WatchGuard 시스템 관리자 Fireware 설정 매뉴얼 - HP서버, IBM서버 ...

WatchGuard System Manager접근 룰, 원천지, 목적지의 설정 ...... 92로깅 properties 설정하기 ...... 94static NAT 설정 ...... 95Advanced properties 설정하기 ...... 96Policy 순위 설정 ………………………… 987장 Proxied Policies의 설정 ………………………………………………… 101Ruleset의 정의 ………………………… 101룰셋 추가하기 ...... 102룰셋 세부사항 보기 ...... 103룰셋 순서 변경하기 ...... 103사용자에 맞는 Alarms, Logging, Notification 설정 ………………… 104프락시에 대한 로깅과 알림 설정 ...... 104알람, 로그, 알려주기에 대한 대화상자 사용하기 ...... 104SMTP Proxy 설정하기 ………………………… 105General settings의 설정 ...... 106ESMTP 파라미터의 설정 ...... 108인증 룰의 설정 ... 109Antivirus response 정의하기 ...... 110Deny 메시지 변경하기 ...... 110IPS(Intrusion Prevention System) 설정 ...... 111SMTP에 대하여 proxy와 AV 알람 설정하기 ...... 113FTP Proxy 설정 ………………………… 113General settings 설정 ...... 113FTP에 command 룰셋 정의하기 ...... 114FTP에 download 룰셋 설정하기 ...... 114FTP에 upload 룰셋 설정하기 ...... 115FTP에 침입방어 활성화하기 ...... 115FTP에 proxy 알람 설정하기 ...... 115HTTP Proxy 설정 ………………………… 115HTTP request의 일반설정 ...... 116HTTP responses의 일반설정 ...... 120HTTP responses의 헤더설정 ...... 121HTTP responses의 Content type 설정 ...... 122Cookies에 대한 HTTP responses의 설정 ...... 123HTTP body content type 설정 ...... 147Deny 메시지의 변경 ...... 1266

WatchGuard System ManagerIPSec 커넥션의 종료 ………………………… 213Mobil User VPN 라이센스의 추가 구입 ………………………… 214라이센스 키의 추가 ………………………… 21415장 PPTP로 RUVPN 설정하기 …………………………………………… 216설정 체크리스트 ………………………… 216암호화 수준 …… 216WINS와 DNS서버의 설정 ………………………… 217인증그룹에 새로운 사용자 추가하기 ………………………… 218들어오는 RUVPN 트래픽을 허용하도록 서비스 설정하기 ……………… 220개별 정책으로 설정하기 …… 220Any 정책 사용하기 … 221PPTP로 RUVPN 사용하기 ………………………… 222확장인증 활성화하기 …… 222RUVPN 세션에 IP주소 추가하기 ………………………… 222클라이언트 컴퓨터의 준비 ………………………… 223MSDUN 및 서비스 팩의 설치 …… 223Windows XP에서 RUVPN을 생성하고 연결 ………………………… 225Windows 2000에 PPTP RUVPN을 생성하고 연결 …………………… 225RUVPN을 실행시키고 인터넷 접속하기 ………………………… 225Firebox 뒷단에서 Outbound PPTP 연결 만들기 ……………………… 22611

WatchGuard System Manager4부. 방어력 증가시키기16장. 고급 네트워킹 …………………………………………………………… 228다수개의 WAN 지원에 대하여 ………………………… 228다수의 WAN 지원기능 설정하기 229Qos의 설정 ………………………… 230동적 라우팅 ………………………… 232RIP 사용하기 ………………………… 233RIP 버전1 …… 233RIP 버전2 …… 236OSPF의 사용 ………………………… 238OSPF 데몬 설정 …… 238Fireware를 OSPF를 사용하도록 설정하기 …… 241BGP 사용하기 ………………………… 24317장 웹사이트 접근 제어 ……………………………………………………... 249WebBlocker 시작하기 ………………………… 249정책에 WebBlocker Action 추가하기 ………………………… 250WebBlocker action의 설정 …… 250WebBlocker Action의 스케쥴링 ………………………… 25518장 Signature 기반 보안서비스의 활용 ………………………………… 256소프트웨어 라이센스의 설치 ………………………… 256Gateway AntiVirus for E-mail의 설정 ………………………… 257SMTP 프락시에 Gateway AntiVirus for E-mail 설정하기 ………… 259AntiVirus에 SMTP 프락시 추가하기 …… 259여러 개의 프락시에 Gateway AntiVirus for E-mail 사용하기 …… 261Gateway Antivirus for E-mail 상태와 업데이트 정보 가져오기 …… 262서비스 상태 보기 …… 262수동으로 signature 업데이트하기 …… 262Antivirus 프로그램의 업데이트 …… 263Gateway Antivirus E-mail 헤더에 대하여 ………………………… 263Gateway Antivirus for E-mail 활동상태 모니터링……………………… 264Gateway Antivirus for E-mail이 로그 메시지를 기록하도록 설정 … 264Gateway Antivirus for E-mail 로그메시지 읽는 방법 … 265Signature 기반 침입방지 서비스의 설정 ………………………… 26512

WatchGuard System Manager프락시에 Intrusion Prevention Service 설정하기 …………………… 266프락시에 침입방지 서비스 추가하기 …… 266고급 HTTP 프락시 기능의 사용 …… 269침입탐지 서비스의 상태와 업데이트 가져오기 ………………………… 270서비스 상태 보기 …… 270수동으로 signature 업데이트 하기 …… 27119장 High Availability ……………………………………………………… 272HA의 요건 ………………………… 272HA의 설정 ………………………… 274HA의 수동제어 ………………………… 275HA설정에서의 소프트웨어 업그레이드 ………………………… 276Signature 기반의 보안서비스에 HA사용하기 ………………………… 277패킷 필터 정책 ………………………… 278Any …… 278AOL …… 278Archie …… 278Auth …… 279Citrix ICA …… 279Clarent-gateway …… 280Clarent-command …… 280CU-SeeMe …… 281DHCP-Server/Client …… 281DNS …… 281Entrust …… 282Finger …… 282FTP …… 282Gopher …… 282GRE …… 283HTTP …… 283HTTPS …… 283HBCI …… 284IDENT …… 284IGMP …… 284IKE …… 285IMAP …… 285IPSec …… 28513

WatchGuard System ManagerIRC …… 285Intel Video Phone …… 285Keberos v4, Kerberos v5 …… 286L2TP …… 286LDAP …… 286LDAP-SSL …… 286Lotus Notes …… 284MSSQL-Monitor …… 287MSSQL-Server …… 287MS Win Media …… 287NetMeeting …… 287NFS …… 288NNTP …… 288NTP …… 288OSPF …… 289pcAnywhere …… 289ping …… 289POP2 와 POP3 …… 290PPTP …… 290RADIUS 와 RADIUS-RFC …… 291RADIUS-Accounting 과 RADIUS-ACCT-RFC …… 291RIP …… 291RSH …… 292RealPlayer G2 …… 292Rlogin …… 292SecurID …… 292SMB(Windows Networking) …… 292SMTP …… 293SNMP …… 294SNMP-Trap …… 294SQL *Net …… 294Sybase SQL-Server …… 294SSH …… 295SunRPC …… 295Syslog …… 296TACACS …… 296TACACS+ …… 29614

WatchGuard System ManagerTCP …… 296TCP-UDP …… 297UDP …… 297telnet …… 297Timbuktu …… 297Time …… 298Traceroute …… 298UUCP …… 298WAIS …… 299WinFrame …… 299WG-Auth …… 299WG-Firebox-Mgmt …… 299WG-Logging …… 300WG-Mgmt-Server …… 300MG-SmallOffice-Mgmt …… 300WG-WebBlocker …… 300Whois …… 300X11 …… 301Yahoo Messenger …… 301프락시 정책 ………………………… 301DNS …… 301FTP …… 302HTTP …… 302SMTP …… 303TCP Proxy(Outgoing) …… 304.15

WatchGuard System Manager1부. Fireware Pro 소개16

WatchGuard System Manager1장. 개요Fireware TM Pro는 WatchGuard의 차세대 일체형 보안 소프트웨어입니다. 일체형 소프트웨어란, 방화벽 하드웨어의 메모리에 응용프로그램이 장착되어 있는 것을 뜻합니다. Firebox는 설정 파일과 응용프로그램을 함께 사용하여 운용합니다. Fireware Pro 소프트웨어는 가장 복잡한 네트웍의 보안 정책까지 관리할 수 있는 뛰어난 기능을 제공합니다.특징과 기능Fireware Pro는 귀사의 네트웍에 많은 이점을 가져다 줄 것입니다.▪ Fireware를 위한 Policy ManagerPolicy Manager는 기본 관리업무를 처리하는데 하나의 인터페이스를 제공하며, 사용자는이를 사용하여 기본 설정 파일을 만들거나, FireBox의 초기 설정 파일을 수정할 수 있습니다. Policy Manager는 패킷 필터와 프락시의 사전 설정파일을 가지고 있습니다. 예로, 모든Telnet 트래픽에 패킷 필터를 적용하기 위해서는, 단순히 Telnet 패킷 필터를 추가만 하면됩니다. 또한 포트, 프로토콜이나 다른 파라미터를 설정하여 패킷 필터를 임의로 만들 수도있으므로, Firebox의 디폴트 패킷 핸들링 옵션을 잘 설정하면 SYN flood공격, spoofing,port space probe, address space probe를 막을 수 있습니다.FireBox System ManagerWatchGuard Firebox System Manager는 설치된 모든 FireBox와 현재의 행동을 감시할수 있는 하나의 인터페이스를 가지고 있습니다. 이를 통해 현재 FireBox의 상태를 관찰하고, 직접 FireBox에 연결하여 설정을 업데이트할 수 있습니다.동적 1:1 NATNAT는 IP와 포트변환의 한 방법으로 많이 사용되는데, 하나의 공인 IP를 많은 컴퓨터들이나누어 쓰기 위하여, 또는 LAN상에 있는 호스트의 사설 IP를 숨기기 위한 것이 대부분입니다.내부와 써드파티 인증서버Fireware에는 Firebox, RADIUS, SecureID, LDAP, Active Directory의 5가지 인증방식을사용할 수 있습니다.Signature기반의 침입탐지와 방지기능새로운 침입이 탐지되면, 바이러스나 공격을 규정짓는 해당 특징을 파악하고 기록하는데,17

WatchGuard System Manager이들 특징을 Signature라고 한다. 이메일에 대한 게이트웨이 안티바이러스와 Signature 기반 침입방어 서비스는 바이러스와 침입공격을 찾는데 Signature를 사용한다. 침입방지서비스는 모든 WatchGuard 프락시와 상호연동되며, WatchGuatd Gateway Antivirus for E-mail은 SMTP 프락시와 상호 연동됩니다.VPN 생성과 관리Fireware VPN기술은 여러 곳에 설치된 IPSec VPN터널들을 쉽게 설정, 관리, 감시하도록해주며, 늘어가는 다중 VPN터널 관리의 복잡함을 감소시켜줍니다.개선된 네트워킹 특징Fireware는 외부 또는 WAN 인터페이스로 최대 4개까지 설정할 수 있습니다. 여러 개의WAN 인터페이스를 사용하여 나가는 트래픽 양을 분배하는 등의 트래픽의 흐름을 조절할수 있으며, 더 나아가 Fireware의 QOS기능은 각각의 정책에 대한 우선순위와 대역폭을 설정할 수 있도록 되어있습니다. 또한 FireBox는 RIP, OSPF, BGP와 같은 동적 라우팅 프로토콜도 사용할 수 있는데, 이들 라우팅 프로토콜들은 라우팅 테이블을 동적으로 수정할 수있도록 해줍니다.웹 트래픽 필터링WebBlocker기능은 웹트래픽을 위한 필터를 적용하기 위해 HTTP프락시를 사용합니다. 이를 통해 사용자들이 웹에 접속할 수 있는 정확한 날짜와 시간을 선택하는 것과 같은 방법으로,웹사이트에 접속하는 사용자를 제어할 수 있으며, 또한 사용자들이 특정 웹사이트에 접속할 수 없도록 분류를 설정할 수도 있습니다.▪ 고 가용성(HA)고 가용성은 방화벽과 VPN 연결에 대한 안정적인 failover를 제공합니다. 이로써 다른FireBox가 정삭적인 작동을 하는 동안, 다른 하나의 FireBox의 연결을 끊고 작업을 할 수있는 것입니다.18

WatchGuard System Manager방화벽 사용자 인터페이스Fireware의 주요소는 정책관리자(Policy Manager)와 시스템관리자(System Manager)입니다.Policy Manager 창Policy Manager에는 Firebox를 관리하고 설정파일을 만들 수 있는 메뉴들이 있는데, 주메뉴와 옵션들은 다음과 같습니다.Edit 메뉴policy를 변경, 추가, 삭제합니다.Setup 메뉴• Firebox의 모델, 이름, 위치, 연락처, 시간대를 설정합니다.• 라이센스를 보고, 추가하고 다운로드합니다.• Alias를 추가, 수정, 삭제합니다.• 로그 호스트를 설정합니다.• 내부와 써드파티의 인증서버를 사용하도록 설정합니다.• 데이터 스트림이 적용가능한 특징에 맞을 때 실행할 절차를 정의할 수 있습니다.• 침입탐지와 방지를 설정합니다.• Signature 기반의 침입방지 시스템의 엔진과 Signature를 업데이트 합니다.• Network Time 프로토콜을 활성화하고 NTP서버를 추가합니다.• SNMP trap을 활성화하고 SNMP 관리 서버를 추가합니다.• Firebox의 전체적인 설정을 조정합니다.Network 메뉴• Firebox를 조정합니다.• 동적/1:1 NAT를 설정합니다.• 루트를 추가하고 볼 수 있습니다.19

WatchGuard System Manager• RIP. OSPF. BGP프로토콜을 사용하여 동적 라우팅을 설정합니다.• 고가용성을 설정할 수 있습니다.VPN 메뉴• 게이트웨이를 추가하고 볼 수 있습니다.• 터널, 인증, 암호화, IPSec에 대한 설정을 하고 볼 수 있습니다.• PPTP나 MUVPN을 사용하여 원격사용자를 추가할 수 있습니다.• Firebox를 관리대상 사용자로 활성화할 수 있습니다.Firebox System Manager 창System Manager를 사용하여 다음과 같은 것들을 볼 수 있습니다.• Firebox와 통과하는 트래픽의 상태• VPN 터널과 관리인증의 상태• Firebox의 특정 포트의 대역폭사용에 대한 실시간 그래프• Firebox에서 사용하는 기타 보안서비스의 상태Firebox System Manager 메뉴와 옵션은 다음과 같습니다.20

WatchGuard System ManagerView 메뉴• Firebox의 인증을 보여줍니다.• Firebox의 현 라이센스를 보여줍니다.• 통신로그를 보여줍니다.Tools 메뉴• Policy Manager를 열어 현재 Firebox의 설정을 보여줍니다.• 현재 Firebox에 연결되어있는 HostWatch를 열수 있습니다.• Firebox의 성능그래프를 볼 수 있습니다.• Firebox와 시스템 시각을 동기화합니다.• 현재 Firebox의 ARP cache를 초기화 시킵니다.• Firebox의 알람 메시지를 지웁니다.• 고가용성(HA) 옵션을 설정합니다.• Write 와 Read 비밀번호를 수정할 수 있습니다.21

WatchGuard System Manager2장Firebox 상태 모니터링WatchGuard Firebox System Manager는 Firebox의 모든 요소와 하는 일을 하나의 인터페이스로 관리하게 해줍니다. 이를 통해 현재 FireBox의 상태를 관찰하고, 직접 FireBox에연결하여 설정을 업데이트할 수 있습니다. 또한 다음과 같은 것들을 볼 수 있습니다.• Firebox를 통과하는 트래픽의 상태• VPN 터널과 관리인증의 상태• Firebox의 특정 포트의 대역폭사용에 대한 실시간 그래프• Firebox에서 사용하는 기타 보안서비스의 상태Firebox System Manager 시작하기Firebox System Manager를 시작하기 전에 먼저 WatchGuard System Manager에 Firebox를 추가하여야 합니다.Firebox로의 연결1. WatchGuard System Manager에서 ‘Connect to Device’ 아이콘을 클릭하거나,File > Connect To > Device를 선택하면 Firebox로의 연결 대화상자가 나타납니다. Firebox에 연결하거나, 대화상자를 취소할 수 있으며 나중에 연결할 수도있습니다.2. Firebox리스트를 클릭하여 선택합니다. Firebox이름 대신에 IP주소를 입력할수 있습니다.3. Firebox 상태 비밀번호를 입력합니다.4. ‘OK’를 클릭합니다. 이제 Firebox가 WatchGuard System Manager에 나타날것입니다.22

WatchGuard System ManagerWatchGuard System Manager 열기1. WatchGuard System Manager에서 ‘Device’탭을 선택합니다.2. WatchGuard System Manager로 확인할 Firebox를 선택합니다.3. Firebox System Manager아이콘을 클릭합니다.Firebox System Manager가 나타나면서 상태와 설정정보를 가져올 Firebox에 연결합니다.Firebox System Manager 메뉴와 툴바Firebox System Manager의 명령은 창 윗 부분의 메뉴에 들어 있습니다. 자주 쓰이는 메뉴는 툴바 버튼형식으로도 나와있습니다. 다음의 표가 각각의 메뉴와 버튼의 역할을 알려줍니다.23

WatchGuard System ManagerFirebox System Manager Menus상위메뉴 하위메뉴 기능FileSettingsFirebox System Manager 화면에 정보들을 어떻게 보여줄 것인지를 설정한다.Disconnect 현 Firebox로부터 연결을 끊는다ConnectFirebox와 연결한다.Reset현 Firebox System Manager 통계를 리셋 한다.RebootFirebox를 재부팅한다.Shutdown Firebox를 종료시킨다.CloseFirebox System Manager창을 닫는다.View Certificate Firebox상의 인증서를 보여준다.Licenses Firebox의 현재 라이센스를 보여준다.Communication 통신 로그파일을 연다.LogTools Policy Manager Firebox의 설정대로 Policy Manager를 연다.HostWatch 현 Firebox에 연결하여 HostWatch를 연다GraphsFirebox 성능그래프를 보여준다.Synchronize Firebox의 시간을 시스템 시간과 동기화한다.TimeClear ARP 현 Firebox의 ARP 캐쉬를 클리어한다.TableClear Alarm 현 Firebox의 알람 리스트를 클리어한다.High Availability 고가용성(HA) 옵션을 설정한다.ChangeRead와 Write 비밀번호를 변경한다.PassphrasesHelp Firebox SystemManager Help이 프로그램의 온라인 도움말파일을 연다.About버전 및 저작권 정보를 보여준다.24

WatchGuard System ManagerFirebox System Manager 툴바아이콘 기능화면 보여주기를 시작한다. 이 아이콘은 Firebox에 연결되어있지 않은 상태일 때에만 나타난다.화면 보여주기를 중지한다. 이 아이콘은 Firebox에 연결되어있을 때에만 나타난다.Firebox상의 관리 및 VPN 인증을 보여준다.이 Firebox에 등록/설치된 라이센스를 보여준다.Policy Manager를 보여준다. 설정파일을 만들거나 수정할 때 사용한다.HostWatch를 실행한다. 이 Firebox로의 연결을 보여준다.Firebox상태를 보여주는 그래프를 설정할 수 있도록 성능콘솔을 실행한다.Firebox System Manager와 Firebox간의 연결에 대한 통신로그 박스를 연다.화면의 갱신 간격과 잠시 멈춤의 설정Firebox System Manager의 화면하단부에 있는 모든 탭에는 갱신간격을 설정할 수 있도록드롭다운 리스트와 화면을 잠시 멈출 수 있는 버튼이 함께 있습니다. :Refresh Interval갱신간격은 말그대로 화면을 갱신하는 시간 간격을 뜻합니다. Firebox SystemManager가 Firebox의 정보를 가져오고 사용자 인터페이스에 최신 정보를 업데이트 해주는 시간 간격을 초단위로 설정할 수 있습니다. 사용자는 얼마나 자주 정보를 가겨와서 Firebox에 로딩시킬 것인지를 잘 결정해야 합니다. 각 탭마다Refresh Interval을 반드시 설정/확인해야 합니다. 화면에 새 정보를 로딩하는 동안Refresh Interval 드롭다운 리스트 옆에 “Refreshing…” 이라는 메시지가 나타납니다. 간격이 짧으면 정확한 정보를 주지만 Firebox에 부하를 가져옵니다. FireboxSystem Manager에서 새로운 값을 선택하려면 드롭다운 리스트를 사용하십시오.화면갱신이 이루어지는 중간에 값을 선택하십시오. 사용자는 5초, 10초, 30초, 60초,2분, 5분 중 선택할 수 있습니다. 또한 이 박스에 직접 임의의 값을 입력할 수도있습니다.25

WatchGuard System ManagerPause / ContinueFirebox System Manager의 화면갱신을 잠시 중지하려면 Pause버튼을 클릭하면됩니다. 그러면 그 버튼은 “Continue”버튼으로 바뀌게 되며, Continue버튼을 클릭하면 화면이 다시 갱신상태로 돌아가게 됩니다.기본적인 Firebox와 네트웍상태 보기Firebox System Manager의 전면패널 탭은 고객의 Firebox와 해당 네트웍, 네트웍 트래픽기본정보를 보여줍니다.Security Traffic 화면 사용하기Firebox System Manager는 기본적으로 Firebox 인터페이스간의 트래픽 방향과 양을 보여주는 표시그림의 그룹을 가지고 있습니다. 이는 삼각형(좌하단) 또는 성형(중하단, 우측)이될 수 있습니다.삼각형설정한 Firebox 인터페이스가 3개라면, 삼각형의 각 노드는 하나의 인터페이스에해당할 것이나, 3개 이상이라면 각 노드는 인터페이스의 한 유형을 표시할 것입니다. 예로, 고객이 6개의 인터페이스를 설정해야 하는데, 그 대상이 하나의 external,하나의 trusted, 네개의 선택가능한 인터페이스라면 삼각형의 “All-Optional”노드가네개의 선택가능한 인터페이스를 표시할 수 있습니다.26

WatchGuard System Manager성형성형은 중앙 인터페이스 안팎의 모든 트래픽을 보여줄 수 있다. 중앙의 인터페이스에서 노드에 위치한 인터페이스로 그려지는 화살표의 의미는 Firebox를 통과하는 트래픽이 중앙의 인터페이스를 통하여 들어와 노드의 인터페이스로 나가는 흐름을 가진다는 것이다.INSERT GRAPHIC화면을 변화시키려면 오른버튼을 눌러 “Triangle Mode” 와 “Star Mode” 중 하나를선택하십시오.상태정보 모니터링하기삼각형과 성형의 꼭지점은 트래픽이 인터페이스를 통하여 흐른다는 것을 보여줍니다. 각 점은 다른 화살표를 통하여 들어오고 나가는 연결상태를 보여줍니다.두 인터페이스 간에 트래픽이 흐를 때, 화살표는 트래픽의 방향대로 그려집니다.성형 그림에서, 점들이 모여 있는 곳은 다음 두가지 중 하나의 상태로 표시됩니다.• 적색 (deny ) – Firebox가 그 인터페이스로의 연결을 거부함.• 녹색(allow) – 이 인터페이스와 다른 인터페이스(중앙의 것은 제외)사이에 트래픽이 흐름. 이 인터페이스와 중앙의 것 사이에 트래픽이 있을 때에는, 이들 인터페이스 사이의 점이 녹색 화살표로 그려집니다.삼각형 그림에서는, 각 꼭지점에서 네트웍 트래픽이 나타나는데, 각 점은 idle또는 deny상태로만 표시될 수 있습니다.중앙 인터페이스의 설정만약 성형 그림을 사용한다면 인터페이스를 중앙에 나타나도록 조정할 수 있습니다. 인터페이스 이름이나 점을 클릭하면 인터페이스가 성형그림의 중앙으로 옮겨질 것입니다. 다른 인터페이스들은 시계방향으로 옮겨집니다. 인터페이스를 성형의 중앙으로 옮기면 그 인터페이스와 다른 것들 간에 오가는 모든 트래픽을 관찰 할 수 있게 됩니다. 디폴트로는 external인터페이스가 중앙에 오도록 되어있습니다.트래픽, 부하, 상태의 모니터링Security Traffic Display에는 트래픽량 표시기, 프로세서 부하량 표시기, 기본 상태정보(Detail)가 나타납니다. 두개의 바 모양 그래프는 네트웍 트래픽 량과 Firebox 용량을 나타27

WatchGuard System Manager냅니다.Firebox와 VPN 터널 상태Firewall System Manager의 전면 패널 우측에 있는 섹션에는 다음의 정보들이 나타납니다.• Firebox의 상태• 지점 VPN터널• 휴대 사용자와 PPTP VPN터널Firebox 상태Firebox Status섹션에서는 다음을 볼 수 있습니다.:• 고가용성(HA) 상태. 올바른 설정이 되어있을 때 standby Firebox의 IP주소가나타납니다. 만일 고가용성(HA)이 설치되어있으나 secondary Firebox에 네트웍연결이 되어있지 않으면 “Not Responding” 메시지가 나타납니다.• 각 Firebox인터페이스의 IP주소와 external 인터페이스의 설정모드• CA인증(root)과 IPSec 인증(클라이언트)의 상태Firebox 상태섹션의 값을 확장하면 다음을 볼 수 있습니다.:28

WatchGuard System Manager• 디폴트 게이트웨이의 IP주소와 넷마스크• 각 인터페이스의 Media Access Control(MAC)값• Firebox를 마지막으로 재시작한 이후의 주고받은 패킷수• CA와 IPSec인증의 종료일시• CA 지문. Man-in-the-middle공격을 찾는데 이를 사용합니다.• 물리적 연결상태 (색이 어두운 아이콘은 연결이 다운되었음을 나타냅니다.)지점 VPN터널아래의 Firebox상태 섹션은 BOVPN 터널들을 보여줍니다. IPSec BOVPN 터널에는 수동으로 만들어진 터널과 관리서버에서 만들어진 터널의 두 가지가 있습니다. 하단 그림은 BOVPN 터널의 확장 엔트리를 보여줍니다.보이는 정보는 다음과 같습니다.(위에서 아래순서로):• 목적지 IPSec 디바이스(다른 Firebox, Firebox X Edge, SOHO)의 터널 명, IP주소• 터널상에 송수신된 데이터의 양을 바이트와 패킷단위로 보여줍니다.• 키가 만료되기 전의 시간과 터널이 다시 셋업되어야 할 때의 시간을 보여줍니다.이는 시간제한과 바이트 볼륨에 따라 나타나는데, 만약 시간 제한과 바이트 형식의 볼륨을 사용하여 VPN 터널 만료 조건을 설정했을 때에는 두가지 값이 모두 나타난다.• 터널에 대한 인증과 암호화 설정• 터널의 라우팅 룰원격 사용자 VPN터널지점 VPN의 터널은 원격 사용자 VPN터널에 대한 값을 가지는데 이는 휴대사용자VPN (IPSec사용) 또는 PPTP사용자 VPN터널이 될 수 있습니다. 만일 터널이 휴대사용자 VPN일 때 값은 BOVPN과 같은 정보를 보여줍니다. 이 정보는 터널명, 목적지 IP주소, 터널 타입, 패킷정보, 키 만료날짜, 인증, 암호화 정보를 포함합니다.만일 사용자가 PPTP를 사용한다면, Firebox System Manager는 단지 송수신된 패킷양만을 보여줄 것입니다. 바이트단위로 양이나 총 볼륨을 보여주는 것은 PPTP터널에는29

WatchGuard System Manager적용되지 않습니다.트리뷰의 확장 및 축소트리뷰의 값 옆의 (+)표시를 클릭하거나 값 명을 더블클릭하면 해당 항목이 확장되며,(-)표시를 클릭하면 항목이 축소됩니다. +나 –표시가 없는 항목은 보여줄 정보가 없다는 것을 뜻합니다.Firebox Traffic 모니터링Firebox 로그를 보려면 Traffic Monitor 탭을 선택합니다.최대 수용할 수 있는 로그메시지의 양의 설정Traffic Monitor에서 유지 및 확인할 수 있는 로그메시지의 최대량을 설정할 수 있습니다.로그메시지의 수가 최대값에 도달하면 새로운 메시지가 가장 오래된 것을 대체합니다. 만약프로세서가 느리거나 RAM의 용량이 작은 경우, 저장 로그메시지의 양을 크게 설정하면 관리시스템에 큰 부하를 줄 수 있습니다.1. Firebox System Manager에서 File > Settings. 설정창이 나타납니다.30

WatchGuard System Manager2. Traffic Monitor에 나타나는 로그메시지의 양을 변경하려면 Maximum LogMessages 드롭다운 리스트를 사용하십시오. 단위는 ‘천’입니다.로그메시지의 색상Traffic Monitor에서 로그 유형별로 색상을 달리 설정하여 관리할 수 있습니다.1. Firebox System Manager에서 File > Settings. Traffic Monitor 탭을 클릭하십시오.2. 색상을 보이게 하려면 “Show Logs in Color” 체크박스를 클릭하시면 됩니다.3. Alarm, Traffic, Event, Debug 탭에서는 색상을 가지고 표시될 필드를 클릭하십시오. 탭의 오른쪽에 있는 글자색 필드가 해당필드가 색상 옵션을 사용하는지를 보여줄 것입니다.4. 색상을 변경하려면 Text Color옆의 색상조정 버튼을 클릭하여 색상을 선택하면 됩니다. 색상조정 대화상자를 닫으려면 OK를 클릭하십시오. 설정창을 닫으려면 OK를다시 클릭하십시오. 여기서 조정된 필드정보는 Traffic Monitor에서 새로운 색상으로 적용되어 나타나게 됩니다. Traffic Monitor의 모습의 미리보기가 대화상자의 밑부분에 나타날 것입니다.5. 또한 traffic Monitor의 배경색도 선택할 수 있는데, 배경색 옆에 있는 색상조정 화살표를 클릭하여 색상을 선택하시면 됩니다. 대화창을 닫으려면 OK를 클릭하고, 설정창도 닫으려면 다시 OK를 클릭하면 됩니다.6. Restore Defaults를 클릭하면 변경사항이 취소됩니다.로그메시지의 복사로그메시지를 복사하여 다른 곳에 붙이려면, 해당메시지에서 오른쪽 마우스클릭을 하여Copy Selection을 선택합니다. 만일 Copy All을 선택하면 Firebox System Manager는 모31

WatchGuard System Manager든 로그메시지를 복사할 것입니다. 그런 후에 다른 툴을 열어 메시지를 붙이면 됩니다.전체가 아닌 복수 개의 메시지를 복사하려면 WatchGuard System Manager 사용자가이드에서 설명한 것처럼, Log Viewer를 사용하여 파일을 불러 온후 Log Viewer 복사기능을 사용하면 됩니다.트래픽 로그 메시지에 대하여 더 알아보기트래픽 로그 메시지에 대해 더 알아보기 위해 다음과 같이 할 수 있습니다.:근원지와 목적지의 IP 주소 복사하기트래픽 로그메시지의 근원지 또는 목적지의 IP주소를 복사하여 다른 소프트웨어로 붙여넣기 할 수 있습니다. 근원지 IP주소를 복사하려면 메시지에서 오른쪽 버튼을 클릭하여 Source IP Addess > Copy Source IP Adress 를 선택합니다. 마찬가지로 목적지 IP주소를 복사하려면 메시지에서 오른쪽 버튼을 클릭하여 DestinationIP Addess > Copy Destination IP Adress 를 선택합니다.근원지와 목적지로 Ping 실행하기트래픽 로그 메시지의 근원지 또는 목적지의 IP주소로 Ping을 실행하려면 다음과같이 하면 됩니다. : 메시지를 오른쪽 마우스버튼 클릭하여 Source IP Address >Ping 을 실행하거나 Destination IP Address > Ping을 선택하면 실행결과가 팝업창으로 나타날 것입니다.근원지와 목적지의 경로 추적하기트래픽 로그 메시지의 근원지 또는 목적지의 IP주소로 traceroute 명령을 사용하려면 다음과 같이 하십시오. : 메시지에서 마우스 오른 버튼을 클릭하여 Source IPAddress > Trace Route또는 Destination IP Addess > Trace Route을 선택하면 실행결과가 팝업창으로 나타날 것입니다.근원지와 목적지 IP주소를 임시로 막기트래픽 로그 메시지의 근원지 또는 목적지IP주소로부터 들어오는 전체 트래픽을잠시 차단하려면 : 메시지에서 마우스 오른 버튼을 클릭하여 Source IP Address >Block : [IP address] 또는 Destination IP Address > Block : [IP address]를 선택하십시오. IP주소가 차단될 기간은 Policy Manager에서 설정할 수 있습니다. 이 명령을 사용하기 위해서는 설정 명령어를 반드시 입력해야 합니다.ARP Cache의 클리어Firebox의 ARP(Address Resolution Protocol) 캐쉬는 TCP/IP 호스트의 하드웨어주소(MAC주소)를 기억합니다. ARP 요청이 시작되기 전에 시스템은 하드웨어주소가 캐쉬에 있는지 먼저 확인합니다. 설치된 네트웍이 drop-in설정인 경우 Firebox의 ARP캐쉬를 반드시32

WatchGuard System Manager클리어 해야합니다.1. Firebox System Manager에서 Tools > Clear ARP Cache 를 선택합니다.2. Firebox설정 비밀문구를 입력합니다.3. OK를 클릭합니다. 이로써 캐쉬 입력값은 클리어됩니다성능콘솔 사용하기성능콘솔은 Firebox의 각 부분이 어떻게 작동하고 있는지를 그래프로 보여주는 Firebox의유틸리티입니다. 정보를 수집하기 위해서는 사용자가 그래프를 만드는데 필요한 정보를 파악하는 counter를 정의해야 합니다.Counter의 유형다음과 같은 종류의 성능 counter를 모니터링할 수 있습니다. :System Information사용중인 CPU 상태를 보여준다.Interfaces선택한 인터페이스의 상태를 모니터하고 보고서화할 수 있습니다. 예를 들어 특정 인터페이스로 받은 패킷량을 모니터링하도록 counter를 설정할 수 있습니다.Policies선택한 룰의 상태를 모니터하고 보고서화 할 수 있습니다. 예를 들어 특정 룰이검사한 패킷량을 모니터링하도록 counter를 설정할 수 있습니다.VPN Peers선택한 VPN 룰의 상태를 모니터하고 보고서화할 수 있습니다. 예를 들어 특정룰이 검사한 패킷량을 모니터링하도록 counter를 설정할 수 있습니다.Tunnels선택한 VPN 터널의 상태를 모니터하고 보고서화할 수 있습니다. 예를 들어 특정룰이 검사한 패킷량을 모니터링하도록 counter를 설정할 수 있습니다.Counter 정의하기어떤 카테고리에 대한 카운터를 설정하는 방법은 다음과 같다.:1. Firebox System Manager에서 Performance Console아이콘을 클릭하면 성능콘솔창이 나타납니다.2. Performance Console 창에서 Available Counter하부에 나와있는 카운터 카테고리중 하나를 확장합니다. 카테고리명 옆의 +표시를 클릭하면 해당 카테고리에가능한 카운터들을 보여줍니다. 카운터를 클릭하면 관련된 카운터 설정 필드가자동으로 갱신됩니다.33

WatchGuard System Manager3. 새로운 창에 그래프를 띄워보려면 Chart Window의 드롭다운 리스트에서 NewWindow를 클릭하거나, 열려진 창에 그래프를 추가할 창의 이름을 선택합니다.4. Poll Interval 드롭다운 리스트에서 시간간격을 5~60초 가운데에서 선택합니다.이것은 Firebox에서 새로운 정보를 폴링하는 주기를 말합니다.5. 선택한 카운터에 맞는 설정정보를 추가합니다. 이 필드들은 특정 카운터를 선택했을 때 자동으로 나타나게됩니다.- Type – 드롭다운 리스트를 사용하여 생성할 그래프 타입을 선택합니다.- Interface – 드롭다운 리스트를 사용하여 그래프를 그릴 인터페이스를 선택합니다.- Policy – 드롭다운 리스트를 사용하여 Firebox 설정 가운데에서 그래프데이터를 그릴 룰을 선택합니다.- Peer IP – 드롭다운 리스트를 사용하여 그래프 데이터를 그릴 VPN endpoint의 IP 주소를 선택합니다.- Tunnel ID – 그래프를 그릴 VPN 터널 이름을 선택합니다.34

WatchGuard System Manager6. 이 카운터의 실시간 그래프를 시작하려면 Add Chart를 클릭합니다.-------------------------- 주 의 -----------------------------------이 성능 그래프는 CPU사용량을 보여줍니다. 같은 방법으로 다른 기능에 대해 그래프를 만들 수 있습니다.---------------------------------------------------------------------활성화된 카운터의 폴링 간격을 수정하려면 다음과 같이 합니다.:1. 성능콘솔 창의 우하단부에 있는 Active Counters대화창안의 카운터명을 선택합니다.2. 새 폴링 간격을 설정하기 위해 Poll every 드롭다운 리스트를 사용합니다.3. Apply를 클릭합니다. 새로운 폴링간격에 따라 실시간 차트 창이 갱신됩니다.활성화된 카운터를 제거하려면 다음과 같이 합니다. :1. 성능 콘솔 창의 우하단에 있는 Active Counters의 카운터명을 클릭합니다.2. Remove를 선택합니다.성능그래프 보기그래프들은 실시간 차트창에서 볼 수 있습니다. 하나의 창에는 하나이상의 그래프를 나타나게 할 수 있습니다. 그래프 눈금은 데이터에 맞추어 자동적으로 맞추어집니다.Performance Console에서 카운터로 데이터를 수집하는 것을 멈추려면 Stop Monitoring을클릭하십시오. 시스템 리소스를 절약하기 위해 모니터링을 중지했다가 나중에 다시 재개할수 있습니다. 차트창을 닫으려면 Close를 누르면 되는데 이때 차트의 데이터는 저장되지 않35

WatchGuard System Manager습니다.Bandwidth Usage 보기모든 Firebox 인터페이스의 실시간 대역복을 보기 위하여 Bandwidth Meter를 선택하십시오. 차트 위를 클릭하면 클릭한 지점에 대한 대역폭 사용에 대한 자세한 정보를 즉시 팝업창으로 볼 수 있다.대역폭 보여주는 방법을 바꾸려면 다음과 같이 하면 됩니다.:1. Firebox System Manager에서 File > Settings를 클릭한 후 Bandwidth Meter 탭을다시 클릭합니다.36

WatchGuard System Manager2. 다음 섹션에서 하나 이상의 단계를 실행하십시오.대역폭 보여주는 눈금을 바꾸는 법Bandwidth Meter 탭의 눈금을 바꾸려면, Graph Scale 드롭다운 리스트를 사용하여 사용하는 네트웍 속도에 가장 맞는 값을 선택할 수 있으며, 또는 임의의 값을Custom Scale 텍스트 박스에 초당 킬로바이트 값을 입력합니다.대역폭 화면에서 선을 추가하거나 삭제하는 법1. Bandwidth Meter 탭에 선을 추가하기 위해서는 Color Setting 섹션의 Hide리스트에서 인터페이스를 선택합니다. Text Color 콘트롤을 사용하여 선 색을 선택한 후 Add를 클릭합니다. 인터페이스명이 Show리스트에 새로 선택한 색상으로 나타납니다.2. Bandwidth Meter탭에서 선을 삭제하려면 Color Settings 섹션의 Show 리스트에서 인터페이스를 선택한 후 Remove를 클릭합니다. 인터페이스명이Hide리스트에 나타납니다.대역폭 화면에서 색상 바꾸기Bandwidth Meter탭의 화면 색상을 바꿀 수도 있는데, Background와 Grid Line색상 컨트롤 박스를 사용하여 새로운 색상을 선택하시면 됩니다.대역폭 화면에서 인터페이스 보여주는 형식 바꾸기Bandwidth Meter 탭 좌측에 인터페이스명을 어떻게 보여줄지 바꾸는 옵션이 있는데, 인터페이스명이 드롭다운 리스트에 나타납니다. 라인 옆에 해당 인터페이스명을 보여줄 수 도 있으며 List나 Tags를 선택하기 위해 드롭다운 리스트로 Showthe interface text를 사용할 수도 있습니다.Policy당 커넥션 수 보기네트웍 상에 설정된 polo=icy에 대한 그래프를 보려면 Firebox System Manager의Service Watch 탭을 클릭한다. Y축은 커넥션 수를, X축은 시간을 보여줍니다. 차트를 클릭하면 그 시각의 해당점에 사용되는 policy에 대한 더욱 자세한 내용을 팝업창으로 볼 수 있습니다.37

WatchGuard System Manager1. policy가 보이는 형식을 바꾸려면 File > Settings를 선택한 후 Service Watch 탭을 클릭합니다.2. 다음 섹션의 하나 이상의 단계를 실행합니다.Policy화면의 눈금 바꾸기Service Watch 탭의 눈금을 바꾸려면 Graph Scale 드롭다운 리스트를 사용하여 네트웍 트래픽 양에 가장 잘 맞는 값을 고르면 됩니다. 또한 사용자 임의의 눈금치로 바꿀수도 있는데 Custom Scale 텍스트박스에 눈금치를 직접 입력하면 됩니다.Policy 화면의 라인을 추가하거나 삭제하기1. Service Watch탭에 라인을 추가하려면 Color Settings 섹션엣 있는 Hide 리스트에서 policy를 고른 후에 라인 색상을 Text Color컨트롤로 선택하여 Add를클릭합니다. 선택한 색상으로 Show 리스트에 인터페이스명이 나타납니다.38

WatchGuard System Manager2. Service Watch탭에서 라인을 제거하려면 Color Settings 섹션의 Show 리스트에서policy를 선택한 후 Remove를 클릭합니다.Policy화면에서 색상 바꾸기Service Watch탭의 화면 색상을 바꾸려면 Background와 Grid Line 색상 컨드롤박스를 사용하여 바꿀 수 있습니다.Policy화면에 나타나는 policy이름 바꾸기Service Watch탭의 왼쪽에 policy이름을 보여주는 형식을 바꿀 수 있습니다. 라인 옆에 해당 인터페이스 이름을 보여줄 수도 있는데, Show the policy labels as 옆의 드롭다운 리스트에서 List나 Tags중 고르면 됩니다.Policy또는 Rule에 따른 연결 보여주기Service Watch탭에서 connection수를 policy나 rule에 따라 다르게 보여줄 수 있습니다. Policy 설정을 통해 하나 이상의 룰을 하나의 선으로 같이 보여줄 수 있습니다.Display설정을 위해 Show connections by항목의 드롭다운 리스트를 사용하시면 됩니다.Firebox 상태에 대한 정보 보기Firebox의 상태와 설정을 알려주는 탭은 네가지가 있는데 다음과 같습니다. : Status Report,Authentication List, Blocked Sites, Security ServicesStatus ReportStatus Report탭에서는 Firebox의 트래픽에 대한 통계를 보여줍니다.39

WatchGuard System ManagerFirebox Status Report는 다음의 정보를 보여줍니다.▪ Update and version informationFirebox uptime, WatchGuard Firebox System 소프트웨어의 버전, Firebox의 모델과 응용프로그램 버전이 포함됩니다. 또한 Firebox를 운용하는 제품컴포넌트들의상태와 버전의 리스트도 포함됩니다.▪ Log hostsLog host들의 IP주소들▪ Logging options로깅에 대한 옵션은 Quick Setup Wizard 나 Policy Manager를 사용하여 설정할수 있습니다.▪ Memory and load averageFirebox의 현재 메모리 사용량( byte단위 )과 부하량의 통계▪ Processes다음 페이지의 그림에서와 같이 프로세스 ID, 프로세스명, 프로세스 상태를 보여줍니다.(이 코드들은 “S.”로 표시된 열에 나타나 있습니다.▪ Network configuration인터페이스 명, 하드웨어와 소프트웨어의 주소, netmask와 같은 Firebox의 네트웍카드 정보를 나타냅니다. 또한 로컬 라우팅정보와 IP alias도 보여줍니다.▪ Blocked Sites listBlock 설정한 사이트와 예외사이트, 임시로 Block된 사이트들이 Blocked Sites 탭에 나타납니다.▪ Interfaces이 섹션에서는 각 네트웍 인터페이스가 보이는데 각 인터페이스가 external,trusted, option등 어떤 타입으로 설정되어있는지, 각각의 상태와 필터링하는 패킷수등의 정보를 보여줍니다.▪ RoutesFirebox 커널 라우팅 테이블로서, Firebox가 목적지 주소에 따라 어떤 인터페이스를 사용할 것인지를 결정하기 위해 이것을 사용합니다.▪ ARP tableFirebox의 IP 주소와 하드웨어 주소를 매치시키는 ARP테이블을 보여줍니다.▪ Dynamic Routing어떤 동적 라우팅 컴포넌트가 사용되고 있는지를 보여줍니다.▪ SupportSupport를 클릭하면 Support Logs 대화창이 열리는데, 진단 로그파일을 어디에 저장할지를 결정할 수 있으며, 지원로그를 tarzipped(*.tgz)형식으로 저장할 수 있습니다. 이 파일을 생성하면, 문제 해결시에 지원팀에 제시하여 편리하게 이용할 수있습니다.40

WatchGuard System ManagerAuthentication ListFirebox System Manager의 인증 리스트 탭에서는 Firebox에 인증 받은 모든 사용자의 이름과 IP주소를 볼 수 있습니다. 만일 DHCP를 사용한다면 컴퓨터가 시작될 때마다 다른IP 주소가 나타날 것입니다. 열 제목을 클릭하면 IP주소나 사용자 명으로 정렬할 수 있으며사용자명 위에서 마우스 오른버튼을 클릭하여 인증된 사용자를 제거하거나 인증 세션을 중단시킬 수도 있습니다.Blocked SitesFirebox System Manager의 Blocked Sites List 탭은 block된 모든 external IP주소를 보여줍니다. 다음과 같은 경우에 Blacked Sites 탭에 IP주소를 추가합니다. : port spaceprobe, 스푸핑, address space probe, 그 외에도 사용자가 설정한 내용에 따라 결정됩니다.각 IP주소 옆에는 Blocked Sites탭으로 등록된 시간이 나타납니다. 사용자는 리스트에 IP주소가 등록되어 있을 기간을 조정하기 위하여, Policy Manager에서 Blocked Sites 대화상자를 사용할 수 있습니다.사이트를 등록, 제거하기IP주소를 리스트에서 제거하려면 해당항목 위에서 마우스 오른쪽 버튼을 클릭한 후Remove Blocked Site를 선택합니다. 이때 툴바의 Continue버튼이 활성화 되어있으면Blocked Sites탭이 계속 최신정보로 업데이트되므로, 리스트의 사이트를 클릭하려면 먼저업데이트모드를 중지시켜야 합니다. Add를 클릭하면 해당 사이트는 blocked sites리스트에추가됩니다. Blocked site로 추가된 사이트를 일정기간 후에 삭제하려면 ChangeExpiration을 클릭하여 조정하고, Delete를 클릭하면 그 즉시 blocked sites list에서 삭제됩니다. 상태 패스워드로 Firebox를 열면 리스트에서 사이트를 삭제하기 전에 반드시 설정패스워드를 입력해야 합니다.41

WatchGuard System ManagerSecurity ServicesSecurity Services 탭은 Gateway Antivirus(안티바이러스)와 Intrusion Prevension (침입방지)서비스에 대한 정보를 보여줍니다.Gateway AntivirusE-mail에 대한 Gateway Antivirus에 대한 정보를 나타냅니다.Activity since last restart- Files scanned : Firebox가 마지막으로 재 시작된 이후에 바이러스를 찾기위해 스캐닝된 파일 개수- Viruses found : Firebox가 마지막으로 재 시작된 이후에 스캔된 파일중 발견된 바이러스 수- Viruses cleaned : Firebox가 마지막으로 재 시작된 이후에 바이러스감염을이유로 삭제된 파일 수42

WatchGuard System ManagerSignature- Installed version : 설치된 Signature 버전- Last update : 최신 Signature로 업데이트된 마지막 날짜- Version available : 최신버전의 Signature가 나와있는지의 여부- Server URL : 최신 업데이트가 가능할 때 Firebox가 다운로드 해올 수 있는 URL주소.- History : 클릭하면 Signature 업데이트에 대한 지난 기록을 볼 수 있습니다.- Update : 클릭하면 바이러스 Signature를 업데이트할 수 있습니다. 이 버튼은 현재의 것보다 새로운 버전이 다운로드 가능할 때에만 활성화됩니다.Intrusion Prevention ServiceSignature 기반의 침입방어 서비스기능에 대한 정보를 보여줍니다.Activity since last restart- Scans performed : Firebox가 마지막으로 재 시작된 이후에 공격을 찾기위해 스캐닝된 파일 개수- Intrusions detected : Firebox가 마지막으로 재 시작된 이후에 탐지된 공격수- Intrusions prevented : Firebox가 마지막으로 재 시작된 이후에 방어처리된공격수Signatures- Installed version : 설치된 Signature 버전- Last update : 최신 Signature로 업데이트된 마지막 날짜- Version available : 최신버전의 Signature가 나와있는지의 여부- Server URL : 최신 업데이트가 가능할 때 Firebox가 다운로드 해올 수 있는 URL주소.- History : 클릭하면 Signature 업데이트에 대한 지난 기록을 볼 수 있습니다.- Update : 클릭하면 침입 방어 Signature를 업데이트할 수 있습니다. 이 버튼은 현재의 것보다 새로운 버전이 다운로드 가능할 때에만 활성화됩니다.HostWatch 사용하기HostWatch는 그래픽 UI로 trusted와 externel네트웍 구간 사이의 커넥션을 보여줍니다. 또한 사용자, 커넥션, 네트웍 주소변환(NAT)에 대한 정보도 보여줍니다. 근원지와 목적지 호스트간을 연결하는 선은 커넥션 타입을 알려주는 각각의 선의 색상으로 표시할 수 있으며,사용자는 그 색상을 바꿀 수 있습니다. 디폴트 색상은 다음과 같습니다.:• 적색 – Firebox가 커넥션을 거부함.(Deny)43

WatchGuard System Manager• 청색 – 프락시를 이용한 커넥션.• 녹색 – Firebox가 커넥션을 맺기 위해 NAT를 이용함.• 흑색 – Normal 연결(공인 ip로 연결)HTTP, Telnet, SMTP, FTP에 해당하는 서버 옆에 서비스타입을 보여주는 아이콘들이 나타납니다. HostWatch를 처음 시작하면 도메인 네임 서버(DNS) resolution 가 즉시 작동되지는 않습니다. HostWatch가 DNS resolution을 실행하도록 설정이 되고 나면 그때부터 IP주소를 호스트나 사용자명으로 변환합니다. 만일 Firebox가 호스트나 사용자명을 파악하지 못하면 HostWatch창에 IP주소가 그대로 남게됩니다.HostWatch로 DNS resolution을 사용하게 되면 관리서버가 수많은 NETBIOS(UDP 137)패킷을 발생시켜 Firebox를 통과시킬 수 있는데, 이런 일을 사전에 막으려면 Windows에서TCP/IP로 NETBIOS를 사용하지 않게 설정하면 됩니다.하십시오.HostWatch를 시작하려면 Firebox System Manager에서 HostWatch 아이콘을 클릭HostWatch 창HostWatch의 윗부분은 두 부분으로 나뉘어있는데 사용자는 좌측 인터페이스를 임의로 설정할 수 있고, 우측은 그것을 제외한 모든 다른 인터페이스를 보여줍니다. HostWatch는 좌측에 설정된 인터페이스와 연결된 모든 커넥션을 보여줍니다. 인터페이스를 고르기 위해서는 현재의 인터페이스명을 마우스 오른버튼 클릭하여 새로운 것을 선택하면 됩니다.좌, 우 한쪽 부분을 더블클릭하면 Connections For대화창이 나타나는데, 여기에서는 커넥션,IP주소, 포트번호, 시간, 연결타입, 방향을 보여줍니다.창의 윗부분이 선택한 인터페이스와 연관된 커넥션만을 보여주는데 반해, 아랫부분은 모든인터페이스의 커넥션을 보여줍니다. 표 형식으로 포트와 커넥션을 맺은 시간 등을 보여줍니다.44

WatchGuard System ManagerHostWatch 창의 제어HostWatch창에서 사용자가 원하는 것만 볼 수 있도록 할 수 있는데, 이는 특정 호스트나포트, 사용자를 모니터 할 때에도 유용합니다.1. HostWatch에서 View > Filter를 선택합니다.45

WatchGuard System Manager2. 모니터할 탭을 선택합니다. : Policy List, Trusted Hosts, Other Hosts,Authenticated Users. 중에 고를 수 있습니다.3. 각 탭마다 모니터링할 항목에만 체크합니다.4. 모니터링할 각각의 항목에 대하여 IP주소, 포트번호, 사용자명을 입력한 후 Add를클릭합니다. HostWatch에서 모니터하려면 반드시 필요한 작업입니다.5. OK를 클릭합니다.HostWatch view 속성 바꾸기HostWatch가 정보를 보여주는 형식을, 예를 들면 호스트명을 주소로 대체하여 보여준다든지 하는 방법으로 바꿀 수 있습니다.1. HostWatch에서 View > Settings를 선택합니다.2. HostWatch 창에서 호스트를 어떻게 보여줄지를 Display탭을 사용하여 설정합니다.3. Line Color탭에서 NAT, Proxy, blocked, Normal 커넥션의 선 색상을 설정합니다.46

WatchGuard System Manager4. Settings대화창에서 OK를 클릭합니다.HostWatch에 blocked site 추가하기HostWatch에서 blocked site로 IP주소를 추가하려면 커넥션에 마우스 오른버튼을 클릭하여IP주소를 선택하는 팝업창을 이용합니다. IP주소를 block하는 시간을 반드시 입력하고 설정비밀번호를 입력해야 합니다.HostWatch 화면 정지하기화면을 잠시 중지하고 재 시작시키기 위하여 Pause와 Continue버튼을 사용할 수 있습니다.또는 File > Pause 를 클릭하거나, File > Continue를 클릭하면 됩니다.47

WatchGuard System Manager3장. Firebox 설치하기Firebox를 정확하게 작동시키기 위해서는 네트웍을 통과하는 트래픽에 최적화된 policy를적용하는데 필요한 정보들이 수집되어야 합니다. Policy Manager는 이러한 기본적인 관리업무를 하나의 사용자 인터페이스로 수행할 수 있게 하며, 더불어 보안정책도 설정할 수 있도록 합니다. 이 장에서는 그 방법들에 대해서 얘기합니다.:• 라이센스의 추가, 삭제, 열람• 로그 호스트의 설정• 로깅설정• Firebox을 세계환경에 맞도록 설정• Firebox가 NTP서버를 사용하도록 설정• SNMP를 위한 Firebox의 설정라이센스 다루기고객이 옵션을 구입하고 설정파일에 라이센스키를 추가하면 Firebox의 기능은 향상되도록되어있습니다. 이 섹션에서는 어떻게 새로운 특징과 라이센스키를 추가하는지에 대하여 설명합니다.라이센스 추가하기1. Policy Manager에서 Serup > Licensed Features를 클릭합니다. Firebox LicenseKeys 대화창이 나타나 가능한 라이센스들을 보여줍니다.48

2. Add를 클릭합니다.Add Firebox License Key 대화창이 나타납니다.WatchGuard System Manager3. 라이센스 파일이 있는 위치를 찾아 Import를 클릭합니다. 라이센스 파일의 내용을대화창으로 붙이기 할 수도 있습니다.4. OK를 두 차례 누릅니다. 이때 관련 특징들이 관리서버에서 가능해집니다. 많은 경우에, 새로운 대화창과 특징을 설정할 수 있는 메뉴등이 Policy Manager에 나타납니다.5. Firebox에 설정을 저장합니다. 설정을 저장하기 전까지는 Firebox에 적용되지 않습니다.라이센스 삭제하기1. Policy Manager에서 Setup > Licensed Features를 클릭합니다. Firebox LicenseKey대화창이 나타납니다.2. Licenses를 펼쳐서 삭제하고자 하는 라이센스 ID를 클릭한 후 Remove를 클릭합니다.49

WatchGuard System Manager3. OK를 선택합니다.4. 설정을 저장합니다.활성화된 특징(feature) 열람하기라이센스가 입력된 후 가능한 모든 특징들을 리스트로 보기 위해서는, 라이센스키를 선택하고 Active Features를 클릭합니다. Active Features창은 각 특징과 그에 따르는 용량 및 만료일을 보여줍니다.50

WatchGuard System Manager라이센스의 속성 열람하기라이센스 속성을 보려면 라이센스키를 선택한 후 Properties를 클릭합니다. LicenseProperties대화창이 이 라이센스가 적용되어있는 Firebox의 시리얼번호와 ID, 이름, 모델명,버전 번호, 해당Firebox에 가능한 특징들을 보여줄 것입니다.라이센스키 다운로드받기라이센스파일이 현재 없는 경우, Firebox에서 라이센스 파일을 복사하여 관리서버로 다운로드할 수 있습니다. Firebox에서 라이센스파일을 다운로드하려면 라이센스키를 선택한 후Active Features를 클릭하여, 대화창이 나타나면 Firebox의 Read 비밀번호를 입력합니다.Aliases 사용하기Alias는 호스트, 네트웍, 인터페이스의 그룹을 구별하는 좋은 방법입니다. Alias를 사용하면Firebox에서 alias를 사용하여 보안 정책을 만들기가 용이해집니다. Policy Manager에 있는디폴트 alias는 다음과 같습니다.:Any-TrustedPolicy Manager > Network > Configuration에서 정의한 “trusted” 에 속하는 모든 Firebox 인터페이스에 대한 alias로서, 이들 인터페이스를 통하여 접근가능한모든 네트웍을 의미합니다.Any-ExternalPolicy Manager > Network > Configuration에서 정의한 “external” 에 속하는 모든 Firebox 인터페이스에 대한 alias로서, 이들 인터페이스를 통하여 접근가능한모든 네트웍을 의미합니다.51

WatchGuard System ManagerAny-OptionalPolicy Manager > Network > Configuration에서 정의한 “optional” 에 속하는모든 Firebox 인터페이스에 대한 alias로서, 이들 인터페이스를 통하여 접근가능한 모든 네트웍을 의미합니다.Alias는 사용자 인증과는 다르다. 사용자인증을 사용하면 이름이나 IP주소로 커넥션을 모니터할 수 있습니다. HTTP와 FTP와 같이 인터넷툴에 접근하기 위해서 사용자 이름과 패스워드로 인증하는 것입니다. 사용자 인증에 대한 더욱 자세한 정보는 141 페이지의 “9장 인증의 구현”을 참고하면 됩니다.Alias 생성하기1. Policy Manager에서 Setup>Aliases를 선택하면 Alias대화창이 나타납니다.52

2. Add를 클릭하면 Add Alias대화창이 나타납니다.WatchGuard System Manager3. Alias Name 입력창에 alias를 구분 짓는 특별한 이름을 입력합니다. 이 이름은 보안정책 설정시에 리스트에 나타나게 됩니다.4. IP주소, 서브넷, 인터페이스를 추가하거나 또는, alias 멤버리스트에 다른 alias를 추가하기 위해 Add를 클릭합니다. alias Members리스트에 멤버가 나타납니다.5. OK를 두차례 클릭합니다.로깅 사용하기WatchGuard System Manager 설치 유틸리티로 한 컴퓨터에 Policy Manager와WatchGuard Log Server를 같이 설치할 수 있으며, Log Server를 한대 이상의 컴퓨터에 설치할 수도 있습니다. Policy Manager와 Log Server를 로깅을 설정하고 관리하는데 사용하시면 좋습니다.Policy Manager를 사용하는 방법- 로스 호스트를 추가할 때 사용합니다.- 정책과 패킷 핸들링에 대한 설정을 만듭니다.- Firebox에 설정파일을 저장합니다.WatchGuard Log Server를 사용하는 방법- 각 로스호스트마다 로그서버 소프트웨어를 설치 할 때 사용합니다.- 호스트에 대하여 global logging과 알림 설정을 할 수 있습니다.- 로컬 로그 서버에 대하여 로그 암호화 키를 설정합니다.53

로그 메시지의 종류WatchGuard System ManagerFirebox는 다음 네가지의 로그 메시지를 발생시킵니다. : 트래픽, 알람, 사건, 진단Traffic 로그Firebox는 통과하는 트래픽에 대하여 패킷 필터와 프락시 룰을 적용하면서 트래픽로그를 발생시킵니다.Alarm 로그Firebox가 대응을 수행하도록 만드는 이벤트가 발생한 경우에 발생하는 로그입니다. 알람 상황이 생기게되면 Firebox는 Traffic Monitor와 로그서버로 이 알람 로그를 보내고 특정 대응행동을 수행하도록 지시합니다.몇몇 알람은 Firebox 설정에 저장되어있습니다. 예를 들면, 특정 임계치가 넘어가면 알람이 발생하도록 Policy Manager에서 설정할 수 있습니다. 또 다른 알람내용은 디폴트 설정에 있습니다. 예를 들어 Firebox의 인터페이스 중 하나에 네트웍 다운이 발생 하였을 때 알람로그를 발생시키는데, 이는 사용자가 설정에서 바꿀 수없는 부분입니다.알람로그의 8가지 종류는 다음과 같습니다. : 시스템, IPS, AV, Policy, 프락시,Counter, 서비스거부, 트래픽Event 로그Event로그는 Firebox가 대응행동을 취했기 때문에 발생되는 것으로서 다음과 같은경우에 발생합니다. :• Firebox 시작 / 종료• Firebox와 VON 인증• Process 시작 / 종료• Firebox 하드웨어 부품 문제• Firebox administrator 관리자가 작업을 수행 하는 경우Diagnostic 로그진단(디버그)로그는 문제해결을 도와주기 위하여 Firebox가 보내주는 정보가 담긴로그 메시지입니다. 진단 로그를 보낼 수 있는 27가지의 제품 요소가 있습니다.Firebox의 로그서버 구성하기WatchGuard System Manager를 사용하려면 최소한 하나의 로그서버를 설치할 것을 권장하고 있습니다. 하나의 primary 로그서버와 하나 이상의 백업 로그서버의 구성도 좋습니다.로그서버를 구성하려면:1. Policy Manager에서 Setup > Logging을 선택합니다. Logging Setup 대화창이 나타납니다.2. 사용하고자 하는 로그서버들을 선택하고, Send log messages to the log servers atthese IP address 체크박스에 체크를 합니다.54

WatchGuard System Manager로그서버 추가하기1. Policy Manager에서 Setup > Logging을 선택합니다. Logging Setup 대화창이 나타납니다.2. Configure를 클릭하고 Add를 클릭합니다. IP주소와 로그서버 암호화 키를 입력합니다. 암호화키는 8~32 자리의 문자만 허용됩니다.3. OK를 클릭합니다.로그서버 우선순위 설정하기Firebox가 최상위 로그서버에 접속할 수 없는 경우, 순위 리스트의 하단 서버에 접속하게됩니다. Firebox가 리스트의 서버들을 검사했지만 모두 접속되지 않는 경우에는 최상위 서버부터 다시 접속을 시도합니다. 이와 같은 과정을 위해 사용자는 로그서버 순위리스트를55

WatchGuard System Manager구성할 수 있습니다.1. Policy Manager에서 Setup > Logging을 클릭합니다. Logging Setup대화창이 나타납니다.2. Configure를 클릭합니다. Configure Log Servers 대화창이 나타납니다.3. Configure Log Servers대화창에서 로그호스트를 선택하고 Up, Down키로 순서를 변경합니다.Syslog 로깅 활성화하기Syslog서버에 로그를 보낼 수 있도록 Firebox를 설정할 수 있는데, 이때 Firebox는 로그서버와 Syslog서버에 동시에 로그를 송신할 수 있으며 또는 둘 중 하나의 서버에만 송신하는 기능도 있습니다. Syslog 로깅은 암호화되지 않으므로 external인터페이스의 호스트를Syslog서버로 선택하지 말아야 합니다.1. Policy Manager에서 Setup > Logging을 선택합니다. Logging Setup대화창이 나타납니다.2. Send Log Messages to the Syslog server at this IP address 체크박스를 선택합니다.3. Syslog 서버의 IP주소를 입력합니다.4. Configure를 클릭합니다. Configure Syslog 대화창이 나타납니다.5. 각각의 메시지 유형에 대하여 Syslog 기능을 할당합니다. 로그 메시지 유형에 대하여는 54 페이지의 “로그 메시지의 종류”를 참조하십시오. Syslog의 기능은 패킷의해당필드와 송신될 파일에 따라 결정됩니다. Local0은 높은 우선순위를 의미하는데이는 알람에 적당하며, 각 로그메시지 유형에 따라 Local0 ~ Local7의 우선순위를부여할 수 있습니다.(숫자가 낮을수록 높은 우선순위를 나타냅니다.)6. OK를 클릭합니다.7. Firebox에 저장합니다.56

WatchGuard System ManagerAdvanced diagnostics 활성화하기사용자는 로그파일이나 Traffic Monitor로 저장 할 진단로그의 수준을 선택할 수 있습니다.대량의 로그로 인하여 파일이 순식간에 차버릴 수 있기 때문에, 문제를 해결하기 위하여 부득이하게 로깅하는 경우가 아니라면, 저장 수준을 높이지 않을 것을 권고합니다.1. Policy Manager에서 Setup > Logging을 선택합니다. Logging Setup 대화창이 나타납니다.2. Advanced Diagnostics를 클릭합니다.Advanced Diagnostics 대화창이 나타납니다.3. 화면 왼쪽에서 Category를 선택합니다. Category설명이 Description 상자에 나타납니다.4. Settings의 슬라이더를 사용하여 로그 메시지에 포함할 각 category의 로그 정보수준을 설정합니다. 가장 낮은 수준으로 설정되면 해당 category의 진단 메시지는작동되지 않습니다.5. Traffic Manager에서 진단메시지를 보고 싶다면 Display diagnitocs messages inTraffic Monitor 체크박스를 체크합니다.57

WatchGuard System ManagerGlobal Settings 사용하기Policy Manager에서 Global Settings 툴을 사용하면 수많은 Firebox의 특성을 제어할 수있는 settings를 다룰 수 있습니다.다음에 대한 기본적인 파라미터를 설정할 수 있습니다. :• VPN• ICMP error handling• TCP SYN Checking• TCP Maximum Size Adjustment1. Policy Manager에서 Setup > Global Settings를 선택합니다. Global Settings 대화상자가 나타납니다.2. 아래와 같이 Global Settings에 보이는 각 카데고리를 설정합니다.VPNGlobal VPN 설정은 :Ignore DF for IPSecIP 헤더의 Don’t Fragment 설정을 무시합니다.IPSec pass through사용자가 다른 Firebox에서 그 앞단의 Firebox로 IPSec연결을 만들어야하는 경우, 반드시 IPSec passthrough 설정을 활성화해야 합니다. 예를 들58

WatchGuard System Manager면, 무선디바이스를 사용하는 사원이 Firebox가 설치되어있는 고객사에서자신이 사용하는 네트웍으로 연결하고자 할 때, IPSec을 사용하여 IPSec커넥션을 만들 수 있습니다. 따라서 로컬 Firebox가 나가는 IPSec 커넥션을 정확하게 허용하도록 만들기 위해 Policy Manager에 IPSec 정책을 추가해야합니다.ICMP Error HandlingInternet Control Message Protocol(ICMP)는 커넥션이 연결되어 있는 동안 에러를 컨트롤하기 위하여 사용됩니다. 두 가지의 컨트롤유형이 있는데• error condition에 대해 알려주는 유형• 네트웍에 대한 일반특성을 알려주기 위해 네트웍을 조사하는 유형Firebox는 선택된 파라미터 중 하나와 맞는 이벤트가 발생할 때마다 ICMP error 메시지를송신합니다. global ICMP error handling 및 다른 사항들을 설명하면 다음과 같습니다.Fragmentation req(PMTU)IP 데이터 패킷은 반드시 fragment되어야 하나, IP 헤더의 Don’tFragment bit 이 설정되기 때문에 방지됩니다.Time ExceededTime to Live 필드의 시간이 만료되기 때문에 데이터 패킷이 누락됩니다.Network unreachable어떤 데이터 패킷은 네트웍에 다다르지 못할 수 있습니다.Host unreachable데이터 패킷은 호스트에 다다르지 못할 수 있습니다.Port unreachable데이터 패킷은 포트에 다다르지 못할 수 있습니다.Protocol unreachable데이터 패킷의 프로토콜 조각은 전송이 안될 수 있습니다.TCP SYM CheckingGlobal TCP SYN checking 설정은Enable TCP SYN checking이 설정을 활성화하면 Firebox가 데이터 커넥션을 만들기 전에 TCP3-way handshake가 수행되었는지를 확인하게 됩니다.TCP Maximum Segment Size AdjustmentTCP 시그먼트는 PPPoE, ESP, AH등과 같은 TCP overhead가 있는 커넥션에 대하여 특정크기로 설정될 수 있습니다. 크기가 정확하게 설정되지 않으면 사용자는 어떤 웹사이트에접속하지 못할 수 있습니다. Global TCP 최대 세그먼트 크기 조절은 다음과 같이 할 수 있59

WatchGuard System Manager습니다.Auto adjustmentFirebox가 모든 maximum segment size(MSS)를 검사하고 적용 가능한것을 찾아 MSS값을 변화시킵니다.No adjustmentFirebox가 MSS값을 바꾸지 않습니다.Limit to크기 조절 한계치를 설정할 수 있습니다.NTP 서버 설정하기Network Time Protocol(NTP)은 네트웍에 걸쳐있는 컴퓨터 시간들을 동기화 시켜 줍니다.NTP는 TCP와 UDP 123포트를 사용합니다. Firebox는 네트웍 내에서 동일시간을 유지하기위해서 인터넷 NTP서버를 사용하여 시간을 동기화합니다.1. Policy Manager에서 Setup > NTP를 클릭합니다.2. Enable NTP를 체크하고 NTP서버의 IP주소를 입력합니다. Firebox는 최대 3개의NTP서버를 사용할 수 있습니다.3. OK를 클릭합니다.SNMP로 작업하기Simple Network Management Protocol(SMNP)는 네트웍을 관리하기 위한 프로토콜로서,management information bases(MIBs)를 이용하여 네트웍 디바이스로부터 관리정보를 가져옵니다. 따라서 Firebox도 SNMP 서버에서 SNMP 폴을 받을 수 있습니다.1. Policy Manager에서 Setup > SNMP를 클릭합니다.60

WatchGuard System Manager2. SNMP서버의 IP주소를 입력하고 Add를 클릭합니다.3. (선택사항) Enable SNMP Trap를 선택합니다. SNMPTrap은 Firebox가 SNMP관리시스템으로 보내는 이벤트입니다. 트랩은 임계치가 pretermined value보다 큰 경우와 같은 임의의 조건에 해당할 경우에 발생합니다.4. SNMP서버에 접속하려 할 때 Firebox가 사용할 Community String을 입력합니다.Community string은 디바이스 통계에 접근을 허용하기 위한 ID과 비밀번호와 같습니다. 이 community string은 모든 SNMP요청에 필요합니다. 만일 이것이 정확하다면 디바이스는 요청된 정보를 송신하게 되지만, 정확한 community string이 아닌경우에는 요청을 폐기하고 응답도 송신하지 않습니다.5. OK를 클릭합니다.61

WatchGuard System Manager2부. 네트웍 보호하기62

WatchGuard System Manager4장. Firebox 기본설정네트웍에 Firebox를 설치하여 최소한의 설정 파일로 운용을 시작 한 후에는, 사용자가 속한조직에 맞도록 사용자 설정을 추가할 수 있습니다. 이번 장에서는 몇가지 기본 설정과 관리업무를 수행하는 방법을 설명할 것입니다. 어떤 업무들은 Firebox를 다루는 것과 같이 반복되는 작업이고, 그 외의 다른 것들은 한번만 수행하면 됩니다.기본 설정 작업에는 다음이 포함됩니다.:• Firebox에서, 또는 로컬 컴퓨터에서 설정파일 열기• Firebox에, 또는 로컬 컴퓨터에 설정파일 저장하기• Firebox의 passphrase바꾸기• Firebox의 시간대 설정하기• Firebox에 IP주소 대신 이름 설정하기• 후에 Policy에 사용할 기본 스케쥴 설정하기설정 파일 열기Fireware의 Policy Manager는 사용자가 설정 파일을 생성하고, 수정하고, 저장할 수 있도록 하는 소프트웨어 툴입니다. 설정 파일은 확장자가 .cfg이며, 모든 설정 데이터, 옵션, 주소, 그리고 Firebox의 보안정책을 만드는 기타 정보들을 포함합니다. Policy Manager를 사용할 때에는 검사하고 수정하기 쉽게 설정파일의 버전을 확인해보면 됩니다.설정파일을 다룰 때 사용자가 할 수 있는 작업들은 다음과 같습니다.:• Firebox에서 설정파일을 열어 작업할 수 있습니다.• 로컬 하드 드라이브에 설정파일을 저장하여 작업할 수 있습니다.• 새로운 설정파일을 생성할 수 있습니다.현재의 설정파일 열기네트웍 관리자의 흔한 업무는 현재의 보안정책을 수정하는 일일 것입니다. 예를 들어 사내에서 사용할 소프트웨어 응용프로그램을 새로 구매하고 벤더에 있는 서버와 통신하려면, 해당 포트와 프로토콜을 열어야 할 것입니다. 이런 경우에 WatchGuard System Manager나Policy Manager를 사용하여 Firebox의 설정 파일을 수정하는 것입니다.63

WatchGuard System ManagerWatchGuard System Manager 사용하기1. 윈도우 바탕화면에서 시작 > 프로그램 > WatchGuard System Manager 8 >WatchGuard System Manager를 선택합니다. WatchGuard System Manager 8은시작 메뉴 아이콘 폴더에 디폴트로 할당되는 이름입니다. 폴더 이름은 설치 시에변경할 수 있습니다.2. WatchGuard System Manager 에서 File > Connect To > Device를 클릭합니다. 또는 WatchGuard System Manager 툴바에 있는Connect to Device를 클릭합니다.Connect to Firebox대화창이 나타납니다.3. drop-down 리스트를 클릭하여 Firebox를 고르거나, trusted IP주소를 직접 입력한 후 status 패스워드를 입력하고 OK를 클릭합니다. 디바이스가 WatchGuardSystem Manager Device 탭에 나타납니다.4. Device탭에서 Firebox를 선택하고 난 후 Tools > Policy Manager를 클릭합니다.또는 WatchGuard System Manager툴바의 Policy Manager아이콘을클릭합니다. Policy Manager가 열리면 선택된 Firebox에서 사용중인 설정파일이 로드됩니다.Policy Manager 사용하기1. Policy Manager에서 File > Open > Firebox를 클릭합니다. Open Firebox대화상자가 나타납니다.2. Firebox Address or Name drop-down리스트에서 Firebox를 선택합니다. IP 주소나 호스트명을 입력할 수도 있습니다.3. Passphrase란에 Firebox status passphrase(읽기전용)를 입력한다. Status 패스워드를 트래픽과 Firebox상태를 조사하기 위해 사용하십시오. Firebox에 대로운 설정파일을 저장하기 위해서는 configuration 패스워드를 사용해야 합니다.4. OK를 클릭합니다. Policy Manager는 설정파일을 열고 내용을 보여줍니다.64

WatchGuard System Manager로컬에서 설정파일 열기어떤 네트웍 관리자들은 여러 버젼의 Firebox 설정파일을 저장해 두는 것이 유용하다고 생각합니다. 예를 들어 새로운 보안정책을 받았다면, 제일 먼저 로컬 하드드라이브에 기존의설정파일을 저장하고자 할 것입니다. 그래야 새로운 설정이 마음에 들지 않으면 기존의 버전으로 복원시킬 수 있기 때문입니다. 사용자는 관리스테이션이 연결할 수 있는 어떤 네트웍 상의 드라이브에서도 설정파일을 열 수 있습니다.1. Policy Manager에서 File > Opne > Configuration File을 클릭합니다. 또는 PolicyManager 툴바의 Open File 아이콘을 클릭합니다. 윈도우 기본 파일열기대화상자가 나타납니다.2. configuration file을 열기 위해 Open 대화창을 사용합니다. Open을 클릭합니다.Policy Manager는 설정파일을 열어 내용을 보여줍니다.설정파일 새로 만들기Quick Setup Wizard는 사용자의 Firebox에 알맞은 기본 설정파일을 만듭니다. 이것을 모든 설정파일에 대한 기초내용으로 사용하기를 권고합니다. 디폴트 설정 속성으로만 설정파일을 생성하기 위해 Policy Manager를 사용할 수 있습니다.1. Policy Manager에서 File > New를 선택합니다. Select Firebox Model & Name 대화창이 나타납니다.2. Model drop-down 리스트에서 Firebox 모델을 선택합니다. 각 모델에 맞는 특성이 있기 때문에 사용하는 하드웨어 디바이스와 같은 모델을 선택하는 것이 중요합니다.3. Firebox 이름을 입력합니다.4. OK를 클릭합니다. Policy Manager는 untitled.xml 이라는 이름의 새 설정파일을 만듭니다.65

WatchGuard System Manager설정파일의 저장Firebox에 설정 저장하기1. Policy Manager에서 File > Save > To Firebox를 선택합니다. Save to Firebox 대화창이 나타납니다.2. Firebox Address or Name drop-down 리스트에서 Firebox를 선택합니다. IP 주소를입력할 때 숫자와 마침표를 모두 입력해야 합니다. TAB키나 화살표키는 사용하지 마십시오.3. Firebox 설정 패스워드를 입력하십시오. Firebox에 파일을 저장하기 위해서는 반드시설정 패스워드를 사용해야 합니다.4. OK를 클릭하십시오.로컬 하드드라이브에 설정 저장하기1. Policy Manager에서 File > Save > As File을 클릭합니다. 또한 CTRL+S를 사용하여 윈도우 기본 저장 대화창이 나타납니다.2. 파일명을 입력합니다. 디폴트로 WatchGuard 디렉토리에 파일을 저장하게 되어있습니다. 또한 관리스테이션에서 커넥트할 수 있는 폴더들을 볼 수 있습니다. 보안을위해 다른 사용자들이 접근할 수 없는 안전한 폴더에 파일들을 저장하는 것이 좋습니다.3. Save를 클릭합니다. 설정파일이 로컬 하드 드라이브에 저장됩니다.66

WatchGuard System ManagerFirebox passphrase 변경하기Firebox는 두가지 패스워드를 사용합니다. :• Status 패스워드Firebox으로의 접근을 허용하는 읽기 전용 패스워드• Configuration 패스워드관리자의 Firebox로의 완전한 접근을 허용하는 읽기-쓰기 패스워드안전한 패스워드를 만들기 위해 권장되는 사항은 다음과 같습니다. :• 표준 사전에 나와있는 단어는 사용하지 말 것. 순서나 언어를 다르게 하여 사용하여도 안전하지 않습니다. 사용자만이 알 수 있는 새로운 유사어를 만드십시오.• 명칭을 사용하지 마십시오. 공격자는 쉽게 회사명, 친숙한 명칭, 유명한 사람의이름 등을 맞추어낼 수 있습니다.• 대문자와 소문자, 숫자, 특수문자의 조합을 사용하십시오.(예 : lm4e@tiN9)더욱 안전하게 하려면 주기적으로 Firebox의 패스워드를 변경해주는 것이 좋습니다. 변경작업을 하려면 설정 패스워드를 알고 있어야 합니다.1. Policy Manager에서 Firebox의 설정파일을 엽니다. 자세한 내용은 63 페이지의“설정 파일 열기”을 참조하십시오.2. File > Change Passphrases를 클릭합니다. Open Firebox 대화상자가 나타납니다.3. Firebox drop-down리스트에서 Firebox를 선택하거나 IP주소를 직접 입력합니다.Firebox 설정패스워드(읽기/쓰기)를 입력하십시오. OK를 클릭합니다.4. 새로운 status(읽기전용), configuration(읽기/쓰기)패스워드를 입력하고 다시한번확인입력합니다. Status패스워드와 configuration패스워드는 반드시 달라야 합니다.5. OK를 클릭합니다. 새로운 flash image와 새 패스워드가 Firebox에 저장됩니다.Firebox는 자동으로 재시작됩니다.67

WatchGuard System ManagerTime Zone의 설정Firebox time zone은 Log Viewer, Historical Reports, WebBlocker등의 도구와 로그파일에나타나는 시간을 제어합니다. 사용자는 물리적으로 놓인 위치에 맞게끔 Firebox의 시간대를설정해야 합니다. Firebox 시스템 시간은 디폴트로 Greenwich Mean Time(GMT)에 맡추어져 있습니다. 이 시간대 설정을 함으로써 로그 메시지의 시간이 정확하게 나타나게 됩니다.1. Policy Manager에서 Setup > System을 클릭합니다. Device Configuration대화창이나타납니다.2. drop-down리스트에서 시간대를 선택합니다. OK를 클릭합니다.Firebox의 이름 설정하기사용자는 로그파일과 리포트에 나타나는 Firebox의 이름을 따로 설정할 수 있는데, 이를 설정하지 않으면 Firebox external 인터페이스의 IP주소를 사용하게 됩니다. 많은 사용자들이DNS시스템과 함께 등록된 Fully Qualified Domain Name을 사용하는데 VPN터널과 인증을설정하는 관리서버를 사용한다면 Firebox에 특별한 이름을 주어야 합니다.1. Policy Manager에서 Setup > System을 클릭합니다. Device Configuration대화창이나타납니다.68

WatchGuard System Manager2. Name란에 원하는 이름을 입력하고 OK를 클릭합니다. /와 ₩를 제외한 어떤 문자도 사용이 가능합니다.스케쥴 생성하기WebBlocker 루틴과 같은 특정 Firebox의 실행내용을 자동화하기 위해 사용자는 스케쥴링을 사용할 수 있습니다. 스케쥴은 요일별, 특정 기간동안에 대하여 설정할 수 있으며, 사용자가 생성한 policy에 이 스케쥴을 사용할 수도 있습니다.1. Policy Manager에서 Setup > Actions > Schedules를 선택합니다. Schedules 대화창이 나타납니다.69

2. Add를 클릭합니다. New Schedule대화창이 나타납니다.WatchGuard System Manager3. Schedule Name과 Description을 입력합니다. 스케쥴명이 Schedule 대화창에 나타나는데, 이름은 알아보기 쉽게 만들어야 합니다.4. Mode drop-down리스트에서 스케쥴의 주기를 설정합니다. :1시간, 30분, 15분 중에고를 수 있습니다. New Schedule 대화창의 왼쪽에 있는 챠트가 drop-down리스트의 사용자 입력값을 반영해서 보여줍니다.5. 대화창의 차트는 x축에 요일을, y축에 주기별 시간을 보여줍니다. 실행 시간들과(policy가 활성화되는 때) 비실행 시간들(policy가 비활성 상태일 때)을 맞바꾸려면챠트의 셀을 클릭하면 됩니다.6. New Schedule대화창을 닫으려면 OK를 클릭합니다. Schedules 대화창을 닫으려면Close를 클릭합니다. 기존 스케쥴을 편집하려면 Schedule 대화창에서 스케쥴명을클릭하고 Edit을 선택합니다. 기존의 것을 바탕으로 새로운 스케쥴을 생성하려면 스케쥴명을 선택하고 Clone을 클릭합니다.70

WatchGuard System Manager5장. 네트웍 설치와 설정네트웍에 Firebox를 설치할 때 Quick Setup Wizard를 끝내고 나면 기본 설정파일을 얻을수 있습니다. 그러나 Policy Manager를 이용해서도 기본 설정파일을 만들거나 Quick SetupWizard로 만든 파일을 변경할 수 있습니다.네트웍 보안을 잘 모르는 사용자는 사용자의 네트웍 모든 요소를 잘 설정하기 위해 다음의절차를 순서대로 따를 것을 권고합니다. 이번 장에서는 Policy Manager사용법을 배울 것입니다. :• 새로운 설정파일 생성하기• Firebox인터페이스 설정하기• Secondary 네트웍추가하기• DNS와 WINS서버정보 추가하기• 네트웍과 호스트 루트 설정하기새로운 설정파일 생성하기new configuration file을 시작하려면1. Firebox System Manager에서 Policy Manager아이콘을 클릭합니다. PolicyManager대화창이 나타납니다.2. 연결하고자 하는 Firebox의 모델명을 선택하고 OK를 클릭합니다. 새로운 설정파일은 디폴트 인자로 Firebox를 모델을 포함합니다.---------------------------- 주 의 -----------------------------설정파일은 File > Save > As file을 사용하여 생성 도중 자주 저장할 것을 권고합니다.--------------------------------------------------------------------71

Firebox Interface IP주소 변경하기WatchGuard System ManagerPolicy Manager에서 Network > Configuration을 선택합니다. Network Configuration 대화창이 나타납니다.Interface 설정법Routed Mode1. 설정하고자 하는 인터페이스를 선택한 후 Configure를 클릭합니다. Interface 설정대화창이 나타납니다.2. (선택사항) Interface Description란에 인터페이스에 대한 설명을 입력합니다.3. Interface Type drop-down리스트에서 인터페이스 유형을 변경할 수 있습니다.72

WatchGuard System Manager4. Interface IP Address를 /를 사용하여 입력하십시오.5. trusted나 optional 인터페이스를 설정하려면 Disabld DHCP, DHCP Server, DHCPRelay중 하나를 선택합니다. DHCP server옵션에 대하여는 다음 섹션을, DHCP relay옵션에 대하여는 77 페이지의 “DHCP relay 설정하기”를 참조하십시오. External 인터페이스를 설정하려면 77 페이지의 “External 인터페이스의 설정”를 참조하십시오.6. OK를 클릭합니다.73

WatchGuard System ManagerDrop-In ModeDrop-In mode란 네트워크 구성에 변화없이 방화벽을 설치할 때 사용됩니다.1. Configure interfaces in Drop-In mode를 체크합니다.3. ip와 Gateway를 입력합니다.Drop-in mode는 하나의 ip를 입력 할 수 있습니다.여기서 입력한 ip는 모든 interface에 적용됩니다.4. Configure를 클릭합니다.74

WatchGuard System Manager5. Properties를 클릭합니다.6. Automatic Host Mapping1) 체크되어 있는 interface와 연결되어 있는 Hosts을 방화벽이 관리하게 됩니다.2) 체크가 안되어 있다면 interface에 연결되어 있는 hosts의 ip를 관리자가직접 입력 시켜야합니다.75

WatchGuard System ManagerFirebox를 DHCP server로 설정하기Dynamic Host Configuration Protocol(DHCP)는 대형 네트웍을 다루기 쉽도록 도와주는 인터넷 프로토콜입니다. DHCP server로 설정한 컴퓨터는 자동적으로 네트웍의 컴퓨터들에게IP주소를 송신합니다. 주소범위를 설정해야 하며, 방화벽 뒷단의 네트웍에 대한 DHCP서버로 Firebox를 설정할 수 있습니다.설정된 DHCP서버가 있으면 그 서버를 DHCP로 계속 사용할 것을 권장합니다.1. Network > Configuration을 선택합니다. Network Configuration 대화상자가 나타납니다.2. trusted 또는 optional인터페이스를 선택합니다.3. Configure를 클릭하고 DHCP Server를 선택합니다.4. address pool을 추가하려면 Add를 클릭하고 IP주소의 시작과 끝을 입력합니다.Address pool은 6개까지 설정할 수 있습니다.76

WatchGuard System Manager5. 화살표 버튼을 이용하여 Default Lease Time을 변경합니다. 이것은 DHCP 클라이언트가 DHCP서버로부터 받은 IP주소를 쓸 수 있는 기간입니다. 시간이 한계에 가까워지면 클라이언트는 DHCP서버에 데이터를 보내어 새로운 기간을 할당받습니다.DHCP relay 설정하기Firebox trusted 또는 optional 네트웍(또는 VPN터널을 통하는)상의 컴퓨터에 IP주소를할당 받는 한가지 방법은 다른 네트웍의 DHCP 서버를 이용하는 것입니다. Firebox가 다른 장소에 있는 DHCP서버에 DHCP request를 송신하면, 서버는 trusted나 optional 네트워크의 컴퓨터에 replay를 송신합니다. 이 기능은 물리적으로 다른 사무실에 있는 컴퓨터가같은 네트웍 주소범위를 사용할 수 있도록 해줍니다.1. Network > Configuration을 선택합니다. Network Configuration대화상자가 나타납니다.2. trust나 optional 인터페이스를 선택합니다.3. Configure를 선택한 후 DHCP Relay를 클릭합니다.4. 관련 필드의 DHCP서버 IP주소를 입력합니다. 필요하다면 DHCP서버에 접속하기 위한라우트를 추가해야 합니다.5. OK를 클릭합니다. 적용하기 위해서 Firebox를 재 부팅합니다.External 인터페이스의 설정External 인터페이스에는 Dynamic Host Configuration Protocol(DHCP)이나 Point-topointProtocol over Ethernet(PPPoE)를 사용하여 동적 IP주소를 할당 받을 수 있습니다.DHCP를 사용할 때에는 Firebox는 IP주소, 게이트웨이, 넷마스크를 얻기 위해 Internet77

WatchGuard System ManagerService Provider(ISP)가 관리하는 DHCP서버를 사용하며, PPPoE를 사용할 때에는 마찬가지로 사용자의 ISP의 PPPoE서버에 커넥션을 만듭니다. Fireware Pro는 unnumbered /static PPPoE를 지원합니다. 이 커넥션은 자동으로 사용자의 IP주소, 게이트웨이, 넷마스크를 설정합니다. 만일 사용자가 DHCP나 PPPoE를 이용하여 external 인터페이스를 설정하는 경우에는 추가 네트웍을 설정하거나 Policy Manager에서 external alias를 사용하는 작업을 할 수 없습니다.1. Interface Settings 대화상자에서 Static 또는 DHCP 또는 PPPoE를 선택합니다.2. 선택한 내용에 따라 아래에 설명하는 방법을 따르면 됩니다.---------------------------- 주 의 ----------------------------------하나 이상의 external 인터페이스를 정의했다면 가장 낮은 순서의 것이 IKE 게이트웨이나IPSec터널 종점의 역할을 하게 되므로 이 인터페이스가 다운되면 모든 IPSec터널이 사라지게 됩니다.-------------------------------------------------------------------static IP주소 사용하기1. 디폴트 게이트웨이의 IP주소를 입력합니다.2. (선택사항)51 페이지의 “Aliases 사용하기”에 설명한 것 처럼 Aliases 를 설정합니다.3. OK를 클릭합니다.PPPoE 사용하기1. 다음 중 하나를 선택합니다. :- Obtainan IP address automatically- Use IP Address (네트웍 관리자가 할당)2. Use IP Address를 선택했다면 오른쪽 란에 IP주소를 입력합니다.3. User Name과 Password를 입력합니다. 패스워드는 두 번 입력합니다.4. PPPoE 파라미터를 설정하기 위해 Property를 클릭합니다. PPPoE파라미터 대화상자가 나타납니다. ISP에 문의하면 타임아웃이나 LCP값을 변경해야 하는지를 알아볼 수 있습니다.5. PPPoE 커넥션을 항상 활성화할 것인지 아니면 필요할 때에만 활성화할 것인지를결정하는 라디오 버튼을 선택합니다.78

WatchGuard System Manager6. PPPoE initialization time 항목에서는 PPPoE커넥션을 맺는 시간을 화살표를 사용하여 설정합니다.7. LCP echo failure 항목에서는 PPPoE커넥션이 종료되기 전에 LCP echo requests이 몇번까지 실패될 수 있는지를 화살표를 클릭하여 설정합니다.8. LCP echo timeout 항목에서는 각 echo timeout에 대한 응답 수신이 도착해야 하는시간제한을 초단위로 설정합니다.DHCP 사용하기1. Host ID 란에 DHCP서버의 이름을 입력합니다.-----------------------------------주의--------------------------Firebox에 하나 이상의 external 인터페이스를 설정한 경우, 가장 낮은 순위에 있는external 인터페이스 IP주소에 Fully Qualified Domain Name을 맵핑하십시오.----------------------------------------------------------------추가 네트웍 설정하기추가 네트웍을 설정할 때, 사용자는 추가네트웍의 IP주소로부터 Firebox 인터페이스 IP주소로의 라우트도 만들어야 합니다. 그리고 인터페이스에 IP alias도 만들거나 추가해야 합니다.이 IP alias는 추가 네트웍상의 모든 컴퓨터의 디폴트 게이트웨이가 됩니다. 추가 네트웍은Firebox 인터페이스에 하나이상의 네트웍이 있다는 것을 Firebox에게 인식시켜 줍니다.79

WatchGuard System ManagerPolicy Manager를 사용하여 추가 네트웍을 설정하는 방법은 아래와 같습니다. :1. Network > Configuration를 선택합니다. Network Configuration 대화상자가 나타납니다.2. 추가 네트웍에 대한 인터페이스를 선택하고 Configure를 클릭합니다. InterfaceSettings 대화상자가 나타납니다.80

WatchGuard System Manager3. Secondary Networks를 클릭합니다. Secondary Networks 대화상자가 나타납니다.4. Add를 클릭합니다. 추가 네트웍에 아직 할당되지 않은 IP주소를 입력합니다. IP주소를 입력 할 때에는 모든 숫자와 마침표를 사용할 수 있으며 TAB키와 화살표키는사용할 수 없습니다.5. OK를 두번 클릭합니다.------------------------------- 주 의 ----------------------------추가 네트웍의 주소를 입력할 때에 정확하게 하도록 주의해야 하는데, 이는 PolicyManager가 주소의 정확성을 검사해주지 않기 때문입니다. 또한 WatchGuard는 다른 인터페이스에 대형 네트웍이 사용하는 서브넷을 다른 인터페이스에 입력하지 말도록 권고합니다.이로 인하여 스푸핑이 발생하고 네트웍이 정확하게 작동하지 않을 수 있습니다.-------------------------------------------------------------------WINS와 DNS 서버 주소 추가하기많은 Firebox의 특징은 Windows Internet Name Server(WINS)와 Domain NameServer(DNS)서버 주소에도 해당됩니다. 이들 특징은 DHCP와 Remote User VPN을 포함하며 Firebox의 trusted인터페이스에서 이와 같은 서버에 접속이 가능해야 하는 것은 물론입니다.DHCP와 Remote User VPN 서비스를 위해 내부 WINS와 DNS서버 만을 사용하는지를 확인하십시오. 이렇게 함으로써 사용자가 DNS서버로 접근하지 못하게 하는 policy 충돌현상을 방지할 수 있습니다. Policy Manager에서 다음과 같이 합니다.1. Network > Configuration을 선택하고 WINS/DNS탭을 클릭합니다. WINS/DNS탭이81

WatchGuard System Manager나타납니다.2. WINS와 DNS서버에 대한 primary와 secondary 주소를 입력합니다. 필요하면DNS서버에 대한 도메인명도 입력합니다.Routes 설정하기Route는 네트웍 트래픽이 근원지에서 목적지까지 지나는 동안 통과해야 하는 디바이스의순서입니다. Router는 네트웍 트래픽을 목적지까지 보내기 위해 다음단계에 통과해야 하는네트웍 포인트를 찾아주는 디바이스입니다. 각각의 라우터는 두 네트웍의 최소 거리로 연결되어 있습니다. 패킷은 목적지에 닿을 때까지 라우터와 함께 수많은 네트웍 포인트를 지납니다. Firebox는 인터페이스에서 라우터까지 트래픽을 송신하는데 static route를 생성합니다. 그래서 라우터는 생성된 route대로 적용되는 목적지까지 트래픽을 송신합니다. 네트웍루트와 라우터에 대한 정보는 WatchGuard User Forum에 가면 찾아볼 수 있습니다. 정보를 찾으려면 Live Security를 사용하십시오.네트웍 루트 추가하기로컬 네트웍의 라우터 뒷단에 풀네트웍이 있다면 네트웍 루트를 추가하십시오. /를 포함한네트웍 IP주소를 입력 하면 됩니다.1. Policy Manager에서 Network > Routes를 클릭합니다. Setup Routes 대화상자가나타납니다.82

2. Add를 클릭합니다. Add Route 대화상자가 나타납니다.WatchGuard System Manager3. drop-down 리스트에서 Network IP를 선택합니다.4. Route To 입력상자에 /를 포함한 IP주소를 입력합니다. 예를 들어 10.10.1.0/245. Gateway 입력상자에 라우터의 IP주소를 입력합니다. 이때 입력한 주소가 Firebox와 같은 네트웍에 있는 것인지 확인하십시오.6. Add Route 대화상자를 닫기 위해 OK를 클릭합니다. Setup Routes 대화상자는 설정된 네트웍 루트를 보여줍니다.7. OK를 다시 클릭하여 Setup Routes 대화상자를 닫습니다.Host route의 추가라우터 뒤에 하나의 호스트만이 존재하거나 하나의 호스트로만 네트웍 트래픽을 내보내고싶을 경우에 호스트 루트를 추가합니다. 이때 /없이 특정 호스트의 IP주소를 입력하면 됩니다. Policy Manager에서 다음과 같이 합니다.:1. Network > Routes를 선택합니다. Setup Routes 대화상자가 나타납니다.2. Add를 클릭합니다. Add Routes 대화상자가 나타납니다.3. drop-down리스트에서 Host IP 유형을 선택합니다.4. Route to 입력상자에 Host IP주소를 입력합니다.5. Gateway 입력란에 라우터의 IP주소를 입력합니다. 이때 입력한 주소가 Firebox와같은 네트웍에 있는 것인지 확인하십시오.6. Add Route 대화상자를 닫기위해 OK를 클릭합니다. Setup Routes 대화상자는 설정된 호스트 루트를 보여줍니다.7. OK를 다시 클릭하여 Setup Routes 대화상자를 닫습니다.83

Firebox Interface Speed and DuplexWatchGuard System Manager사용자는 Firebox인터페이스의 speed과 duplex값을 자동이나 수동으로 설정할 수 있습니다. WatchGuard는 Firebox가 연결되어 있는 장치에 맞도록 speed와 duplex를 설정할 것을 권고합니다. 사용하는 네트웍의 다른 디바이스들을 조작하는 자동 Firebox 인터페이스파라미터들을 override 해야 한다면 수동설정을 사용하여야 합니다.1. Network > Configuration를 선택합니다. 설정하고자 하는 인터페이스를 클릭합니다.2. Advanced Settings를 클릭합니다. Advanced Settings 대화상자가 나타납니다.3. MTU 선택상자에서 인터페이스로 전송 할 수 있는 최대 패킷 크기(byte 단위)를선택합니다. 일반적인 값은 1,500byte입니다.4. Link Speed drop-down리스트에서 Auto Negotiate, Half-duplex, Full-duplex 중한가지 속도를 선택합니다.5. OK를 클릭하여 Advanced Settings대화상자를 닫습니다. 다시 한번 OK를 클릭하여Network Configuration 대화상자를 닫습니다.84

WatchGuard System Manager6장 정책(Policy)의 설정Policy Manager에는 두 가지 종류의 policy가 있는데 한가지는 Filter이고 또 다른 한가지는 proxy입니다.Packet filter는 각 패킷의 IP헤더를 검사하는 방화벽의 가장 기본적인 기능으로서, Firebox안으로 들어가거나 나오는 네트웍 트래픽을 조절합니다. 패킷헤더 정보가 이상이 없다면Firewall은 그 패킷을 허용하지만 정상적인 패킷이 아니라면 drop합니다. 그뿐 아니라 로그메시지를 남기거나 원천지로 메시지를 보낼 수도 있습니다.Proxy도 Packet filter와 같은 헤더 검사 방식을 따르지만, 내용도 검사한다는 차이점이 있습니다. 만일 내용이 설정한 기준에 맞지 않으면 패킷의 송신을 거부합니다. Packet filter는네트웍과 트랜스포트 레이어(4 Layer)에서 작동하고, Proxy는 어플리케이션 레이어(7Layer)에서 작동합니다. Proxy를 활성화하면 Firebox는 다음과 같이 작동합니다.:• 모든 네트웍 데이터를 제거합니다.• RFC compliance의 내용과 content type을 검사합니다.• 네트웍 데이터를 다시 추가합니다.• 목적지로 패킷을 송신합니다.proxy가 Packet filter보다 더 많은 리소스와 대역폭을 사용하기는 하지만 필터가 잡아내지못하는 위험한 content type을 검사해냅니다.이 매뉴얼에서는 packet filter와 proxy를 policy로서 같이 언급할 것입니다. 달리 설명하지않는 이상 각 프로시져는 proxy와 packet filer 두 가지 모두를 설명할 것입니다.Policy Manager는 packet filter와 proxy 각각을 아이콘으로 나타냅니다. 트래픽이 허용되거나 거부되고 사용자는 원천지와 목적지를 설정할 수 있습니다. 또한 로깅, 알람에 대한룰을 설정할 수 있으며, 포트나 프로토콜, 그리고 packet filter나 proxy의 다른 파라미터들을 설정할 수도 있습니다.WatchGuard Fireware에는 가설정된 packet filter와 proxy가 있습니다. 예를 들면, 모든텔넷 트레픽에 대하여 packet filter를 하려면 Telnet packet filter를 추가하면 됩니다. 그뿐아니라 사용자는 포트, 프로토콜, 기타 다른 파라미터에 대한 사용자 packet filter 룰을 만들 수 있습니다.85

사용자 네트웍에 맞는 Policy의 생성WatchGuard System ManagerFirebox는 허가되지 않는 모든 패킷을 거부합니다. 이 보안룰은 다음과 같은 상황으로부터네트웍을 보호해줍니다.• 새롭거나 다른 IP 프로토콜을 사용한 공격• 알려지지 않은 응용프로그램Firebox를 Quick Setup Wuzard로 설정할 때에 사용자는 단지 기본적인 packetfilters(DNS클라이언트, FTP, TCP 나가는 proxy)와 인터페이스 IP주소만을 설정 할 수 있습니다. 따라서 Firebox가 경로를 만들어 주어야 할 소프트웨어 응용프로그램과 네트웍 트래픽이 많다면 다음과 같이 해야 합니다. :• 필요한 트래픽이 Firebox를 통과할 수 있도록 룰을 설정해주어야 합니다.• 각 룰에 대하여 허가되는 호스트와 속성을 설정해주어야 합니다.• 네트웍을 보호하기 위한 요건과, 사용자가 외부 자원에 접근해야 하는 요건이상충되지 않도록 잘 조절해야 합니다.따라서 Firebox를 설정할 때에 나가는 접근에 대해 조심스럽게 다루어야 하는 것입니다.Policy 추가하기Policy Manager로 Policy를 추가할 수 있는데, Firebox에 설정되어 있는 policy들이 아이콘으로 나타납니다.각 policy에 대하여 사용자는 다음과 같은 것들을 할 수 있습니다. :• 트래픽의 원천지(source)와 목적지(destination)를 허용하도록 설정할 수 있습니다.• Filter 룰과 policy를 만들 수 있습니다.• Policy를 활성, 비활성화할 수 있습니다.Policy Manager View바꾸기Policy Manager는 두 가지 보기 옵션인 Large Icons 와 Details가 있습니다. Large Icons화면은 각 policy를 아이콘으로 보여주며, 작은 점은 상태 표시기로서 들어오고 나가는 트래픽을 policy가 허용하거나 거부할 때 나타납니다. 또한 해당 policy가 proxy일 때는 푸른점으로 표시됩니다.Large Icons 화면으로 바꾸려면 View메뉴에서 Large Icoms를 클릭하면 됩니다.86

WatchGuard System ManagerLarge Icons ViewDetails 화면으로 바꾸려면 View메뉴에서 Details를 선택합니다. 이 화면에서는 policy가표 형식으로 나타나는데 사용자는 원천지(source)와 목적지(destination), 로깅, 알람 파라미터와 같은 설정 정보를 모두 볼 수 있습니다.Details View새로운 policy 추가하기packet filter나 proxy를 설정에 추가하려면 Policy Manager를 사용하면 됩니다. Policy를추가하려면 다음과 같이 합니다.:1. Policy Arena에서 오른버튼을 클릭하여 New Policy를 선택합니다. 또한 Edit >Add Policies선택할 수도 있으며, 이 때에 Policies 대화상자가 나타납니다.2. Packet Filters나 Proxies 폴더를 확장하려면 폴더 왼쪽의 +표시를 클릭합니다.Packet filter나 proxy들이 나타납니다.87

WatchGuard System Manager3. 추가할 Policy 이름을 한번 클릭합니다. Policy를 클릭하면 New, Edit, Remove버튼아래에 policy 아이콘이 나타납니다. 또한 Details 상자가 나타나 policy에 대한기본 정보를 보여줍니다.4. Add를 클릭합니다. New Policy Properties 대화상자가 나타납니다.5. 사용자는 여기에서 policy 이름을 변경할 수 있습니다. 이 정보는 Policy ManagerDetails 화면에 나타납니다. 이름을 변경하고자 하는 경우, 입력상자 안에 새로운이름을 입력하면 됩니다.6. OK를 클릭합니다. Policy의 Properties 대화상자가 나타납니다.7. Properties 대화상자를 닫기 위해 OK를 클릭합니다. Policies 대화상자가 열려있는동안에는 하나 이상의 policy를 계속 추가할 수 있습니다.8. Close를 클릭합니다. Policy Manager안에 새로 추가한 policy가 나타납니다. 이제91 페이지의 “Policy Properties 설정하기”에서 설명하는 것과 같이 policyproperties를 설정 할 수 있습니다.새로운 policy 만들기Policy Manager에는 기 정의된 packet filter policy들이 이미 많이 있지만, 사용자가 원하는대로 새로운 policy를 만들거나, 기존의 policy를 수정하는 것이 가능합니다. 만일 방화벽뒤에 새로운 소프트웨어를 설치했다면 이러한 작업이 반드시 필요해질 것입니다. 그러나 기억하실 것은, 새로운 policy가 추가된다는 것은 사용자의 조직 안팎에서의 보안 위협이 그만큼 증가한다는 것을 또한 의미한다는 것입니다.1. Policy Arena에서 오른 버튼을 클릭하여 New Policy를 선택합니다. Edit > Add88

Policies를 선택해도 Policies 대화상자가 나타납니다.WatchGuard System Manager2. New를 클릭합니다. New Custom Policy 대화상자가 나타납니다.3. Name 입력상자에 policy 이름을 입력합니다. 이 이름은 Policy 대화상자에 있는이름들과 다른 것 이어야 합니다. 이 이름은 Policy Manager에 나타날 것이며,policy를 찾아 수정 및 삭제를 할 때 편의를 제공합니다.4. Description 상자에 policy에 대한 설명을 입력합니다. 이는 User Filters리스트에서 policy이름을 클릭할 때 Details 섹션에 나타납니다.5. policy 유형을 Packet Filter나 Proxy 가운데에서 선택합니다. Proxy 옵션은 다음과 같습니다. :- DNS- FTP- HTTP- IPS- 외부로 향하는 패킷- SMTP89

WatchGuard System Manager6. 이 Policy에 설정을 추가하려면 Add를 클릭합니다. New Policy Setting 대화상자가나타납니다.7. Type drop-down리스트에서 Single Port나 Port Range 를 선택합니다.8. Protocol drop-down리스트에서 새로운 policy에 대한 프로토콜을 선택합니다. 네트웍 프로토콜에 대한 더 많은 내용은 온라인 도움말 시스템의 Reference Guide를참조하십시오. Single Port를 선택하였으면 다음과 같은 항목을 고를 수 있습니다.:- TCP- UDP- GRE- IP- AH- ESP- ICMP- IGMP- OSPFPort Range를 선택했다면 TCP나 UDP를 선택할 수 있습니다.9. Server Port drop-down 리스트에서 새로운 policy에 대한 클라이언트 포트를 선택하십시오. 만일 Port Range를 선택한 경우에는 범위의 시작과 끝 포트를 선택하십시오.10. OK를 클릭합니다. Policy Manager는 New Policy 대화상자로 값을 추가합니다. 이policy의 이름, 정보, 설정 등이 정확한지 다시 한번 확인하시기 바랍니다. 필요하다면 Add를 클릭하여 포트를 더 추가해야 하는데, Policy에 모든 포트를 설정할 때까지 Add Port 과정을 반복하여야 합니다.11. OK를 클릭합니다. Policies 대화상자가 Packet Filters 폴더에 새로 추가된 policy와 함께 나타납니다.90

WatchGuard System Manager같은 type의 policy 여러 개 추가하기필요하다면 똑같은 policy를 여러 번 추가할 수 있습니다. 예를 들어 관리를 위해서는 웹접속에 제한이 없으나, 모든 사용자가 웹에 접속하는 데에는 제한을 둘 수 있습니다. 이를위해 같은 outgoing type 트래픽이지만 다른 속성을 가진, 두 개의 다른 policy를 만들면됩니다.1. 첫번째 policy를 Add합니다.2. 보안 policy의 기능을 설정하고 정보를 입력하며 이름을 변경합니다. 위의 예를 따르면, 첫번째 policy의 이름을 “restricted_web_access”라고 할 수 있습니다.3. OK를 클릭합니다. Policy에 대한 Properties대화상자가 나타납니다. 91 페이지의“Policy Properties 설정하기”에서 설명한 바와 같이 properties를 설정합니다.4. 두번째 policy를 Add합니다.5. OK를 클릭하면 해당 Policy에 대한 Properties대화상자가 나타납니다. properties를 설정합니다.--------------------------- 주 의 -----------------------------------예를 들어 incoming 트래픽을 허용하는 HTTP policy와 거부하는 policy와 같은, 서로 상반되는 policy들을 만들지 마십시오. 많은 policies들이 존재할 때 Disabled옵션을 사용하여이를 조절할 수 있습니다.--------------------------------------------------------------------policy 삭제하기보안 policy가 변경됨에 따라 때때로 policy들이 삭제되어야 할 경우가 생깁니다. 이런 경우에는 Policy Manager에서 policy를 먼저 제거한 후 Firebox에 policy를 저장하여야 합니다. Policy Manager에서 다음과 같이 실행합니다. :1. policy 아이콘을 클릭합니다.2. 마우스 오른 버튼을 클릭하여 Delete를 선택합니다. 또는 Edit < Delete Policy를선택할 수도 있습니다.3. 확인을 묻는 메시지가 나타나면 Yes 를 클릭합니다.4. Firebox의 설정을 저장하고 Firebox를 재부팅합니다. File > Save > To Firebox를선택합니다. 설정 패스워드를 입력합니다. Save to Firebox 체크박스를 선택한 후Save를 선택합니다.Policy Properties 설정하기Policy를 정의하고 추가한 후에 properties를 변경하고자 한다면, policy아이콘을 더블클릭하여 Edit Policy Properties 대화상자를 엽니다.91

WatchGuard System Manager접근 룰, 원천지, 목적지의 설정주어진 policy에 대한 접근 룰을 정하기 위해서는 Policy 탭을 사용합니다.Policy 탭은 다음과 같은 것들을 보여줄 것입니다.:• 이 policy를 사용한 트래픽이 허용되는지 거부되는지의 여부• Firebox를 통과하여 접속 가능한 사용자, 호스트, 네트웍에 대한 커넥션을 시작하기 위해 이 policy를 사용하는 주체• 이 policy의 트래픽의 목적지From 리스트에서 이 policy를 사용하여 네트웍 트래픽을 송신할 컴퓨터와 네트웍을 추가합니다. To 리스트에서는 이 policy를 사용하여 Firebox가 트래픽을 경유시킬 컴퓨터와 네트웍을 추가합니다. 예를 들면, ping packet filter를 external 네트웍에 있는 모든 컴퓨터에서optional 네트웍에 있는 웹서버 한 대로 보내어지는 트래픽에 대하여 허용하도록 설정 할수 있을 것입니다.사용자는 트래픽이 어떻게 다루어질지를 결정짓는 다음의 설정을 이용할 수 있습니다. :Allowed트래픽이 원천지와 목적지에 대하여 사용자가 설정한 룰을 따르고 있다면해당 policy를 사용하는 트래픽은 Firebox가 허용합니다.Denied이 policy를 따르는 모든 트래픽을 거부합니다. 사용자는 이 policy를 사92

WatchGuard System Manager용하고자 하는 컴퓨터가 있을 때 로그메시지를 저장하도록 절정할 수 있으며, 이 policy를 사용하여 접속을 시도한 컴퓨터나 네트웍을 BlockedSites 리스트(Properties 탭에서 설정)에 자동 추가할 수도 있습니다.Denied(send reset)d이 policy를 따르는 모든 트래픽을 거부합니다. 사용자는 이 policy를 사용하여 접속을 시도한 컴퓨터나 네트웍을 Blocked Sites 리스트(Properties 탭에서 설정)에 자동으로 추가할 수 있습니다. 또한 Firebox는 리셋(RST)패킷을 클라이언트에세 보내어 세션이 거부되고 종료되었음을 알릴 수도 있습니다. 보통 포트가 block되었기 때문에 발생합니다.1. Policy 탭에서 커넥션을 어떻게 다룰 것인지 다음 세가지 Allowed, Denied,Denied(send reset) 중에서 선택합니다.2. policy의 멤버를 추가하려면 From이나 To 멤버 리스트에 있는 Add버튼을 클릭합니다.3. policy에 네트웍, IP주소, 특정 사용자를 추가하려면 Add Address 대화상자를 사용합니다.4. Add User나 Add Other를 클릭합니다.5. Add Other를 선택했다면 Choose Type drop-down리스트에서 추가할 호스트 범위,호스트 IP, 네트웍 IP를 선택합니다. Value입력상자에 정확한 주소, 범위, IP값을 넣고 OK를 클릭합니다. Selected Members 와 Address리스트에 멤버 혹은 address가 나타납니다.6. Add User를 선택했다면 사용자 유형이나 그룹 유형을 선택하고, 인증서버를 고르십시오.7. OK를 클릭합니다.93

WatchGuard System Manager로깅 properties 설정하기각 policy에 대하 로깅 설정을 하려면 Policy Properties대화상자의 Properties탭을 사용합니다. Policy가 패킷을 거부할 때에 로그를 남기거나 알람을 표기하도록 Firebox에 설정 할수 있습니다.1. Properties 탭에서 Logging을 클릭합니다. Logging and Notification 대화창이나타납니다.2. 보안 policy에 따라 실행될 파라미터값과 알람값을 설정합니다.Enter it in the log이 체크박스를 활성화하면 Firebox는 Category 리스트에서 선택한 유형의 트래픽이 발견되면 로그베시지를 보내게 됩니다. Firebox의 Domainname resolution때문에 Firebox가 로그파일에 로그메시지를 보내는 데에시간이 지연될 수 있습니다. Firebox의 모든 policy의 디폴트 설정은, 패킷이 거부되는 경우 로그메시지를 보내도록 되어있습니다.Send SNMP Trap이 체크박스를 활성화 하면 Firebox는 이벤트 알람을 SNMP관리시스템으로 보내게 됩니다. Trap은 임계치와 같이 미리 정한 값을 초과하는 조건일경우 발생합니다.Send nitification이 체크박스를 활성화하면 Firebox는 Category 리스트에서 선택한 유형의 트래픽을 발견할 때 notification을 송신합니다. 사용자는 Log Server에이 파라미터를 설정합니다.사용자는 notification을 다음과 같은 유형으로 설정할 수 있습니다. :- E-mail Firebox는 이벤트가 발생하면 e-mail로 메시지를 송신합니다.Log Server사용자 인터페이스의 Notification 탭에서 E-mail주소를 입력합니다.94

WatchGuard System Manager- Pop-up Window 이벤트 발생시 관리스테이션에 대화상자가 나타나게 할수 있습니다. 사용자는 알람의 때와 반복횟수를 조절할 수 있습니다.발생 간격과 반복횟수 설정방법에 대해서는 105 페이지의 “발생 간격과반복횟수의 설정”을 참조하면 됩니다.만일 사용자가 정의한 policy가 proxy라면 View/Edit Proxy, Clone Proxy아이콘과 함께Proxy drop-down리스트가 나타날 것입니다. 이들 옵션에 대한 자세한 설명은 “7장Proxied Policies의 설정”을 참고하세요-------------------------- 주 의 --------------------------------------하나의 policy는 트래픽을 허용하거나 거부하는 한가지 행동만 할 수 있다. 만일 두가지모두를 원한다면 각각에 대하여 다른 policy를 만들어야 한다.--------------------------------------------------------------------static NAT 설정Static NAT은 port forwarding이라고도 하며 port-to-host NAT이기도 합니다. 호스트는external 네트웍에서 특정 공인 address와 port로 패킷을 보내는데, 이때 Static NAT은 이address를 방화벽 뒷 단의 주소와 포트로 변환 시켜줍니다.작동원리 때문에 Static NAT는 TCP와 UDP와 같이 특정 포트를 사용하는 policy에만 가능합니다. 다른 프로토콜에 대한 policy에 대해서는 incoming Static NAT를 사용할 수 없으며 policy의 Properties대화상자의 NAT버튼도 비활성화 됩니다. 그리고 Any policy에 대해서도 Static NAT를 사용할 수 없습니다.1. Policies Arena의 policy아이콘을 더블클릭합니다. Policy의 Properties 대화상자에Incoming 탭이 나타납니다.2. Connections are drop-down리스트에서 Allowed를 클릭합니다. Static NAT를 사용하려면 policy가 incoming 트래픽을 통과하도록 해야 합니다.3. To 리스트 아래의 Add버튼을 클릭합니다. Add Address 대화상자가 나타납니다.4. NAT를 클릭합니다. Add static NAT 대화상자가 나타납니다.--------------------------주 의-----------------------------------메일서버는 incoming NAT를 위해서 Firebox의 정확한 external adress를 사용해야 하는데,그렇지 않으면 메일장애가 생길 수 있기 때문입니다.95

WatchGuard System Manager5. 이 policy를 사용하기 위해 External IP Address drop-down 리스트에서 “public”address를 선택합니다.6. internal IP주소를 입력합니다. Internal IP주소는 trusted 네트웍의 목적지입니다.7. 필요하면 Set internal port to different port than service 체크박스를 선택합니다.보통은 이것을 선택하지 않습니다. 이 기능은 사용자가 패킷의 목적지를 특정 내부호스트 뿐만 아니라 다른 포트로까지 변경할 수 있게 합니다. 하지만 만일 이 체크박스를 선택했다면 internal port 박스의 화살표 버튼을 사용하거나 직접 포트번호를 입력하십시오.8. Add Static NAT 대화상자를 닫으려면 OK를 클릭하십시오. Static NAT의 루트가Members 와 Addresses 리스트에 나타납니다.9. Add Address 대화상자를 닫기 위해 OK를 클릭한 후, policy의 Properties대화상자를 닫기 위해 다시 한번 OK를 클릭합니다.Advanced properties 설정하기Edit Policy Properties 대화상자의 Advanced탭은 스케쥴 설정, Quality of Service(QoS)구현, gloabal NAT룰 적용, 해당 policy의 ICMP 에러 핸들링 구현, 사용자 idle time구현을할 때 사용할 수 있습니다.스케쥴 설정policy 수행 스케쥴을 설정 할 수 있는데, 가 정의된 설정을 drop-down리스트에서 선택하96

WatchGuard System Manager거나 새로 사용자가 원하는 스케쥴을 만들 수도 있습니다. 미리 정의된 설정과 새로운 스케쥴을 만드는 방법에 대해서는 69 페이지의 “스케쥴 생성하기”를 참조하시기 바랍니다.Quality of Service(QoS) 설정 적용Policy와 QoS를 조합하여 사용할 수 있는데, 해당항목의 오른쪽에 있는 버튼을 사용하여새롭게 QoS 설정을 생성할 수 있습니다. 새로운 설정을 생성하고 나면 QoS drop-down 리스트에 적용되어 나타납니다. 생성하는 자세한 방법은 230 페이지의 “Qos의 설정”를 참조하십시오.NAT룰 적용Policy에 NAT룰을 적용할 수 있습니다. :1- to-1 NATFirebox는 137 페이지 “1-to-1 NAT의 사용”에서 설명하는 것과 같이 사용자가 정하는 사설 또는 공인 IP 범위를 사용할 수 있습니다.Dynamic NATFirebox는 이 policy에 대하여 밖으로 나가는 패킷에 공인 IP주소를 사용합니다. Firebox에 정의된 동적 NAT를 사용하고자 하면 Use global table을 선택하고, 이 policy에 대하여 모든 트래픽에 NAT를 적용하고자 하면All traffic을 선택해야 합니다. 만일 policy가 두 가지 룰에 모두 해당할때에는 1-to-1 NAT이 우선합니다.ICMP 에러 핸들링 설정Policy에 ICMP 에러 핸들링 설정을 할 수 있습니다. Drop-down 리스트에서 선택하십시오.Use global settingFirebox에 정의되어 있는 일반적인 ICMP 에러 핸들링 루틴을 사용합니다.자세한 것은 59 페이지의 “ICMP Error Handling”을 참조하십시오.Specify settingglobal setting을 구체화합니다. ICMP Setting을 클릭하면 ICMP ErrorHandling Settings 대화상자가 나타납니다. 원하는 것을 체크합니다. 자세한 내용은 59 페이지의 “ICMP Error Handling”을 참조하십시오.97

WatchGuard System Manager사용자 idle time설정idle time-out을 설정하려면 Specify Custom Idle Timeout을 클릭하고 화살표 버튼으로 초를 맞추면 됩니다.Policy 순위 설정여기에서 순위의 의미는 Firebox가 복수개의 policy를 배열한 순서를 발합니다. 디폴트 순서를 사용하거나, 사용자가 원하는 대로 정의하여 사용할 수도 있습니다.자동 순서 사용하기디폴트로 policy들은 자동적으로 순서가 매겨져 있으므로 사용자는 순서를 따로 정의하지않아도 됩니다. Policy Manager는 가장 구체적인 것에서부터 가장 덜 한 것의 순서로 자동으로 순서를 부여합니다. 이 비교연산의 일련과정은 다음과 같은 것을 사용하여 수행됩니다.1. Policy Type2. To 항목의 상세 트래픽3. Frome 항목의 상세 트래픽4. 방화벽의 대응방법5. 스케쥴6. 서비스명의 알파벳 순서7. policy 명의 알파벳 순서다음의 몇 개 섹션에서 이들 비교 연산을 설명할 것 입니다.Policy Type의 비교policy들은 같거나 다른 것보다 더욱 상세하다고 판단될 때까지 각 단계를 거쳐 검사됩니다.1. 하나(또는 둘 모두)가 Any.2. TCP 0(any) 또는 UDP 0(any) 프로토콜의 수를 검사합니다. 수가 작을수록 상세한것입니다.3. TCP와 UDP 프로토콜의 유일한 포트 수를 검사합니다. 수가 작을수록 상세한 것입니다.4. TCP와 UDP 프로토콜의 유일한 포트수의 합계를 검사합니다. 합이 작을수록 상세한 것입니다.5. IP 프로토콜 값에 근거하여 프로토콜을 점수화합니다. 점수가 작을수록 상세한 것입니다.만일 한 policy가 다른 것보다 우선하지 못하면 다음 섹션에서 설명하는 트래픽 상세에 따98

WatchGuard System Manager라 순서를 부여합니다.상세 트래픽의 비교Policy Manager는 트래픽 상세들을 비교하여 policy의 내용이 가장 덜 상세한 것끼리 비교합니다. 둘 중 상세한 것이 더 상세한 policy의 순위가 됩니다. 상세한 것의 기준이 되는 항목의 리스트는 다음과 같습니다. 숫자가 작을수록 순위를 높게 가집니다.1. IP주소2. IP범위(비교되는 서브넷보다 작은 것)3. 서브넷4. IP범위(비교되는 서브넷보다 큰 것)5. 인증 사용자6. 인증 그룹7. 인터페이스, 방화벽8. Any-External, Any-Trusted, Any-Optional9. Any아래의 두 policy를 예를 들어 보면,HTTP-1From : Trusted, user 1HTTP-2From : 10.0.0.1, Any-TrustedHTTP-1에서 Trusted가 가장 상세순위가 낮고 HTTP-2에서는 Any-Trusted가 낮기 때문에 이들 두 값이 비교됩니다. 이때 Trusted가 Any-Trusted에 속하기 때문에, HTTP-2가IP주소를 가지고 있지만 HTTP-1이 더욱 상세한 것으로 판정이 됩니다.두 policy가 같은 경우 방화벽 대응방법을 비교합니다. 이는 다음 섹션에서 설명합니다.방화벽의 대응방법 비교높은 것에서부터 낮은 순서로 나열합니다. :1. Denied or Denied(send reset)2. Allowed Proxy3. Allowed Filter이름 비교두 개의 policy가 그래도 같다면, 서비스 명을 알파벳순서로 비교합니다. 서비스명도 같다면policy 명을 알파벳순서로 비교합니다.수동으로 순위 설정하기수동모드로 변환하려면 View > Auto-order mode를 선택하여 체크표시를 없애야 합니다.99

WatchGuard System Manager그러면 mannual-order모드로 변환할 것인지를 확인하는 메시지가 나타납니다.Manual mode상태에서 Policy의 순서를 바꾸려면 다음과 같이 합니다.• 순위를 수정하고자 하는 policy를 선택합니다. Policy Manager 툴바의 오른쪽에있는 상, 하 화살표로 순위를 수정합니다.또는,• 수정하고자 하는 policy를 선택하여 새로운 위치에 마우스로 드래그합니다.100

7장 Proxied Policies의 설정WatchGuard System ManagerProxy filtering은 패킷의 헤더만이 아닌 패킷의 내용까지 검사한다는 점에서 패킷 필터링보다 한단계 발전되었다고 볼 수 있습니다. 따라서 데이터에 임베딩되거나 숨겨진 금지된내용을 찾아낼 수 있습니다. 예를 들면, SMTP proxy는 모든 들어오는 SMTP패킷들을(email)검사하여스크립트 언어로 쓰여진 실행화일 등의 금지된 내용을 포함하고 있는지를 찾아냅니다. 이런 방식은 컴퓨터 바이러스를 보내는 기본적인 방법입니다. 패킷 필터는 패킷데이터 영역에 이와 같이 허가되지 않은 내용이 있는지 탐지할 수 없지만, 프락시 필터는허용되지 않는 내용이 어떤 것들인지 알고 탐지해 냅니다.다른 policy들이 네트웍과 트랜스포트 레벨에서 작동하는 반면, 프락시는 응용레벨에서 작동합니다. 다시 말하면 프락시가 처리하는 각 패킷은 모두 벗겨지고, 분석되고, 다시 조합되어 목적지로 보내어지는 것입니다. 이는 패킷 필터링 과정보다 여러 복잡한 레이어와 과정이 첨가되는 것입니다. 따라서 프락시가 패킷 필터보다 더 많은 처리 대역폭을 사용한다는의미도 되지만, 패킷 필터가 할 수 없는 위험한 내용을 잡아낸다는 것이 중요합니다.Ruleset의 정의사용자는 프락시 설정요소에 대한 현재의 룰셋을 수정하거나 새로 만들 수 있습니다.Ruleset이란, 내용, pattern, expression을 정의한 것(rule)과 rule에 매치되는 곳이 있을 때Furebox가 대응하는 행동의 집합을 말합니다. 또한 룰셋에는 Firebox가 알람을 보내어 알릴지, 로그로 알릴지의 여부 또한 정의합니다.룰셋 category 별로 Firebox는 기 설치된 룰셋을 가지고 있으며, 사용자가 원한다면 대응방법을 수정할 수 있게끔 되어 있습니다. 또한 사용자의 고유한 룰셋도 생성, 추가할 수 있습니다.룰셋 정의 시에 나타나는 화면의 각 항목은 category에 상관없이 같습니다.101

WatchGuard System Manager룰셋 추가하기룰셋을 추가하기 위한 순서는 다음과 같습니다.:1. Pattern 입력상자에 full regular expression문법에 맞도록 패턴을 입력하십시오.Regular expression에 대한 자세한 사항은 http://www.pcre.org/pcre.txt와 같은 문서를 참조하십시오.2. Add를 클릭합니다. Rulesets 상자에 새 룰셋이 나타납니다.3. Action to take 아래에 룰에 맞는 상황이 발생시 취할 행동을 If matched dropdown리스트에서 선택합니다.Allow정상적으로 진행하도록 커넥션을 허용합니다.Deny특정 request는 거부하지만 가능하면 커넥션은 유지합니다.Drop특정 request를 거부하며 커넥션도 중지시킵니다.BlockRequest를 거부하며, 커넥션을 중지할 뿐만 아니라 근원 호스트를Blocked Site list에 추가합니다. Blocked sites에 대하여는 157페이지의“Blocked Sites의 설정”를 참조하십시오.4. 알람은 정의된 조건이나 임계치를 넘어섰을 경우에 사용자에게 알려주는 메커니즘입니다. 해당 이벤트에 대하여 알람을 송신하려면 Alarm체크박스를 체크합니다. 나중에 알람유형을 설정할 수 있는데, SNMP trap이나 사용자 고유의 알람을 송신하는기능도 있습니다. 자세한 것은 104페이지의 “사용자에 맞는 Alarms, Logging,Notification 설정”을 참조하십시오.102

WatchGuard System Manager5. 이벤트 로그로 이벤트를 저장하려면 Log체크박스를 체크합니다.6. Action to take 아래에 룰에 맞지 않는 상황이 발생시 취할 행동을 None matcheddrop-down 리스트에서 선택합니다. 이 항목들에 대해서는 3~5번 단계를 살펴보십시오.룰셋 세부사항 보기현재 생성된 룰셋의 세부사항을 보려면 Change View를 클릭합니다. 여기에서는 각 룰셋의대응행동을 볼 수 있으며, 룰셋을 수정, 복사(새 룰셋을 만드는 기초 데이터로 사용), 삭제,리셋을 할 수 있는 버튼이 제공됩니다. Change View를 다시 한번 클릭하면 그 전의 화면으로 돌아가게 됩니다.룰셋 순서 변경하기Ruleset은 다음과 같이 실행됩니다. :• 윈도우의 아래에서 위 방향의 순서로 실행됩니다.• Filtered 항목이 룰에 부합되었을 때에는, 정의한 대응행동 순서에 따라 실행됩니다.• 내용이 복수의 룰에 부합될 수 있으나 첫번째 해당 룰만 실행됩니다.• 열거된 룰에 부합되지 않는 특정 유형의 내용은 모두 디폴트 룰에 따라 처리됩니다.• Content filtering 처리 시 디폴트 룰은 가장 마지막 단계입니다. 열거된 룰에 부합되지 않는 룰 category에 있는 content에는 모두 디폴트 룰의 대응행동이 적용됩니다.103

WatchGuard System ManagerAlarms, Logging, Notification 설정의 customizing알람, 로그, 알려주기 기능은 특정 조건에 맞거나 임계치를 초과한이벤드를 알려주거나 기록하는 방법으로서 각 패킷/프락시 필터에 대한 이러한 방법들을 사용자에 맞게 만들 수 있습니다.프락시에 대한 로깅과 알림 설정1. Policy Properties 대화상자를 열기 위해 policy아이콘을 더블클릭합니다.2. Properties 탭을 클릭한 후 Logging을 클릭합니다. Logging and Notification대화상자가 나타납니다.3. 다음 섹션에 설명하는 대로 보안 policy의 요건에 맞추어 파라미터를 설정합니다.알람, 로그, 알려주기에 대한 대화상자 사용하기프락시 정의에서 알람, 로그, 알려주기에 대한 대화상자는 다음 필드들을 포함합니다.:Enter it in the log이 체크박스를 표시하면 Firebox는 이벤트가 발생할 때 로그 메시지를 송신합니다.모든 policy의 디폴트 설정으로 Firebox가 패킷을 거부할 때에는 로그메시지를 송신하도록 되어있습니다.Send SNMP Trap이 체크박스를 표시하면 Firebox가 SNMP관리 시스템으로 이벤트를 알립니다.Trap은 설정된 임계치를 넘는 것과 같은 상황이 발생할 때 나타납니다. SNMP가reset, restart, failover와 같은 상황 때문에 시작하고 정지할 때 발생하는 SNMPtrap은 Binding 부분은 비어있다는 것에 주의하기 바랍니다.Send Notification이 체크박스를 표시하면 이벤트 발생 시에 Firebox가 알림 메시지를 송신합니다.사용자는 다음 방법 중 하나를 설정 할 수 있습니다.:104

WatchGuard System Manager- E-mail : 이벤트가 발생하면 E-mail메시지를 송신합니다. Log Server 화면의 Notification탭에서 e-mail주소를 설정하면 해당주소로 송신됩니다.- Pop-up Window : 이벤트가 발생하면 관리스테이션에 팝업창을 띄웁니다.발생 간격과 반복횟수의 설정알림의 발생 간격과 반복 실행 횟수를 다음과 같이 설정할 수 있습니다.:Launch Interval다른 알림이 발생하기까지의 여유 기간(분 단위)입니다. 이 파라미터로 같은 이벤트를 잠시동안 여러 번 보여주는 복잡함을 예방할 수 있습니다.Repeat Count이것은 기간 내에 이벤트가 발생하는 숫자로서, 이 숫자에 다다르게 되면특별한 알림이 발생합니다. 이것은 또한 반복 로그를 만들며, 알림이 발생한 후에 해당 횟수만큼의 이벤트가 발생하면 다시 특별한 알림이 발생합니다.이들 두 값을 사용하는 방법을 다음의 예로 설명합니다. :• Launch interval = 5분• Repeat count = 4Port space probe공격이 오전 10:00에 시작되어 1분마다 계속되고 있습니다. 로깅과 알림시스템이 작동을 시작합니다. 작동되는 방식은 다음과 같습니다.:1. 10:00 – 초기 port space probe( 첫번째 이벤트 )2. 10:01 – 알림이 처음 시작됨( 이벤트 1개 )3. 10:06 – 두번째 알림 발생( 이벤트 5개 보고된 상황 )4. 10:11 – 세번째 알림 발생( 이벤트 5개 보고된 상황 )5. 10:16 – 네번째 알림 발생( 이벤트 5개 보고된 상황 )Launch interval은 5분으로 설정한 1,2,3,4,5 간의 시간 간격을 조절하였습니다. Repeatcount를 launch interval과 곱하면 이벤트가 repeat notifier를 계속 작동해야 하는 시간간격이 계산됩니다.SMTP Proxy 설정하기유해 e-mail을 잠재적으로 블락하기 위해서는 SMTP proxy를 사용하는 것이 좋습니다. 프락시는 수많은 파라미터들을 이용하여 SMTP메시지를 스캔하며, 프락시 설정에서 만들어둔 설정과 룰셋을 가지로 검사합니다. SMTP proxy를 설정하는 방법은 다음과 같습니다.:1. Policy Manager에 SMTP proxy를 추가합니다. 86 페이지 “Policy 추가”에 추가하는방법이 설명되어있습니다.105

WatchGuard System Manager2. SMTP 아이콘을 더블 클릭한 후Properties 탭을 선택합니다. Edit Policy 대화상자가나타나 General Settings 정보를 보여줍니다.3. Proxy drop-down리스트에서 policy를 설정하기 위해 incoming이나 outcoming을선택합니다.4. View/Edit Proxy 아이콘을 클릭합니다.- 그림설명 : View/Edit Proxy 아이콘이 있는 Properties 대화상자General settings의 설정사용자는 general Settings를 사용하여 idle time-out과 message limit과 같은 기본 SMTPproxy 파라미터들을 설정 할 수 있습니다.106

WatchGuard System ManagerIdle timeout커넥션이 time out되기 전에 incoming SMTP커넥션이 idle상태가 되는 시간을 설정할 수 있습니다. 디폴트는 600초(10분)이며 time-out설정을 없애기 위해서는Set the time out의 체크를 없애면 됩니다.Maximum e-mail recipientsMaximum email recipients체크박스에 체크함으로써 사용자는 메시지를 보낼 수 있는 최대 email수신자 수를 설정할 수 있습니다. 이것이 카운터와 같아서 설정한 사람수를 넘어선 다른 email주소에 대해서는 drop을 수행합니다. 한 예로 디폴트로50을 사용했고 메시지를 받을 사람이 52명이라면, 처음 50명의 주소로는 메시지를송신하지만 나머지 2명의 email 주소는 보내는 대상에서 drop됩니다.support@watchguard.com과 같이 Distribution 리스트를 하나의 SMTP주소로 갖는 경우에는 하나의 주소로 간주됩니다.Maximum e-mail sizeMaximum e-mail size 체크박스에 체크하면 들어오는 SMTP메시지의 최대 크기를설정할 수 있습니다. Binary MME와 8bit MIME를 제외한 대부분의 email은 7-bitASCII텍스트로 보내집니다. MIME 첨부파일과 같은 8-bit email은 7-bit email시스템으로 넘겨지기 위해 기본 알고리즘(Base64 또는 quote-printable encoding)으로암호되는데, 이때 인코딩된 파일의 약 1/3가량 크기를 증가시키기 때문에 예를 들어 1000bytes까지의 메일을 보낼 수 있기 위해서는 이 해당 필드를 최소1334byte로 설정하여 e-mail이 정상적으로 보내어질 수 있도록 해야합니다. 디폴드값은 3,000,000bytes(3백만 byte)입니다.107

WatchGuard System ManagerMaximum e-mail line lengthMaximum e-mail line length 체크박스에 체크하면 SMTP메시지의 최대 라인길이를 정할 수 있습니다. 길이가 너무 길면 어떤 e-mail 시스템에는 overflow현상을야기 할 수 있습니다. 보통 e-mail 클라이언트와 시스템은 비교적 짧은 길이만을보낼 수 있지만 몇몇 웹기반 e-mail 시스템은 매우 긴 길이까지도 허용합니다. 디폴트값은 1024입니다.Hide E-mail ServerMessage ID나 Server Replies 체크박스를 선택하여 공격으로부터 e-mail을 보호하기 위해 기본 정보를 다시 입력합니다.Send a log messageSend a log message체크박스를 클릭하면 SMTP를 사용하고자 하는 각 커넥션 요청에 대한 로그메시지를 송신할 수 있습니다.ESMTP 파라미터의 설정ESMTP 데이터를 필터링하는 설정을 ESMTP Settings에서 할 수 있습니다. SMTP가 널리수용되고 사용되고 있지만, 일부 인터넷 커뮤니티에서 SMTP를 확장하여 더 많은 기능을부여할 필요성을 주장하여 SMTP을 확장시킨 ESMTP를 사용하게 되었습니다. 이는 확장된기능 및 서로를 인식하기 위해 확장된 특징을 지원하는 사용자에게 적합한 method들을 제공합니다.1. 좌측의 Categories 박스에서 ESMTP 파라미터를 선택합니다.108

WatchGuard System ManagerAllow BDAT/CHUNKINGBDAT와 CHUNKING를 허용하기 위해서는 체크해야 합니다. SMTP 커넥션으로 대용량 메시지를 쉽게 송신할 수 있도록 해줍니다.Allow ETRN(Remote Message Queue Starting)이것은 SMTP 클라이언트와 서버가 주어진 호스트에 메시지 큐 처리를 시작하기 위한 상호작용을 할 수 있도록 해주는 SMTP서비스의 확장형입니다.Allow 8-Bit MIMESMTP 클라이언트와 서버가 확장을 지원한다면 allow 8-bit MIME를 체크하십시오. 8-bit MIME 확장은 클라이언트와 호스트가 SMTP를 사용하여US-ASCII 범위 밖의 옥텟을 사용한 텍스트로 만든 메시지를 서로 교환할수 있게 해줍니다.Allow Binary MIME송신자와 수신자가 가능하다면 Allow the Binary MIME extension을 선택하십시오. Binary MIME은 MIME포맷을 사용하여 SMTP로 보낼 때 2진데이터의 base 64 와 quoted-printable 인코딩의 오버헤드를 방지해줍니다.인증 룰의 설정룰셋에서는 많은 ESMTP 인증 유형을 사용할 수 있습니다. 디폴트 룰은 다른 인증 유형은모두 거부하는 것으로 되어있습니다. 인증에 대한 SMTP서비스 확장은 RFC 2554에 설명되어있습니다.1. 좌측의 Categories에서 Authentication을 선택합니다.2. 101 페이지의 “Ruleset의 정의”에 설명한 것처럼 룰셋을 생성합니다.Content type rulesets 정의하기들어오는 SMTP content filtering에 대한 값들을 설정합니다. Firebox는 이때 디폴트룰을 제공하지 않습니다.1. 좌측의 Categories 에서 Content Types를 클릭합니다.2. 101 페이지의 “Ruleset의 정의”에 설명한 것처럼 룰셋을 생성합니다.Filename rulesets 정의하기e-mail 첨부파일명에 대한 값들을 설정합니다. Firebox는 이때 디폴트 룰을 제공하지않습니다.1. 좌측의 Categories 에서 Filenames 를 클릭합니다.2. 101 페이지의 “Ruleset 정의”에 설명한 것처럼 룰셋을 생성합니다.109

WatchGuard System ManagerMail from과 Mail to rulesets 정의하기Mail from은 특정 송신자로부터 네트웍에 들어온 e-mail인지에 대해 룰셋을 설정합니다. 디폴트 룰은 모든 송신자를 허용하는 것입니다.Mail to는 네트웍외부로부터 들어온 e-mail의 수신자를 설정하는 룰셋입니다. 디폴트룰은 모든 내부 수신자를 허용하는 것입니다.1. 좌측의 Categories 에서 Mail from이나 Mail to를 클릭합니다.2. 101 페이지의 “Ruleset 정의”에 설명한 것처럼 룰셋을 생성합니다.Header rulesets 정의하기Header ruleset은 밖으로 나가는 EMTP 헤더 필터링에 대한 값을 설정합니다.1. 좌측의 Categories 에서 Headers를 클릭합니다.2. 101 페이지의 “Ruleset 정의”에 설명한 것처럼 룰셋을 생성합니다.Antivirus response 정의하기이 대화상자의 필드들을 사용하면 e-mail 메시지에서 바이러스가 발견되거나 너무 큰 용량의 첨부파일이 있는 경우에 대한 대응방법을 설정할 수 있습니다.1. 좌측의 Categories 에서 Antivirus 를 클릭합니다.2. Virus found와 Attatchment too large 두 가지에 대하여 다음의 설정을 사용할수 있습니다.ActionAllow – 정상적인 커넥션을 허용합니다.Lock – 파일을 lock하여 수신자가 열 수 없습니다.Strip – content가 drop됩니다. 모든 적용되는 filtered content는 제거되고drop되지만 메시지의 나머지 부분은 통과됩니다. proxy filtering에서는 더욱 강하게 적용됩니다.Alarm이 이벤트에 알람을 작동시키려면 체크박스에 표시하면 됩니다.Log이 이벤트를 로그파일에 쓰려면 체크박스에 표시하면 됩니다.Deny 메시지 변경하기Firebox는 거부된 내용을 디폴트 deny메시지로 대체하여 보여주는데, 이 메시지를 표준HTML로 작성한 사용자의 메시지로 대신할 수 있습니다. deny메시지의 첫번째 줄은 HTTP헤더의 일부분입니다. 첫번째 줄과 메시지 body(본문)사이에는 한 줄을 반드시 띄워주어야합니다.1. 좌측의 Categories 상자에서 Deny Message를 선택합니다.2. deny 메시지 상자에 deny 메시지를 작성합니다. 다음의 변수들을 사용할 수 있습110

WatchGuard System Manager니다.%(method)%분해할 내용을 파악할 수 있는 proxy 룰을 삽입합니다.%(reason)%내용이 분해된 plain text 이유를 삽입합니다.%(transaction)%분해된 내용의 트랜잭션 정보를 삽입합니다.%(url-host)%분해된 내용의 근원지가 되는 서버 주소를 삽입합니다.%(url-path)%분해된 내용의 URL을 삽입합니다.IPS(Intrusion Prevention System) 설정해커들은 인터넷상에 있는 컴퓨터들을 공격하기 위한 수많은 방법을 사용합니다. 이들 공격은 사용자의 컴퓨팅 환경에 해를 입히거나, 민감한 정보들을 훔치거나, 해킹을 위한 자원으로 사용하기 위한 것들이 대부분입니다. 이러한 공격들을 침입이라 합니다.WatchGuard System Manager는 공격에 대응하여 네트웍을 보호하기 위한 수많은 툴을 제공합니다. SMTP Proxy는 Gateway AntiVirus for E-mail을 가지고 있어, 네트웍 상의 컴퓨터로 바이러스가 접근하기 전에 막을 수 있습니다. Gateway AntiVirus for E-mail을 활성화 하면 WatchGuard SMTP Proxy는 e-mail메시지를 검사하고, 바이러스를 찾아내어 제거합니다.------------------------------- 주 의 ------------------------------SMTP Proxy에 있는 Gateway AntiVirus for E-mail은 바이러스를 찾기 위해 e-mail만 검사합니다. 따라서 사용자의 조직이 email을 위해 SMTP를 사용하지 않으면 GatewayAntiVirus for E-mail는 바이러스 방지를 수행할 수 없습니다.--------------------------------------------------------------------Gateway AntiVirus for E-mail은 흔히 사용되는 e-mail 첨부 방식으로 인코딩된 바이러스들을 찾아 냅니다. 이 인코딩 방식에는 base 64, binary, 7-bit, 8-bit 인코딩이 포함됩니다.Gateway AntiVirus for E-mail은 인코딩되지 않거나 bihex-encoded 메시지의 바이러스는찾아낼 수 없습니다.111

1. 좌측의 Categories에서 Intrusion Prevention을 선택합니다.WatchGuard System Manager2. 침입방지를 활성화 하기 위해 Enable Intrusion Prevention 체크박스를 클릭합니다.3. Firebox가 각 정도 레벨에 맞게 대응할 수 있도록 Actions 아래에 있는 항목의 각drop-down 리스트를 사용하여 레벨을 선택합니다.Allow패킷을 허용하여 내용이 signature에 맞더라도 수신자에게 도달시킵니다.Deny패킷을 중지시키고 deny하여 송신자에게 거부 메시지를 송신합니다.Drop패킷을 소리없이 중지시키고 drop하며, 송신자에게 아무런 메시지도 송신하지 않습니다.Block패킷을 드랍하기 위해 메시지를 막고 패킷 출발지의 IP주소를 blockedsites리스트에 추가 합니다.----------------------------- 주 의 ------------------------------사용자가 이들 세가지 정도 레벨에 Allow를 설정하면 보안성이 약화됩니다.4. 각 정도 레벨에 맞게 로깅과 알림을 설정하기 위해서는 Logging & Notification을선택합니다. 더 자세한 내용은 104 페이지의 “사용자에 맞는 Alarms, Logging,Notification 설정”을 참조하십시오.112

WatchGuard System ManagerSMTP에 대하여 proxy와 AV 알람 설정하기Proxy나 AV 알람 발생시 Firebox가 하는 일을 정의할 수 있습니다.1. Proxy/AV 설정 관련 항목들에 대한 자세한 정보는 104 페이지의 ” 사용자에 맞는Alarms, Logging, Notification 설정”을 참조하십시오.FTP Proxy 설정File Transfer Protocol(FTP)는 인터넷상에서 파일을 교환하기 위한 프로토콜입니다.SMTP나 HTTP처럼 FTP도 데이터 송신을 하기 위해 TCP/IP 프로토콜을 사용합니다. 보통 인터넷을 사용하는 서버에서 파일을 다운로드 받거나 반대로 업로드할 때 FTP를 사용합니다.1. Policy Manager에 FTP proxy를 추가합니다. 86 페이지의 “Policy 추가하기”에 자세한 방법이 설명되어 있습니다.2. FTP 아이콘을 더블클릭 하여 Policy 탭을 클릭합니다.3. FTP proxy connections are drop-down리스트에서 Allowed를 선택합니다.4. Properties탭을 클릭합니다.5. Proxy drop-down리스트에서 incoming 또는 outgoing policy를 설정할 것인지를선택합니다.6. View/Edit Proxy아이콘을 클릭합니다.General settings 설정사용자명의 최소 길이와 같은 기본 FTP 파라미터를 설정하려면 General의 항목을 사용합니다.1. 좌측의 Categories상자에서 General을 클릭합니다.113

WatchGuard System Manager2. FTP 파라미터의 최대값들을 설정하기 위해서는 다음과 같은 체크박스를 선택하고화살표버튼으로 값을 설정합니다.Maximum username lengthFTP사이트의 사용자 이름의 최대길이를 설정합니다.Maximum password lengthFTP사이트에 로그인할 때 사용하는 패스워드의 최대길이를 설정합니다.Maximum filename length송신될 파일명의 최대길이를 설정합니다.Maximum command line lengthFTP사이트에 사용되는 command lines의 최대길이를 설정합니다.3. 매 FTP request마다 로그메시지를 기록하려면 Send a log message for eachconnection request 체크박스에 체크를 합니다.FTP에 command 룰셋 정의하기FTP는 파일을 관리하기 위한 많은 명령을 갖고 있습니다. 사용자는 어떤 FTP 명령에 대하여 제한을 두는 룰셋을 만들 수 있습니다. 디폴트는 모든 FTP명령 허용입니다.1. 좌측에 있는 Categories에서 Commands를 선택합니다.2. 101 페이지의 “Ruleset 정의”에서 설명한 것과 같이 룰셋을 만듭니다.FTP에 download 룰셋 설정하기Download 룰셋은 FTP를 통하여 다운로드할 수 있는 파일의 유형을 설정할 수 있습니다.다운로드 룰셋을 추가하는 방법은 다음과 같습니다.:114

1. 좌측에 있는 Categories에서 Download를 클릭합니다.WatchGuard System Manager2. 101 페이지의 “Rulesets 정의”에서 설명한 것과 같이 룰셋을 만듭니다.FTP에 upload 룰셋 설정하기Download 룰셋은 FTP를 통하여 다운로드할 수 있는 파일의 유형을 설정할 수 있습니다.다운로드 룰셋을 추가하는 방법은 다음과 같습니다.:1. 좌측에 있는 Categories에서 Download를 클릭합니다.2. 101 페이지의 “Rulesets 정의” 에서 설명한 것과 같이 룰셋을 만듭니다.FTP에 침입방어 활성화하기사용자는 FTP proxy를 사용하여 WatchGuard Intrusion Prevention System을 설정하고 활성화시킬 수 있습니다. 자세한 방법에 대하여는 111 페이지의 ” IPS(Intrusion PreventionSystem) 설정” 중 SMTP에 관한 부분을 참조하십시오.FTP에 proxy 알람 설정하기알람이란 설정한 조건이나 임계치가 넘는 상황이 발생할 때 사용자에게 알려주는 메커니즘을 말합니다. 사용자는 proxy알람이 발생할 때 Firebox가 취할 행동을 설정해 줄 수 잇습니다.1. 좌측에 있는 Categories에서 Proxy Alarms를 클릭합니다.2. Proxy Alarm Configuration의 항목들에 대해서는 104 페이지의 “사용자에 맞는Alarms, Logging, Notification 설정”을 참조하십시오.HTTP Proxy 설정HyperText Transfer Protocol(HTTP)는 인터넷상으로 hypertext 파일을 전송하는데 사용되는 프로토콜입니다. HTTP Proxy는 고성능 content-filtering 방법으로서 인터넷상에 잠재적인 악의의 호스트들로부터 웹서버와 클라이언트를 보호해주며 선택적으로 필터링 해줍니다. HTTP Proxy는 다음의 특징들을 가지고 있습니다. :• 웹 서버와 클라이언트에게 강력하게 RFC를 따르게 하기 위한 수단으로 사용될수 있습니다.• MIME content-type 필터링이 가능합니다.• Java, ActiveX등 다른 코드타입에 대하여 설정하여 screening할 수 있습니다.• HTTP헤더 checking을 해줍니다.HTTP proxy는 표준 proxy 서버처럼 원격 웹 서버와 내부의 클라이언트 간에 위치하며,클라이언트에게 잠재적으로 유해한 content를 보내기 전에 HTTP 트래픽을 라인마다 스캔합니다. 그래서 GET, POST 작업마다 HTTP RFC를 충실히 따르도록 합니다.115

WatchGuard System Manager서버는 HTTP proxy에게 정확한 URI와, 웹 클라이언트에게 되돌아온 각 URI에 붙어있는content-type 헤더를 응답해주어야 하는데, 이는 클라이언트에게 데이터를 보낼 때 HTTPrequest/response 인 것처럼 가장하는 식의 나쁜 설정이나 서비스로 웹서버의 데이터를 가져가는 것이 아니라면 그렇게 중요하지는 않습니다.1. Policy Manager에 HTTP proxy를 추가합니다. Policy Manager에 policies를 추가하는 방법은 86 페이지의 “Policy 추가하기”를 참조하십시오.2. New Policy Properties 대화상자에서 To: 항목에서 Add를 클릭합니다. AddAddress대화상자가 나타납니다.3. NAT버튼을 클릭합니다.4. 대응되는 external IP와 private internal IP를 입력한 후 OK를 클릭합니다.5. Properties 탭을 선택합니다.6. Proxy drop-down 리스트에서 incoming/outgoing policy를 선택합니다.7. View/Edit Proxy 아이콘을 클릭합니다.WatchGuard는 사용자들의 요구사항을 잘 알지 못한다면 HTTP proxy에 대한 디폴트설정을 사용할 것을 권장합니다. HTTP 룰셋을 새로 추가함으로써 사용해야 하는 사이트들이 갑자기 blocking되는 일이 발생할 수 있습니다.HTTP request의 일반설정General Settings에서는 idle time-out이나 URL길이와 같은 기본 HTTP파라미터들을 설정할 수 있습니다.116

WatchGuard System ManagerIdle Time-outTCP 커넥션을 맺은 후에 웹 서버가 클라이언트에게 request을 보냈을 때의HTTP proxy의 대기시간을 조절합니다. 또한 요청된 웹 페이지를 웹 서버가 보내줄 때까지의 proxy 대기시간도 조절합니다. 디폴트 값은 110초입니다.URL LengthURL의 최대길이를 설정합니다.Send a log message for each HTTP connection request각 request에 대하여 로그메시지를 만들며, 이 옵션을 선택하면 대용량 로그파일이생성됩니다.Setting HTTP request methodsBrowser HTTP request는 크게 GET과 POST의 두 가지로 나뉩니다. GET은 특정URIs(그래픽, html, 플래쉬) 를 요청하기 위해 사용되는데, 웹페이지는 보통 여러다양한 형식의 데이터를 포함하고 있기 때문에, 하나의 페이지를 얻어오는데 GET을 여러 번 실행하게 됩니다.POST는 사용자가 웹페이지에 데이터를 입력할 때 사용합니다. 많은 페이지들이 사용자에게 주소, e-mail, 회사명 등의 정보를 요구하기 때문에, 이것이 활성화되면 Firebox가 외부웹서버를 deny시킴으로써 사용자들이 페이지의 입력사항을 서버로 보낼 수 없게 합니다.1. 좌측의 Categories 상자에서 Request Methods를 선택합니다.2. 101 페이지의 “Ruleset의 정의”에 설명한 것과 같은 방법으로 룰셋을 추가합니다.HTTP request URL path 설정하기사용자는 HTTP path내용을 필터를 하기 위한 룰셋을 만들 수 있습니다.Path는 www.server.com/cgi/index.html에서 “cgi/index.html”와 같은 첫 슬래시(/)다음에나오는 내용을 말합니다. 디폴트로 모든 HTTP path를 허용합니다.117

1. 좌측 Categories로부터 URL path를선택합니다.WatchGuard System Manager2. 101 페이지의 “Ruleset의 정의”에 설명한 것과 같은 방법으로 룰셋을 추가합니다.HTTP request header fields 설정하기HTTP Header 영역에 대한 content filtering기능을 가지는 룰셋도 추가할 수 있습니다. 디폴트로 Via, Referer, From 헤더 각각에 정확하게 대응되는 룰을 사용하며 다른 헤더는 모두 허용합니다.118

WatchGuard System ManagerHTTP request authorization 설정하기이 룰셋은 HTTP Request Header authorization 필드를 content filtering합니다. 서버에게인증을 받기 위하여 에이전트는 request에 authorization request-header필드를 포함시킵니다. 이 필드에는 요청된 자원사용을 위해 user agent의 인증정보가 들어있습니다. 디폴트로 Firebox는 Basic, Digest, NTKM, Passport 1.4 인증방식을 허용하며 다른 인증방식도모두 조사합니다.119

1. 좌측의 Categories에서 Authorization을 선택합니다.WatchGuard System Manager2. 101 페이지의 “Ruleset의 정의”에 설명한 것처럼 룰셋을 추가합니다.HTTP responses의 일반설정General Settings에서는 idle time-out이나 라인길이와 전체길이 제한과 같은 기본 HTTP파라미터들을 설정할 수 있습니다.1. 좌측의 Categories에서 General Settings를 선택합니다120

WatchGuard System Manager2. HTTP 파라미터의 한계값을 정하기 위해 다음과 같은 체크박스를 사용하십시오.Idle Time-outTCP 커넥션을 맺은 후에 웹서버가 클라이언트에게 request을 보냈을 때의 HTTPproxy의 대기시간을 조절합니다. 또한 요청된 웹페이지를 웹서버가 보내줄 때까지의 proxy 대기시간도 조절합니다. 디폴트 값은 110초입니다.Maximum line LengthHTTP response헤더 안에 있는 문자길이의 최대값을 의미합니다. 만일 사용자의시스템이 매우 긴 길이의 라인을 허용하게 되면 buffer overflow에 취약성을 가지게 되므로,시스템에 알맞게 설정해주어야 합니다.Maximum total LengthHTTP response 헤더의 최대 총길이를 설정합니다. 이 길이가 제한길이를 넘어서게 되면 HTTP response 전체가 거부됩니다. 디폴트값은 0(제한없음)입니다.HTTP responses의 헤더설정HTTP response헤더의 내용에 대한 룰셋을 설정할 수 있는데, 디폴트로 RFC 2616에 설명되어 있지 않은 웹서버로부터 발생한 HTTP response의 헤더들을 거부하도록 되어있습니121

WatchGuard System Manager다. 더 자세한 것은 http://www.letf.org/rfc/rfc2616.txt를 참조하시면 됩니다.1. 좌측의 Categories에서 Header Fields를 선택합니다.2. 101 페이지의 “Ruleset의 정의”에 설명한 것처럼 룰셋을 추가합니다.HTTP responses의 Content type 설정웹서버가 HTTP를 통하여 데이터를 보낼 때, 그 데이터는 response에 MIME 타입을 보통사용합니다. MIME는 데이터를 보내기 전에 HTTP 헤더에 포함됩니다.이 룰셋은 HTTP response 헤더안에 있는 MIME 타입의 content를 필터링 합니다.Firebox는 디폴트로 안전한 몇몇 타입은 허용하고 특정 유형이 아닌 MIME 타입은 거부합니다.122

WatchGuard System Manager1. 좌측의 Categories에서 Content Types 를 선택합니다.2. 101 페이지의 “Ruleset의 정의”에 설명한 것처럼 룰셋을 추가합니다Cookies에 대한 HTTP responses의 설정HTTP cookies는 웹서버가 클라이언트에게 던져 주는 조그만 alphanumeric텍스트입니다.쿠키는 어떤 사용자가 어떤 페이지에서 어떤 페이지로 이동하는지를 감시합니다.따라서 이 룰셋을 이용하면 HTTP response에 대하여 쿠키를 필터링 할 수 있습니다. 디폴트로 모든 쿠키를 허용합니다.123

WatchGuard System Manager1. 좌측의 Categories에서 Cookies 를 선택합니다.2. 101 페이지의 “Ruleset의 정의”에 설명한 것처럼 룰셋을 추가합니다.HTTP body content type 설정이 룰셋은 HTTP response에 들어있는 내용을 필터링합니다. Firebox는 Java applets, ZIP,Windows EXE/DLL , Windows CAB 파일을 거부하도록 설정되어있습니다. 디폴트는 다른response body content type을 모두 허용합니다.124

WatchGuard System Manager1. 좌측의 Categories에서 Body Content Types 를 선택합니다.2. 101 페이지의 “Ruleset의 정의”에 설명한 것처럼 룰셋을 추가합니다125

WatchGuard System ManagerDeny 메시지의 변경Firebox는 내용이 거부되었을 때, 내용 대신 디폴트 거부 메시지를 보여주는데, 사용자는표준 HTML을 사용하여 이 메시지를 수정할 수 있습니다. 메시지의 첫 라인은 HTTP헤더이며, 첫 라인과 body 사이에는 한 줄을 띄워야 합니다.1. 좌측의 Categories에서 Deny Message 를 선택합니다2. deny message 입력 상자 안에 다음과 같은 변수를 사용하여 메시지를 입력합니다.:%(method)%내용을 검사하고 파악할 proxy 룰을 넣습니다.%(reason)%내용이 검사되는 이유를 plain text 로 넣습니다.%(transaction)%내용을 검사하기 위한 트랜잭션 정보를 넣습니다.%(url-host)%검사한 내용의 근원이되는 서버 주소를 넣습니다.%(url-path)%검사한 내용의 URL을 넣습니다.HTTP 침입방지 기능의 설정WatchGuard Intrusion Prevention System을 설정하고 활성화하는 데에도 HTTP proxy를사용할 수 있는데, 111 페이지의 ”IPS(Intrusion Prevention System)설정 ”에서 침입방지에대하여 자세히 다루고 있습니다.126

WatchGuard System Manager1. 좌측의 Categories상자에서 Intrusion Prevention을 선택합니다.2. Enable Intrusion Prevention 체크박스를 체크하여 HTTP proxy를 사용하는 침입방지기능을 작동시킵니다.HTTP에 대한 프락시 알람 정의하기주의집중이 필요한 상황에 대하여 설정합니다.:1. 좌측의 Categories상자에서 Proxy Alarms를 선택합니다.2. 104 페이지의 “사용자에 맞는 Alarms, Logging, Notification 설정”에 설명된 절차를 따릅니다.127

WatchGuard System ManagerDNS Proxy의 설정Domain Name System(DNS)가 있기에 사용자는 웹사이트를 쉬운 “dot-com”주소로 접속할수 있습니다. DNS는 WatchGuard.com과 같은 도메인 명을 찾아서 IP 주소로 변환시켜 줍니다. DNS 프락시는 TSIG, NXT등 여러 DNS공격들로부터 DNS 서버를 보호해줍니다.Firebox 에 DNS 프락시 설정을 추가하려면 다음과 같이 합니다.:1. Policy Manager에 DNS Proxy를 추가합니다. 추가하는 방법은 86 페이지의“Policy 추가하기”에 자세히 나와있습니다.2. DNS아이콘을 더블클릭하고 Policy탭을 선택합니다.3. DNS proxy connections are drop-down리스트에서 Allowed를 선택합니다.4. Properties 탭을 선택합니다.5. Proxy drop-down 리스트에서 설정할 policy가 incoming 인지 outgoing인지 선택합니다.6. View/Edit Proxy 아이콘을 클릭합니다. 101 페이지 의 “Proxied Policies의 설정”에 이 아이콘에 대한 설명이 나와있습니다.DNS proxy에 대한 일반 설정일반설정은 두 가지 protocol anomaly detection rules로 이루어져 있습니다.Not of class Internet프락시가 인터넷 클래스(IN)이 아닌 DNS트래픽을 처리할 때 취할 행동을선택합니다. 알람을 발생시키려면 Alarm에 체크하고, 로그를 적으려면Log에 체크합니다.128

WatchGuard System ManagerBadly formatted query잘못된 형식의 DNS 트래픽을 처리할 때의 행동을 선택합니다. 알람을 발생시키려면 Alarm에 체크하고, 로그를 적으려면 Log에 체크합니다.Send a log message for each connection requestDNS 커넥션 request마다 로그메시지를 남깁니다. 이로 인하여 대용량의로그메시지와 트래픽이 발생한다는 것에 주의하십시오.DNS OPcodes의 설정DNS OPcodes 는 DNS서버에게 query(Query), Inverse query(IQuery), server statusrequest(STATUS)와 같이 어떤 행동을 하도록 시키는 명령입니다. 사용자는 이와 같은 특정 DNS OPcodes를 Allow, Deny, Drop, Block할 수 있습니다.1. 좌측의 Categories상자에서 OPcodes를 선택합니다.2. 룰셋이 활성화하게 하기 위해 Enabled를 체크하거나, 반대로 체크표시를 없애서 룰셋이 작동하지 않도록 합니다.새로운 OPcodes 룰 만들기1. OPcode 룰을 새로 만들기 위해 Add를 클릭합니다. New Opcodes Rule 대화상자가 나타납니다.2. 룰 명을 입력합니다. 31글자까지 입력 가능합니다.3. OPCode값은 십진수 값으로서, 화살표 버튼으로 조정합니다. RFC1035에 DNSOPcodes의 십진수 값에 대한 설명이 되어 있습니다.4. 룰에 대한 대응 행동과, 알람 및 로그를 발생시키도록 설정합니다. 102 페이129

지의 “룰셋 추가하기”에 자세하게 설명되어 있습니다.WatchGuard System ManagerDNS query 유형 설정여기에서는 CNAME이나 TXT 레코드와 같은 자원을 종류별로 조정하거나, AXFR Fullzone transfer와 같은 특수 query 연산에 대하여 설정할 수 있습니다. 특정 DNS query 유형에 대하여 allow, deny, drop, block이 가능한 것입니다.1. 좌측의 Categories상자에서 Query Types를 선택합니다.2. 특정 룰셋을 활성화하려면 룰셋 이름과 Action 옆에 있는 Enabled를 체크합니다.새로운 query type 룰 추가하기1. Add를 클릭합니다. New Query Types Rule 대화상자가 나타납니다.2. 룰 이름을 적습니다. 31글자까지 가능합니다.3. DNS query 유형마다 resource record(RR)값이 있으므로 화살표로 값을 조정합니다. DNS query type에 대한 보다 자세한 설명은 RFC 1035를 참조하십시오.4. 102 페이지의 “룰셋 추가하기”를 참고하여, 룰에 대한 Action을 정하고 알람을 보낼 것인지 로그파일을 작성할 것인지를 또한 정합니다.DNS query 이름의 설정DNS query이름은 DNS 도메인 명을 가리킵니다. 이는 fully qualified domain name(FQDN)으로 나타냅니다.130

WatchGuard System Manager1. 좌측의 Categories상자에서 Query Names를 선택합니다.2. 이름을 더 추가하려면 101 페이지의”룰셋 정의하기”에 설명한 것과 같이 룰셋 생성하는 절차를 따르면 됩니다.DNS proxy에 대한 침입방어 활성화사용자는 WatchGuard Intrusion Prevention System을 설정하고 활성화하는데 DNS proxy를 사용할 수 있습니다. 침입방어에 대한 더욱 자세한 설명은 111 페이지의 “IPS(IntrusionDetection System) 설정”을 참조하십시오.1. 좌측의 Categories상자에서 Intrusion Prevention을 선택합니다.2. Enable Intrusion Prevention을 체크하여 침입방어기능을 작동시킵니다.3.DNS proxy 알람의 설정주의환기를 위한 알람이 필요한 조건을 설정하려면 다음과 같이 합니다.Detection System)”을 참조하십시오.1. 좌측의 Categories상자에서 Proxy Alarms을 선택합니다.2. 104 페이지의 “사용자에 맞는 Alarms, Logging, Notification 설정”에 설명한 절차를 따라 설정합니다.131

WatchGuard System ManagerTCP Proxy의 설정Transmission Control Protocol(TCP)는 TCP/IP 네트웍의 주된 프로토콜입니다. TCP는 호스트가 커넥션을 맺고 데이터를 교환하도록 해주는 반면 IP프로토콜은 패킷을 핸들링합니다.TCP proxy는 요청된 TCP 세션이 합당한지 검사하기 위해 TCP handshaking을 감시합니다. 이 과정에서 TCP 세션 요청에 필요한 ID와 패스워드를 확인하는 것은 물론 인증서비스도 구축합니다.TCP proxy에 대한 일반 설정HTTP ProxyTCP 커넥션에 사용할 HTTP Proxy action을 선택합니다. 프락시는 이 룰셋을 수신하는 모든 트래픽에 적용하게 됩니다.Send a log message for each connection request모든 TCP 커넥션 요청에 대하여 로그를 남기려면 체크하십시오. 이때 대용량의 로그 메시지와 트래픽이 발생한다는 것에 주의하십시오.[그림] TCP proxy의 침입방어 활성화WatchGuard Intrusion Prevention System을 설정하고 활성화하는데 TCP proxy를 사용할수 있습니다. 111 페이지의 “IPS(Intrusion Prevention System) 설정”에 침입방어에 대한더욱 자세한 내용이 나와있습니다.1. 좌측 Categories 상자에서 Intrusion Prevention을 선택합니다.2. 침입방어를 작동시키려면 체크박스에 표시하십시오.132

WatchGuard System Manager8장 방화벽 NAT 활용하기Network Address Translation(NAT)은 조직 및 네트웍의 성장에 따른 사용자와 호스트에게 부여할 IP 네트웍 주소의 부족을 해결하기 위한 방법의 하나로 고안된 것입니다.NAT는 일반적으로 IP주소와 포트의 변환의 여러 형태를 설명하는데 사용됩니다. 가장 주된 NAT의 목적은 routable 공인 IP을 갖는 컴퓨터의 수를 증가시키고 LAN내의 호스트 사설 IP주소를 숨기는 것입니다.가장 기본적인 레벨에서 NAT는 패킷의 주소를 다른 값으로 바꾸어줍니다. NAT의 종류는주소 변환하는 방법을 암시합니다.Dynamic NATDynamic NAT는 IP masquerading 이라고도 알려져 있습니다. Firebox는 모든 커넥션이나 특정 서비스에 대하여 나가는 패킷의 주소를 공인 IP로 바꾸어줍니다. 이는 외부에서 패킷의 Source 주소를 알 수 없게 해줍니다. Dynamic NAT는 일반적으로 사용자가 공공 서비스를 사용할 때 내부 호스트의 주소를 감추는 데 사용합니다.1-to-1 NATFirebox는 NAT에 사용자가 설정한 사설 IP와 공인 IP를 사용합니다. 웹서비스에는 공인 주소를, 기타 다른 DNS나 mail등의 서버에는 trusted나 optional에 있는서버에 할당한 사설 주소를 바인딩할 수 있습니다. 1:1 NAT는 허가된 공인 호스트가 내부서버를 사용하도록 할 경우에 요긴하게 사용할 수 있습니다.Static NAT for a policyport forwarding이라고도 부르는 이 방법은, policy를 정의할 때 static NAT를 정의하는 것입니다. 정의하는 방법은 85 페이지의 “Policies의 설정”를 참고하시면됩니다. Static NAT는 port-to-host NAT로서 호스트가 external 네트웍에서external 인터페이스에 있는 포트로 패킷을 보내는 것입니다. 이는 주소를 방화벽뒷 단에 있는 주소와 포트로 변환시켜줍니다.문제를 파악한 후에 사용자에게 가장 적합한 NAT의 유형을 선택해야 합니다. IP주소의 보안미비나 공인 IP가 적어서 문제가 발생하는 경우가 있습니다. NAT는 global setting이나policy설정 할 때에 적용할 수 있습니다.133

WatchGuard System ManagerDynamic NAT의 사용Dynamic NAT는 NAT중 가장 많이 쓰이는 것입니다. Outbound 커넥션의 source IP주소를Firebox의 공인 IP로 바꾸어줍니다. Firebox 밖에서 보면 나가는 패킷의 주소는 Firebox의주소로만 보입니다.많은 컴퓨터들이 하나의 공인주소로 인터넷에 연결할 수 있습니다. 이처럼 Dynamic NAT는사용자의 네트웍에 있는 호스트들을 숨길 수 있으므로 인터넷 사용시, 내부 호스트들에게더욱 강력한 보안을 제공합니다.대부분의 네트웍에서 권장되는 보안 policy는 외부로 나가는 모든 패킷에 대하여 NAT를적용하라는 것입니다. Fireware를 사용하면 dynamic NAT는 물론, Policy기반 dynamicNAT 까지 디폴트로 작동됩니다. 그러나 이때, 1-to-1 NAT룰이 dynamic NAT보다 항상우선한다는 사실에 주의하십시오.Global dynamic NAT 값 입력하기디폴트 설정은 모든 사설 IP로부터 external 네트웍으로 Dynamic NAT가 활성화되는 것입니다. 디폴트 입력치를 보이면 다음과 같습니다. :• 192.168.0.0/16 - external• 172.16.0.0/12 – external• 10.0.0.0/8 – external이 값들은 RFC 1918로부터 주어진 사설 네트웍입니다. 이 외의 다른 것에도 사설 IP로dynamic NAT를 취하려면 반드시 입력 값으로 넣어 주어야 합니다. Firebox는 DynamicNAT Entries 리스트에 나타나는 순서대로 그 룰을 적용합니다. 그러므로 WatchGuard는트래픽 볼륨에 맞게 그 순서를 정하여 입력하도록 권장합니다.134

WatchGuard System Manager1. Policy Manager에서 Network > Firewall NAT를 선택합니다. Firewall NAT Setup대화상자가 나타납니다.2. Firewall NAT Setup 대화상자의 Dynamic NAT탭에서 Add를 클릭합니다. Add DynamicNAT 대화상자가 나타납니다.3. From drop-down 리스트에서, 나가는 패킷의 source를 선택 삽니다. 예를 들면, 모든trusted네트웍의 모든 호스트로부터의 NAT를 가능하게 하려면 trusted host alias를 사용합니다. 기본 Firebox aliases에 대한 더 자세한 내용은 51 페이지의 “Aliases 사용하기”를 참조하십시오.4. To drop-down 리스트에서, 나가는 패킷의 목적지를 선택합니다.5. 호스트나 네트웍 IP주소를 추가하려면 버튼을 클릭하고, 주소의 종류를 선택하려면drop-down리스트를 사용하십시오. 이때 IP주소나 주소 범위를 입력하되, 슬래시(/)를 사용하여야 합니다. IP주소를 입력할 때에는 필요한 숫자와 마침표를 빠짐없이 넣어야 합니다.또한 TAB이나 화살표 키는 사용할 수 없습니다..6. OK를 클릭합니다. 새로운 입력값이 Dynamic NAT Entries 리스트에 나타납니다.135

WatchGuard System ManagerDynamic NAT 값들의 순서 바꾸기Dynamic NAT 값들의 순서를 바꾸려면 먼저 바꾸고자 하는 입력값을 선택한 후에 UP또는Down을 클릭합니다. Dynamic NAT 입력 값을 직접 수정할 수는 없으며, Remove로 값을삭제 한 후에 다시 Add하는 형식으로 수정이 가능합니다.Policy-based dynamic NAT 값Firebox는 이 방법을 통하여, 해당 policy에 해당되는 밖으로 나가는 패킷에 대해 공인 IP를 사용합니다. 각 policy는 디폴트로 global dynamic NAT 테이블을 사용하는 dynamicNAT가 활성화 되어 있습니다. 오직 하나의 policy에서 모든 트래픽에 대한 dynamic NAT를 사용하려면 다음과 같이 합니다.:1. Policy Manager에서 policy-based NAT로 설정할 policy 위에서 오른쪽 마우스클릭을 한 후 Edit을 선택합니다. Edit Policy Properties창이 나타납니다.2. Advanced 탭을 클릭합니다.3. 이 policy에 해당하는 모든 트래픽에 NAT을 적용하려면 All Traffic을 선택합니다.4. OK를 클릭하고 Firebox에 변경내용을 저장합니다.Policy-based dynamic NAT 비활성화 시키기1. Policy Manager에서 Policy를 오른 클릭한 다음 Edit을 선택합니다.2. Edit Policy Properties창이 나타납니다.3. Advanced 탭을 클릭합니다.4. 이 policy에 해당되는 모든 트래픽에 대하여 NAT기능을 비활성화시키려면Dynamic NAT앞에 있는 체크박스에 체크를 하지 않습니다.5. OK를 클릭하고 Firebox에 변경사항을 저장합니다.136

WatchGuard System Manager1-to-1 NAT의 사용1-to-1 NAT는 하나의 주소범위에서 다른 주소범위로 송신되는 들어오고 나가는 모든 패킷을 라우팅해주는 NAT policy를 사용합니다. 사용자는 수많은 1-to-1 NAT 주소를 설정할수 있습니다.사용자는 내부 서버에 공인 IP주소를 라우팅하기 위해 종종 1-to-1 NAT를 사용하는데, 사용자는 이 서버들의 IP주소를 변경할 필요가 없습니다. 또한 원격 네트웍 IP주소가 로컬 네트웍의 것과 동일할 때 VPN터널에 대하여 1-to-1 NAT를 쓰기도 하는데, 로컬 네트웍 주소는 원격 주소와 다른 주소범위로 바뀌어져 VPN 터널이 연결할 수 있게 됩니다.1-to-1 NAT 룰은 dynamic NAT보다 항상 우선합니다.1-to-1 NAT에 관한 더욱 자세한 정보는 FAQ를 참조하십시오. :https://www.watchguard.com/support/advancedfaqs/nat_onetoone.asp각각의 NAT policy에서는 다음 네가지 항목을 설정할 수 있습니다. :The interface1-to-1 NAT action이 적용되는 Firebox Ethernet interface의 이름입니다.이 1-to-1 NAT action은 실 IP기반(real base)패킷이나 NAT 기반(NATbase)패킷이 이 인터페이스를 통과할 경우에 적용됩니다.The NAT baseReal Base IP주소에 대응하는 Firebox Ethernet interface에 할당되지 않은 IP주소입니다. 입력한 NAT Base IP주소는 사용자가 입력한 real baseIP와 연결되어 IP범위의 첫 번째 주소가 됩니다. 범위 내에 속하는 다른NAT 기반 IP들은 “Number of hosts to NAT”가 될 때까지 마지막 옥텟의숫자가 하나씩 증가됩니다. NAT기반 IP는 1-to-1 NAT 가 적용될 때real base IP가 변환되어야 할 주소입니다. NAT Base IP주소를 가진 패킷이 인터페이스를 통과할 때 1-to-1 action이 실행됩니다.The real base1-to-1 NAT를 사용하는 컴퓨터의 물리적 Ethernet interface에 할당된IP주소입니다. 입력한 실제기반 IP는 사용자가 입력한 NAT 기반 주소와연결되고 IP주소범위의 첫 주소가 됩니다. 범위 내에 속하는 다른 실제기반 IP들은 “Number of hosts to NAT”가 될 때까지 마지막 옥텟의 숫자가하나씩 증가됩니다. Real base IP를 가진 패킷이 인터페이스를 통과할 때1-to-1 action이 실행됩니다.The number of hosts to NAT1-to-1 NAT가 연결시키는 NAT 기반 IP와 실제 기반 IP의 연속되는 개수이자, 1-to-1 NAT가 적용하는 IP주소의 개수를 말합니다. 1-to-1 NAT가 발생할 때 첫 실제기반 IP는 첫 NAT기반 IP로 변환됩니다. 마찬가지로137

WatchGuard System Manager범위 내의 두 번째 실제기반 IP는 첫 NAT기반 IP로 변환됩니다. 이러한작업이 Number of hosts to NAT에 다다를 때까지 반복되는 것입니다.사용자는 IP주소의 “from”와 “to”로 NAT policy를 설정합니다.예를 들면,210.199.6.1 – 192.168.69.1:254 (real base 범위 : NAT base 범위)210.199.6.1 과 210.199.6.254사이의 호스트로 송신되는 모든 트래픽은 192.168.69.1에서192.168.69.254 사이의 주소로 변환됩니다.각 NAT IP를 목적지 IP (실제주소)로 바꾸는 1-to-1 주소변환이 일어납니다. : 210.199.6.0은 192.168.69.0이 됩니다.Global 1-to-1 NAT의 설정1. Policy Manager에서 Setup > Firewall NAT를 선택 한 후 1-to-1 NAT탭을 클릭합니다.2. Add를 클릭합니다. Add 1-1 mapping 대화상자가 나타납니다.3. NAT base 입력상자에 내부적으로 보이는 NAT 주소 범위를 입력합니다.4. 모든 정보를 입력하였으면 OK를 클릭합니다.5. 1-to-1 NAT항목마다 2-4 번을 반복합니다. 완료되었으면 OK를 클릭하여Firewall NAT Setup대화상자를 닫습니다.Policy-based 1-to-1 NAT 설정Firebox은 global 1-to-1 NAT를 설정할 때 입력한 사설, 공인 IP를 사용하지만 룰은 각policy에 따로 적용됩니다. 1-to-1 NAT는 각 policy에 디폴트로 활성화되어 있습니다. 만일 하나의 policy가 1-to-1 NAT와 dynamic NAT 모두를 활성화시킨 상태라면 1-to-1NAT가 우선합니다.138

WatchGuard System ManagerPolicy-based 1-to-1 NAT의 비활성화1. Policy Manager에서 policy에 오른버튼 클릭을 하여 Edit을 선택합니다.2. Edit Policy Properties창이 나타납니다.3. Advanced 탭을 클릭합니다.4. 1-to-1 NAT 체크박스에 체크표시를 없앰으로써 이 policy에 해당되는 트래픽의 NAT옵션을 비활성화합니다.5. OK를 클릭하고 Firebox에 변경사항을 저장합니다.Policy에 static NAT 설정하기이 NAT방식은 작동방식 때문에 TCP와 UDP를 포함한 특정 포트를 사용하는 policy에 대해서만 유효합니다. 다른 프로토콜을 가진 policy는 incoming static NAT를 사용할 수 없고Policy의 Properties 대화상자에 있는 NAT버튼이 아예 작동되지 않습니다. 사용자는 또한Any policy에 대하여 Static NAT기능을 사용할 수 없습니다. static NAT를 policy에 적용하기 전에 먼저 FAQ를 참조하면 좋습니다.:https://www.watchguard.com/support/advancedfaqs/nat_outin.asp1. Policies Arena에서 policy아이콘을 더블클릭합니다. Policy의 Properties 대화상자가 Incoming 탭을 보여줄 것입니다.2. Connections are drop-down리스트에서 Allowed를 선택합니다. Static NAT기능을사용하기 위해서 해당 policy는 들어오는 트래픽을 모두 허용해야합니다.3. To 리스트 아래에 Add를 클릭합니다. Add Address대화상자가 나타납니다.4. NAT를 클릭합니다. Add Static NAT 대화상자가 나타납니다.5. External IP Address drop-down리스트에서 이 서비스를 위해 사용할 “public”주소를 선택합니다.6. 내부 IP를 입력합니다. 내부 IP는 trusted 네트웍에서의 목적지가 됩니다.7. 필요하면 Set internal port to different port than service 체크박스에 표시합니다.사용자들은 이 기능을 보통 사용하지 않습니다. 이 기능은 특정 내부 호스트로는물론 다른 포트로도 패킷 목적지를 변환시킬 수 있게 해줍니다. 만약 이 체크박스를 선택했다면 다른 포트번호를 직접 입력하거나 Internal Port상자의 화살표 버튼을 사용하여 번호를 입력해야 합니다.139

WatchGuard System Manager8. OK를 클릭하여 Add Static NAT 대화상자를 닫습니다. Memgers and Addresses리스트에 Static NAT 라우트가 나타납니다.9. Add Address 대화상자를 닫기 위해 OK를 클릭하고, 서비스의 Properties대화상자를 닫기 위해 OK를 한번 더 클릭합니다.140

WatchGuard System Manager9장 인증의 구현Firebox를 통하는 커넥션을 모니터링 할 때 사용자 인증 기능을 사용하면 사용자 이름을볼 수 있습니다. 이 기능은 단지 IP주소만 보이는 것에 비하여 더 많은 정보를 가져다 줍니다. 사실 사람이 사용하는 컴퓨터나 IP주소는 중요한 것이 아닙니다. 그 사용자가 인증되어있는 동안 그 IP에서 시작하는 모든 커넥션이 송출하는 세션 이름을 통해 사용자는 사람 뿐만이 아닌 커넥션이 시작된 컴퓨터도 모니터링할 수 있는 것입니다.-------------------------- 주 의 --------------------------------사용자 이름은 IP주소와 같이 나타납니다. 각 공유서버마다 한번에 한 사람 만을 인증하기때문에 Unix, Citrix, NT 터미널 서버와 같은 multi-user 공유 컴퓨터로 사용자 인증을 사용하지 말 것을 권장합니다.Firebox는 사용자이름으로 policy와 group을 만들 수 있게 해줍니다. 사용자는 하나 이상의 컴퓨터를 사용하거나 같은 사용자 이름을 가진 IP를 사용할 수 있습니다. Dynamic HostConfiguration Protocol(DHCP)를 사용할 때에는 사용자 이름으로 모니터링하는 것이 좋은데, 이는 컴퓨터가 사용하는 IP주소가 자주 바뀌기 때문입니다. 또한 하루에 여러명의 사용자가 같은 IP를 사용하는 조직에서도 유용합니다.사용자 인증의 작동방식Firebox에서 단독사용 HTTPS서버가 작동하여 인증 요청을 받아드립니다. 인증을 위해서사용자는 반드시 Firebox 인증 웹페이지로 접속해야합니다. 웹페이지의 주소는 다음과 같습니다.https://Firebox인터페이스주소:4100/인증 페이지가 나타나면 사용자 이름과 패스워드를 입력해야 합니다. 이때 이름과 패스워드는 challenge and response protocol(PAP)로 인증서버에 전달됩니다. 서버가 사용자를 인증하고 나면 허용되는 네트웍 서비스를 사용할 수 있게됩니다. 사용자는 브라우저를 닫을수도 있으며 인증이 요구되는 네트웍 서비스를 마지막으로 사용한 후 2시간 동안은 인증된상태로 남아있게됩니다.2시간 time-out이전에 이 인증 세션을 끊으려면 인증 웹페이지에서 Logout버튼을 클릭하141

WatchGuard System Manager여야 합니다. 이미 창을 닫았다면 창을 새로 열어 로그아웃 합니다. 어카운트가 인증되지않게 하려면 인증서버에 있는 어카운트를 비활성화 해야 합니다.External 내트웍에서의 인증 사용인증툴의 주된 기능은 나가는 트래픽에 대한 것이지만 사용자는 들어오는 트래픽에 대해서도 사용할 수 있습니다. 만일 Firebox에 어카운트가 만들어져 있다면 사용자는 항상external 인증을 받을 수 있습니다. 예를 들면 집에서 웹브라우저에 이와 같은 주로를 입력할 수 있습니다. :https://Firebox인터페이스주소:4100/인증 후에는 Firebox에 설정된 FTP, Telnet등의 서비스에 접근할 수 있습니다. 원격 사용자가 external 인터페이스로부터 인증받게 하기 위해서는 아래와 같은 절차를 따라야 합니다. 이렇게 하면 Firebox를 통과하여 서비스에 접근할 수 있습니다.1. Policy Manager의 Policy Arena에서 WatchGuard authentication policy아이콘(WG-Auth)을 더블클릭합니다. Policy 설정에 사용자나 그룹을 추가한 연후에 적용된 항목들을 볼 수 있습니다.2. Policy 탭에서 Allowed를 클릭합니다.3. From상자 아래에 있는 Add를 클릭합니다.4. Add Under를 클릭하고 외부적으로 인증허가를 가진 원격 사용자의 IP를 입력합니다.Gateway Firebox를 통하여 다른 Firebox로 인증 사용하기Gateway Firebox를 통과하여 다른 Firebox로 인증 요청을 보내기 위해서는 gatewayFirebox에 인증 트래픽을 허용하는 policy를 추가해야 합니다. gateway Firebox에서Policy Manager를 사용하여 WG-Auth policy를 생성합니다. 이 policy는 TCP 포트 4100번의 트래픽을 제어합니다. 목적지 Firebox의 IP주소로 트래픽을 허용하도록 policy를 설정합니다.인증서버의 종류Fireware에는 다음의 다섯 가지 인증방법이 있습니다. :• Firebox• RADIUS• SecureID• LDAP• Acrive Directory사용자는 Firebox에 하나이상의 인증서버를 설정할 수 있습니다. 사용자에게는 서버종류는달라도 인증이 거의 동일하지만, Firebox관리자에게는 사용자 데이터베이스가 Firebox에저장되느냐, 혹은 정용 인증서버에 저장되느냐의 차이가 있습니다.인증서버를 사용할 때, 사용자는 제조사로부터 지침을 받아 설정 하면 됩니다. Firebox에142

WatchGuard System Manager접근할 수 있도록 서버를 설치하되 보안을 위해 Firebox 뒷 단에 두면 더욱 좋습니다.Backup 인증서버의 사용형식에 상관없이 써드파티 backup 인증서버를 설정 할 수 있습니다. Firebox가 주 인증서버로 접속을 실패하면(3번 시도 후) backup서버로 접속을 합니다. 만약 Firebox가 backup서버에도 접속을 실패하면 10분동안 대기 한 후 주 인증서버로 다시 접속을 시도합니다. 커넥션이 생성될 때까지 이 과정이 계속됩니다.Firebox를 인증서버로 설정하기만일 사용자가 써드파티 인증서버를 사용하지 않는다면 Firebox를 대용으로 사용할 수 있습니다. 과정을 설명하면, 인증을 위해 사용자의 조직을 그룹과 사용자로 나눌 수 있으며,업무, 기능, 접속 요구조건에 따라 그룹에 멤버를 할당합니다. 예를 들어 회계 그룹, 마케팅그룹, 조사 및 개발 그룹, 그리고 인터넷 접속이 제한된 신입사원 그룹이 있을 수 있습니다.그룹 내에 사용자나 사용하는 시스템 종류, 접속하는 정보에 따라 인증 절차를 설정합니다.사용자는 네트웍이나 컴퓨터가 될 수 있습니다. 조직이 변하는 경우에는 시스템을 그룹에서삭제하거나 추가할 수 있습니다.Policy Manager를 사용하는 경우는 다음과 같습니다.:• 설정에서 그룹을 추가, 수정, 삭제• 그룹에서 사용자를 추가, 수정Firebox를 인증서버로 설정하기1. Policy Manager에서 Setup>Authentication Servers를 선택합니다.Authentication Servers 대화상자가 나타납니다. 디폴트 설정으로 Firebox인증 서버를 활성화시키도록 되어있습니다.143

WatchGuard System Manager2. 새로운 사용자 그룹을 추가하기 위하여 User Groups 리스트 하단의 Add를 클릭합니다.144

WatchGuard System Manager3. Add Firebox Group 대화상자가 나타납니다.4. 그룹명을 입력하고 OK를 클릭합니다.5. 새로운 사용자를 추가하기 위하여 Users 리스트 하단의 Add를 클릭합니다. SetupFirebox User 대화상자가 나타납니다.6. Firebox로의 인증을 위해 사용자가 사용할 이름과 패스워드를 입력합니다.7. Available 리스트의 그룹명을 선택하여 사용자를 그룹에 추가합니다. 이름을Member리스트에 옮기려면 좌측을 가리키는 화살표 두개가 그려진 버튼을 클릭합니다. 그룹명을 더블 클릭하는 방법도 있습니다.8. 선택한 그룹으로 사용자를 옮긴 후에 OK를 클릭합니다. 사용자는 User리스트로 추가합니다. 여러 사용자를 추가할 수도 있습니다.9. OK를 클릭하여 Setup Firebox User 대화상자를 닫습니다. 새로운 사용자를 포함한Firebox Users탭이 나타납니다.10. 필요한 모든 사용자와 그룹을 추가한 후 OK를 클릭합니다. 이때, policy와 인증을설정하기 위한 사용자와 그룹을 사용할 수 있습니다.RADIUS 서버 인증의 설정Remote Authentication Dial-in User Service(RADIUS)는 회사 네트웍의 로컬 및 원격 사용자를 인증합니다. RADIUS는 데이터베이스에 사용자, 원격 접근 서버, VPN 게이트웨이에대한 정보를 인정하는 client/server시스템입니다.RADIUS가 사용하는 인증메시지는 항상 인증키를 사용하여 송수신됩니다. 이 키가 없으면해커가 인증메시지에 접근할 수 없으므로 인증과정 동안에는 패스워드가 아니라 이 키가 송신되었는지를 주의깊게 살펴야 합니다. 웹 인증 RADIUS는 PAP( CHAP이 아닙니다.)인증만을 지원하며, PPTP를 사용하는 인증에 대하여는 MSCHAPv2만을 지원합니다.Firebox에 RADIUS서버 인증을 사용하려면 다음과 같이 해야 합니다.:• RADIUS 매뉴얼에 설명된 대로 RADIUS서버에 Firebox IP를 추가합니다.• Firebox 설정에 RADIUS서버를 설정하고 활성화시킵니다.• Policy Manager에서 RADIUS 사용자나 그룹명을 Policy안에 추가합니다.RADIUS 서버 인증을 활성화하기 위한 방법은 다음과 같습니다.1. Policy Manager에서 Setup > Authentication Servers를 선택 하고 RADIUS서버145

탭을 클릭합니다. RADIUS 설정 화면이 나타납니다.WatchGuard System Manager2. RADIUS서버의 IP를 입력합니다.3. RADIUS가 인증목적으로 사용할 포트넘버를 확인합니다. 디폴트는 1812이며, 오래된 RADIUS서버들은 1645를 사용할 수도 있습니다.4. Firebox와 RADIUS서버간에 “secret” 문구를 입력합니다. 이것은 대소문자를 구별하며 Firebox와 RADIUS의 것이 똑같은 것이어야 합니다.5. Timeout값을 선택합니다. 이는 커넥션을 다시 요청하기 전에 Firebox가 인증서버로부터 응답을 기다리는 시간입니다.6. 재시도 숫자를 설정합니다. 인증을 위해 시도한 커넥션에 실패할 때까지의 Firebox가 인증서버에 연결시도를 반복한 숫자입니다. 위에서 설명한 Timeout설정이 사용됩니다.7. 그룹속성을 선택합니다. 이것은 User Group정보를 포함하는 속성을 설정하기 위해사용됩니다. RADIUS서버는 Firebox에게 사용자가 인증되었다는 메시지를 보낼 때User Group string도 보냅니다. 예를 들면, “engineerGroup”이나 “financeGroup”등과 같습니다. 이 정보는 접근제어에 사용됩니다.146

WatchGuard System Manager8. backup RADIUS서버의 IP와 사용포트를 입력합니다. Secret은 RADIUS서버에도 적용됩니다.9. OK를 클릭합니다.SecurID 인증 설정SecurID 인증을 사용하려면 RADIUS와 ACE/Server 서버를 정확하게 설정해야 합니다.사용자는 허가된 SecurID 토큰과 PIN(Personal identification number)를 반드시 갖고 있어야 합니다. 자세한 사항은 SecurID 지침을 참조하십시오.--------------------------주 의-------------------------------------Steel Belted RADIUS를 SecurID와 함께 사용하지 마십시오. RADIUS 소프트웨어는 RSASecurID소프트웨어와 함께 쓰십시오.---------------------------------------------------------------------1. Policy Manager에서 Setup > Authentication Servers를 선택한 후 SecurIDServer탭을 클릭합니다.147

WatchGuard System Manager2. SecurID 서버의 IP를 입력합니다.3. SecurID 인증용 포트넘버를 입력합니다. 디폴트는 1812입니다.4. Firebox와 SecurID 서버간에 “secret” 문구를 입력합니다. 이것은 대소문자를 구별하며 Firebox와 SecurID 서버의 것이 똑같아야 합니다.5. Timeout값을 선택합니다. 이는 커넥션을 다시 요청하기 전에 Firebox가 인증서버로부터 응답을 기다리는 시간입니다.6. 재시도 숫자를 설정합니다. 인증을 위해 시도한 커넥션에 실패할 때까지의 Firebox가 인증서버에 연결시도를 반복한 숫자입니다. 위에서 설명한 Timeout설정이 사용됩니다.7. 그룹속성을 선택합니다. 이것은 User Group정보를 포함하는 속성을 설정하기 위해사용됩니다. SecurID 서버는 Firebox에게 사용자가 인증되었다는 메시지를 보낼 때User Group string도 보냅니다. 예를 들면, “engineerGroup”이나 “financeGroup”등과 같습니다. 이 정보는 접근제어에 사용됩니다.8. backup SecurID 서버의 IP와 사용포트를 입력합니다. Secret은 SecurID 서버에도적용됩니다.9. OK를 클릭합니다.LDAP 인증 설정사용자를 Firebox에 인증시켜주기 위해 LDAP 인증서버를 사용할 수 있는데, 그러려면 반드시 Firebox와 LDAP서버 둘 모두에 설정이 되어있어야 합니다.148

WatchGuard System Manager1. Policy Manager에서 Setup > Authentication Servers를 선택한 후 LDAP 탭을 클릭합니다.2. Enable LDAP Server를 체크합니다..3. Firebox와 인증 요청용으로 통신할 주 LDAP 서버의 IP를 입력합니다.4. Firebox가 LDAP 서버와 통신하기 위해 필요한 TCP 포트번호를 선택합니다. 디폴트는 389입니다.5. Search Base를 선택합니다. 인증에 맞는지를 조사하기 위해 조직단위를 파악하는LDAP Search Base가 필요합니다.6. Group String을 선택합니다. 이 스트링 속성은 사용자그룹의 정보를 LDAP서버에저장하는데 사용됩니다.7. 필요하다면 Time-out값을 변경합니다. 이 값은 Firebox가 인증서버에서 응답을 받기 위해 대기하는 시간을 뜻합니다.8. 가능한 backup LDAP서버를 입력합니다.9. MUVPN사용자가 LDAP서버에서 인증정보를 얻을 수 있게 하려면Optional Settings버튼을 클릭하여 IP주소, 서브넷마스크, DNS나 WINS 서버와 같149

WatchGuard System Manager은 LDAP서버에 있는 사용자 속성에 들어있는 MUVPN사용자 정보를 입력하면 됩니다. 그러면 사용자는 Optional Settings에 있는 항목들에 아래의 항목들을 맵핑할수 있습니다. MUVPN 사용자가 Firebox를 통하는 VPN터널을 구축할 때 Firebox는 LDAP 사용자 속성에 포함된 정보를 가지고 IP주소, 서브넷 마스크, DNS와WIN 서버를 만들어 줍니다.IP Attribute StringIP할당을 포함하는 LDAP 사용자 속성 필드 명의 이름을 입력합니다.Netmask Attribute Stringsubnet mask 할당을 포함하는 LDAP 사용자 속성 필드 명의 이름을 입력합니다.DNS Attribute StringDNS 서버 IP를 포함하는 LDAP 사용자 속성 필드 명의 이름을 입력합니다.WINS Attribute StringWINS서버 IP를 포함하는 LDAP 사용자 속성 필드 명의 이름을 입력합니다.Lease Time Attribute StringMUVPN 연결 세션에 허가된 총 시간을 포함하는 LDAP 사용자 속성 필드 명의이름을 입력합니다.Idle Timeout Attribute StringIdle timeout 할당을 포함하는 LDAP 사용자 속성 필드 명의 이름을 입력합니다.Active Directory 인증 설정사용자를 Firebox에 인증시켜주기 위해 Active Directory 인증서버를 사용할 수 있는데, 그러려면 반드시 Firebox와 Active Directory 서버 둘 모두에 설정이 되어있어야 합니다.1. Policy Manager에서 Setup > Authentication Servers를 선택한 후 ActiveDirectory 탭을 클릭합니다.150

WatchGuard System Manager2. Enable Active Directory Server를 체크합니다..3. Firebox와 인증 요청용으로 통신할 주 Active Directory 서버의 IP를 입력합니다.4. Firebox가 Active Directory 서버와 통신하기 위해 필요한 TCP 포트번호를 선택합니다. 디폴트는 389입니다.5. Search Base를 선택합니다. 표준 형식은 : cn = common name, dc = 구분된 서버명의 첫 부분, dc = 마침표 이후에 나타나는 서버명의 일부분입니다. 예를 들면 서버명 HQ_main인 경우, “cn =users, dc= HQ, dc=main”입니다.Firebox가 인증 매치 위해 조사하는 인증서버에 있는 디렉토리에 제한을 두기 위해search base를 설정합니다.6. Group String을 선택합니다.이 스트링 속성은 사용자그룹의 정보를 Active Directory 서버에 저장하는데 사용됩니다.7. 필요하다면 Time-out값을 변경합니다. 이 값은 Firebox가 인증서버에서 응답을 받기 위해 대기하는 시간을 뜻합니다.8. 가능한 backup Active Directory 서버를 입력합니다.151

WatchGuard System Manager9. MUVPN사용자가 Active Directory 서버에서 인증정보를 얻을 수 있게 하려면Optional Settings버튼을 클릭하여 IP주소, 서브넷마스크, DNS나 WINS 서버와 같은 Active Directory 서버에 있는 사용자 속성에 들어있는 MUVPN사용자 정보를입력하면 됩니다. 그러면 사용자는 Optional Settings에 있는 항목들에 아래의 항목들을 맵핑할 수 있습니다. MUVPN 사용자가 Firebox를 통하는 VPN터널을 구축할때 Firebox는 Active Directory 사용자 속성에 포함된 정보를 가지고 IP주소, 서브넷 마스크, DNS와 WIN 서버를 만들어 줍니다.IP Attribute StringIP할당을 포함하는 Active Directory 사용자 속성 필드 명의 이름을 입력합니다.Netmask Attribute Stringsubnet mask 할당을 포함하는 Active Directory 사용자 속성 필드 명의 이름을 입력합니다.DNS Attribute StringDNS 서버 IP를 포함하는 Active Directory 사용자 속성 필드 명의 이름을 입력합니다.WINS Attribute StringWINS서버 IP를 포함하는 Active Directory 사용자 속성 필드 명의 이름을 입력합니다.Lease Time Attribute StringMUVPN 연결 세션에 허가된 총 시간을 포함하는 Active Directory 사용자 속성필드 명의 이름을 입력합니다.Idle Timeout Attribute StringIdle timeout 할당을 포함하는 Active Directory 사용자 속성 필드 명의 이름을 입력합니다.사용자 인증에 대한 policy설정인증서버를 사용하기 위한 설정을 Firebox에 한 후에, 사용자는 Policy Manager에서policy를 만들 때 사용자이름을 사용하기 시작할 수 있습니다. 사용하는 방법 중 하나는, 모든 policy에 대해 인증된 사용자에 대해서만 커넥션을 허용하는 제한을 거는 것인데, 이렇게 하면, 사용자가 네트웍에서 DHCP를 사용할 때 유용합니다.1. 써드파티 인증서버에 모든 사용자 어카운트를 포함하는 그룹을 하나 만듭니다.2. Policy manager에서 Outgoing policy를 추가하거나 엽니다. From항목 아래의 Add를 클릭합니다.152

WatchGuard System Manager3. 인증서버에 만들 그룹명을 입력합니다.4. Policy Manager에서 모든 policy에 대하여 From 항목을 같은 방법 설정합니다.5. policy 설정에 대한 사용자나 그룹을 추가 한 후, Policy Manager에 나타나는WG-Auth policy를 사용하여 인증 웹페이지로의 접근를 조절합니다.153

10장 방화벽 침입 탐지와 방어WatchGuard System ManagerWatchGuard Fireware와 Policy Manager에서 만든 policy들은 사용 네트웍으로의 접근제어를 할 수 있도록 해주므로, 해커를 네트웍에 침입할 수 없도록 도와줍니다. 그러나 이러한 정책이 이길 수 없는 종류의 공격도 있기 때문에 Firebox의 디폴트 패킷 핸들링 옵션을상세하게 설정하면 SYN flood, spoofing, port나 address space probes와 같은 공격을 중지시킬 수 있습니다.방화벽은 디폴트 패킷 핸들링방법을 사용하여 수신된 패킷의 원천지와 목적지를 검사합니다.IP와 포트를 검사하고 패킷을 조사하여 패턴을 살펴본 후에 네트웍에 위험이 되는지를 확인합니다. 만일 위험요소가 있다면 가능한 공격에 대응할 행동을 취할 수 있습니다. 이러한침입탐지의 적극대처방법은 침입자를 네트웍에 들어올 수 없도록 합니다. WatchGuard는 또한 빠르게 대응하는 signature 기반의 침입 방지를 제공합니다.디폴트 패킷 핸들링 옵션방화벽은 수신된 패킷의 원천지와 목적지를 검사합니다. IP와 포트를 검사하고 패킷을 조사하여 패턴을 살펴본 후에 네트웍에 위험이 되는지를 확인합니다.디폴트 패킷 핸들링이 하는 일은 다음과 같습니다. :• 보안위험이 되는 패킷의 거부• 원천지 IP가 원천지 또는 목적지가 되는 모든 트래픽의 자동 blocking• 로그파일에 이벤트 추가• 가능한 보안위험의 알람 송신사용자는 Default Packet Handling 대화상자를 사용하여 옵션을 설정할 수 있습니다.1. Policy Manager에서 Setup > Intrusion Prevention > Default Packet Handling을선택합니다. Default Packet Handlling 대화상자가 나타납니다.2. 아래 그림과 같이 방지하고자 하는 행동들을 체크박스로 체크합니다.154

WatchGuard System ManagerSpoofing attacks공격자가 네트웍에 접근하기 위하여 사용하는 방법으로서 전자적으로 “falseidentity”를 만들어냅니다. 이 “IP spoofing”을 이용하여 공격자는 원래 호스트가아닌 다른 IP주소를 사용하여 TCP/IP 패킷을 보냅니다.IP spoofing 항목이 활성화되면 Firebox는 패킷의 원천지 IP가 인터페이스에 있는네트웍으로부터 나온 것인지를 확인하는 작업을 합니다.spoofing공격을 막으려면 Default Packet Handling대화상자의 Drop SpoofingAttacks 체크박스를 선택합니다.“Ping of death” attacks이것은 denial of service(DOS) 공격입니다. 이는 공격자가 IP프로토콜이 허용하는65,536bytes보다 큰 사이즈의 IP 패킷을 보냄으로써 야기되는 공격입니다. 이로인하여 어떤 운영시스템은 고장나거나 재시작 될 수 있습니다.이 공격을 방지하기 위해서는 Default Packet Handling대화상자의 Drop Ping ofDeath 체크박스를 선택합니다.IP source route attacks공격자는 이 공격을 사용하여 패킷이 네트웍을 통과하는 라우트를 찾아내기 위해155

WatchGuard System Manager일부러 IP패킷을 보냅니다. 공격자는 보낸 패킷에 대한 네트웍/호스트의 반응을 보고 타겟 호스트에 대한 운영시스템 정보를 얻을 수 있습니다.IP source route attacks을 방지하려면 Default Packet Handling대화상자의 DropIP Source Route 체크박스를 선택합니다.Port space and address space attacks공격자는 네트웍과 호스트들에 대한 정보를 알아내기 위해 프로브를 사용합니다.Port space probes는 가동되는 서비스를 찾아내기 위해 호스트를 검사하며,Address space probe는 네트웍상에 있는 호스트들을 찾아내기 위해 사용합니다.이들 공격을 방지하기 위해서는 Default Packet Handling대화상자에서 Block PortSpace Probes 와 Block Address Space Probes 체크박스를 선택합니다. sourceIP당 최대로 허용되는 IP주소와 포트 프로브의 수는 화살표 버튼으로 설정할 수 있습니다.Flood attacks비슷한 방법으로 작용하는 flood 공격들이 있는데, 이는 시스템에 과부하를 줌으로써 정상적인 네트웍 트래픽을 처리할 수 없도록 만드는 공격입니다. 예를 들면, 수많은 ICMP ping을 수신하여 시스템이 그것에 답신하는데 자원을 모두 소진해버리는 경우에 ICMP flood공격이 이루어집니다. Firebox는 다음과 같은 flood공격을방어합니다.• IPSec floods• IKE floods• ICMP floods• SYN floods• UDP floodsflood공격은 서비스거부(Dos)공격이라고도 일컬어지는데, 이를 방어하려면 DefaultPacket Handling대화상자에서 특정 공격의 체크박스에 체크해야 합니다. 또한 1초당 받을 수 있는 최대 가능한 패킷의 수를 화살표 버튼을 사용하여 설정할 수 있습니다.Distributed denial-of-service attacks분산서비스거부 공격은 flood공격과 비슷하지만 하나가 아닌 많은 컴퓨터로부터 request가발생된다는 것이 다릅니다. 이 공격을 방어하기 위해서는 Default Packet Handling대화상자에서 화살표 버튼을 사용하여 서버와 클라이언트가 받을 수 있는 초당 최대 커넥션수를 설정해야합니다.156

WatchGuard System ManagerBlocked Sites의 설정Blocked Sites를 설정하면 사용자가 알고 있는 시스템 및 위험하거나 보안의 위험이 있는통신을 방지할 수 있습니다. 사용자가 해당 사이트를 파악하고 나면 그 IP와의 모든 커넥션을 막을 수 있으며, 또한 이 source로부터의 모든 접근 시도에 대하여 로깅을 설정 할 수도있습니다. 로그파일을 통하여 공격당하는 서비스를 파악하고 서비스의 위치를 옮길 수 있습니다.Blocked site란 내부호스트로 접속할 수 없는 외부 IP주소를 뜻합니다. 만일 blocked된 시스템으로부터 패킷이 송출되었다면 Firebox를 통과할 수 없습니다.blocked site에는 두 가지 다른 종류가 있습니다. :• 영구적인 blocked site – 수동으로 설정한 설정파일에 리스트로 만들어져 있는것.• 자동- blocked sites – Firebox가 임시 리스트에 추가하거나 삭제하는 사이트를말합니다. Firebox는 각 서비스에 특정한 패킷 핸들링 룰을 사용합니다. 예를들면 blocked port에 연결을 시도하는 사이트들을 block하도록 Firebox를 설정할 수 있는데 특정 시간동안 block됩니다.자동-blocking 과 로깅은 어느 사이트를 막아야 할지 결정할 때 도움이 됩니다.영구적으로 사이트 막기보안의 위협요소가 있다고 판단되는 호스트를 영구적으로 block하려면 Policy Manager를사용합니다. 해커가 자주 애용하는 대학의 컴퓨터는 block할 만한 좋은 호스트의 예입니다.1. Policy Manager에서 Setup>Intrusion Prevention>Blocked Sites를 선택합니다.Blocked Sites Configuration 대화상자가 나타납니다.157

WatchGuard System Manager2. Add를 클릭합니다. Add Site대화상자가 나타납니다.3. Choose Type drop-down리스트를 사용하여 세가지 멤버 유형, Host IP Address,Network IP Address, Host Range 중 하나를 선택합니다.4. 멤버값을 입력합니다. 멤버타입은 이것이 IP 주소인지 IP 범위인지를 보여줍니다.IP주소를 입력하면 모든 숫자와 마침표를 입력할 수 있습니다.5. OK를 선택합니다. Blocked Sites 리스트에 새로운 사이트가 적용되어 나타납니다.blocked sites 리스트의 외부리스트 사용외부파일로 blocked sites리스트를 만들 수 있는데, 이 파일은 .txt 파일 이어야 합니다. 추가하는 방법은 다음과 같습니다.:1. Blocked Sites Configuration 대화상자에서 Import를 선택합니다.2. 파일을 찾은 후 더블클릭하거나 Open을 클릭합니다. 파일에 있는 사이트들이Blocked Sites 리스트로 모두 옮겨질 것입니다.Blocked Sites리스트에 예외 항목 만들기Blocked sites exception인 호스트는 자동 blocked sites리스트에 나타나지 않으며 자동 룰도 해당 호스트에는 적용되지 않습니다.1. Policy Manager에서 Setup > Intrusion Prevention > Blocked Sites를 클릭합니다.2. Blocked Sites Exception탭을 클릭한 후 Add를 다시 클릭합니다.3. Choose Type drop-down리스트를 사용하여 세가지 멤버 유형, Host IP Address,Network IP Address, Host Range 중 하나를 선택합니다.4. 멤버값을 입력합니다. 멤버타입은 이것이 IP 주소인지 IP 범위인지를 보여줍니다.IP주소를 입력하면 모든 숫자와 마침표를 입력할 수 있습니다. 탭과 화살표 키는사용할 수 없습니다.5. OK를 선택합니다.158

WatchGuard System Manager로깅과 알람 파라미터의 설정호스트가 blocked site를 사용하려는 시도가 있을 때에 Firebox에 로그를 남기도록 설정하는 기능입니다. 호스트가 blocked site에 접근허가를 받으려고 할 때에도 역시 알람을 발생하도록 할 수 있습니다.1. Blocked Ports 대화상자에서 Logging을 선택합니다. Logging 과 Notification 대화상자가 나타납니다.2. 보안 정책에 대응하는 파라미터와 알람을 설정할 수 있습니다.:Enter it in the log이 항목에 체크하면, Firebox는 blocked port 설정 때문에 패킷이 거부된경우에 로그메시지를 송신합니다. 모든 서비스에 대한 디폴트 설정은 패킷거부 시에 로그메시지를 보내는 것으로 되어있습니다.Send SNMP Trap이 항목에 체크하면, Firebox는 이벤트 알람을 SNMP관리 시스템으로 송신합니다. 트랩은 미리 정의된 값을 초과하는 임계치와 같은 조건이 발생할 때 작동합니다.Send Notification이 항목에 체크하면, Firebox는 blocked port 설정 때문에 패킷이 거부된경우에 알람을 송신합니다. 다음의 대응 방식 중 하나를 선택하여 설정할수 있습니다.- E-mail : 이벤트가 발생하면 Firebox는 e-mail메시지를 송신합니다. E-mail주소는 Log Server 화면의 Notification탭에서 설정합니다.- Pop-up Window : 이벤트가 발생하면 Firebox는 관리 스테이션에 대화상자를 띄웁니다.159

WatchGuard System Manager발생 간격 및 반복 횟수 설정사용자는 알람의 발생시간과 반복횟수를 다음의 파라미터들로 조절할 수 있습니다. :Launch Interval다른 알람 발생 사이의 최소 시간(분) 간격입니다. 이 파라미터는 같은 이벤트에 대한 알람이 짧은 시간에 여러 번 발생하지 않도록 방지합니다.Repeat Count이것은 이벤트가 일어나는 빈도입니다. 이것이 설정값이 도달하면 특별한반복 알람이 발생합니다. 이 알람은 특정 알람에 대한 로그를 반복하여 남깁니다. 알람은 이 숫자만큼의 이벤트가 지난 후에 발생됩니다.여기 이들 두 값을 사용하는 방법을 설명하였습니다. 값은 다음과 같이 설정되어있습니다.• Launch interval = 5분• Repeat count = 4Port space probe공격이 오전 10:00에 시작되어 1분마다 계속되고 있습니다. 로깅과 알림시스템이 작동을 시작합니다. 작동되는 방식은 다음과 같습니다.:1. 10:00 – 초기 port space probe( 첫번째 이벤트 )2. 10:01 – 알림이 처음 시작됨( 이벤트 1개 )3. 10:06 – 두번째 알림 발생( 이벤트 5개 보고된 상황 )4. 10:11 – 세번째 알림 발생( 이벤트 5개 보고된 상황 )5. 10:16 – 네번째 알림 발생( 이벤트 5개 보고된 상황 )Launch interval은 5분으로 설정한 1,2,3,4,5 간의 시간 간격을 조절하였습니다. Repeatcount를 launch interval과 곱하면 이벤트가 repeat notifier를 계속 작동해야 하는 시간간격이 계산됩니다.Policy 설정으로 잠시 site blocking 하기거부된 서비스를 사용하고자 하는 blocked site에 대하여 policy 설정을 사용할 수 있습니다.1. Policy Manager에서 Policies Arena에 있는 policy 아이콘을 더블클릭합니다.Properties 대화상자가 나타납니다.2. Policy 탭에서 Denied에 대한 Connections Are drop-down리스트를 설정했는지확인합니다.3. Properties탭에서 Automatically block sites that attempt to connect를 체크합니다.Blocking Port사용자는 네트웍을 공격하기 위해 사용할 수 있는 알려진 포트를 막을 수 있습니다. 이로인하여 특정 외부 네트웍 서비스가 중단될 수도 있습니다. 포트를 막으면 사용자는 모든 서160

WatchGuard System Manager비스 설정을 override해야 합니다.• 포트를 막으면 가장 민감한 서비스들을 보호할 수 있습니다. Firebox 설정의 에러로부터 사용자를 보호합니다.• 민감한 서비스에 대한 프로브가 독립적인 로그를 만들 수도 있습니다.디폴트로 Firebox는 몇 가지 목적지 포트를 막도록 되어있어 디폴트 설정을 변경하지 않아도 됩니다. 다음에 설명하는 서비스들을 block하였는지를 확인하십시오. :X Window System(포트 6000 – 6063)X Window 시스템(또는 X-Windows)클라이언트 커넥션은 암호화되지 않을 뿐더러 인터넷 사용시 위험합니다.X Font Server(포트 7100)X-Windows의 많은 버전은 X Font Servers를 운용하는데, 이 X FontServer는 몇몇 호스트에서 super-user로 작동합니다.NFS(포트 2049)NFS(Neork File Systemtw)은 여러 사용자가 네트웍에서 같은 파일을 공유하는 용도로 TCP/IP 서비스를 사용합니다. 그러나 새로운 버전들에 중요한 인증 및 보안문제가 심어져 있습니다. 인터넷으로 NFS서비스를 제공하는 것은 매우 위험한 일입니다.------------------------ 주 의 ------------------------------------portmapper는 NFS에서 포트 2049번을 사용합니다. 만일 NFS를 쓰는 사용자라면 모든 시스템에서 2049포트가 사용되는지를 확인해야 합니다.---------------------------------------------------------------------OpenWindows(포트 2000)OpenWindows는 Sun Microsystems에서 나온 시스템으로서 X-Windows와 같은 수준의 보안위험을 가지고 있습니다.rlogin, rsh, rcp(포트 513, 514)이 서비스들은 다른 컴퓨터로 원격 접속을 가능하게 하는 것들로서, 보안의 위험이 있으며, 많은 공격자들이 이 서비스를 감시합니다.RPC port mapper(포트 111)RPC 서비스는 RPC서버가 사용하는 포트가 어떤 것인지를 찾는데 포트111번을 사용합니다. RPC서비스는 인터넷으로 공격하기 쉽습니다.포트 0Internet Assigned Numbers Authority(IANA)가 0번 포트를 사용하는데,포트를 검사하는 소프트웨어들도 0번 포트에서 시작합니다.포트 1TCPmux서비스가 가끔 1번 포트를 사용하지만, 포트를 검사하는 툴들을사용하기 어렵게 하기 위하여 이 포트를 block할 수 있습니다.Novell IPS over IP(포트 213)161

WatchGuard System Manager내부적으로 Novell IPS over IP를 사용하는 경우에 213 번 포트를 막아야합니다.NetBIOS 서비스(포트 137~139)NetBIOS를 내부적으로 사용한다면 이들 포트를 모두 막아야합니다. 디폴트 패킷 핸들링에 의하여 이러한 서비스들이 block된다 하더라도 보안을위해 사용 포트까지 모두 막아야 합니다.---------------------------- 주 의 ----------------------------------blocked 포트를 사용하는 소프트웨어 때문에 트래픽을 허용해야한다면 IPSec VPN터널을통하거나 ssh를 사용하여 포트에 접근할 것을 권장합니다.---------------------------------------------------------------------blocked port로 인한 문제 피하는 방법blocked port때문에 문제가 생길 수 있으므로, 1023보다 큰 숫자의 포트를 막을 때에는 매우 조심해야 합니다. 클라이언트들이 자주 쓰는 소스 포트 번호이기 때문입니다.영구적인 Blocking Port1. Policy Manager에서 Setup > intrusion Prevention > Blocked Ports를 선택합니다.Blocked Ports 대화상자나 나타납니다.2. 포트번호를 입력한 후 Add를 클릭합니다. 새로 등록한 포트번호가 Blocked Ports리스트에 바로 나타납니다.Blocked ports의 사용을 시도한 Auto-blocking siteBlocked port에 접근을 시도한 외부 호스트를 자동으로 block하도록 설정 할 수 있습니다.Blocked Ports 대화상자에서 Automatically block sites that try to use blocked ports 를162

WatchGuard System Manager체크하면 됩니다.Blocked ports에 대한 로깅 및 알람 설정호스트가 blocked port를 사용하려 한 경우 로그를 남기거나 알람을 발생하도록 설정할 수있습니다.163

WatchGuard System Manager3부. 가상사설망(VPN) 사용하기164

WatchGuard System Manager11장 VPN 소개인터넷은 공공 네트웍입니다. 컴퓨터와 네트웍이 맞물려있는 이러한 시스템에서 한 컴퓨터는 다른 컴퓨터로부터 정보를 얻을 수 있습니다. 한 사람이 인터넷으로 당신이 보내는 안전하지 않은 데이터패킷을 읽는 것이 가능해집니다. 따라서 사무실, 네트웍, 사용자 사이에 있는 인터넷에서 안전한 데이터를 보내려면 지금보다 더욱 강력한 보안을 사용해야만 합니다.Virtual private networks(VPN)은 보안의 위험을 줄이고 공공 인터넷상에서 개인의 정보를안전하게 보호하기 위하여 암호화 기법을 사용합니다. VPN은 두개의 네트웍을 가로지르는엔터엣 상에서 데이터를 안전하게 송수신할 수 있도록 하는 것입니다. 호스트와 네트웍 사이에 VPN터널을 구축하여 커넥션을 안전하게 하므로, VPN끝단에 있는 네트웍과 호스트는본사, 지점, 원격 사용자와도 안심하고 통신할 수 있습니다.VPN기술에 대한 더욱 자세한 정보는 다음의 주소에서 더 찾아볼 수 있습니다.:http://www.watchguard.com/support165

WatchGuard System ManagerWatchGuard Support 웹사이트에는 문서, 기본 FAQs, 전문 FAQs, WatchGuard사용자 포럼 등이 있으며, 사용하려면 먼저 로그인 해야합니다.Tunneling Protocols터널을 통하면 안전하지 않은 인터넷을 가로질러 안전하게 패킷을 전송할 수 있습니다.터널이란 보안 프로토콜, 암호화 알고리즘, 룰의 집합체로서, 이 정보들을 사용하여 안전한트래픽을 송신합니다.터널링 프로토콜은 인프라를 제공하고 생성된 터널로 데이터를 송신하는 방법을 설정합니다.WatchGuard가 사용하는 두가지 터널링 프로토콜은 Internet Protocol Security(IPSec_와Point-to-Point-Tunneling Protocol(PPTP)입니다.IPSecIP 패킷을 검사하고 인증여부를 확인하기 위하여 IPSec 프로토콜을 사용합니다. IPSec은very strong authentication과 같은 보안특성을 가지고 있어서 인터넷상으로 송신하는 정보의 비밀성을 보장해줍니다. IPSec은 각기 다른 제조사의 시스템들에게 적용할 수 있는 표준프로토콜입니다. AH(Authentication Header)프로토콜은 데이터 통합 방법이며,ESP(Encapsulated Security Payload)프로토콜은 데이터 통합 및 비밀성을 위한 방법으로서사용됩니다.PPTPPoint to Point Protocol(PPTP)는 VPN보안에 대한 또 다른 네트웍 기술입니다. PPTP를 사용하여 터널은 회사 네트웍 그리고, 다른 point-to-point 프로토콜이 활성화된 시스템과 연결될 수 있습니다. PPTP는 IPSec만큼 보안성이 있지는 않아서 두개의 네트웍을 보호할 수없으며, 다른 IP나 네트웍을 가지는 하나의 IP만을 보호하지만, 회사 네트웍에 경제적인 터널을 제공합니다.Encryption안전하지 않은 네트웍에서 해커는 매우 쉽게 돌아다니는 패킷을 찾을 수 있습니다. VPN터널은 이러한 데이터를 안전하게 하기 위해 암호화기법을 사용합니다.암호화 키와 알고리즘의 길이는 암호화의 정도를 결정합니다. 키의 길이가 길수록 좋은 암호화정도와 보안을 제공합니다. 암호화의 정도는 조직에 필요한 성능과 보안을 가져다줍니다. 암호화의 정도가 강할수록 보안성을 높아지지만 성능에 부정적인 영향을 주기 쉽습니다.민감한 데이터를 보내지 않는 터널일 경우에 기본 암호화는 좋은 성능과 충분한 보안성을제공하지만, 중요한 데이터를 위한 커넥션일 경우에는 강한 암호화를 권장합니다.터널을 통해 패킷을 보내는 호스트나 IPSec 디바이스는 패킷을 암호화하고, 터널 끝의 수신166

WatchGuard System Manager자는 패킷을 복호화합니다. 따라서 이 두 송신자와 수신자는 모든 터널 파라미터에 같이 동의해야합니다. 여기에는 암호화 및 복호화 알고리즘은 물론, 터널을 통해 데이터를 보내도록 허가된 호스트나 네트웍, 새로운 키를 계산하기 위한 시간, 기타 다른 파라미터들이 포함됩니다.암호화 및 데이터 Integrity방법의 선택데이터의 암호화와 Integrity방법을 선택할 때에는 보안과 성능을 동시에 고려해야 하는데,민감한 데이터에 알맞은 가장 강력한 암호화 방법으로 AES를 권장합니다. 3DES는 데이터암호화와 복호화를 하는데 적은 시간이 소요되지만 강력한 보안이 요구되지 않거나 강력한암호화의 사용이 금지되는 경우에만 사용하기를 또한 권장합니다. Fireware Pro는 AES256을 디폴트로 사용합니다.데이터 Integrity는 수신하는 데이터가 송신할 때와 똑같다는 것을 확인하는 것입니다. 여기에서는 두가지 데이터 인증 방법을 제공합니다. 첫번째는 128비트 Message Digest-5(MD5-HMAC)이며, 두번째 방법은 160비트 Secure Hash Algorithm(SHA1-HMAC)입니다. SHA1-HMAC가 비트수가 더 많기 때문에 더욱 안전하다고 말할 수 있습니다.AuthenticationVPN 보안에서 송,수신자가 인증되었음을 확인하는 것이 매우 중요한데, 인증에는 두가지방법이 사용됩니다. 하나는 shared secret이라고 불리는 Passphrase Authentication이며,또 다른 하나는 Digital Certificates입니다. Shared secret은 터널의 양단에서 같은Passphrase를 사용하는 것을 뜻합니다. Firebox I 는 다른 디바이스로 PSec 터널을 만들때마다 세션 키를 생성하기 위해 shared secret을 사용합니다. 양단에서 같은 sharedsecret를 사용할 때에만 정확하게 데이터를 암호화하고 복호화 할 수 있습니다.Digital certificates는 끝단 게이트웨이를 파악하고 인증하기 위해서 public key 암호화를사용합니다. Certificates에 대한 더욱 자세한 내용은 WatchGuard System Manager UserGuide를 참조하십시오.확장 인증원격사용자에 대한 인증은 Firebox에 저장되어있는 데이터베이스를 통하거나, 외부 인증서버를 통하여 발생합니다. 외부인증 서버의 예로는 Remote Authentication Dial-In UserService(RADIUS)가 있습니다. 인증서버는 네트웍의 다른 시스템들을 인증하는 안전한 써드파티의 것이어야 합니다.사용자들은 두 가지 이유 때문에 외부인증서버를 사용합니다. 하나는 Firebox 내부 데이터베이스에 있는 사용자들을 관리하는 일을 줄여주는 역할을 하기 때문이고, 다른 하나는 보안성을 한층 강화할 수 있기 때문입니다. Mobile User VPN을 위하여 Extended167

WatchGuard System ManagerAuthentication Groups를 사용한다면 원격사용자는 VPN이 시작될 때마다 사용자이름과passsword를 입력해야 되지만, Firebox Authenticated Users를 사용한다면 그럴 필요가없습니다.인증방법의 선택VPN의 핵심은 사용자 인증방법입니다. 사용자가 shared secrets를 안전하게 사용할 때 다음과 같은 것을 반드시 확인해야 합니다.사용자가 강력한 패스워드를 선택했는지자주 패스워드를 변경하는지3회 로그인 실패 시 사용자의 사용을 막는지PPTP로 RUVPN을 사용하거나, Mobile User VPN을 사용할 때에는 강력한 패스워드를 사용하는 것이 특히 중요합니다. VPN 엔드포인트를 위험하게 두면 네트웍 전체가 위험해진다는 것을 명심하십시오. 예를 들어, 만약 어떤 사람이 랩탑을 훔쳐 패스워드를 알아냈다면그 사람은 네트웍에 바로 접근할 수 있게 됩니다.Digital certificates는 사용자를 파악하는 전자 기록입니다. 이에 대한 자세한 설명은WatchGuard System Manager User Guide를 참조하십시오. 안전한 써드파티인 CertificateAuthority(CA)는 certificates를 관리해줍니다. WatchGuard System Manager에서 Firebox를 CA처럼 작동하게 설정 할 수 있습니다. 이 인증이 shared secretes보다 안전합니다.IP AddressingVPN 터널을 만들 때 또한 중요한 것이 IP주소의 정확한 사용입니다. VPN의 한쪽 끝에서사용하는 사설 IP는 다른 쪽 끝의 사설 IP와 같을 수 없습니다. 만약 지점들이 있다면 주사무 네트웍과 다른 각 위치에서 서브넷을 사용해야 합니다. 가능하다면 지점을 셋업할 때Firebox의 서브넷과 같은 것을 사용하도록 합니다.예를 들어, primary Firebox 네트웍이 192.168.100.0/24를 사용한다면 지점에서는192.168.101.0/24, 192.168.102.0/24 등을 사용하십시오. 이것은 네트웍을 확장할 때 발생하는 문제들을 방지할 뿐만 아니라, 지점의 IP를 기억하기 쉽도록 해줍니다.Mobile User VPN과 RUVPN터널에 대해 Firebox는 각 원격 사용자에게 가상 IP를 할당합니다. 가상 IP를 할당하는 가장 쉬운 방법은 primary 네트웍에 속하지만 다른 컴퓨터에서사용하지 않는 가상 IP를 할당하는 것입니다. 사용자는 RUVPN과 Mobile User VPN 원격사용자에게 같은 가상 IP를 사용할 수 없으며, primary 네트웍의 다른 위치에 있는 컴퓨터가 가지고 있을 가능성이 있는 가상 IP주소를 사용할 수도 없습니다.만일 primary 네트웍이 이러한 충분한 IP를 보유하지 못하는 경우, 가장 안전한 방법은“placeholder” 2차 네트웍을 설치하는 것입니다. 필요한 주소 범위를 선택하고 가상 IP 범위로 IP를 사용하면 됩니다.168

WatchGuard System Manager이것은 사용자가 주소 범위에서 선택을 할 수 있게 해줍니다. 이 주소들과 Firebox 뒷단에서 사용하고 있는 실제 호스트 주소와는 충동하지 않습니다. 만일 RUVPN 가상IP를 위해서이 방법을 사용하는 경우에는 원격 네트웍의 디폴트 게이트웨이를 사용하기 위해 클라이언트 컴퓨터를 설정해주거나, VPN이 연결된 후에 수동으로 라우트를 추가해주어야 합니다.그러나 MUVPN 클라이언트 컴퓨터에는 필요하지 않습니다.Internet Key Exchange(IKE)네트웍 내의 VPN터널의 수가 증가함에 따라 터널에 사용되는 많은 세션키를 관리하는 일은 점점 더 힘들어집니다. 키는 강력한 보안을 위하여 자주 대체되어야 합니다.Internet Key Exchange(IKE)는 IPSec이 사용하는 키 관리 프로토콜입니다. IKE는 키를 검사하고 대체하는 과정을 자동화하여 처리합니다. IKE는 보안 프로토콜인 Internet SecurityAssociation and Key Management Protocol(ISAKMP)을 포함합니다. 이 프로토콜은 IPSec터널을 만드는데 두단계 과정을 사용하는데, 첫 번째 단계에서는 2개의 게이트웨이가 안전하고 인증된 통신채널을 구축합니다. 두 번째 단계에서는 그 둘 간에 데이터를 암호화하는방법을 알아내기 위해 키를 교환하는 과정이 진행됩니다.Diffie-Hellman은 IKE가 데이터 암호화에 필요한 키를 만드는데 사용하는 알고리즘으로서,Diffie-Hellman group은 파라미터들의 집합입니다. 이들 집합은 두 상대 시스템이 sharedsecret key를 서로 동의하고 교환하도록 합니다. 집합 1은 768-bit집합이며, 집한 2는1024-bit 집합입니다. 따라서 집합 2는 집합 1보다 보안성이 뛰어나지만 키를 생성하는 처리시간이 더 오래 걸립니다.NAT and VPNs원격 게이트웨이 사이에 NAT디바이스로 IPSec VPN을 설정하고자 한다면 몇 가지 조절할부분이 있습니다. NAT는 항상 IP패킷의 주소 정보를 변경하기 때문에 AH 프로토콜을 사용하고자 하면 그 패킷은 데이터 integrity체크에 실패할 것입니다. 따라서 이 프로토콜 때문에 데이터그램의 각 bit는 변경되지 않아야 합니다.BOVPN을 사용하는 터널에서 NAT를 사용하려면 AH를 사용하지 말아야 합니다. 인증방법으로 ESP를 쓰는 것이 바람직 합니다.( 다른 모든 IPSec 터널종류과 함께 ESP를 항상 인증방법으로 사용하십시오.)또한 IPSec를 사용하거나 PPTP가 통과하도록 하고 싶을 때에도 VPN에 NAT를 사용할 수있습니다.169

WatchGuard System ManagerAccess ControlVPN 터널은 사용자가 네트웍의 자원을 사용할 수 있도록 해줍니다. 사용자 유형에 따라 어떤 종류의 접근이 적당한지 고려해보아야 합니다. 예를 들면, 계약직 직원에 대해서는 하나의 네트웍만 접근하도록 하고, 세일즈 직원에 대해서는 모든 네트웍에 접근할 수 있도록 할수 있습니다.다양한 VPN 기술로 신뢰도 수준도 설정할 수 있습니다. 대리점 VPN은 터널의 양단에 방화벽 디바이스를 가지고 있어 한쪽에만 되어있는 Mobile User VPN과 RUVPN보다 안전합니다.Network Topology사용자는 VPN이 meshed와 hub-and-spoke 설정을 지원하도록 설정할 수 있는데, 사용자가 설정한 토폴로지에 따라 발생 커넥션의 종류와 수가 결정됩니다. 또한 트래픽의 흐름과데이터의 흐름도 결정됩니다.Meshed networksFully meshed 토폴로지에서, 모든 서버는 그물구조를 만들기 위해 서로 연결되어 있으므로,각 디바이스는 다른 VPN장치로부터 한 단계 거리에 있으며, 필요할 때에 각 VPN유닛 사이에 통신이 바로 생성됩니다.[그림] Fully Meshed Network이 토폴로지가 가장 에러가 적게 생기는데, 만일 하나의 VPN유닛이 다운되는 경우에 그 유닛의 trusted 네트웍에 대한 커넥션만 다운되기 때문입니다. 그러나 이 토폴로지는 각 VPN170

WatchGuard System Manager유닛이 각 유닛에 대한 VPN터널을 모두 가지고 있어야 하기 때문에 설치하는 데에 많은노력이 소요된다는 단점도 있습니다. 설정을 잘 하지 못하면 라우팅 문제가 발생할 가능성이 있습니다.Fully meshed network로 인한 가장 큰 문제점은 관리의 문제인데, 네트웍 상의 각 유닛이다른 유닛에 연결되어 있어야 하는 탓에 필요한 터널의 수가 순식간에 커지기 때문입니다.이 터널 수는 디바이스 수의 제곱이 됩니다. :[(디바이스 수) * (디바이스 수)] -1 /2 – 터널 수]모든 VPN이 WatchGuard 디바이스일 경우, WatchGuard System Manager는 관리의 문제를 훨씬 줄여줍니다. 관리서버는 모든 터널의 정보를 가지고 있습니다. WatchGuardSystem Manager로 사용자는 하나의 디바이스에서 다른 디바이스로 drag-and-drop을 함으로써 세 단계 안에 다른 디바이스로 VPN터널을 만듭니다.사용자는 여러 장소에 있는 모든 시스템의 보안상태를 각각의 Firebox로 모니터할 수 있습니다. 큰 회사는 이러한 설정을 더 큰 용량의 Firebox를 사용하여 중요한 지점 사무실에 사용합니다. 작은 사무실과 원격 사용자는 MRVP, RUVPN, Firebox X-Edge, SOHO 6디바이스로 연결합니다. Fully meshed 가 아닌 네트웍은 필수적인 inter-spoke VPN터널만을 가지고 있습니다. 아래의 설정 그림을 참조하십시오. 그래서 fully meshed 네트웍보다 데이터흐름이 더 좋습니다. 모든 meshed 네트웍의 한계는 다음과 같습니다. :- 방화벽 CPU가 수행할 수 있는 VPN 터널 수- 유닛에서 VPN 라이센스가 허용하는 VPN 터널 수[그림] Partially Meshed Network171

WatchGuard System ManagerHub-and-spoke 네트웍Hub-and-spoke 설정에서는 모든 VPN터널이 하나의 Firebox에서 종결됩니다. 비교적 소규모의 회사는 보통 primary Firebox에 이 설정을 사용합니다. 많은 분산 원격 사용자들이Mobile User VPN, RUVPN, Firebox X Edge, SOHO 6 디바이스로 이 설정에 연결하며, 각원격 장치나 사용자는 primary Firebox에만 VPN터널을 만듭니다.보통 간단한 Hub-and-spoke 설정에서, 원격지는 마스터 서버 뒷 단의 네트웍과 VPN터널을 통해 데이터를 주고받기만 할 수 있습니다. 그러나 마스터 서버로 연결된 VPN터널은(primary hub) 다른 원격 VPN장소(터널 스위칭)으로도 데이터를 송수신할 수 있습니다.마스터 서버가 원격지에서 또 다른 원격지로 패킷을 보낸다면 Hub-and-spoke에서의 트래픽이 높아질 수 있으며, 반대로 원격지에서 primary hub지역으로 VPN터널을 통해 데이터를 송신할 때에는 단순 Hub-and-spoke네트웍 에서 트래픽이 낮아질 수 있습니다. 이때 마스터 서버는 모든 VPN터널이 실패할 수 있는 지점이기 때문에 문제의 발생소지가 있기도합니다. 마스터 서버가 다운되면 원격지로의 VPN터널 연결이 불가능해집니다.단순 Hub-and-spoke 시스템을 통과하는 트래픽의 흐름은 meshed 시스템을 통과하는 것보다 단순 명료하여 터널의 수를 관리가 더 용이합니다. 다음의 합계를 참조하십시오.:[(디바이스 개수) – 1 = 터널 수]spoke 용량이 더 필요하다면 허브 영역을 확장하십시오. 그러나 모든 트래픽이 그 허브를통과하기 때문에 설치할 때 큰 대역폭을 할당해야만 합니다.[그림]Hub and Spoke Network172

WatchGuard System Manager터널링 기법split tunneling(분산 터널링)은 원격의 VPN커넥션을 맺는 컴퓨터로 인터넷에 접속하는 경우에 사용합니다. 사용자는 터널로 인터넷 트래픽을 보내지 않고 ISP를 통해 직접 웹페이지를 볼 수 있습니다. 이때 인터넷 트래픽이 필터링되거나 암호화되지 않기 때문에 시스템이피해를 입을 가능성이 높아집니다.이 위험한 상황은 원격사용자가 Firebox의 VPN터널로 인터넷 트래픽을 보내게 되면 안전해질 것입니다. Firebox에서 트래픽은 인터넷으로 다시 보내어집니다(터널 스위칭). Firebox는 모든 트래픽을 검사하고 보안성을 증진시키는 것입니다.사용자가 터널 스위칭을 사용 하는 경우, 동적 NAT policy는 원격 네트웍에서 나가는 트래픽을 포함시켜야 합니다. Policy Manager에서 Setup > NAT에서 policy를 추가합니다. 이렇게 하면 원격 사용자는 Firebox로 모든 트래픽을 보내면서 인터넷을 브라우징 할 수 있게됩니다.split tunneling은 보안성은 떨어뜨리고 성능은 증가시킵니다. 따라서 split tunneling을 사용하려면 원격 사용자들은 VPN 엔드포인트 뒤에 개인 방화벽을 설치해야만 합니다.WatchGuard VPN 제품WatchGuard System Manager에는 터널을 생성하는 소프트웨어가 들어있습니다.:PPTP가 적용되는 Remote User VPN(RUVPN)IPSec이 적용되는 Mobile User VPN(MUVPN)IPSec이 적용되는 Branch Office VPN(BOVPN) : 터널 설정을 수동으로 하기 위해Policy Manager를 사용.IPSec이 적용되는 Branch Office VPN(BOVPN) : 터널 설정을 수동으로 하기 위해WatchGuard System Manager을 사용.WatchGuard는 생성하는 VPN터널에 따라 다른 암호화를 적용할 수 있습니다. BranchOffice VPN은 Data Encryption Service(DES)를 지원하는데, 기본 암호화로 56-bit 키를,중급 암호화로는 112-bit 키를, 그리고 강력한 암호화를 위해서는 168-bit 키를(3DES)사용하여 암호화합니다. Advanced Encryption Standard(AES)도 지원하는데, 이는 128, 192,256 bit암호화를 사용한 blocking data 암호화 방법입니다.PPTP가 적용되는 RUVPN원격 사용자 및 모바일 사용자들은 RUVPN을 사용하여 PPTP로 Firebox 네트웍에 접속할수 있습니다. PPTP가 적용되는 RUVPN은 RC4 40 bit 또는 128 bit키를 지원합니다.Basic WatchGuard System Manager 패키지에는 PPTP적용되는 RUVPN기능이 있습니다.동시에 50명의 사용자를 연결하며, 모든 암호화 수준을 지원합니다. PPTP터널을 사용하는173

WatchGuard System ManagerRUVPN 생성법에 대한 더욱 자세한 정보는[ xref RUVPN chapter] 를 참조하십시오.Mobile User VPN------------------------ 주 의 ----------------------------------MUVPN Administrator Guide에서 MUVPN에 대한 더욱 자세한 정보를 보실 수 있습니다.--------------------------------------------------------------------MUVPN은 선택 소프트웨어로 제공됩니다. 원격사용자란 회사망에 접속해야 하는 이동 근무자를 의미합니다. MUVPN이 안전하지 않은 원격 호스트와 회사망 사이에 IPSec 터널을구축합니다. 원격 사용자는 표준 인터넷 다이얼 업이나 광대역 연결을 사용하여 인터넷에접속한 후 MUVPN 소프트웨어를 사용하여 보안된 접속을 만듭니다. MUVPN으로는 오직하나의 Firebox만 터널을 만들어야 합니다. MUVPN은 트래픽을 암호화하기 위하여 DES나3DES를 사용하는 IPSec을 사용하며, 패킷을 인증하는 데에는 MD5나 SHA-1을 사용합니다. 관리자는 각 원격 사용자에 대하여 MUVPN 소프트웨어에 보안 정책을 만들어 적용할수 있습니다. 보안정책은 확장자 .wgx로 된 암호화된 파일이 됩니다. 소프트웨어가 원격 사용자의 컴퓨터에 설치되면 사내망에 안전하게 접속할 수 있습니다. MUVPN사용자는 또한보안정책을 변경할 수 있으며, 관리자가 사용자들에게 읽기전용 보안정책을 내려줄 수도 있습니다.MUVPN은 Firebox의 모든 모델에서 가능한 기능이며, MUVPN 터널 생성하는 방법에 대하여는 [xref MUVPN chapter]를 참조하시기 바랍니다.Branch Office Virtual Private Network(BOVPN)많은 기업들이 여러 장소에 지점을 설치하는데, 이런 경우 지점끼리 서로 데이터를 가져오거나 공유 데이터베이스를 접속하는 경우가 많습니다.지점간의 통신이 민감한 기업정보를 대상으로 하기 때문에 이 통신은 특히 안전해야 합니다.WatchGuard BOVPN을 사용하면 사용자는 보안성을 떨어뜨리지 않고서도 인터넷 상으로둘 이상의 지점을 연결할 수 있습니다. WatchGuard BOVPN은 두 네트웍 사이에, 또는Firebox와 IPSec-compliance 디바이스 간에 암호화된 터널을 제공해 줍니다. BOVPN 설정은 WatchGuard System Manager나 Policy Manager를 사용하여 할 수 있습니다.WatchGuard는 BOVPN터널을 위한 인증서를 가지고 있습니다. 만약 인증서기반 인증을 사용한다면 두 VPN 지점은 반드시 WatchGuard Firebox여야 합니다. SOHO 6나 Firebox XEdge 디바이스에는 사용할 수 없습니다. 또한 이 기능을 사용하기 위해서는 관리서버와CA도 설정해야 합니다. 더 자세한 정보는 REFERENCE를 참조하십시오. BOVPN 터널을수동으로 설정하기 위해 Policy Manager를 사용하는 방법은 [xref BOVPN chapter]를 참조하십시오.Policy Manager와 BOVPNPolicy Manager에서 터널을 생성할 때, Firebox는 다른 IPSec-compliant 보안기기에 암호174

WatchGuard System Manager화 터널을 만들기 위해 IPSec을 사용합니다. 양단은 반드시 고정 공인 IP주소를 가지고 있어야 합니다. 다음과 같은 경우에 Policy Manager로 BOVPN을 사용합니다.:▪ Firebox와 Watch-Guard가 아닌 IPSec-compliant 제품 사이에 터널을 만들고할 경우▪ 다른 터널들에게 다른 라우팅 정책을 적용하는 경우▪ 일부 어떤 종류의 트래픽이 터널을 통과하지 않는 경우IPSec이 적용되는 BOVPN은 보통레벨의 보안(56-bit DES)이나 강력한 보안(112-bit 2DES또는 168-bit 3DES)이 가능합니다. 또한 112, 192, 256 bit 암호화 수준의 AES도 가능합니다. 사용자는 네트웍의 트래픽 유형에 따라 각기 다른 VPN터널을 구현할 수 있습니다. 예를 들면, 세일즈 팀에서 나오는 트래픽은 DES 암호화하여 VPN터널을 사용하게 할 수 있고,금융 팀에서 나오는 데이터는 조금 더 강하게 3DES 암호화를 사용할 수 있습니다.[그림] Manual IPSec을 적용한 BOVPNWatchGuard System Manager와 BOVPNWatchGuard System Manager를 사용하면 드래그-그롭이나 메뉴를 사용하여 완전히 인증되고 암호화된 IPSec터널을 만들 수 있습니다. System Manager는 Firebox간에 IPSecVPN설정 정보를 안전하게 송신하기 위해 관리서버를 사용합니다. 이 관리서버를 사용한다면 VPN의 각 설정 파라미터를 조절할 수 있으며, 또한 관리서버는 이 정보들을 저장합니다.다음과 같은 경우에 WatchGuard System Manager로 BOVPN을 사용합니다.:▪ 둘 이상의 Firebox사이에 터널을 만들고자 하는 경우▪ 다른 터널들에 대하여 각기 다른 라우팅 정책이 필요한 경우▪ 동적 또는 고정 IP를 사용하는 클라이언트 유닛▪ 많은 터널을 만들어야 하는 경우WatchGuard System Manager를 사용하면 기업내의 모든 WatchGuard 디바이스를 모니터하고, 설정, 관리할 수 있습니다. 두 개의 원격 디바이스 간에 VPN터널을 설정하는 것도System Manager의 디폴트 설정을 사용하면 쉽습니다. 지점과 원격 사용자의 인터넷 보안에 대해 알 필요도 없습니다. 원격 디바이스는 관리서버에 접속하고 System Manager가 모든 일을 처리합니다. 만일 사용자가 터널 인증서를 사용한다면, 인증서의 자동생성을 위해Certificate authority로 관리서버를 설정 할 수 있습니다.175

WatchGuard System ManagerVPN 시나리오이번 섹션에서는 세가지 기업 유형과 각각에 최적화된 VPN사용 예를 설명합니다.여러 지사가 있는 대형 기업 : System Manager[그림] 지점과의 VPN이 형성되어 있는 대형 기업Gallatin Corporation은 Los Angeles에 약 300명의 직원이 있는 본사와 Sacramento, SanDiego, Irvine에 약 100명씩의 사용자가 있는 지점을 두고 있다. 모든 사무실에는 초고속인터넷이 설지되어 있으며 직원들은 다른 곳으로 보안된 커넥션을 맺어야만 한다.이 회사는 각 지역마다 Firebox를 설치하여 서로 커넥션을 맺기 위하여 System Manager를 사용한다. 각 사무실은 다른 사무실로 접속하며 모든 사무실 사용자들은 공유 정보를 송수신한다. 본사의 Firebox는 관리서버이며, 지점의 것은 관리서버의 클라이언트로 동작한다.Gallatins의 ISP문제로 서비스가 중지되면 본사의 Firebox는 역할을 할 수 없게 되지만, 지점의 터널은 그대로 active한 상태로 유지된다.재택 근무자들로 구성된 소형 기업 : MUVPNRiver Rock Press는 전문 업계의 작은 출판 업체이다. 이 회사는 Portland, Oregon에 6명의 직원을, 그리고 다른 곳에 사는 5명의 편집자를 사원으로 두고 있다. 본사는 방화벽과VPN게이트웨이로 Firebox X Edge를 사용하고 있다. 5명의 편집자들은 Mobile User VPN176

WatchGuard System Manager클라이언트를 사용하여 Portland의 정보센터로 안전하게 접속한다. 이들은 인터넷에 컴퓨터만 연결되어있으면 언제든지 안전하게 정보를 교환할 수 있는 것이다.[그림] MUVPN을 사용하는 재택 근무자들로 구성된 소형 기업원격지 직원으로 구성된 기업 : 확장 인증된 MUVPNBizMentors, Inc.는 고객 기업에게 비즈니스관련 강의를 해주는 35명의 트레이너를 직원으로 가지고 있다. 또한 75명의 세일즈직원은 스케쥴 충돌을 예방하기 위해 시시각각 그들의정보를 얻어야 한다.BizMentor의 데이터센터에 있는 데이터베이스가 이 정보를 갱신하고 있다. 데이터 센터는Firebox를 사용하며 각각의 세일즈 직원은 재고와 가격 데이터베이스에 접근하기 위해MUVPN 클라이언트를 사용한다. 모든 원격 사용자를 인증하기 위해 BizMentor는Windows domain controller를 데이터센터에서 사용한다.보통 사용자는 Firebox와 Windows Server(domain controller)에 ID와 패스워드를 입력하여 들어가야 하지만, 확장인증을 사용하면 모든 ID와 패스워드가 Windows domaincontroller로 보내어지기 때문에 Firebox에 ID와 패스워드를 입력할 필요가 없다. 모든 세일즈 사원은 사내에서 사용하듯이 ID와 패스워드로 내부 망에 로그인할 수 있다. 이는Firebox가 Windows domain controller로 ID와 패스워드를 보내고, domain controller는VPN 사용자를 인증하는 것이다.177

WatchGuard System Manager[그림] 확장인증을 사용하는 소규모 기업178

WatchGuard System Manager12장 수동 IPSec으로 BOVPN설정하기Firebox와 IPSec-compliant 보안장비 사이에 보안터널을 만들기 위해 Mannual IPSec으로Branch Office VPN을 사용하는데, 이 장비는 지사 등의 원격지를 보호해줍니다. MannualIPSec으로 구축된 BOVPN은 WatchGuard 중급 보안버전 56-bit DES 및 고급버전 56-bitDES, 168-bit 3DES, AES 128, AES 192, AES 256을 사용할 수 있습니다.Checklist 설정Mannual IPSec으로 BOVPN을 사용하려면 다음 정보를 설정하여야 합니다. :Policy endpoints – 터널상에서 작동하는 특별한 호스트나 네트웍의 IP암호화 기법 (터널 양단은 같은 암호화 기법을 사용해야 합니다.)인증 기법게이트웨이의 설정게이트웨이는 하나 이상의 터널의 연결점입니다. 이 게이트웨이의 표준 연결기법은 터널의다른 쪽 장비가 구축한 터널들의 표준 연결기법이 됩니다. ISAKMP 자동키 교환이 한 예라하겠습니다.게이트웨이의 추가IPSec 터널 교환을 시작하려면 한쪽 끝이 다른 쪽으로 연결을 해야 합니다. 연결을 위해서사용자는 IP주소나 DNS명을 사용할 수 있는데, 만일 peer가 동적이라면 peer ID type으로“Any”를 설정하면 됩니다.이 설정을 위해서 Domain Name으로 원격 게이트웨이의 ID 유형을 선택해야하며, peer의이름은 fully qualified 도메인명으로 설정해주어야 합니다. Firebox의 DNS 서버를 이름을알 수 있는 것, 보통 내부 DNS 서버로 설정하는 것이 일반적입니다.Policy Manager에서1. VPN > Branch Office Gateways 를 클릭합니다. Gateway 대화상자가 나타납니다.179

WatchGuard System Manager사용자가 BOVPN업그레이드를 하지 않은 Firebox X500을 보유한 경우에는 BranchOffice Gateways 메뉴가 활성화되지 않습니다.2. Add를 클릭하여 게이트웨이를 추가합니다. New Gateway 대화상자가 나타납니다.3. Gateway Name 입력상자에 게이트웨이 명을 입력합니다. 이 이름으로 PolicyManager내에서만 게이트웨이를 구분할 수 있습니다.4. Gateway IP란에 원격 게이트웨이 IP를 입력합니다. static이나 Any가 될 수 있습니180

WatchGuard System Manager다.5. Remote ID Type drop-down리스트에서 IP Address, Domain Name, User DomainNAme또는 X500 Name을 선택합니다. Firebox가 External IP주소로 DHCP나PPPoE를 사용한다면 구분용으로 도메인명을 사용하십시오. 이 정보는 Firebox 설정에 포함됩니다. Firebox는 VPN endpoint를 찾기 위하여 IP와 도메인명을 사용합니다. User name은 VPN endpoint에 있는 사용자를 파악하는데 사용하는 레이블입니다.6. Local Settings를 설정합니다. 로컬 ID Type란에 IP address, Domain Name, UserDomain Name 가운데에서 선택하여 입력합니다. IP address를 선택한 경우에는drop-down리스트에서 IP를 선택할 수 있습니다. 설정된 모든 Firebox인터페이스IP는 리스트에 나타납니다.7. Pre-Shared Key나 Firebox Certificate를 클릭하여 사용하고자 하는 인증 절차를파악합니다. Pre-Shared Key를 선택하였다면 공유키를 입력합니다.:원격 디바이스에도 역시 같은 pre-shared key를 사용해야 합니다.------------------------- 주 의 ------------------------------인증서로 인증하는 것을 선택했다면 먼저 certificate authority를 시작시켜야 합니다.이에 대한 자세한 것은 WatchGuard System Manager User Guide의 certificateauthority를 참조하시기 바랍니다. 인증서를 사용할 때에는 로깅을 위해 반드시WatchGuard Security Event Processor 를 활용하여야 합니다.-----------------------------------------------------------------8. 사용자는 미리 설정되어있는 Phase 1 setting을 사용할 수도 있고, 그것을 수정하여사용할 수도 있습니다. Phase 1은 IKE 협상의 초기 단계에 적용되는 것으로서, 인증, 세션 네고시에이션, 키변경 정보를 포함하는 것입니다.9. Authentication drop-down리스트에서 종류를 선택합니다. : SHA1 또는 md510. Encryption drop-down 리스트에서 종류를 선택합니다. : DES또는 3DES11. Mode drop-down리스트에서 Main 또는 Aggressive를 선택합니다. Main Mode는네고시에이션 하는 동안 VPN의 두 peer의 정체성을 보호하며, 이는 AggressiveMode보다 안전합니다. Main Mode는 Diffie-Hellman group2를 지원하는데, peer간에 보내어지는 메시지들이 더 많이 필요하기 때문에 속도면으로는 Aggressive보다느립니다.12. Diffie-Hellman group settings과 다른 고급 Phase 1 settings를 변경하려면advance를 클릭합니다. Phase 1 Advanced Settings 대화상자가 나타납니다.181

WatchGuard System Manager13. SA(security Association) lige를 변경하려면 해당필드에 값을 입력합니다. Hour또는 Minute을 drop-down리스트로 선택합니다.14. Key Group drop-down 리스트에서 Diffie-Hellman group을 선택합니다.WatchGuard는 group 1과 2를 지원합니다. Diffie-Hellman은 공공 수단을 통과하는 비밀키를 안전하게 negotatiate하기 위해서수학적 방법을 사용합니다. Diffie-Hellman group은 이를 얻기 위해 사용하는 특성들의 집합입니다. Group2는 1보다더 안전하지만 키 생성시간이 더 오래 걸립니다.-------------------------- 주 의 -----------------------------Diffie-Hellman Group2는 Aggressive Mode에서만 지원됩니다.-----------------------------------------------------------------15. 터널이 NAT디바이스를 거치는 경우, NAT traversal을 활성화시킵니다. NATTraversal 연결을 오픈해놓기 위해kepp-alive를 입력합니다. NAT Traversal이나UDP Encaptulation은 NAT때문에 주소가 변경되거나 엔드포인트 간의 패스에 있는 라우터가 IP 50(ESP)또는 51(AH)를 라우팅하지 않을 때에도, 터널을 통하여 정확한 목적지에 트래픽이 이르도록 해줍니다.16. IKE Keep-alive 메시지를 터널로 송신하기 위해서는 IKE Keep-alive를 체크하고터널을 오픈상태로 둡니다. Message interval도 입력합니다.₩17. Max failure필드안에 입력한 숫자에 맞추어 터널이 닫기기 전에 허용되는 IKEfailure의 최대실패 횟수를 설정합니다.18. advanced configuration을 완료하였으면 OK를 클릭합니다.19. OK를 다시 클릭하여 gateway를 저장합니다.20. Gateway 대화상자를 닫기 위해 Close를 클릭합니다.게이트웨이의 변경 및 삭제게이트웨이를 변경하려면 Gateways 대화상자에서1. 게이트웨이를 사용하는 모든 터널을 삭제합니다.182

WatchGuard System Manager2. 게이트웨이를 선택하고 Edit을 클릭합니다. Edit Gateway대화상자가 나타납니다.3. 변경 후 OK를 클릭합니다.게이트웨이를 삭제하려면 Gateways대화상자에서 게이트웨이를 선택 한 후 Remove를 클릭하면 됩니다.Mannual Tunnel 만들기Key 협상 type으로 Internet Security Association and Key Management Protocol(ISAKMP)을 가지고 있는 게이트웨이를 사용하는 수동 터널을 설정하기 위해 이 방법을 사용합니다. ISAKMP은 두 디바이스간의 통신을 인증하는 프로토콜입니다. 이것은 암호화를포함하여 디바이스가 보안서비스를 사용하는 방법에 대한 정보들이 들어있습니다. 또한 암호화된 데이터를 텍스트 형태로 변경하는데 사용하는 키를 생성하는 방법도 포함되어있습니다.1. Policy Manager에tj VPN > Branch Office Tunnels를 선택합니다. Branch OfficeIPSec Tunnels 대화상자가 나타납니다.183

2. Add를 클릭합니다. New Tunnel 대화상자가 나타납니다.WatchGuard System Manager3. tunnel name을 입력합니다.4. 이 터널과 연결할 원격 게이트웨이를 선택합니다. 정의한 게이트웨이가 이drop-down리스트에 나타납니다. Gateway를 편집하려면 이름을 선택하고Edit버튼을 클릭합니다. 새로운 Gateway를 생성하려면 New버튼을 클릭합니다.5. Proposal drop-down리스트에서 터널에 대한 IKE Phase 2 proposal을 선택합니다.이 리스트는 이미 정의되어 있는 phase 2 proposal을 포함하고 있습니다.184

WatchGuard System Manager6. 만일 기 정의된 phase 2 proposal을 사용하려면 phase 2 proposal을 생성하거나변경하지 말고 13번 단계를 바로 진행하십시오.사용자가 생성한 phase 2 proposal은 편집이 가능하지만 기 정의된 것은 편집할 수없습니다. 반드시 새로 추가하여야 합니다. 사용자의 phase 2 proposal을 수정하려면 이름을 선택하고 Edit버튼을 클릭합니다. 새로 생성하기 위해서는 New버튼을클릭합니다. Phase 2 Proposal 대화상자가 나타납니다.7. 새로운 proposal이름을 입력합니다.8. Type drop-down리스트에서 ESP또는 AH proposal 방식을 선택합니다.ESP는 암호화 인증방식이고, AH는 단순한 인증방식입니다. 또한 ESP 인증은 IP헤더를 포함하지 않는데 반하여 AH는 포함합니다. AH는 거의 사용되지 않습니다.9. Authentication drop-down리스트에서 인증방식 SHA1 또는 MD5를 선택합니다.10. (ESP에만 해당)Encryption drop-down리스트에서 암호화 방식을 선택합니다. 선택가능한 방식들에는 DES, 3DES, AES 128, 192, 256 bit이 있습니다. 이는 단순하고보안성이 적은 것에서부터 많은 것의 순서로 나열한 것입니다.11. 사용자는 일정 시간이 지나거나 설정한 트래픽의 양이 통과한 후에 키를 만료시킬수 있습니다. 기능을 사용하려면 Force Key Expiration 체크박스를 선택합니다.12. 키가 만료될 최대 시간과 byte수를 선택합니다. 이 수치에 도달하는 시점에 따라키는 만료됩니다.185

WatchGuard System Manager13. OK를 클릭한 후 Phase 2 Proposal 대화상자를 닫기 위해 다시 close를 클릭합니다.14. Perfect Forward Secrecy를 활성화시키기 위해 PFS를 체크합니다. 이 기능을 활성화 했다면 Diffie-Hellman group을 선택하십시오.PFS를 사용하면 세션에서 생성된 키에 대해 별도의 보안을 부여할 수 있습니다.PFS로 생성된 키들은 어떤 그 이전의 키로도 만들어지지 않습니다. 만일 세션이 끝난 후에 그 이전의 키가 빼앗겼다든지 하는 경우에도, 사용자의 새 세션키는 안전한 것입니다.Diffie-Hellman Group 1은 새로운 키 교환을 생성하기 위해 768-bit group을 사용하며, Group 2 는 1024-bit group을 사용합니다.15. 고급설정을 위해서 Advanced를 클릭합니다. 이 대화상자에서 사용자는 해당 주소나 policy에 대하여 Any를 사용하기 위해 터널을 설정할 수 있습니다. 완료 후에는OK를 클릭합니다.186

WatchGuard System Manager16. 터널을 사용할 pair 주소를 추가하기 위해 Add를 클릭합니다. Local-Remote PairSettings대화상자가 나타납니다.17. Local drop-down리스트에서 로컬 주소를 선택합니다. IP 주소, 네트웍 주소, IP 범위를 사용하기 위해 각 필드 옆에 있는 버튼을 사용할 수도 있습니다.18. 원격 네트웍 주소를 주가합니다. 필드 옆의 버튼을 클릭하여 Add Address대화상자를 열 수 있습니다.19. Choose Type drop-down리스트에서 주소 종류를 선택합니다. Host IP(한 개의 IP),Network IP(/를 사용하여 마스크를 표시한 IP), Host Range(IP 범위) 가운데에서선택합니다.20. 필드마다 값을 입력한 후 OK를 클릭합니다.21. 터널의 방향을 선택합니다.22. 터널에 NAT를 활성화 시킬 수 있습니다. NAT에 대한 선택옵션은 주소 유형마다,터널 방향마다 다릅니다. 1:1 NAT에 대해서는 필드에 NAT로 변경할 주소를 입력합니다. 동적 NAT는 VPN을 통해서도 가능합니다. 만일 모든 LAN1이 LAN2 서버로 접속할 수 있도록 하면서 IP는 LAN2의 IP 한 개로 나타내고 싶을 때에는,LAN1에서 LAN2로 무방향 터널을 설정해야 합니다. 이 때 LAN2 Firebox의phase 2 설정에서 동적 NAT를 활성화해야 합니다.23. pair를 설정한 후에 OK를 클릭합니다.24. 모든 터널이 완성되었으면 OK를 클릭합니다.187

WatchGuard System Manager터널 정책 생성Tunnel policies는 터널 연결에 대한 룰의 집한입니다.“Any” policy는 디폴트로 추가되어있습니다. 사용자는 기존의 것을 삭제하고 사용자 고유의VPN policy를 만들어 특정 포트를 제한하거나, 트래픽을 프락시화할 수 있습니다.1. Policy Manager에서 Branch Office VPN 탭을 클릭합니다.2. 창의 drop-down리스트에서 policy를 설정할 터널을 선택합니다. All Tunnels를 선택했다면 New Policy를 고른 후에 터널을 선택해야 합니다.3. policy area에서 마우스 오른 버튼을 클릭하여 New Policy를 선택합니다.4. policy의 설정은 86 페이지의 “사용자 네트웍에 맞는 Policy의 생성”에 설명이 나와있습니다.IPSec으로 BOVPN의 정책 설정하기접근 제어는 안전한 VPN 커넥션을 설정하는 데 있어 매우 중요한 부분에 속합니다. 해커가지점 VPN망에 성공적으로 접근 했다면, 회사 네트웍에 보안터널을 만들 수도 있게됩니다.원격 Firebox상의 사용자는 trusted 망에 속해있지 않으므로 Firebox가 VPN 연결을 통해트래픽을 보내도록 설정해야 합니다. 바람직한 방법은 VPN 원격 망과 호스트에 대한 alias를 만드는 것입니다. 그러면 사용자는 이들 policy속성을 설정 할 때 호스트 alias를 사용하원격 VPN 망과 호스트를 직접 입력할 수 있습니다. :LocalEnabled and AllowedFrom : 원격 VPN 네트웍, 호스트, 호스트 aliasTo : Trusted 또는 선택한 호스트들RemoteEnabled and AllowedFrom : Trusted 또는 선택한 호스트들To : 원격 VPN 네트웍, 호스트, 호스트 alias더욱 자세한 정보는 91 페이지의 “Policy Properties 설정하기”를 참조하십시오.VPN이 특정 policy를 접근하도록 만들기특정 정책에 대해서만 VPN커넥션에서 트래픽이 통과할 수 있게 하려면 각각의 정책을 추가하고 설정해야 합니다. 원하는 제약사항을 갖추기 위해 “Any” 정책을 삭제할 필요가 있을 수도 있습니다.188

WatchGuard System ManagerBOVPN Upgrade 하기Firebox X500은 공장에서 출하될 때 디폴트로 BOVPN을 사용하지 않도록 되어있지만, 라이센스 키가 있으면 활성화할 수 있습니다. Firebox X700, Firebox X1000, Firebox X2500은 디바이스를 LiveSecurity Service에 등록하면 BOVPN기능을 사용할 수 있습니다.BOVPN Upgrade은 로컬 리셀러가 도와줄 수 있습니다. WatchGuard의 자세한 옵션내용과취득방법에 대해서는 http://www.watchguard.com/sales 를 방문하십시오.라이센스 키를 받은 후에 BOVPN기능을 사용하려면 다음과 같이 합니다. :1. Policy Manager에서 Setup > Licensed Features를 클릭합니다.2. Add를 클릭합니다.3. Add Firebox License Key대화상자에서 라이센스키를 가져오거나 붙여넣습니다.4. OK를 클릭합니다.5. 라이센스를 시작시키기 위하여 다시 한번 OK를 클릭합니다.189

WatchGuard System Manager13장 IPSec 터널의 설정WatchGuard System Manager는 drag-drop 터널, 자동 마법사, 템플릿과 같은 방법으로사용자에게 속도와 안정성을 가져다 줍니다. 그래서 사용자는 단 몇 분 안에 인증되고 암호화된 IPSec 터널을 만들 수 있습니다. 그뿐 아니라 다른 터널과 보안 정책에도 합당한지를확인할 수 있습니다.같은 인터페이스에서 사용자는 터널을 관리하고 모니터할 수 있으며, 다른 컴포넌트와 다른터널도 모니터링이 가능합니다. 터널 모니터링 하는 법에 대한 더욱 자세한 정보는 를 참조하십시오.System Manager는 또한 원격에서 Firebox X Edge디바이스를 조정하는 안전한 방법을 제공해줍니다. 에 더욱 상세한 설명이 나와 있습니다.VPN 만드는 순서▪ WatchGuard 관리서버와 Certificate Authority(CA)를 설정합니다.▪ (동적 디바이스만 해당) 모든 Firebox 또는 Firebox X Edge 디바이스를 VPNManager 디바이스 레코드에 추가합니다.▪ (동적 디바이스만 해당) Firebox를 관리대상 클라이언트로 등록합니다.▪ 네트웍에 VPN터널을 통하여 접근할 수 있도록 하는 정책 템플릿을 설정합니다.▪ 암호화와 인증 유형을 정하는 보안 템플릿을 설정합니다.▪ 디바이스들 간에 터널을 만듭니다.관리서버기존의 관리 스테이션이나 다른 컴퓨터에 사용자가 인스톨할 수 있는 새로운 WatchGuardManagement Server를 소개합니다. 이 서버는 Firebox X에서 작동되던 예전의 DVCP서버를 대체하는 것입니다. 새로운 관리 컴포넌트와 소프트웨어는 사용자에게 다음과 같은 기능을 제공합니다.:Management/CA 서버를 시작하고 종료합니다.Management/CA 서버의 패스워드를 설정합니다.Management 서버 라이센스 키를 설정합니다.Management/CA 서버의 진단 로깅 플래그를 설정합니다.190

WatchGuard System ManagerCA 도메인 명을 설정합니다.CRL distribution point을 설정합니다.CRL publication 기간을 설정합니다.인증수명을 설정합니다.Root 인증 수명을 설정합니다.관리대상이 되는 Firebox 클라이언트, VPN 터널, 관리서버의 보안 템플릿을 관리하기 위해 WatchGuard System Manager(WSM)를 시작합니다.CA 웹 GUI를 띄워줍니다.WatchGuard Management Server 패스워드WatchGuard Management Server 는 여러가지 패스워드를 사용하여, 디스크에 저장된 민감한 정보를 보호하고, 클라이언트 시스템과의 통신을 안전하게 합니다.Management Server Configuration WizardWatchGuard Management Server소프트웨어를 설치 한 다음에, Management/CA 서버를설정하기 위해 Configuration Wizard를 시작시켜야 합니다. 이 마법사는 이 패스워드들 위에 커서를 올려 놓습니다. :Master 패스워드Admin user 패스워드관리서버 소프트웨어가 사용하는 다른 패스워드들도 있지만 자동 생성되는 것이므로administrator는 알 필요가 없습니다. Admin 사용자 패스워드와 자동 생성된 패스워드들은패스워드 파일에 저장이 됩니다.Master 패스워드설정 마법사가 입력을 기다리는 첫번째 패스워드는 master 패스워드입니다. 이 것은 패스워드파일에 저장된 모든 패스워드를 보호하는 데 사용되는 패스워드입니다.Master 패스워드가 있어야 하는 이유는, 모든 사용되는 패스워드들이 disk에 clear한 곳에저장되기 않기 때문에 필요합니다. 만일 디스크에 저장되어있다면 backup tape과 같은 데이터 매체에 접근한 사람이면 누구든지 패스워드를 쉽게 알아내어 디스크의 중요한 데이터에 접근 할 수 있을 것입니다.따라서 사용자는 Master 패스워드를 신중하고 안전하게 선택하고 보관하여야 합니다. 패스워드 글자를 선택할 때에 여러 번 연습을 하는 것이 좋고, 특히 master와 admin의 패스워드에 같은 string을 포함시키지 않는 것이 좋습니다.다음과 같은 경우에 Master 패스워드가 필요합니다. :관리서버의 데이터를 새 시스템으로 migrating할 때191

WatchGuard System Manager망가지거나 분실된 master 키 파일을 복원할 때master 패스워드를 변경할 때master 패스워드는 자주 필요하지 않기 때문에 종이에 적어서 안전한 장소에 따로 잘 보관하는 것이 좋습니다.Admin 패스워드설정 마법사가 입력을 기다리는 두 번째 패스워드는 admin 사용자 패스워드 입니다. 이것은 WatchGuard System Manager 어플리캐이션을 사용하는 관리서버에 접속할 때 필요하기 때문에 administrator가 자주 사용합니다.기타 패스워드관리서버는 서버 소프트웨서의 다양한 컴포넌트들이 사용하는 여러 패스워드를 자동으로 생성합니다. VPN터널에 대한 공유키를 포함하는 DVCP 데이터베이스 파일을 보고하는데 사용되는 DVCP 패스워드가 한 예입니다. 또한 CA가 생성하는 개인 키를 보호하는데 사용되는 CA 패스워드도 있습니다.패스워드와 키 파일admin 사용자 패스워드와 다른 자동생성 패스워드들은 패스워드 파일에 저장되는데, 이 데이터는 mater 패스워드로 보호됩니다. Master 패스워드 자체는 디스크에 저장되지 않고, 대신 master 패스워드와 키 데이터로부터 생성된 암호화 키가 디스크에 저장됩니다. 패스워드 파일과 암호화 키의 디폴트 저장경로는 다음과 같습니다. :C:₩Document and Settings₩WatchGuard₩wgauth₩wgauth.iniC:₩Document and Settings₩WatchGuard₩wgauth₩wgauth.key이 파일들은 관리서버 소프트웨어가 사용하며, administrator는 직접 수정할 수 없다는 것에주의하십시오.Microsoft SysKey Utility패스워드 파일은 master 키로 보호되며, 이 키는 Windows 시스템 키가 보호하는 또 다른암호화 키로 보호됩니다.Windows 운영체제는 Security Accounts Management(SAM)데이터베이스를 보호하기 위해시스템 키를 사용하는데, SAM은 컴퓨터의 Windows 어카운트와 패스워드 데이터베이스입니다. 디폴트로 시스템키 데이터는 레지스트리에 숨겨져 있어, 부팅시에 레지스트리에서 시스템 키가 재조합되는 방식으로 외부의 간섭없이 시스템이 시작되도록 합니다. 시스템 키데이터가 디스크 상에 있더라도 쉽게 얻을 수 없는 형태로 되어있습니다.더욱 강력한 보안시스템을 위해서는, 시스템 키 데이터를 레지스트리에서 삭제하여 아주 민감한 데이터는 시스템상에 존재하지 않도록 할 수도 있습니다.SysKey Utility를 다음과 같은 경우에 사용합니다. :192

WatchGuard System Manager플라피 디스크로 시스템 키를 이동시킬 경우부팅 시에 startup 패스워드가 요구되는 경우시스템으로 시스템키를 다시 이동시킬 경우만일 startup 키를 플라피 디스크로 옮기도록 했다면 시스템이 시작하도록 드라이브에 디스크를 삽입해야 합니다. 또 만일 startup 패스워드의 요구를 선택했다면 administrator는 시스템이 시작할 때마다 패스워드를 입력해야 할 것입니다.관리서버 설정하기Management Server setup wizard는 웍스테이션에 새로운 관리서버를 만들어줍니다. 또한기존의 Firebox의 관리서버를 새로운 웍스테이션에 migrate할 수도 있습니다. Firebox에서관리서버를 분리하는 방법에 대하여는 Migration Guide를 참조하십시오.다음에서는 새로운 관리서버를 성공적으로 설치하는 방법을 설명합니다. 관리서버를 갖고있지 않은 사용자라면 다음 순서를 따라 설치하십시오.1. WatchGuard 툴바에서 management server 아이콘 위에서 마우스 오른쪽 버튼을클릭합니다.2. Start Service를 선택합니다.3. Management Server setup wizard가 나타납니다. Next를 클릭합니다.4. WatchGuard 관리스테이션에 접근하기 위해 master 패스워드를 묻습니다. 이 화면을 통해 해당 패스워드가 정의됩니다.5. 최소 8자의 패스워드를 입력한 수 확인란에 반복하여 입력합니다. Next를 클릭합니다. 이 패스워드는 분실하면 되찾을 수 있는 방법이 없으므로 각별히 주의합니다.6. WatchGuard Management Server를 관리할 때 사용할 패스워드를 입력합니다. 최소 8자의 패스워드를 입력한 수 확인란에 반복하여 입력합니다.7. Next를 클릭합니다.8. 게이트웨이 Firebox의 IP와 패스워드를 입력합니다. 게이트웨이 Firebox는 인터넷으로부터 관리서버를 보호하는 역할을 합니다. Next를 클릭합니다.9. 관리서버에 필요한 라이센스키를 입력한 후 Next를 클릭합니다.10. 속해있는 조직명을 입력합니다. Next를 클릭합니다. 서버의 상세정보를 보여주는화면이 나타납니다.11. Next를 클릭합니다. 마법사가 서버를 설정해줍니다.12. 설정이 완료되면 Finish를 클릭합니다.193

디바이스의 추가(동적 디바이스만 해당)WatchGuard System Manager만일 Firebox의 관리대상 클라이언트로 활성화되어있는 디바이스가 동적 IP를 사용한다면VPN설정에도 직접 추가해주어야 합니다. 이것은 정적 IP할당 디바이스에게는 필요하지 않은 단계입니다.----------------------------- 주 의 -------------------------------Firebox 500을 VPN Manager에 디바이스로 추가할 수 있지만 그에 대한 터널은 만들 수없습니다. Firebox 500을 BOVPN을 지원하도록 업그레이드 하려면 ***xref***를 참조하십시오.---------------------------------------------------------------------VPN탭에서 다음과 같은 방법으로 추가합니다. :1. Server > Insert Device를 선택합니다. WatchGuard Device Wizard 가 나타납니다.2. Next를 클릭합니다.3. 표시할 디바이스 명을 입력합니다. 이것은 사용자가 선택하는 것으로서 디바이스의DNS이름과는 다른 것입니다.4. Device Type drop-down리스트에서 Dynamic SOHO 를 선택합니다. SOHO는 반드시 동적 DNS로 설정되어야 합니다.5. special ID와 shared secret을 입력합니다. 이것은 DNS이름이지 3번 항목에서 사용한 이름이 아니라는 것에 주의하십시오.6. status 와 configuration 패스워드를 입력합니다.7. 동적 IP를 사용하는 디바이스라면 shared secret을 입력하십시오. Next를 클릭합니다.8. 이 Firebox로 터널을 인증하는 기본 순서를 부여합니다. : 자동생성 공유키 또는Firebox 인증서(RSA signature) 가운데에서 선택합니다. Next를 클릭합니다.9. WINS나 DNS 서버 IP를 입력한 후 Next를 클릭합니다. 만일 이와 같은 서버를 사용하지 않는다면, 이 페이지는 통과하고 Next를 클릭합니다. 마법사는 ContactInformation 페이지를 보여줄 것입니다.10. 이 Firebox의 administrators를 찾기 위해 사용할 정보들을 입력한 후 Next를 클릭합니다. 이것은 선택사항입니다.11. 마법사가 각 단계를 순서대로 한 페이지에 보여줍니다. Next를 클릭합니다. 마치면New Device Successfully Changed라는 메시지를 보여줍니다.12. Close를 클릭합니다. 마법사는 관리서버에 새로운 설정을 저장하고 종료합니다.디바이스의 설정 갱신하기Device Properties 대화상자를 사용하여 선택한 디바이스의 설정을 조정할 수 있습니다.1. VPN탭에서 디바이스 위에서 마우스 오른쪽 버튼을 클릭 한 후 Device Properties194

를 선택합니다. Device Properties 대화상자가 나타납니다.WatchGuard System Manager2. 필요한 항목들을 수정합니다. Issue/reissue 파라미터는 클라이언트와 root인증서를재발급할 때 사용하는데, 디바이스가 시작할 때마다 새로운 인증서가 다운로드되기때문에 사실 별로 사용하는 파라미터는 아닙니다.Firebox를 Firebox의 관리대상 클라이언트처럼 설정하기(동적 Firebox만 해당)VPN Manager가 동적 IP가 할당되어있는 Firebox에 연결하도록 하기 위해서는 Firebox를관리대상 클라이언트로 설정해야합니다.Policy Manager에서 다음과 같이 설정합니다.:1. VPN > Managed Client를 선택합니다.2. Enable this Firebox as a Managed Client를 체크합니다.3. Firebox Name필드에 이름을 입력합니다.4. 관리대상 클라이언트에 대한 로그를 저장하기 위해 Enable diagnostic logmessages for the Managed Client를 체크합니다. (WatchGuard는 문제해결을 위한195

WatchGuard System Manager경우가 아니면 이 옵션을 권장하지 않습니다.)5. 클라이언트가 접속할 관리서버를 추가하려면 Add를 클릭합니다.6. IP주소와 shared secret을 입력한 후 OK를 클릭합니다.7. Firebox를 재시작합니다. Firebox는 관리서버와 연결할 것입니다.정책 템플릿의 추가(동적 디바이스에 필요)사용자는 VPN측면에서 터널을 통해 접근하도록 네트웍을 설정할 수 있으며, 두 호스트나둘 이상의 네트웍 사이에 VPN을 만들 수 있습니다. 네트웍이 주어진 VPN디바이스를 통과할 수 있도록 설정하려면 정책 템플릿을 만들어야 합니다. 디폴트로 VPN Manager는 VPN디바이스 뒷 단의 네트웍에 대한 정책 템플릿을 부여할 수 있습니다. 이 디바이스에 정책이적용되며, 정책을 만드는 방법은 다음과 같습니다. VPN 탭에서 :1. 정책 템플릿을 설정하는 대상 디바이스를 선택합니다.2. 오른쪽 마우스 버튼을 클릭하고 Insert Policy를 선택하거나, 오른편에 있는 InsertPolicy Template 아이콘을 클릭합니다.해당 디바이스에 관한 Device Policy 대화상자가 나타납니다.3. 정책명을 입력합니다.4. 터널이 지점 터널인지 자택근무 터널인지 선택합니다. (Firebox X Edge 또는SOHO의 경우)5. 자택근무 터널에 대한 정책 템플릿을 설정하기 위해 Trusted 네트웍의 사용 가능한 IP를 할당합니다. 이 터널을 사용할 Firebox X Edge 뒷 단의 컴퓨터 IP주소도입력합니다.6. OK를 클릭합니다. 정책 템플릿이 저장되고 VPN Wizard에서 사용이 가능해집니다.196

WatchGuard System Manager정책 템플릿에 리소스 할당하기Device Policy 대화상자에서1. Add를 클릭합니다. Resource대화상자가 나타납니다. 다음의 그림을 참조하십시오.2. 리소스 종류와 IP를 입력하고 OK를 클릭합니다.보안 템플릿의 추가보안 템플릿은 터널에 암호화 및 인증 타입을 부여합니다.디폴트 보안정책에 가능한 암호화 방식들이 적용되며, 사용자는 고유의 템플릿을 새로 만들수 있습니다. 보안 템플릿을 사용하면 설정 마법사에서 터널의 암호화와 인증 유형을 정하는 것이 쉬워집니다.보안 템플릿을 만들기 위해서는 VPN탭에서 다음과 같이 작업합니다.1. 창에서 오른쪽 마우스 버튼을 클릭하여 Insert Security Template을 고르거나, 오른편에 보이는 Insert Security Template아이콘을 클릭합니다. Security Template대화상자가 나타납니다.2. 템플릿 명과, SAP(Security Authorization Packet) 유형(ESP 또는 AH), 인증, 암호화 방식을 입력합니다.3. 키의 만료일을 알기 위해서는 관련 체크박스에 표시한 후, 계산수치를 kbyte또는197

WatchGuard System Manager시간, 또는 둘 모두에 입력합니다. 만일 두값을 모두 입력하는 경우에는 먼저 도달하는 이벤트의 경우에 키가 만료됩니다. 보안 템플릿 설정되고 나면 해당 디바이스로 VPN터널을 만들 때 VPN 마법사에 나타나므로 사용이 가능합니다.4. OK를 클릭합니다.디바이스간의 터널 생성터널을 설정할 때에는 드래그 앤 드롭 방식을 사용하거나, VPN Manager ConfigurationWizard를 사용할 수 있습니다.----------------------------- 주 의 ------------------------------사용자는 디폴트 설정의 Firebox 500장비에 VPN Manager를 디바이스로서 추가할 수 있지만, 그 장비에 터널은 둘 수 없습니다. Firebox 500을 업그레이드 하려면 WatchGuardSystem Manager User Guide를 참조하십시오.--------------------------------------------------------------------Drag-and-Drop 방식의 터널 추가드래그 앤 드롭 방식으로 터널을 추가하는 데에는 두 가지 제약이 있습니다.:▪ 두개의 동적 디바이스 간에는 터널을 만들 수 없습니다.▪ 동적 Firebox와 Firebox X Edge디바이스는 이 절차를 거치기 전에 설정된 네트웍이 있어야 합니다.VPN 탭에서 다음과 같이 작업합니다.:1. 터널 엔드포인트 명을 하나 클릭하여 다른 터널 엔드포인트의 디바이스 명으로 끌어다 놓습니다. 이렇게 하면 VPN Manager Configuration Wizard가 실행됩니다.2. 각 디바이스(엔드포인트)에 적용할 정책 템플릿을 drop-down리스트에서 선택합니다. 정책 템플릿은 터널을 통해 사용할 수 있는 리소스를 설정해줍니다. 리소스는네트웍이나 호스트가 될 수 있습니다. 리스트박스는 VPN Manager에 추가한 정책템플릿들을 보여줄 것입니다.3. Next를 클릭합니다. 마법사는 Security Policy 대화상자를 보여줍니다.4. 이 터널에 사용할 보안과 인증 종류에 적용 가능한 보안 템플릿을 선택합니다. 리스트박스는 VPN Manager에 추가한 템플릿들을 보여줍니다.5. Next를 클릭합니다. 마법사가 설정을 보여줍니다.6. Restart devices now to download VPN configuration 을 체크합니다. Finish 를 클릭하여 디바이스를 재시작하고 VPN 터널에 인식시킵니다.----------------------------- 주 의 ------------------------------다수의 디바이스를 설정했다면 모든 터널을 생성한 후에 디바이스들을 재시작 합니다. 재시작하는 방법은, 디바이스 위에 마우스 오른쪽 버튼을 클릭 하여 Restart를 선택하거나, 디198

WatchGuard System Manager바이스의 lease가 정지할 때까지 누르고 있으면 됩니다. 그동안 VPN Manager가 새로운 설정을 자동으로 업로드합니다.---------------------------------------------------------------------Menu-driven 방식의 터널 생성이 방법은 Firebox X Edge디바이스를 자동으로 명시하기 위해 터널을 만드는 유일한 방법입니다. VPN탭에서 다음과 같이 작업합니다.1. Server < Create a New VPN을 선택하거나 오른편에 있는 Create New VPN아이콘을클릭합니다. VPN Manager Wizard가 나타납니다.2. Next를 클릭합니다. 마법사는 VPN Manager에 등록된 모든 디바이스를 두개의 리스트박스로 보여줍니다.3. 생성한 터널의 엔두포인트로 사용될 디바이스를 각 리스트박스에서 선택합니다.4. 각 디바이스 터널의 종단에 적용할 정책 템플릿을 선택합니다. 리스트박스는 SystemManager에 추가된 템플릿들을 보여줍니다.5. Next를 클릭합니다. 마법사는 보안 템플릿 대화상자를 보여줍니다.6. 이 VPN에 적용가능한 보안 템플릿을 선택 하고 Next를 클릭합니다. 마법사는 설정을보여줍니다.7. Restart Devices now to download VPN configuration을 체크합니다. Finish 를 클릭하여디바이스를 재시작하고 VPN 터널에 인식시킵니다.------------------------ 주 의 --------------------------다수의 디바이스를 설정했다면 모든 터널을 생성한 후에 디바이스들을 재시작 합니다. 재시작하는 방법은, 디바이스 위에 마우스 오른쪽 버튼을 클릭 하여 Restart를 선택하거나, 디바이스의 lease가 정지할 때까지 기다리면 됩니다. 그동안 VPN Manager가 새로운 설정을자동으로 업로드합니다.---------------------------------------------------------Firebox X Edge Single-Host 터널의 활성화하나의 터널에 각 Firebox X Edge(정적 또는 동적)을 설정할 수 있습니다. 이 터널은 Edge뒷 단에 하나의 호스트만이 다른 엔드포인트(호스트 또는 네트웍)에 연결하도록 허용합니다.이 Edge Telecommuter 터널은 직원들이 집에서 설정할 때에 도움이 됩니다. 집의 네트웍은 Firebox X Edge의 뒷단에 있게 됩니다. Telecommuter 컴퓨터만이 터널을 통해 회사리소스에 접근이 가능하게 되는 것입니다.Firebox에서 다음과 같이 합니다. :1. VPN 탭에서 디바이스를 선택합니다.2. 디바이스에 마우스 오른 버튼을 클릭한 후 Insert Policy를 선택합니다. Device199

WatchGuard System ManagerPolicy 대화상자가 나타납니다.3. Type :Policy Name친근한 이름으로 선택합니다.TypeDrop-down리스트에서 Telecommuter Tunnel을 선택합니다.Virtual IP Address Behind the FireboxEdge가 연결할 원격 Firebox의 trusted 네트웍의 가용한 IP주소를 입력합니다.Private IP Allowed to User TunnelFirebox X Edge뒷 단에 있는 trusted호스트의(자택근무자의 컴퓨터) IP를입력합니다. Edge VPN 설정에서 같은 주소를 사용합니다. 자택근무자 라우트는 0.0.0.0/0(디폴트 VPN 라우트)임을 확인합니다.Edge 에서 다음과 같이 합니다. :1. System Status 페이지를 엽니다. 디폴트 설정 IP는 192.168.111.1입니다.2. 좌측 메뉴에서 VPN > Managed VPN을 클릭합니다.3. drop-down리스트에서 Telecommuter를 선택합니다.4. Enable Remote Gateway를 클릭합니다.5. TypeManagement Server Address이 디바이스가 클라이언트로 사용될 관리서버의(WatchGuard SystemManager에서 설정한) IP주소를 입력합니다.Client Name클라이언트를 구분할 이름이나, IP나 숫자를 사용합니다. 디바이스 추가시System Manager에 같은 ID가 입력되어야 합니다. 만일 Firebox X Edge가 동적 DNS를 가지고 있다면 Edge의 이름으로 그것을 사용하면 됩니다.Shared Secret클라이언트와 서버간에 사용할 패스워드를 입력합니다. 디바이스를 추가할때 System Manager에 같은 패스워드를 입력해야합니다.6. submit을 클릭합니다.터널의 수정WatchGuard System Manager의 VPN탭에서 모든 터널을 볼 수 있는데, 이때 터널 명, 보안 템플릿, 엔드포인트, 사용된 정책을 변경할 수 있습니다.200

WatchGuard System ManagerVPN탭에서 다음과 같이 합니다. :1. 트리를 확장하여 디바이스와 정책들을 보이게끔 합니다.2. 수정할 터널을 하이라이트 합니다.3. 마우스 오른쪽 버튼을 클릭하여 Properties를 선택합니다. Tunnel Properties대화상자가 나타납니다.4. 변경내용을 저장하기 위해 OK를 클릭합니다. 터널이 협상되면 변경 내용이 적용됩니다.터널과 디바이스의 제거WatchGuard System Manager에서 디바이스를 제거하려면 해당 디바이스가 엔트포인트로있는 터널을 먼저 제거해야 합니다.터널의 제거1. System Manager에서 VPN탭을 선택합니다.2. 제거할 터널을 보기 위해 Managed VPNs 폴더를 확장합니다.3. 터널에 마우스 오른쪽 버튼을 클릭합니다.4. Remove를 선택한 후 확인을 위해 Yes를 클릭합니다.5. 필요하다면 삭제에서 디바이스로 재부팅 명령을 전송합니다. Yes를 클릭합니다.디바이스의 제거1. System Manager에서 Device또는 VPN탭을 선택합니다. 아래 좌측 그림의 Device탭 이나 아래 우측 그림의 VPN탭이 나타납니다.2. VPN탭을 선택했으면, 제거할 디바이스를 보기 위해 Devices폴더를 확장합니다.3. 오른쪽 마우스 버튼을 클릭합니다.4. Remove를 클릭한 후 확인을 위해 다시 Yes를 클릭합니다.201

WatchGuard System Manager14장 MUVPN 사용PPTP로 통신하는 RUVPN과 같이, Mobile User VPN(MUVPN)를 사용하려면 사용자는Firebox와 원격 클라이언트 컴퓨터를 설정해야 합니다. 그러나 MUVPN으로 Fireboxadministrator는 클라이언트 설정을 만들 수 있습니다. 엔드유저 프로파일을 만들어 클라이언트의 파라미터를 설정하는 것입니다.MUVPN 사용자는 Firebox나 다른 인증서버로 서로를 인증합니다. 인증은 공유키와 인증서를 사용하여 합니다.MUVPN을 사용하는 전체적인 방법은 Mobile User VPN Administration Guide와 특정 운영시스템용 MUVPN 엔드유저 브로셔에 설명되어 있습니다. 이번 장에서는 이들 다른 가이드를 사용하기 전에 사용자가 해야 할 다른 Firebox 실행부분을 설명합니다.암호화 수준고수준 암호화 소프트웨어에는 엄격한 export 제한이 있기 때문에 인스톨 CD에 있는Firebox 제품은 base 암호화만 되어있습니다. IPSec 표준은 최소 56-bit(중간레벨)암호화를 필요로 하므로 사용자는 MUVPN을 사용하여 더 높은 수준의 암호화를 사용해야만 합니다. 암호화에 대한 자세한 정보는 216 페이지의 “암호화 수준”를 참조하십시오.WINS와 DNS 서버의 설정RUVPN과 MUVPN클라이언트는 공유 Windows Internet Name Server(WINS)와 DomainName System(DNS) 서버 주소에 의존합니다. DNS는 호스트명을 IP주소로 변환하고, WINS는 NetBIOS명을 IP주소로 변환하는 일을 합니다. 이들 서버는 Firebox trusted네트웍에서접근이 가능해야 합니다.외부 DNS는 사용하지 말고 내부의 DNS서버만 사용해야 합니다.Policy Manager에서 다음과 같이 합니다. :1. Network > Configuration을 클릭한 후 WINS/DNS탭을 선택합니다. WINS와 DNS의 정보를 보여줍니다.2. Primary와 Secondary 입력창에는 WINS와 DNS의 primary와 secondary IP주소를입력합니다. DNS서버의 도메인명을 입력합니다.202

Mobile User VPN 프로파일 만들기WatchGuard System Manager모바일 사용자 VPN에서는 네트웍 보안 관리자가 엔드유저의 프로파일을 관리합니다. 엔드유저의 이름을 설정하고 확장자 .wgx의 프로파일을 만드는데 Policy Manager을 사용합니다. .wgx파일에는 공유키, 사용자 신원, IP주소 및 원격 컴퓨터와 Firebox간의 보안 터널을 만드는데 필요한 정보들이 포함되어 있습니다. 이 파일은 길이 8자 이상의 키로 암호화되며, 이 키는 administrator와 원격 사용자 모두가 알고 있는 것이어야 합니다. .wgx파일이 원격 클라이언트에 설치될 때 이 키는 클라이언트 소프트웨어가 사용할 수 있도록 복호화하기 위해 사용됩니다.IPSec클라이언트는 DSL연결과 같은 고정 IP를 갖고 있지 않은 클라이언트의 경우에 대해사용자가 소프트웨어를 배포 가능하게 해줍니다.또한 이는 디폴트 프로파일이며 기존의 .exp로 되어있는 프로파일을 새로운 .wgx 파일로변환해줍니다. 새로운 키는 이 과정의 일 부분으로서, 원격 사용자에게 배포되어야 합니다.Firebox Authenticated Group에 사용자 정의하기Firebox를 인증용으로 사용하기 위해 새로운 사용자를 생성하는 경우, 해당 사용자를 정의하기 위해 다음과 같은 방법을 사용합니다.(그러나, 새 사용자가 인증용으로 써드파티 인증서버를 사용한다면 208 페이지의 “확장 인증 그룹의 정의”에서 설명한 절차를 따르십시오)Policy Manager에서 다음과 같이 합니다.:1. VPN > Remote Users 를 선택 한 후 Mobile User VPN 탭을 클릭합니다.Mobile User VPN정보가 나타납니다.203

WatchGuard System Manager2. Add를 클릭합니다. Add Mobile User VPN Wizard가 나타납니다.3. Next를 클릭합니다.4. Authentication Server drop-down리스트에서 인증서버를 선택합니다. 사용자는내부 Firebox 데이터베이스, RADIUS, SecurID, LDAP, ActiveDirectory등을 사용하여 사용자를 인증할 수 있습니다. 더욱 자세한 것은 141 페이지의 “9장 인증의 구현”을 참조하십시오.5. Group Name란에 그룹명을 입력한 후 Next를 클릭합니다.,6. 인증방법을 패스워드 또는 인증서 가운데에서 선택합니다. 패스워드를 선택했다면 모든 해당 란에 패스워드를 입력합니다.7. Next를 클릭합니다.8. 내부 트래픽에 대한 옵션을 선택합니다. 클라이언트의 ISP를 사용하려면MUVPN클라이언트와 인터넷 간의 모든 내부 트래픽을 허용하거나, 모든 인터넷 트래픽을 터널로 보내는 방법이 있습니다. 만일 모든 인터넷 트래픽이 터널을 통과한다면 처리 능력과 대역폭이 더 많이 필요하게 되지만 보안성은 높아집니다.9. 해당 사용자가 접근할 네트웍과 컴퓨터를 추가합니다. 컴퓨터 IP, IP 범위, 네트웍 IP주소를 추가하려면 Add를 클릭합니다. Add Address 대화상자에서 주소를입력한 후 OK를 클릭합니다. 리소스 주소가 완성될 때까지 주소를 추가합니다.10. Next를 클릭합니다. 다음 화면을 가상 IP를 추가하는데 사용하십시오. 이 주소들은 MUVPN 사용자가 네트웍 리소스를 사용할 때 사용할 수 있는 네트웍 내의 유휴 IP들입니다.204

WatchGuard System Manager11. 가상 IP를 추가하기 위해 Add를 클릭합니다. 이때 하나의 IP를 추가할 수도 있고, 주소범위를 추가할 수도 있습니다.12. Choose Type pull-down 메뉴에서 추가할 주소 유형을 선택합니다. 주소나 주소범위를 입력한 후 OK를 클릭합니다. 리소스 주소가 완성될 때까지 주소를 추가합니다.13. Next를 클릭합니다. 성공 메시지가 나타납니다.14. Add users to 체크박스를 선택하여 Authentication Servers 대화상자를 열고 그룹에 사용자를 추가합니다. Finish를 클릭합니다.Authentication Servers 대화상자가 나타납니다. 여기에서 Firebox 데이터베이스에사용자와 그룹을 추가하거나 RADIUS, SecurID, LDAP, Active Directory에 대한설정을 할 수 있습니다. 더 자세한 것은 203 페이지의 “Firebox AuthenticatedGroup에 사용자 정의하기”을 참조하십시오.Mobile User VPN 내용의 수정엔드유저의 프로파일을 변경할 때마다 새로운 .exp또는 .wgx파일을 생성하기 위해 MobileUser VPN 마법사를 사용하십시오. 프로파일은 다음과 같은 이유로 변경될 수 있습니다.:▪ 공유키의 변경▪ 더 많은 호스트나 네트웍에 대한 접근 추가▪ 개별 목적지 포트, 원천지 포트, 프로토콜에 대한 접근 제어▪ 암호화 및 인증 파라미터의 변경Policy Manager에서 다음과 같이 합니다.:1. VPN > Remote Users를 클릭합니다.2. Mobile User VPN 탭의 사용자 이름/그룹 리스트에서 변경할 사용자나 그룹명을클릭합니다.205

WatchGuard System Manager3. Edit을 클릭합니다. Edit MUVPN Extended Authentication Group대화상자가 나타납니다. 이 대화상자에서 그룹 프로파일을 수정할 수 있습니다.4. General 탭에서 인증서버를 선택하고 그룹 패스워드를 변경하고 MUVPN 클라이언트가 연결할 외부 IP를 선택할 수 있습니다. IPSec Tunnel 탭을 클릭합니다.206

WatchGuard System Manager5. IPSec Tunnel탭에서 터널 인증 방법, Phase1 인증, 암호화 속성, Phase2 설정을변경할 수 있습니다. Resources탭을 클릭합니다.6. Resource 탭에서 허용된 네트웍 리소스와 가상 IP주소들을 추가하거나 삭제할 수있습니다. 또한 Force All Traffic Through Tunnel 체크박스를 선택하여 모든MUVPN사용자 트래픽이 터널을 사용하는지 확인할 수 있습니다.7. OK를 클릭합니다. Remote Users Configuration 대화상자로 돌아옵니다207

WatchGuard System Manager8. 수정한 Mobile User VPN그룹을 선택하고 .wgx프로파일을 대체하기 위해Recreate Config File을 클릭합니다.MUVPN 터널을 통한 인터넷 접속Virtual dadapter가 설치된 원격 사용자들이 MUVPN터널을 통해 인터넷에 접속하도록 할수 있는데, 이 옵션은 보안성 구현이 필요한 것입니다.1. MUVPN 마법사를 사용할 때, Yes를 선택하고 “Direct the flow of Internet traffic”화면에서 모든 인터넷 트래픽이 터널로 흘러 들어가도록 합니다.2. Policy manager의 MUVPN탭에 모바일 사용자의 밖으로 나가는 연결을 허용하는정책을 추가합니다. 터널로 인터넷 접근을 허용할 때에는 반드시 external 인터페이스로부터, 그리고 해당 인터페이스로의 트래픽을 설정해야합니다.확장 인증 그룹의 정의확장인증이 되는 MUVPN을 사용하면 사용자가 Firebox대신에 RADIUS, SecurID, LDAP,Active Directory 인증서버에 인증을 받는 것이 가능해집니다. 208 페이지의 “확장 인증 그룹의 정의”에 확장인증에 대한 추가 정보가 나와있으니 참조하십시오.만일 인증용 써드파티 서버를 사용하고자 한다면 Firebox에 확장인증 그룹을 설정해야만합니다. MUVPN의 실 사용자 이름과 패스워드는 Firebox가 아닌 인증서버에 저장도비니다.Policy Manager에서 다음과 같이 합니다.:1. 확장 인증 서버를 활성화했는지 확인합니다.208

WatchGuard System Manager2. VPN > Remote Users를 클릭한 후, Mobile User VPN탭을 다시 클릭합니다.Mobile User VPN information이 나타납니다.3. Add를 클릭 한 후 다시 Next를 클릭합니다.4. 확장인증 그룹에 대한 인증서버 유형을 선택합니다. 새 인증 그룹의 이름을 입력합니다. 이 그룹에 대한 .wgx파일을 암호화하기 위한 패스워드를 파악합니다. Next를클릭합니다. 인증서버는 Authentication Servers대화상자를 사용하여 미리 설정되어있어야 합니다. 하는 방법은 WatchGuard Firebox System User Guide를 참조하십시오.5. 공유키 또는 인증서를 선택하십시오. 만일 공유키를 선택하였다면 패스워드를 반복입력하여 확실하게 하십시오. 또한 인증서를 선택하였다면 watchGuardManagement Server의 administration패스워드를 입력하십시오. Next를 클릭합니다. Firebox는 인증서 인증방식을 사용하기 위해 관리대상 클라이언트로 설정되어야 합니다.6. 인터넷 트래픽 옵션을 선택합니다. MUVPN 클라이언트와 클라이언트의 ISP를 사용하는 인터넷 간의 모든 인터넷 트래픽을 허용하는 방법 또는, 모든 인터넷 트래픽을 터널을 통하게끔 하는 방법이 있습니다. 만일 모든 인터넷 트래픽을 터널을 통과하게 한다면 많은 처리 능력과 대역폭이 사용될 것입니다. 그러나 설정은 더욱보안성이 있습니다.7. 이 사용자가 접근 가능한 네트웍과 컴퓨터를 추가합니다. Add를 클릭하여 컴퓨터의IP, 또는 IP의 주소범위, 네트웍 IP 들을 추가합니다. Add Address 대화상자에서주소를 입력하고 OK를 클릭합니다. 리소스 주소가 완성될 때까지 계속 추가합니다.8. Next를 클릭합니다. 가상IP를 추가하기 위해 다음 화면을 사용합니다. 이 IP들은209

WatchGuard System Manager네트웍 자원을 사용할 때 MUVPN사용자가 얻을 수 있는 네트웍의 유휴 IP입니다.9. Add를 클릭하고 가상IP를 추가합니다. 하나의 IP 또는 IP범위를 추가할 수 있습니다.10. Choose Type pull-down메뉴에서 추가할 주소를 선택하고 입력합니다. 주소나, 주소범위를 입력한 후 OK를 클릭합니다. 리소스 주소가 완성될 때까지 계속 추가합니다.11. Next를 클릭합니다. 성공 메시지가 나타납니다. 여기에는 사용자 그룹에 대한 .wgx파일의 이름과 위치나 나와있습니다.외부 인증서버의 설정확장인증 원격 게이트웨이와 같은 이름을 가지는 서버에 그룹을 생성합니다. 이 그룹에 속하는 모든 MUVPN 사용자들은 이 서버에 인증을 받을 수 있습니다.Advanced Preferences의 설정고급 설정에는 가상 아답터 룰을 할당하고 엔드유저 프로파일을 잠그는 기능이 있는데 이는사용자들이 설정을 볼 수만 있고 변경할 수 없게 하기 위한 것입니다. 사용자들이 Firebox에 적절한 변경을 주지 않고 프로파일만 변경하는 것을 방지하기 위해 프로파일을 잠그는것이 권장됩니다.1. Movile User VPN탭에서 Advanced 를 클릭합니다. Advanced Export FilePreferences 대화상자가 나타납니다.2. 모바일 사용자를 제어하고 사용자 프로파일에 읽기전용 권한을 주기 위해, Makethe security policy read-only in the MUVPN client를 체크합니다.3. 클라이언트 IP주소를 할당하고 WINS 와 DNS를 포함하는 네트웍 세팅을 하기위해가상 아답터를 사용할 수 있습니다.Disabled(권장) 모바일 사용자는 MUVPN클라이언트에 연결하기 위해 가상 아답터를 사용하지 않습니다.210

WatchGuard System ManagerPreferred가상 아답터가 사용 중이거나 사용이 불가능할 경우 아답터 없이 주소가할당됩니다.Required모바일 사용자는 MUVPN클라이언트에게 접속하기 위해 가상 아답터를 반드시 사용합니다.MUVPN 트래픽을 필터링하는 정책 만들기디폴트 설정에서 MUVPN사용자는 Any정책으로 Firebox를 통과하는 full access 특권을갖고 있습니다. 이것에 제한을 두기 위해서는 Policy Manager에서 MUVPN탭에 정책을추가해야 합니다.개별 정책의 추가1. Policy Manager에서 MUVPN탭을 클릭합니다. MUVPN Policies Arena가 나타납니다.2. pull-down리스트에서 전체 MUVPN 그룹에 대한 정책을 정의하기 위해 AllMUVPN Group을 선택합니다. 해당 그룹에 대한 정책을 설정하기 위해 MUVPN그룹의 이름을 클릭합니다.211

WatchGuard System Manager3. ***XREF 정책 장*** 에서 설명한 것과 같이 정책을 추가, 수정, 삭제합니다.작업한 후에는 Firebox에 설정파일을 저장하는 것을 잊지 마십시오.Any 정책의 사용Any 정책은 디폴트로 모든 MUVPN사용자에게 추가되어있습니다. 작업한 후에는 Firebox에 설정파일을 저장하는 것을 잊지 마십시오.엔드유저 프로파일의 재생성WatchGuard MUVPN설정을 사용하면 기존의 MUVPN사용자에 대한 엔드유저 프로파일을생성할 수 있습니다. 재생성 할 경우에 새로운 프로파일을 만들 필요가 없습니다. 현재MUVPN 사용자에 대해 동일한 설정으로 프로파일을 새로 생성하기 위해서는 이 절차를 사용합니다.기존 MUVPN 사용자에 대한 새 엔드유저 프로파일을 만들기 위해서는 Mobile User VPN탭에서 MUVPN그룹을 선택하고 Recreate Config File을 클릭합니다.그리고 나면 이 엔드유저 프로파일을 필요할 때 배포할 수 있게 됩니다.Firebox에 프로파일 저장하기새로운 모바일 유저 프로파일을 활성화하기 위해서는 Firebox에 설정파일을 저장해야 합니다. File 메뉴에서 Save > To Firebox를 클릭합니다.소프트웨어와 프로파일 배포하기WatchGuard는 플로피 디스크나 암호화된 메일을 통한 엔드유져의 프로파일 배포를 권장합니다. 클라이언트 컴퓨터는 다음과 같은 것들을 보유해야 합니다. :▪ 소프트웨어 설치 패키지패키지는 WatchGuard LiveSecurity Service Web 사이트에 제공되어 있습니다.http://www.watchguard.com/supportLiveSecurity Service 사용자 이름과 패스워드로 사이트에 로그인해야 합니다.Latest Software 링크를 클릭한 후 좌측의 Add-ons/Upgrades을 클릭한 후다시 Mobile User VPN링크를 선택합니다.▪ 엔드유저 프로파일이 파일에는 사용자 이름과 공유키, 원격 컴퓨터가 인터넷으로 사설 네트웍에212

WatchGuard System Manager안전하게 연결할 수 있도록 하는 설정이 들어있습니다. 엔드유저 프로파일은파일명이 username.wgx 형식으로 되어 있습니다.▪ 인증서로 인증받기 위한 2개의 인증파일인증서가 들어있는 암호화된 파일인 .p12 파일과, root (CA) 인증서가 들어있는cacert.pem파일의 두가지 입니다.▪ 사용자 브로셔WatchGuard LiveSecurity Service Web 사이트에 제공되어있는 엔드유저 브포셔입니다. : http://www.watchguard.com/supportLiveSecurity Service 사용자 이름과 패스워드로 사이트에 로그인해야 하며,Product Documentation 링크를 클릭 한 후 VPN링크를 다시 선택합니다.▪ 공유키엔드유저 프로파일을 설치하기 위해서는 공유키를 입력해야합니다. 이 키는 파일을 복호화 하고 보안 정책을 MUVPN클라이언트에게 전달합니다. 이 키는Policy Manager에서 파일 생성할 때 설정됩니다.Firebox 뒷 단에서 outbound IPSec Connection 만들기이동 근무자가 다른 Firebox 뒷단에서 Firebox로 IPSec을 만들어야 할 경우가 있는데, 예를 들면, 이동 근무자가 Firebox가 설치된 고객사에서 자사 네트웍으로 IPSec을 사용하여연결을 만드는 것이 그것입니다. 자사의 Firebox가 outgoing IPSec통신을 잘 다루도록 하려면 IPSec정책을 설정해야 합니다. 정책의 활성화 방법은 86 페이지의 “Policy 추가하기”를 참조하십시오. IPSec 정책은 IPSec서버로 연결되는 터널을 사용할 수 있게 하고,Firewall에서 보안검사를 거치지 않기 때문에, 이 정책을 주의하여 사용해야 합니다.Optional이나 Trusted 인터페이스의 터널 종료하기Firebox는 IKE(optional port에서의 IPSec 키 협상)트래픽을 수용할 수 있는데, 이를 위해서는 IPSec 피어가 optional인터페이스에 직접 연력되어 있고, 트래픽을 trusted 네트웍으로 라우트합니다. 이것을 활성화하려면 MUVPN 클라이언트 보안 정책 편집기에서 Firebox의 optional인터페이스 IP로 가는 원격 게이트웨이의 IP를 설정합니다.IPSec 커넥션의 종료VPN 커넥션을 완전히 종료하기 위해서는 Firebox를 재부팅해야 합니다. IPSec 정책을 삭213

WatchGuard System Manager제하는 것 만으로는 기 성립된 커넥션을 끊을 수 없습니다.Mobil User VPN 라이센스의 추가 구입WatchGuard Mobile User VPN은 WatchGuard Firebox System의 선택 기능입니다. 각Firebox X장치가 MUVPN라이센스를 가지고 있지만, 다음의 로컬 리셀러를 통해 라이센스의 추가 구입이 가능합니다.http://www.watchguard.com/sales라이센스 키의 추가라이센스 키를 추가하려면 Policy Manager에서 다음과 같이 합니다.:1. Setup > Licensed Features 를 클릭합니다. Firebox License Keys 대화상자가 나타납니다. 라이센스 폴더를 확장하려면 + 기호를 클릭합니다.설치된 MUVPN 라이센스를 보려면 Active Features를 클릭합니다. MUVPN_USER를 아래로 스크롤하면 설치된 많은 MUVPN 라이센스를 조회할 수 있습니다.Active Features대화상자를 닫으려면 OK를 클릭합니다.214

WatchGuard System Manager2. Add를 클릭합니다. Add Firebox License Key 대화상자가 나타납니다.3. 입력상자에 라이센스 키를 입력하거나 붙여넣습니다. 또는 import를 클릭하여 파일로 된 키를 추가할 수도 있습니다. OK를 클릭합니다. Firebox에 설정된 클라이언트라이센스 리스트에 라이센스 키가 나타납니다. 모든 키가 추가될 때까지 과정을 반복합니다.215

15장 PPTP로 RUVPN설정하기WatchGuard System ManagerRemote User Virtual Private Networking(RUVPN)은 Pont-to-Point TunnelingProtocol(PPTP)을 사용하여 보안 커넥션을 만듭니다. 이는 Firebox 한대 당 동시 사용자수 50명을 지원하며 Firebox 의 각각의 암호화 방식으로 구현이 가능합니다. RUVPN은Firebox또는 RADIUS 인증서버로 인증을 할 수 있는데, RUVPN사용자의 원격 호스트 컴퓨터와 Firebox를 설정해야 사용할 수 있습니다.설정 체크리스트Firebox를 RUVPN으로 설정하기 전에 먼저 이 정보를 저장해 두십시오.▪ RUVPN 세션이 맺어진 동안의 원격 클라이언트 IPs. 이들 IP는 Firebox 뒷단의네트웍이 사용하는 주소가 될 수 없습니다. RUVPN 사용자에게 주소를 부여하는 가장 안전한 방법은 IP범위로 “placeholder “ 2차 네트웍을 구축하여, 그 네트웍 범위에서 IP를 선택하는 것입니다. 예를 들어, trusted 네트웍10.10.0.254/24 에 2차 네트웍으로 새로운 서브넷을 생성하고 PPTP주소 범위로 10.10.0.0/27을 선택합니다. 더욱 자세한 것은 168 페이지의 “IPAddressing”을 참조하십시오.▪ IP를 호스트 alias명으로 변환시켜주는 DNS와 WINS서버의 IP주소▪ RUVPN으로 Firebox에 접속 하도록 허가된 사용자 명과 패스워드암호화수준고수준 암호화 소프트웨어의 export limit때문에 WatchGuard Firebox는 설치본을 기본 암호화만 사용하여 CD-ROM에 넣었습니다.PPTP로 RUVPN을 사용하려면 128bit혹은 40bit 암호화를 사용합니다. Windows XP 미국버전은 128bit 암호화를 사용할 수 있게 되어있습니다. 원하면 Windows의 다른 버점에 대하여 Microsoft에서 강력한 암호화 패치를 다운 받을 수 있습니다. Firebox는 항상 128 bit암호화를 먼저 시도합니다. 만일 클라이언트가 128bit 암호화 커넥션을 사용하지 않으면40-bit암호화를 사용합니다. 40bit으로 어떻게 떨어뜨리는지에 대한 방법은 222 페이지의“PPTP로 RUVPN 사용하기”를 참조하시면 됩니다.미국에 사는 사용자라면 LiveSecurity Service 어카운트에 강산 암호화를 사용해야만 하는데, 이를 위해 supported@watchguard.com으로 다음 항목들을 포함시킨 email을 보내면됩니다. :216

WatchGuard System Manager▪ LiveSecurity Service 키 번호▪ 구입날짜▪ 회사명▪ 회사 메일 주소▪ 전화번호와 이름▪ 답신을 받을 수 있는 E-mail주소미국에 사는 사용자라면 LiveSecurity Service 웹사이트의 아카이브 페이지에서 강력한 암호화 소프트웨어를 다운로드 받아야 합니다. www.watchguard.com에 가셔서 support를 클릭한 후 LiveSecurity Service 어카운드로 로그인 하여 Latest Software를 클릭하십시오.초기 암호화 소프트웨어를 언인스톨한 후 다운로드받은 파일로 강력한 암호화 소프트웨어를다시 인스톨합니다.---------------------------- 주 의 ------------------------------Firebox의 현재의 설정을 그대로 사용하고자 한다면 새로운 소프트웨어를 설치 할 때Quick Setup Wizard를 사용하지 마십시오. System Manager를 열고 Firebox에 연결하여설정파일을 저장합니다. 이때 여러가지 암호화 버전으로 암호화될 수 있습니다.WINS와 DNS서버의 설정RUVPN 클라이언트는 공유 Windows Internet Name Server(WINS)와 Domain NameSystem (DNS)서버 주소를 사용합니다. DNS가 호스트명을 IP로 변환하는 데 반하여, WINS는 NetBIOS명을 IP주수로 변환합니다. Firebox의 trusted 인터페이스는 이들 서버에 접근가능해야만 합니다. 내부 DNS를 사용하는지 확인합니다. 외부 DNS는 사용하지 마십시오.Policy Manager에서 다음과 같이 합니다.1. Network > Configuration을 클릭한 후 WIN/DNS 탭을 선택합니다. WINS와 DNS서버에 대한 정보가 나타납니다. 아래의 그림을 참조하십시오.217

WatchGuard System Manager2. IP주소 상자에 WINS와 DNS서버의 주소를 입력합니다. DNS 서버의 주소는 3개까지, WINS 서버의 주소는 2개까지 입력할 수 있습니다. DNS 서버의 도메인명을 입력합니다.인증그룹에 새로운 사용자 추가하기RUVPN사용자는 PPTP-사용자 인증그룹에 생성됩니다. 이 그룹은 RUVPN사용자들의 이름과 패스워드를 가지고 있습니다. 들어오는 트래픽에 대해 서비스를 설정하기 위해 이 그룸을 사용하십시오.밖으로 나가는 HTTP나 FTP와 같은 인터넷 서비스에 접근하기 위해서 원격 사용자는 인증데이터로 사용자 명과 패스워드를 전송합니다. WatchGuard System Manager 소프트웨어는이 정보를 Firebox에 인증용으로 사용합니다.Firebox그룹에 대한 더욱 자세한 정보는 141 페이지의 “9장 인증의 구현”을 참조하십시오.Policy Manager에서 다음과 같이 합니다.:1. Setup > Authentication Servers를 클릭합니다. Authentication Servers 대화상자가 나타납니다.2. Firebox탭을 클릭합니다. 아래의 그림에 보이는 것처럼 탭에 정보가 나타납니다.218

WatchGuard System Manager3. 새로운 사용자를 추가하기 위해 Users 리스트 아래에 있는 Add버튼을 클릭합니다. Setup Firebox User 대화상자가 나타납니다.4. 사용자의 이름과 패스워드를 입력합니다. 패스워드는 반복하여 입력하고 확인합니다.5. Available 리스트에서 PPTP-Users를 선택합니다. Member리스트로 화살표 버튼을 사용하여 이름을 옮긴 후 OK를 클릭합니다. 새로운 사용자가 Users리스트에 나타납니다. Authentication Servers 대화상자가 계속 열려있으므로 사용자를219

WatchGuard System Manager더 추가할 수 있습니다.6. Authentication Servers 대화상자를 닫기 위해 OK를 클릭합니다. 서비스를 설정하는 데에 사용자와 그룹을 사용할 수 있습니다. 다음 섹션을 참조하십시오.들어오는 RUVPN 트래픽을 허용하도록 서비스 설정하기RUVPN 사용자에게는 Firebox를 통해 접근할 수 있는 권한이 없습니다. 정책에 전체pptp_users 그룹이나 개별 사용자 이름을 추가해야만 Firebox 뒷 단의 컴퓨터에 원격 사용자가 접근할 수 있습니다. WatchGuard는 RUVPN 트래픽에 대한 서비스를 설정하는 두가지 방법을 제공합니다. : 개별 서비스, 또는 Any 서비스가 그것입니다. Any서비스는Firebox를 통하는 “구멍을 내는” 것과 같습니다. 이는 방화벽 룰을 적용하지 않고 호스트들간에 모든 트래픽을 통과시키기 때문입니다.개별 정책으로 설정하기Policy Manager에서 VPN 사용자에게 가능한 정책을 더블 클릭합니다. 다음의 서비스들의속성을 설정합니다.Incoming policy- Allowed- From : PPTP-Users- To : Trusted, Optional, network또는 host IP주소 또는 aliasOutgoing policy- Allowed- From : Trusted, Optional, network또는 host IP주소 또는 alias- To : PPTP-Users변경 후에는 Firebox에 설정파일을 반드시 저장해야 합니다.220

WatchGuard System ManagerAny policies를 이용하여 설정하기이들 속성으로 Any policies 추가하기Incoming policy- Allowed- From: PPTP-Users- To: trusted, optional, network 혹은 host IP address, 혹은 aliasOutgoing policy- Allowed- From: trusted, optional, network 혹은 host IP address, 혹은 alias- To: PPTP-Users변경 후에는 Firebox에 설정파일을 반드시 저장해야 합니다.-------------------------- 주 의 -----------------------------------원격 사용자의 접근을 제어하기 위해 WebBlocker를 사용하려면 WebBlocker를 조정하는HTTP-proxy와 같은 프락시 정책에 PPTP사용자를 주가합니다. 이를 Any 정책의 대안으로 사용할 수 있습니다.221

WatchGuard System ManagerPPTP로 RUVPN 사용하기PPTP RUVPN을 설정하려면 기능을 활성화시켜야 합니다. 기능이 활성화되면 WatchGuardPPTP 정책 아이콘이 Policy Manager에 생깁니다. 이것으로 PPTP 연결과 그것을 통하는트래픽의 디폴트 속성을 설정할 수 있습니다. WatchGuard는 이 PPTP서비스의 디폴트 설정을 바꾸는 것을 권장하지 않습니다. Policy Manager에서 다음과 같이 합니다.:1. VPN > Remote Users를 클릭한 후 다시 PPTP탭을 클릭합니다.2. Activate Remote User 체크박스에 체크합니다.3. 필요하면 Enable Drop from 128-bit to 40-bit체크박스에 체크합니다. 보통 미국외 국가의 고객에게 해당됩니다.확장인증 활성화하기확장인증기능이 있는 RUVPN은 사용자들이 Firebox의 대용으로 RADIUS 인증서버를 사용하여 인증 받을 수 있도록 해줍니다. 확장인증에 대한 더욱 자세한 설명은, 167 페이지의“확장 인증”을 참조하십시오.1. Use RADIUS Authentication to authenticate remote users를 체크합니다. 위의 그림을 참조하십시오.2. RADIUS 서버를 Authentication Servers 대화상자에서 설정합니다. 141 페이지의“9장 인증의 구현”을 참조하십시오.3. RADIUS 서버에 PPTP-Users 그룹에 사용자를 추가합니다.RUVPN 세션에 IP주소 추가하기PPTP RUVPN은 최대 50명의 동시 사용자를 지원합니다. Firebox는 가능한 주소그룹에서들어오는 RUVPN사용자 각각에게 IP를 할당합니다. 이 과정은 모든 주소가 사용될 때까지계속됩니다. 사용자가 세션을 종료한 후에야 그 주소는 사용가능 그룹에 다시 속하게 됩니다. 로그인하는 사용자의 순서대로 해당 주소를 얻습니다.RUVPN 클라이언트의 IP주소 할당방법에 대한 더 많은 정보는 168 페이지의 “IPAddressing”을 참조하십시오. Remote Users Configuration 대화상자의 PPTP탭에서 다음과 같이 합니다.222

WatchGuard System Manager1. Add를 클릭합니다. Add Address대화상자가 아래의 그림과 같이 나타납니다.2. Choose Type drop-down리스트에서 Host IP(하나의 주소)또는 Host Range(IP 범위)를 선택합니다. 사용자는 50개의 주소를 설정할 수 있는데, 만일 IP의 범위가50개 이상의 주소이면 PPTP RUVPN은 범위내의 처음 50개의 주소만 사용하게 됩니다.3. Value 입력상자 안에 호스트 IP주소를 입력합니다. 만일 Host Range를 선택했다면범위 내의 처음 주소와 마지막 주소를 입력한 후 OK를 클릭합니다. RUVPN 세션동안 Firebox가 클라이언트에게 할당 할 수 있는 유휴 IP주소를 입력하십시오. IP주소는 원격 사용자에게 가능한 IP리스트 창에 나타날 것입니다.4. 모든 주소를 설정할 때까지 위의 과정을 반복합니다.클라이언트 컴퓨터의 준비먼저, PPTP 원격 호스트기능이 있는 RUVPN으로서 사용할 컴퓨터를 준비합니다. 해당 컴퓨터에는 다음의 것이 준비되어야 합니다.:▪ Internet Service Provider(ISP) 어카운트▪ 공인 IP주소이들 항목을 설치한 후에 이 섹션의 절차를 실행합니다.▪ Microsoft Dial-up Networking의 필요한 버전과 필요한 서비스 팩을 설치합니다.▪ VPN 커넥션에 필요한 운영체제의 설치▪ VPN 아답터의 설치 (일부 운영체제에만 해당)MSDUN 및 서비스 팩의 설치RUVPN의 정확한 설정을 위한 이들 옵션들을 반드시 설치해야 합니다.▪ MSDUN(MicroSoft Dial-Up Networking) 업그레이드▪ 다른 확장 옵션▪ 서비스 팩223

WatchGuard System ManagerPPTP RUVPN을 사용하려면 다음의 업그레이드가 필요합니다.암호화 운영체제 응용프로그램Base Windows NT 40-bit SP4Strong Windows NT 128-bit SP4Base Windows 2000 40-bit SP2Strong Windows 2000 !28-bit SP2--------------------------------------------------------------------* 40-bit 암호화는 Windows 2000에 대한 디폴트 값입니다. Windows 98에서 강력한 암호화로 업그레이드 하는 경우에 Windows 2000은 새 설치본에 대하여 강력한 암호화로 자동설정합니다.--------------------------------------------------------------------업그레이드나 서비스팩을 설치하려면 Microsoft Download Center 웹사이트에 접속하십시오. 주소는 http://www.microsoft.com/downloads/search.asp 입니다.Windows XP에서 PPTP RUVPN을 생성하고 연결하기Windows XP 원격 호스트를 준비하려면 네트웍 연결을 설정해야 하는데, 클라이언트 컴퓨터의 Windows 바탕화면에서 다음과 같이 합니다.:1. Start > Control Panel > Network Connections를 클릭합니다. Network Connection마법사가 나타납니다.2. 좌측의 메뉴에서 Create a new connection을 클릭합니다. New Connection마법사가 시작됩니다. Next를 클릭합니다.3. Connect to the network at my workplace를 클릭한 후 Next를 선택합니다.4. Virtual Private Network Connection을 클릭한 후 Next를 클릭합니다.5. “Connection with RUVPN”과 같은 이름을 설정 한 후 Next를 클릭합니다.6. 광대역 연결에 대해서는 not dial을, 모뎀 연결에 대해서는 automatically dial을 선택 한 후 Next를 클릭합니다. 모든 Windows XP 사용자가 아닌 Windows XP SP2를 사용하는 사용자만 마법사에서 이 화면을 볼 수 있습니다.7. Firebox외부 인터페이스의 IP주소나 호스트명을 입력한 후 Next를 클릭합니다.8. 이 연결 프로파일을 사용할 수 있는 사용자를 선택한 후 Next를 클릭합니다.9. Add a shortcut to this connection to my desktop을 선택 한 후 Finish를 클릭합니다.10. 새로운 VPN 연결을 사용하여 연결하려면 다이얼업 네트웍 또는 LAN이나 WAN을사용한 인터넷 연결을 먼저 생성합니다.11. 바탕화면의 바로가기 아이콘을 더블클릭합니다. 또는 Control Panel > NetworkConnections 를 선택하고 생성한 연결에 대한 VPN 리스트 하단을 보십시오.224

WatchGuard System Manager12. 연결에 대한 사용자 명과 패스워드를 입력합니다. 이 정보는 pptp_users 그룹에 사용자를 추가 했을 때 입력한 것입니다. 203 페이지의 “Firebox AuthenticatedGroup에 사용자 정의하기”를 참조하십시오.13. Connect를 클릭합니다.Windows 2000에 PPTP RUVPN을 생성하고 연결하기Windows 2000원격 호스트를 준비하려면 네트웍 연결을 설정해야 하는데, 클라이언트 컴퓨터의 Windows 바탕화면에서 다음과 같이 합니다.:1. Start > Control Panel > Network Connections > Create a new connection을 클릭합니다. New Connection마법사가 시작됩니다.2. Next를 클릭합니다.3. Connect to the network at my workplace를 클릭한 후 Next를 선택합니다.4. Virtual Private Network Connection을 클릭합니다.5. “Connection with RUVPN”과 같은 이름을 설정 한 후 Next를 클릭합니다.6. 광대역 연결에 대해서는 not dial을, 모뎀 연결에 대해서는 automatically dial을 선택 한 후 Next를 클릭합니다.7. Firebox외부 인터페이스의 IP주소나 호스트명을 입력한 후 Next를 클릭합니다.8. Add a shortcut to this connection to my desktop을 선택 한 후 Finish를 클릭합니다.9. 새로운 VPN 연결을 사용하여 연결하려면 다이얼업 네트웍 또는 LAN이나 WAN을사용한 인터넷 연결을 먼저 생성합니다.10. 바탕화면의 바로가기 아이콘을 더블클릭합니다. 또는 Control Panel > NetworkConnections 를 선택하고 생성한 연결에 대한 VPN 리스트 하단을 보십시오.11. 연결에 대한 사용자 명과 패스워드를 입력합니다. 이 정보는 pptp_users 그룹에 사용자를 추가 했을 때 입력한 것입니다. 203 페이지의 “Firebox AuthenticatedGroup에 사용자 정의하기”를 참조하십시오.12. Connect를 클릭합니다.RUVPN을 실행시키고 인터넷 접속하기원격사용자를 RUVPN 터널을 통하여 인터넷에 접속하도록 할 수 있는데, 이 옵션은 보안에영향을 줍니다.1. 클라이언트 컴퓨터에 사용자의 연결을 설정할 때 Advanced TCP/IP Settings대화상자를 편집하여 Use default gateway on remote network를 체크하십시오. WindowsXP나 Windows 2000에서 Advanced TCP/IP Settings대화상자를 열기 위해서는Control Panel Network Connections의 VPN 연결에서 오른쪽 클릭을 합니다.225

WatchGuard System ManagerProperties를 선택하고 Network 탭을 클릭합니다. 리스트 박스에서 인터넷 프로토콜을 찾아서 Properties를 클릭합니다. General 탭에서는 Advanced를 클릭하면 됩니다.2. Firebox에서 VPN에서 외부로의 동적 NAT를 만듭니다. 특정 PPTP사용자에 대해서만 가능하도록 하려면 from to External이라는 값을 만듭니다.3. PPTP 사용자로부터 외부 인터페이스로 나가는 연력을 허용하려면 OutgoingPolicy를 설정합니다. 원격 사용자의 웹접근을 조절하기 위해 WebBlocker를 사용한다면, HTTP-Proxy와 같은 WebBlocker를 조절하는 정책에 PPTP 사용자를 추가해야 합니다.Firebox 뒷단에서 Outbound PPTP 연결 만들기필요하다면 다른 Firebox 뒹단에서 Firebox로 PPTP연결을 만들 수 있는데, 원격 사용자가Firebox가 설치된 고객 사무실로 접근하는 예가 그것입니다. 사용자는 PPTP로 네트웍에 d연결을 만듭니다. 로컬 Firebox가 밖으로 나가는 PPTP연결을 정확하게 사용하게끔 하려면PPTP정책이 다음과 같이 설정되어야 합니다.:1. PPTP 정책을 추가합니다.(정책의 활성화에 대해서는 XREF를 참조하십시오.)2. Setup > NAT를 클릭하고 Enable Dynamic NAT를 체크했는지 확인합니다. 이것은routed 모드에서의 Firebox의 디폴트 파라미터입니다.226

WatchGuard System Manager4부. 방어력 증가시키기227

WatchGuard System Manager16장. 고급 네트워킹Fireware 소프트웨어를 사용하면 네트웍 기능의 고급설정을 할 수 있습니다. 이 기능들은네트웍이 매우 크고 대용량의 트래픽을 수용하는 경우에, Firebox관리자가 더욱 효율적으로관리할 수 있도록 설계되었습니다. 고급 네트웍 특징들은 다음과 같습니다.다수의 WAN 지원Fireware는 4개의 인터페이스를 external 또는 WAN, 인터페이스로 설정할 수 있게 해줍니다. 사용자는 다수의 WAN 인터페이스를 통하여 나가는트래픽의 로드를 분산시켜 트래픽 흐름을 조절할 수 있습니다.Quality of Service(QoS)Fireware의 QoS기능은 사용자가 각 정책에 대한 우선순위 큐, 대역폭 제한, 연결율 제한을 설정할 수 있도록 합니다.동적 라우팅정적 라우팅 뿐만 아니라, Firebox는 RIP 버전 1, 2와 OSPF 버전 2, BGP버전 4의 동적 라우팅 프로토콜을 사용할 수 있습니다. 이것들은 라우팅테이블의 동적 수정도 가능케 합니다.Multi-WAN 지원에 대하여Fireware 소프트웨어는 다수개의 external인터페이스(최대 4개)를 각기 다른 서브넷에 설정하는 옵션을 제공합니다. 이렇게 하면 하나 이상의 ISP에 Firebox가 접속할 수 있게됩니다. 다수개의 external 인터페이스를 설정 할 때 outgoing 패킷이 어느 인터페이스를 사용할 지를 조절할 수 있는 두 가지 옵션이 있습니다.라운드 로빈 방식의 Multi-WAN“round robin”순서를 선택했다면 아래와 같은 방식으로 external인터페이스 간에 outgoing 트래픽의 로드를 분산시킬 수 있습니다. :- x.x.x.x IP의 첫 번째 호스트가 인터넷으로 HTTP request를 송신합니다.이 세션의 패킷은 최하위 번호의 external 인터페이스를 통과합니다.- y.y.y.y IP의 두 번째 호스트가 인터넷으로 HTTP request를 송신합니다.이 세션의 패킷은 두번째로 높은 번호의 external 인터페이스를 통과합니다.- z.z.z.z IP의 세 번째 호스트가 인터넷으로 HTTP request를 송신합니다.이 세션의 패킷은 최하위 번호의 external 인터페이스를 통과하거나(인터228

WatchGuard System Manager페이스가 두 개만 설정되어 있는 경우), 세 번째로 높은 번호의 external인터페이스를 통과합니다.- 각 IP 주소가 세션을 초기와 하는 대로 Firebox는 위에서 설명한 패턴대로 external 인터페이스를 돌아가면서 사용합니다.Back-up 방식을 이용한 Multi-WAN이 옵션을 사용하면, 리스트에 설정된 최하위 숫자의 external인터페이스가 primary가 됩니다. 다른 인터페이스들은 backup인터페이스가 됩니다.Firebox는 모든 나가는 트래픽을 primary인터페이스로 보냅니다. 만일primary external 인터페이스가 활성화되어 있지 않은 경우에, 첫번째backup 인터페이스로 트래픽을 보냅니다. 이 인터페이스가 primary가 되는 것입니다.두 번째 external인터페이스를 설정하는 순간, Multi-WAN 지원기능이 디폴트로 라운드로빈방식으로 자동 활성화됩니다. 활성화된 이후에 Policy Manager에서 사용될 때, 자동적으로 “External” alias가 아닌 “Any-External”로 나타납니다.Multi-WAN 지원기능 설정하기1. Policy Manager에서 Network > Configuration을 선택합니다.Network Configuration 대화상자가 나타납니다.2. external로 설정할 인터페이스를 선택한 후 Configure를 클릭합니다. 인터페이스설명을 추가하고 Interface Type drop-down리스트에서 External을 선택합니다.3. IP주소와 인터페이스의 디폴트 게이트웨이를 입력합니다. IP주소를 입력할 때, 숫자와 마침표를 사용하되, TAB키나 화살표키는 사용하지 마십시오. 두번째 external인터페이스를 설정 한 후에는 Network Configuration 대화상자에 Multi-WAN 설229

WatchGuard System Manager정 옵션이 나타납니다.4. 다수의 external 인터페이스를 통과하여 밖으로 나가는 트래픽을 컨트롤하는 방법을 선택합니다. 순서대로 external 인터페이스를 사용하여 트래픽 세션을 통과시키려면 라운드로빈 Multi-WAN 방식을 사용하고, 백업 개념으로 primary와 backup인터페이스를 사용하려면 backup 순서의 Multi-WAN 방식을 사용합니다.5. OK를 클릭하고 Firebox에 변경내용을 저장합니다.Qos의 설정많은 호스트 컴퓨터가 있는 대형 네트웍에서는 방화벽을 통과하는 데이터의 양이 굉장히 많습니다. 과도한 트래픽이 네트웍에 흐를 때 데이터 패킷은 드랍됩니다. 따라서 웹서핑과 같은 낮은 순위의 패킷보다는 본사와 지사 간에 교환되는 데이터과 같은 트래픽에 높은 우선순위를 부여하는 것이 필요합니다.Fireware Pro를 사용하면 Qualiry of Service(QoS)를 설정하여 중요한 트래픽에 할당할 대역폭이 항상 준비되도록 정책을 적용할 수 있습니다.또한 네트웍 용량이 과도해지면 QoS 파라미터에 따른 알람이 발생하도록 설정할 수도 있습니다. SNMP 관리 시스템으로 이벤트를 보내거나, 관리 스테이션에 email 또는 popup창으로 알리도록 선택하여 설정할 수 있습니다.1. Policy Manager에서 Setup > Actions > QoS를 선택합니다. QoS Actions대화상자가 나타납니다.230

2. Add를 클릭합니다. New QoS 대화상자가 나타납니다.WatchGuard System Manager3. QoS action의 이름과 설명을 입력합니다.4. 보통에서 높음까지 할당하고자 하는 우선순위를 Priority에서 선택합니다. 이 카테고리는 보통 큐로 알려져 있습니다.5. 해당 action에 대해 대역폭 제한을 변경하거나 제거할 수 있는 MaximumBandwidth drop-box리스트를 사용합니다. 중요한 트래픽에 대하 대역폭 제한을 없애려면 No Limits을 사용하거나, 또는 가능한 총 대역폭을 덜 중요한 트래픽에 초당 최대 kilobytes로 할당합니다.6. Connection Rate drop-down리스트를 해당 Qos action에 대한 초당 커넥션 수를조절하는 데 사용합니다. 디폴트 설정은 no limits로 되어있지만, Custom을 선택하면 어떤 트래픽을 사용하기 위한 대역폭 율을 조절하기 위해, 이 QoS action의 최소 연결율을 입력할 수 있습니다.7. 대역폭율이나 연결율이 과도해질 때 알람을 발생시키려면 Alarm when capacityexceeded 체크박스를 선택합니다. 이 알람은 정책이 더 많은 대역폭을 필요로 하는지를 결정하기 위해 사용합니다. Notification을 클릭하여 104 페이지의 “사용자에 맞는 Alarms, Logging, Notification 설정”에 설명한 대로 파라미터들을 설정합니다.8. OK를 클릭합니다. 생성된 action이 QoS action 리스트 상자에 나타납니다.Multi-WAN 환경에서 QoS 사용하기라운드로빈 방식으로 설정된 Multi-WAN에 QoS action이 적용될 때, QoS action의 최대 허용 대역폭율과 연결율은 모든 인터페이스에 대한 처리율과 연결율을 관리합니다. 이는 모든external 인터페이스가 (다운된 인터페이스 포함) 트래픽을 라우팅하도록 하는 설정까지 포231

WatchGuard System Manager함하는 것입니다. 백업 방식으로 설정된 다수의 WAN에 QoS action이 적용될 때, QoSaction의 최대 허용 대역폭율과 연결율은 현재 패킷을 보내고 있는 하나의 인터페이스에 대한 처리율과 연결율을 관리합니다.동적 라우팅라우팅 프로토콜은 네트웍 라우팅 테이블의 상태에 대한 정보를 공유하기 위해 라우터들간에 주고 받는 언어입니다. 정적 라우팅으로 라우팅 테이블은 보내어질 수 있지만 변경되지는 않습니다. 원격 패스에 있는 라우터가 중지된다면 패킷은 목적지로 보내어질 수 없습니다.동적 라우팅은 라우터의 라우팅 테이블을 라우트가 변하는대로 변경합니다. 목적지로의 가장 빠른 패스가 사용될 수 없다면 동적 라우팅 프로토콜은 트래픽이 움직여야 한 때 라우팅테이블을 변경시킵니다. Firewware는 RIP v1, v2와 OSPF, BGP v4 동적 라우팅 프로토콜을 지원합니다.라우팅 데몬 설정 파일Fireware로 동적 라우팅 프로토콜을 사용하려면 반드시 선택한 라우팅 데몬에 대한 동적라우팅 설정파일을 불러오거나 입력해야 합니다. 이 설정파일에는 패스워드와 로그파일명과같은 정보가 포함되어 있습니다. 각 라우팅 프로토콜에 대한 설정 템플릿은 다음의 FAQ 사이트에서 찾을 수 있습니다.:https://www.watchguard.com/support/advancedfaqs/fw_dynroute-ex.asp아래 섹션에서는 각 라우팅 프로토콜에 대한 지원 설정 명령어의 리스트를 찾아볼 수 있습니다. 운영체제 파일에 반드시 들어가야 할 순서대로 명령어 섹션을 나열하겠습니다.설정파일에 대해 주의할 점은 다음과 같습니다. :▪ “!”와 “#”은 주석 표시입니다. 단어의 첫 글자가 주석 표시중 하나라면 그 줄의나머지 부분이 모두 주석 처리됩니다. 주석 표시가 단어의 처음에 나타나지 않으면 그것은 명령어로 인식됩니다.▪ 보통 명령어는 줄의 제일 처음에 “no”를 붙임으로써 반대를 나타냅니다. “nonetwork 10.0.0.0/24 area 0.0.0.0”은 특정 네트웍의 백본 지역을 비활성화합니다.232

WatchGuard System ManagerRIP 사용하기RIP(Routing Information Protocol)은 회사의 LAN이나 사설 광대역 네트웍과 같은 selfcontained네트웍 내에서 라우터 정보를 관리하는 데에 사용됩니다. 게이트웨이 호스트는RIP를 사용하여 30초마다 가장 가까운 라우터에게 라우팅테이블을 전송합니다. 이 라우터는 가장 가까이에 있는 라우터에게 순서대로 라우팅 테이블을 전송하여 네트웍의 모든 호스트의 라우팅 테이블이 동기화 될 때까지 이 작업을 계속합니다. RIP는 소규모의 네트웍에가장 적합한데, 그 이유는 30초마다 전체 라우팅 테이블을 전송하면 네트웍에 엄청난 트래픽 로드를 가져오는 반면에, RIP 테이블은 16hop까지로 제한이 되어있기 때문입니다. OSPF는 좀더 큰 규모의 네트웍에 적합합니다.RIP 버전1RIP V1은 라우팅 테이블을 업데이트 하기 위해 520번 포트로 UDP 브로트캐스팅합니다.다음은 라우팅 설정파일을 생성하고 수정하는 데 사용하는 명령어 표입니다. 이 표에 나타난 명령어와 같은 순서로 설정파일에 그 내용이 나타납니다. 또한 다음 주소의 FAQ에서RIP설정파일의 샘플을 사용할 수도 있습니다.https://www.watchguard.com/support/advancedfaqs/fw_dynroute-ex.aspSection 명령어 설명인터페이스에 간단한 패스워드나 MD5 인증 설정하기Interface eth[N]Ip rip authentication string[PASSWORD]Key chain [KEY-CHAIN]Key [INTEGER]Key-string [AUTH-KEY]Interface eth[N]Ip rip authentication mode md5Ip rip authentication mode key chain[KEY-CHAIN]인터페이스에 인증 종류를 설정하는 섹션을시작합니다.RIP 인증 패스워드를 설정합니다.MD 5 key chain 명을 설정합니다.MD 5 key 이름을 설정합니다.MD 5 인증 이름을 설정합니다.인터페이스에 인증 종류를 설정하는 섹션을시작합니다.MD5 인증을 사용합니다.MD5 인증 key chain을 설정합니다.RIP 라우팅 데몬 설정하기Router ripRIP 데몬을 활성화합니다.233

WatchGuard System ManagerVersion [1|2]Ip rip send version[1|2]Ip rip recieve version[1|2]No ip split-horizonRIP 버전을 1 또는 2로 설정합니다.(디폴트는 2입니다.)RIP send 버전을 1 또는 2로 설정합니다.RIP recieve 버전을 1 또는 2로 설정합니다Split-horizon을 비활성화합니다. ; 디폴트도활성화되어 있습니다.인터페이스와 네트웍 설정하기No network eth[N]Passive-interface eth[N]Passive-interface defaultNetwork [A.B.C.D/M]neighbor [A.B.C.D/M]RIP 피어에게 라우트를 배포하고, RIP 라우팅 테이블에 ISPF나 BGP 삽입하기Default-information originateRedistibute kernelRedistibute connectedRedistibute connected route-map[MAPNAME]Redistibute ospfRedistibute ospf route-mapRedistibute bgpRedistibute bgp route-map[MAPNAME]RIP 피어와 last resort 라우트(디폴트 라우트)를 공유합니다.방화벽의 정적 라우트를 RIP피어에게 재배포합니다.모든 인터페이스로부터 라우트를 얻어 RIP피어에게 재배포합니다.모든 인터페이스로부터 라우트를 얻어 라우트맵필터와 함께 (맵명) RIP피어에게 재배포합니다.OSPF에서 라우트를 얻어 RIP로 재배포 합니다.OSPF에서 라우트를 얻어 라우트맵필터와함께 (맵명) RIP로 재배포 합니다.BGP에서 라우트를 얻어 RIP로 재배포 합니다.BGP에서 라우트를 얻어 라우트맵필터와 함께 (맵명) RIP로 재배포 합니다.라우트 맵과 접근 리스트로 라우트 재분배 필터 설정하기Accesslist[PERMIT|DENY][LISTNAME]IP주소나 ANY IP의 재배포 허용 또는 거부에 대해서만 Access-list를 생성합니다.234

WatchGuard System Manager[A.B.C.D/M|ANY]Route-map[MAPNAME]permit[N]Match ip address[LISTNAME]이름을 정하여 라우트 맵을 생성하고 N의우선순위로 허용합니다.RIP v1을 사용하도록 Fireware 설정하기1. Policy Manager에서 Network > Dynamic Routing을 선택합니다. Dynamic RoutingSetup 대화상자가 나타납니다.2. Enable Dynamic Routing 과 Enable RIP을 클릭합니다.3. 라우팅 데몬 설정파일을 가져오기 위해 Import 를 클릭하거나, 입력상자에 파일명을 입력합니다.Import를 클릭했다면 RIP 데몬 설정 템플릿이 있는 폴더를 열어볼 수 있습니다. 템플릿은 C:₩Documents and Settings₩My Documents₩My WatchGuard에 있습니다.4. OK를 클릭합니다.RIP v1트래픽을 Firebox를 통과하도록 허용하기.라우터에서 네트웍 브로드캐스트 IP로 RIP 브로드캐스트를 허용하기 위한 정책을 추가하고설정해야 합니다. 또한 To 란에 Firebox인터페이스 IP도 추가합니다.1. Policy Manager에서 Edit > Add Policies를 클릭합니다. 패킷 필터 리스트로부터RIP를 클릭한 후, Add를 선택합니다. RIP에 대한 New Policy Properties 창이 나타납니다.2. New Policy Properties 대화상자에서, RIP를 사용하는 라우터의 IP나 네트웍 주소235

WatchGuard System Manager로부터, 이에 연결되어 있는 Firebox인터페이스로 흐르는 트래픽을 허용하는 정책을 설정합니다. 또한 네트웍 브로드캐스트 IP주소도 추가해야 합니다.3. OK를 클릭합니다.RIP 버전2RIP v2는 라우팅 테이블 업데이트 내용을 보내기 위해 멀티 캐스트를 사용합니다. 라우팅설정파일을 만들거나 수정하기 위해서는 RIP Version1 섹션의 P라우팅 명령어표를 참조하.시오. 네트웍 IP주소를 사용하는 어떤 명령어는 서브넷 마스크를 포함해야 하며, 그렇지 않으면 RIP v2는 작동하지 않습니다. 이 섹션은 이 표에 나타난 것과 같은 순서로 설정파일에나타나야 합니다.236

WatchGuard System ManagerRIP v2을 사용하도록 Fireware 설정하기1. Policy Manager에서 Network > Dynamic Routing을 선택합니다. Dynamic RoutingSetup 대화상자가 나타납니다.2. Enable Dynamic Routing 과 Enable RIP을 클릭합니다.3. 라우팅 데몬 설정파일을 가져오기 위해 Import 를 클릭하거나, 입력상자에 설정 파라미터들을 입력합니다.Import를 클릭했다면 RIP 데몬 설정 파일이 있는 폴더를 열어볼 수 있습니다. 파일은 C:₩Documents and Settings₩My Documents₩My WatchGuard에 있습니다.4. OK를 클릭합니다.RIP v2트래픽을 Firebox를 통과하도록 허용하기.RIP v2가 활성화된 라우터에서 RIP v2를 위해 예약된 멀티캐스트 Ip로 IRP v2 브로드캐스트를 허용하기 위한 정책을 추가하고 설정해야 합니다.1. Policy Manager에서 Edit > Add Policies를 클릭합니다. 패킷 필터 리스트로부터RIP를 클릭한 후, Add를 선택합니다. RIP에 대한 New Policy Properties 창이 나타납니다.2. New Policy Properties 대화상자에서, RIP를 사용하는 라우터의 IP나 네트웍 주소로부터, 멀티캐스트 주소인 224.0.0.9 주소로 흐르는 트래픽을 허용하는 정책을 설정합니다.237

WatchGuard System Manager3. OK를 클릭합니다.OSPF의 사용OSPF(Open Shortest Path First)는 대형 네트웍에서 사용하는 라우터 프로토콜입니다. 라우팅 테이블이나 네트웍에 변화가 생긴 것을 감지한 호스트는 OSPF로 즉시 네트웍 내의모든 호스트로 멀티캐스트 업데이트를 송신합니다. OSPF는 다음과 같이 RIP과는 다릅니다.OSPF 는 송신할 때 라우팅 테이블에서 변경된 부분만을 송신하지만, RIP는 테이블전체를 매번 송신합니다.OSPF는 정보가 갱신되었을 때 멀티캐스트를 사용하고 RIP는 매 30초마다 라우팅테이블을 송신합니다.OSPF 데몬 설정라우팅 설정파일을 만들고 수정하기 위한 명령어를 다음에서 보여줍니다. 이 센션은 표에나온 순서 그대로 설정파일에 나타나야 합니다. 또한 다음 주소의 FAQ에서 OSPF설정파일샘플을 찾아볼 수 있으니 참조하기 바랍니다.238

WatchGuard System ManagerSection 명령어 설명인터페이스 설정Ip ospf authentication string [PASSWORD] OSPF 인증 패스워드를 설정합니다.Interface eth[N]인터페이스에 인증 특성을 설정하는섹션을 시작합니다.Ip ospf message-key[KEY-ID] md5[KEY] MD 5 인증 키 ID와 키을 설정합니다.Ip ospf cost[1-65535]인터페이스에 대한 링크 코스트를설정합니다.(하단 OSP InterfaceCost 표 참조)Ip ospf hello-interval[1-65535]Hello 패킷을 보내는 조기 설정(디폴트 10초)Ip ospf dead-interval[1-65535] 이웃 호스트에게 마지막으로 hello를 송신한 후 다운되기 까지의 간격설정(디폴트 40초)Ip ospf retransmit-interval[1-65535] Link-state advertisement(LSA) 재전송 간의 간격 설정(디폴트 5초)Ip ospf transmit-delay[1-3600]LSA 업데이트를 송신하는데 요구되는 시간 설정(디폴트 1초)Ip ospf priority[0-255]라우터 우선순위 설정; 값이 높을수록 Designated router(DR)이 될 가능성이 높아집니다.OSPF 라우팅 데몬 설정하기Router OSPFOSPF router-id [A.B.C.D]OSPF rfc 1583 comparibilityOSPF abr-type [cisco|ibm|shortcut|standard]OSPF 데몬을 활성화합니다.OSPF에 대한 라우트 ID를 수동으로 설정합니다. 설정되지 않았다면 라우터는 ID를 스스로 결정하게됩니다.RFC 1583 호환성을 활성화합니다.(라우트 루프가 될 수 있습니다.)이 명령에 대해서 draft-ietfabr-alt-05.txt를참조하십시오.239

WatchGuard System ManagerPassive interface eth[N]인터페이스 eth[N]에 OSPF 통보를 비활성화합니다.Auto-cost reference bandwidth[0-429495]Timers spf[0-4294967295][0-4294967295]Global cost를 설정합니다.(하단OSPF 비용 표를 참조하십시오.)SPF 스케쥴 delay 및 hold시간을 설정합니다.네트웍에 OSPF 활성화하기“Area”변수는 [W.X.Y.Z]또는 십진수[Z]의 두 가지 형태로 입력될 수 있습니다.Network [A.B.C.D/M] area[Z] area 0.0.0.Z 에 대해 네트웍A.B.C.D/M에 OSPF를 알립니다.백본이나 다른 지역에 대한 속성 설정하기“Area”변수는 [W.X.Y.Z]또는 십진수[Z]의 두 가지 형태로 입력될 수 있습니다.Area [Z] range [A.B.C.D/M]Area [Z] virtual-link[W.X.Y.Z]Area [Z] stubArea [Z] stub no-summaryArea [Z] authenticationArea [Z] authentication message-digestArea 0.0.0.Z 를 생성하고 해당area에 대해 네트웍 클래스를 설정합니다.(범위와 인터페이스 네트웍,마스크 설정이 잘 맞아야 합니다.Area 0.0.0.Z 에 대한 가상 링크의네이버를 설정합니다.Area 0.0.0.Z를 stub으로 설정합니다.Area 0.0.0.Z에 대한 간단한 패스워드 인증을 활성화합니다.Area 0.0.0.Z에 대한 MD5 인증을활성화합니다.OSPF 라우트 재분배하기Default-information originateDefault-information originate metrics[0-16777214]Default-information originate alwaysOSPF로 마지막 resort 라우트(디폴트 라우트)를 공유합니다.OSPF로 마지막 resort 라우트(디폴트 라우트)를 공유합니다.OSPF로 마지막 resort 라우트(디폴트 라우트)를 공유합니다.240

WatchGuard System ManagerDefault-information originate alwaysmetrics[0-16777214]Redistribute connectedRedistribute connected metricsOSPF로 마지막 resort 라우트(디폴트 라우트)를 공유합니다.모든 인터페이스로부터 ISPF로 라우트를 재분배합니다.모든 인터페이스로부터 ISPF로 라우트를 재분배합니다.Access List와 라우트 맵으로 라우트 재분배 설정하기Access-list[LISTNAME]permit[A.B.C.D/M]Access-list[LISTNAME]deny anyRoute-map[MAPNAME]permit[N]Match ip address[LISTNAME]A.B.C.D/M의 재분배를 허용하기 위한 access list를 만듭니다.위에서 설정하지 않은 라우트 맵의재분배를 제한합니다.이름을 정하여 라우트 맵을 생성하고 N의 우선순위로 허용합니다.OSPF 인터페이스 Cost 표OSPF 프로토콜은 두 점 사이에서 가장 효과적인 라우트를 찾아줍니다. 이렇게 하려면 인터페이스 링크 속도, 두 지점간의 홉수, 다른 요소들을 먼저 살펴보아야 합니다. 디폴트로OSPF는 라우트 총 비용을 계산하기 위해 디바이스의 실제 링크 속도를 사용할 것입니다.사용자는 인터페이스 비용을 최대효율을 위해 수동으로 설정할 수 있는데, 예를 들면, 기가바이트 방화벽을 100M라우터에 연결하는 것이 그것입니다. 실제 인터페이스 비용과 다른값으로 인터페이스비용을 설정하려면 OSPF 인터페이스의 비용 표에 나타난 숫자들을 사용하면 됩니다.Fireware를 OSPF를 사용하도록 설정하기1. Policy Manager에서 Network > Dynamic Routing을 설정합니다. Dynamic RoutingSetup 대화상자가 나타납니다.241

WatchGuard System Manager2. OSPF탭을 클릭합니다.3. Enable Dynamic Routing 과 Enable OSPF를 클릭합니다.4. 라우팅 데몬 설정 파일을 가져오기 위해 Import를 클릭하거나 입력상자 안에 설정파라미터들을 입력합니다.만일 Import를 클릭했다면 OSPF데몬 설정파일이 있는 폴더를 볼 수 있습니다. 이것은 C:₩Documents and Settings₩My Documents₩My WatchGuard에 있습니다.5. OK를 클릭합니다.OSPF 트래픽을 Firebox를 통과하도록 허용하기.OSPF가 활성화된 라우터에서 OSPF를 위해 예약된 멀티캐스트 Ip로 OSPF브로드캐스트를허용하는 위한 정책을 추가하고 설정해야 합니다.1. Policy Manager에서 Edit > Add Policies를 클릭합니다. 패킷 필터 리스트로부터OSPF를 클릭한 후, Add를 선택합니다. OSPF에 대한 New Policy Properties 창이나타납니다.2. New Policy Properties 대화상자에서, OSPF를 사용하는 라우터의 IP나 네트웍 주소로부터, IP 224.0.0.5 또는 224.0.0.6 으로 흐르는 트래픽을 허용하는 정책을 설정합니다.242

WatchGuard System Manager3. OK를 클릭합니다.BGP 사용하기Border Gateway Protocol(BGP)는 라우팅 정보를 교환하기 위해 게이트웨이 호스트가 사용하는 확장가능한 동적 라우팅 프로토콜입니다. BGP는 인터넷상에서 사용되며, 라우팅 정책을 정의할 때 라우트 파라미터나 “attributes”를 사용하고 정적 라우팅 환경을 만듭니다.BGP를 사용하는 호스트는, 하나의 호스트가 변경사항을 감지 했을 때 라우팅 테이블 정보를 TCP를 사용하여 보냅니다. 이때 호스트는 변경된 라우팅 테이블의 일부만을 송신하며,BGP는 인터넷 라우팅 테이블의 크기를 줄이기 위해 Classless Interdomain Routing(CIDR)을 사용합니다. Fireware에서 BGP 라우팅 테이블의 크기는 32K로 제한되어 있습니다.WatchGuard 고객의 일반적인 광대역망(WAN)의 크기는 OSPF 동적 라우팅에 최적 크기로되어 있습니다. WAN 은 인터넷으로 연결하는데 하나 이상의 게이트웨이를 통과할 때External Border Gateway Protocol(EBGP)을 사용할 수 있습니다. EBGP를 사용하면multihomed 네트웍에서 발생할 수 있는 redundency의 모든 장점을 취할 수 있습니다.ISP로 EBGP에 관여하려면 autonomous system number(ASN)를 가져야 하며, 이는 하단의표에 있는 지역별 관리국에서 받아야 합니다. 한번 ASN을 할당받았으면 사용자는 AS 번호와 다른 필요 정보를 얻기 위해 각 ISP에 연결해야만 합니다.243

WatchGuard System ManagerBGP 데몬 설정아래에 라우팅 설정파일을 만들고 수정하기 위해 사용되는 명령어들이 있습니다. 이 섹션은표와 같은 순서로 설정파일에 쓰여져 있어야 합니다. 또한 다음 주소의 FAQ에서 BGP파일의 샘플을 사용할 수도 있습니다. :https://www.watchguard.com/support/advancedfaqs/fw_dynroute-ex.aspSection 명령어 설명BGP 라우팅 데몬 설정하기Router BGP[ASN] BGP 데몬을 활성화하고Autonomous System Number(ASN)으로 설정합니다.; 이것은ISP에서 제공됩니다.network [A.B.C.D/M]BGP를 A.B.C.D/M 네트웍에 알립니다.No network [A.B.C.D/M]BGP를 A.B.C.D/M 네트웍에 알리는 것을 중단합니다.neighbor 속성 설정하기Neighbor [A.B.C.D] remote-as[ASN]Neighbor [A.B.C.D] 듀헤-multihopNeighbor [A.B.C.D] version 4+Neighbor [A.B.C.D]update-sourceNeighbor [A.B.C.D]default-originateNeighbor [A.B.C.D]port 189Neighbor [A.B.C.D]send communityNeighbor [A.B.C.D]weight 1000Neighbor를 원격 ASN의 한 원소로 설정합니다.Neighbor를 EBGP multi-hop을사용하는 다른 네트웍에 설정합니다.Neighbor 와 통신하는 데 BGP버전(4, 4+, 4-)를 설정합니다.;디폴트는 4입니다.BGP Neighbor [A.B.C.D]에 대한 디폴트 라우트를 알립니다.BGP Neighbor[A.B.C.D]와 통신할 TCP포트를 정합니다.피어 send-community를 설정합니다.Neighbor의 [A.B.C.D]라우트에대한 디폴트 weight를 설정합니244

Neighbor [A.B.C.D]maximum-prefix NUMBER .WatchGuard System Manager다.Community 리스트Ip community-list 70 permit 7000:80피어 필터링Neighbor [A.B.C.D] distribute-list[LISTNAME] ] [IN|OUT]Neighbor [A.B.C.D] prefix-list [LISTNAME][IN|OUT]Neighbor [A.B.C.D] filter-list [LISTNAME][IN|OUT]Neighbor [A.B.C.D] route-map [LISTNAME][IN|OUT]재배포 리스트와 페어에 대한direction을 설정합니다.BGP로 라우트 재분배하기Redistribute kernelRedistribute ripBGP로 정적 라우트 재분배하기BGP로 RIP라우트 재분배하기Redistribute ospfBGP로 OSPF라우트 재분배하기Route reflectionBgp cluster-id A.B.C.DNeighbor [W.X.Y.Z] route-reflector-clientAccess Lists and IP Prefix ListsIp prefix-list PRELIST permit A.B.C.D/EAccess-list NAME [deny|allow] A.B.C.D/EPrefix list를 설정합니다.접근 리스트를 설정합니다.Route-map[MAPNAME]permit[N]Match ip address prefix-list [LISTNAME]`Set community[A:B]Match community[N]Set local-preference[N]245

WatchGuard System ManagerBGP사용을 위한 Fireware설정1. Policy Manager에서 Network > Dynamic Routing을 선택합니다. Dynamic RoutingSetup대화상자가 나타납니다.2. BGP 탭을 클릭합니다.3. Enable Dynamic Routing 과 Enable BGP를 클릭합니다.4. 라우팅 데몬 설정파일을 가져오기 위해 Import를 클릭하거나, 입력상자 안에 설정파라미터를 입력합니다.만일 사용자가 Import를 클릭한다면 DBP데몬 설정파일의 위치를 보게 될 것입니다. 위치는 C:₩Documents and Settings₩MyDocuments₩My WatchGuard입니다.5. BGP 설정파일을 선택합니다.6. OK를 클릭합니다.Firebox에 BGP트래픽을 허용하기허가된 네트웍에서 Firebox로 BGP트래픽을 허용하기 위해서는 정책을 추가해야합니다. 네트웍은 BGP 설정파일에서 정의한 것과 같은 네트웍이어야 합니다.1. Policy Manager에서 Edit > Add Policies를 클릭한 후, 다시 New를 클릭하여 새로운 정책을 생성합니다.246

2. 새로운 BGP정책에 대하여 이름과 설명을 입력합니다.WatchGuard System Manager3. Add를 클릭하고 single-port가 되는 BGP정책을 설정합니다. TCP정책은 포트 179에 대하여 설정됩니다.4. OK를 클릭하고 Policy Manager에 새로운 정책을 추가하기 위해 Add를 클릭합니다.5. New Policy Properties대화상자에서 BGP를 사용하는 IP나 네트웍 주소에서 연결된 Firebox인터페이스로 트래픽을 허용하는 정책을 설정합니다.247

WatchGuard System Manager6. OK를 클릭합니다.248

WatchGuard System Manager17장 웹사이트 접근 제어WatchGuard System Manager의 WebBlocker기능은 HTTP 프락시를 사용하여 웹트레픽을필터링하고 사용자의 접근을 제어합니다. 사용자가 웹에 접근할 수 있는 정확한 시간대를설정할 수 있으며, 금지 웹사이트의 카테고리를 정하여 사용자들이 접근을 할 수 없도록 합니다. 또한 나가는 HTTP 프락시를 통하도록 MUVPN과 RUVPN사용자의 라우트를 설정할수도 있습니다.WebBlocker 시작하기사용자는 WatchGuard System Manager를 처음 설치할 때 관리서버상에 WebBlocker서버를 설치할 수 있습니다. 또한 WebBlocker 서버 컴포넌트를 선택한다는 것을 제외하고System Manager 소프트웨어를 설치하는 것과 같은 방법으로 다른 컴퓨터에 WebBlocker서버를 설치할 수도 있습니다.-------------------------- 주 의 ----------------------------------만일 Windows Firewall이 아닌 다른 데스크탑용 방화벽이 활성화된 컴퓨터 위에Management Server, Log Server, WebBlocker Server를 설치할 때, 사용자는 방화벽을 통과하여 연결할 수 있도록 필요한 포트들을 모두 열어야합니다. Windows Firewall사용자는설정을 변경할 필요가 없습니다. 자세한 것은 WatchGuard System Manager User Guide를 참조하십시오.---------------------------------------------------------------------다음 단계는 WebBlocker 유틸리티를 사용하여 완전한 데이터베이스를 다운받는 것입니다.1. 시스템 트레이의 WebBlocker Server 아이콘을 마우스 오른 버튼 클릭합니다.Download WebBlocker Database대화상자가 나타납니다.2. Get Full Database를 선택합니다.249

WatchGuard System Manager3. 새로운 데이터 베이스를 다운로드하기 위해 Download를 선택합니다.----------------------- 주 의 ---------------------------------WebBlocker 데이터베이스는 60MB이상의 용량을 가지고 있습니다. 따라서 연결 속도에 따라 다운로드 하는데 30분 이상의 시간이 걸릴 수 있습니다.-------------------------------------------------------------------사용자는 언제든지 WebBlocker 유틸리티를 사용하여 다음과 같은 일을 할 수 있습니다. :▪ 새로운 버전의 데이터베이스를 다운로드 받습니다.▪ 데이터베이스의 증가분 업데이트를 받을 수 있습니다.▪ 데이터베이스의 상태를 확인할 수 있습니다.▪ 서버를 시작하고 중지할 수 있습니다.정책에 WebBlocker Action 추가하기HTTP 프락시를 사용하는 정책에 WebBlocker action을 설정하거나 같은 WebBlockeraction을 사용하게끔 할 수 있습니다. Action을 생성하고 나서는 반복하여 사용할 수 있습니다.WebBlocker action의 설정1. Policy Manager에서 HTTP Proxy 정책이나 Outgoing 정책과 같은 HTTP 프락시를사용하는 정책에 마우스를 대고 오른버튼을 클릭합니다.250

WatchGuard System Manager2. Properties탭을 클릭하고 프락시명 옆의 View/Edit Proxy 아이콘을 선택합니다.3. HTTP Proxy 명의 오른편에 있는 View/Edit Proxy 아이콘을 클릭합니다.251

4. main HTTP Proxy Configuration창이 나타납니다.WatchGuard System Manager5. WebBlocker action을 설정했으면 WebBlocker drop-down메뉴에서 acction명을 선택하여 정책에 적용할 수 있습니다. 새로운 action을 생성하려면 New/Clone아이콘을 클릭합니다. New WebBlocker Configuration 창이 나타납니다.252

WatchGuard System ManagerWebBlocker Server 정보 추가하기1. 서버를 추가하고 Add버튼을 클릭합니다. Add WebBlocker Server대화상자가 나타납니다.2. IP주소와 포트를 입력하고 OK를 클릭합니다.WebBlocker 서버를 지나치도록 설정하기밖으로 나가는 HTTP 트래픽은 WebBlocker Server가 응답하지 않으면 자동적으로 거부되도록 되어있습니다. 나가는 모든 HTTP트래픽을 허용하려면 Server탭에서 AllowWebBlocker Server Bypass를 선택하면 됩니다. 이것은 global하기 때문에 만일 하나의HTTP 프락시 정책에 대해 설정했다면 모든 HTTP 프락시 정책에 대해 모두 적용됩니다.WebBlocker 카테고리의 선택WebBlocker 데이터베이스는 접근을 막을 수 있는 14가지의 웹사이트를 제공합니다. 이 14가지 카테고리에 대한 자세한 것은 Reference Guide를 참조하십시오.1. New WebBlocker Configuration 대화상자에서 Categories탭을 클릭합니다.253

WatchGuard System Manager2. 접근을 막고자 하는 하나 이상의 카테고리를 선택하고 OK를 클릭합니다.WebBlocker 예외설정WebBlocker action을 예외상황에 대하여 override 할 수 있는데, WebBlocker 카테고리에대한 예외사항을 허용/거부하는 웹사이트를 추가하는 것입니다. 추가한 웹사이트는 HTTP트래픽에만 적용되며, Blocked Sites 리스트에는 관계가 없습니다.이 예외는 허용 또는 거부된 IP주소의 리스트로 유지됩니다. 또한 도메인명, 네트웍 주소,호스트 IP주소로도 예외를 설정할 수 있습니다.특정 웹사이트에 대해 blocking되어야만 하는 포트번호, 패스명, 문자열도 설정할 수 있는데, 예를 들면, www.sharedspace.com/~dave 이라는 패스에 누드사진이 있기 때문에 접근을 금지시켜야 한다면, sharedspace.com 의 금지 디렉토리명에 “~dave”라고 입력하면 됩니다. 이렇게 하면 좋은 정보를 가지고 있는 www.sharedspace.com/~julia 에는 접근이 가능해집니다.sharedspace.com 사이트에 있는 성적 음란물을 blogking하고자 하면 *sex라고 입력할 수있습니다. 이렇게 함으로서, www.sharedspace.com/~george/sexy.htm 과 같은 페이지를접근금지 할 수 있습니다. 문자앞에 * 사인을 입력하면 URL의 어느 위치에 있든 해당 문자열을 찾습니다. 만일 패턴란에 *Sex라고 입력한다면 “sex”단어를 가진 모든 URL을 접근금지 시키지 않습니다. * 사인은 특정 URL안의 예외를 바꿀 뿐 입니다.한 예로, www.sharedspace.com/*sex를 blocking 한다면 이는www.sharedspace.com/sexsite.html을 접근 금지시킬 것입니다.------------------------------- 주 의 -----------------------------이 WebBlocker 툴은 외부 웹사이트로 접근할 때만 이용가능합니다. 인터넷 호스트로는WebBlocker 예외 기능을 사용할 수 없습니다.254

WatchGuard System Manager1. WebBlocker 카테고리에 예외를 정의하기 위해 Exceptions탭을 클릭합니다.2. Pattern 입력상자에 예외 패턴을 입력합니다. 디폴트로 이 패턴은 Firebox로 허용되는 예외사항을 만들어 놓고 있습니다. 이때, 사용자가 고급 룰 옵션을 사용하지 않으면 패턴을 거부하는 예외처리는 할 수 없습니다. Add를 클릭합니다.3. 고급 예외 룰 설정을 보려면 Change View를 클릭합니다.Firebox로 예외가 허용될 때 로그를 남기려면 Log를 체크합니다.4. OK를 클릭합니다.WebBlocker Action의 스케쥴링정책을 스케쥴로 수행할 수 있는데, 사용자는 drop-down리스트에서 이미 만들어진 것을사용하거나 사용자 스케쥴을 직접 만들 수 있습니다. 다른 웹사이트를 블라킹하기 위해 다른 시간대로 룰을 설정 할 수 있습니다. 예를 들면, 일반 업무시간에는 스포츠 웹사이트를블라킹하고 점심시간과 저녁, 주말에는 해제할 수 있습니다.정책에 스케줄을 설정하려면 편집하고자 하는 정책을 열고 Advanced탭을 클릭합니다.Drop-down리스트에서 기존 스케쥴을 선택하거나, New/Clone아이콘을 사용하여 새로운 스케쥴을 만듭니다. 스케쥴 생성에 대한 더욱 자세한 것은 4장(64 페이지)의 “Firebox 기본설정”을 참조하십시오.255

WatchGuard System Manager18장 Signature 기반 보안서비스의 활용해커는 인터넷으로 컴퓨터를 공격하기 위한 여러가지 방법을 사용합니다. 이들 공격을 사용하여 컴퓨터 환경에 해를 입히며, 중요한 정보를 훔쳐가고, 해킹의 자원으로 활용합니다. 이러한 공격을 침입이라고 말합니다.WatchGuard는 가능한 침입 공격을 파악하고 중지시킬 수 있는 Signature기반의 임입방지서비스와 Gateway AntiVirus for Email서비스를 제공합니다. 침입방지 서비스는 모든WatchGuard 프락시에서 수행됩니다. WatchGuard Gateway AntiVirus for E-mail은 SMTP프락시와 동작합니다.새로운 공격이 발견되면 바이러스나 공격의 특징을 파악하고 기록합니다. 이들 특징을signature라 합니다. Gateway AntiVirus for E-mail과 Signature기반 침입방지 서비스는 이들 signature를 바이러스와 공격을 찾아내는 데에 사용합니다.새로운 바이러스와 공격형태는 인터넷에 빈번하게 나타나므로, Gateway AntiVirus for E-mail과 Signature기반 침입방지 서비스가 최상의 보안을 유지하도록 하려면 항상 최신의sifnature를 업데이트 해야합니다. Firebox를 WatchGuard에서 자동으로 최신 signature를다운받도록 설정하거나, Firebox를 수동으로 업데이트 할 수도 있습니다. 이 업데이트는 신종 바이러스나 공격이 발견되었을 때 가능합니다.-------------------------- 주 의 ----------------------------------Gateway AntiVirus for E-mail과 Signature기반 침입방지 서비스를 이용하여 최상의 보안효과를 거두려면 항상 signature를 최신으로 유지해야만 합니다. 신종 바이러스와 공격이종종 보안을 위협하므로, WatchGuard는 모든 바이러스나 모든 침입을 중단시키거나, 이들바이러스나 침입으로 인한 피해를 방지할 수는 없습니다.-------------------------------------------------------------------소프트웨어 라이센스의 설치Gateway AntiVirus for E-mail과 Signature기반 침입방지 서비스를 설치하려면 다음과 같은 것을 준비해야 합니다.:256

WatchGuard System Manager▪ 각 기능에 대한 라이센스 키▪ Gateway AntiVirus for E-mail을 위한 Firebox 뒷단의 SMTP e-mail 서버1. Policy Manager에서 Setup > Licensed Features를 클릭합니다.Licensed Features 대화상자가 나타납니다.2. Add를 클릭합니다.3. Add/Import License Keys대화상자에서 라이센스키를 입력하거나 붙여넣습니다. 컴퓨터나 네트웍에서 찾아보려면 Browse를 클릭할 수 있습니다. OK를 클릭합니다.Licensed Features 대화상자에 라이센스 키가 나타납니다.-------------------------- 주 의 ----------------------------------Gateway AntiVirus for E-mail과 Signature기반 침입방지 서비스는 Firebox디바이스 전용입니다. 이 제품들은 Firebox X Edge디바이스에서는 작동하지 않습니다.Gateway AntiVirus for E-mail의 설정WatchGuard Gateway AntiVirus for E-mail은 네트웍의 컴퓨터로 침투하는 바이러스들을잡아줍니다. Gateway AntiVirus for E-mail은 WatchGuard SMTP프락시를 사용합니다.Gateway AntiVirus for E-mail을 활성화하면 WatchGuard SMTP 프락시는 e-mail 메시지를 보고 바이러스를 찾아서 제거합니다.-------------------------- 주 의 ----------------------------------Gateway AntiVirus for E-mail은 SMTP 프락시로 email 내부의 바이러스를 검사합니다.만일 회사에서 e-mail을 수신하는 데 SMTP를 사용하지 않는다면 Gateway AntiVirus forE-mail의 바이러스 방지기능을 사용할 수 없습니다.-------------------------------------------------------------------257

WatchGuard System ManagerGateway AntiVirus for E-mail은 e-mail의 첨부파일에 포함되어있는 바이러스들을 찾아냅니다. 이 바이러스들은 base 64, 7-bit, 8-bit 암호화방식으로 되었습니다. GatewayAntiVirus for E-mail은 암호화되지 않았거나 binhex-암호화된 메시지에서 바이러스를 검사하지 않습니다.; 이런 종류의 메시지는 Firebox가 검사합니다.SMTP 프락시 정책에 Gateway AntiVirus for E-mail을 사용하기 전에 먼저 기능을 설정해야 합니다.1. WatchGuard System Manager에서 Gateway AntiVirus for E-mail를 사용할Firebox를 선택합니다.2. Tools > Policy Manager를 선택합니다.또는, WatchGuard System Manager툴바에서 Policy Manager아이콘을 선택할 수도있습니다.3. Fireware에 대한 Policy Manager에서 Setup > Anti-Virus를 선택합니다. Anti-Virus 대화상자가 나타납니다.4. 바이러스 signature의 자동 업데이트를 활성화하기 위해서 Automatic update를 체크합니다.258

WatchGuard System Manager5. Engine Settings 탭에서 스캔할 수 있는 최대 파일 사이즈를 설정합니다.6. 압축된 첨부파일 내부를 스캔하려면 Uncompress archives 를 체크합니다. 스캔할압축수준을 선택하거나 입력합니다.스캔이 불가능한 압축 첨부파일은 password-protected ZIP과 같이 지원되지 않는압축형식을 사용하는 파일을 포함합니다.7. OK를 클릭합니다.8. File > Save > To Firebox를 선택합니다.9. OK를 클릭합니다.SMTP 프락시에 Gateway AntiVirus for E-mail 설정하기SMTP 프락시에서 Gateway AntiVirus for E-mail가 바이러스를 탐지하여 중단시키도록 할수 있습니다. Firebox는 SMTP프락시를 사용하여 e-mail 메시지를 검사합니다.이 장에서는 SMTP프락시를 추가하는 기초 절차와 함께 Gateway AntiVirus for E-mail를설정하는 방법을 다룹니다. SMTP프락시의 전체 설정에 대한 내용은 83 페이지의 “SMTPProxy 설정하기”에서 더욱 자세하게 볼 수 있습니다.AntiVirus에 SMTP 프락시 추가하기SMTP프락시를 추가하고 Gateway AntiVirus for E-mail을 설정하기 위해 다음과 같이 합니다.:1. Policy Manager를 시작합니다.2. Edir > Add Policy를 선택하고 Proxies폴더를 연 후, SMTP-Proxy를 선택합니다.3. Add를 클릭합니다.4. 정책명을 입력하고 OK를 클릭합니다.5. From과 To 정보를 설정 하여 프락시가 두 목적지 사이의 트래픽을 허용하도록 설259

WatchGuard System Manager정합니다.6. Properties탭을 클릭하여, Proxy부분에서 사용할 설정을 선택합니다.사용자가 선택할 수 있도록 디폴트설정도 포함되어 있습니다.7. 프락시 설정을 보기 위해 View/Edit아이콘을 클릭합니다.8. Categories 하단의 Content Types를 클릭합니다.9. 화면 하단의 Actions to Take 아래의 If Matches옆의 drop-down리스트에서 AVScan을 선택합니다.10. Action to Take 하단의 None Matched옆의 drop-down리스트에서 AV Scan을 선택합니다.11. Categories 하단의 Filenames를 클릭합니다.12. Filenames 카테고리에 대하여 9번과 10번을 반복합니다.13. Categories 하단의 Antivirus를 클릭합니다.Gateway Antivirus에는 세 가지 antivirus 응답유형이 있습니다.▪ 바이러스가 포함되어있는 첨부파일▪ 스캔하기에 너무 큰 첨부파일▪ 다른 이유 때문에 스캔할 수 없는 첨부파일--------------------- 주 의 --------------------------------Policy Manager에서 엔진 설정을 함으로써, 첨부파일의 최대 크기를 설정할 수 있습니다. Setup > Anti0virus 에 가서 Engine Settings탭을 클릭합니다.260

WatchGuard System Manager첨부파일에 대해 5가지 action을 취할 수 있습니다.Allow메일 내용이 바이러스를 포함하고 있더라도 수신자에게 도달하도록 허용합니다.Lock첨부파일을 잠글 수 있습니다. 이는 너무 커서 Gateway Antivirus가 스캔할 수 없는 파일일 경우에 유용합니다. 잠긴 파일은 사용자도 열 수 없으며 오직 administrator만 파일을 열 수 있습니다. Administrator는 파일을스캔하기 위한 다른 바이러스 방지 툴을 사용하거나 첨부파일의 내용을 결정 할 수 있습니다.Strip메일로부터 첨부파일을 떼네어 완전히 삭제하기 위해 strip합니다.Drop커넥션을 끊고 메시지를 멈추기 위해 첨부파일을 drop합니다.Block첨부파일을 drop하고 송신자의 IP주소를 Blocked Sites list에 등록하기 위해 메시지를 block합니다.------------------------------ 주 의 -----------------------------첨부파일에 대하여 허용설정을 하면 보안이 약해집니다.---------------------------------------------------------------------14. 프락시에 대해 antivirus설정을 한 후, OK를 클릭합니다.만일 이미 설정되어 있는 프락시의 정의를 변경했다면 다른 이름으로 새로운 설정을 저장해야 합니다. 프락시 정의에 대한 이름을 입력하고 OK를 클릭합니다.15. OK를 클릭하여 Add Policy 대화상자를 닫습니다.16. Firebox에 설정을 저장합니다. Fire > Save > To Firebox를 선택합니다.17. Save to Firebox대화상자에서 설정 패스워드를 입력합니다.18. 파일을 Firebox에 저장하기 위해 Continue를 클릭한 후 OK를 선택합니다.여러 개의 프락시에 Gateway AntiVirus for E-mail 사용하기회사의 다른 서버들간의 바이러스를 찾아서 제거하기 위해 여러 프락시를 사용할 수 있습니다. Gateway AntiVirus for E-mail을 사용하는 각 프락시는 그 프락시에 특별한 옵션으로Gateway AntiVirus for E-mail을 설정해야 합니다. 예를 들면, 다른 목적지나 다른 서버를위해 다른 enail 프락시 antivirus 설정을 사용할 수 있습니다. 어떤 사용자에게는 용량이너무 커서 스캔할 수 없는 첨부파일을 strip하고, 또 어떤 사용자에게는 같은 첨부파일이라도 허용할 수 있습니다.261

WatchGuard System ManagerGateway Antivirus for E-mail 상태와 업데이트 정보 가져오기Firebox System Manager에 Security Services탭에 Gateway Antivirus for E-mail에 대한상태를 확인하고 업데이트를 할 수 있습니다. 이 탭에 대한 설명은 42 페이지에 “SecurityServices”를 참조하십시오.서비스 상태 보기Gateway Antivirus for E-mail은 방지 시스템이 활성화되어 있는지를 보여줍니다. 라이센스의 기한 만료일시와, 바이러스 스캐너와 signature 버전에 대한 정보를 볼 수 있습니다.서비스 상태를 보려면 :1. WatchGuard System Manager에서 Firebox를 선택합니다. Tools > FireboxSystem Manager를 선택합니다. WatchGuard System Manager 툴바의 FireboxSystem Manager아이콘을 클릭할 수도 있습니다.2. Security Services 탭을 클릭합니다.설치된 보안서비스의 상태를 보여줍니다. 상태 정보를 보려면 반드시 이 기능에 대한 라이센스가 설치되어 있어야 합니다.수동으로 signature 업데이트하기Gateway Antivirus for E-mail은 signature 자동 업데이트 모드로 설정될 수도 있지만, 사용자가 직접 업데이트할 수도 있습니다. Signaturerk 최신의 것이 아니면 신종 바이러스와공격으로부터 보호될 수 없습니다.262

WatchGuard System Manager서비스를 수동으로 업데이트 하려면 다음과 같이 합니다.:1. Firebox System Manager를 시작합니다.2. Security Services 탭을 클릭합니다.Security Services 상태가 나타납니다.3. 업데이트하고자 하는 서비스에 대하여 Update를 클릭합니다.Firebox는 Gateway Antivirus for E-mail에 대한 최신의 signature를 다운로드합니다. Traffic Monitor에서 업데이트 정보를 확인할 수 있습니다. 만일 가능한 업데이트가 없다면 Update버튼은 자동으로 비활성화됩니다.Antivirus 프로그램의 업데이트WatchGuard는 주기적으로 antivirus 프로그램을 업데이트하므로, 업데이트가 가능할 때에LiveSecurity e-mail이 사용자에게 통보해 줍니다.새 버전의 프로그램이 나오면 사용자는 업데이트를 해야 하는데, signature가 최신의 것일수록 최신 antivirus 소프트웨어에서 잘 작동합니다. 사용자의 Gateway Antivirus 구동이활성화 되어있는 한 모든 업데이트를 할 수 있습니다.업데이트된 프로그램을 다운로드하려면, 아래의 주소에서 LiveSecurity 계정으로 로그인 합니다.www.watchguard.com/supporGateway Antivirus E-mail 헤더에 대하여Gateway Antivirus for E-mail은 유입되는 e-mail 메시지 각각에 헤더를 첨부합니다. E-mail 메시지는 MIME(multipart MIME)경계를 이용하여 구분되는, 여러 부분으로 구성될 수있습니다. 각 MIME 부분은개별 헤더의 집합을 가집니다. 만일 한 부분이 첨부파일을 포함하면 Gateway Antivirus for E-mail는 헤더의 집합에 X-AntiVirus 헤더를 추가하게 됩니다.이 헤더는 메시지 부분에 대한 antivirus 활성상태를 보여줍니다. X-Antivirus헤더는 메시지가 깨끗한지, 바이러스에 감염되었는지, antivirus 과정에 어떤 오류가 있는지를 보여줍니다.어떤 부분이 첨부파일을 포함하면 세더는 antivirus action을 포함하게 되며, 이 action은허용이나 거부가 됩니다.아래의 예에서, 첨부파일이 바이러스에 감염이 되어있고 Gateway Antivirus for E-mail가그 바이러스를 탐지했습니다. : X-AntiVirus : attachment_name is infected with virusvirus_nm//;/action=deny만일 첨부파일이 거부되면 메시지의 해당부분의 body가 대체됩니다. 새로 대체된 부분은X-AntiVirus 헤더와 같은 값을 가진 메시지입니다. 예를 들면 다음과 같습니다.:attachment attachment n_name is infected with virus virus_nm, denying attachment263

WatchGuard System ManagerGateway Antivirus for E-mail 활동상태 모니터링로깅툴을 사용하여 Gateway Antivirus for E-mail를 모니터링 할 수 있습니다.WatchGuard System Manager는 레포트와 실시간 로그메시지 모니터링 기능을 가지고 있습니다.Gateway Antivirus for E-mail이 로그 메시지를 기록하도록 설정하기Gateway Antivirus for E-mail은 세가지 antivirus 대응 종류 중 선택하여 로그메시지를 기록할 수 있습니다.기록하는 방법은 다음과 같습니다.:1. Policy Manager를 시작합니다. SMTP 프락시 아이콘을 더블 클릭합니다.2. Properties 탭을 클릭합니다.Properties 탭이 나타납니다.3. Proxy 부분에서 Show/Edit아이콘을 클릭합니다.Proxy 설정이 나타납니다.4. 로그메시지를 기록하려면 해당 antivirus 대응에 대한 Log를 체크합니다. 만일 해당 대응에 대해 로그메시지를 기록하지 안흐려면 Log체크박스에 체크하지 않습니다.5. 알람을 설정하려면 해당 antivirus 대응에 대한 Alarm을 체크합니다. Log와 마찬가264

WatchGuard System Manager지로 알람을 원하지 않으면 Alarm체크박스에 체크하지 않습니다.6. OK를 클릭합니다.만일 이미 설정되어있는 프락시 설정을 편집하려고 한다면 새로운 이름으로 프락시를 저장하도록 요청될 것입니다. 이때 이름을 입력하고 OK를 클릭하면 됩니다.7. OK를 클릭하여 SMTP Proxy Configuration 대화상자를 닫습니다.-------------------------- 주 의 -----------------------------------Proxy와 A/V 알람은 반드시 발생을 알리는 용도로 설정되어야 합니다. 알람 설정에 대한것은 113 페이지의 “SMTP에 대하여 proxy와 AV 알람 설정하기”를 참조하시기 바랍니다.--------------------------------------------------------------------Gateway Antivirus for E-mail 로그메시지 읽는 방법Gateway Antivirus for E-mail가 첨부파일을 검사하거나 바이러스를 파악하고 첨부파일을지울 경우, 그것들은 모두 로그파일에 저장됩니다.Simple Log 형식으로 저장된 Gateway Antivirus for E-mail의 한 얘입니다.메시지의미AV : attachment filename is clean(filename은 스캔대상 파일명입니다.)AV : attachment filename is infected withvirus virusname, denying attachment(filename은 검사대상 파일명이며,virusname은 탐지된 바이러스 명입니다.(AV : attachment not examined because ofsize, denying attachment(size는 스캔되지 않은 파일의 용량입니다.)Firebox는 바이러스를 갖고 있지 않은 첨부파일을 스캔하였습니다.Firebox는 첨부파일을 스캔하여 바이러스를 탐지하였습니다. 첨부파일은 삭제되었습니다.Gateway Antivirus for E-mail은 제한용량보다 큰 파일을 찾아서 삭제하였습니다. 이는 Gateway Antivirusfor E-mail이 최대 크기보다 큰 첨부파일을 strip하도록 설정되었을 경우에 발생합니다.Signature 기반 침입방지 서비스의 설정프락시 정책에서 Signature Based Intrusion Prevention Service 를 사용하기 전에 사용자는 기능을 설정해야만 하는데, 설정 방법은 다음과 같습니다.:1. WatchGuard System Manager에서 해당 서비스를 사용하는 Firebox를 선택합니다.265

WatchGuard System Manager2. Tools > Policy Manager를 선택합니다.또는 WatchGuard System Manager 툴바에서 Firebox System Manager아이콘을클릭할 수도 있습니다.3. Policy Manager에서 Setup > Intrusion Prevention > IPS Signature를 선택합니다.IPS Signature 대화상자가 나타납니다.4. Intrusion Prevention signature에 대한 자동 업데이트를 하려면 Automatic update를 체크합니다.5. 업데이트 주기를 분으로 입력합니다.6. 업데이트 서버에 대한 연결을 시도할 횟수를 입력합니다.7. OK를 클릭합니다.8. File > Save > To Firebox를 선택합니다.9. OK를 클릭합니다.프락시에 Intrusion Prevention Service 설정하기WatchGuard 프락시로의 공격을 탐지하고 막기 위해 침입방지 서비스를 사용하십시오.Firebox는 이 침입방지 서비스로 DNS, FTP, HTTP, SMTP, TCP패킷을 검사할 수 있습니다.프락시에 침입방지 서비스 추가하기프락시를 추가하고 Signature기반의 침입방지 서비스를 설정하는 방법은 다음과 같습니다. :1. Policy Manager를 시작합니다.2. Edot > Add Policies 를 선택하고 Proxies 폴더를 확장한 후 추가하고자 하는 프락시를 선택합니다.3. Add를 선택합니다.266

WatchGuard System Manager4. 정책명을 입력하고 OK를 클릭합니다.5. From과 To 목적지를 설정하여 프락시가 두 지점간의 트래픽을 허용할 수 있도록합니다.6. Properties 탭을 클릭합니다. Proxy drop-down리스트에서 사용할 프락시 설정을 선택합니다.몇몇 프락시들은 하나의 디폴드 설정을 가지고 있고, 몇몇은 들어오고 나가는 방향에 따라 다른 디폴트 설정을 가지고 있습니다. 다른 프락시들은 클라이언트와 서버에 대한 디폴트 설정이 있기도 합니다.7. Proxy 설정을 보려면 View/Edot을 클릭합니다. Categories 아랫부분의 IntrusionPrevention을 클릭합니다.8. 이 프락시에 대해 침입방지를 활성화하려면 Enable Intrusion Prevention을 체크합니다.9. 대부분의 프락시에서는, 세가지 침입 수준인 High, Medium, Low 에 대해 action을설정할 수 있습니다. 이 세가지 수준에 대한 것은 또한 각 수준마다 패킷에 대해행할 수 있는 동작이 네 가지 있습니다.Allow내용이 signature에 부합하지만 수신자에게 도달할 수 있도록 패킷을 허용합니다.Deny패킷의 송신을 중지하기 위해 패킷 거부를 실행하고 송신자에게 거부 메시지를 전달합니다.Drop267

WatchGuard System Manager송신자에게 아무런 알람없이 패킷을 조용히 중지시키기 위해 drop을 실행합니다.Block메시지를 블라킹하고 패킷을 drop하고 패킷의 시작주소를 임시 blockedsites list에 등록합니다.------------------------- 주 의 ------------------------------이들 세가지 보안 수준에 대한 패킷을 허용하기로 설정하면, 보안은 취약해집니다.--------------------------------------------------------------10. 프락시에 대한 침입방지 설정을 마치고 OK를 클릭합니다.이미 설정되어 있는 프락시 정의를 수정했다면 다른 이름으로 새로운 설정을 저장하라는 요청을 받게 됩니다. 프락시 정의 이름을 입력한 후 OK를 클릭합니다.11. OK를 클릭하여 Add Policy 대화상자를 닫습니다.12. File > Save > To Firebox를 클릭하여 Firebox에 설정을 저장합니다.13. Save to Firebox 대화상자에서 설정 패스워드를 입력합니다.14. Continue를 클릭하여 Firebox에 파일을 저장합니다. OK를 클릭합니다.침입 레벨침입레벨에는 세 가지 수준이 있습니다. ::High버퍼 오버플로우, 원격 명령 실행, 패스워드 추출, 백도어, securitybypass와 같은 원격에서의 접근이나 코드 실행을 허용하는 취약점입니다.Medium접근 승인, 공격자에게의 소스코드 노출, 합법적인 사용자에로의 접근거부와 같은 취약점입니다. 디렉토리 노출, file/source 추출, DoS, SQLinjection, 사이트 교차 스크립팅과 같은 것이 있습니다.Low공격자가 직접 접근할 수 없지만 공격을 하는데 사용되는 정보를 제공하는 취약점입니다. 패스나 정도 추출 시도가 한 예입니다. 취약점이 있는어떤 응용프로그램으로의 접근을 탐지하는 Signature(특별한 특징이 없는signature와 같은)가 여기에 속합니다.보통 High나 Medium에 속하는 signature들은 내용이 충분한 특징으로 규정지어지지 않으면 낮은 수준에 속할 수도 있습니다. 또한 오탐를 발생할 수 있는 광범위한 특징을 가지는것도 낮은 수준에 속하게 됩니다.고급 HTTP 프락시 기능 사용268

WatchGuard System ManagerSignature들은 웹기반 버전을 포함한 다음과 같은 IM어플리케이션에 대한 것들이 있습니다.▪ MSN Messenger▪ Yahoo Messenger▪ AOL Instant Messenger(AIM)▪ ICQsignature들은 다음과 같은 P2P어플리케이션에 대한 것들이 있습니다.:▪ Napster▪ GNUtella▪ Kazaa▪ Morpheus▪ BitTorrent▪ eDonkey2000(ed2k)▪ RIC▪ Phatbot아래의 옵션들은 IM과 P2P에만 해당됩니다.:Detect IM(Instant Messaging) with action체크하면 인스턴트 메시징 활동을 탐지하는 signature집합을 활성화합니다.Allow, Drop, Deny, Block중 하나를 사용할 수 있습니다.Detect P2P(Peer to Peer)with action체크하면 Peer to Peer 활동을 탐지하는 signature집합을 활성화합니다.Allow, Drop, Deny, Block중 하나를 사용할 수 있습니다.침입탐지 서비스의 상태와 업데이트 가져오기Firebox System Manager에 있는 Security Services탭에서 침입탐지 서비스에 대한 상태를확인하고 업데이트를 할 수 있습니다. 이 탭에 대한 설명은 42 페이지의 “SecurityServices”를 참조하십시오.서비스 상태 보기침입 방지 서비스의 상태는 방지모드가 작동하고 있는지를 보여줍니다. 또한 라이센스가 만료되는 때와 signature버전에 대한 정보를 볼 수 있습니다.서비스의 상태를 보기 위해 다음과 같이 합니다. :1. WatchGuard System Manager에서 Firebox를 선택합니다. Tools > Firebox SystemManager를 선택합니다. WatchGuard System Manager툴바에서 Firebox System270

WatchGuard System Manager2. Manager아이콘을 클릭할 수도 있습니다.3. Security Services 탭을 클릭합니다.설치된 보안서비스의 상태를 보여줍니다. 이 기능에 대한 라이센스가 설치되어 있지 않으면 상태정보를 볼 수 없습니다.수동으로 signature 업데이트 하기침입 방지 서비스는 자동으로 signature를 업데이트하도록 설정될 수도 있지만 사용자가 직접 업데이트 할 수도 있습니다. Signature가 최신의 것이 아니면 최신의 바이러스와 공격으로부터 안전하게 보호되지 않습니다.수동으로 서비스를 업데이트 하는 방법은 다음과 같습니다.:1. Firebox System Manager를 시작합니다.2. Security Services 탭을 클릭합니다.보안서비스 상태가 나타납니다.3. 업데이트 할 서비스에 대해 Update를 클릭합니다.Firebox는 가능한 최신 signature의 업데이트를 다운로드합니다. Traffic Monitor에서 업데이트에 대한 정보를 볼 수 있습니다. 만일 가능한 업데이트가 없으면Update버튼은 자동으로 비활성상태가 됩니다.19장 High Availability271

WatchGuard System ManagerHigh Availability는 하드웨어나 소프트웨어가 다운되었을 때 네트웍의 동작을 정상적으로유지시킬 수 있는 기능을 말합니다. 네트웍에 중복기능을 두는 경우 한 점이 다운되어도 동작이 정상적으로 이루어집니다.WatchGuard High Availability 기능은 failover설정으로 두개의 Firebox의 설치를 가능하게합니다. 이 설정은 하나의 Firebox를 1차 디바이스로 , 그리고 나머지 하나를 2차 디바이스로 사용하여 구성합니다. 두 디바이스 중 하나는 항상 active모드 이어야 하ㄷ고 나머지 하나는 standby모드여야 합니다. 이 두개의 Firebox를 “peers”라 하며, 디바이스의 상태를통신하기 위해 “heartbeat”메시지를 서로 송신합니다.Hark 작동할 때에는 하나의 Firebox만 active모드가 됩니다. Firebox가 failover 이벤트를감지하면 standby 시스템이 active가 됩니다. 이렇게 된 이후에는, active 시스템의 연결이끝기고 standby 시스템이 다시 active 상태가 될 때까지 Firebox가 active상태로 남아있게됩니다.High Ability(HA:고가용성)의 요건고가용성 기능의 사용 조건은 다음과 같습니다. :▪ 각 HA 쌍마다 하나의 HA 라이센스가 있어야 합니다. WatchGuard는 1차 HA디바이스로 최대 라이센스 기능과 용량을 가진 Firebox를 사용할 것을 권장합니다.▪ HA 설정을 구성하는 두개의 Firebox는 반드시 같은 모델, 같은 소프트웨어의 버전을 사용해야합니다. 소프트웨어의 버전이 다르면 더 오래된 버전의 Firebox를 업그레이드하여 서로 맞추어야 합니다. 오래된 소프트웨어를 업그레이드 하기 위해서는 해당 Firebox의 업그레이드 라이센스가 필요합니다.▪ 두 Firebox는 같은 방법으로 네트웍에 연결되어야 합니다. 예를 들어 각각의external 인터페이스는 같은 허브나 스위치에 연결되어야 합니다.▪ HA1포트나 HA1과 HA2포트에 고가용성 연결을 구성할 수 있습니다.WatchGuard는 그것들을 설정한 후에 HA포트들을 연결할 것을 권장합니다.(각포트는 HA를 위해 사용되지 않으면 trusted나 external 인터페이스로 사용될수 있습니다.)▪ Standby Firebox는 고가용성이 활성화된 인터페이스로서 같은 서브넷에 있는 IP주소를 사용해야 합니다.272

WatchGuard System Manager-------------------------- 주 의 --------------------------------고가용성은 일반 또는 HA 전용의 인터페이스를 필요로 합니다. HA 인터페이스는 네트웍트래픽이 아닌 host-to-host 트래픽만을 지원합니다.HA의 설치고가용성 업그레이드를 구매한 경우에는 인증서를 받게 됩니다. 기능을 사용하기 위해 인증서의 설명에 따라 LiveSecurity Service웹사이트에 들어가서 업그레이드를 활성화하면 고사용성 라이센스키를 발급받을 수 있습니다. 이 키를 고가용성의 쌍을 이루는 각 Firebox에반드기 추가해야 합니다. 해당 Firebox에는 같은 버전의 WatchGuard System Manager와펌웨어가 설치되어 있어야 하며, 1차(primary) Firebox와 2차 Firebox에 같은 업그레이드를 설치해야 합니다.---------------------------- 주 의 ------------------------------Firebox X 모델은 Firebox III모델과는 다른 방법으로 설치되는데, 이는 Firebox X 라이센스키가 각 유닛 시리얼 넘버와 관련이 있기 때문입니다.사용자는 설정파일에 1차와 2차 Firebox X에 대한 모든 라이센스키를 추가해야 합니다. 그럼으로써 쌍을 이루는 각각의 Firebox가 active Firebox가 되었을 경우에 가능한 모든 옵션을 사용할 수 있습니다. 그리고 업그레이드 시마다 Firebox X설정파일로 두개의 라이센스키를 입력하는데, 하나는 1차 Firebox용, 또 하나는 2차 디바이스용입니다. 더욱 자세한정보는 LiveSecurity Service 웹사이트에 가시면 찾아볼 수 있습니다.인증용도로 VPN 인증서를 사용하는 IPSec VPN터널을 사용하는 경우에, 2차 Firebox는 자신의 IPSec VPN 인증서를 얻어 와야 합니다. Failover 시에는 관리서버 인증서만 1차에서2차 디바이스로 복사됩니다.273

WatchGuard System ManagerHA의 설정1. Policy Manager에서 Network> High Availability를 선택합니다.High Availability 대화상자가 나타납니다.2. Enable High Availability에 체크합니다.3. 인터페이스에 고가용성을 활성화하기 위해 HA1을 체크합니다. 디폴트는 trusted인터페이스입니다.4. Primary Box IP입력란에 active Firebox의 고가용성 기능이 활성화된 인터페이스와 같은 서브넷에 있는 IP주소를 입력합니다. 이것은 standby의 영구적인 IP주소가됩니다.5. Standard Box IP 입력란에 active Firebox의 고가용성 기능이 활성화된 인터페이스와 같은 서브넷에 있는 IP주소를 입력합니다.6. HA2를 체크하여 HA2 인터페이스를 활성화합니다.HA1인터페이스는 선택사항입니다.7. HA1인터페이스를 활성화 하였으면 4번과 5번 단계를 반복합니다.8. 네트웍에서 이 HA 그룹을 구분하기 위한 GroupID를 화살표 버튼을 사용하여 선택합니다. 만일 같은 네트웍에서 하나 이상의 HA 디바이스 쌍을 사용하고 있다면 이숫자가 각 쌍마다 달라야 합니다.274

WatchGuard System Manager9. Firebox간의 HA트래픽을 모두 암호화하려면 All Traffic 라디오버튼을 선택합니다.이것은 필요하지 않은 경우가 대부분이며 많은 사용할 경우 많은 리소스를 차지하게 됩니다.10. Firebox간에 중요한 데이터를 보낼 때에만 암호화하려면 Sensitive Info Only 라디오 버튼을 선택합니다. 이것은 패스워드와 기타 다른 민감한 데이터들을 보호합니다.11. (9번에서 All Traffic 라디오 버튼을 선택한 경우) Shared Secret 란에 Firebox간에HA 트래픽을 암호화하기 위한 shared secret을 입력합니다. Confirm 란에 반복입력합니다.12. 이 설정을 active firebox에 저장합니다.13. Policy Manager를 닫습니다.14. 하나의 Firebox에 있는 HA1인터페이스를 다른 Firebox의 HA1인터페이스로 연결하기 위해 crossover케이블을 사용합니다. HA1가 활성화되어 있으면 HA1인터페이스도 연결합니다.15. 2차 유닛을 안전모드 상태로 만듭니다. Firebox를 서버의 전원을 끄고 Firebox의정면 패널에 있는 화살표 상향버튼을 누른 상태에서 다시 켜면 안전모드가 됩니다Up arrow button16. Firebox System Manager를 시작하고 1차 Firebox에 연결합니다.17. Tools > HA > Synchronize Configuration을 선택합니다. 입력 프롬프트에 나타나면 읽기/쓰기 패스워드를 입력합니다.High Availability 가 활성화되었다는 메시지가 나타납니다.HA의 수동제어고가용성은 보통 자동적으로 발생하는 동작이지만 몇몇 기능은 수동으로 조작할 수 있습니다.Forcing a failover의도적으로 failover를 만들 수 있는데, 발생 즉시 standby디바이스는 active상태가 됩니다.Firebox System Manager에서 Tools > HA > Force Failover를 선택합니다.설정의 동기화하나의 Firebox가 오프라인인 상태에서 다른 하나의 Firebox의 설정이 변경되면 설정을 동275

WatchGuard System Manager기화시켜야 합니다. Firebox System Manager에서 Tools > HA > SynchrinuzeConfiguration을 선택합니다.Peer를 재부팅하기HA 설정과 통신할 때 사용자는 active Firebox와만 통신하게됩니다. Peer를 제시작 하려면active Firebox에서 명령어를 실행해야 합니다. :Firebox System Manager에서 Tools > HA > Restart Peer를 선택합니다.----------------------------- 주 의 -----------------------------Firebox의 CPU사용률과 트래픽이 높은 상황에서 HA 동작을 조정하기 위해서는 FireboxSystem Manager를 사용하십시오. 이때, 올바르지 않은 “time-out” 메시지를 받을 수가 있는데, 작업이 완료되었기 때문에 time-out메시지가 올바르지 않을 가능성이 있습니다.HA 설정의 백업Firebox가 고가용성의 일부로 작동할 경우, active Firebox일 때에 Firebox의 플래쉬 이미지만을 백업받을 수 있습니다. 왜냐하면 failover가 발생할 때까지 2차 Firebox에 존재하지않는 시스템과 정책 정보, 인증서, 라이센스가 이 백업 이미지에 들어있기 때문입니다.Active Firebox의 백업이미지(.fbi)를 만드는 방법은 다음과 같습니다. :1. Policy Manager에서 File >Save > To Firebox를 선택합니다.2. 설정 패스워드를 입력한 후 OK를 클릭합니다3. Make backup of current fash omage before saving을 선택합니다. 기억하기 쉬운보안성이 높은 암호화키를 입력합니다.4. 작업을 계속하여 백업이 Backup Image저장소에 잘 저장되었는지 확인합니다.HA설정에서의 소프트웨어 업그레이드Active Firebox의 소프트웨어를 업그레이드 한다고 해서 standby Firebox가 자동적으로 업그레이드 되지 않습니다. 각각의 Firebox를 사용자가 개별적으로 업그레이드 해야하는데,이때 active디바이스를 먼저 업그레이드합니다. 재시작 할 때 standby는 active Firebox가됩니다. 그런 후에 active된 Firebox를 업그레이드 합니다. 현재 standby 모드에 있는Firebox는 업그레이드 할 수 없습니다.업그레이드하는 방법에 대하여는 Migration Guide를 참조하면 됩니다.276

Signature 기반의 보안서비스에 HA사용하기WatchGuard System ManagerGateway AntiVirus for E-mail과 Intrusion Prevention Service(IPS)의 signature데이터베이스는 active와 standby HA 디바이스 간에 자동으로 동기화되지 않습니다.만일 antivirus와 IPS기능이 활성화되고 standby Firebox가 active가 되는 상황이 발생했다면 이 디바이스는 최신이 아닌 AV와 IPS signature 데이터베이스를 가지고 있을 수 있습니다.(오랫동안 standby 모드였던 디바이스라면 특히 그렇습니다.) 이때 데이터베이스가 업데이트 되는 동안 신종 바이러스나 IPS공격이 Firebox를 뚫고 침입할 수 있게됩니다.이러한 문제를 최소화하려면 Gateway AntiVirus for E-mail과 Intrusion PreventionService 에 대한 signature 자동 업데이트를 활성화하고 그 주기를 짧게 설정해야 합니다.가능하다면, failover가 발생한 직후 새로운 active Firebox에는 수동으로 signature를 업데이트하는 것이 좋습니다.277

WatchGuard System Manager첨부 A. 정책의 종류이 장에서는 Fireware 일체형 소프트웨어에 포함되어 있는 정책, 관련 프로토콜, 관련 포트의 리스트를 소개합니다. 또한 몇몇 정책의 보안에 영향을 주는 특별한 요소들도 설명하고자 합니다.이 장에서 정책은 두가지 큰 그룹으로 나뉘는데, 하나는 패킷 필터링으로 조절되는 것이며,또 다른 하나는 프락시로 조절되는 정책입니다.패킷 필터 정책패킷 필터 정책은 각 패킷 헤더의 원천지와 목적지를 검사합니다. 패킷들은 들어오고 나가는 실제 주소를 나타내는 헤더에 따라 허용되기도 하고 거부되기도 합니다.▪ Any두개의 특정한 trusted IP나 네트웍 주소간에 모든 트래픽을 허용할 때에만 Any 정책을사용합니다. 특정 호스트 간에 자유롭게 드나드는 모든 트래픽을 허용하기 때문에 Any정책을 설정하는 것은 Firebox에 “구멍”을 내는 것과 같습니다. WatchGuard는 VPN을 통과하는 트래픽에만 Any 정책을 사용할 것을 권장합니다. Any정책은 다른 것들과는 사뭇 다릅니다. 예를 들어 사용자가 특정 호스트에 FTP 를 허용할 경우, 다른 모든 FTP세션은 그 정책에 의해 거부될 것입니다. (다른 FTP정책을 설정하지 않는 한) Any 정책은 다른 정책처럼 거부하지 않습니다.또한 특정 IP주소나 네트웍 주소, 호스트 alias, 그룹 명, 사용자 명이 From이나 To리스트에 사용되지 않았다면 Any정책을 사용할 수 없습니다. Any 정책은 작동하지 않습니다.특징◦ 프로토콜 : Any◦ 포트 번호 : 없음▪ AOLAmerica Online proprietary 프로토콜은 TCP/IP네트웍으로 AOL서비스에 접속할 수 있도록 하고 있습니다. 따라서 AOL클라이언트는 모뎀이 아닌 TCP/Ip를 사용하도록 설정해야합니다.278

WatchGuard System Manager특징◦ 프로토콜 : TCP◦ 포트 번호 : 5190Archiearchie는 FTP서버에서 파일을 찾는데 사용되는 탐색 프로토콜입니다. Archie서버가 많지않기 때문에 outgoing archi정책을 사용하는 것은 안전합니다. WatchGuard는 archie를 사용할 수 있는 웹 인터페이스를 사용하도록 권장합니다. Archue서버의 최신 리스트는 다음주소의 anonymous FTP에서 찾아볼 수 있습니다. :ftp://microlib.cc.utexas.edu/microlib/mac/info/archie-servers.txt외부 호스트는 스푸핑당할 수 있습니다. Firebox는 이들 패킷이 올바른 원천지에서 오는 것인지를 확인할 수 없습니다. 들어오는 archie 연결이 거부되었을 경우 원천지 IP주소를blocked sites list에 추가하도록 Firebox을 설정할 수 있습니다. archie에 대한 모든 로그옵션을 사용할 수 있습니다.특징◦ 프로토콜 : UDP◦ 포트 번호 : 1525authauthentication Server Protocol(AUTH)는 새로운 이름인 Identification Protocol(IDENT)으로 이제 사용되고 있습니다. 이 정책에 대한 것은 IDENT항목을 참조하십시오.▪ Citrix ICACitrix ICA는 winframe 제품을 포함한 소프트웨어에서 Cirtix가 사용하는 프로토콜입니다.Winfram은 여러종류의 클라이언트가 Windows에 접근할 수 있도록 합니다. Citrix는 ICA프로토콜을 사용하기 위해 TCP 1494포트를 사용합니다. Citrix MPS 3.0은 디폴트로Session Reliability를 사용합니다. 이것은 ICA프로토콜을 TCP2598을 쓰게끔 바꾸어줍니다.만일 Citrix MPS를 쓰는 사용자라면 TCP 2598번 포트에 대한 정책을 추가해야 합니다.Citrix ICA정책을 추가하는 것은, 인증없이 방화벽으로 트래픽을 허용하기 때문에 네트웍보안에 위험요소가 될 수 있습니다. 게다가 Winfram 서버는 서비스거부 공격을 받을 가능성도 있습니다. 따라서 WatchGuard는 ICA 연결에 VPN옵션을 사용하여 보안에 신경쓰도록 권장하고 있습니다. WinFrame에 대하여 모든 로그 옵션을 사용할 수 있습니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 1494, 1604, 2598(Citrix MPS3.0)Citrix ICA 정책 추가에 대한 더욱 자세한 것은 Knowledge Base의 Advanced FAQ를 참조하기바랍니다. www.watchguard.com/support에 가서 LiveSecurity Service에 로그인하면됩니다.279

WatchGuard System Manager▪ Clarent-gatewayClarentCorporation은 mainstream carrier와 service provider들에게 IP telephone 기술을제공합니다. Clarent 제품은 인터넷 상으로 Clarent 게이트웨이간에 voice-over-ip를 허용합니다. 이 정책은 Clarent v.30이후 버전을 지원합니다.Clarent 제품은 두가지 포트의 집합을 사용하는데, 하나는 gateway-to-gateway 통신에 필요한 UDP port 4040, 4045, 5010집합이며, 또 다른 하나는 gateway-to-command center통신에 필요한 UDP port 5001, 5002집합 입니다. gateway-to-command center통신에는Clarent-command정책을 사용할 수 있습니다.특정 외부 게이트웨이에서 사용자의 게이트웨이나 command center로 들어오는 연결에 대해서만 허용합니다. Clarent는 또한 PCAnyware for management의 사용도 지원하는데, 자세한 것은 PCAnywhare 정책을 참조하심시오.Clarent-gateway정책은 네트웍 주소에만 의존하여 방화벽 내부로 트래픽을 허용하기 때문에 네트웍의 보안 약화를 가져올 수 있습니다. 이것은 신뢰성있는 인증방법이 아닐 뿐더러,이러한 설정에서 사용자의 Clarent서버가 서비스 거부 공격에 노출 될 수도 있다는 점에서위험합니다. WatchGuard는 가능하면 clarent-gateway 연결에 보안성을 더하기 위해 VPN옵션을 사용할 것을 권장합니다.특징◦ 프로토콜 : UDP◦ 포트 번호 : 4040, 4045, 5010▪ Clarent-commandClarentCorporation은 mainstream carrier와 service provider들에게 IP telephone 기술을제공합니다. Clarent 제품은 인터넷 상으로 Clarent 게이트웨이간에 voice-over-ip를 허용합니다. 이 정책은 Clarent v.30이후 버전을 지원합니다.Clarent 제품은 두가지 포트의 집합을 사용하는데, 하나는 gateway-to-gateway 통신에 필요한 UDP port 4040, 4045, 5010집합이며, 또 다른 하나는 gateway-to-command center통신에 필요한 UDP port 5001, 5002집합 입니다. gateway-to-command center통신에는Clarent-command정책을 사용할 수 있습니다.특정 외부 게이트웨이에서 사용자의 게이트웨이나 command center로 들어오는 연결에 대해서만 허용합니다. Clarent는 또한 PCAnyware for management의 사용도 지원하는데, 자세한 것은 PCAnywhare 정책을 참조하심시오.Clarent-gateway정책은 네트웍 주소에만 의존하여 방화벽 내부로 트래픽을 허용하기 때문에 네트웍의 보안 약화를 가져올 수 있습니다. 이것은 신뢰성있는 인증방법이 아닐 뿐더러,이러한 설정에서 사용자의 Clarent서버가 서비스 거부 공격에 노출 될 수도 있다는 점에서위험합니다. WatchGuard는 가능하면 clarent-gateway 연결에 보안성을 더하기 위해 VPN옵션을 사용할 것을 권장합니다.280

WatchGuard System Manager특징◦ 프로토콜 : UDP◦ 포트 번호 : 5001, 5002▪ CU-SeeMeCU-SeeMe는 인터넷으로 화상회의를 하는데 사용하는 소프트웨어입니다. Firebox를 통하여 CU-SeeMe를 작동힐 수 있도록 하려면 먼저 사용자가 outgoing 동적NAT를 사용하는네트웍 상에 있지 않아야 합니다. 들어오고 나가는 접근을 위해 CU-SeeMe를 설정하십시오.CU-SeeMe 프로토콜은 들어오고 나가는 트래픽에 대한 정책 설정을 필요로 합니다. CU-SeeMe정책은 2.X와 3.X버전의 사용을 허용하게끔 정확한 포트를 사용합니다. CU-SeeMe2.X버전은 UDP 포트 7648에서 동작하며, 3.X버전은 UDP 포트 7648, UDP 포트24032(H.323 컨퍼런스용), TCP 포트 7648(비디오 컨퍼런스 디렉토리)에서 동작합니다.특징◦ 프로토콜 : TCP와 UDP◦ 포트 번호 : UDP 7648, 24032, TCP 7648▪ DHCP-Server/ClientDynamic Host Configuration Protocol(DHCP)은 네트웍 디바이스에 동적 IP주소를 할당하는 방법을 제공합니다.특징◦ 정책명 : DHCP-Server 또는 DHCP-Client◦ 프로토콜 : TCP◦ DHCP-Server 포트 번호 : 68◦ DHCP-Client 포트 번호 : 67▪ DNSDomain Name Server(DNS)는 호스트이름을 IP주소에 매치시켜 줍니다. Firebox뒷단에 공인 DNS서버가 있다면 설정에 DNS정책만 추가하면 됩니다. 왜냐하면 디폴트로 밖으로 나가는 UDP 트래픽이 활성화되어있기 때문입니다. DNS정책은 특정한 경우에 발생하는 TCPzone transfer와 같이 UDP DNS트래픽을 허용합니다. DNS에는 모든 로그 옵션을 사용할수 있습니다.특징◦ 프로토콜: Multi : TCP(server-server zone transfers)와 UDP(client-serverlookups)◦ 포트 번호 : UDP 53, TCP 53◦ RFC : 883281

WatchGuard System Manager▪ EntrustEntrust Authority Public Key 분산 프로토콜은 신분확인을 위해 trusted 써드파티 조직으로 public 키를 전송합니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : TCP 709, 710▪ FingerFinter는 주어진 호스트상의 사용자에 대한 정보를 얻어오기 위해 사용되는 프로토콜입니다.패커가 이 정보를 사용자에게 피해를 주기 위해 사용하기 쉽습니다. WatchGuard는trusted 인터페이스에 finger 서버를 두지 말 것을 권장합니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : TCP 79일반적인 예설명선택적이거나 덜 신뢰할만한 포트에서 특별히 동작 중인 finger서버가 있습니다.Policy Manager에서의 정책Finger policy-incoming Any에서 finger 서버로의, 선택적이거나 덜 신뢰할 만한 포트로의 트래픽을 허용합니다.FTPFile Transfer Protocol(FTP)는 인터넷으로 파일을 이동시키기 위해 사용하는 프로토콜입니다. FTP를 사용하면 패킷 필터는 any 트래픽에 대해 FTP프락시 룰셋을 적용하지 않을 것입니다. 프락시 FTP프락시는 FRP프락시 정책을 사용합니다. WatchGuard는 들어오는 FTP는 Firebox 뒨단에 위치한 공인 FTP서버로 향할 경우만 허용합니다. 외부 호스트는 스푸핑 될 수 있습니다. WatchGuard는 이들 패킷이 실제로 정확한 곳에서 보내어진 것인지 확인할 수 없습니다. 들어오는 FTP연결이 거부당한 경우에 원천지 IP주소를 Blocked SitesList에 추가하도록 Firebox을 설정합니다. FTP에 대하여 모든 로그 옵션을 사용할 수 있습니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : TCP 21Gophergopher 는 데이터 미네소타 대학에서 개발한 추출 프로토콜입니다. Gopher는 자주 사용되282

WatchGuard System Manager지 않으며, 대부분의 사용자는 HTMP을 사용합니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 70, 그러나 다른 포트를 사용하도록 설정 가능GREGeneric Routing Encapsultation Protocol(GRE)는 클라이언트간이나 클라이언트와 서버간에 가상사설망을 생성하기 위해 Point-to-Point Tunneling Protocol(PPTP)와 함께 사용되는 프로토콜입니다.특징◦ 프로토콜 : GRE◦ 포트 번호 : 47HTTPMulti-policy HTTP 패킷 필터 정책은 80반 포트로 들어오는 HTTP에 대한 설정 옵션들을디폴트로 모든 나가는 TCP연결을 허용하는 룰과 조합한 것 입니다. HTTP를 사용하여 패킷 필터는 any 트래픽에 HTTP 프락시 룰셋을 적용하지 않게 됩니다. WatchGuard는 들어오는 HTTP가 Firebox뒷단에 위치한 공인 HTTP서버로 향할 때에만 허용하도록 권장합니다.외부 호스트는 스푸핑 될 수 있습니다. WatchGuard는 이들 패킷이 실제로 정확한 곳에서보내어진 것인지 확인할 수 없습니다. 들어오는 HTTP 연결이 거부당한 경우에 원천지 IP주소를 Blocked Sites List에 추가하도록 Firebox을 설정합니다. HTTP 에 대하여 모든 로그 옵션을 사용할 수 있습니다.특징◦ 프로토콜 : Multi( TCP 와 HTTP)◦ 포트 번호 : 80HTTPSHTTPS 는 HTTP프로토콜의 안전하고 암호화된 버전입니다.클라이언트와 웹서버는 TCP포트 443번을 사용하여 암호화된 세션을 맺습니다. 이 세션은 암호화되어있기 때문에 프락시는 프락시를 사용한 패킷 내용을 검사할 수 없습니다. 이 정책은 연결을 검사하기 위해 패킷필터를 사용합니다.------------------------ 주 의 --------------------------------HTTPS 정책은 HTTPS서버로 호스팅하는 경우와, 설정에 Outgoing, Filtered-HTTP,Proxy, Proxied HTTP 정책이 포함된 경우에만 필요합니다.특징◦ 프로토콜 : TCP283

WatchGuard System Manager◦ 포트 번호 : 443HBCIHome Banking Computer Interface(HCBI) 는 은행고객과 뱅킹 제품 생산자을 위해 만들어진 표준입니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : TCP 3000IDENTIdentification Protocoal(IDENT)은 TCP커넥션을 사용자 이름에 매치할 때 사용되는 프로토콜로서, 큰 공인 SMTP와 FTP서버에 가장 많이 사용됩니다. 로그용으로 사용되기도 하지만, 공격자가 서버를 변조하여 잘못된 정보를 전달할 수도 있기 때문에, 믿을만한 정보는아닙니다. 들어오는 IDN₩ENT는 내부 사용자 정보를 감추기 위해 “거짓” 정보를 사용합니다.들어오는 정적 NAT로 SMTP를 사용할 때에는 반드시 IDENT를 Policy Manager에 추가해주어야 합니다. IDENT가 Firebox로 들어오는 트래픽을 허용하도록 설정하십시오. 그럼으로서 나가는 메일 메시지가 Firebox뒷단에서 인터넷 상의 메일 서버의 identity를 구변하는IDENT를 사용하는 SMTP서버로 흐를 수 있게 됩니다. 또한 이들 서버가 송신자에게Firebox를 통해 메시지를 되돌려보낼 수 있도록 해줍니다.만일 incoming 동적 NAT를 사용하지 않는 상태이면, e-mail 서버의 IP주소에 들어오는IDENT를 허용하십시오.WatchGuard는 들어오고 나가는 IDENT 정책을 모두 허용하도록 권장하지만, 해커가 사용자 이름을 수집하기 위해 IDENT를 사용할 수 있다는 것을 또한 알고 있어야 합니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 113◦ RFC : 1413IGMPInternet Group Management Protocol(IGMP)는 인터넷의 IP 멀티캐스팅 표준입니다. 이것은 하나의 네트웍상에 있는 멀티캐스트 그룹에 있는 호스트들을 조정하는데 사용합니다.특징◦ 프로토콜 : IGMP◦ 포트 번호 : 1112284

WatchGuard System ManagerIKEInternet Key Exchange Protocol은 키 관리를 위한 표준 프로토콜입니다. IKE는 ISAKMP라고 명칭되는 프레임웍 프로토콜에 기반하여 생성되었기 때문에, ISAKMP/Oakley 라고도불리웁니다.특징◦ 프로토콜 : IKE◦ 포트 번호 : UDP 450과 UDP 500IMAPInternet Mail Access Protocol(IMAP)은 원격 e-mail 서버의 e-mail이나 게시판 메시지를로컬에 있는 것처럼 가져오는 방법입니다. 집이나, 직장, 랩탑과 같은 여러 장소로부터 메시지를 옮기지 않고도 IMAP서버에 저장된 e-mail에 접근할 수 있습니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 143IPSecInternet Protocol Security(IPSec)은 네트웍 통신의 네트웍 또는 패킷 레이어에 있는 보안프로토콜 집합 프레임웍입니다. 이것은 암호화된 VPN 터널링 프로토콜입니다.특징◦ 프로토콜 : ESP 와 AH 프로토콜을 사용합니다.◦ 포트 번호 : UDP 500과 UDP450IRCInternet Relay Chat(IRC)은 인터넷 채팅 시스템입니다. IRC를 사용하려면 IRC 클라이언트가 설치되고 인터넷 접근이 가능해야 합니다. IRC클라이언트는 IRC서버로 메시지를 송수신하는데 필요한 소프트웨어입니다. IRC 서버는 채팅 세션에 참가한 모든 사용자에게 모든 메시지가 잘 전달되었는지를 확인합니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 6667Intel Video PhoneIntel Video Phone 은 H.323.을 기반으로 한 실시간 멀티미디어 어플리케이션입니다.H.323은 TCP/IP네트웍상의 온라인 회의를 위한 국제 표준입니다. 이 정책은 위험한content를 필터링 하지 않으며, QoS나 rsvp 프로토콜, NAT를 지원하지 않습니다.285

WatchGuard System Manager특징◦ 프로토콜 : TCP◦ 포트 번호 : 1720, 522Keberos v4, Kerberos v 5Kerberos 네트웍 인증 프로토콜은 Massachusetts Institute of Technology*MIT(가 개발한인증시스템으로서, 두 컴퓨터가 보안인증을 사용하여 개방 네트웍상에서 사적 정보를 교환할 수 있게 해줍니다.(암호화는 되지 않습니다.)특징◦ 프로토콜 : TCP 와 UDP◦ Kerberos v4 포트 번호 : UDP 750◦ Kerberos v5 포트 번호 : TCP 88과 UDP 88▪ L2TPLayer 2 Tunneling Protocol(L2TP)는 ISP가 가상 사설망을 운영할 수 있게 하는 PPP프로토콜 확장형입니다.특징◦ 프로토콜 : UDP◦ 포트 번호 : 1701LDAPLightweight Directory Access Protocol(LDAP)은 온라인 디렉토리 서비스를 사용하기 위한 개방 표준 프로토콜입니다. 이것은 TCP와 같은 인터넷 트랜스포트 프로토콜로 동작됩니다. Stand-alone 디렉토리 서버나 X.500 디렉토리에 접근하기 위해 LDAP을 사용할 수 있습니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 389LDAP-SSLLightweight Directory Access Protocol over TLS/SSL(LDAP-SSL)은 Active Directory접근시에 보안성을 더하기 위해 Windows 2000에 사용됩니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 389, 636286

WatchGuard System ManagerLotus Noteslotus Notes는 회의, 데이터베이스, e-mail, 문서 작성 및 사용을 위한 클라이언트/서버 플랫폼입니다. 이 정책을 추가하면 전용 Lotus Notes 프로토콜을 사용할 수 있습니다. 이 프로토콜은 인캡슐레이션과 터널링을 사용하므로 내부 데이터에 접근할 수 있게 해줍니다.WatchGuard는 trusted 네트웍 외부의 주소에 대해서는 Lotus Notes 정책을 추가하지 말것을 권장합니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 1352MSSQL-MonitorMicrosoft SQL Monitor는 Microsoft SQL 데이터베이스를 모니터할 때 사용됩니다.특징◦ 프로토콜 : TCP 와 UDP◦ 포트 번호 : TCP 1434, UDP 1434MSSQL-ServerMicrosoft SQL Server는 Microsoft SQL 데이터베이스에 원격 커넥션을 하는데 사용합니다.특징◦ 프로토콜 : TCP 와 UDP◦ 포트 번호 : TCP 1433, UDP 1433MS Win MediaMicrosoft Windows Media Server는 유니캐스트 스트림을 공급하기 위해 Microsoft가 개발한 전용 프로토콜입니다. 이것을 사용하면 사용자가 유니캐스트 스트림을 뒤로 가게 하거나, 중지시키거나 할 수 있도록 양방향 커넥션을 만들 수 있습니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 1755, 80NetMeetingNetMeeting은 microsoft Corporation이 인터넷상으로 화상회의를 할 수 있도록 개발한 제품입니다. 이것은 Microsoft의 인터넷 익스플로러 웹브라우저에 포함되어 있습니다. 이 정책은 H.323프로토콜에 기반하며 위험한 내용을 필터하지 않습니다. Qos나 rsvp프로토콜,NAT를 지원하지 않습니다.특징◦ 프로토콜 : TCP287

WatchGuard System Manager◦ 포트 번호 : 1720, 389NFSNetwork File System(NFS)프로토콜은 Sun Microsystems가 다른 종류의 컴퓨터에 있는공유파일에 네트웍 사용자들이 접근할 수 있도록 개발한 클라이언트 서버 소프트웨어입니다.특징◦ 프로토콜 : TCP 와 UDP◦ 포트 번호 : TCP 2049, UDP 2049NNTPNetwork News Transfer Protocol(NNTP)는 Usenet 뉴스를 전송하는데 사용됩니다.NNTP를 사용하는 가장 좋은 방법은 인터넷 뉴스 서버로 내부 호스트를 설정하고 외부 호스트를 구독자로 설정하는 것입니다. 대부분의 상황에서, NNTP는 두방행으로 활성화되어야합니다. 만일 공인 뉴스배포를 하고 있다면, 모든 외부 호스트로부터 맺어지는 NNTP 연결을 허용해야만 합니다. WatchGuard는 이들 패킷이 정확한 곳에서 보내어진 것인지 확인할수 없습니다.들어오는 NNTP 연결이 거부될 때 원천지 IP주소를 Blocked Sites List에 추가하도록Firebox를 설정하십시오. NNTP에 대하여 모든 로그 옵션을 사용할 수 있습니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 119◦ RFC : 977일반 예예 1>설명선택적, 또는 덜 신뢰되는 포트에 공공 NNTP서버가 있습니다.Policy Manager에서의 정책NNTP 정책-incoming은 Any에서 해당 서버로의 트래픽을 허용합니다.예 2>설명신뢰되는 포트에 공공 NNTP서버가 있습니다.Policy Manager에서의 정책예 1에서와 같은 설정입니다.NTPNetwork Time Protocol은 로컬 타임을 조절하기 위한 TCP/IP상의 프로토콜입니다. 이것288

WatchGuard System Manager은 인터넷 상의 다른 시계 시스템을 사용하여 컴퓨터의 시계를 동기화합니다.특징◦ 프로토콜 : TCP , UDP◦ 포트 번호 : TCP 123, UDP 123OSPFOpen Shortest Path First(OSPF)는 연결상태 알고리즘에 기반한 IP네트웍을 위해 개발된라우팅 프로토콜입니다. OSPF는 라우팅 테이블을 작은 용량으로, 자주 업데이트 하고 네트웍을 더욱 안정적으로 만들어준다는 점 때문에 인터넷에서 RIP의 사용을 재빨리 대체하고있습니다.특징◦ 프로토콜 : OSPF◦ 포트 번호 : 1583▪ pcAnywherepcAnywhere는 Windows 컴퓨터로 원격 접근을 하는데 사용되는 소프트웨어입니다. 이 프로토콜을 활성화하려면 PCAnywhere정책을 추가해야 하는데, 그러려면 내부 PCAnywhere서버로 접근해야하는 인터넷의 호스트들로부터의 접근을 허용해야 합니다.PcAnywhere는 트래픽이 인증없이 방화벽을 통과하도록 허용하기 때문에, 보안성이 충분하지 않으며 따라서 네트웍에 위험을 가져다 줄 수 있습니다. 또한 PcAnywhere서버는 서비스거부 공격을 받을 수도 있습니다. WatchGuard는 보안성을 더하기 위해 VPN기능을 사용할 것을 권장합니다.특징◦ 프로토콜 : UDP와 TCP◦ 포트 번호- UDP 22- UDP 5632- TCP 5631- TCP 65301▪ ping네트웍상에서 호스트를 찾을 수 있고, 운영중인지를 확인하기 위해 ping을 사용할 수 있습니다. Dos 기반이나 Windows기반의 traceroute 패킷을 찾기 위해서는 ping정책을 설정합니다.밖으로 나가는 ping을 활성화하는 것은 문제해결의 좋은 도구가 됩니다. WatchGuard는trusted 네트웍으로 들어오는 ping 연결은 활성화하지 않도록 권고합니다.289

WatchGuard System Manager특징◦ 프로토콜 : ICMP◦ 포트 번호 : 해당사항 없음POP2 와 POP3POP2와 POP3(Post Office Protocol)은 POP서버로부터 사용자의 e-mail을 가져오는 데 사용되는 e-mail 전송 프로토콜입니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 109 (POP2), 110(POP3)일반 예예 1설명선택적, 또는 덜 신뢰되는 인터페이스에 있는 POP서버는 보통 SMTP 서버와 같은 컴퓨터에서 동작합니다.Policy Manager의 정책연결이 Firebox에까지 미치지 못하므로 이 예에서는 정책이 필요하지 않습니다.예 2설명선택적, 또는 덜 신뢰되는 인터페이스에 있는 POP서버는 보통 SMTP 서버와 같은 컴퓨터에서 동작합니다.Policy Manager의 정책프락시 정책이나 모든 outgoing TCP을 허락하는 Outgoing 정책, 또는 서버로 나가는 연결을 허용하는 POP정책PPTPPPTP는 암호화 VPN터널 프로토콜입니다. 이것은 VPN상의 두 peer간을 연결하기 위해하나의 포트와(VPN연결의 협상와 인증용) 하나의 IP프로토콜을(데이터 전송용) 사용합니다.인터넷 호스트에서 내부 네트웍 PPTP서버로 들어오는 접속을 허용하기 위해서는 PPTP정책을 설정하십시오. PPTP는 들어오는 NAT가 IP 프로토콜을 포워딩하지 못하기 때문에 호스트의 정적NAT로 접근할 수 없습니다. 이 정책은 PPTP서버로의 터널을 활성화 하고Firebox이 터널 내의 패킷을 검사할 수 없기 때문에 이 정책의 사용은 제어되어야 합니다.가장 최신의 PPTP버전을 사용하고 있는지를 반드시 확인하십시오.특징◦ 프로토콜 : TCP, IP◦ 포트 번호 : 1723(TCP), 47(IP)290

WatchGuard System ManagerRADIUS 와 RADIUS-RFCRemote Authentication Dial-In User Service(RADIUS)는 원격 사용자가 회사 네트웍으로의 보안접속을 하도록 해줍니다. RADIUS는 사용자, 원격접속 서버, 모든서버에 가능한 중앙 사용자 데이터베이스에 있는 VPN게이트웨이에 대한 인증정보를 저장하는 클라이언트-서버 시스템입니다. 네트웍에 대한 인증은 한곳에서 발생하며, RADIUS는 RADIUS클라이언트에 대한 인증 요청을 파악하는 인증키를 사용합니다.RFC 2865에서, RADIUS가 사용하는 서버포트가 1645에서 1812로 변경되었습니다. 사용자의 구현내용을 만족시키는 정책을 선택하였는지 확인하십시오.특징◦ 프로토콜 : UDP◦ RADIUS 정책 포트 번호 : UDP 1645◦ RADIUS-RFC 정책 포트 번호 : UDP 1812▪ RADIUS-Accounting 과 RADIUS-ACCT-RFCRemote Authentication Dial-In User Service(RADIUS) Accounting 정책은 RADIUS 인증을 사용하는 네트웍 관리자에게 어카운트 정보를 제공합니다. RADIUS는 사용자, 원격접속서버, 모든서버에 가능한 중앙 사용자 데이터베이스에 있는 VPN게이트웨이에 대한 인증정보를 저장하는 클라이언트-서버 시스템이며, 인증세션이 시작하고 멈출 때 RADIUS 서버에게 통보됩니다. 이 정보는 어카운팅에 도움이 됩니다.RFC 2866에서 RADIUS의 사용 포트가 1646에서 1813으로 변경되었습니다. 사용자의 구현내용을 만족시키는 정책을 선택하였는지 확인하십시오.특징◦ 프로토콜 : UDP◦ RADIUS 정책 포트 번호 : UDP 1646◦ RADIUS-RFC 정책 포트 번호 : UDP 1813RIPRIP는 IP이전에 도착하는 라우팅 프로토콜입니다. 이는 로컬 라우터를 위해 라우팅 테이블을 자동으로 생성할 때 사용합니다. 방향성이 없기 때문에 DNS와 거의 같은 설정을 사용합니다. 인터넷 서비스 공급자가 사용자로 하여금 라우팅 데몬을 작동하게끔 할 때에만 RIP를활성화하십시오.올바르지 않거나 헷갈리는 라우팅 정보는 로컬 네트웍에 문제를 일으키거나, 서비스 거부문제를 발생시킬 수 있으며, 로컬네트웍을 위험하게 할 수도 있습니다. 필요할 때에만 이정책을 활성화하십시오.특징◦ 프로토콜 : UDP◦ 포트 번호 : UDP 520291

WatchGuard System ManagerRSHRemote Shell(RSH)은 원격 호스트 컴퓨터의 명령체계에 접근할 때 사용합니다.WatchGuard는 VPN을 사용하지 않고, Firebox를 통해 RSH incoming을 허용하도록 권장합니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 514RealPlayer G2Media 스트리밍 프로토콜 v7과 v8입니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 554, 80RloginRemote login(Rlogin)은 허가된 사용자가 네트웍상의 UNIX컴퓨터에 로그인할 수 있도록하는 UNIX 명령어입니다. 로그인 후에 사용자는 파일 읽기, 편집, 삭제 등의 호스트가 허용하는 모든 작업을 실행할 수 있습니다. 보안상 WatchGuard는 Firebox를 통하여 들어오는모든 Rlogin을 허용하지 말 것을 권고합니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 513SecurIDRSA SecuID Two-Factor Authentication은 사용자 인증절차에 더욱 강한 보안을 부여해줍니다. Security Dynamics Technologues가 만든 이 SecurID는 토큰을 사용하여 코드를생성하고 ACE/Server소프트웨어를 사용하여 코드를 실행합니다.특징◦ 프로토콜 : TCP 와 UDP◦ 포트 번호 : TCP 5510, UDP5500▪ SMB(Windows Networking)Windows 는 Server MessageBlock(SMB)을 사용하여 파일, 컴퓨터, 프린터등 네트웍 자원을 공유합니다. 만일 사용자가 replication을 설치하였다면 135번포트에 포트 매퍼 서비스를 사용하려고 많이 시도하는 것을 볼 수 있을 것입니다. 이 시도가 실패하면 SMV는 42번포트를 시도하기 시작합니다. 자세한 것은 DCE에 대한 RFC와 DCE-RPC 프락시 섹션을292

WatchGuard System Manager참조하십시오.--------------------------- 주 의 --------------------------------Firebox에 SMB를 허가하는 것은 안전하지 않으며 VPN커넥션을 통하지 않고서는WatchGuard도 그것을 권장하기 않습니다. 이 설정은 다른 방법이 없을 때에만 사용되며,정책에서 내부, 외부 호스트를 모두 설정해야 합니다.특징◦ 프로토콜 : SMB(over TCP와 UDP)◦ 포트 번호 : UDP 137, UDP 138, TCP 139, TCP 42(WINS replication용), TCP445, UDP 445◦ RFC : RFC는 없지만 http://www.microsoft.com을 참조하십시오.일반 예예 1설명더 신뢰되는 인터페이스상의 클라이언트는 덜 신뢰되는 네트웍상의Windows NT 서버에게 통신을 시작합니다. 이런 설정에서, 신뢰되는 네트웍과 덜 신뢰되는 네트웍에 설치된 WINS서버가 있는 것이 좋습니다. 덜신뢰되는 WINS서버를 primary로 사용하고 신뢰되는 WINS서버를secondary로 사용하기 위해 덜 신뢰되는 네트웍상의 클라이언트를 설정하십시오.신뢰되는 WINS서버를 primary로 사용하고 덜 신뢰되는 WINS서버를secondary로 사용하기 위해 신뢰되는 인터페이스상의 클라이언트를 설정하십시오. 만일 2개의 WINS서버를 사용하고 있다면 Firevox를 통해WINS replication을 허용하고 브라우저 서비스를 WINS서버에 추가하는것이 좋은 방법입니다Policy Manager에서의 정책SMB는 하나 이상의 정책을 포함합니다. 필요하다면 아래의 정책도 추가할 수 있습니다.- 137 포트에 대한 UDP정책. 클라이언트 포트를 NetBIOS lookup이 가능한“port”로 설정합니다.- 138 포트에 대한 UDP정책. 클라이언트 포트를 호스트간의 정보 전송을하는NetBIOS 데이터그램 서비스가 가능한 “port”로 설정합니다.- 139 포트에 대한 TCP정책. 클라이언트 포트를 “client”로 설정합니다. 이것은 호스트간의 정보를 전송하는 NetBIOS TCP 채널을 설정합니다.SMTPSMTP 패킷 필터 정책은 SMTP(e-mail)트래픽을 SMTP프락시를 사용하지 않고 허용합니293

WatchGuard System Manager다. Filtered-SMTP의 한가지 역할은 outgoing e-mail이 SMTP프락시를 통해 두번 라우트될 필요성을 없애준다는 것입니다. trusted네트웍과 선택적 또는 덜 신뢰되는 포트에 있는e-mail서버 사이의 Filtered SMTP정책을 통해, SMTP프락시는 e-mail이 인터넷 밖으로 나갈 때 검사됩니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 25SNMPSimple Network Management Protocol(SNMP)는 원격 컴퓨터에 대한 정보를 수집하고 설정할 수 있습니다. 많은 인터넷 공격이 SNMP를 사용하기 때문에 위험할 수 있습니다.특징◦ 프로토콜 : UDP, TCP◦ 포트 번호 : UDP 161과 TCP 161(트랩서버는 162번을 사용합니다.)SNMP가 활성화되면 네트웍상에서 변화를 야기할 수 있기 때문에 모든 연결에 대해 조심스럽게 대안을 살피고, 로그를 저장하도록 합니다.SNMP-TrapSimple Network Management Protocol(SNMP) trap은 라우터와 같은 SNMP에이전트가 네트웍 관리 스테이션으로 보내는 알림 메시지입니다. 이들 메시지는 검사되어야만 하는 중요한 이벤트들이 대부분입니다.특징◦ 프로토콜 : UDP SPF◦ 포트 번호 : UDP 162SQL*NetOracle 은 sql*net 소프트웨어용으로 하나의 포트를 사용하는데, 1526/tcp 또는 1521/tcp가 디폴트입니다. 또는 tnsnames.ora파일을 수정함으로써 사용하는 포트를 변경할 수 있습니다. Firebox를 통해 sql*net를 허용하려면 sql*net가 사용하는 포트에 대한 정책을 tcp프로토콜과 무시할 클라이언트 포트로 설정해야 합니다. 그런 후에 외부 호스트로부터sql*net서버로 허용되는 들어오는 접근을 설정합니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 1521, 526Sybase SQL-ServerSybase는 Sybase Central and SQL Advantage소프트웨어용으로 하나의 포트를 사용하는데,294

WatchGuard System Manager디폴트 포트는 없습니다. 사용자는 Sybase Network Connections대화상자를 사용하여 설치과정동안에 포트를 설정합니다. WinSock TCP/IP용 포트번호는 호스트명 다음에 나오는 번호가 됩니다. 예를 들어, Sybase SQL Server 포트를 10000번으로 설정하려면 연결 정보를 MyHost, 10000으로 설정하십시오.그러면 Sybase SQL Server 정책은 서버 포트 10000으로 설정됩니다. 설정이 잘 되었는지 확인하고, 그렇지 않다면 Sybase SQL Server을 10000번으로 설정하고 SQL Server설치시에 입력한 포트로 새로운 정책을 생성합니다. 그런 경우에는 아래에 보이는 것과 같이, 프로토콜을 TCP로, 클라이언트 포트를 무시하는 것으로 설정하십시오.WatchGuard SQL-Server와 사용자 정책으로 같은 파라미터를 갖는 정책을 설정합니다.Incoming From에 Sybase 서버에 접속할 수 있는 외부 클라이언트를, 그리고 Incoming To에 해당하는 Sybase 서버 주소를 추가합니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 10000SSHSecure Shell(ssh)는 원격 로그인, 명령어 제어, 컴퓨터 간의 파일 이동을 허용하는 무료 소프트웨어로서 강력한 인증과 안전하고 암호화된 연결을 가능하게 합니다. WatchGuard는telnet, rssh, rlogin과 같은 취약한 프로토콜 대신 ssh의 사용을 권장합니다.Ssh를 사용할 때에는 강력한 인증 메커니즘도 함께 사용해야 합니다. 이 강력한 암호화 메커니즘은 미국, 캐나다 고객과 미국 정부에서 강력한 암호화를 사용하도록 허가한 고객에게가능합니다. 강력한 암호화(128 bit, 3DES)나 IPSec을 사용하려면 WatchGuard 기술지원팀에 e-mail을 보내주십시오.UNIX 버전은 www.ssh.com 에서 다운로드가 가능하며, Windows버전에 대한 정보는 F-Secure(http://www.f-secure.com)에서 찾아볼 수 있습니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 22◦ RFC : 번호 없음SunRPCSun Remote Procedure Call(Sun RPC)는 Sun 네트웍 파일 시스템 내의 클라이언트와 서버간의 연결을 위해 Sun MicroSystems가 개발한 것입니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : TCP 111, UDP 111295

WatchGuard System ManagerSyslogSyslog는 UNIX호스트에서 운영체제 이벤트를 기록하는데 사용되는 정책입니다. Syslog데이터는 방화벽 외부의 호스트로부터 데이터를 수집하기 위해 방화벽에서 보통 활성화됩니다.Syslog 포트는 디폴트 Firebox설정에서 block되어있습니다. 하나 이상의 Firebox로부터 로그를 수집하는 하나의 로그 호스트를 설정하기 위해서는 다음과 같이 합니다.:Blocked Ports 리스트에서 514를 삭제합니다.Policy Manager에 WatchGuard Logging 정책을 추가합니다.------------------------------- 주 의 ------------------------------해커들은 syslog를 로그값들로 채우기도 합니다. Syslog가 꽉 차면 공격을 파악하기 더욱어려워집니다. 그뿐 아니라 디스크가 꽉 차서 공격이 기록되지 않으므로 Firebox로 syslog트래픽을 허용하는 것은 보안상 좋지 않습니다.특징◦ 프로토콜 : UDP◦ 포트 번호 : UDP 514TACACSTACACS 사용자 인증은 사용자를 인증하기 위해 dial-up 모뎀 풀에 사용자 어카운트를 사용하는 시스템입니다. 이것은 UNIX시스템상에 어카운트의 복사본을 유지해야할 필요성을제거해 줍니다. TACACS는 TACACS+나 RADIUS 를 지원하지 않습니다.특징◦ 프로토콜 : UDP◦ 포트 번호 : 49TACACS+TACACS+ 사용자 인증은 사용자를 인증하기 위해 dial-up 모뎀 풀에 사용자 어카운트를사용하는 시스템입니다. 이것은 UNIX시스템상에 어카운트의 복사본을 유지해야할 필요성을제거해 줍니다. TACACS+는 RADIUS 를 지원합니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 49TCPOutgoing TCP연결은 허용될 수도 있고 거부될 수도 있습니다. 이 정책은 디롶트 정책으로모든 나가는 TCP연결에 적용되며, 다른 정책들이 그것을 override합니다. Policy Manager에서 정의한 정책과 매치되는 Outgoing TCP 커넥션은 TCP-UDP, TCP, TCP 프락시와 같은 것이 Policy Manager에 설정되어 있지 않으면 완성될 수 없습니다. 이 정책은 FTP정책과만 동작하는 outgoing FTP를 활성화하지 않습니다.296

WatchGuard System ManagerTCP-UDPOutgoing TCP와 UDP 연결은 허용될 수도 있고 거부될 수도 있습니다. 이 정책은 디롶트정책으로 모든 나가는 TCP와 UDP 연결에 적용되며, 다른 정책들이 그것을 override합니다. Policy Manager에서 정의한 정책과 매치되는 Outgoing TCP 커넥션은 TCP-UDP, TCP,UDP, TCP 프락시와 같은 것이 Policy Manager에 설정되어 있지 않으면 완성될 수 없습니다. 이 정책은 FTP 정책과만 동작하는 outgoing FTP를 활성화하지 않습니다.UDPOutgoing UDP연결은 허용될 수도 있고 거부될 수도 있습니다. 이 정책은 디롶트 정책으로모든 나가는 UDP연결에 적용되며, 다른 정책들이 그것을 override합니다. Policy Manager에서 정의한 정책과 매치되는 Outgoing UDP커넥션은 TCP-UDP, UDP, TCP 프락시와 같은 것이 Policy Manager에 설정되어 있지 않으면 완성될 수 없습니다.▪ telnettelnet정책은 원격 컴퓨터로 로그인하는 용도로 사용됩니다. Dial-up 접속을 사용하는 것과거의 같지만 네트웍에 걸친 연결이라는 점이 다릅니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 23◦ RFC : 854일반 예설명Telnet 접속은 trusted 네트웍의 몇몇 컴퓨터에는 허용되지 않지만, 외부의, 덜 신뢰되는 컴퓨터로의 접속은 허용됩니다.Policy Manager에서의 정책Policy Manager에서의 Proxied-HTTP, Filtered-HTTP, 프락시,Outgoing 정책은 자동적으로 Outgoing 허용, Incoming 커넥션에 대해서는거부로 설정됩니다.(WatchGuard 디폴트) 또는 네트웍에 대해 텔넷정책을추가하고 설정할 수 있습니다.(예를 들면, incoming의 선택적 서용,outgoing의 제한)TimbuktuTimbuktu Pro는 Windows컴퓨터에 접속하는데 사용하는 원격 조정 및 파일 전송 소프트웨어입니다. TCP 1417번과 UDP 407번 포트를 사용합니다. Timbuktu정책을 추가하고 내부Timbuktu서버에 접근해야하는 인터넷 상의 호스트에서 들어오는 접근을 서용합니다.Timbuktu는 보안성이 뛰어난 소프트웨어는 아니기 때문에 네트웍 보안을 약화시킬 수 있습니다. 인증없이 트래픽이 방화벽 내부로 유입될 수 있을 뿐만 아니라, Timbuktu서버가297

WatchGuard System Manager서비스 거부 공격에 노출될 위험도 있습니다. 따라서 WatchGuard는 VPN옵션으로 보안을강화하기를 권장합니다.특징◦ 프로토콜 : TCP와 UDP◦ 포트 번호 : UDP 407, TCP 1417TimeTime 정책은 NTP와 거의 흡사합니다. 네트웍의 호스트간에 시계를 동기화시키는 데 사용됩니다. Time은 WAN을 통과하는 NTP에 비하여 덜 정확하고 덜 효과적입니다.WatchGuard는 NTP를 사용하는 것을 권장합니다.특징◦ 프로토콜 : UDP◦ 포트 번호 : 37TracerouteTraceroute는 네트웍의 지도를 그려주는 소프트웨어입니다. 네트웍의 문제해결, 네트웍 라우트 문제, 사이트의 인터넷 서비스 프로바이더를 찾는 경우에 사용됩니다. WatchGuardtraceroute정책은 UNIX기반과 UDP스타일의 traceroute만 제어할 수 있습니다. DOS나Windows기반 traceroute 패킷 필터에 대해서는 ping정책을 사용합니다.(289 페이지의“ping”참조)Traceroute는 네트웍상에 패스를 그리기 위해 ICMP와 UDP패킷을 사용하며, 우너천지와목적지간에 있는 각 라누터와 컴퓨터로부터 패킷을 되돌려 보내기 위해 UDP TTL필드를사용합니다. 네트웍에 Traceroute incoming을 허용하는 것은 해커가 사설네트웍의 맵을 그릴 수 있도록 한다는 의미가 됩니다. 그러나 outgoing traceroute는 문제해결에 아주 좋은방법이 됩니다.특징◦ 프로토콜 : UDP, TCP◦ 포트 번호 : 적용 불가능UUCPUnix-to-Unix Copy(UUCP)는 컴퓨터가 다른 컴퓨터로 파일을 송신할 수 있도록 해주는Unix툴과 프로토콜입니다. 사용자들이 파일 전송에 FTP, SMTP, NNTP 을 애용하므로, 이툴은 자주 사용되지 않습니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 540298

WatchGuard System ManagerWAISWide Area Information Services(WAIS)는 인터넷상의 서류를 탐색하는 프로토콜입니다.Thinking Machines Incorporated가 처음으로 WAIS를 개발하였습니다. 몇몇 웹사이트는 탐색가능한 인텍스를 찾기 위해 WAIS를 사용하지만 자주 사용되지는 않습니다.WAIS는 ANSI Z39.50탐색 프로토콜에 맞추어 만들어졌으며 words Z39.50과 WAIS도 같은기술에 기반합니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 210, 그러나 서버들은 HTTP서버에 가까운 다른 포트를 설정할 수있습니다.WinFrameCitrix ICA는 Winfram 제품을 포함한 여러 Citrix 소프트웨어를 위해 사용됩니다. Winfram은 여러 클라이언트로부터 요청되는 Windows로의 접근을 가능하게 합니다. Citrix는 ICA프로토콜에 TCP1494 포트를 사용하며, Citrix MPS 3.0 은 디폴트로 Session reliability를사용하기 때문에 TCP포트 2598을 사용하도록 변경되었습니다.WinFrame정책을 추가하면 인증절차 없이 방화벽을 통과하는 트래픽이 생기기 때문에 보안성이 약해집니다. 또한 Winframe 서버가 서비스 거부 공격에 취약해집니다. WatchGuard는ICA 연결의 보안성을 증진시키기 위해 VPN을 사용하도록 권장합니다. 사용자는 WinFram에 모든 로그옵션을 사용할 수 있습니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 1494, 1604, 3598(Citrix MPS3.0용)Citrix WinFrame 정책을 추가하는 것에 대한 추가 정보는 Knowledge Base의 AdvancedFaqs를 참조하십시오. www.watchguard.com/support에 가서 LiveSecurity 서비스에 로그인하면 됩니다.WG-AuthWatchGuard 인증 정책은 사용자들이 Firebox에 인증을 받도록 해줍니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 4100WG-Firebox-MgmtWatchGuard Firebox Management 정책은 Firebox로 맺어진 연결을 모니터링하고 설정하도록 해줍니다. WatchGuard는 이 정책을 Management Station으로만 허용하도록 권장합니다. 이 정책은 보통 trusted 인터페이스에 설정합니다.299

WatchGuard System Manager특징◦ 프로토콜 : TCP◦ 포트 번호 : 4103, 4105, 4118WG-LoggingWatchGuard Logging정책은 두번째 Firebox가 Firebox의 trusted인터페이스에 있는 로그호스트에 접속해야할 경우에만 필요한 정책입니다. 만일 Firebox가 한대 뿐이라면 이 정책은 필요하지 않습니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 4107, 4115WG-Mgmt-ServerWatchGuard Management Server 정책특징◦ 프로토콜 : TCP◦ 포트 번호 : 24110, 4112, 4113MG-SmallOffice-MgmtWatchGuard Small Office Management 정책은 WatchGuard Firebox System에서 사용자가 SOHO와 Edge Firebox에 안전한 접속을 할 수 있도록 해줍니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 4109WG-WebBlockerWatchGuard WebBlocker 정책은 WebBlocker서버에 연결할 수 있도록 허용합니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 4103, 4105, 4118WhoisWhois프로토콜은 웹사이트와 네트웍의 administrator정보를 가져다줍니다. 다른 웹사이트의 administrator를 찾는데 보통 사용됩니다.많은 사이트들이 whois서버를 작동시키지 않기 때문에 이들 서버에 접속하기 위해 필요한정책은 단지 outgoing또는 프락시 정책이 됩니다. 사용자가 이들 정책을 사용하지 않는다면whois서버로(예 : rs.internic.net) outgoing연결을 허용하는 whois정책을 추가해야 합니다.300

WatchGuard System Manager특징◦ 프로토콜 : TCP◦ 포트 번호 : 43X11X Windows System 프로토콜은 윈도우, 색상, 디스플레이, 스크린을 포함하는 그래픽 데스크탑을 생성하는데 사용되는 컴포넌트를 가지고 있습니다. 또한 X11은 사용자와 컴퓨터 입력 디바이스(마우스, 키보드 등)간의 상호작용을 보여주는 이벤트의 흐름을 제공합니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 6000-6063Yahoo MessengerYahoo Messenger Protocol은 인스턴트 메시징 툴입니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 5050, 80프락시 정책이 섹션에서는 WatchGuard Firebox System이 제공하는 프락시 정책을 둘러봅니다. 프락시정책은 프락시의 원천지와 목적지 헤더를 사용하여 패킷을 열고, 패킷 내용안에 있는 금지된 데이터 유형을 찾아내고, 패킷을 재조립합니다.프락시를 설정하고 활성화하는 것은 패킷 필터링 정책을 추가하는 것과 같은 방식으로 할수 있습니다.DNSDomain Name Service(DNS)는 호스트명을 IP주소에 매칭합니다. DNS 프락시 정책은 해커로부터 DNS서버를 보호하기 위해 DNS 패킷의 내용을 검사합니다. 이때 DNS 쿼리에 수행유형을 제한할 수 있으며, 쿼리 명에서 특정 패턴을 찾아볼 수 있습니다.특징◦ 프로토콜 : TCP 와 UDP◦ 포트 번호 : TCP 53과 UDP 53◦ RFC : 1035일반 예예301

WatchGuard System Manager설명trusted, optional, less trusted네트웍에 공인 DNS서버가 있습니다.Policy Manager에서의 정책DNS패킷 필터나 프락시 정책은 Policy Manager에 추가되어야 합니다. 들어오는 연결은 DNS서버로 반드시 허용되어야 하며, 나가는 연결은 보통Any에서 Any로 허용됩니다.FTPFTP는 File Transfer Protocol이며 인터넷상에서 파일을 이동시키는데 사용됩니다.특징◦ 프로토콜 : TCP◦ 포트 번호 : 20(명령 채널), 21(데이터 채널)◦ RFC : 414일반 예예 1설명optional또는 less trusted 네트웍에 공인 FTP서버가 있습니다.Policy Manager에서의 정책들어오는 연결은 FTP서버로 반드시 허용되어야 하며, 나가는 연결은 보통Any에서 Any로 허용됩니다.예 2설명trusted 네트웍에 공인 FTP서버가 있습니다.Policy Manager에서의 정책예 1에서와 같이 설정합니다.HTTPHTTP는 인터넷상에서 정보를 옮기기 위해 World Wide Web이 사용하는 HypertextTransfer Protocol입니다.----------------------------- 주 의 -----------------------------WatchGuard 정책 “HTTP Proxy”는 HTTP 캐슁 프락시와는 다릅니다. HTTP 캐슁 프락시는 다른 컴퓨터에 있으며 웹데이터의 캐쉬를 조절합니다. 사용자가 외부 캐슁 프락시를 사용할 때 사용자는 속한 조직에 필요한 outgoing정책을 활성화해야 합니다. 그렇지 않으면outgoing TCP연결이 정확하게 동작하지 않습니다.--------------------------------------------------------------------특징◦ 프로토콜 : TCP302

WatchGuard System Manager◦ 포트 번호 : 80(그러나 서버는 어떤 포트에서든지 작동이 가능합니다. 일반적으로8080을 사용하고 Secure Socket Layer(SSL)연결은 443 포트에서 동작합니다.)◦ RFC : 1945일반 예예 1설명optional또는 less trusted 네트웍에 공인 HTTP서버가 있습니다.Policy Manager에서의 정책Any에서 HTTP 서버로의 imcoming정책예 2설명trusted 네트웍에 공인 HTTP서버가 있습니다.Policy Manager에서의 정책예 1에서와 같이 설정합니다. HTTP서버는 동적 NAT의 사용유무에 상관없이 공인 IP주소를 가져야 합니다..SMTPSimple Mail Transfer Protocol(SMTP)은 e-mail을 송수신하는 인터넷 표준 프로토콜입니다. 보통 SMTP서버는 “공인”서버입니다.SNTP에 incoming 고정 NAT를 사용할 때 사용자는 Policy Manager에 auth 정책을 추가해야 합니다.(279 페이지의 “Auth” 참조) Fireboxp에 들어오는 auth를 허용하려면 auth를설정하십시오. 그러면 Firebox 뒷단에서 auth를 사용하는 인터넷상의 많은 SMTP서버로 나가는 메일 메시지가 자유롭게 송신될 수 있습니다. 또한 이들 서버가 Firebox를 통해 송신자에게 메시지를 되돌려보낼 수 있도록 해줍니다.incoming SMTP를 로깅하는 것이 권장되기는 하지만 이는 대량의 로그를 발생할 수 있습니다. SMTP프락시를 사용하지 않고 SMTP를 잘 작동시키기 위해서는, 25번 포트와 TCP프로토콜을 사용하여 Policy Manager에서 새로운 정책을 만드십시오.특징◦ 프로토콜 : TCP◦ 포트 번호 : 25◦ 클라이언트 포트 : 1023 이상◦ RFC : 821일반 예예 1설명optional또는 less trusted 네트웍에 공인 SMTP서버가 있습니다.Policy Manager에서의 정책303

WatchGuard System ManagerSMTP 정책 - 들어오는 연결은 Any로부터 SMTP서버로 허용되어야 하며,나가는 연결은 Any에서 Any로 허용되어야 합니다.예 2설명trusted 네트웍에 공인 SMTP서버가 있습니다.Policy Manager에서의 정책예 1에서와 같이 설정합니다.TCP Proxy(Outgoing)TCP 프락시 정책에는 80번 포트에 HTTP를 위한 설정 옵션이 있으며, 디폴트로 모든 나가는 TCP연결을 허용하는 룰이 추가되어 있습니다. TCP 프락시 룰은 전체 포트에 이는 모든나가는 HTTP트래픽이 HTTP 프락시 룰에 따라 프락시되었는지를 확인합니다.WatchGuard는 incoming HTTP가 Firebox 뒷단에 있는 공인 HTTP서버로만 허용되도록하는 것을 권장합니다. 외부 호스트는 스푸핑될 수 있습니다. WatchGuard는 이들 패킷이정확안 곳에서 온것인지를 확인할 수 없습니다.들어오는 HTTP연결이 거부될 때에는 원천지 IP주소를 Blocked Sites List에 추가하도록WatchGuard를 설정하십시오. 그리고 HTTP프락시에서 설정하는 것과 같은 방식으로 파라미터와 MIME 유형을 설정하십시오.304