목차/05. Mobile Access Portal

05Mobile Access PortalMobile Access Portal

Mobile Access Portal원격 사용자가 마주하는 얼굴 입니다. 사용자는 여기에 로그인해 허용된 웹 앱·메일·파일 공유에 접근하고, 관리자는 이 포털의 URL·서버 인증서·외관·접근 범위를 조정합니다. 이 장은 포털의 일반 설정, R81부터 도입된 New Mobile Access Portal, 하위 호환을 위한 Legacy Portal, Alternative Portal, 신뢰받는 서버 인증서를 갖추는 절차, 웹 데이터 압축, 그리고 클러스터 동작 까지 원문이 다루는 모든 절차·표·파라미터·주의를 빠짐없이 풀어 정리합니다.

포털의 일반 설정

배경 — 한 게이트웨이가 돌리는 여러 포털

Security Gateway는 HTTPS 위에서 여러 종류의 웹 기반 포털을 동시에 운영합니다.

  • Gaia Portal
  • Identity Awareness (Captive Portal)
  • DLP portal
  • Mobile Access Portal
  • SSL Network Extender portal
  • Reverse Proxy SSL portal
  • Reverse Proxy Clear portal
  • UserCheck portal
  • Endpoint Security portals (CCC)

이 포털들은 모두 443 포트에서 HTTPS 호스트를 IPv4·IPv6 주소로 해석 합니다. 프로토콜 측면에서는 SSLv3와 TLS 1.0(RFC 2246)에 더해 다음을 지원합니다.

  • TLS 1.1(RFC 4346)
  • TLS 1.2(RFC 5246)

TLS 1.1·TLS 1.2는 기본적으로 활성 입니다. 웹 기반 포털에서는 SmartDashboard 로, HTTPS Inspection에서는 Database Tool(GuiDBEdit Tool) 로 이들을 비활성화할 수 있습니다.

포털에서 쓰는 TLS 프로토콜을 설정하려면 이렇게 합니다.

  1. SmartDashboard에서 Global Properties > SmartDashboard Customization 을 엽니다.
  2. Advanced Configuration 섹션에서 Configure 를 클릭합니다. Advanced Configuration 창이 열립니다.
  3. Portal Properties 페이지에서 SSL·TLS 프로토콜의 최소·최대 버전을 설정합니다.

HTTPS Inspection의 TLS 프로토콜 지원을 설정하려면 이렇게 합니다.

  1. Database Tool(GuiDBEdit Tool)의 Tables 탭에서 Other > ssl_inspection 을 선택합니다.
  2. Objects 열에서 general_confs_obj 를 선택합니다.
  3. Fields 열에서 다음 필드의 최소·최대 TLS 버전 값을 설정합니다.
필드기본값
ssl_max_verTLS 1.2
ssl_min_verSSLv3

Mobile Access가 켜진 각 Security Gateway는 자기만의 Mobile Access 사용자 포털 로 연결되며, 원격 사용자는 그 게이트웨이에 구성된 인증 스킴으로 로그인합니다. R81 버전부터는 New Mobile Access Portal이 추가 되었습니다(뒤의 "New Mobile Access Portal" 절 참고).

포털 URL

원격 사용자는 웹 브라우저에서 https://<Gateway_IP>/sslvpn 형태의 URL로 포털에 접속합니다. 여기서 <Gateway_IP> 는 다음 중 하나입니다.

  • Security Gateway의 IP 주소로 풀리는 FQDN
  • Security Gateway의 IP 주소

HTTP로 접속하는 사용자는 자동으로 HTTPS 포털로 리디렉트 됩니다.

URL은 처음에는 Mobile Access First Time Wizard 에서 설정합니다. Mobile Access Portal URL을 바꾸려면 이렇게 합니다.

  1. SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블클릭합니다. General Properties 페이지가 열립니다.
  2. 탐색 트리에서 Mobile Access > Portal Settings 를 클릭합니다.
  3. Main URL 을 바꿉니다.
  4. (선택) Aliases 버튼을 눌러, 메인 포털 URL로 리디렉트할 별칭 URL을 추가합니다. 예를 들어 portal.example.com 으로 들어온 사용자를 포털로 보낼 수 있습니다. 별칭이 동작하려면 DNS 서버에서 그 별칭이 메인 URL로 풀려야 합니다.
  5. 정책을 설치합니다(Install policy).

Portal Server Certificate(포털 서버 인증서)

인증서를 직접 Import하지 않으면 포털은 Check Point가 자동 생성한 인증서를 씁니다. 이 경우 브라우저가 Security Gateway의 관리 주체를 알아보지 못하면 경고가 뜰 수 있습니다. 같은 IP 주소의 모든 포털은 같은 인증서를 공유 합니다.

포털 인증서를 설정하려면 이렇게 합니다.

  1. SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블클릭합니다. General Properties 페이지가 열립니다.
  2. 탐색 트리에서 Mobile Access > Portal Settings 를 클릭합니다.
  3. Import 를 클릭해, 포털 웹사이트가 쓸 p12 인증서 를 Import합니다.
  4. OK 를 클릭합니다.
  5. 정책을 설치합니다.

Portal Accessibility Settings(포털 접근 설정)

포털 접근 제어 설정(UI에서는 Portal Accessibility Settings)은 어디에서 Mobile Access Portal에 접근할 수 있는지 를 정합니다. 선택지는 Security Gateway에 구성된 토폴로지에 따라 달라집니다.

접근 설정을 구성하려면 이렇게 합니다.

  1. SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블클릭합니다. General Properties 페이지가 열립니다.
  2. 탐색 트리에서 Mobile Access > Portal Settings 를 클릭합니다.
  3. Accessibility 영역에서 Edit 를 클릭하고 다음 중에서 고릅니다.
옵션의미
Through all interfaces모든 인터페이스에서 접근 허용.
Through internal interfaces내부 인터페이스에서만 접근.
Including undefined internal interfaces정의되지 않은 내부 인터페이스도 포함.
Including DMZ internal interfacesDMZ 내부 인터페이스도 포함.
Including VPN encrypted interfaces라우트 기반 VPN 터널(VTI)을 맺는 데 쓰는 인터페이스도 포함.
According to the Firewall policy누가 포털에 접근할 수 있는지 규칙으로 통제할 때 선택.
  1. 정책을 설치합니다.

New Mobile Access Portal

R81부터 Check Point는 New Mobile Access Portal을 도입 했습니다. 새 포털은 다른 Check Point 제품과 비슷한 인터페이스로 사용자 경험을 개선하며, 고객의 브랜드 정체성에 맞춰 디자인을 정렬할 수 있도록 커스터마이즈 능력을 확장했습니다. Mobile Access Software Blade를 켜면 이 새 포털 구성이 기본 이고, Legacy Mobile Access Portal은 하위 호환용으로 남아 있습니다(뒤의 "Legacy Mobile Access Portal" 절 참고).

포털 파일 디렉터리 구조

R81부터 Security Gateway의 Mobile Access Software Blade는 서로 다른 포털 버전을 지원하기 위한 새 디렉터리 구조 를 가집니다.

  • New Mobile Access Portal 디렉터리:
    • $CVPNDIR/htdocs
    • $CVPNDIR/phpincs
  • Legacy Mobile Access Portal 디렉터리:
    • $CVPNDIR/htdocs_legacy
    • $CVPNDIR/phpincs_legacy

포털 커스터마이즈 — CSS만으로

새 포털은 CSS만으로 외관을 커스터마이즈 합니다. PHP 파일을 손댈 필요가 없고, CSS 변경은 진행 중인 사용자 세션에 영향을 주지 않습니다.

CSS 스타일을 덮어쓰려면 $CVPNDIR/htdocs/includes/css/custom.css 파일을 만듭니다. 이 파일에 넣은 CSS 스타일이 Mobile Access Portal의 기본 CSS 값을 덮어씁니다. 흔히 요청되는 변경은 다음과 같습니다.

로그인 페이지 배경 바꾸기

  1. 배경 이미지를 다음 경로로 업로드합니다.
   
  1. custom.css 에 다음 CSS를 더합니다.
   body.login-page{
      background: url('<?=portal_prefix_path()?>/includes/images/my_login_background.png') top left no-repeat;
      background-color: #ffffff !important;
   }
   

로그인 폼의 아이콘 바꾸기

  1. 아이콘을 다음 경로로 업로드합니다.
   
  1. custom.css 에 다음 CSS를 더합니다.
   .mobile-logo .portal-logo{
      background: url('<?=portal_prefix_path()?>/includes/images/my_login_icon.png') center / contain no-repeat;
   }
   

로그인 폼의 Check Point 로고 숨기기custom.css 에 다음을 더합니다.

.bottom-cp-logo{
   display: none;
}

메인 페이지 배경 바꾸기

  1. 배경 이미지를 다음 경로로 업로드합니다.
   
  1. custom.css 에 다음 CSS를 더합니다.
   .body.main-page-body{
      background: url('<?=portal_prefix_path()?>/includes/images/my_main_background.png') top left no-repeat;
      background-size: cover;
      background-color: #ffffff !important;
   }
   

Web 창의 주소 입력란 숨기기custom.css 에 다음을 더합니다.

.TableWebs .address-line{
   display: none;
}

File 창의 경로 입력란 숨기기custom.css 에 다음을 더합니다.

.TableFiles .address-line{
   display: none;
}

Demo Customization Package

자주 요청되는 커스터마이즈를 모아 둔 Demo Customization Package 도 있습니다. 이 패키지에는 다음이 들어 있습니다.

파일역할
apply_custom_style.sh새 스타일을 적용하는 스크립트
revert_custom_style.sh포털을 기본 스타일로 되돌리는 스크립트
login-bkg.jpg로그인 페이지 배경
main-bkg.jpg메인 페이지 배경
login-form-icon.png로그인 창 왼쪽의 이미지
custom.css새 스타일이 담긴 CSS 파일

데모 패키지의 CSS 스타일을 적용하려면 이렇게 합니다.

  1. 패키지를 Mobile Access Gateway의 한 폴더에 업로드합니다(예: /home/admin/).
  2. apply_custom_style.shrevert_custom_style.sh 스크립트가 content 폴더와 나란히 있도록 합니다(데모 패키지 그대로의 배치).
  3. Expert 모드로 들어갑니다.
  4. 다음을 실행합니다.
   # sh /home/admin/apply_custom_style.sh
   

데모 패키지의 기본 스타일로 되돌리려면 1~3단계는 같고, 마지막에 다음을 실행합니다.

# sh /home/admin/revert_custom_style.sh

포털 버전 전환하기

활성 포털을 새 버전과 Legacy 버전 사이에서 바꾸려면, Security Gateway에서 Expert 모드로 다음 스크립트를 실행합니다.

$CVPNDIR/scripts/sslvpn_portal_toggle_ui.sh

전환 후에는 디렉터리 구조가 다음처럼 바뀝니다.

  • 활성 포털을 가리키는 심볼릭 링크:
    • $CVPNDIR/htdocs
    • $CVPNDIR/phpincs
  • New Mobile Access Portal 디렉터리:
    • $CVPNDIR/htdocs_v2
    • $CVPNDIR/phpincs_v2
  • Legacy Mobile Access Portal 디렉터리:
    • $CVPNDIR/htdocs_legacy
    • $CVPNDIR/phpincs_legacy

Legacy Mobile Access Portal

앞서 말했듯 R81부터 새 포털이 도입되어, 블레이드를 켜면 새 포털이 기본이고 Legacy 포털은 하위 호환용으로 남습니다.

포털 커스터마이즈

Mobile Access 최종 사용자 포털을 커스터마이즈하려면 이렇게 합니다.

  1. SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블클릭합니다. General Properties 페이지가 열립니다.
  2. 탐색 트리에서 Mobile Access > Portal Customization 을 클릭합니다. Portal Customization 페이지가 열립니다.
  3. 설정을 구성합니다.
  4. 정책을 설치합니다.

현지화(Localization)

Mobile Access는 Mobile Access 사용자 포털과 Secure Workspace의 인터페이스를 여러 언어로 현지화 합니다. 게이트웨이별로 Portal Settings > Portal Customization 페이지에서 다음 언어 중 하나를 쓰도록 구성할 수 있습니다.

  • English(기본 언어)
  • Bulgarian
  • Chinese – Simplified(중국어 간체)
  • Chinese – Traditional(중국어 번체)
  • Finnish
  • French
  • German
  • Italian
  • Japanese
  • Polish
  • Romanian
  • Russian
  • Spanish

사용자 언어 선호 자동 감지

자동 언어 감지는 선택 기능으로, 관리자가 고른 언어보다 사용자 브라우저의 언어 설정을 우선 합니다. 이 기능은 Mobile Access의 Main.virtualhost.conf 파일에서 CVPN_PORTAL_LANGUAGE_AUTO_DETECT 플래그를 켜서 활성화합니다.

기본적으로 브라우저 언어 선호는 자동 감지되지 않습니다. 자동 감지를 켜면, SmartDashboard에서 쓰이는 언어는 사용자 브라우저의 Language Preference 목록에서 Mobile Access가 지원하는 첫 번째 언어 가 됩니다. 그 목록에 지원 언어가 하나도 없으면 SmartDashboard에서 관리자가 정한 언어를 씁니다.

자동 언어 감지를 켜려면 각 클러스터 멤버에서 이렇게 합니다.

  1. Mobile Access에 SSH로 접속하거나 콘솔로 연결합니다.
  2. 관리자 사용자 이름·암호로 로그인합니다.
  3. expert 를 입력하고 암호를 넣어 Expert 모드로 들어갑니다.
  4. $CVPNDIR/conf/includes/Main.virtualhost.conf 파일을 편집해, 이 파라미터 값을 0 에서 1 로 바꿉니다.

변경 전:

   SetEnv CVPN_PORTAL_LANGUAGE_AUTO_DETECT 0
   

변경 후:

   SetEnv CVPN_PORTAL_LANGUAGE_AUTO_DETECT 1
   
  1. Mobile Access 서비스를 재시작합니다.
   

사용자가 직접 언어 고르기

사용자가 포털의 아무 페이지에서나 명시적으로 언어를 고르면, 관리자의 기본 언어와 자동 감지보다 그 선택이 우선 합니다. 사용자는 사용자 포털 로그인 페이지의 Change Language To 필드에서 언어를 고를 수 있습니다.

Mobile Access Portal 사용자 워크플로

사용자 입장의 흐름은 다음 단계로 이루어집니다.

  1. 로그인 하고 포털 언어를 고릅니다.
  2. 처음 쓰는 경우, native 응용에 SSL Network Extender를 쓸 거라면 ActiveX·Java 구성요소를 설치합니다.
  3. 초기 설정 을 합니다.
  4. 애플리케이션에 접근 합니다.

로그인(Signing In)

브라우저에서 시스템 관리자가 Mobile Access Security Gateway에 할당한 URL을 입력합니다.

관리자가 Secure Workspace를 선택 사항으로 구성 했다면, 사용자는 로그인 페이지에서 이를 고를 수 있습니다.

사용자가 인증 정보를 입력하고 Sign In 을 누르면, Mobile Access는 LAN의 애플리케이션을 열어 주기 전에 원격 사용자의 자격 증명을 먼저 검증 합니다. 인증은 Mobile Access 자체 내부 데이터베이스, LDAP, RADIUS, RSA Authentication Manager 중 하나로 이루어집니다. 인증을 마치고 Mobile Access 그룹과 연결되면, 사내 애플리케이션에 대한 접근이 주어집니다.

ActiveX·Java 구성요소 최초 설치

Endpoint Compliance Scanner, Secure Workspace, SSL Network Extender 같은 일부 Mobile Access 구성요소는 단말에 ActiveX 구성요소(Windows + Internet Explorer)나 Java 구성요소 를 설치해야 합니다.

Windows와 Internet Explorer를 쓰는 단말에서 이런 구성요소를 처음 쓸 때, Mobile Access는 ActiveX로 설치를 시도합니다. 다만 사용자에게 Power User 권한 이 없으면 Internet Explorer가 ActiveX 설치를 막거나, 페이지 위에 노란 막대를 띄워 설치를 명시적으로 허용하라고 묻습니다. 이때 사용자는 노란 막대를 클릭하거나, 그게 잘 안 되면 전용 링크를 따라가도록 안내받습니다. 이 링크는 필요한 구성요소를 Java로 설치 하는 데 쓰입니다.

첫 구성요소가 설치되고 나면 나머지 구성요소도 같은 방식으로 설치 됩니다. 예를 들어 Internet Explorer에서 Endpoint Compliance Scanner가 Java로 설치되었다면, Secure Workspace와 SSL Network Extender도 Java로 설치됩니다.

Mobile Access Portal과 Java 호환성에 대한 일반 정보는 sk113410 을 참고하세요.

초기 설정(Initial Setup)

사용자는 애플리케이션 자격 증명 같은 일부 설정을 구성해야 할 수 있습니다. 또한 자주 쓰는 애플리케이션을 위해 즐겨찾기(favorites)를 추가 로 정의할 수 있습니다.

애플리케이션 접근(Accessing Applications)

원격 사용자가 Mobile Access Security Gateway에 로그인하면 포털이 표시됩니다. 사용자 포털은 관리자가 사내에서 쓸 수 있게 구성했고, 그 사용자가 사용 권한을 가진 내부 애플리케이션에 대한 접근을 제공합니다.

제약(Limitations)

Mobile Access Portal은 Outlook Web Access 2013 / 2016Host-name Translation(HT) 방식으로, 그리고 'cookies on the endpoint machine'이 켜져 있을 때만 최적으로 지원합니다. Path Translation(PT) 방식은 부분 지원, URL Translation(UT) 방식은 지원하지 않습니다.

Alternative Portal Configuration(대체 포털 구성)

기본 포털 대신 그룹별로 다른 시작 페이지를 주려면 Alternative Portal 을 씁니다.

대체 사용자 포털을 지정하려면 이렇게 합니다.

  1. SmartConsole에서 Security Policies > Shared Policies > Mobile Access 를 선택하고 Open Mobile Access Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리고 Mobile Access 탭이 보입니다.
  2. 탐색 트리에서 Portal Settings > Alternative Portal 을 클릭합니다.
  3. Add 를 클릭합니다. Mobile Access Sign-In Home Page 창이 열립니다.
  4. User Groups 탭에서 대체 사용자 포털에 접근할 수 있는 사용자 그룹을 지정합니다.
  5. Install On 탭에서 대체 포털을 호스팅할 Mobile Access Security Gateway·클러스터를 지정합니다.
  6. Sign-In Home Page 탭에서, 기본으로 도달하는 Mobile Access 사용자 포털 대신 쓸 대체 포털을 고릅니다. URL 은 User Groups 탭에서 지정한 그룹을 위한 대체 사용자 포털의 위치입니다.
  7. OK 를 클릭합니다.
  8. Save 를 클릭한 뒤 SmartDashboard를 닫습니다.
  9. SmartConsole에서 정책을 설치합니다.

사용자가 여러 그룹에 속하면, Alternative Portal 페이지의 표가 정렬된 규칙 베이스(ordered rule base) 처럼 동작합니다 — 사용자는 자신이 속한 첫 번째 일치 그룹 의 대체 포털로 안내됩니다.

Server Certificates(서버 인증서)

안전한 SSL 통신을 위해 Security Gateway는 단말 컴퓨터에 Server Certificate 를 제시해 신뢰를 맺어야 합니다. 이 절은 서버 인증서를 만들고 설치하는 데 필요한 절차를 다룹니다.

Check Point Security Gateway는 기본적으로 Security Management Server의 Internal Certificate Authority(ICA)가 만든 인증서 를 서버 인증서로 씁니다. 그런데 브라우저는 이 인증서를 신뢰하지 않으므로, 단말이 기본 인증서로 게이트웨이에 접속하려 하면 인증서 경고 가 뜹니다. 이 경고를 막으려면 관리자가 신뢰받는 CA가 서명한 서버 인증서를 설치 해야 합니다. 같은 Security Gateway IP 주소의 모든 포털은 같은 인증서를 공유 합니다.

신뢰받는 서버 인증서 얻고 설치하기

경고 없이 단말에 받아들여지려면, Security Gateway는 Entrust·VeriSign·Thawte 같은 알려진 CA가 서명한 서버 인증서를 가져야 합니다. 이 인증서는 Security Gateway에 직접 발급 되거나, 신뢰받는 루트 CA까지 인증 경로가 이어지는 체인 인증서 일 수 있습니다.

CSR(Certificate Signing Request) 생성

먼저 CSR(인증서 서명 요청) 을 만듭니다. Security Gateway가 클라이언트에게 서버 역할을 하므로 서버 인증서용 CSR 입니다.

  1. Security Gateway 명령줄에서 Expert 모드로 로그인합니다.
  2. 다음을 실행합니다.
   cpopenssl req -new -out <CSR file> -keyout <private key file> -config $CPDIR/conf/openssl.cnf
   

이 명령은 개인 키를 생성하며 다음과 같은 출력이 나옵니다.

   Generating a 2048 bit RSA private key
   .+++
   ...+++
   writing new private key to 'server1.key'
   Enter PEM pass phrase:
   
  1. 암호를 입력하고 확인합니다. 그리고 데이터를 채웁니다.
    • Common Name 필드는 필수 입니다. 이 필드에는 FQDN 을 넣어야 하며, 이는 사용자가 접속하는 사이트입니다(예: portal.example.com).
    • 나머지 필드는 모두 선택입니다.
  2. CSR 파일을 신뢰받는 CA에 보냅니다. PEM 형식의 서명된 인증서 를 요청하세요. .key 개인 키 파일은 잘 보관 합니다.

P12 파일 생성

CA에서 Security Gateway용 서명 인증서를 받으면, 서명 인증서와 개인 키를 묶은 P12 파일 을 만듭니다.

  1. CA에서 Security Gateway용 서명 인증서를 받습니다. 서명 인증서가 P12P7B 형식이면, CRT 확장자의 PEM(Base64 인코딩) 형식 파일로 변환합니다.
  2. CRT 파일이 신뢰받는 루트 CA까지 이어지는 전체 인증서 체인 을 담도록 합니다. 보통 서명 CA에서 인증서 체인을 받는데, 때로는 여러 파일로 나뉘어 옵니다. 서명 인증서와 신뢰 체인이 별도 파일이면, 텍스트 편집기로 하나로 합칩니다. 이때 서버 인증서가 CRT 파일의 맨 위 에 오도록 합니다.
  3. Security Gateway 명령줄에서 Expert 모드로 로그인합니다.
  4. 생성한 .key 파일과 .crt 파일로 인증서를 설치합니다.
   cpopenssl pkcs12 -export -out <output file> -in <signed cert chain file> -inkey <private key file>
   

예:

   cpopenssl pkcs12 -export -out server1.p12 -in server1.crt -inkey server1.key
   

프롬프트가 뜨면 인증서 암호를 입력합니다.

Hostname Translation용 와일드카드 인증서 생성

Hostname Translation 을 쓰면 와일드카드 인증서 가 필요합니다. 이는 클라이언트가 Security Gateway 뒤 서브도메인의 웹 애플리케이션에 접근할 수 있게 해 줍니다. Mobile Access가 고정 도메인 인증서를 쓰면, 각 웹 애플리케이션 URL이 서로 다른 Mobile Access 호스트명으로 번역 되기 때문에 사용자가 서브도메인의 웹 앱에 접근하려 할 때 브라우저가 인증서 경고를 냅니다.

시작 전에 "Mobile Access Applications"에서 Hostname Translation 지원이 구성되어 있는지 확인합니다.

제3자 와일드카드 서버 인증서를 준비·요청하려면 이렇게 합니다.

  1. Subject DNCN=FQDN 으로 시작합니다(예: CN=sslvpn.example.com).
  2. Alternate Name 에는 두 개의 DNS 이름 — FQDN과 와일드카드 — 을 넣습니다. 예:
   sslvpn.example.com, *.sslvpn.example.com
   

와일드카드 인증서 생성을 구성하려면 이렇게 합니다.

  1. csr_gen 스크립트의 구성 파일을 백업하고 편집합니다.
    • R75.20 이상 — $CPDIR/conf/openssl.cnf
    • R66.x, R71.x, R75, R75.10 — $CVPNDIR/conf/openssl.cnf
  2. [ req ] 섹션에서 다음 줄의 주석을 해제합니다.
   req_extensions = v3_req
   
  1. [ v3_req ] 섹션에 다음 줄을 추가합니다.
   

예: subjectAltName=DNS:sslvpn.example.com,DNS:*.sslvpn.example.com 4. openssl.cnf 를 저장합니다. 5. csr_gen 을 실행해 CSR을 만듭니다. CSR이 제대로 생성됐는지 확인하려면 다음을 실행합니다.

   R75.x      - cpopenssl req -in requestFile.csr -text
   이전 버전   - openssl req -in requestFile.csr -text
   
  1. CommonName(CN)을 물으면 FQDN을 입력합니다. 예: sslvpn.example.com
  2. 백업해 둔 openssl.cnf 파일을 복원합니다.

서명 인증서 설치

인증서를 설치하려면 이렇게 합니다.

  1. SmartConsole에 로그인합니다.
  2. 왼쪽 Navigation Toolbar에서 Gateways & Servers 를 클릭합니다.
  3. Identity Awareness Security Gateway 객체를 엽니다.
  4. 탐색 트리에서 해당 Software Blade 페이지를 클릭합니다.
    • Mobile Access > Portal Settings
    • Platform Portal
    • Data Loss Prevention
    • Identity Awareness > Captive Portal > Settings > Access Settings

Certificate 섹션에서 Import 또는 Replace 를 클릭합니다. 5. Security Gateway에 Access Control Policy를 설치합니다.

인증서 확인하기

웹 브라우저에서 새 인증서를 보려면 — Security Gateway는 브라우저로 포털에 접속할 때 이 인증서를 씁니다. 대부분의 브라우저에서 주소 표시줄 옆의 자물쇠 아이콘 을 클릭하면 인증서를 볼 수 있습니다. 사용자가 보는 인증서는 SmartDashboard에 구성된 IP가 아니라, 실제로 포털 접속에 쓴 IP 주소에 따라 달라집니다.

SmartConsole에서 새 인증서를 보려면 — 해당 블레이드·기능의 포털 설정이 있는 페이지에서 Certificate 섹션의 View 를 클릭합니다.

Web Data Compression(웹 데이터 압축)

Mobile Access는 웹 콘텐츠를 압축 하도록 구성할 수 있습니다. 이렇게 하면 사용자에게 훨씬 빠른 웹사이트 를 줄 수 있고, 대역폭 요구도 줄어 비용 도 낮아집니다. 대부분의 압축 알고리즘은 평문 파일에 적용하면 내용에 따라 크기를 70% 이상 줄 입니다. 다만 압축은 Mobile Access의 CPU 사용을 늘려 성능에 영향을 준다는 점을 알아 두세요. 대부분의 브라우저는 압축 데이터를 받아 풀어서 표시할 수 있습니다.

압축하도록 구성하면 Mobile Access는 웹 서버에서 받은 데이터(http·https 응답)를 압축합니다. 단말의 웹 브라우저가 http·https 요청을 압축해 보내면, Mobile Access는 그것을 풀어서 서버로 전달합니다. 이 흐름은 아래 그림과 같습니다. Mobile Access는 gzip, deflate, compress 압축 방식을 지원하며, 압축할 MIME 타입을 지정 할 수도 있습니다.

① 웹 브라우저 ② 압축된 요청 ③ Mobile Access 게이트웨이 ④ 압축 해제된 요청(예: gunzip) ⑤ 웹 서버 ⑥ 응답 ⑦ 압축된 응답(예: gzip) — 게이트웨이가 서버 응답을 압축해 클라이언트로 보내는 흐름
① 웹 브라우저 ② 압축된 요청 ③ Mobile Access 게이트웨이 ④ 압축 해제된 요청(예: gunzip) ⑤ 웹 서버 ⑥ 응답 ⑦ 압축된 응답(예: gzip) — 게이트웨이가 서버 응답을 압축해 클라이언트로 보내는 흐름
번호설명
1Web Browser(웹 브라우저)
2Compressed Request(압축된 요청)
3Mobile Access enabled Security Gateway(Mobile Access가 켜진 게이트웨이)
4Uncompressed request(압축 해제된 요청, 예: gunzip)
5Web Server(웹 서버)
6Response(응답)
7Compressed Response(압축된 응답, 예: gzip)

데이터 압축 구성하기

웹 데이터 압축은 게이트웨이별로 Database Tool(GuiDBEdit Tool) 로 구성 합니다.

  1. Management Server에 연결된 SmartConsole 창을 모두 닫습니다.
  2. Database Tool(GuiDBEdit Tool)로 Management Server에 연결합니다.
  3. 왼쪽 위 창에서 Network Objects > network_objects 로 갑니다.
  4. 오른쪽 위 창에서 Security Gateway / Cluster 객체를 클릭합니다.
  5. 아래 창에서 connectra_settings 아래의 web_compression 을 찾아 다음 파라미터를 채웁니다.
파라미터설명
enable_web_compression데이터 압축을 켜려면 true, 끄려면 false.
compression_level1~9 사이 값. 숫자가 클수록 CPU를 더 씁니다. 기본값은 5.
compress_specific_mime특정 MIME 타입만 압축하려면 true, 아니면 false.
mime_typescompress_specific_mimetrue 로 했다면 압축할 MIME 타입을 입력(예: text/html).
  1. Database Tool(GuiDBEdit Tool)에서 변경을 저장(File 메뉴 > Save All)하고 닫습니다.
  2. SmartConsole로 Management Server에 연결합니다.
  3. Security Gateway / Cluster 객체에 정책을 설치합니다.

Mobile Access 클러스터 사용

원격 접속이 켜진 Security Gateway는 조직에 업무상 매우 중요한 장비 입니다. 게이트웨이가 죽으면 조직을 드나드는 원격 접속 트래픽이 즉시 끊기고, 그중 임무에 결정적인 세션이 많을 수 있어 잃으면 중요한 데이터 손실로 이어집니다.

ClusterXL 을 쓰면 Mobile Access 클러스터 멤버 사이로 네트워크 트래픽을 분산하는 Load Sharing 또는 High Availability 클러스터링을 구성할 수 있습니다. Mobile Access Security Gateway 클러스터는 다음을 제공합니다.

  • 클러스터 멤버 장애 시 투명한 페일오버(Transparent failover).
  • 임무에 결정적인 환경을 위한 무중단(Zero downtime).
  • (Load Sharing 모드에서) 향상된 처리량.

모든 클러스터 멤버는 다른 멤버를 거쳐 추적되는 세션을 서로 알고 있습니다 — 멤버들은 보안 동기화 네트워크를 통해 세션·상태 정보를 동기화 합니다.

Sticky Decision Function

SSL Network Extender 를 쓴다면 Sticky Decision Function 을 반드시 켜야 합니다. 연결이 "sticky" 하다는 것은 그 연결의 모든 패킷이 양방향 모두 하나의 클러스터 멤버 로 처리된다는 뜻입니다. Sticky Decision Function은 클라이언트 IP 주소별 세션을 멤버들에 분산하되, 특정 IP의 연결이 항상 같은 멤버를 지나가도록 보장합니다.

페일오버 시 Mobile Access 애플리케이션의 동작

아래 표는 페일오버 시 각 Mobile Access 애플리케이션에 대한 최종 사용자 경험을 정리한 것입니다.

애플리케이션페일오버 시 사용자 경험
사용자 포털을 통한 웹 브라우징 / Domino Web Access / Outlook Web Access / File Shares사용자는 페일오버를 알아채지 못함. 다만 링크 클릭 중이거나 서버 응답을 기다리는 동안 페일오버가 일어나면 연결이 끊겨 페이지를 새로고침해야 할 수 있음.
Web Mail링크 클릭 중이거나 응답 대기 중에 페일오버가 일어나면 오류 페이지가 보임. "Go to the login page" 링크를 누르면 받은 편지함으로 돌아가지만 원래 세션은 잃음.
Citrix사용자 연결이 끊기고 Citrix 세션이 사라짐. 사용자가 직접 다시 연결 해야 함.
Endpoint Compliance Scan사용자가 포털에서 로그아웃하거나 다시 로그인해야 하면 재스캔 이 필요할 수 있음.
Secure Workspace사용자는 페일오버를 알아채지 못함. 다만 링크 클릭 중이거나 응답 대기 중에 일어나면 연결이 끊겨 새로고침해야 할 수 있음.
Multi challenge loginmulti-challenge 로그인 도중이면 초기 로그인 페이지로 리디렉트 됨.
SSL Network Extender — Network Mode잠깐의 네트워크 단절처럼 연결이 몇 초간 멈췄다가 이어짐.
SSL Network Extender — Application ModeSSL Network Extender 자체는 연결 상태로 열려 있음. 다만 VPN 터널을 쓰는 응용의 연결은 끊김 — Outlook 같은 일부 응용은 끊긴 연결을 다시 열려 시도하지만, Telnet 등은 닫히거나 종료됨.
SSL Network Extender — Mobile Access로 다운로드된 응용SNX 모드에 따라 다름 — Network Mode 는 페일오버를 견디고, Application Mode 는 견디지 못함.