원격 액세스 VPN을 사용하여 사용자 제어

다음 주제는 Remote Access VPN을 이용해 사용자 인식 및 사용자 제어를 수행하는 방법을 설명합니다.

Remote Access VPN ID 소스

Secure Clientthreat defense 디바이스에 원격 VPN 연결을 제공하는 엔드포인트 디바이스에서만 지원되는 클라이언트입니다.

새 Remote Access VPN 정책 생성에 설명된 대로 안전한 VPN 게이트웨어를 설정할 때, 사용자가 Active Directory 저장소에 있다면 이러한 사용자에 대한 ID 정책을 설정하고 ID 정책을 액세스 컨트롤 정책과 연결할 수 있습니다.


참고

사용자 ID 및 RADIUS를 ID 소스로 사용하는 원격 액세스 VPN을 사용하는 경우 영역을 구성해야 합니다(Objects(개체) > Object Management(개체 관리) > AAA Server(AAA 서버) > RADIUS Server Group(RADIUS 서버 그룹)).

원격 사용자가 제공한 로그인 정보는 LDAP 또는 AD 영역 또는 RADIUS 서버 그룹에서 검증합니다. 이러한 엔터티는 Secure Firewall Threat Defense 보안 게이트웨이와 통합됩니다.


참고

사용자가 Active Directory를 인증 소스로 사용하여 원격 액세스 VPN으로 인증하는 경우 사용자 이름을 사용하여 로그인해야 합니다. domain\username 또는 username@domain 형식은 실패하게 됩니다. (Active Directory는 이 사용자 이름을 로그온 이름 또는 경우에 따라 sAMAccountName으로 참조합니다.) 자세한 내용은 MSDN의 User Naming Attributes를 참조하십시오.

RADIUS를 사용하여 인증하는 경우 사용자는 위의 형식 중 하나로 로그인할 수 있습니다.

VPN 연결을 통해 인증되면 원격 사용자는 VPN ID를 사용합니다. Secure Firewall Threat Defense 보안 게이트웨이의 ID 정책에서 이 VPN ID를 사용하여 해당 원격 사용자에게 속하는 네트워크 트래픽을 인식하고 필터링합니다.

ID 정책은 네트워크 리소스에 대한 액세스 권한을 가진 사용자를 확인하는 액세스 제어 정책과 연결됩니다. 이러한 방식으로 원격 사용자는 네트워크 리소스에 대한 액세스가 차단되거나 허용됩니다.

사용자 제어에 대한 RA VPN 설정

시작하기 전에

프로시저

단계 1

management center에 로그인합니다.

단계 2

Devices(디바이스) > VPN > Remote Access(원격 액세스)를 클릭합니다.

단계 3

새 Remote Access VPN 정책 생성의 내용을 참조하십시오.

다음에 수행할 작업

원격 액세스 VPN ID 소스 문제 해결

  • 기타 관련 문제 해결 정보를 보려면 영역 및 사용자 다운로드 문제 해결, 사용자 제어 문제 해결, VPN 문제 해결을 참조하십시오.

  • Remote Access VPN 관련 문제가 발생한다면, management center 및 매니지드 디바이스 간의 연결을 확인하십시오. 연결에 실패했을 때, 사용자가 이전에 확인된 적이 있고 management center에 다운로드된 경우가 아니라면 다운타임 동안에는 디바이스에서 보고된 모든 원격 액세스 VPN 로그인을 식별할 수 없습니다.

    식별되지 않은 사용자는 management center에서 알 수 없는 사용자로 로깅됩니다. 다운타임이 끝나면 ID 정책의 규칙에 따라 알 수 없는 사용자가 다시 식별되고 처리됩니다.

  • Kerberos 인증에 성공하려면 매니지드 디바이스의 호스트 이름이 15자 미만이어야 합니다.

  • 활성 FTP 세션이 이벤트에서 Unknown 사용자로 표시됩니다. 활성 FTP에서는 서버(클라이언트 아님)가 연결을 시작하고 FTP 서버에는 관련 사용자 이름이 없으므로 이는 정상입니다. 활성 FTP에 대한 자세한 내용은 RFC 959를 참조하십시오.

VPN 통계에 대한 올바른 설정이 관찰되지 않음

이 작업에서는 상태 정책에서 VPN Statistics(VPN 통계) 설정을 활성화하거나 비활성화한 후에 수행해야 하는 단계를 설명합니다. 이 작업을 수행하지 못한다면 매니지드 디바이스의 상태 정책이 잘못 설정된 것입니다.

프로시저

단계 1

아직 하지 않았다면 Secure Firewall Management Center에 로그인합니다.

단계 2

시스템 ( 시스템 기어 아이콘) > Health(상태) > Policy(정책) 버튼을 클릭합니다.

단계 3

Firewall Threat Defense Health Policies(Firewall Threat Defense 상태 정책)에서 편집할 정책 옆에 있는 Edit(수정) (수정 아이콘)을 클릭합니다.

단계 4

Health Modules(상태 모듈) 탭 페이지에서 아래로 스크롤하여 VPN Statistics(VPN 통계)를 찾습니다.

단계 5

VPN 통계 설정이 올바른지 확인하거나 필요한 경우 변경합니다.

단계 6

설정을 변경한 경우 Save(저장)를 클릭하고 Cancel(취소)을 클릭하여 상태 정책으로 돌아갑니다.

단계 7

Firewall Threat Defense Health Policies(Firewall Threat Defense 상태 정책)에서 편집할 정책 옆에 있는 상태 정책 구축(구축 아이콘)을 클릭합니다.

단계 8

Policy Assignments and Deploy(정책 할당 및 구축) 대화 상자에서 상태 정책을 구축할 디바이스를 Selected Devices(선택된 디바이스) 필드로 옮깁니다.

Selected Devices(선택한 디바이스) 목록에 상태 정책을 구축합니다. 화살표 버튼을 사용하여 Available Devices(사용 가능한 디바이스) 목록과 Selected Devices(선택한 디바이스) 목록 간에 디바이스를 이동합니다.

단계 9

Apply(적용)를 클릭합니다.

상태 정책이 구축되면 메시지가 표시됩니다.

단계 10

상태 정책의 구축이 완료되면 Policies(정책) > Access Control(액세스 제어)을 클릭하여 액세스 제어 정책을 편집합니다.

단계 11

편집할 정책 옆에 있는 Edit(수정) (수정 아이콘)을 클릭합니다.

단계 12

이름을 변경하는 등 정책을 약간 변경합니다.

단계 13

액세스 제어 정책을 저장합니다.

단계 14

구성 변경 사항을 구축합니다. 구성 변경 사항 구축의 내용을 참고하십시오..

RA VPN 기록

기능

버전

최소 Threat Defense

세부 사항

원격 액세스 VPN

6.2.1

Any(모든)

기능이 도입되었습니다. RA VPN은 개별 사용자가 인터넷에 연결된 랩톱 또는 데스크톱, Android, Apple iOS 모바일 디바이스를 사용하여 전용 비즈니스 네트워크에 연결할 수 있게 합니다. 원격 사용자는 공유 미디어 및 인터넷을 통해 전송되는 데이터에 중요한 암호화 기술을 사용하여 안전하게, 자신 있게 데이터를 전송합니다.