목차/05. 정책 구성

05정책 구성정책 구성

게이트웨이와 사용자를 준비했다면, 이제 원격 접속을 실제로 허용하는 정책 을 세울 차례입니다. 이 장은 게이트웨이/클러스터 객체를 만드는 일부터, VPN 설정을 구성하고, 필요한 객체를 만들고, Remote Access VPN Community를 구성하고, Access Control 규칙을 짜고, 정책을 설치한 뒤, 마지막으로 암호화 속성을 고급 조정하기까지 일곱 단계를 처음부터 끝까지 순서대로 따라갑니다. 각 단계는 앞 단계의 결과 위에 쌓이므로, 차례를 건너뛰지 말고 밟아 가는 것이 좋습니다.

Step 1 — Security Gateway / Cluster 객체 만들기

a. 필요한 Security Gateway / Cluster Member를 설치하고 인터페이스를 구성 합니다. - 자세한 내용은 R82 Installation and Upgrade Guide를 참고하세요.

b. SmartConsole에서 새 객체를 만듭니다. - 자세한 내용은 R82 Security Management Administration Guide의 Managing Objects 절을 참고하세요.

c. SIC(Secure Internal Communication) 신뢰를 수립합니다. - 자세한 내용은 R82 Security Management Administration Guide의 Secure Internal Communications (SIC) 절을 참고하세요.

d. 인터페이스를 가져와 토폴로지 설정을 구성 합니다. - 자세한 내용은 R82 Gaia Administration Guide의 Network Management 챕터 > Network Interfaces 항목을 참고하세요.

Step 2 — Security Gateway / Cluster 객체에서 Remote Access VPN 설정 구성하기

a. Security Gateway 네트워크 객체 를 만듭니다.

b. General Properties 페이지에서 VPN 을 선택합니다.

c. Communication 을 클릭해 VPN 모듈과 Security Management Server 사이의 보안 통신 채널을 초기화 합니다.

d. Topology 페이지에서 인터페이스와 VPN domain 을 정의합니다. - 이렇게 하면 ICA가 Security Gateway용 인증서를 자동으로 생성 합니다.

Step 3 — 필요한 Host, Network, Group, User, Access Role 객체 구성하기

정책에서 쓸 Host, Network, Group, User, Access Role 객체 를 알맞게 구성합니다. 자세한 내용은 R82 Security Management Administration Guide의 Managing Objects 절을 참고하세요.

Step 4 — Remote Access VPN Community 구성하기

a. Objects Bar 에서 VPN Communities 를 클릭합니다.

b. RemoteAccess 를 더블 클릭합니다. Remote Access 창이 열립니다.

c. Participating Gateways 페이지에서 Add 버튼을 클릭하고 Remote Access Community에 속할 Security Gateway 를 선택합니다.

d. Participating User Groups 페이지에서 Add 버튼을 클릭하고 Remote Access 사용자가 들어 있는 그룹 을 선택합니다.

e. OK 를 클릭합니다.

f. 변경 사항을 Publish(게시) 합니다.

Step 5 — 알맞은 Access Control 규칙 구성하기

이 규칙들은 Remote Access VPN 클라이언트에서 Security Gateway 뒤의 내부 자원으로 향하는 트래픽 에 적용됩니다. 자세한 내용은 R82 Security Management Administration Guide의 "Creating an Access Control Policy" 챕터를 참고하세요.

각 열을 다음과 같이 채웁니다.

설명
Source알맞은 Host, Network, Group, User, Access Role 객체를 선택합니다.
Destination알맞은 Host, Network, Group 객체를 선택합니다.
VPNRemote Access VPN Community 객체를 선택합니다.
Services & Applications규칙을 가능한 한 엄격하게 만들기 위해 꼭 필요한 특정 서비스 객체만 선택합니다.
Action알맞은 동작을 선택합니다.

다음은 예시입니다. Office_Mode_Network 에서 MyWebServer 로 향하는 HTTP·HTTPS 트래픽을, RemoteAccess 커뮤니티 안에서 허용하는 규칙입니다.

SourceDestinationVPNServices & ApplicationsAction
Office_Mode_NetworkMyWebServerRemoteAccesshttp, httpsAccept

Step 6 — Access Control Policy 설치하기

SmartConsole에서 Security Gateway / Cluster 객체에 Access Control Policy를 설치 합니다.

Step 7 — (선택) 고급 구성

Remote Access 커뮤니티에서 VPN 터널의 암호화 속성은 기본값으로 설정 되어 있습니다. 이 암호화 과정은 모든 사용자에게 전역으로 한꺼번에 바꾸 거나, 사용자별로 따로 구성 할 수 있습니다.

VPN 터널 암호화 속성을 전역으로 바꾸기

a. Menu 에서 Global Properties 를 클릭합니다.

b. 탐색 트리에서 Remote Access > VPN - Authentication and Encryption 을 클릭합니다.

c. Encryption Method(암호화 방식) 를 선택합니다. - IKEv2 only > 중요 — 이 옵션을 선택하면, IKEv2를 지원하지 않는 Remote Access 클라이언트는 VPN Gateway에 연결할 수 없 습니다. - Prefer IKEv2, support IKEv1IKEv2를 지원하는 클라이언트는 IKEv2로, 지원하지 않는 클라이언트는 IKEv1로 VPN Gateway에 연결합니다. - IKEv1 only (기본으로 선택됨)

d. Encryption algorithms 섹션에서 Edit 를 클릭합니다. Encryption Properties 창이 열립니다.

e. IKE Security Association (Phase 1) 탭에서 알맞은 설정을 구성합니다.

설정설명
Support encryption algorithms원격 호스트와 지원할 암호화 알고리즘 을 선택합니다.
Use encryption algorithms선택한 알고리즘 중 가장 높은 우선순위를 가질 암호화 알고리즘 을 고릅니다. 사용할 알고리즘이 둘 이상일 때 이 필드에서 선택한 것이 쓰입니다.
Support Data Integrity데이터 무결성을 보장하기 위해 원격 호스트와 지원할 해시(hash) 알고리즘 을 선택합니다.
Use Data Integrity둘 이상의 선택지가 제공될 때 여기서 고른 해시 알고리즘이 가장 높은 우선순위 를 갖습니다.
Support Diffie-Hellman groups원격 호스트와 지원할 Diffie-Hellman 그룹 을 선택합니다.
Use Diffie-Hellman group클라이언트 사용자가 사용할 Diffie-Hellman 그룹 을 이 필드에서 고릅니다.

f. OK 를 클릭합니다.

g. 정책을 설치합니다.

특정 사용자에 대해 암호화 정책 구성하기

a. Global Properties 를 열고 Remote Access > Authentication and Encryption 을 클릭합니다.

b. Encryption algorithms 섹션에서 Edit 를 클릭합니다.

c. Encryption Properties 창에서 IPSEC Security Association (Phase 2) 탭을 클릭합니다.

d. Enforce Encryption Algorithm and Data Integrity on all users(모든 사용자에게 암호화 알고리즘·데이터 무결성 강제)의 선택을 해제 합니다.

e. OK 를 클릭하고 Global Properties 창을 닫습니다.

f. 각 사용자마다 다음을 수행합니다. - i. Objects Bar 에서 사용자를 더블 클릭합니다. - ii. 탐색 트리에서 Encryption 을 클릭합니다. - iii. Edit 를 클릭합니다. IKE Phase 2 Properties 창이 표시됩니다. - iv. Encryption 탭을 클릭합니다. - v. Defined below 를 클릭합니다. - vi. Encryption AlgorithmData Integrity 를 구성합니다. - vii. OK 를 클릭하고 User Properties 창을 닫습니다.

g. 정책을 설치합니다.