02QoS 소개Introduction to QoS
QoS는 한정된 회선을 누구에게 얼마만큼 줄지 정책으로 정하는 Check Point의 대역폭 관리 솔루션입니다. 이 장은 QoS가 무엇을 해 주는지, 어떤 기술로 그것을 해내는지, 그리고 정책에는 어떤 종류가 있는지를 큰 그림으로 잡습니다.
QoS가 해 주는 일
QoS는 정책 기반 대역폭 관리(policy based bandwidth management) 솔루션으로, 크게 세 가지를 할 수 있습니다. ERP·데이터베이스·웹 같은 업무 핵심 트래픽을 낮은 우선순위 트래픽보다 우선 시키고, VoIP·화상회의 같은 스트리밍 애플리케이션에 대역폭을 보장하고 지연을 통제 하며, 특정 직원에게는 원격 접속 중에도 보장되거나 우선되는 접근권 을 줍니다. QoS는 Security Gateway에 얹어 배포하며, 암호화 트래픽과 비암호화 트래픽 모두 에 동작합니다.
!QoS 기본 구성 *① SmartConsole ② Security Management Server ③ QoS 정책 ④ QoS Software Blade를 켠 Security Gateway ⑤ 인터넷 ⑥ 내부 네트워크*
동작의 바탕에는 Check Point의 특허 기술인 Stateful Inspection 이 있습니다. 모든 네트워크 트래픽의 상태 정보를 잡아 동적으로 갱신하고, 이 상태 정보로 트래픽을 서비스·애플리케이션별로 분류합니다. 분류가 끝나면 계층적 WFQ(Weighted Fair Queuing) 알고리즘 을 적용해 대역폭 배분을 정밀하게 통제합니다.
특징과 이점
QoS의 핵심 강점은 가중치(weight)·제한(limit)·보장(guarantee)으로 짜는 유연한 정책 입니다. 기본 정책을 만들고 거기에 고급 기능을 덧붙이는 식이죠. 무엇보다 방화벽과 같은 아키텍처·기술 컴포넌트를 공유 한다는 점이 큽니다. 덕분에 VPN·Firewall·QoS 장비를 따로 둘 필요 없이 한 게이트웨이에서 처리하고, 사용자가 정의한 네트워크 객체를 두 솔루션이 함께 씁니다. 성능 분석은 SmartConsole의 Logs & Events 뷰로 하고, 공인망에서 트래픽에 등급을 매기는 DiffServ, 지연에 민감한 음성·영상을 위한 Low Latency Queuing(LLQ) 도 정책에 통합되어 있습니다. CoreXL·SecureXL 가속과 IPv6, 그리고 VSX도 완전히 지원합니다.
정책 종류 — Express와 Recommended
이번 릴리스에는 두 가지 QoS 정책 종류가 있습니다. Express 는 기본 QoS 정책을 빠르게 만드는 모드이고, Recommended 는 QoS의 전체 기능을 쓰는 고급 정책 모드입니다.
둘의 가장 큰 차이는 고급 기능의 유무 입니다. 가중치(Weight)·규칙 단위 제한(Limit)·로깅·하드웨어 가속·고가용성/로드 셰어링·VSX 같은 기본기는 양쪽 다 됩니다. 반면 연결(per-connection) 단위의 보장·제한, LLQ, DiffServ, 서브 규칙(sub-rule), URI/DNS 문자열 매칭 같은 정교한 기능은 Recommended에서만 쓸 수 있습니다. 그래서 확신이 없으면 Express로 시작 했다가 고급 기능이 필요해지면 Recommended로 올리는 편이 권장됩니다(Express→Recommended 전환은 되지만 반대는 안 됩니다 — FAQ 참고).
정책 종류는 SmartConsole 메뉴에서 Manage policies and layers 를 열고, 새 정책을 만들거나 기존 정책을 편집하면서 QoS 를 선택한 뒤 Recommended 또는 Express 를 고르면 됩니다. 가중치·제한·보장의 자세한 동작은 기본 정책 관리에서 다룹니다.
R77 정책의 가속 지원
R82로 새로 설치하거나 업그레이드하면 QoS는 SecureXL·CoreXL 가속을 기본으로 켠 상태 가 됩니다.
이런 옛 기능을 그대로 써야 한다면 가속을 꺼야 합니다(절차는 정규표현식 부록의 "QoS 가속 끄기" 참고).
작업 흐름
좋은 QoS 정책을 만드는 큰 흐름은 게이트웨이에서 QoS 켜기 → 전역 속성 설정 → 정책 만들기 → 로그/모니터링 설정 → 세션 게시(Publish) → 정책 설치 순입니다. SmartConsole에서 게이트웨이마다 QoS를 켜고 전역 속성을 잡은 뒤, (Legacy) SmartDashboard에서 실제 규칙과 DiffServ·LLQ 같은 특수 기능을 정의하고, 다시 SmartConsole로 돌아와 게시하고 설치합니다.
구체적인 켜기 절차는 시작하기에서 단계별로 이어집니다.
한계
Scalable Platforms(Maestro·Chassis)에는 두 가지 제약이 있습니다. Security Group이 Layer 4 분산 모드일 때는 QoS를 지원하지 않 고, QoS 정책은 각 Security Group Member마다 개별로 적용 됩니다.