목차/12. 블레이드 구성과 다른 블레이드 연동

12블레이드 구성과 다른 블레이드 연동블레이드 구성과 다른 블레이드 연동

Mobile Access는 홀로 동작하지 않습니다. 같은 게이트웨이의 다른 Software Blade와 맞물려 트래픽을 지키고 자원을 정의합니다. 이 장은 Mobile Access가 IPS·Anti-Virus·IPsec VPN과 어떻게 연동되는지, IPS 보호를 로컬 설정과 프로파일 사이에서 어떻게 전환하는지, Traditional Anti-Virus를 어떻게 켜는지, 대규모 환경에서 동시 연결 한도를 어떻게 조정하는지, 그리고 DNS Name 객체를 어떻게 만들고 활용하는지 까지 빠짐없이 정리합니다.

다른 Software Blade와의 상호 운용성

Mobile Access Software Blade 는 다른 Software Blade와 완전히 통합됩니다. SecurePlatform 또는 Gaia에서 동작하며 Firewall 블레이드가 켜진 어떤 Security Gateway든 Mobile Access 블레이드도 함께 켤 수 있습니다.

SmartDashboard에서 만든 대부분의 네트워크 객체(Network object)·리소스(Resource)·사용자(User)가 Mobile Access에도 그대로 적용 되어, Access to Applications를 구성할 때 쓸 수 있습니다. 반대로 Mobile Access에서 만들거나 수정한 네트워크 객체·사용자·사용자 그룹도 SmartDashboard 탐색 트리에 나타나고 모든 SmartDashboard 응용에서 쓸 수 있습니다. 즉 별도의 객체 체계를 따로 관리할 필요가 없습니다.

IPS Software Blade

설명

Security Gateway에서 Mobile Access를 켜면 특정 IPS Web Intelligence 보호가 활성화 됩니다. 이 보호들의 설정값은 로컬 파일에서 가져오며 IPS 프로파일과 연결되지 않 습니다. 이 IPS 보호들은 게이트웨이에 IPS 블레이드가 없어도 항상 Mobile Access 트래픽에만 적용 됩니다(소개).

고급 문제 해결을 위해 보호 끄기

Mobile Access Web Intelligence 보호는 오직 고급 문제 해결 목적일 때만 꺼야 합니다.

로컬 Web Intelligence 보호를 끄려면 다음을 합니다.

  1. $CVPNDIR/conf/httpd.conf 구성 파일을 백업합니다.
  2. $CVPNDIR/conf/httpd.conf 를 편집해, 다음 줄을 삭제하거나 주석 처리합니다.
   LoadModule wi_module /opt/CPcvpn-<current version>/lib/libModWI.so
   

여기서 <current version> 은 설치된 Check Point 버전입니다.

Mobile Access를 IPS 프로파일 구성으로 바꾸기

Mobile Access 블레이드를 켜면 자동으로 구성·활성화되는 로컬 IPS Web Intelligence 보호를 쓰는 것이 권장 됩니다. 만약 로컬 파일 대신 Security Gateway에 할당한 IPS 프로파일을 쓰고 싶다면, Security Gateway가 안전하게 유지되도록 특정 핵심 보호들이 활성 상태인지 확인해야 합니다.

Mobile Access를 로컬 구성 대신 Security Gateway IPS 프로파일 구성으로 바꾸려면 다음을 합니다.

  1. Security Gateway에 할당된 IPS 프로파일을 편집해, 아래 "Mobile Access에 필수적인 IPS 보호" 절에 나열된 보호를 모두 포함시킵니다.
  2. CLI에서 다음을 실행합니다.
   cvpnd_settings set use_ws_local_configuration false
   
  1. 프롬프트가 뜨면 $CVPNDIR/conf/cvpnd.C 파일을 백업합니다.
  2. Check Point 프로세스를 재시작합니다.
   cvpnstop ; cvpnstart
   

Mobile Access를 다시 로컬·자동 IPS 설정으로 되돌리려면 다음을 합니다.

  1. CLI에서 다음을 실행합니다.
   cvpnd_settings set use_ws_local_configuration true
   
  1. Check Point 프로세스를 재시작합니다 — cvpnstop ; cvpnstart

Mobile Access에 필수적인 IPS 보호

아래에 나열된 보호는 항상 Mobile Access 트래픽에 활성화 되어 있어야 합니다. Security Gateway에서 Mobile Access가 켜질 때 자동으로 활성화되는 로컬 IPS 설정에 포함되어 있습니다. 대부분은 Recommended_Protection IPS 프로파일에 포함되어 있으나 전부는 아닙니다.

보호 이름Recommended_Protection 프로파일에 포함?
HTTP Format Sizes포함
HTTP Methods포함
ASCII Only Request
General HTTP Worm Catcher포함
Directory Traversal포함
Cross-Site Scripting포함
Command Injection포함
Header Rejection포함
Malicious Code Protector포함
Non Compliant HTTP

Anti-Virus와 Anti-Malware Software Blade

설명

Threat Prevention 탭의 Traditional Anti-Virus > Security Gateway > HTTP 페이지에서 Security Gateway에 구성한 특정 Anti-Virus 설정이 Mobile Access 트래픽에도 적용 됩니다. Traditional Anti-Virus 보호를 활성화하려면 Security Gateway에서 Traditional Anti-Virus를 켭니다.

Traditional Anti-Virus가 트래픽을 By File Direction 으로 스캔하도록 구성되면, 다음 설정이 Mobile Access 트래픽에 적용됩니다.

  • Incoming files arriving toMobile Access 사용자가 Mobile Access로 올리는(upload) 트래픽 을 검사합니다(드롭다운 메뉴는 해당 없음).
  • Outgoing files leavingMobile Access 사용자가 Mobile Access에서 내려받는(download) 트래픽 을 검사합니다(드롭다운 메뉴는 해당 없음).
  • Internal Files 필드는 Mobile Access가 외부 인터페이스를 쓰므로 해당 없 습니다.
  • 예외(Exceptions)는 지원되지 않 습니다.

Traditional Anti-Virus가 트래픽을 By IPs 로 스캔하도록 구성되면, 모든 포털 트래픽이 SmartDashboard에서 Mail·FTP·HTTP 프로토콜에 대해 정의한 설정에 따라 검사 됩니다.

Mobile Access Anti-Virus 보호는 어떤 옵션을 골라도 항상 proactive 모드 로 동작합니다.

Traditional Anti-Virus 켜기

시스템의 Security Gateway에서 Anti-Virus 블레이드Traditional Anti-Virus 를 활성화할 수 있습니다.

Traditional Anti-Virus를 구성하려면 다음을 합니다.

  1. SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블 클릭합니다. Security Gateway 창이 열리며 General Properties 페이지가 보입니다.
  2. 탐색 트리에서 Other > More Settings > Enable Traditional Anti-Virus 를 클릭합니다.
  3. OK 를 클릭합니다.
  4. Access Control Policy에 규칙을 정의해 지정된 서비스를 허용합니다. Anti-Virus는 허용된(accepted) 트래픽만 스캔 합니다.
  5. Anti-Bot and Anti-Virus 탭 > Traditional Anti-Virus 에서 스캔할 서비스를 다음 옵션으로 선택합니다.
    • Database Update 페이지 — 자동 시그니처 업데이트를 언제 수행할지 구성하거나 수동 시그니처 업데이트를 시작합니다.
    • Security Gateway > Mail Protocol 페이지 — Mail Anti-Virus, Zero Hour Malware, SMTP, POP3 서비스의 Anti-Virus 스캔 옵션을 구성합니다.
    • Security Gateway > FTP 페이지 — FTP 트래픽 스캔 옵션을 구성합니다.
    • Security Gateway > HTTP 페이지 — HTTP 트래픽 스캔 옵션을 구성합니다.
    • Security Gateway > File Types 페이지 — 파일 형식에 따라 트래픽을 스캔·차단·통과시키는 옵션과 연속 다운로드(continuous download) 옵션을 구성합니다.
    • Security Gateway > Settings 페이지 — 파일 처리와 스캔 실패에 대한 옵션을 구성합니다.

IPsec VPN Software Blade

설명

IPsec VPN 블레이드와 Mobile Access 블레이드는 같은 Security Gateway에서 함께 켤 수 있습니다. 둘을 병행해 환경에 맞는 최적의 Site-to-Site와 Remote Access VPN 연결 을 제공할 수 있습니다(Site-to-Site VPN, Remote Access VPN).

이전 버전에서 Mobile Access와 함께 동작하던 일부 VPN 클라이언트는 R71 이상 Security Gateway의 Mobile Access 블레이드와는 동작하지 않 습니다. 이들은 IPsec VPN 블레이드와만 동작합니다.

  • Endpoint Connect
  • SecureClient Mobile

SSL Network Extender 는 Mobile Access 또는 IPsec VPN 어느 쪽과도 동작합니다. 다만 Security Gateway에서 Mobile Access 블레이드가 켜져 있으면, SSL Network Extender는 반드시 Mobile Access를 통해 구성 해야 합니다. 이전에 IPsec VPN을 통해 SSL Network Extender를 구성해 두었다가 게이트웨이에서 Mobile Access 블레이드를 켰다면, SmartDashboard의 Mobile Access 탭에서 SSL Network Extender 정책을 다시 구성 해야 합니다. Mobile Access 탭이 켜져 있으면, 메인 security rule base의 SSL Network Extender 관련 규칙은 활성화되지 않 습니다.

Office Mode 는 Mobile Access 또는 IPsec VPN 어느 쪽으로도 구성할 수 있습니다.

Security Gateway로의 동시 연결

설명

Gateway Properties > Optimization > Capacity Optimization 영역에서 동시 연결(concurrent connections)의 최대 한도 를 구성할 수 있습니다.

사용자가 Mobile Access 블레이드를 통해 사내 자원에 연결하면 여러 개의 연결이 만들어 집니다. 예를 들어 사용자에서 Security Gateway로, 그리고 Security Gateway에서 내부 서버로 각각 연결이 생깁니다.

따라서 원격 사용자가 1,000명을 넘는 환경에서는 최대 동시 연결 수를 늘리는 것이 권장 됩니다. 예를 들어 기본 최댓값은 25,000입니다. Mobile Access 사용자가 2,000명이면, 그 두 배(2 × 2,000)를 더해 최댓값을 29,000으로 늘립니다.

DNS Names

설명

내부 응용이 조직 안의 서버에 호스팅된 경우, Mobile Access 응용 정의에 DNS Name 객체 를 쓰면 서버의 IP 주소가 바뀌어도 Mobile Access 응용 안의 호스트 객체 정의를 고칠 필요가 없 습니다. 예를 들어 myhost.example.com 이 Mobile Access 응용 정의에 쓰이면, Mobile Access는 응용 접근을 허가할 때 myhost 의 IP 주소를 실시간으로 풀어 줍니다.

내부 응용이 여러 복제된(replicated) 서버에 호스팅 되면, 각 호스트를 일일이 정의하는 대신 DNS Name 객체 하나 로 Mobile Access 응용 정의에 쓸 수 있습니다.

Mobile Access Gateway에 지정된 DNS 서버가 DNS 이름을 풉니다. DNS 서버 구성은 R82 Gaia Administration Guide 를 참고하세요.

DNS 이름과 별칭(Aliases)

한 DNS 이름에는 여러 별칭(alias) 을 둘 수 있습니다. 예를 들어 www.example.com, www.example.co.uk, www.example.co.fr 가 같은 DNS 이름의 별칭일 수 있습니다.

DNS Name 객체 정의에서는 a.b ... x.y.z 형식을 쓰며, DNS 이름의 각 구획은 마침표(.)로 구분 됩니다. 예: mail.example.com, www.example.co.uk.

와일드카드(wildcard)는 도메인 이름의 앞쪽에만 쓸 수 있고, 끝에는 쓸 수 없 습니다. 예를 들어 .example.comwww.example.commail.example.com 을 포함하지만, www.example. 는 유효하지 않습니다.

DNS Name 객체가 쓰이는 곳

DNS 객체는 Mobile Access의 Web application, file share 응용, Citrix 서비스, Web mail 서비스의 호스트를 정의할 때 쓰입니다. 또한 Hostname Translation 지원을 구성할 때 도 쓰입니다.

Mobile Access용 DNS 서버 구성

DNS Name 객체의 IP 주소를 풀어 줄 DNS 서버는 다음 위치 중 하나에 정의되어야 합니다.

  • SmartDashboard에서 — Mobile Access 탭에서 Additional Settings > Network Accessories > Name Resolution 페이지로 갑니다.
  • Mobile Access Security Gateway에서 — 방법은 R82 Gaia Administration Guide 의 Network Management 장 Hosts and DNS 절을 참고하세요.

DNS Name 객체 구성하기

  1. SmartConsole에서 Security Policies > Shared Policies > Mobile Access 를 선택합니다.
  2. Open Mobile Access Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리며 Mobile Access 탭이 보입니다.
  3. 탐색 트리에서 Additional Settings > DNS Names 를 클릭합니다.
  4. New 를 클릭합니다.
  5. DNS Name 객체의 Name 을 입력합니다.
  6. DNS Names 를 클릭합니다.
  7. Add 를 클릭합니다.
  8. DNS 이름을 입력합니다.
  9. OK 를 클릭합니다.
  10. Save 를 클릭합니다.
  11. SmartDashboard를 닫습니다.
  12. SmartConsole에서 정책을 설치합니다(install policy).