원격 액세스 VPN

원격 액세스 VPN(Virtual Private Network)을 사용하면 개별 사용자가 인터넷에 연결된 컴퓨터 또는 기타 지원되는 디바이스를 사용하여 원격 위치에서 네트워크에 연결할 수 있습니다. 따라서 모바일 근무자가 홈 네트워크 또는 공개 Wi-Fi 네트워크 등에서 연결할 수 있습니다.

다음 주제에서는 네트워크용으로 원격 액세스 VPN을 구성하는 방법을 설명합니다.

Secure Firewall Threat Defense 원격 액세스 VPN 개요

Secure Firewall Threat Defense 는 원격 액세스 SSL 및 IPsec IKEv2 VPN을 지원하는 보안 게이트웨이 기능을 제공합니다. 전체 터널 클라이언트인 Secure Client는 원격 사용자를 위해 보안 게이트웨이에 보안 SSL 및 IPsec-IKEv2 연결을 제공합니다. 클라이언트는 threat defense 디바이스와 SSL VPN 연결을 협상할 때 TLS(Transport Layer Security: 전송 계층 보안) 또는 DTLS(Datagram Transport Layer Security: 데이터그램 전송 계층 보안)를 사용하여 연결합니다.

Secure Clientthreat defense 디바이스에 원격 VPN 연결을 제공하는 엔드포인트 디바이스에서만 지원되는 클라이언트입니다. 이 클라이언트는 네트워크 관리자가 원격 컴퓨터에 클라이언트를 설치 및 구성하지 않아도 원격 사용자에게 SSL 또는 IPsec-IKEv2 VPN 클라이언트의 이점을 제공합니다. Windows, Mac, Linux용 Secure Client는 연결할 때 보안 게이트웨이에서 구축됩니다. Apple iOS 및 Android 디바이스용 Secure Client 앱은 플랫폼 앱 스토어에서 설치됩니다.

management center의 원격 액세스 VPN 정책 마법사를 사용하여 기본 기능을 갖춘 SSL 및 IPsec-IKEv2 원격 액세스 VPN을 쉽고 빠르게 설정합니다. 그런 다음, 원하는 경우 정책 구성을 개선하고 Secure Firewall Threat Defense 보안 게이트웨이 디바이스에 구축합니다.

Remote Access VPN 기능

다음 표에서는 Secure Firewall Threat Defense 원격 액세스 VPN의 기능에 대해 설명합니다.

표 1. 원격 액세스 VPN 기능

설명

Secure Firewall Threat Defense 원격 액세스 VPN 기능

  • Secure Client를 사용하는 SSL 및 IPsec-IKEv2 원격 액세스.

  • Secure Firewall Management Center IPv4 터널을 통한 IPv6와 같은 모든 조합을 지원합니다.

  • management centerdevice manager 모두에 대한 구성 지원. 디바이스별 재정의.

  • Secure Firewall Management Centerthreat defense HA 환경에 대한 지원.

  • 여러 인터페이스 및 여러 AAA 서버에 대한 지원.

  • RADIUS CoA 또는 RADIUS 동적 인증을 사용하여 Rapid Threat Containment 지원.

  • Cisco Secure Client 버전 4.7 이상에서 DTLS v1.2 프로토콜을 지원합니다.

  • Secure Client 모듈은 원격 액세스 VPN 연결을 위한 추가 보안 서비스를 지원합니다.

  • VPN 로드 밸런싱

AAA 기능

  • 자체 서명 또는 CA 서명 ID 인증서를 사용하는 서버 인증.

  • RADIUS 서버 또는 LDAP 또는 AD를 사용하는 AAA 사용자 이름 및 암호 기반 원격 인증.

  • RADIUS 그룹 및 사용자 권한 부여 속성 및 RADIUS 계정.

  • 2차 인증을 위해 추가 AAA 서버를 사용하는 이중 인증 지원.

  • VPN ID를 사용하는NGFW Access Control 통합.

  • Secure Firewall Management Center 웹 인터페이스를 사용하는 LDAP 또는 AD 권한 부여 속성

  • SAML 2.0을 사용하는 SSO(Single Sign-On) 지원

  • 동일한 엔터티 ID에 대해 여러 애플리케이션을 가질 수 있지만 고유한 ID 인증서를 가질 수 있는 Microsoft Azure를 사용하는 여러 ID 제공자 신뢰 지점을 지원합니다.

VPN 터널링 기능

  • 주소 할당.

  • 스플릿 터널링.

  • 스플릿 DNS.

  • 클라이언트 방화벽 ACL.

  • 최대 연결 및 유휴 시간에 대한 세션 시간 초과.

원격 액세스 VPN 모니터링 기능

  • 기간 및 클라이언트 애플리케이션 같은 다양한 속성으로 VPN 사용자를 표시하는 새로운 VPN 대시보드 위젯.

  • 사용자 이름 및 OS 플랫폼과 같은 인증 정보를 포함하는 원격 액세스 VPN 이벤트.

  • threat defense Unified CLI를 통해 사용 가능한 터널 통계.

Secure Client 구성 요소

Secure Client 구축

원격 액세스 VPN 정책에 Secure Client 이미지Secure Client 프로파일을(를) 포함하여 연결 엔드포인트에 배포할 수 있습니다. 또는 다른 방법을 사용하여 클라이언트 소프트웨어를 배포할 수 있습니다. 에서 AnyConnect 구축 장을 참조하십시오.Cisco Secure Client(AnyConnect 포함) 관리자 가이드, 릴리스 5에서 Cisco Secure Client 구축 장을 참조하십시오.

이전에 설치된 클라이언트가 없는 경우 원격 사용자는 SSL 또는 IPsec-IKEv2 VPN 연결을 허용하도록 구성된 인터페이스의 브라우저에 IP 주소를 입력합니다. 보안 어플라이언스가 http:// 요청을 https://로 리디렉션하도록 구성되어 있지 않은 경우, 사용자는 URL을 https://address 형식으로 입력해야 합니다. 사용자가 URL을 입력하면 브라우저가 해당 인터페이스로 연결되고 로그인 화면이 표시됩니다.

사용자가 로그인하면, 보안 게이트웨이에서 사용자가 VPN 클라이언트를 요청하는 것으로 식별하면 원격 컴퓨터의 운영 체제에 맞는 클라이언트가 다운로드됩니다. 다운로드 후에는 클라이언트가 자동으로 설치 및 구성되어 보안 연결을 설정하며, 연결이 중지되면 보안 어플라이언스 구성에 따라 그대로 유지되거나 자동으로 제거됩니다. 이전에 설치된 클라이언트의 경우, 로그인하면 threat defense 보안 게이트웨이가 클라이언트 버전을 확인하고 필요에 따라 클라이언트를 업그레이드합니다.

Secure Client 작업

클라이언트가 보안 어플라이언스와 연결을 협상한다면, 클라이언트는 TLS(Transport Layer Security)를 사용하여 연결하고 선택에 따라 DTLS(Datagram Transport Layer Security)를 사용하여 연결합니다. DTLS는 일부 SSL 연결에서 발생하는 레이턴시 및 대역폭 문제를 방지하고 패킷 지연에 민감한 실시간 애플리케이션의 성능을 높입니다.

IPsec-IKEv2 VPN 클라이언트가 보안 게이트웨이에 연결을 시작할 경우, 협상은 IKE(Internet Key Exchange)를 통한 디바이스 인증과 그다음에 수행되는 IKE Xauth(Extended Authentication)를 사용한 사용자 인증으로 구성됩니다. 그룹 프로파일이 VPN 클라이언트에 푸시되고 IPsec SA(security association)를 생성하여 VPN을 완료합니다.

Secure Client 프로파일 및 편집기

Secure Client 프로파일은 XML 파일에 저장된 구성 매개변수 그룹으로, VPN 클라이언트는 이를 사용하여 운영 및 모양을 구성합니다. 이러한 매개변수(XML 태그)에는 추가적인 클라이언트 기능을 활성화할 수 있는 호스트 컴퓨터 및 설정의 이름과 주소가 포함되어 있습니다.

Secure Client 프로파일 편집기를 사용하여 프로파일을 구성할 수 있습니다. 이 편집기는 Secure Client 소프트웨어 패키지의 일부로 제공되는 편리한 GUI 기반 구성 툴입니다. 이 툴은 management center외부에서 실행되는 독립 프로그램입니다.

Remote Access VPN 인증

Remote Access VPN 서버 인증

Secure Firewall Threat Defense 보안 게이트웨이는 항상 인증서를 사용하여 VPN 클라이언트 엔드포인트에 대한 식별 및 인증을 수행합니다.

원격 액세스 VPN 정책 마법사를 사용하는 동안 대상 threat defense 디바이스에서 선택한 인증서를 등록할 수 있습니다. 마법사의 Access & Certificate(액세스 및 인증) 단계에서 “Enroll the selected certificate object on the target device(대상 디바이스에서 선택한 인증서 개체 등록)” 옵션을 선택합니다. 인증서 등록이 지정된 디바이스에서 자동으로 시작됩니다. 원격 액세스 VPN 정책 구성이 완료되면 디바이스 인증서 홈페이지에서 등록된 인증서의 상태를 볼 수 있습니다. 상태는 인증서 등록의 성공 여부를 명확히 보여줍니다. 이제 원격 액세스 VPN 정책 구성이 완전히 완료되었으며 구축할 준비가 되었습니다.

보안 게이트웨이의 인증서를 가져오는 것은 PKI 등록이라고도 하며, 인증서에 설명되어 있습니다. 이 장에는 게이트웨이 인증서 구성, 등록 및 유지 관리에 대한 전체적인 설명이 포함되어 있습니다.

Remote Access VPN 클라이언트 AAA

SSL 및 IPsec-IKEv2 둘 다의 경우 원격 사용자 인증은 사용자 이름과 비밀번호만, 인증서만 또는 두 가지를 모두 사용하여 수행됩니다.


참고

구축에서 클라이언트 인증서를 사용하고 있는 경우, Secure Firewall Threat Defense 또는 Secure Firewall Management Center와 무관한 클라이언트 플랫폼에 해당 인증서를 추가해야 합니다. 클라이언트에 인증서를 입력할 수 있는 기능인 SCEP 또는 CA 서비스 등은 제공되지 않습니다.

AAA 서버는 보안 게이트웨이 역할의 매니지드 디바이스가 사용자(인증), 사용자가 수행하도록 허용된 작업(권한 부여) 및 사용자가 수행한 작업(계정)을 결정하도록 활성화합니다. AAA 서버의 몇 가지 예는 RADIUS, LDAP/AD, TACACS+ 및 Kerberos입니다. threat defense 디바이스에서 Remote Access VPN의 경우 인증에 대해 AD, LDAP 및 RADIUS AAA 서버가 지원됩니다.

Remote Access VPN 권한 부여에 대한 자세한 내용은 권한 및 속성 정책 시행 이해 섹션을 참조하십시오.

원격 액세스 VPN 정책을 추가하거나 편집하기 전에 지정하려는 영역 및 RADIUS 서버 그룹을 구성해야 합니다. 자세한 내용은 LDAP 영역 또는 Active Directory 영역 및 영역 디렉터리 생성RADIUS 서버 그룹 추가를 참조하십시오.

구성된 DNS가 없으면 디바이스는 AAA 서버 이름, 이름이 지정된 URL 및 FQDN 또는 호스트 이름이있는 CA 서버를 확인할 수 없으며 IP 주소만 확인할 수 있습니다.

원격 사용자가 제공한 로그인 정보는 LDAP 또는 AD 영역 또는 RADIUS 서버 그룹에서 검증합니다. 이러한 엔터티는 Secure Firewall Threat Defense 보안 게이트웨이와 통합됩니다.


참고

사용자가 Active Directory를 인증 소스로 사용하여 원격 액세스 VPN으로 인증하는 경우 사용자 이름을 사용하여 로그인해야 합니다. domain\username 또는 username@domain 형식은 실패하게 됩니다. (Active Directory는 이 사용자 이름을 로그온 이름 또는 경우에 따라 sAMAccountName으로 참조합니다.) 자세한 내용은 MSDN의 User Naming Attributes를 참조하십시오.

RADIUS를 사용하여 인증하는 경우 사용자는 위의 형식 중 하나로 로그인할 수 있습니다.

VPN 연결을 통해 인증되면 원격 사용자는 VPN ID를 사용합니다. Secure Firewall Threat Defense 보안 게이트웨이의 ID 정책에서 이 VPN ID를 사용하여 해당 원격 사용자에게 속하는 네트워크 트래픽을 인식하고 필터링합니다.

ID 정책은 네트워크 리소스에 대한 액세스 권한을 가진 사용자를 확인하는 액세스 제어 정책과 연결됩니다. 이러한 방식으로 원격 사용자는 네트워크 리소스에 대한 액세스가 차단되거나 허용됩니다.

자세한 내용은 ID 정책 정보액세스 제어 정책 섹션을 참조하십시오.

권한 및 속성 정책 시행 이해

Secure Firewall Threat Defense 디바이스는 AAA 서버(RADIUS) 또는 threat defense 디바이스에 정의된 그룹 정책에서 VPN 연결에 사용자 인증 속성(사용자 자격 또는 권한이라고도 함)을 적용하도록 지원합니다. threat defense 디바이스에서 그룹 정책에 구성된 속성과 충돌하는 속성을 AAA 서버로부터 수신하는 경우, AAA 서버에서 오는 속성이 항상 우선 적용됩니다.

threat defense 디바이스에서는 다음 순서로 속성을 적용합니다.

  1. AAA 서버의 사용자 속성 - 사용자 인증 및/또는 권한 부여가 성공적으로 수행되면 서버에서 이러한 특성을 반환합니다.

  2. Firepower Threat Defense 디바이스에 구성된 그룹 정책 - RADIUS 서버에서 사용자에 대해 RADIUS CLASS 속성 IETF-Class-25(OU=group-policy) 값을 반환하면 threat defense 디바이스에서는 해당 사용자를 이름이 같은 그룹 정책에 배치하고 서버에서 반환하지 않은 그룹 정책의 모든 속성을 적용합니다.

  3. 연결 프로파일에서 할당한 그룹 정책(터널 그룹으로 알려짐) - 연결 프로파일에는 연결을 위한 예비 설정이 있으며 인증 전에 사용자에게 적용되는 기본 그룹 정책을 포함합니다.


참고
threat defense 디바이스는 기본 그룹 정책인 DfltGrpPolicy에서 시스템 기본 속성 상속을 지원하지 않습니다. 연결 프로파일에 할당된 그룹 정책의 속성은 사용자 속성이나 AAA 서버의 그룹 정책에 의해 재정의되지 않는 경우 위에서 설명한 대로 사용자 세션에 사용됩니다.

AAA 서버 연결 이해

LDAP, AD 및 RADIUS AAA 서버는 사용자 ID 처리, VPN 인증 또는 두 가지 활동 모두와 같은 용도에 따라 threat defense 디바이스에서 연결할 수 있어야 합니다. AAA 서버는 Remote Access VPN에서 다음 활동을 위해 사용됩니다.

  • 사용자 ID 처리 - 관리 인터페이스를 통해 서버에 연결할 수 있어야 합니다.

    threat defense에서 관리 인터페이스는 데이터 인터페이스와는 다른별도의 라우팅 프로세스 및 구성을 갖습니다.

  • VPN 인증 - 서버는 데이터 인터페이스 또는 관리 인터페이스, 연결할 수 있어야 합니다.

    관리 인터페이스를 사용하려면 관리를 소스 인터페이스로 명시적으로 선택해야 합니다. 다른 관리 전용 인터페이스는 사용할 수 없습니다.

두 활동 모두에 동일한 AAA 서버를 사용하려면 관리 인터페이스를 소스 인터페이스로 지정하는 것이 좋습니다.

여러 인터페이스에 대한 자세한 내용은 일반 방화벽 인터페이스 섹션을 참조하십시오.

구축 후 다음 CLI 명령을 사용하여 threat defense 디바이스에서 AAA 서버 연결을 모니터링하고 문제를 해결합니다.

  • show aaa-server - AAA 서버 통계를 표시합니다.

  • show network , show network-static-routes - 관리 인터페이스 기본 경로 및 고정 경로를 확인합니다.

  • show route - 데이터 트래픽 라우팅 테이블 항목을 봅니다.

  • ping system traceroute system 가 관리 인터페이스를 통해 AAA 서버에 대한 경로를 확인합니다.

  • ping interface ifname traceroute destination - 데이터 인터페이스를 통해 AAA 서버에 대한 경로를 확인합니다.

  • test aaa-server authenticationtest aaa-server authorization - AAA 서버에서 인증 및 권한 부여를 테스트합니다.

  • clear aaa-server statistics groupname 또는 clear aaa-server statistics protocol protocol - 그룹 또는 프로토콜별로 AAA 서버 통계를 지웁니다.

  • aaa-server groupname active host hostname - 실패한 AAA 서버를 활성화합니다. aaa-server groupname fail host hostname - AAA 서버에 실패합니다.

  • debug ldap level debug aaa authentication , debug aaa authorization debug aaa accounting .

원격 액세스 VPN 라이선스 요구 사항

Threat Defense 라이선스

Threat Defense 원격 액세스 VPN에는 Secure Client에 대한 강력한 암호화 및 다음 라이선스 중 하나가 필요합니다.

  • Secure Client Advantage

  • Secure Client Premier

  • Secure Client VPN Only

원격 액세스 VPN 요구 사항 및 사전 요건

모델 지원

Threat Defense

지원되는 도메인

모두

사용자 역할

관리자

Remote Access VPN에 대한 지침 및 제한 사항

원격 액세스 VPN 정책 구성

  • 신규 원격 접속 VPN 정책을 추가하려면 마법사를 사용해야만 합니다. 새 정책을 생성하려면 마법사 전체를 진행해야 합니다. 마법사를 완료하기 전에 취소할 경우 정책이 저장되지 않습니다.

  • 사용자 두 명이 원격 접속 VPN 정책을 동시에 편집해서는 안 됩니다. 그러나 웹 인터페이스는 동시 편집을 차단하지 않습니다. 동시 수정이 일어날 경우, 마지막으로 저장된 컨피그레이션이 유지됩니다.

  • 원격 액세스 VPN 정책이 해당 디바이스에 할당되어 있다면 한 도메인에서 다른 도메인으로 Secure Firewall Threat Defense 디바이스를 이동할 수 없습니다.

  • SaaS 또는 ECMP를 사용하는 동안에는 원격 액세스 VPN이 SSL을 지원하지 않습니다. IPsec-IKEv2를 사용하는 것이 좋습니다.

  • 클러스터 모드의 Firepower 9300 및 4100 시리즈는 원격 액세스 VPN 구성을 지원하지 않습니다.

  • 잘못 구성된 threat defense NAT 규칙이 있는 경우 원격 액세스 VPN 연결이 실패할 수 있습니다.

  • DHCP를 사용하여 클라이언트에 IP 주소를 제공하는데 클라이언트가 주소를 가져올 수 없는 경우 NAT 규칙을 확인합니다. RA VPN 네트워크에 적용되는 모든 NAT 규칙에는 경로 조회 옵션이 포함되어야 합니다. 경로 조회를 사용하면 DHCP 요청이 적절한 인터페이스를 통해 DHCP 서버로 전송되는지 확인할 수 있습니다.

  • IKE 포트 500/4500 또는 SSL 포트 443을 사용 중이거나 활성화된 일부 PAT 변환이 있을 때마다 Secure Client IPSec-IKEv2 또는 SSL Remote Access VPN을 동일한 포트에서 구성할 수 없으므로 해당 포트에서 서비스를 시작하는 데 실패합니다. 이 포트는 원격 액세스 VPN 정책을 구성하기 전에 threat defense 디바이스에서 사용하면 안 됩니다.

  • 마법사를 사용하여 원격 액세스 VPN을 구성하는 동안 인라인 인증서 등록 개체를 만들 수 있지만 이를 사용하여 ID 인증서를 설치할 수는 없습니다. 인증서 등록 개체는 원격 액세스 VPN 게이트웨이로 구성되는 threat defense 디바이스에서 ID 인증서를 생성하는 데 사용됩니다. 디바이스에 원격 액세스 VPN 정책을 배포하기 전에 ID 인증서를 설치하십시오.

    인증서 등록 개체를 기반으로 ID 인증서를 설치하는 방법에 대한 자세한 내용은 개체 관리자 섹션을 참조하십시오.

  • ECMP 영역 인터페이스는 IPsec이 활성화된 원격 액세스 VPN에서 사용할 수 있습니다.

  • ECMP 영역 인터페이스는 SSL이 활성화된 원격 액세스 VPN에서 사용할 수 없습니다. 보안 영역 또는 인터페이스 그룹에 속하는 모든 원격 액세스 VPN 인터페이스가 하나 이상의 ECMP 영역에도 속하는 경우 원격 액세스 VPN(SSL 활성화됨) 구성의 구축이 실패합니다. 그러나 보안 영역 또는 인터페이스 그룹에 속한 원격 액세스 VPN 인터페이스 중 일부만 하나 이상의 ECMP 영역에도 속할 경우, 해당 인터페이스를 제외하고 원격 액세스 VPN 구성 구축이 성공합니다.

  • 원격 액세스 VPN 정책 구성을 변경한 후에는 변경 내용을 threat defense 디바이스에 다시 구축합니다. 구성 변경을 구축하는 데 걸리는 시간은 정책 및 규칙의 복잡성, 디바이스에 전송하는 구성 유형 및 볼륨, 메모리 및 디바이스 모델과 같은 여러 요소에 따라 다릅니다. 원격 액세스 VPN 정책 변경 사항을 구축하기 전에 구성 변경 사항 구축을 위한 모범 사례 섹션을 검토하십시오.

  • RA VPN 헤드엔드에 대해 curl 같은 명령을 실행하는 것은 직접 지원되지 않으므로 원하는 결과를 얻을 수 없습니다. 예를 들어 헤드엔드가 HTTP HEAD 요청에 응답하지 않습니다.

동시 VPN 세션 용량 계획(threat defense virtual 모델)

최대 동시 VPN 세션 수는 설치된 threat defense virtual 스마트 라이선스 엔타이틀먼트 계층에 의해 제어되며 속도 제한기를 통해 적용됩니다. 라이선스가 있는 디바이스 모델에 따라 디바이스에서 허용되는 동시 원격 액세스 VPN 세션 수에는 최대 제한이 적용됩니다. 이러한 제한은 시스템 성능이 부적절한 레벨로 저하되지 않도록 설계된 것입니다. 용량 계획 시에 이러한 제한을 사용하십시오.

디바이스 모델

최대 동시 원격 액세스 VPN 세션

Threat Defense Virtual5

50

Threat Defense Virtual10

250

Threat Defense Virtual20

250

Threat Defense Virtual30

250

Threat Defense Virtual50

750

Threat Defense Virtual100

10,000

동시 VPN 세션 용량 계획(하드웨어 모델)

최대 동시 VPN 세션은 플랫폼별 한도에 의해 관리되며 라이선스에 의존하지 않습니다. 디바이스 모델에 따라 디바이스에서 허용되는 동시 원격 액세스 VPN 세션 수에는 최대 제한이 적용됩니다. 이러한 제한은 시스템 성능이 부적절한 레벨로 저하되지 않도록 설계된 것입니다. 용량 계획 시에 이러한 제한을 사용하십시오.

디바이스 모델

최대 동시 원격 액세스 VPN 세션

Firepower 1010

75

Firepower 1120

150

Firepower 1140

400

Firepower 2110

1500

Firepower 2120

3500

Firepower 2130

7500

Firepower 2140

10,000

Secure Firewall 3110

3,000

Secure Firewall 3120

6000

Secure Firewall 3130

15,000

Secure Firewall 3140

20,000

Firepower 4100, 모든 모델

10,000

Firepower 9300 어플라이언스, 모든 모델

20,000

ISA 3000

25

다른 하드웨어 모델의 용량을 알고 싶다면 영업 담당자에게 문의하십시오.


참고
threat defense 디바이스는 플랫폼 당 최대 세션 한도에 도달하면 VPN 연결을 거부합니다. 이 연결은 시스템 로그 메시지와 함께 거부됩니다. 시스템 로그 메시지 %ASA-4-113029 및 %ASA-4-113038는 시스템 로그 메시징 가이드를 참조하십시오. 자세한 내용은 Cisco Secure Firewall ASA Series Syslog 메시지를 참조하십시오.

VPN에 대한 암호 사용 제어

DES 보다 큰 암호 사용을 방지하기 위해 management center의 다음 위치에서 사전 구축 확인을 할 수 있습니다.

Devices(디바이스) > Platform Settings(플랫폼 설정) > Edit(편집) > SSL.

Devices(디바이스) > VPN > Remote Access(원격 액세스) > Edit(편집) > Advanced(고급) > IPsec

SSL 설정 및 IPsec에 대한 자세한 내용은 SSLRemote Access VPN IPsec/IKEv2 파라미터 구성을 참조하십시오.

인증, 권한 부여 및 계정 관리(AAA)

원격 액세스 VPN을 사용하려면 토폴로지의 각 디바이스에 DNS를 구성합니다. DNS가 없으면 디바이스는 AAA 서버 이름, 이름이 지정된 URL 및 FQDN 또는 호스트 이름이 있는 CA 서버를 확인할 수 없으며 IP 주소만 확인할 수 있습니다.

Platform Settings(플랫폼 설정)를 사용하여 DNS를 구성할 수 있습니다. 자세한 내용은 DNSDNS 서버 그룹를 참조하십시오.

클라이언트 인증서

구축에서 클라이언트 인증서를 사용하고 있는 경우, Secure Firewall Threat Defense 또는 Secure Firewall Management Center와 무관한 클라이언트 플랫폼에 해당 인증서를 추가해야 합니다. 클라이언트에 인증서를 입력할 수 있는 기능인 SCEP 또는 CA 서비스 등은 제공되지 않습니다.

Secure Client의 지원되지 않는 기능

지원되는 유일한 VPN 클라이언트는 Cisco Secure Client입니다. 그 외의 클라이언트 또는 네이티브 VPN은 지원되지 않습니다. 클라이언트리스 VPN은 VPN 연결에는 지원되지 않으며, 웹 브라우저를 이용해 Secure Client를 구축하는 용도로만 사용됩니다.

다음 Secure Client 기능은 threat defense 보안 게이트웨이에 연결할 때 지원되지 않습니다.

  • Secure Client 사용자 지정 및 현지화 지원. threat defense 디바이스는 이러한 기능을 위해 Secure Client를 구성하는 데 필요한 파일을 구성하거나 구축하지 않습니다.

  • TACACS, Kerberos(KCD 인증) 및 RSA SDI

  • 브라우저 프록시

새 Remote Access VPN 연결 구성

이 섹션에서는 Secure Firewall Threat Defense 디바이스를 VPN 게이트웨이로 사용하고 Cisco Secure Client를 VPN 클라이언트로 이용해 새로운 원격 액세스 VPN 정책을 구성하는 방법을 설명합니다.

단계

수행해야 할 작업

추가 정보

1

지침 및 사전 요구 사항을 검토합니다.

Remote Access VPN에 대한 지침 및 제한 사항

Remote Access VPN 구성 사전 요구 사항

2

마법사를 사용하여 원격 액세스 VPN 정책을 생성합니다.

새 Remote Access VPN 정책 생성

3

디바이스에 구축한 액세스 제어 정책을 업데이트합니다.

Secure Firewall Threat Defense 디바이스의 액세스 제어 정책 업데이트

4

(선택 사항) NAT가 디바이스에 구성된 경우 NAT 면제 규칙을 구성합니다.

(선택 사항) NAT 제외 설정

5

DNS를 구성합니다.

DNS 구성

6

Secure Client 프로파일을 추가합니다.

Secure Client 프로파일 XML 파일 추가

7

원격 액세스 VPN 정책을 구축합니다.

구성 변경 사항 구축

8

(선택 사항) 원격 액세스 VPN 정책 구성을 확인합니다.

구성 확인

Remote Access VPN 구성 사전 요구 사항

  • Secure Firewall Threat Defense 디바이스를 구축하고 내보내기 제어 기능이 활성화된 상태에서 필요한 라이선스로 디바이스를 관리하도록 Secure Firewall Management Center을(를) 구성합니다. 자세한 내용은 VPN 라이선싱의 내용을 참고하십시오.

  • 원격 액세스 VPN 게이트웨이 역할을 하는 각 threat defense 디바이스에 대한 ID 인증서를 얻는 데 사용되는 인증서 등록 개체를 구성합니다.

  • Remote Access VPN 정책에서 사용 중인 RADIUS 서버 그룹 개체와 AD 또는 LDAP 영역을 구성합니다.

  • Remote Access VPN 구성이 작동하려면 threat defense 디바이스에서 AAA 서버에 연결할 수 있는지 확인합니다. 라우팅을 구성(Devices(디바이스) > Device Management(디바이스 관리) > Edit Device(디바이스 편집) > Routing(라우팅))하여 AAA 서버에 대한 연결성을 보장합니다.

    Remote Access VPN 이중 인증의 경우 해당 이중 인증 구성이 작동하려면 threat defense 디바이스에서 기본 및 보조 인증 서버에 모두 연결할 수 있는지 확인합니다.

  • Secure Client Advantage, Secure Client Premier 또는 Secure Client VPN Only와 같은 Cisco Secure Client 라이선스 중 하나를 구입하여 활성화하면 threat defense 원격 액세스 VPN을 활성화할 수 있습니다.

  • Secure Client 이미지 파일을 Cisco 소프트웨어 다운로드 센터에서 다운로드하십시오.

    Secure Firewall Management Center 웹 인터페이스에서 Objects(개체) > Object Management(개체 관리) > VPN > Secure Client File(Secure Client 파일)로 이동하고 새 Secure Client 이미지 파일을 추가합니다.

  • 사용자가 VPN 연결 시 액세스할 네트워크 인터페이스가 포함된 보안 영역 또는 인터페이스 그룹을 생성합니다. Interface(인터페이스)의 내용을 참조하십시오.

  • Secure Client 프로파일을 생성하려면 Cisco 소프트웨어 다운로드 센터에서 Secure Client 프로파일 편집기를 다운로드합니다. 독립형 프로파일 편집기를 사용하여 새로운 Secure Client 프로파일을 만들거나 기존 프로파일을 수정할 수 있습니다.

새 Remote Access VPN 정책 생성

원격 액세스 VPN 정책 마법사는 기본 기능을 사용하여 Remote Access VPN을 쉽고 빠르게 설정할 수 있도록 안내합니다. 또한 원하는 대로 추가 속성을 지정하여 정책 구성을 개선하고 Secure Firewall Threat Defense 보안 게이트웨이 디바이스에 구축할 수 있습니다.

시작하기 전에

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

Add(추가)를 클릭하여 Remote Access VPN Policy(원격 액세스 VPN 정책) 마법사를 사용하여 기본 정책 구성으로 새 원격 액세스 VPN 정책을 생성합니다.

마법사 전체를 진행하면서 새 정책을 생성해야 합니다. 마법사를 완료하기 전에 취소할 경우 어떤 정책도 저장되지 않습니다.

단계 3

대상 디바이스 및 프로토콜을 선택합니다.

여기에서 선택한 threat defense 디바이스는 VPN 클라이언트 사용자를 위한 원격 액세스 VPN 게이트웨이로 작동합니다.

원격 액세스 VPN 정책을 생성하거나 나중에 변경할 때 threat defense 디바이스를 선택할 수 있습니다. 원격 액세스 VPN 정책 대상 디바이스 설정의 내용을 참조하십시오.

SSL 또는 IPSec-IKEv2 또는 두 VPN 프로토콜을 모두 선택할 수 있습니다. Threat Defense에서는 두 프로토콜을 모두 지원하여 VPN 터널을 통해 공용 네트워크에 대한 보안 연결을 설정합니다.

참고

 

Threat Defense NULL 암호화를 사용하는 IPSec 터널을 지원하지 않습니다. IPSec-IKEv2를 선택한 경우 IPSec IKEv2 제안에 대해 NULL 암호화를 선택하지 않아야 합니다. IKEv2 IPsec 제안 개체 설정의 내용을 참조하십시오.

SSL 설정에 대해서는 SSL의 내용을 참조하십시오.

단계 4

Connection Profile(연결 프로파일)Group Policy(그룹 프로파일) 설정을 구성합니다.

연결 프로파일은 원격 사용자가 VPN 디바이스에 연결하는 방법을 정의하는 파라미터 집합을 지정합니다. 이 파라미터에는 인증을 위한 설정 및 속성, VPN 클라이언트에 대한 주소 할당 및 그룹 정책이 포함됩니다. Threat Defense 디바이스는 Remote Access VPN 정책을 구성할 때 DefaultWEBVPNGroup이라는 기본 연결 프로파일을 제공합니다.

자세한 내용은 연결 프로파일 설정를 참고하십시오.

설정에 대한 자세한 내용은

그룹 정책은 VPN 사용자의 원격 액세스 VPN 경험을 정의하는 그룹 정책 개체가 저장된 속성 및 값 쌍의 집합입니다. 그룹 정책을 이용해 사용자 인증 프로파일, IP 주소, Secure Client 설정, VLAN 매핑, 사용자 세션 설정 등의 속성을 구성합니다. RADIUS 권한 서버는 그룹 정책을 할당하거나 현재 연결 프로파일에서 그룹 정책을 가져옵니다.

자세한 내용은 그룹 정책 구성를 참고하십시오.

단계 5

VPN 사용자가 원격 액세스 VPN에 연결하는 데 사용할 Secure Client Image(보안 클라이언트 이미지)를 선택합니다.

Secure Client는 기업 리소스에 대한 전체 VPN 프로파일링을 통해 원격 사용자에게 Secure Firewall Threat Defense 디바이스에 대한 SSL 또는 IPSec(IKEv2) 연결을 제공합니다. Remote Access VPN 정책이 threat defense 디바이스에 구축된 후 VPN 사용자는 브라우저에 구성된 디바이스 인터페이스의 IP 주소를 입력하여 Secure Client를 다운로드하고 설치할 수 있습니다.

클라이언트 프로파일 및 클라이언트 모듈 구성에 대한 자세한 내용은 그룹 정책 Secure Client 옵션의 내용을 참고하십시오.

단계 6

Network Interface and Identity Certificate(네트워크 인터페이스 및 ID 인증서)를 선택합니다.

인터페이스 개체는 네트워크를 세그먼트로 나눠 트래픽 흐름을 관리하고 분류할 수 있도록 지원합니다. 보안 영역은 인터페이스를 그룹화합니다. 이러한 그룹의 범위는 여러 디바이스를 포괄할 수 있으며, 단일 디바이스에서 여러 영역 인터페이스 개체를 구성할 수도 있습니다. 인터페이스 개체의 유형은 두 가지입니다.

  • 보안 영역 — 하나의 인터페이스가 하나의 보안 영역에만 속할 수 있습니다.

  • 인터페이스 그룹 — 하나의 인터페이스가 여러 인터페이스 그룹(및 하나의 보안 영역)에 속할 수 있습니다.

단계 7

원격 액세스 VPN 정책 구성의 Summary(요약)를 봅니다.

Summary(요약) 페이지에는 지금까지 구성한 모든 Remote Access VPN 설정이 표시되고 선택한 디바이스에 Remote Access VPN 정책을 구축하기 전에 수행해야 하는 추가 구성에 대한 링크가 제공됩니다.

필요한 경우 Back(뒤로)을 클릭하여 구성을 변경합니다.

단계 8

Finish(마침)를 클릭하여 Remote Access VPN 정책의 기본 구성을 완료합니다.

원격 액세스 VPN 정책 마법사를 완료하면 정책 목록 페이지가 나타납니다. 나중에 기본 원격 액세스 VPN 정책 구성을 완료하려면 DNS 구성을 설정하고 VPN 사용자에 대한 액세스 제어를 구성하고 NAT 제외(필요한 경우)를 활성화합니다.

Secure Firewall Threat Defense 디바이스의 액세스 제어 정책 업데이트

Remote Access VPN 정책을 구축하기 전에 대상 Secure Firewall Threat Defense 디바이스의 액세스 제어 정책을 VPN 트래픽을 허용하는 규칙으로 업데이트해야 합니다. 이 규칙은 소스를 정의된 VPN 풀 네트워크로 지정하고 대상을 회사 네트워크로 지정하여 외부 인터페이스에서 들어오는 모든 트래픽을 허용해야 합니다.


참고

Access Interface(액세스 인터페이스) 탭에서 Bypass Access Control policy for decrypted traffic(암호 해독된 트래픽에 대해 액세스 제어 정책 우회)(sysopt permit-vpn)을 선택한 경우 Remote Access VPN에 대한 액세스 제어 정책을 업데이트할 필요가 없습니다.

모든 VPN 연결에 대한 옵션을 활성화하거나 비활성화합니다. 이 옵션을 비활성화하는 경우, 액세스 제어 정책 또는 사전 필터 정책에서 트래픽을 허용해야 합니다.

자세한 내용은 Remote Access VPN을 위한 액세스 인터페이스 구성를 참고하십시오.

시작하기 전에

Remote Access VPN 정책 마법사를 사용하여 Remote Access VPN 정책 구성을 완료합니다.

프로시저

단계 1

Secure Firewall Management Center 웹 인터페이스에서 Policies(정책) > Access Control(액세스 제어)을 선택합니다.

단계 2

업데이트할 액세스 제어 정책 옆에서 Edit(편집)을 클릭합니다.

단계 3

Add(추가)를 클릭하여 새로운 규칙을 추가합니다.

단계 4

규칙에 대한 Name(이름)을 지정하고 Enabled(활성화됨)를 선택합니다.

단계 5

Action(작업), Allow(허용) 또는 Trust(신뢰)를 선택합니다.

단계 6

Zones(영역) 탭에서 다음을 선택합니다.

  1. Available Zones(사용 가능한 영역) 목록에서 외부 영역을 선택하고 Add to Source(소스에 추가)를 클릭합니다.

  2. Available Zones(사용 가능한 영역) 목록에서 내부 영역을 선택하고 Add to Destination(대상에 추가)를 클릭합니다.

단계 7

Networks(네트워크) 탭에서 다음을 선택합니다.

  1. Available networks(사용 가능한 네트워크)에서 내부 네트워크(내부 인터페이스 및/또는 기업 네트워크)를 선택하고 Add to Destination(대상에 추가)을 클릭합니다.

  2. Available Networks(사용 가능한 네트워크)에서 VPN address pool network(VPN 주소 풀 네트워크)를 선택하고 Add to Source Networks(소스 네트워크에 추가)를 클릭합니다.

단계 8

기타 필수 액세스 제어 규칙 설정을 구성하고 Add(추가)를 클릭합니다.

단계 9

규칙 및 액세스 제어 정책을 저장합니다.

(선택 사항) NAT 제외 설정

NAT 제외는 주소 변환을 제외하고 변환된 호스트와 원격 호스트가 모두 보호되는 호스트와의 연결을 시작할 수 있도록 허용합니다. ID NAT와 마찬가지로 특정 인터페이스의 호스트에 대한 변환은 제한하지 않습니다. 모든 인터페이스를 통한 연결에는 NAT 제외를 사용해야 합니다. 하지만 (정책 NAT처럼) NAT 제외는 변환할 실제 주소를 결정할 때 실제 주소와 대상 주소를 지정할 수 있게 활성화합니다. 고정 ID NAT를 사용하여 액세스 목록의 포트를 고려합니다.

원격 액세스 또는 사이트 간 VPN용 고정 ID NAT를 구성하려면 경로 조회 옵션을 사용하여 NAT를 구성해야 합니다. 경로 조회가 없으면 threat defense에서는 라우팅 테이블의 내용과 상관없이 NAT 명령으로 지정한 인터페이스 외부로 트래픽을 전송합니다. 예를 들어, threat defense가 잘못된 인터페이스를 통해 DHCP 범위 트래픽을 보내는 것을 원하지 않을 수 있습니다. 이는 인터페이스 IP 주소로 반환되지 않습니다. 경로 조회 옵션을 사용하면 threat defense가 인터페이스를 통해 트래픽을 직접 인터페이스 IP 주소로 전송하거나 가로채는 것이 가능합니다. VPN 클라이언트에서 내부 네트워크의 호스트로 이동하는 트래픽의 경우 경로 조회 옵션을 사용해도 여전히 올바른 이그레스 인터페이스(내부)로 이동하므로, 정상적인 트래픽 흐름에는 영향이 미치지 않습니다.

시작하기 전에

Remote Access VPN 정책이 구축된 대상 디바이스에 NAT가 구성되어 있는지 확인합니다. NAT가 대상 디바이스에서 활성화된 경우, NAT VPN 트래픽을 제외하도록 NAT 정책을 정의해야 합니다.

프로시저

단계 1

Secure Firewall Management Center 웹 인터페이스에서 Devices(디바이스) > NAT를 클릭합니다.

단계 2

업데이트할 NAT 정책을 선택하거나 New Policy(새 정책) > Threat Defense NAT를 클릭하여 모든 인터페이스를 통한 연결을 허용하는 NAT 규칙이 있는 NAT 정책을 생성합니다.

단계 3

Add Rule(규칙 추가)을 클릭하여 NAT 규칙을 추가합니다.

단계 4

Add NAT Rule(NAT 규칙 추가) 창에서 다음을 선택합니다.

  1. NAT Rule(NAT 규칙)을 Manual NAT Rule(수동 NAT 규칙)으로 선택합니다.

  2. Type(유형)을 Static(고정)으로 선택합니다.

  3. Interface Objects(인터페이스 개체)를 클릭하고 소스 및 대상 인터페이스 개체를 선택합니다.

참고

 

이 인터페이스 개체는 Remote Access VPN 정책에서 선택한 인터페이스와 동일해야 합니다.

자세한 내용은 Remote Access VPN을 위한 액세스 인터페이스 구성의 내용을 참고하십시오.

  1. Translation(변환)을 클릭하고 소스 및 대상 네트워크를 선택합니다.

    • Original Source(원래 소스) Translated Source(변환된 소스)

    • Original Destination(원래 대상) Translated Destination(변환된 대상)

단계 5

Advanced(고급) 탭에서 Do not proxy ARP on Destination Interface(대상 인터페이스에서 ARP 프록시 설정 안 함)를 선택합니다.

Do not proxy ARP on Destination Interface(대상 인터페이스에서 ARP 프록시 설정 안 함) - 매핑된 IP 주소로 들어오는 패킷에 대해 프록시 ARP를 비활성화합니다. 매핑된 인터페이스와 동일한 네트워크의 주소를 사용하는 경우 시스템은 매핑된 주소에 대한 ARP 요청에 답하기 위해 프록시 ARP를 사용하며, 이에 따라 매핑된 주소로 가야 하는 트래픽을 가로챕니다. 디바이스가 추가 네트워크에 대한 게이트웨이가 될 필요가 없으므로 이 솔루션은 라우팅을 간소화합니다. 원하는 경우 프록시 ARP를 비활성화할 수 있습니다. 이 경우 업스트림 라우터에 적절한 경로가 있어야 합니다.

단계 6

OK(확인)를 클릭합니다.

DNS 구성

Remote Access VPN을 사용하려면 각 threat defense 디바이스에 DNS를 구성합니다. DNS가 없으면 디바이스는 AAA 서버 이름, 이름이 지정된 URL 및 FQDN 또는 호스트 이름이있는 CA 서버를 확인할 수 없습니다. IP 주소만 확인할 수 있습니다.

프로시저

단계 1

플랫폼 설정을 사용하여 DNS 서버 상세정보 및 도메인 조회 인터페이스를 구성합니다. 자세한 내용은 DNSDNS 서버 그룹의 내용을 참조하십시오.

단계 2

VNP 네트워크를 통해 DNS 서버에 연결할 수 있는 경우 그룹 정책에서 스플릿 터널을 구성하여 Remote Access VPN 터널을 통한 DNS 트래픽을 허용합니다. 자세한 내용은 그룹 정책 개체 설정를 참고하십시오.

Secure Client 프로파일 XML 파일 추가

Secure Client 프로파일은 XML 파일에 저장된 구성 매개변수 그룹으로, 클라이언트는 이를 사용하여 운영 및 모양을 구성합니다. 이러한 매개변수(XML 태그)에는 추가적인 클라이언트 기능을 활성화할 수 있는 호스트 컴퓨터 및 설정의 이름과 주소가 포함되어 있습니다.

Secure Client 소프트웨어 패키지의 일부로 사용할 수 있는 GUI 기반 구성 도구인 Secure Client 프로파일 편집기를 사용하여 Secure Client 프로파일를 생성할 수 있습니다. 이 툴은 management center외부에서 실행되는 독립 프로그램입니다. Secure Client 프로파일 편집기에 대한 자세한 내용은 Cisco Secure Client (including AnyConnect) Administrator Guide를 참조하십시오.

시작하기 전에

Secure Firewall Threat Defense 원격 액세스 VPN 정책을 사용하려면 VPN 클라이언트에 Secure Client 프로파일의 할당이 필요합니다. 클라이언트 프로파일을 그룹 정책에 연결할 수 있습니다.

Cisco 소프트웨어 다운로드 센터에서 Secure Client 프로파일 편집기를 다운로드합니다.

프로시저

단계 1

Devices(디바이스) > Remote Access(원격 액세스)를 선택합니다.

단계 2

업데이트할 원격 액세스 VPN 정책 옆에서 Edit(편집)을 클릭합니다.

단계 3

Secure Client 프로파일을 추가할 연결 프로파일에서 Edit(편집)를 클릭합니다.

단계 4

Edit Group Policy(그룹 정책 편집)를 클릭합니다. 새 그룹 정책을 추가하려면 Add(추가)를 클릭합니다.

단계 5

Secure Client > Profile(프로파일)을 선택합니다.

단계 6

Client Profile(클라이언트 프로파일) 드롭다운 목록에서 프로파일을 선택합니다. 새 클라이언트 프로파일을 추가하려는 경우 Add(추가)를 클릭하고 다음을 수행합니다.

  1. 프로파일 Name(이름)을 지정합니다.

  2. Browse(찾아보기)를 클릭하고 Secure Client 프로파일 XML 파일을 선택합니다.

    참고

     

    2단계 인증의 경우 Secure Client 프로파일에서 시간 초과가 60초 이상으로 설정되어 있는지 확인합니다.

  3. Save(저장)를 클릭합니다.

단계 7

변경 내용을 저장합니다.

(선택 사항) 스플릿 터널링 구성

스플릿 터널을 이용하면 보안 터널을 통한 원격 네트워크 VPN 연결이 가능하며, VPN 터널 외부의 네트워크에도 연결할 수 있습니다. VPN 사용자가 원격 액세스 VPN에 연결된 상태로 외부 네트워크에 액세스할 수 있도록 하려면 분할 터널링을 구성합니다. 스플릿 터널 목록을 구성하려면 표준 액세스 목록 또는 확장 액세스 목록을 생성해야 합니다.

자세한 내용은 그룹 정책 구성를 참고하십시오.

프로시저

단계 1

Devices(디바이스) > Remote Access(원격 액세스)를 선택합니다.

단계 2

스플릿 터널링을 구성할 원격 액세스 VPN 정책에서 Edit(편집)를 클릭합니다.

단계 3

필요한 연결 프로파일에서 Edit(편집)를 클릭합니다.

단계 4

Add(추가)를 클릭하여 그룹 정책을 추가하거나 Edit Group Policy(그룹 정책 편집)를 클릭합니다.

단계 5

General(일반) > Split Tunneling(스플릿 터널링)을 선택합니다.

단계 6

IPv4 Split Tunneling(IPv4 스플릿 터널링) 또는 IPv6 Split Tunneling(IPv6 스플릿 터널링) 목록에서 Exclude networks specified below(아래에 지정된 네트워크 제외)를 선택하고, VPN 트래픽에서 제외할 네트워크를 선택합니다.

기본 설정은 VPN 터널을 통한 모든 트래픽을 허용합니다.

단계 7

Standard Access List(표준 액세스 목록) 또는 Extended Access List(확장 액세스 목록)를 클릭하고 드롭다운 목록에서 액세스 목록을 선택하거나 새 목록을 추가합니다.

단계 8

새 표준 액세스 목록 또는 확장 액세스 목록을 추가하기로 선택한 경우 다음을 수행합니다.

  1. 새 액세스 목록에 대한 이름을 지정하고 Add(추가)를 클릭합니다.

  2. Action(작업) 드롭다운에서 Allow(허용)를 선택합니다.

  3. VPN 터널을 통해 허용할 네트워크 트래픽을 선택하고 Add(추가)를 클릭합니다.

단계 9

변경 내용을 저장합니다.

(선택 사항) 동적 스플릿 터널링 구성

동적 스플릿 터널링을 사용하면 DNS 도메인 이름에 따라 스플릿 터널링을 미세 조정할 수 있습니다. 원격 액세스 VPN 터널에 포함하거나 제외할 도메인을 구성할 수 있습니다. 제외된 도메인은 차단되지 않습니다. 대신 해당 도메인에 대한 트래픽은 VPN 터널 외부에서 유지됩니다. 예를 들면 공용 인터넷에서 Cisco WebEx로 트래픽을 전송하여 VPN 터널에서 보호된 네트워크 내의 서버를 대상으로하는 트래픽에 대한 대역폭을 확보할 수 있습니다. 이 기능을 설정하는 방법에 대한 자세한 내용은 FMC에서 관리하는 FTD에 대한 AnyConnect 동적 스플릿 터널 구성을 참고하십시오.

시작하기 전에

이 기능은 7.0 이상 버전의 management centerthreat defense를 사용하여 구성할 수 있습니다. 이전 버전의 management center가 있는 경우, FMC를 통한 Firepower Threat Defense용 고급 AnyConnect VPN 구축의 지침에 따라 FlexConfig를 사용하여 구성할 수 있습니다.

프로시저

단계 1

동적 스플릿 터널을 사용하도록 그룹 정책을 구성합니다.

  1. Devices(디바이스) > Remote Access(원격 액세스)를 선택합니다.

  2. 동적 스플릿 터널링을 구성할 원격 액세스 VPN 정책에서 Edit(편집)을 클릭합니다.

  3. 필요한 연결 프로파일에서 Edit(편집)를 클릭합니다.

  4. Edit Group Policy(그룹 정책 편집)를 클릭합니다.

단계 2

Add/Edit Group Policy(그룹 정책 추가/편집) 대화 상자에서 Secure Client 사용자 지정 속성을 구성합니다.

  1. Secure Client 탭을 클릭합니다.

  2. Custom Attributes(사용자 지정 속성)를 클릭하고 +를 클릭합니다.

  3. Secure Client Attribute(속성) 드롭다운 목록에서 Dynamic Split Tunneling(동적 스플릿 터널링)을 선택합니다.

  4. +를 클릭하여 새 사용자 지정 속성 개체를 생성합니다.

  5. 사용자 지정 속성 개체의 이름을 입력합니다.

  6. Include domains(도메인 포함) - 원격 접속 VPN 터널에 포함할 도메인 이름을 지정합니다.

    IP 주소에 따라 제외할 도메인을 터널에 포함할 수 있습니다.

  7. Exclude domains(도메인 제외) - 원격 액세스 VPN에서 제외할 도메인 이름을 지정합니다.

    제외된 도메인은 차단되지 않으며 해당 도메인에 대한 트래픽은 VPN 터널 외부에서 유지됩니다.

  8. Save(저장)를 클릭합니다.

단계 3

구성한 사용자 지정 속성을 확인하고 Save(저장)를 클릭합니다.

다음에 수행할 작업

  1. 구성을 threat defense에 구축합니다.

  2. threat defenseSecure Client에서 구성된 동적 스플릿 터널 설정을 확인합니다. 자세한 내용은 동적 스플릿 터널링 구성 확인를 참고하십시오.

동적 스플릿 터널링 구성 확인

Threat Defense에서

동적 스플릿 터널링 구성을 확인하려면 다음 명령을 사용합니다.

  • show running-config webvpn

  • show running-config anyconnect-custom-data

  • show running-config group-policy <group-policy-name>

Secure Client에서

Statistics(통계)() 아이콘을 클릭하고 VPN - Statistics(통계)를 선택합니다. Dynamic Split Exclusion/Inclusion(동적 분할 제외/포함) 범주에서 도메인을 확인할 수 있습니다.

구성 확인

프로시저

단계 1

외부 네트워크의 시스템에서 웹 브라우저를 엽니다.

단계 2

threat defense 원격 액세스 VPN 게이트웨이 디바이스의 URL을 입력합니다.

단계 3

메시지가 표시되면 사용자 이름 및 비밀번호를 입력하고 Logon(로그인)을 클릭합니다.

참고

 

시스템에 Secure Client를 설치하는 경우 VPN에 대한 연결이 자동으로 설정됩니다.

Secure Client가 설치되지 않은 경우 VPN에 Secure Client를 다운로드하라는 메시지가 표시됩니다.

단계 4

설치되지 않았다면 Secure Client를 다운로드하고 VPN에 연결합니다.

Secure Client는 자동으로 설치됩니다. 인증에 성공하면 Secure Firewall Threat Defense 원격 액세스 VPN 게이트웨이에 대한 연결을 설정합니다. 원격 액세스 VPN은 해당하는 ID 또는 QoS 정책은 원격 액세스 VPN 정책 구성에 따라 적용합니다.

기존 원격 액세스 VPN 정책의 복사본 생성

기존 원격 액세스 VPN 정책을 복사하여 연결 프로파일 및 액세스 인터페이스를 비롯한 모든 설정이 포함된 새 정책을 생성할 수 있습니다. 그런 다음 새 정책에 디바이스를 할당하고 필요에 따라 할당된 디바이스에 VPN을 구축할 수 있습니다.


참고

원격 액세스 VPN에 대한 읽기 전용 권한이 있는 사용자는 VPN 사본을 생성할 수 없습니다. 도메인에서 읽기 전용 권한이 있는 사용자는 원격 액세스 VPN을 복사할 수 있습니다.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

복사할 정책에서 Copy(복사)를 클릭합니다.

단계 3

새 원격 액세스 VPN의 Name(이름)을 지정합니다.

단계 4

OK(확인)를 클릭합니다.

다음에 수행할 작업

새 정책에 디바이스를 할당하려면 원격 액세스 VPN 정책 대상 디바이스 설정의 내용을 참조하십시오.

원격 액세스 VPN 정책 대상 디바이스 설정

원격 액세스 VPN 정책을 생성한 후 위협 방어 디바이스에 정책을 할당할 수 있습니다.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)를 선택합니다.

단계 2

편집할 Remote Access VPN 정책 옆의 Edit(수정) (수정 아이콘)을 클릭합니다.

단계 3

Policy Assignments(정책 할당)를 클릭합니다.

단계 4

다음 중 하나를 수행합니다.

  • 디바이스, 고가용성 쌍 또는 디바이스 그룹을 정책에 할당하려면 Available Devices(사용 가능한 디바이스) 목록에서 이를 선택하고 Add(추가)를 클릭합니다. 사용 가능한 디바이스를 끌어다 놓아 선택할 수도 있습니다.
  • 디바이스 할당을 제거하려면 Selected Devices(선택한 디바이스) 목록의 디바이스, 고가용성 쌍 또는 디바이스 그룹 옆에 있는 Delete(삭제) (삭제 아이콘)를 클릭합니다.

단계 5

OK(확인)를 클릭합니다.

단계 6

Save(저장)를 클릭합니다.

다음에 수행할 작업

로컬 영역을 원격 액세스 VPN 정책과 연결

로컬 영역을 원격 액세스 VPN 정책에 연결하여 로컬 사용자 인증을 활성화할 수 있습니다.

영역 생성 및 관리에 대한 자세한 내용은 영역 관리의 내용을 참조하십시오.

원격 액세스 VPN을 위한 로컬 사용자 인증 구성에 대한 자세한 내용은 Remote Access VPN에 대한 AAA 설정의 내용을 참조하십시오.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)를 선택합니다.

단계 2

편집할 Remote Access VPN 정책 옆의 Edit(수정) (수정 아이콘)을 클릭합니다.

단계 3

Local Realm(로컬 영역) 옆에 있는 링크를 클릭합니다.

단계 4

목록에서 Local Realm Server(로컬 영역 서버)를 선택하거나 Add(추가)를 클릭하여 새 로컬 영역을 추가합니다.

단계 5

OK(확인)를 클릭합니다.

단계 6

Save(저장)를 클릭합니다.

다음에 수행할 작업

추가 원격 액세스 VPN 구성

연결 프로파일 설정

Remote Access VPN 정책은 특정 디바이스를 대상으로 하는 연결 프로파일을 포함합니다. 이러한 정책은 터널 자체를 생성하는 방법 예를 들어 AAA를 구현하는 방법, VPN 클라이언트에 주소를 할당하는 방법(DHCP 또는 주소 풀)과 관련이 있습니다. 또한 threat defense 디바이스에 구성되거나 AAA 서버에서 다운로드한 그룹 정책에서 식별된 사용자 속성을 포함합니다. 디바이스는 DefaultWEBVPNGroup이라는 기본 연결 프로파일도 제공합니다. 마법사를 사용하여 구성된 연결 프로파일이 목록에 나타납니다.

서로 다른 VPN 사용자 그룹에 서로 다른 권한을 부여하기로 결정한 경우 각 사용자 그룹에 대해 특정 연결 프로파일을 추가하고 원격 액세스 VPN 정책에서 여러 연결 프로파일을 유지할 수 있습니다.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

목록에서 기존 원격 액세스 VPN 정책을 선택하고 해당 Edit(편집) 아이콘을 클릭합니다.

단계 3

Connection Profile(연결 프로파일)을 선택하고 Edit(편집)를 클릭합니다.

단계 4

(선택 사항) 새 연결 프로파일을 추가하려면 Add(추가)를 클릭합니다.

단계 5

VPN 클라이언트에 대한 IP 주소를 구성합니다.

VPN 클라이언트에 대한 IP 주소 설정

단계 6

(선택 사항) Remote Access VPN에 대한 AAA 설정을 업데이트합니다.

Remote Access VPN에 대한 AAA 설정

단계 7

(선택 사항) 별칭을 생성하거나 업데이트합니다.

연결 프로파일에 대한 별칭 생성 또는 업데이트

단계 8

변경 내용을 저장합니다.

VPN 클라이언트에 대한 IP 주소 설정

클라이언트 주소 할당은 원격 액세스 VPN 사용자에게 IP 주소를 할당하는 방법을 제공합니다.

로컬 IP 주소 풀, DHCP 서버와 AAA 서버에서 원격 VPN 클라이언트에 대한 IP 주소를 지정하도록 구성할 수 있습니다. AAA 서버에 먼저 할당한 후 다른 서버에 할당합니다. Client Address Assignment(클라이언트 주소 할당) 정책을 Advanced(고급)탭에서 구성하고 할당 기준을 정의합니다. 이 연결 프로파일에 정의된 IP 풀은 연결 프로파일 관련 그룹 정책 또는 시스템 기본 그룹 정책인 DfltGrpPolicy에서 정의된 IP 풀이 없을 때만 사용됩니다.

IPv4 Address Pools(IPv4 주소 풀)—SSL VPN 라이언트가 Secure Firewall Threat Defense 디바이스에 연결할 때 새 IP 주소가 제공됩니다. 주소 풀은 원격 클라이언트에 제공할 수 있는 주소 범위를 정의합니다. 기존 IP 주소 풀을 선택합니다. IPv4 주소 및 IPv6 주소 각각에 최대 6개의 풀을 추가할 수 있습니다.


참고
Secure Firewall Management Center에 있는 기존 IP 풀에서 IP 주소를 사용하거나 Add(추가) 옵션을 사용하여 새 풀을 생성할 수 있습니다. Secure Firewall Management Center에서 Objects(개체) > Object Management(개체 관리) > Address Pools(주소 풀) 경로를 사용해 IP 풀을 생성할 수 있습니다. 자세한 내용은 주소 풀를 참고하십시오.
프로시저

단계 1

Secure Firewall Management Center 웹 인터페이스에서 Devices(디바이스)> VPN > Remote Access(원격 액세스)를 선택합니다.

기존 원격 액세스 정책이 나열됩니다.

단계 2

원격 액세스 VPN 정책을 선택하고 Edit(편집)를 클릭합니다.

단계 3

업데이트하려는 연결 프로파일을 선택하고 Edit(편집) > Client Address Assignment(클라이언트 주소 할당)를 클릭합니다.

단계 4

Address Pools(주소 풀)에 대해 다음을 선택합니다.

  1. Add(추가)를 클릭하여 IP 주소를 추가하고 IPv4 또는 IPv6를 선택하여 해당 주소 풀을 추가합니다. Available Pools(사용 가능한 풀)에서 IP 주소 풀을 선택하고 Add(추가)를 클릭합니다.

    참고

     
    여러 Secure Firewall Threat Defense 디바이스에서 Remote Access VPN 정책을 공유하는 경우, 디바이스 레벨 개체 재정의를 사용하여 전역 정의를 각 디바이스의 고유 주소 풀로 대체하지 않으면 모든 디바이스가 동일한 주소 풀을 공유합니다. 고유 주소 풀은 디바이스가 NAT를 사용하지 않는 경우 주소 중복을 방지하기 위해 필요합니다.

  2. Add(추가) 아이콘을 Address Pools(주소 풀)창에서 선택하고 새 IPv4 또는 IPv6 주소 풀을 선택합니다. IPv4 풀을 선택하는 경우 시작 및 종료 IP 주소를 제공합니다. 새 IPv6 주소 풀을 포함시키려면 Numver of Addresses(주소 수)를 1~16384 범위에서 입력합니다. 개체가 여러 디바이스에서 공유되는 경우 IP 주소와 충돌을 방지하기 위해 Allow Overrides(재정의 허용)를 선택합니다. 자세한 내용은 주소 풀를 참고하십시오.

  3. OK(확인)를 클릭합니다.

단계 5

DHCP Servers(DHCP 서버)에 대해 다음을 선택합니다.

참고

 
DHCP 서버 주소는 IPv4 주소와만 구성할 수 있습니다.

  1. 이름 및 DHCP(Dynamic Host Configuration Protocol) 서버 주소를 네트워크 개체로 지정합니다. Add(추가)를 클릭하여 개체 목록에서 서버를 선택합니다. DHCP 서버를 삭제하려면 Delete(삭제)를 클릭합니다.

  2. 네트워크 개체를 추가하려면 New Objects(새 개체) 페이지에서 Add(추가)를 클릭합니다. 새 개체 이름, 설명, 네트워크를 입력하고 해당하는 경우 Allow Overrides(재정의 허용) 옵션을 선택합니다. 자세한 내용은 네트워크 개체 생성개체 재정의 허용를 참조하십시오.

  3. OK(확인)를 클릭합니다.

단계 6

Save(저장)를 클릭합니다.

Remote Access VPN에 대한 AAA 설정

시작하기 전에

  • 필수 시스템 및 사용자 인증서가 엔드포인트에 구축되었는지 확인합니다. Secure Firewall Threat Defense 인증서에 대한 자세한 내용은 Threat Defense 인증서 매핑VPN 인증서 관리를 참조하십시오.

  • 필수 인증서로 Secure Client 프로파일을 구성합니다. 자세한 내용은 Cisco Secure Client (including AnyConnect) Administrator Guide를 참조하십시오.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

목록에서 기존 원격 액세스 VPN 정책을 선택하고 해당 Edit(편집) 아이콘을 클릭합니다.

단계 3

연결 프로파일을 선택하여 AAA 설정을 업데이트하고 Edit(편집) > AAA를 클릭합니다.

단계 4

Authentication(인증)에 대해 다음을 선택합니다.

  • Authentication Method(인증 방법) - 네트워크 및 네트워크 서비스에 대한 액세스를 허용하기 전에 사용자를 식별하는 방법을 결정합니다. 유효한 사용자 자격 증명(일반적으로 사용자 이름 및 암호)을 요구하여 액세스를 제어합니다. 클라이언트에서 인증서를 포함할 수도 있습니다. 지원되는 인증 방법은 AAA 전용, 클라이언트 인증서 전용AAA + 클라이언트 인증서입니다.

    다음과 같이 Authentication Method(인증 방법)를 선택하는 경우:

    • AAA Only(AAA 전용) - Authentication Server(인증 서버)RADIUS로 선택하는 경우 Authorization Server(권한 부여 서버)는 기본적으로 동일한 값을 가집니다. 드롭다운 목록에서 Accounting Server(과금 서버)를 선택합니다. Authentication Server(인증 서버) 드롭다운 목록에서 ADLDAP를 선택할 때마다 Authorization Server(권한 부여 서버)Accounting Server(과금 서버)를 수동으로 선택해야 합니다.

    • SAML - 각 사용자가 SAML SSO(Single Sign-On) 서버를 사용하여 인증됩니다. 자세한 내용은 SAML 2.0을 사용한 SSO(Single Sign-On) 인증를 참고하십시오.

      Override Identity Provider Certificate(ID 제공자 인증서 재정의) - SAML 제공자의 기본 ID 제공자 인증서를 연결 프로파일 또는 SAML 애플리케이션에 특정한 IdP 인증서로 재정의하려면 선택합니다. 드롭다운에서 IdP 인증서를 선택합니다.

      Microsoft Azure는 동일한 엔터티 ID에 대해 여러 애플리케이션을 지원할 수 있습니다. 각 애플리케이션(다른 연결 프로파일에 매핑됨)에는 고유한 인증서가 필요합니다. 현재 연결 프로파일에서 SSO(Single Sign-On) 개체에 대한 기존 엔티티 ID를 유지하고 다른 IdP 인증서를 사용하려는 경우 이 옵션을 선택할 수 있습니다.

      이렇게 하면 Microsoft Azure SAML ID 제공자별로 여러 SAML 애플리케이션을 지원할 수 있습니다.

      기본 ID 인증서는 SSO(Single Sign-On) 서버 개체에서 구성됩니다.

      SSO 서버 개체 구성에 대한 자세한 내용은 SSO(Single Sign-On) 서버 추가의 내용을 참조하십시오.

      SAML 웹 인증을 위해 브라우저를 구성하려면 SAML Login Experience(SAML 로그인 환경)를 선택합니다.

      • VPN 클라이언트 임베디드 브라우저 - 웹 인증을 위해 VPN 클라이언트에 포함된 브라우저를 사용하려면 이 옵션을 선택합니다. 인증은 VPN 연결에만 적용됩니다.

      • Default OS Browser(기본 OS 브라우저) - WebAuthN(웹 인증을 위한 FIDO2 표준)을 지원하는 기본 브라우저를 구성하려면 이 옵션을 선택합니다. 이 옵션은 SSO(Single Sign-On, 단일 인증)를 활성화하며, 웹 인증 방법(예: 생체 인증)을 지원합니다.

        기본 브라우저에는 웹 인증을 위한 외부 브라우저 패키지가 필요합니다. Default-External-Browser-Package 패키지는 기본적으로 구성됩니다. 원격 액세스 VPN 정책을 편집하고 Advanced(고급) > Secure Client Images(Secure Client 이미지) > Package File(패키지 파일) 아래에서 파일을 선택하여 기본 외부 브라우저 패키지를 변경할 수 있습니다.

        다음을 선택하여 새 패키지 파일을 추가할 수도 있습니다. Objects(개체) > Object Management(개체 관리) > VPN > Secure Client File(Secure Client 파일) > Add Secure Client File(Secure Client 파일 추가).

    • Client Certificate Only(클라이언트 인증서 전용) - 각 사용자가 클라이언트 인증서로 인증합니다. 클라이언트 인증서는 VPN 클라이언트 엔드포인트에서 구성해야 합니다. 기본적으로 사용자 이름은 클라이언트 인증서 필드 CN 및 OU에서 파생됩니다. 사용자 이름이 클라이언트 인증서의 다른 필드에 지정된 경우 'Primary(기본)' 및 'Secondary(보조)' 필드를 사용하여 해당 필드를 매핑합니다.

      Enable multiple certificate authentication(다중 인증서 인증 활성화)을 선택하여 시스템 및 사용자 인증서를 통해 VPN 클라이언트를 인증합니다.

      다중 인증서 인증을 활성화한 경우, 다음 인증서 중 하나를 선택하여 사용자 이름을 매핑하고 VPN 사용자를 인증할 수 있습니다.

      • First Certificate(첫 번째 인증서) - VPN 클라이언트에서 전송된 시스템 인증서의 사용자 이름을 매핑하려면 이 옵션을 선택합니다.

      • Second Certificate(두 번째 인증서) - 클라이언트에서 전송된 사용자 인증서의 사용자 이름을 매핑하려면 이 옵션을 선택합니다.

      참고

       

      여러 인증서 인증을 활성화하지 않으면 기본적으로 사용자 인증서(두 번째 인증서)가 인증에 사용됩니다.

      클라이언트 인증서의 사용자 이름을 포함하는 Map specific field(특정 필드 매핑) 옵션을 선택하면 Primary(기본)Secondary(보조) 필드에 CN(Common Name)OU(Organizational Unit)의 기본값이 표시됩니다. Use entire DN as username(전체 DN을 사용자 이름으로 사용) 옵션을 선택하는 경우 시스템은 자동으로 사용자 ID를 검색합니다. 고유 이름(DN)은 사용자를 연결 프로파일과 연결할 때 식별자로 사용된 개별 필드로 구성된 고유한 ID입니다. DN 규칙은 향상된 인증서 인증에 사용됩니다.

      Map specific field(특정 필드 매핑) 옵션과 관련된 기본 및 보조 필드는 다음 공통 값을 포함합니다.

      • C(국가)

      • CN(이름)

      • DNQ(DN 한정자)

      • EA(이메일 주소)

      • GENQ(세대 한정자)

      • GN(이름)

      • I(이니셜)

      • L(시/군/구)

      • N(이름)

      • O(조직)

      • OU(조직 단위)

      • SER(일련 번호)

      • SN(성)

      • SP(시/도)

      • T(제목)

      • UID(사용자 ID)

      • UPN(사용자 계정 이름)

    • Client Certificate & AAA(클라이언트 인증서 및 AAA) - 각 사용자가 클라이언트 인증서와 AAA 서버로 인증합니다. 인증에 필요한 인증서 및 AAA 설정을 선택합니다.

      어떤 인증 방법을 선택하든 Allow connection only if user exists in authorization database(사용자가 권한 부여 데이터베이스에 있는 경우에만 연결 허용)를 선택하거나 선택 취소합니다.

    • Client Certificate & SAML(클라이언트 인증서 및 SAML) - 각 사용자가 클라이언트 인증서와 SAML 서버로 인증합니다. 인증에 필요한 인증서 및 SAML 설정을 선택합니다.

      • Allow connection only if username from certificate and SAML is same(인증서의 사용자 이름과 SAML이 동일한 경우에만 연결 허용) - 인증서의 사용자 이름이 SAML SSO(Single Sign-On) 사용자 이름과 일치하는 경우에만 VPN 연결을 허용하려면 선택합니다.

      • Use username from client certificate for Authorization(권한 부여를 위해 클라이언트 인증서에서 사용자 이름 사용) — 권한 부여를 위해 클라이언트 인증서에서 사용자 이름을 선택하는 옵션을 선택하는 경우 클라이언트 인증서에서 선택할 필드를 구성해야 합니다.

        특정 필드를 사용자 이름으로 매핑하거나 전체 DN(고유 이름)을 사용하여 권한 부여할 수 있습니다.

        • Map specific field(맵 특정 파일)— 클라이언트 인증서의 사용자 이름을 포함하도록 선택합니다. Primary(기본)Secondary(보조) 필드는 각각 CN(Common Name)OU(Organisational Unit)의 기본값을 표시합니다

        • Use entire DN as username(전체 DN을 사용자 이름으로 사용) - 시스템은 자동으로 인증을 위해 사용자 ID를 검색합니다.

      DAP(Dynamic Access Policy)를 생성하여 사용자별 SAML 어설션 특성 또는 사용자 이름을 DAP 인증서 특성과 일치시킬 수도 있습니다. DAP에 대한 AAA 기준 설정 구성을 참조하십시오.

  • 인증 서버 - 인증은 네트워크 및 네트워크 서비스에 대한 액세스를 허용하기 전에 사용자를 식별하는 방법입니다. 인증에는 유효한 사용자 자격 증명, 인증서 또는 둘 모두가 필요합니다. 인증을 단독으로 사용하거나 권한 부여 및 어카운팅과 함께 사용할 수 있습니다.

    서버를 이미 추가했다면 목록에서 인증 서버를 선택하거나 인증 서버를 생성합니다.

Fallback to LOCAL Authentication(로컬 인증으로 대체) - 사용자가 로컬 데이터베이스를 사용하여 인증되며, AAA 서버 그룹을 사용할 수 없는 경우에도 로컬 데이터베이스가 설정되면 VPN 터널을 설정할 수 있습니다.

  • 2차 인증 사용 - VPN 세션에 대한 추가 보안을 제공하기 위해 기본 인증 외에 2차 인증이 구성됩니다. 2차 인증은 AAA 전용클라이언트 인증서 및 AAA 인증 방법에만 적용됩니다.

    보조 인증은 VPN 사용자가 Secure Client 로그인 화면에 사용자 이름 및 암호 모음 2개를 입력해야 하는 선택적 기능입니다. 인증 서버 또는 클라이언트 인증서에서 2차 사용자 이름이 미리 입력되도록 구성할 수도 있습니다. 원격 액세스 VPN 인증은 기본 인증과 보조 인증을 모두 성공한 경우에만 부여됩니다. 인증 서버 중 하나에 연결할 수 없거나 한쪽 인증에서 장애가 발생하면 VPN 인증이 거부됩니다.

    보조 인증을 구성하기 전에, 두 번째 사용자 이름과 암호에 대해 보조 인증 서버 그룹(AAA 서버)을 구성해야 합니다. 예를 들어 기본 인증 서버는 LDAP나 Active Directory 영역으로, 보조 인증은 RADIUS 서버로 설정할 수 있습니다.

    참고

     

    기본적으로 보조 인증이 필수가 아닙니다.

    인증 서버 - VPN 사용자에게 보조 사용자 이름 및 암호를 제공하는 보조 인증 서버입니다.

    • Fallback to LOCAL Authentication(로컬 인증으로 대체) - 이 사용자가 로컬 데이터베이스를 사용하여 인증되며, AAA 서버 그룹을 사용할 수 없는 경우에도 로컬 데이터베이스가 설정되면 VPN 터널을 설정할 수 있습니다.

    보조 인증용 사용자 이름에서 다음을 선택하십시오.

    • 프롬프트: VPN 게이트웨이에 로그인하는 동안 사용자에게 사용자 이름과 암호를 입력하라는 메시지를 표시합니다.

    • 기본 인증 사용자 이름 사용: 사용자 이름은 기본 인증 서버와 2차 인증 모두에 대해 기본 인증 서버에서 가져옵니다. 두 개의 암호를 입력해야 합니다.

    • 클라이언트 인증서의 사용자 이름 매핑: 클라이언트 인증서의 보조 사용자 이름을 미리 채웁니다.

      다중 인증서 인증을 활성화한 경우, 다음 인증서 중 하나를 선택할 수 있습니다.

      • First Certificate(첫 번째 인증서) - VPN 클라이언트에서 전송된 시스템 인증서의 사용자 이름을 매핑하려면 이 옵션을 선택합니다.

      • Second Certificate(두 번째 인증서) - 클라이언트에서 전송된 사용자 인증서의 사용자 이름을 매핑하려면 이 옵션을 선택합니다.

      • Map specific field(특정 필드 매핑) 옵션을 선택하면 클라이언트 인증서의 사용자 이름이 포함됩니다. Primary(기본)Secondary(보조) 필드에는 CN(Common Name)OU(Organizational Unit) 각각의 기본값이 표시됩니다. Use entire DN (Distinguished Name) as username(전체 DN을 사용자 이름으로 사용) 옵션을 선택하는 경우 시스템은 자동으로 사용자 ID를 검색합니다.

        기본 및 보조 필드 매핑에 대한 자세한 내용은 인증 방법 설명을 참조하십시오.

      • 인증서의 사용자 이름을 사용자 로그인 창에 미리 채우기: Secure Client를 통해 사용자가 연결할 때 클라이언트 인증서에서 보조 사용자 이름을 미리 채웁니다.

        • 로그인 창에서 사용자 이름 숨기기: 보조 사용자 이름은 클라이언트 인증서에서 미리 채워지지만 미리 채워진 사용자 이름은 수정을 방지하기 위해 사용자에게 표시되지 않습니다.

    • VPN 세션에 보조 사용자 이름 사용: 보조 사용자 이름은 VPN 세션 중에 사용자 활동을보고하는 데 사용됩니다.

단계 5

Authorization(권한 부여)에 대해 다음을 선택합니다.

  • Authorization Server(권한 부여 서버) - 인증이 완료되면 권한 부여 기능에서 인증된 각 사용자에게 사용할 수 있는 서비스 및 명령을 제어합니다. 권한 부여 기능은 사용자가 수행할 수 있도록 인가를 받은 것이 무엇인지, 즉 사용자의 실제 능력 및 제한 사항을 설명하는 일련의 속성을 결합함으로써 작동합니다. 권한 부여 기능을 사용하지 않는 경우, 인증 기능에서만 인증된 모든 사용자에게 동일한 액세스 권한을 제공합니다. 권한 부여에는 인증이 필요합니다.

    원격 액세스 VPN 인증 작업 방식에 대한 자세한 내용은 권한 및 속성 정책 시행 이해의 내용을 참조하십시오.

    연결 프로파일에서 사용자 인증을 위해 RADIUS 서버를 구성하면 원격 액세스 VPN 시스템 관리자는 사용자 또는 사용자 그룹에 대해 여러 권한 부여 속성을 구성할 수 있습니다. RADIUS 서버에 구성된 권한 부여 속성은 사용자 또는 사용자 그룹에 고유할 수 있습니다. 사용자가 인증되면 이러한 특정 권한 부여 속성이 threat defense 디바이스에 푸시됩니다.

    참고

     

    인증 서버에서 가져온 AAA 서버 속성은 그룹 정책 또는 연결 프로파일에서 이전에 구성되었을 속성 값보다 우선합니다.

  • 필요한 경우 Allow connection only if user exists in authorization database(사용자가 권한 부여 데이터베이스에 있는 경우에만 연결 허용)를 선택합니다.

    활성화된 경우 시스템은 클라이언트의 사용자 이름이 권한 부여 데이터베이스에 있어야 연결이 허용되는지 여부를 확인합니다. 사용자 이름이 권한 부여 데이터베이스에 존재하지 않으면 연결이 거부됩니다.

  • 권한 부여 서버로 영역을 선택할 경우, LDAP 속성 맵을 설정해야 합니다. 인증 및 권한 부여를 위한 단일 서버 또는 다른 서버를 선택할 수 있습니다. Configure LDAP Attribute Map(LDAP 속성 맵 설정)을 클릭하여 권한 부여를 위한 LDAP 속성 맵을 추가합니다.

    참고

     

    Threat Defense는 SAML ID 제공자를 권한 부여 서버로 지원하지 않습니다. management centerthreat defense를 통해 SAML ID 제공자 뒤에 있는 Active Directory에 연결할 수 있는 경우, 다음 단계에 따라 권한 부여를 설정할 수 있습니다.

    LDAP 속성 맵을 설정하는 방법은 LDAP 특성 매핑 구성의 내용을 참조하십시오.

단계 6

Accounting(계정)에 대해 다음을 선택합니다.

  • Accounting Server(과금 서버) - 계정은 사용자가 액세스하고 있는 서비스 및 사용 중인 네트워크 리소스의 양을 추적하는 데 사용됩니다. AAA 계정이 활성화되면 네트워크 액세스 서버는 사용자 활동을 RADIUS 서버에 보고합니다. 계정 관리 정보에는 세션 시작 및 중지 시각, 사용자 이름, 각 세션의 디바이스를 통과한 바이트 수, 사용한 서비스, 각 세션의 지속 시간이 포함됩니다. 네트워크 관리, 클라이언트 요금 청구 또는 감사에 대해 이 데이터를 분석할 수 있습니다. 관리 계정 기능을 단독으로 사용하거나 인증 및 권한 부여 기능과 함께 사용할 수 있습니다.

    원격 액세스 VPN 세션을 설명하는 데 사용할 RADIUS 서버 그룹 개체를 지정합니다.

단계 7

다음 Advanced Settings(고급 설정)를 선택합니다.

  • Strip Realm from username(사용자 이름에서 영역 제거) - AAA 서버로 사용자 이름을 전달하기 전에 사용자 이름에서 영역을 제거하려면 선택합니다. 예를 들어 이 옵션을 선택하고 사용자가 domain\username을 입력하는 경우, 도메인은 사용자 이름에서 제거되고 인증을 위해 AAA 서버로 전송됩니다. 기본적으로 이 옵션은 선택되어 있지 않습니다.

  • Strip Group from username(사용자 이름에서 그룹 제거) - AAA 서버로 사용자 이름을 전달하기 전에 사용자 이름에서 그룹 이름을 제거하려면 선택합니다. 기본적으로 이 옵션은 선택되어 있지 않습니다.

    참고

     
    영역은 관리 도메인입니다. 이러한 옵션을 활성화하면 사용자 이름에만 근거하여 인증할 수 있습니다. 이러한 옵션의 조합을 활성화할 수 있습니다. 그러나 서버에서 구분 기호를 구문 분석할 수 없는 경우, 두 확인란을 모두 선택해야 합니다.

  • Password Management(암호 관리) - 원격 액세스 VPN 사용자의 암호 관리를 활성화합니다. 암호 만료 전 또는 암호가 만료되는 날에 미리 알리려면 선택합니다.

단계 8

Save(저장)를 클릭합니다.

RADIUS 서버 속성 Secure Firewall Threat Defense

threat defense 디바이스는 Remote Access VPN 정책에서 인증 및/또는 권한 부여를 위해 구성된 외부 RADIUS 서버의 VPN 연결에 사용자 권한 속성(사용자 자격 또는 권한이라고도 함)을 적용하도록 지원합니다.


참고

Secure Firewall Threat Defense 디바이스에서는 벤더 ID가 3076인 속성을 지원합니다.

다음 사용자 권한 부여 속성은 RADIUS 서버에서 threat defense 디바이스로 전송됩니다.

  • RADIUS 속성 146 및 150은 인증 및 권한 부여 요청을 위해 threat defense 디바이스에서 RADIUS 서버로 전송됩니다.

  • 세 개의 속성(146, 150, 151)은 모두 계정 관리 시작, 중간 업데이트, 중단 요청을 위해 threat defense 디바이스에서 RADIUS 서버로 전송됩니다.

표 2. Secure Firewall Threat Defense에서 RADIUS 서버로 전송되는 속성

특성

속성 번호

구문, 유형

단일 또는 다중 값 지정

설명 또는 값

연결 프로파일 이름 또는 터널 그룹 이름

146

문자열

단일

1자 ~ 253자

클라이언트 유형

150

정수

단일

2 = Secure Client SSL VPN, 6 = Secure Client IPsec VPN(IKEv2)

세션 유형

151

정수

단일

1 = Secure Client SSL VPN, 2 = Secure Client IPsec VPN(IKEv2)

표 3. 지원되는 RADIUS 권한 부여 속성

특성 이름

Threat Defense

특성 번호

구문/유형

단일 또는 다중 값 지정

설명 또는 값

Access-Hours

Y

1

문자열

단일

시간 범위의 이름(예: 업무 시간)

Access-List-Inbound

Y

86

문자열

단일

두 Acess-List(액세스 목록) 속성 모두 threat defense 디바이스에 구성된 ACL의 이름을 따릅니다. 스마트 CLI 확장 액세스 목록 개체 유형을 사용해 이 ACL을 생성합니다(Device(장치) > Advanced Configuration(고급 구성) > Smart CLI(스마트 CLI) > Objects(개체) 선택).

이 ACL에서는 인바운드(threat defense 디바이스로 들어가는 트래픽) 또는 아웃바운드(threat defense 디바이스에서 나가는 트래픽) 방향으로 트래픽 흐름을 제어합니다.

Access-List-Outbound

Y

87

문자열

단일

Address-Pools

Y

217

문자열

단일

원격 액세스 VPN에 접속하는 클라이언트에 대한 주소 풀로 사용될 서브넷을 식별하는 threat defense 디바이스에 정의된 네트워크 개체의 이름입니다. Objects(개체) 페이지에서 네트워크 개체를 정의한 다음 네트워크 개체를 그룹 정책 또는 연결 프로파일에 연결합니다.

Allow-Network-Extension-Mode

Y

64

부울

단일

0 = 비활성화됨 1 = 활성화됨

Authenticated-User-Idle-Timeout

Y

50

정수

단일

1분 ~ 35791394분

Authorization-DN-Field

Y

67

문자열

단일

가능한 값: UID, OU, O, CN, L, SP, C, EA, T, N, GN, SN, I, GENQ, DNQ, SER, use-entire-name

Authorization-Required

66

정수

단일

0 = 아니요 1 = 예

Authorization-Type

Y

65

정수

단일

0 = 없음 1 = RADIUS 2 = LDAP

Banner1

Y

15

문자열

단일

Cisco VPN 원격 액세스 세션에 대해 표시할 배너 문자열: IPsec IKEv1, Secure Client SSL-TLS/DTLS/IKEv2, Clientless SSL

Banner2

Y

36

문자열

단일

Cisco VPN 원격 액세스 세션에 대해 표시할 배너 문자열: IPsec IKEv1, Secure Client SSL-TLS/DTLS/IKEv2, Clientless SSL Banner2 문자열은 Banner1 문자열과 연결됩니다(구성된 경우).

Cisco-IP-Phone-Bypass

Y

51

정수

단일

0 = 비활성화됨 1 = 활성화됨

Cisco-LEAP-Bypass

Y

75

정수

단일

0 = 비활성화됨 1 = 활성화됨

Client Type

Y

150

정수

단일

1 = Cisco VPN Client(IKEv1)
2 = Secure Client SSL VPN
3 = 클라이언트리스 SSL VPN
4 = Cut-Through-Proxy
5 = L2TP/IPsec SSL VPN
6 = Secure Client IPsec VPN(IKEv2)

Client-Type-Version-Limiting

Y

77

문자열

단일

IPsec VPN 버전 번호 문자열

DHCP-Network-Scope

Y

61

문자열

단일

IP 주소

Extended-Authentication-On-Rekey

Y

122

정수

단일

0 = 비활성화됨 1 = 활성화됨

Framed-Interface-Id

Y

96

문자열

단일

할당된 IPv6 인터페이스 ID. Framed-IPv6-Prefix와 결합하여 할당된 완전한 IPv6 주소를 생성합니다. 예를 들어 Framed-Interface-ID=1:1:1:1을 Framed-IPv6-Prefix=2001:0db8::/64와 결합하면 할당된 IP 주소 2001:0db8::1:1:1:1이 제공됩니다.

Framed-IPv6-Prefix

Y

97

문자열

단일

할당된 IPv6 접두사 및 길이입니다. Framed-Interface-Id와 결합하여 할당된 완전한 IPv6 주소를 생성합니다. 예를 들어, prefix 2001:0db8::/64를 Framed-Interface-Id=1:1:1:1과 결합하면 IP 주소 2001:0db8::1:1:1:1이 생성됩니다. 이 특성을 사용하면 Framed-Interface-Id를 사용하지 않고 접두사 길이가 /128인 전체 IPv6 주소를 할당하여 IP 주소를 할당할 수 있습니다(예: Framed-IPv6-Prefix=2001:0db8::1/128).

Group-Policy

Y

25

문자열

단일

원격 액세스 VPN 세션에 대한 그룹 정책을 설정합니다. 다음 형식 중 하나를 사용할 수 있습니다.

  • group policy name

  • OU=group policy name

  • OU=group policy name;

IE-Proxy-Bypass-Local

83

정수

단일

0 = 없음 1 = 로컬

IE-Proxy-Exception-List

82

문자열

단일

줄바꿈(\n)으로 구분된 DNS 도메인 목록

IE-Proxy-PAC-URL

Y

133

문자열

단일

PAC 주소 문자열

IE-Proxy-Server

80

문자열

단일

IP 주소

IE-Proxy-Server-Policy

81

정수

단일

1 = 수정 없음 2 = 프록시 없음 3 = 자동 탐지 4 = 집중 장치 설정 사용

IKE-KeepAlive-Confidence-Interval

Y

68

정수

단일

10초 ~ 300초

IKE-Keepalive-Retry-Interval

Y

84

정수

단일

2초 ~ 10초

IKE-Keep-Alives

Y

41

부울

단일

0 = 비활성화됨 1 = 활성화됨

Intercept-DHCP-Configure-Msg

Y

62

부울

단일

0 = 비활성화됨 1 = 활성화됨

IPsec-Allow-Passwd-Store

Y

16

부울

단일

0 = 비활성화됨 1 = 활성화됨

IPsec-Authentication

13

정수

단일

0 = 없음 1 = RADIUS 2 = LDAP(권한 부여만 해당) 3 = NT 도메인 4 = SDI 5 = 내부 6 = 만료 기간이 있는 RADIUS 7 = Kerberos/Active Directory

IPsec-Auth-On-Rekey

Y

42

부울

단일

0 = 비활성화됨 1 = 활성화됨

IPsec-Backup-Server-List

Y

60

문자열

단일

서버 주소(공백 구분)

IPsec-Backup-Servers

Y

59

문자열

단일

1 = 클라이언트 구성 목록 사용 2 = 클라이언트 목록 비활성화 및 지우기 3 = 백업 서버 목록 사용

IPsec-Client-Firewall-Filter-Name

57

문자열

단일

클라이언트에 방화벽 정책으로 푸시할 필터의 이름을 지정합니다.

IPsec-Client-Firewall-Filter-Optional

Y

58

정수

단일

0 = 필수 1 = 선택 사항

IPsec-Default-Domain

Y

28

문자열

단일

클라이언트로 보낼 단일 기본 도메인 이름을 지정합니다(1자 ~ 255자).

IPsec-IKE-Peer-ID-Check

Y

40

정수

단일

1 = 필수 2 = 피어 인증서별로 지원되는 경우 3 = 확인하지 않음

IPsec-IP-Compression

Y

39

정수

단일

0 = 비활성화됨 1 = 활성화됨

IPsec-Mode-Config

Y

31

부울

단일

0 = 비활성화됨 1 = 활성화됨

IPsec-Over-UDP

Y

34

부울

단일

0 = 비활성화됨 1 = 활성화됨

IPsec-Over-UDP-Port

Y

35

정수

단일

4001 ~ 49151. 기본값은 10000입니다.

IPsec-Required-Client-Firewall-Capability

Y

56

정수

단일

0 = 없음 1 = 원격 FW AYT(Are-You-There)에 의해 정의된 정책 2 = 정책 푸시됨 CPP 4 = 서버의 정책

IPsec-Sec-Association

12

문자열

단일

보안 연결의 이름

IPsec-Split-DNS-Names

Y

29

문자열

단일

클라이언트로 보낼 보조 도메인 이름의 목록을 지정합니다(1자 ~ 255자).

IPsec-Split-Tunneling-Policy

Y

55

정수

단일

0 = 스플릿 터널링 없음 1 = 스플릿 터널링 2 = 로컬 LAN 허용됨

IPsec-Split-Tunnel-List

Y

27

문자열

단일

스플릿 터널 포함 목록을 설명하는 네트워크 또는 ACL의 이름을 지정합니다.

IPsec-Tunnel-Type

Y

30

정수

단일

1 = LAN-to-LAN 2 = 원격 액세스

IPsec-User-Group-Lock

33

부울

단일

0 = 비활성화됨 1 = 활성화됨

IPv6-Address-Pools

Y

218

문자열

단일

IP 로컬 풀(IPv6)의 이름

IPv6-VPN-Filter

Y

219

문자열

단일

ACL 값

L2TP-Encryption

21

정수

단일

비트맵: 1 = 암호화 필수 2 = 40비트 4 = 128비트 8 = 스테이트리스 필수 15 = 40/128 암호화/스테이트리스 필수

L2TP-MPPC-Compression

38

정수

단일

0 = 비활성화됨 1 = 활성화됨

Member-Of

Y

145

문자열

단일

쉼표로 구분된 문자열, 예: 


Engineering, Sales

Dynamic Access Policy에서 사용할 수 있는 관리 특성입니다. 이는 그룹 정책을 설정하지 않습니다.

MS-Client-Subnet-Mask

Y

63

부울

단일

IP 주소

NAC-Default-ACL

92

문자열

ACL

NAC-Enable

89

정수

단일

0 = 아니요 1 = 예

NAC-Revalidation-Timer

91

정수

단일

300초 ~ 86400초

NAC-Settings

Y

141

문자열

단일

NAC 정책의 이름

NAC-Status-Query-Timer

90

정수

단일

30초 ~ 1800초

Perfect-Forward-Secrecy-Enable

Y

88

부울

단일

0 = 아니요 1 = 예

PPTP-Encryption

20

정수

단일

비트맵: 1 = 암호화 필수 2 = 40비트 4 = 128비트 8 = 스테이트리스 필수 15 = 40/128 암호화/스테이트리스 필수

PPTP-MPPC-Compression

37

정수

단일

0 = 비활성화됨 1 = 활성화됨

Primary-DNS

Y

5

문자열

단일

IP 주소

Primary-WINS

Y

7

문자열

단일

IP 주소

Privilege-Level

Y

220

정수

단일

0과 15 사이의 정수입니다.

Required-Client- Firewall-Vendor-Code

Y

45

정수

단일

1 = Cisco Systems(Cisco Integrated Client) 2 = Zone Labs 3 = NetworkICE 4 = Sygate 5 = Cisco Systems(Cisco Intrusion Prevention Security Agent)

Required-Client-Firewall-Description

Y

47

문자열

단일

문자열

Required-Client-Firewall-Product-Code

Y

46

정수

단일

Cisco Systems 제품:

1 = Cisco Intrusion Prevention Security Agent 또는 Cisco Integrated Client(CIC)

Zone Labs 제품: 1 = Zone Alarm 2 = Zone AlarmPro 3 = Zone Labs Integrity

NetworkICE 제품: 1 = BlackIce Defender/Agent

Sygate 제품: 1 = Personal Firewall 2 = Personal Firewall Pro 3 = Security Agent

Required-Individual-User-Auth

Y

49

정수

단일

0 = 비활성화됨 1 = 활성화됨

Require-HW-Client-Auth

Y

48

부울

단일

0 = 비활성화됨 1 = 활성화됨

Secondary-DNS

Y

6

문자열

단일

IP 주소

Secondary-WINS

Y

8

문자열

단일

IP 주소

SEP-Card-Assignment

9

정수

단일

사용되지 않음

세션 하위 유형

Y

152

정수

단일

0 = 없음 1 = 클라이언트리스 2 = 클라이언트 3 = 클라이언트 전용

세션 하위 유형은 세션 유형(151) 특성에 1, 2, 3, 4의 값이 포함될 때만 적용됩니다.

세션 유형

Y

151

정수

단일

0 = 없음 1 = Secure Client SSL VPN 2 = Secure Client IPSec VPN(IKEv2) 3 = 클라이언트리스 SSL VPN 4 = 클라이언트리스 이메일 프록시 5 = Cisco VPN Client(IKEv1) 6 = IKEv1 LAN-LAN 7 = IKEv2 LAN-LAN 8 = VPN 로드 밸런싱

Simultaneous-Logins

Y

2

정수

단일

0 ~ 2147483647

Smart-Tunnel

Y

136

문자열

단일

스마트 터널의 이름

Smart-Tunnel-Auto

Y

138

정수

단일

0 = 비활성화됨 1 = 활성화됨 2 = 자동 시작

Smart-Tunnel-Auto-Signon-Enable

Y

139

문자열

단일

도메인 이름이 추가된 스마트 터널 자동 로그인 목록의 이름

Strip-Realm

Y

135

부울

단일

0 = 비활성화됨 1 = 활성화됨

SVC-Ask

Y

131

문자열

단일

0 = 비활성화됨 1 = 활성화됨 3 = 기본 서비스 활성화 5 = 기본 클라이언트리스 활성화(2 및 4는 사용되지 않음)

SVC-Ask-Timeout

Y

132

정수

단일

5초 ~ 120초

SVC-DPD-Interval-Client

Y

108

정수

단일

0 = 꺼짐 5~3600초

SVC-DPD-Interval-Gateway

Y

109

정수

단일

0 = 꺼짐) 5~3600초

SVC-DTLS

Y

123

정수

단일

0 = False 1 = True

SVC-Keepalive

Y

107

정수

단일

0 = 꺼짐 15~600초

SVC-Modules

Y

127

문자열

단일

문자열(모듈 이름)

SVC-MTU

Y

125

정수

단일

MTU 값 256~1406(바이트)

SVC-Profiles

Y

128

문자열

단일

문자열(프로필 이름)

SVC-Rekey-Time

Y

110

정수

단일

0 = 비활성화됨 1~10080분

Tunnel Group Name

Y

146

문자열

단일

1자 ~ 253자

Tunnel-Group-Lock

Y

85

문자열

단일

터널 그룹의 이름 또는 “none”

Tunneling-Protocols

Y

11

정수

단일

1 = PPTP 2 = L2TP 4 = IPSec(IKEv1) 8 = L2TP/IPSec 16 = WebVPN 32 = SVC 64 = IPsec(IKEv2) 8 및 4는 상호 배타적임. 0 - 11, 16 - 27, 32 - 43, 48 - 59는 올바른 값임.

Use-Client-Address

17

부울

단일

0 = 비활성화됨 1 = 활성화됨

VLAN

Y

140

정수

단일

0 ~ 4094

WebVPN-Access-List

Y

73

문자열

단일

액세스 목록 이름

WebVPN ACL

Y

73

문자열

단일

디바이스의 WebVPN ACL 이름

WebVPN-ActiveX-Relay

Y

137

정수

단일

0 = 비활성화됨 기타 = 활성화됨

WebVPN-Apply-ACL

Y

102

정수

단일

0 = 비활성화됨 1 = 활성화됨

WebVPN-Auto-HTTP-Signon

Y

124

문자열

단일

예약

WebVPN-Citrix-Metaframe-Enable

Y

101

정수

단일

0 = 비활성화됨 1 = 활성화됨

WebVPN-Content-Filter-Parameters

Y

69

정수

단일

1 = Java ActiveX 2 = Java Script 4 = 이미지 8 = 이미지의 쿠키

WebVPN-Customization

Y

113

문자열

단일

사용자 정의의 이름

WebVPN-Default-Homepage

Y

76

문자열

단일

http://example-example.com과 같은 URL

WebVPN-Deny-Message

Y

116

문자열

단일

유효한 문자열(최대 500자)

WebVPN-Download_Max-Size

Y

157

정수

단일

0x7fffffff

WebVPN-File-Access-Enable

Y

94

정수

단일

0 = 비활성화됨 1 = 활성화됨

WebVPN-File-Server-Browsing-Enable

Y

96

정수

단일

0 = 비활성화됨 1 = 활성화됨

WebVPN-File-Server-Entry-Enable

Y

95

정수

단일

0 = 비활성화됨 1 = 활성화됨

WebVPN-Group-based-HTTP/HTTPS-Proxy-Exception-List

Y

78

문자열

단일

와일드카드(*) 옵션을 포함한 쉼표로 구분된 DNS/IP(예: *.cisco.com, 192.168.1.*, wwwin.cisco.com)

WebVPN-Hidden-Shares

Y

126

정수

단일

0 = 없음 1 = 표시

WebVPN-Home-Page-Use-Smart-Tunnel

Y

228

부울

단일

클라이언트리스 홈페이지가 스마트 터널을 통해 만들어지는 경우 활성화됩니다.

WebVPN-HTML-Filter

Y

69

비트맵

단일

1 = Java ActiveX 2 = 스크립트 4 = 이미지 8 = 쿠키

WebVPN-HTTP-Compression

Y

120

정수

단일

0 = 꺼짐 1 = Deflate 압축

WebVPN-HTTP-Proxy-IP-Address

Y

74

문자열

단일

http= 또는 https= 접두사를 포함한 쉼표로 구분된 DNS/IP:port(예: http=10.10.10.10:80, https=11.11.11.11:443)

WebVPN-Idle-Timeout-Alert-Interval

Y

148

정수

단일

0~30. 0 = 비활성화됨

WebVPN-Keepalive-Ignore

Y

121

정수

단일

0 ~ 900

WebVPN-Macro-Substitution

Y

223

문자열

단일

무제한

WebVPN-Macro-Substitution

Y

224

문자열

단일

무제한

WebVPN-Port-Forwarding-Enable

Y

97

정수

단일

0 = 비활성화됨 1 = 활성화됨

WebVPN-Port-Forwarding-Exchange-Proxy-Enable

Y

98

정수

단일

0 = 비활성화됨 1 = 활성화됨

WebVPN-Port-Forwarding-HTTP-Proxy

Y

99

정수

단일

0 = 비활성화됨 1 = 활성화됨

WebVPN-Port-Forwarding-List

Y

72

문자열

단일

포트 전달 목록 이름

WebVPN-Port-Forwarding-Name

Y

79

문자열

단일

문자열 이름(예: “Corporate-Apps”).

이 텍스트는 클라이언트리스 포털 홈페이지에서 기본 문자열인 “Application Access”를 대체합니다.

WebVPN-Post-Max-Size

Y

159

정수

단일

0x7fffffff

WebVPN-Session-Timeout-Alert-Interval

Y

149

정수

단일

0~30. 0 = 비활성화됨

WebVPN Smart-Card-Removal-Disconnect

Y

225

부울

단일

0 = 비활성화됨 1 = 활성화됨

WebVPN-Smart-Tunnel

Y

136

문자열

단일

스마트 터널의 이름

WebVPN-Smart-Tunnel-Auto-Sign-On

Y

139

문자열

단일

도메인 이름이 추가된 스마트 터널 자동 로그인 목록의 이름

WebVPN-Smart-Tunnel-Auto-Start

Y

138

정수

단일

0 = 비활성화됨 1 = 활성화됨 2 = 자동 시작

WebVPN-Smart-Tunnel-Tunnel-Policy

Y

227

문자열

단일

“e networkname”, “i networkname” 또는 “a” 중 하나입니다. 여기서 networkname은 스마트 터널 네트워크 목록의 이름을, e는 제외된 터널을, i는 지정된 터널을, a는 모든 터널을 나타냅니다.

WebVPN-SSL-VPN-Client-Enable

Y

103

정수

단일

0 = 비활성화됨 1 = 활성화됨

WebVPN-SSL-VPN-Client-Keep- Installation

Y

105

정수

단일

0 = 비활성화됨 1 = 활성화됨

WebVPN-SSL-VPN-Client-Required

Y

104

정수

단일

0 = 비활성화됨 1 = 활성화됨

WebVPN-SSO-Server-Name

Y

114

문자열

단일

유효한 문자열

WebVPN-Storage-Key

Y

162

문자열

단일

WebVPN-Storage-Objects

Y

161

문자열

단일

WebVPN-SVC-Keepalive-Frequency

Y

107

정수

단일

15초 ~ 600초, 0 = 꺼짐

WebVPN-SVC-Client-DPD-Frequency

Y

108

정수

단일

5초 ~ 3600초, 0 = 꺼짐

WebVPN-SVC-DTLS-Enable

Y

123

정수

단일

0 = 비활성화됨 1 = 활성화됨

WebVPN-SVC-DTLS-MTU

Y

125

정수

단일

MTU 값은 256바이트 ~ 1406바이트입니다.

WebVPN-SVC-Gateway-DPD-Frequency

Y

109

정수

단일

5초 ~ 3600초, 0 = 꺼짐

WebVPN-SVC-Rekey-Time

Y

110

정수

단일

4분 ~ 10080분, 0 = 꺼짐

WebVPN-SVC-Rekey-Method

Y

111

정수

단일

0(꺼짐), 1(SSL), 2(새 터널)

WebVPN-SVC-Compression

Y

112

정수

단일

0(꺼짐), 1(Deflate 압축)

WebVPN-UNIX-Group-ID (GID)

Y

222

정수

단일

유효한 UNIX 그룹 ID

WebVPN-UNIX-User-ID (UIDs)

Y

221

정수

단일

유효한 UNIX 사용자 ID

WebVPN-Upload-Max-Size

Y

158

정수

단일

0x7fffffff

WebVPN-URL-Entry-Enable

Y

93

정수

단일

0 = 비활성화됨 1 = 활성화됨

WebVPN-URL-List

Y

71

문자열

단일

URL 목록 이름

WebVPN-User-Storage

Y

160

문자열

단일

WebVPN-VDI

Y

163

문자열

단일

설정 목록

표 4. RADIUS 속성이 전송되는 대상: Secure Firewall Threat Defense

특성

속성 번호

구문, 유형

단일 또는 다중 값 지정

설명 또는 값

Address-Pools

217

문자열

단일

원격 액세스 VPN에 접속하는 클라이언트에 대한 주소 풀로 사용될 서브넷을 식별하는 threat defense 디바이스에 정의된 네트워크 개체의 이름입니다. Objects(개체) 페이지에서 네트워크 개체를 정의합니다.

Banner1

15

문자열

단일

사용자가 로그인하면 표시할 배너입니다.

Banner2

36

문자열

단일

사용자가 로그인하면 표시할 배너의 두 번째 부분입니다. 배너2는 배너1에 추가됩니다.

다운로드 가능한 ACL

Cisco-AV-Pair

merge-dacl {before-avpair | after-avpair}

Cisco-AV-Pair 구성을 통해 지원됩니다.

필터 ACL

86, 87

문자열

단일

필터 ACL은 RADIUS 서버의 ACL 이름으로 참조됩니다. ACL 구성이 이미 threat defense 디바이스에 있어야 하므로 RADIUS 권한 부여 중에 ACL 구성을 사용할 수 있습니다.

86 = 액세스 목록-인바운드

87 = 액세스 목록-아웃 바운드

Group-Policy

25

문자열

단일

연결에 사용할 그룹 정책입니다. 원격 액세스 VPN Group Policy(그룹 정책) 페이지에서 그룹 정책을 생성해야 합니다. 다음 형식 중 하나를 사용할 수 있습니다.

  • group policy name

  • OU=group policy name

  • OU=group policy name;

Simultaneous-Logins

2

정수

단일

사용자가 설정하도록 허용되는 별도의 동시 연결 개수입니다(0~2147483647).

VLAN

140

정수

단일

사용자의 연결을 제한할 VLAN입니다(0~4094). 또한 threat defense 디바이스의 하위 인터페이스에 이 VLAN을 컨피그레이션해야 합니다.

ISE에서 반환된 IE-Proxy-Server-Method 속성 값을 다음 중 하나로 설정해야 합니다.

  • IE_PROXY_METHOD_PACFILE: 8

  • IE_PROXY_METHOD_PACFILE_AND_AUTODETECT: 11

  • IE_PROXY_METHOD_PACFILE_AND_USE_SERVER: 12

  • IE_PROXY_METHOD_PACFILE_AND_AUTODETECT_AND_USE_SERVER: 15

Threat Defense는 위의 값 중 하나가 IE-Proxy-Server-Method 특성에 사용되는 경우에만 프록시 설정을 전달합니다.

연결 프로파일에 대한 별칭 생성 또는 업데이트

별칭에는 특정 연결 프로파일에 대한 대체 이름 또는 URL이 포함되어 있습니다. 원격 액세스 VPN 관리자는 Alias name(별칭 이름) 및 Alias URL(별칭 URL)을 활성화 또는 비활성화할 수 있습니다. VPN 사용자는 Secure Firewall Threat Defense 디바이스에 연결하는 경우 별칭 이름을 선택할 수 있습니다. 이 디바이스에 구성된 모든 연결에서 별칭 이름 표시 기능은 켜거나 끌 수 있습니다. 또한 원격 액세스 VPN 연결을 시작하는 동안 엔드포인트에서 선택할 수 있는 별칭 URL 목록을 구성할 수 있습니다. 사용자가 별칭 URL을 사용하여 연결하는 경우, 시스템에서는 이 URL과 일치하는 연결 프로파일을 자동으로 로깅합니다.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

수정할 원격 정책에서 Edit(편집)을 클릭합니다.

단계 3

별칭을 생성하거나 업데이트할 연결 프로파일에서 Edit(편집)를 클릭합니다.

단계 4

Aliases(별칭)를 클릭합니다.

단계 5

별칭 이름을 추가하려면 다음을 수행합니다.

  1. Alias Names(별칭 이름)Add(추가)를 클릭합니다.

  2. Alias Name(별칭 이름)을 지정합니다.

  3. 별칭을 활성화하려면 각 창에 있는 Enabled(활성화) 확인란을 선택합니다.

  4. OK(확인)를 클릭합니다.

단계 6

별칭 URL을 추가하려면 다음을 수행합니다.

  1. URL Alias(URL 별칭)에서 Add(추가)를 클릭합니다.

  2. 목록에서 Alias URL(별칭 URL)을 선택하거나 새 URL 개체를 생성합니다. 자세한 내용은 URL 개체 생성를 참조하십시오.

  3. 별칭을 활성화하려면 각 창에 있는 Enabled(활성화) 확인란을 선택합니다.

  4. OK(확인)를 클릭합니다.

단계 7

변경 내용을 저장합니다.

Remote Access VPN을 위한 액세스 인터페이스 구성

Access Interface(액세스 인터페이스) 테이블에는 디바이스 인터페이스가 포함된 인터페이스 그룹과 보안 영역이 나열됩니다. 이는 Remote Access SSL 또는 IPsec IKEv2 VPN 연결을 위해 구성됩니다. 해당 테이블에는 각 인터페이스 그룹 또는 보안 영역의 이름, 인터페이스에서 사용하는 인터페이스 신뢰 지점 및 DTLS(Datagram Transport Layer Security)의 사용 여부가 표시됩니다.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

목록에서 기존 원격 액세스 VPN 정책을 선택하고 해당 Edit(편집) 아이콘을 클릭합니다.

단계 3

Access Interface(액세스 인터페이스)를 클릭합니다.

단계 4

액세스 인터페이스를 추가하려면 Add(추가)를 선택하고 Add Access Interface(액세스 인터페이스 추가) 창에서 다음에 대한 값을 지정합니다.

  1. Access Interface(액세스 인터페이스) - 인터페이스가 속한 인터페이스 그룹 또는 보안 영역을 선택합니다.

    인터페이스 그룹 또는 보안 영역은 라우팅 유형이어야 합니다. 원격 액세스 VPN 연결에는 다른 인터페이스 유형이 지원되지 않습니다.

  2. 다음 옵션을 선택하여 액세스 인터페이스와 프로토콜 개체를 연결합니다.

    • Enable IPSet-IKEv2(IPSet-IKEv2 활성화) - IKEv2 설정을 활성화하려면 이 옵션을 선택합니다.

    • Enable SSL(SSL 활성화) - SSL 설정을 활성화하려면 이 옵션을 선택합니다.

      • Enable Datagram Transport Layer Security(Datagram Transport Layer Security 활성화)를 선택합니다.

        선택하면 인터페이스에서 DTLS(Datagram Transport Layer Security)를 활성화하며 SSL VPN 연결을 설정하는 Cisco Secure Client의 AnyConnect VPN 모듈이 동시에 2개의 터널(SSL 터널 및 DTLS 터널)을 사용하도록 허용합니다.

        DTLS를 활성화하면 특정 SSL 연결에서 발생하는 레이턴시 및 대역폭 문제를 방지하고 패킷 지연에 민감한 실시간 애플리케이션의 성능을 높입니다.

        SSL 설정, TLS 및 DTLS 버전을 구성하려면 SSL 설정 정보의 내용을 참조하십시오.

        Cisco Secure Client의 AnyConnect VPN 모듈에 대한 SSL 설정을 구성하려면 그룹 정책 Secure Client 옵션의 내용을 참조하십시오.

      • Configure Interface Specific Identity Certificate(인터페이스별 ID 인증서 구성) 확인란을 선택하고 드롭다운 목록에서 Interface Identity Certificate(인터페이스 ID 인증서)를 선택합니다.

        인터페이스 ID 인증서를 선택하지 않는 경우 Trustpoint(신뢰 지점)가 기본적으로 사용됩니다.

        인터페이스 ID 인증서 또는 신뢰 지점을 선택하지 않는 경우 SSL Global Identity Certificate(SSL 전역 ID 인증서)가 기본적으로 사용됩니다.

  3. OK(확인)를 클릭하여 변경 사항을 저장합니다.

단계 5

Access Settings(액세스 설정)에서 다음을 선택합니다.

  • Allow Users to select connection profile while logging in(사용자가 로그인 상태에서 연결 프로파일을 선택할 수 있음) - 여러 연결 프로파일이 있는 경우 이 옵션을 선택하면 사용자가 로그인 중에 올바른 연결 프로파일을 선택할 수 있습니다. IPsec IKEv2 VPN에 대해 이 옵션을 선택해야 합니다.

단계 6

SSL Settings(SSL 설정)를 구성하려면 다음 옵션을 사용합니다.

  • Web Access Port Number(웹 액세스 포트 번호) - VPN 세션에 사용할 포트입니다. 기본 포트는 443입니다.

  • DTLS Port Number(DTLS 포트 번호) - DTLS 연결에 대해 사용할 UDP 포트입니다. 기본 포트는 443입니다.

  • SSL Global Identity Certificate(SSL 전역 ID 인증서) - Interface Specific Identity Certificate(인터페이스별 ID 인증서)가 제공되지 않으면 선택한 SSL Global Identity Certificate(SSL 전역 ID 인증서)가 모든 관련 인터페이스에 사용됩니다.

단계 7

IPsec-IKEv2 Settings(IPsec IKEv2 설정)에서 목록의 IKEv2 Identity Certificate(IKEv2 ID 인증서)를 선택하거나 ID 인증서를 추가합니다.

단계 8

액세스 제어 정책을 우회하려는 경우 Access Control for VPN Traffic(VPN 트래픽에 대한 액세스 제어) 섹션에서 다음 옵션을 선택합니다.

  • Bypass Access Control policy for decrypted traffic(암호 해독된 트래픽에 대해 액세스 제어 정책 우회)(sysopt permit-vpn) - 암호 해독된 트래픽은 기본적으로 액세스 제어 정책 검사를 받습니다. Bypass Access Control policy for decrypted traffic(암호 해독된 트래픽에 대해 액세스 제어 정책 우회) 옵션을 활성화하면 트래픽 옵션을 우회하지만, VPN 필터 ACL과 AAA 서버에서 다운로드한 인증 ACL이 VPN 트래픽에 계속 적용됩니다.

    참고

     

    이 옵션을 선택하면 Secure Firewall Threat Defense 디바이스의 액세스 제어 정책 업데이트에 지정된 대로 VPN에 대한 액세스 제어 정책을 업데이트할 필요가 없습니다.

단계 9

Save(저장)를 클릭하여 액세스 인터페이스 변경 사항을 저장합니다.

원격 액세스 VPN 고급 옵션 구성

Cisco Secure Client 이미지

Secure Client 이미지

Secure Client는 기업 리소스에 대한 전체 VPN 프로파일링을 통해 원격 사용자에게 threat defense 디바이스에 대한 SSL 또는 IPSec(IKEv2) 연결을 제공합니다. 이전에 설치된 클라이언트가 없는 경우 원격 사용자는 브라우저에서 클라이언트리스 VPN 연결을 허용하도록 구성된 인터페이스의 브라우저에 IP 주소를 입력하여 Secure Client를 다운로드하고 설치합니다. threat defense 디바이스는 원격 컴퓨터의 운영 체제와 일치하는 클라이언트를 다운로드합니다. 다운로드한 후 클라이언트는 보안 연결을 설치하고 설정합니다. 클라이언트를 이미 설치한 경우 사용자가 인증을 통과하면 threat defense 디바이스에서 클라이언트의 버전을 확인하고 필요에 따라 클라이언트를 업그레이드합니다.

원격 액세스 VPN 관리자는 새 Secure Client 이미지 또는 추가 이미지를 VPN 정책에 연결합니다. 관리자 지원되지 않거나 단종되었으며 더 이상 필요하지 않은 클라이언트 패키지의 연결을 해제할 수 있습니다.

Secure Firewall Management Center에서는 파일 패키지 이름을 사용하여 운영 체제의 유형을 결정합니다. 사용자가 운영 체제 정보를 나타내지 않고 파일의 이름을 바꾼 경우 유효한 운영 체제 유형을 목록 상자에서 선택해야 합니다.

Secure Client 이미지 파일을 Cisco 소프트웨어 다운로드 센터에서 다운로드합니다.

Secure Firewall Management CenterSecure Client 이미지 추가

Secure Client File(Secure Client 파일) 개체를 사용하여 Secure Client 이미지 파일을 Secure Firewall Management Center에 업로드할 수 있습니다. 자세한 내용은 파일 개체를 참고하십시오. 클라이언트 이미지에 대한 자세한 내용은 Cisco Secure Client 이미지 섹션을 참조하십시오.

프로시저

단계 1

선택 Devices(디바이스) > Remote Access(원격 액세스), 나열된 원격 액세스 정책을 선택하고 편집한 다음 Advanced(고급) 탭을 선택합니다.

단계 2

Add(추가)를 클릭하여 Secure Client 이미지를 추가합니다.

단계 3

Secure Client Images(Secure Client 이미지) 대화 상자의 Available Secure Client Images(사용 가능한 Secure Client 이미지) 부분에서 Add(추가)를 클릭합니다.

단계 4

사용 가능한 Secure Client 이미지의 Name(이름)Description(설명)(선택 사항)을 입력합니다.

단계 5

Browse(찾아보기)를 클릭하여 이동하여 업로드할 클라이언트 이미지를 선택합니다.

단계 6

Save(저장)를 클릭하여 이미지를 management center에 업로드합니다.

클라이언트 이미지를 Secure Firewall Management Center에 업로드하면 이미지에 대한 운영 체제 정보가 자동으로 나타납니다.

단계 7

클라이언트 이미지의 순서를 변경하려면 Show Re-order(재정렬 표시) 버튼을 클릭하고 클라이언트 이미지를 위나 아래로 이동합니다.

원격 액세스 VPN 클라이언트에 대한 Secure Client 이미지 업데이트
Secure Client 업데이트가 Cisco 소프트웨어 다운로드 센터에서 제공되면 패키지를 수동으로 다운로드하여 VPN 정책에 추가할 수 있으며, 이에 따라 새 클라이언트 패키지가 운영 체제에 따라 VPN 클라이언트 시스템에서 업그레이드되도록 할 수 있습니다.
시작하기 전에

이 섹션의 지침은 새 Secure Client 이미지를 Secure Firewall Threat Defense VPN 게이트웨이에 연결하는 원격 액세스 VPN 클라이언트로 업데이트하는 데 도움이 됩니다. Secure Client 이미지를 업데이트하기 전에 다음 구성이 완료되었는지 확인합니다.

  • Secure Client 이미지 파일을 Cisco 소프트웨어 다운로드 센터에서 다운로드하십시오.

  • Secure Firewall Management Center웹 인터페이스에서 Objects(개체) > Object Management(개체 관리) > VPN > Secure Client File(Secure Client 파일)로 이동하고 새 Secure Client 이미지 파일을 추가합니다.

프로시저

단계 1

Secure Firewall Management Center 웹 인터페이스에서 Devices(디바이스)> VPN > Remote Access(원격 액세스)를 선택합니다.

단계 2

업데이트할 원격 액세스 VPN 정책 옆에서 Edit(편집)을 클릭합니다.

단계 3

Advanced(고급) > Secure Client Image(Secure Client 이미지) > Add(추가)를 클릭합니다.

단계 4

Available Secure Client Images(사용 가능한 Secure Client 이미지)에서 클라이언트 이미지 파일을 선택하고 Add(추가)를 클릭합니다.

필요한 클라이언트 이미지가 목록에 없는 경우, Add(추가)를 클릭하여 이미지를 찾아 업로드합니다.

단계 5

OK(확인)를 클릭합니다.

단계 6

Remote Access VPN 정책을 저장합니다.

원격 액세스 VPN 정책 변경 사항이 구축되면 원격 액세스 VPN 게이트웨이로 구성된 Secure Firewall Threat Defense 디바이스에서 새 Secure Client 이미지가 업데이트됩니다. 새로운 VPN 사용자가 VPN 게이트웨이에 연결하면 사용자는 클라이언트 시스템의 운영 체제에 따라 새로운 Secure Client 이미지를 다운로드합니다. 기존 VPN 사용자의 경우 다음 VPN 세션에서 Secure Client 이미지가 업데이트됩니다.
Cisco Secure Client 외부 브라우저 패키지를 Secure Firewall Management Center에 추가합니다.

로컬 디스크에 Secure Client 외부 브라우저 패키지 이미지가 있는 경우 다음 절차에 따라 동일한 이미지를 Secure Firewall Management Center에 업로드합니다. 외부 브라우저 패키지를 업로드한 후 원격 액세스 VPN 연결을 위해 외부 브라우저 패키지를 업데이트할 수 있습니다.

Secure Client File(Secure Client 파일) 개체를 사용하여 Cisco AnyConnect 외부 브라우저 패키지 파일을 Secure Firewall Management Center에 업로드할 수 있습니다. 자세한 내용은 파일 개체를 참고하십시오.

기억해야 할 사항

  • 하나의 외부 브라우저 패키지만 threat defense 디바이스에 추가할 수 있습니다.

  • 외부 브라우저 패키지가 management center에 추가된 후에는 원격 액세스 VPN 구성에서 외부 브라우저가 활성화된 후에만 브라우저가 threat defense에 푸시됩니다.

프로시저

단계 1

Secure Firewall Management Center 웹 인터페이스에서 Devices(디바이스) > Remote Access(원격 액세스), 나열된 원격 액세스 정책을 선택하고 편집한 다음 Advanced(고급) 탭을 선택합니다.를 선택합니다.

단계 2

Secure Client Images(Secure Client 이미지) 페이지의 Secure Client External Browser Package(Secure Client 외부 브라우저 패키지) 부분에서 Add(추가)를 클릭합니다.

단계 3

Secure Client 패키지의 이름설명을 입력합니다.

단계 4

Browse(찾아보기)를 클릭하여 업로드할 외부 브라우저 패키지 파일의 위치로 이동합니다.

단계 5

Save(저장)를 클릭하여 이미지를 Secure Firewall Management Center에 업로드합니다.

참고

 

기존 외부 브라우저 패키지로 원격 액세스 VPN 연결을 업데이트하려면 Package File(패키지 파일) 드롭다운에서 파일을 선택합니다.

단계 6

Remote Access VPN 정책을 저장합니다.

Remote Access VPN 주소 할당 정책

threat defense 디바이스는 IPv4 또는 IPv6 정책을 사용하여 Remote Access VPN 클라이언트에 IP 주소를 할당할 수 있습니다. 둘 이상의 주소 할당 방법을 구성한 경우에는 threat defense 디바이스에서 IP 주소를 찾을 때까지 각 옵션을 검색합니다.

IPv4 또는 IPv6 정책

IPv4 또는 IPv6 정책을 사용하여 원격 액세스 VPN 클라이언트의 IP 주소를 지정할 수 있습니다. IPv4 정책을 시도한 다음 나중에 IPv6 정책을 시도해야 합니다.

  • Use Authorization Server(인증 서버 사용) - 외부 권한 부여 서버에서 사용자별로 주소를 검색합니다. IP 주소가 구성된 권한 부여 서버를 사용하는 경우 이 방법을 사용하는 것이 좋습니다. 주소 할당은 RADIUS 기반 인증 서버에서만 지원됩니다. AD/LDAP에는 지원되지 않습니다. IPv4 및 IPv6 할당 정책에 이 방법을 사용할 수 있습니다.

  • Use DHCP(DHCP 사용) - 연결 프로파일에 구성된 DHCP 서버에서 IP 주소를 가져옵니다. 또한 그룹 정책에서 DHCP 네트워크 범위를 구성하여 DHCP 서버가 사용할 수 있는 IP 주소 범위를 정의할 수도 있습니다. DHCP를 사용하는 경우 Objects(개체)> Object Management(개체 관리)> Network(네트워크) 창에서 서버를 구성합니다. IPv4 할당 정책에 이 방법을 사용할 수 있습니다.

    DHCP 네트워크 범위 설정에 대한 자세한 내용은 그룹 정책 일반 옵션의 내용을 참조하십시오.

  • Use an internal address pool(내부 주소 풀 사용) - 내부적으로 구성된 주소 풀은 주소 풀 할당을 구성하는 가장 간편한 방법입니다. 이 방법을 사용하는 경우 Objects(개체) > Object Management(개체 관리) > Address Pools(주소 풀) 창에서 IP 주소 풀을 만들고 연결 프로파일에서 선택합니다. IPv4 및 IPv6 할당 정책에 이 방법을 사용할 수 있습니다.

  • Allow reuse an IP address so many minutes after it is released(릴리스된 후 IP 주소 다시 사용 허용) - IP 주소가 주소 풀로 반환된 이후에 해당 IP 주소의 재사용을 지연시킵니다. 지연을 추가하면 IP 주소가 신속하게 재할당될 경우 방화벽에서 발생할 수 있는 문제를 방지하는 데 도움이 됩니다. 기본적으로 지연은 0으로 설정됩니다. 지연을 확장하려면 해당 상자를 선택하고 0분부터 480분의 범위에서 IP 주소 재할당을 지연시킬 기간(분)을 입력합니다. 이 구성 요소는 IPv4 할당 정책에 사용할 수 있습니다.

인증서 맵 구성

인증서 맵을 사용하면 인증서 필드의 내용을 기반으로 사용자 인증서와 연결 프로파일을 일치시키는 규칙을 정의할 수 있습니다. 인증서 맵은 보안 게이트웨이의 인증서 인증을 제공합니다.

규칙 또는 인증서 맵은 인증서 맵 개체에서 정의됩니다.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

목록에서 기존 원격 액세스 VPN 정책을 선택하고 해당 Edit(편집) 아이콘을 클릭합니다.

단계 3

Advanced(고급) > Certificate Maps(인증서 맵)를 선택합니다.

단계 4

General Settings for Connection Profile Mapping(연결 프로파일 매핑에 대한 일반 설정) 창에서 다음 옵션을 선택합니다.

선택 항목은 우선 순위를 기준으로 하며, 첫 번째 선택 항목이 일치하지 않으면 옵션 목록 아래에서 일치가 계속됩니다. 규칙이 충족되면 일치가 완료됩니다. 규칙이 충족되지 않으면 이 페이지 하단에 나열된 기본 연결 프로파일이 이 연결에 사용됩니다. 다음 옵션 중 일부 또는 전부를 선택하여 인증을 설정하고 클라이언트에 매핑되어야 하는 연결 프로파일(터널 그룹)을 결정합니다.

  • 그룹 URL과 인증서 맵이 서로 다른 연결 프로파일과 일치하는 경우 그룹 URL 사용

  • Use the configured rules to match a certificate to a Connection Profile(구성된 규칙을 사용하여 연결 프로파일에 인증서 일치) - 연결 프로파일 맵에 정의된 규칙을 사용하도록 활성화합니다.

참고

 

인증서 매핑을 구성하는 작업은 인증서 기반 인증을 의미합니다. 원격 사용자에게는 구성된 인증 방법과 상관없이 클라이언트 인증서를 요구하는 메시지가 표시됩니다.

단계 5

Certificate to Connection Profile Mapping(연결 프로파일에 인증서 매핑) 섹션에서 Add Mapping(매핑 추가)를 클릭하여 이 정책에 대한 연결 프로파일 매핑 인증서를 생성합니다.

  1. Certificate Map Name(인증서 맵 이름) 개체를 선택하거나 생성합니다.

  2. 인증서 맵 개체의 규칙이 충족될 경우 사용하려는 Connection Profile(연결 프로파일)을 선택합니다.

  3. 매핑을 생성하려면 OK(확인)를 클릭합니다.

단계 6

Save(저장)를 클릭합니다.

그룹 정책 구성

그룹 정책은 원격 액세스 VPN 경험을 정의하는 그룹 정책 개체가 저장된 속성 및 값 쌍의 집합입니다. 예를 들어 그룹 정책 개체에서는 주소, 프로토콜, 연결 설정 등 일반 속성을 구성합니다.

VPN 터널이 설정된 경우 사용자에게 적용되는 그룹 정책이 결정됩니다. RADIUS 권한 서버는 그룹 정책을 할당하거나 현재 연결 프로파일에서 그룹 정책을 가져옵니다.


참고

threat defense에 그룹 정책 속성 상속이 없습니다. 그룹 정책 개체 전체가 사용자에 대해 사용됩니다. 로그인 시 AAA 서버에서 식별된 그룹 정책 개체가 사용됩니다. 이를 지정하지 않은 경우, VPN 연결을 위해 구성된 기본 그룹 정책이 사용됩니다. 제공된 기본 그룹 정책은 기본값으로 설정할 수 있으나, 해당 정책이 연결 프로파일에 할당되어 있고 사용자의 다른 그룹 정책이 식별되지 않은 경우에만 사용됩니다.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

목록에서 기존 원격 액세스 VPN 정책을 선택하고 해당 Edit(편집) 아이콘을 클릭합니다.

단계 3

Advanced(고급) > Group Policies(그룹 정책) > Add(추가)를 선택합니다.

단계 4

Available Group Policy(사용 가능한 그룳 정책) 목록에서 그룹 정책을 선택하고 Add(추가)를 클릭합니다. 이 원격 액세스 VPN 정책과 연결할 하나 이상의 그룹 정책을 선택할 수 있습니다.

단계 5

OK (확인)를 클릭하여 그룹 정책 선택을 완료합니다.

단계 6

변경 내용을 저장합니다.

LDAP 특성 매핑 구성

LDAP 속성 이름은 LDAP 사용자 또는 그룹 속성 이름을 Cisco에서 이해할 수 있는 이름에 매핑합니다. 속성 맵은 AD(Active Directory) 또는 LDAP 서버에 있는 속성을 Cisco 속성 이름과 동일시합니다. 모든 표준 LDAP 속성은 잘 알려진 벤더별 속성(VSA)에 매핑할 수 있습니다. 하나 이상의 LDAP 속성을 하나 이상의 Cisco LDAP 속성에 매핑할 수 있습니다. 원격 액세스 VPN 연결을 설정하는 동안 AD 또는 LDAP 서버에서 threat defense 디바이스에 인증을 반환하면 threat defense 디바이스에서 이 정보를 사용하여 Secure Client가 연결을 완료하는 방법을 조정할 수 있습니다.

VPN 사용자에게 다른 액세스 권한 또는 VPN 콘텐츠를 제공하려는 경우 VPN 서버에서 서로 다른 VPN 정책을 설정하고 인증서를 기준으로 각 사용자에게 이러한 정책 집합을 할당할 수 있습니다. LDAP 특성 맵을 사용하여 LDAP 권한 부여를 설정하여 threat defense에서 이를 수행할 수 있습니다. LDAP를 사용하여 사용자에게 그룹 정책을 할당하려면 LDAP 속성을 매핑하는 맵을 구성해야 합니다.

LDAP 특성 맵은 세 가지 구성 요소로 이루어집니다.

  • Realm(영역) - LDAP 속성 맵의 이름을 지정합니다. 선택한 영역을 기반으로 이름이 생성됩니다.

  • Attribute Name Map(속성 이름 맵) - LDAP 사용자 또는 그룹 속성 이름을 Cisco에서 이해할 수 있는 이름에 매핑합니다.

  • Attribute Value Map(속성 값 맵) - LDAP 사용자 또는 그룹 속성의 값을 선택한 이름 매핑에 대한 Cisco 속성의 값에 매핑합니다.

LDAP 특성 맵에 사용된 그룹 정책은 원격 액세스 VPN 설정의 그룹 정책 목록에 추가됩니다. 원격 액세스 VPN 구성에서 그룹 정책을 제거하면 연결된 LDAP 특성 매핑도 제거됩니다.

6.4~6.6 버전에서는 FlexConfig만을 사용하여 LDAP 속성 맵을 구성할 수 있습니다. 자세한 내용은 FlexConfig를 사용하여 AnyConnect 모듈 및 프로파일 구성을 참고하십시오.

7.0 이상 버전에서 다음 절차를 사용할 수 있습니다.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

목록에서 기존 원격 액세스 VPN 정책을 선택하고 해당 Edit(편집) 아이콘을 클릭합니다.

단계 3

Advanced(고급) > LDAP Attribute Mapping(LDAP 특성 매핑)을 클릭합니다.

단계 4

Add(추가)를 클릭합니다.

단계 5

Configure LDAP Attribute Map(LDAP 특성 맵 설정) 페이지에서 속성 맵을 설정할 영역을 선택합니다.

단계 6

Add(추가)를 클릭합니다.

여러 속성 맵을 설정할 수 있습니다. 각 속성 맵에서는 이름 맵 및 값 맵을 구성해야 합니다.

참고

 

LDAP 특성 맵을 생성할 때 다음 지침을 따르십시오.

  • LDAP 특성에 대해 하나의 매핑을 구성합니다. 동일한 LDAP 특성 이름의 여러 매핑은 허용되지 않습니다.

  • LDAP 속성 맵을 생성하려면 하나 이상의 이름 맵을 구성합니다.

  • 속성 맵이 원격 액세스 VPN 설정의 연결 프로파일과 연결되지 않은 경우 LDAP 속성 맵을 제거할 수 있습니다.

  • Cisco 및 LDAP 특성 이름과 값 모두에 대해 LDAP 특성 맵에서 올바른 철자와 대문자를 사용합니다.

  1. LDAP 특성 이름을 지정한 다음 목록에서 필요한 Cisco 속성 이름을 선택합니다.

  2. Add Value Map(값 맵 추가)을 클릭하고 LDAP Attribute Value(LDAP 특성 값)Cisco Attribute Value(Cisco 속성 값)를 지정합니다.

    값 맵을 더 추가하려면 이 단계를 반복합니다.

단계 7

OK(확인)를 클릭하여 LDAP 특성 맵 설정을 완료합니다.

단계 8

LDAP 특성 매핑에 변경 사항을 저장하려면 Save(저장)를 클릭합니다.

자세한 예는 FTD에 대한 LDAP 인증 및 권한 부여를 사용하여 RA VPN 설정을 참조하십시오.https://www.cisco.com/c/en/us/support/docs/network-management/remote-access/216313-configure-ra-vpn-using-ldap-authenticati.html#toc-hId-2138638102

VPN 로드 밸런싱 구성

VPN 로드 밸런싱 정보

threat defense에서 VPN 로드 밸런싱을 사용하면 두 개 이상의 디바이스를 논리적으로 그룹화하고 디바이스 간에 원격 액세스 VPN 세션을 동일하게 배포할 수 있습니다. VPN 로드 밸런싱은 로드 밸런싱 그룹의 디바이스 간에 Secure Client VPN 세션을 공유합니다.

VPN 로드 밸런싱은 처리량이나 기타 요인을 고려하지 않고 트래픽의 단순한 분산을 기반으로 합니다. VPN 로드 밸런싱 그룹은 둘 이상의 threat defense 디바이스로 구성됩니다. 하나의 디바이스는 관리자 역할을 하며 다른 디바이스는 멤버 디바이스입니다. 그룹의 디바이스는 정확히 동일한 유형이거나 동일한 소프트웨어 버전 또는 구성일 필요가 없습니다. 원격 액세스 VPN을 지원하는 모든 threat defense 디바이스는 로드 밸런싱 그룹에 참여할 수 있습니다. Threat DefenseSecure Client SAML 인증을 통한 VPN 로드 밸런싱을 지원합니다.

VPN 로드 밸런싱 그룹의 모든 활성 디바이스는 세션 로드를 전달합니다. VPN 로드 밸런싱은 그룹에서 부하가 가장 적은 디바이스로 트래픽을 디렉션하여 모든 디바이스 간에 부하를 분산시킵니다. 따라서 시스템 리소스가 효율적으로 사용되며, 성능 및 고가용성이 증가합니다.

VPN 로드 밸런싱의 구성 요소

다음은 VPN 로드 밸런싱의 구성 요소입니다.

  • 로드 밸런싱 그룹 — VPN 세션을 공유하기 위한 두 개 이상의 threat defense 디바이스의 가상 그룹입니다.

    VPN 로드 밸런싱 그룹은 동일한 릴리스 또는 혼합 릴리스의 threat defense 디바이스로 구성될 수 있습니다. 디바이스는 원격 액세스 VPN 구성을 지원해야 합니다.

    VPN 로드 밸런싱에 대한 그룹 설정 구성로드 밸런싱에 대한 추가 설정 구성를 참조하십시오.

  • 디렉터 — 그룹의 디바이스 하나가 디렉터 역할을 합니다. 이는 그룹의 다른 멤버 간에 로드를 분산하고 참여하는 경우 VPN 세션을 제공합니다.

    디렉터는 그룹의 모든 디바이스를 모니터링하고 각 디바이스에 로드되는 양을 추적하며 그에 따라 세션 로드를 분산시킵니다. 디렉터 역할은 물리적 디바이스와 연관이 없으며, 디바이스 간에 전환될 수 있습니다. 예를 들어 현재 디렉터에서 장애가 발생한 경우 그룹의 멤버 디바이스 중 하나가 해당 역할을 맡아 즉시 새로운 디렉터가 됩니다.

  • 멤버 - 그룹의 디렉터가 아닌 디바이스를 멤버라고 합니다. 로드 밸런싱에 참여하고 원격 액세스 VPN 연결을 공유합니다.

    참여 디바이스에 대한 설정 구성.

VPN 로드 밸런싱을 위한 사전 요건

  • 인증서 - threat defense의 인증서는 연결이 리디렉션되는 디렉터 및 멤버의 IP 주소 또는 FQDN을 포함해야 합니다. 그렇지 않으면 인증서를 신뢰할 수 없는 것으로 간주합니다. 인증서는 SAN(Subject Alternate Name) 또는 와일드카드 인증서를 사용해야 합니다.

  • 그룹 URL—VPN 로드 밸런싱 그룹 IP 주소의 그룹 URL을 연결 프로파일에 추가합니다. 그룹 URL을 지정하면 사용자가 로그인 시 그룹을 선택할 필요가 없습니다.

  • IP 주소 풀 — 멤버 디바이스에 대해 고유한 IP 주소 풀을 선택하고 각 멤버 디바이스에 대해 management center에서 IP 풀을 재정의합니다.

  • NAT(Network Address Translation) 뒤에 있는 디바이스도 로드 밸런싱 그룹의 일부일 수 있습니다.

VPN 로드 밸런싱에 대한 지침 및 제한 사항

  • VPN 로드 밸런싱은 기본적으로 비활성화되어 있습니다. 명시적으로 VPN 로드 밸런싱을 활성화해야 합니다.

  • 함께 배치된 threat defense 디바이스만 로드 밸런싱 그룹에 추가할 수 있습니다.

  • 로드 밸런싱 그룹에는 최소 2개의 threat defense 디바이스가 있어야 합니다.

  • threat defense 고가용성의 디바이스는 로드 밸런싱 그룹에 참여할 수 있습니다.

  • NAT(Network Address Translation) 뒤에 있는 디바이스도 로드 밸런싱 그룹의 일부일 수 있습니다.

  • 멤버 또는 디렉터 디바이스가 다운되면 해당 디바이스에서 제공하는 원격 액세스 VPN 연결이 삭제됩니다. VPN 연결을 다시 시작해야 합니다.

  • 각 디바이스의 ID 인증서에는 SAN(Subject Alternate Name) 또는 와일드카드가 있어야 합니다.

VPN 로드 밸런싱에 대한 그룹 설정 구성
VPN 로드 밸런싱을 활성화하고 로드 밸런싱 그룹의 모든 멤버에 적용할 수 있는 그룹 설정을 구성할 수 있습니다. 그룹이 생성되면 로드 밸런싱에 대한 참여 설정을 구성할 수 있습니다.
프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

업데이트할 원격 액세스 VPN 정책 옆에서 Edit(편집)을 클릭합니다.

단계 3

Advanced(고급) > Load Balancing(로드 밸런싱)을 클릭합니다.

단계 4

로드 밸런싱을 활성화하려면 Enable Load balancing between member devices(멤버 디바이스 간 로드 밸런싱 활성화) 토클 버튼을 클릭합니다.

Edit Group Configuration(그룹 설정 편집) 페이지가 열립니다. 그룹 매개변수는 로드 밸런싱 그룹 아래에 있는 모든 디바이스에 적용됩니다.

단계 5

해당하는 경우, 그룹 IPv4 주소그룹 IPv6 주소를 지정합니다.

여기에 지정하는 IP 주소는 전체 로드 밸런싱 그룹용이며, 관리자는 수신 VPN 연결을 위해 이 IP 주소를 엽니다.

단계 6

로드 밸런싱 그룹의 Communication Interface(커뮤니케이션 인터페이스)를 선택합니다. Add(추가)를 클릭하여 인터페이스 그룹 또는 보안 영역을 추가합니다.

통신 인터페이스는 관리자와 멤버가 로드에 대 한 정보를 공유하는 데 사용하는 전용 인터페이스입니다.

단계 7

관리자와 그룹 멤버 간의 통신을 위한 UDP 포트를 입력합니다. 기본 포트는 9023입니다.

단계 8

IPsec Encryption(IPsec 암호화) 토글 버튼을 활성화하여 관리자와 멤버 간의 통신을 위해 IPsec 암호화를 활성화합니다.

암호화를 활성화하면 사전 공유 키를 사용하여 관리자와 멤버 간에 IKEv1/IPsec 터널이 설정됩니다.

단계 9

IPsec 암호화를 위한 Encryption Key(암호화 키)를 입력하고 암호화 키를 확인합니다.

단계 10

OK(확인)를 클릭합니다.

로드 밸런싱에 대한 추가 설정 구성
VPN 로드 밸런싱에 대한 추가 설정에는 FQDN 및 IKEv2 리디렉션이 포함됩니다.
프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

업데이트할 원격 액세스 VPN 정책 옆에서 Edit(편집)을 클릭합니다.

단계 3

Advanced(고급) > Load Balancing(로드 밸런싱)을 클릭합니다.

단계 4

아직 로드 밸런싱을 활성화하지 않은 경우 활성화하려면 Enable Load balancing between member devices(멤버 디바이스 간 로드 밸런싱 활성화) 토클 버튼을 켜서 로드 밸런싱을 활성화합니다.

단계 5

설정을 클릭합니다.

단계 6

Send FQDN to peer devices instead of IP(IP 대신 FQDN을 피어 디바이스에 전송) 토클 버튼을 켜서 정규화된 도메인 이름을 통해 리디렉션을 활성화합니다.

기본적으로 threat defense는 VPN 로드 밸런싱 리디렉션에서 IP 주소만 클라이언트로 전송합니다.

단계 7

IKEv2 리디렉션 단계 중 하나를 선택합니다.

  • SA 인증 중 리디렉션

  • SA 초기화 중 리디렉션

단계 8

OK(확인)를 클릭합니다.

단계 9

변경 내용을 저장합니다.
참여 디바이스에 대한 설정 구성

디바이스 참여 설정은 디바이스가 VPN 로드 밸런싱에서 로드를 공유하는 방법을 결정합니다. 디바이스에서 VPN 로드 밸런싱을 활성화하고 디바이스별 속성을 정의하여 참여하는 디바이스를 구성합니다. 이러한 값은 디바이스마다 다릅니다. 로드 밸런싱에 참여하는 디바이스에 대한 우선순위 번호를 제공할 수 있습니다. 우선순위 번호가 높을수록 디바이스가 다른 디바이스보다 관리자가 될 가능성이 높습니다. 그러나 그룹의 디렉터로 사용할 디바이스는 선택할 수 없습니다.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

편집할 원격 액세스 VPN 정책 옆의 Edit(편집)을 클릭합니다.

단계 3

Advanced(고급) > Load Balancing(로드 밸런싱)을 클릭합니다.

단계 4

아직 로드 밸런싱을 활성화하지 않은 경우 활성화하려면 Enable Load balancing between member devices(멤버 디바이스 간 로드 밸런싱 활성화) 토클 버튼을 켜서 로드 밸런싱을 활성화합니다.

단계 5

디바이스 참여 설정을 구성합니다.

Device Participation(디바이스 참여) 섹션에는 선택한 원격 액세스 VPN 구성의 모든 대상 디바이스가 나열됩니다. 이러한 디바이스는 수신 VPN 세션의 로드를 공유하도록 구성할 수 있습니다.

  1. Load Balancing(로드 밸런싱) 토글 버튼을 켜서 디바이스에 대한 로드 밸런싱을 활성화한 다음 Edit(편집)를 클릭합니다.

  2. 디바이스 우선 순위를 입력합니다.

    기본적으로 디바이스 우선순위는 5로 설정됩니다. 1~10의 숫자를 선택할 수 있습니다.

  3. 디바이스가 NAT 뒤에 있는 경우 VPN 인터페이스 IP 주소에 대해 IPv4 NAT 또는 IPv6 NAT 주소를 지정합니다.

  4. OK(확인)를 클릭합니다.

단계 6

Save(저장)를 클릭하여 원격 액세스 VPN 정책 설정을 저장합니다.

Remote Access VPN에 대한 IPsec 설정 구성

IPsec 설정은 Remote Access VPN 정책을 구성하는 동안 VPN 프로토콜로 IPsec을 선택한 경우에만 적용할 수 있습니다. 그렇지 않은 경우 Edit Access Interface(액세스 인터페이스 편집) 대화 상자를 사용하여 IKEv2를 활성화할 수 있습니다. 자세한 내용은 Remote Access VPN을 위한 액세스 인터페이스 구성를 참조하십시오.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

사용 가능한 VPN 정책 목록에서 설정을 수정하려는 정책을 선택합니다.

단계 3

Advanced(고급)를 클릭합니다.

IPsec 설정 목록이 화면 왼쪽의 탐색창에 나타납니다.

단계 4

탐색창을 사용하여 다음 IPsec 옵션을 편집합니다.

  1. Crypto Maps(암호화 맵) - Crypto Maps(암호화 맵) 페이지는 IKEv2 프로토콜이 활성화된 인터페이스 그룹을 나열합니다. 암호화 맵은 IKEv2 프로토콜이 활성화된 인터페이스에 대해 자동으로 생성됩니다. 암호화 맵을 편집하려면 Remote Access VPN 암호화 맵 설정 섹션을 참조하십시오. Access Interface(액세스 인터페이스)에서 선택한 VPN 정책에 인터페이스 그룹을 추가하거나 제거할 수 있습니다. 자세한 내용은 Remote Access VPN을 위한 액세스 인터페이스 구성를 참조하십시오.

  2. IKE Policy(IKE 정책) - IKE Policy(IKE 정책) 페이지에는 Secure Client 엔드포인트가 IPsec 프로토콜을 사용하여 연결할 때 선택된 VPN 정책에 적용할 수 있는 모든 IKE 정책 개체가 나열됩니다. 자세한 내용은 Remote Access VPN의 IKE 정책을 참조하십시오. 새 IKE 정책을 추가하려면 IKEv2 정책 개체 구성 섹션을 참조하십시오. Threat Defense에서는 Secure Client IKEv2 클라이언트만 지원합니다. 타사 표준 IKEv2 클라이언트는 지원되지 않습니다.

  3. IPsec/IKEv2 Parameters(IPsec/IKEv2 파라미터) - IPsec/IKEv2 Parameters(IPsec/IKEv2 파라미터) 페이지에서 IKEv2 세션 설정, IKEv2 보안 연결 설정, IPsec 설정 및 NAT Transparency 설정을 수정할 수 있습니다. 자세한 내용은 Remote Access VPN IPsec/IKEv2 파라미터 구성를 참조하십시오.

단계 5

Save(저장)를 클릭합니다.

Remote Access VPN 암호화 맵 설정

암호화 맵은 IPsec-IKEv2 프로토콜이 활성화된 인터페이스에 대해 자동으로 생성됩니다. Access Interface(액세스 인터페이스)에서 선택한 VPN 정책에 인터페이스 그룹을 추가하거나 제거할 수 있습니다. 자세한 내용은 Remote Access VPN을 위한 액세스 인터페이스 구성를 참조하십시오.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

사용 가능한 VPN 정책 목록에서 설정을 수정하려는 정책을 선택합니다.

단계 3

Advanced(고급) > Crypto Maps(암호화 맵)를 클릭하고 테이블에서 행을 선택하고 Edit(편집)을 클릭하여 암호화 맵 옵션을 편집합니다.

단계 4

IKEv2 IPsec Proposals(IKEv2 IPsec 제안)를 선택하고 터널에서 트래픽을 보호하는 데 사용할 인증 및 암호화 알고리즘을 지정하는 변환 집합을 선택합니다.

단계 5

Enable Reverse Route Injection(Reverse Route Injection 활성화)을 선택하여 원격 터널 엔드포인트로 보호되는 네트워크 및 호스트에 대한 라우팅 프로세스에 정적 경로를 자동으로 삽입할 수 있도록 활성화합니다.

단계 6

Enable Client Services(클라이언트 서비스 활성화)를 선택하고 포트 번호를 지정합니다.

Client Services Server는 Secure Client Downloader가 클라이언트가 요구하는 소프트웨어 업그레이드, 프로파일, 지역화 및 사용자 정의 파일, CSD, SCEP 및 기타 파일 다운로드를 수신할 수 있도록 HTTPS(SSL) 액세스를 제공합니다. 이 옵션을 선택하는 경우 클라이언트 서비스 포트 번호를 지정합니다. Client Services Server를 활성화하지 않으면 사용자가 Secure Client에 필요할 수있는 파일을 다운로드할 수 없습니다.

참고

 

동일한 디바이스에서 실행 중인 SSL VPN에 사용하는 것과 동일한 포트를 사용할 수 있습니다. SSL VPN이 구성되어 있는 경우에도 IPsec-IKEv2 클라이언트에 대해 SSL을 통한 파일 다운로드를 활성화하려면 이 옵션을 선택해야 합니다.

단계 7

Enable Perfect Forward Secrecy(Perfect Forward Secrecy 활성화)를 선택하고 Modulus group(모듈러스 그룹)을 선택합니다.

PFS(Perfect Forward Secrecy)를 사용하여 암호화된 각 교환에 대해 고유 세션 키를 생성하고 사용합니다. 고유 세션 키는 전체 교환이 기록되었으며 공격자가 엔드포인트 디바이스에서 사용하는 사전 공유 키 또는 개인 키를 확보했더라도 후속 암호 해독에서 교환을 보호합니다. 이 옵션을 선택하는 경우 Modulus Group(모듈러스 그룹) 목록에서 PFS 세션 키를 생성할 때 사용할 Diffie-Hellman 키 파생 알고리즘도 선택합니다.

모듈러스 그룹은 공유 암호를 각 IPsec 피어에 전송하지 않고 두 IPsec 피어 간에 파생하는 데 사용할 Diffie Hellman 그룹입니다. 대형 모듈러스는 보안성은 더 높지만, 처리 시간이 더 오래 걸립니다. 두 피어의 모듈러스 그룹이 일치해야 합니다. Remote Access VPN 구성에서 허용할 모듈러스 그룹을 선택합니다.

  • 1 - Diffie-Hellman 그룹 1(768비트 모듈러스).

  • 2 - Diffie-Hellman 그룹 2(1024비트 모듈러스).

  • 5 - Diffie-Hellman 그룹 5(1536비트 모듈러스, 128비트 키에 적합한 보호를 제공하지만 14 그룹이 더 효과적임). AES 암호화를 사용하는 경우 이 그룹(또는 그 이상)을 사용하십시오.

  • 14 - Diffie-Hellman 그룹 14(2048비트 모듈러스, 128비트 키에 적합한 보호를 제공함).

  • 19 - Diffie-Hellman 그룹 19(256비트 엘립틱 커브 필드 크기).

  • 20 - Diffie-Hellman 그룹 20(384비트 엘립틱 커브 필드 크기).

  • 21 - Diffie-Hellman 그룹 21(521비트 엘립틱 커브 필드 크기).

  • 24 - Diffie-Hellman 그룹 24(2048비트 모듈러스 및 256비트 소수 위수 하위 그룹).

단계 8

라이프타임 기간(초)을 지정합니다.

보안 연결(SA)의 라이프타임(초)입니다. 라이프타임이 초과되면 SA는 만료되며 두 피어 간에 SA를 재협상해야 합니다. 일반적으로 특정 지점까지는 라이프타임이 짧을수록 IKE 협상이 보다 안전합니다. 그러나 라이프타임이 길면 라이프타임이 짧은 경우에 비해 이후 IPsec 보안 연계를 더 빠르게 설정할 수 있습니다.

120~2147483647초 사이의 값을 지정할 수 있습니다. 기본값은 28800초입니다.

단계 9

Lifetime Size (kbytes)(라이프타임 크기(kbyte))를 지정합니다.

만료되기 전에 지정된 보안 연결을 사용하여 IPsec 피어 간에 전달할 수 있는 트래픽 볼륨(KB)입니다.

10~2147483647kbyte 사이의 값을 지정할 수 있습니다. 기본값은 4,608,000킬로바이트입니다. 무제한 데이터를 허용하는 사양은 없습니다.

단계 10

다음 ESPv3 Settings(ESPv3 설정)를 선택합니다.

  • Validate incoming ICMP error messages(들어오는 ICMP 오류 메시지 확인) - IPsec 터널을 통해 수신되고 비공개 네트워크의 내부 호스트로 전달되는 이러한 ICMP 오류 메시지를 검증할지 여부를 선택합니다.

  • Enable 'Do Not Fragment' Policy('조각화 금지' 정책 활성화) - IPsec 하위 시스템에서 IP 헤더에 DF(Do Not Fragment) 비트가 설정된 대용량 패킷을 처리하는 방법을 정의하고 Policy(정책) 목록에서 다음 중 하나를 선택합니다.

    • Copy(복사) - DF 비트를 유지합니다.

    • Clear(지우기) - DF 비트를 무시합니다.

    • Set(설정) - DF 비트를 설정하고 사용합니다.

  • Enable Traffic Flow Confidentiality (TFC) packets(TFC(Traffic Flow Confidentiality) 선택 - 패킷 활성화) - 터널을 우회하는 트래픽 프로파일을 마스킹하는 더미 TFC 패킷을 활성화합니다. Burst(버스트), Payload Size(페이로드 크기)Timeout(시간 초과) 파라미터를 사용하여 지정된 SA에서 무작위 간격으로 임의 길이의 패킷을 생성할 수 있습니다.

    참고

     

    TFC(트래픽 플로우 기밀성) 패킷을 활성화하면 VPN 터널이 유휴 상태가 되지 않습니다. 따라서 TFC 패킷을 활성화하면 그룹 정책에 구성된 VPN 유휴 시간 제한이 예상대로 작동하지 않습니다. 그룹 정책 고급 옵션을 참조하십시오.

    • Burst(버스트) - 1~16 바이트 사이의 값을 지정합니다.

    • Payload Size(페이로드 크기) - 64~1024 바이트의 값을 지정합니다.

    • Timeout(시간 초과) - 10~ 60초 사이의 값을 지정합니다.

단계 11

OK(확인)를 클릭합니다.

Remote Access VPN의 IKE 정책

IKE(Internet Key Exchange)는 IPsec 피어를 인증하고, IPsec 암호화 키를 협상 및 배포하고, IPsec SA(보안 연계)를 자동으로 설정하는 데 사용되는 키 관리 프로토콜입니다. IKE 협상은 2단계로 구성됩니다. 1단계에서는 두 IKE 피어 간의 보안 연계를 협상합니다. 그러면 피어가 2단계에서 안전하게 통신할 수 있습니다. 2단계 협상 중에는 IKE가 IPsec 등의 기타 애플리케이션에 대해 SA를 설정합니다. 두 단계에서는 모두 연결을 협상할 때 제안을 사용합니다. IKE 제안은 두 피어가 상호 간의 IKE 협상을 보호하는 데 사용하는 알고리즘 집합입니다. IKE 협상에서는 두 피어가 먼저 공통(공유) IKE 정책을 합의합니다. 이 정책은 후속 IKE 협상을 보호하는 데 사용되는 보안 파라미터를 제시합니다.


참고
threat defense Remote Access VPN용 IKEv2만 지원합니다.

IKEv1과는 달리 IKEv2 제안의 경우, 한 그룹에서 여러 알고리즘과 모듈러스 그룹을 선택할 수 있습니다. 피어가 1단계 협상 중에 선택하기 때문에 단일 IKE 제안을 생성할 수 있도록 하지만 가장 원하는 옵션에 더 높은 우선 순위를 부여하는 여러 다른 제안을 만드는 것을 고려하십시오. IKEv2의 경우 정책 개체가 인증을 지정하지 않으면 다른 정책이 인증 요건을 정의해야 합니다.

IKE 정책은 원격 액세스 IPsec VPN을 구성할 때 필요 합니다.

Remote Access VPN IKE 정책 구성

IKE 정책 테이블은 Secure Client 엔드포인트가 IPsec 프로토콜을 사용하여 연결할 때 선택된 VPN 구성에 적용할 수 있는 모든 IKE 정책 개체를 지정합니다. 자세한 내용은 Remote Access VPN의 IKE 정책를 참고하십시오.


참고
threat defense Remote Access VPN용 IKEv2만 지원합니다.
프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

사용 가능한 VPN 정책 목록에서 설정을 수정하려는 정책을 선택합니다.

단계 3

Advanced(고급) > IKE Policy(IKE 정책)를 클릭합니다.

단계 4

Add(추가)를 클릭하여 사용 가능한 IKEv2 정책 중에서 선택하거나 새 IKEv2 정책을 추가하고 다음을 지정합니다.

  • Name(이름) - IKEv2 정책의 이름입니다.

  • Description(설명) - IKEv2 정책에 대한 설명(선택 사항)입니다.

  • Priority(우선 순위) - 우선 순위 값에 따라 일반 SA(보안 연계) 찾기를 시도할 때 두 협상 피어가 비교하는 IKE 정책의 순서가 결정됩니다.

  • Lifetime - 보안 연결(SA)의 라이프타임(초)입니다.

  • Integrity(무결성) - IKEv2 정책에 사용되는 해시 알고리즘의 무결성 알고리즘 부분입니다.

  • Encryption(암호화) - 2단계 협상 보호를 위한 1단계 SA를 설정하는 데 사용되는 암호화 알고리즘입니다.

  • PRF Hash(PRF 해시) - IKE 정책에 사용되는 해시 알고리즘의 의사 난수 함수(PRF) 부분입니다. IKEv2에서는 이러한 요소에 대해 서로 다른 알고리즘을 지정할 수 있습니다.

  • DH 그룹— 암호화에 사용 되는 Diffie-hellman 그룹.

단계 5

Save(저장)를 클릭합니다.

Remote Access VPN IPsec/IKEv2 파라미터 구성
프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

사용 가능한 VPN 정책 목록에서 설정을 수정하려는 정책을 선택합니다.

단계 3

Advanced(고급) > IPsec> IPsec/IKEv2 Parameters(IPsec/IKEv2 파라미터)를 클릭합니다.

단계 4

IKEv2 Session Settings(IKEv2 세션 설정)에 대해 다음을 선택합니다.

  • Identity Sent to Peer(피어로 전송되는 ID) - IKE 협상 중에 피어가 자신을 식별하는 데 사용할 ID를 선택합니다.

    • Auto(자동) - 연결 유형에 따라 IKE 협상을 결정합니다. 예: 사전 공유 키의 IP 주소 또는 인증서 인증의 Cert DN(지원하지 않음)

    • IP address(IP 주소) - ISAKMP ID 정보를 교환하는 호스트의 IP 주소를 사용합니다.

    • Hostname(호스트 이름) - ISAKMP ID 정보를 교환하는 호스트의 FQDN(Fully Qualified Domain Name)을 사용합니다. 이 이름은 호스트 이름 및 도메인 이름으로 구성됩니다.

  • Enable Notification on Tunnel Disconnect(터널 연결 해제 알림 활성화) - SA에서 수신한 인바운드 패킷이 해당 SA의 트래픽 선택기와 일치하지 않는 경우, 관리자가IKE 알림 피어 전송을 활성화 또는 비활성화할 수 있습니다. 이 알림의 전송은 기본적으로 비활성화되어 있습니다.

  • Do not allow device reboot until all sessions are terminated(모든 세션이 종료될 때까지 디바이스 재부팅 허용 안 함) - 시스템 재부팅 전에 모든 활성 세션이 자발적으로 종료될 때까지 대기 활성화를 선택합니다. 기본적으로 비활성화되어 있습니다.

단계 5

IKEv2 Security Association (SA) Settings(IKEv2 보안 연결(SA) 설정)에 대해 다음을 선택합니다.

  • Cookie Challenge(쿠키 챌린지) - SA 개시 패킷에 대한 응답으로 쿠키 챌린지를 피어 디바이스로 전송할지 여부. 이는 Dos(서비스 거부) 공격 차단에 도움이 됩니다. 기본적으로 사용 가능한 SA의 50%가 협상중인 경우 쿠키 챌린지를 사용합니다. 다음 옵션 중 하나를 선택합니다.

    • Custom(사용자 정의) - 협상 중인 허용 SA 합계의 백분율인 수신 쿠키 챌린지 임계값을 지정합니다. 이렇게 하면 이후의 모든 SA 협상에 대해 쿠키 챌린지가 트리거됩니다. 범위는 0~100%이고, 기본값은 50%입니다.

    • Always(항상) - 항상 피어 디바이스에 쿠키 챌린지를 보내려면 선택합니다.

    • Never(안 함) - 피어 디바이스에 쿠키 챌린지를 보내지 않으려면 선택합니다.

  • Number of SAs Allowed in Negotiation(협상에서 허용되는 SA 수) - 언제든지 협상에 참여할 수 있는 최대 SA 수를 제한합니다. Cookie Challenge(쿠키 챌린지)와 함께 사용하는 경우 효과적인 교차 확인을 위해 쿠키 챌린지 임계값을 이 한도보다 낮은 값으로 구성합니다. 기본값은 100%입니다.

  • Maximum number of SAs Allowed(허용되는 최대 SA 수) - 허용되는 IKEv2 연결 수를 제한합니다.

단계 6

IPsec Settings(IPsec 설정)에 대해 다음을 선택합니다.

  • Enable Fragmentation Before Encryption(암호화 이전 단편화 활성화) - 이 옵션을 사용하면 트래픽이 IP 단편화를 지원하지 않는 NAT 디바이스를 통과할 수 있습니다. IP 단편화를 지원하는 NAT 디바이스의 작동을 방해하지 않습니다.

  • Path Maximum Transmission Unit Aging(경로 최대 전송 단위 에이징) - SA(Security Association)의 PMTU(Path Maximum Transmission Unit) 재설정 간격인 PMTU Aging 활성화를 선택합니다.

  • Value Reset Interval(값 재설정 간격) - SA(Security Association)의 PMTU 값이 원래 값으로 재설정되는 시간(분)을 입력합니다. 유효 범위는 10~30분이며, 기본값은 무제한입니다.

단계 7

NAT Settings(NAT 설정)에 대해 다음을 선택합니다.

  • Keepalive Messages Traversal(Keepalive 메시지 순회) - NAT keepalive 메시지 순회 활성화 여부를 선택합니다. NAT 순회 킵얼라이브는 VPN 연결 허브 및 스포크 사이에 위치한 디바이스(중간 디바이스)가 있는 경우 킵얼라이브 메시지 전송에 사용되며, 해당 디바이스는 IPsec flow에서 NAT를 수행합니다. 이 옵션을 선택하는 경우, 스포크와 중간 디바이스 간에 전송된 킵얼라이브 신호 간격을 초 단위로 구성하고 해당 세션이 활성임을 표시합니다. 이 값의 범위는 10~3600초입니다. 기본값은 20초입니다.

  • Interval(간격) - NAT keepalive 간격을 10~3600초 범위로 설정합니다. 기본값은 20초입니다.

단계 8

Save(저장)를 클릭합니다.

Cisco Secure Client 사용자 지정

관리 센터를 사용하여 보안 클라이언트 사용자 지정을 구성하고 VPN 헤드엔드에 구축할 수 있습니다. 위협 방어 디바이스는 사용자가 보안 클라이언트에서 연결할 때 이러한 사용자 지정을 엔드포인트에 배포합니다. 관리자는 엔드포인트에서 다음 요소를 사용자 지정할 수 있습니다.

표 5. Management Center에서 사용 가능한 Secure Client 사용자 지정

맞춤 설정

설명

추가 정보

GUI 텍스트 및 메시지

Secure Client GUI 텍스트 및 정보/오류 메시지를 사용자 지정하거나 현지화할 수 있습니다.

Secure Client GUI 텍스트 및 메시지 사용자 지정 및 현지화

아이콘 및 이미지

Secure Client GUI의 로고, 이미지 또는 아이콘을 사용자 지정할 수 있습니다.

보안 클라이언트 아이콘 및 이미지 사용자 지정

스크립트

클라이언트가 VPN 세션을 설정하거나 연결을 끊을 때 엔드포인트 디바이스에 스크립트를 구축할 수 있습니다.

Secure Client를 사용하여 엔드포인트 디바이스에 스크립트 구축

이진

Secure Client API를 사용하여 맞춤형 애플리케이션을 구축할 수 있습니다.

Cisco Secure Client API를 사용하여 맞춤형 애플리케이션 구축

맞춤형 설치 프로그램 변환

Secure Client 설치 프로그램을 사용자 지정할 수 있습니다.

Secure Client 설치 프로그램 사용자 지정

현지화된 설치 프로그램 변환

Secure Client 설치 프로그램을 현지화할 수 있습니다.

클라이언트 설치 프로그램 현지화
보안 클라이언트 사용자 지정에 대한 지침 및 제한 사항
일반 제한 사항

  • CLI를 사용하여 Threat Defense에 직접 구성된 7.4 이전의 사용자 지정이 있는 경우 Management Center에서 구축 중에 이러한 사용자 지정을 제거합니다.

  • 클러스터링은 지원되지 않습니다.

표 6. Secure Client 사용자 지정에 대한 제한 사항

맞춤 설정

제한 사항

GUI 텍스트 및 메시지 사용자 지정

  • 이 사용자 지정을 사용하기 전에 Secure Client를 다시 시작해야 합니다.

  • 오른쪽에서 왼쪽으로 쓰는 언어는 지원되지 않습니다.

  • 일부 문자열이 하드 코드된 필드 길이로 인해 GUI에서 잘립니다.

  • 일부 메시지는 클라이언트에서 하드 코딩됩니다. 대표적인 예는 다음과 같습니다.

    • 상태 메시지(업데이트 중)

    • 신뢰할 수 없는 서버 메시지

    • 보류 업데이트 메시지

  • 현지화는 버전별로 다릅니다.

    관리자가 이전 보안 클라이언트 버전의 템플릿을 기반으로 변환 테이블을 생성한 경우 새 메시지는 원격 사용자에게 표시되지 않습니다. 테이블에 새 메시지가 포함되도록 관리자는 최신 템플릿을 변환 테이블과 병합해야 합니다. Gettext와 같은 서드파티 도구를 사용하여 병합을 수행할 수 있습니다.

아이콘 및 이미지 사용자 지정

  • 이 사용자 지정을 사용하기 전에 Secure Client를 다시 시작해야 합니다.

  • 사용자 지정 개체 이름은 보안 클라이언트 GUI 파일 이름과 일치해야 합니다. 파일 이름은 운영 체제마다 다르며 대/소문자를 구분합니다. 각 OS의 파일 이름, 확장자 및 크기에 대한 자세한 내용은 Cisco Secure Client 관리자 설명서를 참조하십시오.

  • 이미지 크기가 올바르지 않으면 이미지가 제대로 표시되지 않습니다. 관리 센터 또는 위협 방어 디바이스는 이미지 크기를 확인하지 않습니다.

  • MacOS는 보안 클라이언트 이미지 및 아이콘의 사용자 맞춤화를 지원하지 않습니다.

사용자 지정 스크립트 구축

  • 보안 클라이언트는 각각 하나의 OnConnect 및 OnDisconnect 스크립트만 실행하지만 이러한 스크립트는 다른 스크립트를 시작할 수 있습니다.

  • 스크립트는 사용자가 호출할 권한이 있는 기능만 실행할 수 있습니다.

  • SBL(Start Before Logon) GUI에서는 OnConnect 스크립트를 실행할 수 없습니다.

Cisco Secure Client API를 사용하여 맞춤형 애플리케이션 구축(바이너리)

  • 이 사용자 지정을 사용한 후 Management Center에서 Secure Client의 업데이트된 버전을 구축하는 경우, 클라이언트는 업데이트를 다운로드하고 맞춤형 UI를 교체합니다.

클라이언트 설치 프로그램 사용자 지정

  • 이 사용자 지정은 Windows에서만 사용할 수 있습니다.
Secure Client GUI 텍스트 및 메시지 사용자 지정 및 현지화

Secure Client GUI 텍스트 및 정보/오류 메시지를 사용자 지정할 수 있습니다. GUI 텍스트 및 모든 메시지가 기본 설정 언어로 표시되도록 사용자 지정할 수도 있습니다.

GUI 텍스트 및 메시지 사용자 지정

GUI 텍스트 또는 메시지를 사용자 지정하려면 메시지 파일에서 메시지를 편집할 수 있습니다. 오류 메시지에 자세한 내용을 포함하도록 메시지를 업데이트할 수 있습니다. 대표적인 예는 다음과 같습니다.

  • 로그인 대화 상자에서 Password(비밀번호)에서 Domain Password(도메인 비밀번호)같이 레이블을 수정합니다.

  • 오류 메시지에 지원 연락처 세부 정보를 추가합니다.

GUI 텍스트 및 메시지 현지화

Threat Defense 디바이스는 변환 테이블을 사용하여 Secure Client에 표시된 레이블 및 사용자 메시지를 변환합니다. 사용자가 원격 액세스 VPN에 연결하면 Secure Client가 엔드포인트에 설정된 로케일을 식별하고 변환 파일을 다운로드합니다. 위협 방어 디바이스는 128개의 로캘을 지원합니다. 기본적으로 Secure Client는 영어로 설치됩니다.

  • Cisco Secure Client 5.0의 경우 다양한 언어에 대한 기본 현지화 파일이 애플리케이션의 일부입니다.

  • AnyConnect 클라이언트 4.x의 경우 Cisco.com에서 일부 언어에 대한 현지화 파일을 다운로드하여 관리 센터에 업로드할 수 있습니다.

Secure Client GUI 텍스트 및 메시지를 사용자 지정하는 방법
시작하기 전에

하나 이상의 원격 액세스 VPN 정책을 구성합니다.

프로시저

단계 1

Secure Client 패키지 또는 Cisco.com에서 기본 템플릿 또는 번역 파일을 가져옵니다. 예를 들면 AnyConnect.po입니다.

단계 2

텍스트 편집기를 사용하여 번역을 추가하거나 레이블 또는 메시지를 맞춤화합니다.

단계 3

msgid에 해당하는 msgstr 문자열을 업데이트합니다.

단계 4

파일을 저장하십시오.

단계 5

새 보안 클라이언트 사용자 지정 개체를 생성합니다.

  1. Objects(개체) > Object Management(개체 관리) > VPN > Secure Client Customization(보안 클라이언트 사용자 지정)을 선택합니다.

  2. Add Secure Client Customization(보안 클라이언트 사용자 지정 추가)을 클릭합니다.

  3. 사용자 지정의 이름과 설명을 입력합니다.

  4. Customization Type(맞춤화 유형) 드롭다운 목록에서 GUI Text and Messages(GUI 텍스트 및 메시지)를 선택합니다.

  5. Language(언어) 드롭다운 목록에서 번역을 추가할 언어를 선택합니다.

  6. Browse(찾아보기)를 클릭하고 번역 파일을 선택합니다. 지원되는 파일 확장자는 .po, .mo 및 .txt입니다.

단계 6

원격 액세스 VPN 정책에 사용자 지정을 추가합니다.

  1. Devices(디바이스) > Remote Access(원격 액세스)를 선택합니다.

  2. 원격 액세스 VPN 정책의 편집 아이콘을 클릭합니다.

  3. Advanced(고급) > Secure Client Customizations(보안 클라이언트 사용자 지정) > Localization(현지화)을 클릭합니다.

  4. +를 클릭하여 변환 파일을 선택합니다.

  5. Add(추가)를 클릭합니다.

  6. OK(확인)를 클릭합니다.

단계 7

Save(저장)를 클릭합니다.

단계 8

Deploy(구축) > Deployment(구축)를 선택하여 할당된 디바이스에 정책을 구축합니다. 변경사항은 구축할 때까지 활성화되지 않습니다.

다음에 수행할 작업
Secure Client 사용자 지정 확인 자세한 내용은 Secure Client 사용자 지정 확인를 참고하십시오.
보안 클라이언트 아이콘 및 이미지 사용자 지정

관리 센터를 사용하여 Secure Client GUI의 로고, 이미지 및 아이콘을 사용자 지정할 수 있습니다.

보안 클라이언트 GUI의 로고, 이미지 및 아이콘을 사용자 지정하려면 관리 센터에서 보안 클라이언트 사용자 지정 개체를 생성해야 합니다. 이 사용자 지정 개체의 이름은 보안 클라이언트 GUI 파일 이름과 일치해야 합니다. 파일 이름은 운영 체제마다 다르며 대/소문자를 구분합니다. 각 OS의 파일 이름, 확장자 및 크기에 대한 자세한 내용은 Cisco Secure Client 관리자 설명서를 참조하십시오.

예를 들어 Windows 클라이언트의 회사 로고를 교체하려는 경우 company_logo라는 이름의 사용자 지정 개체를 생성하고 이 사용자 지정 개체를 원격 액세스 VPN 정책에 추가해야 합니다. 사용자 지정 개체에 다른 이름을 사용하는 경우 보안 클라이언트 설치 프로그램은 구성 요소를 변경하지 않습니다. 그러나 GUI를 사용자 지정하기 위해 고유한 실행 파일을 구축하는 경우, 사용자 지정 개체는 어떤 이름도 가질 수 있습니다.

모든 이미지 파일의 위치:

  • Windows: %PROGRAMFILES%\Cisco\Cisco Secure Client\res\

  • Linux: /opt/cisco/secure client/pixmaps

  • macOS: 지원되지 않음

보안 클라이언트 이미지 및 아이콘을 사용자 지정하는 방법
시작하기 전에

하나 이상의 원격 액세스 VPN 정책을 구성합니다.

프로시저

단계 1

올바른 확장자 및 크기를 사용하여 아이콘 또는 이미지를 생성합니다.

이미지 크기가 올바르지 않으면 이미지가 제대로 표시되지 않습니다. 관리 센터 또는 위협 방어 디바이스는 이미지 크기를 확인하지 않습니다.

파일 이름, 확장자 및 크기에 대한 자세한 내용은 Cisco Secure Client 관리자 설명서를 참조하십시오.

단계 2

새 보안 클라이언트 사용자 지정 개체를 생성합니다.

  1. Objects(개체) > Object Management(개체 관리) > VPN > Secure Client Customization(보안 클라이언트 사용자 지정)을 선택합니다.

  2. Add Secure Client Customization(보안 클라이언트 사용자 지정 추가)을 클릭합니다.

  3. 사용자 지정 개체의 이름과 설명을 입력합니다.

    사용자 지정 개체 이름이 Secure Client GUI 파일 이름과 일치하는지 확인합니다. 파일 이름에 대한 자세한 내용은 Cisco Secure Client 관리자 설명서를 참조하십시오.

  4. Customization Type(사용자 지정 유형) 드롭다운 목록에서 Icon and Images(아이콘 및 이미지)를 선택합니다.

  5. Platform(플랫폼) 드롭다운 목록에서 플랫폼을 선택합니다.

  6. Browse(찾아보기)를 클릭하고 파일을 선택합니다. 지원되는 파일 확장자는 .png, .ico 및 .jpeg입니다.

  7. 여러 아이콘과 이미지를 추가하려면 2a~f의 단계를 반복합니다.

단계 3

원격 액세스 VPN 정책에 사용자 지정 개체를 추가합니다.

  1. Devices(디바이스) > Remote Access(원격 액세스)를 선택합니다.

  2. 원격 액세스 VPN 정책의 편집 아이콘을 클릭합니다.

  3. Advanced(고급) > Secure Client Customizations(보안 클라이언트 사용자 지정) > Icons and Images(아이콘 및 이미지)를 클릭합니다.

  4. +를 클릭하여 파일을 선택합니다.

  5. Add(추가)를 클릭합니다.

  6. OK(확인)를 클릭합니다.

단계 4

Save(저장)를 클릭합니다.

단계 5

Deploy(구축) > Deployment(구축)를 선택하여 할당된 디바이스에 정책을 구축합니다. 변경사항은 구축할 때까지 활성화되지 않습니다.

다음에 수행할 작업
Secure Client 사용자 지정 확인 자세한 내용은 Secure Client 사용자 지정 확인를 참고하십시오.
Secure Client를 사용하여 엔드포인트 디바이스에 스크립트 구축

Secure Client를 통해 다음 이벤트가 발생하는 경우 스크립트를 다운로드 및 실행할 수 있습니다.

  • 위협 방어를 사용하여 새 클라이언트 VPN 세션을 설정합니다. 이 이벤트에서 트리거하는 스크립트는 파일 이름 접두사가 필요하므로 OnConnect 스크립트입니다. VPN 세션을 다시 연결해도 이 스크립트는 트리거되지 않습니다.

  • 위협 방어를 사용하는 클라이언트 VPN 세션의 연결 해제. 이 이벤트에서 트리거하는 스크립트는 파일 이름 접두사가 필요하므로 OnDisconnect 스크립트입니다.

이러한 스크립트는 비동기적으로 실행되며 연결 설정 또는 연결 끊김이 지연되지 않습니다. 모든 확장자가 가능하며 엔드포인트에서 실행 가능해야 합니다. Secure Client는 파일 이름으로 OnConnect 및 OnDisconnect 스크립트를 식별합니다. 파일 확장명에 관계없이 이름이 OnConnect 또는 OnDisconnect로 시작하는 파일을 검색합니다.

이 기능의 몇 가지 예는 다음과 같습니다.

  • VPN 연결 시 그룹 정책을 새로 고칩니다.

  • VPN 연결 시 네트워크 드라이브를 마운트합니다.

  • VPN 연결 해제 시 네트워크 드라이브를 마운트 해제합니다.

스크립트를 활성화하려면 VPN 프로필에서 Enable Scripting(스크립팅 활성화)을 선택합니다. 기본적으로 클라이언트가 스크립트를 시작하지 않습니다. 클라이언트에서는 스크립트를 특정 언어로 작성할 필요가 없습니다. 스크립트를 실행할 수 있는 애플리케이션을 클라이언트 컴퓨터에 설치해야 합니다. 클라이언트가 스크립트를 시작하려면 명령줄에서 스크립트를 실행해야 합니다.

보안 클라이언트는 사용자가 로그인하고 VPN 세션을 설정한 후에만 스크립트를 실행할 수 있습니다. SBL(Start Before Logon) GUI에서는 OnConnect 스크립트를 실행할 수 없습니다. 사용자가 로그인한 후 스크립트를 트리거하려면 VPN 프로파일에서 Enable Post SBL On Connect Script(사후 SBL OnConnect 스크립트 활성화) 옵션을 선택해야 합니다. Secure Client는 32비트 애플리케이션입니다. 스크립트가 64비트 Windows 버전에서 실행되는 경우 32비트 버전의 cmd.exe를 사용합니다.

보안 클라이언트에 대한 맞춤형 스크립트를 추가하는 방법
시작하기 전에

  1. 원격 액세스 VPN을 구성합니다.

  2. VPN 프로파일에서 스크립팅을 활성화합니다.

  3. VPN 프로파일을 원격 액세스 VPN 그룹 정책에 추가합니다.

프로시저

단계 1

플랫폼에 대한 OnConnect 및 OnDisconnect 스크립트를 생성합니다.

단계 2

새 보안 클라이언트 사용자 지정 개체를 생성합니다.

  1. Objects(개체) > Object Management(개체 관리) > VPN > Secure Client Customization(보안 클라이언트 사용자 지정)을 선택합니다.

  2. Add Secure Client Customization(보안 클라이언트 사용자 지정 추가)을 클릭합니다.

  3. 사용자 지정의 이름과 설명을 입력합니다.

  4. Customization Type(사용자 지정 유형) 드롭다운 목록에서 Scripts(스크립트)을 선택합니다.

  5. Platform(플랫폼) 드롭다운 목록에서 플랫폼을 선택합니다.

  6. 다음 중 하나를 선택합니다.

    • On Connect(연결 시): OnConnect 스크립트를 선택합니다.

    • On Disconnect(연결 해제 시): OnDisconnect 스크립트를 선택합니다.

  7. Browse(찾아보기)를 클릭하고 엔드포인트에서 실행할 스크립트를 선택합니다.

단계 3

원격 액세스 VPN 정책에 사용자 지정을 추가합니다.

  1. Devices(디바이스) > Remote Access(원격 액세스)를 선택합니다.

  2. 원격 액세스 VPN 정책의 편집 아이콘을 클릭합니다.

  3. Advanced(고급) > Secure Client Customizations(보안 클라이언트 사용자 지정) > Localization(현지화)을 클릭합니다.

  4. +를 클릭하여 변환 파일을 선택합니다.

  5. Add(추가)를 클릭합니다.

  6. OK(확인)를 클릭합니다.

단계 4

Save(저장)를 클릭합니다.

단계 5

Deploy(구축) > Deployment(구축)를 선택하여 할당된 디바이스에 정책을 구축합니다. 변경사항은 구축할 때까지 활성화되지 않습니다.

다음에 수행할 작업
Secure Client 사용자 지정 확인 자세한 내용은 Secure Client 사용자 지정 확인를 참고하십시오.
Cisco Secure Client API를 사용하여 맞춤형 애플리케이션 구축

Windows, Linux 또는 MacOS 시스템의 경우 보안 클라이언트 API를 사용하는 맞춤형 클라이언트를 생성하고 구축할 수 있습니다. 이 클라이언트 이진 파일을 사용하여 보안 클라이언트 GUI 또는 CLI 이진 파일을 대체할 수 있습니다.

실행 파일은 관리 센터로 가져온 로고 이미지와 같은 모든 리소스 파일을 호출할 수 있습니다. 고유한 실행 파일을 구축할 경우, 리소스 파일에 어떤 파일 이름이든 사용할 수 있습니다.

다음 표에는 다른 운영 체제용 클라이언트 실행 파일의 파일 이름이 나열되어 있습니다.

표 7. 보안 클라이언트 실행 파일의 파일 이름

클라이언트 OS

클라이언트 GUI 파일

클라이언트 CLI 파일

Windows

vpnui.exe

vpncli.exe

Linux

vpnui

vpn

MacOS

관리 센터 구축에서는 지원되지 않습니다. 그러나 Altiris 에이전트와 같은 다른 방법을 사용하여 클라이언트 GUI를 교체하는 macOS 용으로 실행 파일을 구축할 수 있습니다.

vpn
Cisco Secure Client API를 사용하여 사용자 지정 애플리케이션을 구축하는 방법
시작하기 전에

하나 이상의 원격 액세스 VPN 정책을 구성합니다.

프로시저

단계 1

Cisco Secure Client API를 사용하여 사용자 지정 애플리케이션을 만듭니다.

단계 2

새 보안 클라이언트 사용자 지정 개체를 생성합니다.

  1. Objects(개체) > Object Management(개체 관리) > VPN > Secure Client Customization(보안 클라이언트 사용자 지정)을 선택합니다.

  2. Add Secure Client Customization(보안 클라이언트 사용자 지정 추가)을 클릭합니다.

  3. 사용자 지정의 이름과 설명을 입력합니다.

  4. Customization Type(사용자 지정 유형) 드롭다운 목록에서 Binary(이진)을 선택합니다.

  5. Platform(플랫폼) 드롭다운 목록에서 플랫폼을 선택합니다.

  6. Browse(찾아보기)를 클릭하고 사용자 지정 애플리케이션을 선택합니다.

단계 3

원격 액세스 VPN 정책에 사용자 지정을 추가합니다.

  1. Devices(디바이스) > Remote Access(원격 액세스)를 선택합니다.

  2. 원격 액세스 VPN 정책의 편집 아이콘을 클릭합니다.

  3. Advanced(고급) > Secure Client Customizations(Secure Client 사용자 지정) > Binaries(이진)를 클릭합니다.

  4. +를 클릭하여 변환 파일을 선택합니다.

  5. Add(추가)를 클릭합니다.

  6. OK(확인)를 클릭합니다.

단계 4

Save(저장)를 클릭합니다.

단계 5

Deploy(구축) > Deployment(구축)를 선택하여 할당된 디바이스에 정책을 구축합니다. 변경사항은 구축할 때까지 활성화되지 않습니다.

Secure Client 설치 프로그램 사용자 지정

클라이언트 설치 프로그램과 함께 구축되는 사용자 지정을 생성하여 Secure Client GUI를 사용자 지정할 수 있습니다. 관리 센터로 변환을 가져와서 위협 방어 디바이스에 구축할 수 있습니다. 위협 방어는 클라이언트 설치 프로그램을 사용하여 엔드포인트에 이 변형을 구축합니다.


참고

이 사용자 지정은 Windows에서만 사용할 수 있습니다.
클라이언트 설치 프로그램 현지화

Cisco Secure Client 설치 프로그램이 표시하는 메시지를 변환할 수 있습니다. 관리 센터는 설치 프로그램을 통해 표시되는 메시지를 변환하기 위해 변형을 사용합니다. 변형은 설치를 변경하지만 원래 보안 서명된 MSI는 그대로 유지합니다. 이러한 변형은 설치 프로그램의 화면만 변환하며 클라이언트 GUI 화면은 변환하지 않습니다.

Cisco Secure Client의 모든 릴리스에는 관리자가 새 소프트웨어로 Cisco Secure Client 패키지를 업로드할 때마다 관리 센터에 업로드할 수 있는 현지화된 변형이 포함되어 있습니다. 현지화 변형을 사용하는 경우 새 Cisco Secure Client 패키지를 업로드할 때마다 Cisco.com 의 최신 릴리스로 업데이트해야 합니다.

클라이언트 설치 프로그램을 사용자 지정하거나 현지화하는 방법
시작하기 전에

하나 이상의 원격 액세스 VPN 정책을 구성합니다.

프로시저

단계 1

사용자 지정 또는 현지화된 변형을 생성합니다.

단계 2

새 보안 클라이언트 사용자 지정 개체를 생성합니다.

  1. Objects(개체) > Object Management(개체 관리) > VPN > Secure Client Customization(보안 클라이언트 사용자 지정)을 선택합니다.

  2. Add Secure Client Customization(보안 클라이언트 사용자 지정 추가)을 클릭합니다.

  3. 사용자 지정의 이름과 설명을 입력합니다.

  4. Customization Type(사용자 지정 유형) 드롭다운 목록에서 Customized Installer Transform(사용자 지정 설치 프로그램 변형) 또는 Localized Installer Transform(현지화된 설치 프로그램 변형)을 선택합니다.

  5. Platform(플랫폼) 드롭다운 목록에서 플랫폼을 선택합니다.

  6. Browse(찾아보기)를 클릭하고 변형을 선택합니다.

단계 3

원격 액세스 VPN 정책에 사용자 지정을 추가합니다.

  1. Devices(디바이스) > Remote Access(원격 액세스)를 선택합니다.

  2. 원격 액세스 VPN 정책의 편집 아이콘을 클릭합니다.

  3. Advanced(고급) > Secure Client Customizations(Secure Client 사용자 지정) > Custom Installer Transforms(사용자 지정 설치 프로그램 변형) 또는 Localized Installer Transforms(현지화된 설치 프로그램 변형)를 클릭합니다.

  4. +를 클릭하여 변형을 선택합니다.

  5. Add(추가)를 클릭합니다.

  6. OK(확인)를 클릭합니다.

단계 4

Save(저장)를 클릭합니다.

단계 5

Deploy(구축) > Deployment(구축)를 선택하여 할당된 디바이스에 정책을 구축합니다. 변경사항은 구축할 때까지 활성화되지 않습니다.

Secure Client 사용자 지정 확인
구축 검증

구축이 완료되면 Management Center에서 구축을 검증합니다. Transcript Details(대화 내용 상세정보)(대화 내용 상세정보 아이콘) 아이콘을 클릭하여 사용자 지정을 위해 생성된 명령을 확인합니다.

  1. 아래 예에는 GUI 텍스트 및 메시지 사용자 지정(사용자 지정 프롬프트가 포함된 Secure Client ko 현지화)의 트랜스크립트 세부 정보가 나와 있습니다.

    import webvpn translation-table AnyConnect language en-us disk0:/AnyConnect_en-us.po

  2. 아래 예에는 사용자 지정 아이콘 및 이미지(Secure Client 로고 및 ABC 로고 사용자 지정)의 트랜스크립트 세부 정보가 나와 있습니다. 

    import webvpn AnyConnect-customization type resource platform win name company_logo.png disk0:/company_logo.png

  3. 아래 예에는 사용자 지정 OnConnect 및 OnDisconnect 스크립트의 트랜스크립트 세부 정보가 나와 있습니다. OnConnect 스크립트는 네트워크 드라이브를 마운트하고 OnDisconnect 스크립트는 네트워크 드라이브를 마운트 해제합니다. 

    import webvpn AnyConnect-customization type binary platform win name 
  scripts_OnConnect_mount.bat disk0:/mount.bat
import webvpn AnyConnect-customization type binary platform win name 
  scripts_OnDisconnect_unmount.bat disk0:/unmount.bat
Threat Defense 명령을 사용하여 사용자 지정 확인

Threat Defense에서 다음 명령을 사용하여 사용자 지정을 확인합니다.

  • show import webvpn translation-table detailed: 사용 가능한 변환 테이블을 표시합니다. 

    HQ-FTD# show import webvpn translation-table detailed 
 Translation Tables' Templates:
   AnyConnect           ia4DaAXNSvl5pZboQRGJcs9KMXY=
   customization
 Translation Tables:
   fr                   customization        BWWodsOt1PbvDvYOp8hLb3W7a64=
   ja                   customization        lNvUk1+qTLNZyNrBcApMQPHnm1M=
   ru                   customization        UqyKyUAcjR+xTGUtdiIFnoIiW5U=

  • show import webvpn AnyConnect-customization detailed: Secure Client 사용자 지정의 세부 정보를 표시합니다. 

    HQ-FTD# show import webvpn AnyConnect-customization detailed
OEM resources for AnyConnect client:
  linux-64/binary/scripts_OnConnect_conn.sh           w6+n7z80D/8AR+ul2f7DvTmcDTw=
  linux-64/binary/scripts_OnDisconnect_discon.sh      jx5LJC2XBEmEkGeww59CAkszvnI=
  linux-64/resource/company-logo.png                  GsfBDroqGSQEEwuBDS/3DJNVv88=
  win/binary/scripts_OnConnect_mount.bat              dzjfsLYYft/XMlPlzskKl+Wv1bw=
  win/binary/scripts_OnDisconnect_unmount.bat         k6xlKhF1l2IRyJu08+sdYXgKNgM=
  win/resource/company_logo.png                       cmEvxwqvtaS+Pz/6sb9n3NZudS4=
Secure Client에서 사용자 지정 확인

  • Secure Client에서 Message History(메시지 기록) 탭을 클릭하여 사용자 지정 사항이 다운로드되었는지 확인합니다.

    DART 툴을 사용하여 클라이언트 측 진단을 확인합니다.

표 8. Secure Client에서 사용자 지정 확인

맞춤 설정

확인

GUI 텍스트 및 메시지 사용자 지정

  • Secure Client에서 다음 위치에 현지화 언어 또는 사용자 지정 파일이 있는지 확인합니다.

    • Windows: %ProgramData%\Cisco\Cisco AnyConnect Secure Mobility Client\l10n\<language-code>\LC_MESSAGES(AnyConnect 4.9 이하 버전)

    • Windows: %ProgramData%\Cisco\Cisco Secure Client\l10n\<language-code>\LC_MESSAGES(Secure Client 5.0 이상 버전)

    • Mac OS 및 Linux의 경우: /opt/cisco/anyconnect/l10n/<LANGUAGE-CODE>/LC_MESSAGES

  • 현지화되거나 사용자 지정된 파일의 내용을 확인하고 파일에 사용자 지정 또는 현지화된 문자열이 있는지 확인합니다. 예: AnyConnect.mo

이미지 및 아이콘 사용자 지정

  • Secure Client에서 다음 위치에 사용자 지정 파일이 있는지 확인합니다.

    • Windows: %PROGRAMFILES%\ Cisco\Cisco AnyConnect Secure Mobility Client\res\(AnyConnect 4.10 이하 버전)

    • Windows: %PROGRAMFILES%\ Cisco\Cisco Secure Client\UI\res(Cisco Secure Client 5.0 이상)

    • Mac OS and Linux: /opt/cisco/anyconnect/res

  • 사용자 지정 아이콘 또는 이미지 파일의 내용을 확인합니다.

사용자 지정 OnConnect 및 OnDisconnect 스크립트

  • 사용자 지정 스크립트가 다음 위치에 있는지 확인합니다.

    • Windows: %ProgramData%\Cisco\Cisco Secure Client\Script(Cisco Secure Client 5.0 이상)

    • Windows: %ProgramData%\Cisco\ Cisco AnyConnect Secure Mobility Client\Script(AnyConnect versions 4.9 이하)

    • Mac OS 및 Linux: /opt/cisco/anyconnect/Script

  • 스크립트를 확인합니다.

Secure Client 관리 VPN 터널 구성

관리 VPN 터널은 VPN 사용자가 VPN에 연결하지 않고도 클라이언트 시스템의 전원을 켤 때마다 회사 네트워크에 대한 연결을 제공합니다. 이를 통해 조직은 소프트웨어 패치 및 업데이트를 통해 엔드포인트를 최신 상태로 유지할 수 있습니다. 사용자 시작 VPN 터널이 설정되면 관리 터널의 연결이 끊어집니다.

이 섹션에서는 threat defense에서 Secure Client 관리 VPN 터널을 구성하는 방법에 대해 설명합니다. management center 웹 인터페이스를 사용하여 threat defense에서 Secure Client 관리 터널을 구성하려면 다음 설정이 필요합니다.

  • 인증서 기반 인증 및 그룹 URL이 있는 연결 프로파일

  • Secure Client 관리 VPN 프로파일 파일, 필요한 경우 그룹 URL 및 백업 서버로 서버를 구성했습니다.

  • 관리 VPN 프로파일이 포함된 그룹 정책, 명시적으로 포함된 네트워크가 포함된 스플릿 터널링, 클라이언트 바이 패스 프로토콜, 배너 없음

Secure Client 관리 VPN 터널을 구성하는 자세한 지침은 Threat Defense에서 Secure Client 관리 VPN 터널 구성의 내용을 참조하십시오.

Secure Client 관리 VPN 터널 요구 사항 및 사전 요건

소프트웨어 및 설정 요구 사항

management center 웹 인터페이스를 통해 threat defense를 사용하여 Secure Client 관리 터널을 설정하기 전에 다음 사항을 확인하십시오.

  • threat defensemanagement center 버전 6.7.0 이상을 사용하고 있는지 확인합니다.

  • Secure ClientSecure Client VPN Webdeploy 패키지 4.7 이상을 다운로드하여 threat defense 원격 액세스 VPN에 업로드합니다.

  • 인증서 인증이 연결 프로파일에 설정되어 있는지 확인합니다.

  • 그룹 정책에 배너가 설정되어 있지 않은지 확인합니다.

  • 관리 터널 그룹 정책에서 스플릿 터널링 설정을 확인합니다.

인증서 요구 사항

  • Threat Defense에는 원격 액세스 VPN에 대한 유효한 ID 인증서가 있어야 하며, 로컬 인증 기관(CA)의 루트 인증서가 threat defense에 있어야 합니다.

  • 관리 VPN 터널에 연결하는 엔드포인트에는 유효한 ID 인증서가 있어야 합니다.

  • threat defense의 ID 인증서에 대한 CA 인증서는 엔드포인트에 설치해야 하며, 엔드포인트에 대한 CA 인증서는 threat defense에 설치해야 합니다.

  • 동일한 로컬 CA에서 발급한 ID 인증서가 머신 저장소에 있어야 합니다.

    Windows의 경우에는 인증서 저장소고, macOS의 경우에는 시스템 키체인입니다.

Secure Client 관리 VPN 터널의 제한 사항

  • Secure Client 관리 VPN 터널은 인증서 인증만 지원하며 AAA 기반 인증은 지원하지 않습니다.

  • 공용 또는 프라이빗 프록시 설정은 지원되지 않습니다.

  • 관리 VPN 터널이 연결되어 있으면 Secure Client 업그레이드 및 AnyConnect 모듈 다운로드가 지원되지 않습니다.

Threat Defense에서 Secure Client 관리 VPN 터널 구성

프로시저

단계 1

마법사를 사용하여 원격 액세스 VPN 정책을 생성:

원격 액세스 VPN 구성에 대한 자세한 내용은 새 Remote Access VPN 연결 구성을 참조하십시오.

단계 2

관리 VPN 터널에 대한 연결 프로파일 설정을 구성:

참고

 

Secure Client 관리 VPN 터널에만 사용할 새 연결 프로파일을 생성하는 것이 좋습니다.

  1. 생성한 원격 액세스 VPN 정책을 수정합니다.

  2. 관리 VPN 터널에 사용할 연결 프로파일을 선택하고 수정합니다.

  3. AAA > Authentication Method(인증 방법)을 클릭하고 Client Certificate Only(클라이언트 인증서만)를 선택합니다. 필요에 따라 인증 및 계정 설정을 구성합니다.

  4. 연결 프로파일의 Aliases(별칭) 탭을 클릭합니다.

  5. 연결 프로파일에 대해 URL 별칭 아래에서 Add(+)(추가(+)) 그리고 URL Alias(URL 별칭)를 클릭합니다.

  6. Enabled(활성화됨)를 클릭하여 URL을 활성화합니다.

  7. OK(확인)를 클릭한 다음 Save(저장)를 클릭하여 연결 프로파일 설정을 저장합니다.

연결 프로파일 설정에 대한 자세한 내용은 연결 프로파일 설정의 내용을 참조하십시오.

단계 3

Secure Client(보안 클라이언트) 프로파일 편집기를 사용하여 관리 터널 프로파일을 생성합니다.

  1. Cisco 소프트웨어 다운로드 센터에서 Secure Client VPN 관리 터널 독립형 프로파일 편집기를 아직 다운로드하지 않은 경우 다운로드합니다.

  2. VPN 사용자에 대한 필수 설정으로 관리 터널 프로파일을 생성하고 파일을 저장합니다.

  3. 연결 프로파일에서 구성한 그룹 URL을 사용하여 서버 목록의 서버를 구성합니다.

프로파일 편집기를 사용한 관리 프로파일 생성에 대한 자세한 내용은 Cisco Secure Client (including AnyConnect) Administrator Guide를 참조하십시오.

단계 4

관리 터널 개체 생성:

  1. Secure Firewall Management Center 웹 인터페이스에서 Object(개체) > Object Management(개체 관리) > VPN > Secure Client File(보안 클라이언트 파일)로 이동합니다.

  2. Add Secure Client File(보안 클라이언트 파일 추가)을 클릭합니다.

  3. Secure Client 파일의 Name(이름)을 지정합니다.

  4. Browse(찾아보기)를 클릭하고 저장한 관리 터널 프로파일 파일을 선택합니다.

  5. File Type(파일 유형) 드롭 다운을 클릭하고 Secure Client Management VPN Profile(보안 클라이언트 관리 VPN 프로파일)을 선택합니다.

  6. Save(저장)를 클릭합니다.

참고

 

또한 그룹 정책에 대한 Secure Client 설정을 생성하거나 업데이트할 때 관리 터널 개체를 생성합니다. 그룹 정책 Secure Client 옵션의 내용을 참조하십시오.

단계 5

관리 프로파일을 그룹 정책과 연결하고 그룹 정책 설정을 구성:

관리 터널 VPN 연결에 사용되는 연결 프로파일과 연결된 그룹 정책에 관리 VPN 프로파일을 추가해야 합니다. 사용자가 연결하면 그룹 정책에 이미 매핑된 사용자 VPN 프로파일과 함께 관리 VPN 프로파일이 다운로드되어 관리 VPN 터널 기능을 활성화합니다.

경고

 

No Banner(배너 없음): 그룹 정책 설정에 배너가 구성되어 있지 않은지 확인합니다. Group Policy(그룹 정책) > General Settings(일반 설정) > Banner(배너)에서 배너 설정을 확인할 수 있습니다.

  1. 관리 VPN 터널 용으로 생성한 연결 프로파일을 수정합니다.

  2. Edit Group Policy(그룹 정책 수정) > Secure Client > Management Profile(관리 프로파일)을 클릭합니다.

  3. Management VPN Profile(관리 VPN 프로파일) 드롭 다운을 클릭하고 생성한 관리 프로파일 파일 개체를 선택합니다.

    참고

     

    +를 클릭하고 새 Secure Client 관리 VPN 프로파일 개체를 추가할 수도 있습니다.

  4. Save(저장)를 클릭합니다.

단계 6

그룹 정책에서 스플릿 터널링 구성:

  1. Edit Group Policy(그룹 정책 편집) > General(일반) > Split Tunneling(스플릿 터널링)을 클릭합니.

  2. IPv4 또는 IPv6 스플릿 터널링 드롭 다운에서 Tunnel networks specified below(아래 지정된 터널 네트워크)를 선택합니다.

  3. 스플릿 터널 네트워크 목록 유형, 즉 Standard Access List(표준 액세스 목록) 또는 Extended Access List(확장 액세스 목록)를 선택한 다음 관리 VPN 터널을 통한 트래픽을 허용하는 데 필요한 액세스 목록을 선택합니다.

  4. 스플릿 터널 설정을 저장하려면 Save(저장)를 클릭합니다.

Secure Client Custom Attribute(사용자 지정 속성)

Secure Client 관리 VPN 터널에는 기본적으로 스플릿에 터널링 구성이 포함되어야 합니다. 모든 터널링을 위해 스플릿 터널링이 포함된 관리 VPN 터널을 구축하도록 그룹 정책에서 Secure Client 맞춤 속성을 구성하는 경우 management center 6.7 웹 인터페이스가 Secure Client 맞춤 속성을 지원하지 않으므로 FlexConfig를 사용하여 해당 구성을 수행할 수 있습니다.

다음은 Secure Client 맞춤 속성에 대한 명령 예입니다. 

webvpn
	anyconnect-custom-attr ManagementTunnelAllAllowed description ManagementTunnelAllAllowed
anyconnect-custom-data ManagementTunnelAllAllowed true true
group-policy MGMT_Tunnel attributes
	anyconnect-custom ManagementTunnelAllAllowed value true

단계 7

원격 액세스 VPN 정책 구축, 확인 및 모니터링:

  1. 관리 VPN 터널 구성을 threat defense에 구축합니다.

    참고

     

    클라이언트 시스템은 관리 터널 VPN 프로파일을 클라이언트 머신에 다운로드하려면 threat defense 원격 액세스 VPN에 한 번 연결해야 합니다.

  2. Secure Mobility Client > VPN > Statistics(통계)에서 Secure Client 관리 VPN 터널을 확인할 수 있습니다.

    show vpn-sessiondb anyconnect 명령을 사용하여 threat defense 명령 프롬프트에서 관리 VPN 세션 세부 정보를 확인할 수도 있습니다.

  3. management center 웹 인터페이스에서 Analysis(분석)를 클릭하여 관리 터널 세션 정보를 확인합니다.

다중 인증서 인증

다중 인증서 기반 인증을 통해 threat defense는 사용자의 ID 인증서를 인증하는 것 외에도 머신 또는 디바이스 인증서를 검증, 즉 디바이스가 기업 발행 디바이스라는 점을 보장하고 SSL 또는 IKEv2 EAP 단계 동안 Secure Client를 사용하여 VPN 액세스를 허용합니다.

다중 인증서 옵션은 인증서를 통해 머신과 사용자 모두의 인증서 인증을 허용합니다. 이 옵션을 사용하지 않으면 머신 또는 사용자에 대한 인증서 인증만 수행할 수 있으며 두 가지 모두에 대한 인증서 인증은 수행할 수 없습니다.

다중 인증서 인증 지침 및 제한 사항


  • 참고

    다중 인증서 인증을 구성하는 경우에는 Cisco Secure Client 프로파일 설정에서 AutomaticCertSelection의 값을 true로 설정해야 합니다.

  • 다중 인증서 인증은 현재 인증서 2개로 제한됩니다.

  • Secure Client는 다중 인증서 인증 지원을 표시해야 합니다. 그렇지 않은 경우 게이트웨이는 레거시 인증 방법 중 하나를 사용하거나 연결에 실패합니다. Secure Client 버전 4.4.04030 이상은 다중 인증서 기반 인증을 지원합니다.

  • Secure Client는 RSA 기반 인증서만 지원합니다.

  • Secure Client 집계 인증 중에는 SHA256, SHA384 및 SHA512 기반 인증서만 지원됩니다.

  • 인증서 인증은 SAML 인증과 결합할 수 없습니다.

다중 인증서 인증 구성

시작하기 전에

여러 인증서 인증을 설정하기 전에 각 threat defense 디바이스의 ID 인증서를 얻는 데 사용된 인증서 등록 개체를 설정했는지 확인합니다. 자세한 내용은 인증서 맵 개체를 참고하십시오.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

원격 액세스 VPN 정책을 선택하고 Edit(편집)을 클릭합니다.

참고

 

원격 액세스 VPN을 설정하지 않은 경우, Add(추가)를 클릭하여 새 원격 액세스 VPN 정책을 생성합니다.

단계 3

연결 프로파일을 선택하고 편집하여 다중 인증서 인증을 설정합니다.

단계 4

AAA 설정을 클릭하여 Authentication Method(인증 방법) > Client Certificate Only(클라이언트 인증서만) 또는 Client Certificate & AAA(클라이언트 인증서 및 AAA)를 선택합니다.

참고

 

클라이언트 인증서 및 AAA 인증 방법을 선택한 경우, 인증 서버를 선택합니다.

단계 5

Enable multiple certificate authentication(다중 인증서 인증 활성화) 확인란을 선택합니다.

단계 6

클라이언트 인증서에서 사용자 이름을 매핑할 인증서 중 하나를 선택합니다.

  • First Certificate(첫 번째 인증서) - VPN 클라이언트에서 전송된 시스템 인증서의 사용자 이름을 매핑하려면 이 옵션을 선택합니다.

  • Second Certificate(두 번째 인증서) - 클라이언트에서 전송된 사용자 인증서의 사용자 이름을 매핑하려면 이 옵션을 선택합니다.

인증서 전용 인증이 활성화된 경우, 클라이언트에서 전송된 사용자 이름이 VPN 세션 사용자 이름으로 사용됩니다. AAA 및 인증서 인증이 활성화된 경우, VPN 세션 사용자 이름은 사전 채우기 옵션을 기반으로 합니다.

참고

 

클라이언트 인증서의 사용자 이름을 포함하는 Map specific field(특정 필드 매핑) 옵션을 선택하면 Primary(기본)Secondary(보조) 필드에 CN(Common Name)OU(Organisational Unit)의 기본값이 표시됩니다.

Use entire DN (Distinguished Name) as username(전체 DN을 사용자 이름으로 사용) 옵션을 선택하는 경우 시스템은 자동으로 사용자 ID를 검색합니다. 고유 이름(DN)은 개별 필드로 구성된 고유 ID로, 향상된 인증서 인증에 사용되는 연결 프로파일 DN 규칙에 사용자를 일치시킬 때 식별자로 사용할 수 있습니다.

클라이언트 인증서 및 AAA 인증을 선택한 경우 Prefill username from certificate on user login window(사용자 로그인 창의 인증서에서 사용자 이름 미리 채우기) 옵션을 선택하여 사용자가 AnyConnect VPN module of Cisco Secure Client(Cisco Secure Client의 AnyConnect VPN 모듈)를 통해 연결할 때 클라이언트 인증서에서 보조 사용자 이름을 미리 채웁니다.

  • 로그인 창에서 사용자 이름 숨기기: 보조 사용자 이름은 클라이언트 인증서에서 미리 채워지지만 미리 채워진 사용자 이름은 수정을 방지하기 위해 사용자에게 표시되지 않습니다.

단계 7

원격 액세스 VPN에 필요한 AAA 설정 및 연결 프로파일 설정을 구성합니다.

단계 8

연결 프로파일 및 원격 액세스 VPN 설정을 저장하고 threat defense 디바이스에 구축합니다.

Remote Access VPN AAA 사용자 지정

이 섹션에서는 원격 액세스 VPN에 대 한 AAA 기본 설정을 사용자 지정하는 방법을 설명합니다. 자세한 내용은 Remote Access VPN에 대한 AAA 설정를 참고하십시오.

클라이언트 인증서를 통한 VPN 사용자 인증

마법사를 사용하여 새 Remote Access VPN 정책을 생성하거나 이후 정책을 편집할 때 클라이언트 인증서를 사용하여 Remote Access VPN 인증을 구성할 수 있습니다.

시작하기 전에

VPN 게이트웨이 역할을 하는 각 threat defense 디바이스에 대한 ID 인증서를 얻는 데 사용되는 인증서 등록 개체를 구성합니다.

프로시저

단계 1

Secure Firewall Management Center 웹 인터페이스에서 Devices(디바이스)> VPN > Remote Access(원격 액세스)를 선택합니다.

단계 2

원격 액세스 정책을 선택하고 Edit(편집)을 클릭하거나 Add(추가)를 클릭하여 새 원격 액세스 VPN 정책을 생성합니다.

단계 3

새 Remote Access VPN 정책의 경우 연결 프로파일 설정을 선택하는 동안 인증을 구성합니다. 기존 구성의 경우 클라이언트 프로파일을 포함하는 연결 프로파일을 선택하고 Edit(편집)를 클릭합니다.

단계 4

AAA > Authentication Method(인증 방법) > Client Certificate Only(클라이언트 인증서 전용)를 클릭합니다.

이 인증 방법을 통해 사용자는 클라이언트 인증서를 사용하여 인증됩니다. VPN 클라이언트 엔드포인트에서 클라이언트 인증서를 구성해야 합니다. 기본적으로 사용자 이름은 각각 클라이언트 인증서 필드 CN 및 OU에서 파생됩니다. 사용자 이름이 클라이언트 인증서의 다른 필드에 지정된 경우 'Primary(기본)' 및 'Secondary(보조)' 필드를 사용하여 해당 필드를 매핑합니다.

Map specific field(특정 필드 매핑) 옵션을 선택하면 클라이언트 인증서의 사용자 이름이 포함됩니다. Primary(기본)Secondary(보조) 필드에는 CN(Common Name)OU(Organizational Unit) 각각의 기본값이 표시됩니다. Use entire DN as username(전체 DN을 사용자 이름으로 사용) 옵션을 선택하는 경우 시스템은 자동으로 사용자 ID를 검색합니다. 고유 이름(DN)은 사용자를 연결 프로파일과 연결할 때 식별자로 사용할 수 있는 개별 필드로 구성된 고유한 ID입니다. DN 규칙은 향상된 인증서 인증에 사용됩니다.

  • Map specific field(특정 필드 매핑) 옵션과 관련된 기본 및 보조 필드는 다음 공통 값을 포함합니다.

    • C(국가)

    • CN(이름)

    • DNQ(DN 한정자

    • EA(이메일 주소)

    • GENQ(세대 한정자)

    • GN(이름)

    • I(이니셜)

    • L(시/군/구)

    • N(이름)

    • O(조직)

    • OU(조직 단위)

    • SER(일련 번호)

    • SN(성)

    • SP(시/도)

    • T(제목)

    • UID(사용자 ID)

    • UPN(사용자 계정 이름)

  • 어떤 인증 방법을 선택하든 Allow connection only if user exists in authorization database(사용자가 권한 부여 데이터베이스에 있는 경우에만 연결 허용)를 선택하거나 선택 취소합니다.

자세한 내용은 Remote Access VPN에 대한 AAA 설정를 참고하십시오.

단계 5

변경 내용을 저장합니다.

클라이언트 인증서 및 AAA 서버를 통해 VPN 사용자 인증 구성

클라이언트 인증서와 인증 서버를 모두 사용하도록 원격 액세스 VPN 인증을 구성하면 VPN 클라이언트 인증은 클라이언트 인증서 유효성 검사와 AAA 서버를 사용하여 수행됩니다.

시작하기 전에

  • VPN 게이트웨이 역할을 하는 각 threat defense 디바이스에 대한 ID 인증서를 얻는 데 사용할 인증서 등록 개체를 구성합니다.

  • 이 Remote Access VPN 정책에서 사용할 RADIUS 서버 그룹 개체와 AD 또는 LDAP 영역을 구성합니다.

  • Remote Access VPN 구성이 작동하려면 Secure Firewall Threat Defense 디바이스에서 AAA 서버에 연결할 수 있는지 확인합니다.

프로시저

단계 1

Secure Firewall Management Center 웹 인터페이스에서 Devices(디바이스)> VRemote Access(원격 액세스)를 선택합니다.

단계 2

인증을 업데이트할 원격 액세스 VPN 정책에서 Edit(편집)를 클릭하거나 Add(추가)를 클릭하여 새 인증을 생성합니다.

단계 3

새 원격 액세스 VPN 정책을 생성하기로 선택하는 경우 연결 프로파일 설정을 선택하는 동안 인증을 구성합니다. 기존 구성의 경우 클라이언트 프로파일을 포함하는 연결 프로파일을 선택하고 Edit(편집)를 클릭합니다.

단계 4

AAA로 이동하여 Authentication Method(인증 방법) 드롭다운에서 Client Certificate & AAA(클라이언트 인증서 및 AAA)를 선택합니다.

  • 다음과 같이 Authentication Method(인증 방법)를 선택하는 경우:

    Client Certificate & AAA(클라이언트 인증서 및 AAA) - 두 가지 인증 유형이 모두 수행됩니다.

    • AAA - Authentication Server(인증 서버)RADIUS로 선택하는 경우 Authorization Server(권한 부여 서버)는 기본적으로 동일한 값을 가집니다. 드롭다운 목록에서 Accounting Server(과금 서버)를 선택합니다. Authentication Server(인증 서버) 드롭다운 목록에서 ADLDAP를 선택할 때마다 Authorization Server(권한 부여 서버)Accounting Server(과금 서버)를 각각 수동으로 선택해야 합니다.

    • Client Certificate(클라이언트 인증서) - 사용자가 클라이언트 인증서로 인증합니다. VPN 클라이언트 엔드포인트에서 클라이언트 인증서를 구성해야 합니다. 기본적으로 사용자 이름은 각각 클라이언트 인증서 필드 CN 및 OU에서 파생됩니다. 클라이언트 프로파일의 다른 필드를 사용하여 사용자 이름을 지정할 경우 Primary Field(기본 필드)Secondary Field(보조 필드)를 사용하여 해당 필드를 매핑합니다.

      Map specific field(특정 필드 매핑) 옵션을 선택하면 클라이언트 인증서의 사용자 이름이 포함됩니다. Primary(기본)Secondary(보조) 필드에는 CN(Common Name)OU(Organizational Unit) 각각의 기본값이 표시됩니다. Use entire DN as username(전체 DN을 사용자 이름으로 사용) 옵션을 선택하는 경우 시스템은 자동으로 사용자 ID를 검색합니다. 고유 이름(DN)은 사용자를 연결 프로파일과 연결할 때 식별자로 사용할 수 있는 개별 필드로 구성된 고유한 ID입니다. DN 규칙은 향상된 인증서 인증에 사용됩니다.

      Map specific field(특정 필드 매핑) 옵션과 관련된 기본 및 보조 필드는 다음 공통 값을 포함합니다.

      • C(국가)

      • CN(이름)

      • DNQ(DN 한정자

      • EA(이메일 주소)

      • GENQ(세대 한정자)

      • GN(이름)

      • I(이니셜)

      • L(시/군/구)

      • N(이름)

      • O(조직)

      • OU(조직 단위)

      • SER(일련 번호)

      • SN(성)

      • SP(시/도)

      • T(제목)

      • UID(사용자 ID)

      • UPN(사용자 계정 이름)

    • 어떤 인증 방법을 선택하든 Allow connection only if user exists in authorization database(사용자가 권한 부여 데이터베이스에 있는 경우에만 연결 허용)를 선택하거나 선택 취소합니다.

자세한 내용은 Remote Access VPN에 대한 AAA 설정를 참고하십시오.

단계 5

변경 내용을 저장합니다.

VPN 세션에 대한 암호 변경 관리

암호 관리를 사용하면 원격 액세스 VPN 정책 관리자는 암호 만료 시 원격 액세스 VPN 사용자에 대한 알림 설정을 구성할 수 있습니다. 암호 관리는 인증 방법 AAA Only(AAA 전용) 및 Client Certificate & AAA(클라이언트 인증서 및 AAA)를 통해 AAA 설정에서 사용할 수 있습니다. 자세한 내용은 Remote Access VPN에 대한 AAA 설정를 참고하십시오.

프로시저

단계 1

Secure Firewall Management Center 웹 인터페이스에서 Devices(디바이스)> VRemote Access(원격 액세스)를 선택합니다.

단계 2

업데이트할 원격 액세스 VPN 정책 옆에서 Edit(편집)을 클릭합니다.

단계 3

AAA 설정이 포함된 연결 프로파일에서 Edit(편집)을 클릭합니다.

단계 4

AAA > Advanced Settings(고급 설정) >를 선택합니다.

단계 5

Enable Password Management(비밀번호 관리 활성화) 확인란을 선택하고 다음 중 하나를 선택합니다.

  • Notify User(사용자에게 알림) - 비밀번호가 만료되기 전 일 수이며 입력란에 일 수를 지정합니다.

  • 비밀번호 만료일에 사용자에게 알림

단계 6

변경 내용을 저장합니다.

RADIUS 서버로 계정 기록 전송

Remote Access VPN의 계정 기록은 VPN 관리자가 사용자가 액세스하는 서비스 및 사용자가 사용하는 네트워크 리소스의 양을 추적할 수 있도록 도와줍니다. 계정 관리 정보에는 사용자 세션 시작 및 중지 시각, 사용자 이름, 각 세션의 디바이스를 통과한 바이트 수, 사용한 서비스, 각 세션의 지속시간이 포함됩니다.

관리 계정 기능을 단독으로 사용하거나 인증 및 권한 부여 기능과 함께 사용할 수 있습니다. AAA 계정을 활성화하면 네트워크 액세스 서버가 구성된 계정 서버에 사용자 작업을 보고합니다. 모든 사용자 활동 정보가 management center에서 RADIUS 서버로 전송되도록 RADIUS 서버를 과금 서버로 구성할 수 있습니다.

참고

Remote Access VPN AAA 설정에서 인증, 권한 부여 및 계정을 위해 동일한 RADIUS 서버 또는 별도의 RADIUS 서버를 사용할 수 있습니다.

시작하기 전에

  • 인증 요청이나 계정 기록을 수신할 RADIUS 서버로 RADIUS 그룹 개체를 구성합니다. 자세한 내용은 RADIUS 서버 그룹 옵션을 참고하십시오.

  • threat defense 디바이스에서 RADIUS 서버에 연결할 수 있는지 확인합니다. Devices(디바이스) > Device Management(디바이스 관리) > Edit Device(디바이스 편집) > Routing(라우팅)에서 Secure Firewall Management Center에 대한 라우팅을 구성하여 RADIUS 서버에 대한 연결성을 보장합니다.

프로시저

단계 1

Secure Firewall Management Center 웹 인터페이스에서 Devices(디바이스)> VRemote Access(원격 액세스)를 선택합니다.

단계 2

RADIUS 서버를 구성할 원격 액세스 정책에서 Edit(편집)를 클릭하거나 새 원격 액세스 VPN 정책을 생성합니다.

단계 3

AAA 설정이 포함된 연결 프로파일에서 Edit(편집)을 클릭하고 AAA를 클릭합니다.

단계 4

과금 서버 드롭다운에서 RADIUS 서버를 선택합니다.

단계 5

변경 내용을 저장합니다.

권한 부여 서버에 그룹 정책 선택 위임

VPN 터널이 설정된 경우 사용자에게 적용되는 그룹 정책이 결정됩니다. 마법사를 사용하여 원격 액세스 VPN을 생성하는 동안 연결 프로파일 그룹 정책을 선택하거나, 나중에 연결 프로파일의 연결 정책을 업데이트하면 됩니다. 하지만 AAA(RADIUS) 서버를 그룹 정책을 할당하도록 구성하거나, 현재 연결 프로파일에서 가져올 수도 있습니다. threat defense 디바이스에서 연결 프로파일에 구성된 속성과 충돌하는 속성을 AAA 서버로부터 수신하는 경우, AAA 서버에서 오는 속성이 항상 우선 적용됩니다.

IETF RADIUS 속성 25를 전송하고 해당 그룹 정책 이름에 매핑하여, 사용자 또는 사용자 그룹에 대한 인증 프로파일을 설정하도록 ISE 또는 RADIUS 서버를 구성할 수 있습니다. 특정 그룹 정책을 사용자 또는 사용자 그룹에 지정하여 다운로드 가능한 ACL을 푸시하고, 배너를 설정하고, VLAN을 제한하고, 세션에 SGT을 적용하는 고급 옵션을 구성할 수 있습니다. 이러한 속성은 VPN 연결이 설정될 때 해당 그룹에 속한 모든 사용자에게 적용됩니다.

자세한 내용은 Cisco Identity Services Engine 관리자 가이드의 Configure Standard Authorization Policies(표준 인증 정책 구성) 섹션과 RADIUS 서버 속성 Secure Firewall Threat Defense의 내용을 참조하십시오.

그림 1. AAA 서버의 Remote Access VPN 그룹 정책 선택

그룹 정책 또는 기타 속성 선택을 권한 부여 서버로 재정의

Remote Access VPN 사용자가 VPN에 연결할 때 연결 프로파일에 구성된 그룹 정책 및 기타 속성이 사용자에게 할당됩니다. 하지만 원격 액세스 VPN 시스템 관리자는 사용자 또는 사용자 그룹에 대한 권한 부여 프로파일을 설정하기 위해 ISE 또는 RADIUS 서버를 구성하여 그룹 정책 및 기타 속성의 선택 사항을 권한 부여 서버에 위임할 수 있습니다. 사용자가 인증되면 이러한 특정 권한 부여 속성이 threat defense 디바이스에 푸시됩니다.

시작하기 전에

RADIUS를 인증 서버로 사용하여 Remote Access VPN 정책을 구성해야 합니다.

프로시저

단계 1

Secure Firewall Management Center 웹 인터페이스에서 Devices(디바이스)> VPN > Remote Access(원격 액세스)를 선택합니다.

단계 2

원격 액세스 정책을 선택하고 Edit(편집)을 클릭합니다.

단계 3

아직 구성되지 않은 경우 권한 부여 서버로 RADIUS 또는 ISE를 선택합니다.

단계 4

Advanced(고급) > Group Policies(그룹 정책)를 선택하고 필요한 그룹 정책을 추가합니다. 그룹 정책 개체에 대한 세부 정보는 그룹 정책 개체 설정의 내용을 참조하십시오.

하나의 그룹 정책 연결 프로 파일, 매핑할 수 있습니다. 그러나 Remote Access VPN 정책에서 여러 그룹 정책을 만들 수 있습니다. 이러한 그룹 정책은 ISE 또는 RADIUS 서버에서 참조될 수 있으며 권한 부여 서버에 권한 부여 속성을 지정하여 연결 프로파일에 구성된 그룹 정책을 대체하도록 구성할 수 있습니다.

단계 5

대상 threat defense 디바이스에서 구성을 구축합니다.

단계 6

권한 서버에서 IP 주소 및 다운로드할 수 있는 ACL에 대한 RADIUS 속성을 사용하여 권한 부여 프로파일을 생성합니다.

그룹 정책이 Remote Access VPN에 대해 선택된 권한 부여 서버에서 구성되면 그룹 정책은 사용자가 인증된 후 Remote Access VPN 사용자에 대한 연결 프로파일에 구성된 그룹 정책보다 우선합니다.

사용자 그룹에 대한 VPN 액세스 거부

인증된 사용자 또는 사용자 그룹이 VPN을 사용할 수 없도록 하려는 경우 그룹 정책을 구성하여 VPN 액세스를 거부할 수 있습니다. Remote Access VPN 정책에서 그룹 정책을 구성하고 권한 부여를 위해 ISE 또는 RADIUS 서버 구성에서 이 정책을 참조할 수 있습니다.
시작하기 전에

원격 액세스 정책 마법사를 사용하여 Remote Access VPN을 구성하고 Remote Access VPN 정책에 대한 인증 설정을 구성했는지 확인합니다.

프로시저

단계 1

Secure Firewall Management Center 웹 인터페이스에서 Devices(디바이스)> VPN > Remote Access(원격 액세스)를 선택합니다.

단계 2

원격 액세스 정책을 선택하고 Edit(편집)을 클릭합니다.

단계 3

Advanced(고급) > Group Policies(그룹 정책)를 클릭합니다.

단계 4

그룹 정책을 선택하고 새 그룹 정책 Edit(편집)를 클릭하거나 새 그룹 정책을 추가합니다.

단계 5

Advanced(고급) > Session Settings(세션 설정)를 선택하고 Simultaneous Login Per User(사용자별 동시 로그인)를 0으로 설정합니다.

이렇게 하면 사용자 또는 사용자 그룹이 VPN에 한 번도 연결되지 않습니다.

단계 6

Save(저장)를 클릭하여 그룹 정책을 저장한 다음 Remote Access VPN 구성을 저장합니다.

단계 7

해당 사용자/사용자 그룹에 대한 권한 부여 프로파일을 설정하여 IETF RADIUS 속성 25를 전송하고 해당 그룹 정책 이름에 매핑하도록 ISE 또는 RADIUS 서버를 구성합니다.

단계 8

ISE 또는 RADIUS 서버를 원격 액세스 VPN 정책의 인증 서버로 구성합니다.

단계 9

원격 액세스 VPN 정책을 저장하고 구축합니다.

사용자 그룹에 대한 연결 프로파일 선택 제한

사용자 또는 사용자 그룹에 단일 연결 프로파일을 적용하려는 경우 연결 프로파일을 비활성화할 수 있으며, 이에 따라 사용자가 Cisco Secure Client의 AnyConnect VPN 모듈을 사용하여 연결할 때 그룹 별칭 또는 URL을 선택할 수 없습니다.

예를 들어 조직에서 휴대폰 사용자, 회사에서 발급한 노트북 사용자 또는 개인 노트북 사용자와 같은 다른 VPN 사용자 그룹에 특정 구성을 사용하려는 경우 이러한 각 사용자 그룹에 특정한 프로파일 연결을 구성하고 사용자가 VPN에 연결할 때 적절한 연결 프로파일을 적용할 수 있습니다.

Cisco Secure Client의 AnyConnect VPN 모듈은 기본적으로 management center에서 구성되고 threat defense에 구축된 연결 프로파일 목록(연결 프로파일 이름, 별칭 또는 별칭 URL 기준)을 표시합니다. 사용자 정의 연결 프로파일이 구성되지 않은 경우 Cisco Secure Client의 AnyConnect VPN 모듈DefaultWEBVPNGroup 연결 프로파일을 표시합니다. 다음 절차를 사용하여 사용자 그룹에 단일 연결 프로파일을 적용합니다.

시작하기 전에

  • Secure Firewall Management Center 웹 인터페이스에서 인증 방법과 함께 Remote Access VPN 정책 마법사를 사용하여 'Client Certificate Only(클라이언트 인증서 전용)' 또는 'Client Certificate + AAA(클라이언트 인증서 + AAA)'로 Remote Access VPN을 구성합니다. 인증서에서 사용자 이름 필드를 선택합니다.

  • 권한 부여를 위해 ISE 또는 RADIUS 서버를 구성하고 그룹 정책을 권한 부여 서버와 연결합니다.

프로시저

단계 1

Secure Firewall Management Center 웹 인터페이스에서 Devices(디바이스)> VPN > Remote Access(원격 액세스)를 선택합니다.

단계 2

원격 액세스 정책을 선택하고 Edit(편집)을 클릭합니다.

단계 3

Access Interfaces(액세스 인터페이스)를 선택하고 Allow Users to select connection profile while logging in(사용자가 로그인 상태에서 연결 프로파일을 선택할 수 있음)을 비활성화합니다.

단계 4

Advanced(고급) > Certificate Maps(인증서 맵)를 클릭합니다.

단계 5

Use the configured rules to match a certificate to a Connection Profile(구성된 규칙을 사용하여 연결 프로파일에 인증서 일치)을 선택합니다.

단계 6

Certificate Map Name(인증서 맵 이름)을 선택하거나 Add(추가) 아이콘을 클릭하여 인증서 규칙을 추가합니다.

단계 7

Connection Profile(연결 프로파일)을 선택하고 Ok(확인)를 클릭합니다.

이 구성을 사용하면 사용자가 Cisco Secure Client의 AnyConnect VPN 모듈에서 연결할 때 사용자가 매핑된 연결 프로파일을 갖게 되며 VPN을 사용하도록 인증됩니다.

원격 액세스 VPN 클라이언트에 대한 Secure Client 프로파일 업데이트

Secure Client 프로파일은 Secure Client의 일부로 VPN 클라이언트 시스템에 구축할 관리자 정의 최종 사용자 요구 사항 및 인증 정책이 포함된 XML 파일입니다. 사전 구성된 네트워크 프로파일을 최종 사용자가 사용할 수 있게 지원합니다.

독립 설정 도구인 GUI 기반의 Secure Client 프로파일 편집기을 사용하여 생성할 수 있습니다. 독립형 프로파일 편집기를 사용하여 새로운 Secure Client 프로파일을 만들거나 기존 프로파일을 수정할 수 있습니다. Cisco 소프트웨어 다운로드 센터에서 프로파일 편집기를 다운로드할 수 있습니다.

자세한 내용은 Cisco Secure Client (AnyConnect 포함) 관리자 가이드의 해당 릴리스에 있는 Secure Client 프로파일 편집기 장을 참조하십시오.

시작하기 전에

  • 원격 액세스 정책 마법사를 사용하여 Remote Access VPN을 구성하고 threat defense 디바이스에 구성을 구축했는지 확인합니다. 새 Remote Access VPN 정책 생성의 내용을 참조하십시오.

  • Secure Firewall Management Center 웹 인터페이스에서 Objects(개체) > Object Management(개체 관리) > VPN > Secure Client File(Secure Client 파일)로 이동하고 새 Secure Client 이미지를 추가합니다.

프로시저

단계 1

Secure Firewall Management Center 웹 인터페이스에서 Devices(디바이스)> VPN > Remote Access(원격 액세스)를 선택합니다.

단계 2

원격 액세스 VPN 정책을 선택하고 Edit(편집)을 클릭합니다.

단계 3

편집할 클라이언트 프로파일을 포함하는 연결 프로파일을 선택하고 Edit(편집)를 클릭합니다.

단계 4

Edit Group Policy(그룹 정책 편집) > Secure Client > Profiles(프로파일)를 클릭합니다.

단계 5

목록에서 클라이언트 프로파일 XML 파일을 선택하거나 Add(추가)를 클릭하여 새 클라이언트 프로파일을 추가합니다.

단계 6

그룹 정책, 연결 프로파일 및 Remote Access VPN 정책을 저장합니다.

단계 7

변경 사항을 구축하고

클라이언트 프로파일에 대한 변경 사항은 VPN 클라이언트가 Remote Access VPN 게이트웨이에 연결할 때 업데이트됩니다.

RADIUS 동적 권한 부여

Secure Firewall Threat Defense 에서는 동적 ACL 또는 사용자별 ACL 이름을 사용하는 VPN 원격 액세스 및 방화벽 cut-through-proxy 세션의 사용자 권한 부여에 RADIUS 서버를 이용할 수 있습니다. 동적 인증 또는 RADIUS CoA(RADIUS Change of Authorization)에 동적 ACL을 구현하려면, 이를 지원하는 RADIUS 서버를 구성해야 합니다. 사용자가 인증을 시도하면 RADIUS 서버가 다운로드 가능한 ACL 또는 ACL 이름을 threat defense로 전송합니다. 지정된 서비스에 대한 액세스는 ACL에 의해 허용되거나 거부됩니다. Secure Firewall Threat Defense는 인증 세션이 만료되면 ACL을 삭제합니다.

RADIUS 동적 권한 부여 구성

시작하기 전에

  • RADIUS 서버에서 참조되는 경우 보안 영역 또는 인터페이스 그룹에 하나의 인터페이스만 구성할 수 있습니다.

  • 동적 권한 부여가 활성화된 RADIUS 서버는 동적 권한 부여가 작동하려면 Secure Firewall Threat Defense 6.3 이상이 필요합니다.

  • Secure Firewall Threat Defense 6.2.3 또는 이전 버전에서는 RADIUS 서버의 인터페이스 선택이 지원되지 않습니다. 인터페이스 옵션은 구축하는 동안 재정의됩니다.

  • Threat Defense 포스처 VPN은 동적 권한 부여 또는 RADIUS CoA(Change of Authorization)를 통한 그룹 정책 변경을 지원하지 않습니다.

표 9. 절차

수행해야 할 작업

추가 정보

1단계

Secure Firewall Management Center 웹 인터페이스에 로그인합니다.

2단계

동적 권한 부여를 위해 RADIUS 서버 개체를 구성합니다.

RADIUS 서버 그룹 옵션

3단계

CoA(Change of Authorization)가 활성화된 인터페이스를 통해 ISE 서버에 대한 경로를 구성하여 라우팅 또는 특정 인터페이스를 통한 threat defense에서 RADIUS 서버로의 연결을 설정합니다.

RADIUS 서버 그룹 옵션

사용자 제어를 위한 ISE 설정

4단계

Remote Access VPN 정책을 구성하고 동적 인증을 사용하여 만든 RADIUS 서버 그룹 개체를 선택합니다.

새 Remote Access VPN 정책 생성

5단계

플랫폼 설정을 사용하여 DNS 서버 상세정보 및 도메인 조회 인터페이스를 구성합니다.

DNS 구성

DNS 서버 그룹

6단계

VNP 네트워크를 통해 DNS 서버에 연결할 수 있는 경우 그룹 정책에서 스플릿 터널을 구성하여 Remote Access VPN 터널을 통한 DNS 트래픽을 허용합니다.

그룹 정책 개체 설정

7단계

구성 변경 사항을 구축합니다.

구성 변경 사항 구축

이중 인증

Remote Access VPN에 대한 이중 인증을 구성할 수 있습니다. 이중 인증의 경우, 사용자는 사용자 이름 및 정적 암호뿐 아니라 RSA 토큰 또는 암호 같은 추가 항목도 제공해야 합니다. 이중 인증이 두 번째 인증 소스를 사용하는 것과 다른 점은 두 가지 인증 요소가 기본 인증 소스와 연결된 RSA 서버와의 관계에 따라 단일 인증 소스에서 구성된다는 것입니다.

Secure Firewall Threat Defense 이중 인증 프로세스에서 첫 번째 요소인 RADIUS 또는 AD 서버와 함께 RSA 토큰과 Duo Mobile에 대한 Duo 푸시 인증 요청이 두 번째 요소로 지원됩니다.

RSA 이중 인증 구성

이 작업 관련 정보:

 RADIUS 또는 AD 서버를 RSA 서버의 인증 에이전트로 구성하고 Secure Firewall Management Center의 서버를 Remote Access VPN의 기본 인증 소스로 사용할 수 있습니다.

이 접근 방식을 사용하는 경우, 사용자는 RADIUS 또는 AD 서버에 구성된 사용자 이름을 사용하여 인증하고 암호와 토큰을 쉼표로 구분하여(암호,토큰) 암호를 일회용 임시 RSA 토큰과 연결해야 합니다.

이 컨피그레이션에서는 별도의 RADIUS 서버(예: Cisco ISE에서 제공되는 것)를 사용하여 권한 부여 서비스를 제공하는 것이 일반적입니다. 두 번째 RADIUS 서버를 권한 부여 서버 및 과금 서버(선택 사항)로 컨피그레이션합니다.

시작하기 전에

Secure Firewall Threat Defense에서 RADIUS 이중 인증을 구성하기 전에 다음 구성이 완료되었는지 확인합니다.

RSA 서버

  • RADIUS 또는 Active Directory 서버를 인증 에이전트로 구성합니다.

  • 구성(sdconf.rec) 파일을 생성하고 다운로드합니다.

  • 토큰 프로파일을 생성하고 사용자에게 토큰을 할당한 후 토큰을 사용자에게 배포합니다. VPN 클라이언트 시스템에 토큰을 다운로드하고 설치합니다.

자세한 내용은 RSA SecureID Suite 설명서를 참조하십시오.

ISE 서버

  • RSA 서버에서 생성된 구성(sdconf.rec) 파일을 가져옵니다.

  • RSA 서버를 외부 ID 소스로 추가하고 공유 암호를 지정합니다.

표 10. 절차

수행해야 할 작업

추가 정보

1단계

Secure Firewall Management Center 웹 인터페이스에 로그인합니다.

2단계

새 RADIUS 서버 그룹을 생성합니다.

RADIUS 서버 그룹 옵션

3단계

새 RADIUS 서버 그룹 내에 RADIUS 서버 또는 AD 서버를 호스트로 사용하고 시간 초과가 60초 이상인 RADIUS 서버 개체를 만듭니다.

RADIUS 서버 그룹 옵션

참고

 

RADIUS 또는 AD 서버는 RSA 서버에서 인증 에이전트로 구성된 서버와 동일해야 합니다.

2단계 인증의 경우 Secure Client 프로파일 XML 파일에서 시간 초과가 60 초 이상으로 업데이트되었는지도 확인합니다.

4단계

마법사를 사용하여 새 Remote Access VPN 정책을 구성하거나 기존 Remote Access VPN 정책을 편집합니다.

새 Remote Access VPN 정책 생성

5단계

RADIUS를 인증 서버로 선택한 다음 새로 생성된 RADIUS 서버 그룹을 인증 서버로 선택합니다.

Remote Access VPN에 대한 AAA 설정

7단계

구성 변경 사항을 구축합니다.

구성 변경 사항 구축

듀오 이중 인증 구성

이 작업 관련 정보:

듀오 RADIUS 서버를 기본 인증 소스로 컨피그레이션할 수 있습니다. 이 접근 방식에서는 듀오 RADIUS 인증 프록시를 사용합니다. (LDAPS를 통한 듀오 클라우드 서비스와의 직접 연결은 사용할 수 없습니다.)

듀오를 구성하는 자세한 단계는 https://duo.com/docs/cisco-firepower를 참조하십시오.

그런 다음, 프록시 서버로 가는 인증 요청을 전달하여 다른 RADIUS 서버 또는 AD 서버를 첫 번째 인증 요소로 사용하고 듀오 클라우드 서비스는 두 번째 요소로 사용하도록 컨피그레이션합니다.

이 접근 방식을 사용한다면, 사용자는 듀오 클라우드나 웹 서버 중 하나 및 RADIUS 서버에 구성된 사용자 이름을 사용하여 인증해야 합니다. 사용자는 RADIUS 서버에서 구성한 비밀번호를 입력하고, 다음 듀오 코드 중 하나를 입력해야 합니다.

  •   Duo-passcode. 예: my-password,123456.

  •   push. 예: my-password,push. 푸시를 사용하여 듀오에게 듀오 모바일 앱으로 푸시 인증을 전송하도록 지시합니다. 사용자는 이미 이 앱을 설치하여 등록했어야 합니다.

  •   sms. 예: my-password,SMS. SMS를 사용하여 듀오에게 사용자의 모바일 디바이스로 새로운 암호 배치가 포함된 SMS 메시지를 전송하도록 지시합니다. SMS를 사용하는 경우, 사용자의 인증 시도가 실패합니다. 그러면 사용자는 다시 인증하고 두 번째 요인으로 새 암호를 입력해야 합니다.

  • phone(전화). 예: my-password,phone. 전화기 콜백으로 인증하려면 phone을 사용합니다.

예시가 포함된 로그인 옵션 관련 정보는 https://guide.duo.com/anyconnect의 내용을 참조하십시오.

시작하기 전에

threat defense에서 듀오 인증 프록시를 이용한 2단계 인증을 구성하기 전에, 다음 구성을 완료했는지 확인합니다.

  • 듀오 구축을 시작하기 전에 원격 액세스 VPN 사용자에 대해 작동하는 기본 인증(RADIUS 또는 AD)을 구성합니다.

  • 듀오 프록시 서비스를 네트워크의 Windows 또는 Linux 장치에 설치해 듀오를 Secure Firewall Threat Defense 원격 액세스 VPN과 통합합니다. 이 듀오 프록시 서버는 RADIUS 서버 역할도 합니다.

    다음 위치에서 최신 듀오 인증 프록시를 다운로드하여 설치합니다.

  • 듀오 인증 파일 authproxy.cfg를 구성합니다. https://duo.com/docs/cisco-firepower#configure-the-proxy 페이지의 지침에 따라 인증 구성 설정을 구성합니다.

    authproxy.cfg 구성 파일에는 RADIUS 또는 ISE 서버, threat defense 디바이스, 듀오 프록시 서버 상세정보, 통합 키, 비밀 키 및 API 호스트 상세정보가 있어야 합니다.

  • authproxy.cfg 파일에 올바른 API 호스트 정보가 있는지 확인합니다.

  • Duo Security Server(듀오 보안 서버) > Duo Admin Panel(듀오 관리자 창) > Applications(애플리케이션) > CISCO RADIUS VPN에서 새로 설치한 듀오 프록시 서버의 기타 필수 설정(보조 인증 요소 등)을 구성합니다.

표 11. 절차

수행해야 할 작업

추가 정보

1단계

Secure Firewall Management Center 웹 인터페이스에 로그인합니다.

2단계

새 RADIUS 서버 그룹을 생성합니다.

RADIUS 서버 그룹 옵션

3단계

새 RADIUS 서버 그룹 내에 듀오 프록시 서버를 호스트로 사용하고 시간 초과가 60초 이상인 RADIUS 서버 개체를 만듭니다.

RADIUS 서버 옵션

참고

 

2단계 인증의 경우 Secure Client 프로파일 XML 파일에서 시간 초과가 60 초 이상으로 업데이트되었는지도 확인합니다.

4단계

마법사를 사용하여 새 Remote Access VPN 정책을 구성하거나 기존 Remote Access VPN 정책을 편집합니다.

새 Remote Access VPN 정책 생성

5단계

RADIUS를 인증 서버로 선택한 다음, 듀오 프록시 서버로 생성한 RADIUS 서버 그룹을 인증 서버로 선택합니다.

Remote Access VPN에 대한 AAA 설정

7단계

구성 변경 사항을 구축합니다.

구성 변경 사항 구축

보조 인증

Secure Firewall Threat Defense의 보조 인증 또는 이중 이중은 서로 다른 인증 서버 2개를 이용해 원격 액세스 VPN 연결에 레이어를 추가합니다. 보조 인증을 활성화하면, Secure Client VPN 사용자는 자격 증명 모음 2개를 입력해야 VPN 게이트웨이에 로그인할 수 있습니다.

Secure Firewall Threat Defense 원격 액세스 VPN은 AAA 전용과 클라이언트 인증서 및 AAA 인증 방법에서만 지원됩니다.

그림 2. Remote Access VPN 보조 또는 이중 인증

Remote Access VPN 보조 인증 구성

Remote Access VPN 인증이 클라이언트 인증서와 인증 서버를 모두 사용하도록 구성되면 VPN 클라이언트 인증은 클라이언트 인증서 유효성 검사와 AAA 서버를 사용하여 수행됩니다.
시작하기 전에

  • 인증 (AAA) 서버 2개, 즉 기본 및 보조 인증 서버를 구성하고, 필요한 ID 인증서를 구성합니다. 인증 서버는 RADIUS 서버나 AD 또는 LDAP 영역이 될 수 있습니다.

  • 원격 액세스 VPN 구성이 작동하려면 Secure Firewall Threat Defense 디바이스에서 AAA 서버에 연결할 수 있는지 확인합니다. 라우팅을 구성(Devices(디바이스) > Device Management(디바이스 관리) > Edit Device(디바이스 편집) > Routing(라우팅))하여 AAA 서버에 대한 연결성을 보장합니다.

프로시저

단계 1

Secure Firewall Management Center 웹 인터페이스에서 Devices(디바이스)> VPN > Remote Access(원격 액세스)를 선택합니다.

단계 2

원격 액세스 정책을 선택하고 Edit(편집)을 클릭하거나 Add(추가)를 클릭하여 새 원격 액세스 VPN 정책을 생성합니다.

단계 3

새 Remote Access VPN 정책의 경우 연결 프로파일 설정을 선택하는 동안 인증을 구성합니다. 기존 구성의 경우 클라이언트 프로파일을 포함하는 연결 프로파일을 선택하고 Edit(편집)를 클릭합니다.

단계 4

AAA > Authentication Method(인증 방법), AAA 또는 Client Certificate & AAA(클라이언트 인증서 및 AAA)를 클릭합니다.

  • 다음과 같이 Authentication Method(인증 방법)를 선택하는 경우:

    Client Certificate & AAA(클라이언트 인증서 및 AAA) - 클라이언트 인증서와 AAA 서버를 모두 이용해 인증합니다.

    • AAA - Authentication Server(인증 서버)RADIUS로 선택하는 경우 Authorization Server(권한 부여 서버)는 기본적으로 동일한 값을 가집니다. 드롭다운 목록에서 Accounting Server(과금 서버)를 선택합니다. Authentication Server(인증 서버) 드롭다운 목록에서 ADLDAP를 선택할 때마다 Authorization Server(권한 부여 서버)Accounting Server(과금 서버)를 각각 수동으로 선택해야 합니다.

    • 어떤 인증 방법을 선택하든 Allow connection only if user exists in authorization database(사용자가 권한 부여 데이터베이스에 있는 경우에만 연결 허용)를 선택하거나 선택 취소합니다.

  • 2차 인증 사용 - VPN 세션에 대한 추가 보안을 제공하기 위해 기본 인증 외에 2차 인증이 구성됩니다. 2차 인증은 AAA 전용클라이언트 인증서 및 AAA 인증 방법에만 적용됩니다.

    보조 인증은 VPN 사용자가 Secure Client 로그인 화면에 사용자 이름 및 암호 모음 2개를 입력해야 하는 선택적 기능입니다. 인증 서버 또는 클라이언트 인증서에서 2차 사용자 이름이 미리 입력되도록 구성할 수도 있습니다. 원격 액세스 VPN 인증은 기본 인증과 보조 인증을 모두 성공한 경우에만 부여됩니다. 인증 서버 중 하나에 연결할 수 없거나 한쪽 인증에서 장애가 발생하면 VPN 인증이 거부됩니다.

    보조 인증을 구성하기 전에, 두 번째 사용자 이름과 암호에 대해 보조 인증 서버 그룹(AAA 서버)을 구성해야 합니다. 예를 들어 기본 인증 서버는 LDAP나 Active Directory 영역으로, 보조 인증은 RADIUS 서버로 설정할 수 있습니다.

    참고

     

    기본적으로 보조 인증이 필수가 아닙니다.

    인증 서버 - VPN 사용자에게 보조 사용자 이름 및 암호를 제공하는 보조 인증 서버입니다.

    보조 인증용 사용자 이름에서 다음을 선택하십시오.

    • 프롬프트: VPN 게이트웨이에 로그인하는 동안 사용자에게 사용자 이름과 암호를 입력하라는 메시지를 표시합니다.

    • 기본 인증 사용자 이름 사용: 사용자 이름은 기본 인증 서버와 2차 인증 모두에 대해 기본 인증 서버에서 가져옵니다. 두 개의 암호를 입력해야 합니다.

    • 클라이언트 인증서의 사용자 이름 매핑: 클라이언트 인증서의 보조 사용자 이름을 미리 채웁니다.

      • Map specific field(특정 필드 매핑) 옵션을 선택하면 클라이언트 인증서의 사용자 이름이 포함됩니다. Primary(기본)Secondary(보조) 필드에는 CN(Common Name)OU(Organizational Unit) 각각의 기본값이 표시됩니다. Use entire DN (Distinguished Name) as username(전체 DN을 사용자 이름으로 사용) 옵션을 선택하는 경우 시스템은 자동으로 사용자 ID를 검색합니다.

        기본 및 보조 필드 매핑에 대한 자세한 내용은 인증 방법 설명을 참조하십시오.

      • 인증서의 사용자 이름을 사용자 로그인 창에 미리 채우기: Secure Client를 통해 사용자가 연결할 때 클라이언트 인증서에서 보조 사용자 이름을 미리 채웁니다.

        • 로그인 창에서 사용자 이름 숨기기: 보조 사용자 이름은 클라이언트 인증서에서 미리 채워지지만 미리 채워진 사용자 이름은 수정을 방지하기 위해 사용자에게 표시되지 않습니다.

    • VPN 세션에 보조 사용자 이름 사용: 보조 사용자 이름은 VPN 세션 중에 사용자 활동을보고하는 데 사용됩니다.

자세한 내용은 Remote Access VPN에 대한 AAA 설정를 참고하십시오.

SAML 2.0을 사용한 SSO(Single Sign-On) 인증

SAML SSO(Single Sign-On) 인증 관련 정보

SAML(Security Assertion Markup Language)은 다른 상황에서 사용자의 세션을 사용하여 애플리케이션에 사용자를 로그인하기 위한 개방형 표준입니다. 조직은 사용자가 AD(Active Directory) 도메인 또는 인트라넷에 로그인할 때 사용자의 ID를 이미 알고 있습니다. 이들은 이 ID 정보를 사용하여 SAML을 사용하는 웹 기반 애플리케이션과 같은 다른 애플리케이션에 사용자를 로그인합니다. 개별 애플리케이션은 자격 증명을 저장할 필요가 없으며, 사용자는 개별 애플리케이션에 대해 서로 다른 자격 증명 집합을 기억하고 관리할 필요가 없습니다. SAML SSO(Single Sign-On)는 한 위치(ID 제공자)에서 다른 위치(서비스 제공자)로 사용자 ID를 전송하는 방식으로 작동합니다.

Secure Firewall Threat Defense을 이용한 SAML Single Sign-On

Secure Firewall Threat Defense 디바이스는 Secure Client를 사용하는 원격 액세스 VPN 연결을 위한 SAML 2.0 SSO(Single Sign-On) 인증을 지원합니다. Secure Firewall Threat Defense에서 SAML 2.0 SSO를 설정하려면 다음이 필요합니다.

  • IdP(Identity Provider) - Duo Access Gateway는 사용자 인증을 수행하고 어설션을 발급하는 ID 제공자 역할을 합니다.

  • SP(Service Provider) - threat defense 디바이스가 서비스 제공자 역할을 하며 ID 제공자로부터 인증 어설션을 가져옵니다.

  • VPN 클라이언트 - Secure Client는 임베디드 브라우저를 통해 SAML 2.0 인증을 수행합니다.

SAML 2.0에 대한 지침 및 제한 사항

  • Threat Defense는 SAML 인증을 위해 다음 서명을 지원합니다.

    • RSA 및 HMAC를 사용하는 SHA1

    • RSA 및 HMAC를 사용하는 SHA2

  • Threat Defense는 모든 SAML IdP에서 지원하는 SAML 2.0 Redirect-POST 바인딩을 지원합니다.

  • Threat Defense는 SAML SP로만 작동합니다. 게이트웨이 모드 또는 피어 모드에서 IdP(Identity Provider)로 작동할 수 없습니다.

  • SAML 도메인과 일치하는 AD 영역과 연결된 ID 정책이 있는 경우 SAML 인증 사용자에게 액세스 정책을 시행할 수 있습니다.

  • DAP 평가에서 사용 가능한 SAML 인증 속성(AAA 서버의 RADIUS 인증 응답에서 전송되는 RADIUS 속성과 유사)은 지원되지 않습니다. Threat Defense는 DAP 정책에서 SAML 지원 그룹 정책을 지원합니다. 그러나 사용자 이름 속성은 SAML ID 제공자에 의해 마스크 처리되므로 SAML 인증을 사용하는 동안에는 사용자 이름 속성을 확인할 수 없습니다.

  • Threat Defense 관리자는 인증 어설션 및 적절한 시간 제한 동작을 적절하게 처리하기 위해 threat defense와 SAML IdP 간의 클럭 동기화를 확인해야 합니다.

  • Threat Defense 관리자는 다음 사항을 고려하면서 threat defense와 IdP 모두에서 유효한 서명 인증서를 유지해야 합니다.

    • threat defense에서 IdP를 구성하는 경우에는 IdP 서명 인증서가 필수입니다.

    • threat defense는 IdP에서 수신된 서명 인증서에서 해지 확인을 수행하지 않습니다.

  • SAML 어설션에는 NotBefore 및 NotOnOrAfter 조건이 있습니다. 구성된 threat defense SAML 시간 제한은 이러한 조건과 다음과 같이 상호 작용합니다.

    • 시간 제한은 NotBefore의 합계와 시간 제한이 NotOnOrAfter 이전인 경우 NotOnOrAfter를 재정의합니다.

    • NotBefore + 시간 제한이 NotOnOrAfter 이후이면 NotOnOrAfter가 적용됩니다.

    • NotBefore 속성이 없으면 threat defense에서 로그인 요청을 거부합니다. NotOnOrAfter 속성이 없고 SAML 시간 제한이 설정되지 않은 경우 threat defense에서 로그인 요청을 거부합니다.

  • Threat Defense는 내부 SAML을 사용하는 배포에서 Duo와 함께 작동하지 않습니다. 이 경우 2-요소 인증(푸시, 코드, 비밀번호)을 위한 챌린지/응답 중에 발생하는 FQDN 변경으로 인해 threat defense가 클라이언트를 프록시하여 인증하도록 강제됩니다.

  • Secure Client와 함께 SAML을 사용할 경우, 다음과 같은 지침이 있습니다.

    • 신뢰할 수 없는 서버 인증서는 임베디드 브라우저에서 허용되지 않습니다.

    • CLI 또는 SBL 모드에서는 임베디드 브라우저 SAML 통합이 지원되지 않습니다.

    • 웹 브라우저에서 설정된 SAML 인증은 Secure Client와 공유되지 않으며 반대의 경우도 마찬가지입니다.

    • 구성에 따라 임베디드 브라우저가 포함된 헤드엔드에 연결할 때는 다양한 방법이 사용됩니다. 예를 들어 Secure Client의 경우 IPv6 연결보다 IPv4 연결이 기본적으로 사용될 수 있는 반면 임베디드 브라우저의 경우 IPv6이 기본적으로 사용될 수도 있고 그 반대의 방식이 적용될 수도 있습니다. 마찬가지로 Secure Client는 프록시 사용을 시도한 후 장애가 발생하면 프록시 없음으로 대체할 수 있는 반면 임베디드 브라우저의 경우에는 프록시 사용을 시도한 후 장애가 발생하면 탐색을 중지할 수 있습니다.

    • SAML 기능을 사용하려면 threat defense의 NTP(Network Time Protocol) 서버와 IdP NTP 서버를 동기화해야 합니다.

    • 내부 IdP를 사용하여 로그인한 후에는 SSO를 사용하여 내부 서버에 액세스할 수 없습니다.

    • SAML IdP NameID 속성은 사용자의 사용자 이름을 확인하며 권한 부여, 계정 관리 및 VPN 세션 데이터베이스에 사용됩니다.

SAML SSO(Single Sign-On) 인증 구성

시작하기 전에

threat defense 원격 액세스 VPN으로 SAML 단일 로그인을 설정하기 전에 다음을 수행했는지 확인합니다.

  • Duo로 계정 생성

  • Duo Access Gateway 다운로드 및 설치

  • SAML ID 제공자(Duo)에서 다음 정보를 얻습니다.

    • ID 제공자 엔티티 ID URL

    • 로그인 URL

    • 로그아웃 URL

    • ID 공급자 인증서

  • SAML SSO(Single Sign-On) 서버 개체를 생성합니다. 자세한 내용은 SSO(Single Sign-On) 서버 추가을 참고하십시오.


    참고

    원격 액세스 VPN 정책 마법사를 사용하여 새 정책을 생성할 때 연결 프로파일 설정에 단일 로그온 서버 개체를 생성할 수 있습니다.

프로시저

단계 1

Devices(디바이스) > VPN > Remote Access(원격 액세스)을 선택합니다.

단계 2

SAML 인증을 구성하려는 원격 액세스 VPN 정책 옆에 있는 Edit(편집)를 클릭합니다. 새 정책을 생성하려면 Add(추가)를 클릭합니다.

단계 3

수정할 연결 프로파일에서 Edit(편집)를 클릭합니다.

단계 4

AAA 설정을 선택하고 Authentication Method(인증 방법) 드롭다운에서 SAML을 선택합니다.

단계 5

필요한 SAML SSO(Single Sign-On) 서버를 인증 서버로 선택합니다.

단계 6

원격 액세스 VPN에 대한 필요한 설정을 구성합니다.

단계 7

threat defense 디바이스에 원격 액세스 VPN 정책을 저장하고 구축합니다.

SAML 권한 부여 구성

SAML 권한 부여 정보

SAML 권한 부여는 AAA 및 DAP(Dynamic Access Policy) 프레임워크 내에서 SAML 어설션으로 전달되는 사용자 특성을 지원합니다. ID 제공자에서 SAML 어셜션 속성을 이름-값 쌍으로 구성한 다음 문자열로 구문 분석할 수 있습니다. 수신된 특성은 DAP 레코드 내에서 선택 기준을 정의할 때 사용할 수 있도록 DAP에서 사용할 수 있습니다. SAML 어설션 cisco_group_policy는 VPN 세션에 적용할 그룹 정책을 결정하는 데 사용됩니다.

Dynamic Access Policy 속성 표시

DAP 테이블에서 DAP 속성은 다음 형식으로 표시됩니다.

aaa.saml.name = "value”

예: aaa.saml.department = ”finance"

이 특성은 다음과 같이 DAP 선택에 사용할 수 있습니다.

<attr>
<name>aaa.saml.department</name>
<value>finance</value>
<operation>EQ</operation>
</attr>
다중 값 속성

다중값 속성은 DAP에서도 지원되며 DAP 테이블은 인덱싱됩니다.

aaa.saml.name.1 = "value”
aaa.saml.name.2 = "value"
Active Directory memberOf 속성

AD(Active Directory) memberOf 속성은 LDAP 쿼리를 통해 처리되는 방식과 일치하는 특수 처리를 수신합니다.

그룹 이름은 DN의 CN 속성으로 표시됩니다.

권한 부여 서버에서 수신한 속성의 예:

memberOf = "CN=FTD-VPN-Group,OU=Users,OU=TechspotUsers,DC=techspot,DC=us"
 memberOf = "CN=Domain Admins,OU=Users,DC=techspot,DC=us”

Dynamic Access Policy 속성:

aaa.saml.memberOf.1 = "FTD-VPN-Group”
aaa.saml.memberOf.2 = "Domain Admins"
cisco_group_policy 속성의 해석

그룹 정책은 SAML 어설션 속성으로 지정할 수 있습니다. threat defense에서 "cisco_group_policy" 속성을 수신하면 해당 값을 사용하여 연결 그룹 정책을 선택합니다.

SAML 권한 부여 구성
시작하기 전에

DUO와 같은 SSO(Single Sign On) 서버를 구성하고 필수 IdP(Identity Provider) 및 SP(Service Provider) 설정을 완료했는지 확인합니다.

자세한 내용은 SAML 2.0을 사용한 SSO(Single Sign-On) 인증을 참고하십시오.

프로시저

단계 1

아직 구성되지 않은 경우 SSO(Single Sign-On) 서버 개체를 구성합니다.

  1. Object(개체) > Object Management(개체 관리) > AAA Server(AAA 서버) > Single Sign-on Server(SSO(Single Sign-On) 서버)를 선택합니다.

  2. Add Single Sign-on Server(SSO(Single Sign-On) 서버 추가)를 클릭합니다.

  3. SSO(Single Sign-On, 단일 인증) 서버 세부 정보를 입력하고 Save(저장)를 클릭합니다.

자세한 내용은 SSO(Single Sign-On) 서버 추가을 참고하십시오.

단계 2

원격 액세스 VPN 연결 프로파일에서 SAML 인증을 구성합니다.

  1. Devices(디바이스) > Remote Access(원격 액세스)를 선택합니다.

  2. SAML 권한 부여를 구성하거나 새 정책을 생성할 원격 액세스 VPN 정책에서 Edit(편집)를 클릭합니다.

  3. 필요한 연결 프로파일을 편집하고 AAA를 선택합니다.

  4. Authentication Server(인증 서버) 드롭다운에서 SSO(Single Sign-On) 서버 개체를 선택합니다.

  5. 원격 액세스 VPN 구성을 저장합니다.

단계 3

DAP 정책의 SAML 기준과 일치합니다.

  1. Devices(디바이스) > Dynamic Access Policy(Dynamic Access Policy)를 선택합니다.

  2. 새 DAP를 생성하거나 기존 DAP를 편집합니다.

  3. DAP 레코드를 생성하거나 기존 레코드를 편집합니다.

  4. AAA Criteria(AAA 기준) > SAML Criteria(SAML 기준) > Add SAML Criteria(SAML 기준 추가)를 클릭합니다.

  5. SSO 서버에서 반환한 SAML 어설션을 기반으로 SAML 기준을 생성합니다.

단계 4

원격 액세스 VPN 구성을 구축합니다.

고급 Secure Client 구성

Threat Defense에서 Secure Client 모듈 구성

Secure Client는 다양한 Cisco 엔드포인트 보안 솔루션과 통합할 수 있으며 다양한 Secure Client 모듈을 사용하여 향상된 보안을 제공할 수 있습니다.

매니지드 헤드엔드 threat defense를 사용하여 Secure Client 모듈을 엔드포인트에 배포하고 관리할 수 있습니다. 사용자가 threat defense에 연결할 때, 엔드포인트에 Secure Client 및 필요한 모듈을 다운로드하여 설치합니다.

6.7 이상 버전에서는 management center에서 관리하는 헤드엔드 threat defense를 사용하여 Secure Client 모듈을 엔드포인트에 배포하고 관리할 수 있습니다. 이러한 모듈은 해당하는 Cisco 엔드포인트 보안 솔루션과 통합됩니다.

6.4~6.6 버전에서는 threat defense에서 FlexConfig를 사용하여 이러한 모듈 및 프로파일을 활성화할 수 있습니다. 자세한 내용은 FlexConfig를 사용하여 AnyConnect 모듈 및 프로파일 구성을 참고하십시오.

장점

Secure Client 모듈을 엔드포인트에 배포하고 관리하기 위해 threat defense를 사용하는 경우 다음 작업을 쉽게 수행할 수 있습니다.

  • 각 엔드포인트에서 Secure Client 모듈과 프로파일 배포 및 관리.

  • 각 엔드포인트에서 Secure Client 업그레이드.

Secure Client 모듈 유형

AMP Enabler

엔드포인트에 Cisco Secure Endpoint(이전의 AMP for Endpoints)를 구축하려면 이 모듈을 사용합니다. 이 모듈은 엔터프라이즈 환경 내에서 로컬로 호스팅되는 서버의 엔드포인트에 Cisco Secure Endpoint를 푸시합니다. 이 모듈에서는 네트워크에서 발생할 수 있는 멀웨어 위협을 탐지하고 제거하며 엔터프라이즈 환경을 보호하는 추가 보안 에이전트를 제공합니다.

Cisco Secure Client 5.0에서 AMP Enabler는 macOS 전용입니다. Windows용 Cisco Secure Client는 Cisco Secure Endpoint와의 완전한 통합을 제공합니다.

ISE Posture

Cisco Identity Services Engine(ISE)을 통해 안티바이러스, 안티스파이웨어, 운영 체제 등의 엔드포인트 보안 상태 확인을 수행하고 엔드포인트의 컴플라이언스를 평가하려면 이 모듈을 사용합니다. ISE는 차세대 ID 및 액세스 제어 정책을 제공합니다. ISE Posture는 클라이언트 측 평가를 실시합니다. 클라이언트는 헤드엔드에서 포스처 요건 정책을 수신하고 포스처 데이터 수집을 수행하며 결과를 정책과 비교하여 평가 결과를 헤드엔드에 전송합니다.

네트워크 가시성

Network Visibility Module을 통해 엔드포인트 애플리케이션 사용량을 모니터링하려면 이 모듈을 사용합니다. 잠재적인 동작 변칙을 발견하고 정보에 입각한 네트워크 설계 결정을 내릴 수 있습니다. 이는 용량 및 서비스 계획, 감사, 컴플라이언스 및 보안 애널리틱스를 수행하기 위한 엔터프라이즈 관리자의 역량을 개선합니다. Cisco Stealthwatch와 같은 NetFlow 분석 툴과 사용량 데이터를 공유할 수 있습니다.

Umbrella 로밍 보안

Cisco Umbrella 로밍 보안 서비스를 사용하는 DNS 레이어 보안에 이 모듈을 사용합니다. Cisco Umbrella에서는 콘텐츠 필터링, 다양한 정책, 강력한 보고 기능, Active Directory 통합 기능 등도 제공합니다.

웹 보안

Cisco Talos에서 제공하는 Cisco WSA(Web Security Appliance)를 활성화하려면 이 모듈을 사용합니다. 이 모듈은 사용자의 액세스를 허용하기 전에 위험한 사이트를 차단하고 알 수 없는 사이트를 테스트하여 엔드포인트를 보호합니다. 온프레미스 WSA 또는 클라우드 기반 Cisco Cloud Web Security를 통해 웹 보안을 구축할 수 있습니다. 이 모듈은 릴리스 4.5 및 Secure Client 5.0의 AnyConnect 패키지에는 포함되어 있지 않습니다.

Network Access Manager

이 모듈은 보안 Layer 2 네트워크를 제공하고 유선 및 무선 네트워크 액세스를 위한 디바이스 인증을 실행합니다. Network Access Manager는 사용자와 디바이스 ID 및 보안 액세스에 필요한 네트워크 액세스 프로토콜을 관리합니다.

Network Access Manager는 macOS 또는 Linux에서는 지원되지 않습니다.

로그인 전에 시작

SBL(Start Before Login, 로그인 전 시작)이라는 기능을 사용하면 Windows에 로그인하기 전에 엔터프라이즈 인프라에 대한 VPN 연결을 설정할 수 있습니다. SBL 모듈 설치 후 Secure Client VPN 프로파일에서 SBL을 활성화하고 원격 액세스 VPN 그룹 정책에 추가해야 합니다.

DART

DART(Diagnostics and Reporting Tool)는 시스템 로그 및 기타 진단 정보를 수집하여 AnyConnect 설치 및 연결 문제를 해결합니다. 문제 해결을 위해 이 데이터를 Cisco TAC에 보낼 수 있습니다.

기본적으로 6.7 이상 버전의 새 RA VPN 그룹 정책에서는 DART가 활성화되지 않습니다. 6.6 이하 버전에서는 DART가 기본적으로 활성화되어 있습니다.

피드백

CEF(Customer Experience Feedback, 고객 경험 피드백) 모듈은 고객이 사용하고 활성화한 기능 및 모듈에 대한 정보를 제공합니다. 이 정보를 바탕으로 사용자 경험에 대한 통찰력을 얻을 수 있으므로 Cisco는 Cisco Secure Client의 품질, 안정성, 성능 및 사용자 경험을 지속적으로 개선할 수 있습니다. Secure Client에서는 피드백 모듈을 엔드포인트에 다운로드하지 않습니다. 피드백 데이터는 Cisco Feedback Server로 전송됩니다.

Secure Client 모듈 구성을 위한 사전 요건

  • 사용하려는 모듈에 따라 연결된 제품을 구성합니다.

  • Cisco 소프트웨어 다운로드 센터에서 로컬 호스트로 다음 Secure Client 관련 패키지를 다운로드합니다.

    • 필요한 플랫폼에 맞는 Cisco Secure Client Headend Deployment Package

      이 패키지는 헤드엔드용이며 모든 Secure Client 모듈을 포함하고 있습니다. Windows의 경우 파일 이름은 cisco-secure-client-win-5.0.03076-webdeploy-k9.pkg입니다.

    • Profile Editor(프로파일 편집기): 프로파일이 필요한 모듈에 사용할 프로파일을 생성합니다.

      Secure Client에는 일부 모듈에 대한 Secure Client 프로파일이 필요합니다. 프로파일에는 모듈을 활성화하고 해당 보안 서비스에 연결하기 위한 구성이 포함되어 있습니다. 프로파일 편집기는 Windows만 지원합니다.

      다음 표에는 모듈에 클라이언트 프로파일이 필요한지 여부가 나와 있습니다.

      Secure Client 모듈

      클라이언트 프로파일 필요

      AMP Enabler

      ISE Posture

      Network Access Manager

      Network Visibility Module

      Umbrella 로밍 보안 모듈

      피드백

      웹 보안

      DART

      아니요

      로그인 전에 시작

      아니요

  • 라이선싱

    • 다음 Secure Client 라이선스 중 하나가 필요합니다. Secure Client Premier, Secure Client Advantage 또는 Secure Client VPN Only

    • management center Essentials 라이선스는 내보내기 제어 기능을 허용해야 합니다.

      Management Center에서 이 기능을 확인하려면 System(시스템) > License(라이선스) > Smart License(스마트 라이선스)를 선택합니다.

Secure Client 모듈 구성 지침

  • 모든 Secure Client 모듈은 AnyConnect 4.8 이상 및 Secure Client 5.0에서 지원됩니다.

  • 모듈에 따라 서로 다른 파일 확장명의 프로파일이 지원됩니다. 다음 표에는 모듈 및 해당 프로파일의 지원되는 파일 확장명이 나와 있습니다.

    표 12. 프로파일의 지원되는 파일 확장명

    모듈

    파일 확장명

    AMP Enabler

    *.xml, *.asp

    피드백

    *.xml

    ISE Posture

    *.xml, *.isp

    Network Access Manager

    *.xml, *.nsp

    네트워크 가시성

    *.xml, *.nvmsp

    Umbrella 로밍 보안

    *.xml, *.json

    웹 보안

    *.xml, *.wsp, *.wso

  • 클라이언트 모듈당 하나의 항목만 추가할 수 있습니다. 모듈에 대한 항목을 편집하거나 삭제할 수 있습니다.

  • Windows OS에서 ISE Posture 및 Network Access Manager 모듈을 사용하려는 경우 ISE Posture 모듈을 사용하기 전에 Network Access Manager를 설치해야 합니다.

  • Umbrella 로밍 보안 모듈을 활성화하는 경우 VPN 그룹 정책의 스플릿 터널링에서 Always send DNS requests over tunnel(항상 터널을 통해 DNS 요청 전송) 옵션을 비활성화해야 합니다.

  • SBL을 사용하려는 경우 Secure Client VPN 프로파일에서 SBL을 활성화해야 합니다.

Threat Defense를 사용하여 Secure Client 모듈 설치

시작하기 전에

Secure Client 모듈 구성을 위한 사전 요건Secure Client 모듈 구성 지침 항목을 검토하십시오.

프로시저

단계 1

관리자는 필요한 경우 필수 Secure Client 모듈에 대해 프로파일을 생성합니다.

단계 2

관리자는 management center를 사용하여 다음을 수행합니다.

  1. 원격 액세스 VPN 그룹 정책에 모듈을 구성하고 프로파일을 추가합니다.

  2. 구성을 threat defense에 구축합니다.

단계 3

사용자가 Secure Client를 사용하여 threat defense에 대한 VPN 연결을 시작합니다.

단계 4

threat defense가 사용자를 인증합니다.

단계 5

Secure Client가 업데이트를 확인합니다.

단계 6

threat defense가 엔드포인트에서 Secure Client 모듈 및 프로파일을 배포합니다.

다음에 수행할 작업

Secure Client 모듈을 사용한 원격 액세스 VPN 그룹 정책 구성.

Secure Client 모듈을 사용한 원격 액세스 VPN 그룹 정책 구성

management center에서 관리되는 threat defense를 사용하여 엔드포인트에서 Secure Client 모듈을 설치하고 업데이트하려면 Secure Client 모듈 구성으로 원격 액세스 VPN 그룹 정책을 업데이트해야 합니다.

시작하기 전에

management center에 원격 액세스 VPN 정책이 구성되어 있는지 확인하십시오.

프로시저

단계 1

Devices(디바이스) > Remote Access(원격 액세스)를 선택합니다.

단계 2

원격 액세스 VPN 정책을 선택하고 Edit(편집)을 클릭합니다.

단계 3

Connection Profile(연결 프로파일)을 선택하고 Edit(편집)을 클릭합니다.

단계 4

Edit Group Policy(그룹 정책 편집)를 클릭합니다.

단계 5

Secure Client 탭을 클릭합니다.

단계 6

Client Modules(클라이언트 모듈)을 클릭합니다.

단계 7

+를 클릭합니다.

단계 8

Client Module(클라이언트 모듈) 드롭다운 목록에서 모듈을 선택합니다.

단계 9

Profile to download(다운로드할 프로파일) 드롭다운 목록에서 모듈의 프로파일을 선택하거나 +를 클릭하여 프로파일을 추가합니다.

단계 10

Enable module download(모듈 다운로드 활성화) 체크 박스를 선택하여 엔드포인트에 모듈을 다운로드합니다.

단계 11

Add(추가)를 클릭합니다.

단계 12

모듈을 더 추가하려면 7~11단계를 반복합니다.

단계 13

Save(저장)를 클릭합니다.

다음에 수행할 작업

  1. 구성을 Threat Defense에 구축합니다.

  2. Secure Client를 실행하고 VPN 프로파일을 선택한 후 VPN에 연결합니다. Secure Client에 구성된 모듈이 설치됩니다.

  3. 구성을 확인합니다. 자세한 내용은 Secure Client 모듈 구성 확인를 참고하십시오.

Secure Client 모듈 구성 확인

Threat Defense에서

threat defense에서 다음 명령을 사용하여 프로파일 및 Secure Client 모듈 구성을 확인합니다.

  • show disk0:- 프로필 및 해당 구성을 확인합니다.

  • show run webvpn - Secure Client 구성의 세부 정보를 확인합니다.

  • show run group-policy <ravpn_group_policy_name> - Secure Client에 대한 RA VPN 그룹 정책의 세부 정보를 확인합니다.

  • show vpn-sessiondb anyconnect - 활성 Secure Client VPN의 세부 정보를 확인합니다.

엔드포인트

  1. Secure Client를 사용하여 threat defense에 대한 VPN 연결을 설정합니다.

  2. 구성된 모듈이 Secure Client의 일부로 다운로드되어 설치되는지 확인합니다.

  3. 구성된 프로파일(있는 경우)을 모든 운영 체제의 프로파일 위치에 나온 위치에서 사용할 수 있는지 확인합니다.

Management Center에서

원격 액세스 VPN 대시보드(Overview(개요) - Remote Access VPN(원격 액세스 VPN))를 사용하여 management center에서 원격 액세스 VPN 활성 세션을 모니터링할 수 있습니다. 사용자 세션과 관련된 문제를 신속하게 확인하고 네트워크 및 사용자의 문제를 완화할 수 있습니다.

모바일 디바이스의 애플리케이션 기반(앱별) 원격 액세스 VPN 구성

Secure Client를 사용하여 모바일 디바이스에서 VPN 연결을 설정하면 개인 애플리케이션의 트래픽을 포함한 모든 트래픽이 VPN을 통해 라우팅됩니다.

Android 또는 iOS에서 실행되는 모바일 디바이스에 대해 VPN 터널을 사용하는 애플리케이션을 제한할 수 있습니다. 이 애플리케이션 기반 원격 액세스 VPN을 앱별 VPN이라고 합니다. 앱별 VPN을 사용하려면 타사 MDM(Mobile Device Management ) 애플리케이션을 설치하고 구성해야 합니다. MDM에서 VPN 터널을 통해 사용할 수 있는 승인된 애플리케이션 목록을 정의해야 합니다. MDM에서 모바일 디바이스에 정책을 적용할 수 있도록 threat defense 헤드엔드에서 앱별 VPN을 활성화할 수 있습니다.

장점

승인된 애플리케이션으로 원격 액세스 VPN을 제한할 경우의 이점은 다음과 같습니다.

  • 성능 - 기업 네트워크를 통한 VPN 트래픽을 제한하고 VPN 헤드엔드의 리소스를 확보합니다.

  • 보호 - 모바일 디바이스에서 승인되지 않은 악성 애플리케이션으로부터 회사 VPN 터널을 보호합니다.

앱별 VPN 터널 구성을 위한 사전 요건 및 라이선싱

사전 요건

  • 타사 MDM(Mobile Device Manager)을 설치하고 구성합니다.

    threat defense 헤드엔드 디바이스가 아닌 MDM 자체의 VPN에서 허용되는 애플리케이션을 구성해야 합니다.

  • Cisco 소프트웨어 다운로드 센터에서 Cisco AnyConnect Enterprise Application Selector(Cisco AnyConnect 엔터프라이즈 애플리케이션 선택기)를 다운로드합니다.

    앱별 VPN 정책을 정의하려면 이 툴이 필요합니다.

라이선싱

  • Secure Client Premier 또는 Secure Client Advantage.

  • Essentials 라이선스는 내보내기 제어 기능을 허용해야 합니다.

    management center에서 이 기능을 확인하려면 System(시스템) > License(라이선스) > Smart License(스마트 라이선스)를 선택합니다.

모바일 애플리케이션의 애플리케이션 ID 확인

모바일 디바이스의 애플리케이션 기반 VPN을 허용하도록 threat defense 헤드엔드를 구성하려면 터널에서 허용할 애플리케이션을 결정해야 합니다.

사용자의 모바일 디바이스의 MDM에서 앱별 정책을 구성하는 것이 좋습니다. 그러면 헤드엔드 구성이 간소화됩니다. 헤드엔드에서 허용되는 애플리케이션 목록을 구성하려면 각 엔드포인트 유형에서 각 애플리케이션의 애플리케이션 ID를 확인해야 합니다.

iOS에서 번들 ID라고 하는 애플리케이션 ID는 역방향 DNS 이름입니다. 별표(*)를 와일드카드로 사용할 수 있습니다. 예를 들어 *.*는 모든 애플리케이션을 나타내고, com.cisco.*는 모든 Cisco 애플리케이션을 나타냅니다.

애플리케이션 ID를 확인하려면 다음을 수행합니다.

  • Android - 웹 브라우저에서 Google Play로 이동하여 앱 카테고리를 선택합니다. 허용할 애플리케이션을 클릭하거나 마우스로 가리킨 다음 URL을 확인합니다. 앱 ID는 UR의 id= 매개변수에 있습니다. 예를 들어 다음 URL은 Facebook Messenger에 대한 것으로, 앱 ID는 com.facebook.orca입니다.

    https://play.google.com/store/apps/details?id=com.facebook.orca

    Google Play를 통해 사용할 수 없는 애플리케이션(예: 사용자가 만든 애플리케이션)의 경우 패키지 이름 뷰어 애플리케이션을 다운로드하여 앱 ID를 추출하십시오. 이러한 애플리케이션은 대부분 사용 가능하며 그중 하나에서 필요한 기능을 제공할 수 있지만 Cisco에서는 이러한 애플리케이션을 보증하지 않습니다.

  • iOS - 번들 ID를 직접 가져올 수 있는 방법이 없습니다. 다음은 번들 ID를 찾는 한 가지 방법입니다.

    1. Chrome과 같은 데스크톱 웹 브라우저를 사용하여 애플리케이션 이름을 검색합니다.

    2. 검색 결과에서 Apple App Store에서 앱을 다운로드할 수 있는 링크가 있는지 확인합니다. 예를 들어 Facebook Messager는 다음과 유사합니다.

      https://apps.apple.com/us/app/messenger/id454638411

    3. id 문자열 뒤의 숫자를 복사합니다. 이 예에서는 454638411입니다.

    4. 새 브라우저 창을 열고 다음 URL 끝에 이 숫자를 추가합니다.

      https://itunes.apple.com/lookup?id=

      이 예의 경우 https://itunes.apple.com/lookup?id=454638411입니다.

    5. 일반적으로 1.txt라는 텍스트 파일을 다운로드하라는 메시지가 표시됩니다. 파일을 다운로드합니다.

    6. WordPad와 같은 텍스트 편집기에서 파일을 열고 bundleId를 검색합니다. 대표적인 예는 다음과 같습니다.

      "bundleId": "com.facebook.Messenger"

      이 예에서 번들 ID는 com.facebook.Messenger입니다. 이 ID를 앱 ID로 사용합니다.

애플리케이션 ID 목록이 생성되면 에 설명된 대로 정책을 설정할 수 있습니다.

애플리케이션 기반 VPN 터널 구성

MDM 소프트웨어를 설치하고 구성하면 threat defense 헤드엔드 디바이스에서 앱별 VPN을 활성화할 수 있습니다. 헤드엔드에서 활성화되면 MDM 소프트웨어에서 VPN을 통해 기업 네트워크로 터널링되는 애플리케이션을 제어합니다.

시작하기 전에

  • management center에 원격 액세스 VPN 정책이 있는지 확인하십시오.

  • MDM을 사용하여 앱별 VPN을 구성하고 MDM 서버에 각 디바이스를 등록합니다.

  • Cisco AnyConnect 엔터프라이즈 애플리케이션 선택기를 다운로드합니다.

프로시저

단계 1

Cisco AnyConnect 엔터프라이즈 애플리케이션 선택기를 사용하여 앱별 VPN 정책을 정의합니다.

간단한 Allow All(모두 허용) 정책을 생성한 후 MDM에 허용되는 애플리케이션을 정의하는 것이 좋습니다. 그러나 헤드엔드에서 목록을 허용하고 제어할 애플리케이션 목록을 지정할 수 있습니다. 특정 애플리케이션을 포함하려면 고유한 이름과 애플리케이션의 앱 ID를 사용하여 각 애플리케이션에 별도의 규칙을 생성합니다. 앱 ID 가져오기에 대한 자세한 내용은 모바일 앱의 애플리케이션 ID 확인을 참고하십시오.

AnyConnect 엔터프라이즈 애플리케이션 선택기를 사용하여 Android 및 iOS 플랫폼을 모두 지원하는 Allow All(모두 허용) 정책을 생성하려면 다음을 수행합니다.

  1. 플랫폼 유형으로 드롭다운 목록에서 Android를 선택하고 다음 옵션을 구성합니다.

    • Friendly Name(식별 이름) - 정책의 이름을 입력합니다. 예를 들어 Allow_All로 지정할 수 있습니다.

    • App ID(앱 ID) - 가능한 모든 애플리케이션과 일치하도록 *.*를 입력합니다.

    • 다른 옵션은 그대로 둡니다.

  2. 플랫폼 유형으로 드롭다운 목록에서 iOS를 선택하고 다음 옵션을 구성합니다.

    • Friendly Name(식별 이름) - 정책의 이름을 입력합니다. 예를 들어 Allow_All로 지정할 수 있습니다.

    • App ID(앱 ID) - 가능한 모든 애플리케이션과 일치하도록 *.*를 입력합니다.

    • 다른 옵션은 그대로 둡니다.

  3. Policy(정책) > View Policy(정책 보기)를 선택하여 정책에 대한 base64 인코딩 문자열을 가져옵니다.

    이 문자열에는 threat defense가 정책을 확인하도록 허용하는 암호화된 XML 파일이 포함되어 있습니다. 이 값을 복사합니다. threat defense에서 앱별 VPN을 구성할 때 이 문자열이 필요합니다.

단계 2

management center를 사용하여 threat defense 헤드엔드 디바이스에서 앱별을 활성화합니다.

  1. Devices(디바이스) > Remote Access(원격 액세스)를 선택합니다.

  2. 원격 액세스 VPN 정책을 선택하고 Edit(편집)을 클릭합니다.

  3. Connection Profile(연결 프로파일)을 선택하고 Edit(편집)을 클릭합니다.

  4. Edit Group Policy(그룹 정책 편집)를 클릭합니다.

  5. Secure Client 탭을 클릭합니다.

  6. Custom Attributes(사용자 지정 속성)를 클릭하고 +를 클릭합니다.

  7. Secure Client Attribute(속성) 드롭다운 목록에서 Per App VPN(앱별 VPN)을 선택합니다.

  8. Custom Attribute Object(사용자 지정 속성 개체) 드롭다운 목록에서 개체를 선택하거나 +를 클릭하여 개체를 추가합니다.

    앱별 VPN에 대한 새 사용자 지정 속성 개체를 추가할 때 Cisco AnyConnect 엔터프라이즈 애플리케이션 선택기의 이름, 설명 및 base64 인코딩 정책 문자열을 입력합니다.

  9. Save(저장)를 클릭합니다.

  10. Add(추가)를 클릭하고 Save(저장)를 클릭합니다.

단계 3

management center에서 변경 사항을 구축합니다.

다음에 수행할 작업

  1. Secure Client를 실행하고 VPN 프로파일을 선택한 후 VPN에 연결합니다.

  2. 구성을 확인합니다. 자세한 내용은 앱 구성별 확인를 참고하십시오.

앱 구성별 확인

Threat Defense에서

threat defense에서 다음 명령을 사용하여 앱별 구성을 확인합니다.

  • show run webvpn

  • show run group-policy <ravpn_group_policy_name>

  • show run anyconnect-custom-data

엔드포인트

엔드포인트가 threat defense와 VPN 연결을 설정한 후

  1. Secure ClientStatistics(통계) 아이콘을 클릭합니다.

  2. Tunnel Mode(터널 모드)는 "Tunnel All Traffic(모든 트래픽 터널링)"이 아닌 "Application Tunnel(애플리케이션 터널)"이 됩니다.

  3. Tunneled Apps(터널링된 앱)에는 MDM에서 터널링을 위해 활성화한 애플리케이션이 나열됩니다.

Remote Access VPN 예시

사용자별 Secure Client 대역폭을 제한하는 방법

이 섹션에서는 VPN 사용자가 Secure Client를 사용하여 Secure Firewall Threat Defense 원격 액세스 VPN 게이트웨이에 연결할 때 사용하는 최대 대역폭을 제한하는 방법을 설명합니다. 단일 사용자 또는 사용자 그룹이 전체 리소스를 차지하지 않도록, threat defense에서 QoS(Quality of service)를 이용해 최대 대역폭을 제한할 수 있습니다. 이 구성을 이용하면 중요한 트래픽에 우선순위를 부여하고, 대역폭 독점을 방지하고, 네트워크를 관리할 수 있습니다. 트래픽이 최대 속도를 초과하면 threat defense에서 초과 트래픽을 취소합니다.

단계

수행해야 할 작업

추가 정보

1

영역을 만들고 설정합니다.

LDAP 영역 또는 Active Directory 영역 및 영역 디렉터리 생성

2

새로 생성한 영역에서 사용 가능한 사용자 또는 그룹에 대한 QoS 정책 및 QoS 규칙을 생성합니다.

3

원격 액세스 VPN 정책을 구성하고 사용자 인증을 위해 새로 생성한 영역을 선택합니다.

새 Remote Access VPN 정책 생성

4

원격 액세스 VPN 정책을 구축합니다.

구성 변경 사항 구축

사용자 ID 기반 액세스 컨트롤 규칙에 VPN ID를 사용하는 방법

단계

수행해야 할 작업

추가 정보

1

영역을 만들고 설정합니다.

LDAP 영역 또는 Active Directory 영역 및 영역 디렉터리 생성.

2

ID 정책을 생성하고 ID 규칙을 추가합니다.

3

ID 정책을 액세스 제어 정책과 연결합니다.

액세스 제어에 다른 정책 연결

4

원격 액세스 VPN 정책을 구성하고 사용자 인증을 위해 새로 생성한 영역을 선택합니다.

새 Remote Access VPN 정책 생성

5

원격 액세스 VPN 정책을 구축합니다.

구성 변경 사항 구축

Threat Defense 다중 인증서 인증 구성

다중 인증서 기반 인증

다중 인증서 기반 인증을 사용하면 threat defense에서 머신 또는 디바이스 인증서를 검증할 수 있습니다. 원격 액세스 VPN 연결 프로파일에서 인증서 기반 인증에 대해 여러 인증서를 활성화할 수 있습니다. AAA 인증과 결합할 수 있습니다. 원격 액세스 VPN 연결 프로파일의 다중 인증서 옵션은 인증서를 통해 머신과 사용자 모두의 인증서 인증을 허용합니다. 이렇게 하면 RA VPN 액세스를 허용하기 위해 사용자의 ID 인증서를 인증하는 것 외에도 디바이스가 회사에서 발급한 디바이스임을 확인할 수 있습니다. 관리자는 세션의 사용자 이름을 시스템 인증서에서 가져올지 아니면 사용자 인증서에서 가져올지를 선택할 수 있습니다.

여러 인증서 기반 인증이 구성된 경우 VPN 클라이언트에서 두 개의 인증서를 가져옵니다.

  • 첫 번째 인증서 - 엔드포인트를 인증하기 위한 시스템 인증서입니다.

  • 두 번째 인증서 - VPN 사용자를 인증하기 위한 사용자 인증서입니다.

threat defense 인증서에 대한 자세한 내용은 Threat Defense 인증서 매핑의 내용을 참조하십시오.

제한 사항

  • 다중 인증서 인증은 현재 인증서 2개로 제한됩니다.

  • Secure Client는 RSA 기반 인증서만 지원합니다.

  • Secure Client 집계 인증 중에는 SHA256, SHA384 및 SHA512 기반 인증서만 지원됩니다.

  • 인증서 인증은 SAML 인증과 결합할 수 없습니다.

인증서로부터 사용자 이름 미리 채우기

사전 채우기 사용자 이름 옵션에서는 인증서의 필드를 구문 분석할 수 있으며 후속 AAA 인증(기본 및 보조)에 사용할 수 있습니다. 두 개의 인증서가 인증에 사용되는 경우, 관리자는 미리 채우기 기능을 위해 사용자 이름을 파생할 인증서를 선택할 수 있습니다. 기본적으로 미리 채우기를 위한 사용자 이름은 사용자 인증서(Secure Client에서 수신한 두 번째 인증서)에서 검색됩니다. 인증서 전용 인증 방법을 활성화한 경우 미리 채워진 사용자 이름이 VPN 세션 사용자 이름으로 사용됩니다. AAA 및 인증서 인증이 활성화된 경우, VPN 세션 사용자 이름은 사전 채우기 옵션을 기반으로 합니다.

원격 액세스 VPN에 대한 다중 인증서 인증 구성

  1. Secure Firewall Management Center 웹 인터페이스에서 Devices(디바이스)> VPN > Remote Access(원격 액세스)를 선택합니다.

  2. 기존 원격 액세스 정책을 편집하거나 새 정책을 생성한 다음 편집합니다.

    새 Remote Access VPN 정책 생성의 내용을 참조하십시오.

  3. 연결 프로파일을 선택하여 다중 인증서 인증을 구성하고 Edit(편집)을 클릭합니다.

    연결 프로파일 설정의 내용을 참조하십시오.

  4. AAA를 선택한 다음 Authentication Method(인증 방법)을 선택합니다.

    그림 3.

    • Client Certificate Only(클라이언트 인증서만) - 사용자가 클라이언트 인증서로 인증합니다. 클라이언트 인증서는 VPN 클라이언트 엔드포인트에서 구성해야 합니다. 기본적으로 사용자 이름은 각각 클라이언트 인증서 필드 CN 및 OU에서 파생됩니다. 사용자 이름이 클라이언트 인증서의 다른 필드에 지정된 경우 'Primary(기본)' 및 'Secondary(보조)' 필드를 사용하여 해당 필드를 매핑합니다.

    • Client Certificate & AAA(클라이언트 인증서 및 AAA) — 사용자가 인증 유형인 AAA와 클라이언트 인증서를 모두 사용하여 인증됩니다.

  5. Enable multiple certificate authentication(다중 인증서 인증 활성화)을 선택합니다.

  6. Map username from client certificate(클라이언트 인증서에서 사용자 이름 매핑)을 선택하고 Certificate to choose(선택할 인증서) 드롭다운에서 인증서를 선택하여 머신 인증서 또는 사용자 인증서에서 VPN 세션에 대한 사용자 이름을 선택합니다.

    • 첫 번째 인증서 - 시스템 인증서에서 사용자 이름을 매핑합니다.

    • 두 번째 인증서 — 사용자 인증서의 사용자 이름을 매핑하여 VPN 사용자를 인증합니다.

  7. 필요한 연결 프로파일 설정 및 원격 액세스 VPN 설정을 구성합니다.

  8. 연결 프로파일 및 원격 액세스 VPN 정책을 저장합니다. threat defense에 원격 액세스 VPN을 구축합니다.

원격 액세스 VPN 문제 해결에 대한 자세한 내용은 Remote Access VPN에 대한 AAA 설정의 내용을 참조하십시오.

DAP의 인증서 구성

DAP 레코드에서 인증서 기준 특성을 구성할 수도 있습니다. 다중 인증서 인증 중에 VPN 클라이언트에서 수신한 사용자 및 머신 인증서는 인증서 필드를 기반으로 정책을 구성할 수 있도록 DAP(Dynamic Access Policy)에 로드됩니다. 연결 시도를 인증하는 데 사용된 인증서의 필드를 기반으로 정책 의사 결정을 수행할 수 있습니다.

  1. Devices(디바이스) > Dynamic Access Policy를 선택합니다.

  2. 기존 DAP 정책을 편집하거나 새 정책을 생성한 다음 편집합니다.

  3. 기존 DAP 레코드를 선택하거나 새 레코드를 생성한 다음 편집합니다.

  4. Endpoint Criteria(엔드포인트 기준) > Certificate(인증서)를 선택합니다.

  5. Match Criteria(일치 기준)으로 All(모두) 또는 Any(임의)를 선택합니다.

  6. Add(추가)를 클릭하여 인증서 속성을 추가합니다.

    그림 4.

  7. 인증서, Cert1 또는 Cert2를 선택합니다.

  8. Subject(제목)를 선택하고 인증서 제목 값을 지정합니다.

  9. Issuer(발급자)를 선택하고 인증서 발급자 이름을 지정합니다.

  10. Subject Alternate Name(주체 대체 이름)을 선택하고 주체의 대체 이름을 지정합니다.

  11. 일련 번호를 지정합니다.

  12. Certificate Store(인증서 저장소): (None(없음), Machine(시스템) 또는 User(사용자))를 선택합니다.

    이 옵션은 엔드포인트에서 인증서가 선택되는 저장소를 확인할 조건을 추가합니다.

  13. Save(저장)를 클릭하여 인증서 기준 설정을 완료합니다.

    필요한 DAP 레코드 설정을 구성한 다음 DAP를 원격 액세스 VPN과 연결합니다.

DAP에 대한 자세한 내용은 Dynamic Access Policy의 내용을 참조하십시오.

원격 액세스 VPN 히스토리

기능

버전

최소 Threat Defense

세부 사항

VTI 루프백 인터페이스의 IPsec 플로우 오프로드

7.4

Any(모든)

Secure Firewall 3100Secure Firewall 4200 디바이스에서 IPsec 플로우 오프로드는 VTI 루프백 인터페이스에서 자동으로 활성화됩니다.

보안 클라이언트 사용자 지정

7.4

Any(모든)

보안 클라이언트 사용자 지정을 구성하고 VPN 헤드엔드에 구축할 수 있습니다. 위협 방어는 사용자가 보안 클라이언트에서 연결할 때 이러한 사용자 지정을 엔드포인트에 배포합니다.

  • GUI 텍스트 및 메시지

  • 아이콘 및 이미지

  • 스크립트

  • 이진

  • 맞춤형 설치 프로그램 변환

  • 현지화된 설치 프로그램 변환

신규/수정된 화면:

  • Objects(개체) > Object Management(개체 관리) > VPN > Secure Client Customization(보안 클라이언트 사용자 지정)

  • Devices(디바이스) > Remote Access(원격 액세스) > Advanced(고급) > Secure Client Customizations(보안 클라이언트 사용자 지정)

VPN 요약 대시보드

7.4

Any(모든)

WAN Summary(WAN 요약) 대시보드는 WAN 디바이스 및 해당 인터페이스의 스냅샷을 제공합니다.

신규/수정된 화면:

Overview(개요) > Dashboards(대시보드) > WAN Summary(WAN 요약)

인증서 지원 SAML

7.2

Any(모든)

인증서 및 SAML을 사용한 사용자 인증을 지원하도록 원격 액세스 VPN 구성 마법사가 업데이트되었습니다. SAML 인증이 시작되기 전에 시스템 또는 사용자 인증서를 인증하도록 원격 액세스 VPN을 구성할 수 있습니다.

IPsec 플로우 오프로드.

7.2

Any(모든)

Secure Firewall 3100에서 IPsec 플로우는 기본적으로 오프로드됩니다. IPsec 사이트 간 VPN 또는 원격 액세스 VPN 보안 연계(SA)의 초기 설정 후 IPsec 연결은 디바이스의 FTPA(field-programmable gate Array)로 오프로드되므로 디바이스 성능이 향상됩니다.

FlexConfig 및 flow-offload-ipsec 명령을 사용하여 구성을 변경할 수 있습니다.

다중 IDP 신뢰 지점 지원

7.1

Any(모든)

Secure Firewall Management Center는 동일한 엔터티 ID에 대해 여러 애플리케이션을 가질 수 있지만 고유한 ID 인증서를 가질 수 있는 Microsoft Azure를 사용하는 여러 ID 제공자 신뢰 지점을 지원합니다.

AnyConnect VPN SAML 외부 브라우저

7.1

Any(모든)

이제 AnyConnect VPN SAML 외부 브라우저를 구성하여 비밀번호 없는 인증, WebAuthN, FIDO, SSO, U2F 및 쿠키의 지속성으로 인한 향상된 SAML 환경 등의 추가 인증 선택 사항을 활성화할 수 있습니다. 원격 액세스 VPN 연결 프로파일의 기본 인증 방법으로 SAML을 사용하는 경우, AnyConnect 클라이언트가 AnyConnect 내장 브라우저 대신 클라이언트의 로컬 브라우저를 사용하여 웹 인증을 수행하도록 선택할 수 있습니다. 이 옵션은 VPN 인증과 기타 기업 로그인 간에 SSO(Single Sign-On)를 활성화합니다. 생체 인증 및 Yubikeys와 같이 임베디드 브라우저에서 수행할 수 없는 웹 인증 방법을 지원하고자 하는 경우 이 옵션을 선택합니다.

SAML 로그인 환경을 구성할 수 있도록 원격 액세스 VPN 연결 프로파일 마법사를 업데이트했습니다.

다중 인증서 인증

7.0

Any(모든)

Secure Firewall Management Center 다중 인증서 기반 인증을 통해 threat defense는 사용자의 ID 인증서를 인증하는 것 외에도 머신 또는 디바이스 인증서를 검증, 즉 디바이스가 기업 발행 디바이스라는 점을 보장하고 AnyConnect 클라이언트를 사용하여 VPN 액세스를 허용합니다.

VPN 로드 밸런싱

7.0

Any(모든)

VPN로드 밸런싱은 둘 이상의 디바이스를 논리적으로 그룹화하고 처리량 및 기타 트래픽 매개 변수를 고려하지 않고 그룹화된 디바이스간에 원격 액세스 VPN 세션을 동일하게 분산합니다.

AnyConnect 맞춤형 속성

7.0

Any(모든)

Secure Firewall Management Center AnyConnect 맞춤형 속성을 지원하며, threat defense에서 이러한 기능에 대한 하드 코딩된 지원을 추가하지 않고도 AnyConnect 클라이언트 기능을 구성할 수 있는 인프라를 제공합니다.

로컬 사용자 인증

7.0

Any(모든)

이제 Secure Firewall Management Center 웹 인터페이스를 사용하여 threat defense에서 로컬로 사용자를 구성하고 관리할 수 있으며, 기본 및 보조 원격 액세스 VPN 인증을 위해 로컬 사용자를 구성할 수 있습니다.

선택적 정책 구축

7.0

Any(모든)

이제 구축 중에 원격 액세스 VPN 및 사이트 간 VPN 구성에 대한 변경 사항을 포함하거나 제외하도록 선택할 수 있습니다.

AnyConnect 모듈 구성 지원

6.7

Any(모든)

Secure Firewall Management Center 이제 추가 보안을 위해 AnyConnect 모듈 및 프로파일을 구성할 수 있습니다.

LDAP 권한 부여 지원

6.7

Any(모든)

Secure Firewall Management Center를 사용하여 원격 액세스 VPN에 대한 LDAP 권한 부여를 구성할 수 있습니다.

원격 액세스 VPN에 대한 SAML SSO(Single Sign-On) 지원

6.7

Any(모든)

원격 액세스 VPN에 대한 인증 서버로 SAML 2.0 서버를 구성할 수 있습니다.

AnyConnect 관리 VPN 터널 지원

6.7

Any(모든)

Threat Defense 원격 액세스 VPN은 VPN 사용자가 VPN에 연결하지 않고도 회사 엔드포인트의 전원을 켤 때 엔드포인트에 대한 VPN 연결을 허용하는 AnyConnect 관리 VPN 터널 구성을 지원합니다.

DTLS(Datagram Transport Layer Security) 1.2 지원

6.6

Any(모든)

DTLS 1.2는 이제 기본 SSL 암호 그룹의 일부이며 TLS 1.2와 함께 구성할 수 있습니다.