[문스랩닷컴] 삶에는 왕도가 없습니다

일반적으로 방화벽이나 웹 프록시(가속기)를 언급하면 장비(Appliance)를 떠올리게 됩니다.

만약 전체적인 환경 설정 값을 백업하거나 복구 하는 대신에, 방화벽 규칙이나 프로토콜 규칙, 게시 규칙 등만을 백업하거나 복구할 경우가 더 많은 것으로 생각됩니다.

특히, 방화벽 규칙은 설정을 잘못하게 되면, 내부 클라이언트의 사용을 차단할 수도 있기 때문에 방화벽 규칙을 설정하기 전에 해당 항목을 백업해 두는 것이 좋습니다.

전체적인 백업은 XML 파일로 이뤄지지만, 세부적인 항목별 백업은 각 노드마다 따로 제공됩니다. 아래는 방화벽 정책을 백업하는 화면입니다. Export Firewall Policy와 Import Firewall Policy 항목입니다.

아래는 URL을 그룹으로 묶은 URL 셋을 백업하거나 복구하는 화면입니다.

지금까지 포어프론트 TMG의 관리 콘솔에서 특정 항목을 백업하거나 복구하는 방법에 대해 설명했습니다.

 

일반적으로 방화벽 장비들은 OS와 같은 프로그램들이 펌웨어 형태로 존재하고, 환경 설정 내용만 플래시나 하드 디스크와 같은 기억 장치에 저장됩니다.

하지만, 포어프론트 TMG는 윈도우 2008 서버에서 동작하기 때문에 별도로 준비해야 할 부분이 더 많습니다.

이 중에서 윈도우의 백업 및 복구에 대한 부분을 제외하고, 포어프론트 TMG의 환경 설정 내용을 백업하거나 복구하는 방법에 대해 소개합니다.

포어프론트 TMG의 환경설정 내용을 백업하거나 복구하는 경우는 다음과 같습니다.  

• 하드웨어 또는 소프트웨어 장애로 인해 새로 설치하는 경우
• 설정 오류로 인해 기존 환경 설정 내용으로 복구해야 할 경우
• 다른 포어프론트 TMG 서버에 환경 설정을 복제할 경우

 특히 포어프론트 TMG는 VSS(Volume Shadow Copy Service)를 이용하여 환경 설정 내용을 XML 파일로 내보내기할 수 있습니다. 만약 복구할 시점에는 VSS 프로바이더가 이 파일을 이용하게 됩니다.

백업

포어프론트 TMG의 환경 설정 전체를 백업하려면 포어프론트 TMG 관리 콘솔의 왼쪽 상단에 있는 서버 이름을 마우스 오른쪽 버튼으로 클릭하고, Export(Back Up) 항목을 클릭합니다. 또는, 오른쪽에 있는 Tasks 탭에서 해당 기능을 선택하는 방법도 있습니다.

 

마이크로소프트의 전통적인 방식인 마법사가 실행됩니다.

 

Next 버튼을 클릭하여 진행합니다.

포어프론트 TMG에 저장되어 있는 중요한 정보를 내보내기 위해서는 비밀번호를 설정해야 합니다. 중요한 정보에는 RADIUS(인증 서버)에서 공유하는 키가 대표적입니다. 그리고, 사용자 권한을 백업할 수 있습니다.

 

이제 XML 파일을 저장할 위치를 지정합니다. 가급적 NTFS로 포맷된 드라이브에 저장하는 것이 좋습니다.

 

잠시 기다리면 아래와 같이 내보내기 과정을 볼 수 있습니다.

 

저장한 파일은 XML 형태이므로 메모장과 같은 편집기를 통해 내용을 살펴볼 수 있습니다.

 

복구

서버의 장애로 인해 윈도우를 재설치하고 나게 되면, 기존 백업 본을 이용하여 복구할 수 있습니다. 포어프론트 TMG를 설치할 때에는 최소한의 상태로 설치하면 되고, 설치가 완료되면 복구 작업을 통해 원상태로 되돌리면 됩니다.

포어프론트 TMG 관리 콘솔에서 Import(Restore)를 클릭하면 복구 마법사가 실행됩니다.

 

백업된 XML 파일이 저장되어 있는 위치를 지정하는 단계입니다.

 

복구하는 방법을 선택하는 화면이 나타납니다. Import는 기존 환경 설정 내용에 추가하는 방식이고, Overwrite는 기존 환경 설정을 모두 무시하고 새로 덮어쓰는 것입니다.

 

Import를 선택하는 경우에는 아래와 같이 추가할 환경설정 내용을 선택할 수 있습니다.

 

마지막으로, XML 파일을 저장할 때 사용했던 암호를 확인하는 과정을 거칩니다.

 

그리고, 경고 창으로 기존 환경 설정 내용이 바뀐다는 것을 알려 줍니다. 확인 버튼을 눌러 진행합니다.

 

환경 설정이 복구되는 과정을 보여주는 화면이 나타납니다.

 

이제 환경 설정 내용이 변경되었습니다. 포어프론트 TMG의 서비스를 재시작하여 변경 사항을 반영합니다. 포어프론트 TMG 관리 콘솔의 윗부분에 아래와 같은 부분이 표시됩니다. Apply 버튼을 클릭합니다.

 

다음 강좌에서는 특정 항목을 백업하고 복구하는 방법에 대해 다룰 예정입니다.

감사합니다.

포어프론트 TMG에서는 방화벽 클라이언트를 TMG 클라이언트라고 부릅니다. 이는 기존 ISA 제품군과 구별하기 위한 것으로 생각됩니다.

하여튼, TMG 클라이언트를 자동으로 구성하는 방법은 보통 2가지로 나눌 수 있습니다.

• DNS/DHCP를 이용하여 자동 탐색
• AD를 이용하여 자동 탐색

첫번째 방법은 ISA 제품군에서 사용해왔던 기술로, TMG 서버에서는 하나 더 추가되었다는 점을 손쉽게 알 수 있습니다.

참고로, 포어프론트 TMG 제품의 가장 큰 특징은 바로 "AD를 이용하여 자동 탐색"하는 기능과 "SSL 트래픽을 검사"할 수 있다는 것입니다.

TMG 클라이언트가 TMG 서버를 자동으로 찾는 과정은 다음과 같습니다.

1. 액티브 디렉터리가 구현된 환경인 경우 TMG 클라이언트는 LDAP 쿼리를 통해 AD에 있는 정보를 조회합니다.

2. TMG 클라이언트가 연결이나 어떤 이유로 인해 정보를 가져오지 못하는 경우에는 DNS/DHCP 자동 탐색 기능을 사용합니다.

3. 액티브 디렉터리에 조회를 하였지만 정보가 없는 경우에는 DHCP에서 정보를 가져오기 위해 시도하고 그 이후에는 DNS에서 시도합니다.

액티브 디렉터리에 TMG 서버의 정보를 입력하기 위해서는 TMG 자동 탐색 구성 도구(TmgAdConfig.exe)가 필요합니다. 이 도구는 TMG 서버의 위치를 알려주는 표시(마커, marker) 정보를 액티브 디렉터리에 저장합니다.  TMG 클라이언트는 마커 정보를 이용하여 TMG 서버를 찾아 연결합니다.

주의: AD를 이용하는 자동 탐색 기능은 액티브 디렉터리 환경에서만 사용할 수 있습니다. 단독 실행형이나 워크그룹 형태의 네트워크에서는 사용할 수 없으며, 그 대신 DNS/DHCP를 이용해야 합니다.


TmgAdConfig 프로그램은 아래 링크에서 AdConfigPack.exe를 다운로드할 수 있습니다.

이제 AD 마커 키를 등록하기 위해 명령 프롬프트를 실행하여 다음과 같이 입력합니다.

위의 예에서 강조 표시한 부분은 TMG 서버의 FQDN과 사용하는 포트 번호를 나타냅니다.
 

이제 정상적으로 설치되어 있는지 확인하기 위해 FWCTool 이라는 프로그램을 이용합니다. 이 프로그램은 TMG 클라이언트 PC의 %Programfiles%\Forefront TMG Client 폴더에 저장되어 있습니다.

1. 명령 프롬프트를 엽니다.

2. 해당 경로로 이동합니다.

3. 아래와 같이 입력합니다.

그러면 아래와 비슷한 결과가 화면에 나타나게 됩니다.


노란색으로 표시된 부분이 앞서 TmgAdConfig 프로그램에서 등록한 내용과 일치하는지 확인합니다.

감사합니다.

참고문서: http://blogs.technet.com/isablog/archive/2009/10/23/tmg-client-introduces-automatic-detection-using-active-directory.aspx

중소기업에서 느린 속도의 전용선이나 ADSL 라인을 사용하고 있는 경우에 사용자들이 인터넷을 사용하면서 느린 속도 때문에 불평할 수도 있습니다.

포어프론트 TMG의 라이선스 정책이 새롭게 출시되어 간략히 정리해봤습니다.

포어프론트 TMG는 두가지의 라이선스 형태로 제공됩니다.

• 서버 라이선스: URL 필터링, 악성 프로그램 진단, 침입 탐지, 애플리케이션/네트워크 방화벽 등의 기능을 제공하는 TMG 서버
• 구독 라이선스: 최근의 웹 위협으로부터 보호하기 위해 클라우드 기반의 URL 필터링 및 악성 프로그램을 필터링하는 업데이트 라이선스

포어프론트 TMG의 서버 라이선스는 CPU의 개수에 따라 결정됩니다. 또한, 가상화 사용시에도 동일하게 결정됩니다.

• 스탠다드 에디션: CPU당 1,499 달러. 최대 CPU 4개까지 지원.
• 엔터프라이즈 에디션: CPU 당 5,999 달러. CPU 제한 없음.

또한, 25 CPU를 위한 특별 가격으로도 제공됩니다.

• 엔터프라이즈 에디션 25 프로세서 팩: 75,000 달러.

포어프론트 TMG의 구독 라이선스는 사용자 수 또는 장비 수를 기반으로 결정됩니다. 사용자 수에 따른 가격은 아래와 같습니다.

• 웹 보호 서비스: 사용자당 12달러(1년)

출처: http://www.microsoft.com/forefront/threat-management-gateway/en/us/pricing-licensing.aspx

알림: MS 상의 라이선스 정책은 아주 복잡하므로, 기업이나 조직의 상황에 맞도록 꼼꼼하게 파악하시는 것이 좋습니다.

감사합니다.

서버 한대로 구성하게 되면 당연히 장비, 운영체제 등의 문제로 인해 서비스에 문제가 될 가능성이 높습니다.

포어프론트 TMG 2010 제품 군은 다음과 같이 두가지로 나눠서 제공됩니다.

포어프론트 TMG(Forefront TMG)는 ISA(Internet Security & Acceleration Server)의 다음 버전으로 소프트웨어 방식의 방화벽 및 웹 프록시(캐싱) 기능을 제공합니다.

포어프론트 TMG는 ISA로 치자면 2010 버전에 해당하는 것으로 다음과 같은 새로운 기능을 제공합니다.

• 웹으로부터 들어오는 악성 프로그램 예방- TMG 서버로 들어오는 웹 트래픽에 대해 바이러스와 같은 악성 프로그램이 포함되어 있는 경우에 차단하는 기능을 제공합니다. 보통 바이러스월이라고 보면 이해가 쉽습니다.
  
• URL 필터링 - URL 범주(예: 음란물, 마약, 혐오적인 내용 또는 인터넷 쇼핑)에 기준으로 웹사이트를 허용할지 여부를 판단합니다. 만약, 회사 직원들에게 특정한 웹사이트를 제한하려면 관리자가 직접 해당 사이트를 포함하는 등의 추가적인 기능을 제공합니다.
  
• 이메일 보호 — TMG 서버 내에 위치한 SMTP 서버로 주고받는 이메일에 대해 바이러스, 악성 프로그램, 스팸과 같은 유해한 메시지를 차단합니다.
  
• HTTPS 지원 - 기존 버전에 비해 향상된 주요 기능으로 HTTPS(SSL) 트래픽인지 파악하여 처리할 수 있는 장점을 제공합니다. 만약, 은행과 같이 금융에 관련된 사이트는 예외처리를 할 수도 있습니다. 또한, 바이러스와 같은 악성 프로그램도 예방합니다.
  
  
• NIS(네트워크 검사 시스템)- MS의 취약점을 이용하는 공격을 파악하여 예방합니다. NIS는 프로토콜을 분석하는 방식으로 제공되며, 새로운 취약점이 나올 때마다 업데이트할 수 있습니다.
  
• 고급 NAT(Network Address Translation) - 1:1 NAT을 지원합니다.
  
  
• 고급 VoIP(Voice over IP) - SIP Traversal을 지원합니다.
  
  
• Windows Server 2008 64비트 지원 - 포어프론트 TMG는 윈도우 2008 64비트 버전에서만 설치하여 운영할 수 있습니다. 이는 Windows 2008에서 새롭게 제공하는 가상화 솔루션인 Hyper-V에서 TMG 서버를 NLB로 운영할 수 있습니다.

감사합니다.