설치 설명서 - knuwhalra.knuw.ac.kr/securitysolution/secui mf2 v4.0... · 2017-09-18 · 서...

설치 설명서

알 림

알 림 1

알 림

저작권

본 설명서에 대한 저작권과 지적 소유권은 ㈜시큐아이가 가지고 있으며, 이 권리는

대한민국의 저작권법과 국제 저작권 조약에 의하여 보호됩니다. 따라서 ㈜시큐아이의

사전 서면 동의 없이 본 설명서의 일부 혹은 전체 내용을 무단 복사, 복제, 출판하는

것은 저작권법에 저촉됩니다.

내용 변경

제품의 버전이나 실행되는 형태에 따라 실물과 설명서의 사진이 다를 수 있습니다.

사양이나 사진은 설명서 제작 시점의 최신 자료에 기초하고 있으나 추후 제품의 성

능 향상 또는 기능 개선 등에 따라 사전 예고 없이 변경될 수 있습니다.

㈜시큐아이는 본 설명서에 포함된 오류 또는 이 자료의 공급이나 수행 또는 사용과

관련하여 직접, 간접, 특별히, 우연 또는 필연적으로 발생한 손해에 대하여 어떤 책임

도 지지 않습니다.

등록상표

Windows 운영체제 등은 타사 소유의 등록상표이며, 저작권 보호를 받습니다. 기타

본 설명서에 표현된 타사 소유의 등록상표 및 저작권 보호를 받는 용어들은 단지 인

용을 위해서만 사용됩니다.

연락처

우편번호: 135-880

주소: 서울특별시 강남구 테헤란로83길 15 JM빌딩 1-9층 ㈜시큐아이

홈페이지: http://www.secui.com

기술지원

전화: 02-3783-6600 (대표전화) / 팩스: 02-3783-6499

TAC 기술지원센터: http://tac.secui.com

SECUI MF2 (50, 100, 110, 200, 300, 500, 1000, 1100, 1500, 2000, 2100, 3000, 3100, 6000)

Copyright SECUI All rights reserved.

http://www.secui.com/

http://tac.secui.com/

목 차

목 차 2

목 차

알 림 ....................................................................................... 1

서 문 ....................................................................................... 5

문서의 목적 ........................................................................................ 5

사용하기 전에 ..................................................................................... 5

그림 표시에 대하여 ............................................................................ 6

사용자 수준 ........................................................................................ 6

설명서 구성 ........................................................................................ 7

개요 ......................................................................................... 8

SECUI MF2 소개 ................................................................................ 9

SECUI MF2 구성품 및 각부 명칭 ........................................ 11

평가된 버전 확인 ............................................................................. 12

SECUI MF2 구성품 .......................................................................... 13

SECUI MF2 6000.............................................................................................13

SECUI MF2 3100.............................................................................................13

SECUI MF2 3000.............................................................................................13

SECUI MF2 2100.............................................................................................14

SECUI MF2 2000.............................................................................................14

SECUI MF2 1500.............................................................................................14

SECUI MF2 1100 .............................................................................................15

SECUI MF2 1000.............................................................................................15

SECUI MF2 500...............................................................................................15

SECUI MF2 300...............................................................................................15

SECUI MF2 200...............................................................................................16

SECUI MF2 110 ...............................................................................................16

SECUI MF2 100...............................................................................................16

SECUI MF2 50.................................................................................................16

모델별 각 부 명칭 및 기능 ............................................................. 18

SECUI MF2 6000.............................................................................................18

SECUI MF2 3100.............................................................................................19

SECUI MF2 3000.............................................................................................21

SECUI MF2 2100.............................................................................................22

SECUI MF2 2000.............................................................................................23

목 차

목 차 3

SECUI MF2 1500.............................................................................................25

SECUI MF2 1100 .............................................................................................26

SECUI MF2 1000.............................................................................................27

SECUI MF2 500...............................................................................................28

SECUI MF2 300...............................................................................................29

SECUI MF2 200...............................................................................................30

SECUI MF2 110 ...............................................................................................31

SECUI MF2 100...............................................................................................32

SECUI MF2 50.................................................................................................33

SECUI MF2 하드웨어 사양 .............................................................. 34

설치 전 점검 및 준비사항 ................................................... 41

구성품 점검 ...................................................................................... 42

시스템 환경 점검 ............................................................................. 43

설치 전 준비 사항............................................................................ 44

SECUI MF2의 이름, 도메인 이름, 사용할 DNS 결정 ...................................44

관리자 PC의 준비 ...........................................................................................44

설치 작업 순서의 결정 및 시간표 작성 ........................................................46

설치 계획서의 작성 ........................................................................................46

안전 주의사항 ....................................................................... 48

시스템 설치 및 IP 설정 ....................................................... 51

웹(web) 기반 시스템 설정 ............................................................... 52

라이선스 설정 .................................................................................................53

인터페이스 설정 ..............................................................................................54

라우팅 설정 .....................................................................................................56

DNS 설정 ........................................................................................................57

시스템 정보 .....................................................................................................63

HA 구성 ...........................................................................................................65

일반 설정 ........................................................................................................68

관리자 설정 .....................................................................................................75

관리자 IP 설정 ................................................................................................77

IPv6 관리자 IP ................................................................................................78

재시작 ..............................................................................................................78

IP 설정 ............................................................................................. 80

관리 PC 네트워크 설정 변경 .........................................................................80

목 차

목 차 4

SECUI MF2 접속 네트워크 설정 변경 ...........................................................82

네트워크 연결 테스트 ........................................................... 84

Ping 테스트 ...................................................................................... 85

관리자 PC에서 SECUI MF2 접속 테스트 ....................................... 85

네트워크 이용 테스트 ...................................................................... 85

SECUI MF2 접속 .............................................................................. 87

SECUI MF2 관리용 웹 UI 로그인 ..................................................................88

비밀번호 변경 및 관리자 등록 ........................................................ 93

SECUI MF2 접속 후 설정 사항 ........................................... 94

시간 설정 .......................................................................................... 95

로그 설정 .......................................................................................... 96

보호 도메인 대상 및 방어 정책 설정 .............................................. 99

SSL 인증서 ....................................................................................... 99

설치 계획서(Installation Sheet) ......................................... 100

SECUI MF2 설치 전/후 네트워크 구성도 ...................................... 101

SECUI MF2와 각 장비별 인터페이스 IP 주소 부여 ..................... 102

설정 사항 (Configuration)............................................................... 103

관리자 PC 환경 ............................................................................. 103

케이블 준비 .................................................................................... 105

기타 준비 사항 ............................................................................... 105

복구작업절차 .................................................................................. 105

설치 작업 순서 ............................................................................... 106

보호 도메인 및 보호서버 구성도 ................................................... 107

부록 ..................................................................................... 108

설치 시 오류 조치 사항 ................................................................. 109

NTP 서버 목록 ................................................................................ 111

Primary Servers ............................................................................................. 111

Secondary Servers ........................................................................................ 112

서 문 5

서 문

문서의 목적

본 문서는 SECUI MF2를 관리하기 위한 전체적인 시스템 이해와 개념 이해를 목적으

로 설명한 관리자 설명서입니다.

SECUI MF2는 보안과 제어를 주 목적으로 하고 있으며 기존의 인터넷 구성 시스템과

는 방식과 그 쓰임에서 차이를 보이고 있습니다.

SECUI MF2를 관리하기 위해서는 기본적인 조작, 각 기능에 대한 세부적인 내용, 보

안에 관련된 여러 가지 지식이 필요합니다.

SECUI MF2의 각 모델별(50, 100, 110, 200, 300, 500, 1000, 1100, 1500, 2000, 2100, 3000,

3100, 6000) 웹 UI의 기능 및 설정 방법은 동일하므로 본 설명서에서는 여러 모델 중

SECUI MF2 1500 웹 UI를 기반으로 설명합니다.

사용하기 전에

사용하기 전에 반드시 관리자 설명서를 읽어본 후 바르게 사용하십시오.

관리자 설명서는 인가된 관리자만 열람할 수 있는 안전한 곳에 보관하고

사용하십시오.

사용 시 프로그램 오동작에 관한 A/S는 당사 FAQ 홈페이지를 이용해 주십시오.

설치 설명서는 반드시 보안 관리자나 관련된 작업을 하는 몇몇 관리자만이 열람

할 수 있도록 주의하시기 바랍니다. 만약 관리자 설명서가 악의적인 관리자에게

열람되면 시스템 내부정보를 습득하여 해킹 할 목적으로 오용될 우려가 있으므로

세심한 주의를 요합니다.

서 문

서 문 6

그림 표시에 대하여

본 설명서를 사용할 때 제품을 보다 안전하고 바르게 사용하여 자신이나 타인의 위

해나 재산상의 손해를 사전에 방지하기 위한 목적으로 여러 가지 그림을 표시합니다.

그 표시와 의미는 다음과 같습니다.

주의, 참고의 의미

주의

주의(CAUTION)란 데이터 손실, 하드웨어 손상, 보안 위협 등을 방지하기 위해

주의해야 하는 정보를 의미합니다.

참고

참고(NOTICE)란 제품 사용에 있어 보충하는 중요 정보를 의미합니다.

사용자 수준

본 설치 설명서는 MF2 제품을 사용하는 시스템 엔지니어를 위한 사용법을 제공합니

다. 본 설명서를 이해하려면 네트워크 이론, 정보 보안, IP 네트워킹 기술 등 관련 지

식이 필요합니다.

서 문

서 문 7

설명서 구성

1장 개요

SECUI MF2 설치에 대해 기본 개요를 간략하게 소개합니다.

2 장 SECUI MF2 구성품 및 각부 명칭

SECUI MF2 구성품 및 각부 명칭에 대해 소개합니다.

3 장 설치 전 점검 및 준비사항

SECUI MF2를 설치 전 확인해야 하는 사항들과 설치 환경을 위한 준비 사항을 서술

합니다.

4 장 안전 주의 사항

SECUI MF2를 안전하게 설치하기 위한 안전 주의 사항을 서술합니다.

5 장 시스템 설치 및 IP 설정

SECUI MF2 시스템 설치 및 IP 설정에 대한 절차를 소개합니다.

6 장 네트워크 연결 테스트

초기 IP 설정 후 네트워크 연결 테스트에 대한 내용을 소개합니다.

7 장 SECUI MF2 접속 후 설정 사항

웹 UI로 SECUI MF2에 접속 후 시간 설정, 로그 설정 등 SECUI MF2에서 설정해야

할 주요 항목들을 소개합니다.

8 장 설치 계획서(Installation Sheet)

설치 시에 필요한 설치 계획서 양식을 제공합니다.

9 장 부록

설치 시 오류 조치 사항, NTP 서버 목록을 제공합니다.

개요 8

1 장

개요

SECUI MF2에 대해 간략하게 소개합니다.

SECUI MF2 소개

개요 9

SECUI MF2 소개

SECUI MF2는 다양한 기능을 포함한 방화벽(Multi Function Firewall) 기반의 UTM

(Unified Threat Management) 장비로 구매 조건에 따라 방화벽, IPS/DDoS, VPN, 안티

스팸, 안티 바이러스, 애플리케이션 보안 기능을 사용할 수 있습니다. MF2는 보안성

이 검증된 최고의 UTM 솔루션으로 네트워크 구성에 따라 라우터 모드, 브리지 모드,

VLAN 환경, HA 환경 등 다양한 형태의 네트워크에 적용이 가능합니다. 특히, 보안

정책에 프로파일 형태의 정책 적용이 가능하여 효율적인 통합보안 정책을 수립할 수

있으며, 정책을 그룹별로 손쉽게 관리할 수 있어 정책의 효율적 관리 또한 가능합니

다. MF2는 설치된 내부 네트워크의 서버 및 서비스를 외부로부터 보호하고 외부 네

트워크로 전송되거나 내부 네트워크로 들어오는 정보 및 서비스를 보호할 수 있습니

다.

Internet

SECUI MF2

Protection Domain #1

Web Server

DMZ

NAT

IPv4 / IPv6 Network

SECUI MF2

Management

Console

DMZ

NAT

IPv4 / IPv6 Network

Protection Domain #2

Protection Domain #3 Protection Domain #4

Management

Console

DMZ

FTPDNS

그림 1 SECUI MF2 구성도(단독 장비 구성)

DMZ에는 인트라넷 서버들이나 DNS 서버, SMTP 서버, Web 서버, FTP 서버 등의 공

개될 서버들을 위치시키고 네트워크를 구분하여 내부망을 보호할 수 있습니다. 관리

자는 위 그림의 사용 환경에서 관리용 웹 UI를 이용하여 SECUI MF2를 관리할 수 있

으며 부가적으로 관리자 콘솔은 시리얼 케이블로 연결하여 CLI 명령어도 사용할 수

있습니다.

SECUI MF2 장비는 IPS/DDoS 기능을 통해 트래픽 기반의 탐지와 행위 기반의 탐지

를 통해 비정상적인 공격 트래픽을 차단하는 기능을 담당하며 네트워크 대역별 보호

정책을 보호 도메인별로 설정하여, 각각의 환경에 맞는 보호 환경을 지원합니다. 보

호 도메인은 SECUI MF2 장비에서 내부의 네트워크를 논리적으로 그룹화하여 관리할

수 있는 단위를 말합니다. SECUI MF2 장비에서는 최대 32개의 보호 도메인을 지원하

SECUI MF2 소개

개요 10

고 설정의 기준은 보호하고자 하는 객체의 집합으로 설정합니다. SECUI MF2는 Log

포트를 통한 외부 로그 서버(syslog server)로의 로그 전송, 침입 경보 프로토콜인

IAP(Intrusion Alert Protocol)를 통한 침입 경보 공유, 장비에서 발생한 주요 경고 메

시지의 SNMP 매니저(manager)로의 전송 기능 등도 지원합니다.

그림 2 MF2의 HA 및 VPN 구성

SECUI MF2는 HA(High Availability)를 지원하므로 SECUI MF2 장비를 2대 이상 사용

한 HA 구성으로 서비스 장애에 따른 가용성 문제를 해결할 수 있습니다. HA 기능은

Master와 Backup Master의 구성으로 커널에서 상호 세션 정보를 동기화하고 상호 가

동 상태 및 역할을 점검하며 가용성을 유지합니다. Backup Master는 1분마다 Master

와 동기화를 수행하고 Master 유고 시 Master의 역할을 수행합니다. IPv6 기반의 HA

구성은 지원하지 않습니다.

또한, SECUI MF2는 VPN(가상사설망) 기능을 통해 센터와 지점 사이를 IPSec으로 암

호화하여 가상의 터널을 이용한 안전한 통신이 가능합니다. 상호 통신을 위한 인증으

로 Pre-Shared Key나 RSA-Signature 서명 방식을 이용하며, 상호 인증된 후 보안채널

을 형성하여 전송되는 데이터의 인증, 비밀성, 데이터 무결성 기능 등을 제공합니다.

SECUI MF2는 SSL VPN 기능을 지원하여 인터넷 웹 브라우저를 통해 간편히 VPN 사

용도 가능합니다.

SECUI MF2 구성품 및 각부 명칭 11

2 장

SECUI MF2 구성품 및 각부 명칭

SECUI MF2 인수 절차가 마무리되면 SECUI MF2 구성품을 확인하고 각부 명칭과 설

명을 숙지하기 바랍니다.

평가된 버전 확인


평가된 버전 확인

고객사의 보안 담당자는 평가받은 제품인지 확인을 위해 평가된 제품, 제품 버전, 변

경 및 위장 여부를 확인합니다.

평가된 제품 확인

고객서비스팀 담당자는 고객사로 이송한 제품의 포장을 뜯고 제품 하드웨어 밑면 스

티커에 붙은 인증번호를 확인해 줍니다. 인증 번호는 인증기관으로부터 평가받은 제

품임을 의미합니다.

제품 버전 확인

네트워크 설정 후 관리용 웹 UI로 로그인하여 초기 화면인 대시보드에서 평가받은

제품의 펌웨어 버전을 확인합니다.

SECUI MF2 구성품


SECUI MF2 구성품

포장된 SECUI MF2 제품 박스에는 각 모델별 구성품이 들어 있습니다. 각 구성품이

박스 안에 제대로 들어 있는지 확인하십시오.

SECUI MF2 6000

SECUI MF2 6000의 구성품 목록은 다음과 같습니다.

SECUI MF2 6000 (1세트)

콘솔 케이블: RJ-45 (1개)

전원 케이블 (2개)

UTP 케이블 (다이렉트, 크로스 케이블 각 1개)

사용 설명서 CD (1개)

SECUI MF2 3100


SECUI MF2 3100(1세트)

콘솔 케이블: RJ-45(1개)

전원 케이블(2개)

UTP 케이블(다이렉트, 크로스 케이블 각 1개)

사용 설명서 CD(1개)

SECUI MF2 3000





SECUI MF2 구성품




SECUI MF2 2100







SECUI MF2 2000







SECUI MF2 1500






SECUI MF2 구성품


SECUI MF2 1100






SECUI MF2 1000






SECUI MF2 500






SECUI MF2 300





SECUI MF2 구성품



SECUI MF2 200






SECUI MF2 110






SECUI MF2 100






SECUI MF2 50




SECUI MF2 구성품




모델별 각 부 명칭 및 기능



SECUI MF2가 포함된 SECUI MF2 모델 제품에 대한 각부 명칭과 기능을 소개합니다.

POWER LED

전원 LED는 다음 표시등이 켜짐/꺼짐에 따라 시스템의 전반적인 작동

상태를 표시합니다.

이더넷 포트(Link/ACT)

녹색 — LAN에 연결된 경우

황색으로 깜박거림 — 데이터가 액세스되고 있는 경우

SECUI MF2 6000

SECUI MF2 6000 제품의 외형은 아래 그림과 같습니다. 각 부분의 기능을 숙지 후 사

용하기 바랍니다.

전면부

그림 3 SECUI MF2 6000의 전면부

종류 설명

LCD 패널 버전 정보, CPU/Memory/Disk/PPU 정보를 확인할 수 있습니다.

USB 설치나 패치를 위해 사용하는 USB 포트입니다.

RJ-45 콘솔 시스템의 설치 및 재설치를 위한 콘솔 연결 포트입니다.

Mgmt 포트 관리자의 장비 접속을 위한 관리 포트입니다.

(10/100/1000 Base-TX)

Fiber/Copper 포트 내부 네트워크와 외부 네트워크를 연결하는 포트입니다.



Fiber/Copper 기가비트 이더넷입니다.

후면부

그림 4 SECUI MF2 6000의 후면부

스위치/AC 전원 설명

AC 입력 전원부 AC 90-264V 범위의 모든 전원 공급 전압의 전원 설정을 자동으

로 조정합니다.

Alarm OFF 스위치 경고음 발생 시 경고음을 중지시키는 버튼입니다.

전원 ON/OFF 스위치 장비 구동을 위한 전원을 켜고 끄는 스위치입니다. 전원을 끌

경우 스위치를 5~10초 정도 누르고 있어야 합니다.

SECUI MF2 3100



전면부




종류 설명



(10/100/1000 Base-TX)





후면부



AC 입력 전원부 AC 90-264V 범위의 모든 전원 공급 전압의 전원 설정을

자동으로 조정합니다.



경우 스위치를 5~10 초 정도 누르고 있어야 합니다.



SECUI MF2 3000



전면부


종류 설명





(10/100/1000 Base-TX)



후면부










SECUI MF2 2100



전면부


종류 설명





(10/100/1000 Base-TX)





후면부








SECUI MF2 2000



전면부




종류 설명





(10/100/1000 Base-TX)



후면부










SECUI MF2 1500



전면부


종류 설명



USB 백업, 패치, 복구 등을 위해 사용하는 USB 포트입니다.



후면부









SECUI MF2 1100



전면부


종류 설명






후면부



전원 ON/OFF 스위치 장비 구동을 위한 전원을 켜고 끄는 스위치입니다. 전원을 끌 경

우 스위치를 5~10초 정도 누르고 있어야 합니다.

AC 입력 전원부 AC 90-264V 범위의 모든 전원 공급 전압의 전원 설정을 자동으로

조정합니다.



SECUI MF2 1000



전면부


종류 설명






후면부






조정합니다.



SECUI MF2 500



전면부


종류 설명






후면부






조정합니다.



SECUI MF2 300 SECUI MF2 300 제품의 외형은 아래 그림과 같습니다. 각 부분의 기능을 숙지 후 사


전면부


종류 설명




Gigabit Copper 포트 기가비트 이더넷 포트입니다.

후면부









SECUI MF2 200



전면부


후면부


종류 설명

CONSOLE 시스템의 설치 및 재설치를 위한 콘솔 연결 포트입니다.


Gigabit Copper 포트 10/100 Mbps 기가비트 이더넷 포트입니다.

전원부 60W 어댑터를 통해 2.5A, 250V 의 입력 전원이 들어옵니다.



SECUI MF2 110



전면부


후면부


종류 설명







SECUI MF2 100



전면부


후면부


종류 설명





④



SECUI MF2 50

SECUI MF2 50 제품의 외형은 아래 그림과 같습니다. 각 부분의 기능을 숙지 후 사용

하기 바랍니다.

전면부


후면부


종류 설명





SECUI MF2 하드웨어 사양



SECUI MF2 시리즈에서 제공되는 하드웨어 사양은 아래의 표와 같습니다.

SECUI MF2 50

CPU Intel Atom™ 2 cores 1.7 GHz(64bit)

Main Memory 2 GB

CF Card 2 GB

Crypto Accelerator C2358

Console RJ-45 * 1

NIC 기본 구성 1 Gbps Copper * 4

NIC 확장 범위 확장 가능한 요구사항 없음

NIC 최대 구성 기본 모델과 동일함

SECUI MF2 100


Main Memory 2 GB

CF Card 2 GB

Crypto Accelerator (옵션) CN505

Console RJ-45 * 1




SECUI MF2 110


Main Memory 2 GB

CF Card 2 GB


Console RJ-45 * 1






SECUI MF2 200


Main Memory 2 GB

CF Card 2 GB


Console RJ-45 * 1




SECUI MF2 300


Main Memory 4 GB

Storage HDD(250 GB) or SSD (128 GB)

CF Card 2 GB


Console RJ-45 * 1




SECUI MF2 500

CPU Intel Celeron 2 cores 2.6 GHz(64bit)

Main Memory 4 GB

CF Card 2 GB



Console RJ-45 * 1






SECUI MF2 1000

CPU Intel Pentium 2 cores 3.20 GHz(64bit)

Main Memory 4 GB

CF Card 2 GB



Console RJ-45 * 1


1 Gbps Fiber * 2



SECUI MF2 1100

CPU Intel Core™ 2 cores 3.3 GHz(64bit)

Main Memory 4 GB

CF Card 2 GB



Console RJ-45 * 1


1 Gbps Fiber * 2



SECUI MF2 1500

CPU Intel Core™ 4 cores 3.1 GHz(64bit)

Main Memory 8 GB

CF Card 2 GB


Crypto Accelerator (옵션) -

Console RJ-45 * 1




1 Gbps Fiber * 4



SECUI MF2 2000

CPU Intel Core™ 4 cores 3.06 GHz(64bit),

Main Memory 8 GB

CF Card 4 GB

Storage HDD(1 TB) or SSD (128 GB)


Console RJ-45 * 1

Management Port 1 Gbps Copper * 1

NIC 기본 구성 1 Gbps Copper *8

NIC 확장 범위

확장 슬롯에 장착 가능한 NIC

- 타입 1: 1G Copper –8

- 타입 2: 1G Fiber – 2

- 타입 3: 1G Fibler – 4


NIC 최대 구성

슬롯 1: (타입 1) or (타입 2) or (타입 3) or (타입 4) or (타입 5) or

(타입 6)


(타입 6)


(타입 6)

※ 각 슬롯에 장착 가능한 NIC를 선택하여 장착

SECUI MF2 2100

CPU Intel Xeon™ 4 cores 3.5 GHz(64bit)

Main Memory 8 GB

CF Card 4 GB



Console RJ-45 * 1





NIC 확장 범위






NIC 최대 구성


(타입 6)


(타입 6)


(타입 6)


(타입 6)


SECUI MF2 3000

CPU Intel Xeon™ 6 cores, 3.33 GHz(64bit)

Main Memory 12 GB

CF Card 4 GB



Console RJ-45 * 1



NIC 확장 범위






- 타입 5: 10G Fiber – 2

- 타입 6: 10G Fiber – 4

NIC 최대 구성


(타입 6)


(타입 6)




(타입 6)


SECUI MF2 3100

CPU Intel Xeon™ 10 cores, 2.8 GHz(64bit)

Main Memory 16 GB

CF Card 4 GB



Console RJ-45 * 1



NIC 확장 범위






- 타입 5: 10G Fiber – 2

- 타입 6: 10G Fiber – 4

NIC 최대 구성


(타입 6)


(타입 6)


(타입 6)


(타입 6)


SECUI MF2 6000

CPU Intel Xeon™ 6 cores * 2, 3.06 GHz(64bit)

Main Memory 24 GB

CF Card 4 GB



Console RJ-45 * 1





NIC 확장 범위






- 타입 5: 10G Fiber – 2

- 타입 6: 10G Fiber – 4

NIC 최대 구성


(타입 6)


(타입 6)


(타입 6)


위 표에 식별된 하드웨어 이외에 고객이 임의로 추가 장착 및

설치하는 행위는 당사에서 책임지지 않습니다.

설치 전 점검 및 준비사항 41

3 장

설치 전 점검 및 준비사항

SECUI MF2의 설치 전 반드시 다음 사항을 확인하기 바랍니다.

박스 겉면에 적힌 제품번호와 SECUI MF2 장비 뒷면의 제품번호의 일치 여부

SECUI MF2 장비 뒷면의 봉인 seal 훼손 여부

구성품 점검


구성품 점검

장비의 전면과 후면부에 장착된 LED, 스위치, 접속부 등의 외형에 이상이 없는지

확인

올바르게 장착되었는지 확인

필요한 구성품은 준비되어 있는지 확인(전원 케이블, 접속 케이블, 랙 장착용

날개 등)

각종 케이블의 접속 상태가 양호한지 확인

전원이 정상적으로 공급되는지 확인

시스템 환경 점검


시스템 환경 점검

물리적 환경

SECUI MF2는 보안을 담당하는 장비이므로, 출입이 통제되며 물리적인 보안이

이루어지는 장소에 설치하는 것을 권장합니다. 장비의 접속은 관리자의 ID와 암호를

사용하여 보안되지만, 장비에 대한 물리적인 침입에 대한 보안 대책을 마련하기

바랍니다. 장비 케이스의 불법 개폐에 의한 물리적인 훼손 여부는 장비 뒤쪽의 봉인

seal을 통해 확인할 수 있습니다. 보안 담당자는 정기적으로 장비의 훼손 여부를

검사해야 합니다.

설치 환경

SECUI MF2 운영에 있어 온도 및 습도도 SECUI MF2 동작에 영향을 미치므로 SECUI

MF2 설치 환경을 미리 점거해야 합니다.

운영 환경 ▪ 온도 - 0ºC ~40ºC

▪ 습도 - 0% ~ 90%

저장 환경 ▪ 온도 - -20ºC~70ºC

▪ 습도 - 5% ~ 95%

설치 전 준비 사항



SECUI MF2의 이름, 도메인 이름, 사용할 DNS 결정

SECUI MF2의 이름 및 도메인 이름, 그리고 사용할 DNS 등은 SECUI MF2의 관리자

프로그램의 접속과 리포트 및 경고 등에서 이름 정보를 생성하는 데 꼭 필요합니다.

만약 기존에 사용 중인 DNS 서버 및 도메인 이름이 없다면, 사용할 국가의

NIC(Network Information Center) 기관에 등록 신청을 하셔야 합니다. 등록 신청에

필요한 사항들은 해당 국가의 NIC 기관 홈페이지를 참고하시기 바랍니다. 다음 표는

각 지역별 NIC 기관의 홈페이지 주소 목록입니다.

지역 관할 도메인 홈페이지 주소

미국 및 전 세계 com, net, edu ... www.internic.net

한국 kr www.krnic.or.kr

일본 jp www.nic.ad.jp

중국 cn www.cnnic.cn

표 1 국가별 NIC 기관 홈페이지 주소 목록

새로이 도메인 이름을 등록하셨다면, 해당 도메인에 대한 기본 DNS 주소를 SECUI

MF2의 외부망 인터페이스의 IP 주소를 등록합니다. 등록하기 위한 준비사항은

다음과 같습니다.

SECUI MF2의 이름 및 도메인 이름 결정

SECUI MF2가 사용할 DNS 결정

관리자 PC의 준비

SECUI MF2가 직접 서비스하는 내역은 다음 표와 같습니다.

서비스명 서비스 목적

HTTPS 관리자의 웹 UI 인스톨

TOMCAT 관리자의 웹 UI 프로그램 접속용

표 2 SECUI MF2의 서비스 내역

SECUI MF2는 자체 보안을 위해 상기의 서비스들 중에서 HTTPS, TOMCAT 서비스는



내부망에서의 관리자가 등록한 특정한 IP 주소로부터의 접속만을 허용합니다. 따라서

관리자가 사용할 PC는 물리적으로 안전한 장소에 위치해야 합니다. 또한 관리자

PC의 IP 주소도 미리 준비해야 합니다.

관리자 PC의 최소 사양은 다음과 같습니다.

관리자 콘솔 최소 사양 비고

CPU Pentium III 133MHz 이상

Main Memory 256MB 이상

HDD 20GB 이상

NIC 1개 이상(10/100/1000MB copper)

콘솔

Windows XP SP2(32bit) 이상, Windows

Vista SP1(32bit) 이상,

Windows7 SP1(32bit) 이상

운영체제 MF2 Browser1.0 이상, Internet Explorer7.0

이상, Internet Explorer8.0 이상

웹브라우저 20GB 이상

표 3 SECUI MF2 관리 콘솔 PC의 최소 사양

관리자 PC는 여러 개의 설정이 가능합니다. 여러 개의 관리자 PC를 설정하려면,

모든 PC의 IP 주소를 미리 조사해야 합니다.

기타 준비 사항

위에서 언급한 준비 사항 이외에 다음과 같은 준비가 필요합니다.

− 시간 설정 방안(수동 설정 또는 NTP 서버의 등록)

− 콘솔용 관리 PC

− 설치 장소 공간 확보

− 설치 장소에 안정적인 전원(AVR 및 UPS 연결) 확인

− 설치에 필요한 공구 및 케이블 표지용 TAG 테이프

− 설치 일자 및 시간, 그리고 설치와 관련한 네트워크 단절 시간 예측

− 설치 실패 시를 대비한 원상 복구 계획



설치 작업 순서의 결정 및 시간표 작성

지금까지 언급한 모든 준비 사항들이 준비되었다면 실제 설치하여 가동하기까지의

모든 작업 내용들의 순서를 정해두는 것이 좋습니다. 물론 환경에 따라 작업 순서와

작업 내용이 달라질 수 있으나 전형적인 설치 작업의 예는 아래와 같습니다.

1. 작업 환경 정리, 필요 공구 준비, 전원 확보, 콘솔용 노트북 PC 확보

2. 케이블 준비

3. 준비된 케이블에 인지용 표지 부착

4. 네트워크 케이블이 준비된 상태에서 장비에 SECUI MF2 설치

5. SECUI MF2에 노트북 PC를 콘솔 케이블로 연결

6. SECUI MF2에 전원 가동 및 기본 구성(이름, IP 주소, 라우팅 등)

7. SECUI MF2에 CLI를 이용한 기본 설치과정 수행

8. SECUI MF2와 인접 네트워크 장비 간 케이블 연결

9. 관리자 PC에서 SECUI MF2로 접속

10. 관리자 PC 상의 웹 UI를 통한 세부 정책 구성 및 가동 상황 확인

설치 계획서의 작성

아래 항목은 지금까지 언급된 준비 사항들을 점검하기 위한 설치 계획서 목록들 입

니다.

SECUI MF2 설치 전과 설치 후의 네트워크 구성도

SECUI MF2를 포함한 각 장비의 인터페이스별 IP 주소 부여 방안 목록

SECUI MF2를 포함한 각 장비별 정적 라우팅 경로 설정 목록

네트워크 케이블 준비 사항 점검 목록

SECUI MF2 이름, 도메인 이름, 사용할 DNS IP 주소 목록

관리자 PC 준비 사항 점검 목록

기타 설치를 위한 준비 사항 점검 목록



보호 서버 및 보호 도메인 구성도

적용할 방어 정책 목록(기본 방어, L7 패턴 검사, Flooding 방어, 응용 계층 방어)

기타 설정할 내용에 대한 준비 사항 점검 목록

설치 작업 순서 및 시간 계획표

안전 주의사항 48

4 장

안전 주의사항

본 문서는 SECUI MF2를 설치할 때 미리 준비해야 하는 사항들과 필수적인 구성 작

업들에 대해 상세히 기술한 문서입니다. 작업을 진행하기 전 반드시 안전 주의사항을

읽어본 후 사용하기 바랍니다. 네트워크를 구성하기 전에는 반드시 8장 설치 계획서

(Installation Sheet)를 토대로 필요한 사항을 미리 준비한 후 설치하기 바랍니다.

설치 전 주의사항

반드시 전원이 꺼진 상태에서 설치하기 바랍니다.

감전 및 화재의 위험이 있으므로 습도가 높은 곳에 설치하지 마십시오.

감전의 위험을 막기 위해 반드시 접지선을 연결해야 합니다.

제품 설치를 위한 안전한 장소가 확보되어 있는지 확인합니다.

원활한 방열을 위해서 냉각 환풍구와 벽면 사이는 15cm 이상의 공간을 확보하여

설치하십시오.

설치 장소에 안정적인 전원(AVR 및 UPS 연결)이 있는지 확인합니다.

제품이 낙하하면 부상당하거나 고장의 원인이 되므로 반드시 평평한 곳에

설치하십시오.

제품의 변형 및 고장의 원인이 되므로 직사광선이나 열을 많이 받는 곳을

피하십시오.



분해 및 청소 시 주의사항

고장, 감전 및 상해의 위험이 있으므로 제품을 임의로 분해, 수리 및 개조를 하지

마십시오.

고장 및 감전의 원인이 되므로 외관 청소 시 물이나 신나 또는 유기용제를

사용하지 마십시오. 외관을 청소할 때는 마른 헝겊으로 닦기 바랍니다.

장비 이동 시 주의사항

장비가 들어있는 제품을 5박스 이상 쌓지 않도록 주의하십시오.

제품의 이동이나 저장 시 물기에 젖지 않도록 주의하십시오.

장비 이동 시 충격으로 인한 장비 파손이 있을 수 있으므로 주의하십시오.

제품 사용 시 주의사항

제품이 작동 중일 때는 제품을 이동시키지 마시고 제품에 강한 충격을 주거나

던지지 마십시오.

제품의 덮개를 열 경우 전기적 충격의 위험이 있으므로 전문 설치자 이외는

제품의 덮개를 열지 마십시오.

화재의 원인이 되므로 하나의 콘센트에 여러 개의 전원 플러그를 동시에 꽂아

사용하지 마십시오.

고장의 원인이 되므로 제품 위에 물이 담긴 그릇이나 무거운 물건을 올려 놓지

마십시오.

폭발 및 화재의 위험이 있으므로 프로판 가스, 가솔린 등 인화성 가스나 분진이

발생하는 장소에서는 사용하지 마십시오.

감전의 위험이 있으므로 젖은 손으로 전원 플러그를 만지지 마십시오.

냉각 환풍구 안으로 전기가 통하는 물질이 들어가지 않도록 주의해주십시오.

코드가 파손되면 감전 및 화재의 위험이 있으므로 전원 코드 부분을 무리하게

당기지 마십시오.

임의로 추가 사용할 경우에는 제품보증을 받을 수 없습니다.



제품 패치 시 주의사항

담당 엔지니어가 고객사로 직접 찾아가 패치 이미지를 설치하므로 별도의 패치를

하지 마십시오.

제품 패치 후 장비 이상이 발생하면 별도의 장비 조작을 금지하시고 고객사의

담당자에게 연락을 취한 후 조치를 받기 바랍니다.

광 통신 사용 시 주의사항

광 포트를 사용할 경우 광 포트에 연결된 CAP을 제거하고 케이블에 있는 CAP을

제거한 상태에서 연결하십시오.

정전기에 의한 제품 손상이 있을 수 있으므로 주의 하십시오.

광 케이블을 구부리면 쉽게 파손될 염려가 있으므로 주의 하십시오.

광 모듈에서 나오는 레이저 빛을 응시하거나 광학 장치로 직접 보는 행위를 하지

마십시오.

시스템 설치 및 IP 설정 51

5 장

시스템 설치 및 IP 설정

SECUI MF2는 공장에서 출하 시 설치 이미지가 모두 설치되어 출하되므로 별도의 이

미지 설치 과정이 필요 없습니다. 따라서 네트워크 환경에 알맞은 인터페이스를 설정

하고 관리 PC의 IP를 설정하면 SECUI MF2 접속 준비가 모두 완료됩니다.

초기 기본값은 다음과 같습니다.

장비 IP(eth0): 192.168.10.10

접근 IP 대역: 192.168.10.0/24

관리자 ID/비밀번호: admin/secui00

관리용 웹 UI는 MF2 Browser 또는 Microsoft Internet Exlplorer를 사용해서 접속할

것을 권장합니다.

웹(web) 기반 시스템 설정



웹 기반 시스템 설정에서는 웹 브라우저를 통해 사용 환경의 네트워크 인터페이스를

설정하고, 관리자 계정 생성 및 관리자 IP를 부여해서 관리 웹 UI에 접속하는 방법을

소개합니다.

본 설치에 사용되는 입력값은 하나의 예제로 사용된 값이며 실제 설치하는 환경에

따라 입력값이 달라질 수 있습니다.

최초 기본값으로 설정된 장비 IP 주소로 접근하여 관리자 ID(admin)와 비밀번호

(secui00)를 입력하고 로그인하면 다음과 같은 웹 기반의 초기 설정 화면이 나타납니

다.

그림 31 웹 기반 시스템 설정 초기 화면

웹 기반 설정 항목은 아래와 같습니다. 라이선스 관리 메뉴부터 순서대로 설정을 진

행합니다.



라이선스 설정

SECUI MF2 초기 구성 작업의 첫 단계로 시리얼 번호, 제품 라이선스, 라이선스 기간

을 설정합니다.

그림 32 라이선스 관리

제품 사용 권한에 대한 사항으로 이미 직접 수령했거나 메일 등을 통해 받은 라이선

스를 등록합니다.

라이선스 등록하기

이미 E-mail 등으로 받은 라이선스 파일을 열고, 라이선스 등록 버튼을 클릭해서 등

록합니다. 적용 버튼은 클릭해서 시스템에 적용합니다.

초기 관리자 비밀번호 변경하기

초기 기본값으로 설정된 관리자 비밀번호를 변경할 수 있습니다.

신규 비밀번호를 입력하고 생성한 비밀번호를 다시 확인합니다.



인터페이스 설정

장비에 접속할 IP 주소를 설정해야 합니다. SECUI MF2는 관리자 접속을 위한 eth0

인터페이스가 별도의 관리포트(Mgmt)를 지원하며, 콘솔이 아닌 네트워크 상에서 웹

UI 접속을 하기 위해서는 관리 포트에 대해 계획한대로 주소와 네트워크를 부여해야

합니다.

물리적 인터페이스

물리적 인터페이스는 내부망, 외부망, DMZ 등 인터페이스에 대한 기본 설정입니다.

그림 33 인터페이스 설정 – 물리적 인터페이스

물리적 인터페이스는 사용 용도에 따라서 L3 포트, L2 포트, Mirror 포트, Tap 포트,

NAC 포트의 5가지로 구분됩니다

L3 포트: IP 주소를 부여할 수 있으며, DHCP를 통한 자동 할당이나 수동/정적

할당이 가능합니다. ADSL 회선으로 지정할 경우 회선의 종류에 따라 설정을

달리할 수 있습니다.

L2 포트: 브리지나 포트 트렁킹의 멤버로 지정하거나 VLAN 트렁킹 용도로

설정할 경우 사용합니다.



Mirror 포트: Mirror 포트로 지정하면 트래픽을 복사할 대상이 되는 하나 이상의

다른 물리 인터페이스를 지정할 수 있습니다.

Tap 포트: Tab 장비를 이용할 경우 해당 포트를 지정하여 설정할 수 있습니다.

NAC 포트: NAC 기능을 이용할 경우 해당 포트를 지정하여 설정할 수 있습니다.

물리 인터페이스 화면에 대한 각 항목은 다음과 같습니다.

속성 설명 유효값

인터페이스 이름 인터페이스 이름을 표시합니다. N/A

Zone 인터페이스 구성을 위한 Zone을 선택합니다. 내부망, 외부망, DMZ,

HA, 없음

인터페이스 모드 인터페이스 모드를 선택합니다.

L3 포트, L2 포트,

Mirror 포트, Tap 포트,

NAC 포트

IPv4/IPv6 인터페이스 주소를 IPv4 또는 IPv6로 입력합니

다.

IPv4 주소 형식,

IPv6 주소 형식

별칭 주소 별칭 주소를 추가 또는 삭제할 수 있습니다. IPv4 주소 형식

브리지 구성

여러 개의 네트워크(인터페이스)를 하나의 브리지 그룹으로 설정하기 위해 사용하는

기능입니다.

그림 34 인터페이스 설정 – 브리지 구성



라우팅 설정

SECUI MF2 장비가 다른 네트워크 장비와 통신하려면 패킷의 방향을 결정하는 라우

팅 테이블이 필요합니다. 라우팅 테이블은 생성 방법에 따라서 정적(Static) 라우팅 테

이블과 동적(Dynamic) 라우팅 테이블로 나뉩니다. 네트워크가 복잡하지 않은 경우

관리자가 등록하여 라우팅 테이블이 변하지 않는 정적 라우팅 테이블을 사용합니다.

본 설치 단계에서는 정적 라우팅 추가 방법을 소개합니다.

그림 35 라우팅 설정

라우팅 정보 추가하기

다른 장비와 네트워크 통신이 가능하도록 라우팅 정보를 설정하는 기능입니다.

1. 정적 라우팅 경로 추가를 위해 아이콘을 클릭합니다.

2. 디폴트 게이트웨이와 특정 네트워크 게이트웨이 중 하나를 선택합니다.

3. 게이트웨이 선택에 따라 다음과 같이 설정 항목이 달라집니다.

- 디폴트 게이트웨이 선택 경우

목적지에 도달하기 위해 거쳐야 할 다음 노드의 게이트웨이 주소를 입력합니다.

디폴트 게이트웨이를 2개 이상 설정할 경우 다중경로 라우팅 항목을 체크합니다.



- 특정 게이트웨이를 선택한 경우

목적 네트워크, 메트릭, 게이트웨이을 차례로 입력합니다. 게이트웨이를 2개 이상

설정할 경우 다중경로 라우팅 항목을 체크합니다.

4. 설정을 적용하려면 적용 버튼을 클릭합니다.

DNS 설정

DNS 서버 설정

경고 로그 등을 메일로 받아 보려면 사용 가능한 DNS를 설정해야 합니다. 인터넷에

서 도메인 이름을 확인하기 위한 데이터베이스 부분에 대한 정보를 갖고 있는 서버

를 설정합니다. DNS 서버는 최대 3개까지 설정할 수 있으며, 하나의 서버에 문제가

발생할 경우 보조 서버 형태로 DNS가 운영되도록 설정합니다.

그림 36 DNS 설정 – DNS 서버 설정

DNS 서버 IP 주소를 입력하지 않을 경우 경고 메일을 수신하지 못하므로 반드시 외

부 네임 서버 IP 주소를 입력해야 합니다. 외부 네트워크 또는 내부 네트워크의 사용

가능한 네임 서버 IP 주소를 반드시 입력해야 합니다. IP 주소는 한 줄에 하나씩 만

입력합니다. MF2가 도메인 네임 질의가 필요한 경우 이 목록에서 사용 가능한 DNS

서버를 차례로 참조하게 됩니다.

DNS 서버 추가하기



1. 도메인 이름을 입력합니다.

2. DNS 서버 구성 영역에서 DNS 서버 IP 등록을 위해 (추가) 아이콘을

클릭합니다.

3. DNS로 사용할 DNS 서버 IP 주소(최대 3개)를 입력하고 확인 버튼을 클릭합니다.

Split DNS 설정

Split DNS 설정 기능은 Linux BIND를 이용하여 MF2 장비 내에 DNS 서버를 구축하

여 DNS 서비스를 제공하는 기능입니다. 내부 DNS와 외부 DNS에 서로 다른 DNS를

구축하여 DNS 요청을 받은 인터페이스에 따라(내부 또는 외부) 설정된 각각의 DNS

응답을 보내는 기능입니다.

그림 37 DNS 설정 – Split DNS 설정

필드 설명 유효값

사용 Split DNS 기능의 사용 여부를 선택합니다. 체크, 체크 안 함

구분 구축할 DNS 서버를 선택합니다. 내부 DNS, 외부 DNS

Split DNS 설정하기

1. 내부 DNS를 설정할 것인지 외부 DNS를 설정할 것인지 선택합니다.

2. 고급설정 버튼을 클릭해서 각 탭별로 항목을 설정합니다.



- 일반 설정


forward

only 설정 시 자신에게 요청된 질의를 모두

forwarders에 정의한 원격 네임 서버로 보냅니다.

first 설정 시 원격 네임서버에서 응답이 없을 때 자

신이 질의 요청에 대한 응답을 수행합니다.

only, first

notify zone 영역이 변경된 것을 2차 네임 서버에 공지할

지 여부를 설정합니다. yes, no

recursion

no 설정 시 zone 설정된 도메인에 대한 DNS 응답

만 처리합니다. yes 시 일반적인 도메인 서버로 사용

됩니다.

yes, no

transfers-

format

one-answer 설정 시 전송되는 레코드를 각각 1개의

DNS 메시지로 표현합니다.

many-answers 설정 시 가능한 많은 레코드를 1개의

DNS 메시지로 표현합니다.

one-answer,

many-answers

max-

transfer-

time-in

최대 영역 전송(zone transfer) 시간(초)을 설정합니

다. 시간을 줄일 경우 named-xfer 프로세스가 크기

가 큰 Zone File을 가지고 올 때 불필요한 자원을

점유하는 것을 방지할 수도 있습니다.

0 ~ 525600

transfer-in

동시에 동작시킬 수 있는 내부 Zone 전송의 최대값

입니다. 설정값을 증가시키면 성능 개선을 기대할

수 있지만, 로컬 시스템의 부하가 발생할 수 있습니

다.

0 ~ 10000

cleaning-

interval

네임 서버가 캐시로 저장된 내용을 삭제할 시간 간

격(초)을 설정합니다. 0으로 설정하면 캐시에 기록된

내용이 없습니다.

0 ~ 525600



interface-

interval 인터페이스를 검색할 시간 간격(초)을 설정합니다. 0 ~ 525600

lame-ttl 불완전한 서버의 지시를 캐시로 저장해서 보관할 시

간(초)을 설정합니다. 0 ~ 604800

max-ncache-

ttl

네트워크의 부하를 경감해 성능을 올리기 위해 부정

응답을 저장할 시간(초)을 설정합니다 0 ~ 604800

- Listen –on


Listen-on Listen-on에 추가된 설정이 없으면 네임 서버는 모

든 인터페이스를 주시하며 #53 포트를 사용합니다. IPv4 주소 형식

- Forwarders


Forwarders 자신의 네임 서버에 질의 요청이 들어 오면

forwarding할 네임 서버의 IP 주소를 설정합니다. IPv4 주소 형식

- Allow-query


Allow-query 질의 요청을 받을 IP 주소를 설정합니다. IPv4 주소 형식/

서브넷마스크(8~32)

- Allow-recursion


Allow-recursion 재귀적인 질의가 가능한 호스트를 설정

합니다.

IPv4 주소 형식/


- Allow-transfer


Allow-transfer 네임서버로의 접근을 제어합니다. 2차 네임

서버 설정을 권장합니다.

IPv4 주소 형식/


3. ZONE 설정 영역 왼쪽의 노드 부분에서 Zone을 추가할 부모 노드를 선택 후

(추가) 아이콘을 클릭합니다. 각 항목을 설정하고 확인 버튼을 클릭합니다.

4. ZONE 설정 영역 오른쪽의 호스트 부분에서 설정된 Zone에 대한 호스트 설정을



진행합니다.

5. Split DNS 기능의 활성화를 위해 사용 체크박스를 체크합니다.

6. 설정 내용의 적용을 위해 적용 버튼을 클릭합니다.

ZONE 설정과 REVERSE ZONE 설정이 서로 맞지 않을 경우 DNS 응답이

정상적으로 이루어지지 않을 수 있습니다.

Split DNS 기능의 활성화를 위한 사용 항목은 내/외부 DNS 모두에

적용되는 설정이며, 사용 항목을 체크한 후 적용하면 내/외부 DNS가

동시에 구동됩니다.

DDNS 설정

DDNS(Dynamic Domain Name System)는 동적 DNS로서, 실시간으로 DNS으로 갱신

하는 방식입니다. DDNS 서비스 제공 업체를 통해 DDNS 서비스를 이용할 수 있으며,

이를 위해서는 실제 가능한 DDNS 호스트 등록 및 기본 설정을 해야 합니다. DDNS

호스트는 최대 8개까지 설정할 수 있습니다.

그림 38 DNS 설정 – DDNS 설정


사용 DDNS 사용을 위한 사용 여부를 설정합니다. 체크, 체크 안 함



IP 검사 주기(초) DHCP 설정 시 동적으로 변하는 IP 주소에 대해 자동

으로 IP 주소를 검사하는 주기를 설정합니다.

60~600초

(기본값: 60)

호스트 이름 DDNS 서비스 업체에 등록한 호스트 이름을 설정합니

다. 최대 255자

서비스 공급자 DDNS 서비스를 제공하는 업체를 선택합니다.

Dyndns

ZoneEdit

EasyDns

DtDNS

NameCheap

사용자 계정 서비스 공급자에 등록한 호스트에 접속하기 위한 사용

자 계정을 설정합니다. 최대 32자

사용자 암호 호스트와 사용자 계정의 확인을 위한 사용자 암호를

설정합니다. 최대 32자

SSL 사용 DDNS 메시지 전송에 SSL 사용 여부를 선택합니다. 체크, 체크 안 함

설명 DDNS 호스트에 대한 간략한 설명을 입력합니다. 최대 255자

DDNS 설정하기

1. DDNS 사용을 위해 사용 체크박스를 체크합니다.

2. IP 검사 주기(초)에 검사할 주기 시간을 설정합니다.

3. 아이콘을 클릭합니다. DDNS 설정 추가 창에서 호스트 이름, 사용자 계정,

사용자 암호, 설명을 입력하고, 서비스 공급자, SSL 사용을 선택한 후, 확인

버튼을 클릭합니다.

4. 설정 적용을 위해 적용 버튼을 클릭합니다.



시스템 정보

설치하는 장비의 이름, 시스템 시간, Oversubscription을 설정하는 단계입니다.

그림 39 시스템 정보 설정

장비 이름 설정

아래의 입력 요구에 대해 장비 이름을 입력합니다. 만약 설정할 도메인 이름이 있다

면 같이 붙여서 입력하면 됩니다.


장비 이름 설치한 장비를 별도로 구분하기 위한 입력 항목입니

다. 최대 21자

장비 설명 설치한 장비에 대한 부가 설명을 합니다. 최대 128자



시스템 시간 설정

SECUI MF2에서 발생한 각종 이벤트 로그, 경고 로그, 관리자에 의해 실행된 명령 등

이 로그로 기록될 때 시간 정보는 문제 해결에 매우 중요한 요소이므로 정확한 시스

템 시간 설정이 중요합니다. 시스템 시간에서 NTP 설정을 체크하면, NTP 서버로 시

간 동기화가 가능하며 직접 시간을 입력하는 수동 시간 설정도 가능합니다.

NTP 서버로 시간 설정하기

NTP(Network Time Protocol)는 네트워크 상의 시간을 정확하게 유지시켜 주기 위한

시간 규약으로 밀리초(1/1000초) 단위까지 시간을 맞출 수 있습니다.

NTP가 정확히 동작하기 위해서는 정확한 NTP 서버를 선택해야 하며, 최대 2개의

NTP 서버를 지정할 수 있습니다. 또한, 해외의 다른 시간 Zone에 존재하는 NTP

서버의 경우 시간 동기화를 위해 Offset 필드의 시간 조정으로 시간 동기화 및

관리가 가능합니다.

1. 시간 설정에서 시간 설정 방식을 NTP로 선택합니다.

2. 시간을 동기화시킬 NTP 서버 주소를 입력합니다.

3. 시간 동기화를 갱신할 업데이트 주기(10초~14400초)를 입력 후 적용 버튼을

클릭합니다.

수동 시간 설정하기

수동 시간 설정 절차는 다음과 같습니다.

1. 시간 설정에서 시간 설정 방식을 수동 설정으로 선택합니다.

2. 날짜 및 시간을 선택하여 설정 후 적용 버튼을 누릅니다.



Timezone 설정

Timezone은 지역에 따라 시간 차이가 나므로 서로 다른 시간대를 표준시로 맞추기

위한 설정입니다. SECUI MF2는 협정 세계시(UTC) 기준으로 장비가 사용되는 지역/

도시에 따라 Timezone을 변경할 수 있습니다. Offset 필드는 보다 세밀한 시간 보정

을 위해 사용합니다.

Timezone 설정하기

1. System > 시스템 구성 > 시스템 정보 메뉴를 선택합니다.

2. Timezone 설정에서 현재 해당 지역/도시의 Timezone을 선택합니다.

3. Timezone 변경으로 시간 보정이 필요한 경우 Offset 필드의 값을 조절합니다.

4. 설정 적용을 위해 적용 버튼을 클릭합니다.

Oversubscription 설정

Oversubscription은 IPS/DDoS에서 처리할 수 있는 능력 범위를 벗어나는 양의 트래

픽이 오면 IPS 관련 모듈을 태우지 않고 바로 포워딩(forwarding) 처리를 해줘서 IPS

관련 모듈에서 패킷을 잡고 있는 문제를 해결하여 가용성을 높일 수 있습니다.

Oversubscription 기능이 사용으로 활성화되면 IPS, DDoS, 웹 서버 보호, 애플리케이

션 제어 기능에만 영향을 주며, 방화벽이나 VPN 기능에는 영향을 주지 않습니다.

HA 구성

HA(High Availability) 설정은 시스템을 이중화하여 한 쪽 시스템에 장애가 발생하더

라도 또 다른 시스템을 통해 문제없이 모든 기능이 운용되도록 시스템 가용성을 높

이기 위한 기능입니다. SECUI MF2는 16대까지 HA로 설정할 수 있습니다.



그림 40 HA 구성

HA 구성을 위한 HA의 기본 설정 및 멤버 구성과 관련 항목은 다음과 같습니다.


동작 모드

HA의 동작 모드를 “Active-Standby”나 “Stand-Alone”으

로 선택할 수 있습니다.

Stand-Alone: 장비 한 대의 단독 장비로 구성된 경우입

니다.

Active-Standby: Active-Standby 모드로 선택된 경우

HA로 동작합니다.

Active-Active: Active-Active 모드로 선택된 경우

Master/Slave 장비 모두 Active 상태로 동작합니다. 단지

설정 변경은 Master에서만 가능합니다.

High-Level-Sync: L4 스위치를 이용하여 부하 분산 및

동기화가 가능합니다.

Active-Active,

Active-

Standby, High-

Level-Sync,

Stand-Alone

(기본값: Stand-

alone)

HA 그룹 이름 HA 그룹을 구별하기 위한 이름이며 동일 그룹에 속할

멤버들은 같은 그룹 이름을 사용해야 합니다. 최대 16자

멤버 이름 HA 멤버에 대한 이름을 입력합니다. 최대 21자

역할 Master와 Slave에 중 HA로 동작할 역할을 선택합니다. master, slave



우선순위

멤버에 대한 우선순위를 지정합니다. 기본값은 ‘1’로 지정

되어 있으며 Master로 선택된 경우 우선순위는 '16'이 됩

니다.

관리자 선택

설명 HA 멤버 구성에 대한 간략한 내용을 입력합니다. 최대 64자

HA 설정에 있어 HA 역할과 관련된 주요 용어는 다음과 같습니다.

Master: HA 마스터 권한(Mastership)을 소유한 장비로 설정, 정책, 세션 동기화의

주체가 되는 장비입니다.

B-Master: 백업 마스터(Backup Master)로 Slave 중에서 우선순위가 가장 높은

장비입니다.

Slave: HA 마스터 권한(Mastership)을 소유하지 못한 장비입니다.

지정된 Master: 관리자에 의해 지정된 Master 장비로 가장 높은 우선순위를

갖습니다.

지정된 B-Master: 관리자에 의해 지정된 Master 장비로 지정된 Master 다음으로

높은 우선순위를 갖습니다.

Temporary Master: Master에 정상적인 기능 수행을 하지 못할 때 B-Master는

임시로(Master가 정상 기능을 수행할 때까지) Master 기능을 수행하는데 이를

Temporary Master라고 합니다.

HA 설정하기

1. HA 그룹 이름을 입력하고 동작 모드를 선택합니다.

2. HA 멤버추가를 위해 아이콘을 클릭합니다.

3. 멤버 구성에서 멤버 이름을 입력합니다.

4. HA 역할을 Master 또는 Slave 중 하나를 선택합니다.

5. HA 멤버에 대한 우선순위를 선택합니다. Master로 지정된 경우 우선순위는

16입니다.

6. 멤버 구성이 끝나면 확인 버튼을 누르고 HA 구성 하단의 적용 버튼을 누릅니다.



일반 설정

일반 설정은 관리용 웹 UI가 일정 시간 동안 사용하지 않는 유휴 상태(Idle time) 시,

관리자 웹 UI를 종료하거나 재인증을 요구하는 설정과 웹 UI 접속용 서버 인증서를

발급받을 수 있습니다.

그림 41 일반 설정

유휴 상태 시 GUI 종료: 최대 유휴 시간이 경과 후, GUI 종료 여부를 설정합니다.

이 옵션이 체크된 상태에서 유휴 시간이 지나면 관리자 GUI 화면이 닫히며,

체크가 안 된 상태에서 최대 유휴 시간이 지나면 관리자 비밀번호를 입력하는

재인증 창이 나타납니다.

최대 유휴 시간: 단위는 분으로 설정하며, 1분부터 30분까지 입력이 가능합니다.

로그인 실패 횟수: 관리자가 로그인 시도 시에 패스워드를 잘못 입력할 경우

설정한 실패 횟수 이상 시도하게 되면 해당 관리자 ID의 사용을 제한합니다.

관리자가 로그인 실패 횟수를 설정할 수 있으며, 기본값은 3이며, 3부터 10까지

입력할 수 있습니다.

CLI 접속 포트: CLI 접속용 포트를 1~65535까지 지정할 수 있습니다.

GUI 접속 포트: GUI 접속용 포트를 1~65535까지 지정할 수 있습니다.



웹 UI 접속 서버 인증서

웹 UI 접속 시 인증서 보안 경고를 없애기 위해서는 인증서를 발급받아야 합니다. 인

증서가 설치되지 않은 장비에 접속하면 아래와 같은 화면이 나타납니다.

그림 42 관리용 웹 브라우저 접속 시 인증서 오류 화면(Internet Explorer)

웹 UI 접속용 서버 인증서 발급받기

1. 일반 설정 메뉴에서 발급하기 버튼을 클릭하여 인증서를 생성합니다. 인증서가

생성되면 자동으로 재로그인 됩니다.

2. 인증서 발급이 완료되면 브라우저 URL 영역 끝에 인증서 오류 클릭 후 인증서

보기를 클릭합니다.



3. 인증서 설치를 진행합니다.

4. 인증서 저장소를 아래와 같이 선택합니다.

5. 신뢰할 수 있는 루트 인증 기관을 선택합니다.



6. 인증서 가져오기 마법사에서 다음 버튼을 누릅니다.

7. 마침 버튼을 클릭하고 인증서 설치를 위해 예(Y) 버튼을 누릅니다.



인증서 설치 버튼이 안 보일 경우

관리용 PC마다 보안 설정이 달라 인증서 설치 버튼이 보이지 않을 수

있습니다. 이 경우 웹 브라우저 도구 > 인터넷 옵션 > 보안 탭을

선택한 다음 신뢰할 수 있는 사이트에 접속한 주소를 등록합니다

인증서 로컬 PC 로 복사하기

위와 같은 방법으로 인증서 설치가 안 되는 경우, 인증서 가져오기를 통해 로컬 PC

로 복사해서 사용할 수 있습니다.

1. 인증서 화면 창에서 로컬 PC로 복사하기 위해 파일에 복사를 클릭합니다.



2. 인증서 내보내기 마법사에서 다음 화면처럼 파일 내보내기 형식을 선택합니다.

3. 내보낼 파일을 확인하고 다음 버튼을 클릭합니다.



4. 인터넷 옵션 > 내용 탭에서 인증서를 클릭합니다.

5. PC에 저장되어 있는 인증서 가져오기를 선택하여 완료합니다.



관리자 설정

관리자는 SECUI MF2 관리를 위해 관리자를 권한에 따라 레벨3, 레벨2, 레벨1으로 구

분하여 계정을 추가할 수 있고 추가한 관리자만 접속하도록 관리 접속 IP를 설정할

수 있습니다.

그림 43 관리자 설정

관리자 추가하기

1. 아이콘을 누르면 관리자 추가 화면이 나타납니다.

2. 아래 항목을 참고하여 모든 항목을 입력 후 확인 버튼을 누릅니다.


ID 로그인 시 관리자 ID로 사용됩니다. 최대 32자

이름 관리자 이름으로 관리자 조회 시 사용

됩니다. 최대 32자

비밀번호/

비밀번호 확인 로그인 시 비밀번호로 사용됩니다.

9~32자

-영문, 숫자, 특수문자 조합

-ID와 Password가 3자리 이상

일치할 수 없음



-ID 역순 패스워드 사용 불가

- Well-Known Word 사용 불가

-가능한 특수 문자

~,@,#,$,%,*,(,),-,+,=,_

접근 등급

레벨1: 모든 기능 읽기 권한

레벨2: 시스템 중지 및 재기동을 제

외한 모든 기능 읽기/쓰기 권한

레벨3: 모든 기능 읽기/쓰기 권한

관리자 선택

부서 관리자의 소속 부서를 입력하는 항목

입니다. 최대 32자

연락처 관리자의 연락처를 입력하는 항목입니

다. 최대 16자

메일 응급 시, 경고 메일 발송을 하기 위한

메일 주소입니다. 최대 32자

경고메일 수신 경고메일 수신 유무를 선택합니다. 관리자 선택

메뉴 권한 설정 관리자 권한 프로파일을 선택합니다. 관리자 선택

관리자 IP 설정

관리자별로 관리자 IP를 다르게 설정

기를 원할 경우 관리자 IP 설정을 활

성화하고 관리자 IP 목록을 선택합니

다.

관리자 선택

3. 적용 버튼을 누르면 관리자의 권한 및 계정이 부여됩니다.

관리자 편집

등록된 관리자 계정을 변경 편집할 수 있습니다.

관리자 삭제

삭제할 관리자 정보를 선택한 후, 아이콘을 누르면 관리자 목록에서 삭제됩니다.

다음의 경우에는 계정 삭제가 불가능합니다.

- 현재 접속 중인 관리자 계정

- 마지막 레벨3 관리자

- 현재 접속 중인 관리자의 접근 등급보다 상위 관리자 계정

- admin 계정



관리자 IP 설정

사용 권한이 있는 관리자 IP만 관리 장비에 접속하도록 관리자 IP의 호스트, 네트워

크, 특정 IP 범위로 지정하여 접근을 제어할 수 있습니다.

그림 44 관리자 IP 설정

관리 접속 IP 추가하기

관리자 정보에서 추가한 관리자 중 관리 접속 IP에 등록된 IP만 장비에 접속할 수 있

습니다. 관리 IP는 IPv4와 IPv6 형태의 허용 IP 주소를 추가할 수 있습니다.

1. 아이콘을 누르면 관리자 IP 등록 화면이 나타납니다.

2. 관리 장비에 접속할 허용 IP 주소를 입력합니다.


허용 IP 주소 관리 장비로 접속을 허용하기 위한 IPv4 형식의 주소

를 입력합니다.

IPv4 주소 형식,

최대 30개

설명 허용할 IP 주소에 대한 설명을 입력합니다. 최대 128자

3. 확인 버튼을 누른 후, 설정을 적용하려면 적용 버튼을 누릅니다.



관리자가 관리용 웹 UI에 접근하지 못하는 경우

관리자의 IP가 SECUI MF2 장비의 ‘관리 접속 IP’에 등록되지 않았거나

기존 접속 IP가 변경되면 관리용 웹 UI에 접근하지 못할 수 있습니다.

따라서 관리자(레벨3)는 접속할 IP를 미리 확인하고, 변경 시에는 Mgmt

콘솔 포트가 연결된 상태에서의 변경을 권장합니다.

IPv6 관리자 IP

IPv6 주소 기반의 IP를 사용하는 관리자를 허용하기 위한 기능입니다.

그림 45 IPv6 관리자 IP 설정

재시작

레벨3의 관리자 ID와 비밀번호를 입력 후, 재시작을 실행하면 SECUI MF2 장비를 재

시작하고 장비와의 접속을 재설정해야 하므로 약간의 시간이 걸립니다. 이때 웹 UI는

종료되지 않고, 접속 재설정 완료 메시지가 나타난 후 계속 사용이 가능합니다.



그림 46 시스템 재시작

IP 설정


IP 설정

콘솔 포트에 연결하여 SECUI MF2 시스템을 설치 후 관리할 PC의 네트워크 또는 접

속할 장비 IP 주소를 변경할 수 있습니다.

관리 PC 네트워크 설정 변경

다음은 SECUI MF2의 관리자 PC의 OS 환경이 Windows XP일 때 PC의 네트워크 설

정을 변경하는 절차입니다.

1. 바탕화면의 [내 네트워크 환경] 아이콘에서 마우스의 오른쪽 버튼을 눌러 속성을

클릭하면, 네트워크 연결 창이 나타납니다.

IP 설정


2. 로컬 영역 연결 아이콘에서 마우스의 오른쪽 버튼을 눌러 속성을 클릭하면 로컬

영역 연결 속성 창이 나타납니다.

3. 로컬 영역 연결 속성 창의 일반 탭에서 인터넷 프로토콜(TCP/IP)를 선택하고

속성 버튼을 누르면 인터넷 프로토콜(TCP/IP) 등록 정보 창이 나타납니다.

IP 설정


4. 시스템 설치 시 관리자 IP로 지정한 IP 주소를 입력하고 확인 버튼을 누릅니다.

SECUI MF2 접속 네트워크 설정 변경

관리 PC의 네트워크 설정 변경이 끝나면 Internet Explorer를 통해 SECUI MF2에 접

속하여 네트워크 환경에 맞게 SECUI MF2 접속 IP 주소를 변경할 수 있습니다.

1. 웹 UI 접속을 위해 Internet Explorer를 실행하여 접속 IP 주소를 입력합니다.

IP 설정


2. 시스템 설치에서 등록한 관리자 ID와 패스워드를 입력합니다.

3. 웹 UI에 접속되면 System > 시스템 구성 > 인터페이스 설정을 눌러 인터페이스

설정 화면으로 이동합니다.

4. 물리적 인터페이스 탭에서 인터페이스를 선택하고 설치하려는 네트워크 환경의

지정된 값으로 변경합니다.

5. 변경할 IP 주소와 서브넷 마스크를 입력하고 적용 버튼을 누르면 수정이

완료됩니다.

6. SECUI MF2의 네트워크 설정이 모두 끝나면 다시 바탕화면의 내 네트워크 환경을

선택하여 관리 PC 네트워크 설정 변경의 절차를 수행합니다.

인터페이스 설정에서 IP 주소를 변경할 경우 반드시 Mgmt 포트에 연결된

상태에서 수정해야 네트워크 설정이 바뀌더라도 연결을 할 수 있습니다.

네트워크 연결 테스트 84

6 장

네트워크 연결 테스트

초기 IP 설정 후 네트워크 연결 테스트에 대한 내용을 소개합니다.

Ping 테스트


Ping 테스트

인접 네트워크 장비에 대한 Ping 테스트에 성공하면 관리자 PC IP 주소, 그리고

외부망에 있는 알려져 있는 IP 주소들에 대해서 Ping 테스트를 실시합니다.

관리자 PC에서 SECUI MF2 접속 테스트

관리자 PC의 웹 브라우저의 주소 입력창에 SECUI MF2의 관리용 포트(Mgmt)의

주소를 입력하여 접속하여, SECUI MF2의 초기 화면이 출력이 되는지를 확인합니다.

일단 여기까지 설정했다면 관리자 PC의 SECUI MF2 접속 테스트는 성공한 것입니다.

네트워크 이용 테스트

기본적으로 SECUI MF2 장비는 네트워크 상에 인라인(Inline) 모드로 설치가 됩니다.

따라서 별도의 네트워크 구성 변경 없이 연결이 가능하며, 내부망 사용자는

외부망으로 정상적인 접근이 가능합니다.

먼저 SECUI MF2의 인터페이스 Link 연결 상태를 확인하고, 내부망 사용자의

외부망을 이용할 수 있는지 확인하기 위해 내부망 사용자의 웹 사이트 접속과 같은

테스트를 수행해봅니다. 테스트 결과가 정상적으로 이루어졌다면 네트워크 연결은

성공적으로 이루어졌다고 할 수 있습니다.

만약 위의 테스트들 중 하나라도 실패했다면 네트워크 연결이 정상적으로

이루어지지 못했다는 것을 의미합니다. 어떤 부분에서 실패하고, 어떤 부분이 안

되는지를 자세히 기록한 다음, 설치 설명서의 “설치 계획서”에 네트워크 원상 복구

계획상의 시간을 점검합니다. 이미 네트워크 원상 복구 시간이 경과했다면 다음의

원상 복구 작업을 수행해야 합니다.

SECUI MF2의 모든 케이블을 제거

인접 네트워크 장비에 대해 원래의 케이블로 복구

인접 네트워크 장비의 구성을 원상 복구하여, 네트워크를 원래의 형태로 재설정

원상 복구 작업을 마쳤거나, 아직 원상 복구 시간까지 여유가 있다면 다음과 같은 점

검 작업을 차례로 수행하기 바랍니다

네트워크 이용 테스트


SECUI MF2에 연결했던, 또는 연결 중인 케이블 점검

설치 계획서 상의 인접 라우터까지의 실제 네트워크 연결 상태 추적

인접 네트워크 장비의 IP 주소 구성을 설치 설명서 “설치 계획서”상의 내역과

비교

인접 네트워크 장비의 라우팅 경로 설정 구성을 “설치 계획서”상의 내역과 비교

SECUI MF2의 DNS 설정 내역 점검

SECUI MF2의 각 인터페이스에 대한 IP 구성 내역 점검

SECUI MF2에 설정되어 있는 라우팅 경로 내역 점검

설치 설명서 "설치 계획서" 상의 오류 점검

SECUI MF2 접속


SECUI MF2 접속

SECUI MF2는 시스템 관리 및 설정을 위해 웹 브라우저(https)를 이용한 원격 연결로

관리용 웹 UI에 접속할 수 있습니다.

관리자는 웹 브라우저로 접속하여 다음과 같은 관리 및 설정 작업을 진행할 수 있습

니다. 모든 절차가 끝나고 다시 웹 브라우저 창을 열어서 입력창에 설정해준 SECUI

MF2의 IP 주소를 입력하고 로그인하여 설정 확인을 합니다.

초기 접속 화면에서 인증서 오류 페이지가 나타나면 웹 UI 접속용

서버 인증서를 발급받아야 합니다. 자세한 내용은 일반 설정을

참조하시기 바랍니다.

초기 설치 시 설정한 관리용 접속 IP 주소를 입력해서 장비에 접속합니다.

관리용 접속 IP 주소는 설치 환경에 따라 다를 수 있습니다.

SECUI MF2 접속


SECUI MF2 관리용 웹 UI 로그인

웹 브라우저를 이용하여 SECUI MF2 웹 UI에 로그인할 수 있습니다. 본 설명서에서

는 SECUI MF2 1000 모델의 웹 UI를 기반으로 설명합니다.

웹 브라우저를 이용한 로그인

초기 접속화면에서 관리자 ID와 비밀번호를 입력 후, LOGIN 버튼을 누르면 관리용

UI에 로그인할 수 있습니다.

1. 초기 설정 과정에서 등록한 관리자 PC에서 이미 설정된 SECUI MF2로 접속을

시도합니다.

SECUI MF2 접속


2. SECUI MF2 관리를 위한 관리자 ID와 비밀번호를 입력합니다.

3. ID와 비밀번호가 유효한 경우, 로그인 과정을 거치면 다음 그림과 같은 초기

접속 화면이 나타납니다.

그림 47 SECUI MF2 접속 초기 화면

쓰기/읽기 권한을 가진 레벨3 관리자는 1명만 접속할 수 있습니다. 로그인

화면에서 ‘읽기 권한’을 체크 후, 레벨3 관리자의 동일 ID와 비밀번호로

로그인하면 읽기 권한으로만 접속됩니다.

ID와 비밀번호는 인가된 관리자에게만 주어지며 비밀번호는 분실되지

않도록 각별히 주의하십시오.

Local 방식의 관리자 접속

SECUI MF2 접속


다음 그림과 같이 관리자 ID와 비밀번호를 입력하고 로그인합니다.

그림 48 비밀번호 방식의 관리자 접속 화면

LDAP/RADIUS 방식의 관리자 접속

외부 인증 서버로 LDAP 또는 RADIUS를 사용하는 경우 로그인 화면에서 LDAP 또

는 RADIUS를 선택하여 관리자 ID와 비밀번호를 입력하고 로그인합니다.

OTP(S-Key) 방식의 관리자 접속

로그인 화면에서 OTP(S-Key) 로그인을 선택한 경우, 아래 그림과 같이 관리자 ID를

입력하고 OTP Generator로 생성한 S-Key를 입력하여 로그인합니다.

그림 49 OTP(S-Key) 방식의 관리자 접속

OTP(S-KEY) 방식으로 식별 및 인증을 하기 위해서는 로그인 시 암호를

직접 넘겨서 인증하는 것이 아니라, 웹 접속 초기 화면에서 OTP

Generator를 다운로드 받아 One Time Password를 생성하여 식별 및

인증을 합니다.

SECUI MF2 접속


MF2 Browser를 통한 로그인

MF2 Broswer는 여러 대의 SECUI MF2 장비를 접속 관리할 때 유용하게 사용할 수

있습니다. 관리용 웹 초기 접속화면에서 MF2 Browser를 다운로드 받아 설치하면

MF2 Browser를 사용할 수 있습니다.

그림 50 MF2 Browser를 이용한 접속

장비 관리 메뉴에서는 여러 대의 장비를 등록해서 사용할 수 있습니다.

SECUI MF2 접속


관리자는 SECUI MF2에 접속하여 다음과 같은 관리 및 설정 작업을 진행할 수 있습

니다.

장비 이름, 시간 등의 시스템 관리 정보 설정

네트워크 인터페이스 설정, 라우팅 정보 설정, HA 설정

로그 설정, 리포트 설정 및 조회

방화벽 정책 설정

IPS/DDoS 설정

VPN 설정

응용 계층 보안 설정

모니터링, 로그 조회

설정 저장/복원

로그 설정/경고 설정

시스템 중지/재시작

비밀번호 변경 및 관리자 등록


비밀번호 변경 및 관리자 등록

장비의 보안을 위해 즉시 관리자 비밀번호를 변경할 것을 권장합니다.

초기 비밀번호 변경 방법은 라이선스 설정 메뉴의 '초기 관리자 비밀번호 변경'하기

항목을 참조하시기 바랍니다. 특히, ID와 비밀번호 관리에 주의를 기울이시기

바랍니다.

SECUI MF2의 사용자는 설정 권한에 따라 레벨3, 레벨2, 레벨1의 3가지 유형이 있습

니다. 메뉴 사용 시 관리자 권한에 따라 읽기/쓰기 권한이 제한될 수 있으므로 각 권

한을 꼭 확인 후 사용하시기 바랍니다.

레벨3: 모든 기능에 대한 읽기와 쓰기가 가능

레벨2: 시스템 중지 및 재기동 권한을 제외한 모든 기능 읽기/쓰기 가능

레벨1: 모든 기능에 대한 읽기 권한만 가능

관리자 등록은 관리자 설정 메뉴를 참고하기 바랍니다.

SECUI MF2 접속 후 설정 사항 94

7 장

SECUI MF2 접속 후 설정 사항

SECUI MF2 웹 UI에 로그인 후 반드시 관리자가 설정 및 확인해야 하는 항목을 기술

합니다.

SECUI MF2 설정을 마친 후 GUI로 로그인 하여 다음 항목은 반드시 설정 및 점검을

해야 합니다.

시간 설정(NTP 서버 또는 직접 입력)

로그가 생성되도록 로그 생성 항목 활성화

시간 설정


시간 설정

SECUI MF2는 모든 보안 관련 사건들의 로그를 내부의 데이터베이스로 저장합니다.

이때 시스템에 설정되어 있는 시간을 사용하여 사건 발생 시간을 기록하게 됩니다.

보다 정확한 시간 사용을 하려면 외부 NTP 서버를 사용하는 것을 권장합니다. 외부

NTP 서버는 일반에게 공개되어 있는 NTP 타임 서버를 사용할 수도 있고, 내부망에

별도로 구축한 NTP 서버를 사용할 수도 있습니다.

일반에게 공개된 NTP 서버로는 다음 사이트들이 있습니다.

time.bora.net

time.kriss.re.kr

NTP 서버 설정에 대해서는 관리자 설명서의 System > 시스템 구성 > 시스템 정보를

참조하십시오.

로그 설정


로그 설정

SECUI MF2의 로그 생성과 관련해서 SECUI MF2의 Monitoring > 모니터링 설정 >

로그 설정 메뉴에서 사용 여부를 설정합니다.

SECUI MF2의 로그 생성 항목은 통합 로그, 시스템 로그, 방화벽 로그, IPS/DDoS 로

그, VPN 로그, 애플리케이션 보안 로그로 구분되어 생성을 제어할 수 있습니다.

SECUI MF2의 로그는 Monitoring > 로그 보기 메뉴에서 확인할 수 있습니다.

구분 로그

통합 로그 사용 설정 세션 통합 로그

트래픽 통합 로그

시스템 로그

관리자 로그

HA 동작 로그

HA 트래픽 로그

HA 상태 로그

IAP 연동 로그

좀비 PC 탐지 솔루션 연동 로그

블랙리스트 로그

IPv6 블랙리스트 로그

회선 관리 로그

시스템 자원

시스템 데몬 감시

시스템 인터페이스 트래픽

Oversubscription 로그

QoS 카운터 로그

도메인 객체 자동 관리 로그

사용자 객체 자동 관리 로그

방화벽 로그

방화벽 허용 로그

방화벽 거부 로그

IPv6 방화벽 허용 로그

IPv6 방화벽 거부 로그

NAT 세션 로그

방화벽 트래픽 로그

방화벽 정책별 트래픽 로그

IPv6 방화벽 트래픽 로그

IPv6 방화벽 정책별 트래픽 로그

NAT 트래픽 로그

NAT 정책별 트래픽 로그

사용자 인증 로그

인증 사용자별 트래픽 로그

로그 설정


IPS/DDoS 로그

IPS/DDoS 유해 트래픽 탐지 로그

IPS/DDoS 공격 현황 로그

IPS/DDoS 트래픽 현황 로그

IPS/DDoS 보호 도메인별 트래픽 현황 로그

IPS/DDoS 트래픽 학습 현황 로그

VPN 로그

IPSec VPN IKE 키교환 로그

IPSec VPN 커널 로그

IPSec VPN 회선 이벤트 로그

IPSec VPN 회선 사용 현황 카운터 로그

IPSec VPN 터널 수 카운터 로그

IPSec VPN 원격 게이트웨이별 사용 현황 카운터 로그

IPSec VPN 터널 ID별 사용 현황 카운터 로그

IPSec VPN 원격 게이트웨이별 회선 상태 로그

IPSec VPN 인터페이스별 자동 속도 체크 로그

SSL VPN 접속 로그

SSL VPN 사용자 인증 로그

SSL VPN 인증서 발급 로그

SSL VPN 트래픽 로그

SSL VPN 내부 서버별 접속 카운터 로그

SSL VPN 로그인 카운터 로그

SSL VPN Web/Full 터널별 접속 카운터 로그

SSL VPN (Clientless)

SSL VPN 접속 로그(Clientless)

SSL VPN 세션 로그

SSL VPN 인증 로그

SSL VPN 트래픽 카운터 로그

SSL VPN 서비스별 트래픽 카운터 로그

SSL VPN 사용자별 트래픽 카운터 로그

SSL VPN 세션 카운터 로그

애플리케이션 보안 로그

SSL 트래픽 검사 로그

SSL 세션 로그

SSL 트래픽 로그

SSL 이벤트 로그

IPv6 SSL 세션 로그

IPv6 SSL 트래픽 로그

IPv6 SSL 이벤트 로그

APP 탐지 로그

APP별 트래픽/세션 카운터 로그

APP 카테고리별 트래픽/세션 카운터 로그

APP별 탐지/차단 카운터 로그

APP 카테고리별 탐지/차단 카운터 로그

APP 프로파일별 탐지/차단 카운터 로그

로그 설정


DLP 탐지 로그

DLP 아카이브 로그

DLP 카운터 로그

안티 바이러스 로그

안티 바이러스 카운터 로그

안티 스팸 송/수신 로그

안티 스팸 카운터 로그

웹 필터 로그

웹 필터 카운터 로그

클라우드 기반 악성 URL 차단 로그

클라우드 기반 악성 URL 카운터 로그

Categorized URL 탐지 카운터 로그

Categorized URL 차단 카운터 로그

웹 클라이언트 트랜잭션 로그

웹 클라이언트 콘텐츠 제한 로그

웹 클라이언트 트랜잭션 카운터 로그

웹 클라이언트 콘텐츠 제한 카운터 로그

웹 서버 보호 유해트래픽 탐지 로그

웹 서버 보호 카운터 로그

오피스키퍼 목록 등록 로그

오피스키퍼 차단 로그

FTP 차단 로그

FTP 차단 카운터 로그

APT 악성코드 검사 로그

APT 악성코드 카운터 로그

APT Heuristic 검사 로그

파일 유형 제어 탐지 로그

파일 유형 제어 카운터 로그

SECUI MF2는 자체적으로 500GB 이상의 로그 저장 공간을 보유하고 있습니다. 로그

저장소의 용량에 관련된 설정이나 로그 저장소 관리에 대한 자세한 내용은 관리자

설명서의 로그 설정 부분을 참조하십시오.

보호 도메인 대상 및 방어 정책 설정


보호 도메인 대상 및 방어 정책 설정

SECUI MF2 장비는 내부망을 보다 세밀하게 보호하기 위해 최대 16개의 보호 도메인

을 지원하고, 각각에 대한 방어 정책을 별도로 설정할 수 있습니다.

관리자는 보호하고자 하는 내부망의 환경에 맞도록 보호 도메인을 등록하고, 각각의

특성에 맞도록 방어 기능의 설정, Flooding 방어 설정, 응용 계층 방어 설정을 합니다.

SSL 인증서

SECUI MF2는 장비 보안을 위하여 관리 인터페이스에서 HTTPS 프로토콜을 사용합니

다. HTTPS 프로토콜을 사용하기 위해서는 SSL 서버 인증서가 필요합니다. SECUI

MF2에는 자체적으로 발행한 SSL 인증서가 탑재되어 있습니다. 서버 인증서를 사용하

는 주 목적은 암호화 통신에 필요한 키를 생성하기 위한 것이기 때문에 공인 인증서

발급기관에서 발행한 서버 인증서를 사용하지 않은 이유로 일부 웹 브라우저에서 나

타나는 경고 창은 무시하고 사용할 수 있습니다.

설치 계획서(Installation Sheet) 100

8 장

설치 계획서(Installation Sheet)

네트워크 구성을 보다 효율적이고 체계적으로 설치하기 위한 설치 계획서 양식입니

다. 네트워크를 구성하기 전 필요한 사항을 미리 확인하시고 본 양식에 작성 후 설치

하기 바랍니다.

SECUI MF2 설치 전/후 네트워크 구성도


SECUI MF2 설치 전/후 네트워크 구성도

기존네트워크 구성

설치 후 네트워크 구성

SECUI MF2와 각 장비별 인터페이스 IP 주소 부여


SECUI MF2와 각 장비별 인터페이스 IP 주소 부여

SECUI MF2

System Name SECUI MF2

인터페이스(Interface) 네트워크 주소(IP Address) 서브넷마스크(Subnetmask)

관리포트(Mgmt)

Log 포트

인접 장비

System Name


Network Interface

IP (Primary)

IP (Secondary)

IP (Secondary)

System Name


Network Interface

IP (Primary)

IP (Secondary)

IP (Secondary)

System Name


Network Interface

IP (Primary)

IP (Secondary)

IP (Secondary)

설정 사항 (Configuration)


설정 사항 (Configuration)

SECUI MF2 이름

도메인 이름

사용하는 DNS 주소

관리자 PC 환경

관리자 이름 (#1) 브라우저 (Version)

네트워크 주소 (IP) 메모리 (RAM)

운영체제 (OS) 프로세서 (CPU)

비고




비고




비고




비고



관리자 PC 환경



비고




비고




비고




비고




비고




비고

케이블 준비


케이블 준비

인터페이스 케이블 종류 길이 수량 비고

기타 준비 사항

시간 설정 방안

설치 시 콘솔용 노트북 준비

설치 장소 공간 확보

전원(AVR, UPS 연결) 확인

공구 및 케이블 표지용 태그 테이프

예

예

예

예

설치일자 및 시간, 단절 시간 예측

복구작업절차

설치 실패 시를 대비한 원상 복구 계획

1.

2.

3.

4.

5.

6.

7.

8.

9.

설치 작업 순서


10.

설치 작업 순서

작업내용 소요시간 비고

작업환경 정리, 필요공구 준비, 전원확보,

노트북 확보

케이블 준비

준비된 케이블에 인지용 표지 부착

SECUI MF2 하드웨어 설치

SECUI MF2에 노트북을 시리얼

케이블로 연결

SECUI MF2의 전원가동 및 기본 구성

SECUI MF2의 CLI를 이용한

기본 설정

인접한 라우터에 대한 IP 주소 변경

및 정적 라우팅 경로 추가(네트워크 단절)

SECUI MF2와 인접 네트워크 장비간 케이블 연결

(네트워크 복구)

관리자 PC상에서 SECUI MF2로 접속

관리자 PC상의 웹 UI를 통한

세부 정책 구성 및 가동 상황 확인

보호 도메인 및 보호서버 구성도


보호 도메인 및 보호서버 구성도

보호 도메인 목록

보호 도메인 ID IP 주소 동작 모드 주요 방어 기능

보호 서버 목록

보호 서버 ID IP 주소 동작 모드 주요 방어 기능

부록 108

10

9 장

부록

부록에서는 설치 시 오류 조치 사항, CLI 명령어, 주요 용어 설명, 기타 제공 가능한

내용을 설명합니다.

설치 시 오류 조치 사항

부록 109


설치 과정에서 나타나는 오류를 조치할 수 있는 내용을 기술합니다.

SECUI MF2의 동작에 문제가 발생한 경우 여러 가지 원인이 있을 수 있습니다.

아래의 경우에 필요한 조치를 취하기 바랍니다.

네트워크가 연결되지 않은 경우

시스템 설치 시 등록한 관리자 IP가 아닌 경우

− 시스템 설치 시 등록한 관리자 IP를 확인

시스템의 IP 주소가 원하는 값으로 설정되어 있지 않음

− 시스템 초기 출하 시 값으로 접근 시도

− 콘솔로 접속하여 IP 주소 확인

케이블 불량

− UTP 케이블 불량에 따른 인터페이스 접속 불가이므로 케이블 교체

NTP 서버에 연결되지 않은 경우

도구 메뉴의 Ping 명령어를 이용하여 NTP 서버 주소로 연결 유무 확인

공인된 NTP 서버를 이용하며 공인 NTP 서버도 연결이 안 되는 경우 다른 NTP

서버 주소를 직접 입력 시도

방화벽에서 접근 제어를 확인

− 방화벽을 통하여 SECUI MF2를 접속하는 경우 해당 IP와 포트를 확인

DNS 서버가 설정되지 않은 경우

도구 메뉴의 Ping 명령어를 이용하여 DNS 서버 주소로 연결 유무 확인

다른 DNS 서버 주소를 확인 후 입력하면서 Ping 테스트를 시도 방화벽에서 접근

제어를 확인

− 방화벽을 통하여 SECUI MF2를 접속하는 경우 해당 IP와 포트를 확인


부록 110

웹 UI 접속이 안 되는 경우

방화벽에서 접근 제어

− 방화벽을 통하여 SECUI MF2를 접속하는 경우 해당 IP와 포트를 구성

실시간 알람 로그가 표시되지 않음

알람 로그가 동작 정지인 경우

− 로그 기본 설정 메뉴에서 알람 로그가 실행하도록 체크

웹서버 구성 미완료

− 보안 대상 웹 서버에 대한 정보 확인 후 재설정

NTP 서버 목록

부록 111

NTP 서버 목록

최신 NTP 서버 목록은 http://www.ntp.org 홈페이지를 참조하십시오.

Primary Servers

서버 이름 IP 주소 Location 비고

ntp.marine.csiro.au 140.79.17.101… Tasmania.Australia Use DNS

ntp.mel.nml.CSIRO.AU 138.194.21.154 Melbourne, Australia

npt.nml.csiro.au 130.155.98.1 Sydney, Australia

ntp.per.nml.csiro.au 130.95.156.206 Perth, Australia

swisstime.ethz.ch 129.132.2.21 Zurich, Switzerland

ntps1-0.cs.tu-berlin.de 130.149.17.21 Berlin, FRG

ntps1-1.cs.tu-berlin.de 130.149.17.8 Berlin, FRG

ntps1-1.rz.Uni-Osnabrueck.DE 131.173.17.7 Osnabrueck, FRG

clock.cuhk.edu.hk 137.189.6.18 Hong Kong Use DNS

tempo.cstv.to.cnr.it 193.204.114.1 Torino, Italy

time.ien.it 150.145.33.1 Torino, Italy

clock.nc.fukuoka-u.ac.jp 133.100.9.2 Fukuoka, Japan

clock.tl.fukuoka-u.ac.jp 133.100.11.8 Fukuoka, Japan

cronos.cenam.mx Queretaro, Mexico Use DNS

ntp0.nl.net 193.67.79.202 Amsterdam, The Netherlands



vega.cbk.poznan.pl 150.254.183.15 Borowiec, Poland

time1.stupid.se 192.36.143.150 Stockholm, SWEDEN

time2.stupid.se 192.36.143.151 Stockholm, SWEDEN

chronos.csr.net 194.35.252.7 United Kingdom

clock.isc.org 192.5.5.250 Palo Alto, CA, U.S.A

clock.via.net 209.81.9.7 Palo Alto, CA, U.S.A

ntp-cup.external.hp.com 192.6.38.127 Cupertino, CA, U.S.A

http://www.ntp.org/

NTP 서버 목록

부록 112

timekeeper.isi.edu 128.9.176.30 Marina del Rey, CA, U.S.A

usno.pa-x.dec.com 204.123.2.72 Palo Alto, CA, U.S.A

navobs1.usnogps.navy.mil 204.34.198.40 Falcon AFB, Colorado, U.S.A

navobs2.usnogps.navy.mil 204.34.198.41 Falcon AFB, Colorado, U.S.A

tick.usno.navy.mil 192.5.41.40 Washington, DC, U.S.A

tock.usno.navy.mil 192.5.41.41 Washington, DC, U.S.A

ntp1.delmarva.com 138.39.7.20 Newark DE, U.S.A

bonehed.lcs.mit.edu 18.26.4.105 Cambridge, MA, U.S.A

navobs1.wustl.edu 128.252.19.1 St. Louis, MO, U.S.A

terrapin.csc.ncsu.edu 152.1.58.124 Raleigh, NC, U.S.A

lerc-dns .lerc.nasa.gov 128.156.1.43 Cleveland, OH, U.S.A

otc1.psu.edu 128.118.46.3 University Park, PA, U.S.A

wwv.otc.psu.edu 128.118.46.3 University Park, PA, U.S.A Use DNS

Secondary Servers

서버 이름 IP 주소 Location 비고

ntp.adelaide.edu.au 129.127.40.3 Adelaide, South Australia

ntp.saard.net 203.21.37.18 Adelaide, South AUSTRALIA

time.esec.com.au 203.21.84.4 Victoria, Australia

ntp1.cmc.ec.gc.ca Quebec, Canada Use DNS

ntp2.cmc.ec.gc.ca Quebec, Canada Use DNS

time.chu.nrc.ca 209.87.233.53 Ontario, Canada Use DNS

time.nrc.ca 132.246.168.148 Ontario, Canada Use DNS

timelord.uregina.ca 142.3.100.15 Saskatchewan, canada

bernina.ethz.ch 129.132.98.11 Zurich, Switzerland

slug.ctv.es 194.179.52.14 Alicante, SPAIN

ntp.univ-lyon1.fr 134.214.100.6 Lyon, France

zg1.ntp.carnet.hr 161.53.2.70 Zagreb, Croatia Use DNS

zg2.ntp.carnet.hr 161.53.123.4 Zagreb, Croatia Use DNS

st.ntp.carnet.hr 161.53.30.3 Split, Croatia Use DNS

NTP 서버 목록

부록 113

ri.ntp.carnet.hr 161.53.40.3 Rijeka, Croatia Use DNS

os.ntp.carnet.hr 161.53.200.8 Osijek, Croatia Use DNS

time.nuri.net 203.255.112.4 Seoul, Korea Use DNS

fartein.ifi.uio.no 129.240.64.3 Oslo, Norway

ntp.shim.org Singapore Use DNS

ntp1.arnes.si 193.2.1.66 Ljubljana, Slovenia Use DNS

ntp2.arnes.si 193.2.1.92 Ljubljana, Slovenia Use DNS

time.ijs.si 193.2.4.6 Ljubljana, Slovenia Use DNS

time.ijs.si 193.2.4.6 Ljubljana, Slovenia Use DNS

ntp.cs.strath.ac.uk 130.159.196.123

Glasgow, Scotland Use DNS 130.159.196.125

ntp2a.mcc.ac.uk 130.88.202.49 Manchester, England Use DNS

ntp2b.mcc.ac.uk 130.88.200.98 Manchester, England Use DNS

ntp2c.mcc.ac.uk 130.88.200.4 Manchester, England Use DNS

ntp2d.mcc.ac.uk 130.88.203.12 Manchester, England Use DNS

tick.tanac.net 195.112.34.51

louie.udel.edu 128.175.1.3 Newark, DE

ntp-0.cso.uiuc.edu 130.126.24.53 Urbana-Champaign, IL Use DNS



gilbreth.ecn.purdue.edu

128.46.129.93

West Lafayette, IN 128.46.141.93

128.46.147.93

128.46.148.93

harbor.ecn.purdue.edu

128.46.171.93

128.46.128.76

128.46.129.76

West Lafayette, IN

128.46.154.76

molecule.ecn.purdue.edu

128.46.129.9

West Lafayette, IN 128.46.132.95

128.46.136.95

128.46.145.95

NTP 서버 목록

부록 114

128.46.167.95

128.46.169.95

128.46.181.95

allison.radiks.net 205.138.126.83 Omaha, NE

tick.cs.unlv.edu 131.216.16.9 Las Vegas, NV

tock.cs.unlv.edu 131.216.18.4 Las Vegas, NV

ntp0.cornell.edu Ithaca, NY Use DNS

sundial.columbia.edu 128.59.35.142 New York, NY

constellation.ecn.uoknor.edu 129.15.22.8 Oklahoma, USA

tick.koalas.com 207.48.109.6 Coos Bay, OR, U.S.A

clock.psu.edu 128.118.25.3 University Park, PA, U.S.A

ntp.cox.smu.edu 129.119.80.126 Dallas, TX, U.S.A

ntp.tmc.edu 128.249.1.10 Houston, Tx, U.S.A

ntp5.tamu.edu 165.91.52.110 College Station, TX, U.S.A

ntp-1.vt.edu 198.82.162.213 Blacksburg, VA, USA

ntp-2.vt.edu 198.82.161.227 Blacksburg, VA, USA

ntp.cmr.gov 140.192.8.3 Arlington, VA, USA

clock.tricity.wsu.edu 192.31.216.30 Richland, WA, USA

ntp1.cs.wisc.edu 128.105.39.1 University of Wisconsin-

Madison Wisconsin, U.S.A Use DNS





ntp.cs.unp.ac.za 143.128.82.200 Pietermaritzburg, South Africa

Part Number: 03-21-150303

설치 설명서 - knuwhalra.knuw.ac.kr/securitysolution/secui mf2 v4.0... · 2017-09-18 · 서...

Documents