04시작하기 — 배포·워크플로·마법사시작하기 — 배포·워크플로·마법사
Mobile Access를 실제로 켜는 과정은 생각보다 단순합니다. 이 장은 어디에 게이트웨이를 놓을지(배포), 어떤 순서로 구성할지(워크플로), 그리고 처음 켤 때 뜨는 마법사가 무엇을 묻는지 를 차례로 따라가며, 첫 포털을 띄우고 사용자가 로그인하기까지의 길을 빠짐없이 잡아 줍니다. 원문이 다이어그램과 표로 나열한 배포 구성과 마법사의 각 단계, 정책 생성 절차, Capsule Workspace 준비, 클라이언트 인증서 발급까지 하나하나 풀어 둡니다.
권장 배포 방식
Mobile Access는 조직의 시스템 구조와 선호에 따라 여러 방식으로 배포할 수 있습니다. 아래 다섯 가지를 차례로 살펴봅니다.
Simple Deployment (가장 단순한 배포)
가장 권장되는 형태가 Simple Deployment 입니다. 가장 단순한 Mobile Access 배포에서는 Mobile Access를 켠 Security Gateway 한 대가 Mobile Access 트래픽을 포함한 모든 트래픽을 검사합니다. IPS 와 Anti-Virus 도 모든 트래픽에 적용할 수 있습니다. 이 Security Gateway는 네트워크 경계(perimeter)에 둘 수 있습니다.
이것이 권장 배포입니다. 게이트웨이 한 대만 있으면 되므로 가장 저렴하고, 구성하기 쉬우며, 안전한 원격 접속을 가장 간단하게 제공 합니다.

이 그림의 각 요소는 다음과 같습니다.
| 항목 | 설명 |
|---|---|
| 1 | 내부 서버(Internal servers) |
| 2 | Mobile Access를 켠 Security Gateway |
| 3 | 인터넷을 지나는 SSL 터널(SSL Tunnel through Internet) |
| 4 | 원격 사용자(Remote User) |
Deployment in the DMZ (DMZ 배포)
Mobile Access를 켠 Security Gateway를 DMZ 에 두면, 인터넷에서 들어오는 트래픽과 LAN에서 Mobile Access로 가는 트래픽이 모두 방화벽 제약을 받습니다. 이렇게 하면 인터넷에서 LAN으로의 직접 접근을 열 필요가 없어집니다.
원격 사용자는 Mobile Access Security Gateway로 SSL 연결 을 시작합니다. 사용자에서 Mobile Access 서버로 가는 트래픽을 허용하도록 Access Control Policy 를 설정해야 하며, 게이트웨이에서 SSL 종료, IPS·Anti-Virus 검사, 인증(authentication), 권한 부여(authorization) 가 이뤄집니다. 그다음 Security Gateway가 요청을 내부 서버로 전달합니다.
Cluster Deployment (클러스터 배포)
동시 접속하는 원격 사용자가 많고, 끊김 없는 연속적 원격 접속이 조직에 결정적으로 중요하다면, Mobile Access를 클러스터(cluster) 위에서 활성화하는 방식을 택할 수 있습니다. 클러스터는 위에서 설명한 어떤 배포 형태로도 구성할 수 있습니다.

| 항목 | 설명 |
|---|---|
| 1 | 내부 서버(Internal servers) |
| 2 | Mobile Access를 켠 cluster member B |
| 3 | 인터넷(Internet) |
| 4 | 인터넷을 지나 SSL로 접속하는 원격 사용자 |
| 5 | Mobile Access를 켠 cluster member A |
| 6 | 보안 네트워크 — 동기화(Sync) 전용 |
각 클러스터 멤버는 세 개의 인터페이스 를 가집니다 — 조직으로 향하는 데이터 인터페이스 하나, 인터넷으로 향하는 두 번째 인터페이스, 그리고 동기화(synchronization)용 세 번째 인터페이스입니다. 각 인터페이스는 서로 다른 서브넷에 있습니다.
다만 Mobile Access 클러스터를 DMZ에 두는 단순한 배포에서는 인터페이스 두 개로 충분 합니다 — 조직과 인터넷으로 향하는 데이터 인터페이스 하나, 그리고 동기화용 두 번째 인터페이스입니다.
Deployments with VSX (VSX 배포)
VSX Virtual System 위에서도 Mobile Access Software Blade를 켤 수 있습니다.
VSX 배포를 쓰면 서로 다른 Mobile Access 시나리오를 지원할 수 있습니다. 각 Virtual System은 서로 다른 애플리케이션, 접근 정책, 인증 요건, 모바일 클라이언트를 가진 Mobile Access 포털 을 따로 둘 수 있습니다.
예를 들어 아래 그림에서는 한 VSX Gateway 가 Mobile Access를 켠 네 개의 Virtual System을 가지고 있습니다. 각 Virtual System은 회사가 사용자 그룹별로 필요로 하는 요구에 맞춰 서로 다른 설정으로 Mobile Access가 구성되어 있습니다.

| 항목 | 설명 | 예시 포털 URL |
|---|---|---|
| 1 | 원격 사용자(Remote Users) | |
| 2 | 인터넷(Internet) | |
| 3 | 라우터(Router) | |
| 4 | VSX Gateway | |
| 5 | Virtual Switch | |
| 6 | Mobile Access를 켠 Virtual System 4 | https://guest.company.com/sslvpn |
| 7 | Mobile Access를 켠 Virtual System 3 | https://finance.company.com/sslvpn |
| 8 | Mobile Access를 켠 Virtual System 2 | https://sales.company.com/sslvpn |
| 9 | Mobile Access를 켠 Virtual System 1 | https://dev.company.com/sslvpn |
다음 표는 각 Virtual System에 둘 수 있는 서로 다른 설정의 예시입니다.
| Virtual System | 사용자 | 허용 클라이언트 | 인증 방식 | 구성된 애플리케이션 | Endpoint Health Checks |
|---|---|---|---|---|---|
| Virtual System 9 | 개발팀 | Mobile Access Portal, SSL Network Extender, Capsule Workspace | Certificate + AD Password | 개발용 애플리케이션 | 회사 Endpoint Security 요건을 보는 Mobile Access Portal ESOD 검사. 탈옥(jailbroken)·루팅된 기기 불허 |
| Virtual System 8 | 영업팀 | Capsule Workspace, Capsule Connect | SecurID + AD password | 영업용 애플리케이션 | 탈옥·루팅된 기기 불허 |
| Virtual System 7 | 재무팀 | Mobile Access Portal, Capsule Workspace | SecurID + AD password | 재무용 애플리케이션 | 회사 MDM 서버와 협조적 강제(cooperative enforcement) |
| Virtual System 6 | 협력사(Contractors) | Mobile Access Portal | 30일 후 만료되는 Certificate | 협력사용 내부 애플리케이션 | 상용 AV 솔루션과 최근 AV 시그니처 갱신을 보는 Mobile Access Portal ESOD 검사 |
Deployment as a Reverse Proxy (리버스 프록시 배포)
Mobile Access를 사용해, Mobile Access Security Gateway를 서버의 웹 애플리케이션을 위한 Reverse Proxy 로 동작시킬 수 있습니다. Reverse Proxy 사용자는 Security Gateway IP 주소로 풀리는 주소(URL)로 접속하고, 그러면 Security Gateway가 Reverse Proxy 규칙에 따라 요청을 내부 서버로 넘깁니다. 사용자와 리소스 사이 연결의 보안 수준(HTTP 또는 HTTPS)은 직접 제어합니다. 세부는 Reverse Proxy 장을 참고하세요.
또한 Capsule Docs 사용자를 위한 Capsule Workspace의 Single Sign-On 을 켤 수도 있습니다 — 자세한 내용은 R82 Harmony Endpoint Security Server Administration Guide 를 참고하세요.
Mobile Access 워크플로
Mobile Access 애플리케이션과 리소스에 대한 원격 접속을 설정하는 전체 흐름은 다음과 같습니다.
- SmartConsole 에서 Security Gateway의 Mobile Access Software Blade를 켭니다.
- Mobile Access Configuration wizard 의 단계를 따라 다음을 설정합니다.
- a. 모바일 클라이언트를 선택합니다.
- b. Mobile Access Portal을 정의합니다.
- c. 애플리케이션(예: Outlook Web App)을 정의합니다.
- d. 사용자 정보를 위해 AD 서버 에 연결합니다.
- 정책 유형을 선택합니다.
- 기본은 SmartConsole의 Mobile Access 탭에서 구성하는 Legacy Policy 입니다.
- Mobile Access를 Unified Access Policy 에 포함하려면, Gateway Properties > Mobile Access 에서 이를 선택합니다.
- 정책에 규칙을 추가합니다.
- Legacy Policy 의 경우: SmartConsole에서 규칙을 추가합니다 — Security Policies > Shared Policies > Mobile Access > Open Mobile Access Policy in SmartConsole.
- Unified Access Policy 의 경우: SmartConsole > Security Policies > Access Control Policy 에서 규칙을 추가합니다.
- Gateway Properties > Mobile Access > Authentication 에서 인증 설정을 구성합니다.
- Security Gateway에 Access Control Policy 를 설치합니다. 그러면 사용자가 정의된 인증 방식으로 구성된 Mobile Access Portal을 통해 모바일 애플리케이션에 접근할 수 있습니다.
- (선택) Capsule Workspace 앱으로 인증서 인증을 통해 사용자에게 안전한 접속을 제공합니다.
- a. Security Gateway의 Mobile Access > Authentication 에서 Settings 를 클릭하고 Require client certificate 를 선택합니다.
- b. Certificate Creation and Distribution Wizard(Security Policies view > Client Certificates > New)를 사용합니다.
- c. 사용자가 Capsule Workspace 앱을 내려받습니다.
- d. 사용자가 Capsule Workspace 앱을 열어 Mobile Access Site Name 과 사용자 이름·암호 등 필요한 인증 정보를 입력합니다.
Mobile Access 마법사
Mobile Access Wizard 는 Security Gateway에서 Mobile Access 블레이드를 켜면 실행됩니다. 선택된 원격 사용자가 웹 브라우저·모바일 기기·원격 접속 클라이언트를 통해 사내 웹·메일 애플리케이션에 빠르게 접근하도록 열어 줍니다. 마법사에 나오는 원격 접속 클라이언트를 더 알고 싶으면 Check Point 원격 접속 솔루션을 참고하세요 — 마법사의 설정 다수는 Gateway Properties > Mobile Access 에도 있습니다.
Mobile Access — 어디서 접속할지
사용자가 Mobile Access 애플리케이션에 어디서 접근할지 선택합니다.
- Web — 어떤 컴퓨터의 브라우저로든 접속합니다. 네이티브 애플리케이션 접근이 필요할 때 사용자가 SSL Network Extender 를 내려받을 수 있습니다.
- Mobile Devices — iOS 또는 Android 모바일 기기로 접속합니다. 기기에 Check Point 앱이 설치되어 있어야 합니다.
- Capsule Workspace — 모바일 기기에 보안 컨테이너를 만들어, 사용자가 내부 웹사이트·파일 공유·Exchange 서버에 접근하게 해 주는 Check Point Capsule Workspace 앱입니다.
- Capsule Connect/VPN — 모든 모바일 애플리케이션에 네트워크 접근을 제공하는 전체 Layer 3 터널 앱입니다.
- Desktops/Laptops — Layer 3 터널을 써서 내부 네트워크 리소스에 접근하게 하는, PC·Mac용 Check Point 클라이언트입니다.
Mobile Access Portal — 포털 URL
Mobile Access Portal의 기본 URL을 입력합니다. 기본 URL은 다음과 같습니다.
https://<IP address of the Security Gateway>/sslvpn같은 IP 주소를 그 Security Gateway의 모든 포털에 쓰고, 경로(path)만 다르게 둘 수 있습니다. 포털이 SSL 협상에 사용할 p12 인증서 를 가져올 수도 있는데, 같은 IP 주소의 모든 포털은 같은 인증서 를 씁니다.
Applications — 노출할 애플리케이션
웹 또는 모바일 기기 사용자가 쓸 수 있는 애플리케이션을 선택합니다.
- Web Applications — Mobile Access Portal에 표시할 웹 애플리케이션을 고릅니다.
- Demo web application (world clock) — Mobile Access를 시험하는 동안 선택하면, 운영 환경에서 보일 모습대로 웹 애플리케이션이 표시됩니다.
- Custom web application — 사용자가 Mobile Access로 접속했을 때 열 수 있게 할 웹 애플리케이션의 URL을 입력합니다. 예컨대 인트라넷 사이트의 홈페이지를 지정할 수 있습니다.
- Mail/Calendar/Contacts — 모바일 기기가 함께 동작할 Exchange 서버 를 입력하고, 모바일 기기 사용자가 접근할 애플리케이션을 선택합니다.
- Mobile Mail
- ActiveSync Applications
- Outlook Web App
Active Directory Integration — AD 연동
AD 도메인 을 선택하고, 자격 증명을 입력한 뒤 연결을 테스트합니다. AD를 쓰지 않는다면 I don't want to use active directory now 를 선택합니다.
Authorized Users — 허가된 사용자
Active Directory 또는 내부 사용자에서 사용자·그룹을 선택합니다. 구성한 애플리케이션에 접근할 수 있는 테스트 사용자 를 만들 수도 있습니다.
What's Next? — 다음 단계
이 창은 Mobile Access 마법사가 한 자동 구성을 마무리하기 위해 필요한 단계를 안내합니다. 선택한 내용에 따라 다음 단계들이 보일 수 있습니다.
- Edit the Access Control policy and add a rule for Remote Access Community — Desktop Remote Access Clients나 Capsule Connect 클라이언트로 작업하려면, 마법사가 이 Security Gateway를 자동으로 Remote Access VPN 커뮤니티에 포함 합니다. Remote Access Clients는 방화벽 Rule Base에서 접근 규칙을 받습니다.
- Install policy on this security gateway — 정책을 설치하면 Mobile Access 마법사가 한 변경이 활성화됩니다.
- Log in to the Web portal (보통
https://<ip address>/sslvpn) — 여러분이 구성한 웹 포털입니다. 로그인해서 확인·사용합니다. - Install Check Point Capsule Workspace App and Desktop VPN client — 앱이나 VPN 클라이언트를 설치해 사용을 시작합니다. 모바일 기기와 데스크톱 클라이언트를 위한 준비는 "Capsule Workspace 준비" 절을 참고하세요.
- Easily deploy client certificates to your users — 클라이언트 인증서로 인증한다면, 새 클라이언트 인증서 도구로 인증서를 구성합니다("클라이언트 인증서 구성" 절 참고).
각 Mobile Access 게이트웨이는 자기만의 Mobile Access 사용자 포털 로 이어집니다. 원격 사용자는 그 Security Gateway에 설정된 인증 방식으로 포털에 로그인합니다.
원격 사용자는 웹 브라우저에서 https://<Gateway_IP>/sslvpn 으로 포털에 접근하며, 여기서 <Gateway_IP> 는 다음 중 하나입니다.
https://<Gateway_IP>/sslvpn- Security Gateway의 IP 주소로 풀리는 FQDN
- Security Gateway의 IP 주소
HTTP로 접속하는 원격 사용자는 자동으로 HTTPS 포털로 리디렉션 됩니다.
URL은 Mobile Access First Time Wizard 에서 처음 설정합니다.
Mobile Access Portal 설정하기
각 Mobile Access 게이트웨이는 자기만의 Mobile Access 사용자 포털로 이어지고, 원격 사용자는 그 게이트웨이에 설정된 인증 방식으로 로그인합니다. 위에서 설명했듯 원격 사용자는 https://<Gateway_IP>/sslvpn 으로 접근하며 <Gateway_IP> 는 FQDN 또는 IP 주소이고, HTTP는 자동으로 HTTPS로 넘어가며, Hostname Translation을 쓰면 FQDN이 필요합니다. URL은 Mobile Access First Time Wizard에서 처음 설정합니다.
사용자 포털 커스터마이즈
사용자 포털에 쓰는 IP 주소를 바꾸려면, Security Gateway 객체의 속성에서 Mobile Access > Portal Settings 를 선택합니다.
포털의 모양새(look and feel)를 구성하려면, Security Gateway 객체의 속성에서 Mobile Access > Portal Customization 을 선택합니다.
Mobile Access 정책 구성하기
사용자는 정책 규칙이 정의한 대로 Mobile Access 애플리케이션에 원격으로 접근합니다. 정책은 다음 두 유형 중 하나입니다.
- Unified Access Policy — Security Gateway의 모든 규칙을 통합 접근 정책에서 구성합니다. Mobile Access와 Unified Access Policy를 참고하세요.
- Legacy Policy — Security Gateway의 모든 규칙을 SmartConsole의 공유 Mobile Access 정책에서 구성합니다.
어느 정책 유형이든 규칙에는 다음 요소가 들어갑니다.
- Users and User Groups — Unified Access Policy에서는 Access Roles 에 포함됩니다.
- 사용자가 접근할 수 있는 애플리케이션.
- 규칙이 적용될 Security Gateways.
규칙에 VPN과 Remote Access 클라이언트 를 포함해, 사용자가 애플리케이션 접근에 어떤 클라이언트를 쓸 수 있는지도 정의할 수 있습니다.
Mobile Access 정책은 Mobile Access Portal과 Capsule Workspace에만 적용되고, Desktop 클라이언트나 Capsule Connect에는 적용되지 않 습니다.
모바일 기기에서 사용자가 무엇에 접근할 수 있는지와 관련된 설정은 Mobile Profile 에서도 정의합니다 — SmartConsole > Manage & Settings view > Blades 탭 > Mobile Access section > Capsule Workspace Settings 버튼.
Unified Access Policy에 Mobile Access 포함하기
Mobile Access Security Gateway가 Unified Access Policy를 쓰게 하려면 다음을 따릅니다.
- SmartConsole의 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭하고, Mobile Access Security Gateway 객체를 더블 클릭합니다.
- 트리에서 Mobile Access 를 선택합니다.
- Policy Source 영역에서 Unified Access Policy 를 선택합니다.
- OK 를 클릭합니다.
- 정책을 설치합니다.
Unified Access Policy에서 Mobile Access 규칙을 만드는 방법은 Mobile Access와 Unified Access Policy를 참고하세요.
Legacy Policy에서 Mobile Access 규칙 만들기
Legacy Policy에서는 규칙의 순서가 중요하지 않 습니다. Mobile Access Rule Base에 규칙을 만들려면 다음을 따릅니다.
- SmartConsole의 왼쪽 도구 모음에서 Security Policies 를 선택합니다.
- Shared Policies 섹션에서 Mobile Access > Policy 를 클릭합니다. Mobile Access Policy rulebase 화면이 열립니다.
- 규칙을 오른쪽 클릭하고 New Rule > Below 를 선택합니다.
- Users 열에서 셀을 오른쪽 클릭하고 Add Users 를 선택합니다.
- 열리는 User Viewer 에서 다음을 할 수 있습니다.
- 내부 또는 Active Directory 도메인 등 사용자 디렉터리를 선택합니다.
- 개별 사용자·그룹·branch를 검색해 선택합니다.
- Applications 열에서 셀을 오른쪽 클릭하고 Add Applications 를 선택합니다.
- 열리는 Application Viewer 에서 다음을 할 수 있습니다.
- 목록에서 애플리케이션을 선택합니다.
- New 를 클릭해 새 애플리케이션을 정의합니다.
- New 애플리케이션을 만들 경우:
- a. 애플리케이션 유형을 선택합니다.
- b. 열리는 창에서 최종 사용자에게 보일 Display Name 을 입력합니다(예: "Corporate Intranet").
- c. 보이는 예시에 따라 애플리케이션 접근용 URL 또는 경로를 입력합니다.
- Install On 열에서 셀을 오른쪽 클릭하고 Add Objects 를 선택해, 규칙을 적용할 Security Gateways를 고릅니다.
- Save 를 클릭합니다.
- 정책을 설치합니다.
Capsule Workspace 준비하기
기기가 Capsule Workspace 로 Security Gateway에 접속하게 하려면 다음을 따릅니다.
- SmartConsole에서 Security Gateway의 Mobile Access를 켜고 구성합니다.
- Gateway Properties에서 Mobile Access 를 클릭하고 Mobile Devices 와 Capsule Workspace 를 선택합니다.
- Gateway Properties > Mobile Access > Authentication 에서 사용자가 모바일 기기에 어떻게 인증할지 선택합니다. 필요하면 기기와 Security Gateway 사이 인증을 위한 인증서를 관리합니다("클라이언트 인증서 구성" 절 참고).
- (선택) 모바일 애플리케이션용 ESOD Bypass 를 구성합니다("ESOD Bypass for Mobile Apps" 절 참고).
- 모바일 기기용 트래픽을 허용하는 규칙이 Access Control Policy에 있는지 확인합니다. 예컨대 Security Gateway에서 Exchange·애플리케이션 서버로의 접근입니다.
- App Store 또는 Google Play에서 Capsule Workspace 앱을 모바일 기기로 내려받습니다.
- 사용자에게 접속 안내를 제공하며, 다음을 포함합니다.
- Site Name
- Registration key(인증서 인증을 쓰는 경우)
클라이언트 인증서 구성하기
모바일·데스크톱 클라이언트에 인증서를 쓴다면, SmartConsole의 Client Certificates 페이지에서 기기와 게이트웨이 사이 인증을 위한 인증서를 관리합니다. 클라이언트 인증서를 구성하려면 다음을 따릅니다.
- SmartConsole에서 Security Policies > Access Control > Access Tools > Client Certificates 를 선택합니다.
- Client Certificates 창에서 New 를 클릭합니다. Certificate Creation and Distribution wizard 가 열립니다.
- 탐색 트리에서 Client Certificates 를 클릭합니다.
- 인증서를 생성하고 배포합니다.
- 정책을 설치합니다.
더 자세한 내용은 스마트폰·태블릿용 Mobile Access 장에서 다룹니다.