만약 전체적인 환경 설정 값을 백업하거나 복구 하는 대신에, 방화벽 규칙이나 프로토콜 규칙, 게시 규칙 등만을 백업하거나 복구할 경우가 더 많은 것으로 생각됩니다.
특히, 방화벽 규칙은 설정을 잘못하게 되면, 내부 클라이언트의 사용을 차단할 수도 있기 때문에 방화벽 규칙을 설정하기 전에 해당 항목을 백업해 두는 것이 좋습니다.
전체적인 백업은 XML 파일로 이뤄지지만, 세부적인 항목별 백업은 각 노드마다 따로 제공됩니다. 아래는 방화벽 정책을 백업하는 화면입니다. Export Firewall Policy와 Import Firewall Policy 항목입니다.
아래는 URL을 그룹으로 묶은 URL 셋을 백업하거나 복구하는 화면입니다.
지금까지 포어프론트 TMG의 관리 콘솔에서 특정 항목을 백업하거나 복구하는 방법에 대해 설명했습니다.
일반적으로 방화벽 장비들은 OS와 같은 프로그램들이 펌웨어 형태로 존재하고, 환경 설정 내용만 플래시나 하드 디스크와 같은 기억 장치에 저장됩니다.
하지만, 포어프론트 TMG는 윈도우 2008 서버에서 동작하기 때문에 별도로 준비해야 할 부분이 더 많습니다.
이 중에서 윈도우의 백업 및 복구에 대한 부분을 제외하고, 포어프론트 TMG의 환경 설정 내용을 백업하거나 복구하는 방법에 대해 소개합니다.
포어프론트 TMG의 환경설정 내용을 백업하거나 복구하는 경우는 다음과 같습니다.
특히 포어프론트 TMG는 VSS(Volume Shadow Copy Service)를 이용하여 환경 설정 내용을 XML 파일로 내보내기할 수 있습니다. 만약 복구할 시점에는 VSS 프로바이더가 이 파일을 이용하게 됩니다.
백업
포어프론트 TMG의 환경 설정 전체를 백업하려면 포어프론트 TMG 관리 콘솔의 왼쪽 상단에 있는 서버 이름을 마우스 오른쪽 버튼으로 클릭하고, Export(Back Up) 항목을 클릭합니다. 또는, 오른쪽에 있는 Tasks 탭에서 해당 기능을 선택하는 방법도 있습니다.
마이크로소프트의 전통적인 방식인 마법사가 실행됩니다.
Next 버튼을 클릭하여 진행합니다.
포어프론트 TMG에 저장되어 있는 중요한 정보를 내보내기 위해서는 비밀번호를 설정해야 합니다. 중요한 정보에는 RADIUS(인증 서버)에서 공유하는 키가 대표적입니다. 그리고, 사용자 권한을 백업할 수 있습니다.
이제 XML 파일을 저장할 위치를 지정합니다. 가급적 NTFS로 포맷된 드라이브에 저장하는 것이 좋습니다.
잠시 기다리면 아래와 같이 내보내기 과정을 볼 수 있습니다.
저장한 파일은 XML 형태이므로 메모장과 같은 편집기를 통해 내용을 살펴볼 수 있습니다.
복구
서버의 장애로 인해 윈도우를 재설치하고 나게 되면, 기존 백업 본을 이용하여 복구할 수 있습니다. 포어프론트 TMG를 설치할 때에는 최소한의 상태로 설치하면 되고, 설치가 완료되면 복구 작업을 통해 원상태로 되돌리면 됩니다.
포어프론트 TMG 관리 콘솔에서 Import(Restore)를 클릭하면 복구 마법사가 실행됩니다.
백업된 XML 파일이 저장되어 있는 위치를 지정하는 단계입니다.
복구하는 방법을 선택하는 화면이 나타납니다. Import는 기존 환경 설정 내용에 추가하는 방식이고, Overwrite는 기존 환경 설정을 모두 무시하고 새로 덮어쓰는 것입니다.
Import를 선택하는 경우에는 아래와 같이 추가할 환경설정 내용을 선택할 수 있습니다.
마지막으로, XML 파일을 저장할 때 사용했던 암호를 확인하는 과정을 거칩니다.
그리고, 경고 창으로 기존 환경 설정 내용이 바뀐다는 것을 알려 줍니다. 확인 버튼을 눌러 진행합니다.
환경 설정이 복구되는 과정을 보여주는 화면이 나타납니다.
이제 환경 설정 내용이 변경되었습니다. 포어프론트 TMG의 서비스를 재시작하여 변경 사항을 반영합니다. 포어프론트 TMG 관리 콘솔의 윗부분에 아래와 같은 부분이 표시됩니다. Apply 버튼을 클릭합니다.
다음 강좌에서는 특정 항목을 백업하고 복구하는 방법에 대해 다룰 예정입니다.
감사합니다.
포어프론트 TMG의 서버 라이선스는 CPU의 개수에 따라 결정됩니다. 또한, 가상화 사용시에도 동일하게 결정됩니다.
또한, 25 CPU를 위한 특별 가격으로도 제공됩니다.
출처: http://www.microsoft.com/forefront/threat-management-gateway/en/us/pricing-licensing.aspx
알림: MS 상의 라이선스 정책은 아주 복잡하므로, 기업이나 조직의 상황에 맞도록 꼼꼼하게 파악하시는 것이 좋습니다.
감사합니다.
감사합니다.
포어프론트 TMG는 아래와 같이 다양한 클라이언트를 지원합니다.
알림: ISA 제품군의 방화벽 클라이언트와 구분하기 위해 보통 "포어프론트 TMG 클라이언트"라고 부르지만, 여기에서는 "TMG 클라이언트"로 통칭하여 설명합니다.
웹프록시 클라이언트는 보통 인터넷 브라우저에 설정하는 것으로 이해하면 되고, Secure NAT 클라이언트는 IP 공유기 내에 있는 사설 IP 중에서 외부에 노출시켜야 할 때 사용한다고 보면 됩니다.
방화벽 클라이언트는 윈속(winsock) 클라이언트라고 알려져 있으며, MS 윈도우 운영체제에서만 지원합니다.
따라서, 기업 네트워크 환경 내에 포함되어 있는 Windows XP, 7과 같은 클라이언트 운영체제, Windows Server 2008과 같은 서버 운영체제, Fedora와 같은 리눅스 운영 체제 등 다양한 클라이언트를 포어프론트 TMG를 이용하여 보호할 수 있습니다.
TMG 클라이언트는 HTTPS 트래픽 인식, 자동 탐색, 향상된 보안 기능, 애플리케이션 지원 및 클라이언트 컴퓨터에 대한 세밀한 액세스를 제어할 수 있는 기능을 제공합니다. TMG 클라이언트가 방화벽 요청을 할 때 즉시 TMG로 전송되어 처리됩니다. 윈속의 특성상 별도의 라우팅 프로토콜이 필요하지 않습니다. 하지만, TMG 클라이언트는 TCP, UDP 프로토콜만 지원합니다. 그 외의 프로토콜을 사용해야 할 경우에는 Secure NAT 클라이언트로 전환하여 사용해야 합니다.
ISA 제품의 방화벽 클라이언트에서 새롭게 추가된 TMG 클라이언트의 기능은 다음과 같습니다.
TMG 클라이언트의 표준 기능
시스템 요구사항
TMG 클라이언트는 윈도우 제품군만 지원하며, 리눅스 등의 운영체제는 지원하지 않는다.
지원하는 운영체제
지원하는 ISA 서버 버전과 포어프론트 TMG 버전
지원하는 운영체제
|
운영 체제 |
TMG 클라이언트 |
방화벽 클라이언트(ISA 2006) (비스타 핫픽스 포함) |
방화벽 클라이언트(ISA 2004 ) |
|
Windows® 7/Windows Server 2008 R2 |
지원 |
지원 |
지원 안함 |
|
Windows Vista Service Pack 2 |
지원 |
지원 |
지원 안함 |
|
Windows Server 2003 R2 |
지원 |
지원 안함 |
지원 안함 |
|
Windows Server 2003 with Service Pack 2 |
지원 |
지원 |
지원 |
|
Windows XP Service Pack 3 |
지원 |
지원 |
지원 |
클라이언트/서버 호환성
아래 도표는 포어프론트 TMG/ISA 서버와 TMG/방화벽 클라이언트 간의 호환성을 요약한 것입니다.
|
|
Forefront TMG server |
ISA Server 2006 |
ISA Server 2004 |
ISA Server 2000 |
|
Forefront TMG Client |
지원 |
지원 |
지원 |
지원 안함 |
|
Firewall Client 2006 |
지원 |
지원 |
지원 |
지원 |
|
Firewall Client 2004 |
지원 |
지원 |
지원 |
지원 |
|
Firewall Client 2000 |
지원 안함 |
지원 |
지원 |
지원 |
시스템 요구사항
TMG를 설치하기 위해서는 다음과 같은 하드웨어가 필요합니다.
주의 사항
원본 위치 <http://technet.microsoft.com/en-us/library/cc441727.aspx>
마이크로소프트가 출시한 포어프론트(Forefront) 보안 솔루션의 차세대 제품으로 암호명 스털링(Stirling)으로 개발되는 기업용 통합 보안 솔루션에 대해 간략히 알아 봅니다.
스털링은 차세대 포어프론트 엔드포인트, 메시징 및 협업, 네트워크 보안 솔류션 등을 제공하면서 통합적인 관리 콘솔을 제공하는 통합 보안 체계입니다. 스털링은 갈수록 복잡해지는 IT 환경을 보다 손쉽게 관리 및 제어할 수 있도록 다양하면서도 유기적인 구성을 보여 줍니다. 스털링의 특징은 다음과 같습니다.
관리 및 제어
스털링은 복잡한 IT 환경을 보다 손쉽게 관리하고 제어할 수 있는 충분하면서 유기적인 보호 기능을 제공합니다.
충분하면서도 유기적인 보호 기능
스털링은 기업의 안전을 위협하는 다양한 요소들을 자동으로 처리할 수 있는 보다 나은 보호 방식을 제공합니다.
향상된 보안 기능을 통해 관리자는 기업 환경을 사전 방역하는 시간을 줄일 수 있도록 도와줍니다.
간단한 관리 체계
스털링은 클라이언트, 메시징 및 협업 서버, 네트워크 경계 등을 포함하는 네트워크의 모든 요소를 아우르는 보안 정책을 단일화된 관리 콘솔로 구성할 수 있습니다. 또한, 액티브 디렉터리 서비스, 시스템 센터 관리 메니저, 윈도우 2008 NAP(Network Access Protection)과 같은 기존의 인프라와도 쉽게 통합할 수 있습니다.
직관성
스털링은 대시보드라는 기능을 통해 계층 적인 보고서, 위협 치료, 취약점, 구성 위협요소 등을 관리할 수 있습니다. 평가한 자료를 통해 조직에 미칠 수 있는 위협에 대한 우선 순위, 처리 방안 등을 검토할 수 있씁니다. 평가 자료에는 다음과 같은 다양한 정보가 포함됩니다.
스털링은 마이크로소프트의 운영체계 및 보안 그리고 서버 제품과 통합할 수 있으며 기존의 투자 자산을 시간 및 비용을 줄이면서 보다 가치있게 사용할 수 있습니다. 스털링과 함께 사용할 수 있는 제품은 다음과 같습니다.
|
제품 이름 |
설명 |
|
System Center Operations Manager 2007 |
관리 및 운영 보고 기능을 제공하기 위해 사용함 |
|
SQL Server® 2005 |
데이터 및 로그를 SQL 데이터로 저장함. |
|
Windows Server Update Services |
WSUS를 통해 바이러스 데이터베이스를 배포함. |
|
Active Directory Domain Services |
정책을 전파하기 위해 AD의 그룹 및 OU를 이용함. |
|
Windows® Firewall |
윈도우 방화벽 관리 기능을 제공함. |
|
Windows Server 2008 Network Access Protection (NAP) |
기업 네트워크에서 허용된 장비에게만 지정한 보안 정책을 가지고 운용할 수 있도록 NAP과 통합됨. |
아래 도표는 일반적인 네트워크 환경하에서는 장비 및 서버 등에 대한 자료를 나타낸 것입니다.
|
