ASA 8.x DAP(Dynamic Access Policies) 구축 설명서

다운로드 옵션

PDF (590.3 KB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (658.9 KB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (1.6 MB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2008년 9월 17일 (수)

문서 ID:108000

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

VPN(Virtual Private Network) 게이트웨이는 동적 환경에서 작동합니다.여러 변수가 각 VPN 연결에 영향을 줄 수 있습니다.예를 들어, 자주 변경되는 인트라넷 구성, 각 사용자가 조직 내에 존재할 수 있는 다양한 역할, 그리고 서로 다른 구성 및 보안 수준을 가진 원격 액세스 사이트에서 로그인하는 경우가 있습니다.동적 VPN 환경에서는 정적 컨피그레이션이 있는 네트워크보다 사용자를 인증하는 작업이 훨씬 복잡합니다.

ASA(Adaptive Security Appliance)의 소프트웨어 릴리스 v8.0 코드에 도입된 새로운 기능인 DAP(Dynamic Access Policies)를 사용하면 VPN 환경의 역학을 처리하는 권한 부여를 구성할 수 있습니다.특정 사용자 터널 또는 세션과 연결된 액세스 제어 특성의 모음을 설정하여 동적 액세스 정책을 생성합니다.이러한 특성은 여러 그룹 멤버십 및 엔드포인트 보안의 문제를 해결합니다.

예를 들어, 보안 어플라이언스는 사용자가 정의한 정책에 따라 특정 세션에 대해 특정 사용자에게 액세스 권한을 부여합니다.하나 이상의 DAP 레코드에서 특성을 선택 및/또는 집계하여 사용자 인증 중에 DAP를 생성합니다.원격 디바이스의 엔드포인트 보안 정보 및/또는 인증된 사용자에 대한 AAA 권한 부여 정보를 기반으로 이러한 DAP 레코드를 선택합니다.그런 다음 DAP 레코드를 사용자 터널 또는 세션에 적용합니다.

참고: DAP 정책 선택 특성을 포함하는 dap.xml 파일은 ASA의 플래시에 저장됩니다.dap.xml 파일을 오프박스(off-box)로 내보내고, 편집(xml 구문에 대해 알고 있는 경우)하고 다시 가져올 수 있지만, 잘못 구성한 경우 ASDM에서 DAP 레코드 처리를 중지할 수 있으므로 주의하십시오.컨피그레이션의 이 부분을 조작할 CLI가 없습니다.

참고: CLI를 통해 dynamic-access-policy-record 액세스 매개변수를 구성하려고 하면 ASDM에서 동일한 값을 올바르게 관리하지만 DAP의 작동이 중지될 수 있습니다.CLI를 사용하지 말고 항상 ASDM을 사용하여 DAP 정책을 관리합니다.

DAP 및 AAA 특성

DAP는 AAA 서비스를 보완하며 AAA에서 제공하는 특성을 재정의할 수 있는 제한된 권한 부여 특성 집합을 제공합니다.보안 어플라이언스는 사용자에 대한 AAA 권한 부여 정보를 기반으로 DAP 레코드를 선택할 수 있습니다.보안 어플라이언스는 이 정보에 따라 여러 DAP 레코드를 선택할 수 있으며, 이를 종합하여 DAP 권한 부여 특성을 할당할 수 있습니다.

그림 1과 같이 Cisco AAA 특성 계층 또는 보안 어플라이언스가 RADIUS 또는 LDAP 서버에서 수신하는 전체 응답 특성 집합에서 AAA 특성을 지정할 수 있습니다.

그림 1. DAP AAA 특성 GUI

DAP 및 엔드포인트 보안 특성

보안 어플라이언스는 AAA 특성 외에도 사용자가 구성한 상태 평가 방법을 사용하여 엔드포인트 보안 특성을 가져올 수도 있습니다.여기에는 그림 2에 나와 있는 것처럼 기본 Host Scan, Secure Desktop, Standard/Advanced Endpoint Assessment 및 NAC가 포함됩니다. 엔드포인트 평가 특성은 사용자 인증 전에 보안 어플라이언스에 가져와 전송합니다.그러나 전체 DAP 레코드를 포함한 AAA 특성은 사용자 인증 중에 검증됩니다.

그림 2. 엔드포인트 특성 GUI

기본 동적 액세스 정책

DAP를 도입하고 구현하기 전에 특정 사용자 터널 또는 세션과 연결된 액세스 정책 특성/값 쌍이 ASA에서 로컬로 정의되었거나(예: 터널 그룹 및 그룹 정책) 외부 AAA 서버를 통해 매핑되었습니다.그러나 v8.0 릴리스에서는 로컬 및 외부 액세스 정책을 모두 보완 또는 재정의하도록 DAP를 구성할 수 있습니다.

DAP는 항상 기본적으로 적용됩니다.그러나 레거시 정책 시행 방법을 선호하는 관리자의 경우(예: DAP를 명시적으로 적용하지 않고 터널 그룹, 그룹 정책 및 AAA를 통해 액세스 제어를 적용하는 경우) 이 동작은 계속 얻을 수 있습니다.레거시 동작의 경우 그림 3과 같이 기본 DAP 레코드 DfltAccessPolicy를 포함하여 DAP 기능에 대한 컨피그레이션 변경이 필요하지 않습니다.

그림 3. 기본 동적 액세스 정책

그러나 DAP 레코드의 기본값이 변경되면 Action:DfltAccessPolicy의 매개 변수가 기본값에서 Terminate로 변경되고 추가 DAP 레코드가 구성되지 않은 경우, 인증된 사용자는 기본적으로 DfltAccessPolicy DAP 레코드와 일치하며 VPN 액세스가 거부됩니다.

따라서 하나 이상의 DAP 레코드를 만들고 구성하여 VPN 연결을 인증하고 인증된 사용자가 액세스할 수 있는 네트워크 리소스를 정의해야 합니다.따라서 DAP가 구성된 경우 레거시 정책 시행보다 우선합니다.

동적 액세스 정책 구성

DAP를 사용하여 사용자가 액세스할 수 있는 네트워크 리소스를 정의할 때 고려해야 할 매개 변수가 많이 있습니다.예를 들어, 연결 엔드포인트가 관리 대상, 비관리 또는 신뢰 환경에서 발생하는지 확인하고 연결 엔드포인트를 식별하는 데 필요한 선택 기준을 결정하고 엔드포인트 평가 및/또는 AAA 자격 증명을 기반으로 연결 사용자가 액세스할 수 있는 네트워크 리소스를 확인합니다.이를 위해서는 먼저 그림 4와 같이 DAP 기능 및 기능에 익숙해져야 합니다.

그림 4. 동적 액세스 정책

DAP 레코드를 구성할 때 고려해야 할 두 가지 주요 구성 요소가 있습니다.

고급 옵션을 포함한 선택 기준
액세스 정책 특성

Selection Criteria 섹션에서는 관리자가 특정 DAP 레코드를 선택하는 데 사용되는 AAA 및 Endpoint 특성을 구성합니다.DAP 레코드는 사용자의 권한 부여 특성이 AAA 특성 기준과 일치하고 모든 엔드포인트 특성이 충족된 경우에 사용됩니다.

예를 들어 AAA 특성 유형이 다음과 같은 경우LDAP(Active Directory)가 선택되고 Attribute Name 문자열은 memberOf이고 값 문자열은 Contracts입니다. 그림 5a에 나와 있습니다. 인증 사용자는 Active Directory 그룹 계약자의 구성원이어야 AAA 특성 기준과 일치됩니다.

AAA 특성 기준을 충족하는 것 외에도, 인증 사용자는 엔드포인트 특성 기준을 충족해야 합니다.예를 들어, 관리자가 연결 엔드포인트의 상태를 확인하기 위해 CSD(Cisco Secure Desktop)를 구성하고 포스처 평가를 기반으로 엔드포인트가 Unmanaged CSD Location Unmanaged에 배치된 경우 관리자는 이 평가 정보를 그림 5b에 표시된 엔드포인트 특성에 대한 선택 기준으로 사용할 수 있습니다.

그림 5a.AAA 특성 기준

그림 5b.엔드포인트 특성 기준

따라서 그림 6에 나와 있는 DAP 레코드와 일치시키려면 인증 사용자는 계약업체 Active Directory 그룹의 구성원이어야 하며, 연결 엔드포인트는 DAP 레코드에 할당될 CSD 정책 값 "Unchanged"를 충족해야 합니다.

그림 6. AAA 및 엔드포인트 특성 기준 일치

그림 6에 설명된 대로 테이블을 사용하여 AAA 및 엔드포인트 특성을 생성하거나 Advanced 옵션을 확장하여 그림 7에 표시된 것처럼 논리적 표현식을 지정할 수 있습니다. 현재 논리적 표현식은 EVAL(예: EVAL(endpoint.av.McAfeeAV.exists,"EQ","true","string") 및 EVAL(endpoint.av.McAfeeAV.description,"EQ","McEnterprise VirusAfee" AAA 및/또는 엔드포인트 선택 논리적 작업을 나타내는 "string").

논리적 표현식은 위의 AAA 및 엔드포인트 특성 영역에서 가능한 것 이외의 선택 기준을 추가하는 데 유용합니다.예를 들어, 지정된 조건 중 하나 또는 모두를 충족하는 AAA 특성을 사용하도록 보안 어플라이언스를 구성할 수 있지만, 엔드포인트 특성은 누적되며 모두 충족되어야 합니다.보안 어플라이언스에서 하나의 엔드포인트 특성 또는 다른 특성을 사용하도록 하려면 DAP 레코드의 Advanced(고급) 섹션에서 적절한 논리적 표현식을 생성해야 합니다.

그림 7. 고급 특성 생성을 위한 논리적 표현식 GUI

그림 8에 나와 있는 Access Policy Attributes(액세스 정책 특성) 섹션에서는 관리자가 특정 DAP 레코드에 대해 VPN 액세스 특성을 구성할 수 있습니다.사용자의 권한 부여 특성이 AAA, 엔드포인트 및/또는 논리적 표현식 기준과 일치하는 경우이 섹션에 구성된 액세스 정책 특성 값이 적용됩니다.여기에 지정된 특성 값은 기존 사용자, 그룹, 터널 그룹 및 기본 그룹 레코드의 값을 포함하여 AAA 시스템에서 얻은 값을 재정의합니다.

DAP 레코드에는 구성할 수 있는 제한된 특성 값 집합이 있습니다.이 값은 그림 8 ~ 14에 표시된 다음 탭에 있습니다.

그림 8. 작업 — 특정 연결 또는 세션에 적용할 특수 처리를 지정합니다.

Continue(계속) - (기본값) 액세스 정책 특성을 세션에 적용하려면 클릭합니다.
Terminate(종료) - 세션을 종료하려면 클릭합니다.
User Message(사용자 메시지) - 이 DAP 레코드를 선택한 경우 포털 페이지에 표시할 텍스트 메시지를 입력합니다.최대 128자입니다.사용자 메시지가 노란색 orb로 표시됩니다.사용자가 로그온하면 주의를 끌기 위해 세 번 깜박거리면 여전히 깜박입니다.여러 DAP 레코드를 선택하고 각 레코드에 사용자 메시지가 있으면 모든 사용자 메시지가 표시됩니다.또한 이러한 메시지 URL 또는 다른 포함된 텍스트에 포함할 수 있습니다. 이 경우 올바른 HTML 태그를 사용해야 합니다.

그림 9. 네트워크 ACL 필터 탭 - 이 DAP 레코드에 적용할 네트워크 ACL을 선택하고 구성할 수 있습니다.DAP에 대한 ACL은 허용 또는 거부 규칙을 포함할 수 있지만 둘 다 포함할 수는 없습니다.ACL에 허용 및 거부 규칙이 모두 포함된 경우 보안 어플라이언스는 ACL 컨피그레이션을 거부합니다.

Network ACL(네트워크 ACL) 드롭다운 상자 - 이 DAP 레코드에 추가할 이미 구성된 네트워크 ACL을 선택합니다.모든 허용 또는 모든 거부 규칙이 있는 ACL만 사용할 수 있으며 여기에 표시되는 ACL은 이 ACL뿐입니다.
Manage(관리) - 네트워크 ACL을 추가, 수정 및 삭제하려면 클릭합니다.
Network ACL list(네트워크 ACL 목록) - 이 DAP 레코드에 대한 네트워크 ACL을 표시합니다.
Add(추가) - 드롭다운 상자에서 선택한 네트워크 ACL을 오른쪽에 있는 Network ACLs(네트워크 ACL) 목록에 추가하려면 클릭합니다.
Delete(삭제) - 강조 표시된 네트워크 ACL을 Network ACLs 목록에서 삭제하려면 클릭합니다.ACL이 DAP 또는 다른 레코드에 할당된 경우 삭제할 수 없습니다.

그림 10. Web-Type ACL Filters(웹 유형 ACL 필터) 탭 - 이 DAP 레코드에 적용할 웹 유형 ACL을 선택하고 구성할 수 있습니다.DAP에 대한 ACL은 허용 또는 거부 규칙만 포함할 수 있습니다.ACL에 허용 및 거부 규칙이 모두 포함된 경우 보안 어플라이언스는 ACL 컨피그레이션을 거부합니다.

Web-Type ACL(웹 유형 ACL) 드롭다운 상자 —이 DAP 레코드에 추가할 이미 구성된 웹 유형 ACL을 선택합니다.모든 허용 또는 모든 거부 규칙이 있는 ACL만 사용할 수 있으며 여기에 표시되는 ACL은 이 ACL뿐입니다.
관리... - 웹 유형 ACL을 추가, 수정 및 삭제하려면 클릭합니다.
Web-Type ACL list(웹 유형 ACL 목록) - 이 DAP 레코드에 대한 웹 유형 ACL을 표시합니다.
Add(추가) - 드롭다운 상자에서 선택한 웹 형식 ACL을 오른쪽 Web-Type ACLs 목록에 추가하려면 클릭합니다.
Delete(삭제) - Web-Type ACLs(웹 유형 ACL) 목록에서 웹 유형 ACL을 삭제하려면 클릭합니다.ACL이 DAP 또는 다른 레코드에 할당된 경우 삭제할 수 없습니다.

그림 11. Functions Tab(기능 탭) - DAP 레코드에 대한 파일 서버 항목 및 검색, HTTP 프록시 및 URL 항목을 구성할 수 있습니다.

File Server Browsing(파일 서버 찾아보기) - 파일 서버 또는 공유 기능에 대한 CIFS 브라우징을 활성화하거나 비활성화합니다.
File Server Entry(파일 서버 항목) - 사용자가 포털 페이지에 파일 서버 경로 및 이름을 입력할 수 있도록 허용하거나 거부합니다.활성화되면 포털 페이지에 파일 서버 입력 드로어를 배치합니다.사용자는 Windows 파일에 대한 경로 이름을 직접 입력할 수 있습니다.파일을 다운로드, 편집, 삭제, 이름 바꾸기 및 이동할 수 있습니다.파일 및 폴더를 추가할 수도 있습니다.또한 해당 Microsoft Windows 서버에서 사용자 액세스를 위해 공유를 구성해야 합니다.네트워크 요구 사항에 따라 파일에 액세스하기 전에 사용자를 인증해야 할 수도 있습니다.
HTTP Proxy(HTTP 프록시) - 클라이언트에 HTTP 애플릿 프록시를 전달하는 데 영향을 줍니다.프록시는 Java, ActiveX 및 Flash와 같은 적절한 콘텐츠 변환을 방해하는 기술에 유용합니다.보안 어플라이언스를 계속 사용할 수 있도록 하는 동시에 망간/재작성 프로세스를 우회합니다.전달된 프록시는 브라우저의 이전 프록시 컨피그레이션을 자동으로 수정하고 모든 HTTP 및 HTTPS 요청을 새 프록시 컨피그레이션으로 리디렉션합니다.HTML, CSS, JavaScript, VBScript, ActiveX 및 Java를 비롯한 거의 모든 클라이언트측 기술을 지원합니다.Microsoft Internet Explorer만 지원합니다.
URL Entry(URL 항목) - 사용자가 포털 페이지에서 HTTP/HTTPS URL을 입력할 수 있도록 허용하거나 차단합니다.이 기능이 활성화된 경우 사용자는 URL 입력 상자에 웹 주소를 입력하고 클라이언트리스 SSL VPN을 사용하여 해당 웹 사이트에 액세스할 수 있습니다.
Unchanged(변경되지 않음) - (기본값) 이 세션에 적용되는 그룹 정책의 값을 사용하려면 클릭합니다.
Enable/Disable(활성화/비활성화) - 기능을 활성화하거나 비활성화하려면 클릭합니다.
Auto-start(자동 시작) - HTTP 프록시를 활성화하고 DAP 레코드가 이러한 기능과 연결된 애플릿을 자동으로 시작하도록 하려면 클릭합니다.

그림 12. Port Forwarding Lists(포트 전달 목록) 탭 - 사용자 세션에 대한 포트 전달 목록을 선택하고 구성할 수 있습니다.

Port Forwarding(포트 전달) - 이 DAP 레코드에 적용되는 포트 전달 목록의 옵션을 선택합니다.이 필드의 다른 특성은 Port Forwarding(포트 전달)을 Enable(활성화) 또는 Auto-start(자동 시작)로 설정한 경우에만 활성화됩니다.
Unchanged(변경되지 않음) - 이 세션에 적용되는 그룹 정책의 값을 사용하려면 클릭합니다.
Enable/Disable(활성화/비활성화) - 포트 전달을 활성화 또는 비활성화하려면 클릭합니다.
Auto-start(자동 시작) - 포트 전달을 활성화하고 DAP 레코드가 해당 포트 전달 목록과 연결된 포트 전달 애플릿을 자동으로 시작하도록 하려면 클릭합니다.
Port Forwarding List(포트 전달 목록) 드롭다운 상자 - DAP 레코드에 추가할 이미 구성된 포트 전달 목록을 선택합니다.
New(새로 만들기) - 새 포트 전달 목록을 구성하려면 클릭합니다.
Port Forwarding Lists(포트 전달 목록) - DAP 레코드에 대한 포트 전달 목록을 표시합니다.
Add(추가) - 드롭다운 상자에서 선택한 포트 전달 목록을 오른쪽에 있는 Port Forwarding(포트 전달) 목록에 추가하려면 클릭합니다.
Delete(삭제) - Port Forwarding(포트 전달) 목록에서 선택한 포트 전달 목록을 삭제하려면 클릭합니다.ACL이 DAP 또는 다른 레코드에 할당된 경우 삭제할 수 없습니다.

그림 13. Bookmarks(책갈피) 탭 - 사용자 세션에 대한 책갈피/URL 목록을 선택하고 구성할 수 있습니다.

Enable bookmarks(책갈피 활성화) - 활성화하려면 클릭합니다.이 상자를 선택하지 않으면 연결에 대한 포털 페이지에 책갈피 목록이 표시되지 않습니다
Manage(관리) - 책갈피 목록을 추가, 가져오기, 내보내기 및 삭제하려면 클릭합니다.
책갈피 목록(드롭다운) - DAP 레코드에 대한 책갈피 목록을 표시합니다.
Add(추가) - 드롭다운 상자에서 선택한 책갈피 목록을 오른쪽에 있는 책갈피 목록 상자에 추가하려면 클릭합니다.
Delete(삭제) - 책갈피 목록 상자에서 선택한 책갈피 목록을 삭제하려면 클릭합니다.보안 어플라이언스에서 책갈피 목록을 삭제하려면 먼저 DAP 레코드에서 삭제해야 합니다.

그림 14. Method(방법) 탭 - 허용된 원격 액세스 유형을 구성할 수 있습니다.

Unchanged(변경되지 않음) - 세션에 대한 그룹 정책에 설정된 현재 원격 액세스 방법을 계속합니다.
AnyConnect Client(AnyConnect 클라이언트) - Cisco AnyConnect VPN 클라이언트를 사용하여 연결합니다.
Web-Portal(웹 포털) - 클라이언트리스 VPN으로 연결합니다.
Both-default-Web-Portal - 클라이언트리스 또는 AnyConnect 클라이언트를 통해 연결합니다(기본값: 클라이언트리스).
Both-default-AnyConnect Client(기본값-AnyConnect 클라이언트) - 클라이언트리스 또는 AnyConnect 클라이언트를 통해 연결합니다(기본값: AnyConnect).

앞에서 언급한 것처럼 DAP 레코드는 제한된 기본 특성 값 집합을 가집니다. 수정된 경우에만 기존 AAA, 사용자, 그룹, 터널 그룹 및 기본 그룹 레코드보다 우선합니다.DAP 범위 밖의 추가 특성 값이 필요한 경우(예: Split Tunneling Lists, Banners, Smart Tunnels, Portal Customizations 등) AAA, user, group, tunnel group, default group records를 통해 시행되어야 합니다.이 경우 이러한 특정 특성 값은 DAP를 보완하며 재정의되지 않습니다.따라서 사용자는 모든 레코드에 대해 누적 특성 값 집합을 가져옵니다.

여러 동적 액세스 정책 통합

관리자는 여러 변수를 처리하도록 여러 DAP 레코드를 구성할 수 있습니다.따라서 인증 사용자가 여러 DAP 레코드의 AAA 및 엔드포인트 특성 기준을 충족할 수 있습니다.결과적으로 액세스 정책 특성은 이러한 정책 전체에서 일관되거나 충돌합니다.이 경우 인증된 사용자는 일치하는 모든 DAP 레코드에 대해 누적 결과를 가져옵니다.

여기에는 인증, 권한 부여, 사용자, 그룹, 터널 그룹 및 기본 그룹 레코드를 통해 적용되는 고유한 특성 값도 포함됩니다.액세스 정책 특성의 누적 결과는 동적 액세스 정책을 생성합니다.결합된 액세스 정책 특성의 예는 아래 표에 나와 있습니다.이 예에서는 3개의 결합된 DAP 레코드의 결과를 보여 줍니다.

표 1에 표시된 작업 속성의 값은 Terminate 또는 Continue입니다.선택한 DAP 레코드에 Terminate(종료) 값이 구성된 경우 집계 특성 값은 Terminate(종료), 선택한 모든 DAP 레코드에 Continue(계속) 값이 구성된 경우 Continue(계속)가 됩니다.

표 1. 작업 특성

속성 이름	DAP#1	DAP#2	DAP#3	DAP
작업(예 1)	계속	계속	계속	계속
작업(예 2)	종료	계속	계속	종료

표 2에 표시된 user-message 속성에는 문자열 값이 포함되어 있습니다.집계된 특성 값은 선택한 DAP 레코드에서 특성 값을 연결하여 만든 줄 바꿈(16진수 값 0x0A) 구분 문자열이 됩니다.결합된 문자열에서 특성 값의 순서는 중요하지 않습니다.

표 2. 사용자-메시지 속성

속성 이름	DAP#1	DAP#2	DAP#3	DAP
사용자 메시지	빠르게	갈색 여우	위로 점프하기	빠른<LF>갈색 여우<LF>위로

표 3에 표시된 클라이언트리스 기능 활성화 특성(함수)에는 자동 시작, 활성화 또는 비활성화 값이 포함됩니다.선택한 DAP 레코드에 자동 시작 값이 구성된 경우 집계된 특성 값은 자동 시작이 됩니다.

선택한 DAP 레코드에 구성된 Auto-start 값이 없고 선택한 DAP 레코드 중 하나 이상에서 Enable 값이 구성된 경우 집계된 특성 값은 Enable이 됩니다.

선택한 DAP 레코드에 Auto-start 또는 Enable 값이 구성되지 않은 경우 집계된 특성 값은 Disable이 되고, 선택한 DAP 레코드 중 하나 이상에서 "disable" 값이 구성됩니다.

표 3. 클라이언트리스 기능 활성화 속성(기능)

속성 이름	DAP#1	DAP#2	DAP#3	DAP
포트 전달	활성화	비활성화		활성화
파일 검색	비활성화	활성화	비활성화	활성화
파일 입력			비활성화	비활성화
http-proxy	비활성화	자동 시작	비활성화	자동 시작
url 입력	비활성화		활성화	활성화

표 4에 표시된 url-list 및 port-forward 특성에는 문자열 또는 쉼표로 구분된 문자열 값이 포함되어 있습니다.집계된 특성 값은 선택한 DAP 레코드에서 특성 값을 연결하여 생성되는 쉼표로 구분된 문자열입니다.결합된 문자열의 중복 특성 값이 제거됩니다.결합된 문자열에서 특성 값의 순서는 중요하지 않습니다.

표 4. URL 목록 및 포트 전달 목록 특성

속성 이름	DAP#1	DAP#3	DAP#3	DAP
url-list	a	b,c	a	a,b,c
포트 전달		d,e	e,f	d,e,f

Access Method 특성은 SSL VPN 연결에 허용되는 클라이언트 액세스 방법을 지정합니다.클라이언트 액세스 방법은 AnyConnect 클라이언트 액세스 전용, 웹 포털 액세스 전용, AnyConnect 클라이언트 또는 웹 포털 액세스를 기본 액세스 또는 AnyConnect 클라이언트 액세스 또는 AnyConnect 클라이언트 액세스를 통한 웹 포털 액세스 또는 AnyConnect 클라이언트 액세스를 기본값으로 사용할 수 있습니다.집계 속성 값은 표 5에 요약되어 있습니다.

표 5. 액세스 방법 속성

선택한 속성 값				집계 결과
AnyConnect 클라이언트	웹 포털	기본 웹 포털 모두	Both-default-AnyConnect 클라이언트	집계 결과
			X	Both-default-AnyConnect 클라이언트
		X		기본 웹 포털 모두
		X	X	기본 웹 포털 모두
	X			웹 포털
	X		X	Both-default-AnyConnect 클라이언트
	X	X		기본 웹 포털 모두
	X	X	X	기본 웹 포털 모두
X				AnyConnect 클라이언트
X			X	Both-default-AnyConnect 클라이언트
X		X		기본 웹 포털 모두
X		X	X	기본 웹 포털 모두
X	X			기본 웹 포털 모두
X	X		X	Both-default-AnyConnect 클라이언트
X	X	X		기본 웹 포털 모두
X	X	X	X	기본 웹 포털 모두

네트워크(방화벽) 및 웹 유형(클라이언트리스) ACL 필터 특성을 집계할 때 DAP 우선순위 및 DAP ACL은 고려해야 할 두 가지 주요 구성 요소입니다.

그림 15에 표시된 Priority 특성은 집계되지 않습니다.보안 어플라이언스는 이 값을 사용하여 여러 DAP 레코드에서 네트워크 및 웹 유형 ACL을 집계할 때 액세스 목록의 순서를 논리적으로 지정합니다.보안 어플라이언스는 가장 높은 우선 순위 번호부터 가장 낮은 우선 순위 번호까지 레코드를 순서대로 정렬하며, 가장 낮은 우선 순위는 테이블 아래쪽에 있습니다.예를 들어 값이 4인 DAP 레코드는 값이 2인 레코드보다 우선 순위가 높습니다. 수동으로 정렬할 수 없습니다.

그림 15. 우선 순위 —DAP 레코드의 우선 순위를 표시합니다.

Policy Name(정책 이름) - DAP 레코드의 이름을 표시합니다.
Description(설명) - DAP 레코드의 용도를 설명합니다.

DAP ACL 특성은 엄격한 "White-List" 또는 엄격한 "Black-List" ACL 모델을 따르는 액세스 목록만 지원합니다."White-List" ACL 모델에서 access-list 항목은 지정된 네트워크 또는 호스트에 "Permit" 액세스를 허용하는 규칙을 지정합니다."Black-List" ACL 모드에서 access-list 항목은 지정된 네트워크 또는 호스트에 대해 "Deny" 액세스 규칙을 지정합니다.부적합 액세스 목록에는 "허용" 및 "거부" 규칙이 혼합된 액세스 목록 항목이 포함되어 있습니다.DAP 레코드에 대해 일치하지 않는 액세스 목록이 구성된 경우 관리자가 레코드를 추가하려고 할 때 구성 오류로 거부됩니다.준수 액세스 목록이 DAP 레코드에 할당된 경우 적합성 특성을 변경하는 액세스 목록에 대한 수정 사항은 구성 오류로 거부됩니다.

그림 16. DAP ACL — 이 DAP 레코드에 적용할 네트워크 ACL을 선택하고 구성할 수 있습니다.

여러 DAP 레코드를 선택하면 네트워크(방화벽) ACL에 지정된 액세스 목록 특성이 집계되어 DAP 방화벽 ACL에 대한 동적 액세스 목록을 만듭니다.이와 같은 방법으로 웹 유형(클라이언트리스) ACL에 지정된 액세스 목록 특성이 집계되어 DAP 클라이언트리스 ACL에 대한 동적 액세스 목록을 만듭니다.아래 예에서는 동적 DAP 방화벽 액세스 목록을 구체적으로 생성하는 방법을 중점적으로 살펴봅니다.그러나 동적 DAP 클라이언트리스 액세스 목록은 동일한 프로세스를 따릅니다.

먼저 ASA는 표 6과 같이 DAP Network-ACL의 고유한 이름을 동적으로 생성합니다.

표 6. 동적 DAP 네트워크-ACL 이름

DAP 네트워크-ACL 이름
DAP-Network-ACL-X(여기서 X는 고유성을 보장하기 위해 증가되는 정수)

둘째, ASA는 표 7과 같이 선택한 DAP 레코드에서 Network-ACL 특성을 검색합니다.

표 7. 네트워크 ACL

선택한 DAP 레코드	우선 순위	네트워크-ACL	네트워크-ACL 항목
DAP 1	1	101 및 102	ACL 101에는 4개의 거부 규칙이 있고 ACL 102에는 4개의 허용 규칙이 있습니다.
DAP 2	2	201 및 202	ACL 201에는 3개의 허용 규칙이 있고 ACL 202에는 3개의 거부 규칙이 있습니다.
DAP 3	2	101 및 102	ACL 101에는 4개의 거부 규칙이 있고 ACL 102에는 4개의 허용 규칙이 있습니다.

셋째, ASA는 먼저 DAP 레코드 우선 순위 번호로 Network-ACL을 재정렬하고, 선택한 DAP 레코드 2개 이상의 우선 순위 값이 동일하면 먼저 Black-List로 재정렬합니다.그런 다음 ASA는 표 8과 같이 각 네트워크-ACL에서 네트워크-ACL 항목을 검색합니다.

표 8. DAP 레코드 우선 순위

네트워크-ACL	우선 순위	White/Black Access-List 모델	네트워크-ACL 항목
101	2	블랙리스트	4 거부 규칙(DDD)
202	2	블랙리스트	3 거부 규칙(DDD)
102	2	화이트리스트	4 허용 규칙(PPPP)
202	2	화이트리스트	3 허용 규칙(PPP)
101	1	블랙리스트	4 거부 규칙(DDD)
102	1	화이트리스트	4 허용 규칙(PPPP)

마지막으로, ASA는 동적으로 생성된 Network-ACL에 Network-ACL 항목을 병합한 다음 표 9와 같이 적용할 새 Network-ACL로 동적 Network-ACL의 이름을 반환합니다.

표 9. 동적 DAP 네트워크-ACL

DAP 네트워크-ACL 이름	네트워크-ACL 항목
DAP-Network-ACL-1	DDD DDD PPPP PPP DDD PPPP

DAP 구현

관리자가 DAP 구현을 고려해야 하는 이유는 여러 가지가 있습니다.어떤 근본적인 이유는 엔드포인트에서 상태 평가를 시행할 때, 그리고/또는 네트워크 리소스에 대한 사용자 액세스 권한을 부여할 때 더 세분화된 AAA 또는 정책 특성을 고려해야 할 때 입니다.아래 예에서는 DAP 및 구성 요소를 구성하여 연결 엔드포인트를 식별하고 다양한 네트워크 리소스에 대한 사용자 액세스를 인증합니다.

테스트 사례 - 고객이 다음과 같은 VPN 액세스 요구 사항이 포함된 개념 증명을 요청했습니다.

직원의 엔드포인트를 Managed 또는 Unmanaged로 탐지하고 식별하는 기능.—엔드포인트가 관리(작업 PC)된 것으로 확인되었지만 포스처 요구 사항에 실패하면 해당 엔드포인트의 액세스가 거부되어야 합니다.반면, 직원의 엔드포인트가 관리되지 않는(홈 PC)으로 식별되면 해당 엔드포인트에는 클라이언트리스 액세스 권한이 부여되어야 합니다.
클라이언트리스 연결이 종료될 때 세션 쿠키 및 캐시 정리를 호출하는 기능입니다.
McAfee AntiVirus와 같은 관리 대상 직원의 엔드포인트에서 실행 중인 애플리케이션을 탐지하고 적용하는 기능애플리케이션이 존재하지 않는 경우 해당 엔드포인트는 액세스가 거부되어야 합니다.
AAA 인증을 사용하여 권한이 부여된 사용자가 액세스할 수 있는 네트워크 리소스를 결정할 수 있습니다.보안 어플라이언스는 네이티브 MS LDAP 인증을 지원하고 여러 LDAP 그룹 구성원 역할을 지원해야 합니다.
"클라이언트/네트워크" 기반 연결을 통해 연결할 때 네트워크 팩스와 프린터와 같은 네트워크 리소스에 로컬 LAN 액세스를 허용하는 기능.
계약자에게 승인된 게스트 액세스를 제공하는 기능계약업체 및 해당 엔드포인트는 클라이언트리스 액세스 권한을 받아야 하며, 직원의 경우와 비교하여 애플리케이션에 대한 포털 액세스가 제한되어야 합니다.

이 예에서는 고객의 VPN 액세스 요구 사항을 충족하기 위해 일련의 컨피그레이션 단계를 실행합니다.필요한 구성 단계가 있지만 DAP와 직접 관련되지는 않지만 다른 컨피그레이션은 DAP와 직접 관련됩니다.ASA는 매우 역동적이며 많은 네트워크 환경에 적응할 수 있습니다.따라서 VPN 솔루션은 다양한 방식으로 정의할 수 있으며 경우에 따라 동일한 최종 솔루션을 제공할 수도 있습니다.그러나 이러한 접근 방식은 고객의 요구 사항 및 해당 환경에 의해 좌우됩니다.

본 백서의 성격과 정의된 고객의 요구 사항에 따라 ASDM(Adaptive Security Device Manager) 6.0(x)을 사용하고 DAP에 대한 대부분의 컨피그레이션에 중점을 둡니다.그러나 로컬 그룹 정책을 구성하여 DAP가 로컬 정책 특성을 보완 및/또는 재정의할 수 있는 방법도 보여 줍니다.이 테스트 사례를 기반으로 LDAP 서버 그룹, 스플릿 터널링 네트워크 목록 및 기본 IP 연결(IP 풀 및 DefaultDNS 서버 그룹 포함)이 미리 구성되어 있다고 가정합니다.

그룹 정책 정의 - 이 컨피그레이션은 로컬 정책 특성을 정의하는 데 필요합니다.여기에 정의된 일부 특성은 DAP에서 구성할 수 없습니다(예: 로컬 LAN 액세스).(이 정책은 클라이언트리스 및 클라이언트 기반 특성을 정의하는 데에도 사용됩니다.)

Configuration(컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Network (Client) Access(네트워크(클라이언트) 액세스) > Group Policies(그룹 정책)로 이동하고 다음을 수행하여 내부 그룹 정책을 추가합니다.

그림 17. 그룹 정책 — 로컬 VPN 관련 특성을 정의합니다.

General(일반) 링크에서 그룹 정책의 이름 SSLVPN_GP를 구성합니다.
또한 General(일반) 링크에서 More Options(추가 옵션)를 클릭하고 Tunneling Protocol(터널링 프로토콜)만 구성합니다.클라이언트리스 SSLVPN. 액세스 방법을 재정의하고 관리하도록 DAP를 구성합니다.
Advanced(고급) > Split Tunneling(스플릿 터널링) 링크에서 다음을 구성합니다.
그림 18. 스플릿 터널링 — 클라이언트 연결 중에 지정된 트래픽(로컬 네트워크)이 암호화되지 않은 터널을 우회하도록 허용합니다.
1. 정책:Inherit(상속)의 선택을 취소하고 Exclude Network List Below(아래 네트워크 목록 제외)를 선택합니다.
2. 네트워크 목록:Inherit(상속)를 선택 취소하고 목록 이름 Local_Lan_Access를 선택합니다.(미리 구성된 것으로 가정됨)
Advanced(고급) > SSL VPN Client(SSL VPN 클라이언트) 링크에서 다음을 구성합니다.
그림 19. SSL VPN 클라이언트 설치 프로그램 —VPN 종료 시 SSL 클라이언트는 엔드포인트에 남아 있거나 제거할 수 있습니다.
클라이언트 시스템에서 설치 관리자 유지:Inherit(상속)의 선택을 취소한 다음 Yes(예)를 선택합니다.
OK(확인)를 클릭한 다음 Apply(적용)를 클릭합니다.
구성 변경 사항을 적용합니다.

Defining a Connection Profile(연결 프로파일 정의) - 이 컨피그레이션은 AAA 인증 방법(예: LDAP)을 정의하고 이전에 구성된 그룹 정책(SSLVPN_GP)을 이 연결 프로파일에 적용하는 데 필요합니다.이 연결 프로파일을 통해 연결하는 사용자는 여기에 정의된 특성 및 SSLVPN_GP 그룹 정책에 정의된 특성을 받게 됩니다.(이 프로필은 클라이언트리스 및 클라이언트 기반 특성을 모두 정의하는 데에도 사용됩니다.)

Configuration(컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Network (Client) Access(네트워크(클라이언트) 액세스) >SSL VPN Connection Profiles(SSL VPN 연결 프로파일)로 이동하고 다음을 구성합니다.

그림 20. 연결 프로파일 — 로컬 VPN 관련 특성을 정의합니다.

Connection Profiles(연결 프로파일) 섹션에서 DefaultWEBVPNGroup을 편집하고 Basic(기본) 링크에서 다음을 구성합니다.
1. 인증 - 방법:AAA
2. Authentication(인증) - AAA 서버 그룹:LDAP(사전 구성된 것으로 가정)
3. 클라이언트 주소 할당 - 클라이언트 주소 풀:IP_Pool(사전 구성된 것으로 가정)
4. 기본 그룹 정책 - 그룹 정책:SSLVPN_GP 선택
구성 변경 사항을 적용합니다.

SSL VPN 연결을 위한 IP 인터페이스 정의 - 이 컨피그레이션은 지정된 인터페이스에서 클라이언트 및 클라이언트리스 SSL 연결을 종료하는 데 필요합니다.

인터페이스에서 클라이언트/네트워크 액세스를 활성화하기 전에 먼저 SSL VPN 클라이언트 이미지를 정의해야 합니다.

Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Network (Client)Access(네트워크(클라이언트) 액세스) > Advanced(고급) > SSL VPN > Client Settings(클라이언트 설정)로 이동하고 ASA Flash 파일 시스템에서 다음 SSL VPN 클라이언트 이미지를 추가합니다.(이 이미지는 CCO에서 다운로드 가능, www.cisco.com)
그림 21. SSL VPN Client Image Install(SSL VPN 클라이언트 이미지 설치) - 연결 엔드포인트에 푸시할 SSLVPN(AnyConnect) 클라이언트 이미지를 정의합니다.
1. anyconnect Win 2.x.xxx-k9.pkg
2. OK(확인)를 다시 클릭하고 Apply(적용)를 클릭합니다.
Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Network (Client)Access(네트워크(클라이언트) 액세스) > SSL VPN Connection Profiles(SSL VPN 연결 프로파일)로 이동하고 다음을 활성화합니다.
그림 22. SSL VPN Access Interface - SSL VPN 연결을 종료하기 위한 인터페이스를 정의합니다.
1. Access Interface 섹션에서 다음을 활성화합니다."아래 표에서 선택한 인터페이스에서 Cisco AnyConnect VPN Client 또는 레거시 SSL VPN Client 액세스를 활성화합니다."
2. 또한 Access Interfaces(액세스 인터페이스) 섹션에서 Allow Access on the outside interface(외부 인터페이스에서 액세스 허용)를 선택합니다.이 컨피그레이션은 외부 인터페이스에서 SSL VPN 클라이언트리스 액세스도 활성화합니다.
3. Apply를 클릭합니다.

클라이언트리스 액세스에 대한 책갈피 목록(URL 목록) 정의 - 이 컨피그레이션은 포털에 게시할 웹 기반 애플리케이션을 정의하는 데 필요합니다.직원 및 계약자 URL 목록 2개를 정의하겠습니다.

Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Clientless SSL VPN Access(클라이언트리스 SSL VPN 액세스) > Portal(포털) > Bookmarks(책갈피)로 이동하고 + Add(추가)를 클릭하고 다음을 구성합니다.
그림 23. Bookmark List(책갈피 목록) - 웹 포털에서 게시 및 액세스할 URL을 정의합니다.(직원 액세스를 위해 맞춤화)
1. 책갈피 목록 이름:직원을 클릭한 다음 추가를 클릭합니다.
2. 책갈피 제목:회사 인트라넷
3. URL 값:http://company.resource.com
4. OK(확인)를 클릭한 다음 OK(확인)를 다시 클릭합니다.
+ Add(추가)를 클릭하고 다음과 같이 두 번째 책갈피 목록(URL 목록)을 구성합니다.
그림 24. 책갈피 목록 —게스트 액세스를 위해 사용자 정의
1. 책갈피 목록 이름:계약자를 클릭한 다음 추가를 클릭합니다.
2. 책갈피 제목:게스트 액세스
3. URL 값:http://company.contractors.com
4. OK(확인)를 클릭한 다음 OK(확인)를 다시 클릭합니다.
5. Apply를 클릭합니다.

Cisco Secure Desktop — 이 구성은 엔드포인트 평가 특성을 정의하는 데 필요합니다.충족해야 할 기준에 따라 연결 엔드포인트는 관리 또는 비관리 상태로 분류됩니다.Cisco Secure Desktop 평가는 인증 프로세스 전에 실행됩니다.

Windows 위치를 위한 Cisco Secure Desktop 및 사전 로그인 결정 트리 구성:

Configuration(컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Secure Desktop Manager(Secure Desktop 관리자) > Setup(설정)으로 이동하고 다음을 구성합니다.
그림 25. Cisco Secure Desktop 이미지 설치 - 연결 엔드포인트에 푸시할 Cisco Secure Desktop 이미지를 정의합니다.
1. ASA 플래시 파일 시스템에서 disk0:/securedesktop-asa-3.3.-xxx-k9.pkg 이미지를 설치합니다.
2. Enable Secure Desktop을 선택합니다.
3. Apply를 클릭합니다.
Configuration(컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Secure Desktop Manager(Secure Desktop 관리자) > Prelogin Policy(사전 로그인 정책)로 이동하고 다음을 구성합니다.
그림 26. 사전 로그온 의사 결정 트리 - 파일 검사를 통해 사용자 지정되어 관리되는 엔드포인트와 관리되지 않는 엔드포인트를 구별합니다.
1. Default(기본) 노드를 클릭하고 Managed(Client Access) 레이블의 이름을 바꾼 다음 Update(업데이트)를 클릭합니다.
2. 관리 노드 시작 부분에 있는 "+" 기호를 클릭합니다.
3. 체크(Check)에서 삽입하려면 파일 체크 추가를 선택하고 추가합니다.
4. "exists"의 파일 경로에 C:\managed.txt을 입력하고 Update를 클릭합니다.
5. Login Denied(로그인 거부) 노드를 클릭한 다음 Subsequence(하위 시퀀스)를 선택합니다.
6. 레이블에 Unmanaged를 입력한 다음 Update를 클릭합니다.
7. Login Denied(로그인 거부) 노드를 클릭한 다음 Location(위치)을 선택합니다.
8. 레이블에 대해 Unmanaged(Clientless Access)를 입력한 다음 Update(업데이트)를 클릭합니다.
9. Apply All을 클릭합니다.
Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Secure Desktop Manager(Secure Desktop Manager) >Managed(Client Access)로 이동하고 Location Settings(위치 설정) 섹션에서 다음을 구성합니다.
그림 27. 위치/개인 정보 보호 설정—Secure Desktop(보안 저장소) 및 Cache Cleaner(브라우저 정리)는 클라이언트/네트워크 기반 액세스에 필요하지 않습니다.
1. 위치 모듈:Secure Desktop 및 Cache Cleaner(보안 데스크톱 및 캐시 클리너)를 모두 선택 취소합니다.
2. 필요한 경우 Apply All(모두 적용)을 클릭합니다.
Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Secure Desktop Manager(Secure Desktop 관리자) > Unmanaged(Clientless Access)로 이동하고 Location Settings(위치 설정) 섹션에서 다음을 구성합니다.
그림 28. 위치 설정 - 클라이언트 기반 액세스에 캐시 클리너(브라우저 정리)가 필요하지만 Secure Desktop(보안 저장소)은 필요하지 않습니다.
1. 위치 모듈:Secure Desktop의 선택을 취소하고 Cache Cleaner를 선택합니다.
2. Apply All을 클릭합니다.

Advanced Endpoint Assessment(고급 엔드포인트 평가) - 이 컨피그레이션은 엔드포인트에서 안티바이러스, 안티스파이웨어 및 개인 방화벽을 적용하는 데 필요합니다.예를 들어 이 평가는 McAfee가 연결 엔드포인트에서 실행 중인지 확인합니다.(고급 엔드포인트 평가는 라이센스 기능이며 Cisco Secure Desktop 기능이 비활성화된 경우 구성할 수 없습니다.)

Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Secure Desktop Manager(Secure Desktop 관리자) > Host Scan으로 이동하고 Host Scan Extensions(Host Scan 확장) 섹션에서 다음을 구성합니다.

그림 29. AntiVirus Enforcement - 클라이언트/네트워크 기반 액세스를 위해 맞춤화된.

Host Scan Extensions 섹션에서 다음을 구성합니다.

Advanced Endpoint Assessment ver 2.3.3.1을 선택하고 Configure를 선택합니다.
Enforce AntiVirus를 선택합니다.
Enforce AntiVirus 드롭다운 목록에서 McAfee, Inc를 선택합니다.
AntiVirus Version 드롭다운 목록에서 McAfee VirusScan Enterprise 8.0.0.x를 선택합니다.
Force File System Protection(파일 시스템 보호 강제)을 선택한 다음 Apply All(모두 적용)을 클릭합니다.

Dynamic Access Policies(동적 액세스 정책) - 이 컨피그레이션은 정의된 AAA 및/또는 엔드포인트 평가 기준을 기준으로 연결 사용자와 해당 엔드포인트를 검증하는 데 필요합니다.DAP 레코드의 정의된 조건이 충족되면 연결된 사용자에게 해당 DAP 레코드 또는 레코드와 연결된 네트워크 리소스에 대한 액세스 권한이 부여됩니다.DAP 권한 부여는 인증 프로세스 중에 실행됩니다.

SSL VPN 연결이 기본 경우(예: 엔드포인트가 구성된 동적 액세스 정책과 일치하지 않는 경우) 종료되도록 하려면 다음을 구성합니다.

참고: 동적 액세스 정책을 처음 구성할 때 DAP 구성 파일(DAP.XML)이 없음을 나타내는 DAP.xml 오류 메시지가 표시됩니다.초기 DAP 컨피그레이션을 수정한 다음 저장하면 이 메시지가 더 이상 나타나지 않습니다.

Configuration(컨피그레이션) > Remote Access VPN(원격 액세스 VPN) > Clientless SSL VPN Access(클라이언트리스 SSL VPN 액세스) > Dynamic Access Policies(동적 액세스 정책)로 이동하고 다음을 구성합니다.
그림 30. 기본 동적 액세스 정책 - 일치하는 사전 정의된 DAP 레코드가 없으면 이 DAP 레코드가 적용됩니다.따라서 SSL VPN 액세스가 거부됩니다.
1. DfltAccessPolicy를 편집하고 Action을 Terminate로 설정합니다.
2. 확인을 클릭합니다.
다음과 같이 Managed_Endpoints라는 새 동적 액세스 정책을 추가합니다.
1. 설명:직원 클라이언트 액세스
2. 그림 31과 같이 엔드포인트 특성 유형 오른쪽에 있는 엔드포인트 특성 유형(정책)을 추가합니다. 완료되면 확인을 클릭합니다.
  그림 31. DAP Endpoint Attribute(DAP 엔드포인트 특성) - Cisco Secure Desktop Location(Cisco Secure Desktop 위치)이 클라이언트/네트워크 액세스를 위한 DAP 기준으로 사용됩니다.
3. 그림 32와 같이 두 번째 엔드포인트 특성 유형(안티바이러스)을 추가합니다. 완료되면 OK(확인)를 클릭합니다.
  그림 32. DAP Endpoint Attribute(DAP 엔드포인트 특성) - Advanced Endpoint Assessment AntiVirus는 클라이언트/네트워크 액세스를 위한 DAP 기준으로 사용됩니다.
4. AAA Attribute 섹션 위의 드롭다운 목록에서 User has ALL of the AAA Attributes Values...를 선택합니다.
5. 그림 33 및 34와 같이 AAA 특성 유형(LDAP)을 추가(AAA 특성 상자 오른쪽에 있음)합니다. 완료되면 확인을 클릭합니다.
  그림 33. DAP AAA Attribute(DAP AAA 특성) - AAA Group Membership(AAA 그룹 멤버십)을 DAP 기준으로 사용하여 직원을 식별합니다.
  
  그림 34. DAP AAA Attribute(DAP AAA 특성) - AAA Group Membership(AAA 그룹 멤버십)을 DAP 기준으로 사용하여 원격 액세스 기능을 허용합니다.
6. Action(작업) 탭에서 그림 35와 같이 Action(작업)이 Continue(계속)로 설정되어 있는지 확인합니다.
  그림 35. Action(작업) 탭 - 이 구성은 특정 연결 또는 세션에 대한 특수 처리를 정의하는 데 필요합니다.DAP 레코드가 일치하고 Action(작업)이 Terminate(종료)로 설정된 경우 VPN 액세스가 거부됩니다.
7. Access Method(액세스 방법) 탭에서 그림 36과 같이 Access Method(액세스 방법) AnyConnect Client를 선택합니다.
  그림 36. Access Method(액세스 방법) 탭 - 이 컨피그레이션은 SSL VPN 클라이언트 연결 유형을 정의하는 데 필요합니다.
8. OK(확인)를 클릭한 다음 Apply(적용)를 클릭합니다.
다음과 같이 Unmanaged_Endpoints라는 두 번째 동적 액세스 정책을 추가합니다.
1. 설명:직원 클라이언트리스 액세스.
2. 그림 37에 표시된 대로 엔드포인트 특성 유형(정책)을 추가(엔드포인트 특성 상자 오른쪽에 있음)하고 완료되면 확인을 클릭합니다.
  그림 37. DAP 엔드포인트 특성 - Cisco Secure Desktop Location은 클라이언트리스 액세스를 위한 DAP 기준으로 사용됩니다.
3. AAA Attribute Section(AAA 특성 섹션) 위의 드롭다운 목록에서 User has ALL of the AAA Attributes Values(사용자에게 다음 AAA 특성 값 모두 있음)를 선택합니다.
4. 그림 38 및 39와 같이 AAA 특성 유형(AAA Attribute Type) 오른쪽에 LDAP(Attribute Type)를 추가합니다. 완료되면 확인을 클릭합니다.
  그림 38. DAP AAA Attribute(DAP AAA 특성) - AAA Group Membership(AAA 그룹 멤버십)을 DAP 기준으로 사용하여 직원을 식별합니다.
  
  그림 39. DAP AAA Attribute(DAP AAA 특성) - AAA Group Membership(AAA 그룹 멤버십)을 DAP 기준으로 사용하여 원격 액세스 기능을 허용합니다.
5. Action(작업) 탭에서 Action(작업)이 Continue(계속)로 설정되어 있는지 확인합니다.(그림 35 참조)
6. Bookmarks(책갈피) 탭의 드롭다운에서 Employees 목록 이름을 선택한 다음 Add(추가)를 클릭합니다.또한 그림 40과 같이 Enable bookmarks(책갈피 활성화)가 선택되어 있는지 확인합니다.
  그림 40. Bookmarks(책갈피) 탭 - 사용자 세션에 대한 URL 목록을 선택하고 구성할 수 있습니다.
7. Access Method(액세스 방법) 탭에서 Access Method(액세스 방법) Web-Portal(웹 포털)을 선택합니다.(그림 36 참조)
8. OK(확인)를 클릭한 다음 Apply(적용)를 클릭합니다.
  
  계약자는 DAP AAA 특성으로만 식별됩니다.따라서 엔드포인트 특성 유형:(정책)은 4단계에서 구성되지 않습니다. 이 접근 방식은 DAP 내에서 다용성을 보여주기 위한 것입니다.
Guest_Access라는 세 번째 동적 액세스 정책을 다음과 같이 추가합니다.
1. 설명:게스트 클라이언트리스 액세스.
2. 위의 그림 37과 같이 엔드포인트 특성 상자의 오른쪽에 있는 엔드포인트 특성 유형(정책)을 추가합니다.완료되면 OK(확인)를 클릭합니다.
3. AAA Attribute Section(AAA 특성 섹션) 위의 드롭다운 목록에서 User has ALL of the AAA Attributes Values(사용자에게 다음 AAA 특성 값 모두 있음)를 선택합니다.
4. 그림 41 및 42와 같이 AAA 특성 유형(LDAP)을 AAA 특성 유형(AAA Attribute Type)을 추가합니다. 완료되면 확인을 클릭합니다.
  그림 41. DAP AAA Attribute(DAP AAA 특성) - AAA Group Membership(AAA 그룹 멤버십)을 DAP 기준으로 사용하여 계약자를 식별합니다.
  
  그림 42. DAP AAA Attribute(DAP AAA 특성) - AAA Group Membership(AAA 그룹 멤버십)을 DAP 기준으로 사용하여 원격 액세스 기능을 허용합니다.
5. Action(작업) 탭에서 Action(작업)이 Continue(계속)로 설정되어 있는지 확인합니다.(그림 35 참조)
6. Bookmarks(책갈피) 탭의 드롭다운에서 Contracts 목록 이름을 선택한 다음 Add(추가)를 클릭합니다.또한 Enable bookmarks(책갈피 활성화)가 선택되어 있는지 확인합니다.(그림 40 참조)
7. Access Method(액세스 방법) 탭에서 Access Method(액세스 방법) Web-Portal(웹 포털)을 선택합니다.(그림 36 참조)
8. OK(확인)를 클릭한 다음 Apply(적용)를 클릭합니다.

DAP 선택 기준 - 위의 DAP 컨피그레이션 절차에 따라, 정의된 4 DAP 정책의 선택 기준이 그림 43, 44, 45 및 46과 일치해야 합니다.

그림 43. Managed Endpoints(관리 엔드포인트) - 이 DAP 레코드의 기준이 충족되면 직원은 클라이언트/네트워크(AnyConnect 클라이언트) 연결을 통해 회사 리소스에 액세스할 수 있습니다.

그림 44. 관리되지 않는 엔드포인트 - 이 DAP 레코드의 기준이 충족되면 직원은 클라이언트리스(포털) 연결을 통해 회사 리소스에 액세스할 수 있습니다.직원의 URL 목록도 이 정책에 적용됩니다.

그림 45. 게스트 액세스—이 DAP 레코드의 기준에 부합하면 계약업체는 클라이언트리스(포털) 연결을 통해 회사 리소스에 액세스할 수 있습니다.계약자의 URL 목록도 이 정책에 적용됩니다.

그림 46. 기본 DAP 정책 - 위의 모든 DAP 레코드에 대한 기준이 충족되지 않을 경우 기본적으로 직원 및 계약자는 액세스가 거부됩니다.

결론

이 예시에 명시된 고객의 원격 액세스 SSL VPN 요구 사항을 기반으로 이 솔루션은 원격 액세스 VPN 요구 사항을 충족합니다.

병합에서 진화하는 동적 VPN 환경을 통해 동적 액세스 정책은 빈번한 인터넷 컨피그레이션 변경, 각 사용자가 조직 내에 존재할 수 있는 다양한 역할, 서로 다른 컨피그레이션 및 보안 수준을 가진 매니지드 및 비관리 원격 액세스 사이트의 로그인에 적응하고 확장할 수 있습니다.

동적 액세스 정책은 고급 엔드포인트 평가, Host Scan, Secure Desktop, AAA 및 로컬 액세스 정책을 비롯한 새롭고 검증된 레거시 기술로 보완됩니다.따라서 조직은 모든 위치에서 모든 네트워크 리소스에 대한 보안 VPN 액세스를 자신 있게 제공할 수 있습니다.