데이터시트

데이터시트

---

Cisco IOS SSL VPN

---

SSL 기반 원격 액세스 VPN 솔루션

제품 개요

Cisco IOS® SSL VPN은 통합 데이터, 음성 및 무선 플랫폼에서 업계 최고의 보안 및 라우팅 기능을 통합하는 SSL(Secure Socket Layer) VPN 원격 액세스 연결을 제공하는 최초의 라우터 기반 솔루션입니다. SSL VPN은 최종 사용자에게 투명한 보안을 제공하며 IT 관리가 용이한 강력한 솔루션입니다. 웹 브라우저만을 사용하여 가정용 컴퓨터, 인터넷 키오스크 및 무선 핫스팟과 같은 모든 인터넷 지원 위치로 기업의 보안 엔터프라이즈 네트워크를 확장할 수 있습니다. 그러므로 직원 생산을 향상시키고 회사 데이터를 보호하면서도 파트너와 컨설턴트에게 네트워크 액세스를 허용할 수 있습니다.

Cisco IOS SSL VPN은 클라이언트 없는 액세스 및 전체 네트워크 액세스 SSL VPN 기능을 모두 지원합니다. 클라이언트 없는 액세스는 웹 브라우저를 사용하여 HTML 기반 인트라넷 컨텐츠, 전자메일, 네트워크 파일 공유, Citrix 등과 같은 애플리케이션에 연결합니다. Java 기반 애플리케이션 도우미는 웹을 지원하지 않는 추가 TCP 기반 애플리케이션을 지원합니다. 또한 Cisco IOS SSL VPN은 Cisco SSL VPN Client를 지원하므로 원격 위치에서 모든 가상 애플리케이션에 네트워크를 통해 동적으로 액세스할 수 있습니다. Cisco IOS SSL VPN의 일부분인 Cisco Secure Desktop은 향상된 엔드포인트 보안을 제공하며 쿠키, 브라우저 이력, 임시 파일 및 다운로드한 컨텐츠와 같은 데이터가 SSL VPN 세션 종료 후에 남아 있지 않도록 합니다. Cisco Router 및 SDM(Security Device Manager) 마법사를 사용하면 Cisco IOS SSL VPN을 쉽게 배포할 수 있습니다. 또한 Cisco SDM은 SSL VPN 세션을 실시간으로 모니터링하고 관리합니다.

Cisco IOS SSL VPN은 여러 장치와 관리 시스템이 필요한 타업체 제품과 달리 단일 박스 솔루션입니다. 통합 솔루션은 학습, 배포, 공급, 관리, 유지보수 등이 용이하며 보다 우수한 가용성을 제공합니다. 이 통합 솔루션을 사용하면 솔루션 수명 주기 동안 초기 경비 지출, 배포 비용 및 운영 비용을 절감할 수 있습니다. 또한 기존의 시스코 통합 서비스 라우터에서 기능 업그레이드 라이센스 및 소프트웨어 업그레이드를 통해 Cisco IOS SSL VPN을 지원하므로 투자를 보호할 수 있습니다(그림 1).

직원, 파트너 및 회사에서 관리하지 않는 PC에 대한 커스터마이즈된 애플리케이션 액세스

Cisco IOS SSL VPN은 클라이언트 없는 액세스 방식과 SSL 터널링 클라이언트 액세스 방식을 지원하므로 배포 환경에 따라 적절한 수준으로 애플리케이션에 액세스할 수 있습니다. Cisco IOS SSL VPN에서 클라이언트 없는 액세스를 사용하면 몇 가지 요구사항에 따라 기본 웹 브라우저에 연결하여 파일 공유와 같은 웹 서버나 리소스에 액세스하고 Microsoft Outlook Web Access를 통해 전자메일을 보낼 수 있습니다. 소형 Java 애플릿 다운로드로 실행되는 도우미 애플리케이션을 통해 추가 TCP 기반 애플리케이션을 액세스할 수 있습니다. 포트 포워딩 기능을 사용하면 로컬 컴퓨터의 포트에서 요청하는 데이터를 네트워크 측의 해당 애플리케이션 포트로 릴레이할 수 있으므로 사용자가 웹 브라우저에서 제공하는 것보다 더 많은 애플리케이션 및 네트워크 리소스에 액세스할 수 있습니다. 표 1은 Cisco IOS SSL VPN의 기능을 나타냅니다.

표 1. SSL VPN 클라이언트 없는 작동

기능	설명
웹 컨텐츠 변환	기업 네트워크의 웹 기반 서비스를 액세스하려는 사용자가 HTML 및 JavaScript 기반 인트라넷 컨텐츠에 액세스할 수 있도록 해줍니다.
클라이언트 없는 Citrix	Citrix 클라이언트가 원격 Citrix 서버에서 실행 중인 애플리케이션을 마치 로컬에서 실행하는 것과 같이 사용할 수 있도록 해줍니다.
Microsoft Outlook Web Access 2000 및 2003	중앙 위치에서 Microsoft Outlook Web Access for Microsoft Exchange 2000 및 2003의 웹 전자메일에 액세스할 수 있도록 해줍니다.
Windows 파일 공유-CIFS(Common Internet File System)	Windows 파일 서버에 액세스할 수 있도록 해줍니다.
SSL VPN 클라이언트	포괄적인 애플리케이션 지원을 제공하여 모든 가상 애플리케이션에서 투명한 "LAN과 같은" 사용자 경험을 지원합니다.
Java 기반 애플리케이션 도우미	전자메일, 인스턴트 메시징, Microsoft Outlook Calendar, 클라이언트 시작 TCP 기반 애플리케이션(예: 텔넷) 등과 같은 웹이 아닌 애플리케이션에 연결하여 클라이언트 없는 액세스를 보완합니다.

Citrix의 터미널 서버 지원

원격 연결 옵션을 극대화하면서도 비용을 최소화하기 위해 대다수 기업들은 터미널 서버 아키텍처를 통해 내부 컴퓨팅 리소스에 액세스할 수 있도록 애플리케이션을 중앙 집중식으로 관리 및 배포하고 있습니다. 따라서 강력한 원격 액세스 솔루션은 간단하고 사용이 용이하며 신뢰할 수 있는 프로토콜로 Citrix 배포를 지원하면서 시스템 기반의 로컬 애플리케이션 사용 경험을 제공해야 합니다. 일반 SSL 솔루션은 내부 터미널 서버 리소스에 액세스하려면 소프트웨어 클라이언트나 애플릿 다운로드(Java 또는 ActiveX)가 필요하므로 소프트웨어 충돌이나 브라우저 설정으로 인해 애플리케이션 초기화가 느려지고 액세스 문제가 발생할 수 있습니다. Cisco IOS SSL VPN은 추가 Java 기반 포트 포워딩 메커니즘을 사용하지 않고도 적절하게 클라이언트 없는 Citrix 지원을 제공하므로 브라우저나 보안 설정에 관계없이 빠르고 매우 안정적인 시스템 액세스를 제공합니다(표 2).

표 2. 클라이언트 없는 Citrix 지원을 통한 향상된 내부 네트워크 인프라 리소스 액세스

기능	설명
시스템 리소스 액세스	클라이언트 없는 액세스 기능은 부적절한 브라우저나 보안 설정으로 인해 클라이언트나 애플릿을 다운로드할 수 없을 경우 발생되는 잠재적인 문제를 줄여줍니다.
신속한 연결	애플리케이션이 즉각적으로 초기화되며 추가 소프트웨어 클라이언트나 애플릿 다운로드가 필요하지 않습니다.
고성능	로컬 애플리케이션 변환이 필요하지 않습니다.
매우 안정적인 지원	클라이언트 없는 액세스를 사용하면 클라이언트 소프트웨어가 관리되지 않는 시스템이나 익숙하지 않은 이미지와 충돌하지 않습니다.

시스코의 SSL VPN Client(표 3)는 중앙 구성으로 지원이 간편한 라이트웨이트 SSL VPN 터널링 클라이언트를 제공하여 모든 가상 애플리케이션에 액세스할 수 있도록 지원합니다. SSL VPN Client는 모든 SSL 사용 브라우저와 호환되며 ActiveX, Java, .exe 파일 중 하나를 이용하여 동적으로 사용할 수 있습니다.

표 3. Cisco SSL VPN Client : 네트워크 터널링 클라이언트를 통한 광범위한 애플리케이션 액세스

기능	설명
범용 애플리케이션 액세스	이 기능은 Cisco IP SoftPhone 액세스 및 VoIP(Voice-over-IP) 지원 등과 같은 모든 클라이언트 기능을 SSL을 통해 제공하여 원격 사용자의 생산성을 향상시킵니다.
간편한 다운로드 및 설치	• 동적 다운로드 및 다중 전달 방식을 사용하여 Java, ActiveX 또는 .exe를 통해 투명하게 다운로드 및 배포할 수 있습니다.• 작은 다운로드 크기로 신속한 전송이 보장됩니다.• 설치 후에 재부팅할 필요가 없습니다.
보안 향상	세션을 끝낼 때 클라이언트를 제거하거나 설치된 상태로 영구히 유지할 수 있습니다.
자동 원격 관리	중앙 집중식 구성으로 통합되므로 원격 클라이언트 측에서 관리할 필요가 없습니다.

참고: 지원되는 운영체제: Windows 2000 및 Windows XP

어드벤스드 엔드포인트 보안으로 데이터 도난 위험 최소화

보안 엔드포인트와 외부 엔드포인트로 네트워크를 확장함에 따라 네트워크 보안 공격 가능성이 높아지고 있습니다. 사용자가 네트워크에 액세스하는 위치가 관리형 기업 PC, 개인용 컴퓨터 또는 공용 터미널이든 간에 Cisco Secure Desktop은 SSL 세션의 데이터 유출을 최소화하려고 합니다. Cisco Secure Desktop 호스트 무결성 확인 기능은 사전 연결 상태 평가를 수행하여 액세스하려는 엔드포인트에 필요한 특정 바이러스 백신, 방화벽 및 운영체제 또는 서비스 팩 기능이 있는지 확인하고, 네트워크를 액세스하기 전에 설치된 특정 맬웨어를 검색합니다. 그런 다음 Cisco Secure Desktop은 장치에서 가상 "샌드박스"를 생성하여 세션 정보에 대한 보안 저장소를 만듭니다. 세션 중에 정보는 암호화되어 하드 드라이브의 Cisco Secure Desktop 파티션에 기록됩니다. 세션이 끝나면 미 국방부(Department of Defense) 위생 알고리즘을 사용하여 보안 저장소를 제거합니다. 캐시 파일, 기록, 쿠키, 파일 다운로드, 암호 등과 같은 세션 정보는 실시간으로 암호화되므로 데이터가 남아 있을 위험이 줄어듭니다. 이 기능은 시스코만이 제공하는 유일한 기능입니다. 즉, 대부분의 다른 캐시 정리 제품은 세션이 끝난 이후에 추적된 파일을 정리합니다. 또한, Cisco Secure Desktop의 자동 시간 제한 기능은 세션을 종료할 때 사용자가 능동적인 역할을 하는지 여부에 관계없이 세션 정보를 지웁니다. Cisco Secure Desktop은 게스트 권한으로 실행될 수도 있으며 웹 설정, 브라우저 유형 또는 시스템 권한에 관계없이 엔드포인트에서 어드벤스드 보안을 제공합니다. 표 4는 Cisco Secure Desktop의 기능을 나타냅니다.

표 4. Cisco Secure Desktop: 네트워크에서 엔드포인트까지 포괄적인 정보 보안

기능	설명
게스트 권한으로 사용 가능	원격 시스템에서 네트워크를 액세스하는 사용자는 모든 시스템의 관리자 권한을 확보하지 못할 수 있습니다. Cisco Secure Desktop은 게스트 권한으로 설치하더라도 모든 시스템에 전송 및 설치됩니다.
사전 연결 상태 평가	호스트 무결성 확인 검사는 네트워크 액세스를 허용하기 이전에 엔드포인트 시스템에서 바이러스 백신 소프트웨어, 개인 방화벽 소프트웨어 및 Windows 서비스 팩 유무를 검사합니다.
포괄적인 세션 보호	암호, 파일 다운로드 기록, 쿠키 및 캐시 파일을 포함하여 세션과 연관된 모든 데이터에 대한 추가 보호를 제공합니다. 모든 세션 데이터는 Cisco Secure Desktop의 보안 저장소에 암호화됩니다.
세션을 끝낼 때 데이터 정리	세션을 끝낼 때 보안 저장소의 데이터를 덮어씁니다.
키 입력 로거 감지	Cisco Secure Desktop은 세션을 시작할 때 특정 소프트웨어 기반의 키 입력 로깅 소프트웨어에 대한 초기 검사를 수행합니다. 세션 초기화 후에 변칙적인 프로그램이 보안 저장소 내에서 실행되면 의심스러운 활동을 중지하라는 메시지가 나타납니다.

기능 및 이점

• 어드벤스드 엔드포인트 보안 - Cisco Secure Desktop은 사전 연결 보안 상태 평가를 수행하며 SSL VPN 세션이 종료된 이후에 남아 있는 쿠키, 브라우저 기록, 임시 파일, 다운로드된 컨텐츠 등과 같은 데이터를 최소화합니다.
• SSL VPN에 대한 광범위한 애플리케이션 지원 - Cisco IOS SSL VPN 솔루션은 동적으로 다운로드된 SSL VPN 클라이언트를 통해 포괄적인 애플리케이션 지원을 제공하여 모든 가상 애플리케이션에 네트워크 레이어 연결을 지원합니다. 이 솔루션은 Citrix 애플리케이션 액세스를 위한 클라이언트 없는 지원을 적절하게 제공하므로 VPN 사용자는 표준 웹 브라우저를 통해 네트워크 리소스를 투명하고 저렴하게 확장할 수 있습니다. 엑스트라넷과 같은 제한된 애플리케이션 액세스 요구사항을 지닌 환경에서 클라이언트 없는 씬클라이언트 포트 포워딩 옵션을 배포할 수 있습니다.
• 포괄적인 배포 시나리오 범위 - SSL 및 IPsec는 고유한 사용자 액세스 요구사항을 해결하는 동시에 다양한 기업 사용자 기반의 요건을 충족하는 데 필수적인 보완 기술입니다. Cisco IOS Software는 IPsec와 SSL VPN을 모두 지원하므로 기업에서 다른 시나리오를 통해 네트워크에 액세스하는 사용자에게 가장 적합한 기술을 선택할 수 있도록 해줍니다. 이 소프트웨어는 단일 플랫폼에서 최대의 유연성과 애플리케이션 액세스를 모두 제공하므로 인프라를 개별적으로 배포하여 관리할 필요가 없습니다.
• 간편하고 저렴한 사용자 단위 가격 - 통합된 기술 플랫폼과 결합된 Cisco IOS SSL VPN의 간단한 라이센스 구조(특정 기능에 대한 부가 라이센스 없음)는 고객에게 대폭적인 비용 절감과 경쟁력 있는 사용자 단위 가격을 제공합니다.
• 자동 원격 엔드포인트 관리를 통한 배포 용이성 - 직관적인 웹 기반 Cisco SDM은 모든 원격 액세스 사용자를 구성 및 관리하는 간단한 인터페이스를 제공하므로 IPsec 환경과 SSL VPN 환경에서 쉽게 관리할 수 있습니다. 관리자는 그룹 기반 관리 기능을 사용하여 각 그룹에 대한 보안 정책과 인증 방법을 설계할 수 있습니다. 이 기능은 업무 용도 이외의 관리형 사용자 및 엔드포인트로 네트워크 리소스를 확장할 때 필수적인 기능입니다.

기능 가용성

표 5는 기능 가용성에 대한 정보를 제공합니다. 표 6은 Cisco IOS SSL VPN 솔루션의 추가 기능을 나타냅니다.

표 5. 기능 가용성

기능	플랫폼 지원	가용성	Cisco IOS Software 릴리스
Cisco IOS SSL VPN	Cisco 870, 1800, 2800, 3700, 3800, 7200 및 7301	2006년 3월 13일	12.4(6)T

참고: 지원되는 모든 플랫폼에는 추가 비용이 없는 사용자 2명용 무료 평가 라이센스가 포함되어 있습니다.

표 6. 추가 기능

기능	설명
확장성	플랫폼 종속: • Cisco 870, 2 사용자 • Cisco 1811, 10 사용자 • Cisco 1841 및 Cisco 2801, 25 사용자 • Cisco 2811 및 Cisco 2821, 50 사용자 • Cisco 2851, 75 사용자 • Cisco 3725 및 Cisco 3745, 75 사용자 • Cisco 3825 및 3845, 100 사용자 • Cisco 7200 및 Cisco 7301, 150 사용자
사용자 인증	• RADIUS 또는 인증, 권한 부여 및 계정 관리(AAA) 서버
엔드 시스템 무결성(Cisco Secure Desktop)	• 바이러스 백신 검사 • 개인 방화벽 검사 • 임시 및 다운로드한 파일/쿠키가 시스템에 남아 있는 위험을 최소화하려고 합니다.
브라우저 지원	• Netscape, Internet Explorer, Firefox 및 Mozilla
프로토콜	• SSL 3.0 및 3.1, TLS(Transparent LAN Service) 1.0 구성 및 관리
구성 및 관리	• 콘솔 CLI(Command-Line Interface), HTTP, HTTPS, 텔넷, SSH(Secure Shell) 프로토콜, 웹 기반 Cisco SDM
Syslog 지원	• 콘솔 디스플레이, 외부 서버 및 내부 버퍼
Cipher 제품군	• SSL_RSA_WITH_RC4_128_MD5 • SSL_RSA_WITH_RC4_128_SHA • SSL_RSA_WITH_DES_CSC_SHA • SSL_RSA_WITH_3DES_EDE_CBC_SHA
네트워크 액세스 제어	• IP 주소, DSCP/ToS(Differentiated Services Code Point/Type of Service ), TCP/UDP(User Datagram Protocol) 포트, 사용자 단위, 그룹 단위
가상화	• 여러 컨텍스트를 분할하는 기능(각 컨텍스트를 개별 정책과 구성을 갖춘 IOS SSL VPN 서비스로 완벽하고 논리적으로 표현)
가상 라우팅 및 포워딩(VRF)-인식	• VRF 매핑 • 단일 IP 모델(URL 기반 또는 로그인 이름 기반) • 다중 IP 모델 • VRF AAA 단위 서버 • VRF DNS(Domain Name System) 단위 서버 • VRF 단위 게이트웨이 • VRF별 사용자 수

주문 정보

주문 정보는 표 7을 참조하십시오.

표 7. 주문 정보

제품명	부품 번호
Feature License SSL VPN Up To 10 Users (Incremental)	FL-WEBVPN-10-K9
Feature License SSL VPN Up To 25 Users (Incremental)	FL-WEBVPN-25-K9
Feature License SSL VPN Up To 100 Users (Incremental)	FL-WEBVPN-100-K9
Feature License SSL VPN Up To 10 Users (Incremental)	FL-WEBVPN-10-K9=
Feature License SSL VPN Up To 25 Users (Incremental)	FL-WEBVPN-25-K9=
Feature License SSL VPN Up To 100 Users (Incremental)	FL-WEBVPN-100-K9=

참고: 번호가 "="으로 끝나는 부품은 예비 부품이며 다른 제품과 별도로 주문할 수 있습니다.
자세한 내용은 다음 웹 사이트를 방문하십시오.
http://www.cisco.com/en/US/products/ps6657/prod_bulletin0900aecd80501bb7.html

소프트웨어 다운로드

Cisco IOS Software를 다운로드하려면 시스코 소프트웨어 센터를 방문하십시오.

Cisco IOS Software Release 12.4(6)T Advanced Security Image 이상의 버전에는 Cisco IOS SSL VPN 기능 세트가 포함되어 있습니다. Cisco IOS SSL VPN에 대한 자세한 내용은 www.cisco.com/go/iossslvpn을 방문하거나 지역 고객 담당자에게 문의 또는 ask-stg-ios-pm@cisco.com으로 전자메일을 보내주십시오.