아이콘을 클릭하면 VPN 정책을 삭제할 수 있습니다. 미리 정의된 GroupVPN 정책은 삭제할 수 없으므로 삭제 아이콘이 흐리게 표시됩니다. GroupVPN 정책에는 SonicWALL 전역 VPN 클라이언트에서 로컬로 설치할 수 있도록 VPN 정책 구성을 파일로 내보낼 수 있는 디스크 아이콘도 있습니다.VPN > 설정 페이지에는 VPN 정책 구성을 위한 기능이 나와 있습니다. 이 페이지에서 사이트 간 VPN 정책과 GroupVPN 정책을 구성할 수 있습니다.
VPN(Virtual Private Network)은 공용 인터넷을 통해 둘 이상의 컴퓨터 또는 보호된 네트워크 간의 보안 연결 기능을 제공하고, 올바른 주체들이 정보를 주고받을 수 있도록 하는 인증 기능과 전송 중인 정보를 보거나 조작할 수 없도록 보호하는 보안 기능을 제공합니다.
IPsec(인터넷 프로토콜 보안) 및 SSL(Secure Socket Layer)이 발명되기 전에는 원격 컴퓨터 또는 네트워크 간의 보안 연결을 사용하려면 전용선이나 위성 링크가 필요했습니다. 이 방법은 유동적이지 않고 비용도 많이 들었습니다.
VPN은 인터넷을 통한 보안 터널을 설정함으로써 안정성과 보안 수준이 이전과 비슷한 세션을 생성합니다. 이 터널은 물리적 연결이 아니여서 보다 유동적이기 때문에 언제든지 변경하여 노드를 추가, 변경하거나 완전히 제거할 수 있습니다. 또한 기존 인터넷 인프라를 사용하므로 비용도 훨씬 저렴합니다.
오늘날 널리 사용되는 주요 VPN의 유형은 다음의 두 가지입니다.
• IPsec VPN: IPsec은 네트워크 통신의 패킷 처리 레이어 보안에 필요한 프로토콜 집합입니다. IPsec의 장점은 개별 사용자 컴퓨터를 변경하지 않고도 보안 관련 작업을 처리할 수 있다는 것입니다. SonicOS에서는 IPsec VPN 만들기 및 관리 작업을 지원합니다.
IPsec에서는 두 가지 보안 서비스, 즉 데이터 보낸 사람의 인증을 기본적으로 허용하는 AH(인증 헤더)와 보낸 사람 인증/데이터 암호화를 모두 지원하는 ESP(Encapsulating Security Payload) 중에서 선택할 수 있습니다. 이러한 각 서비스와 연관된 구체적인 정보는 IP 패킷 헤더 다음에 오는 헤더의 패킷에 삽입됩니다.
• SSL VPN: SSL(Secure Socket Layer)은 대개 HTTPS를 사용하는 인터넷의 메시지 전송 보안을 관리하는 프로토콜입니다. SSL은 인터넷의 HTTP(Hypertext Transfer Protocol) 및 TCP(전송 제어 프로토콜) 레이어 사이에 있는 프로그램 레이어를 사용합니다. 또한 RSA의 공용-개인 키 암호화 시스템을 사용하며, 디지털 인증서도 사용합니다. SSL VPN은 SSL을 사용하여 VPN 터널을 보호합니다.
SSL VPN의 장점 중 하나는 대다수 웹 브라우저에서 SSL이 기본 제공된다는 것입니다. 따라서 특수한 VPN 클라이언트 소프트웨어나 하드웨어가 필요하지 않습니다.
참고 Dell SonicWALL에서는 SonicOS를 실행하는 Dell SonicWALL 네트워크 보안 어플라이언스와 별도로 또는 함께 사용할 수 있는 SSL VPN 장치를 제공합니다. Dell SonicWALL SSL VPN 어플라이언스에 대한 자세한 내용은 다음 Dell SonicWALL 웹 사이트를 참조하십시오.
http://www.sonicwall.com/us/products/Secure_Remote_Access.html
IPsec VPN 트래픽은 다음의 두 단계로 보호됩니다.
• 인증: 첫 단계에서는 공용-개인 키 쌍의 공용 키 부분을 교환하여 트래픽을 보낸 사람과 받는 사람의 신뢰성을 설정합니다. 이 단계가 성공해야 VPN 터널을 설정할 수 있습니다.
• 암호화: AES, 3DES 등의 암호화 알고리즘을 사용하여 VPN 터널의 트래픽을 암호화합니다.
VPN의 각 노드에서 동일하게 입력해야 하는 수동 키를 사용하는 경우가 아니면, VPN 구성원을 인증하고 데이터를 암호화/암호 해독하기 위한 정보 교환에서는 IKE(Internet Key Exchange) 프로토콜을 사용하여 인증 정보(키)를 교환하고 VPN 터널을 설정합니다. SonicOS에서는 두 가지 IKE 버전(버전 1, 버전 2)을 지원합니다.
IKE 버전 1
IKE 버전 1은 2단계 프로세스를 사용하여 VPN 터널을 보호합니다.
• 인증 단계인 IKE 단계 1에서는 터널 양쪽의 노드 또는 게이트웨이가 서로를 인증하고, 암호화/암호 해독 키를 교환하며, 보안 터널을 설정합니다.
• 협상 단계인 IKE 단계 2에서는 인증된 두 노드 또는 게이트웨이가 VPN을 통해 전달된 데이터에서 사용할 암호화/데이터 확인 방법을 협상(해시 기능 사용)하고, 터널의 SA(보안 연결) 수와 암호화/암호 해독 키를 재협상해야 할 때까지 소요되는 수명을 협상합니다.
IKE 단계 1
IKEv1에는 인증 정보를 교환하는 두 가지 모드, 즉 메인 모드와 적극적인 모드가 있습니다.
메인 모드: VPN을 시작하는 노드 또는 게이트웨이가 수신 쪽의 노드 또는 게이트웨이를 쿼리하고, 양쪽에서 인증 방법과 공개 키 및 ID 정보를 교환합니다. 이 모드에서는 대개 6개의 메시지를 교환해야 합니다. 메인 모드의 인증 메시지 순서는 다음과 같습니다.
1. 출발지에서 지원하는 암호화 알고리즘 목록을 보냅니다.
2. 목적지에서 지원되는 암호화 알고리즘 목록을 사용하여 회신합니다.
3. 출발지에서 해당하는 첫 번째 암호화 알고리즘용 공개 키(Diffie-Hellman 공개/개인 키 쌍의 일부분)를 보냅니다.
4. 목적지에서 같은 암호화 알고리즘용 공개 키를 사용하여 회신합니다.
5. 출발지에서 ID 정보(보통 인증서)를 보냅니다.
6. 목적지에서 ID 정보를 사용하여 회신합니다.
적극적인 모드: 이 모드에서는 인증 시 교환되는 메시지 수를 절반으로 줄이기 위해 사용할 암호화 알고리즘을 협상하지 않습니다. 출발지에서 특정 알고리즘을 제안하면 목적지가 해당 알고리즘의 지원 여부를 회신합니다.
1. 출발지에서 사용할 암호화 알고리즘을 제안한 후 해당 공개 키를 보냅니다.
2. 목적지에서 공개 키와 ID 증명을 사용하여 회신합니다.
3. 출발지에서 ID 증명을 보냅니다. 인증되면 SA 두 개(각 노드에서 반대쪽 노드로 연결되는 SA 각 하나씩)를 사용하여 VPN 터널을 설정합니다.
IKE 단계 2
IKE 단계 2에서는 두 주체가 사용할 보안 유형과 터널을 통과하는 트래픽에 사용할 암호화 방법(필요시), 키를 다시 입력해야 할 때까지 소요되는 터널 수명을 협상합니다.
개별 패킷에 대한 두 가지 보안 유형은 다음과 같습니다.
• ESP(Encryption Secured Payload) - 주체 간에 협상된 프로토콜을 사용하여 각 패킷의 데이터 부분을 암호화합니다.
• AH(인증 헤더) - 각 패킷의 헤더에 인증 정보를 포함하여 정보가 인증되었고 조작되지 않았음을 확인합니다. AH의 경우 데이터 암호화를 사용하지 않습니다.
SonicOS에서는 VPN을 통과하는 트래픽에 대해 다음의 암호화 방법을 지원합니다.
• DES
• 3DES
• AES-128
• AES-192
• AES-256
IKEv1에 대한 자세한 내용은 다음 웹 사이트에서 IKE를 맨 처음 정의하는 세 가지 사양인 RFC 2407, RFC 2408, RFC 2409를 통해 확인할 수 있습니다.
• http://www.faqs.org/rfcs/rfc2407.html
• http://www.faqs.org/rfcs/rfc2408.html
• http://www.faqs.org/rfcs/rfc2409.html
IKE 버전 2
IKE 버전 2는 보안 연결을 협상 및 설정하기 위한 최신 프로토콜입니다. IKEv2는 보안 기능이 개선되고 아키텍처가 간소화되었으며 원격 사용자 지원 기능이 향상되었습니다.
새로운 VPN 정책의 경우 IKEv2가 기본 제안 유형입니다.
IKEv2에서는 보조 게이트웨이가 지원됩니다.
IKEv2는 IKEv1과 호환되지 않습니다. IKEv2를 사용하는 경우 터널을 설정하려면 VPN의 모든 노드가 IKEv2를 사용해야 합니다.
IKEv2에서는 DHCP over VPN이 지원되지 않습니다.
IKEv1과 비교한 IKEv2의 장점은 다음과 같습니다.
• 보다 안전함
• 보다 안정적임
• 보다 간편함
• 보다 빠름
• 확장 가능함
• 연결 설정 시 교환되는 메시지 수가 더 적음
• EAP 인증 지원
• MOBIKE 지원
• 기본 제공되는 NAT 통과
• 연결 유지가 기본적으로 사용됨
IKEv2에서는 다양한 인증 방법과 원격 액세스 시나리오를 사용할 수 있도록 IP 주소 할당 및 EAP가 지원됩니다. IKEv2를 사용하는 경우 IKEv1 메인 모드에 비해 SA 설정 시 필요한 메시지 교환 수가 크게 감소합니다. 또한 IKEv2는 IKEv1 적극적인 모드보다 훨씬 안전하고 유동적입니다. 그러므로 키를 다시 입력하는 동안 나타나는 지연 현상이 줄어듭니다. IKEv2를 사용하면 VPN이 확장되어 여러 모드나 게이트웨이 간에 포함되는 터널 수가 계속 증가함에 따라 터널당 필요한 SA 수가 줄어들기 때문에 필요한 대역폭과 관리 오버헤드도 감소합니다.
IKEv2의 SA(하위 SA)는 VPN 터널의 수명 기간 동안 언제든지 독립적으로 작성, 수정하고 삭제할 수 있습니다.
IKEv2의 초기화 및 인증
IKEv2에서는 메시지 쌍(두 메시지/응답 쌍)을 교환하여 VPN 터널을 초기화합니다.
• 통신 초기화: 첫 번째 메시지 쌍(IKE_SA_INIT)은 암호화 알고리즘을 협상하고, nonce(메시기자 반복 생성되지 않도록 하기 위해 생성 후 전송되는 임의의 값)를 교환하며, 공개 키를 교환합니다.
a. 출발지에서 지원되는 암호화 알고리즘, 공개 키 및 nonce 목록을 보냅니다.
b. 목적지에서 선택한 암호화 알고리즘, 공개 키, nonce 및 인증 요청을 보냅니다.
• 인증: 두 번째 메시지 쌍(IKE_AUTH)은 이전 메시지를 인증하고, ID와 인증서를 교환하며, 첫 번째 CHILD_SA를 설정합니다. 이러한 메시지 중 일부는 IKE_SA_INIT 교환을 통해 설정된 키를 사용해 암호화되고 무결성이 보호되므로 ID가 도용되지 않으며 모든 메시지의 필드가 인증됩니다.
a. 출발지에서 공유 암호, 인증서 등의 ID 증명과 하위 SA 설정 요청을 보냅니다.
b. 목적지에서 일치하는 ID 증명을 보내고 하위 SA 협상을 완료합니다.
IKEv2의 SA 협상
단일 요청/응답 쌍으로 구성되는 이 교환은 IKEv1에서 단계 2 교환으로 지칭되었습니다. 초기 교환이 완료되고 나면 SA의 두 주체 중 하나가 이 협상을 시작할 수 있습니다.
초기 교환 이후 모든 메시지는 IKE를 교환할 때 처음 두 메시지에서 협상된 암호화 알고리즘과 키를 사용하여 암호화 방식으로 보호됩니다.
양 끝점에서 CREATE_CHILD_SA 교환을 시작할 수 있으므로 이 섹션에 사용된 "출발지"라는 용어는 이 교환을 시작하는 끝점을 지칭합니다.
1. 출발지는 하위 SA 제안을 보내고, 데이터를 암호화하려는 경우 암호화 방법과 공개 키도 함께 보냅니다.
2. 목적지는 수락된 하위 SA 제안을 보내고, 암호화 정보가 포함된 경우 공개 키도 함께 보냅니다.
참고 KEv2에 대한 자세한 내용은 다음 웹 사이트의 RFC 4306 사양에서 확인할 수 있습니다.
http://www.ietf.org/rfc/rfc4306.txt
SonicOS에서 VPN을 구성하는 방법에 대한 자세한 내용은 다음 섹션을 참조하십시오.
For an overview of VPNs in SonicOS Enhanced, see VPN > 설정.
산업 표준 IPsec VPN 구현에 기반을 둔 SonicWALL VPN은 쉽게 설정할 수 있는 보안 솔루션을 제공하여 인터넷으로 모바일 사용자와 재택 근무자, 원격 오피스 및 파트너를 연결할 수 있습니다. 모바일 사용자와 재택 근무자 및 광대역(DSL/케이블)이나 전화 접속 인터넷 액세스를 사용하는 기타 원격 사용자는 방화벽의 Dell SonicWALL 전역 VPN 클라이언트 및 GroupVPN을 사용하여 네트워크 리소스에 안전하고 쉽게 액세스할 수 있습니다. 원격 오피스 네트워크는 네트워크 간 VPN 연결을 지원하는 사이트 간 VPN 연결을 사용하여 네트워크에 안전하게 연결할 수 있습니다.
참고 Dell SonicWALL 전역 VPN 클라이언트에 대한 자세한 내용은 Dell SonicWALL 전역 VPN 클라이언트 관리자 가이드를 참조하십시오.
GroupVPN은 전역 VPN 클라이언트용 자동 VPN 정책 프로비저닝 기능을 제공합니다. Dell SonicWALL 네트워크 보안 어플라이언스의 GroupVPN 기능과 전역 VPN 클라이언트를 사용하면 VPN 배포 및 관리가 크게 간소화됩니다. 클라이언트 정책 프로비저닝 기술을 사용하여 전역 VPN 클라이언트 사용자에 대해 VPN 정책을 정의합니다. 이 정책 정보는 방화벽(VPN 게이트웨이)에서 전역 VPN 클라이언트로 자동 다운로드되어 원격 사용자가 VPN 연결을 프로비저닝하지 않아도 됩니다.
관리 인터페이스를 사용하여 GroupVPN 또는 사이트 간 VPN 터널을 구성할 수 있습니다. GroupVPN 정책은 각 영역에 하나씩, 총 네 개까지 정의할 수 있습니다. 사이트 간 VPN을 여러 개 만들 수도 있습니다. 추가할 수 있는 최대 정책 수는 SonicWALL 모델에 따라 다릅니다.
참고 사용자 > 로컬 사용자 또는 사용자 > 로컬 그룹 페이지에서 원격 사용자에게 네트워크 리소스 액세스 권한을 명시적으로 부여해야 합니다. 로컬 사용자 또는 로컬 그룹을 구성할 때 VPN 액세스 탭의 설정은 GVC를 사용하여 GroupVPN에 연결하는 원격 클라이언트 기능에 적용되며, NetExtender 및 SSL VPN Virtual Office 책갈피를 사용하여 네트워크 리소스에 액세스하는 원격 사용자에게도 적용됩니다. GVC, NetExtender 또는 Virtual Office 사용자가 네트워크 리소스에 액세스하도록 허용하려면 네트워크 주소 개체 또는 그룹을 VPN 액세스 탭의 "허용" 목록에 추가해야 합니다.
VPN > 설정 페이지의 ***전역 VPN 설정 섹션에는 다음 정보가 표시됩니다.
Dell SonicWALL 보안 정책을 통해 VPN 정책을 적용하려면 VPN 사용을 선택해야 합니다.
• 고유 방화벽 식별자 - 기본값은 방화벽의 일련 번호입니다. 식별자를 변경할 수 있으며, VPN 터널 구성에 사용할 수 있습니다.
모든 기존 VPN 정책은 VPN 정책 테이블에 표시됩니다. 각 항목에 표시되는 정보는 다음과 같습니다.
이름: 기본 이름 또는 사용자 정의 VPN 정책 이름이 표시됩니다.
• 게이트웨이: 원격 방화벽의 IP 주소가 표시됩니다. 0.0.0.0을 사용하는 경우 게이트웨이가 표시되지 않습니다.
• 대상: 대상 네트워크의 IP 주소가 표시됩니다.
• 암호화 제품군: VPN 정책에 사용되는 암호화 유형이 표시됩니다.
• 사용: 확인란을 선택하면 VPN 정책이 사용됩니다. 확인란을 선택 취소하면 VPN 정책이 사용되지 않습니다.
• 구성: 편집 아이콘을 클릭하면 VPN 정책을 편집할 수 있습니다. 삭제 아이콘을 클릭하면 VPN 정책을 삭제할 수 있습니다. 미리 정의된 GroupVPN 정책은 삭제할 수 없으므로 삭제 아이콘이 흐리게 표시됩니다. GroupVPN 정책에는 SonicWALL 전역 VPN 클라이언트에서 로컬로 설치할 수 있도록 VPN 정책 구성을 파일로 내보낼 수 있는 디스크 아이콘도 있습니다.
정의된 VPN 정책 수, 사용하도록 설정된 정책 및 허용되는 최대 정책 수가 테이블 아래 표시됩니다. GroupVPN 정책은 각 영역에 대해 하나씩, 총 네 개까지 정의할 수 있습니다. 이러한 GroupVPN 정책은 VPN 정책 테이블에 기본적으로 WAN GroupVPN, LAN GroupVPN, DMZ GroupVPN 및 WLAN GroupVPN으로 표시됩니다. GroupVPN의 구성 열에서 편집 아이콘을 클릭하면 GroupVPN 정책을 구성할 수 있는 VPN 정책 창이 표시됩니다.
VPN 정책 테이블 아래에는 다음과 같은 단추가 있습니다.
• 추가 - VPN 정책 창에 액세스하여 사이트 간 VPN 정책을 구성합니다.
• 삭제 - 이름 열의 VPN 정책 이름 앞에 있는 확인란이 선택된 정책을 삭제합니다. GroupVPN 정책은 삭제할 수 없습니다.
• 모두 삭제 - 기본 GroupVPN 정책을 제외하고 VPN 정책 테이블의 모든 VPN 정책을 삭제합니다.
VPN 정책 항목 탐색 및 정렬
VPN 정책 테이블에서는 많은 VPN 정책을 쉽게 볼 수 있도록 페이지로 표시할 수 있습니다. VPN 정책 테이블 오른쪽 위에 있는 탐색 컨트롤 막대를 사용하면 VPN 정책 테이블에 나와 있는 많은 VPN 정책을 탐색할 수 있습니다. 탐색 컨트롤 막대에는 단추가 네 개 있습니다. 맨 왼쪽 단추를 클릭하면 테이블의 첫 페이지가 표시됩니다. 맨 오른쪽 단추를 클릭하면 마지막 페이지가 표시됩니다. 안쪽의 왼쪽/오른쪽 화살표 단추를 클릭하면 각각 이전 페이지와 다음 페이지로 이동합니다.
항목 필드에 정책 번호(# 이름 열의 정책 이름 앞에 나와 있는 번호)를 입력하면 특정 VPN 정책으로 이동할 수 있습니다. 기본 테이블 구성에서는 페이지당 항목이 50개 표시됩니다. 시스템 > 관리 페이지에서 이 테이블의 기본 항목 수를 변경할 수 있습니다.
열 헤더를 클릭하면 테이블 항목을 정렬할 수 있습니다. 항목은 오름차순이나 내림차순으로 정렬됩니다. 열 항목 오른쪽의 화살표가 정렬 상태를 나타냅니다. 아래쪽 화살표는 오름차순을, 위쪽 화살표는 내림차순을 의미합니다.
이 섹션에는 현재 활성 상태인 VPN 터널의 목록이 표시됩니다. 테이블에는 VPN 정책의 이름, 로컬 LAN IP 주소 및 원격 대상 네트워크 IP 주소와 피어 게이트웨이 IP 주소가 나열됩니다.
VPN 클라이언트가 VPN 터널을 재협상하도록 강제 지정하려면 재협상 단추를 클릭합니다.
VPN 터널 통계 확인
현재 활성 VPN 터널 테이블에서 특정 터널 행의 통계 아이콘을 클릭하면 해당 터널의 통계를 확인할 수 있습니다. VPN 터널 통계 아이콘을 클릭하면 다음 통계가 표시됩니다.
• 시간 생성: 터널이 생성된 날짜와 시간입니다.
• 터널 유효 기간: 터널이 만료되어 강제로 재협상되는 시간입니다.
• 수신 패킷: 이 터널에서 수신된 패킷 수입니다.
• 송신 패킷: 이 터널에서 송신된 패킷 수입니다.
• 수신 바이트: 이 터널에서 수신된 바이트 수입니다.
• 송신 바이트: 이 터널에서 송신된 바이트 수입니다.
• 수신 조각 패킷: 이 터널에서 수신된 조각 패킷 수입니다.
• 송신 조각 패킷: 이 터널에서 송신된 조각 패킷 수입니다.
SonicOS에서 VPN을 구성하는 방법에 대한 자세한 내용은 다음 섹션을 참조하십시오.
SonicOS의 IPv6 구현에 대한 자세한 내용은 1359페이지의 IPv6를 참조하십시오.
IPSec VPN은 VPN > 설정 페이지 왼쪽 상단에 있는 IP 버전 보기 라디오 단추에서 IPv6 옵션을 선택한 후 IPv4 VPN과 유사한 방식으로 IPv6에 대해 구성할 수 있습니다.
현재 다음을 포함하여 IPv6에 지원되지 않는 특정 VPN 기능이 있습니다.
• IKEv2가 지원되지만 IKEv1은 현재 지원되지 않습니다.
• GroupVPN이 지원되지 않습니다.
• DHCP Over VPN이 지원되지 않습니다.
IPv6 VPN 정책을 구성할 때 게이트웨이는 일반 탭에서 IPv6 주소를 사용하여 구성해야 합니다. FQDN은 지원되지 않습니다. IKE 인증을 구성할 때 로컬 및 피어 IKE ID에 IPV6 주소를 사용할 수 있습니다.
참고 DHCP Over VPN 및 L2TP 서버는 IPv6에 지원되지 않습니다.
VPN 정책의 네트워크 탭에서 로컬 네트워크 및 원격 네트워크에 대한 IPV6 주소 오브젝트(또는 IPv6 주소 오브젝트만 포함하는 주소 그룹)를 선택해야 합니다.
DHCP Over VPN은 지원되지 않으므로 보호된 네트워크에 대한 DHCP 옵션을 사용할 수 없습니다.
로컬 네트워크의 경우 임의 주소 옵션 및 원격 네트워크의 경우 터널 모든 옵션이 제거됩니다. 동일한 기능과 동작에 대해 모두 0인 IPv6 네트워크 주소 오브젝트를 선택할 수 있습니다.
암호화 탭에서 IPv6만 IKEv2 모드를 지원한다는 사실을 제외하고는 IPv6 및 IPv4에 대한 구성은 동일합니다.
고급 탭에서 IPv6 VPN 정책에 대해 연결 유지 사용 및 IKEv2 설정만 구성할 수 있습니다.
참고 인터페이스에는 여러 IPv6 주소가 있을 수 있으므로 터널의 로컬 주소가 정기적으로 바뀔 수 있습니다. 사용자가 일관된 IP 주소를 필요로 하는 경우 영역 대신 인터페이스에 바인딩할 VPN 정책을 구성하고 주소를 수동으로 지정합니다. 주소는 해당 인터페이스를 위한 IPv6 주소 중 하나여야 합니다.
방화벽 관리자는 GroupVPN 정책을 사용하여 여러 전역 VPN 클라이언트를 간편하게 설정 및 배포할 수 있습니다. GroupVPN은 전역 VPN 클라이언트에서만 사용 가능하며, 보안을 강화하기 위해 XAUTH/RADIUS 또는 타사 인증서를 GroupVPN과 함께 사용하는 것이 좋습니다.
전역 VPN 클라이언트에 대한 자세한 내용은 Dell SonicWALL 전역 VPN 클라이언트 관리자 가이드를 참조하십시오.
네트워크 > 영역 페이지에서 모든 영역에 대해 GroupVPN 정책을 만들 수 있습니다. SonicOS에서는 일반적으로 신뢰도가 낮은 영역인 WAN 영역과 WLAN 영역용으로 두 가지 기본 GroupVPN 정책을 제공합니다. 이 두 기본 GroupVPN 정책은 VPN > 설정 페이지의 VPN 정책 패널에 나열됩니다.
• WAN GroupVPN
• WLAN GroupVPN
VPN Policy 대화 상자의 인증 방법 메뉴에서 IPsec 키 지정 모드로 미리 공유한 비밀키 사용 IKE 또는 타사 인증서 사용 IKE를 선택할 수 있습니다.
SonicOS에서는 IPsec VPN 만들기 및 관리 작업을 지원합니다.
WAN 영역에서 미리 공유한 비밀 사용 IKE로 GroupVPN 구성
WAN GroupVPN을 구성하려면 다음 단계를 수행합니다.
1. WAN GroupVPN 항목의 편집 아이콘을 클릭합니다. VPN 정책 대화 상자가 표시됩니다.
일반 탭에서 인증 방법의 기본 설정은 미리 공유한 비밀키 사용 IKE입니다. 방화벽에서 공유 비밀 필드에 공유 비밀을 자동으로 생성합니다. 직접 공유 비밀을 생성할 수도 있습니다. 공유 비밀키는 4자 이상이어야 합니다. GroupVPN 정책의 이름은 변경할 수 없습니다.
3. 제안 탭을 클릭하여 구성 프로세스를 계속 진행합니다.
IKE(단계 1) 제안 섹션에서는 다음 설정을 사용합니다.
– DH 그룹 메뉴에서 DH 그룹을 선택합니다.
참고 Windows 2000 L2TP 클라이언트 및 Windows XP L2TP 클라이언트는 DH 그룹 2에서만 작동하며 DH 그룹 1, 5와 호환되지 않습니다.
– 암호화 메뉴에서 3DES, AES-128 또는 AES-256을 선택합니다.
– 인증 메뉴에서 원하는 인증 방법을 선택합니다.
– 수명(초) 필드에 값을 입력합니다. 기본 설정인 28800을 사용하면 터널이 8시간마다 키를 교환하고 재협상하도록 강제 지정됩니다.
5. IPsec(단계 2) 제안 섹션에서는 다음 설정을 사용합니다.
– 프로토콜 메뉴에서 원하는 프로토콜을 선택합니다.
– 암호화 메뉴에서 3DES, AES-128 또는 AES-256을 선택합니다.
– 인증 메뉴에서 원하는 인증 방법을 선택합니다.
– 추가 보안 레이어로 Diffie-Hellman 키 교환을 추가하려면 전달 완전 보안 사용을 선택합니다. DH 그룹 메뉴에서 그룹 2를 선택합니다.
참고 Windows 2000 L2TP 클라이언트 및 Windows XP L2TP 클라이언트는 DH 그룹 2에서만 작동하며 DH 그룹 1, 5와 호환되지 않습니다.
– 수명(초) 필드에 값을 입력합니다. 기본 설정인 28800을 사용하면 터널이 8시간마다 키를 교환하고 재협상하도록 강제 지정됩니다.
6. 고급 탭을 클릭합니다.
GroupVPN 정책에 적용할 다음의 옵션 설정을 선택합니다.
고급 설정
– IPsec 재생 방지 사용 안 함 - 시퀀스 번호가 중복되는 패킷이 삭제되지 않도록 합니다.
– Windows 네트워킹(NetBIOS) 브로드캐스트 사용 - Windows® 네트워크 환경을 탐색하여 원격 네트워크 리소스에 액세스하도록 허용합니다.
– 멀티캐스트 사용 - VoIP를 포함한 스트리밍 오디오와 비디오 응용 프로그램 등의 IP 멀티캐스트 트래픽이 VPN 터널을 통과할 수 있도록 설정합니다.
– 클라이언트를 위한 여러 제한 적용 - IKE(단계 1) 제안 또는 IPsec(단계 2) 제안 등의, 클라이언트에 대한 여러 제안이 적용되도록 허용합니다.
– 이 SA를 통한 관리: - VPN 정책을 사용하여 방화벽을 관리하는 경우 관리 방법을 HTTP 또는 HTTPS 중에서 선택합니다.
– 기본 게이트웨이 - 네트워크 관리자가 이 VPN 정책에 대해 수신 IPsec 패킷의 기본 네트워크 경로 IP 주소를 지정하도록 허용합니다. 방화벽에서 수신 패킷의 암호를 해독한 다음 방화벽에 구성된 정적 경로와 비교합니다. 패킷에는 임의의 IP 주소 대상이 포함될 수 있으므로 트래픽을 처리하기에 충분한 정적 경로를 구성할 수는 없습니다. IPsec 터널을 통해 수신된 패킷의 경우 방화벽이 경로를 조회합니다. 경로를 찾을 수 없으면 보안 어플라이언스가 기본 게이트웨이를 확인합니다. 기본 게이트웨이가 감지되면 패킷이 게이트웨이를 통해 라우팅됩니다. 그렇지 않으면 패킷이 삭제됩니다.
클라이언트 인증
– XAUTH를 통한 VPN 클라이언트 인증 필요 - 이 VPN 터널의 인바운드 트래픽이 모두 인증된 사용자가 보낸 트래픽이어야 하도록 지정합니다. 인증되지 않은 트래픽은 VPN 터널에서 허용되지 않습니다. 신뢰할 수 있는 사용자 그룹은 기본적으로 선택되어 있습니다. XAUTH 사용자의 사용자 그룹 메뉴에서 다른 사용자 그룹이나 모두를 선택할 수 있습니다.
– 인증되지 않은 VPN 클라이언트 액세스 허용 - 인증되지 않은 VPN 클라이언트 액세스를 사용하도록 설정할 수 있습니다. XAUTH를 통한 VPN 클라이언트 인증 필요를 선택 취소하면 인증되지 않은 VPN 클라이언트 액세스 허용 메뉴가 활성화됩니다. 미리 정의된 옵션 메뉴에서 주소 개체 또는 주소 그룹을 선택하거나, 새 주소 개체 만들기 또는 새 주소 그룹 만들기를 선택하여 새 개체나 그룹을 만듭니다.
8. 클라이언트 탭을 클릭하고 GroupVPN 정책에 적용할 다음 설정을 선택합니다.
사용자 이름 및 암호 캐싱
– 클라이언트에서 XAUTH 사용자 이름 및 암호 캐시 - 전역 VPN 클라이언트가 사용자 이름과 암호를 캐시할 수 있습니다.
: •: 안 함 - 전역 VPN 클라이언트가 사용자 이름과 암호를 캐시할 수 없습니다. 연결이 사용하도록 설정될 때뿐만 아니라 IKE 단계 1 키를 다시 입력할 때마다 사용자 이름과 암호를 입력하라는 메시지가 사용자에게 표시됩니다.
: •: 단일 세션 - 연결이 사용하도록 설정될 때마다 전역 VPN 클라이언트 사용자에게 사용자 이름과 암호를 입력하라는 메시지를 표시합니다. 이 세션은 연결을 사용하지 않도록 설정할 때까지 유효한 상태로 유지됩니다. 사용자 이름과 암호는 IKE 단계 1 키 다시 입력에서 사용됩니다.
: •: 항상 - 연결이 사용하도록 설정될 때 전역 VPN 클라이언트 사용자에게 사용자 이름과 암호를 입력하라는 메시지를 한 번만 표시합니다. 메시지가 표시되면 사용자는 사용자 이름과 암호를 캐시할 수 있습니다.
클라이언트 연결
– 가상 어댑터 설정 - GVC(전역 VPN 클라이언트)의 가상 어댑터는 가상 어댑터에 주소를 할당하는 DHCP 서버, 즉 내부 SonicOS 서버 또는 지정된 외부 DHCP 서버에 따라 다르게 사용됩니다. 주소 지정을 예측할 수 있어야 하는 경우 가상 어댑터의 MAC 주소를 가져오고 DHCP 임대를 예약해야 합니다. 예측 가능한 가상 어댑터의 주소를 지정하는 관리상의 부담을 줄이려면 가상 어댑터 IP 구성 시 정적 주소 지정을 허용하도록 GroupVPN을 구성하면 됩니다. 이 기능을 사용하려면 SonicWALL GVC를 사용해야 합니다.
: •: 없음 - 이 GroupVPN 연결에서 가상 어댑터가 사용되지 않습니다.
: •: DHCP 임대 - 가상 어댑터가 VPN > DHCP over VPN 페이지에 구성된 DHCP 서버에서만 해당 IP 구성을 가져옵니다.
: •: DHCP 임대 또는 수동 구성 - GVC가 방화벽에 연결할 때 방화벽의 정책은 가상 어댑터를 사용하도록 GVC에 명령하지만 가상 어댑터가 수동으로 구성된 경우에는 DHCP 메시지가 표시되지 않습니다. 방화벽은 수동으로 할당된 IP 주소에 대해 ARP를 프록시할 수 있도록 구성된 값을 기록합니다. 현재 기본적으로 가상 어댑터에 대한 IP 주소 할당에는 제한이 없습니다. 단 중복된 정적 주소는 허용되지 않습니다.
– 연결 허용 - 각 게이트웨이의 대상 네트워크와 일치하는 클라이언트 네트워크 트래픽이 해당 특정 게이트웨이의 VPN 터널을 통해 전송됩니다.
: •: 이 게이트웨이만 - 한 번에 연결 하나만 사용할 수 있습니다. 게이트웨이 정책에 지정된 대상 네트워크와 일치하는 트래픽이 VPN 터널을 통해 전송됩니다. 이 게이트웨이로 기본 경로 설정과 함께 이 옵션을 선택하면 인터넷 트래픽도 VPN 터널을 통해 전송됩니다. 이 게이트웨이로 기본 경로 설정을 선택하지 않고 이 옵션을 선택하면 인터넷 트래픽이 차단됩니다.
: •: 모든 보안 게이트웨이 - 한 번에 하나 이상의 연결을 사용할 수 있습니다. 각 게이트웨이의 대상 네트워크와 일치하는 트래픽이 해당 특정 게이트웨이의 VPN 터널을 통해 전송됩니다. 이 게이트웨이로 기본 경로 설정과 함께 이 옵션을 선택하면 인터넷 트래픽도 VPN 터널을 통해 전송됩니다. 이 게이트웨이로 기본 라우팅 설정을 선택하지 않고 이 옵션을 선택하면 인터넷 트래픽이 차단됩니다. 여러 게이트웨이 중 한 게이트웨이에서만 이 게이트웨이로 기본 라우팅 설정을 사용하도록 설정할 수 있습니다.
: •: 분할 터널 - VPN 사용자가 로컬 인터넷 연결과 VPN 연결을 모두 사용할 수 있습니다.
– 이 게이트웨이로 기본 라우팅 설정 - 모든 원격 VPN 세션에서 이 VPN 터널을 통해 인터넷에 액세스하는 경우 이 확인란을 선택합니다. VPN 정책 하나만 이 설정을 사용하도록 구성할 수 있습니다.
클라이언트 초기 프로비전
– 단순 클라이언트 프로비전에 기본 키 사용 - 게이트웨이와의 초기 교환에는 적극적인 모드를 사용하고, VPN 클라이언트는 인증 시 미리 공유한 기본 키를 사용합니다.
9. 확인을 클릭합니다.
타사 인증서 사용 IKE로 GroupVPN을 구성하려면 다음 단계를 수행합니다.
주의 타사 인증서 사용 IKE로 GroupVPN을 구성하기 전에 먼저 인증서를 방화벽에 설치해야 합니다.
1. VPN > 설정 페이지에서 구성 아래의 편집 아이콘을 클릭합니다. VPN 정책 창이 표시됩니다.
보안 정책 섹션의 인증 방법 메뉴에서 타사 인증서 사용 IKE를 선택합니다. VPN 정책의 기본 이름은 GroupVPN이며 변경할 수 없습니다.
3. 게이트웨이 인증서 메뉴에서 방화벽용 인증서를 선택합니다.
4. 피어 ID 형식 메뉴에서 다음 피어 ID 형식 중 하나를 선택합니다.
– 이메일 ID 및 도메인 이름 - 이메일 ID 및 도메인 이름 형식은 인증서의 주체 대체 이름(모든 인증서에 기본적으로 포함되어 있는 것은 아님)을 기준으로 합니다. 인증서에 주체 대체 이름 필드가 포함되어 있지 않으면 이 필터는 작동하지 않습니다. 이메일 ID 및 도메인 이름 필터는 필요한 적정 범위를 식별하는 문자열 또는 부분 문자열을 포함할 수 있습니다. 문자열 입력 시 대/소문자를 구분하지 않으며, 와일드카드 문자*(2자 이상) 및 ?(1자)를 포함할 수 있습니다. 예를 들어 이메일 ID 선택 시 *@sonicwall.com 문자열을 포함하면 이메일 주소가 sonicwall.com으로 끝나는 모든 사용자에게 액세스 권한이 제공됩니다. 도메인 이름 선택 시 *sv.us.sonicwall.com 문자열을 포함하면 도메인 이름이 sv.us.sonicwall.com으로 끝나는 모든 사용자에게 액세스 권한이 제공됩니다.
– 고유 이름 - 모든 인증서에 기본적으로 포함되어 있는 인증서 주체 고유 이름을 기준으로 합니다. 주체 고유 이름의 형식은 발급 인증 기관에서 결정합니다. 공통 필드는 국가(C=), 조직(O=), 조직 단위(OU=), 일반 이름(CN=), 구/군/시(L=)이며 발급 인증 기관에 따라 달라집니다. X.509 인증서의 실제 주체 고유 이름 필드는 일치시키기 위해 문자열로 변환해야 하는 이진 개체입니다. 각 필드는 다음과 같이 슬래시 문자로 구분됩니다. /C=US/O=SonicWALL, Inc./OU=TechPubs/CN=Joe Pub
: •: 조직 단위는 세 개까지 지정할 수 있습니다. 이러한 필드는 c=*;o=*;ou=*;ou=*;ou=*;cn=*와 같이 사용합니다. 마지막 항목에는 세미콜론을 포함하지 않아도 됩니다. c=us와 같이 항목을 하나 이상 입력해야 합니다.
5. 피어 ID 필터 필드에 피어 ID 필터를 입력합니다.
6. 피어 인증서가 게이트웨이 인증서 메뉴에 지정된 발급자가 서명한 인증서여야 하도록 지정하려면 게이트웨이 발급자가 서명한 피어 인증서만 허용을 선택합니다.
7. 제안 탭을 클릭합니다.
8. IKE(단계 1) 제안 섹션에서는 다음 설정을 선택합니다.
– DH 그룹 메뉴에서 DH 그룹을 선택합니다.
참고 Windows 2000 L2TP 클라이언트 및 Windows XP L2TP 클라이언트는 DH 그룹 2에서만 작동하며 DH 그룹 1, 5와 호환되지 않습니다.
– 암호화 메뉴에서 3DES, AES-128 또는 AES-256을 선택합니다.
– 인증 메뉴에서 원하는 인증 방법을 선택합니다.
– 수명(초) 필드에 값을 입력합니다. 기본 설정인 28800을 사용하면 터널이 8시간마다 키를 교환하고 재협상하도록 강제 지정됩니다.
9. IPsec(단계 2) 제안 섹션에서는 다음 설정을 사용합니다.
– 프로토콜 메뉴에서 원하는 프로토콜을 선택합니다.
– 암호화 메뉴에서 3DES, AES-128 또는 AES-256을 선택합니다.
– 인증 메뉴에서 원하는 인증 방법을 선택합니다.
– 추가 보안 레이어로 Diffie-Hellman 키 교환을 추가하려면 전달 완전 보안 사용을 선택합니다. DH 그룹 메뉴에서 그룹 2를 선택합니다.
참고 Windows 2000 L2TP 클라이언트 및 Windows XP L2TP 클라이언트는 DH 그룹 2에서만 작동하며 DH 그룹 1, 5와 호환되지 않습니다.
– 수명(초) 필드에 값을 입력합니다. 기본 설정인 28800을 사용하면 터널이 8시간마다 키를 교환하고 재협상하도록 강제 지정됩니다.
10. 고급 탭을 클릭하고 GroupVPN 정책에 적용할 다음과 같은 옵션 설정을 선택합니다.
– Windows 네트워킹(NetBIOS) 브로드캐스트 사용 - Windows 네트워크 환경을 탐색하여 원격 네트워크 리소스에 액세스하도록 허용합니다.
– 멀티캐스트 사용 - VoIP를 포함한 스트리밍 오디오와 비디오 응용 프로그램 등의 IP 멀티캐스트 트래픽이 VPN 터널을 통과할 수 있도록 설정합니다.
– 이 SA를 통한 관리 - VPN 정책을 사용하여 방화벽을 관리하는 경우 관리 방법을 HTTP 또는 HTTPS 중에서 선택합니다.
– 기본 게이트웨이 - 중앙 사이트에서 이 SA를 통한 모든 인터넷 트래픽 경로 지정 확인란을 사용하여 원격 사이트와 함께 사용합니다. 네트워크 관리자는 기본 LAN 게이트웨이를 사용하여 이 SA에 대한 수신 IPsec 패킷의 기본 LAN 경로 IP 주소를 지정할 수 있습니다. 방화벽에서 수신 패킷의 암호를 해독한 다음 방화벽에 구성된 정적 경로와 비교합니다. 패킷에는 임의의 IP 주소 대상이 포함될 수 있으므로 트래픽을 처리하기에 충분한 정적 경로를 구성할 수는 없습니다. IPsec 터널을 통해 수신된 패킷의 경우 방화벽이 LAN의 경로를 조회합니다. 경로가 없으면 방화벽이 기본 LAN 게이트웨이를 확인합니다. 기본 LAN 게이트웨이가 감지되면 패킷이 게이트웨이를 통해 라우팅됩니다. 그렇지 않으면 패킷이 삭제됩니다.
– OCSP 확인 사용 및 OCSP 목적지 URL - OCSP(온라인 인증서 상태 프로토콜)를 사용하여 VPN 인증서 상태를 확인하도록 설정하고 인증서 상태를 확인할 URL을 지정합니다. VPN > 설정의 809페이지의 Dell SonicWALL 네트워크 보안 어플라이언스에서 OCSP 사용을 참조하십시오.
– XAUTH를 통한 VPN 클라이언트 인증 필요 - 이 VPN 정책의 모든 인바운드 트래픽이 인증된 사용자가 보낸 트래픽이어야 하도록 지정합니다. 인증되지 않은 트래픽은 VPN 터널에서 허용되지 않습니다.
– XAUTH 사용자의 사용자 그룹 - 인증 시 정의된 사용자 그룹을 선택할 수 있습니다.
– ***인증되지 않은 모든 VPN 클라이언트 액세스 - 인증되지 않은 전역 VPN 클라이언트 액세스를 위한 네트워크 세그먼트를 지정할 수 있습니다.
11. 클라이언트 탭을 클릭하고 전역 VPN 클라이언트 프로비저닝에 적용할 다음과 같은 확인란을 선택합니다.
– ***XAUTH 사용자 이름 및 암호 캐시 - 전역 VPN 클라이언트가 사용자 이름과 암호를 캐시할 수 있습니다. 다음 중에서 선택합니다.
: •: 안 함 - 전역 VPN 클라이언트가 사용자 이름과 암호를 캐시할 수 없습니다. 연결이 사용하도록 설정될 때뿐만 아니라 IKE 단계 1 키를 다시 입력할 때마다 사용자 이름과 암호를 입력하라는 메시지가 사용자에게 표시됩니다.
: •: 단일 세션 - 연결이 사용하도록 설정될 때마다 사용자에게 사용자 이름과 암호를 입력하라는 메시지를 표시합니다. 이 세션은 연결을 사용하지 않도록 설정할 때까지 유효한 상태로 유지됩니다. 사용자 이름과 암호는 IKE 단계 1 키 다시 입력에서 사용됩니다.
: •: 항상 - 연결이 사용하도록 설정될 때 사용자에게 사용자 이름과 암호를 입력하라는 메시지를 한 번만 표시합니다. 메시지가 표시되면 사용자는 사용자 이름과 암호를 캐시할 수 있습니다.
– 가상 어댑터 설정 - GVC(전역 VPN 클라이언트)의 가상 어댑터는 가상 어댑터에 주소를 할당하는 DHCP 서버, 즉 내부 SonicOS 서버 또는 지정된 외부 DHCP 서버에 따라 다르게 사용됩니다. 주소 지정을 예측할 수 있어야 하는 경우 가상 어댑터의 MAC 주소를 가져오고 DHCP 임대를 예약해야 합니다. 예측 가능한 가상 어댑터의 주소를 지정하는 관리상의 부담을 줄이려면 가상 어댑터 IP 구성 시 정적 주소 지정을 허용하도록 GroupVPN을 구성하면 됩니다. 이 기능을 사용하려면 SonicWALL GVC를 사용해야 합니다.
: •: 없음 - 이 GroupVPN 연결에서 가상 어댑터가 사용되지 않습니다.
: •: DHCP 임대 - 가상 어댑터가 VPN > DHCP over VPN 페이지에 구성된 DHCP 서버에서만 해당 IP 구성을 가져옵니다.
: •: DHCP 임대 또는 수동 구성 - GVC가 방화벽에 연결할 때 방화벽의 정책은 가상 어댑터를 사용하도록 GVC에 명령하지만 가상 어댑터가 수동으로 구성된 경우에는 DHCP 메시지가 표시되지 않습니다. 방화벽은 수동으로 할당된 IP 주소에 대해 ARP를 프록시할 수 있도록 구성된 값을 기록합니다. 현재 기본적으로 가상 어댑터에 대한 IP 주소 할당에는 제한이 없습니다. 단 중복된 정적 주소는 허용되지 않습니다.
– 연결 허용 - 각 게이트웨이의 대상 네트워크와 일치하는 클라이언트 네트워크 트래픽이 해당 특정 게이트웨이의 VPN 터널을 통해 전송됩니다.
: •: 이 게이트웨이만 - 한 번에 연결 하나만 사용할 수 있습니다. 게이트웨이 정책에 지정된 대상 네트워크와 일치하는 트래픽이 VPN 터널을 통해 전송됩니다. 이 게이트웨이로 기본 경로 설정과 함께 이 옵션을 선택하면 인터넷 트래픽도 VPN 터널을 통해 전송됩니다. 이 게이트웨이로 기본 경로 설정을 선택하지 않고 이 옵션을 선택하면 인터넷 트래픽이 차단됩니다.
: •: 모든 보안 게이트웨이 - 한 번에 하나 이상의 연결을 사용할 수 있습니다. 각 게이트웨이의 대상 네트워크와 일치하는 트래픽이 해당 특정 게이트웨이의 VPN 터널을 통해 전송됩니다. 이 게이트웨이로 기본 경로 설정과 함께 이 옵션을 선택하면 인터넷 트래픽도 VPN 터널을 통해 전송됩니다. 이 게이트웨이로 기본 라우팅 설정을 선택하지 않고 이 옵션을 선택하면 인터넷 트래픽이 차단됩니다. 여러 게이트웨이 중 한 게이트웨이에서만 이 게이트웨이로 기본 라우팅 설정을 사용하도록 설정할 수 있습니다.
: •: 분할 터널 - VPN 사용자가 로컬 인터넷 연결과 VPN 연결을 모두 사용할 수 있습니다.
– 이 게이트웨이로 기본 라우팅 설정 - 모든 원격 VPN 세션에서 이 SA를 통해 인터넷에 액세스하는 경우 이 확인란을 선택합니다. SA 하나만 이 설정을 사용하도록 구성할 수 있습니다.
– 단순 클라이언트 프로비전에 기본 키 사용 - 게이트웨이와의 초기 교환에는 적극적인 모드를 사용하고, VPN 클라이언트는 인증 시 미리 공유한 기본 키를 사용합니다.
12. 확인을 클릭합니다.
사용자가 전역 VPN 클라이언트로 가져올 수 있도록 전역 VPN 클라이언트 구성 설정을 파일로 내보내려면 다음 지침을 따르십시오.
주의 구성 파일을 내보내려면 GroupVPN SA를 방화벽에서 사용하도록 설정해야 합니다.
1. VPN 정책 테이블에 있는 GroupVPN 엔트리의 구성 열에서 디스크 아이콘을 클릭합니다. VPN 클라이언트 정책 내보내기 창이 표시됩니다.
RCF 형식은 SonicWALL 전역 VPN 클라이언트에 필요합니다.가 기본적으로 선택되어 있습니다. RCF 형식으로 저장된 파일은 암호화될 수 있습니다. 방화벽에서 구성 파일의 기본 파일 이름을 제공하며, 이 이름은 변경할 수 있습니다.
3. 예를 클릭합니다. VPN 정책 내보내기 창이 표시됩니다.
4. 내보낸 파일을 암호화하려면 암호 필드에 암호를 입력하고 암호 확인 필드에 암호를 한 번 더 입력합니다. 암호를 입력하지 않으면 내보낸 파일이 암호화되지 않습니다.
5. 제출을 클릭합니다. 암호를 입력하지 않은 경우 선택을 확인하는 메시지가 표시됩니다.
6. 확인을 클릭합니다. 구성 파일은 저장하기 전에 변경할 수 있습니다.
7. 파일을 저장합니다.
8. 닫기를 클릭합니다.
원격 사용자가 전역 VPN 클라이언트를 구성하는 데 사용할 수 있도록 파일을 저장하거나 원격 사용자에게 전자 방식으로 전송할 수 있습니다.
VPN 연결을 설계할 때에는 관련 IP 주소 지정 정보를 모두 문서화하고 참조로 사용할 네트워크 다이어그램을 만들어야 합니다. 다음 페이지에응 샘플 계획 시트가 나와 있습니다. 방화벽에는 라우팅 가능한 동적 또는 정적 WAN IP 주소가 있어야 합니다. 동적 및 정적 IP 주소가 지정된 VPN 네트워크에서는 동적 주소가 지정된 VPN 게이트웨이가 VPN 연결을 시작해야 합니다.
사이트 간 VPN 구성에는 다음 옵션이 포함될 수 있습니다.
• ***지사(게이트웨이 간) - SonicWALL이 VPN 터널을 통해 다른 SonicWALL에 연결하도록 구성됩니다. 또는 SonicWALL이 IPsec을 통해 다른 제조업체 방화벽에 연결하도록 구성됩니다.
• ***허브 및 스포크 디자인 - 모든 SonicWALL VPN 게이트웨이가 회사 방화벽 등의 중앙 허브에 연결하도록 구성됩니다. 허브에는 정적 IP 주소를 사용해야 하지만 스포크에는 동적 IP 주소를 사용할 수 있습니다. 스포크가 동적 주소를 사용하는 경우 허브는 Dell SonicWALL 네트워크 보안 어플라이언스여야 합니다.
• ***메시 디자인 - 모든 사이트에서 다른 사이트에 연결합니다. 모든 사이트에는 정적 IP 주소가 있어야 합니다
VPN 정책 창을 사용하여 VPN 정책을 만들거나 기존 VPN 정책을 수정할 수 있습니다. VPN 정책 테이블 아래의 추가 단추를 클릭하면 다음 IPsec 키 지정 모드 VPN 정책을 구성할 수 있는 VPN 정책 창이 표시됩니다.
이 섹션에서는 VPN 터널이 중단되는 경우 장애 조치(failover)로 사용할 정적 경로를 구성하는 방법도 설명합니다. 자세한 내용은 정적 경로에 대한 VPN 장애 조치(failover) 구성을 참조하십시오.
IKE(Internet Key Exchange)를 사용하여 VPN 정책을 구성하려면 다음 단계를 수행합니다.
1. VPN > 설정 페이지로 이동합니다.
VPN 정책 페이지가 표시됩니다.
2. 추가 단추를 클릭합니다.
VPN 정책 대화 상자가 표시됩니다.
3. 정책 유형 메뉴에서 만들려는 정책의 유형을 선택합니다.
4. 일반 탭의 인증 방법 메뉴에서 미리 공유한 비밀 사용 IKE를 선택합니다.
5. 이름 필드에 정책 이름을 입력합니다.
6. IPsec 기본 게이트웨이 이름 또는 주소 필드에 원격 연결의 호스트 이름이나 IP 주소를 입력합니다.
7. 원격 VPN 장치가 둘 이상의 끝점을 지원하는 경우 필요에 따라 IPsec 기본 게이트웨이 이름 또는 주소 필드에 원격 연결의 두 번째 호스트 이름 또는 IP 주소를 입력할 수 있습니다.
8. 공유 비밀 및 공유 비밀 확인 필드에 보안 연결 설정 시 사용할 공유 비밀 암호를 입력합니다. 공유 비밀은 4자 이상이어야 하고 숫자와 문자를 모두 포함해야 합니다.
필요에 따라 이 정책에 대한 로컬 IKE ID(옵션) 및 피어 IKE ID(옵션)를 지정합니다. 기본적으로 IP 주소(ID_IPv4_ADDR)는 메인 모드 협상에 사용되고, 방화벽 식별자(ID_USER_FQDN)는 적극적인 모드에 사용됩니다.
9. 네트워크 탭을 클릭합니다.
특정 로컬 네트워크에서 VPN 터널에 액세스할 수 있는 경우 로컬 네트워크의 목록에서 로컬 네트워크 선택에서 로컬 네트워크를 선택합니다. 이 VPN 연결 쪽에 있는 호스트가 터널의 원격 쪽에 있는 DHCP 서버에서 주소를 가져오는 경우 로컬 네트워크가 이 VPN 터널을 통해 DHCP를 사용하여 IP 주소를 가져옴을 선택합니다. 모든 로컬 네트워크의 트래픽을 허용하려면 임의 주소를 선택합니다. 피어에서 이 VPN 터널을 모든 인터넷 트래픽의 기본 경로로 사용을 선택한 경우 이 옵션을 사용합니다.
참고 IKEv2에서는 DHCP over VPN이 지원되지 않습니다.
11. 암호화되지 않은 모든 로컬 사용자의 트래픽을 방화벽 외부로 전송하지 못하도록 하려면 목적지 네트워크에서 이 VPN 터널을 모든 인터넷 트래픽의 기본 라우팅으로 사용을 선택합니다. SA 하나만 이 설정을 사용하도록 구성할 수 있습니다. 이 VPN 연결의 원격 쪽이 이 터널 쪽에 있는 DHCP 서버에서 주소를 가져오는 경우 ***대상 네트워크가 이 터널을 통해 DHCP 서버를 사용하여 IP 주소를 가져옴을 선택합니다. 또는 목록에서 대상 네트워크 선택을 선택하고 주소 개체나 그룹을 선택합니다.
12. 제안을 클릭합니다.
IKE(단계 1) 제안의 교환 메뉴에서 메인 모드, 적극적인 모드 또는 IKEv2를 선택합니다. WAN 주소를 동적으로 할당하는 경우 일반적으로 어그레시브 모드가 사용됩니다. IKEv2를 사용하는 경우 IKE 단계 1 및 단계 2를 사용하는 대신 IKEv2를 통해 모든 협상이 수행됩니다. IKEv2를 사용하는 경우 VPN 터널의 양쪽 끝에서 모두 IKEv2를 사용해야 합니다.
14. IKE(단계 1) 암호화의 DH 그룹, 암호화, 인증 및 라이프타임 기본값은 대다수 VPN 구성에 적합합니다. 터널 반대쪽의 단계 1 값도 일치하도록 구성해야 합니다. 인증 보안을 높이려면 인증 메뉴에서 3DES 대신 AES-128, AES-192 또는 AES-256을 선택할 수도 있습니다.
15. IPsec(단계 2) 제안의 프로토콜, 암호화, 인증, 전달 완전 보안 사용, DH 그룹 및 수명 기본값은 대다수 VPN SA 구성에 적합합니다. 터널 반대쪽의 단계 2 값도 일치하도록 구성해야 합니다.
16. 고급 탭을 클릭하고 VPN 정책에 적용할 다음과 같은 옵션 설정을 선택합니다.
– 제안 탭에서 메인 모드 또는 적극적인 모드를 선택한 경우:
이 VPN 터널의 피어 간에 하트비트 메시지를 사용하려면 연결 유지 사용을 선택합니다. 연결 유지를 사용할 때 터널 한쪽 끝에서 오류가 발생하는 경우 터널 양쪽을 모두 다시 사용할 수 있게 되면 터널 자동 재협상이 가능하므로 제안된 수명이 만료될 때까지 기다릴 필요가 없습니다.
: •: VPN 트래픽이 해당하는 영역을 통과할 수 있도록 VPN 정책의 자동 액세스 규칙 만들기 제거 설정은 기본적으로 사용하도록 설정되지 않습니다.
: •: 이 터널을 트래픽이 통과하도록 허용하기 전에 사용자가 XAUTH 인증을 수행해야 하도록 지정하려면 XAUTH를 통한 VPN 클라이언트 인증 필요를 선택하고 XAUTH 사용자의 사용자 그룹에서 사용자 그룹을 선택하여 허용되는 사용자를 지정합니다.
: •: Windows® 네트워크 환경을 탐색하여 원격 네트워크 리소스에 액세스하도록 허용하려면 Windows 네트워킹(NetBIOS) 브로드캐스트 사용을 선택합니다.
: •: VoIP를 포함한 스트리밍 오디오와 비디오 응용 프로그램 등의 IP 멀티캐스트 트래픽이 VPN 터널을 통과할 수 있도록 허용하려면 멀티캐스트 사용을 선택합니다.
: •: 가속 허용을 선택하여 이 정책과 일치하는 트래픽의 리디렉션을 WAN 가속(WXA) 어플라이언에 사용합니다.
: •: 방화벽에서 이 VPN 터널을 통해 통신하는 로컬 또는 원격 네트워크나 두 네트워크를 모두 변환하도록 하려면 NAT 정책 적용을 선택합니다. 로컬 네트워크에서 네트워크 주소 변환을 수행하려면 변환된 로컬 네트워크 메뉴에서 주소 개체를 선택하거나 만듭니다. 원격 네트워크를 변환하려면 변환된 원격 네트워크 메뉴에서 주소 개체를 선택하거나 만듭니다. 일반적으로 터널에서 NAT가 필요한 경우에는 로컬 또는 원격 네트워크 중 하나만 변환합니다. 두 네트워크 모두 변환하지 않습니다. NAT 정책 적용은 터널 양쪽에서 같은 서브넷 또는 겹치는 서브넷을 사용하는 경우에 특히 유용합니다.
: •: VPN 터널을 통해 로컬 SonicWALL을 관리하려면 이 SA를 통한 관리에서 HTTPS를 선택합니다. 사용자가 SA를 통해 로그인할 수 있도록 하려면 이 SA를 통한 사용자 로그인에서 HTTP, HTTPS 또는 둘 다를 선택합니다.
: •: 알 수 없는 서브넷으로 이동하기 위해 이 터널로 들어오는 트래픽의 LAN 라우터를 사용하려면(예: 터널의 다른 쪽을 이 VPN 터널을 모든 인터넷 트래픽의 기본 경로로 사용으로 구성한 경우), 기본 LAN 게이트웨이(옵션) 필드에 라우터 IP 주소를 입력해야 합니다.
: •: VPN 정책이 다음으로 바인딩됨 메뉴에서 인터페이스나 영역을 선택합니다. WAN 부하 분산을 사용하며 VPN이 두 WAN 인터페이스 중 하나를 사용할 수 있도록 하려면 기본적으로 Zone WAN을 선택합니다.
– 제안 탭에서 IKEv2를 선택한 경우:
이 VPN 터널의 피어 간에 하트비트 메시지를 사용하려면 연결 유지 사용을 선택합니다. 연결 유지를 사용할 때 터널 한쪽 끝에서 오류가 발생하는 경우 터널 양쪽을 모두 다시 사용할 수 있게 되면 터널 자동 재협상이 가능하므로 제안된 수명이 만료될 때까지 기다릴 필요가 없습니다.
: •: VPN 정책의 자동 액세스 규칙 만들기 제거를 선택하여 이 VPN 정책에 대해 LAN 및 VPN 영역 간에 작성된 자동 액세스 규칙을 해제합니다.
: •: Windows® 네트워크 환경을 탐색하여 원격 네트워크 리소스에 액세스하도록 허용하려면 Windows 네트워킹(NetBIOS) 브로드캐스트 사용을 선택합니다.
: •: VoIP를 포함한 스트리밍 오디오와 비디오 응용 프로그램 등의 IP 멀티캐스트 트래픽이 VPN 터널을 통과할 수 있도록 허용하려면 멀티캐스트 사용을 선택합니다.
: •: 가속 허용을 선택하여 이 정책과 일치하는 트래픽의 리디렉션을 WAN 가속(WXA) 어플라이언에 사용합니다.
: •: 방화벽에서 이 VPN 터널을 통해 통신하는 로컬 또는 원격 네트워크나 두 네트워크를 모두 변환하도록 하려면 NAT 정책 적용을 선택합니다. 로컬 네트워크에서 네트워크 주소 변환을 수행하려면 변환된 로컬 네트워크 메뉴에서 주소 개체를 선택하거나 만듭니다. 원격 네트워크를 변환하려면 변환된 원격 네트워크 메뉴에서 주소 개체를 선택하거나 만듭니다. 일반적으로 터널에서 NAT가 필요한 경우에는 로컬 또는 원격 네트워크 중 하나만 변환합니다. 두 네트워크 모두 변환하지 않습니다. NAT 정책 적용은 터널 양쪽에서 같은 서브넷 또는 겹치는 서브넷을 사용하는 경우에 특히 유용합니다.
: •: VPN 터널을 통해 로컬 SonicWALL을 관리하려면 이 SA를 통한 관리에서 HTTPS를 선택합니다. 사용자가 SA를 통해 로그인할 수 있도록 하려면 이 SA를 통한 사용자 로그인에서 HTTP, HTTPS 또는 둘 다를 선택합니다.
: •: 게이트웨이가 두 개 이상 있고 특정 게이트웨이를 항상 먼저 사용하려면 기본 LAN 게이트웨이를 입력합니다.
: •: VPN 정책이 다음으로 바인딩됨 메뉴에서 인터페이스나 영역을 선택합니다. WAN 부하 분산을 사용하며 VPN이 두 WAN 인터페이스 중 하나를 사용할 수 있도록 하려면 기본적으로 Zone WAN을 선택합니다.
: •: IKEv2 설정(제안 탭에서 교환에 대해 IKEv2를 선택한 경우에만 표시됨)에서 IKE SA 조정 동안 트리거 패킷 전송 안 함 확인란은 기본적으로 선택 취소되어 있습니다. 이 확인란은 상호 운용하기 위해 필요할 때에만 선택해야 합니다.
트리거 패킷이란 SA 협상이 시작되도록 한 패킷의 IP 주소로 채워진 초기 트래픽 선택기 페이로드를 사용하는 것을 지칭합니다. IKEv2 목적지가 보안 정책 데이터베이스에서 올바른 보호된 IP 주소 범위를 선택하는 과정을 지원하려면 트리거 패킷을 포함하는 것이 좋습니다. 이 기능이 모든 구현에서 지원되는 것은 아니므로 일부 IKE 피어의 경우 트리거 패킷을 포함하지 않도록 설정하는 것이 적절할 수도 있습니다.
– IKEv2 VPN 정책에 대해 다음의 두 옵션 중 하나 또는 두 옵션을 모두 선택합니다.
: •: 해시 및 URL 인증서 형식 수락
: •: 해시 및 URL 인증서 형식 전송
장치에서 인증서 자체가 아닌 해시 및 인증서 URL을 보내고 처리할 수 있는 경우 이러한 옵션을 선택합니다. 이러한 옵션을 사용하는 경우 교환되는 메시지의 크기가 감소합니다.
해시 및 URL 인증서 형식 수락 옵션을 선택하면 방화벽에서 피어 장치로 HTTP_CERT_LOOKUP_SUPPORTED 메시지를 보냅니다. 피어 장치에서 "X.509c의 해시 및 URL" 인증서를 보내 회신하면 방화벽이 두 장치를 인증하고 장치 간에 터널을 설정할 수 있습니다.
해시 및 URL 인증서 형식 수락 옵션을 선택하면 HTTP_CERT_LOOKUP_SUPPORTED 메시지를 받은 방화벽이 요청자에게 "X.509c의 해시 및 URL" 인증서를 보냅니다.
VPN에서는 두 피어 방화벽(FW1/FW2)이 터널을 협상합니다. FW1과 FW2는 각각 서로에 대한 원격 게이트웨이입니다.
17. 확인을 클릭합니다.
수동 키를 사용하여 두 SonicWALL 어플라이언스 간에 VPN 정책을 구성하려면 다음 단계를 수행합니다.
로컬 Dell SonicWALL 네트워크 보안 어플라이언스 구성
1. VPN > 설정 페이지에서 추가를 클릭합니다. VPN 정책 창이 표시됩니다.
2. VPN 정책 창의 일반 탭에 있는 IPsec 키 지정 모드 메뉴에서 수동 키를 선택합니다. VPN 정책 창에 수동 키 옵션이 표시됩니다.
이름 필드에 정책 이름을 입력합니다.
4. IPsec 게이트웨이 이름 또는 주소 필드에 원격 연결의 호스트 이름이나 IP 주소를 입력합니다.
5. 네트워크 탭을 클릭합니다.
특정 로컬 네트워크에서 VPN 터널에 액세스할 수 있는 경우 목록에서 로컬 네트워크 선택에서 로컬 네트워크를 선택합니다. 모든 로컬 네트워크의 트래픽을 허용하려면 임의 주소를 선택합니다. 피어에서 이 VPN 터널을 모든 인터넷 트래픽의 기본 경로로 사용을 선택한 경우 이 옵션을 사용합니다. SA 하나만 이 설정을 사용하도록 구성할 수 있습니다. 또는 목록에서 대상 네트워크 선택을 선택하고 주소 개체나 그룹을 선택합니다.
7. 제안 탭을 클릭합니다.
수신 SPI 및 발신 SPI를 정의합니다. SPI는 3~8자의 16진수(0123456789abcedf)입니다.
주의 각 보안 연결에는 고유한 SPI가 있어야 하며 두 보안 연결의 SPI가 같을 수는 없습니다. 그러나 각 보안 연결 수신 SPI가 발신 SPI와 같을 수는 있습니다.
9. 프로토콜, 단계 2 암호화 및 단계 2 인증의 기본값은 대다수 VPN SA 구성에 적합합니다.
참고 프로토콜, 단계 2 암호화 및 단계 2 인증의 값은 원격 방화벽의 값과 일치해야 합니다.
10. 암호화 키 필드에 16자리의 16진수 암호화 키를 입력하거나 기본값을 사용합니다. 이 암호화 키는 원격 SonicWALL 암호화 키를 구성하는 데 사용되므로 방화벽 구성 시 적어 두십시오.
11. 인증 키 필드에 32자리의 16진수 인증 키를 입력하거나 기본값을 사용합니다. 방화벽 설정을 구성하는 동안 사용하도록 이 키를 적어 두십시오.
팁 유효한 16진수 문자는 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, a, b, c, d, e, f입니다. 유효한 DES 또는 ARCFour 암호화 키의 예로는 1234567890abcdef 등이 있습니다. 잘못된 암호화 키를 입력하면 브라우저 창 아래쪽에 오류 메시지가 표시됩니다.
12. 고급 탭을 클릭하고 VPN 정책에 적용할 다음과 같은 옵션 설정을 선택합니다.
VPN 트래픽이 해당하는 영역을 통과할 수 있도록 VPN 정책의 자동 액세스 규칙 만들기 제거 설정은 기본적으로 사용하도록 설정되지 않습니다.
– Windows® 네트워크 환경을 탐색하여 원격 네트워크 리소스에 액세스하도록 허용하려면 Windows 네트워킹(NetBIOS) 브로드캐스트 사용을 선택합니다.
– 방화벽에서 이 VPN 터널을 통해 통신하는 로컬 또는 원격 네트워크나 두 네트워크를 모두 변환하도록 하려면 NAT 정책 적용을 선택합니다. 로컬 네트워크에서 네트워크 주소 변환을 수행하려면 변환된 로컬 네트워크 드롭다운 상자에서 주소 개체를 선택하거나 만듭니다. 원격 네트워크를 변환하려면 변환된 원격 네트워크 드롭다운 상자에서 주소 개체를 선택하거나 만듭니다. 일반적으로 터널에서 NAT가 필요한 경우에는 로컬 또는 원격 네트워크 중 하나만 변환합니다. 두 네트워크 모두 변환하지 않습니다. NAT 정책 적용은 터널 양쪽에서 같은 서브넷 또는 겹치는 서브넷을 사용하는 경우에 특히 유용합니다.
– VPN 터널을 통해 로컬 SonicWALL을 관리하려면 이 SA를 통한 관리에서 HTTPS를 선택합니다.
– 사용자가 SA를 통해 로그인할 수 있도록 하려면 이 SA를 통한 사용자 로그인에서 HTTP, HTTPS 또는 둘 다를 선택합니다.
– 게이트웨이의 IP 주소가 있으면 기본 LAN 게이트웨이(옵션) 필드에 해당 주소를 입력합니다.
– VPN 정책이 다음으로 바인딩됨 메뉴에서 인터페이스를 선택합니다.
13. 확인을 클릭합니다.
14. VPN > 설정 페이지에서 수락을 클릭하여 VPN 정책을 업데이트합니다.
원격 Dell SonicWALL 네트워크 보안 어플라이언스 구성
1. VPN > 설정 페이지에서 추가를 클릭합니다. VPN 정책 창이 표시됩니다.
2. 일반 탭에 있는 IPsec 키 지정 모드 메뉴에서 수동 키를 선택합니다.
3. 이름 필드에 SA의 이름을 입력합니다.
4. IPsec 게이트웨이 이름 또는 주소 필드에 로컬 연결의 호스트 이름이나 IP 주소를 입력합니다.
5. 네트워크 탭을 클릭합니다.
6. 특정 로컬 네트워크에서 VPN 터널에 액세스할 수 있는 경우 목록에서 로컬 네트워크 선택에서 로컬 네트워크를 선택합니다. 모든 로컬 네트워크의 트래픽을 허용하려면 임의 주소를 선택합니다. 암호화되지 않은 모든 로컬 사용자의 트래픽을 방화벽 외부로 전송하지 못하도록 하려면 이 VPN 터널을 모든 인터넷 트래픽의 기본 경로로 사용을 선택합니다. SA 하나만 이 설정을 사용하도록 구성할 수 있습니다. 또는 목록에서 대상 네트워크 선택을 선택하고 주소 개체나 그룹을 선택합니다.
7. 제안 탭을 클릭합니다.
8. 수신 SPI 및 발신 SPI를 정의합니다. SPI는 3~8자의 16진수(0123456789abcedf)입니다.
주의 각 보안 연결에는 고유한 SPI가 있어야 하며 두 보안 연결의 SPI가 같을 수는 없습니다. 그러나 각 보안 연결 수신 SPI가 발신 SPI와 같을 수는 있습니다.
9. 프로토콜, 단계 2 암호화 및 단계 2 인증의 기본값은 대다수 VPN SA 구성에 적합합니다.
참고 프로토콜, 단계 2 암호화 및 단계 2 인증의 값은 원격 방화벽의 값과 일치해야 합니다.
10. 암호화 키 필드에 16자리의 16진수 암호화 키를 입력하거나 기본값을 사용합니다. 이 암호화 키는 원격 SonicWALL 암호화 키를 구성하는 데 사용되므로 원격 SonicWALL 구성 시 적어 두십시오.
11. 인증 키 필드에 32자리의 16진수 인증 키를 입력하거나 기본값을 사용합니다. 원격 SonicWALL 설정을 구성하는 동안 사용하도록 이 키를 적어 두십시오.
팁 유효한 16진수 문자는 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, a, b, c, d, e, f입니다. 유효한 DES 또는 ARCFour 암호화 키의 예로는 1234567890abcdef 등이 있습니다. 잘못된 암호화 키를 입력하면 브라우저 창 아래쪽에 오류 메시지가 표시됩니다.
12. 고급 탭을 클릭하고 VPN 정책에 적용할 다음과 같은 옵션 설정을 선택합니다.
– VPN 트래픽이 해당하는 영역을 통과할 수 있도록 VPN 정책의 자동 액세스 규칙 만들기 제거 설정은 기본적으로 사용하도록 설정되지 않습니다.
– Windows® 네트워크 환경을 탐색하여 원격 네트워크 리소스에 액세스하도록 허용하려면 Windows 네트워킹(NetBIOS) 브로드캐스트 사용을 선택합니다.
– 방화벽에서 이 VPN 터널을 통해 통신하는 로컬 또는 원격 네트워크나 두 네트워크를 모두 변환하도록 하려면 NAT 정책 적용을 선택합니다. 로컬 네트워크에서 네트워크 주소 변환을 수행하려면 변환된 로컬 네트워크 드롭다운 상자에서 주소 개체를 선택하거나 만듭니다. 원격 네트워크를 변환하려면 변환된 원격 네트워크 드롭다운 상자에서 주소 개체를 선택하거나 만듭니다. 일반적으로 터널에서 NAT가 필요한 경우에는 로컬 또는 원격 네트워크 중 하나만 변환합니다. 두 네트워크 모두 변환하지 않습니다. NAT 정책 적용은 터널 양쪽에서 같은 서브넷 또는 겹치는 서브넷을 사용하는 경우에 특히 유용합니다.
참고 네트워크 탭에서 이 VPN 터널을 모든 인터넷 트래픽의 기본 경로로 사용을 선택한 경우에는 이 기능을 사용할 수 없습니다.
– VPN 터널을 통해 원격 SonicWALL을 관리하려면 이 SA를 통한 관리에서 HTTP, HTTPS 또는 둘 다를 선택합니다.
– 사용자가 SA를 통해 로그인할 수 있도록 하려면 이 SA를 통한 사용자 로그인에서 HTTP, HTTPS 또는 둘 다를 선택합니다.
– 게이트웨이의 IP 주소가 있으면 기본 LAN 게이트웨이(옵션) 필드에 해당 주소를 입력합니다.
– VPN 정책이 다음으로 바인딩됨 메뉴에서 인터페이스를 선택합니다.
13. 확인을 클릭합니다.
14. VPN > 설정 페이지에서 수락을 클릭하여 VPN 정책을 업데이트합니다.
팁 Windows 네트워킹(NetBIOS)이 사용하도록 설정되었으므로 사용자는 Windows 네트워크 환경에서 원격 컴퓨터를 확인할 수 있습니다. 또한 서버 또는 워크스테이션의 원격 IP 주소를 입력하여 원격 LAN의 리소스에 액세스할 수도 있습니다.
참고 타사 인증 기관의 유효한 인증서를 SonicWALL에 설치해야 타사 인증서 사용 IKE로 VPN 정책을 구성할 수 있습니다.
타사 인증서 사용 IKE로 VPN SA를 구성하려면 다음 단계를 수행합니다.
1. VPN > 설정 페이지에서 추가를 클릭합니다. VPN 정책 창이 표시됩니다.
2. 일반 탭의 인증 방법 탭에서 타사 인증서 사용 IKE를 선택합니다. 그러면 VPN 정책 창에 타사 인증서 옵션이 표시됩니다.
이름 필드에 보안 연결의 이름을 입력합니다.
4. IPsec 기본 게이트웨이 이름 또는 주소 필드에 기본 원격 SonicWALL의 IP 주소 또는 FQDN(정규화된 도메인 이름)을 입력합니다. 보조 원격 SonicWALL이 있는 경우 IPsec 보조 게이트웨이 이름 또는 주소 필드에 해당 IP 주소 또는 FQDN(정규화된 도메인 이름)을 입력합니다.
5. IKE 인증의 로컬 인증서 목록에서 타사 인증서를 선택합니다. 이 옵션을 선택하기 전에 먼저 로컬 인증서를 가져와야 합니다.
6. 피어 IKE ID 형식 메뉴에서 다음 피어 ID 형식 중 하나를 선택합니다.
– 이메일 ID 및 도메인 이름 - 이메일 ID 및 도메인 이름 형식은 인증서의 주체 대체 이름(모든 인증서에 기본적으로 포함되어 있는 것은 아님)을 기준으로 합니다. 인증서에 주체 대체 이름이 포함되어 있으면 해당 값을 사용해야 합니다. 사이트 간 VPN에는 와일드카드 문자(예: " 2자 이상일 때 *, 1자일 때 ?)를 사용할 수 없습니다. 이메일 ID 또는 도메인 이름의 전체 값을 입력해야 합니다. 여러 피어가 연결되는 그룹 VPN과 달리 사이트 간 VPN은 단일 피어에 연결되기 때문입니다.
– 고유 이름 - 모든 인증서에 기본적으로 포함되어 있는 인증서 주체 고유 이름을 기준으로 합니다. 위의 이메일 ID 및 도메인 이름과 마찬가지로 사이트 간 VPN의 경우 전체 고유 이름 필드를 입력해야 하며, 와일드카드 문자는 지원되지 않습니다.
– 주체 고유 이름의 형식은 발급 인증 기관에서 결정합니다. 공통 필드는 국가(C=), 조직(O=), 조직 단위(OU=), 일반 이름(CN=), 구/군/시(L=)이며 발급 인증 기관에 따라 달라집니다. X.509 인증서의 실제 주체 고유 이름 필드는 일치시키기 위해 문자열로 변환해야 하는 이진 개체입니다. 각 필드는 다음과 같이 슬래시 문자로 구분됩니다. /C=US/O=SonicWALL, Inc./OU=TechPubs/CN=Joe Pub
– 주체 대체 이름, 고유 이름 등의 인증서 세부 정보를 찾으려면 시스템 > 인증서 페이지로 이동하여 인증서의 내보내기 
단추를 클릭합니다.
7. 피어 IKE ID 필드에 ID 문자열을 입력합니다.
8. 네트워크 탭을 클릭합니다.
특정 로컬 네트워크에서 VPN 터널에 액세스할 수 있는 경우 로컬 네트워크의 목록에서 로컬 네트워크 선택에서 로컬 네트워크를 선택합니다. 이 VPN 연결 쪽에 있는 호스트가 터널의 원격 쪽에 있는 DHCP 서버에서 주소를 가져오는 경우 로컬 네트워크가 이 VPN 터널을 통해 DHCP를 사용하여 IP 주소를 가져옴을 선택합니다. 모든 로컬 네트워크의 트래픽을 허용하려면 임의 주소를 선택합니다.
10. 암호화되지 않은 모든 로컬 사용자의 트래픽을 방화벽 외부로 전송하지 못하도록 하려면 대상 네트워크에서 이 VPN 터널을 모든 인터넷 트래픽의 기본 경로로 사용을 선택합니다. SA 하나만 이 설정을 사용하도록 구성할 수 있습니다. 이 VPN 연결의 원격 쪽이 이 터널 쪽에 있는 DHCP 서버에서 주소를 가져오는 경우 ***대상 네트워크가 이 터널을 통해 DHCP 서버를 사용하여 IP 주소를 가져옴을 선택합니다. 또는 목록에서 대상 네트워크 선택을 선택하고 주소 개체나 그룹을 선택합니다.
11. 제안 탭을 클릭합니다.
IKE(단계 1) 제안 섹션에서는 다음 설정을 선택합니다.
– 교환 메뉴에서 메인 모드 또는 어그레시브 모드를 선택합니다.
– DH 그룹 메뉴에서 원하는 DH 그룹을 선택합니다.
– 암호화 메뉴에서 3DES, AES-128, AES-192 또는 AES-256을 선택합니다.
– 인증 메뉴에서 원하는 인증 방법을 선택합니다.
– 수명(초) 필드에 값을 입력합니다. 기본 설정인 28800을 사용하면 터널이 8시간마다 키를 교환하고 재협상하도록 강제 지정됩니다.
13. IPsec(단계 2) 제안 섹션에서는 다음 설정을 사용합니다.
– 프로토콜 메뉴에서 원하는 프로토콜을 선택합니다.
– 암호화 메뉴에서 3DES, AES-128, AES-192 또는 AES-256을 선택합니다.
– 인증 메뉴에서 원하는 인증 방법을 선택합니다.
– 추가 보안 레이어로 Diffie-Hellman 키 교환을 추가하려면 전달 완전 보안 사용을 선택합니다. DH 그룹 메뉴에서 그룹 2를 선택합니다.
– 수명(초) 필드에 값을 입력합니다. 기본 설정인 28800을 사용하면 터널이 8시간마다 키를 교환하고 재협상하도록 강제 지정됩니다.
14. 고급 탭을 클릭합니다. VPN 정책에 적용할 선택적 구성 옵션을 선택합니다.
이 VPN 터널의 피어 간에 하트비트 메시지를 사용하려면 연결 유지 사용을 선택합니다. 연결 유지를 사용할 때 터널 한쪽 끝에서 오류가 발생하는 경우 터널 양쪽을 모두 다시 사용할 수 있게 되면 터널 자동 재협상이 가능하므로 제안된 수명이 만료될 때까지 기다릴 필요가 없습니다.
– VPN 트래픽이 해당하는 영역을 통과할 수 있도록 VPN 정책의 자동 액세스 규칙 만들기 제거 설정은 기본적으로 사용하도록 설정되지 않습니다.
– 이 터널을 트래픽이 통과하도록 허용하기 전에 사용자가 XAUTH 인증을 수행해야 하도록 지정하려면 XAUTH를 통한 VPN 클라이언트 인증 필요를 선택하고 XAUTH 사용자의 사용자 그룹에서 사용자 그룹을 선택하여 허용되는 사용자를 지정합니다.
– Windows® 네트워크 환경을 탐색하여 원격 네트워크 리소스에 액세스하도록 허용하려면 Windows 네트워킹(NetBIOS) 브로드캐스트 사용을 선택합니다.
– VPN 터널을 통한 멀티캐스트 트래픽을 허용하려면 멀티캐스트 사용을 선택합니다.
– 이 정책과 일치하는 트래픽을 WAN 가속(WXA) 어플라이언스로 리디렉션할 수 있도록 설정하려면 가속 허용을 선택합니다.
– 방화벽에서 이 VPN 터널을 통해 통신하는 로컬 또는 원격 네트워크나 두 네트워크를 모두 변환하도록 하려면 NAT 정책 적용을 선택합니다. 로컬 네트워크에서 네트워크 주소 변환을 수행하려면 변환된 로컬 네트워크 메뉴에서 주소 개체를 선택하거나 만듭니다. 원격 네트워크를 변환하려면 변환된 원격 네트워크 메뉴에서 주소 개체를 선택하거나 만듭니다. 일반적으로 터널에서 NAT가 필요한 경우에는 로컬 또는 원격 네트워크 중 하나만 변환합니다. 두 네트워크 모두 변환하지 않습니다. NAT 정책 적용은 터널 양쪽에서 같은 서브넷 또는 겹치는 서브넷을 사용하는 경우에 특히 유용합니다.
– VPN 인증서 상태를 확인하려면 OCSP 확인 사용을 선택하고 인증서 상태를 확인할 URL을 지정합니다. VPN > 설정809페이지의 Dell SonicWALL 네트워크 보안 어플라이언스에서 OCSP 사용을 참조하십시오.
– VPN 터널을 통해 원격 SonicWALL을 관리하려면 이 SA를 통한 관리에서 HTTP, HTTPS 또는 둘 다를 선택합니다. 사용자가 SA를 통해 로그인할 수 있도록 하려면 이 SA를 통한 사용자 로그인에서 HTTP, HTTPS 또는 둘 다를 선택합니다.
– 알 수 없는 서브넷으로 이동하기 위해 이 터널로 들어오는 트래픽의 LAN 라우터를 사용하려면(예: 터널의 다른 쪽을 이 VPN 터널을 모든 인터넷 트래픽의 기본 경로로 사용으로 구성한 경우), 기본 LAN 게이트웨이(옵션) 필드에 라우터 IP 주소를 입력해야 합니다.
– VPN 정책이 다음으로 바인딩됨 메뉴에서 인터페이스나 영역을 선택합니다. WAN 부하 분산을 사용하며 VPN이 두 WAN 인터페이스 중 하나를 사용할 수 있도록 하려면 기본적으로 한 영역을 선택합니다.
– IKEv2 설정(제안 탭에서 교환에 대해 IKEv2를 선택한 경우에만 표시됨)에서 IKE SA 조정 동안 트리거 패킷 전송 안 함 확인란은 기본적으로 선택 취소되어 있습니다. 이 확인란은 상호 운용하기 위해 필요할 때에만 선택해야 합니다.
트리거 패킷이란 SA 협상이 시작되도록 한 패킷의 IP 주소로 채워진 초기 트래픽 선택기 페이로드를 사용하는 것을 지칭합니다. IKEv2 목적지가 보안 정책 데이터베이스에서 올바른 보호된 IP 주소 범위를 선택하는 과정을 지원하려면 트리거 패킷을 포함하는 것이 좋습니다. 이 기능이 모든 구현에서 지원되는 것은 아니므로 일부 IKE 피어의 경우 트리거 패킷을 포함하지 않도록 설정하는 것이 적절할 수도 있습니다.
– IKEv2 VPN 정책에 대해 다음의 두 옵션 중 하나 또는 두 옵션을 모두 선택합니다.
: •: 해시 및 URL 인증서 형식 수락
: •: 해시 및 URL 인증서 형식 전송
장치에서 인증서 자체가 아닌 해시 및 인증서 URL을 보내고 처리할 수 있는 경우 이러한 옵션을 선택합니다. 이러한 옵션을 사용하는 경우 교환되는 메시지의 크기가 감소합니다.
해시 및 URL 인증서 형식 수락 옵션을 선택하면 방화벽에서 피어 장치로 HTTP_CERT_LOOKUP_SUPPORTED 메시지를 보냅니다. 피어 장치에서 "X.509c의 해시 및 URL" 인증서를 보내 회신하면 방화벽이 두 장치를 인증하고 장치 간에 터널을 설정할 수 있습니다.
해시 및 URL 인증서 형식 수락 옵션을 선택하면 HTTP_CERT_LOOKUP_SUPPORTED 메시지를 받은 방화벽이 요청자에게 "X.509c의 해시 및 URL" 인증서를 보냅니다.
VPN에서는 두 피어 방화벽(FW1/FW2)이 터널을 협상합니다. FW1과 FW2는 각각 서로에 대한 원격 게이트웨이입니다.
15. 확인을 클릭합니다.
정적 경로에 대한 VPN 장애 조치(failover) 구성
필요에 따라 VPN 터널 중단 시 보조 경로로 사용할 정적 경로를 구성할 수 있습니다. VPN 경로 우선 허용 옵션을 사용하면 VPN 터널의 보조 경로를 만들 수 있습니다. 기본적으로 정적 경로는 메트릭이 1이며 VPN 트래픽보다 우선 사용됩니다. VPN 경로 우선 허용 옵션을 선택하는 경우 같은 대상 주소 개체로 가는 VPN 트래픽 경로를 우선 사용하게 됩니다. 그러면 다음 동작이 수행됩니다.
• VPN 터널이 활성 상태인 경우: VPN 경로 우선 허용 옵션을 사용하도록 설정하면 VPN 터널의 목적지 주소 오브젝트와 일치하는 고정 라우팅이 사용되지 않도록 자동으로 설정됩니다. 모든 트래픽은 VPN 터널을 통해 대상 주소 개체로 라우팅됩니다.
• VPN 터널의 작동이 중지되는 경우: VPN 터널의 대상 주소 개체와 일치하는 정적 경로가 자동으로 사용하도록 설정됩니다. 대상 주소 개체로 가는 모든 트래픽은 정적 경로를 통해 라우팅됩니다.
정적 경로를 VPN 장애 조치(failover)로 구성하려면 다음 단계를 수행합니다.
1. 네트워크 > 라우팅 페이지로 이동합니다.
2. 페이지 아래쪽으로 스크롤한 다음 추가 단추를 클릭합니다. 경로 지정 정책 추가 창이 표시됩니다.
3. 적절한 원본, 대상, 서비스, 게이트웨이 및 인터페이스를 선택합니다.
4. 메트릭은 1로 유지합니다.
5. VPN 경로 우선 허용 확인란을 사용하도록 설정합니다.
6. 확인을 클릭합니다.
정적 경로 및 정책 기준 라우팅 구성에 대한 자세한 내용은 283페이지의 네트워크 > 라우팅을 참조하십시오.
정책 기준 방식을 사용하는 경우 VPN 정책 구성에 네트워크 토폴로지 구성이 포함되도록 강제 지정됩니다. 따라서 네트워크 관리자가 지속적으로 변경되는 네트워크 토폴로지를 사용하여 VPN 정책을 구성 및 유지 관리하기가 어려워집니다.
경로 기준 VPN 방식을 사용하는 경우에는 네트워크 토폴로지 구성이 VPN 정책 구성에서 제거됩니다. VPN 정책 구성에서는 두 끝점 간에 터널 인터페이스가 만들어집니다. 그러면 터널 인터페이스에 정적 또는 동적 경로를 추가할 수 있습니다. 경로 기준 VPN 방식을 사용하는 경우 네트워크 구성이 VPN 정책 구성에서 정적 또는 동적 경로 구성으로 이동됩니다.
경로 기준 VPN에서는 VPN 정책을 보다 쉽게 구성 및 유지 관리할 수 있을 뿐만 아니라, 트래픽 라우팅 방식을 유동적으로 설정할 수 있다는 주된 장점이 있습니다. 이제 이 기능을 사용하면 일반 VPN 또는 중복 VPN을 통해 겹치는 네트워크용으로 여러 경로를 정의할 수 있습니다.
경로 기준 VPN 구성은 2단계 프로세스입니다. 첫 번째 단계에서는 터널 인터페이스를 만듭니다. 두 끝점 간의 트래픽을 보호하는 데 사용되는 암호화 제품군이 터널 인터페이스에서 정의됩니다. 두 번째 단계에서는 터널 인터페이스를 사용하여 정적 또는 동적 경로를 만듭니다.
원격 게이트웨이에 대한 "터널 인터페이스" 유형 정책을 추가하면 터널 인터페이스가 만들어집니다. 터널 인터페이스는 물리적 인터페이스에 바인딩되어야 하며 해당 물리적 인터페이스의 IP 주소는 터널링되는 패킷의 원본 주소로 사용됩니다.
다음 절차에서는 터널 인터페이스를 추가하는 방법을 설명합니다.
1. VPN > 설정 > VPN 정책으로 이동합니다. 추가 단추를 클릭합니다. 그러면 VPN 정책 구성 대화 상자가 열립니다.
2. 일반 탭에서 정책 유형을 "터널 인터페이스"로 선택합니다.
3. 그런 다음 제안 탭으로 이동하여 터널 협상을 위한 IKE 및 IPsec 제안을 구성합니다.
4. 고급 탭으로 이동하여 터널 인터페이스의 고급 속성을 구성합니다. 기본적으로 연결 유지 사용이 사용하도록 설정됩니다. 이는 원격 게이트웨이와의 터널을 미리 설정하기 위한 것입니다.
5. 다음과 같은 기타 고급 옵션을 구성할 수 있습니다.
– 고급 라우팅 허용 - 네트워크 > 라우팅 페이지의 고급 라우팅 테이블에 있는 인터페이스 목록에 이 터널 인터페이스를 추가합니다. 이 인터페이스를 옵션 설정으로 추가하면 고급 라우팅 테이블에 모든 터널 인터페이스를 추가하지 않아도 되므로 라우팅 구성이 간소화됩니다. 터널 인터페이스에 대해 RIP 또는 OSPF 고급 라우팅을 구성하는 방법에 대한 자세한 내용은 295페이지의 터널 인터페이스용 고급 라우팅 구성을 참조하십시오.
– 전송 모드 사용 - IPsec 협상에서 터널 모드 대신 전송 모드를 사용하도록 강제 지정합니다. 이 옵션은 Nortel과 호환하여 사용할 수 있도록 하기 위해 도입되었습니다. 로컬 방화벽에서 이 옵션을 사용하도록 설정하는 경우 재협상이 정상적으로 수행되도록 원격 방화벽에서도 이 옵션을 사용하도록 설정해야 합니다.
– XAUTH를 통한 VPN 클라이언트 인증 필요 - 이 VPN 터널의 인바운드 트래픽이 모두 인증된 사용자가 보낸 트래픽이어야 하도록 지정합니다.
– AUTH 사용자의 사용자 그룹 – XAUTH를 선택하는 경우 이 VPN에 액세스할 수 있는 사용자 그룹을 지정합니다.
– Windows 네트워킹(NetBIOS) 브로드캐스트 사용 - Windows® 네트워크 환경을 탐색하여 원격 네트워크 리소스에 액세스하도록 허용합니다.
– 멀티캐스트 사용 - VPN 터널을 통한 멀티캐스트 트래픽을 허용합니다.
– 이 SA를 통한 관리 - 원격 사용자가 로그인하여 VPN 터널을 통해 방화벽을 관리할 수 있습니다.
– 이 SA를 통한 사용자 로그인 - 사용자가 SA를 통해 로그인할 수 있습니다.
– VPN 정책이 다음으로 바인딩됨 - 터널 인터페이스가 바인딩되는 인터페이스를 설정합니다. 기본적으로는 x1로 설정됩니다.
터널 인터페이스를 추가하고 나면 정적 경로를 만들 수 있습니다. 다음 절차에 따라 터널 인터페이스용 정적 경로를 만듭니다.
VPN > 라우팅 > 경로 정책으로 이동합니다. 추가 단추를 클릭합니다. 정적 경로를 추가할 수 있는 대화 상자 창이 표시됩니다. "인터페이스" 드롭다운 메뉴에 사용 가능한 모든 터널 인터페이스가 나열됩니다.
참고 "액세스 규칙 자동 추가" 옵션을 선택하는 경우 방화벽 규칙이 자동으로 추가되며 트래픽이 터널 인터페이스를 사용하여 구성된 네트워크 간을 이동할 수 있습니다.
터널 인터페이스를 만든 후에는 서로 다른 네트워크에 같은 터널 인터페이스를 사용하도록 여러 경로 항목을 구성할 수 있습니다. 그러면 터널 인터페이스를 변경하지 않고도 네트워크 토폴로지를 수정할 수 있는 메커니즘이 제공됩니다.
둘 이상의 터널 인터페이스를 구성한 후에는 겹치는 정적 경로를 여러 개 추가할 수 있습니다. 각 정적 경로는 서로 다른 터널 인터페이스를 사용하여 트래픽을 라우팅합니다. 따라서 트래픽이 대상에 도달할 수 있도록 하는 라우팅 중복이 제공됩니다.
드롭 터널 인터페이스는 미리 구성된 터널 인터페이스로, 트래픽에 추가적인 보안 기능을 제공합니다. 예로, 정적 경로 바인딩 인터페이스가 드롭 터널 인터페이스로 간주되면 해당 경로의 모든 트래픽이 삭제되며 일반 방식으로 전달되지 않는 경우를 들 수 있습니다. 트래픽의 터널 인터페이스에 대한 정적 경로 바인딩이 정의되어 있고(원본/대상/서비스), 터널 인터페이스가 중단될 때 이 트래픽을 일반 방식으로 전달하지 않는 것이 적절한 경우 같은 네트워크 트래픽에 대해 정적 경로 바인딩을 드롭 터널 인터페이스로 구성하는 것이 좋습니다. 이 경우 터널 인터페이스가 중단되면 드롭 터널 인터페이스의 정적 경로 때문에 트래픽이 삭제됩니다.
드롭 터널 인터페이스용 정적 경로 만들기
드롭 터널 인터페이스용 정적 경로를 추가하려면 네트워크 > 라우팅 > 라우팅 정책으로 이동합니다. 추가 단추를 클릭합니다. 터널 인터페이스에 대한 정적 경로를 구성할 때와 마찬가지로 원본, 대상 및 서비스 개체의 값을 구성합니다. 인터페이스에서 "Drop_tunnelIf"를 선택합니다.
추가된 경로는 사용하도록 설정되며 경로 정책에 표시됩니다.
VPN 정책을 추가할 때 SonicOS는 트래픽이 해당하는 영역을 통과할 수 있도록 편집 불가능한 액세스 규칙을 자동으로 만듭니다. 로컬 네트워크는 방화벽이 적용된 서브넷(여기서는 LAN 및 DMZ로 구성됨)으로, 대상 네트워크는 서브넷 192.168.169.0으로 설정되어 있는 다음의 VPN 정책을 살펴보겠습니다.
이 정책은 일반적으로 매우 편리하지만, VPN 정책을 지원하려면 액세스 규칙 자동 생성을 억제하는 것이 더 적절한 경우도 있습니다. 이러한 경우의 한 가지 예로, 모든 스포크 사이트가 쉽게 슈퍼넷을 지정할 수 있는 주소 공간을 사용하는 주소인 대규모 허브 앤 스포크 VPN 배포를 들 수 있습니다. 예를 들어 허브 사이트의 LAN/DMZ 사이 및 2,000개의 각 원격 사이트에 있는 단일 서브넷에 액세스 기능을 제공하려는 경우를 가정해 보겠습니다.
remoteSubnet0=네트워크 10.0.0.0/24(마스크 255.255.255.0, 범위 10.0.0.0~10.0.0.255)
remoteSubnet1=네트워크 10.0.1.0/24(마스크 255.255.255.0, 범위 10.0.1.0~10.0.1.255)
remoteSubnet2=네트워크 10.0.2.0/24(마스크 255.255.255.0, 범위 10.0.2.0~10.0.2.255)
remoteSubnet2000=10.7.207.0/24(마스크 255.255.255.0, 범위 10.7.207.0~10.7.207.255)
이러한 각 원격 사이트에 대해 VPN 정책을 만들면 필수 VPN 정책 2,000개와 액세스 규칙 8,000개
(각 사이트에 대한 LAN -> VPN, DMZ -> VPN, VPN -> LAN, VPN -> DMZ)가 만들어집니다. 그러나 원격 사이트의 슈퍼넷이 지정된 표시 또는 주소 범위 표시에 대한 액세스 규칙 네 개만 사용하면 이러한 액세스 규칙을 모두 쉽게 처리할 수 있습니다. 필요한 경우에는 보다 구체적인 허용 또는 거부 액세스 규칙을 추가할 수 있습니다.
remoteSubnetAll=네트워크 10.0.0.0/13(마스크 255.248.0.0, 범위 10.0.0.0~10.7.255.255) 또는
remoteRangeAll=범위 10.0.0.0~10.7.207.255
이 집계 수준을 사용할 수 있도록 VPN 정책 창 페이지의 고급 탭에서는 ***VPN 정책에 대한 액세스 규칙 자동 추가 설정 옵션이 제공됩니다. 이 확인란은 기본적으로 선택됩니다. 즉 함께 사용되는 액세스 규칙이 이전처럼 자동으로 만들어집니다. VPN 정책을 만든 후 확인란을 선택 취소하면 관리자가 VPN 트래픽에 대해 사용자 지정 액세스 규칙을 만들 수 있게 되므로 해당 규칙을 만들어야 합니다.