Check Point Security Gateway 피어에 연결

IBM 정책 기반 VPN을 Check Point Security Gateway 피어에 연결

IBM 정책 기반 VPN을 Check Point Security Gateway 피어에 연결하는 방법의 예는 다음과 같습니다.

1. 내부적으로 관리되는 보안 게이트웨이를 구성하려면 다음 단계를 수행하십시오.

   • SmartConsole > 게이트웨이 및 서비스로 이동한 다음 Gateway 구성 페이지를 열려는 보안 게이트웨이의 이름을 클릭합니다.
   • 네트워크 관리 페이지로 이동하여 토폴로지를 정의하십시오.
   • 네트워크 관리 > VPN 도메인 페이지로 이동하여 VPN 도메인을 정의합니다.

2. Check Point SmartConsole에서 상호운용 가능한 디바이스를 생성하려면 다음 단계를 수행하십시오.

   • 오브젝트 탐색기로 이동하고 새로 작성 > 계속 > 네트워크 오브젝트 > 계속 > 상호 운용 가능 디바이스 를 클릭하여 상호 운용 가능한 새 디바이스 페이지를 여십시오.
   • 일반 특성 페이지로 이동하여 IBM VPN 게이트웨이 이름 및 공인 IP 주소를 입력하십시오.
   • 토폴로지 페이지로 이동하여 IBM VPN 게이트웨이 공인 IP 주소 및 IBM VPC 서브넷을 추가하십시오. IBM VPN 공용 IP 주소를 넷마스크를 사용하여 외부 네트워크로 추가합니다255.255.255.255. IBM VPC 서브넷을 내부 네트워크로 추가합니다.

3. VPN 커뮤니티를 추가하려면 다음 단계를 따르십시오.

   이러한 지침은 Star Community 유형을 기반으로 작성되었지만 Meshed Community 유형도 선택 가능한 옵션입니다.

   • SmartConsole > 보안 정책 > 액세스 도구 > VPN 커뮤니티로 이동하고 Star Community을(를) 클릭하여 새 VPN 커뮤니티 페이지를 엽니다.
   • 새 커뮤니티 이름을 입력하십시오.
   • 게이트웨이 > 센터 게이트웨이 페이지로 이동하고 + 아이콘을 클릭한 다음 Check Point Security Gateway를 추가합니다.
   • 게이트웨이 > Satellite Gateways 페이지로 이동하고 + 아이콘을 클릭한 다음 IBM VPN 게이트웨이를 추가합니다.
   • 암호화 페이지로 이동하여 기본 Encryption Method 및 Encryption Suite를 사용하십시오.
   • 터널 관리 페이지로 이동하여 One VPN tunnel per subnet pair를 선택하십시오.
   • 공유 시크릿 페이지로 이동하여 사전 공유 키를 설정하십시오.
   • 확인을 클릭하고 변경사항을 공개하십시오.

4. 보안 정책 페이지에서 관련 액세스 규칙을 추가하려면 다음 단계를 수행하십시오.

   • VPN 열에 커뮤니티, 서비스 및 애플리케이션 열에 서비스를 추가하고 원하는 작업 및 적절한 추적 옵션을 추가합니다.
   • 액세스 제어 정책을 설치하십시오.

IBM 라우트 기반 VPN을 Check Point Security Gateway 피어에 연결하기

이 예제 단계는 CheckPoint 관리 안내서 에서 참조됩니다.

IBM 라우트 기반 VPN을 Check Point Security Gateway 피어에 연결하려면 다음 단계를 수행하십시오.

1. IPsec VPN을 활성화하려면 SmartConsole > 게이트웨이 및 서비스를 선택한 다음 Security Gateway 구성 페이지를 열려는 보안 게이트웨이의 이름을 클릭합니다. 일반 속성 탭 보기에서 IPsec VPN을 클릭합니다.

   

2. 라우트 기반 VPN을 활성화하려면 다음 단계를 수행하십시오.

   • SmartConsole > 게이트웨이 및 서비스를 선택한 다음 Security Gateway 구성 페이지를 열려는 보안 게이트웨이의 이름을 클릭합니다.
   • 네트워크 관리 > VPN 도메인을 클릭합니다.
   • 사용자 정의를 선택하십시오.
   • [...] 버튼을 클릭하십시오.
   • 신규 > 그룹 > 단순 그룹을 클릭하고 이름을 입력합니다.
   • 확인을 클릭합니다(그룹 오브젝트를 비워 둡니다).

   

3. IBM VPN 게이트웨이를 상호운용 가능한 디바이스로 추가하려면 오브젝트 탐색기로 이동합니다. 그런 다음 새로 작성 > 계속 > 네트워크 오브젝트 > 계속 > 상호 운용 가능한 디바이스 를 클릭하여 상호 운용 가능한 새 디바이스 페이지를 여십시오. IBM 라우트 기반 VPN 게이트웨이의 소형 공용 IP 주소를 IPv4 주소 필드에 입력합니다.

   소형 공용 IP에 대한 자세한 정보는 중요 공지를 참조하십시오.

   

4. VPN 커뮤니티를 생성하려면 SmartConsole > 보안 정책 > 액세스 도구 > VPN 커뮤니티를 선택합니다. 그 다음, Star Community를 클릭하여 새로운 VPN 커뮤니티 페이지를 엽니다. CheckPoint 게이트웨이 및 IBM 라우트 기반 VPN 게이트웨이를 추가합니다.

   

5. 암호화된 트래픽을 구성하려면 VPN 커뮤니티에서 암호화된 트래픽을 클릭한 다음 모든 암호화된 트래픽 수락을 선택합니다.

   

6. IKE및 IPsec 제안을 구성하려면 VPN 커뮤니티에서 암호화 을 클릭하십시오. 그 다음, 암호화 방법, 슈트 및 PFS(Perfect Forward Secrecy)를 선택하십시오. 이러한 값은 IBM 라우트 기반 VPN 구성과 일치해야 합니다.

   

7. 터널 관리를 구성하려면 VPN 커뮤니티에서 터널 관리를 클릭하십시오. 그 다음, 커뮤니티의 모든 터널에서 및 게이트웨이 쌍당 하나의 VPN 터널을 선택합니다.

   

8. 사전 공유 키를 구성하려면 VPN 커뮤니티에서 공유 시크릿을 클릭하십시오. 동일한 사전 공유 키를 IBM VPN 라우트 기반 게이트웨이로 설정하십시오.

   

9. 방향 일치를 사용하려면 메뉴 > 글로벌 특성 > VPN > 고급을 선택한 후 VPN열에서 VPN 방향 일치 사용을 클릭하십시오.

   

10. 방향 일치 VPN 규칙을 추가하려면 SmartConsole > 보안 정책 > 액세스 제어 > 정책을 선택한 다음 새 VPN 규칙을 추가합니다. 방향 규칙은 다음과 같은 방향 일치 조건을 포함해야 합니다.

    • 귀하의 VPN 커뮤니티 > 귀하의 VPN 커뮤니티
    • 귀하의 VPN 커뮤니티 > Internal_Clear
    • Internal_Clear > 귀하의 VPN 커뮤니티

    

11. 정책을 설치하려면 SmartConsole > 보안 정책을 선택한 다음 정책 설치를 클릭합니다.

    

12. 가상 터널 인터페이스(Virtual Tunnel Interface, VTI)를 추가하려면 Gaia Portal > 네트워크 관리 > 네트워크 인터페이스를 선택한 다음 추가 > VPN 터널을 클릭합니다.

    

13. 정적 라우트를 추가하려면 Gaia Portal > 네트워크 관리 > IPv4 정적 라우트를 선택한 다음 추가를 클릭합니다. 대상 CIDR은 IBM VPC 서브넷입니다.

    

14. 네트워크 토폴로지를 새로고침하려면 다음 단계를 수행하십시오.

    • SmartConsole > 게이트웨이 및 서비스를 선택한 다음 Security Gateway 구성 페이지를 열려는 보안 게이트웨이의 이름을 클릭합니다.
    • 네트워크 관리를 선택한 다음 인터페이스 확보 > 토폴로지로 인터페이스 확보를 클릭합니다.

    

Check Point Security Gateway에 대한 사용자 정의 IKE 정책 작성

기본적으로 Check Point Security Gateway가 IKEv1을 사용하므로 사용자 정의 IKE 정책을 작성하여 VPC의 VPN에 대한 기본 정책을 대체해야 합니다. 다음 정책 예에서는 일치하는 IKE 및 IPsec 정책을 사용해야 합니다.

VPN for VPC에서 사용자 정의 IKE 정책을 사용하려면 다음 작업을 수행하십시오.

1. IBM Cloud 콘솔의 VPN for VPC 페이지에서 IKE 정책 탭을 선택하십시오.
2. 새 IKE 정책을 클릭한 후 다음 값을 지정하십시오.
   • IKE 버전 필드에서 1을 선택하십시오.
   • 인증 필드에서는 sha256을 선택합니다.
   • 암호화 필드에서 aes256을 선택하십시오.
   • DH 그룹 필드에서는 19를 선택합니다.
   • 키 수명 필드에서 86400을 지정하십시오.
3. VPC에서 VPN 연결을 작성할 때 이 사용자 정의 IKE 정책을 선택하십시오.

Check Point Security Gateway에 대한 사용자 정의 IPsec 정책 작성

VPN for VPC에서 사용자 정의 IPsec 정책을 사용하려면 다음 작업을 수행하십시오.

1. IBM Cloud 콘솔의 VPN for VPC 페이지에서 IPsec 정책 탭을 선택하십시오.
2. 새 IPsec 정책을 클릭한 후 다음 값을 지정하십시오.
   • 인증 필드에서는 sha256을 선택합니다.
   • 암호화 필드에서 aes256을 선택하십시오.
   • 키 수명 필드에서 3600을 지정하십시오.
3. VPC에서 VPN 연결을 작성할 때 이 사용자 정의 IPsec 정책을 선택하십시오.

NAT-T가 항상 켜져 있는지 확인

NAT-T 기능이 온프레미스 VPN 디바이스에서 사용으로 설정되어 있는지 확인하십시오. 다음 목록에는 기본 동작이 표시됩니다.

• NAT-T는 NAT 디바이스가 발견될 때 사용 가능합니다.
• offer_nat_t_initator는 false로 설정됩니다(개시자가 NAT-T 트래픽을 전송함).
• offer_nat_t_responder_for_known_gw가 true로 설정됩니다(응답자는 알려진 게이트웨이에서 NAT-T 트래픽을 허용함).
• force_nat_t는 false로 설정됩니다(NAT-T 디바이스가 없는 경우에도 NAT-T를 강제 실행함).

이 기본 설정을 다음과 같이 변경하는 것이 좋습니다.

• NAT-T를 사용으로 설정하십시오.
• offer_nat_t_initator를 true로 설정하십시오.
• 환경에 NAT 장치가 없는 것이 확실한 경우에는 force_nat_t를 true로 설정하십시오.

GuiDBedit 도구를 사용하여 이러한 변수를 보고 변경할 수 있습니다. 이러한 단계를 확인하려면 특정 버전의 Check Point 문서를 참조하십시오.

1. 왼쪽 상단 분할창에서 테이블 > 네트워크 오브젝트 > network_objects를 클릭하십시오.
2. 오른쪽 상단 분할창에서 적용 가능한 Security Gateway 오브젝트를 선택하십시오.
3. 하단 분할창에서 VPN 섹션을 보십시오.
4. 변경사항을 저장하려면 파일 > 모두 저장을 클릭하십시오.
5. SmartConsole에서 이 Security Gateway 오브젝트에 액세스 제어 정책을 설치하십시오.

자세한 정보는 NAT-T Check Point Devices와의 호환성을 참조하십시오.