Shield one sig_ssl_vpn_설정가이드(6.25gd)
13
0 ShieldOne SSL VPN 설정가이드 V6.25GD
-
Upload
plus-i -
Category
Technology
-
view
407 -
download
1
Transcript of Shield one sig_ssl_vpn_설정가이드(6.25gd)
0
ShieldOne SSL VPN 설정가이드V6.25GD
1
목차
1. 사설CA 설정
2. Client 인증서 발행
3. 사용자그룹 처음 등록
4. 사용자 그룹 정의
5. 원격접속 VPN 환경설정
6. 사용자 등록
7. 방화벽 IP 그룹 정의
8. 방화벽 정책 설정
1
2
인터넷
192.168.1.0/24
요구 사항
관리자 (admin)는 내부 모든 컴퓨터에 접근 가능하다.
직원(employee)는 내부 A(192.168.1.160),B(192.168.1.170) 컴퓨터에만 접근 가능하다.
고객(custom)은 내부 B (192.168.1.170) 컴퓨터에만 접근 가능하다.
관리자(admin)
고객(custom)
직원(employee)
A192.168.1.160
B192.168.1.170
C192.168.1.180
구성도
SSL VPN 설정가이드
3 www.shieldone.co.kr
SSL VPN 설정가이드1. SSL VPN > IKE CA Server
• ‘지역명’ 필드에 지리적 위치를 영문으로 입력한다.• ‘기관명’에 ShieldOne SIG가 운용중인 기관명을 영문으로 입력한다.• ‘이메일’ 필드에 관리자 이메일 주소를 입력한다.• ‘서버이름’ 필드에 사설 CA서버로 사용될 ShieldOne 장비의 영문이름을 입력한다.• 모든 항목을 정의하고 나서 ‘확인’ 버튼을 클락하여 CA의 server인증서를 생성한다.
4 www.shieldone.co.kr
SSL VPN 설정가이드2. Client 인증서 발행
• ‘추가’ 버튼을 클릭하여 Client인증서를 생성하는 메뉴로 들어갂다.
• Client 이름에 Client 인증서 이름을 영문으로 입력한다.• 인증서를 download할 때 인증할 때 사용할 password를 입력한다.• 메모에는 사용자에 관한 설명을 적는다.
5 www.shieldone.co.kr
SSL VPN 설정가이드3. SSL VPN > 사용자그룹 (처음등록)
• 사용자 그룹을 처음 등록하면 위의 화면과 같이 나온다.• 이 화면은 등록 후에는 수정이 불가능하므로 주의 해야 한다. B 클래스로 입력 해야 한다.
• 여기에서 정의한 ‘할당IP Pool’ 값을 subnet하여 예제 구성도에서 정의한 admin, custom,employee 그룹에 각각 할당하게 된다.
• ‘확인’ 버튼을 클릭하여 첫 등록을 마치면 다음 그룹 정의 화면으로 전홖된다.
6 www.shieldone.co.kr
SSL VPN 설정가이드4. SSL VPN > 사용자그룹 정의
• ‘그룹명’ 필드에 그룹명을 입력 한다.• ‘사용자수’ 필드에 해당 그룹의 최대 사용자 수를 입력한다.• ‘인증서’ 리스트 박스에서 생성할 그룹이 사용할 인증서를 선택한다. 이 인증서는 CA Client메뉴
에서 생성한 Client인증서들이 나열된다.
7 www.shieldone.co.kr
SSL VPN 설정가이드4. SSL VPN > 사용자그룹 정의
• 3장에서 ‘할당IP Pool’을 10.8.0.0/16으로 정했기 때문에 그룹에 대한 네트워크 대역도10.8.0.0/16 하위 대역이 설정되게 됩니다.
• 이때 사용자수 64명당 C클래스 네트워크 대역 1개가 설정이 됩니다.• 만약 사용자수를 128명으로 하면 10.8.0.0/23 으로 2개의 C 클래스로 설정이 됩니다.• 그룹모두 하나의 인증서를 사용할 수도 있고 각 그룹별로 고유의 인증서를 사용할 수 있습니다.
8 www.shieldone.co.kr
SSL VPN 설정가이드5. SSL VPN > 원격 접속 VPN
• ‘SSL VPN’ 항목에서 SSL VPN 기능을 사용할 지 안할 지를 선택한다.• ‘접속 Port’ 필드에 원격지 사용자가 VPN연결 시 접속할 포트 번호를 숫자로 입력한다.• ‘기본할당 IP Pool’은 앞장 사용자 그룹에서 만든 그룹 중 하나를 선택한다. (주로 사용자수가 많은 그룹을 선택)• ‘내부 Subnet’ 필드에 원격 VPN을 통해서 원격지 사용자가 통신하고자 하는 사내 네트워크를 정의한다. 여러 개의 사내 네
트워크들은 ‘,’(콤마)구분하여 입력한다.• ‘내부DNS’는 인터넷 상에 공개되지 않는 서버들이 내부 DNS로 관리될 때 내부 DNS서버의 IP를 설정한다.• ‘VPN G/W 사용’ 여부는 원격에 있는 사용자가 인터넷을 사용하고자 할 때 연결된 VPN을 통해서 ShieldOne SIG을 거쳐서
나가도록 하고자 한다면 ‘사용함’을 선택하고 그렇지 않고 오로지 위에 설정한 ‘내부 Subnet’을 갈 때만 VPN을 사용하도록한다면 ‘사용안함’을 선택한다.
• ‘MAP IP’는 ShieldOne SIG가 방화벽 후단에 위치할 경우, NAT되는 공인IP주소를 입력한다.• ‘추가인증방법’ 항목에서 ‘사용자 인증’이 기본선택되며 RADIUS 서버를 사용할 경우 ‘RADIUS’인증을 선택한다.
‘사용자 인증’은 ShieldOne SIG 시스템상에 사용자 인증DB를 사용하며 ‘RADIUS인증’은 별도의 RADIUS인증서버가 있을 때선택하고 RADIUS서버의 IP주소와 공유키를 정의한다.
9 www.shieldone.co.kr
SSL VPN 설정가이드6. SSL VPN > 사용자등록
• ‘ID’ 필드에 사용자 ID를 등록한다.• ‘그룹’ 리스트 박스에서 앞서 사용자 그룹에서 설정한 그룹들 중 선택한다.• 사용자의 패스워드를 입력한다.• 사용자에 대한 설명을 입력한다.
• 사용자는 이 ID와 패스워드로 접속하면 된다.• 인증서는 모두 같은 Client 인증서 사용 가능하다.
10 www.shieldone.co.kr
SSL VPN 설정가이드7. 방화벽 > IP 그룹
• 이 부분은 옵션이다.• 방화벽에서 정책 등록 할 때 좀 더 편리하게 하기 위해 그룹을 만들 뿐 반드시 만들어야 하는 것은 아니
다.• 5번 단계에서 사용자 그룹에 할당된 IP를 등록한다.
11 www.shieldone.co.kr
SSL VPN 설정가이드8. 방화벽 > 방화벽 설정
• 방화벽 설정 시 From을 원격접속VPN , To를 내부로 설정해서 정책을 입력한다.
12 www.shieldone.co.kr
SSL VPN 설정가이드8. 방화벽 > 방화벽 설정
• 구성도대로 각 그룹별로 방화벽 정책을 위와 같이 설정한다.
