03시작하기시작하기
Site-to-Site VPN을 처음 세우는 일은 네 걸음 으로 흐릅니다 — IPsec VPN 블레이드 켜기, VPN 커뮤니티 만들기, Access Control 규칙 구성, 터널 확인. 이 장은 그 네 단계를 처음부터 끝까지 빠짐없이 따라가고, 이어서 VPN 도메인(암호화 도메인)을 더 세밀하게 다루는 고급 구성 까지 정리합니다. 모든 작업은 SmartConsole 에서 진행합니다.
Step 1 — IPsec VPN 블레이드 켜고 VPN 도메인 정의
Site-to-Site VPN에는 IPsec VPN 블레이드를 켠 Security Gateway가 둘 이상 필요합니다. 이 게이트웨이들에는 다른 Software Blade를 함께 켜도 됩니다. 시작 전 모든 Security Gateway와 Management Server 사이에 신뢰 통신(Trusted Communication)이 수립 되어 있어야 합니다.
다음 순서로 진행합니다.
- Security Gateway를 설치·구성 합니다.
- 필요한 Security Gateway를 설치합니다.
- 새 Security Gateway 객체를 만듭니다.
- SIC(Secure Internal Communication)로 신뢰를 수립합니다.
- 토폴로지가 포함된 인터페이스를 가져옵니다(get interfaces with topology).
자세한 절차는 R82 Installation and Upgrade Guide 와 R82 Security Management Administration Guide 를 참고합니다. 2. 왼쪽 탐색 창에서 Gateways & Servers 를 클릭합니다. 3. 각 Security Gateway 객체를 엽니다. 4. IPsec VPN 블레이드를 켭니다. - General Properties 페이지에서 Network Security 탭을 클릭합니다. - IPsec VPN 을 선택 합니다. 5. VPN 도메인 을 구성합니다. VPN 도메인(암호화 도메인)은 VPN 커뮤니티에 포함될 네트워크와 IP 주소 를 정의합니다. - 왼쪽 트리에서 Network Management > VPN Domain 을 클릭합니다. - 다음 중 하나를 고릅니다.
| 선택 | 뜻 |
|---|---|
| All IP Addresses behind the Gateway based on Topology information | 기본값 입니다. 인터페이스의 토폴로지 구성을 근거로, 게이트웨이 뒤의 모든 IP 주소를 VPN 도메인으로 자동 정의합니다. |
| User-defined | 게이트웨이 뒤의 하나 이상의 네트워크를 직접 지정 합니다. 해당 객체(Network, Network Group, Address Range)를 고르며, 선택 창에서 New 를 눌러 새 객체를 만들 수도 있습니다. |
Step 2 — VPN 커뮤니티 만들기
VPN Community 객체는 멤버 게이트웨이 사이의 암호화·터널 설정 을 정합니다. Star VPN Community 또는 Meshed VPN Community 를 만들 수 있습니다. 가장 기본적인 사용 사례는 같은 Management Server가 관리하는(로컬 관리) Check Point Security Gateway 사이에 커뮤니티를 구성 하는 것입니다. 외부에서 관리되는 VPN 게이트웨이와 커뮤니티를 구성하려면 VPN with External VPN Gateways 절을 봅니다.
만드는 방법은 다음과 같습니다.
- 상단 도구 모음에서 Objects > Object Explorer 를 클릭합니다.
- 왼쪽 트리에서 VPN Communities 를 클릭합니다.
- 새 Site-to-Site VPN 커뮤니티 객체를 만듭니다.
Star VPN Community 만들기
New > VPN Community > Star Community 를 클릭합니다.
- 이 VPN 커뮤니티의 이름을 입력합니다.
- Gateways 페이지에서 —
- Center Gateways 영역에 해당 Security Gateway / Cluster 객체를 선택합니다.
모든 트래픽을 암호화할 필요가 없다면, 대신 다음 단계에서 Access Control 규칙을 만듭니다. 4. VPN Routing 페이지에서 To center only 를 선택합니다. 5. OK 를 클릭합니다. 6. Object Explorer 창을 닫습니다.
Encryption·Shared Secret·Advanced 같은 다른 옵션은 IPsec와 IKE에서, MEP 옵션은 MEP VPN에서 다룹니다.
Meshed VPN Community 만들기
New > VPN Community > Meshed Community 를 클릭합니다.
- 이 VPN 커뮤니티의 이름을 입력합니다.
- Gateways 페이지에서 해당 Security Gateway 객체들을 더합니다. 멤버를 더하면 서로 터널을 맺 습니다.
- Encrypted Traffic 페이지에서 — 모든 트래픽을 암호화해야 한다면 Accept all encrypted traffic 을 선택합니다. 필요 없다면 다음 단계에서 Access Control 규칙을 만듭니다.
- OK 를 클릭합니다.
- Object Explorer 창을 닫습니다.
마찬가지로 Encryption·Shared Secret·Advanced 옵션은 IPsec와 IKE에서 다룹니다.
Step 3 — Access Control 규칙 구성 및 정책 설치
VPN 커뮤니티의 Encrypted Traffic 페이지에서 Accept all encrypted traffic 을 켜지 않았다면, 커뮤니티 안의 트래픽을 허용하는 Access Control 규칙 을 반드시 만들어야 합니다.
- 필요한 Access Control 규칙을 만듭니다. SmartConsole > Security Policies > Access Control 에서 구성하며, Access Control 정책의 모든 레이어가 VPN 규칙을 담을 수 있습니다. 규칙이 VPN 커뮤니티에 적용되게 하려면, Rule Base의 VPN 열 에 다음 중 하나가 들어 있어야 합니다.
| VPN 열 값 | 적용 범위 |
|---|---|
| Any | 모든 VPN 커뮤니티와 비(非)VPN 트래픽 에 적용됩니다. 규칙을 만든 뒤 새 VPN 커뮤니티를 추가해도 그 커뮤니티에 자동으로 적용됩니다. |
| 특정 VPN 커뮤니티 하나 이상 | 예: MyIntranet. VPN 열에서 마우스 오른쪽 클릭 → Specific VPN Communities 를 선택합니다. VPN 열에 표시된 커뮤니티에만 적용됩니다. |
자세한 내용은 R82 Security Management Administration Guide 를 참고합니다.
규칙 예시
예 1 — 특정 커뮤니티 멤버 도메인 사이의 암호화 트래픽 허용. 커뮤니티 "MyCommunity" 멤버 게이트웨이 도메인 사이의 암호화 트래픽을 허용합니다.
| Name | Source | Destination | VPN | Services & Applications |
|---|---|---|---|---|
| Allow traffic within community | Any | Any | MyCommunity | Any |
예 2 — 모든 VPN 커뮤니티에서 내부 네트워크로의 트래픽 허용. 모든 VPN 커뮤니티에서 모든 서비스로 내부 네트워크에 접근하게 허용합니다.
| Name | Source | Destination | VPN | Services & Applications |
|---|---|---|---|---|
| Allow all VPN | Any | Internal_Network | Any | Any |
예 3 — 두 VPN 도메인 사이의 모든 서비스 허용. 두 VPN 도메인 사이의 모든 서비스 트래픽을 허용합니다.
| Name | Source | Destination | VPN | Services & Applications |
|---|---|---|---|---|
| Site2Site | Local_VPN_Domain, Peer_VPN_Domain | Local_VPN_Domain, Peer_VPN_Domain | Site to Site VPN | Any |
Step 4 — VPN 터널 확인
VPN 터널이 동작하는지 확인하는 방법입니다.
- VPN 터널을 지나야 하는 트래픽에 해당하는 Access Control 규칙을 찾아, Track 열에서 Log 를 선택합니다.
- 왼쪽 탐색 창에서 Logs & Events > Logs 를 클릭합니다.
- 상단에서 New Tab 을 클릭합니다.
- 창 아래쪽에서 Tunnel and User Monitoring 을 클릭하면 Check Point SmartView Monitor 가 열립니다.
- Security Gateway를 클릭해 IPsec VPN 트래픽과 열린 터널 을 봅니다. 연결이 성공하면 encrypt·decrypt·key install 로그 가 보입니다.
또는 SmartConsole에서 Logs & Events 의 Logs 탭을 열고 VPN 으로 검색해 관련 로그를 확인할 수도 있습니다.

고급 VPN 설정 — 어디에 무엇이 있나
기본 구성을 마친 뒤의 고급 설정은 게이트웨이 객체와 커뮤니티 객체에 흩어 져 있습니다. 본격적인 설명은 이 가이드의 다른 장들에 있으니, 여기서는 어떤 설정이 어디에 있는지를 정리합니다.
Security Gateway 객체의 고급 VPN 설정
| 설정 | 관련 문서 |
|---|---|
| Link Selection | Link Selection |
| VPN Tunnel Sharing | VPN Tunnel Sharing |
| Wire Mode | Wire Mode |
| NAT Traversal | Resolving Connectivity Issues |
VPN Community 객체의 고급 VPN 설정(M = Meshed, S = Star 적용 여부)
| 설정 | 적용 | 관련 문서·설명 |
|---|---|---|
| Gateways | M·S | Link Selection, VPN 도메인 고급 구성 |
| Encrypted Traffic | M·S | Accept all encrypted traffic 은 Access Control 정책에 새 규칙을 만들어, 이 커뮤니티에 참여하는 모든 게이트웨이 사이의 모든 트래픽을 암호화 합니다. |
| Encryption | M·S | VPN Community Object — Encryption Settings |
| Tunnel Management | M·S | Configuring Tunnel Features |
| VPN Routing | S | Configuring VPN Routing in Domain-Based VPN |
| MEP | S | MEP VPN |
| Excluded Services | M·S | 암호화하지 않을 서비스 를 더할 수 있습니다. |
| Shared Secret | M·S | Configuring Site to Site VPN with External VPN Gateways Using Pre-Shared Secret |
| Wire Mode | M·S | Configuring Wire Mode |
| Advanced | M·S | Configuring Advanced IKE Properties |
VPN 도메인 고급 구성
VPN 도메인은 아주 세밀하게 다듬을 수 있습니다. 아래 절차는 모두 SmartConsole 에서 수행합니다.
게이트웨이의 외부 IP 주소를 VPN 도메인에서 제외하기
상대편(타사) VPN 게이트웨이가 자신의 외부 IP 주소를 VPN 도메인에서 제외 하고 있다면, Check Point VPN 게이트웨이도 자신의 외부 IP 주소를 VPN 도메인에서 제외하도록 맞춰 줘야 합니다.
- 왼쪽 탐색 창에서 Gateways & Servers 를 클릭합니다.
- Security Gateway / Cluster 객체를 더블 클릭합니다.
- 왼쪽 트리에서 Network Management 를 펼쳐 VPN Domain 을 클릭합니다.
- Advanced 영역에서 Exclude gateway's external IP addresses from the VPN Domain 을 선택합니다.
- OK 를 클릭합니다.
- 이 VPN 게이트웨이 / Cluster 객체와 같은 VPN 커뮤니티에 참여하는 모든 Security Gateway 에 Access Control 정책을 설치합니다.
커뮤니티별 전용 VPN 도메인 (Specific VPN Domain for Gateway Communities)
개요. 한 Security Gateway가 둘 이상의 VPN 커뮤니티에 참여 한다면, 참여하는 커뮤니티마다 서로 다른 VPN 도메인 을 지정할 수 있습니다. 기본적으로 게이트웨이의 암호화 도메인은 참여하는 모든 커뮤니티에 공유되며, 도메인 안의 여러 자원에 대한 접근은 Access Control Rule Base로 다룹니다. 하지만 더 세밀한 제어가 필요할 때, 커뮤니티별로 암호화 도메인을 따로 두면 논리적으로 분리된 커뮤니티를 더 안전하고 쉽게 관리 할 수 있습니다.
전용 VPN 도메인은 두 객체에서 설정할 수 있습니다 — Security Gateway 객체(커뮤니티 설정을 덮어씀) 와 VPN Community 객체(게이트웨이 객체 설정을 덮어씀) 입니다.
Security Gateway 객체에서 설정하기
- Gateways & Servers 를 클릭합니다.
- Security Gateway / Cluster 객체를 더블 클릭합니다.
- 왼쪽 트리에서 Network Management 를 펼쳐 VPN Domain 을 클릭합니다.
- Advanced 영역의 Set Specific Domain for Gateway Communities 줄에서 Set 을 클릭합니다.
| 선택 | 뜻 |
|---|---|
| Based on the Security Gateway object configuration | Security Gateway 객체의 Network Management > VPN Domain 페이지에 설정된 VPN 도메인을 그대로 씁니다. |
| Override | 해당 Network 또는 Network Group 객체를 선택(또는 새로 생성)합니다. 이 설정은 게이트웨이 객체의 VPN 도메인, Meshed/Star 커뮤니티의 Gateways 페이지 VPN 도메인, Remote Access VPN 커뮤니티의 Participating Gateways 페이지 VPN 도메인 을 모두 덮어씁니다. |
VPN Community 객체에서 설정하기
- 오른쪽 위 Objects 창에서 VPN Communities 를 클릭합니다.
- 해당 VPN Community 객체를 더블 클릭합니다.
- Gateways 창에서 관련 Security Gateway 객체를 더블 클릭합니다(또는 새 객체를 만듭니다).
- VPN Domain 영역에서 Based on the Security Gateway object configuration(게이트웨이 객체 설정 사용) 또는 Override(앞과 같은 세 가지 설정을 덮어씀) 중 하나를 고릅니다.
- OK 를 눌러 VPN Domain 구성 창을 닫습니다.
- OK 를 눌러 VPN Community 구성 창을 닫습니다.
- 이 VPN 커뮤니티에 참여하는 모든 Security Gateway에 Access Control 정책을 설치합니다.
예 1. 다음과 같은 구성을 가정합니다.
- "Security Gateway A"("Partner A")는 "Community-1"에 속합니다.
- "Security Gateway B"("Partner B")는 "Community-2"에 속합니다.
- "Security Gateway C"(Corporate Branch)는 "Community 1"과 "Community 2"에 모두 속합니다.
- "Security Gateway C" 뒤의 네트워크 10.2.2.0은 255.255.255.128 서브넷 마스크로 두 네트워크로 나뉩니다.
이때 관리자는 "Community 1"에서 "Security Gateway A"가 "Security Gateway C" 뒤의 일부 자원에만 접근하도록 제한하려 합니다. 그러려면 "Security Gateway C"에 커뮤니티별로 두 개의 암호화 도메인 ("Community 1"용·"Community 2"용)을 두고, 접근을 특정 암호화 도메인(네트워크 10.2.2.0/25)으로 한정합니다. 구성은 Star VPN Community 객체를 열어 Gateways > Center Gateways 에서 둘 이상의 커뮤니티에 참여하는 Center 게이트웨이(여기서는 "Security Gateway C")를 더블 클릭하고, VPN Domain 영역에서 Override 를 선택해 허용할 네트워크 객체(주소 10.2.2.0, 넷마스크 255.255.255.128)를 고른 뒤 OK 를 누릅니다.


예 2. 같은 구성에서 "Host 1"과 "Host 2" 사이를 양방향 으로 허용하려면, "Security Gateway C"의 암호화 도메인을 커뮤니티별로 바꿉니다.
| 커뮤니티 | 암호화 도메인 | 설치 대상 |
|---|---|---|
| "Community 1" | "Security Gateway C" 뒤 네트워크 + "Host 2" | "Security Gateway C", "Security Gateway A" |
| "Community 2" | "Security Gateway C" 뒤 네트워크 + "Host 1" | "Security Gateway C", "Security Gateway B" |
절차는 다음과 같습니다.
- "Security Gateway A"에 보여 줄, "Security Gateway C"의 암호화 도메인을 대표하는 새 호스트("Security Gateway B" 뒤의 "Host 2")를 만듭니다.
- "Security Gateway B"에 보여 줄, "Security Gateway C"의 암호화 도메인을 대표하는 새 호스트("Security Gateway A" 뒤의 "Host 1")를 만듭니다.
- "Community 1"용으로, "Security Gateway C"의 현재 암호화 도메인과 추가 호스트("Host 2")를 묶는 새 Network Group을 만듭니다.
- "Community 2"용으로, "Security Gateway C"의 현재 암호화 도메인과 추가 호스트("Host 1")를 묶는 새 Network Group을 만듭니다.
- "Community 1"에서 "Security Gateway C"의 암호화 도메인을 3단계 Network Group으로 바꿉니다.
- "Community 2"에서 "Security Gateway C"의 암호화 도메인을 4단계 Network Group으로 바꿉니다.
이 구성은 위성(Satellite) 게이트웨이가 목적지 호스트를 "Security Gateway C"의 암호화 도메인 일부로 착각 하게 만듭니다. 그래서 위성 게이트웨이는 중앙 게이트웨이로 보내는 패킷을 암호화하고, 중앙 게이트웨이는 그 패킷을 복호화·재암호화한 뒤 다른 위성 게이트웨이로 다시 라우팅합니다.
외부 관리 게이트웨이용 세분화 암호화 (Granular Encryption)
Externally Managed VPN Gateway 를 VPN 커뮤니티에 더할 때, 그 외부 게이트웨이는 커뮤니티와 다른 암호화 스위트(encryption suite) 를 쓸 수 있습니다. Granular Encryption 을 쓰면, 사용 중인 암호화 방식을 바꾸거나 커뮤니티를 쪼개지 않고도 다른 암호화 스위트를 쓰는 외부 관리 게이트웨이를 기존 커뮤니티에 참여 시킬 수 있습니다.

- VPN Community 객체를 엽니다.
- 왼쪽 트리에서 Encryption 을 클릭합니다.
- Override Encryption for Externally Managed Gateways 영역에서 + 버튼을 클릭하면 Granular Encryption 창이 열립니다.
- Encryption Context 영역에서 Granular Encryption을 쓸 게이트웨이를 지정합니다.
- Internal Gateway 필드 —
- \*Any : 이 커뮤니티에 참여하는 로컬 관리 게이트웨이 전부 가 외부 게이트웨이와 통신할 때 Granular Encryption을 씁니다.
- 특정 Security Gateway / Cluster 객체 : 선택한 게이트웨이만 Granular Encryption을 씁니다.
- Internal Gateway 필드 —