원격 액세스 VPN 생성 - Juniper Secure Connect

이름

원격 액세스 연결의 이름을 입력합니다. 이 이름은 Juniper Secure Connect 클라이언트에서 최종 사용자 영역 이름으로 표시됩니다.

묘사

설명을 입력합니다. 이 설명은 IKE 및 IPsec 제안, 정책, 원격 액세스 프로필, 클라이언트 구성 및 NAT 규칙 집합에 사용됩니다.

편집하는 동안 IPsec 정책 설명이 표시됩니다. IPsec 정책 및 원격 액세스 프로필 설명이 업데이트됩니다.

라우팅 모드

이 옵션은 원격 액세스에 대해 비활성화됩니다.

기본 모드는 Traffic Selector (Auto Route Insertion)입니다.

인증 방법

디바이스가 IKE(Internet Key Exchange) 메시지 소스를 인증하는 데 사용하는 목록에서 인증 방법을 선택합니다.

• EAP-MSCHAPv2(사용자 이름 및 비밀번호) - RADIUS 서버에서 확인한 사용자 계정 자격 증명(외부 사용자 인증용)을 사용하여 네트워크 액세스를 인증합니다.

• EAP-TLS(인증서) - EAP 내에서 TLS 공개 키 인증서 인증 메커니즘을 사용하여 상호 클라이언트-서버 및 서버-클라이언트 인증을 제공합니다. EAP-TLS를 사용하면 클라이언트와 서버 모두에 신뢰할 수 있는 인증 기관(CA)이 서명한 디지털 인증서를 할당해야 합니다.

  메모:

  Junos OS 릴리스 23.1R1부터 > 원격 사용자에서 EAP-TLS Juniper Secure Connect 사용할 수 없습니다.

• 사전 공유 키(사용자 이름 및 비밀번호) - 두 피어 간에 공유되는 비밀 키는 인증 중에 피어를 서로 식별하는 데 사용됩니다.

  메모:

  Junos OS 릴리스 23.2R1부터 Juniper Secure Connect VPN을 생성하거나 편집할 때 ike-user-type은 group-ike-id입니다. 이렇게 하면 다중 장치 액세스를 활성화하는 데 도움이 됩니다. 이는 SRX300 방화벽 제품군 및 SRX550HM 방화벽에서는 지원되지 않습니다.

방화벽 정책 자동 생성

예를 선택하면 내부 영역과 터널 인터페이스 영역 간에 방화벽 정책이 자동으로 생성되어 로컬 보호 네트워크를 소스 주소로, 원격 보호 네트워크를 대상 주소로 사용합니다.

다른 방화벽 정책이 생성되고 반대의 경우도 마찬가지입니다.

아니요를 선택하면 방화벽 정책 옵션이 없는 것입니다. 이 VPN이 작동하려면 필요한 방화벽 정책을 수동으로 만들어야 합니다.

원격 사용자

토폴로지에 원격 사용자 아이콘을 표시합니다. 아이콘을 클릭하여 Juniper Secure Connect 클라이언트 설정을 구성합니다.

필드에 대한 자세한 내용은 표 2를 참조하십시오.

로컬 게이트웨이

토폴로지에 로컬 게이트웨이 아이콘을 표시합니다. 아이콘을 클릭하여 로컬 게이트웨이를 구성합니다.

필드에 대한 자세한 정보는 표 3을 참조하십시오.

IKE 및 IPsec 설정

권장 알고리즘 또는 값으로 사용자 정의 IKE(Internet Key Exchange) 또는 IPsec 제안과 사용자 정의 IPsec 제안을 구성합니다.

필드에 대한 자세한 정보는 표 6을 참조하십시오.

기본 프로필

구성된 VPN 이름을 원격 액세스 기본 프로필로 사용하려면 이 옵션을 활성화합니다.

연결 모드

목록에서 다음 옵션 중 하나를 선택하여 Juniper Secure Connect 클라이언트 연결을 설정합니다.

• 수동—로그인할 때마다 VPN 터널에 수동으로 연결해야 합니다.

• 항상—로그인할 때마다 VPN 터널에 자동으로 연결됩니다.

기본 연결 모드는 수동입니다.

SSL VPN

Juniper Secure Connect 클라이언트에서 SRX 시리즈 방화벽으로 SSL VPN 연결을 설정하려면 이 옵션을 활성화합니다.

기본적으로 이 옵션은 활성화되어 있습니다.

생체 인증

이 옵션을 활성화하면 고유한 구성 방법을 사용하여 클라이언트 시스템을 인증할 수 있습니다.

클라이언트 시스템에 접속할 때 인증 프롬프트가 표시됩니다. VPN 연결은 Windows Hello 에 대해 구성된 방법(지문 인식, 얼굴 인식, PIN 입력 등)을 통해 인증에 성공한 후에만 시작됩니다.

생체 인식 인증 옵션을 사용하는 경우 클라이언트 시스템에 Windows Hello를 미리 구성해야 합니다.

데드 피어 탐지

DPD(Dead Peer Detection) 옵션을 활성화하여 Juniper Secure Connect 클라이언트가 SRX 시리즈 방화벽 연결 가능 여부를 탐지할 수 있도록 합니다.

이 옵션을 비활성화하면 SRX 시리즈 방화벽 연결 연결이 복원될 때까지 Juniper Secure Connect 클라이언트가 이를 탐지할 수 있습니다.

이 옵션은 기본적으로 활성화되어 있습니다.

DPD 간격

피어가 DPD(Dead Peer Detection) 요청 패킷을 보내기 전에 목적지 피어의 트래픽을 기다리는 시간을 입력합니다. 범위는 2초에서 60초까지이며 기본값은 60초입니다.

DPD 임계값

피어를 사용할 수 없는 것으로 간주하기 전까지 전송될 최대 DPD(Dead Peer Detection) 요청 실패 횟수를 입력합니다. 범위는 1에서 5까지이며 기본값은 5입니다.

인증서

인증서를 활성화하여 Secure Client Connect에서 인증서 옵션을 구성합니다.

만료 경고

Secure Connect 클라이언트에 인증서 만료 경고를 표시하려면 이 옵션을 활성화합니다.

이 옵션은 기본적으로 활성화되어 있습니다.

경고 간격

경고를 표시할 간격(일)을 입력합니다.

범위는 1에서 90까지입니다. 기본값은 60입니다.

연결당 핀 요구 사항

이 옵션을 활성화하면 바로 연결 시 인증서 PIN을 입력할 수 있습니다.

이 옵션은 기본적으로 활성화되어 있습니다.

사용자 이름 저장

Junos OS 릴리스 22.1R1부터 이 옵션을 활성화하여 원격 사용자 이름을 저장할 수 있습니다.

비밀번호 저장

Junos OS 릴리스 22.1R1부터 이 옵션을 활성화하여 원격 사용자 이름과 암호를 모두 저장할 수 있습니다.

Windows 로그온

사용자가 Windows 시스템에 로그온하기 전에 Windows 도메인에 안전하게 로그온할 수 있도록 하려면 이 옵션을 사용하십시오. 클라이언트는 회사 네트워크에 VPN 연결을 설정한 후 자격 증명 서비스 공급자를 사용하여 도메인 로그온을 지원합니다.

도메인 이름

Users Machine(사용자 컴퓨터)이 기록하는 시스템 도메인 이름을 입력합니다.

모드

목록에서 다음 옵션 중 하나를 선택하여 Windows 도메인에 로그온합니다.

• 수동 - Windows 로그온 화면에서 로그온 데이터를 수동으로 입력해야 합니다.

• 자동 - 클라이언트 소프트웨어는 사용자의 작업 없이 여기에 입력된 데이터를 Microsoft 로그온 인터페이스(자격 증명 공급자)로 전송합니다.

로그오프 시 연결 끊기

시스템이 최대 절전 모드 또는 대기 모드로 전환될 때 연결을 종료하려면 이 옵션을 활성화합니다. 시스템이 최대 절전 모드 또는 대기 모드에서 다시 시작되면 연결을 다시 설정해야 합니다.

로그오프 시 자격 증명 플러시(Flush Credential at Logoff)

이 옵션을 활성화하면 캐시에서 사용자 이름과 비밀번호가 삭제됩니다. 사용자 이름과 비밀번호를 다시 입력해야 합니다.

리드 타임 기간

네트워크 로그온과 도메인 로그온 사이의 시간을 초기화하는 리드 타임을 입력합니다.

연결이 설정된 후 Windows 로그온은 여기에 설정된 초기화 시간이 경과한 후에만 실행됩니다.

EAP 인증

자격 증명 공급자의 대상 대화 상자 전에 EAP 인증을 실행하려면 이 옵션을 사용하도록 설정합니다. 그런 다음 시스템은 후속 전화 접속에 EAP가 필요한지 여부에 관계없이 필요한 PIN을 요청합니다.

이 옵션을 비활성화하면 대상 선택 후 EAP 인증이 실행됩니다.

자동 대화상자 열기

이 옵션을 사용하면 원격 도메인에 대한 연결 설정을 위해 대화 상자가 자동으로 열릴지 여부를 선택할 수 있습니다.

이 옵션을 사용하지 않도록 설정하면 Windows 로그온 후에만 클라이언트의 암호와 PIN이 쿼리됩니다.

다중 장치 액세스

이 옵션을 활성화하면 여러 장치에서 연결할 수 있습니다.

request system software add optional: //junos-ike.tgz

VPN 터널을 우회할 수 있는 애플리케이션, 도메인 또는 둘 다를 구성하려면 이 옵션을 활성화합니다. 그리드 보기에서 구성된 응용 프로그램 우회 프로필을 선택할 수 있습니다.

새 애플리케이션 우회 용어를 추가하려면:

1. + 아이콘을 클릭합니다.

2. 다음 세부 정보를 입력합니다.

   • Name(이름) - 용어의 이름을 입력합니다.

   • Description(설명) - 애플리케이션 우회 용어 설명을 입력합니다.

   • Protocol(프로토콜) - 목록에서 사용 가능한 프로토콜을 선택합니다. 다음과 같은 옵션을 사용할 수 있습니다.

     • TCP 및 UDP—TCP 및 UDP 트래픽을 모두 우회합니다.

     • TCP - TCP 트래픽만 우회합니다.

     • UDP - UDP 트래픽만 우회합니다.

     기본적으로 TCP 및 UDP가 선택됩니다.

   • Domain Type(도메인 유형) - 목록에서 사용 가능한 도메인 유형을 선택합니다. 다음과 같은 옵션을 사용할 수 있습니다.

     • 포함: 모든 도메인 이름(예: abc.com)

     • FQDN - 도메인 이름에 정규화된 도메인 이름(예: www.abc.com)이 포함됩니다.

     • 와일드카드 - 도메인 이름에 모든 하위 도메인(예: .abc.com)이 포함됩니다.

       와일드카드를 선택하면 기본적으로 도메인 값 필드에 "." 가 미리 채워집니다.

   • Domain Value(도메인 값) - VPN 터널을 우회할 도메인 이름을 입력합니다.

3. 체크 아이콘을 클릭하여 변경 사항을 저장하고 애플리케이션 우회 용어를 생성합니다. X 를 클릭하여 취소합니다.

4. 그리드 위에 있는 편집 아이콘을 클릭하여 응용 프로그램 우회 용어를 편집하고 삭제 아이콘을 클릭하여 응용 프로그램 우회 용어를 삭제합니다.

   메모:

   원격 사용자를 편집할 때 응용 프로그램 바이패스를 끄면 원격 사용자 아래에 구성된 애플리케이션 바이패스 용어가 삭제됩니다.

사용자가 로그인하기 전에 SRX 시리즈 방화벽이 VPN 터널을 설정하도록 검증할 목록에서 규정 준수 규칙을 선택합니다.

새 규정 준수 규칙을 만들려면 만들기를 클릭합니다. Create Pre-Logon Compliance(사전 로그온 규정 준수 생성) 페이지가 나타납니다. 필드 정보는 사전 로그온 규정 준수 만들기를 참조하십시오.

게이트웨이가 NAT 뒤에 있습니다.

로컬 게이트웨이가 네트워크 주소 변환(NAT) 디바이스 뒤에 있을 때 이 옵션을 활성화합니다.

NAT IP 주소

SRX 시리즈 방화벽의 공용(NAT) IP 주소를 입력합니다.

외부 인터페이스

목록에서 클라이언트가 연결할 발신 인터페이스를 선택합니다.

지정된 인터페이스에 둘 이상의 IPv4 주소가 구성된 경우 목록에는 사용 가능한 모든 IP 주소가 포함됩니다. 선택한 IP 주소는 IKE(Internet Key Exchange) 게이트웨이 아래의 로컬 주소로 구성됩니다.

연결 프로필

이것은 필수 필드입니다. FQDN 또는 FQDN/영역 형식으로 연결 프로파일을 입력합니다.

연결 프로파일은 임의의 문자열일 수 있으며 마침표와 슬래시를 가질 수 있습니다. 최대 255자(영문 기준)입니다.

IKE ID는 연결 프로필에서 자동으로 파생됩니다.

터널 인터페이스

목록에서 클라이언트가 연결할 인터페이스를 선택합니다.

Add(추가)를 클릭하여 새 인터페이스를 추가합니다. Create Tunnel Interface 페이지가 나타납니다. 새 터널 인터페이스 생성에 대한 자세한 내용은 표 4를 참조하세요.

Edit(편집)를 클릭하여 선택한 터널 인터페이스를 편집합니다.

사전 공유 키(Pre-shared Key)

사전 공유 키의 다음 값 중 하나를 입력합니다.

• ascii-text - ASCII 텍스트 키입니다.

• hexadecimal—16진수 키입니다.

로컬 인증서

목록에서 로컬 인증서를 선택합니다.

로컬 인증서에는 RSA 인증서만 나열됩니다.

사용자 인증

이 필드는 필수입니다. 원격 액세스 VPN에 액세스하는 사용자를 인증하는 데 사용할 인증 프로파일을 목록에서 선택합니다.

추가를 클릭하여 새 프로필을 만듭니다. 새 액세스 프로필 생성에 대한 자세한 내용은 액세스 프로필 추가를 참조하십시오.

SSL VPN 프로파일

원격 액세스 연결을 종료하는 데 사용할 목록에서 SSL VPN 프로필을 선택합니다.

새 SSL VPN 프로필을 생성하려면 다음을 수행합니다.

1. Add(추가)를 클릭합니다.

2. 다음 세부 정보를 입력합니다.

   • Name(이름) - SSL VPN 프로필의 이름을 입력합니다.

   • Logging(로깅) - SSL VPN에 대해 로깅하려면 이 옵션을 활성화합니다.

   • SSL Termination Profile(SSL 종료 프로파일) - 목록에서 SSL 종료 프로파일을 선택합니다.

     새 SSL 종료 프로파일을 추가하려면:

     1. Add(추가)를 클릭합니다.

        Create SSL Termination Profile(SSL 종료 프로파일 생성) 페이지가 나타납니다.

     2. 다음 세부 정보를 입력합니다.

        • Name(이름) - SSL 종료 프로파일의 이름을 입력합니다.

        • Server Certificate(서버 인증서) - 목록에서 서버 인증서를 선택합니다.

          인증서를 추가하려면 추가를 클릭합니다. 장치 인증서 추가에 대한 자세한 내용은 인증서 정보 페이지를 참조하십시오.

        • 확인을 클릭합니다.

     3. 확인을 클릭합니다.

3. 확인을 클릭합니다.

소스 네트워크 주소 변환(NAT) 트래픽

이 옵션은 기본적으로 활성화되어 있습니다.

Juniper Secure Connect 클라이언트의 모든 트래픽은 기본적으로 선택한 인터페이스로 NAT됩니다.

비활성화된 경우, 반환 트래픽을 올바르게 처리하기 위해 네트워크에서 SRX 시리즈 방화벽을 가리키는 경로가 있는지 확인해야 합니다.

인터페이스

소스 네트워크 주소 변환(NAT) 트래픽이 통과하는 인터페이스를 목록에서 선택합니다.

보호된 네트워크

+를 클릭합니다. 보호된 네트워크 만들기 페이지가 나타납니다.

구역

목록에서 방화벽 정책의 소스 영역으로 사용할 보안 영역을 선택합니다.

글로벌 주소

사용 가능 열에서 주소를 선택한 다음 오른쪽 화살표를 클릭하여 선택됨 열로 이동합니다.

Add(추가)를 클릭하여 클라이언트가 연결할 수 있는 네트워크를 선택합니다.

Create Global Address(전역 주소 생성) 페이지가 나타납니다. 필드에 대한 자세한 내용은 표 5를 참조하십시오.

편집하다

편집하려는 보호된 네트워크를 선택하고 연필 아이콘을 클릭합니다.

Edit Protected Networks(보호된 네트워크 편집) 페이지가 편집 가능한 필드와 함께 나타납니다.

삭제하다

편집할 보호된 네트워크를 선택하고 삭제 아이콘을 클릭합니다.

확인 메시지가 나타납니다.

Yes(예)를 클릭하여 보호된 네트워크를 삭제합니다.

인터페이스 유닛

논리 단위 번호를 입력합니다.

묘사

논리적 인터페이스에 대한 설명을 입력합니다.

구역

목록에서 터널 인터페이스에 추가할 영역을 선택합니다.

이 영역은 방화벽 정책의 자동 생성에 사용됩니다.

Add(추가)를 클릭하여 새 영역을 추가합니다. 영역 이름 및 설명을 입력하고 보안 영역 생성 페이지에서 확인을 클릭합니다.

라우팅 인스턴스

목록에서 라우팅 인스턴스를 선택합니다.

이름

글로벌 주소의 이름을 입력합니다. 이름은 영숫자로 시작해야 하는 고유한 문자열이어야 하며 콜론, 마침표, 대시 및 밑줄을 포함할 수 있습니다. 공백이 허용되지 않습니다. 최대 63자(영문 기준)입니다.

IP 유형

IPv4를 선택합니다.

IPv4 주소

유효한 IPv4 주소를 입력합니다.

서브넷

IPv4 주소의 서브넷을 입력합니다.

암호화 알고리즘

목록에서 적절한 암호화 메커니즘을 선택합니다.

기본값은 AES-CBC 256비트입니다.

인증 알고리즘

목록에서 인증 알고리즘을 선택합니다. 예를 들어 SHA 256비트입니다.

DH 그룹

Diffie-Hellman(DH) 교환을 통해 참가자는 공유 비밀 값을 생성할 수 있습니다. 목록에서 적절한 DH 그룹을 선택합니다. 기본값은 group19입니다.

라이프타임 초(Lifetime Seconds)

IKE SA(보안 연결)의 수명 기간(초)을 선택합니다.

기본값은 28,800초입니다. 범위: 180초에서 86,400초

데드 피어 탐지

피어에 발신되는 IPsec 트래픽이 있는지 여부에 관계없이 데드 피어 감지 요청을 보내려면 이 옵션을 활성화합니다.

DPD 모드

목록에서 옵션 중 하나를 선택합니다.

• optimized—발신 트래픽이 있고 수신 데이터 트래픽이 없는 경우에만 프로브를 전송합니다 - RFC3706(기본 모드).

• probe-idle-tunnel - 최적화된 모드에서와 동일하게 발신 및 수신 데이터 트래픽이 없을 때 프로브를 전송합니다.

• always-send—수신 및 발신 데이터 트래픽에 관계없이 주기적으로 프로브를 전송합니다.

DPD 간격

데드 피어 감지 메시지를 보낼 간격(초)을 선택합니다. 기본 간격은 10초입니다. 범위는 2초에서 60초입니다.

DPD 임계값

1에서 5 사이의 숫자를 선택하여 실패 DPD 임계값을 설정합니다.

피어의 응답이 없을 때 DPD 메시지를 보내야 하는 최대 횟수를 지정합니다. 기본 전송 횟수는 5회입니다.

네트워크 주소 변환(NAT-T)

IPsec 트래픽이 네트워크 주소 변환(NAT) 디바이스를 통과하도록 하려면 이 옵션을 활성화합니다.

NAT-T는 SRX 시리즈 방화벽 중 하나의 앞에 네트워크 주소 변환(NAT) 디바이스가 있는 두 게이트웨이 디바이스 사이에 VPN 연결을 설정하려고 할 때 사용되는 IKE(Internet Key Exchange) 1단계 알고리즘입니다.

NAT 연결 유지

적절한 keepalive 간격(초)을 선택합니다. 범위는 1에서 300까지입니다.

VPN의 비활성 기간이 길어질 것으로 예상되는 경우, keepalive 값을 구성하여 인위적인 트래픽을 생성함으로써 네트워크 주소 변환(NAT) 디바이스에서 세션을 활성 상태로 유지할 수 있습니다.

IKE(Internet Key Exchange) 연결 제한

VPN 프로필에서 지원하는 동시 연결 수를 입력합니다.

범위는 1에서 4294967295입니다.

최대 연결 수에 도달하면 IPsec VPN에 액세스를 시도하는 더 이상 원격 액세스 사용자(VPN) 엔드포인트에서 IKE(Internet Key Exchange) 협상을 시작할 수 없습니다.

IKEv2 단편화

이 옵션은 기본적으로 활성화되어 있습니다. IKEv2 단편화는 큰 IKEv2 메시지를 일련의 작은 메시지로 분할하여 IP 수준에서 단편화가 발생하지 않도록 합니다. 단편화는 원래 메시지가 암호화되고 인증되기 전에 수행되므로 각 조각이 별도로 암호화되고 인증됩니다.

IKEv2 단편 크기

조각으로 분할되기 전의 IKEv2 메시지의 최대 크기(바이트)를 선택합니다.

크기는 IPv4 메시지에 적용됩니다. 범위: 570 - 1320바이트.

기본값은 576바이트입니다.

암호화 알고리즘

암호화 방법을 선택합니다. 기본값은 AES-GCM 256비트입니다.

인증 알고리즘

목록에서 IPsec 인증 알고리즘을 선택합니다. 예: HMAC-SHA-256-128.

PFS(Perfect Forward Secrecy)

목록에서 PFS(Perfect Forward Secrecy)를 선택합니다. 디바이스는 이 방법을 사용하여 암호화 키를 생성합니다. 기본값은 group19입니다.

PFS는 이전 키와 독립적으로 각각의 새 암호화 키를 생성합니다. 번호가 높은 그룹은 더 많은 보안을 제공하지만 더 많은 처리 시간이 필요합니다.

라이프타임 초(Lifetime Seconds)

IPsec 보안 연결(SA)의 수명(초)을 선택합니다. SA가 만료되면 새 SA 및 SPI(보안 매개 변수 인덱스)로 대체되거나 종료됩니다. 기본값은 3,600초입니다. 범위: 180초에서 86,400초

수명 킬로바이트

IPsec SA의 수명(킬로바이트 단위)을 선택합니다. 기본값은 256kb입니다. 범위: 64에서 4294967294.

안티 리플레이

IPsec은 IPsec 패킷에 내장된 일련의 번호를 사용하여 VPN 공격으로부터 보호합니다. 시스템은 동일한 시퀀스 번호를 가진 패킷을 수락하지 않습니다.

이 옵션은 기본적으로 활성화되어 있습니다. Anti-Replay는 시퀀스 번호를 무시하는 것이 아니라 시퀀스 번호를 확인하고 검사를 적용합니다.

IPsec 메커니즘에 오류가 발생하여 패킷의 순서가 잘못되어 제대로 작동하지 못하는 경우 Anti-Replay를 비활성화합니다.

설치 간격

디바이스에 키 재입력된 아웃바운드 SA(보안 연결)를 설치할 수 있는 최대 시간(초)을 선택합니다. 1초에서 10초 사이의 값을 선택합니다.

유휴 시간

유휴 시간 간격을 선택합니다. 세션과 해당 변환은 트래픽이 수신되지 않으면 일정 시간이 지나면 시간 초과됩니다. 범위는 60초에서 999999초입니다.

DF 비트

디바이스가 외부 헤더에서 DF(Don't Fragment) 비트를 처리하는 방법을 선택합니다.

• clear—외부 헤더에서 DF 비트를 지우기(비활성화)합니다. 이는 기본 설정입니다.

• copy - DF 비트를 외부 헤더에 복사합니다.

• set - 외부 헤더에서 DF 비트를 설정(활성화)합니다.

외부 DSCP 복사

이 옵션은 기본적으로 활성화되어 있습니다. 이렇게 하면 암호 해독 경로의 외부 IP 헤더 암호화된 패킷에서 내부 IP 헤더 일반 텍스트 메시지로 DSCP(Differentiated Services Code Point)(외부 DSCP+ECN)를 복사할 수 있습니다. 이 기능을 활성화하면 IPsec 암호 해독 후 일반 텍스트 패킷이 내부 CoS(DSCP+ECN) 규칙을 따를 수 있습니다.