05Mobile Access PortalMobile Access Portal

게이트웨이는 HTTPS 위에서 여러 웹 포털을 동시에 돌립니다 — Gaia Portal, Identity Awareness의 Captive Portal, DLP 포털, Mobile Access Portal, SSL Network Extender 포털, Reverse Proxy 포털, UserCheck 포털 등입니다. 이들은 모두 443 포트에서 IPv4·IPv6 호스트를 처리하며, TLS 1.1·1.2가 기본 활성 입니다(SSLv3·TLS 1.0도 지원하나 최소·최대 버전은 SmartDashboard의 Global Properties에서 조정 가능).

포털 URL 은 https://<게이트웨이 IP>/sslvpn 형태로, IP나 그 IP로 풀리는 FQDN으로 접속하며 HTTP는 자동으로 HTTPS로 넘어갑니다. Hostname Translation 방식의 링크 변환을 쓰면 FQDN이 필수 입니다. URL은 게이트웨이 속성 > Mobile Access > Portal Settings의 Main URL에서 바꾸고, Aliases로 portal.example.com 같은 별칭을 메인 URL로 리디렉트 할 수도 있습니다(별칭은 DNS에서 메인 URL로 풀려야 동작).

Portal Accessibility Settings 는 포털에 어디서 접근할 수 있는지를 토폴로지에 따라 정합니다 — 모든 인터페이스, 내부 인터페이스만, DMZ 포함, VPN 암호화 인터페이스 포함, 또는 방화벽 정책에 따라(누가 포털에 접근하는지 규칙으로 통제할 때) 중에서 고릅니다.

R81부터 Check Point는 다른 Check Point 제품과 비슷한 인터페이스의 New Mobile Access Portal을 도입 했고, 블레이드를 켜면 이 새 포털이 기본입니다. Legacy 포털은 하위 호환용으로 남아 있습니다.

새 포털은 PHP 파일을 건드릴 필요 없이 CSS만으로 외관을 커스터마이즈 합니다. $CVPNDIR/htdocs/includes/css/custom.css 파일을 만들어 기본 CSS 값을 덮어쓰면 되고, 변경은 진행 중인 세션에 영향을 주지 않습니다. 로그인 페이지·메인 페이지 배경, 로그인 아이콘 교체, Check Point 로고 숨기기, 주소·경로 입력란 숨기기 같은 흔한 변경은 이 파일에 CSS 규칙을 더해 처리합니다. 자주 쓰는 커스터마이즈를 모은 Demo Customization Package 도 있어, apply_custom_style.sh로 적용하고 revert_custom_style.sh로 되돌립니다(패키지 안 이미지를 바꿀 때 파일 이름은 그대로 둘 것).

새 포털과 Legacy 포털 사이 전환은 게이트웨이에서 Expert 모드로 $CVPNDIR/scripts/sslvpn_portal_toggle_ui.sh를 실행합니다.

Legacy 포털은 게이트웨이 속성 > Mobile Access > Portal Customization에서 외관을 조정하며, 영어 외에 중국어·프랑스어·독일어·일본어·러시아어 등 여러 언어로 현지화 됩니다. Main.virtualhost.conf의 CVPN_PORTAL_LANGUAGE_AUTO_DETECT 플래그를 켜면 관리자 기본 언어보다 사용자 브라우저의 언어 설정을 우선 하고, 사용자가 포털에서 직접 고른 언어는 그 무엇보다 우선합니다.

사용자 입장의 흐름은 단순합니다 — 로그인하고 언어를 고른 뒤, 처음 쓰는 경우 native 응용용으로 ActiveX/Java 구성요소를 설치하고, 초기 설정을 거쳐 애플리케이션에 접근 합니다. Endpoint Compliance Scanner·Secure Workspace·SSL Network Extender는 첫 사용 시 ActiveX(Windows + Internet Explorer) 또는 Java 구성요소를 단말에 설치하며, 하나가 설치되면 나머지도 같은 방식으로 깔립니다. 인증 후에는 관리자가 구성하고 사용자가 권한을 가진 사내 애플리케이션이 포털에 펼쳐집니다.

기본 포털 대신 그룹별로 다른 시작 페이지를 주려면 Alternative Portal 을 씁니다 — Mobile Access 정책에서 그 포털을 웹 애플리케이션으로 등록하고 접근할 그룹을 지정하며, 사용자가 여러 그룹에 속하면 정렬된 규칙처럼 첫 일치 그룹의 포털로 안내됩니다.

게이트웨이는 기본적으로 관리 서버의 ICA가 만든 인증서를 쓰는데, 브라우저는 이를 신뢰하지 않아 경고가 뜹니다. 경고를 없애려면 Entrust·VeriSign·Thawte 같은 알려진 CA가 서명한 서버 인증서를 설치 해야 합니다(같은 IP의 모든 포털은 같은 인증서 공유). 절차는 크게 세 단계입니다 — 첫째 게이트웨이에서 cpopenssl req로 CSR(인증서 서명 요청) 과 개인 키를 만들어 CA에 보내고(Common Name에 FQDN 필수), 둘째 서명받은 인증서와 개인 키를 cpopenssl pkcs12 -export로 P12 파일 로 묶으며(전체 인증서 체인이 루트 CA까지 이어지도록), 셋째 SmartConsole의 Portal Settings에서 그 인증서를 Import합니다.

Hostname Translation을 쓴다면 사내 웹 앱이 서브도메인마다 다른 호스트명으로 번역되므로, 한 장 인증서로는 경고가 나 와일드카드 인증서 가 필요합니다. CSR의 Alternate Name에 FQDN과 *.도메인을 함께 넣거나, openssl.cnf의 subjectAltName에 와일드카드를 추가해 생성합니다.

Mobile Access는 웹 콘텐츠를 압축해 더 빠른 사이트와 더 적은 대역폭 을 줄 수 있습니다(다만 CPU 사용은 늘어남). gzip·deflate·compress 방식을 지원하며, GuiDBEdit 도구에서 게이트웨이별로 enable_web_compression·compression_level(1~9, 기본 5) 등을 설정합니다.

클러스터로 운영하면 멤버 간 세션·상태를 보안 동기화 네트워크로 공유해, 한 멤버가 죽어도 무중단 페일오버 를 제공합니다. SSL Network Extender를 쓴다면 Sticky Decision Function을 반드시 켜야 하는데, 이는 한 클라이언트 IP의 연결이 항상 같은 멤버를 거치게 묶어 줍니다. 페일오버 시 사용자 체감은 응용마다 다릅니다 — 웹 브라우징·파일 공유·Secure Workspace는 대체로 끊김을 모르고(링크 클릭 중이면 새로고침 필요할 수 있음), Citrix는 세션이 끊겨 재접속해야 하며, SNX Network Mode는 잠깐 멈췄다 이어지지만 Application Mode는 터널 위 응용 연결이 끊깁니다.