PANEL_addNatPolDlg
For general information on NAT Policies, see 네트워크 > NAT 정책.
NAT 정책을 사용하면 원본 IP 주소, 대상 IP 주소 및 대상 서비스와 일치하는 조합을 기준으로 NAT(Network Address Translation)를 유연하게 제어할 수 있습니다. 정책 기반 NAT를 사용하면 다양한 유형의 NAT를 동시에 배포할 수 있습니다. 이 섹션에 포함된 하위 섹션은 다음과 같습니다.
• 인바운드 트래픽용 일대일 NAT 정책 만들기(반사)
• 일대일 NAT 정책을 통한 인바운드 포트 주소 변환
이 섹션의 예제에서는 다음 IP 주소를 예로 사용하여 NAT 정책 만들기 및 활성화를 설명합니다. 이러한 예를 사용하여 네트워크용 NAT 정책을 만들 수 있습니다. 아래에 나와 있는 예제의 IP 주소를 실제 IP 주소로 대체하면 됩니다.
• 인터페이스 X0의 192.168.10.0/24 IP 서브넷
• 인터페이스 X1의 67.115.118.64/27 IP 서브넷
• 인터페이스 X2의 192.168.30.0/24 IP 서브넷
• X0 IP 주소: 192.168.10.1
• X1 IP 주소: 67.115.118.68
• X2 'Sales' IP 주소: 192.168.30.1
• 웹 서버의 "개인" 주소: 192.168.30.200
• 웹 서버의 "공용" 주소: 67.115.118.70
• 공용 IP 주소 범위: 67.115.118.71 ~ 67.115.118.74
다대일 정책은 Dell SonicWALL 보안 어플라이언스에서 가장 일반적으로 사용되는 NAT 정책으로, 여러 주소가 포함된 그룹을 단일 주소로 변환할 수 있습니다. 대부분의 경우 내부 "개인" IP 서브넷을 가져와 모든 발신 요청을 방화벽 WAN 인터페이스(기본적으로 X1 인터페이스)의 IP 주소로 변환합니다. 그러면 대상에서는 요청이 내부 개인 IP 주소가 아닌 방화벽 WAN 인터페이스의 IP 주소에서 들어오는 것으로 표시됩니다.
이 정책은 쉽게 설정하고 활성화할 수 있습니다. 관리 인터페이스에서 네트워크 > NAT 정책 페이지로 이동하여 추가 단추를 클릭합니다. 정책을 추가할 수 있는 NTP 정책 추가 창이 표시됩니다. NAT 정책을 만들고 X2 인터페이스의 모든 시스템이 방화벽 WAN IP 주소를 사용하여 트래픽을 시작하도록 허용하려면 드롭다운 상자에서 다음 항목을 선택합니다.
• 원본: X2 서브넷
• 변환된 원본: WAN 기본 IP
• 원본 대상: 임의
• 변환된 대상: 원본
• 원본 서비스: 임의
• 변환된 서비스: 원본
• 인바운드 인터페이스: X2
• 아웃바운드 인터페이스: X1
• 주석: 간단한 설명 입력
• NAT 정책 사용: 확인 표시함
• ***반사 정책 만들기: 선택 취소함
작업이 완료되면 확인 단추를 클릭하여 NAT 정책을 추가 및 활성화합니다. 다른 방화벽 인터페이스 뒤에 있는 서브넷용으로 이 정책을 복제할 수 있습니다. 원본을 해당 인터페이스 뒤의 서브넷으로 바꾸고 원본 인터페이스를 조정한 후 다른 NAT 정책을 추가하면 됩니다.
다대다 정책을 사용하면 여러 주소가 포함된 그룹을 서로 다른 주소가 포함된 그룹으로 변환할 수 있습니다. 그러면 방화벽이 여러 주소를 사용하여 동적 변환을 수행할 수 있습니다.
이 정책은 쉽게 설정하고 활성화할 수 있습니다. 먼저 네트워크 > 주소 개체로 이동한 다음 화면 아래쪽의 추가 단추를 클릭해야 합니다. 주소 개체 추가 창이 나타나면 이름 필드에 범위 관련 설명을 입력하고 드롭다운 메뉴에서 범위를 선택합니다. 그런 다음 시작 IP 주소 및 종료 IP 주소 필드에 주소 범위(대개 ISP에서 제공한 공용 IP 주소)를 입력하고 영역 할당 메뉴에서 영역으로 WAN을 선택합니다. 작업이 완료되면 확인 단추를 클릭하여 범위 개체를 만듭니다.
네트워크 > NAT 정책을 선택하고 추가 단추를 클릭합니다. NAT 정책 추가 창이 표시됩니다. NAT 정책을 만들고 LAN 인터페이스(기본적으로 X0 인터페이스)의 시스템이 공용 범위 주소를 사용하여 트래픽을 시작하도록 허용하려면 드롭다운 메뉴에서 다음 항목을 선택합니다.
• 원본: LAN 기본 서브넷
• 변환된 원본: public_range
• 원본 대상: 임의
• 변환된 대상: 원본
• 원본 서비스: 임의
• 변환된 서비스: 원본
• 인바운드 인터페이스: X0
• 아웃바운드 인터페이스: X1
• 주석: 간단한 설명 입력
• NAT 정책 사용: 확인 표시함
• ***반사 정책 만들기: 선택 취소함
작업이 완료되면 확인 단추를 클릭하여 NAT 정책을 추가 및 활성화합니다. 이 정책을 적용하면 방화벽이 앞에서 만든 범위에서 사용 가능한 IP 주소를 네 개를 사용하여 발신 트래픽을 동적으로 매핑합니다.
분산된 주소 범위(예: 192.168.10.10, 192.168.10.100, 192.168.10.200)에서 LAN 인터페이스(기본적으로 X0 인터페이스)에 여러 시스템을 설치한 다음, 각 시스템에서 공용 웹 사이트 http://www.whatismyip.com에 액세스하여 동적 매핑을 테스트할 수 있습니다. 각 시스템에는 앞에서 만들어 NAT 정책에 연결한 범위의 개별 IP 주소가 표시됩니다.
아웃바운드 트래픽용 일대일 NAT는 내부 IP 주소를 고유 IP 주소로 변환하기 위해 방화벽에서 일반적으로 사용되는 또 다른 NAT 정책입니다. 따라서 서버 등의 특정 시스템에서 다른 대상으로 이동하는 트래픽을 시작할 때 특정 IP 주소를 사용하도록 해야 하는 경우에 유용합니다. 대부분의 경우 이와 같은 아웃바운드 트래픽용 일대일 NAT 정책 같은 NAT 정책은 서버의 개인 IP 주소를 공용 IP 주소에 매핑하는 데 사용되며, 공용 인터넷의 모든 시스템이 서버에 액세스할 수 있도록 하는 반사(미러) 정책 및 이를 허용하는 일치 방화벽 액세스 규칙과 쌍으로 지정됩니다. 반사 NAT 정책은 다음 섹션에서 설명합니다.
이 정책은 쉽게 설정하고 활성화할 수 있습니다. 네트워크 > 주소 개체를 선택하고 화면 아래쪽의 추가 단추를 클릭합니다. 주소 개체 추가 창의 이름 필드에 서버 개인 IP 주소에 대한 설명을 입력합니다. 유형 메뉴에서 호스트를 선택하고 IP 주소 필드에 서버 개인 IP 주소를 입력한 다음 영역 할당 메뉴에서 서버가 할당한 영역을 선택합니다. 확인을 클릭합니다. 그런 다음 주소 개체 추가 창에서 서버의 공용 IP 주소에 올바른 값을 사용하여 다른 개체를 만들고 영역 할당 메뉴에서 WAN을 선택합니다. 작업이 완료되면 확인 단추를 클릭하여 범위 개체를 만듭니다.
그런 다음 네트워크 > NAT 정책을 선택하고 추가 단추를 클릭하여 NAT 정책 추가 창을 표시합니다. 웹 서버가 매핑된 공용 IP 주소를 사용하여 공용 인터넷에 대한 트래픽을 시작하도록 허용하는 NAT 정책을 만들려면 드롭다운 메뉴에서 다음 항목을 선택합니다.
• 원본: webserver_private_ip
• 변환된 원본: webserver_public_ip
• 원본 대상: 임의
• 변환된 대상: 원본
• 원본 서비스: 임의
• 변환된 서비스: 원본
• 인바운드 인터페이스: X2
• 아웃바운드 인터페이스: X1
• 주석: 간단한 설명 입력
• NAT 정책 사용: 확인 표시함
• ***반사 정책 만들기: 확인 표시함
작업이 완료되면 확인 단추를 클릭하여 NAT 정책을 추가 및 활성화합니다. 이 정책을 적용하면 서버가 WAN 인터페이스(기본적으로 X1 인터페이스)에서 나가는 트래픽을 시작할 때 방화벽이 서버의 개인 IP 주소를 공용 IP 주소로 변환합니다.
서버에서 웹 브라우저를 열고 공용 웹 사이트 http://www.whatismyip.com에 액세스하여 일대일 매핑을 테스트할 수 있습니다. 웹 사이트에는 앞에서 만든 NAT 정책의 개인 IP 주소에 연결한 공용 IP 주소가 표시됩니다.
이 정책은 ***반사 정책 만들기를 선택하는 경우 이전 섹션에서 만든 정책에 대해 작성되는 미러 정책입니다. 이 정책을 통해 외부 공용 IP 주소를 내부 개인 IP 주소로 변환할 수 있습니다. 이 NAT 정책을 '허용' 액세스 정책과 쌍으로 연결하면 모든 원본이 공용 IP 주소를 사용하여 내부 서버에 연결할 수 있습니다. 방화벽은 개인 주소와 공용 주소 간의 변환 작업을 처리합니다. 이 정책을 적용하면 WAN 인터페이스(기본적으로 X1 인터페이스)를 통해 연결 요청이 도착할 때 방화벽이 서버의 공용 IP 주소를 개인 IP 주소로 변환합니다.
아래에서는 해당 항목과 서버에 대한 HTTP 액세스를 허용하는 규칙을 모두 만듭니다. 모든 사용자가 웹 서버의 공용 IP 주소를 통해 웹 서버에 대한 HTTP 연결을 수행하도록 허용하는 액세스 정책을 만들어야 합니다.
참고 이전 펌웨어 버전에서는 개인 IP 주소에 대한 규칙을 작성해야 했지만 SonicOS부터는 이러한 동작이 변경되었습니다. 즉 개인 IP 주소에 대해 작성하는 규칙은 작동하지 않습니다.
방화벽 > 액세스 규칙 페이지로 이동한 다음 'WAN'에서 'Sales' 영역 또는 서버를 배치한 영역으로의 교차에 대한 정책을 선택합니다. '추가...' 단추를 클릭하여 팝업 액세스 정책 화면을 표시합니다. 팝업이 표시되면 다음 값을 입력합니다.
• 작업: 허용
• 서비스: HTTP
• 원본: 임의
• 대상: Webserver_public_ip
• 허용된 사용자: 모두
• 일정: 항상 켜짐
• 로깅: 확인 표시함
• 주석: (간단한 설명 입력)
작업이 완료되면 공용 인터넷에 있는 시스템을 사용하여 웹 서버의 공용 IP 주소에 액세스해 봅니다. 이 주소에 정상적으로 연결할 수 있어야 합니다. 연결할 수 없으면 이 섹션과 앞 섹션을 검토하여 필요한 모든 설정을 올바르게 입력했는지 확인합니다.
일대다 NAT 정책을 사용하면 원본 IP 주소를 지속성의 키로 사용하여 변환된 대상을 영구적으로 부하 분산할 수 있습니다. 예를 들어 방화벽은 여러 SRA 어플라이언스의 부하를 분산하는 동시에 클라이언트를 항상 올바른 대상 SRA로 분산함으로써 세션 지속성을 유지할 수 있습니다.
일대다 NAT 부하 분산을 구성하려면 먼저 방화벽 > 액세스 규칙 페이지로 이동한 다음 WAN에서 LAN으로의 정책을 선택합니다. 추가… 단추를 클릭하여 팝업 액세스 정책 화면을 표시합니다. 팝업이 표시되면 다음 값을 입력합니다.
• 작업: 허용
• 서비스: HTTPS
• 원본: 임의
• 대상: WAN 기본 IP
• 허용된 사용자: 모두
• 일정: 항상 켜짐
• 주석: SSLVPN LB와 같은 설명 텍스트
• 로깅: 확인 표시함
• 조각난 패킷 허용: 선택 취소함
그런 다음 네트워크 > NAT 정책을 선택하고 추가... 단추를 클릭하여 다음과 같은 NAT 정책을 만듭니다.
• 원본: 임의
• 변환된 원본: 원본
• 원본 대상: WAN 기본 IP
• 변환된 대상: 새 주소 개체 만들기...를 선택하여 주소 개체 추가 화면을 표시합니다.
– 이름: mySSLVPN 등의 개체를 설명하는 이름을 입력합니다.
– 영역 할당: LAN
– 유형: 호스트
– IP 주소: 장치의 부하를 분산시킬 IP 주소입니다. 위에 나와 있는 토폴로지에서는 이 주소가 192.168.200.10, 192.168.200.20 및 192.168.200.30입니다.
• 원본 서비스: HTTPS
• 변환된 서비스: HTTPS
• 인바운드 인터페이스: 임의
• 아웃바운드 인터페이스: 임의
• 주석: SSLVPN LB와 같은 설명 텍스트
• NAT 정책 사용: 확인 표시함
• ***반사 정책 만들기: 선택 취소함
이 유형의 NAT 정책은 내부 서버의 실제 수신 대기 포트는 숨기고 다른 포트에서 서버에 대한 공용 액세스 권한을 제공하려는 경우에 유용합니다. 아래 예제에서는 이전 섹션에서 만든 NAT 정책과 규칙을 수정하여 공용 사용자가 해당 공용 IP 주소에서 개인 웹 서버에 연결하도록 허용하되, 표준 HTTP 포트(TCP 80)가 아닌 다른 포트(TCP 9000)를 사용하도록 합니다.
1. 다른 포트에 대한 사용자 지정 서비스를 만듭니다. 방화벽 > 사용자 지정 서비스 페이지로 이동하여 추가 단추를 선택합니다. 팝업 화면이 표시되면 사용자 지정 서비스에 webserver_public_port 등의 이름을 지정하고 시작 및 종료 포트로 9000을 입력한 다음, 프로토콜로 TCP(6)를 선택합니다. 작업이 완료되면 확인 단추를 클릭하여 사용자 지정 서비스를 저장합니다.
2. 이전 섹션에서 만든 NAT 정책, 즉 모든 공용 사용자가 공용 IP 주소에서 웹 서버에 연결하도록 허용하는 정책을 수정합니다. 네트워크 > NAT 정책 메뉴로 이동하여 이 NAT 정책 옆에 있는 편집 단추를 클릭합니다. 정책을 편집할 수 있는 NTP 정책 편집 창이 표시됩니다. 드롭다운 메뉴를 사용하여 다음 항목이 포함되도록 NAT 정책을 편집합니다.
– 원본: 임의
– 변환된 원본: 원본
– 원본 대상: webserver_public_ip
– 변환된 대상: webserver_private_ip
– 원본 서비스: webserver_public_port 또는 위에서 이름을 지정한 서비스
– 변환된 서비스: HTTP
– 인바운드 인터페이스: X1
– 아웃바운드 인터페이스: 임의
– 주석: 간단한 설명 입력
– NAT 정책 사용: 확인 표시함
– ***반사 정책 만들기: 선택 취소함
참고 대상 인터페이스로 서버가 있는 인터페이스가 아닌 임의를 선택했는지 확인합니다. 여기서는 특정 인터페이스를 선택해야 하는 것처럼 보이지만, 인터페이스를 지정하려고 하면 오류가 발생합니다.
3. 작업이 완료되면 확인 단추를 클릭하여 NAT 정책을 추가 및 활성화합니다. 이 정책을 적용하면 WAN 인터페이스(기본적으로 X1 인터페이스)에서 연결 요청이 도착할 때 방화벽이 서버의 공용 IP 주소를 개인 IP 주소로 변환하고 요청된 프로토콜(TCP 9000)을 서버의 실제 수신 대기 포트(TCP 80)로 변환합니다.
마지막으로는 이전 섹션에서 만든 방화벽 액세스 규칙을 수정하여 모든 공용 사용자가 서버의 실제 수신 대기 포트(TCP 80)가 아닌 새 포트(TCP 9000)에서 웹 서버에 연결하도록 허용합니다.
방화벽 > 액세스 규칙 섹션으로 이동한 다음 WAN에서 Sales 영역 또는 서버를 배치한 영역으로의 교차에 대한 정책을 선택합니다. 구성 단추를 클릭하여 이전에 만든 정책을 표시합니다. 팝업이 표시되면 다음 값을 편집합니다.
– 작업: 허용
– 서비스: server_public_port 또는 위에서 이름을 지정한 서비스
– 원본: 임의
– 대상: webserver_public_ip
– 허용된 사용자: 모두
– 일정: 항상 켜짐
– 로깅: 선택됨
– 주석: (간단한 설명 입력)
작업이 완료되면 http://67.115.118.70:9000과 같이 새 사용자 지정 포트에서 공용 인터넷에 있는 시스템을 사용하여 웹 서버의 공용 IP 주소에 액세스해 봅니다. 이 주소에 정상적으로 연결할 수 있어야 합니다. 연결할 수 없으면 이 섹션과 앞 섹션을 검토하여 필요한 모든 설정을 올바르게 입력했는지 확인합니다.
이 정책은 SonicOS를 실행 중인 방화벽에서 만들 수 있는 가장 복잡한 NAT 정책 중 하나로, 방화벽의 WAN IP 주소를 사용해 여러 내부 서버에 대한 액세스 권한을 제공할 수 있도록 합니다. 이 정책은 ISP가 공용 IP 주소를 하나만 제공했는데 해당 IP 주소를 방화벽의 WAN 인터페이스(기본적으로 X1 인터페이스)에서 사용해야 하는 경우에 가장 유용합니다.
아래에서는 방화벽의 WAN IP 주소를 통해 두 내부 웹 서버(고유 사용자 지정 포트에 연결됨)에 대한 공용 액세스 권한을 제공하는 프로그램을 작성합니다. 다음 예제에서는 두 서버를 설정하지만 포트만 모두 고유하다면 더 많은 프로그램을 작성할 수도 있습니다.
이 섹션에서는 다음의 다섯 가지 작업을 수행합니다.
1. 서버가 응답하는 고유 공용 포트에 대해 사용자 지정 서비스 개체를 두 개 만듭니다.
2. 서버의 개인 IP 주소에 대해 주소 개체를 두 개 만듭니다.
3. 두 서버가 공용 인터넷에 대한 트래픽을 시작하도록 허용하는 NAT 항목을 두 개 만듭니다.
4. 사용자 지정 포트를 실제 수신 대기 포트에 매핑하고 개인 IP 주소를 방화벽의 WAN IP 주소에 매핑하는 NAT 항목을 두 개 만듭니다.
5. 모든 공용 사용자가 방화벽의 WAN IP 주소와 서버의 개별 고유 사용자 지정 포트를 통해 두 서버에 모두 연결할 수 있도록 하는 액세스 규칙 항목을 두 개 만듭니다.
1. 다른 포트에 대한 사용자 지정 서비스를 만듭니다. 방화벽 > 사용자 지정 서비스 페이지로 이동하여 추가 단추를 클릭합니다. 팝업 화면이 표시되면 사용자 지정 서비스에 servone_public_port 및 servtwo_public_port와 같은 이름을 지정하고 시작 및 종료 포트로 9100 및 9200을 입력한 다음, 프로토콜로 TCP(6)를 선택합니다. 작업이 완료되면 확인 단추를 클릭하여 사용자 지정 서비스를 저장합니다.
2. 네트워크 > 주소 개체로 이동하여 화면 아래쪽의 추가 단추를 클릭합니다. 주소 개체 추가 창에서 서버의 개인 IP 주소에 대한 설명을 입력하고 드롭다운 상자에서 호스트를 선택한 다음, 서버의 개인 IP 주소를 입력하고 서버가 있는 영역을 선택합니다. 작업이 완료되면 확인 단추를 클릭하여 범위 개체를 만듭니다.
3. 네트워크 > NAT 정책 메뉴로 이동하여 추가 단추를 클릭합니다. NAT 정책 추가 창이 표시됩니다. 두 서버가 방화벽의 WAN IP 주소를 사용하여 공용 인터넷에 대한 트래픽을 시작하도록 허용하는 NAT 정책을 만들려면 드롭다운 상자에서 다음 항목을 선택합니다.
– 원본: servone_private_ip
– 변환된 원본: WAN 기본 IP
– 원본 대상: 임의
– 변환된 대상: 원본
– 원본 서비스: 임의
– 변환된 서비스: 원본
– 인바운드 인터페이스: X2
– 아웃바운드 인터페이스: X1
– 주석: 간단한 설명 입력
– NAT 정책 사용: 확인 표시함
– ***반사 정책 만들기: 선택 취소함
다음 항목도 선택합니다.
– 원본: servtwo_private_ip
– 변환된 원본: WAN 기본 IP
– 원본 대상: 임의
– 변환된 대상: 원본
– 원본 서비스: 임의
– 변환된 서비스: 원본
– 인바운드 인터페이스: X2
– 아웃바운드 인터페이스: X1
– 주석: 간단한 설명 입력
– NAT 정책 사용: 확인 표시함
– ***반사 정책 만들기: 선택 취소함
작업이 완료되면 확인 단추를 클릭하여 NAT 정책을 추가 및 활성화합니다. 이 두 정책을 적용하면 서버가 WAN 인터페이스(기본적으로 X1 인터페이스)에서 나가는 트래픽을 시작할 때 방화벽이 서버의 개인 IP 주소를 공용 IP 주소로 변환합니다.
4. 네트워크 > NAT 정책 메뉴로 이동하여 추가 단추를 클릭합니다. NAT 정책 추가 창이 표시됩니다. 사용자 지정 포트를 서버의 실제 수신 대기 포트에 매핑하고 방화벽의 WAN IP 주소를 서버의 개인 주소에 매핑하는 NAT 정책을 만들려면 드롭다운 상자에서 다음 항목을 선택합니다.
– 원본: 임의
– 변환된 원본: 원본
– 원본 대상: WAN 기본 IP
– 변환된 대상: servone_private_ip
– 원본 서비스: servone_public_port
– 변환된 서비스: HTTP
– 인바운드 인터페이스: X1
– 아웃바운드 인터페이스: 임의
– 주석: 간단한 설명 입력
– NAT 정책 사용: 확인 표시함
– ***반사 정책 만들기: 선택 취소함
다음 항목도 선택합니다.
– 원본: 임의
– 변환된 원본: 원본
– 원본 대상: WAN 기본 IP
– 변환된 대상: servtwo_private_ip
– 원본 서비스: servtwo_public_port
– 변환된 서비스: HTTP
– 원본 인터페이스: X1
– 대상 인터페이스: 임의
– 주석: 간단한 설명 입력
– NAT 정책 사용: 확인 표시함
– ***반사 정책 만들기: 선택 취소함
참고 대상 인터페이스로 서버가 있는 인터페이스가 아닌 임의를 선택했는지 확인합니다. 여기서는 특정 인터페이스를 선택해야 하는 것처럼 보이지만, 인터페이스를 지정하려고 하면 오류가 발생합니다.
작업이 완료되면 확인 단추를 클릭하여 NAT 정책을 추가 및 활성화합니다. 이 두 정책을 적용하면 WAN 인터페이스(기본적으로 X1 인터페이스)에서 연결 요청이 도착할 때 방화벽이 서버의 공용 IP 주소를 개인 IP 주소로 변환합니다.
5. 공용 인터넷의 모든 사용자가 사용자 지정 포트 및 방화벽의 WAN IP 주소를 사용하여 두 웹 서버에 액세스하도록 허용하는 액세스 규칙을 만듭니다.
방화벽 > 액세스 규칙 페이지로 이동한 다음 'WAN'에서 'Sales' 영역 또는 서버를 배치한 영역으로의 교차에 대한 정책을 선택합니다. '추가...' 단추를 클릭하여 정책을 만들 수 있는 팝업 창을 표시합니다. 팝업이 표시되면 다음 값을 입력합니다.
– 작업: 허용
– 서비스: servone_public_port 또는 위에서 이름을 지정한 서비스
– 원본: 임의
– 대상: WAN IP 주소
– 허용된 사용자: 모두
– 일정: 항상 켜짐
– 로깅: 선택됨
– 주석: (간단한 설명 입력)
다음 항목도 입력합니다.
– 작업: 허용
– 서비스: servtwo_public_port 또는 위에서 이름을 지정한 서비스
– 원본: 임의
– 대상: WAN IP 주소
– 허용된 사용자: 모두
– 일정: 항상 켜짐
– 로깅: 선택됨
– 주석: (간단한 설명 입력)
작업이 완료되면 http://67.115.118.70:9100 및 http://67.115.118.70:9200과 같이 새 사용자 지정 포트에서 공용 인터넷에 있는 시스템을 사용하여 방화벽의 WAN IP 주소를 통해
웹 서버에 액세스해 봅니다. 이 주소에 정상적으로 연결할 수 있어야 합니다. 연결할 수 없으면 이 섹션과 앞 섹션을 검토하여 필요한 모든 설정을 올바르게 입력했는지 확인합니다.
이 섹션에 포함된 하위 섹션은 다음과 같습니다.
• 필수 구성 요소
이어지는 몇 페이지의 작업 목록 섹션에 나와 있는 예제에서는 데모 설정의 IP 주소 지정 정보를 사용합니다. 이러한 정보를 실제 설정에 사용할 때는 예제에 나와 있는 IP 주소 지정 정보를 올바른 주소 지정 정보로 바꾸십시오. 인터페이스 이름도 달라질 수 있습니다.
참고 모든 범주에 대해 로깅을 사용하도록 설정하고 로깅 시 이름 확인도 사용하도록 설정하는 것이 좋습니다.
로깅과 경고를 사용하도록 설정하려면 방화벽의 관리 GUI에 로그인하여 로그 > 범주로 이동한 다음, 로깅 수준 옆의 드롭다운에서 디버그를 선택합니다. 그런 다음 보기 스타일 옆의 드롭다운에서 모든 범주를 선택하고, 모든 범주를 캡처하도록 로그 및 경고 옆의 제목 표시줄에 있는 확인란을 선택한 후에 오른쪽 위의 적용 단추를 클릭하여 변경 내용을 저장하고 활성화합니다. 예제는 아래 스크린샷을 참조하십시오. 디버그 로그는 초기 구성 및 문제 해결용으로만 사용해야 하며, 설정이 완료되면 로깅 수준을 네트워크 환경에 적합한 수준으로 설정하는 것이 좋습니다.
로그 이름 확인을 사용하도록 설정하려면 로그 > 이름 확인으로 이동하여 이름 확인 메뉴 드롭다운 목록에서 DNS 이후 NetBios를 선택한 다음, 오른쪽 위의 적용 단추를 클릭하여 변경 내용을 저장하고 활성화합니다.
NAT 부하 분산을 구성하려면 다음 단계를 수행해야 합니다.
1. 주소 개체 만들기
2. 주소 그룹 만들기
3. 인바운드 NAT LB 정책 만들기
4. 아웃바운드 NAT LB 정책 만들기
5. 방화벽 규칙 만들기
6. 필요한 경우 네트워크 확인 및 문제 해결
이 구성을 완료하려면 다음 단계를 수행합니다.
1. 네트워크 개체 만들기 -- 관리 GUI의 네트워크 > 주소 개체 페이지로 이동하여 두 내부 웹 서버의 네트워크 개체를 모두 만들고 외부 사용자가 서버에 액세스할 VIP(가상 IP)도 만듭니다.
2. 주소 그룹 만들기 -- 이제 www_group이라는 주소 그룹을 만들고 앞에서 만든 두 내부 서버 주소 개체를 추가합니다.
3. 그룹에 대한 인바운드 NAT 규칙 만들기 -- 이제 VIP 액세스를 시도하는 모든 사용자를 앞에서 만든 주소 그룹으로 변환하도록 허용하는 NAT 규칙을 만듭니다. 이때 NAT 방법으로는 ***고정 IP를 사용합니다.
참고 NAT 규칙을 아직 저장하지는 마십시오.
4. LB 유형 및 서버 연결 상태 확인 방법 설정 -- NAT 정책 구성 컨트롤의 고급 탭에서 ICMP ping을 사용하거나 열린 TCP 소켓을 확인하여 개체 또는 개체나 그룹으로 구성된 그룹을 모니터링하도록 지정할 수 있습니다. 이 예에서는 TCP 포트 80을 모니터링하여 서버가 작동 및 응답하는지를 확인합니다. 사용자가 이 포트에 액세스하려고 하기 때문에 확인하는 것이 좋습니다. 이제 확인 단추를 클릭하여 변경 내용을 저장 및 활성화할 수 있습니다.
참고 다음 작업을 진행하기 전에 로그 및 상태 페이지에서 리소스가 감지되었으며 온라인으로 기록되었는지 확인합니다. 두 개의 경고가 방화벽 이벤트로 표시되며, ***"네트워크 모니터: 호스트 192.160.200.220이(가) 온라인 상태입니다."라는 메시지가 표시됩니다(사용 중인 IP 주소 표시). 아래에 이 두 메시지가 표시되지 않으면 위의 단계를 확인하십시오.
5. LB 그룹에 대한 아웃바운드 NAT 규칙 만들기 -- WAN 인터페이스(기본적으로 X1 인터페이스)에서 리소스에 액세스할 때 내부 서버를 VIP로 변환하도록 허용하는 NAT 규칙을 작성합니다.
6. VIP에 대한 방화벽 규칙 만들기 -- 외부의 트래픽이 VIP를 통해 내부 웹 서버에 액세스하도록 허용하는 방화벽 규칙을 작성합니다.
7. 작업 테스트 – WAN 외부의 랩톱에서 웹 브라우저를 사용하여 HTTP를 통해 VIP에 연결합니다.
참고 하나 이상의 SonicWALL SRA 어플라이언스를 부하 분산하려면 허용되는 서비스로 HTTPS를 대신 사용하여 1~7단계를 반복합니다.
웹 서버에 액세스할 수 없을 것 같으면 방화벽 > 액세스 규칙 페이지로 이동하여 통계 아이콘 위에 마우스를 놓습니다.
규칙이 잘못 구성되면 수신 또는 전송 바이트가 표시되지 않습니다. 규칙이 작동하는 경우에는 부하 분산된 리소스에 대한 외부 액세스가 성공할 때마다 해당 바이트가 증분되어 표시됩니다.
방화벽 > NAT 정책 페이지를 확인한 다음 통계 아이콘에 마우스를 놓아도 됩니다. 정책이 잘못 구성되면 수신 또는 전송 바이트가 표시되지 않습니다. 정책이 작동하는 경우에는 부하 분산된 리소스에 대한 외부 액세스가 성공할 때마다 해당 바이트가 증분되어 표시됩니다.
마지막으로, 로그 및 상태 페이지에서 호스트가 오프라인임을 나타내는 네트워크 모니터 관련 경고(노란색으로 표시됨)가 있는지 확인합니다. 이러한 경고가 표시되는 경우, 방화벽에서 모든 부하 분산 리소스에 연결하지 못해 검색 메커니즘이 해당 리소스를 오프라인 항목 및 서비스 불가 항목으로 표시한 것일 수 있습니다. 부하 분산 리소스가 작동하는지 확인하고 이러한 리소스와 방화벽 간의 네트워킹 연결을 확인합니다.