12블레이드 구성과 다른 블레이드 연동블레이드 구성과 다른 블레이드 연동
Mobile Access는 홀로 동작하지 않습니다. 같은 게이트웨이의 다른 Software Blade와 맞물려 트래픽을 지키고 자원을 정의합니다. 이 장은 Mobile Access가 IPS·Anti-Virus·IPsec VPN과 어떻게 연동되는지, 대규모 환경에서 동시 연결 한도를 어떻게 조정하는지, 그리고 DNS Name 객체를 어떻게 활용하는지 를 정리합니다.
다른 블레이드와의 통합
Firewall 블레이드를 켠 어떤 Gaia 게이트웨이든 Mobile Access 블레이드도 함께 켤 수 있고, 둘은 완전히 통합됩니다. SmartDashboard에서 만든 대부분의 네트워크 객체·리소스·사용자가 Mobile Access에도 그대로 쓰이고, 반대로 Mobile Access에서 만든 객체·사용자도 SmartDashboard 전반에 나타납니다. 즉 별도 객체 체계를 따로 관리할 필요가 없습니다.
IPS — Mobile Access를 지키는 웹 보호
Mobile Access를 켜면 특정 IPS Web Intelligence 보호가 자동으로 활성 됩니다. 이 보호들은 IPS 프로파일이 아니라 로컬 파일에서 설정값을 가져오며, 게이트웨이에 IPS 블레이드가 없어도 항상 Mobile Access 트래픽에만 적용 됩니다(소개). 여기에는 HTTP Format Sizes·HTTP Methods·Directory Traversal·Cross-Site Scripting·Command Injection·Malicious Code Protector 같은 웹 공격 차단의 핵심 보호 가 포함됩니다.
게이트웨이의 IPS 프로파일을 대신 쓰고 싶다면 그 프로파일에 위 핵심 보호들이 모두 들어 있는지 확인한 뒤, cvpnd_settings set use_ws_local_configuration false로 전환 하고 Check Point 프로세스를 재시작합니다(cvpnstop ; cvpnstart). 다시 로컬 자동 설정으로 돌아가려면 같은 플래그를 true로 둡니다.
Anti-Virus와 IPsec VPN
Threat Prevention 탭의 Traditional Anti-Virus > HTTP 설정 중 일부는 Mobile Access 트래픽에도 적용 됩니다 — By File Direction으로 스캔하면 사용자가 올리는(Incoming) 트래픽과 내려받는(Outgoing) 트래픽을 검사하고, By IPs로 스캔하면 메일·FTP·HTTP 설정에 따라 포털 트래픽을 검사합니다. Mobile Access의 Anti-Virus는 어떤 옵션을 골라도 항상 proactive 모드 로 동작하며, SSL Network Extender 트래픽은 게이트웨이로 재라우팅된 뒤 일반 비암호화 트래픽처럼 검사됩니다(같은 게이트웨이에 Anti-Virus 블레이드와 Traditional Anti-Virus를 동시에 켤 수는 없음).
IPsec VPN 블레이드와 Mobile Access 블레이드는 같은 게이트웨이에서 함께 켜 서, Site-to-Site와 Remote Access를 동시에 최적으로 제공할 수 있습니다(Site-to-Site VPN, Remote Access VPN). 다만 주의할 점이 있습니다 — Endpoint Connect·SecureClient Mobile 같은 일부 구버전 VPN 클라이언트는 Mobile Access 블레이드와는 동작하지 않고 IPsec VPN 블레이드와만 동작하며, SSL Network Extender는 Mobile Access가 켜진 게이트웨이에서는 반드시 Mobile Access 탭에서 구성 해야 합니다(이전에 IPsec VPN 쪽에 설정했다면 다시 구성해야 함). Office Mode는 둘 중 어느 쪽에서든 구성할 수 있습니다.
동시 연결 한도
Mobile Access는 사용자가 사내 자원에 접속할 때 여러 연결을 만듭니다 — 사용자에서 게이트웨이로, 게이트웨이에서 내부 서버로 각각. 그래서 원격 사용자가 1,000명을 넘는 환경이라면 Gateway Properties > Optimization > Capacity Optimization에서 최대 동시 연결 수를 늘리는 것이 권장 됩니다(예: 기본 25,000에 사용자 2,000명이면 그 두 배인 4,000을 더해 29,000으로).
DNS Name 객체
DNS Name 객체 를 Mobile Access 응용 정의에 쓰면, 서버 IP가 바뀌어도 응용 정의를 고칠 필요가 없 습니다 — 게이트웨이가 접근을 허가할 때 그 이름의 IP를 실시간으로 풀기 때문입니다. 한 응용이 여러 복제 서버에 호스팅되면, 각 호스트를 일일이 정의하는 대신 DNS Name 객체 하나 로 가리킬 수 있습니다. 하나의 DNS 이름에는 여러 별칭(alias)을 둘 수 있고(예: www.example.com·www.example.co.uk), 와일드카드는 도메인 앞쪽에만 쓸 수 있습니다(*.example.com은 유효하나 www.example.*는 무효).
DNS Name 객체는 웹 응용·파일 공유·Citrix·웹메일 호스트를 정의할 때와 Hostname Translation 지원에 쓰이며, Security Rule Base에서는 쓸 수 없 습니다. 이름을 풀어 줄 DNS 서버는 SmartDashboard의 Name Resolution 페이지나 게이트웨이 자체에 지정하며, 객체는 Mobile Access 탭 > Additional Settings > DNS Names에서 만듭니다.