01용어 정리용어 정리

VPN(Virtual Private Network) 은 공용 인프라 위의 안전한 암호화 연결 입니다. Remote Access VPN 은 게이트웨이와 원격 클라이언트(노트북·휴대폰 등) 사이의 터널 이고, Site-to-Site VPN은 두 게이트웨이 사이의 터널입니다(이 가이드는 Remote Access를 다룹니다).

터널의 바탕은 키를 관리하는 IKE, 암호화하는 IPsec 입니다. 신뢰의 바탕은 관리 서버에 내장된 인증 기관 ICA 가 발급하는 인증서입니다(소개, 인증).

원격 클라이언트는 IP·프로토콜 문제로 연결이 까다로울 수 있어, VPN 연결 모드 로 이를 넘깁니다. Office Mode 는 원격 클라이언트에게 내부망의 IP를 캡슐화해 줘, 마치 사무실에 있는 것처럼 트래픽을 보내 게 합니다(Office Mode). Visitor Mode 는 모든 프로토콜을 443 포트의 일반 TCP 연결로 터널링 해, HTTP/HTTPS만 허용되는 환경(호텔 등)에서도 접속하게 합니다.

클라이언트는 크게 나뉩니다 — Client-Based(엔드포인트에 설치, 대부분 자원 접근), Clientless(웹 브라우저·HTTPS, 주로 웹 자원), On-demand(브라우저로 접속 시 클라이언트 자동 설치) 입니다. 또 Secure Connectivity(트래픽 암호화, 모든 솔루션 제공) 만 주는 것과 Endpoint Security(Desktop Firewall 등으로 단말 보호) 까지 주는 것으로 나뉩니다(솔루션과 클라이언트).

원격 단말을 지키는 기능이 둘 있습니다. Desktop Security 는 클라이언트에 Desktop Firewall 정책(Desktop Rule Base)을 적용 해 단말을 방화벽으로 보호하고(Desktop Security), SCV(Secure Configuration Verification) 는 원격 단말이 보안 정책에 맞게 구성됐는지 검증 해, 미준수 단말의 접근을 제한합니다(SCV).

운영·확장을 돕는 기능이 여럿입니다 — Machine Certificate(기기 인증서), L2TP(L2TP 클라이언트 지원), VPN Routing(Hub Mode 등 라우팅), MEP(여러 진입점 고가용성), Secondary Connect(여러 게이트웨이 자동 연결), SAML(클라우드 ID 공급자 인증), Dynamic Split Tunneling(SaaS 트래픽을 터널에서 제외), strongSwan(IKEv2 오픈소스 클라이언트 지원) 이 뒤 장들에서 이어집니다.