목차/08. Multi-Domain Server와 함께 쓰기

08Multi-Domain Server와 함께 쓰기Using VSX with Multi-Domain Server

VSX는 Multi-Domain Server(MDS) 로도 관리할 수 있습니다. 이 챕터는 VSX 배포에만 해당하는 절차만 다루고, MDS 제품 자체에 대한 이해는 이미 있다고 전제합니다. MDS의 일반적인 개념과 절차는 Multi-Domain 가이드와 R82 Multi-Domain Security Management Administration Guide를 참고하면 됩니다.

Check Point Multi-Domain Server는 서비스 제공업체나 대기업처럼 서로 다른 도메인·부서·지사에 흩어진 여러 독립 네트워크를 한곳에서 중앙 관리하기 위한 솔루션입니다. 관리자는 MDS를 통해, 서로 다른 Domain·부서·지사에 속한 여러 독립 네트워크를 중앙에서 관리할 수 있습니다.

① SmartConsole ② Multi-Domain Server ③ Domain Management Server ④ Main Domain Management Server ⑤ VSX Gateway ⑥ 각 Domain Management Server의 Virtual System들
① SmartConsole ② Multi-Domain Server ③ Domain Management Server ④ Main Domain Management Server ⑤ VSX Gateway ⑥ 각 Domain Management Server의 Virtual System들

위 그림의 구성 요소는 다음과 같습니다.

번호구성 요소
1SmartConsole
2Multi-Domain Server
3Domain Management Server
4Main Domain Management Server
5VSX Gateway
6각 Domain Management Server에 속한 Virtual System들

MDS 자신은 이 네트워크들의 네트워크 관리·보안 정책 데이터베이스를 호스팅하는 중앙 관리 서버입니다. 독립된 각 도메인은 하나의 Domain 으로 표현되며, 이 Domain은 Security Gateway의 모든 기능을 그대로 제공합니다. 그리고 각 도메인을 실제로 관리하는 것이 Domain Management Server 인데, 이 Domain Management Server는 Virtual System·Virtual Router·Virtual Switch는 물론 물리 Check Point Security Gateway까지 호스팅할 수 있습니다.

여기서 역할에 따라 이름이 갈립니다. VSX Gateway나 클러스터를 관리하는 Domain Management Server를 Main Domain Management Server 라고 부릅니다. 하나의 MDS 위에 여러 게이트웨이와 클러스터를 올릴 수 있고, 한 도메인에 속한 Virtual System들이 여러 VSX Gateway와 클러스터에 흩어져 있어도 됩니다.

SmartConsole로 MDS에 연결하면 Domain과 Domain Management Server, 그리고 MDS 환경 전체를 중앙에서 관리할 수 있습니다. 다만 각 Domain Management Server는 MDS를 통해서만 접근되는 자기만의 SmartConsole 인스턴스를 쓰며, 이 인스턴스로 자신의 Virtual Device와 물리 게이트웨이를 프로비저닝하고 보안 정책을 다룹니다.

VSX 프로비저닝 — 도메인을 먼저 만든다

MDS 모델에서 VSX Gateway·클러스터·Virtual Device를 프로비저닝하고 설정하는 절차 자체는 앞서 본 Security Gateway 관리 모델과 본질적으로 같습니다. 가장 중요한 차이는, MDS에 연결한 SmartConsole에서 먼저 각 Domain과 그에 딸린 Domain Management Server 객체부터 만들고 설정해야 한다는 점입니다.

바꿔 말하면 하나의 Domain Management Server가 기능적으로는 하나의 VSX Gateway에 대응 합니다. 그 VSX Gateway의 네트워크 객체·보안 정책을 비롯한 다른 객체를 다루려면, 해당 Domain Management Server에 SmartConsole로 접속하면 됩니다.

MDS 배포에서 VSX 환경을 프로비저닝하는 기본 흐름은 다음과 같습니다.

  1. 배포 규모에 맞게 Multi-Domain Server 와 (필요하면) Multi-Domain Log Server 를 정의하고 설정합니다.
  2. VSX Gateway 또는 VSX Cluster마다 하나씩 Domain과 Domain Management Server 를 만들고 설정합니다.
  3. SmartConsole로 그 Domain Management Server에 접속해 VSX Gateway·VSX Cluster 객체 를 생성하고 설정합니다(VSX 구성 참고). 필요에 따라 이 객체들의 기본 보안 정책도 잡아 줍니다.
  4. 배포에 필요한 개별 Domain과 Domain Management Server 를 추가로 정의합니다.
  5. 각 Domain에 연결한 SmartConsole에서 그 도메인의 Virtual System과 나머지 Virtual Device 를 만들어 설정합니다(VSX 구성 참고).

Multi-Domain Server 정의하기

MDS 머신을 설치·배포하는 자세한 절차는 R82 Multi-Domain Security Management Administration Guide에 있습니다. MDS와 Domain Management Server 구성의 개념·상세 절차도 그 가이드를 참고하세요. 여기서는 VSX 관점에서 알아둘 점만 짚습니다.

  • 관리 High Availability 를 쓰려면 MDS 머신을 최소 두 대 정의해야 합니다.
  • 여러 MDS 머신을 두고 도메인마다 Domain Management Server를 둘 이상 두면 관리 트래픽을 분산(management Load Sharing) 할 수 있습니다. 이 Load Sharing 배포에서는 각 MDS마다 Domain Management Server를 하나씩 정의합니다.

Multi-Domain Server에서 Virtual Device 다루기

MDS에서 Virtual Device를 다룰 때는 반드시 해당 장치를 관리하는 Domain Management Server의 SmartConsole을 써야 합니다. 그 점만 빼면 설정 절차는 Security Management Server와 똑같고, MDS는 Virtual Device를 물리 장치와 동일하게 취급합니다.

라이선스가 허용하는 한 얼마든지 Virtual System을 Domain Management Server에 추가할 수 있으며, 한 Domain Management Server에 속한 Virtual System들이 같은 VSX Gateway나 클러스터에 있을 필요도 없습니다.

Domain Management Server에 Virtual System 추가하기

새 Virtual System을 Domain Management Server에 추가하려면 다음과 같이 합니다.

  1. 해당 Domain Management Server에서 SmartConsole을 실행합니다.
  2. Virtual System을 만들고 설정합니다(VSX 구성 참고).
  3. 보안 정책을 정의하고 설치합니다.

Domain Management Server에 Virtual Router·Virtual Switch 추가하기

Virtual Router와 Virtual Switch를 Domain Management Server에 추가하려면 다음과 같이 합니다.

  1. 해당 Domain Management Server에서 SmartConsole을 실행합니다.
  2. 필요에 따라 Virtual Router와 Virtual Switch를 만들고 설정합니다(VSX 구성 참고).