기본 설정 구성

Security Cloud Control는 명확하고 간결한 인터페이스를 통해 정책 관리에 대한 고유한 보기를 제공합니다. ​다음은 Security Cloud Control를 처음 사용할 때 기본 사항을 다루는 항목입니다.

Security Cloud Control 라이선스

Security Cloud Control는 조직 자격에 대한 기본 구독과 디바이스 관리를 위한 디바이스 라이선스가 필요합니다. 필요한 테넌트 수에 따라 하나 이상의 Security Cloud Control 기본 구독을 구입하고 디바이스 모델 번호 및 수량에 따라 디바이스 라이선스를 구입할 수 있습니다. 즉, 기본 구독을 구매하면 Security Cloud Control 조직이 제공되며 Security Cloud Control를 사용하여 관리하기로 선택한 모든 디바이스에 대해 별도의 디바이스 라이선스가 필요합니다.

구축 계획을 위해 각 Security Cloud Control 테넌트는 SDC(Secure Device Connector)를 통해 약 500개의 디바이스를 관리하고 클라우드 커넥터를 사용하는 원하는 수의 디바이스를 관리할 수 있습니다. 자세한 내용은 SDC(Secure Device Connector)를 참조하십시오.

Security Cloud Control에서 디바이스를 온보딩하고 관리하려면, 관리하려는 디바이스에 따라 기본 구독 및 디바이스별 기간 기반 구독을 구매해야 합니다.

구독

Security Cloud Control Firewall Management 구독은 기간 기반입니다.

  • 기본- 1년, 3년 및 5년 동안의 구독을 제공하고 Security Cloud Control 조직에 액세스하고 적절하게 라이선스가 부여된 디바이스를 온보딩할 수 있는 권한을 제공합니다.

  • 디바이스 라이선스 - 관리하기로 선택한 모든 지원 디바이스에 대해 1년, 3년 및 5년 구독을 제공합니다. 예를 들어 Cisco Firepower 1010 디바이스에 대한 3년 소프트웨어 구독을 구매한 경우, 3년 동안 Security Cloud Control를 사용하여 Cisco Firepower 1010 디바이스를 관리하도록 선택할 수 있습니다.

Security Cloud Control가 지원하는 Cisco 보안 디바이스에 대한 자세한 내용은 Security Cloud Control에서 지원하는 소프트웨어 및 하드웨어를 참조하십시오.

CDO로 방화벽을 관리할 때 Security Analytics and LoggingSecurity Cloud Control 구독과 결합하거나 Security Analytics and Logging 엔타이틀먼트를 별도의 구독으로 얻을 수 있습니다. Security Analytics and Logging 구독에 대한 자세한 내용은 Security Analytics and Logging 라이선스를 참조하십시오.


참고

Catalyst SD-WAN에는 추가 라이선스가 필요하지 않습니다. DNA 또는 WAN Essentials 라이선스를 사용하는 고객은 Security Cloud Control와 통합할 수 있습니다.


중요사항

Security Cloud Control에서 고가용성 디바이스 쌍을 관리하기 위해 두 개의 별도 디바이스 라이선스가 필요하지 않습니다. ASA(Secure Firewall ASA) 고가용성 쌍이 있는 경우, Security Cloud Control는 고가용성 디바이스 쌍을 하나의 단일 디바이스로 간주하므로 하나의 ASA 디바이스 라이선스를 구입하는 것으로 충분합니다.


참고

Cisco 스마트 라이선스 포털을 통해 Security Cloud Control 라이선스를 관리할 수 없습니다.

소프트웨어 구독 지원

Security Cloud Control 기본 구독에는 구독 기간 동안 유효한 소프트웨어 구독 지원이 포함되며 추가 비용 없이 소프트웨어 업데이트, 주요 업그레이드 및 Cisco TAC(Technical Assistance Center)에 대한 액세스를 제공합니다. 소프트웨어 지원이 기본적으로 선택되어 있지만 요구 사항에 따라 Security Cloud Control 솔루션 지원을 활용할 수도 있습니다.

클라우드 제공 Firewall Management Center 및 Threat Defense 라이선스

Security Cloud Control에서 클라우드 제공 Firewall Management Center를 사용하기 위해 별도의 라이선스를 구입할 필요가 없습니다. Security Cloud Control 테넌트의 기본 구독에는 클라우드 제공 Firewall Management Center에 대한 비용이 포함됩니다.

클라우드 제공 Firewall Management Center 평가 라이선스

클라우드 제공 Firewall Management Center은 90일 평가판 라이선스가 제공됩니다. 평가 기간이 경과한 후에도 Firewall Threat Defense 디바이스를 클라우드 제공 Firewall Management Center에 계속 온보딩할 수 있습니다. 단, 수동으로 트리거되거나 예약된 다른 모든 구축은 클라우드 제공 Firewall Management Center을 CSSM(Cisco Smart Software Manager)에 등록할 때까지 차단됩니다. 평가판 라이선스가 만료되면 Security Cloud Control이 알림 창의 알림을 통해 사용자에게 알립니다.

CSSM에 등록한 후 사용하고자 하는 기능에 필요한 라이선스를 구매하는 것을 권장합니다. 라이선스를 구매하면 클라우드 제공 Firewall Management Center이 컴플라이언스 위반 상태가 되지 않도록 합니다.

클라우드 제공 Firewall Management Center을 CSSM에 등록하는 방법에 대한 자세한 내용은 Management Center를 Smart Software Manager에 등록을 참조하십시오.

Security Cloud Control 테넌트에서 프로비저닝된 클라우드 제공 Firewall Management Center를 가져오는 방법을 알아보려면 Security Cloud Control 테넌트용 클라우드 제공 Firewall Management Center 요청을 참조하십시오.


참고

클라우드 제공 Firewall Management Center는 에어갭 네트워크의 디바이스에 대한 특정 라이선스 예약(SLR)을 지원하지 않습니다.

클라우드 제공 Firewall Management Center용 Threat Defense 라이선스

클라우드 제공 Firewall Management Center에서 관리하는 각 Secure Firewall Threat Defense 디바이스에 대해 개별 라이선스가 필요합니다. 자세한 내용은 Security Cloud Control Firewall Management에서 클라우드 제공 Firewall Management Center로 Firewall Threat Defense 관리에서 라이선싱을 참조하십시오.

Security Cloud Control클라우드 제공 Firewall Management Center으로 마이그레이션된 디바이스에 대한 라이선스를 처리하는 방법을 알아보려면 Management Center에서 Cloud로 Threat Defense 마이그레이션을 참조하십시오.


참고

Secure Firewall 버전 7.6.0의 평가 모드용 Talos 인증서가 2025년 3월 31일에 만료될 예정입니다. 이 날짜 이후로 평가 모드에서 Talos 호스팅 서비스(특히 웹 평판/범주 조회 관련 서비스)에 대한 액세스가 중단됩니다.

Security Cloud Control 플랫폼 유지 관리 일정

Security Cloud Control은 새로운 기능과 품질 개선으로 매주 플랫폼을 업데이트합니다. 이 일정에 따라 업데이트가 3시간 동안 이루어집니다.

요일

시간

(24시간제, UTC)

목요일

09:00 UTC - 12:00 UTC

이 유지 관리 기간 동안 조직에 계속 액세스할 수 있으며 클라우드 제공 Firewall Management Center 또는 Multicloud Defense 컨트롤러가 있는 경우, 해당 플랫폼에도 액세스할 수 있습니다. 또한 Security Cloud Control에 온보딩한 디바이스가 보안 정책을 계속 적용합니다.


참고

  • 유지 관리 기간 동안 관리하는 디바이스에 구성 변경 사항을 구축하는 데 Security Cloud Control을 사용하지 않는 것이 좋습니다.

  • Security Cloud Control과 통신이 중단되는 문제가 발생하면 유지보수 기간이 아니더라도 영향을 받는 모든 테넌트에게 최대한 신속하게 장애를 해결합니다.

클라우드 제공 Firewall Management Center 유지 관리 일정

테넌트에 구축된 클라우드 제공 Firewall Management Center을 보유한 고객은 Security Cloud Control클라우드 제공 Firewall Management Center 환경을 업데이트하기 약 1주일 전에 알림을 받습니다. 테넌트의 슈퍼 관리자 및 관리자 사용자에게는 이메일 알림이 전송됩니다. Security Cloud Control 는 또한 모든 사용자에게 향후 업데이트를 알리는 배너를 홈페이지에 표시합니다.


참고

  • 유지 관리 기간 동안 관리하는 디바이스에 구성 변경 사항을 구축하는 데 클라우드 제공 Firewall Management Center을 사용하지 않는 것이 좋습니다.

  • Security Cloud Control또는 클라우드 제공 Firewall Management Center과 통신이 중단되는 문제가 발생하면 유지보수 기간이 아니더라도 영향을 받는 모든 테넌트에게 최대한 신속하게 장애를 해결합니다.

개체 소개

개체는 하나 이상의 보안 정책에서 사용할 수 있는 정보의 컨테이너입니다. 개체를 사용하면 정책 일관성을 쉽게 유지할 수 있습니다. 단일 개체를 만들고 다른 정책을 사용하고 개체를 편집할 수 있으며 해당 변경 사항은 개체를 사용하는 모든 정책에 전파됩니다. 개체가 없는 경우 동일한 변경이 필요한 모든 정책을 개별적으로 수정해야 합니다.

디바이스를 온보딩하면, Security Cloud Control는 해당 디바이스에서 사용하는 모든 개체를 인식하고, 저장한 다음, Objects(개체) 페이지에 나열합니다. Objects(개체) 페이지에서 기존 개체를 편집하고 보안 정책에 사용할 새 개체를 생성할 수 있습니다.

Security Cloud Control은 여러 디바이스에서 사용되는 개체를 shared object(공유 개체)라고 부르고 Objects(개체) 페이지에서 이 배지 로 식별합니다.

때때로 공유 개체는 일부 "문제"를 발생시키고 더 이상 여러 정책 또는 디바이스에서 완벽하게 공유되지 않습니다.

  • Duplicate objects(중복 개체)는 이름은 다르지만 값은 같은 동일한 디바이스에 있는 두 개 이상의 개체입니다. 이러한 개체는 일반적으로 비슷한 용도로 사용되며 다른 정책에서 사용됩니다. 중복 개체는 다음 문제 아이콘 로 식별됩니다.

  • Inconsistent objects(일관성 없는 개체) 는 이름은 같지만 값이 다른 두 개 이상의 디바이스에 있는 개체입니다. 때로는 사용자가 동일한 이름과 콘텐츠로 다른 구성으로 개체를 생성하지만 시간이 지남에 따라 이러한 개체의 값이 달라져 불일치가 발생합니다. 일관성 없는 개체는 다음 문제 아이콘 로 식별됩니다.

  • 사용되지 않는 개체는 디바이스 구성에 존재하지만 다른 개체, 액세스 목록 또는 NAT 규칙에서 참조하지 않는 개체입니다. 사용되지 않는 개체는 다음 문제 아이콘 로 식별됩니다.

규칙 또는 정책에서 즉시 사용할 개체를 생성할 수도 있습니다. 규칙 또는 정책과 연결되지 않은 개체를 생성할 수 있습니다. 규칙이나 정책에서 연결되지 않은 개체를 사용하는 경우, Security Cloud Control는 해당 개체의 복사본을 생성하고 해당 복사본을 사용합니다.

Objects(개체) 메뉴로 이동하거나 네트워크 정책의 세부 정보에서 확인하여 Security Cloud Control에 의해 관리되는 개체를 볼 수 있습니다.

Security Cloud Control은 한 위치에서 지원되는 디바이스 전체에 걸쳐 네트워크 및 서비스 개체를 관리할 수 있습니다. Security Cloud Control에서는 다음과 같은 방법으로 개체를 관리할 수 있습니다.

  • 다양한 기준에 따라 https://securitydocs.cisco.com/api/v0/apps?appId=SccCdo&topic=cdo_object_filter를 검색하고 필터링할 수 있습니다.

  • 디바이스에서 중복되거나, 사용되지 않거나, 일관성이 없는 개체를 찾고 이러한 개체 문제를 통합, 삭제 또는 해결하십시오.

  • 연결되지 않은 개체를 찾아 사용하지 않는 경우 삭제합니다.

  • 여러 디바이스에서 공통적인 공유 개체를 검색합니다.

  • 변경 사항을 커밋하기 전에 일련의 정책 및 디바이스에 대한 개체 변경 사항의 영향을 평가합니다.

  • 다양한 정책 및 디바이스와 개체 및 개체의 관계 집합을 비교합니다.

  • Security Cloud Control에 온보딩된 후 디바이스에서 사용 중인 개체를 캡처합니다.

온보딩된 디바이스에서 개체를 생성, 편집 또는 읽는 데 문제가 있는 경우 자세한 내용은 Security Cloud Control 문제 해결을 참조하십시오.

개체 유형

다음 표에서는 Security Cloud Control를 사용하여 디바이스에 대해 생성하고 관리할 수 있는 개체에 대해 설명합니다.

Table 1. ASA(Adaptive Security Appliance) 개체 유형

개체

설명

주소 풀

개별 IPv4 또는 IPv6 주소 또는 IP 주소 범위와 일치하도록 주소 풀 개체를 구성할 수 있습니다.

AnyConnect 클라이언트 프로파일

AnyConnect 클라이언트 프로파일 개체는 파일 개체이며 구성(일반적으로 원격 액세스 VPN 정책)에서 사용되는 파일을 나타냅니다. AnyConnect 클라이언트 프로파일 및 AnyConnect 클라이언트 이미지 파일을 포함할 수 있습니다.

네트워크

네트워크 그룹과 네트워크 개체(네트워크 개체로 총칭함)는 호스트 또는 네트워크의 주소를 정의합니다.

서비스

서비스 개체, 서비스 그룹 및 포트 그룹은 TCP/IP 프로토콜 제품군의 일부로 간주되는 프로토콜 또는 포트를 포함하는 재사용 가능한 구성 요소입니다.

시간 범위

시간 범위 개체는 특정 시간을 정의하며 시작 시간, 종료 시간, 선택 사항인 반복 항목으로 구성됩니다. 네트워크 정책에서 이 개체를 사용하여 특정 기능 또는 자산에 대한 시간 기반 액세스를 제공합니다.

신뢰 지점

신뢰 지점을 사용하여 ASA에서 디지털 인증서를 관리하고 추적할 수 있습니다.

공유 개체

Security Cloud Control는 이름과 콘텐츠가 동일한 여러 디바이스의 개체인 공유 개체를 호출합니다. 공유 개체는 이 아이콘으로 식별됩니다.
Objects(개체) 페이지에서 공유 개체를 사용하면 한 곳에서 개체를 수정할 수 있으며 변경 사항은 해당 개체를 사용하는 다른 모든 정책에 영향을 미치므로 정책을 쉽게 유지 관리할 수 있습니다. 공유 개체가 없으면 동일한 변경이 필요한 모든 정책을 개별적으로 수정해야 합니다.

공유 개체를 볼 때 Security Cloud Control는 개체 테이블에 있는 개체의 내용을 표시합니다. 공유 개체는 정확히 동일한 내용을 갖습니다. Security Cloud Control는 세부 정보 창에서 개체 요소의 결합된 보기 또는 "평평한" 보기를 보여줍니다. 세부 정보 창에서 네트워크 요소는 간단한 목록으로 병합되며 명명된 개체와 직접 연결되지 않습니다.

개체 재정의

개체 재정의는 특정 디바이스에서 공유 네트워크 객체의 값을 재정의할 수 있게 해줍니다. Security Cloud Control는 재정의 구성 시 지정한 디바이스에 해당하는 값을 사용합니다. 이름은 같지만 값이 다른 두 개 이상의 디바이스에 있는 개체에 대하여 Security Cloud Control는 이러한 값이 재정의되기 때문에 Inconsistent objects(일관성 없는 개체)로 식별하지 않습니다.

대부분의 디바이스에 대한 정의가 해당하는 개체를 생성하고 다른 정의가 필요한 일부 디바이스의 개체에 대한 특정 변경 사항을 지정하는 재정의를 사용할 수 있습니다. 모든 디바이스에 재정의가 필요한 개체를 생성할 수도 있습니다. 하지만 이 경우 모든 디바이스에 단일 정책을 생성할 수 있습니다. 개체 재정의는 필요한 경우 개별 디바이스의 정책을 바꾸지 않고도 디바이스 전반에 걸쳐 사용이 가능한 작은 공유 정책 집합을 생성하도록 합니다.

예를 들어 각 사무실에 .프린터 서버가 있고, 프린터 서버 개체인 print-server를 만든 시나리오를 생각해 보십시오. ACL에는 프린터 서버가 인터넷에 액세스하는 것을 거부하는 규칙이 있습니다. 프린터 서버 개체에는 한 사무실에서 다른 사무실로 변경하려는 기본값이 있습니다. 값이 다를 수 있지만 개체 재정의를 사용하고 규칙과 "프린터-서버" 개체를 모든 위치에서 일관되게 유지함으로써 이 작업을 수행할 수 있습니다.


Note

일관되지 않은 개체가 있는 경우 재정의를 통해 개체를 단일 공유 개체로 결합할 수 있습니다. 자세한 내용은 불일치 개체 문제 해결을 참조하십시오.

연결 해제된 개체

규칙 또는 정책에서 즉시 사용할 개체를 생성할 수 있습니다. 규칙이나 정책과 연결되지 않은 개체를 생성할 수도 있습니다. 규칙이나 정책에서 연결되지 않은 개체를 사용하는 경우, Security Cloud Control는 해당 개체의 복사본을 생성하고 해당 복사본을 사용합니다. 연결되지 않은 원래 개체는 야간 유지 관리 작업에 의해 삭제되거나 사용자가 삭제할 때까지 사용 가능한 개체 목록에 남아 있습니다.

개체와 연결된 규칙 또는 정책이 실수로 삭제된 경우 모든 구성이 손실되지 않도록 연결되지 않은 개체는 사본으로 Security Cloud Control에 남아 있습니다.

왼쪽 창 에서 Objects(개체) > 를 클릭하고 Unassociated(연결되지 않음) 체크 박스를 선택합니다.

개체 비교

Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Objects(개체)를 클릭하고 옵션을 선택합니다.

Step 3

페이지에서 개체를 필터링하여 비교하려는 개체를 찾습니다.

Step 4

Compare(비교) 버튼 를 클릭합니다.

Step 5

비교할 개체를 최대 3개까지 선택합니다.

Step 6

화면 하단에서 개체를 나란히 봅니다.

  • 개체 세부 정보 제목 표시줄에서 위쪽 및 아래쪽 화살표를 클릭하면 개체 세부 정보를 더 많이 또는 더 적게 볼 수 있습니다.

  • 세부 정보 및 관계 상자를 확장하거나 축소하여 더 많거나 적은 정보를 확인합니다.

Step 7

(선택 사항) 관계 상자는 개체가 사용되는 방식을 보여줍니다. 디바이스 또는 정책과 연결될 수 있습니다. 개체가 디바이스와 연결된 경우 디바이스 이름을 클릭한 다음 View Configuration(구성 보기)을 클릭하여 디바이스 구성을 볼 수 있습니다. Security Cloud Control는 디바이스의 구성 파일을 표시하고 해당 개체에 대한 항목을 강조 표시합니다.

필터

Security Devices(보안 디바이스)Objects(개체) 페이지에서 다양한 필터를 사용하여 원하는 디바이스 및 개체를 찾을 수 있습니다.

필터링하려면 Security Devices(보안 디바이스), Policies(정책) 및 Objects(개체) 탭의 왼쪽 창에서 을 클릭합니다.

보안 디바이스 필터를 사용하면 디바이스 유형, 하드웨어 및 소프트웨어 버전, snort 버전, 구성 상태, 연결 상태, 충돌 탐지, 보안 디바이스 커넥터 및 레이블을 기준으로 필터링할 수 있습니다. 필터를 적용하여 선택한 디바이스 유형 탭 내에서 디바이스를 찾을 수 있습니다. 필터를 사용하여 선택한 디바이스 유형 탭 내에서 디바이스를 찾을 수 있습니다.

개체 필터를 사용하면 디바이스, 문제 유형, 공유 개체, 연결되지 않은 개체 및 개체 유형을 기준으로 필터링할 수 있습니다. 결과에 시스템 개체를 포함하거나 포함하지 않을 수 있습니다. 또한 검색 필드를 사용하여 필터 결과에서 특정 이름, IP 주소 또는 포트 번호를 포함하는 개체를 검색할 수 있습니다.

개체 유형 필터를 사용하면 네트워크 개체, 네트워크 그룹, URL 개체, URL 그룹, 서비스 개체, 서비스 그룹 등의 유형별로 개체를 필터링할 수 있습니다. 공유 개체 필터를 사용하면 기본값 또는 재정의 값이 있는 개체를 필터링할 수 있습니다.

디바이스 및 개체를 필터링할 때 검색 용어를 결합하여 몇 가지 잠재적 검색 전략을 생성하여 관련 결과를 찾을 수 있습니다.

다음 예제에서는 "문제(미사용 또는 일관성 없음) 및 공유 개체(기본값 또는 추가값 있음) 및 연결되지 않은 개체" 검색에 필터를 적용합니다.

개체 필터

필터링하려면 Objects(개체) 탭의 왼쪽 창에서 을(를) 클릭합니다.

  • Filter by Device(디바이스별 필터): 선택한 디바이스에 있는 개체를 볼 수 있도록 특정 디바이스를 선택할 수 있습니다.

  • Issues(문제): 사용하지 않거나 중복되고 일치하지 않는 개체를 선택하여 볼 수 있습니다.

  • Ignored Issues(무시된 문제): 불일치가 무시했던 모든 개체를 볼 수 있습니다.

  • Shared Objects(공유 개체): Security Cloud Control가 둘 이상의 디바이스에서 공유된 것으로 확인된 모든 개체를 볼 수 있습니다. 기본값만, 재정의 값 또는 둘 다를 사용하여 공유 개체를 보도록 선택할 수 있습니다.

  • Unassociated Objects(연결되지 않은 개체): 규칙이나 정책과 연결되지 않은 모든 개체를 볼 수 있습니다.

  • Object Type(개체 유형): 개체 유형을 선택하여 네트워크 개체, 네트워크 그룹, URL 개체, URL 그룹, 서비스 개체 및 서비스 그룹과 같이 선택한 유형의 개체만 표시할 수 있습니다.

하위 필터 – 각 기본 필터에는 선택 범위를 좁히기 위해 적용할 수 있는 하위 필터가 있습니다. 이러한 하위 필터는 네트워크, 서비스, 프로토콜 등의 개체 유형을 기반으로 합니다.

이 필터 표시줄에서 선택한 필터는 다음 기준과 일치하는 개체를 반환합니다.

* 두 디바이스 중 하나에 있는 개체. (디바이스를 지정하려면 Filter by Device(디바이스별 필터링)를 클릭합니다.) 및

* 일치하지 않는 개체 및

* 네트워크 개체 또는 서비스 개체 및

* 개체 명명 규칙에 "group"이라는 단어가 있습니다.

Show System Objects(시스템 개체 표시)를 선택했으므로 결과에 시스템 개체와 사용자 정의 개체가 모두 포함됩니다.

시스템 정의 개체 표시 필터

일부 디바이스는 공통 서비스에 대해 사전 정의된 개체가 함께 제공됩니다. 이러한 시스템 개체는 이미 생성되어 규칙 및 정책에서 사용할 수 있으므로 편리합니다. 개체 테이블에는 여러 시스템 개체가 있을 수 있습니다. 시스템 개체는 편집하거나 삭제할 수 없습니다.

Show System-Defined Objects(시스템 정의 개체 표시)는 기본적으로 꺼져 있습니다. 개체 테이블에 시스템 개체를 표시하려면 필터 표시줄에서 Show System-Defined Objects(시스템 정의 개체 표시)를 선택합니다. 개체 테이블에서 시스템 개체를 숨기려면 필터 표시줄에서 Show System Objects(시스템 개체 표시)를 선택하지 않은 상태로 둡니다.

시스템 개체를 숨기면 검색 및 필터링 결과에 포함되지 않습니다. 시스템 개체를 표시하면 개체 검색 및 필터링 결과에 포함됩니다.

개체 필터 구성

원하는 만큼 기준을 필터링할 수 있습니다. 더 많은 범주를 필터링할수록 예상되는 결과는 줄어듭니다.

Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Objects(개체)를 클릭합니다.

Step 3

페이지 상단의 필터 아이콘 을 클릭하여 필터 패널을 엽니다. 선택한 필터를 선택 취소하여 실수로 필터링된 개체가 없는지 확인합니다. 또한 검색 필드를 살펴보고 검색 필드에 입력되었을 수 있는 텍스트를 삭제합니다.

Step 4

특정 디바이스에 있는 것으로 결과를 제한하려면 다음을 수행합니다.

  1. Filter By Device(디바이스별 필터링)를 클릭합니다.

  2. 모든 디바이스를 검색하거나 디바이스 탭을 클릭하여 특정 종류의 디바이스만 검색합니다.

  3. 필터 기준에 포함할 디바이스를 선택합니다.

  4. OK(확인)를 클릭합니다.

Step 5

검색 결과에 시스템 개체를 포함하려면 Show System Objects(시스템 개체 표시)를 선택합니다. 검색 결과에서 시스템 개체를 제외하려면 Show System Objects(시스템 개체 표시)의 선택을 취소합니다.

Step 6

필터링할 개체 Issues(문제)를 선택합니다. 두 개 이상의 문제를 선택하면 선택한 범주의 개체가 필터 결과에 포함됩니다.

Step 7

문제가 있었지만 관리자가 무시한 개체를 확인하려면 Ignored(무시됨) 문제를 선택합니다.

Step 8

두 개 이상의 디바이스 간에 공유되는 개체를 필터링하는 경우 Shared Objects(공유 개체)에서 필수 필터를 선택합니다.

  • Default Values(기본값): 기본값만 있는 개체를 필터링합니다.

  • Override Values(값 재정의): 재정의된 값이 있는 개체를 필터링합니다.

  • Additional Values(추가 값): 추가 값이 있는 개체를 필터링합니다.

Step 9

규칙 또는 정책의 일부가 아닌 개체를 필터링하는 경우 Unassociated(연결되지 않음)를 선택합니다.

Step 10

필터링할 개체 유형을 선택합니다.

Step 11

Objects(개체) 검색 필드에 개체 이름, IP 주소 또는 포트 번호를 추가하여 필터링된 결과 중에서 검색 기준으로 개체를 찾을 수도 있습니다.
필터 기준에서 디바이스를 제외해야 하는 경우

필터링 기준에 디바이스를 추가하면 결과에 디바이스의 개체가 표시되지만 해당 개체와 다른 디바이스의 관계는 표시되지 않습니다. 예를 들어 ObjectA가 ASA1과 ASA2 간에 공유된다고 가정합니다. ASA1에서 공유 개체를 찾기 위해 개체를 필터링하는 경우 ObjectA를 찾을 수 있지만 Relationships(관계) 창에는 해당 개체가 ASA1에 있다는 것만 표시됩니다.

개체와 관련된 모든 디바이스를 보려면 검색 기준에 디바이스를 지정하지 마십시오. 다른 기준으로 필터링하고 원하는 경우 검색 기준을 추가하십시오. Security Cloud Control가 식별하는 개체를 선택한 다음 관계 창을 살펴봅니다. 개체와 관련된 모든 디바이스 및 정책이 표시됩니다.

개체 무시 취소

사용되지 않거나 중복되거나 일관성이 없는 개체를 해결하는 한 가지 방법은 해당 개체를 무시하는 것입니다. 개체가 사용되지 않거나 중복되거나 일관성이 없더라도 해당 상태에 대한 타당한 이유가 있다고 판단하고 개체 문제를 해결되지 않은 상태로 두도록 선택할 수 있습니다. 나중에 무시된 개체를 해결해야 할 수도 있습니다. Security Cloud Control는 개체 문제를 검색할 때 무시된 개체를 표시하지 않으므로 무시된 개체에 대한 개체 목록을 필터링한 다음 결과에 따라 조치를 취해야 합니다.

Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Objects(개체)를 클릭하고 옵션을 선택합니다.

Step 3

무시된 개체를 필터링하고 검색합니다.

Step 4

Object(개체) 테이블에서 무시를 취소할 개체를 선택합니다. 한 번에 하나의 개체를 무시 취소할 수 있습니다.

Step 5

세부 정보 창에서 Unignore(무시)를 클릭합니다.

Step 6

요청을 확인합니다. 이제 문제별로 개체를 필터링하면 이전에 무시되었던 개체를 찾아야 합니다.

개체 삭제

단일 개체 또는 여러 개체를 삭제할 수 있습니다.

단일 개체 삭제


Caution

클라우드 제공 Firewall Management Center가 테넌트에 구축된 경우:

ASA, FDM 및 FTD 네트워크 개체 및 그룹에 대한 변경 사항은 해당 클라우드 제공 Firewall Management Center 네트워크 개체 또는 그룹에 반영됩니다. 또한 Discover & Manage Network Objects(네트워크 개체 검색 및 관리)가 활성화된 각 온프레미스 관리 센터에 대한 Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 페이지에 항목이 생성됩니다. 여기에서 변경 사항을 선택하고 개체가 있는 온프레미스 관리 센터에 구축할 수 있습니다.

한 페이지에서 네트워크 개체 또는 그룹을 삭제하면 두 페이지 모두에서 개체 또는 그룹이 삭제됩니다.
Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Objects(개체)를 클릭합니다.

Step 3

개체 필터와 검색 필드를 사용하여 삭제하려는 개체를 찾아 선택합니다.

Step 4

Relationships(관계) 창을 검토합니다. 개체가 정책 또는 개체 그룹에서 사용되는 경우 해당 정책 또는 그룹에서 개체를 제거할 때까지 개체를 삭제할 수 없습니다.

Step 5

작업 창에서 Remove(제거) 아이콘 를 클릭합니다.

Step 6

OK(확인)을 클릭하여 개체 삭제를 확인합니다.

Step 7

변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

사용되지 않는 개체 그룹 삭제

디바이스를 온보딩하고 개체 문제를 해결하기 시작하면 사용하지 않는 개체를 많이 찾습니다. 한 번에 최대 50개의 사용하지 않는 개체를 삭제할 수 있습니다.

프로시저

단계 1

Issues(문제) 필터를 사용하여 미사용 개체를 찾습니다. 디바이스 필터를 사용하여 디바이스 없음을 선택하여 디바이스와 연결되지 않은 개체를 찾을 수도 있습니다. 개체 목록을 필터링하면 개체 확인란이 나타납니다.

단계 2

개체 테이블 머리글에서 Select all(모두 선택) 확인란을 선택하여 개체 테이블에 나타나는 필터에 의해 발견된 모든 개체를 선택합니다. 또는 삭제할 개별 개체에 대한 개별 확인란을 선택합니다.

단계 3

작업 창에서 Remove(제거) 아이콘 를 클릭합니다.

단계 4

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

네트워크 개체

네트워크 개체는 호스트 이름, 네트워크 IP 주소, IP 주소의 범위, FQDN(인증된 도메인 이름) 또는 CIDR 표기법으로 표현된 서브 네트워크를 포함할 수 있습니다. 네트워크 그룹은 그룹에 추가하는 네트워크 개체 및 기타 개별 주소 또는 서브 네트워크의 모음입니다. 네트워크 개체 및 네트워크 그룹은 액세스 규칙, 네트워크 정책 및 NAT 규칙에서 사용됩니다. Security Cloud Control를 사용하여 네트워크 개체 및 네트워크 그룹을 생성, 업데이트 및 삭제할 수 있습니다.

동적 개체를 공유할 때 Cisco Meraki 및 Multicloud Defense 등 모든 플랫폼이 네트워크 개체를 지원하는 것은 아니며, Security Cloud Control는 원본 플랫폼 또는 디바이스에서 적절한 정보를 Security Cloud Control이 사용할 수 있는 사용 가능한 정보 집합으로 자동으로 변환합니다.

Table 2. 네트워크 개체의 허용되는 값

디바이스 유형

IPv4 / IPv6

단일 주소

주소 범위

전체(Fully Qualified) 도메인 이름

CIDR 표기법의 서브넷

ASA

IPv4 및 IPv6

Multicloud Defense

IPv4 및 IPv6

Table 3. 네트워크 그룹의 허용되는 콘텐츠

디바이스 유형

IP 값

네트워크 개체

네트워크 그룹

ASA

Multicloud Defense

제품 간 네트워크 개체 재사용

Security Cloud Control 테넌트가 하나 있고 클라우드 제공 Firewall Management Center 및 하나 이상의 온프레미스 관리 센터가 테넌트에 온보딩된 경우:

  • Secure Firewall Threat Defense, FDM 관리 Firewall Threat Defense, ASA 또는 Meraki 네트워크 개체 또는 그룹을 생성하면 클라우드 제공 Firewall Management Center를 구성할 때 사용되는 Objects(개체) 페이지의 개체 목록에도 개체의 복사본이 추가되며, 그 반대의 경우도 마찬가지입니다.

  • Secure Firewall Threat Defense, FDM 관리 Firewall Threat Defense 또는 ASA 네트워크 개체나 그룹을 생성하면 Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 페이지에 Discover & Manage Network Objects(네트워크 개체 검색 및 관리)가 활성화된 각 온프레미스 방화벽 Management Center에 대해 항목이 생성됩니다. 이 목록에서 개체를 사용하려는 온프레미스 관리 센터에 개체를 선택하여 구축하고 원하지 않는 개체를 폐기할 수 있습니다. ,Administration(관리) > Firewall Management Center 로 이동하고 온프레미스 관리 센터를 선택한 후 Objects(개체)를 클릭하여 온프레미스 방화벽 Management Center 사용자 인터페이스에서 개체를 확인하고 정책에 할당합니다.

한 페이지에서 네트워크 개체 또는 그룹에 대한 변경 사항은 두 페이지의 개체 또는 그룹 인스턴스에 적용됩니다. 한 페이지에서 개체를 삭제하면 다른 페이지에서도 개체의 해당 복사본이 삭제됩니다.

예외:

  • 클라우드 제공 Firewall Management Center에 대해 동일한 이름의 네트워크 개체가 이미 있는 경우, 새로운 Secure Firewall Threat Defense, FDM 관리 Firewall Threat Defense, ASA 또는 Meraki 네트워크 개체는 Security Cloud ControlObjects(개체) 페이지에서 복제되지 않습니다.

  • 온프레미스 Secure Firewall Management Center에서 관리하는 온보딩된 Firewall Threat Defense 디바이스의 네트워크 개체 및 그룹은 복제되지 않으며, 클라우드 제공 Firewall Management Center에서 사용할 수 없습니다.

    클라우드 제공 Firewall Management Center마이그레이션된 온프레미스 Secure Firewall Management Center 인스턴스의 경우, 네트워크 개체 및 그룹이 FTD 디바이스에 구축된 정책에서 사용되었다면 네트워크 개체 및 그룹이 Security Cloud Control 개체 페이지에 복제됩니다.

  • Security Cloud Control클라우드 제공 Firewall Management Center 간에 네트워크 개체 공유는 새로운 테넌트에서 자동으로 활성화되지만 기존 테넌트에 대해서는 요청해야 합니다. 네트워크 개체를 클라우드 제공 Firewall Management Center와 공유하지 않는 경우 TAC에 문의하여 테넌트에서 기능을 활성화하십시오.

  • Security Cloud Control온프레미스 관리 센터간의 네트워크 개체 공유는 Security Cloud Control에 온보딩된 새 온프레미스 관리 센터에 대해 Security Cloud Control에서 자동으로 활성화되지 않습니다. 네트워크 개체가 온프레미스 관리 센터와 공유되지 않는 경우 Settings(설정)에서 온프레미스 관리 센터에 대해 Discover & Manage Network Objects(네트워크 개체 검색 및 관리) 토글 버튼이 활성화되어 있는지 확인하거나 TAC에 문의하여 테넌트에서 기능을 활성화하십시오.

네트워크 개체 보기

Security Cloud Control를 사용하여 생성한 네트워크 개체와 온보딩된 디바이스 구성에서 Security Cloud Control가 인식것이 Objects(개체) 페이지에 표시됩니다. 개체 유형으로 레이블이 지정됩니다. 이렇게 하면 개체 유형으로 필터링하여 원하는 개체를 빠르게 찾을 수 있습니다.

Objects(개체) 페이지에서 네트워크 개체를 선택하면 Details(세부 정보) 창에 개체의 값이 표시됩니다. Relationships(관계) 창에는 개체가 정책에서 사용되는지 여부와 개체가 저장된 디바이스가 표시됩니다.

네트워크 그룹을 클릭하면 해당 그룹의 콘텐츠가 표시됩니다. 네트워크 그룹은 네트워크 개체에 의해 제공되는 모든 값의 복합물입니다.

ASA 네트워크 개체 및 네트워크 그룹 생성 또는 편집

ASA 네트워크 개체는 CIDR 표기법으로 표시된 호스트 이름, IP 주소 또는 서브넷 주소를 포함할 수 있습니다. 네트워크 그룹은 액세스 규칙, 네트워크 정책 및 NAT 규칙에 사용되는 네트워크 개체, 네트워크 그룹 및 IP 주소의 복합 그룹입니다. Security Cloud Control를 사용하여 네트워크 개체 및 네트워크 그룹을 생성, 읽기, 업데이트 및 삭제할 수 있습니다.

Table 4. ASA 네트워크 개체 및 그룹의 허용 값

디바이스 유형

IPv4 / IPv6

단일 주소

주소 범위

PQDN(Partially Qualified Domain Name)

CIDR 표기법의 서브넷

ASA

IPv4 / IPv6


Note

클라우드 제공 Firewall Management Center가 테넌트에 구축된 경우:

Objects(개체) 페이지에서 FTD, FDM 또는 ASA 네트워크 개체 또는 그룹을 생성하면 개체의 복사본이 클라우드 제공 Firewall Management Center에 자동으로 추가되며 그 반대의 경우도 마찬가지입니다. 또한 Discover & Manage Network Objects(네트워크 개체 검색 및 관리)가 활성화된 각 온프레미스 관리 센터에 대한 Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 페이지에 항목이 생성됩니다. 여기에서 개체를 선택하고 개체가 있는 온프레미스 관리 센터에 구축할 수 있습니다.

Caution

클라우드 제공 Firewall Management Center가 테넌트에 구축된 경우:

ASA, FDM 및 FTD 네트워크 개체 및 그룹에 대한 변경 사항은 해당 클라우드 제공 Firewall Management Center 네트워크 개체 또는 그룹에 반영됩니다. 또한 Discover & Manage Network Objects(네트워크 개체 검색 및 관리)가 활성화된 각 온프레미스 관리 센터에 대한 Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 페이지에 항목이 생성됩니다. 여기에서 변경 사항을 선택하고 개체가 있는 온프레미스 관리 센터에 구축할 수 있습니다.

한 페이지에서 네트워크 개체 또는 그룹을 삭제하면 두 페이지 모두에서 개체 또는 그룹이 삭제됩니다.
ASA 네트워크 개체 생성

네트워크 개체는 호스트 이름, 네트워크 IP 주소, IP 주소의 범위, FQDN(인증된 도메인 이름) 또는 CIDR 표기법으로 표현된 서브 네트워크를 포함할 수 있습니다. 네트워크 개체는 액세스 규칙, 네트워크 정책 및 NAT 규칙에서 사용됩니다. Security Cloud Control를 사용하여 네트워크 개체 및 네트워크 그룹을 생성, 업데이트 및 삭제할 수 있습니다.


Note

클라우드 제공 Firewall Management Center가 테넌트에 구축된 경우:

Objects(개체) 페이지에서 FTD, FDM 또는 ASA 네트워크 개체 또는 그룹을 생성하면 개체의 복사본이 클라우드 제공 Firewall Management Center에 자동으로 추가되며 그 반대의 경우도 마찬가지입니다. 또한 Discover & Manage Network Objects(네트워크 개체 검색 및 관리)가 활성화된 각 온프레미스 관리 센터에 대한 Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 페이지에 항목이 생성됩니다. 여기에서 개체를 선택하고 개체가 있는 온프레미스 관리 센터에 구축할 수 있습니다.
Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

Step 3

파란색 플러스 버튼 을 클릭하여 개체를 생성합니다.

Step 4

ASA > Network(ASA 네트워크)를 클릭합니다.

Step 5

개체 이름을 입력합니다.

Step 6

Create a network object(네트워크 개체 생성)를 선택합니다.

Step 7

(선택 사항) 개체 설명을 입력합니다.

Step 8

Value(값) 섹션에서 다음 방법 중 하나로 IP 주소 정보를 추가합니다.

  • eq를 선택한 다음 단일 IP 주소, CIDR 표기법을 사용한 서브넷 주소 또는 PQDN(Partially Qualified Domain Name)을 입력합니다.

  • 범위를 선택한 다음 IP 주소의 범위를 입력합니다. 시작 주소와 끝 주소를 공백으로 구분하여 범위를 입력합니다. 예: 10.1.1.1 10.1.1.255 또는 2001:DB8:1::1 2001:DB8:1::3

Step 9

Add(추가)를 클릭합니다.

Important

 

새로 생성된 네트워크 개체는 규칙 또는 정책의 일부가 아니므로 ASA 디바이스와 연결되지 않습니다. 이러한 개체를 보려면 개체 필터에서 Unassociated(연결되지 않음) 개체 범주를 선택합니다.

자세한 내용은 개체 필터를 참조하십시오. 디바이스의 규칙 또는 정책에서 연결되지 않은 개체를 사용하면 이러한 개체는 해당 디바이스와 연결됩니다.

ASA 네트워크 그룹 생성

네트워크 그룹은 IP 주소 값, 네트워크 개체 및 네트워크 그룹을 포함할 수 있습니다. 새 네트워크 그룹을 만들 때 이름, IP 주소, IP 주소 범위 또는 FQDN으로 기존 개체를 검색하고 네트워크 그룹에 추가할 수 있습니다. 개체가 없는 경우 동일한 인터페이스에서 해당 개체를 즉시 생성하고 네트워크 그룹에 추가할 수 있습니다. 네트워크 그룹은 IPv4 및 IPv6 주소를 모두 포함할 수 있습니다.


Note

클라우드 제공 Firewall Management Center가 테넌트에 구축된 경우:

Objects(개체) 페이지에서 FTD, FDM 또는 ASA 네트워크 개체 또는 그룹을 생성하면 개체의 복사본이 클라우드 제공 Firewall Management Center에 자동으로 추가되며 그 반대의 경우도 마찬가지입니다. 또한 Discover & Manage Network Objects(네트워크 개체 검색 및 관리)가 활성화된 각 온프레미스 관리 센터에 대한 Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 페이지에 항목이 생성됩니다. 여기에서 개체를 선택하고 개체가 있는 온프레미스 관리 센터에 구축할 수 있습니다.
Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

Step 3

파란색 플러스 버튼 을 클릭하여 개체를 생성합니다.

Step 4

ASA > Network(ASA 네트워크)를 클릭합니다.

Step 5

개체 이름을 입력합니다.

Step 6

Create a network group(네트워크 그룹 생성)을 선택합니다.

Step 7

(선택 사항) 개체 설명을 입력합니다.

Step 8

Values(값) 필드에 값 또는 개체 이름을 입력합니다. 입력을 시작하면 Security Cloud Control에서 항목과 일치하는 개체 이름 또는 값을 제공합니다.

Step 9

표시된 기존 개체 중 하나를 선택하거나 입력한 이름 또는 값을 기반으로 새 개체를 생성할 수 있습니다.

Step 10

Security Cloud Control가 일치하는 항목을 찾은 경우 기존 개체를 선택하려면 Add(추가)를 클릭하여 네트워크 개체 또는 네트워크 그룹을 새 네트워크 그룹에 추가합니다.

Step 11

존재하지 않는 값 또는 개체를 입력한 경우 다음 중 하나를 수행할 수 있습니다.

  • 해당 이름으로 새 개체를 생성하려면 Add as New Object With This Name(이 이름의 새 개체로 추가)을 클릭합니다. 값을 입력하고 확인 표시를 클릭하여 저장합니다.

  • 새 개체를 생성하려면 Add as New Object(새 개체로 추가)를 클릭합니다. 개체 이름과 값이 동일합니다. 이름을 입력하고 확인 표시를 클릭하여 저장합니다.

  • 개체를 사용하지 않고 인라인 값을 만들려면 Add Value(값 추가)를 클릭합니다. 값을 입력하고 확인 표시를 클릭하여 저장합니다.

값이 이미 있는 경우에도 새 개체를 생성할 수 있습니다. 이러한 개체를 변경하고 저장할 수 있습니다.

Note

 

편집 아이콘을 클릭하여 세부 정보를 편집할 수 있습니다. 삭제 버튼을 클릭해도 개체 자체는 삭제되지 않습니다. 대신 네트워크 그룹에서 제거됩니다.

Step 12

필요한 개체를 추가한 후 Add(추가)를 클릭하여 새 네트워크 그룹을 생성합니다.

Step 13

모든 디바이스에 대한 구성 변경 사항 미리보기 및 구축.

ASA 네트워크 개체 편집

Caution

클라우드 제공 Firewall Management Center가 테넌트에 구축된 경우:

ASA, FDM 및 FTD 네트워크 개체 및 그룹에 대한 변경 사항은 해당 클라우드 제공 Firewall Management Center 네트워크 개체 또는 그룹에 반영됩니다. 또한 Discover & Manage Network Objects(네트워크 개체 검색 및 관리)가 활성화된 각 온프레미스 관리 센터에 대한 Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 페이지에 항목이 생성됩니다. 여기에서 변경 사항을 선택하고 개체가 있는 온프레미스 관리 센터에 구축할 수 있습니다.

한 페이지에서 네트워크 개체 또는 그룹을 삭제하면 두 페이지 모두에서 개체 또는 그룹이 삭제됩니다.
Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

Step 3

개체 필터 및 검색 필드를 사용하여 편집할 개체를 찾습니다.

Step 4

네트워크 개체를 선택하고 Actions(작업) 창에서 편집 아이콘 을 클릭합니다.

Step 5

위의 절차에서 만든 것과 같은 방식으로 대화 상자에서 값을 수정합니다.

Note

 

네트워크 그룹에서 개체를 제거하려면 옆에 있는 삭제 아이콘을 클릭합니다.

Step 6

Save(저장)를 클릭합니다. Security Cloud Control는 변경의 영향을 받는 디바이스를 표시합니다.

Step 7

Confirm(확인)을 클릭하여 개체 및 해당 개체의 영향을 받는 모든 디바이스에 대한 변경을 완료합니다.

ASA 네트워크 그룹 편집

Caution

클라우드 제공 Firewall Management Center가 테넌트에 구축된 경우:

ASA, FDM 및 FTD 네트워크 개체 및 그룹에 대한 변경 사항은 해당 클라우드 제공 Firewall Management Center 네트워크 개체 또는 그룹에 반영됩니다. 또한 Discover & Manage Network Objects(네트워크 개체 검색 및 관리)가 활성화된 각 온프레미스 관리 센터에 대한 Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 페이지에 항목이 생성됩니다. 여기에서 변경 사항을 선택하고 개체가 있는 온프레미스 관리 센터에 구축할 수 있습니다.

한 페이지에서 네트워크 개체 또는 그룹을 삭제하면 두 페이지 모두에서 개체 또는 그룹이 삭제됩니다.
Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

Step 3

개체 필터 및 검색 필드를 사용하여 편집하려는 네트워크 그룹을 찾습니다.

Step 4

SGT 그룹을 선택하고 Actions(작업) 창에서 편집 아이콘 를 클릭합니다.

Step 5

이 네트워크 그룹에 새 네트워크 개체 또는 네트워크 그룹을 추가하려면 다음 단계를 수행합니다.

  1. 개체 이름 또는 네트워크 그룹 옆에 나타나는 편집 아이콘 을 클릭하여 수정합니다.

  2. 확인 표시를 클릭하여 변경 사항을 저장합니다.

Note

 

네트워크 그룹에서 값을 제거하려면 삭제 아이콘을 클릭합니다.

Step 6

이 네트워크 그룹에 새 네트워크 개체 또는 네트워크 그룹을 추가하려면 다음 단계를 수행합니다.

  1. Values(값) 필드에 새 값이나 기존 네트워크 개체의 이름을 입력합니다. 입력을 시작하면 Security Cloud Control에서 항목과 일치하는 개체 이름 또는 값을 제공합니다. 표시된 기존 개체 중 하나를 선택하거나 입력한 이름 또는 값을 기반으로 새 개체를 생성할 수 있습니다.

  2. Security Cloud Control가 일치하는 항목을 찾은 경우 기존 개체를 선택하려면 Add(추가)를 클릭하여 네트워크 개체 또는 네트워크 그룹을 새 네트워크 그룹에 추가합니다.

  3. 존재하지 않는 값 또는 개체를 입력한 경우 다음 중 하나를 수행할 수 있습니다.

    • 해당 이름으로 새 개체를 생성하려면 Add as New Object With This Name(이 이름의 새 개체로 추가)을 클릭합니다. 값을 입력하고 확인 표시를 클릭하여 저장합니다.

    • 새 개체를 생성하려면 Add as New Object(새 개체로 추가)를 클릭합니다. 개체 이름과 값이 동일합니다. 이름을 입력하고 확인 표시를 클릭하여 저장합니다.

    • 개체를 사용하지 않고 인라인 값을 만들려면 Add Value(값 추가)를 클릭합니다. 값을 입력하고 확인 표시를 클릭하여 저장합니다.

값이 이미 있는 경우에도 새 개체를 생성할 수 있습니다. 이러한 개체를 변경하고 저장할 수 있습니다.

Step 7

Save(저장)를 클릭합니다. Security Cloud Control는 변경의 영향을 받는 정책을 표시합니다.

Step 8

Confirm(확인)을 클릭하여 개체 및 해당 개체의 영향을 받는 모든 디바이스에 대한 변경을 완료합니다.

Step 9

모든 디바이스에 대한 구성 변경 사항 미리보기 및 구축.

Security Cloud Control의 공유 네트워크 그룹에 추가 값 추가

공유 네트워크 그룹에 연결된 모든 디바이스에 있는 값을 "기본값"이라고 합니다. Security Cloud Control은 공유 네트워크 그룹에 "추가 값"을 추가하고 해당 공유 네트워크 그룹과 연결된 일부 디바이스에 해당 값을 할당할 수 있습니다. Security Cloud Control는 변경 사항을 디바이스에 구축할 때 콘텐츠를 확인하고 공유 네트워크 그룹과 연결된 모든 디바이스에 "기본값"을 푸시하고 지정된 디바이스에만 "추가 값"을 푸시합니다.

모든 사이트에서 액세스할 수 있어야 하는 본사에 4개의 AD 기본 서버가 있는 시나리오를 예로 들어 보겠습니다. 따라서 모든 사이트에서 사용할 "Active-Directory"라는 개체 그룹을 생성했습니다. 이제 지사 중 하나에 두 개의 AD 서버를 추가하려고 합니다. 개체 그룹 "Active-Directory"에서 해당 지사에 특정한 추가 값으로 세부 정보를 추가하여 이 작업을 수행할 수 있습니다. 이 두 서버는 "Active-Directory" 개체가 일관성이 있는지 또는 공유되는지를 확인하는 데 참여하지 않습니다. 따라서 모든 사이트에서 4개의 AD 기본 서버에 액세스할 수 있지만 지사(2개의 추가 서버 포함)는 2개의 AD 서버와 4개의 AD 기본 서버에 액세스할 수 있습니다.


Note

일치하지 않는 공유 네트워크 그룹이 있는 경우 추가 값을 사용하여 단일 공유 네트워크 그룹으로 결합할 수 있습니다. 자세한 내용은 일관되지 않은 개체 문제 해결을 참조하십시오.


Caution

클라우드 제공 Firewall Management Center가 테넌트에 구축된 경우:

ASA, FDM 및 FTD 네트워크 개체 및 그룹에 대한 변경 사항은 해당 클라우드 제공 Firewall Management Center 네트워크 개체 또는 그룹에 반영됩니다. 또한 Discover & Manage Network Objects(네트워크 개체 검색 및 관리)가 활성화된 각 온프레미스 관리 센터에 대한 Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 페이지에 항목이 생성됩니다. 여기에서 변경 사항을 선택하고 개체가 있는 온프레미스 관리 센터에 구축할 수 있습니다.

한 페이지에서 네트워크 개체 또는 그룹을 삭제하면 두 페이지 모두에서 개체 또는 그룹이 삭제됩니다.
Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

Step 3

개체 필터 및 검색 필드를 사용하여 편집할 공유 네트워크 그룹을 찾습니다.

Step 4

Actions(작업) 창에서 편집 아이콘 을 클릭합니다.

  • Devices(디바이스) 필드에는 공유 네트워크 그룹이 있는 디바이스가 표시됩니다.

  • Usage(사용) 필드에는 공유 네트워크 그룹과 연결된 규칙 집합이 표시됩니다.

  • Default Values(기본값) 필드는 생성 중에 제공된 공유 네트워크 그룹과 연결된 기본 네트워크 개체 및 해당 값을 지정합니다. 이 필드 옆에서 이 기본값이 포함된 디바이스의 수를 볼 수 있으며, 클릭하여 해당 이름 및 디바이스 유형을 볼 수 있습니다. 이 값과 연결된 규칙 집합도 확인할 수 있습니다.

Step 5

추가 필드에 값 또는 이름을 입력합니다. 입력을 시작하면 Security Cloud Control에서 항목과 일치하는 개체 이름 또는 값을 제공합니다.

Step 6

표시된 기존 개체 중 하나를 선택하거나 입력한 이름 또는 값을 기반으로 새 개체를 생성할 수 있습니다.

Step 7

Security Cloud Control가 일치하는 항목을 찾은 경우 기존 개체를 선택하려면 Add(추가)를 클릭하여 네트워크 개체 또는 네트워크 그룹을 새 네트워크 그룹에 추가합니다.

Step 8

존재하지 않는 값 또는 개체를 입력한 경우 다음 중 하나를 수행할 수 있습니다.

  • 해당 이름으로 새 개체를 생성하려면 Add as New Object With This Name(이 이름의 새 개체로 추가)을 클릭합니다. 값을 입력하고 확인 표시를 클릭하여 저장합니다.

  • 새 개체를 생성하려면 Add as New Object(새 개체로 추가)를 클릭합니다. 개체 이름과 값이 동일합니다. 이름을 입력하고 확인 표시를 클릭하여 저장합니다.

  • 개체를 사용하지 않고 인라인 값을 만들려면 Add Value(값 추가)를 클릭합니다. 값을 입력하고 확인 표시를 클릭하여 저장합니다.

값이 이미 있는 경우에도 새 개체를 생성할 수 있습니다. 이러한 개체를 변경하고 저장할 수 있습니다.

Step 9

Devices(디바이스) 열에서 새로 추가된 개체와 연결된 셀을 클릭하고 Add Devices(디바이스 추가)를 클릭합니다.

Step 10

원하는 디바이스를 선택하고 OK(확인)를 클릭합니다.

Step 11

Save(저장)를 클릭합니다. Security Cloud Control는 변경의 영향을 받는 디바이스를 표시합니다.

Step 12

Confirm(확인)을 클릭하여 개체 및 해당 개체의 영향을 받는 모든 디바이스에 대한 변경을 완료합니다.

Step 13

모든 디바이스에 대한 구성 변경 사항 미리보기 및 구축.

Security Cloud Control에서 공유 네트워크 그룹의 추가 값 편집

Caution

클라우드 제공 Firewall Management Center가 테넌트에 구축된 경우:

ASA, FDM 및 FTD 네트워크 개체 및 그룹에 대한 변경 사항은 해당 클라우드 제공 Firewall Management Center 네트워크 개체 또는 그룹에 반영됩니다. 또한 Discover & Manage Network Objects(네트워크 개체 검색 및 관리)가 활성화된 각 온프레미스 관리 센터에 대한 Devices with Pending Changes(보류 중인 변경 사항이 있는 디바이스) 페이지에 항목이 생성됩니다. 여기에서 변경 사항을 선택하고 개체가 있는 온프레미스 관리 센터에 구축할 수 있습니다.

한 페이지에서 네트워크 개체 또는 그룹을 삭제하면 두 페이지 모두에서 개체 또는 그룹이 삭제됩니다.
Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

Step 3

개체 필터 및 검색 필드를 사용하여 편집하려는 재정의가 있는 개체를 찾습니다.

Step 4

Actions(작업) 창에서 편집 아이콘 을 클릭합니다.

Step 5

재정의 값을 수정합니다.

  • 값을 편집하려면 편집 아이콘을 클릭합니다.

  • Devices(디바이스) 열의 셀을 클릭하여 새 디바이스를 할당합니다. 이미 할당된 디바이스를 선택하고 Remove Overrides(재정의 제거)를 클릭하여 해당 디바이스에서 재정의를 제거할 수 있습니다.

  • Default Values(기본값) 화살표를 클릭하여 푸시하고 공유 네트워크 그룹의 추가 값으로 설정합니다. 공유 네트워크 그룹과 연결된 모든 디바이스가 자동으로 할당됩니다.

  • Override Values(값 재정의)에서 화살표를 클릭하여 공유 네트워크 그룹의 기본 개체로 푸시하고 설정합니다.

  • 네트워크 그룹에서 개체를 제거하려면 옆에 있는 삭제 아이콘을 클릭합니다.

Step 6

Save(저장)를 클릭합니다. Security Cloud Control는 변경의 영향을 받는 디바이스를 표시합니다.

Step 7

Confirm(확인)을 클릭하여 개체 및 해당 개체의 영향을 받는 모든 디바이스에 대한 변경을 완료합니다.

Step 8

모든 디바이스에 대한 구성 변경 사항 미리보기 및 구축.

Security Cloud Control에서 네트워크 개체 및 그룹 삭제

클라우드 제공 Firewall Management Center가 테넌트에 구축된 경우:

Manage(관리) > Objects(개체) 페이지에서 네트워크 개체 또는 그룹을 삭제하면 클라우드 제공 Firewall Management CenterManage(관리) > Objects(개체) 페이지에서 복제된 네트워크 개체 또는 그룹이 삭제되며, 그 반대의 경우도 마찬가지입니다.

트러스트 포인트 개체

Security Cloud Control를 사용하면 디지털 인증서를 트러스트 포인트 개체로 추가한 다음 하나 이상의 관리 ASA 디바이스에 설치할 수 있습니다. 단일 트러스트 포인트 개체는 ID 쌍(ID 인증서 및 발급자의 CA 인증서), ID 인증서만 또는 CA 인증서만 포함하는 컨테이너입니다.

ASA 디바이스에서 여러 트러스트 포인트를 구성할 수 있습니다. 지원되는 인증서 형식은 PKCS12, PEM 및 DER입니다.

PKCS12를 사용하여 ID 인증서 개체 추가

이 절차에서는 인증서 파일을 업로드하거나 기존 인증서 텍스트를 텍스트 상자에 붙여넣어 내부 인증서 ID 또는 내부 ID 인증서를 생성합니다. ID 인증서는 원하는 만큼 생성할 수 있습니다.

PKCS12 형식으로 인코딩된 파일을 업로드할 수 있습니다. PKCS12는 하나의 암호화된 파일에 서버 인증서, 중간 인증서 및 개인 키를 보관하는 단일 파일입니다. PKCS#12 또는 PFX에서 파일은 하나의 암호화된 파일에 서버 인증서, 중간 인증서 및 개인 키를 보관합니다. 암호 해독을 위해 Passphrase(암호 문구) 값을 입력합니다.

프로시저

단계 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

단계 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

단계 3

아이콘을 클릭하고 ASA > Trustpoints(트러스트 포인트)를 선택합니다.

단계 4

인증서의 Object Name(개체 이름)을 입력합니다. 이름은 구성에서 개체 이름으로만 사용되며 인증서 자체에 포함되지는 않습니다.

단계 5

Certificate Type(인증서 유형) 단계에서 Identity Certificate(ID 인증서)를 선택합니다.

단계 6

Import Type(가져오기 유형) 단계에서 Upload(업로드)를 선택하여 인증서 파일을 업로드합니다.

Enrollment(등록) 단계가 Terminal(터미널)로 설정되어 있습니다.

단계 7

Certificate Contents(인증서 콘텐츠) 단계에서 PKCS12 형식 세부 정보를 입력합니다.

PKCS#12 또는 PFX에서 파일은 하나의 암호화된 파일에 서버 인증서, 중간 인증서 및 개인 키를 보관합니다. 암호 해독을 위해 Passphrase(암호 문구) 값을 입력합니다.

단계 8

Continue(계속)를 클릭합니다.

단계 9

Advanced Options(고급 옵션) 단계에서 다음을 구성할 수 있습니다.

Revocation(해지) 탭에서 다음을 구성할 수 있습니다.

  • CRL(Certificate Revocation List) 활성화 - CRL 확인 활성화 여부를 확인합니다.

    기본적으로 Use CRL distribution point from the certificate(인증서에서 CRL 구축 지점 사용) 확인란이 선택되어 인증서에서 해지 목록 구축 URL을 가져옵니다.

    Cache Refresh Time (in minutes)(캐시 새로 고침 시간(분)) - 캐시 새로 고침 간격(분)을 입력합니다. 기본값은 60분입니다. 범위는 1분 ~ 1440분입니다. 동일한 CRL을 CA에서 반복적으로 검색할 필요 없이 ASA에서 검색된 CRL을 로컬에 저장할 수 있는데, 이를 CRL 캐싱이라고 합니다. CRL 캐시 용량은 플랫폼에 따라 다르며 모든 상황을 포괄하여 누적됩니다. 새로 검색된 CRL을 캐시에 저장하려는데 저장 한도를 초과할 경우, ASA에서는 가장 오래전에 사용된 CRL을 제거하면서 사용 가능한 공간을 늘립니다.

  • OCSP(Online Certificate Status Protocol) 활성화 - OCSP 확인 활성화 여부를 확인합니다.

    OCSP 서버 URL - OCSP 확인이 필요한 경우 폐기를 위한 OCSP 서버 확인 URL입니다. 이 URL은 http://로 시작해야 합니다.

    Disable Nonce Extension(Nonce 확장 비활성화) - 암호 기술을 사용하여 요청과 응답을 바인딩함으로써 반복 공격을 방지하는 확인란을 활성화합니다. 이 프로세스에서는 요청의 확장을 응답의 확장과 일치하는지 비교하면서 동일함을 보장합니다. 사용 중인 OCSP 서버가 이와 같이 일치하는 nonce 확장을 포함하지 않는 미리 생성된 응답을 보내는 경우, Disable Nonce Extension(Nonce 확장 비활성화) 확인란을 선택 취소합니다.

    Evaluation Priority(평가 우선순위) - 인증서의 해지 상태를 CRL에서 먼저 평가할지 OSCP에서 먼저 평가할지를 지정합니다.

  • Consider the certificate valid if revocation information cannot be reached(해지 정보에 연결할 수 없는 경우 인증서를 유효한 것으로 간주) - 해지 정보에 연결할 수 없는 경우 인증서를 유효한 인증서로 간주하려면 이 확인란을 선택합니다.

    해지 확인에 대한 자세한 내용은 Cisco ASA Series 일반 운영 ASDM 설정의 "기본 설정" 책, XY 문서에서 "디지털 인증서" 장을 참조하십시오.

Others(기타) 탭을 클릭합니다.

  • Use CA Certificate for the Validation of(다음을 위한 CA 인증서 사용) - 이 CA가 검증할 수 있는 연결 유형을 지정합니다.

    • IPSec Client(IPSec 클라이언트) - 원격 SSL 서버에서 제공하는 인증서를 검증합니다.

    • SSL Client(SSL 클라이언트) - 수신 SSL 연결에서 제공하는 인증서를 검증합니다.

    • SSL Server(SSL 서버) - 수신 IPSec 연결에서 제공하는 인증서를 검증합니다.

  • Use Identity Certificate for(ID 인증서 사용) - 등록된 ID 인증서의 사용 방법을 지정합니다.

    • SSL & IPSec - SSL 및 IPSec 연결 인증에 사용합니다.

    • Code Signer(코드 서명자) — 코드 서명자 인증서는 해당 개인 키가 디지털 서명 생성에 사용되는 특수한 인증서입니다. 코드 서명에 사용되는 인증서는 CA에서 가져온 것으로, 서명된 코드 자체가 인증서 원본을 나타냅니다.

  • 기타 옵션:

    • Enable CA flag in basic constraints extension(기본 제약 조건 확장에서 CA 플래그 활성화) - 이 인증서에서 다른 인증서에 서명할 수 있어야 하는 경우 이 옵션을 선택합니다. 기본 제약 조건 확장은 인증서의 주체가 CA(Certificate Authority)인지 여부를 식별하며 이 경우 인증서를 사용하여 다른 인증서에 서명할 수 있습니다. CA 플래그는 이 확장의 일부입니다.

    • Accept certificates issued by this CA(CA에서 발급된 인증서 허용) - ASA에서 지정된 CA의 인증서를 허용해야 하는 경우 이 옵션을 선택합니다.

    • Ignore IPsec Key Usage(IPsec 키 사용 무시) - IPsec 원격 클라이언트 인증서의 키 사용 및 확장 키 사용 확장 값을 검증하지 않으려는 경우 이 옵션을 선택합니다. IPsec 클라이언트 인증서를 확인하는 키 사용을 억제할 수 있습니다. 기본적으로 이 옵션은 활성화되어 있지 않습니다.

단계 10

Add(추가)를 클릭합니다.

자체 서명 인증서 개체 생성

이 절차에서는 마법사에서 적절한 인증서 필드 값을 입력하여 ASA에 대한 자체 서명 인증서를 생성하는 단계를 설명합니다. 자체 서명 인증서는 원하는 만큼 생성할 수 있습니다.

자체 서명 ID 인증서 개체를 생성하려면 다음 단계를 수행합니다.

프로시저

단계 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

단계 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

단계 3

아이콘을 클릭하고 ASA > Trustpoints(트러스트 포인트)를 선택합니다.

단계 4

인증서의 Object Name(개체 이름)을 입력합니다.

이름은 구성에서 개체 이름으로만 사용되며 인증서 자체에 포함되지는 않습니다.

단계 5

Identity Certificate(ID 인증서) 단계에서 Identity Certificate(ID 인증서)를 선택합니다.

단계 6

Import Type(가져오기 유형) 단계에서 New(새로 만들기)를 선택하여 인증서 파일을 업로드하고 Continue(계속)를 클릭합니다.

단계 7

Enrollment(등록) 단계에서 Self-Signed(자체 서명)를 선택하고 Continue(계속)를 클릭합니다.

Certificates Content(인증서 콘텐츠) 단계가 나타납니다. 생성 중인 자체 서명 인증서의 CN 및 SANS 콘텐츠를 이해하려면 인증서 콘텐츠를 기반으로 하는 자체 서명 및 CSR 인증서 생성을 읽어보십시오.

단계 8

Certificate Contents(인증서 콘텐츠) 단계에서 다음을 구성합니다.

  • 국가(C)— 드롭다운 목록에서 국가 코드를 선택합니다.

  • State or Province(주/도) (ST) — 인증서에 포함할 주/도.

  • Locality or City(구/군/시) (L) — 인증서에 포함할 구/군/시(예: 도시 이름).

  • Organization(조직)(O) — 인증서에 포함될 조직 또는 회사 이름.

  • Organizational Unit(Department)(조직 단위(부서)) (OU) — 인증서에 포함할 조직 단위의 이름(예: 부서 이름)입니다.

  • Common Name(CN, 공용 이름) — 인증서에 포함할 X.500 일반 이름. 이는 디바이스, 웹사이트 또는 다른 문자열의 이름일 수 있습니다. 일반적으로 연결에 성공하려면 이 요소가 필요합니다. 예를 들어 원격 액세스 VPN에 사용되는 내부 인증서에는 CN을 포함해야 합니다.

  • Email Address(이메일 주소) (EA)— ID 인증서와 연결된 이메일 주소입니다.

  • IP Address(IP 주소) - 점으로 구분된 4개의 십진수로 표기되는 네트워크상의 ASA IP 주소입니다.

  • Device's FQDN(디바이스의 FQDN)— DNS 트리 계층 구조에서 노드의 위치를 나타내는 명확한 도메인 이름입니다.

  • Include Device's Serial Number(디바이스의 일련 번호 포함)— 인증서 매개 변수에 ASA 일련 번호를 추가하려면 확인란을 선택합니다.

  1. Key(키) 탭을 클릭합니다.

    • RSA 또는 ECDSA 키 유형을 선택합니다.

    • Key Size(키 크기) - 키 페어가 존재하지 않는 경우 비트 단위로 원하는 키 크기(모듈러스)를 지정합니다. RSA의 권장 키 크기는 1024이고 ECDSA의 경우 348입니다. 모듈러스 크기가 클수록 키가 안전합니다. 그러나 모듈러스 크기가 큰 키는 생성 및 교환 프로세스에 더 오랜 시간이 걸립니다.(512비트보다 큰 경우 1분 이상)

    • Continue(계속)를 클릭합니다.

단계 9

Advanced Options(고급 옵션) 단계에서 다음을 구성할 수 있습니다.

Revocation(해지) 탭에서 다음을 구성할 수 있습니다.

  • CRL(Certificate Revocation List) 활성화 - CRL 확인 활성화 여부를 확인합니다.

    기본적으로 Use CRL distribution point from the certificate(인증서에서 CRL 구축 지점 사용) 확인란이 선택되어 인증서에서 해지 목록 구축 URL을 가져옵니다.

    Cache Refresh Time (in minutes)(캐시 새로 고침 시간(분)) - 캐시 새로 고침 간격(분)을 입력합니다. 기본값은 60분입니다. 범위는 1~1440분입니다. 동일한 CRL을 CA에서 반복적으로 검색할 필요 없이 ASA에서 검색된 CRL을 로컬에 저장할 수 있는데, 이를 CRL 캐싱이라고 합니다. CRL 캐시 용량은 플랫폼에 따라 다르며 모든 상황을 포괄하여 누적됩니다. 새로 검색된 CRL을 캐시에 저장하려는데 저장 한도를 초과할 경우, ASA에서는 가장 오래전에 사용된 CRL을 제거하면서 사용 가능한 공간을 늘립니다.

  • OCSP(Online Certificate Status Protocol) 활성화 - OCSP 확인 활성화 여부를 확인합니다.

    OCSP 서버 URL - OCSP 확인이 필요한 경우 폐기를 위한 OCSP 서버 확인 URL입니다. 이 URL은 http://로 시작해야 합니다.

    Disable Nonce Extension(Nonce 확장 비활성화) - 암호 기술을 사용하여 요청과 응답을 바인딩함으로써 반복 공격을 방지하는 확인란을 활성화합니다. 이 프로세스에서는 요청의 확장을 응답의 확장과 일치하는지 비교하면서 동일함을 보장합니다. 사용 중인 OCSP 서버가 이와 같이 일치하는 nonce 확장을 포함하지 않는 미리 생성된 응답을 보내는 경우, Disable Nonce Extension(Nonce 확장 비활성화) 확인란을 선택 취소합니다.

    Evaluation Priority(평가 우선순위) - 인증서의 해지 상태를 CRL에서 먼저 평가할지 OSCP에서 먼저 평가할지를 지정합니다.

  • Consider the certificate valid if revocation information cannot be reached(해지 정보에 연결할 수 없는 경우 인증서를 유효한 것으로 간주) - 해지 정보에 연결할 수 없는 경우 인증서를 유효한 인증서로 간주하려면 이 확인란을 선택합니다.

    해지 확인에 대한 자세한 내용은 Cisco ASA Series 일반 운영 ASDM 설정의 "기본 설정" 책, XY 문서에서 "디지털 인증서" 장을 참조하십시오.

Others(기타) 탭을 클릭합니다.

  • Use CA Certificate for the Validation of(다음을 위한 CA 인증서 사용) - 이 CA가 검증할 수 있는 연결 유형을 지정합니다.

    • IPSec Client(IPSec 클라이언트) - 원격 SSL 서버에서 제공하는 인증서를 검증합니다.

    • SSL Client(SSL 클라이언트) - 수신 SSL 연결에서 제공하는 인증서를 검증합니다.

    • SSL Server(SSL 서버) - 수신 IPSec 연결에서 제공하는 인증서를 검증합니다.

  • Use Identity Certificate for(ID 인증서 사용) - 등록된 ID 인증서의 사용 방법을 지정합니다.

    • SSL & IPSec - SSL 및 IPSec 연결 인증에 사용합니다.

    • Code Signer(코드 서명자) — 코드 서명자 인증서는 해당 개인 키가 디지털 서명 생성에 사용되는 특수한 인증서입니다. 코드 서명에 사용되는 인증서는 CA에서 가져온 것으로, 서명된 코드 자체가 인증서 원본을 나타냅니다.

  • 기타 옵션:

    • Enable CA flag in basic constraints extension(기본 제약 조건 확장에서 CA 플래그 활성화) - 이 인증서에서 다른 인증서에 서명할 수 있어야 하는 경우 이 옵션을 선택합니다. 기본 제약 조건 확장은 인증서의 주체가 CA(Certificate Authority)인지 여부를 식별하며 이 경우 인증서를 사용하여 다른 인증서에 서명할 수 있습니다. CA 플래그는 이 확장의 일부입니다. 인증서에 이러한 항목이 있는지 여부

    • Accept certificates issued by this CA(CA에서 발급된 인증서 허용) - ASA에서 지정된 CA의 인증서를 허용해야 하는 경우 이 옵션을 선택합니다.

    • Ignore IPsec Key Usage(IPsec 키 사용 무시) - IPsec 원격 클라이언트 인증서의 키 사용 및 확장 키 사용 확장 값을 검증하지 않으려는 경우 이 옵션을 선택합니다. IPsec 클라이언트 인증서를 확인하는 키 사용을 억제할 수 있습니다. 기본적으로 이 옵션은 활성화되어 있지 않습니다.

단계 10

Add(추가)를 클릭합니다.

CSR(Certificate Signing Request)을 위한 ID 인증서 개체 추가

CSR(Certificate Signing Requests)을 생성하고 지정된 CA에서 ID 인증서를 얻으려면 CA(Certification Authority) 서버 정보 및 등록 매개변수가 필요합니다. 요청을 생성하려면 RSA(Rivest-Shamir-Adleman) 또는 ECDSA(Elliptic Curve Digital Signature Algorithm) 키 유형을 선택해야 합니다.

식별 정보를 제공하고 선택적으로 CA에서 얻은 CA 인증서를 업로드하여 트러스트 포인트 개체를 생성합니다.

프로시저

단계 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

단계 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

단계 3

아이콘을 클릭하고 ASA > Trustpoints(트러스트 포인트)를 선택합니다.

단계 4

인증서의 Object Name(개체 이름)을 입력합니다.

이름은 구성에서 개체 이름으로만 사용되며 인증서 자체에 포함되지는 않습니다.

단계 5

Identity Certificate(ID 인증서) 단계에서 Identity Certificate(ID 인증서)를 선택합니다.

단계 6

Import Type(가져오기 유형) 단계에서 New(새로 만들기)를 선택하여 인증서 파일을 업로드하고 Continue(계속)를 클릭합니다.

단계 7

Enrollment(등록) 단계에서 Manual(수동)을 선택합니다.

단계 8

(선택 사항) CA에서 가져온 CA 인증서를 붙여넣거나 업로드할 수 있습니다. 필드를 비워둘 수 있습니다.

단계 9

Continue(계속)를 클릭합니다.

Certificates Content(인증서 콘텐츠) 단계가 나타납니다. 생성 중인 서명 인증서의 CN 및 SANS 콘텐츠를 이해하려면 인증서 콘텐츠를 기반으로 하는 자체 서명 및 CSR 인증서 생성을 읽어보십시오.

단계 10

Certificate Contents(인증서 콘텐츠) 단계에서 다음을 구성합니다.

  • 국가(C)— 드롭다운 목록에서 국가 코드를 선택합니다.

  • State or Province(주/도) (ST) — 인증서에 포함할 주/도.

  • Locality or City(구/군/시) (L) — 인증서에 포함할 구/군/시(예: 도시 이름).

  • Organization(조직)(O) — 인증서에 포함될 조직 또는 회사 이름.

  • Organizational Unit(Department)(조직 단위(부서)) (OU) — 인증서에 포함할 조직 단위의 이름(예: 부서 이름)입니다.

  • Common Name(CN, 공용 이름) — 인증서에 포함할 X.500 일반 이름. 이는 디바이스, 웹사이트 또는 다른 문자열의 이름일 수 있습니다. 일반적으로 연결에 성공하려면 이 요소가 필요합니다. 예를 들어 원격 액세스 VPN에 사용되는 내부 인증서에는 CN을 포함해야 합니다.

  • Email Address(이메일 주소) (EA)— ID 인증서와 연결된 이메일 주소입니다.

  • IP Address(IP 주소) - 점으로 구분된 4개의 십진수로 표기되는 네트워크상의 ASA IP 주소입니다.

  • SAN(Subject Alternative Name) - 이 필드는 'unstructuredName'으로도 인증서 주체 DN의 일부가 됩니다. 인증서가 여러 도메인 또는 IP 주소에 사용되는 경우, 이 필드를 활용하는 것이 좋습니다.

    • Use Device Host Name(디바이스 호스트 이름 사용): 디바이스의 호스트 이름이 사용됩니다.

    • Custom: Device's FQDN(사용자 지정 디바이스의 FQDN)— DNS 트리 계층 구조에서 노드의 위치를 나타내는 명확한 도메인 이름입니다.

      참고

       

      CN 및 사용자 지정 FQDN에 지정된 값은 동일한 것이 좋습니다.

  • Include Device's Serial Number(디바이스의 일련 번호 포함)— 인증서에 ASA의 일련 번호를 추가하려면 확인란을 선택합니다. CA는 인증서 인증 또는 추후 특정 디바이스와 인증서를 연결하기 위해 일련 번호를 사용합니다. 확실하지 않은 경우 일련 번호를 포함하면 디버깅 시 유용합니다.

  1. Key(키) 탭을 클릭합니다.

    • RSA 또는 ECDSA 키 유형을 선택합니다.

    • Key Size(키 크기) - 키 페어가 존재하지 않는 경우 비트 단위로 원하는 키 크기(모듈러스)를 지정합니다. RSA의 권장 키 크기는 1024이고 ECDSA의 경우 348입니다. 모듈러스 크기가 클수록 키가 안전합니다. 그러나 모듈러스 크기가 큰 키는 생성 및 교환 프로세스에 더 오랜 시간이 걸립니다.(512비트보다 큰 경우 1분 이상)

    • Continue(계속)를 클릭합니다.

단계 11

Advanced Options(고급 옵션) 단계에서 다음을 구성할 수 있습니다.

Revocation(해지) 탭에서 다음을 구성할 수 있습니다.

  • CRL(Certificate Revocation List) 활성화 - CRL 확인 활성화 여부를 확인합니다.

    기본적으로 Use CRL distribution point from the certificate(인증서에서 CRL 구축 지점 사용) 체크 박스가 선택되어 인증서에서 해지 목록 구축 URL을 가져옵니다.

    Cache Refresh Time (in minutes)(캐시 새로 고침 시간(분)) - 캐시 새로 고침 간격(분)을 입력합니다. 기본값은 60분입니다. 범위는 1~1440분입니다. 동일한 CRL을 CA에서 반복적으로 검색할 필요 없이 ASA에서 검색된 CRL을 로컬에 저장할 수 있는데, 이를 CRL 캐싱이라고 합니다. CRL 캐시 용량은 플랫폼에 따라 다르며 모든 상황을 포괄하여 누적됩니다. 새로 검색된 CRL을 캐시에 저장하려는데 저장 한도를 초과할 경우, ASA에서는 가장 오래전에 사용된 CRL을 제거하면서 사용 가능한 공간을 늘립니다.

  • OCSP(Online Certificate Status Protocol) 활성화 - OCSP 확인 활성화 여부를 확인합니다.

    OCSP 서버 URL - OCSP 확인이 필요한 경우 폐기를 위한 OCSP 서버 확인 URL입니다. 이 URL은 http://로 시작해야 합니다.

    Disable Nonce Extension(Nonce 확장 비활성화) - 암호 기술을 사용하여 요청과 응답을 바인딩함으로써 반복 공격을 방지하는 확인란을 활성화합니다. 이 프로세스에서는 요청의 확장을 응답의 확장과 일치하는지 비교하면서 동일함을 보장합니다. 사용 중인 OCSP 서버가 이와 같이 일치하는 nonce 확장을 포함하지 않는 미리 생성된 응답을 보내는 경우, Disable Nonce Extension(Nonce 확장 비활성화) 확인란을 선택 취소합니다.

    Evaluation Priority(평가 우선순위) - 인증서의 해지 상태를 CRL에서 먼저 평가할지 OSCP에서 먼저 평가할지를 지정합니다.

  • Consider the certificate valid if revocation information cannot be reached(해지 정보에 연결할 수 없는 경우 인증서를 유효한 것으로 간주) - 해지 정보에 연결할 수 없는 경우 인증서를 유효한 인증서로 간주하려면 이 확인란을 선택합니다.

    해지 확인에 대한 자세한 내용은 Cisco ASA Series 일반 운영 ASDM 설정의 "기본 설정" 책, XY 문서에서 "디지털 인증서" 장을 참조하십시오.

Others(기타) 탭을 클릭합니다.

  • Use CA Certificate for the Validation of(다음을 위한 CA 인증서 사용) - 이 CA가 검증할 수 있는 연결 유형을 지정합니다.

    • IPSec Client(IPSec 클라이언트) - 원격 SSL 서버에서 제공하는 인증서를 검증합니다.

    • SSL Client(SSL 클라이언트) - 수신 SSL 연결에서 제공하는 인증서를 검증합니다.

    • SSL Server(SSL 서버) - 수신 IPSec 연결에서 제공하는 인증서를 검증합니다.

  • Use Identity Certificate for(ID 인증서 사용) - 등록된 ID 인증서의 사용 방법을 지정합니다.

    • SSL & IPSec - SSL 및 IPSec 연결 인증에 사용합니다.

    • Code Signer(코드 서명자) — 코드 서명자 인증서는 해당 개인 키가 디지털 서명 생성에 사용되는 특수한 인증서입니다. 코드 서명에 사용되는 인증서는 CA에서 가져온 것으로, 서명된 코드 자체가 인증서 원본을 나타냅니다.

  • 기타 옵션:

    • Enable CA flag in basic constraints extension(기본 제약 조건 확장에서 CA 플래그 활성화) - 이 인증서에서 다른 인증서에 서명할 수 있어야 하는 경우 이 옵션을 선택합니다. 기본 제약 조건 확장은 인증서의 주체가 CA(Certificate Authority)인지 여부를 식별하며 이 경우 인증서를 사용하여 다른 인증서에 서명할 수 있습니다. CA 플래그는 이 확장의 일부입니다. 인증서에 이러한 항목이 있는지 여부

    • Accept certificates issued by this CA(CA에서 발급된 인증서 허용) - ASA에서 지정된 CA의 인증서를 허용해야 하는 경우 이 옵션을 선택합니다.

    • Ignore IPsec Key Usage(IPsec 키 사용 무시) - IPsec 원격 클라이언트 인증서의 키 사용 및 확장 키 사용 확장 값을 검증하지 않으려는 경우 이 옵션을 선택합니다. IPsec 클라이언트 인증서를 확인하는 키 사용을 억제할 수 있습니다. 기본적으로 이 옵션은 활성화되어 있지 않습니다.

단계 12

Add(추가)를 클릭합니다.

이렇게 하면 트러스트 포인트 인증서 개체가 생성됩니다.

신뢰할 수 있는 CA 인증서 개체 추가

외부 인증 기관으로부터 신뢰할 수 있는 CA 인증을 획득하거나, OpenSSL 도구 등 자체 내부 CA를 사용하여 CA 인증을 생성합니다. 다음의 지원되는 형식 중 하나로 인코딩된 파일을 업로드할 수 있습니다.

  • DER(Distinguished Encoding Rules)

  • PEM(Privacy-enhanced Electronic Mail)

프로시저

단계 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

단계 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

단계 3

아이콘을 클릭하고 ASA > Trustpoints(트러스트 포인트)를 선택합니다.

단계 4

인증서의 Object Name(개체 이름)을 입력합니다.

이름은 구성에서 개체 이름으로만 사용되며 인증서 자체에 포함되지는 않습니다.

단계 5

Certificate Type(인증서 유형) 단계에서 Trusted CA Certificate(신뢰할 수 있는 CA 인증서)를 선택합니다.

단계 6

Certificate Contents(인증서 콘텐츠) 단계에서 텍스트 상자에 인증서 콘텐츠를 붙여넣거나 마법사의 설명에 따라 CA 인증서 파일을 업로드합니다.

단계 7

Continue(계속)를 클릭합니다. 마법사가 4단계로 진행합니다.

인증서는 다음 지침을 따라야 합니다.

  • 인증서의 서버 이름이 서버 호스트 이름/IP 주소와 일치해야 합니다. 예를 들어 IP 주소로 10.10.10.250을 사용하는데 인증서의 주소는 ad.example.com이면 연결은 실패합니다.

  • 인증서는 PEM 또는 DER 형식의 X509 인증서여야 합니다.

  • 붙여넣는 인증서는 BEGIN CERTIFICATE 및 END CERTIFICATE 줄을 포함해야 합니다. 예를 들면 다음과 같습니다.

    -----BEGIN CERTIFICATE-----
MIIFgTCCA2mgAwIBAgIJANvdcLnabFGYMA0GCSqGSIb3DQEBCwUAMFcxCzAJBgNV
BAYTAlVTMQswCQYDVQQIDAJUWDEPMA0GA1UEBwwGYXVzdGluMRQwEgYDVQQKDAsx
OTIuMTY4LjEuMTEUMBIGA1UEAwwLMTkyLjE2OC4xLjEwHhcNMTYxMDI3MjIzNDE3
WhcNMTcxMDI3MjIzNDE3WjBXMQswCQYDVQQGEwJVUzELMAkGA1UECAwCVFgxDzAN
BgNVBAcMBmF1c3RpbjEUMBIGA1UECgwLMTkyLjE2OC4xLjExFDASBgNVBAMMCzE5
Mi4xNjguMS4xMIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA5NceYwtP
ES6Ve+S9z7WLKGX5JlF58AvH82GPkOQdrixn3FZeWLQapTpJZt/vgtAI2FZIK31h
(...20 lines removed...)
hbr6HOgKlOwXbRvOdksTzTEzVUqbgxt5Lwupg3b2ebQhWJz4BZvMsZX9etveEXDh
PY184V3yeSeYjbSCF5rP71fObG9Iu6+u4EfHp/NQv9s9dN5PMffXKieqpuN20Ojv
2b1sfOydf4GMUKLBUMkhQnip6+3W
-----END CERTIFICATE-----

단계 8

Advanced Options(고급 옵션) 단계에서 다음을 구성할 수 있습니다.

Revocation(해지) 탭에서 다음을 구성할 수 있습니다.

  • CRL(Certificate Revocation List) 활성화 - CRL 확인 활성화 여부를 확인합니다.

    기본적으로 Use CRL distribution point from the certificate(인증서에서 CRL 구축 지점 사용) 체크 박스가 선택되어 인증서에서 해지 목록 구축 URL을 가져옵니다.

    Cache Refresh Time (in minutes)(캐시 새로 고침 시간(분)) - 캐시 새로 고침 간격(분)을 입력합니다. 기본값은 60분입니다. 범위는 1~1440분입니다. 동일한 CRL을 CA에서 반복적으로 검색할 필요 없이 ASA에서 검색된 CRL을 로컬에 저장할 수 있는데, 이를 CRL 캐싱이라고 합니다. CRL 캐시 용량은 플랫폼에 따라 다르며 모든 상황을 포괄하여 누적됩니다. 새로 검색된 CRL을 캐시에 저장하려는데 저장 한도를 초과할 경우, ASA에서는 가장 오래전에 사용된 CRL을 제거하면서 사용 가능한 공간을 늘립니다.

  • OCSP(Online Certificate Status Protocol) 활성화 - OCSP 확인 활성화 여부를 확인합니다.

    OCSP 서버 URL - OCSP 확인이 필요한 경우 폐기를 위한 OCSP 서버 확인 URL입니다. 이 URL은 http://로 시작해야 합니다.

    Disable Nonce Extension(Nonce 확장 비활성화) - 암호 기술을 사용하여 요청과 응답을 바인딩함으로써 반복 공격을 방지하는 확인란을 활성화합니다. 이 프로세스에서는 요청의 확장을 응답의 확장과 일치하는지 비교하면서 동일함을 보장합니다. 사용 중인 OCSP 서버가 이와 같이 일치하는 nonce 확장을 포함하지 않는 미리 생성된 응답을 보내는 경우, Disable Nonce Extension(Nonce 확장 비활성화) 확인란을 선택 취소합니다.

    Evaluation Priority(평가 우선순위) - 인증서의 해지 상태를 CRL에서 먼저 평가할지 OSCP에서 먼저 평가할지를 지정합니다.

  • Consider the certificate valid if revocation information cannot be reached(해지 정보에 연결할 수 없는 경우 인증서를 유효한 것으로 간주) - 해지 정보에 연결할 수 없는 경우 인증서를 유효한 인증서로 간주하려면 이 확인란을 선택합니다.

    해지 확인에 대한 자세한 내용은 Cisco ASA Series 일반 운영 ASDM 설정의 "기본 설정" 책, XY 문서에서 "디지털 인증서" 장을 참조하십시오.

Others(기타) 탭을 클릭합니다.

  • Use CA Certificate for the Validation of(다음을 위한 CA 인증서 사용) - 이 CA가 검증할 수 있는 연결 유형을 지정합니다.

    • IPSec Client(IPSec 클라이언트) - 원격 SSL 서버에서 제공하는 인증서를 검증합니다.

    • SSL Client(SSL 클라이언트) - 수신 SSL 연결에서 제공하는 인증서를 검증합니다.

    • SSL Server(SSL 서버) - 수신 IPSec 연결에서 제공하는 인증서를 검증합니다.

  • 기타 옵션:

    • Enable CA flag in basic constraints extension(기본 제약 확장에서 CA 플래그 활성화) - 기본 제약 확장을 사용하는 인증서의 주체가 CA인지 검증하려면 이 옵션을 선택합니다.

    • Accept certificates issued by this CA(CA에서 발급된 인증서 허용) - ASA에서 지정된 CA의 인증서를 허용해야 하는 경우 이 옵션을 선택합니다.

    • Accept certificates issued by the subordinates CAs of this CA(이 CA의 하위 CA에서 발급한 인증서 수락) - ASA에서 하위 CA의 인증서를 허용해야 하는 경우 이 옵션을 선택합니다.

    • Ignore IPsec Key Usage(IPsec 키 사용 무시) - IPsec 원격 클라이언트 인증서의 키 사용 및 확장 키 사용 확장 값을 검증하지 않으려는 경우 이 옵션을 선택합니다. IPsec 클라이언트 인증서를 확인하는 키 사용을 억제할 수 있습니다. 기본적으로 이 옵션은 활성화되어 있지 않습니다.

단계 9

Add(추가)를 클릭합니다.

이렇게 하면 트러스트 포인트 인증서 개체가 생성됩니다.

인증서 내용을 기반으로 하는 자체 서명 및 CSR 인증서 생성

자체 서명 및 CSR 인증서의 CN 및 SANS 콘텐츠에 대한 아이디어가 필요합니다. 콘텐츠는 생성 과정에서 지정한 매개변수를 기반으로 합니다. AnyConnect 클라이언트가 조직의 원하는 VPN 헤드엔드에 연결하려면 매개변수를 정확하게 구성해야 합니다.

이 섹션에서는 지정된 매개변수를 기반으로 자체 서명 및 CSR 인증서의 내용에 대한 아이디어를 제공하는 다양한 사용 사례를 예시와 함께 제공합니다.

사용 사례 1: 다른 CN 및 FQDN 값

예:

  • Common Name(CN, 공용 이름): mywebsite.com

  • FQDN: mysan.com

표 5. 예: 다른 CN 및 FQDN 값

공용 이름(CN)

unstructuredName

SANS

자체 서명

mywebsite.com

mysan.com

mysan.com

CSR

mywebsite.com

mysan.com

-
사용 사례 2: 없음으로 설정된 FQDN 필드

예:

  • Common Name(CN, 공용 이름): mywebsite.com

  • FQDN: 없음

표 6. 예: 없음으로 설정된 FQDN 필드

공용 이름(CN)

SANS

자체 서명

호스트 이름

-

CSR

mywebsite.com

-
사용 사례 3: FQDN 없음(기본 FQDN)

예:

  • Common Name(CN, 공용 이름): mywebsite.com

표 7. 예: FQDN 없음(기본 FQDN)

공용 이름(CN)

unstructuredName

SANS

자체 서명

mywebsite.com

호스트 이름

-

CSR

mywebsite.com

호스트 이름

호스트 이름
사용 사례 4: FQDN에 IP 주소가 지정됨

예:

  • Common Name(CN, 공용 이름): mywebsite.com

  • FQDN: 4.5.6.7

표 8. 예: FQDN에 IP 주소가 지정됨

공용 이름(CN)

unstructuredName

SANS

자체 서명

mywebsite.com

4.5.6.7

-

CSR

mywebsite.com

4.5.6.7

4.5.6.7
사용 사례 5: IP 주소가 지정됨

예:

  • IP 주소: 4.5.6.7

  • Common Name(CN, 공용 이름): mywebsite.com

  • FQDN: fqdn.com

표 9. 예: IP 주소가 지정됨

공용 이름(CN)

unstructuredAddress

unstructuredName

SANS

자체 서명

mywebsite.com

4.5.6.7

fqdn.com

-

CSR

mywebsite.com

4.5.6.7

fqdn.com

fqdn.com
사용 사례 6: 일련 번호 확인란이 선택됨

예:

  • 일련 번호: 9AQXMWOKDT9

표 10. 예: IP 일련 번호 확인란이 선택됨

serialNumber

SANS

자체 서명

9AQXMWOKDT9

-

CSR

9AQXMWOKDT9

fqdn.com
활용 사례 7: 이메일 주소가 지정됨

예:

  • EA: abc@xyz.com

표 11. 예: 이메일 주소가 지정됨

unstructredName

emailAddress

SANS

자체 서명

호스트 이름

abc@xyz.com

호스트 이름

CSR

호스트 이름

abc@xyz.com

-

RA VPN 개체

서비스 개체

ASA 서비스 개체

ASA 서비스 개체, 서비스 그룹 및 포트 그룹은 IP 프로토콜 제품군의 일부로 간주되는 프로토콜 또는 포트를 포함하는 재사용 가능한 구성 요소입니다. 서비스 개체에서 단일 프로토콜을 지정하고 이를 소스 포트, 목적지 포트 또는 소스 및 목적지 포트 모두에 할당할 수 있습니다. 서비스 그룹은 여러 서비스 개체를 포함하며 여러 프로토콜을 포함할 수 있습니다.

포트 그룹은 일종의 ASA 서비스 개체입니다. 포트 그룹은 서비스 유형(예: TCP 또는 UDP)과 포트 번호 또는 포트 번호 범위를 페어링하는 포트 개체를 포함합니다. 그 다음 트래픽 일치 기준을 정의하는 목적으로 보안 정책의 개체를 사용할 수 있습니다. 예를 들어 액세스 제어 규칙에서 이를 사용하여 특정 TCP 포트 범위에 대한 트래픽을 허용할 수 있습니다.

자세한 내용은 ASA 서비스 개체 생성 및 편집을 참조하십시오.

프로토콜 개체

프로토콜 개체는 덜 일반적으로 사용되는 또는 레거시 프로토콜을 포함하는 서비스 개체 유형입니다. 프로토콜 개체는 이름과 프로토콜 번호로 식별됩니다. Security Cloud Control는 ASA 및 Firepower(FDM 관리 디바이스) 구성에서 이러한 개체를 인식하고 사용자가 쉽게 찾을 수 있도록 자체 필터인 "프로토콜"을 제공합니다.

ICMP 개체

ICMP(인터넷 제어 메시지 프로토콜) 개체는 ICMP 및 IPv6-ICMP 메시지 전용 서비스 개체입니다. Security Cloud Control는 ASA 및 Firepower 구성에서 해당 디바이스가 온보딩되었을 때 이러한 개체를 인식하고 Security Cloud Control는 사용자가 개체를 쉽게 찾을 수 있도록 해당 디바이스에 "ICMP" 필터를 제공합니다.

Security Cloud Control를 사용하면 ASA 구성에서 ICMP 개체를 제거하거나 이름을 바꿀 수 있습니다. Security Cloud Control를 사용하여 Firepower 구성에서 ICMP 및 ICMPv6 개체를 생성, 업데이트 및 삭제할 수 있습니다.


Note

ICMPv6 프로토콜의 경우 AWS는 특정 인수 선택을 지원하지 않습니다. 모든 ICMPv6 메시지를 허용하는 규칙만 지원됩니다.

ASA 서비스 개체 생성 및 편집

서비스 개체에서 단일 프로토콜을 지정하고 이를 소스 포트, 목적지 포트 또는 소스 및 목적지 포트 모두에 할당할 수 있습니다.

Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

Step 3

Create Object(개체 생성) > ASA > Service(서비스)를 클릭합니다.

Step 4

개체 이름을 입력합니다.

Step 5

Create a service object(서비스 개체 생성)을 선택합니다.

Step 6

Service Type(서비스 유형) 버튼을 클릭하고 개체를 만들 프로토콜을 선택합니다.

  • TCP, UDP 및 TCP-UDP 서비스 유형의 경우 소스 포트, 목적지 포트 또는 둘 다를 입력합니다.

    • 소스 포트 식별자를 사용하면 번호가 지정된 특정 포트에서 시작되는 트래픽을 일치시킬 수 있습니다. 소스 포트 식별자에서 같음, 범위, 보다 작음, 보다 큼 또는 같지 않음 연산자를 선택하고 적절한 포트 번호 또는 범위를 제공합니다.

    • 목적지 포트 식별자를 사용하면 번호가 지정된 특정 포트에 도착하는 트래픽을 일치시킬 수 있습니다. 목적지 포트 식별자에서 같음, 범위, 보다 작음, 보다 큼 또는 같지 않음 연산자를 선택하고 적절한 포트 번호 또는 범위를 제공합니다.

  • 프로토콜 서비스 유형에 대해, 0-255 사이의 프로토콜 번호 또는 ip, tcp, udp, gre 등과 같이 잘 알려진 이름을 입력합니다.

Step 7

Add(추가)를 클릭합니다.

  • 수신 FTP 트래픽을 식별하는 서비스 개체는 TCP 서비스 유형 및 대상 포트 범위가 21인 개체입니다.

  • 발신 DNS 및 TCP 트래픽을 통한 DNS를 식별하는 서비스 개체는 tcp-udb 서비스 유형 및 소스 포트가 53인 개체입니다.

ASA 서비스 그룹 생성

서비스 그룹은 하나 이상의 프로토콜을 나타내는 하나 이상의 서비스 개체로 구성될 수 있습니다.

Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

Step 3

Create Object(개체 생성) > ASA > Service(서비스)를 클릭합니다.

Step 4

개체 이름을 입력합니다.

Step 5

Create a service group(서비스 그룹 생성)를 선택합니다.

Step 6

Add Object(개체 추가)를 클릭하고, 개체를 선택하고, Select(선택)을 클릭하여 기존 개체를 추가합니다. 개체를 더 추가하려면 이 단계를 반복합니다.

Step 7

필요한 경우 서비스 그룹에 별도의 개별 서비스 유형 값을 추가합니다.

  • TCP, UDP 및 TCP-UDP 서비스 유형의 경우 소스 포트, 목적지 포트 또는 둘 다를 입력합니다.

    • 소스 포트 식별자를 사용하면 번호가 지정된 특정 포트에서 시작되는 트래픽을 일치시킬 수 있습니다. 소스 포트 식별자에서 같음, 범위, 보다 작음, 보다 큼 또는 같지 않음 연산자를 선택하고 적절한 포트 번호 또는 범위를 제공합니다.

    • 목적지 포트 식별자를 사용하면 번호가 지정된 특정 포트에 도착하는 트래픽을 일치시킬 수 있습니다. 목적지 포트 식별자에서 같음, 범위, 보다 작음, 보다 큼 또는 같지 않음 연산자를 선택하고 적절한 포트 번호 또는 범위를 제공합니다.

  • 프로토콜 서비스 유형에 대해, 0-255 사이의 프로토콜 번호 또는 ip, tcp, udp, gre 등과 같이 잘 알려진 이름을 입력합니다.

Step 8

개별 포트 값을 더 추가하려면 Add Another Value(다른 값 추가)를 클릭하고 단계 6을 반복합니다.

Step 9

서비스 그룹에 서비스 개체 및 서비스 값 추가를 완료하면 Add(추가)를 클릭합니다.

ASA 서비스 개체 또는 서비스 그룹 편집
Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

Step 3

개체를 필터링하여 편집할 개체를 찾은 다음 개체 테이블에서 개체를 선택합니다.

Step 4

세부 정보 창에서 Edit(편집) 를 클릭합니다.

Step 5

위의 절차에서 생성한 것과 동일한 방식으로 대화 상자에서 값을 수정합니다.

Step 6

Save(저장)를 클릭합니다.

Step 7

Security Cloud Control에 변경의 영향을 받을 정책이 표시됩니다. Confirm(확인)을 클릭하여 개체 및 해당 개체의 영향을 받는 정책에 대한 변경을 완료합니다.

ASA 시간 범위 개체

시간 범위 개체란 무엇입니까?

시간 범위 개체는 특정 시간을 정의하며 시작 시간, 종료 시간, 선택 사항인 반복 항목으로 구성됩니다. 네트워크 정책에서 이 개체를 사용하여 특정 기능 또는 자산에 대한 시간 기반 액세스를 제공합니다. 예를 들어, 업무 시간에만 특정 서버에 대한 액세스를 허용하는 액세스 규칙을 만들 수 있습니다. 시간 범위 생성은 디바이스에 대한 액세스를 제한하지 않습니다. 이러한 개체에 대해 구성된 시간은 디바이스에 대해 로컬입니다.

이 개체에 절대 또는 반복 시간 범위를 추가할 수 있습니다. 반복 범위는 주기적인 시간 범위로 간주됩니다.


Note

시간 범위에 절대값과 기간 값이 모두 지정된 경우, 절대 시작 시간에 도달해야 기간 값의 평가가 이루어지며 절대 종료 시간에 도달하면 더 이상 평가되지 않습니다.

ASA 시간 범위 개체 생성

다음 절차에 따라 ASA 디바이스에 대한 시간 범위 개체를 생성합니다.

Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

Step 3

> ASA > 시간범위(Time Range)를 클릭합니다.

Step 4

개체 이름을 입력합니다.

Step 5

시간 범위를 정의합니다.

  • 절대 시간 범위 - 원하는 시간 범위에 대한 시작 시각과 종료 시각을 입력합니다. 몇 분, 몇 시간, 며칠 또는 몇 주에 걸쳐 이 개체를 실행하도록 선택할 수 있습니다. 시간 범위 개체는 하나의 절대 시간 범위만 가질 수 있습니다.

  • 반복 시간 범위 - 를 클릭하여 일주일 내내 반복되는 주기적 시간 범위를 추가합니다. 드롭다운 메뉴에서 Frequency(빈도), 시간 범위가 적용될 Days(요일)Start(시작) End(종료) 시각을 선택합니다. 시간 범위 개체는 여러 주기 범위를 가질 수 있습니다.

Note

 

시간 범위 개체에 대한 시작종료 시각은 옵션입니다. 개체에 설정된 시작 시각이 없는 경우 시간 범위가 즉시 적용됩니다. 개체에 설정된 종료 시각이 없는 경우 시간 범위는 무기한 지속됩니다.

Step 6

Add(추가)를 클릭하여 개체를 생성합니다.

ASA 시간 범위 개체 편집

다음 절차를 사용하여 ASA 디바이스에 대한 시간 범위 개체를 수정합니다.

Procedure

Step 1

Security Cloud Control 플랫폼 메뉴에서, Products(제품) > Firewall(방화벽)을 클릭합니다.

Step 2

왼쪽 창에서 Manage(관리) > Objects(개체)를 클릭합니다.

Step 3

개체를 필터링하여 편집할 개체를 찾은 다음 개체 테이블에서 개체를 선택합니다.

Step 4

세부 정보 창에서 Edit(편집) 를 클릭합니다.

Step 5

필요에 따라 값을 편집하고 Save(저장)를 클릭합니다.

Step 6

개체가 현재 정책에서 사용 중인 경우 Security Cloud Control는 변경의 영향을 받는 정책을 표시합니다. Confirm(확인)을 클릭하여 개체 및 해당 개체의 영향을 받는 정책에 대한 변경을 완료합니다.

Step 7

개체가 디바이스의 정책에서 사용되는 경우 변경 사항을 지금 검토하고 구축하거나 여러 변경 사항을 여러 변경 사항을 한 번에 구축합니다.

네트워크 주소 변환

IP 네트워크 내의 각 컴퓨터와 디바이스에는 호스트를 식별하는 고유한 IP 주소가 할당됩니다. 공용 IPv4 주소의 부족 때문에 이러한 IP 주소는 대부분 사설이며, 사설 회사 네트워크 외부로 라우팅되지 않습니다. RFC 1918의 정의에 따르면 사설 IP 주소는 내부적으로 사용할 수 있지만 외부에 알려서는 안 되는 주소입니다.

  • 10.0.0.0~10.255.255.255

  • 172.16.0.0 ~ 172.31.255.255

  • 192.168.0.0~192.168.255.255

NAT의 주요 기능 중 하나는 사설 IP 네트워크가 인터넷에 연결되도록 하는 것입니다. NAT는 사설 IP 주소를 공용 IP 주소로 교체하여, 내부 사설 네트워크의 사설 주소를 공용 인터넷에서 사용할 수 있는 합법적이고 라우팅 가능한 주소로 전환합니다. 이렇게 하여 NAT는 공용 주소를 절약합니다. 전체 네트워크에 대해 최소 하나의 공용 주소만 외부에 알리도록 구성할 수 있기 때문입니다.

NAT의 기타 기능은 다음과 같습니다.

  • 보안 - 직접 공격을 피할 수 있도록 내부 IP 주소를 숨깁니다.

  • IP 라우팅 솔루션 - NAT를 사용하는 경우 중첩 IP 주소 문제가 발생하지 않습니다.

  • 유연성 - 외부적으로 사용 가능한 공용 주소에 영향을 주지 않고 내부 IP 주소 지정 방식을 변경할 수 있습니다. 예를 들어 인터넷에 액세스할 수 있는 서버의 경우, 인터넷용으로는 고정 IP 주소를 유지하고 내부적으로는 서버 주소를 변경할 수 있습니다.

  • IPv4와 IPv6 간 변환(라우팅된 방식 전용) - IPv6 네트워크를 IPv4 네트워크에 연결하려는 경우 NAT를 이용하면 두 가지 주소 유형 간에 변환할 수 있습니다.

Security Cloud Control를 사용하여 다양한 활용 사례에 대한 NAT 규칙을 생성할 수 있습니다. NAT 규칙 마법사 또는 다음 항목을 사용하여 다른 NAT 규칙을 생성합니다.

NAT 규칙 처리 순서

네트워크 개체 NAT 규칙과 2회 NAT 규칙은 세 개의 섹션으로 구분되는 단일 테이블에 저장됩니다. 섹션 1 규칙이 먼저 적용된 다음, 일치가 발견될 때까지 섹션 2, 마지막으로 섹션 3이 적용됩니다. 예를 들어 섹션 1에서 일치가 발견되면 섹션 2와 3은 평가되지 않습니다. 다음 표는 각 섹션 내의 규칙 순서를 보여줍니다.

Table 12. NAT 규칙 테이블

테이블 섹션

규칙 유형

섹션 내 규칙의 순서

섹션 1

2회 NAT(ASA)

수동 NAT(FTD)

첫 번째 일치부터 구성에 나타나는 순서대로 적용됩니다. 첫 번째 일치가 적용되므로, 일반 규칙 앞에 특수 규칙이 오도록 해야 합니다. 그렇지 않으면 특수 규칙이 원하는 대로 적용되지 않을 수 있습니다. 기본적으로 2회 NAT 규칙은 섹션 1에 추가됩니다.

섹션 2

네트워크 개체 NAT(ASA)

자동 NAT(FTD)

섹션 1에서 일치하는 항목을 찾을 수 없으면 섹션 2 규칙이 다음 순서로 적용됩니다.

  1. 고정 규칙

  2. 동적 규칙

각 규칙 유형 내에서는 다음의 순서 지침이 사용됩니다.

  1. 실제 IP 주소의 수량 - 가장 적은 것에서 가장 많은 것. 예를 들면 주소가 1개인 개체가 주소가 10개인 개체보다 먼저 평가됩니다.

  2. 수량이 동일한 경우 IP 주소 번호가 낮은 것에서 높은 것 순으로 사용됩니다. 예를 들면, 10.1.1.0이 11.1.1.0보다 먼저 평가됩니다.

  3. IP 주소가 동일한 경우 네트워크 개체의 이름이 알파벳순으로 사용됩니다. 예를 들어 "Arlington" 개체는 "Detroit" 개체보다 먼저 평가됩니다.

섹션 3

2회 NAT(ASA)

수동 NAT(FTD)

아직도 일치가 발견되지 않으면 섹션 3 규칙이 첫 번째부터 구성에 나타나는 순서대로 적용됩니다. 이 섹션에는 가장 일반적인 규칙을 포함해야 합니다. 또한 이 섹션에서는 특정 규칙이 일반 규칙보다 먼저 적용되도록 해야 합니다.

예를 들어 섹션 2 규칙의 경우 네트워크 개체 내에서 다음 IP 주소를 정의합니다.

  • 192.168.1.0/24(고정)

  • 192.168.1.0/24(동적)

  • 10.1.1.0/24(고정)

  • 192.168.1.1/32(고정)

  • 172.16.1.0/24(동적) (개체 Detroit)

  • 172.16.1.0/24(동적)(개체 Arlington)

결과 순서는 다음과 같습니다.

  • 192.168.1.1/32(고정)

  • 10.1.1.0/24(고정)

  • 192.168.1.0/24(고정)

  • 172.16.1.0/24(동적)(개체 Arlington)

  • 172.16.1.0/24(동적) (개체 Detroit)

  • 192.168.1.0/24(동적)

네트워크 주소 변환 마법사

NAT(Network Address Translation) 마법사는 다음 유형의 액세스에 대해 디바이스에서 NAT 규칙을 만드는 데 도움이 됩니다.

  • 내부 사용자의 인터넷 액세스를 활성화합니다. 이 NAT 규칙을 사용하여 내부 네트워크의 사용자가 인터넷에 연결할 수 있습니다.

  • 내부 서버를 인터넷에 노출합니다. 이 NAT 규칙을 사용하여 네트워크 외부의 사람들이 내부 웹 또는 이메일 서버에 도달하도록 허용할 수 있습니다.

"내부 사용자를 위한 인터넷 액세스 활성화"의 전제 조건

NAT 규칙을 생성하기 전에 다음 정보를 수집하십시오.

  • 사용자에게 가장 가까운 인터페이스 이것은 일반적으로 "내부" 인터페이스라고 합니다.

  • 인터넷 연결에 가장 가까운 인터페이스 이것은 일반적으로 "외부" 인터페이스라고 합니다.

  • 특정 사용자만 인터넷에 연결할 수 있도록 하려면 해당 사용자의 서브넷 주소가 필요합니다.

"내부 서버를 인터넷에 노출"하기 위한 전제 조건

NAT 규칙을 생성하기 전에 다음 정보를 수집하십시오.

  • 사용자에게 가장 가까운 인터페이스 이것은 일반적으로 "내부" 인터페이스라고 합니다.

  • 인터넷 연결에 가장 가까운 인터페이스 이것은 일반적으로 "외부" 인터페이스라고 합니다.

  • 인터넷 연결 IP 주소로 변환하려는 네트워크 내부 서버의 IP 주소입니다.

  • 서버에서 사용할 공용 IP 주소입니다.

다음 작업

NAT 마법사를 사용하여 NAT 규칙 생성의 내용을 참조하십시오.

NAT 마법사를 사용하여 NAT 규칙 생성

Before you begin

NAT 마법사를 사용하여 NAT 규칙을 만드는 데 필요한 사전 요구 사항은 네트워크 주소 변환 마법사를 참조하십시오.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

filter(필터)Search(검색) 필드를 사용하여 NAT 규칙을 생성하려는 디바이스를 찾으십시오.

Step 5

상세정보 패널의 Management(관리) 영역에서 NAT를 클릭합니다.

Step 6

> NAT Wizard(NAT 마법사)를 클릭합니다.

Step 7

NAT 마법사 질문에 응답하고 화면의 지시를 따르십시오.

  • NAT 마법사는 네트워크 개체를 사용하여 규칙을 생성합니다. 드롭다운 메뉴에서 기존 개체를 선택하거나 만들기 버튼 를 사용하여 새 개체를 생성합니다.

  • NAT 규칙을 저장하려면 먼저 모든 IP 주소를 네트워크 개체로 정의해야 합니다.

Step 8

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

NAT의 일반적인 사용 사례

2회 NAT 및 수동 NAT

다음은 "자동 NAT"라고도 하는 "네트워크 개체 NAT"를 사용하여 수행할 수 있는 몇 가지 일반적인 작업입니다.

네트워크 개체 및 NAT자동 NAT

다음은 "수동 NAT"라고도 하는 "Twice NAT"를 사용하여 수행할 수 있는 일반적인 작업입니다.

공용 IP 주소를 사용하여 인터넷에 연결하도록 내부 네트워크의 서버 활성화

활용 사례

인터넷에서 액세스해야 하는 사설 IP 주소가 있는 서버가 있고 사설 IP 주소에 대해 하나의 공용 IP 주소를 NAT하기에 충분한 공용 IP 주소가 있는 경우 이 NAT 전략을 사용합니다. 공용 IP 주소가 제한된 경우 공용 IP 주소의 특정 포트에서 사용자가 사용할 수 있는 내부 네트워크의 서버 만들기를 참조하세요(해당 솔루션이 더 적합할 수 있음).

전략

서버에는 정적 사설 IP 주소가 있으며 네트워크 외부의 사용자는 서버에 연결할 수 있어야 합니다. 고정 사설 IP 주소를 고정 공용 IP 주소로 변환하는 네트워크 개체 NAT 규칙을 생성합니다. 그런 다음 해당 공용 IP 주소에서 사설 IP 주소에 도달하는 트래픽을 허용하는 액세스 정책을 생성합니다. 마지막으로 이러한 변경 사항을 디바이스에 구축합니다.

Before you begin

시작하기 전에 두 개의 네트워크 개체를 생성합니다. 하나의 개체는 servername_inside로 이름을 지정하고 다른 개체는 servername_outside로 이름을 지정합니다. servername_inside 네트워크 개체는 서버의 사설 IP 주소를 포함해야 합니다. servername_outside 네트워크 개체에는 서버의 공용 IP 주소가 포함되어야 합니다.

지침은 네트워크 개체 생성을 참조하십시오.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서 , 다음 작업을 수행합니다.

  1. 원본 주소 메뉴를 확장하고 Choose(선택)을 클릭한 다음 servername_inside 개체를 선택합니다.

  2. 변환된 주소 메뉴를 확장하고 Choose(선택)을 클릭한 다음 servername_outside 개체를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 매니지드 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다.

Step 13

ASA의 경우 네트워크 정책 규칙을 구축하거나 기다렸다가, FDM 관리 디바이스의 경우 액세스 제어 정책 규칙을 구축하여 트래픽이 servername_inside에서 servername_outside로 흐를 수 있도록 합니다.

Step 14

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network servername_outside
host 209.165.1.29
object network servername_inside
host 10.1.2.29

이 절차에 의해 생성된 NAT 규칙

object network servername_inside
 nat (inside,outside) static servername_outside

내부 네트워크의 사용자가 외부 인터페이스의 공용 IP 주소를 사용하여 인터넷에 액세스하도록 활성화

활용 사례

외부 인터페이스의 공용 주소를 공유하여 개인 네트워크의 사용자와 컴퓨터가 인터넷에 연결할 수 있도록 합니다.

전략

사설 네트워크의 모든 사용자가 디바이스의 외부 인터페이스 공용 IP 주소를 공유할 수 있도록 허용하는 포트 주소 변환(PAT) 규칙을 생성합니다.

사설 주소가 공용 주소 및 포트 번호에 매핑된 후 디바이스는 해당 매핑을 기록합니다. 해당 공용 IP 주소 및 포트로 향하는 들어오는 트래픽이 수신되면 디바이스는 이를 요청한 사설 IP 주소로 다시 보냅니다.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, 유형 에서 Dynamic(동적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, 인터페이스에서, 소스 인터페이스로 any(아무거나)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서, 다음 작업을 수행합니다.

  1. 원래 주소 메뉴를 확장하고, Choose(선택)을 클릭한 다음 네트워크 구성에 따라 any-ipv4 또는 any-ipv6 개체를 선택합니다.

  2. 변환된 주소 메뉴를 확장하고 사용 가능한 목록에서 인터페이스를 선택합니다. 인터페이스는 외부 인터페이스의 공용 주소를 사용하도록 나타냅니다.

Step 10

FDM 매니지드 디바이스의 경우 섹션 5, 이름에서 NAT 규칙의 이름을 입력합니다.

Step 11

Save(저장)를 클릭합니다.

Step 12

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network any_network
subnet 0.0.0.0 0.0.0.0

이 절차에 의해 생성된 NAT 규칙

object network any_network
nat (any,outside) dynamic interface

공용 IP 주소의 특정 포트에서 내부 네트워크의 서버를 사용할 수 있도록 설정

활용 사례

공용 IP 주소가 하나만 있거나 매우 제한된 수인 경우, 정적 IP 주소 및 포트에 바인딩된 인바운드 트래픽을 내부 주소로 변환하는 네트워크 개체 NAT 규칙을 만들 수 있습니다. 특정 사례에 대한 절차를 제공했지만 지원되는 다른 애플리케이션의 모델로 사용할 수 있습니다.

사전 요구 사항

시작하기 전에 FTP, HTTP 및 SMTP 서버에 각각 하나씩 세 개의 개별 네트워크 개체를 생성합니다. 다음 절차를 위해 이러한 개체를 ftp-server-object, http-server-objectsmtp-server-object라고 합니다.

지침은 네트워크 개체 생성을 참조하십시오.

FTP 서버에 대한 NAT 수신 FTP 트래픽

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서 , 다음 작업을 수행합니다.

  • 원본 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음ftp-server-object를 선택합니다.

  • 변환된 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음 Interface(인터페이스)를 선택합니다.

  • Use Port Translation(포트 변환 사용)을 선택합니다.

  • tcp, ftp, ftp를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 매니지드 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다. NAT 테이블의 섹션 2에 새 규칙이 생성됩니다.

Step 13

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체
object network ftp-object
host 10.1.2.27
이 절차에 의해 생성된 NAT 규칙
object network ftp-object
nat (inside,outside) static interface service tcp ftp ftp

HTTP 서버에 대한 NAT 수신 HTTP 트래픽

공용 IP 주소가 하나만 있거나 매우 제한된 수인 경우, 정적 IP 주소 및 포트에 바인딩된 인바운드 트래픽을 내부 주소로 변환하는 네트워크 개체 NAT 규칙을 만들 수 있습니다. 특정 사례에 대한 절차를 제공했지만 지원되는 다른 애플리케이션의 모델로 사용할 수 있습니다.

Before you begin

시작하기 전에 http 서버에 대한 네트워크 개체를 생성합니다. 이 절차에서는개체를 http-object라고 합니다.

지침은 네트워크 개체 생성을 참조하십시오.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서 , 다음 작업을 수행합니다.

  • 원본 주소 메뉴를 확장하고 Choose(선택)을 클릭한 다음 http-object를 선택합니다.

  • 변환된 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음 Interface(인터페이스)를 선택합니다.

  • Use Port Translation(포트 변환 사용)을 선택합니다.

  • tcp, http, http를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 매니지드 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다. NAT 테이블의 섹션 2에 새 규칙이 생성됩니다.

Step 13

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network http-object
host 10.1.2.28
이 절차에 의해 생성된 NAT 규칙
object network http-object
nat (inside,outside) static interface service tcp www www

SMTP 서버에 대한 NAT 수신 SMTP 트래픽

공용 IP 주소가 하나만 있거나 매우 제한된 수인 경우, 정적 IP 주소 및 포트에 바인딩된 인바운드 트래픽을 내부 주소로 변환하는 네트워크 개체 NAT 규칙을 만들 수 있습니다. 특정 사례에 대한 절차를 제공했지만 지원되는 다른 애플리케이션의 모델로 사용할 수 있습니다.

Before you begin

시작하기 전에 smtp 서버에 대한 네트워크 개체를 생성합니다. 이 절차에서는개체를 smtp-개체라고 합니다.

지침은 네트워크 개체 생성을 참조하십시오.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서 , 다음 작업을 수행합니다.

  • 원본 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음 smtp-server-object를 선택합니다.

  • 변환된 주소 메뉴를 확장하고, Choose(선택)를 클릭한 다음 Interface(인터페이스)를 선택합니다.

  • Use Port Translation(포트 변환 사용)을 선택합니다.

  • tcp, smtp, smtp를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 매니지드 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다. NAT 테이블의 섹션 2에 새 규칙이 생성됩니다.

Step 13

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

다음은 이 절차의 결과로 생성되어 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체
object network smtp-object
host 10.1.2.29
이 절차에 의해 생성된 NAT 규칙
object network smtp-object
nat (inside,outside) static interface service tcp smtp smtp

사설 IP 주소 범위를 공용 IP 주소 범위로 변환

활용 사례

수신 디바이스(트랜잭션의 다른 끝에 있는 디바이스)가 트래픽을 허용하도록 IP 주소를 특정 범위로 변환해야 하는 특정 디바이스 유형 또는 사용자 유형 그룹이 있는 경우 이 접근 방식을 사용합니다.

내부 주소 풀을 외부 주소 풀로 변환

Before you begin

변환하려는 사설 IP 주소 풀에 대한 네트워크 개체를 생성하고 해당 사설 IP 주소를 변환하려는 공용 주소 풀에 대한 네트워크 개체를 생성합니다.

ASA의 경우 "원래 주소" 풀(변환하려는 개인 IP 주소 풀)은 주소 범위가 있는 네트워크 개체, 서브넷을 정의하는 네트워크 개체 또는 풀의 모든 주소를 포함하는 네트워크 그룹일 수 있습니다. FTD의 경우 "원래 주소" 풀은 풀의 모든 주소를 포함하는 네트워크 그룹 또는 서브넷을 정의하는 네트워크 개체일 수 있습니다.


Note

ASA 의 경우 "변환된 주소" 풀을 정의하는 네트워크 그룹은 서브넷을 정의하는 네트워크 개체일 수 없습니다.

이러한 주소 풀을 생성할 때 지침을 보려면 ASA 네트워크 개체 및 네트워크 그룹 생성 또는 편집을 사용하고 하십시오.

다음 절차를 위해 개인 주소 풀의 이름을 inside_pool로 지정하고 공용 주소 풀의 이름을 outside_pool로 지정했습니다.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Network Object NAT를 클릭합니다.

Step 7

섹션 1 Type(유형)에서 Dynamic(동적)을 선택하고 Continue(계속)를 클릭합니다.

Step 8

섹션 2, 인터페이스에서 소스 인터페이스를 내부로, 대상 인터페이스를 외부로 설정합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, Packets(패킷)에서, 다음 작업을 수행합니다.

  • 원본 주소의 경우 Choose(선택)을 클릭한 다음 위의 전제 조건 섹션에서 만든 inside_pool 네트워크 개체(또는 네트워크 그룹)를 선택합니다.

  • 변환된 주소의 경우 Choose(선택)을 클릭한 다음 위의 전제 조건 섹션에서 만든 outside_pool 네트워크 개체(또는 네트워크 그룹)를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 매니지드 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다.

Step 13

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

이러한 절차의 결과로 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network outside_pool
    range 209.165.1.1 209.165.1.255
object network inside_pool
    range 10.1.1.1 10.1.1.255

이 절차에 의해 생성된 NAT 규칙

object network inside_pool
nat (inside,outside) dynamic outside_pool

외부 인터페이스를 통과할 때 IP 주소 범위가 변환되지 않도록 방지

활용 사례

이 Twice NAT 사용 사례를 사용하여 사이트 간 VPN을 활성화합니다.

전략

네트워크의 한 위치에 있는 IP 주소가 다른 위치에 변경되지 않고 도착하도록 IP 주소 풀을 자체적으로 변환하고 있습니다.

2회 NAT 규칙 생성

Before you begin

변환할 IP 주소 풀을 정의하는 네트워크 개체 또는 네트워크 그룹을 생성합니다. ASA의 경우 주소 범위는 IP 주소 범위를 사용하는 네트워크 개체, 서브넷을 정의하는 네트워크 개체 또는 범위의 모든 주소를 포함하는 네트워크 그룹 개체로 정의할 수 있습니다.

네트워크 개체 또는 네트워크 그룹을 생성할 때 지침을 보려면 ASA 네트워크 개체 및 네트워크 그룹 생성 또는 편집 을 사용합니다.

다음 절차를 위해 네트워크 개체 또는 네트워크 그룹인 Site-to-Site-PC-Pool을 호출합니다.

Procedure

Step 1

왼쪽 창에서 Manage(관리) > Security Devices(보안 디바이스)를 클릭합니다.

Step 2

Devices(디바이스) 탭을 클릭하여 디바이스를 찾거나 Templates(템플릿) 탭을 클릭하여 모델 디바이스를 찾습니다.

Step 3

해당 디바이스 탭을 클릭합니다.

Step 4

NAT 규칙을 생성하려는 디바이스를 선택합니다.

Step 5

오른쪽의 Management(관리) 창에서 NAT를 클릭합니다.

Step 6

> Twice NAT(2회 NAT)를 클릭합니다..

Step 7

섹션 1, Type(유형)에서 Static(정적)을 선택합니다. Continue(계속)를 클릭합니다.

Step 8

섹션 2, Interfaces(인터페이스)에서 소스 인터페이스로 inside(내부)를 선택하고 대상 인터페이스로 outside(외부)를 선택합니다. Continue(계속)를 클릭합니다.

Step 9

섹션 3, 패킷에서 다음과 같이 변경합니다.

  • 원래 주소 메뉴를 확장하고 Choose(선택)를 클릭한 다음 전제 조건 섹션에서 생성한 사이트 간 PC 풀 개체를 선택합니다.

  • 변환된 주소 메뉴를 펼치고 Choose(선택)를 클릭한 후 전제 조건 섹션에서 생성한 Site-to-Site-PC-Pool 개체를 선택합니다.

Step 10

섹션 4, Advanced(고급)을 건너뜁니다.

Step 11

FDM 매니지드 디바이스의 경우 섹션 5, 이름에서 NAT 규칙에 이름을 지정합니다.

Step 12

Save(저장)를 클릭합니다.

Step 13

ASA의 경우 암호화 맵을 생성합니다. 암호화 맵 생성에 대한 자세한 내용은 CLI 책 3: Cisco ASA Series VPN CLI 구성 가이드를 참조하고 LAN-to-LAN IPsec VPN에 대한 장을 검토하십시오.

Step 14

지금 변경 사항을 검토하고 구축하거나 기다렸다가 여러 변경 사항을 한 번에 구축합니다.

ASA의 저장된 구성 파일 항목

이러한 절차의 결과로 ASA의 저장된 구성 파일에 나타나는 항목입니다.


Note

이것은 FDM 관리 디바이스에 적용되지 않습니다.

이 절차에 의해 생성된 개체

object network Site-to-Site-PC-Pool
range 10.10.2.0 10.10.2.255

이 절차에 의해 생성된 NAT 규칙

nat (inside,outside) source static Site-to-Site-PC-Pool Site-to-Site-PC-Pool