아이콘을 클릭하거나 사용자 추가 단추를 클릭하여 새 사용자를 만듭니다. 사용자 편집 창이 시작됩니다.SSL_VPN
이 장에서는 Dell SonicWALL 보안 어플라이언스에서 SSL VPN 기능을 구성하는 방법을 설명합니다. Dell SonicWALL의 SSL VPN 기능을 통해 NetExtender 클라이언트를 사용하여 네트워크에 안전하게 원격으로 액세스할 수 있습니다.
NetExtender는 투명하게 다운로드되며 회사 네트워크에서 모든 응용 프로그램을 안전하게 실행할 수 있도록 하는 Windows/Mac/Linux 사용자용 SSL VPN 클라이언트로, PPP(Point-to-Point Protocol)를 사용합니다. 원격 클라이언트는 NetExtender를 사용하여 로컬 네트워크의 리소스에 원활하게 액세스할 수 있습니다. 사용자는 두 가지 방식으로 NetExtender에 액세스할 수 있습니다.
• Dell SonicWALL 보안 어플라이언스에서 제공하는 Virtual Office 웹 포털에 로그인한 다음, NetExtender 단추 클릭
• 독립 실행형 NetExtender 클라이언트 시작
NetExtender 독립 실행형 클라이언트는 NetExtender를 처음 시작하면 설치됩니다. 그 후에는 Windows 시스템의 시작 메뉴, MacOS 시스템의 응용 프로그램 폴더나 도크 또는 Linux 시스템의 도구 모음이나 경로 이름을 통해 NetExtender에 직접 액세스할 수 있습니다.
이 장에 포함된 섹션은 다음과 같습니다.
– Dell SonicWALL SSL VPN 포털 액세스
이 섹션에서는 SonicOS Enhanced SSL VPN NetExtender 기능을 소개합니다. 이 섹션에 포함된 하위 섹션은 다음과 같습니다.
• 이점
Dell SonicWALL의 SSL VPN NetExtender 기능은 원격 사용자가 원격 네트워크에 안전하게 연결할 수 있도록 하는 Windows/Mac/Linux 사용자용 투명 소프트웨어 응용 프로그램입니다. NetExtender를 통해 원격 사용자는 원격 네트워크에서 모든 응용 프로그램을 안전하게 실행할 수 있습니다. 사용자는 파일을 업로드/다운로드하고, 네트워크 드라이브를 탑재하며, 로컬 네트워크에서와 마찬가지로 리소스에 액세스할 수 있습니다. NetExtender 세션에서는 PPP(Point-to-Point Protocol) 세션을 사용합니다.
NetExtender는 원격 사용자에게 보호된 내부 네트워크에 대한 모든 권한을 제공합니다. 환경은 기존 IPsec VPN 클라이언트를 사용할 때와 거의 동일하지만 NetExtender의 경우 클라이언트를 수동으로 설치할 필요가 없습니다. 대신 NetExtender Windows 클라이언트는 Internet Explorer 브라우저 사용 시에는 ActiveX 컨트롤을 통해, Firefox 사용 시에는 XPCOM 플러그인을 통해 원격 사용자의 PC에 자동으로 설치됩니다. MacOS 시스템에서는 지원되는 브라우저가 Java 컨트롤을 사용하여 Virtual Office 포털에서 NetExtender를 자동으로 설치합니다. Linux 시스템에서도 NetExtender 클라이언트를 설치하고 사용할 수 있습니다.
설치하면 NetExtender가 자동으로 시작되어 보안 SSL-VPN 지점 사이의 액세스용 가상 어댑터를 내부 네트워크의 허용되는 호스트 및 서브넷에 연결합니다.
다음 섹션에서는 고급 NetExtender 개념을 설명합니다.
• 클라이언트 경로
• 터널 모든 모드
• 세션 스크립트
• 프록시 구성
• Dell SonicWALL Mobile Connect
NetExtender는 사용자가 응용 프로그램을 수동으로 다운로드하여 설치하지 않아도 포괄적인 원격 액세스 권한을 제공하는 브라우저 설치 방식의 경량 응용 프로그램입니다. 사용자가 NetExtender를 처음 시작하면 NetExtender 독립 실행형 클라이언트가 사용자의 PC 또는 Mac에 자동으로 설치됩니다. 설치 관리자는 사용자 로그인 정보를 기준으로 프로필을 만듭니다. 그런 다음 설치 관리자 창이 닫히고 NetExtender가 자동으로 시작됩니다. 사용자가 레거시 버전의 NetExtender를 이미 설치한 경우에는 설치 관리자가 이전 NetExtender를 먼저 제거한 후 새 버전을 설치합니다.
NetExtender 독립 실행형 클라이언트가 설치되면 Windows 사용자는 PC의 시작 > 프로그램 메뉴에서 NetExtender를 시작하고 Windows 부팅 시 시작되도록 NetExtender를 구성할 수 있습니다. Mac 사용자는 시스템 응용 프로그램 폴더에서 NetExtender를 시작하거나, 도크로 아이콘을 끌어와 빠르게 액세스할 수 있습니다. Linux 시스템에서는 설치 관리자가 /usr/share/NetExtender에 바탕 화면 바로 가기를 만듭니다. 이 바로 가기를 Gnome 및 KDE 같은 환경의 도구 모음으로 끌어올 수 있습니다.
NetExtender 클라이언트 경로는 다양한 네트워크 리소스에 대한 SSL VPN 사용자의 액세스를 허용 및 거부하는 데 사용됩니다. 주소 오브젝트는 네트워크 리소스에 대한 액세스를 간편하게 동적으로 구성하는 데 사용됩니다.
터널 모든 모드에서는 원격 사용자가 주고받는 모든 트래픽을 SSL VPN NetExtender 터널을 통해 라우팅합니다. 여기에는 원격 사용자의 로컬 네트워크를 대상으로 하는 트래픽도 포함됩니다. 이렇게 하려면 다음 경로를 원격 클라이언트의 경로 테이블에 추가합니다.
|
NetExtender는 연결된 모든 네트워크 세션의 로컬 네트워크 경로도 추가합니다. 이러한 경로는 로컬 네트워크를 대상으로 하는 트래픽이 SSL VPN 터널을 대신 사용하도록 강제 지정하기 위해 기존의 모든 경로보다 높은 메트릭을 사용하여 구성됩니다. 예를 들어 10.0.*.* 네트워크에서 원격 사용자의 IP 주소가 10.0.67.64이면 SSL VPN 터널을 통과하는 트래픽을 라우팅하기 위해 경로 10.0.0.0/255.255.0.0이 추가됩니다.
SSL VPN > 클라이언트 경로 페이지에서 터널 모든 모드를 구성합니다.
Dell SonicWALL SSL VPN에서는 NetExtender를 연결/연결 끊기를 할 때 사용자가 배치 파일 스크립트를 실행하는 기능을 제공합니다. 스크립트를 사용하면 네트워크 드라이브와 프린터 매핑/연결 끊기, 응용 프로그램 시작 또는 파일/웹 사이트 열기를 수행할 수 있습니다. NetExtender 세션 스크립트는 유효한 모든 배치 파일 명령을 지원할 수 있습니다.
Dell SonicWALL SSL VPN은 프록시 구성을 사용하여 NetExtender 세션을 지원합니다. 현재는 HTTPS 프록시만 지원됩니다. 웹 포털에서 NetExtender를 시작할 때 브라우저가 프록시 액세스를 사용하도록 이미 구성되어 있으면 NetExtender가 프록시 설정을 자동 상속합니다. NetExtender 클라이언트 기본 설정에서 프록시 설정을 수동으로 구성할 수도 있습니다. NetExtender는 WPAD(웹 프록시 자동 검색) 프로토콜을 지원하는 프록시 서버에 대한 프록시 설정을 자동으로 감지할 수 있습니다.
NetExtender에는 프록시 설정을 구성하기 위한 옵션이 세 가지 있습니다.
• 설정 자동 검색 - 이 설정을 사용하려면 프록시 서버가 WPAD(웹 프록시 자동 검색) 프로토콜을 지원해야 합니다. 이 프로토콜은 프록시 설정 스크립트를 클라이언트에 자동으로 푸시할 수 있습니다.
• 자동 구성 스크립트 사용 - 프록시 설정 스크립트의 위치를 알고 있으면 이 옵션을 선택하고 스크립트의 URL을 입력할 수 있습니다.
• 프록시 서버 사용 - 이 옵션을 사용하여 프록시 서버의 IP 주소와 포트를 지정할 수 있습니다. 원하는 경우 프록시 바이패스 필드에 IP 주소 또는 도메인을 입력하여 해당 주소에 대한 직접 세션을 허용하고 프록시 서버를 바이패스할 수 있습니다. 필요한 경우에는 프록시 서버의 사용자 이름과 암호를 입력할 수 있습니다. 프록시 서버에 사용자 이름과 암호가 필요한데 해당 정보를 지정하지 않으면 처음 연결할 때 사용자 이름과 암호를 입력하라는 NetExtender 팝업 창이 표시됩니다.
NetExtender는 프록시 설정을 사용하여 연결할 때 Dell SonicWALL 보안 어플라이언스 서버에 직접 세션하는 대신 프록시 서버에 대한 HTTPS 연결을 설정합니다. 그러면 프록시 서버가 트래픽을 SSL VPN 서버로 전달합니다. 모든 트래픽은 NetExtender에서 협상한 인증서를 사용하여 SSL을 통해 암호화되는데, 프록시 서버는 이 인증서를 인식하지 못합니다. 프록시 사용자와 프록시 이외 사용자에 대한 연결 프로세스는 동일합니다.
Dell SonicWALL Mobile Connect는 Dell SonicWALL 보안 어플라이언스로 보호되는 개인 네트워크에 안전한 모바일 세션을 사용할 수 있는 iPhone, iPad 및 iPod Touch용 앱입니다. iPhone 및 iPad용 Dell SonicWALL Mobile Connect 앱은 iPhone 및 iPad를 사용하는 중요한 네트워크 리소스에 안전한 모바일 액세스를 제공합니다. Dell SonicWALL Mobile Connect는 Dell SonicWALL 보안 어플라이언스로 보호되는 개인 네트워크에 SSL VPN(Secure Socket Layer Virtual Private Network) 세션을 설정합니다. 개인 네트워크를 오고 가는 모든 트래픽은 SSL VPN 터널을 통해 안전하게 전송됩니다.
Dell SonicWALL Mobile Connect를 사용하는 프로세스는 다음과 같습니다.
1. App Store에서 Dell SonicWALL Mobile Connect를 설치합니다.
2. 세션 정보(서버 이름, 사용자 이름, 암호 등)를 입력합니다.
3. 네트워크 연결을 시작합니다.
4. Dell SonicWALL Mobile Connect는 Dell SonicWALL 보안 어플라이언스에 SSL VPN 터널을 설정합니다.
5. 이제 개인 네트워크에 있는 리소스에 액세스할 수 있습니다. 개인 네트워크를 오고 가는 모든 트래픽은 문제 해결 레포팅 SSL VPN 터널을 통해 안전하게 전송됩니다.
관리자의 관점에서 Dell SonicWALL Mobile Connect는 NetExtender와 거의 동일한 기능을 합니다. 두 가지 관리자 구성이 필요합니다.
• NetExtender용 사용자 구성 – 사용자가 Dell SonicWALL Mobile Connect를 사용하여 연결하려면 사용자 계정을 SSLVPN 서비스 그룹에 할당해야 합니다. 자세한 내용은 사용자의 SSL VPN 액세스 구성을 참조하십시오.
사용자가 SSL VPN 서비스에 액세스할 수 있도록 하려면 SSLVPN 서비스 그룹에 해당 사용자를 할당해야 합니다. SSLVPN 서비스 그룹에 속하지 않은 상태로 Virtual Office를 통해 로그인하려는 사용자의 경우 액세스가 거부됩니다.
릴리스 5.9에서 지원되는 각 Dell SonicWALL 네트워크 보안 어플라이언스 모델을 위한 SSL VPN의 동시 최대 사용자 수는 아래 표와 같습니다.
|
다음 섹션에서는 SSL VPN 액세스를 위해 사용자 계정을 구성하는 방법을 설명합니다.
• RADIUS 사용자에 대해 SSL VPN 액세스 구성
로컬 사용자 데이터베이스의 사용자에 대해 SSL VPN 액세스를 구성하려면 SSLVPN 서비스 사용자 그룹에 해당 사용자를 추가해야 합니다. 이렇게 하려면 다음 단계를 수행합니다.
1. 사용자 > 로컬 사용자 페이지로 이동합니다.
2. 편집할 사용자의 구성 아이콘을 클릭하거나 사용자 추가 단추를 클릭하여 새 사용자를 만듭니다. 사용자 편집 창이 시작됩니다.
3. 그룹 탭을 클릭합니다.
4. 사용자 그룹 열에서 SSLVPN 서비스를 클릭하고 오른쪽 화살표를 클릭하여 해당 서비스를 다음의 구성원 열로 이동합니다.
5. VPN 액세스 탭을 클릭합니다. VPN 액세스 탭에서는 VPN 사용자가 액세스할 수 있는 네트워크 리소스를 구성합니다(GVC, NetExtender 또는 Virtual Office 책갈피). 네트워크 목록에서 네트워크 주소 오브젝트 또는 그룹을 하나 이상 선택한 다음 오른쪽 화살표 단추(->)를 클릭하여 액세스 목록 열로 이동합니다. 사용자의 네트워크 주소 오브젝트 또는 그룹 액세스 권한을 제거하려면 액세스 목록에서 네트워크를 선택한 다음 왼쪽 화살표 단추(<-)를 클릭합니다.
Note VPN 액세스 탭의 설정은 GVC, NetExtender 및 SSL VPN Virtual Office 책갈피를 사용하여 네트워크 리소스에 액세스하는 원격 클라이언트의 기능에 적용됩니다. GVC, NetExtender 또는 Virtual Office 사용자가 네트워크 리소스에 액세스하도록 허용하려면 네트워크 주소 오브젝트 또는 그룹을 VPN 액세스 탭의 "허용" 목록에 추가해야 합니다.
6. 확인을 클릭합니다.
Note 일회용 암호 기능은 SSL VPN 세션을 통해 사용자가 로그인을 시도할 수 있는 표준 사용자 이름 및 암호 자격 증명 외에 시스템에서 생성된 임의 암호를 이용하는 두 요소로 된 인증 체계입니다.
RADIUS 사용자에 대해 SSL VPN 액세스를 구성하려면 SSLVPN 서비스 사용자 그룹에 해당 사용자를 추가해야 합니다. 이렇게 하려면 다음 단계를 수행합니다.
1. 사용자 > 설정 페이지로 이동합니다.
2. 로그인을 위한 인증 방법 풀다운 메뉴에서 RADIUS 또는 RADIUS + 로컬 사용자를 선택합니다.
3. 로그인을 위한 인증 방법의 구성 단추를 클릭합니다. RADIUS 구성 창이 표시됩니다.
4. RADIUS 사용자 탭을 클릭합니다.
5. 모든 RADIUS 사용자가 속한 기본 사용자 그룹 풀다운 메뉴에서 SSLVPN 서비스를 선택합니다.
Note 사용자 편집 창의 VPN 액세스 탭에서도 Virtual Office 책갈피 및 NetExtender 액세스를 모두 세부적으로 제어할 수 있습니다.
6. 확인을 클릭합니다.
LDAP 사용자에 대해 SSL VPN 액세스를 구성하려면 SSLVPN 서비스 사용자 그룹에 LDAP 사용자 그룹을 추가해야 합니다. 이렇게 하려면 다음 단계를 수행합니다.
1. 사용자 > 설정 페이지로 이동합니다.
2. 로그인을 위한 인증 방법을 LDAP 또는 LDAP + 로컬 사용자로 설정합니다.
3. 구성 단추를 클릭하여 LDAP 구성 창을 시작합니다.
4. LDAP 사용자 탭을 클릭합니다.
5. 기본 LDAP 사용자 그룹 풀다운 메뉴에서 SSLVPN 서비스를 선택합니다.
Note 사용자 편집 창의 VPN 액세스 탭에서도 Virtual Office 책갈피 및 NetExtender 액세스를 모두 세부적으로 제어할 수 있습니다.
6. 확인을 클릭합니다.