18용어 정리Glossary

VSX(Virtual System eXtension) 는 물리 장비 한 대(또는 클러스터) 위에 Security Gateway와 네트워크 장치들을 가상으로 올려 두는 체크포인트의 가상 네트워킹 솔루션입니다. 이 가상 장치들은 물리 장비와 똑같은 기능을 제공합니다.

VSX Gateway 는 그 VSX 가상 네트워크를 호스팅하는 물리 서버입니다. 모든 가상 장치를 담으며, 적어도 하나의 Virtual System을 갖는데 그것이 바로 VS0 입니다.

Virtual Device(가상 장치) 는 물리 네트워크 장치의 기능을 흉내 내는 논리 객체를 통칭하는 말로, Virtual System·Virtual Router·Virtual Switch 셋 중 하나입니다.

Virtual System(VS) 은 Security Gateway의 기능을 구현한 가상 장치, 곧 가상 방화벽입니다. Virtual Router(VR) 는 물리 라우터처럼 동작하는 가상 장치이고, Virtual Switch(VSW) 는 물리 스위치처럼 동작하는 가상 장치입니다.

Warp Link(WRP) 는 Virtual System과 Virtual Switch/Router 사이에 자동으로 생기는 논리 인터페이스입니다. 한편 Warp Jump는 같은 Virtual Switch나 Router에 연결된 두 Virtual System 사이에서, 한 VS 뒤 네트워크의 트래픽이 다른 VS 뒤 네트워크로 갈 때 Switch/Router를 거치지 않고 VS에서 VS로 곧장 "점프" 하는 동작을 가리킵니다.

Cluster(클러스터) 는 High Availability나 Load Sharing으로 이중화 구성된 둘 이상의 Security Gateway이고, 그중 하나의 게이트웨이를 Cluster Member(클러스터 멤버) 라 합니다.

VSLS(Virtual System Load Sharing) 는 Virtual System들의 트래픽을 서로 다른 Active 클러스터 멤버에 나눠 배정하는 VSX 클러스터 기술입니다.

Security Management Server(SMS) 는 단일 관리 도메인 안에서 객체와 정책을 관리하는 전용 서버이고, Multi-Domain Server(MDS) 는 Domain Management Server라 불리는 가상 관리 서버들을 호스팅하는 전용 서버입니다. Management Server 는 이 둘을 통칭하는 말입니다.

MDS 환경에서는 역할에 따라 이름이 갈립니다. Main Domain Management Server 는 VSX Gateway나 클러스터 객체를 설정한 Domain Management Server 이고, 이때 그 안의 Virtual System들은 다른 Domain Management Server에 정의됩니다. 반대로 Target Domain Management Server 는 Virtual System 객체를 설정한 Domain Management Server 이며, 이 경우 VSX Gateway·클러스터 객체는 다른(Main) Domain Management Server에 있습니다. MDLS(Multi-Domain Log Server) 는 MDS 환경에서 로그를 저장·처리하는 전용 서버입니다.

DMI(Dedicated Management Interface) 는 관리 트래픽 전용의 별도 물리 인터페이스 로, 관리 서버가 VSX Gateway에 직접 연결되는 통로입니다. 반대로 Non-DMI(Non-Dedicated Management Interface) 는 운영 트래픽과 공유하는 인터페이스인데, R80.40 이하에서만 지원되며 Virtual Router나 Switch가 필요했습니다(현재는 폐기).

SIC(Secure Internal Communication) 는 체크포인트 컴포넌트끼리 SSL로 서로를 인증하는 보안 통신 메커니즘 으로, 관리 서버의 ICA(Internal Certificate Authority)가 발급한 인증서에 기반합니다.

CoreXL 은 멀티코어 환경에서 여러 방화벽 인스턴스를 병렬로 돌려 성능을 높이는 기술입니다. 복제된 각 방화벽 커널을 CoreXL Firewall Instance 라 하며, 각 인스턴스가 하나의 CPU 코어에서 독립적으로 트래픽을 검사합니다. CoreXL SND(Secure Network Distributor) 는 네트워크 인터페이스에서 들어온 트래픽을 받아 방화벽 인스턴스들에 분배하는 부분으로, 출발지·목적지 IP와 프로토콜을 기준으로 연결을 정적으로 배정합니다. SecureXL 은 게이트웨이를 통과하는 트래픽을 가속하는 기술입니다.

Bridge Mode 는 기존 토폴로지에 손쉽게 끼워 넣기 위해 L2 브리지처럼 동작하는 Security Gateway나 Virtual System입니다.

Gaia 는 체크포인트의 보안 운영체제이고, Gaia Clish 는 그 기본 명령줄 셸(역할 기반으로 제한됨), Expert Mode 는 전체 root 권한을 주는 상위 셸, Gaia Portal 은 웹 인터페이스입니다.

다음은 VSX 전용은 아니지만 자주 등장하는 체크포인트 공통 용어입니다. Software Blade 는 특정 보안 기능 모듈을 가리키며, 게이트웨이에서는 트래픽의 특정 측면을 검사하고 관리 서버에서는 관리 기능을 제공합니다. 대표적인 게이트웨이 Blade로는 침입 방지의 IPS, 애플리케이션 제어의 Application Control(APPI), 웹사이트 접근 제어의 URL Filtering(URLF), 백신의 Anti-Virus(AV), 봇 차단의 Anti-Bot(AB), 정보 유출 방지의 DLP, 샌드박스 분석의 Threat Emulation(TE) 과 악성 콘텐츠 제거의 Threat Extraction(TEX), 신원 기반 제어의 Identity Awareness(IDA), SSL 검사의 HTTPS Inspection 등이 있습니다. 관리 도구로는 정책·장치·이벤트를 다루는 GUI인 SmartConsole, 정책의 규칙 묶음인 Rule Base, 그리고 Gaia OS 업데이트 엔진인 CPUSE 가 자주 쓰입니다.