2 장 – Firewall 환경설정

1. 2장 – Firewall 환경설정 • 이번 장에서는 Contivity Stateful Firewall을 설정하는 단계를 서술한다. 서술 과정은 다음과 같다. • Firewall software 설치 과정 • Contivity VPN Switch에서의 firewall 환경 설정 • Firewall의 환경 설정 • Firewall을 적절히 운영하기 위한 설정 단계 • 다음의 진행절차는 firewall의 구성 요소들을 제외한 Contivity Extranet Switch의 환경 설정을 마친 후의 설정이고 firewall의 license가 필요하다. Licensing Admin -> Install keys menu 항목이 추가적인 software 기능을 가능하게 하기위해서 licensing key를 설치하기 위해 사용된다. Software license key 설치 단계 : 1. Admin -> Install Keys 창으로 간다. 2. Firewall 창에서 Nortel Networks 고객 지원에서 획득한 key를 넣는다. 3. 설치 버튼을 click한다. 유효한 key를 설치하고 나면, “key installed”라는 표시가 설치된다. 이 license key는 각 CES에 한번만 설치되면 된다. 만약 3.5 버전 이하로 downgrade한다면, firewall license key를 제거해야 한다. Key를 제거하기 위해서는 “Remove”버튼을 click한다. 확인 메시지가 나타나고 Yes를 click하면, 그 license key는 제거한다.

2. 필요조건 • Firewall을 설치하기 전에, CES의 관리 IP 주소를 확실히 해야 한다. • 이 주소는 System -> Identity 화면을 근거로 하고 다음의 정보가 필요하다. • CES의 관리 주소를 확인하는 Domain Name Service(DNS)에 의해 사용되는 이름이 firewall의 이름이다. 이이름은 System -> Identify 화면의 DNS Host Name 항목에 들어간다. • CES interface의 IP 주소 이름이다. • Contivity Stateful Firewall Manager에 접속하기위해 필요한 시스템 요구 사항들은 다음과 같다. • X86에 2.6,7 혹은 8 OS의 Solaris의 Platform이나 SPARC Platform과 Microsoft Windows95,98,2000 혹은 Windows NT 4의 운영체제를 지원한다. • Java 2 Runtime Environment V1.3.0에서 사용할 수 있는 Java 2 Plug-in V1.3.0를 포함하는 software를 요구한다. J2RE는 Java 2 Runtime Environment 설치를 언급하는 CES의 Windows Platform에서 자동으로 download 받을 수 있다. Windows와 Solaris를 위한 J2RE 설치 파일은 Nortel Networks CD의 tools/java 폴더에서 사용이 가능하다. • Internet Explorer 이상과 Netscape Navigator/Communicator 4이상을 포함하는 browser를 포함한다. Netscape 6은 지원되지 않는 Java 2 Plug-in을 사용하기 때문에, 만약 Netscape 6을 사용하고자 한다면, J2RE 설치의 Netscape 항목을 참조해야 한다. Java 2 software 설치 Contivity Stateful Firewall Manager에 접속하기 위해서 computer는 Java 2 Runtime 환경이 설치되어야 한다. 1. CES의 관리 IP 주소로 연결하고 접속한다. 2. Service -> Firewall 화면으로 간다. 3. Manage Policies 버튼을 click한다. Popup 창이 나타나면, Contivity Stateful Firewall Manager를 load 한다.

3. 4. Security Warning 대화 창이 나타날 때, Java 2 Runtime Environment를 설치하기 위해서 “Yes”를 click한다. 스위치로 부터 소프트웨어를 다운로드 받아 서 프로그램을 설치할수도 있습니다 이것은 여러분들이 스위치에 연결된 속도에 의해서 몇분정도 걸릴수 도 있습니다 5. 프로그램을 설치할때 소프트웨어 라이센스 에동의하겠습니까 라는 문구가 나타날때 YES를 클릭하여 동의함을 표시합니다 6. 프로그램을 설치할때 설치할 위치를 물어 보는데 Default 위치로 하거나 다른 위치로 선택해도 됩니다 7. NEXT를 클릭하여 설치를 마칩니다 8. 설치가 끝났을때 열려있는 모든 웹 브라우저는 닫힙니다 9. 프로그램이 제대로 실행되기 위해 컴퓨터를 재 부팅 합니다

4. Using Netscape Netscape Navigator 로부터 Windows9.x ,Windows 2000 또는 Windows NT 에 기반하여 Java 2 소프트웨어는 설치됩니다 1. 스위치에 management I P 주소로 접속을 하고 로그인을 합니다 2. Service 항목에서 Firewall 로 이동합니다 Service -> Firewall 3. Manage Policies 버튼을 클릭합니다 팝업 윈도우 창이 나타나고 Contivity Stateful Firewall Manager 에 접속시도를합니다 플러그 인이 로드가 되지 않았다면 다이얼로그 창이 나타납니다( 만약 다이얼 로그가 나타나지 안았다면 팝업 윈도우 브라우저에 나타난 하얗고 회색인 긴 박스를 클릭 합니다 ) 4. Get Plug-in 버튼을 클릭하면 Java 2 Runtime Enviroment 가 다운로드 됩니다 아래 그림은 Java Plugin 다운로드 화면을 나타낸 것입니다

5. 5. 링크된 Download now 클릭하면 Java Runtime Enviroment 윈도우 버전이 다음에 나타납니다 6. 파일을 저장할 위치를 물어보는 브라우저 프롬프트가 나타났을때 OK 버튼을 클릭하면 계속 됩니다 (이것은 여러분들스위치에 연결된 속도에의해서 몇분정도 걸릴수 도 있습니다 ) 7. 다운로드가 끝났을때 다운로드한 위치로 가서 Java Runtime Enviroment 아이콘을 더블 클릭합니다 8. 프로그램을 설치할때 소프트웨어 라이센스에 동의하겠습니까 라는 문구가 나타날때 YES 를 클릭하여 동의함을 표시합니다 9. 프로그램을 설치할때 설치할 위치를 물어보 는데 Default 위치로 하거나 다른 위치로 선택해도 됩니다 10. NEXT를 클릭하여 설치를 마칩니다 11. 설치가 끝났을때 열려있는 모든 웹 브라우저는 닫힙니다 12. 프로그램이 제대로 실행되기 위해 컴퓨터를 재 부팅 합니다 Using Netscape 6 Netscape 6 은 현재 Java 2 Plug-in 버전을 포함하고 있지만 지원되지는 않습니다 (version 1.3.01) Contivity Stateful Firewall Manager 를 성공적으로 로드하기위해서는 version 1.3.0 을 이용해야만 합니다 다음은 version 1.3.01 로 부터 version 1.3.0 으로 default Plug-in으로 바꾸는 단계입니다 1. Java 2 Runtime Environment 1.3.0 을 설치하고 앞에서 설명한것처럼 컴퓨터를 재시작 합니다 2. 시작>설정>제어판>Java Plug-in 로부터 Java Plug-in 등록정보를 load 합니다 3. 고급 항목을 클릭합니다 4. 리스트로 부터 JRE 1.3.0..을 선택합니다 7. 네스케이프의 모든 창을 닫습니다 5. 클릭하여 적용합니다 8. 네스케이프를 다시 시작합니다 교정된 플러그인을 사용합니다 6.윈도우를 닫습니다

6. Using Netscape on Solaris Solaris를 위한 Java 2 Runtime Enviroment 을 Nortel Networks CD 에서 이용하시면 됩니다 x86과 SPARC를 위해 설치화일과지침서를 보시면 됩니다 Netscape Navigator 로 부터 Solaris(OS 2.6.7,8) Java 2 소프트 웨어를 설치 합니다 1. 컴퓨터에 설치된 네스케이프 버전을 확인합니다 2. 만약 네스케이프의 다른 창들이 열려 있다면 모두 닫습니다 3. 노텔 네트웍 CD 에 의 디렉토리를 보면 tools/java/solaris 쪽으로 이동합니다 4. 인텔을 위한 x86 또는 SPARC를 위한 sparc 을 설치 기준에 맞추어 서브 디렉토리에서 선택합니다 5. Binary (.bin) 파일과 README 파일을 컴퓨터에 복사합니다 6. README 파일에 포함된 명확한 설치 지침 플렛폼을 따릅니다 7. NPX_PLUGIN_PATH 환경은 javaplugin 에 포함된 디렉토리에 따라서 변하기 쉽습니다 예를 들면 만약 usr/j2re1.3 디렉토리에 J2RE 가 설치되면 C Shell 에서 명령어 설정은 NPX_PLUGIN_PATH 입니다 SPARC 플랫폼에 있는 “/usr/j2re1.3/plugin/sparc C shell 로 부터 setenv NPX_PLUGIN_PATH 이며 x86 플랫폼에 “usr/j2re1.3/plugin/i386 입니다 8.네스케이프를 시작하고 닫습니다 9.네스케이프를 다시 시작하고 플러그 인을 이용합니다

7. 초기 구성 Contivity VPN Switch 에 있는 Firewall을 이용시에는 여러분들은 Firewall 서비스를 활성화 시켜야만 합니다 Firewall 을 활성화 시키지 않고서는 터널 인터페이스 에 있는 트레릭 을 다룰수가 없습니다 Firewall이 활성화 되었을때 물리적 인터페이스들과 터널 인터페이스 사이에 IP 트레픽 을 다룰수가 있습니다 여러분들은 허용이 정의된 터널의 트레픽이 존재하기 전에 터널 트레픽을 위해 새로운 규칙을 만들어야만 합니다 Contivity Stateful Firewall의 이용 원리는 특별히 허용이 된 트레픽만 허용이되고 그외에는 허용이 되지 않습니다 모든 트렉픽이 적용이 되도록 규칙을 설정하여 정책을 세웠다면 터널이 형성된것과 터널이 형성이 되지않은 트레픽까지도 적용이 됩니다 그러므로 Contivity Stateful Firewall이 처음으로 활성화 되었을때 여러분들이 트레픽 타입을 특별히 허용되게 규칙을 구성하기 전까지는 모든 트레픽들은 허용이 되지 않습니다 다음에 오는 단계에 따라서 Firewall 이용을 시작합니다 1.화면에서 System->LAN 로 이동합니다 설명된 한 단어를 엔터 치고 구성항목을 클릭하여 각각의 인터페이스를 설정합니다 보안 정책 규칙 인터페이스에 여러분들이 사용코자 하는 이름을 적습니다 현재 물리적인 LAN 인터페이스 포트에 여러분들이 사용하고자 하는 IP를 입력시킵니다 슬롯 N 인터페이스 N 은 옵션으로 LAN 카드를 슬롯 N 인터페이스 N 에 확장하실수 있습니다 예를 들면

8. 2.Service->Firewall/NAT 화면으로 이동합니다 3.Contiity Firewall,Contivity Stateful Firewall,NAT 그리고Anti-spoofing 박스에 체크를 합니다 4.OK 버튼을 클릭합니다 만약 화면에서 재부팅하겠냐는물음이 나오는지 확인합니다 5.Later 버튼 을 클릭합니다 6.Service->Firewall/NAT 화면으로 되돌아갑니다 7.Contivity Firewall Edit 버튼을 클릭합니다 만약 여러분들이 재부팅을 원한다면 재부팅 하겠냐는 메시지가 다시 화면에 나옵니다 8. OK 버튼을 클릭합니다 여러분들은 Switch를 재부팅해야만합니다 다음 화면에서 확실하게 Switch를 재부팅 해야만 합니다 9.Switch 가 재부팅 된후 Service->Firewall/NAT 화면으로 되돌아갑니다

9. 10.Manage Policies 을 클릭하여 Contivity Stateful Firewall Manager 애플릿 을 로드 합니다 첫번째 여러분들은 워크스테이션에서 해야하고 자바 애플릿을 로드하는것을 필요로 할것입니다 여러분들은 “Retrieving policies”메시지를 볼것입니다 11.단지 읽기로 시스템 디펄트 정책으로 선택합니다 12. View 버튼을 클릭하여 정책을 다시 봅니다 implied 와 post-implied 규칙은 모든 새로운 정책을 포함합니다 13.Contivity Stateful Firewall Manager를 Manager->Exit 버튼을 클릭하여 나갑니다 여러분들은 Contivity Stateful Firewall Manager 애플릿과 Service->Firewall/NAT 화면 사이에 있는 윈도우 브라우저를 토글합니다 만약 여러분들이 브라우저에서 Switch의 다른 설정들을 바꾸려고 한다면 Contivity Stateful Firewall Manager 애플릿을 실행해야하며 변경된것들은 현재 Contivity Stateful Firewall Manager 에서는 나타나지 않습니다 정책리스트와 다른 Switch 설정을 refresh 하려면Contivity Stateful Firewall Manager 애플릿에 있는 아이콘을 클릭합니다 Contivity Stateful Firewall Manager 애플릿에서 어떤것을 바꾸고자 한다면 정책을 저장하지않는 이상 Service->Firewall/NAT 화면에서 변경되지 않습니다 14. Contivity Stateful Firewall Manager 애플릿을 빠져 나간후 Service->Firewall/NAT 화면에서 Refresh 버튼을 클릭합니다 여러분들은 Contivity Stateful Firewall Manager 애플릿이나 Servicw->Firewall/NAT 화면에서 정책을 적용시킬수 있습니다 여러분들이 만든 새로운 정책들은 Firewall 에 자동으로 적용되지 않습니다 하나의 정책은 한번만 Firewall 에서 효과를 볼수있습니다

10. Contivity Firewall options • 다음의 옵션들은 이벤트 로고에 기록된 세부적인 것에 의해 제어할수 있습니다 이 옵션들은 • 시스템 로고에 적용되지 않습니다 • All- 트래픽,Policy Manager, Firewall,그리고 NAT를 포함 합니다 • Traffic- 새로 만들거나 지울때 생긴 로고들 입니다 • Policy Manager- 규칙과 정책을 새로 만들었을때 firewall processes 의 로고들 입니다 • Firewall- firewall 쓰는중 패킷들 사이에 발생된 로고들입니다 • NAT-NAT 관련된 이벤트들의 로고입니다 • Debug –Nortel Networks customer support 에 의한 이용을 위해 특별한 로고 메시지 입니다 • 여러분들은 또한 최대 접속수를 위한 메모리 확보를 할수 있으며 접속수를 선택할수 있습니다 • Firewall 트래픽을 위해 여러분의 시스템에 최적의 메모리를 확보 할수 있습니다 어떠한 형태의 접속 수 이더라도 최대 접속수에못 미칩니다 제안된 수의 범위는 접속수 박스 아래에 있습니다 그 범위의 여러가지 표시는 모델과 스위치의 할당된 메모리에달려 있습니다 • 각각의 IPSec 터널들은 두 접속을 요구합니다 IPSec 터널의 최소 수의 범위수에 • 최소 접속수의 설정은 여러분들의 스위치에서운영할수 있고 다른 Firewall 프로세서에서 • 최대 크기의 유동 메모리를 이용 할수 있습니다 Setting up policies on the firewall 두가지 주요한 요소의 Firewall 서비스 구성들: 서비스 특성과 보안정책 서비스 이름에 포함되어 제공된 서비스가 무엇인지 알수있는 특성이 있습니다 서버 리스트에 있는 프로토콜(TCP,UDP,ICMP) 와 포트 수 (또는 범위)

11. 규칙 설정의 보안정책 구성은 트래픽의 허용또는 거부에 정해 집니다 보다더 복잡한 보안 정책을 필요로 하고 표준 정책이 충분하지 않았을때 여러분들은 관례적인 정책을 세울수가 있습니다 • 미리 주문되어 만들어진 여러분들의 정책은 앞으로 내부 네트웍의 • 트래픽 허용을 보다 세련되게 컨트롤 할수 있습니다 • 표준 Firewall 정책을 이용하는것은 대부분 일반적인 정책으로 나타납니다 여러분들은 다음에 • 오는 것들을 하나씩 이용하거나 하나의 규칙을 통합해서 이용하셔도 됩니다 • 만약 열거된 인터페이스(소스 인터페이스 규칙) 에 트래픽이 도착했다면 접근을 허용할수 • 있습니다 • 만약 열거된 인터페이스( 데스티네이션 인터페이스 규칙) 의 firewall 부터의 트래픽 이 있다면 • 접근을 허용할수있습니다 • 만약 호스트또는 그룹 호스트 로 부터의 트래픽이 있다면 접근을 허용할수 있습니다 • 만약 호스트 또는 그룹 호스트로 가려는 트래픽이 있다면 접근을 허용할수 있습니다 • 열거된 트래픽이 있다면 접근을 허용할수 있습니다 • 만약 그전에 실행되어진것에 변경할것이 있다면 접근을 거부하거나 접근을 거부하고 패킷을 • 버리고 보냅니다 • 열거된 보안정책은 규칙 설정을 정의합니다 정의된 규칙들은 소스,데스티네이션과 서비스에 • 근거하여 받아들이거나 버립니다 • 터널이 형성되어 허용이 되는 트래픽이 존재하기 이전에 터널트래픽을 위해 규칙을 • 새로 만들어야 합니다 Contivity Stateful Firewall의 이용 원리는 특별히 허용이 된 트레픽만 • 허용이되고 그외에는 허용이 되지 않습니다 • 모든 트렉픽이 적용이 되도록 규칙을 설정하여 정책을 세웠다면 터널이 형성된것과 • 터널이 형성이 되지않은 트레픽까지도 적용이 됩니다 • 그러므로 Contivity Stateful Firewall이 처음으로 활성화 되었을때 여러분들이 트레픽 타입을 • 특별히 허용되게 규칙을 구성하기 전까지는 모든 트레픽들은 허용이 되지 않습니다

12. Creating and editing firewall policies • 접근 제어 파라미터는 그래픽 유저 인터페이스나 커맨드 라인 인터페이스(CLI) 를 통한 • 도구 입니다 여러분들은 각각의 인터페이스를 이용하여 다음에 오는것을 구성할수 있습니다 • Network objects • Service objects • Rules • 여러분들이 CLI를 이용하기 위한 명령어 리스트는 5장에 “Command Line Interface”를 보시면 됩니다 • 보안 정책은 서비스가 운영되어지는 규칙의 설정을 보기 위해서 요구되어집니다 • Service object 이용은 서비스 정책을 위해 여러분들은 모든 규칙의 필드를 열거 할수 있습니다 • 각 규칙은 Network object Service,action 그리고 장비에 로긴을 통합하여 구성할수 있습니다 • Navigating rules • Firewall 정책은 화면에서 정책의 규칙을 추가하고 지우고 수정할수 있습니다 • 이 화면은 다음에 따르는 그룹의 규칙을 나눌수 있습니다 • Implied rules • Override rules • Interface-specific rules • Default rules • Post-implied rules • 규칙들은 다음 형식에 의해 나누어 집니다

13. Implied rule은 firewall 에 의해 처음으로 process 되어집니다 • 이러한 규칙들은 터널이 종결되거나 메니지먼트 인터페이스에 접근을 허용합니다 • Service->Available 화면에서 설정하시면 됩니다 • Override rule은 정책에 열거된 규칙들을 처음으로 설정합니다 이 규칙들은 여러분들이 • 정책에서 남은 규칙을 무시하거나 가능한한 짧은 시기에 문제를 디버그 해주는것을 빠르게 해줍니다 • 이런 규칙들은 소스또는 데스티네이션 인터페이스 열에 열거된것을 열거 하지 않습니다 • 여러분들은 인터페이스 그룹으로 부터 선택을 해야합니다 (Any,Trusted,Untrusted,Tunnel:Any) • Interface-specific 규칙은 어느 하나의 열거된 인터페이스(physical or tunnel)를 통해 • 스위치에 들어오거나 나가는 패킷을 적용시키는 규칙입니다 interface-specific 장은 • 두가지 형식으로 나누어 집니다 : source rules 과 destination rules • Source rules 은 소스 인터페이스 선택을 정의하는 규칙들이고 destination rules 은 • 데스티네이션 인터페이스 선택을 정의하는규칙들입니다 • 인터페이스 명칭들은 명칭들과 조화를 이룹니다 여러분들은 스위치에서 • System->LAN 이나 System->WAN 에서 구성할수 있습니다 이 화면에서 여러분들은 • private 또는 public 인터페이스를 열거 할수 있습니다 터널을 위한 인터페이스는 • 여러분들이 터널 유저를 위한 그룹이름이거나 지사 터널을 위한 지사 터널을 열거 할수 있습니다 • Default rule 은 인터페이스에 열거된 규칙을 찾지 못하기 때문에 모든 패킷을 적용시킵니다 • 이러한 규칙들은 열거된 소스 또는 데스티네이션 인터페이스 열과 인터페이스 그룹을 • 이용하는 것을 열거 하지 않습니다 (Any,Trusted,Untrusted,Tunnel:Any) • Post-implied rule 은 RSVP.ICMP,LDAP그리고 RADIUS 접근과 트러스트된 인터페이스의 • 라우팅 프로토콜 접근을 허용합니다 • 여러분들은 이런 규칙을 구성할수 없고 이전의 규칙에 의해 운영할수없도록 • 마지막 post implied rule 은 모든 트래픽을 떨어뜨립니다 그룹에서 세개의 규칙중에 하나의 열거된 • 규칙에 의한 이러한 규칙들은 여러분들이 무시할수 있습니다 • (override,interface-specific,or default)

14. Implied rules Implied(Figure 1) rules 은 시스템에 정의된 규칙입니다 여러분들은 Contivity Stateful Firewall Manager 에서 수정 할 수가 없습니다 이 규칙들은 읽기- 쓰기 로 되어 있어서 부분적인 규칙들을 수정할수 없습니다 스위치에 Service->Available 로 부터 이용할 수 있습니다 이장은 단지 효과를 나타내기 위함입니다 Figure 1 implied rules

15. Override rules Override rule(Figure 2) 에 열거된 규칙들은 열거된 정책들의 첫번째 규칙들의 설정입니다 이 규칙들은 여러분들이 정책에서 남은 규칙을 무시하거나 가능한한 짧은 시기에 문제를 디버그 해주는것을 빠르게 해줍니다 이런 규칙들은 소스또는 데스티네이션 인터페이스 열에 열거된것을 열거 하지 않습니다 여러분들은 인터페이스 그룹으로 부터 선택을 해야 합니다 (Any,Trusted,Untrusted,Tunnel:Any) Figure 2 override rules Interface-specific rules Interface-specific rules은 하나의 열거된 인터페이스(physical or tunnel) 규칙에 적용됩니다 Interface-specific rules 섹션(Figure 3)은 표시된 인터페이스 규칙을 선택할수 있게끔 선택 박스를 가지고 있습니다 Interface-specific rule 섹션은 한번에 인터페이스 하나만 표시됩니다 모든 Interface-specific rule 를 보기 위해서는 모든 인터페이스를 선택해야 합니다 이 화면의 열에서는 소스와 데스티네이션 규칙을 나타냅니다

16. Figure 3 Interface-specific rules 선택 박스 표시로 부터 선택된 인터페이스의 규칙들은 선택되어진 인터페이스에 적용됩니다 만약 여러분들이 주 선택 박스로 부터 Branch Office Tunnel 또는 유저 Tunnel 을 선택한다면 branch office tunnel 또는 유저 그룹 이 포함된것이 다음 새로운 선택 박스에 나오게 됩니다 만약 여러분들이 물리적인 tunnel 을 선택한다면 나타나지 않습니다 Interface specific 섹션은 또한 source rule 과 destination rule 두가지 형식으로 나누어 집니다 Source rules 은 소스 인터페이스 선택을 정의하는 규칙들이고 destination rules 은 데스티네이션 인터페이스 선택을 정의하는 규칙들입니다 여러분들은 Source Rules 또는 Destination Rules 의 라디오 버튼을 클릭하므로써 특별한 인터페이스를 위한 두가지 형식의 규칙들사이에서 토글할수 있습니다 여러분들이 Interface specific 섹션 의 규칙을 추가할때 그 규칙은 현재 보고있는 같은 형식으로 새로 만들어 집니다 만약 여러분들이 source rule(Figure 4) 과 화면으로 부터 새로 추가된 규칙을 본다면 그것은 source rule 입니다 Source rule 에 있는 source interface field 는 현재 interface 로 단지 읽기로 설정 할수 있습니다 Destination interface field 는 어떤 물리적인 interface,tunnel 또는 인터페이스 그룹을 포함할수 있습니다

17. 만약 여러분들이 destination rules(Figure 5) 과 그 화면으로 부터 새로 추가된 규칙을 본다면 그것은 destination rule 입니다 Destination rule 에 destination interface field는 현재 interface 에서 단지 읽는것으로 설정할수 있습니다 Source interface field는 interface 그룹(Any,Trusted,Untrusted,Tunnel:Any)을 포함 합니다 Figure 4 Source interface rules Figure 5 Destination interface rules

18. Default rules Default rule (Figure 6) 는 interface-specific rules 의 설정에서 발견되지않은 규칙들을 위해 모든 패킷을 적용시키는 규칙입니다 이러한 규칙들은 열거된 소스 또는 데스티네이션 인터페이스 열과 인터페이스 그룹을 이용하는 것을 열거 하지 않습니다 (Any,Trusted,Untrusted,Tunnel:Any) Figure 6 Default rules Post-implied rules Post-implied (Figure 1) rules 은 시스템에 정의된 규칙입니다 여러분들은 Contivity Stateful Firewall Manager 를 이용하여 수정할수가 없습니다 이 규칙은 단지 읽을수만있고 규칙의 한부분을 수정할수 없습니다 스위치에 Services->Available 화면으로 부터 일반적인 설정을 하실수 있습니다 이 섹션은 단지 효과를 표시 한 것입니다 Figure 7 Post-implied rules

19. Performing action on rules 여러분들은 옵션에서 마우스 오른쪽 을 클릭하여 접근하므로써 메뉴를 제어하여 규칙을 실행할수 있습니다 규칙의 다른 면에서 메뉴 각각을 제어 할수 있습니다 Header row menu Header row menu (Figure 8) 에서 올라온 header cell 의 어떤 곳을 마우스 오른쪽 버튼으로 클릭합니다 이 메뉴는 새로운 규칙을 추가할수 있는것을 포함합니다 메뉴의 아이템은 리스트 맨위에서 새로운 규칙을 추가할수 있도록 해줍니다 새로운 규칙은 한곳에 위치하고 한가지가 증가함에 따라 규칙 모두가 생깁니다 Figure 8 Header row menu Row menu Row menu (Figure 9) 는 활성화된 몇 개의 row field 를 마우스 오른쪽 버튼을 클릭하면됩니다 이 메뉴는 특별한 위치에 새로운 규칙을 추가하고,열거된 규칙을 지울수 있고, 규칙에서 cut/copy/paste 을 실행할수 있습니다

20. Cell menu Cell menu (Figure 10) 는 여러분들이 각각의 cell 에 오른쪽 버튼을 클릭했을때 열거된 각각의 cell 과 그것들의 트리거를 보여줍니다 cell 메뉴에는 option menu 와 procedure menu 의 두가지 형식이 있습니다 option menu는 가능한한 cell 값의 리스트를 미리 준비 합니다 이 메뉴는 drop-down 리스트 박스와 비슷합니다 여러분들이 이 아이템중 하나를 클릭 했을때 Cell 을 선택할수 있는 것을 표시합니다 Figure 10 Cell memu (option) Procedure menu (Figure 11) 은 여러분들이 cell 에서 추가하고 편집할수 있도록 운영 리스트를 제공합니다 여러분들이 아이템 중에 하나를 클릭했을때 바로 실행할수 있거나 ( 이를테면 Copy) 부가적으로 다이얼 로그 박스에 나타납니다 여러분들은 보다 정보를 고취할수있습니다(이를테면 add ) Figure 11 Cell menu (procedure)

21. Rule columns Firewall 정책에서 각 규칙은 column header 에서 열거된 같은것이라고 생각됩니다 Src Interface 와 Dst Interface columns을 제외한 column 모두는 세개의 섹션과 같습니다 두개의 columns 이 서로다른것은 규칙이 어디에 나타나든지 섹션에 달려있습니다 다음 섹션은 firewall 규칙에서 columns 설명한것입니다 # 섹션에서 규칙의 순서는 column 에 열거 됩니다 명령은 규칙이 있는곳의 섹션에서 적용되고 전체 정책을 가로 지르는것을 의미 하지는 않습니다 만약 여러분들이 규칙에 로고가 있다면 이 수치(#)는 로고 정보를 포함합니다 Src interface and Dst interface • 이 columns 은 규칙을 위해 source 와 destination interface 를 열거 합니다 cell 에서 오른쪽을 클릭하면 가능한한 인터페이스에 • 포함된 옵션들이 나타납니다 특별한 column 에 나타난 firewall 정책의 섹션은 이 옵션 메뉴에 나타난것에 달려있습니다 • Override 와 Default rules 을 위해 인터페이스는 그룹 인터페이스로 나눕니다 • 이 그룹을 나누는것은 : • Any- 어떤 물리적인 인터페이스 또는 터널 • Trusted- 어떤 사설 물리적인 인터페이스 또는 터널 • Tunnel:Any- 어떤 터널 , 어떤 물리적인 인터페이스를 차단 합니다 • Figure 12 는 column 규칙의 예를 보여줍니다 • Figure 12 Rule column

22. Interface-specific rules 를 위해 여러분들은 인터페이스를 각 그룹으로 나누거나 인터페이스를 나누는것을 열거할수 있습니다 Fihure 13 은 interface-specific rules 을 위한 column 의 규칙을 보여줍니다 Figure 13 Rule column for interface-specific rules User tunnel (Figure 14) 또는 branch office (Figure 15) 에 있는 메뉴 아이템을 클릭하면 다이얼 로그 박스 가 나타납니다 이 다이얼 로그 박스는 여러분들이 specific tunnel (branch office 또는 user tunnel)을 선택할수 있도록 해줍니다 Figure 14 Tunnel dialog box for a user tunnel

23. Figure 15 Tunnel Selection dialog box for a branch office tunnel Source and Destination 이 columns 은 규칙을 위한 source 와 destination 주소를 열거한 것입니다 여러분들은 셀에 있는 column 에서 오른쪽을 클릭하므로써 수정 할수 있으며 메뉴 에서 진행상황을 알수 있습니다 Network Object Seletion 다이얼로그 박스 (Figure 16) 에서 클릭하여 추가 할수 있습니다 다이얼 로그 박스에서 여러분들은 새로운 network object 를 정의하고 적용시킬수 있습니다 여러분들은 다음에 오는 새로운 network object 를 만들수 있습니다 : host,network,IP range,and group

24. Figure 16 Network Object Selection dialog box 리스트에서 이탤릭체로 되어있는 object 는 읽기만 할수있고 수정할수 없습니다 다이얼로그 박스에 있는 New,Edit,Delete 버튼은 network object 를 새로 만들거나 편집하고 지울수 있습니다 Network Object Edit 다이얼로그 박스(Figure 17) 는 클릭하여 편집할수 있습니다 이 다이얼 로그 박스는 network object 를 선택하여 수정할수 있습니다 Figure 17 network object edit dialog box Delete 를 클릭하면 network object 를 지울수 있습니다 만약 object 에서 여러분들이 마지막 object 를 지우기를 원한다면 object 는 Default 값으로 돌아갑니다 현재 network object 에서 Copy,Cut,Paste를 클릭하여 실행할수 있습니다

25. Service 선택된 규칙에 의해 운영중인 서비스는 column 에 열거됩니다 Cell 메뉴에서 오른쪽을 클릭하면 표준 메뉴가 실행 됩니다 (add 또는 edit) 다이얼 로그 박스 (Figure 18) Service Object 를 선택해서 Add 를 클릭하여 새로운 service object 를 정의하고 적용할수 있습니다 여러분들은 다음에 오는것들을 service object 에서 새로 만들수 있습니다 : tcp,udp, icmp,ip protocol, 그리고 object group ( object 들의모음) Figure 18 Service Object Seletion box 리스트에 있는 이탤릭 object 읽을수 있고 수정할수 없습니다 다이얼 로그 박스에서 여러분들은 New,Edit그리고 Delete network object 에서 새로만들고 편집하고 지울수 있습니다 Edit 버튼을 클릭하면 Service Object Edit 다이얼로그 박스(Figure 19)가 나타납니다 이 다이얼 로그 박스는 service object를 선택을 위해 수정할수가 있습니다 Figure 19 tcp object insert dialog box

26. Cell 로 부터 service object 를 선택하여 Delete 버튼을 클릭하여 지울수 있습니다 만약 cell 에서 마지막 object 를 지웠다면 그 cell 은 default 값으로 돌아갑니다 (이런경우엔 Any) 현재 service object 에서 Copy,Cut 또는 Paste 를 클릭하여 실행할수 있습니다 Action Column(Figure 20) 에 열거된 기능은 규칙이 활성화 되었을때 나타납니다 Cell 에서 오른쪽을 클릭하면 세가지 아이템에 포함된 리스트 옵션이나타납니다 :Accept,Drop 그리고 Reject cell 에서 선택된 상태에서 아이템을 클릭한것중에 하나를 설정합니다 Figure 20 Action column options Log 로고 column(Figure 21) 은 이 규칙을 위해 로깅하는 레벨을 열거한것입니다 Cell 에서 오른쪽을 클릭하면 다음에 따르는 로깅 레벨 리스트 옵션이 생성됩니다 : None,Brief, Detail, 그리고 Trap Figure 21 Log column options

27. Status Column (Figure 22) 은 특별한 규칙의 상태를 열거한것입니다 Enable 또는 Disable 상태로 만들수 있습니다 Figure 22 Status column options Remark Column 은 특별한 규칙을 감지하여 덧붙입니다 여러분들이 Remark 에서 오른쪽을 클릭했을때 다이얼 로그 박스에 나타난 Remark 를 선택하여 추가하거나 편집할수 있고 어디서든지 여러분들이 형식을 설명할수있습니다 Creating policies (Figure 23) 에 나타난 Firewall-Select Policy 화면은 여러분이 firewall 정책을 새로만들고,편집하고,지우고,복사하고,이름을 다시 쓸수 있습니다 뚜렷이 나타난 정책은 현재 Contivity VPN Switch 에 적용되고 이탤릭체로 나타난것은 단지 정책을 읽을수만 있습니다 시스템에 Default 정책은 항상 리스트에 있습니다 단지 firewall 에서 읽을수 있도록만 정의한것은 정의된정책에 유저가 없는것이 적용되었을때나 선택된 정책이 이용되지 않았을때 입니다 (예를들어 만약 LDAP을 이용 하지 않는다면 ) Figure 23 Firewall-Select Policy screen

28. 여러분들은 정책을 위해 규칙을 추가,수정하거나 지울수 있습니다 화면에서는 세셕이 나누어진 • 그룹규칙을 나타냅니다 만약 여러분들이 새 버전으로 업그레이드를 하신다면 현재 구성을 새로운 • 버전에 복사합니다 만약 여러분들이 이전 버전을 업그레이드하거나 다운그레이드 하면 구성화일 • 과 LDAP 데이터 베이스는 저장하고 복구시킵니다 • Adding a policy • 새로운 정책 추가하기: • 1.New 버튼을 클릭합니다 다이얼로그 박스에 나타난 새로운 정책과 프롬프트에 새로운정책의 • 이름을 씁니다 2. 정책 이름을 적어 놓습니다 그 이름은 + = ] ,; “이런 기호가 포함된 문자는 쓰면 안됩니다 3. Policy Edit 화면으로가서 OK 를 클릭합니다 firewall 정책을 빈공란으로 나누거나 Cancel 클릭하면 정책 선택화면으로 돌아갑니다 여러분들의 새로운 정책을 위한 규칙 설정은 “Navigating rules”에 적용됩니다 Deleting existing policy 여러분들은 단지 읽을수 있는 정책이나 현재 스위치에 적용된 정책을 지울수 없습니다 만약 여러분들이 정책중에하나를 선택한다면 Delete 버튼은 활성화 되어 있지 않습니다 정책이 존재할때 지움: 1.여러분들이 지우고자 하는 정책을 선택하고 Delete 버튼을 클릭합니다 정책을 확실히 지우는것 은 다이얼 로그 박스에 나타 납니다

29. 2. 선택된 정책을 지우기위해 OK 를 클릭합니다 Copy an existing policy Firewall 정책을 복사 1.복사를 원하는 정책을 선택합니다 2. 다이얼 로그 박스가 나타나면 Copy 버튼을 클릭합니다 • 3. 복사하려는 정책을 위한 이름을 씁니다 • 4. OK 를 클릭합니다 • 새로운 정책은 firewall 정책 화면에 나타난 정책리스트에 나타납니다 복사한것에서 부터 같은 • 정책의 규칙은 이 정책을 포함합니다 • Renaming an existing policy • 여러분들은 단지 읽기만 되는 정책은 이름을 바꿀수없거나 그 정책을 스위치에 적용합니다 • 만약 여러분들이 단지 읽기만 되는 정책을 선택했다면 Rename 버튼은 활성화되지 않습니다 • 생성된 Firewall 정책에서 이름바꾸기는 • 1.여러분들이 바꾸고자 하는 이름의 정책을 선택합니다 • 2. 다이얼 로그 박스가 나타나면 Rename 버튼을 클릭합니다 3. 그 정책의 새로운 이름을 적습니다 4. OK 를 클릭합니다

30. Creating a new policy example 여러분들의 firewall 정책 을 다음에 오는 단계별로 구성을 하면 완벽합니다 1. 스위치에 로그인 합니다 Service->Firewall/NAT 를선택합니다 Firewall/NAT 화면이나타납니다 2. Contivity firewall 에서 Enable 라디오 버튼을 클릭하면 아래 구성이 나옵니다 3. Manager Policies 버튼을 클릭합니다 firewall 에서 정책을 선택하는 화면이 나옵니다

31. 4. New 버튼을 클릭하여 새로운 정책을 만듭니다 새로운 정책의 다이얼로그 박스가 나옵니다 5. 정책이름을 쓰고 OK 를 클릭합니다 이름은 + = ] ,;”이런 기호를 포함해서는 안됩니다 Firewall 에서 정책편집: 규칙이 정의되지 않은 <policyname> 의 화면이 나옵니다 이화면에서 여러분들은 정책을위한 규칙을 추가,지우고 수정할수 있습니다 • 6. 여러분들은 다음에서 그룹의 규칙을 선택할수 있습니다 • Implied rules( view only) • Ovrried rules • Interface-specific rules • Default rules • Post-implied rules(view only) • 7. Interface Specific Rules 텝을 선택합니다 • 8. Drop-down 리스트로 부터 인터페이스를 선택합니다

32. 9. Source Interface Rules 또는 Destination Interface Rules 을 선택합니다 10 . 적당한 cell 에서 오른쪽을 클릭하여 새로운 규칙을 추가합니다 11. 보다 더 규칙을 추가하려면 이같은 단계를 반복합니다 12 . Policy 를 선택하고 Save Policy 를 클릭하여 변경사항을 저장합니다 13. 정책을 저장시켰을때 Manage 메뉴로 가고 Manager 에서 Close를 클릭합니다 여러분들이 스위치의 firewall 이 동작하고 스위치의 라우팅을 이용할수 있으면 이러한 단계 표시는 완벽한 성공입니다

33. Verifying your configuration 여러분들이 firewall 에서의 구성 작업을 완벽히 끝냈을때 여러분들은 스위치의 라우팅 패턴을 체크합니다 여러분들은 firewall 의 알맞은 기능을 조회하고 다음에 오는 것을 이용하여 비슷한것을 진행할수 있습니다 1.여러분들은 테스트를 위해 허용된 트래픽 형식을 보고 보안 정책을 이용하여 firewall 을 만듭니다 (또는 테스트를 위해 모든 정책을 받아들이게 할수 있습니다) 2. Public에서 private 트래픽을 조회합니다 private host 에서 스위치의 public host 로 부터 FTP 작업을 수행합니다 3. Private에서 public 트래픽을 조회합니다 public host 에서 스위치의 private host 로부터 FTP 작업을 수행합니다 4. Tunnel에서 내부의 네트웍 트래픽을 조회합니다 로컬 스위치에서 원격지 Contivity VPN Switch 시스템에 접속합니다 클라이언트로 부터 내부의 네트웍 웹 페이지에 접근합니다 5. Tunnel 에서 인터넷 트래픽을 조회합니다 스위치에서 원격지 Contivity VPN Switch 시스템 에 접속합니다 클라이언트로 부터 인터넷 웹 페이지에 접근합니다