NAT > Advanced 에서 Add automatic address translation rules to hide this Gateway behind another Gateway 를 선택합니다.
  3. Translation method(Hide·Static)를 고릅니다.
  4. NAT IP를 구성합니다 — Hide behind Gateway(해당 인터페이스 IP 사용) 또는 Hide behind IP address(IP 입력).
  5. Install on Gateway 에서 All 또는 변환할 게이트웨이를 고릅니다.
  6. OK 후 정책을 설치합니다.
p.357
p.357
p.358
p.358

예시 배포: 내부망의 Email·Web 서버에 Static NAT(공인 주소로 인터넷에서 접근 가능), 내부망 사용자에게 Hide NAT(인터넷 접근, 외부에서 접근 불가)를 구성합니다. 각 서버 객체의 NAT 페이지에서 Add Automatic Address Translation Rules 를 켜고 Translation method를 고른 뒤(Web/Mail은 Static + Hide behind IP Address, LAN은 Hide + Hide behind Gateway), 정책을 설치하면 Management Server가 자동 NAT 규칙을 생성합니다.

외부 네트워크로 자동 Hide NAT — 크고 복잡한 네트워크에서는 모든 내부 IP의 Hide 설정이 비현실적입니다. 대신 게이트웨이가 외부 인터페이스로 가는 모든 트래픽을 그 인터페이스의 유효 IP로 자동 Hide NAT 하게 할 수 있습니다.

p.361
p.361

게이트웨이 객체 > NAT > Hide internal networks behind the Gateway's external IP 를 선택하고 정책을 설치합니다.

수동 NAT 규칙 다루기

다음 같은 배포에는 수동 NAT가 필요합니다 — 특정 출발지·목적지 IP로 한정, 한 패킷에서 출발지·목적지를 함께 변환, 한 방향만 Static NAT, 서비스(목적지 포트) 변환, 특정 서비스만 사용, 동적 객체 변환.

일반 흐름: (1) 유효(NATed) IP를 쓰는 객체를 만들고, (2) 원래 IP를 유효 IP로 변환하는 수동 NAT 규칙을 만들고, (3) 변환된 객체로 가는 트래픽을 허용하는 Access Control 규칙을 구성합니다.

수동 NAT 구성

  1. Security Policies > Access Control > NAT 로 갑니다.
  2. 도구 모음의 Add Rule 아이콘으로, 또는 기존 수동 규칙의 No. 열 우클릭 > New Rule > Above/Below 로 규칙을 추가합니다.
  3. 객체를 고르고 변환을 구성합니다(없으면 선택 창의 New 로 생성).
  4. 정책을 설치합니다.
p.364
p.364

예시 배포: DMZ의 내부 웹·메일 서버를 하나의 IP로 외부에서 접근하게 하려면, DMZ 네트워크 객체에 Hide NAT를 구성하고 서버용 수동 NAT 규칙을 만듭니다. HTTP는 Web 서버로(Original Source: Any, Original Destination: Alaska_GW, Original Services: http, Translated Source: S Alaska_DMZ_Web), SMTP는 Mail 서버로(smtpS Alaska_DMZ_Mail) 변환하고, 마지막에 HTTP·SMTP를 허용하는 Access Control 규칙을 추가한 뒤 정책을 설치합니다.

NAT46 규칙 다루기

NAT46은 세션 정보를 유지하지 않고 IPv4 트래픽을 IPv6로 변환합니다(Stateless). 1:1 IP 매핑 을 수행하며, 변환된 출발지 IPv6는 96비트 prefix의 IPv6 Network 객체 + 32비트 출발지 IPv4 접미사 로 만들어집니다.

변환 흐름 예(IPv4 Client 192.168.2.55 ↔ IPv6 Server):

  • 요청: 출발지 192.168.2.55 → 2001:DB8:90::192.168.2.55/96, 목적지 1.1.1.66 → 2001:DB8:5001::30.
  • 응답: 출발지 2001:DB8:5001::30 → 1.1.1.66, 목적지 2001:DB8:90::192.168.2.55 → 192.168.2.55.

알려진 제한 — R80.20 이상에서만 지원하고, VoIP·FTP, Control·Data 연결 간 상태 정보가 필요한 프로토콜 은 지원하지 않습니다.

NAT46 구성(Step 1 — 게이트웨이 준비)

  1. 목적지 IPv6 네트워크에 연결되는 인터페이스에 prefix 길이 96 인 IPv6 주소가 할당되었는지 확인합니다. Gaia Portal의 Network Management > Network Interfaces, 또는 Gaia Clish에서 show interface <Name> ipv6-address.
  2. NATed IPv4 주소(NAT46 규칙의 Translated Destination)로 가는 트래픽이 그 인터페이스로 나가도록 라우팅을 구성합니다.
set static route <NATed IPv4>/<Net Mask> nexthop gateway logical <Interface> on
save config
  1. IPv6 CoreXL Firewall 인스턴스 수를 IPv4와 같게 맞춥니다. fw6 ctl multik statfw ctl multik stat 로 비교하고, IPv6가 적으면 cpconfig > Check Point CoreXL > Change the number of IPv6 firewall instances 로 같게 설정 후 재부팅합니다.

Step 2 — NAT46 규칙 구성 — NAT46 규칙은 수동 NAT 규칙 으로 만들고, 이 NAT 트래픽을 허용하는 Access Control 규칙도 추가합니다. 출발지 IPv4 객체(Host·Address Range·Network), 목적지 IPv4 Host 객체, 96비트 prefix의 변환 출발지 IPv6 Network 객체, 변환 목적지 IPv6 Host 객체를 만듭니다(객체들의 NAT 페이지는 구성하지 않음). 수동 NAT 규칙에서 Translated Source의 IPv6 Network 객체를 우클릭 > NAT Method > Stateless NAT46 을 고르면 46 아이콘이 표시됩니다. Original Services는 Any, Translated Services는 = Original 로 둡니다.

p.379
p.379

지원하는 NAT46 규칙 조합 요약:

#Original SourceOriginal DestinationOriginal ServicesTranslated SourceTranslated DestinationTranslated Services
1*AnyIPv4 Host*AnyIPv6 Network(96-bit prefix)IPv6 Host= Original
2IPv4 Host(static)IPv4 Host*AnyIPv6 Network(96-bit prefix)IPv6 Host= Original
3IPv4 Address RangeIPv4 Host*AnyIPv6 Network(96-bit prefix)IPv6 Host= Original
4IPv4 NetworkIPv4 Host*AnyIPv6 Network(96-bit prefix)IPv6 Host= Original

NAT46 로깅 — 로그에는 출발지·목적지 IPv6가 원래 IPv6 형식으로 표시됩니다. Log Details의 More 섹션에서 NAT46 항목을 확인합니다 — Xlate (NAT) Source IP(변환된 출발지 IPv6), Xlate (NAT) Destination IP(변환된 목적지 IPv6), More(Nat46 enabled).

NAT64 규칙 다루기

NAT64(RFC 6146)는 IPv6 전용 클라이언트가 unicast UDP·TCP·ICMP로 IPv4 전용 서버와 통신하게 합니다(Stateful). 주소 변환은 RFC 6145(IP/ICMP Translation Algorithm)와 RFC 6052를 따릅니다.

Stateful NAT64 특성N:M 변환 (N > M, M=1이면 단일 IPv4 뒤 Hide NAT, M>1이면 IPv4 범위 뒤 Hide NAT), 좋은 IPv4 주소 절약(포트 다중화), 연결 상태·바인딩 저장, IPv6 주소 할당 방식 제약 없음(Manual·DHCP6·SLAAC), 확장성.

알려진 제한 — VoIP, HTTPS Inspection, SSL de-multiplexer, HTTP Proxy 모드 게이트웨이, IPS "HTTP Header Spoofing" 보호를 지원하지 않습니다.

지원 표준 — RFC 6144, 6146, 6052, 6145, 2428, 6384.

변환 흐름 예(IPv6 Client 1111:1111::0100 ↔ IPv4 Server 10.0.0.100):

  • 요청: 출발지 1111:1111::0100 → 1.1.1.X(특수 연결 IPv6 0064:FF9B::0101:01XX 경유, 64:FF9B:: 는 NAT64 예약 prefix), 목적지 NATed 1111:2222::0A00:0064 → 10.0.0.100.
  • 응답: 출발지 10.0.0.100 → 1111:2222::0A00:0064, 목적지 1.1.1.X → 1111:1111::0100.

NAT64 구성(Step 1 — 게이트웨이 준비) — NAT46과 비슷하되, 목적지 IPv4 네트워크에 연결되는 인터페이스에 prefix 길이 96 이하 인 IPv6 주소가 있어야 하고, NATed IPv6(NAT64 규칙의 Original Destination)로 가는 트래픽이 그 인터페이스로 나가도록 IPv6 라우팅을 구성합니다.

set ipv6 static-route <NATed IPv6>/<96 이하> nexthop gateway <인터페이스 IPv6 서브넷의 IPv6 주소> on
save config

IPv6 CoreXL 인스턴스 수도 IPv4와 같게 맞춥니다(fw6 ctl multik stat, fw ctl multik stat).

Step 2 — NAT64 규칙 구성 — 수동 NAT 규칙으로 만듭니다. 출발지 IPv6 Network 객체, IPv4-embedded IPv6 주소 를 가진 변환 목적지 IPv6 객체(80개의 0비트 + 16개의 1비트 + IPv4 32비트, 예: 192.168.3.0 → 0:0:0:0:0:FFFF:192.168.3.0), 변환 출발지 IPv4 Address Range 객체를 만듭니다.

수동 NAT 규칙에서 Translated Source의 IPv4 Address Range 객체를 우클릭 > NAT Method > Stateful NAT64 를 고르면, Translated Destination이 = Embedded IPv4 Address 로 바뀌고 두 열에 64 아이콘이 표시됩니다. Original Services는 Any, Translated Services는 = Original 입니다.

p.392
p.392
p.394
p.394
p.395
p.395
#Original SourceOriginal DestinationOriginal ServicesTranslated SourceTranslated Destination
1*AnyIPv6 Host(static)*AnyIPv4 Address RangeIPv4 Host
2*AnyIPv6 Address Range(IPv4-embedded)*AnyIPv4 Address Range= Embedded IPv4 Address
3*AnyIPv6 Network(IPv4-embedded)*AnyIPv4 Address Range= Embedded IPv4 Address / IPv4 Host
4IPv6 Host(static)IPv6 Host(static)IPv4 Host*AnyIPv4 Address Range
5IPv6 Host(static)IPv6 Address Range(IPv4-embedded)Embedded IPv4 Address*AnyIPv4 Address Range
6IPv6 Host(static)IPv6 Network(IPv4-embedded)Embedded IPv4 Address*AnyIPv4 Address Range
7IPv6 Address RangeIPv6 Host(static)IPv4 Host*AnyIPv4 Address Range
8IPv6 Address RangeIPv6 Address Range(IPv4-embedded)Embedded IPv4 Address*AnyIPv4 Address Range
9IPv6 Address RangeIPv6 Network(IPv4-embedded)Embedded IPv4 Address*AnyIPv4 Address Range
10IPv6 NetworkIPv6 Host(static)IPv4 Host*AnyIPv4 Address Range
11IPv6 NetworkIPv6 Address Range(IPv4-embedded)Embedded IPv4 Address*AnyIPv4 Address Range
12IPv6 NetworkIPv6 Network(IPv4-embedded)Embedded IPv4 Address*AnyIPv4 Address Range
p.401
p.401

Step 3 — NAT64 추가 설정 — RFC 6145를 따르는 변환 동작을 조정할 수 있습니다.

모든 SmartConsole을 닫고, Database Tool(GuiDBEdit Tool) 로 Management Server에 연결한 뒤 Table > Global Properties > properties > firewall_properties 에서 다음 필드를 우클릭 > Edit 로 true·false를 설정합니다.

p.402
p.402
Field Name설명
nat64_add_UDP_checksum패킷 체크섬이 0이면 유효한 UDP 체크섬을 계산해 넣을지. 기본적으로 체크섬 0인 IPv4 UDP는 IPv6 측에서 드롭되므로 중요. 기본값 false.
nat64_avoid_PMTUD_blackholePMTU discovery 중 IPv4(목적지) 측 단편화 허용 여부. 일부 장비 조합에서 PMTUD가 실패하면 켭니다. 기본값 false.
nat64_copy_type_of_serviceTraffic Class 필드를 Type Of Service로 복사하고 변환 패킷의 ToS를 0으로 설정할지. 기본값 true.
nat64_error_message_on_dropped_packets연결 종료 후 감사 로그 생성 여부. 연결 정보·변환된 출발지 IP·포트·시작·종료 시각을 보여 주며, 만료로 닫혔으면 TCP End Reason 필드가 추가됨. 기본값 true.

File > Save All 후 Database Tool을 닫고, SmartConsole로 연결해 정책을 설치합니다.

NAT64 로깅 — NAT46과 마찬가지로 Log Details의 More 섹션에서 확인합니다 — Xlate (NAT) Source IP(변환된 출발지 IPv4), Xlate (NAT) Destination IP(변환된 목적지 IPv4), More(Nat64 enabled).

p.404
p.404

고급 NAT 설정

Automatic·Proxy ARP — NAT로 내부 컴퓨터에 외부 네트워크 IP를 주면 그 컴퓨터가 외부망에 있는 것처럼 보입니다. 자동 NAT에서는 게이트웨이가 변환된 객체를 대신해 외부망의 ARP 요청에 응답 합니다. 수동 NAT 규칙을 쓰면 Proxy ARP 항목을 직접 구성 해, 변환된 IP를 그 IP와 같은 네트워크의 게이트웨이 인터페이스 MAC과 연결해야 합니다(sk30197). CGNAT 변환 Address Range는 Proxy ARP가 자동 생성되지 않으니 수동 구성합니다. IPv6 수동 NAT의 Proxy NDP는 sk91905를 보세요.

p.405
p.405

NAT와 Anti-Spoofing — NAT는 Anti-Spoofing 검사 후 수행되며, 검사는 패킷의 출발지 IP에만 적용됩니다. 따라서 스푸핑 보호도 NAT와 같은 방식으로 인터페이스에 구성합니다.

VPN 터널에서 NAT 비활성화 — VPN 안 통신에는 보통 NAT가 필요 없습니다. VPN community 객체에서 클릭 한 번 으로 끌 수 있습니다. NAT 규칙으로 끄는 방식은 VPN 성능을 떨어뜨립니다.

중첩 주소 내부 통신(Overlapping Addresses) — 두 내부망의 IP가 겹치면 표준 NAT로는 통신할 수 없으므로 인터페이스별 overlapping NAT 를 씁니다. 예를 들어 Network 2A·2B가 모두 192.168.1.0/24일 때, 2A는 2B로 갈 때 192.168.30.0/24를, 2B는 2A로 갈 때 192.168.20.0/24를 목적지로 씁니다.

p.407
p.407
인터페이스변환
4A인바운드 출발지 → 가상망 192.168.20.0/24, 아웃바운드 목적지 → 192.168.1.0/24
4B인바운드 출발지 → 192.168.30.0/24, 아웃바운드 목적지 → 192.168.1.0/24
4Coverlapping NAT 미사용 — 인터페이스 IP(192.168.4.1) 뒤로 일반 Hide NAT

라우팅은 192.168.20.0/24 → 192.168.2.2, 192.168.30.0/24 → 192.168.3.2 로 구성합니다. 활성화는 Database Tool(또는 dbedit)로 인터페이스별 파라미터를 설정합니다.

파라미터
enable_overlapping_nattrue
overlap_nat_dst_ipaddrNAT 전 겹치는 IP(예: 두 인터페이스 모두 192.168.1.0)
overlap_nat_src_ipaddrNAT 후 IP(4A: 192.168.20.0, 4B: 192.168.30.0)
overlap_nat_netmask겹치는 IP의 넷마스크(예: 255.255.255.0)

Multicast Access Control — 멀티캐스트는 각 데이터그램의 사본 하나를 멀티캐스트 주소로 보내 그룹의 각 수신자가 자기 사본을 받습니다. 게이트웨이 객체 > Network Management > 인터페이스 Edit > Interface > Advanced > Drop Multicast packets by the following conditions 에서 정책을 고릅니다 — 목록 내 목적지 드롭 또는 목록 외 모두 드롭. 멀티캐스트 주소 범위는 224.0.0.0 ~ 239.255.255.255(Class D)이며, 224.0.0.0~224.0.0.255는 라우터가 전달하지 않는 LAN용 영구 호스트 그룹입니다. Rule Base에 그 범위를 Destination으로 하는 규칙을 추가하고 멀티캐스트 프로토콜(PIM·DVMRP·MOSPF·IGMP)을 서비스에 넣은 뒤 정책을 설치합니다.

Security Management behind NAT — Management Server가 사설(RFC 1918)·비라우팅 IP를 쓸 때, 클릭 한 번으로 Static·Hide NAT 를 구성하면서도 관리 게이트웨이와의 연결을 유지할 수 있습니다(Management HA·Log Server에도 적용).

p.413
p.413

Management Server 객체 > NAT 에서 Add Automatic Address Translation rules 선택, Static 과 IP 구성 후, Install on Gateway(이 NAT를 수행할 게이트웨이) 또는 Do not create automatic NAT rules(서드파티 장비가 NAT 처리) 중 하나를 고릅니다. Connections from Security Gateways to this server 에서 topology 기준·원본 IP·변환 IP 중 하나를 고르고, 필요하면 Apply for Security Gateway control connections(VPN 컨트롤 연결에 NAT 적용)를 선택합니다. 게이트웨이별로는 NAT > Management / Log Servers 에서 기본값(서버 설정 사용)을 쓰거나 재정의합니다.

IP Pool NAT — IP Pool은 게이트웨이로 라우팅되는 IP 범위로, MEP(Multiple Entry Point) 게이트웨이 VPN 시나리오 에서 암호화 연결의 라우팅을 보장합니다. 연결이 한 MEP 게이트웨이로 라우팅되면 응답 패킷도 같은 게이트웨이로 돌아와야 하므로, 각 MEP 게이트웨이가 자신으로 라우팅되는 IP 풀을 유지하고 출발지 IP를 풀의 IP로 치환합니다.

p.418
p.418
p.420
p.420
p.421
p.421

NAT 우선순위1. Static NAT → 2. IP Pool NAT → 3. Hide NAT 순입니다. 비암호화 연결에서 IP Pool NAT는 Hide NAT보다, (1) NATed 호스트로 새 back connection(예: X11)을 열 수 있고, (2) IP당 한 연결 프로토콜의 사용자-서버 매핑이 여러 호스트와 동작하며, (3) IPsec·GRE·IGMP를 NAT할 수 있다는 장점이 있습니다(Hide NAT는 TCP·UDP·ICMP만).

  • IP Pool per Interface — 게이트웨이에 풀 하나 대신 인터페이스별 풀 을 둘 수 있어, 인터페이스가 셋 이상일 때 라우팅 문제를 해결합니다. 인터페이스별 풀은 겹치면 안 됩니다.
  • 주소 재사용 — IP Pool 주소를 다른 목적지에 재사용 하면 더 효율적입니다. 풀에 N개 주소가 있으면 서버당 클라이언트가 N 이하인 한 클라이언트 수에 제한이 없습니다. 재사용 시 back connection은 원래 서버에서만 열립니다. 기본값인 Do not reuse 는 각 주소를 한 번만 쓰고 어떤 출발지에서든 back connection을 열 수 있습니다.

IP Pool 구성 절차

  1. Global properties > NAT 에서 Enable IP Pool NAT 와 추적 옵션을 선택합니다.
  2. 게이트웨이·인터페이스마다 풀 주소를 나타내는 객체(Network·Network Group·Address Range)를 만듭니다.
  1. 게이트웨이/클러스터 객체 > NAT > IP Pool NAT 에서 풀 전체용(Allocate IP Addresses from) 또는 인터페이스별(Define IP Pool NAT on Gateway interfaces)을 고릅니다. 선택 옵션으로 Use IP Pool NAT for VPN client connections, ... for gateway to gateway connections, Prefer IP Pool NAT over Hide NAT 가 있습니다. Advanced에서 Return unused addresses to IP Pool after(기본 60분)와 Reuse IP addresses ... 를 구성합니다. 클러스터는 각 멤버의 IP Pool NAT 탭에서 풀 객체를 고릅니다.
  2. 정책을 설치합니다.
  3. NAT 풀에서 할당된 IP가 알맞은 게이트웨이(또는 인터페이스)로 라우팅되도록 내부 라우터의 라우팅 테이블을 수정합니다.

Mobile Access로 네트워크 접속

Check Point Mobile Access 는 원격 사용자가 표준 HTTPS로 Mobile Access 게이트웨이에 접속·인증해 내부망에 안전하게 접근하게 합니다. Rule Base에 넣으려면 Services & Applications 열에 Mobile Application 을, 특정 클라이언트 접근은 Source 열에 그 클라이언트용 Access Role 을 넣습니다. 모든 솔루션은 엔터프라이즈급 보안 연결, 강력한 사용자 인증, 세밀한 접근 통제를 제공합니다(최신 정보는 sk67820).

Client-Based vs. Clientless — Check Point 원격 접속은 IPsec·SSL 암호화를 쓰며 NAT·핫스팟·프록시를 통과합니다.

  • Client-based — 엔드포인트에 설치하는 클라이언트로, 사용자 권한에 따라 대부분 자원에 접근합니다.
  • Clientless — 웹 브라우저·HTTPS로 접속하며 보통 웹 기반 자원에 접근합니다.
  • On demand client — 브라우저로 접속하고 필요 시 클라이언트가 설치됩니다.

Mobile Access 클라이언트Capsule Workspace(보안 컨테이너로 내부 웹·파일 공유·Exchange 접근), Capsule Connect(전체 L3 터널), Check Point Mobile for Windows(Windows IPsec VPN). Mobile Access Web Portal 은 clientless SSL VPN으로 Outlook Web App·위키 등에 접근하고, SSL Network Extender 는 브라우저에서 설치되는 on-demand SSL VPN 클라이언트입니다.

Mobile Access 구성

샘플 워크플로 — (1) Mobile Access Software Blade를 켜고, (2) 구성 마법사로 모바일 클라이언트 선택·포털 정의·애플리케이션 정의·AD 연결을 설정하고, (3) 정책 유형을 고르며(기본은 Legacy Policy, 통합 정책은 Gateway Properties > Mobile Access에서 선택), (4) 정책에 규칙을 추가하고, (5) 인증 설정을 하고, (6) 정책을 설치합니다. (선택) Capsule Workspace 앱에 인증서 인증으로 접근을 줄 수 있습니다(Authentication > Settings > Require client certificate, Certificate Creation and Distribution Wizard로 인증서 발급).

p.428
p.428

구성 마법사 사용 — Mobile Access Blade를 켜면 마법사가 열립니다. 인터넷·모바일 장치 연결 허용 옵션(Web, Mobile Devices, Desktops/Laptops) 선택 → 포털 URL 입력(기본 https://<게이트웨이 IPv4>/sslvpn) → 애플리케이션 구성(Demo web application, Mail/Calendar/Contacts에서 Exchange 도메인과 Mobile Mail, ActiveSync Applications, Outlook Web App) → AD 도메인·자격 증명 입력 후 Connect → Users 페이지에서 그룹(예: Mobile Access) 추가 → Finish.

모바일 연결 허용 — 마법사는 Blade를 켜고 구성하지만, VPN 클라이언트 연결을 허용하는 Firewall 규칙을 추가 해야 합니다. Exchange 서버용 Host Node 객체를 만듭니다(나머지는 사전 정의됨).

NameSourceDestinationVPNServiceActionInstall OnTrack
Mobile Access UsersAnyExchngSrvrRemoteAccessHTTP / HTTPS / MSExchangeAcceptMobile Access GWLog

이 규칙은 RemoteAccess VPN community에서 Exchange 서버로 가는 HTTP·HTTPS·MS Exchange만 허용하며, MobileAccessGW 그룹의 게이트웨이에 설치됩니다.

애플리케이션 접근 정의 — Security Policies 페이지에서 사용자·사용자 그룹, Mobile Access 애플리케이션, Mobile Access 게이트웨이 객체로 규칙을 만듭니다(마법사에서 선택한 앱은 자동 추가됨).

Single Sign-On(SSO) 활성화 — SSO를 켜면 사용자가 한 번 인증으로 Mobile Access 세션의 여러 애플리케이션을 씁니다. 포털 로그인 자격 증명이 각 애플리케이션 인증에 재사용되며, 세션 동안 게이트웨이에 안전하게 저장됩니다. HTTP를 쓰는 새 애플리케이션에는 기본으로 켜집니다. 웹 폼 애플리케이션은 Security Policies > Shared Policies > Mobile Access > Open Mobile Access Policy in SmartDashboard 에서 애플리케이션 Edit > Single Sign On 페이지에서 Advanced > This application reuses the portal credentialsThis application uses a Web form ... 를 선택합니다.

Citrix 서버 연결 — Mobile Access Blade는 Citrix 클라이언트·서비스를 통합하며 자체 STA 엔진을 써서 별도 STA 서버가 필요 없 습니다(STA·CSG 배포에서도 사용 가능). 서버 인증서는 게이트웨이 FQDN으로 발급해야 합니다.

p.432
p.432

구성은 Manage & Settings > Blades 의 Mobile Access에서 Configure in SmartDashboard > Applications > Citrix Services > New 로 Citrix 서버 객체를 만들고, Web Interface 서버용 Host 객체 생성, 지원 서비스(HTTP·HTTPS) 선택, Link in Portal(링크 텍스트·URL·툴팁) 구성, Single Sign On 켜기(자격 증명 저장) 후, Policy 에서 규칙의 Applications 셀에 Citrix 객체를 추가하고 정책을 설치합니다.

Compliance Check

Mobile Access Blade의 Endpoint Security on Demand 로 컴플라이언스 정책을 만들어, 모바일·컴퓨터가 연결 전에 한 번 스캔 되어 준수하는지 확인합니다. 스캐너는 ActiveX(Windows의 IE)나 Java로 설치되며, 브라우저가 포털을 열려 할 때 스캔이 시작됩니다.

컴플라이언스 정책 규칙 종류: Windows security(핫픽스·패치·SP), Anti-Spyware protection, Anti-Virus protection(버전·시그니처), Firewall(개인 방화벽), Spyware scan, Custom(애플리케이션·파일·레지스트리 키), OR group(그룹 내 한 규칙만 충족해도 준수).

컴플라이언스 정책 만들기 — Manage & Settings > Blades > Mobile Access > Configure in SmartDashboard > Endpoint Security on Demand > Endpoint Compliance > Edit policies > New Policy 로 이름·설명을 주고 Add 로 규칙을 고릅니다(New Rule 로 새 규칙 생성 가능). 필요하면 Bypass spyware scan 을 선택합니다.

게이트웨이 컴플라이언스 설정 — 같은 위치에서 게이트웨이를 Edit 한 뒤 Scan endpoint machine when user connectsThreshold policy(예: Laptop Computer)를 고르고 정책을 설치합니다.

Secure Workspace — 원격 사용자가 엔드포인트에서 ="실제" 작업 공간과 격리된 가상 보안 환경== 으로 접속하게 합니다. 사용자는 이 환경에서 Mobile Access Portal을 통해서만 데이터를 보내고, 허용된 애플리케이션·파일만 씁니다. 컴퓨터에 My Secured Documents 라는 암호화 폴더를 만들며, 세션이 끝나면 이 폴더와 모든 세션 데이터를 삭제합니다. Manage & Settings > Blades > Mobile Access > Configure in SmartDashboard > Endpoint Security on Demand > Secure Workspace 에서 게이트웨이 Edit > This gateway supports access to applications from within Check Point Secure Workspace 를 선택하고 정책을 설치합니다.

Site-to-Site VPN

Site-to-Site VPN의 바탕은 암호화된 VPN 터널 입니다. 두 게이트웨이가 링크를 협상해 터널을 만들며, 한 터널에 여러 VPN 연결이, 한 게이트웨이에 동시에 여러 터널이 있을 수 있습니다. 두 게이트웨이가 IKE 협상으로 터널을 만들고 IPsec으로 호스트 간 데이터를 암호화·복호화합니다.

VPN CommunitiesVPN Domain 은 게이트웨이가 VPN 트래픽을 주고받는 내부망의 모음입니다. 각 게이트웨이의 VPN Domain을 정의한 뒤 게이트웨이를 VPN community(VPN 터널과 속성의 모음) 로 묶습니다. Community는 Mesh(게이트웨이 쌍마다 터널)와 Star(각 satellite가 central에만 터널) 토폴로지를 씁니다.

p.439
p.439
p.439
p.439

Star Community 구성 예 — Security Policies > Access Tools > VPN Communities > New > Star Community 로 community를 만들고 Encryption 에서 암호화 방식을 구성합니다. 각 게이트웨이는 General Properties에서 IPsec VPN 을 켜고, Network Management > VPN Domain 에서 central은 Manually defined(Internal-network 객체), satellite는 All IP addresses 로 두고, IPsec VPN 에서 community에 Add 합니다. 이후 community의 Gateways 페이지에서 Center Gateways·Satellite Gateways 를 추가합니다.

p.441
p.441

조합 community 예 — London·New York 게이트웨이는 내부망을 공유하는 Mesh community로 묶이고, 회사 파트너의 외부망은 London·New York 내부망에 접근하지 못하지만, Star community로 각자 협업하는 사이트의 내부망에 접근합니다.

VPN 연결 허용 — 특정 community 간 VPN 연결을 허용하려면 그런 연결을 Accept하는 Access Control 규칙을 추가합니다. 모든 VPN 트래픽을 허용하려면 community 속성의 Encrypted Traffic 섹션에서 Mesh는 Accept all encrypted traffic, Star는 Accept all encrypted traffic on Both center and satellite gateways 또는 on Satellite gateways only 를 선택합니다.

샘플 VPN Access Control 규칙(Action=Allow, Track=Log, Time=Any 가정):

No.NameSourceDestinationVPNServiceInstall On
1AnyNEGATED: Member Security GatewaysBranchOffices / LondonOfficesAnyBranchOffices / LondonOffices
2Site-to-site VPNAnyAnyAll_GwToGwFTP-port / HTTP / HTTPS / SMTPPolicy Targets
3Remote accessAnyAnyRemoteAccessHTTP / HTTPS / IMAPPolicy Targets
  • 1 — community에 Accept All Encrypted Traffic 을 켜면 SmartConsole이 Implied Rules 맨 위에 자동 추가하는 규칙입니다. 해당 community의 내부망 호스트로 가는 모든 VPN 트래픽을 허용하되, 게이트웨이 자신으로 가는 트래픽은 드롭 합니다.
  • 2 Site-to-site VPN — 모든 Site-to-Site community의 VPN Domain 호스트 간 FTP·HTTP·HTTPS·SMTP만 허용합니다.
  • 3 Remote access — Remote Access community의 VPN Domain 호스트 간 HTTP·HTTPS·IMAP만 허용합니다.

Remote Access VPN

직원이 여러 위치·장치에서 민감 정보에 원격 접근할 때 그 접근이 보안 취약점이 되지 않게 해야 합니다. Remote Access VPN 은 원격 사용자와 내부망 사이에 VPN 터널을 만들며, Mobile Access Software Blade 가 많은 클라이언트·배포로 기능을 확장합니다.

VPN 연결 모드 — 원격 클라이언트 연결에는 IP 미상·내부 IP가 부여된 LAN(호텔 등)·미지원 프로토콜 같은 어려움이 있습니다. IPsec VPN Blade는 이를 위해 두 모드를 제공합니다.

  • Office Mode — 원격 사용자에게 내부망의 IP를 할당 해 IP 패킷을 캡슐화하므로, 사무실에 있는 것처럼 트래픽을 보내 라우팅 문제를 피합니다.
  • Visitor Mode — HTTP·HTTPS만 허용되는 환경에서, 모든 프로토콜을 포트 443의 일반 TCP 연결로 터널링 합니다.

샘플 워크플로 — (1) Remote Access VPN을 켜고, (2) 원격 사용자 정보를 추가하며(LDAP Account Unit 생성·구성 또는 SmartConsole 사용자 DB 입력, 선택적으로 사용자 인증 구성), (3) Access Control·암호화 규칙을 정의하고, (4) 규칙에 쓸 그룹 객체(LDAP Group·User Group)를 만들고, (5) Menu > Global properties > Remote Access > VPN - Authentication and Encryption 에서 VPN community의 암호화를 구성하고, (6) 내부망으로의 VPN 트래픽을 허용하는 Access Control 규칙을 추가합니다.

Remote Access community용 게이트웨이 구성 — VPN Blade를 켠 뒤, 게이트웨이 객체 > IPsec VPN 에서 Remote Access community에 Add 하고, Network Management > VPN Domain 에서 VPN Domain을 구성합니다. Visitor·Office Mode는 VPN Clients > Office Mode 에서 설정합니다.

Implied Rules (암묵 규칙)

Check Point Management Server와 관리 객체(게이트웨이·클러스터 멤버·Log Server 등)는 Check Point 프로토콜로 서로 통신합니다. 기본적으로 모든 Access Control 정책에는 필요한 내부 Check Point 통신을 허용하는 사전 정의된 Implied Rules 가 들어 있습니다.

  • 보기Security Policies > Access Control > Policy 에서 Actions > Implied Rules.
  • 구성Menu > Global propertiesFirewall 페이지에서 옵션을 고르고 암묵 규칙 순서를 정한 뒤 OK, 각 게이트웨이/클러스터/Virtual System에 정책을 설치합니다(sk179346).