SonicOS의 IPv6을 구현하는 방법에 대한 자세한 내용은 부록 C: IPv6을 참조하십시오. U0_interface
USB 포트가 있는 Dell SonicWALL 보안 어플라이언스는 외부 3G/모바일 또는 아날로그 모뎀 인터페이스를 지원합니다. 어플라이언스에 따라 어플라이언스를 시작하기 전에 아날로그 모뎀 또는 3G 장치를 설치하면 해당 장치는 네트워크 > 인터페이스 페이지에서 U0, U1 또는 M0(NSA 240에만 해당) 인터페이스로 나열됩니다.
왼쪽 탐색 모음의 3G 또는 모뎀 탭에서 U0/U1/M0 인터페이스를 먼저 구성해야 합니다. 인터페이스의 구성 프로필을 만든 후 네트워크 > 인터페이스 페이지에서 구성을 수정할 수 있습니다. 3G 또는 아날로그 모뎀 외부 인터페이스에 대한 자세한 내용은 3G/4G/모뎀을 참조하십시오.
Note Dell SonicWALL 보안 어플라이언스를 다시 부팅해야 외부 3G/모바일 또는 아날로그 모뎀 인터페이스가 인식됩니다.
U0/U1/M0 외부 3G/모뎀 인터페이스에 대한 연결을 수동으로 시작하려면 다음 단계를 수행합니다.
1. 네트워크 > 인터페이스 페이지에서 U0/U1/M0 인터페이스에 대한 관리 단추를 클릭합니다.
2. U0/U1/M0 연결 상태 창이 표시됩니다. 연결 단추를 클릭합니다. 연결이 활성화되면 U0/U1/M0 연결 상태 창에 연결 통계가 표시됩니다.
3G Failover 기능이 있는 이더넷의 동작에 대한 자세한 설명은 3G/4G 연결 유형 이해를 참조하십시오.
네트워크 > 인터페이스 페이지에서 U0/U1/M0 인터페이스를 구성하려면 다음 단계를 수행합니다.
1. U0/U1/M0 인터페이스의 구성 아이콘을 클릭합니다.
데이터에서 연결 모드에서 인터페이스를 사용하려는 경우 어플라이언스가 트래픽 유형을 감지할 때 인터페이스의 자동 연결을 트리거할 트래픽의 카테고리를 선택합니다.
지원되는 카테고리는 다음과 같습니다.
• NTP 패킷
• GMS 하트비트
• 시스템 로그 이메일
• AV 프로필 업데이트
• SNMP 트랩
• 라이선스가 있는 업데이트
• 펌웨어 업데이트 요청
• Syslog 트래픽
Note 데이터에서 연결 작업을 위해 Dell SonicWALL 어플라이언스를 구성하려면 연결 프로필에 대해 연결 유형으로 데이터에서 연결을 선택해야 합니다. 자세한 내용은 3G/4G > 연결 프로필을 참조하십시오.
3. 적절한 관리/사용자 로그인 옵션을 선택하여 3G 인터페이스를 통한 Dell SonicWALL 어플라이언스 원격 관리를 사용하도록 설정합니다.
지원되는 관리 프로토콜인 HTTPS, Ping, SNMP 및/또는 SSH 중에서 선택할 수 있습니다. 관리 트래픽용으로 HTTP를 선택할 수도 있습니다. 그러나 HTTP 트래픽은 HTTPS보다 안전하지 못하다는 점을 기억해야 합니다.
Note U0/U1/M0 인터페이스를 통해 어플라이언스를 원격으로 관리하려면 3G 공급자가 (1) 3G 네트워크에 연결하는 즉시 공개적으로 경로 지정 가능한 IP 주소를 발급해야 하며 (2) 해당 네트워크에서 외부 연결을 시작하도록 허용해야 합니다. 3G 공급자가 이러한 요구 사항을 지원하는지 문의하십시오.
4. 보안을 강화하기 위해 Dell SonicWALL이 HTTP 요청을 HTTPS 요청으로 자동 변환하도록 하려면 HTTP에서 HTTPS로 리디렉션을 사용할 수 있도록 규칙 추가를 선택합니다.
5. 인터페이스에 대해 기본 설정 구성 프로필을 선택하려면 프로필 탭을 클릭합니다.
6. Primary 프로필, 대체 프로필 1 및 대체 프로필 2에 대해 적절한 연결 프로필을 선택합니다.
Note 이렇게 하려면 먼저 3G > 연결 프로필 페이지에서 연결 프로필을 구성해야 합니다. 자세한 내용은 3G/4G > 연결 프로필을 참조하십시오.
7. 고급 탭을 클릭합니다.
네트워크 관리자가 WAN 모뎀 연결을 원격으로 시작할 수 있도록 설정하려면 원격으로 트리거된 전화 수신 접속 사용 확인란을 선택합니다. 자세한 내용은 원격으로 트리거된 전화 수신 접속을 참조하십시오.
9. (옵션) 원격 통화를 인증하려면 인증 필요 확인란을 선택하고 암호 및 암호 확인 필드에 암호를 입력합니다.
10. 최대 호스트 필드에 이 인터페이스 연결 시 허용할 최대 호스트 수를 입력합니다. 기본값은 "0"(노드 무제한 허용)입니다.
11. 아웃바운드 트래픽에 대한 대역폭 관리 정책 규약을 사용하도록 설정하려면 송신 대역폭 관리 사용 확인란을 선택합니다.
12. 인바운드 트래픽에 대한 대역폭 관리 정책 규약을 사용하도록 설정하려면 수신 대역폭 관리 사용 확인란을 선택합니다.
13. 전화 접속 장치에서 압축을 수행하는 경우 필요에 따라 드롭다운 목록에서 압축 승수를 선택하여 대역폭 계산을 적절하게 조정합니다.
14. 이 인터페이스의 플로우에 대한 데이터를 플로우레포팅 및 실시간 모니터로 레포팅하려면 플로우레포팅 사용 확인란을 선택합니다.
Note 이전 SonicOS 릴리스에서는 네트워크 > 인터페이스 페이지에서 3G/모뎀 인터페이스의 Failover 동작을 구성했습니다. 이제는 네트워크 > Failover 및 부하분산 페이지에서 3G/모뎀 Failover를 구성합니다. 자세한 내용은 네트워크 > 장애 조치(failover) 및 부하 분산을 참조하십시오.
Dell SonicWALL PortShield 인터페이스 구성(TZ 시리즈, NSA 240 및 NSA 2400MX)
PortShield 아키텍처에서는 일부 또는 모든 LAN 포트를 개별 보안 컨텍스트로 구성하여 WAN 및 DMZ뿐 아니라 네트워크 내의 장치 간에도 보호 기능을 제공할 수 있습니다. 실제로 각 컨텍스트에는 전용 DPI(Deep Packet Inspection) 방화벽의 보호 기능을 활용하는 자체 유선 속도인 PortShield가 있습니다.
PortShield는 Dell SonicWALL TZ 시리즈, NSA 240 및 NSA 2400MX 어플라이언스에서 지원됩니다.
Tip PortShield 그룹화를 사용하지 않아도 네트워크 > 인터페이스 페이지에서 언제든지 영역을 여러 인터페이스에 적용할 수 있습니다. 그러나 이러한 인터페이스는 PortShield를 사용하여 그룹화하지 않으면 같은 네트워크 서브넷을 공유하지 않습니다.
원하는 포트 조합을 PortShield 인터페이스에 할당할 수 있습니다. PortShield 인터페이스에 할당하지 않는 모든 포트는 LAN 인터페이스에 할당됩니다.
PortShield 인터페이스를 구성하려면 다음 단계를 수행합니다.
1. 네트워크 > 인터페이스 페이지를 클릭합니다.
구성하려는 인터페이스의 구성 단추를 클릭합니다. 인터페이스 편집 창이 표시됩니다.
영역 풀다운 메뉴에서 인터페이스를 매핑할 영역 유형 옵션을 선택합니다.
Note PortShield 인터페이스는 신뢰할 수 있는 영역, 공용 영역 및 무선 영역에만 추가할 수 있습니다.
4. IP 할당 풀다운 메뉴에서 PortShield 전환 모드를 선택합니다.
5. PortShield 목적지 풀다운 메뉴에서 해당 포트를 매핑할 인터페이스를 선택합니다. 선택한 영역과 일치하는 포트만 표시됩니다.
VLAN 서브인터페이스 구성(Dell SonicWALL NSA 시리즈 어플라이언스)
VLAN 서브인터페이스는 Dell SonicWALL NSA 시리즈 어플라이언스에서 지원됩니다. VLAN 서브인터페이스를 추가할 때는 서브인터페이스를 영역에 할당하고, VLAN 태그를 서브인터페이스에 할당한 다음 물리적 인터페이스에 서브인터페이스를 할당해야 합니다. 영역 할당에 따라 같은 영역에 대해 물리적 인터페이스를 구성하는 것과 같은 방식으로 VLAN 서브인터페이스를 구성할 수 있습니다.
가상 인터페이스 추가
1. 네트워크 > 인터페이스 페이지로 이동합니다.
2. 인터페이스 설정 테이블 아래쪽에서 인터페이스 추가 드롭다운 메뉴를 클릭하고 가상 인터페이스를 선택합니다.
인터페이스 편집 창이 표시됩니다.
인터페이스에 할당할 영역을 선택합니다. LAN, WAN, DMZ, WLAN 중에서 선택하거나 영역을 직접 만들 수 있습니다. 상위(물리적) 인터페이스와 같은 영역을 할당할 필요는 없습니다. 실제로 상위 인터페이스는 할당되지 않음 상태로 유지해도 됩니다.
선택한 영역에 따라 서브인터페이스의 네트워크 설정에 알맞은 구성을 선택합니다.
• LAN, DMZ 또는 신뢰할 수 있는 유형의 사용자 지정 영역: 고정 또는 투명. LAN에서는 탭 모드(1포트 탭)을 선택할 수도 있습니다.
• WLAN 또는 사용자 지정 무선 영역: 정적 IP만(IP 할당 목록 없음)
4. 서브인터페이스에 VLAN 태그(ID)를 할당합니다. 유효한 VLAN ID는 1~4094이지만 일부 스위치에서는 원시 VLAN을 지정하기 위해 VLAN 1이 예약됩니다. 보안 어플라이언스를 사용하여 보호하려는 각 VLAN에 해당하는 VLAN ID로 VLAN 서브인터페이스를 만들어야 합니다.
5. 이 서브인터페이스가 속할 상위(물리적) 인터페이스를 선언합니다. 인터페이스별로 할당 가능한 서브인터페이스 수는 제한되어 있지 않습니다. 즉 시스템 한도까지 서브인터페이스를 할당할 수 있습니다.
6. 선택한 영역에 따라 서브인터페이스 네트워크 설정을 구성합니다. 이 장 앞부분의 인터페이스 구성 지침을 참조하십시오.
• WLAN 인터페이스 구성(Dell SonicWALL TZ 시리즈 무선 어플라이언스)
• Dell SonicWALL PortShield 인터페이스 구성(TZ 시리즈, NSA 240 및 NSA 2400MX)
• U0/U1/M0 외부 3G/4G/모뎀 인터페이스 구성
• Dell SonicWALL PortShield 인터페이스 구성(TZ 시리즈, NSA 240 및 NSA 2400MX)
• VLAN 서브인터페이스 구성(Dell SonicWALL NSA 시리즈 어플라이언스)
7. 서브인터페이스에 대한 관리 및 사용자 로그인 방법을 선택합니다.
8. 확인을 클릭합니다.
다음 섹션을 참조하십시오.
• L2 브리지 모드를 사용한 VLAN 통합(Dell SonicWALL NSA 시리즈 어플라이언스)
• 네트워크에 적합한 토폴로지 선택
– 방화벽 서비스 라이선싱
– DHCP 서버 사용 안 함
– SNMP 및 HTTP/HTTPS 관리 구성 및 사용
– Syslog 사용
– 관련 영역에서 방화벽 서비스 활성화
– 방화벽 액세스 규칙 만들기
– 로그 설정 구성
– 무선 영역 설정 구성
– 기본 브리지 인터페이스 영역 선택
– 관리 활성화
– 보안 서비스 활성화
– 보조 브리지 인터페이스 영역 선택
– 관리 활성화
– 보안 서비스 활성화
• 해당 영역에 보안 서비스 적용
대부분의 레이어 2 브리지 모드 토폴로지에서 Dell SonicWALL 네트워크 어플라이언스를 사용하기 전에 해당 어플라이언스에서 다음 설정을 구성해야 합니다.
어플라이언스가 정상적으로 등록되면 시스템 > 라이선스 페이지로 이동하여 온라인으로 보안 서비스 관리에 있는 동기화를 클릭합니다. 그러면 Dell SonicWALL 라이선싱 서버에 연결되고 어플라이언스 라이선스가 올바르게 제공됩니다.
라이선싱 상태를 확인하려면 시스템 > 상태 페이지로 이동하여 모든 방화벽 서비스(게이트웨이 안티바이러스, 안티스파이웨어 및 침입 방지)의 라이선스 상태를 확인합니다.
DHCP 서버 사용 안 함
다른 장치가 DHCP 서버로 작동하는 네트워크 구성에서 Dell SonicWALL 네트워크 보안 어플라이언스를 레이어 2 브리지 모드로 사용 중인 경우, 먼저 내부 DHCP 엔진(기본적으로 구성 및 실행됨)을 사용하지 않도록 설정해야 합니다. 네트워크 > DHCP 서버 페이지에서 DHCPv4 서버 사용 확인란을 선택 취소하고 화면 위쪽의 적용 단추를 클릭합니다.
SNMP 설정 구성
시스템 > SNMP 페이지에서 SNMP 사용 옆의 확인란이 선택되어 있는지 확인하고 화면 위쪽의 적용 단추를 클릭합니다.
그런 다음 구성 단추를 클릭합니다. SNMP 설정 페이지에서 방화벽에 관한 모든 정보(SNMP 서버에 필요한 GET 및 TRAP SNMP 커뮤니티 이름과 SNP 서버의 IP 주소)를 입력합니다. 확인을 클릭하여 변경 내용을 저장 및 활성화합니다.
인터페이스에서 SNMP 및 HTTPS 사용
네트워크 > 인터페이스 페이지에서 어플라이언스를 관리하는 데 사용할 인터페이스에서 SNMP 및 HTTP/HTTPS를 사용하도록 설정합니다.
Syslog 사용
1. 로그 > Syslog 페이지에서 추가 단추를 클릭합니다.
Syslog 서버 추가 창이 표시됩니다.
2. Syslog 서버의 항목을 만듭니다. 확인을 클릭하여 변경 내용을 저장 및 활성화합니다.
네트워크 > 영역 페이지에서 사용하려는 각 영역에 대해 방화벽 서비스가 활성화되어 있는지 확인합니다.
그런 다음 각 방화벽 서비스의 보안 서비스 페이지에서 환경에 가장 적합한 설정을 활성화 및 구성합니다.
아래 게이트웨이 안티바이러스 설정의 예가 나와 있습니다.
아래 침입 방지 설정의 예가 나와 있습니다.
아래 안티바이러스 설정의 예가 나와 있습니다.
방화벽 액세스 규칙 만들기
다른 영역에서 어플라이언스를 관리하려는 경우 또는 관리/SNMP/syslog 서비스용 HP PCM+/NIM 서버와 같은 서버를 사용하려는 경우에는 영역 간 트래픽에 대한 액세스 규칙을 만듭니다. 방화벽 > 액세스 규칙 페이지에서 서버 영역과 사용자 및 서버가 포함된 영역의 교차에 대해 구성 아이콘을 클릭합니다. 환경에 따라 이러한 교차가 둘 이상 있을 수 있습니다. 서버가 해당 영역의 모든 장치와 통신하도록 허용하는 새 규칙을 만듭니다.
로그 설정 구성
로그 > 범주 페이지에서 로깅 수준을 정보로, 경고 수준을 중요로 설정합니다. 수락을 클릭하여 변경 내용을 저장 및 활성화합니다.
그런 다음 로그 > 이름 확인 페이지로 이동하여 이름 확인 방법을 DNS 이후 NetBios로 설정합니다. 수락을 클릭하여 변경 내용을 저장 및 활성화합니다.
무선 영역 설정 구성
HP PCM+/NIM 시스템을 사용할 때 이 시스템에서 WLAN/무선 영역에 할당된 인터페이스의 HP ProCurve 스위치를 관리할 경우에는 두 가지 기능을 비활성화해야 합니다. 그렇지 않으면 스위치를 관리할 수 없습니다. 네트워크 > 영역 페이지로 이동하여 무선 영역을 선택합니다. 무선 탭에서 SonicPoint에서 생성된 트래픽만 허용 및 WiFiSec 규약 옆에 있는 확인란을 선택 취소합니다. 확인을 클릭하여 변경 내용을 저장 및 활성화합니다.
네트워크에 가장 적합한 토폴로지를 선택하는 방법은 L2 브리지 인터페이스 영역 선택을 참조하십시오. 이 예에서는 단순 L2 브리지 토폴로지와 가장 비슷한 토폴로지를 사용합니다.
기본 브리지 인터페이스로 사용할 인터페이스를 선택합니다. 이 인터페이스를 선택하는 방법에 대한 자세한 내용은 L2 브리지 인터페이스 영역 선택을 참조하십시오. 이 예에서는 기본 WAN에 자동 할당되는 X1을 사용합니다.
1. 네트워크 > 인터페이스 페이지로 이동합니다.
2. X1(WAN) 인터페이스의 구성 아이콘을 클릭합니다.
3. 10.203.15.82 등의 정적 IP 주소로 인터페이스를 구성합니다.
Note 기본 브리지 인터페이스에는 정적 IP가 할당되어 있어야 합니다.
4. 기본 게이트웨이를 구성합니다. 보안 어플라이언스 자체가 인터넷에 연결하려면 기본 게이트웨이를 구성해야 합니다. 이 단계는 WAN 인터페이스에만 적용됩니다.
5. DNS 서버를 구성합니다. 이 단계는 WAN 인터페이스에만 적용됩니다.
6. 관리 옵션을 구성합니다(HTTP, HTTPS, Ping, SNMP, SSH, 사용자 로그인, HTTP 리디렉션).
7. 확인을 클릭합니다.
보조 브리지 인터페이스로 사용할 인터페이스를 선택합니다. 이 인터페이스를 선택하는 방법에 대한 자세한 내용은 L2 브리지 인터페이스 영역 선택을 참조하십시오. 이 예에서는 LAN에 자동 할당되는 X0을 사용합니다.
1. 네트워크 > 인터페이스 페이지에서 X0(LAN) 인터페이스 오른쪽 열의 구성 아이콘을 클릭합니다.
2. IP 할당 드롭다운 목록에서 레이어 2 브리지 모드를 선택합니다.
3. 브리지 대상 드롭다운 목록에서 X1 인터페이스를 선택합니다.
4. 관리 옵션을 구성합니다(HTTP, HTTPS, Ping, SNMP, SSH, 사용자 로그인, HTTP 리디렉션).
5. 원하는 경우 모든 비IPv4 트래픽 차단 설정을 사용하여 L2 브리지가 비IPv4 트래픽을 전달하지 못하도록 할 수 있습니다.
VLAN 필터링(Dell SonicWALL NSA 시리즈 어플라이언스)
원하는 경우 VLAN 필터링 탭으로 이동하여 L2 브리지를 통한 VLAN 트래픽을 제어할 수 있습니다. 기본적으로는 모든 VLAN이 허용됩니다.
• 드롭다운 목록에서 나열된 VLAN 차단(블랙 리스트)을 선택하고 차단하려는 VLAN을 왼쪽 창에서 오른쪽 창으로 추가합니다. 오른쪽 창에 추가된 VLAN이 모두 차단되고 왼쪽 창에 남아 있는 VLAN은 모두 허용됩니다.
• 드롭다운 목록에서 나열된 VLAN 허용(화이트 리스트)을 선택하고 명시적으로 허용하려는 VLAN을 왼쪽 창에서 오른쪽 창으로 추가합니다. 오른쪽 창에 추가된 VLAN이 모두 허용되고 왼쪽 창에 남아 있는 VLAN은 모두 차단됩니다.
6. 확인을 클릭합니다.
네트워크 > 인터페이스 페이지에 업데이트된 구성이 표시됩니다.
이제 보안 서비스를 적절한 영역에 원하는 대로 적용할 수 있습니다. 이 예에서는 LAN이나 WAN 또는 두 영역에 모두 보안 서비스를 적용합니다.
L2 브리지 모드를 사용한 VLAN 통합(Dell SonicWALL NSA 시리즈 어플라이언스)
VLAN은 Dell SonicWALL NSA 시리즈 어플라이언스에서 지원됩니다. VLAN 태그가 포함된 패킷이 물리적 인터페이스에 도착하면 VLAN ID를 평가하여 해당 패킷의 지원 여부를 확인합니다. 그런 다음 VLAN 태그가 스트립되고 다른 트래픽과 마찬가지로 패킷이 계속 처리됩니다. 인바운드/아웃바운드 패킷 경로의 간소화된 보기에는 다음 단계(반복될 수 있음)가 포함됩니다.
1. IP 유효성 검사 및 리어셈블리
2. 캡슐화 해제(802.1q, PPP)
3. 암호 해독
4. 연결 캐시 조회 및 관리
5. 경로 지정 정책 조회
6. NAT 정책 조회
7. 액세스 규칙(정책) 조회
8. 대역폭 관리
9. NAT 변환
10. 고급 패킷 처리(해당하는 경우)
a. TCP 유효성 검사
b. 관리 트래픽 처리
c. 콘텐츠 필터링
d. 변환 및 플로우 분석(Dell SonicWALL NSA 시리즈 어플라이언스): H.323, SIP, RTSP, ILS/LDAP, FTP, Oracle, NetBIOS, Real Audio, TFTP
e. IPS 및 GAV
이 시점에서 유효성을 검사한 결과 적절한 트래픽으로 확인된 패킷은 대상으로 전달됩니다. 패킷 발신 경로에서는 다음 작업이 수행됩니다.
• 암호화
• 캡슐화
• IP 조각화
발신 시 경로 지정 정책 조회에서 게이트웨이 인터페이스가 VLAN 서브인터페이스임을 확인한 경우 패킷에 적절한 VLAN ID 헤더가 태그로 지정됩니다(패킷 캡슐화). VLAN 서브인터페이스가 생성되면 Dell SonicWALL의 라우팅 정책 테이블이 자동으로 업데이트됩니다.
VLAN 서브인터페이스와 관련된 NAT 정책 및 액세스 규칙 자동 생성은 물리적 인터페이스와 정확히 똑같은 방식으로 작동합니다. VLAN 간의 트래픽을 관리하는 규칙과 정책은 SonicOS의 일반적인 편의 기능을 통해 사용자 지정할 수 있습니다.
일반 관리의 일부로 또는 서브인터페이스 만들기 단계로 영역을 만들 때는 해당 영역에 대한 그룹 VPN의 자동 생성을 제어하는 확인란이 영역 만들기 페이지에 제공됩니다. 기본적으로는 새로 만든 무선 유형 영역에 한해 '이 영역에 대해 그룹 VPN 만들기'가 사용하도록 설정됩니다. 단 영역을 만드는 동안 확인란을 선택하여 다른 영역 유형의 옵션을 사용하도록 설정할 수 있습니다.
VLAN 서브인터페이스 간의 보안 서비스는 영역 수준에서 관리합니다. 물리적 인터페이스, VLAN 서브인터페이스 또는 물리적 + VLAN 서브인터페이스 조합으로 구성된 영역에 모든 보안 서비스를 구성 및 적용할 수 있습니다.
VLAN 구분을 사용하면 서로 다른 작업 그룹 간의 게이트웨이 안티바이러스/침입 방지 서비스를 손쉽게 적용할 수 있습니다. 그러면 보호되는 각 세그먼트에 전용 물리적 인터페이스를 사용할 필요가 없습니다.
조직은 VLAN 지원을 통해 Dell SonicWALL에서 전용 물리적 인터페이스를 사용하지 않고도 여러 작업 그룹 간에, 그리고 작업 그룹과 서버 팜 간에 단순한 패킷 필터링과 다른 의미 있는 내부 보안 성능을 제공할 수 있습니다.
여기서는 WAN 영역에 VLAN 서브인터페이스를 할당하는 기능과 WAN 클라이언트 모드(WAN 영역에 할당된 VLAN 서브인터페이스에는 정적 주소 지정만 지원됨)를 사용하는 기능, WAN 부하 분산 및 장애 조치를 지원하는 기능을 설명합니다. 또한 SonicPoint를 작업 그룹 스위치의 액세스 모드 VLAN 포트에 연결하여 네트워크 전체에 분산시키는 방법도 설명합니다. 그러면 이러한 스위치가 코어 스위치로 백홀되고, 이 코어 스위치가 트렁크 링크를 통해 모든 VLAN을 어플라이언스에 연결합니다.
레이어 2 브리지 모드용으로도 구성된 인터페이스에서 VPN을 구성할 때는 수신 VPN 트래픽이 Dell SonicWALL 보안 어플라이언스를 제대로 통과하도록 추가 경로를 구성해야 합니다. 네트워크 > 라우팅 페이지로 이동하여 경로 지정 정책 섹션에서 추가 단추를 클릭합니다. 경로 지정 정책 추가 창에서 다음과 같이 경로를 구성합니다.
• 원본: 임의
• 대상: custom-VPN-address-object(로컬 VPN 터널 IP 주소 범위의 주소 개체)
• 서비스: 임의
• 게이트웨이: 0.0.0.0
• 인터페이스: X0
네트워크 관리자는 VAP(가상 액세스 포인트) 레이어 2 브리지 기능을 사용하여 무선 인터페이스 영역을 유선 인터페이스 영역에 브리지할 수 있습니다. VAP 레이어 2 브리지는 WLAN 레이어 2 브리지와 무선 VAP를 기반으로 하며, 결합된 무선 및 유선 네트워크를 훨씬 쉽게 배포할 수 있도록 합니다.
VAP 레이어 2 브리지의 모든 장치는 같은 서브넷을 공유하며 브로드캐스트 패킷을 전달할 수 있습니다. 유선 인터페이스 레이어 2 브리지에서는 VLAN 태그가 포함된 모든 패킷이 브리지 파트너 인터페이스(VLAN 주소가 같은 인터페이스)로 전달됩니다.
VLAN 서브인터페이스는 레이어 2 브리지 모드를 지원하지 않습니다. 그러나 인터페이스 영역이 WLAN 영역이면 VAP 레이어 2 브리지 기능은 서브인터페이스에 대해 레이어 2 브리지를 지원합니다.
VAP 레이어 2 브리지를 구성할 때 VAP 인터페이스의 무선 클라이언트는 Primary 브리지 인터페이스와 같은 서브넷을 공유합니다.
VAP 레이어 2 브리지의 주요 개념
• 브리지 쌍 – Primary 브리지 인터페이스 및 Secondary 브리지 인터페이스로 구성되는 두 논리적 인터페이스입니다. Primary 및 Secondary가 수준 우선권 또는 종속성을 나타내는 것은 아닙니다. 두 인터페이스는 모두 영역 유형에 따라 작동하며 구성된 액세스 규칙에 따라 IP 트래픽을 전달합니다. 각 브리지 쌍에는 물리적 인터페이스 두 개가 필요합니다. 따라서 사용 가능한 브리지 쌍의 수는 어플라이언스에 있는 물리적 인터페이스 수의 절반입니다. 브리지 쌍을 통과하는 비IPv4 트래픽은 Secondary 브리지 인터페이스의 "모든 비IPv4 트래픽 차단" 설정을 통해 제어됩니다.
• Primary 브리지 인터페이스 – Secondary 브리지 인터페이스가 쌍으로 연결된 후 인터페이스에 할당되는 지정입니다. Primary 브리지 인터페이스는 다음 영역 중 하나에 속할 수 있습니다.
– 신뢰할 수 없음(WAN)
– 신뢰할 수 있음(LAN)
– 공용(DMZ)
• Secondary 브리지 인터페이스 – IP 할당이 레이어 2 브리지 모드용으로 구성된 인터페이스에 할당되는 지정입니다. Secondary 브리지 인터페이스는 다음 영역 중 하나에 속할 수 있습니다.
– 신뢰할 수 있음(LAN)
– 퍼블릭(DMZ)
– WLAN
• 브리지 파트너 – 브리지 쌍의 다른 구성원을 지칭하는 용어입니다. 이 구성원은 Primary 브리지 인터페이스일 수도 있고 Secondary 브리지 인터페이스일 수도 있습니다.
• 비IPv4 트래픽 - SonicOS Enhanced에서 지원하는 IP 프로토콜 유형은 ICMP, IGMP, TCP, UDP, GRE, ESP, AH, EIGRP, OSPF, PIM-SM, L2TP입니다.
Combat Radio Transport Protocol 등의 기타 IP 유형과 IPX, IPv6 등의 비IPv4 트래픽 유형은 기본적으로 SonicOS에서 처리되지 않습니다. 비IPv4 트래픽을 전달하거나 삭제하도록 레이어 L2 브리지 모드를 구성할 수 있습니다.
• 종속 브리지 모드 - 레이어 2 브리지 모드 대신 비브리지 쌍 인터페이스를 통해 트래픽을 전달할 수 없도록 하는 레이어 2 브리지용 옵션 모드입니다. 기본적으로 레이어 2 브리지는 ARP 및 라우팅 테이블에서 결정된 최적의 경로를 통해 모든 트래픽을 목적지로 전달합니다. 비브리지 쌍 인터페이스를 통해 트래픽이 전달되는 경우도 있습니다. 레이어 2 브리지를 종속 브리지 모드로 설정하면 레이어 2 브리지로 들어오는 모든 트래픽이 비브리지 쌍 인터페이스 등의 다른 경로가 최적 경로인 경우에도 해당 경로를 사용하지 않고 레이어 2 브리지를 통해 나가도록 강제 지정됩니다. 일반적으로 경로가 중복되고 엄격하게 경로를 따라야 하는 복잡한 네트워크에서만 종속 브리지 모드를 사용해야 합니다.
• VAP(가상 액세스 포인트) - VAP는 여러 고유 AP(액세스 포인트)로 표시될 수 있도록 단일 물리적 액세스 포인트가 멀티플렉싱 방식으로 인스턴스화된 것입니다. WLAN 클라이언트에서 각 VAP는 독립된 물리적 AP로 표시되지만 실제로 물리적 AP는 하나뿐입니다. 레이어 2 브리지 모드에서 작동하는 WLAN의 경우 VAP는 WLAN 영역 서브인터페이스입니다.
WLAN 영역을 레이어 2 브리지 모드로 설정
WLAN 영역 인터페이스에서 고정 IP 주소 할당을 지원할 수 있을 뿐 아니라 WLAN 영역 인터페이스를 다른 인터페이스에 브리지할 수도 있습니다. WLAN 인터페이스를 LAN/DMZ 인터페이스에 브리지하면 아래에 나와 있는 것처럼 해당 LAN/DMZ 인터페이스가 Primary 브리지 인터페이스가 되고 WLAN 인터페이스는 Secondary 브리지 인터페이스가 됩니다.
• 영역: WLAN으로 설정합니다.
• IP 할당: 레이어 2 브리지 모드로 설정합니다.
• 상위 인터페이스: X4:V1(이 대화 상자를 연 WLAN 인터페이스)입니다.
• 브리지 목적지: X5:100(LAN 인터페이스)으로 설정됩니다.
IP 할당을 레이어 2 브리지 모드로 설정하면 WLAN 인터페이스는 브리지 목적지: 상자에서 쌍으로 연결된 Primary 브리지 인터페이스에 대한 Secondary 브리지 인터페이스가 됩니다. 이 경우에는 WLAN 인터페이스인 X4:V1이 Secondary 브리지 인터페이스가 되고 LAN 인터페이스인 X5:V100이 Primary 브리지 인터페이스가 됩니다.
결과 브리지 쌍은 전체 레이어 2 투명도가 적용된 2포트 러닝 브리지입니다. 브리지를 통과하는 모든 IP 트래픽에 대해 전체 상태 저장 DPI(Deep Packet Inspection)가 수행됩니다.
브리지 쌍이 생성되고 나면 이 그림에 나와 있는 것처럼 네트워크 > 인터페이스 화면에 Primary 및 Secondary 브리지 인터페이스 지정이 표시됩니다.
WLAN 영역을 레이어 2 브리지 모드로 설정하려면 다음 단계를 수행합니다.
1. Dell SonicWALL 보안 어플라이언스에서 네트워크 > 인터페이스로 이동합니다.
2. 레이어 2 브리지 모드로 설정할 인터페이스에서 구성 아이콘을 클릭합니다.
이 인터페이스가 Secondary 브리지 인터페이스가 됩니다.
3. 인터페이스 설정 대화 상자에서 영역을 WLAN으로 설정합니다.
4. 모드/IP 할당 상자를 레이어 2 브리지 모드로 설정합니다.
5. 브리지 목적지: 상자를 원하는 인터페이스로 설정합니다.
이 인터페이스가 Primary 브리지 인터페이스가 됩니다.
주소 확인 프로토콜
레이어 2 브리지 모드에서는 보안 러닝 브리지 아키텍처를 사용하여 대부분의 다른 투명 보안 어플라이언스 통합 방법에서는 처리할 수 없는 트래픽 유형을 전달 및 검사할 수 있습니다.
레이어 2 브리지에서는 ARP(주소 확인 프로토콜)를 사용하여 브리지 쌍의 인터페이스 주소를 확인합니다. 레이어 2 브리지 모드 ARP는 각 호스트가 있는 레이어 2 브리지의 인터페이스를 동적으로 확인합니다. ARP 데이터는 기본적으로 레이어 2 브리지를 통과하므로 레이어 2 브리지를 통해 통신하는 호스트는 IP 주소가 아닌 피어의 호스트 MAC 주소를 확인하게 됩니다.
워크스테이션 A가 Dell SonicWALL 보안 어플라이언스(192.168.0.1) 및 워크스테이션 B(192.168.0.200)와 통신하는 경우를 예로 들어 보겠습니다. 워크스테이션 A는 Dell SonicWALL 보안 어플라이언스를 00:11:11:11:11:11로, 워크스테이션 B를 00:90:10:10:10:10으로 확인합니다.
AP 모드의 무선 인터페이스 또는 SonicPoint에 연결하는 WLAN 영역 인터페이스의 경우에는 ARP 패킷이 내부 클라이언트 통신을 위해 WLAN 영역 인터페이스로만 전달됩니다.
레이어 2 브리지 모드가 설정된 WLAN 영역 인터페이스의 경우에는 ARP 패킷이 두 브리지 쌍 인터페이스에 모두 전달됩니다.
다음 다이어그램에는 WLAN 영역 브리지 인터페이스의 ARP 패킷 경로가 나와 있습니다.
무선 주소 개체
무선 모드에서 무선(WLAN) 인터페이스를 LAN/DMZ 영역에 브리지하면 WLAN 영역이 Secondary 브리지 인터페이스가 되기 때문에 무선 클라이언트가 유선 클라이언트와 같은 서브넷 및 DHCP 풀을 공유할 수 있습니다. 레이어 2 브리지 모드로 설정된 무선 인터페이스의 경우 WLAN 인터페이스 주소 개체의 IP 주소는 Primary 브리지 인터페이스와 같습니다.
아래 그림에는 WLAN 서브넷의 3개 무선 주소 개체와 WLAN 인터페이스 IP의 3개 개체가 나와 있습니다. WLAN 영역 개체는 Secondary 브리지 인터페이스에 있으며 IP 주소가 Primary 브리지 인터페이스와 같아야 합니다. Primary 브리지 인터페이스 IP 주소는 192.168.0.1, 192.168.100.1, 192.168.200.1입니다.
DHCP 지원
WLAN 영역이 레이어 2 브리지 모드에서 작동할 때는 Primary 브리지 인터페이스 또는 Secondary 브리지 인터페이스에서 DHCP 서버를 사용할 수 없습니다. 브리지 쌍을 통해서만 DHCP를 전달할 수 있습니다. 그러나 무선 클라이언트는 DHCP에서 IP 주소를 가져올 수 있습니다.
WLAN 영역이 고정 IP 모드에서 작동할 때는 기본 DHCP 임대 범위가 자동으로 생성됩니다. 무선 인터페이스가 다른 인터페이스에 브리지되는 경우 무선 클라이언트는 Primary 인터페이스 DHCP에서 IP 주소를 가져옵니다.
아래 그림에는 레이어 2 브리지 모드의 WLAN 인터페이스용 DHCP 임대 범위가 나와 있습니다.
브리지 쌍에 WLAN 영역 인터페이스가 포함되어 있지 않으면 DHCP는 브리지 쌍을 통해 전달됩니다. SonicOS는 WLAN 영역 인터페이스용 DHCP 서버로 작동합니다. WLAN 영역 인터페이스에서 수신된 DHCP 패킷은 상자에서 종료되고 DHCP 작업으로 전달됩니다. 다음 그림에는 DHCP 패킷 경로가 나와 있습니다.
경로 지정 정책
경로 지정 정책에 따라 패킷이 전달되는 인터페이스가 결정됩니다. WLAN 레이어 2 브리지 모드에서는 패킷이 Primary 인터페이스 서브넷으로 전송됩니다. 그리고 나면 시스템이 ARP 해시 테이블에서 레이어 2 브리지 모드로 작동 중인 송신 인터페이스의 IP 주소를 검색하여 해당 인터페이스로 패킷을 보냅니다.
아래 그림에 나와 있는 경로 지정 정책 테이블에서 레이어 2 브리지 쌍은 번호가 4~9인 항목으로 구성됩니다. 인터페이스 X5가 Primary 브리지 인터페이스이고 인터페이스 X4가 Secondary 브리지 인터페이스입니다. 두 인터페이스의 게이트웨이 IP 주소는 같습니다. 따라서 Secondary 인터페이스의 경로 지정 정책은 시스템에 의해 자동으로 제거됩니다. 아래 그림에서 제거되는 경로 지정 정책을 확인할 수 있습니다.
액세스 규칙
WLAN 레이어 2 브리지에 대한 허용 액세스 규칙은 브리지 쌍의 Primary 브리지 인터페이스에 자동으로 추가됩니다. 예를 들어 WLAN 레이어 2 브리지에 대해 허용 액세스 규칙을 추가하면 동일한 허용 액세스 규칙이 DMZ/LAN 영역에도 자동으로 추가됩니다. 또한 WLAN 영역에서 삭제하는 허용 액세스 규칙은 해당 DMZ/LAN 영역에서도 삭제됩니다. 아래 그림에는 추가된 허용 액세스 규칙의 예가 나와 있습니다.
IPS 스니퍼 모드 구성(Dell SonicWALL NSA 시리즈 어플라이언스)
IPS 스니퍼 모드용으로 Dell SonicWALL NSA 어플라이언스를 구성하려면 L2 브리지 쌍에 필요한 동일 영역의 인터페이스 두 개가 필요합니다. WAN 인터페이스를 제외한 모든 인터페이스를 사용할 수 있습니다. 이 예에서는 브리지 쌍에 대해 X2, X3을 사용하여 두 인터페이스가 LAN 영역에 포함되도록 구성합니다. WAN 인터페이스(X1)는 필요시 Dell SonicWALL 어플라이언스가 Dell SonicWALL 데이터 센터에 액세스하는 데 사용됩니다. 스위치의 미러 포트는 브리지 쌍의 인터페이스 중 하나에 연결됩니다.
이 섹션에 포함된 항목은 다음과 같습니다.
• 보안 서비스 구성(Unified Threat Management)
• 로깅 구성
• IPS 스니퍼 모드 인터페이스에 미러 스위치 포트 연결
1. 기본 브리지 인터페이스 구성
– 기본 브리지 인터페이스 영역으로 LAN 선택
– 정적 IP 주소 할당
2. 보조 브리지 인터페이스 구성
– 보조 브리지 인터페이스 영역으로 LAN 선택
– 기본 브리지 인터페이스에 L2 브리지 사용
3. SNMP를 사용하도록 설정하고 트랩을 보낼 수 있는 SNMP 관리자 시스템의 IP 주소 구성
4. LAN 트래픽의 보안 서비스 구성
5. 로깅 경고 설정을 "경고" 이하로 구성
6. 스위치의 미러 포트를 브리지 쌍의 인터페이스 중 하나에 연결
7. WAN에 연결하여 인터넷을 통한 동적 서명 데이터에 액세스할 수 있도록 WAN 구성
1. 네트워크 > 인터페이스 페이지로 이동합니다.
2. X2 인터페이스의 오른쪽 열에서 구성 아이콘을 클릭합니다.
3. 일반 탭의 인터페이스 편집 대화 상자에 있는 영역 드롭다운 목록에서 LAN을 선택합니다.
고급 또는 VLAN 필터링 탭에서는 설정을 구성하지 않아도 됩니다.
4. IP 할당 시 드롭다운 목록에서 정적을 선택합니다.
5. 10.1.2.3 등의 정적 IP 주소로 인터페이스를 구성합니다. 스위치에 표시되는 네트워크의 주소와 충돌하지 않는 IP 주소를 선택해야 합니다.
Note 기본 브리지 인터페이스에는 정적 IP가 할당되어 있어야 합니다.
6. 서브넷 마스크를 구성합니다.
7. 설명이 포함된 주석을 입력합니다.
8. 인터페이스의 관리 옵션을 선택합니다(HTTP, HTTPS, Ping, SNMP, SSH, 사용자 로그인, HTTP 리디렉션).
9. 확인을 클릭합니다.
이 예에서는 보조 브리지 인터페이스로 X3을 계속 사용합니다.
1. 네트워크 > 인터페이스 페이지로 이동합니다.
2. X3 인터페이스의 오른쪽 열에서 구성 아이콘을 클릭합니다.
3. 일반 탭의 인터페이스 편집 대화 상자에 있는 영역 드롭다운 목록에서 LAN을 선택합니다.
Note 고급 또는 VLAN 필터링 탭에서는 설정을 구성하지 않아도 됩니다.
4. 모드/IP 할당 드롭다운 목록에서 레이어 2 브리지 모드를 선택합니다.
5. 브리지 대상 드롭다운 목록에서 X2 인터페이스를 선택합니다.
6. 비IPv4 트래픽을 모니터링하려면 모든 비IPv4 트래픽 차단 설정을 사용하지 않도록 합니다.
7. 미러 스위치 포트의 트래픽이 네트워크로 다시 전송되지 않도록 하려면 이 브리지 쌍에 트래픽을 경로 지정 안 함을 선택합니다. 이 브리지 쌍에 트래픽을 라우팅 안 함 설정은 종속 브리지 모드라고도 합니다.
8. 미러 스위치 포트에서 L2 브리지에 도착하는 패킷의 스니핑 또는 모니터링을 사용하도록 설정하려면 이 브리지 쌍에만 트래픽을 스니프함을 선택합니다.
9. 이러한 인터페이스를 상태 저장 고가용성 검사에서 제외하려면 이 브리지 쌍에 상태 저장-검사 사용 안 함을 선택합니다. 이러한 인터페이스에 대해 심층 패킷 검사 서비스가 사용하도록 설정되어 있으면 DPI 서비스가 계속 적용됩니다.
10. 관리 옵션을 구성합니다(HTTP, HTTPS, Ping, SNMP, SSH, 사용자 로그인, HTTP 리디렉션).
11. 확인을 클릭합니다.
SNMP를 사용하도록 설정하면 침입 방지, 게이트웨이 안티바이러스 등의 Dell SonicWALL 보안 서비스에서 생성되는 대부분의 이벤트에 대해 SNMP 트랩이 자동으로 트리거됩니다.
현재 50개가 넘는 IPS 및 GAV 이벤트에서 SNMP 트랩이 트리거됩니다. SonicOS에서 기록하는 이벤트의 목록과 SNMP 트랩 번호(해당하는 경우)는 SonicOS 로그 이벤트 참조 설명서에 나와 있습니다. 이 설명서는 http://www.SonicWALL.com/us/Support.html 페이지 위쪽의 검색 필드에 로그 이벤트를 입력하면 온라인으로 확인할 수 있습니다.
침입 방지를 사용하도록 설정한 상태로 IPS 스니퍼 모드를 사용할 때 발생 가능한 트랩을 확인하려면 SonicOS 로그 이벤트 참조 설명서의 로그 이벤트 메시지 색인 섹션에 있는 테이블에서 침입을 검색합니다. SNMP 트랩 번호(해당 이벤트에서 사용 가능한 경우)가 표의 SNMP 트랩 유형 열에 출력됩니다.
게이트웨이 바이러스 백신을 사용하도록 설정한 상태에서 발생 가능한 트랩을 확인하려면 이 표에서 보안 서비스를 검색한 다음 SNMP 트랩 유형 열에서 SNMP 트랩 번호를 확인합니다.
SNMP를 사용하도록 설정하고 구성하려면 다음 단계를 수행합니다.
1. 시스템 > SNMP 페이지로 이동합니다.
2. SNMP 사용 확인란을 선택하고 구성 단추를 클릭합니다.
SNMP 설정 대화 상자가 표시됩니다.
3. SNMP 설정 대화 상자의 시스템 이름에 Dell SonicWALL에서 전송되는 트랩을 받을 SNMP 관리자 시스템의 이름을 입력합니다.
4. SNMP 연락처에는 연락 담당자의 이름이나 전자 메일 주소를 입력합니다.
5. '3층 실험실'과 같은 시스템 위치에 대한 설명을 입력합니다.
6. 시스템의 자산 번호를 입력합니다.
7. 커뮤니티 이름 가져오기에는 Dell SonicWALL에서 SNMP 정보를 검색할 권한이 있는 커뮤니티 이름을 공용과 같이 입력합니다.
8. 커뮤니티 이름 트래핑에는 Dell SonicWALL에서 SNMP 관리자로 SNMP 트랩을 보내는 데 사용할 커뮤니티 이름을 공용과 같이 입력합니다.
9. 호스트 필드에는 트랩을 받을 SNMP 관리자 시스템의 IP 주소를 입력합니다.
10. 확인을 클릭합니다.
보안 서비스 구성(Unified Threat Management)
이 섹션에서 사용하는 설정은 IPS 스니퍼 모드에서 감지하는 악성 트래픽의 유형을 제어합니다. 일반적으로는 침입 방지를 사용하도록 설정하지만, 게이트웨이 바이러스 백신 또는 안티스파이웨어 등의 다른 보안 서비스도 사용하도록 설정할 수 있습니다.
보안 서비스를 사용하도록 설정하려면 Dell SonicWALL에 해당 서비스용 라이선스가 있어야 하며, Dell SonicWALL 데이터 센터에서 서명을 다운로드해야 합니다. IPS, GAV 및 안티스파이웨어를 사용하도록 설정하고 구성하는 방법에 대한 전체 지침은 이 설명서의 보안 서비스 섹션을 참조하십시오.
Dell SonicWALL이 감지하는 공격 항목을 기록하도록 로깅을 구성할 수 있습니다.
로깅을 사용하도록 설정하려면 다음 단계를 수행합니다.
1. 탐색 패널에서 로그 탭, 범주 폴더를 선택합니다.
2. 로그 범주의 보기 스타일 드롭다운 목록에서 모든 범주를 선택합니다.
3. 공격 범주에서 로그, 경고, Syslog 확인란을 사용하도록 설정합니다.
4. 적용을 클릭합니다.
IPS 스니퍼 모드 인터페이스에 미러 스위치 포트 연결
표준 Cat-5 이더넷 케이블을 사용하여 미러 스위치 포트를 브리지 쌍의 인터페이스 중 하나에 연결합니다. 그러면 네트워크 트래픽이 스위치에서 검사 가능한 Dell SonicWALL로 자동 전송됩니다.
미러 포트를 설정하는 방법에 대한 지침은 스위치 설명서를 참조하십시오.
Dell SonicWALL의 WAN 포트(보통 포트 X1)를 게이트웨이 또는 게이트웨이 액세스 권한이 있는 장치에 연결합니다. 그러면 Dell SonicWALL이 Dell SonicWALL 데이터 센터와 자동으로 통신합니다. WAN 인터페이스를 구성하는 방법에 대한 지침은 WAN 인터페이스 구성을 참조하십시오.
와이어 모드 구성(Dell SonicWALL NSA 시리즈 어플라이언스)
모든 LAN 모드(고정, NAT, 투명 모드, L2 브리지 모드, PortShield 전환 모드) 및 모든 WAN 모드(고정, DHCP, PPPoE, PPTP 및 L2TP)를 비롯한 폭넓은 기존 SonicOS 인터페이스 작업 모드 외에도 SonicOS에서는 와이어 모드도 제공합니다. 이 모드에서는 네트워크에 대한 4가지 무중단 Incremental 삽입 방법이 새롭게 제공됩니다.
|
아래 표에는 인터페이스 구성 모드 간의 주된 기능적 차이점이 요약되어 있습니다.
|
|
Note 와이어 모드에서 작동하는 경우 Dell SonicWALL 보안 어플라이언스의 전용 "관리" 인터페이스가 로컬 관리에 사용됩니다. 원격 관리 및 동적 보안 서비스/어플리케이션 인텔리전스 업데이트를 사용하도록 설정하려면 와이어 모드 인터페이스와 다른 WAN 인터페이스를 인터넷 연결용으로 구성해야 합니다. SonicOS에서는 거의 모든 조합의 혼합 모드에서 인터페이스를 지원하여 쉽게 이 작업을 수행할 수 있습니다.
유선 모드용 인터페이스 구성
유선 모드용 인터페이스를 구성하려면 다음 단계를 수행합니다.
1. 네트워크 > 인터페이스 페이지에서 유선 모드용으로 구성하려는 인터페이스의 구성 아이콘을 클릭합니다.
2. 영역 풀다운 메뉴에서 LAN을 선택합니다.
3. 탭 모드용 인터페이스를 구성하려면 모드/IP 할당 풀다운 메뉴에서 탭 모드(1포트 탭)를 선택하고 확인을 클릭합니다.
와이어 모드용 인터페이스를 구성하려면 모드/IP 할당 풀다운 메뉴에서 와이어 모드(2포트 와이어)를 선택합니다.
와이어 모드 유형 풀다운 메뉴에서 해당하는 모드를 선택합니다.
• 바이패스 모드(내부 스위치/릴레이를 통함)
• 검사 모드(미러링된 트래픽의 수동 DPI)
• 보안 모드(인라인 트래픽의 활성 DPI)
6. 검사 모드를 선택하면 리소스 한계에서 분석 제한 옵션이 표시됩니다. 이 옵션은 기본적으로 사용하도록 설정됩니다. 이 옵션을 사용하도록 설정하면 어플라이언스가 처리 가능한 최대 수의 패킷을 스캔합니다. 나머지 패킷은 검사 없이 전달할 수 있습니다. 이 옵션을 사용하지 않도록 설정하면 트래픽 플로우가 방화벽 검사 기능을 초과하는 경우 트래픽이 제한됩니다.
Note 리소스 한계에서 분석 제한 옵션을 사용하지 않도록 설정하면 트래픽 속도가 어플라이언스의 모든 트래픽 스캔 기능을 초과하는 경우 처리량이 감소합니다.
7. 쌍으로 연결된 인터페이스 풀다운 메뉴에서 업스트림 방화벽에 연결할 인터페이스를 선택합니다. 쌍으로 연결된 인터페이스의 유형을 동일해야 합니다(예: 1GB 인터페이스, 10GB 인터페이스 각 두 개).
Note 쌍으로 연결된 인터페이스 풀다운 메뉴에서는 할당되지 않은 인터페이스만 사용할 수 있습니다. 인터페이스 할당을 해제하려면 해당 인터페이스의 구성 단추를 클릭하고 영역 풀다운 메뉴에서 할당되지 않음을 선택합니다.
8. 확인을 클릭합니다.
무선 영역을 제외한 모든 영역에서 유선 모드를 구성할 수 있습니다. 유선 모드는 간소화된 레이어 2 브리지 모드 형식이며 인터페이스 쌍으로 구성됩니다. 유선 모드에서 대상 영역은 쌍으로 연결된 인터페이스 영역입니다. 액세스 규칙은 소스 영역 및 해당 쌍으로 연결된 인터페이스 영역 간의 트래픽 방향을 기준으로 유선 모드 쌍에 적용됩니다. 예를 들어 소스 영역이 WAN이고 쌍으로 연결된 인터페이스 영역이 LAN이면 트래픽 방향에 따라 WAL-LAN 및 LAN-WAN 규칙이 적용됩니다.
관리자는 유선 모드에서 링크 상태 전파를 사용하도록 설정할 수 있습니다. 그러면 인터페이스의 링크 상태가 쌍으로 연결된 인터페이스로 전파됩니다. 인터페이스의 작동이 중단되면 첫 번째 인터페이스의 링크 상태를 미러링하기 위해 쌍으로 연결된 인터페이스가 강제로 중단됩니다. 유선 모드 쌍에서 두 인터페이스의 링크 상태는 항상 동일해야 합니다.
유선 모드에서 관리자는 상태 저장 검사를 사용 안 함으로 설정할 수 있습니다. 상태 저장 검사 사용 안 함을 선택하면 SPI(상태 저장 패킷 검사)가 꺼집니다. 상태 저장 검사 사용 안 함을 선택하지 않으면 3방향 TCP 핸드셰이크를 강제 적용하지 않고도 새로 연결할 수 있습니다. 비대칭 경로를 배포하는 경우에는 상태 저장 검사 사용 안 함을 선택해야 합니다.
SonicOS가 다시 시작 또는 종료될 때 바이패스 옵션을 선택하고 와이어 모드 유형을 보안으로 설정하면 방화벽 보안 어플라이언스가 다시 부팅 중이거나 작동하지 않는 상태라도 트래픽이 계속 플로우됩니다. SonicOS가 다시 시작 또는 종료될 때 바이패스 옵션은 항상 사용하도록 설정되며 상태 저장 검사 사용 안 함을 선택해도 편집할 수 없습니다.
WAN/LAN 영역 쌍의 유선 모드 구성
다음 구성은 유선 모드를 구성하는 방법의 예입니다. 이 예에서는 LAN 영역과 쌍으로 연결된 WAN 영역을 사용합니다. DMZ 및 사용자 지정 영역에서도 유선 모드를 구성할 수 있습니다.
와이어 모드를 구성하려면 다음 단계를 수행합니다.
1.: 방화벽 보안 어플라이언스에서 네트워크 > 인터페이스로 이동합니다.
2.: 인터페이스 추가 단추를 클릭합니다.
또는
구성하려는 인터페이스의 구성 단추를 클릭합니다.
3.: 일반 탭의 IP 할당 목록에서 유선 모드(2포트 와이어)를 선택합니다.
4.: 영역 목록에서 WAN을 선택합니다.
5.: 쌍으로 연결된 인터페이스 영역 목록에서 LAN을 선택합니다.
6.: 링크 상태 전파 사용 옵션을 선택합니다.
7.: 상태 저장 검사 사용 안 함 옵션을 선택합니다.
8.: SonicOS가 다시 시작 또는 종료될 때 바이패스 옵션을 선택합니다.
9.: 확인 단추를 클릭합니다.
SonicOS의 IPv6을 구현하는 방법에 대한 자세한 내용은 부록 C: IPv6을 참조하십시오.
IPv6 인터페이스는 네트워크 > 인터페이스 페이지의 오른쪽 위 모서리에서 IP 버전 보기 라디오 단추에 대해 IPv6 옵션을 클릭하는 방법으로 구성합니다.
기본적으로 모든 IPv6 인터페이스는 IP 주소를 사용하지 않고 경로 지정되는 것으로 표시됩니다. 같은 인터페이스에 여러 IPv6 주소를 추가할 수 있습니다. 자동 IP 할당은 WAN 인터페이스에 대해서만 구성할 수 있습니다.
각 인터페이스에서 라우터 보급 수신 여부를 구성할 수 있습니다. 각 인터페이스에 대해 IPv6을 사용하거나 사용하지 않도록 설정할 수 있습니다.
IPv6 모드로 전환하기 전에 IPv4 인터페이스 페이지에서 인터페이스의 영역 할당을 구성해야 합니다.