Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

주니퍼 Secure Edge를 사용하여 Secure Edge Connector 설정(수동 프로비저닝)

워크플로우의 모든 단계에서 주니퍼 Secure Edge를 수동으로 프로®비저닝하는 데 도움이 필요하면 다음 워크플로우를 따르십시오.

주니퍼 Mist™ 클라우드는 주니퍼® Secure Edge와 연동하여 Secure Edge 커넥터 기능을 사용하여 에지 디바이스에서 트래픽 검사를 수행합니다. 이 기능을 사용하면 WAN 에지 디바이스로 구축된 주니퍼® Session Smart™ 라우터가 검사를 위해 트래픽의 일부를 주니퍼 보안 에지로 전송할 수 있습니다.

Secure Edge 기능은 모두 단일 사용자 인터페이스(UI)에서 제공되는 주니퍼의 간단하고 원활한 관리 경험을 제공하는 Juniper Security Director Cloud에서 관리됩니다.

자세한 내용은 주니퍼 Secure Edge를 참조하십시오.

구성 개요

이 작업에서는 트래픽이 인터넷에 도달하기 전에 검사를 위해 스포크 또는 허브 디바이스의 LAN 측에서 Secure Edge로 인터넷 바운드 트래픽을 보냅니다.

Secure Edge에서 트래픽 검사를 수행하려면 다음을 수행합니다.

  • Juniper Security Director Cloud에서 Secure Edge에 대한 서비스 위치, IPsec 프로필, 사이트 및 정책을 생성하고 구성합니다. 이는 WAN 에지 디바이스에 보안 서비스 및 연결을 제공하는 클라우드 기반 리소스입니다.

  • Mist Cloud에서 LAN 네트워크에 연결하는 WAN 에지 디바이스(Session Smart 라우터 또는 SRX 시리즈 방화벽)를 생성하고 구성합니다. 브랜치 또는 캠퍼스에 라우팅, 스위칭 및 SD-WAN 기능을 제공하는 물리적 디바이스입니다.

  • Mist WAN-Edge에서 WAN 에지 디바이스를 서비스 위치에 연결하는 WAN Secure Edge 터널을 생성하고 구성합니다. Secure Edge에서 검사해야 하는 트래픽에 대해 안전하고 안정적인 전송을 제공하는 IPsec 터널입니다.

  • Mist Cloud에서 WAN 에지 디바이스에 해당하는 사이트 또는 디바이스 프로필에 Secure Edge 터널을 할당합니다. 이렇게 하면 정의된 데이터 정책 및 기타 일치 기준에 따라 LAN 네트워크에서 Secure Edge 클라우드로의 트래픽 스티어링이 가능합니다.

다음 표의 항목에서는 주니퍼 Mist™ 클라우드와 함께 Secure Edge의 클라우드 기반 보안을 사용하는 데 필요한 개요 정보를 제공합니다.

표 1: Secure Edge 커넥터 구성 워크플로
단계 작업 설명
1 액세스 Juniper Security Director 클라우드 및 활성 구독 확인 액세스 Juniper Security Director 클라우드에서 조직 계정으로 이동하여 Secure Edge 구독을 확인합니다. 구독을 통해 구축을 위한 Secure Edge 서비스를 구성할 수 있습니다.
2 Juniper Security Director 클라우드에서 서비스 위치 구성

서비스 위치를 생성합니다. 여기서 vSRX 기반 VPN 게이트웨이는 서로 다른 네트워크 간에 보안 연결을 생성합니다.
3 Juniper Security Director 클라우드에서 디바이스 인증서 생성 주니퍼 Secure Edge에 대한 디지털 인증서를 생성하여 Secure Edge와 사용자 엔드포인트 간의 보안 통신을 구축합니다.
4 Juniper Security Director Cloud에서 IPsec 프로필 생성 IPsec 프로필을 생성하여 Secure Edge 인스턴스가 있는 주니퍼 Mist 클라우드 네트워크의 WAN 에지 디바이스 간의 통신을 위한 IPsec 터널을 설정합니다.
5 Juniper Security Director Cloud에서 사이트 생성 WAN 에지 디바이스(Session Smart 라우터 또는 SRX 시리즈 방화벽)를 호스팅하는 사이트를 생성합니다. 디바이스의 트래픽은 검사를 위해 보안 터널을 통해 Secure Edge 인스턴스로 전달됩니다.
6 Juniper Security Director Cloud에서 보안 에지 정책 구축 사이트에서 시작되거나 사이트로 향하는 트래픽에 대한 보안 규칙 및 작업을 정의하는 정책을 구성합니다.
7 Juniper Security Director Cloud에 적용할 IPsec 터널 구성 매개 변수 가져오기 서비스 위치 IP 또는 호스트 이름, IPsec 프로필 이름 및 사전 공유 키와 같은 세부 정보를 기록해 둡니다. 주니퍼 Mist 측에서 IPsec 터널을 설정하려면 이러한 세부 정보가 필요합니다.
8 Juniper Mist Cloud 포털에서 Secure Edge 커넥터 생성 주니퍼 Mist 클라우드 포털에서 Secure Edge 커넥터를 생성합니다. 이 작업은 터널의 Mist 클라우드 측에서 구성을 완료하여 Mist에서 관리하는 에지 디바이스와 보안 에지 인스턴스 간에 IPsec 터널WAN 설정합니다.
9 애플리케이션 정책 수정 중앙 집중식 액세스를 위해 허브를 거치는 대신 Juniper Security Director 클라우드를 통해 에지 디바이스WAN 인터넷으로 트래픽을 전송하도록 새 애플리케이션 정책을 만들거나 기존 애플리케이션 정책을 변경합니다.
10 구성 확인 다음에서 설정된 IPsec 터널을 확인하여 구성이 작동하는지 확인합니다.
  • Mist 포털의 WAN 인사이트
  • Security Director Cloud 대시보드
  • WAN 에지 디바이스 CLI의 터널 트래픽 플로우.

시작하기 전에

액세스 Juniper Security Director 클라우드 및 활성 구독 확인

주니퍼 Secure Edge의 테넌트는 Juniper Security Director Cloud 포털에 액세스하고 Secure Edge 서비스를 관리하기 위해 생성하는 조직 계정입니다. 테넌트는 고유한 이메일 주소 및 구독 계획과 연결됩니다. 테넌트는 조직의 퍼블릭 클라우드에서 호스팅되는 vSRX 기반 VPN 게이트웨이인 여러 서비스 위치를 가질 수 있습니다.

테넌트에는 최종 사용자의 연결 지점인 하나 이상의 서비스 위치가 있을 수 있습니다. 테넌트를 생성하려면 Juniper Security Director Cloud에 계정이 있어야 합니다. 자세한 내용은 Secure Edge 테넌트 생성 을 참조하십시오.

Juniper Security Director Cloud 포털에서 Secure Edge 테넌트를 생성한 후 포털에 액세스하여 구독을 확인합니다.

Juniper Security Director Cloud에 액세스하여 활성 구독을 확인하려면:

  1. Juniper Security Director Cloud의 URL을 엽니다. 이메일 주소와 비밀번호를 입력하여 로그인하고 Juniper Security Director Cloud 포털을 사용하십시오.
  2. 포털의 오른쪽 위 모서리에서 필요한 테넌트를 선택하여 계속합니다.
  3. 관리 > 구독을 선택하여 Juniper Security Director Cloud 구독 페이지에 액세스합니다.
  4. Secure Edge 구독 섹션으로 스크롤하여 활성 구독이 있는지 확인합니다.
    참고: 주니퍼 네트웍스® SRX 시리즈 방화벽을 사용하는 경우에도 SRX 관리 구독 탭을 클릭할 필요가 없습니다. 이 작업에서는 WAN 에지 디바이스를 관리하기 위해 Juniper Security Director 클라우드를 사용하지 않습니다.

    자세한 내용은 구독 페이지 정보를 참조하십시오.

    활성 구독이 있다고 가정하고 다음 단계를 계속합니다.

서비스 위치 구성

Juniper Security Director Cloud에 대한 활성 라이선스가 있는지 확인한 후 서비스 위치를 구성합니다. 이 단계는 Session Smart 라우터용 Secure Edge 커넥터를 설정하는 첫 번째 주요 작업입니다.

Juniper Security Director Cloud의 서비스 위치는 POP(접속 위치)라고도 하며 클라우드 위치의 주니퍼® Secure Edge 인스턴스를 나타냅니다. 서비스 위치는 온프레미스 사용자와 로밍 사용자 모두의 연결(액세스) 지점입니다.

서비스 위치는 vSRX가 퍼블릭 클라우드 서비스를 사용하여 서로 다른 네트워크 간에 보안 연결을 생성하는 장소입니다. 공용 IP 주소(테넌트 및 서비스 위치별로 고유)는 다음과 같은 용도로 사용됩니다.

  • 브랜치 디바이스와 Juniper Security Director Cloud 간에 IPsec 터널을 설정합니다.

  • 대상이 인터넷에 있을 때 트래픽을 중앙에서 분산합니다.

Juniper Security Director Cloud에서 서비스 위치를 구성하려면 다음을 수행합니다.

  1. 클라우드 메뉴에서 Secure Edge >Service Locations Juniper Security Director 선택합니다.

    서비스 위치 페이지가 나타납니다.

  2. 추가(+) 아이콘을 클릭하여 새 서비스 위치를 생성합니다.
    다음 필드에 대한 세부 정보를 입력합니다.

    • 이름 - 서비스 위치에 설명이 포함된 이름을 지정합니다.

    • 위치 1 - 보안 에지의 위치(PoP)를 선택합니다. 이 위치가 속한 지리적 지역은 PoP가 속한 지역으로 자동으로 선택됩니다.

    • 위치 2 - 보안 에지의 두 번째 위치(PoP)를 선택합니다. 이 위치가 속한 지리적 영역이 자동으로 선택됩니다.

    • 구독—+를 클릭하여 새 구독을 추가하거나 기존 구독에서 선택합니다.

    • 총 사용자 - 이 서비스 위치에서 서비스를 제공해야 할 수 있는 총 사용자 수는 선택한 구독에 따라 자동으로 설정됩니다.

  3. 확인을 클릭합니다.

    Security Director Cloud는 서비스 위치를 생성하여 서비스 위치 페이지에 나열합니다.

    Secure Edge 인스턴스가 완전히 배포될 때까지 서비스 위치의 상태가 진행 으로 표시됩니다. 완료하는 데 몇 분 정도 걸릴 수 있습니다.

    서비스 위치를 생성하면 시스템은 테넌트 시스템의 VPN 게이트웨이로 두 개의 vSRX 인스턴스를 구축하기 시작합니다. 이 구축에서 vSRX 인스턴스는 다른 테넌트와 공유되지 않습니다.

Juniper Security Director 클라우드에서 디바이스 인증서 생성

이제 Juniper Security Director Cloud에서 서비스 위치를 구성했으므로 네트워크 트래픽을 보호하기 위한 디바이스 인증서를 생성합니다.

TLS/SSL(전송 레이어 보안/Secure Sockets Layer) 인증서를 사용하여 Secure Edge와 WAN 에지 디바이스 간에 보안 통신을 설정할 수 있습니다. 네트워크의 모든 클라이언트 브라우저가 SSL 프록시를 사용하려면 주니퍼 네트웍스 및 SRX 시리즈 방화벽에서 서명한 인증서를 신뢰해야 합니다.

Juniper Security Director Cloud에서는 인증서를 생성하기 위해 다음과 같은 옵션을 사용할 수 있습니다.

  • 새 인증서 서명 요청(CSR)을 만들면 자체 인증 기관(CA)에서 CSR을 사용하여 새 인증서를 생성할 수 있습니다.

  • 주니퍼 네트웍스에서 인증서를 생성하도록 하는 옵션을 선택합니다.

참고:

이 항목에서는 TLS/SSL 인증서를 생성하는 방법에 대해 설명합니다. 인증서를 가져오고 사용하는 방법은 회사의 클라이언트 관리 요구 사항에 따라 달라지며 이 항목의 범위를 벗어납니다.

Juniper Security Director 클라우드에서 디바이스 인증서를 생성하려면:

  1. Secure Edge >인증서 관리를 선택합니다.

    인증서 관리 페이지가 나타납니다.

    생성 목록에서 새 인증서 서명 요청(CSR) 또는 주니퍼에서 발급한 인증서를 생성할 수 있습니다.

  2. 관련 옵션을 선택합니다.
    1. 회사에 자체 CA가 있고 CSR을 생성하려는 경우 인증서 서명 요청을 클릭합니다.

      주니퍼 Secure Edge가 CSR을 생성한 후 CSR을 다운로드하고 CA에 제출하여 새 인증서를 생성합니다. 생성되면 업로드를 클릭하여 인증서 관리 페이지에서 인증서를 업로드합니다.

    2. 회사에 자체 CA가 없는 경우 주니퍼 발급 인증서를 클릭한 다음 생성을 클릭하여 인증서를 생성합니다. 주니퍼 네트웍스가 인증서를 생성하고 시스템에 보관합니다.
      이 작업에서 주니퍼 발급 인증서를 선택하고 다음 단계를 계속합니다.
  3. 인증서 세부 정보를 입력합니다. 일반 이름 필드에서 인증서의 FQDN(정규화된 도메인 이름)을 사용합니다.

    인증서 관리 페이지가 열리고 인증서가 성공적으로 생성되었음을 알리는 메시지가 표시됩니다.

  4. 목록에서 인증서를 선택한 다음 다운로드를 클릭하여 생성된 인증서를 다운로드합니다.

    다음 샘플은 다운로드한 인증서를 보여줍니다.

    시스템에 인증서를 다운로드한 후 클라이언트 브라우저에 인증서를 추가합니다.

Juniper Security Director Cloud에서 IPsec 프로필 생성

Secure Edge와 WAN 에지 디바이스 간에 보안 통신을 설정하기 위한 인증서를 생성한 후에는 IPsec 프로필을 만들 준비가 된 것입니다.

IPsec 프로필은 주니퍼 Mist™ 클라우드 네트워크의 WAN 에지 디바이스가 Secure Edge 인스턴스와 통신을 시작할 때 IPsec 터널가 설정되는 매개 변수를 정의합니다.

Juniper Security Director 클라우드에서 IPsec 프로필을 생성하려면

  1. Juniper Security Director Cloud 포털에서 Secure Edge > IPsec 프로필을 선택합니다.
  2. 추가(+) 아이콘을 클릭하여 IPsec 프로필을 생성합니다.
    IPsec 프로필 생성 페이지가 나타납니다.
  3. 프로필 이름에는 를 사용합니다default-ipsec. IKE(Internet Key Exchange) 및 IPsec에 대한 모든 기본값을 유지합니다. 현재 주니퍼 Mist 클라우드 포털에서는 구성할 수 없습니다.

    이 IPsec 프로필을 사용하여 다음 작업에서 사이트를 만듭니다. 사이트 생성 페이지의 트래픽 전달 탭에서 터널 유형으로 IPsec을 선택하면 IPsec 프로필을 연결합니다.

주니퍼 Secure Edge 클라우드에서 사이트 생성

이제 IPsec 프로필을 생성했습니다. 이러한 프로필은 주니퍼 Mist™ 클라우드 네트워크의 WAN 에지 디바이스와 Secure Edge 인스턴스 간의 IPsec 터널에 대한 매개 변수를 정의합니다.

이 시점에서 Juniper Security Director 클라우드에서 사이트를 만들어야 합니다. 사이트는 WAN 에지 디바이스를 호스트하는 위치를 나타냅니다. WAN 에지 디바이스의 트래픽은 보안 터널을 통해 Secure Edge 인스턴스로 전달된 다음 Secure Edge 클라우드 서비스에 의해 검사 및 적용됩니다.

사이트의 WAN 에지 디바이스에서 GRE(Generic Routing Encapsulation) 또는 IPsec 터널을 통해 고객 사이트에서 주니퍼 Secure Edge 클라우드로 인터넷 바운딩 트래픽의 일부 또는 전부를 전달하도록 구성할 수 있습니다.

참고:

브랜치 위치에서 스테이트풀 방화벽을 사용하는 경우 Secure Edge 내의 동일한 POP에 대해 겹치는 브랜치 주소가 지원되지 않습니다. 이러한 중첩 IP에 대한 역방향 경로 트래픽은 모든 연결에서 ECMP(equal-cost 다중 경로)를 사용하여 라우팅됩니다. 트래픽은 트래픽이 발생한 인터페이스에 세션별 라우팅이 아닌 ECMP를 사용하여 라우팅됩니다. 사이트에 대해 보호된 네트워크를 구성할 때 ECMP를 통한 역방향 경로 트래픽을 고려합니다.

Juniper Security Director Cloud에서 사이트를 만들려면:

  1. 클라우드 포털Juniper Security Director Secure Edge >Service Sites를 선택합니다.
  2. 더하기(+) 아이콘을 클릭하여 사이트를 만듭니다.
  3. 설정을 입력합니다.

    서비스 위치:

    • 서비스 위치 A의 위치를 선택합니다(온-프레미스 사이트를 연결할 기본 위치여야 합니다. 이전에 설정한 위치 중 하나입니다).

    • 서비스 위치 B의 위치를 선택합니다(온-프레미스 사이트를 연결할 보조 위치여야 합니다. 이전에 설정한 위치 중 하나입니다).

    • 사이트에서 네트워크를 사용할 수 있는 사용자 수를 선택합니다.

      사이트 세부 정보:

    • 고유한 사이트 이름과 설명을 입력합니다.

    • 사이트가 있는 목록에서 해당 국가를 선택합니다.

    • (선택 사항) 고객 지점이 있는 우편번호를 입력합니다.

    • (선택 사항) 사이트의 위치(도로 주소)를 입력합니다.

    • 보호된 네트워크 필드에서 추가(+) 아이콘을 클릭하여 터널을 통과하는 트래픽 흐름에 사용할 인터페이스의 프라이빗 IP 주소 범위를 추가합니다.

    이 예는 주니퍼 Secure Edge Cloud의 사이트를 보여줍니다.

    이 표에서는 자세한 정보를 제공합니다.

    표 2: 사이트 생성 세부 정보
    필드
    서비스 위치 A 북미(오하이오 1)
    서비스 위치 B 북미(오하이오 2)
    사용자 수 30
    이름 스포크1-사이트
    국가 미국
    보호된 네트워크 10.99.99.0/24(LAN 네트워크)
  4. 다음을 클릭합니다.
  5. 트래픽 전달 페이지에서 설정을 입력합니다. 그런 다음 확인 표시를 클릭합니다.
    표 3: 트래픽 포워딩 정책에 대한 인터페이스 세부 정보
    필드
    CPE 이름 CPE 디바이스의 이름과 같은 설명이 포함된 이름을 입력합니다.
    인터페이스 이름 인터페이스의 이름을 선택합니다.
    터널 유형 IPsec
    IP 주소 유형 동적 IP 주소입니다.

    고정 IP 주소 유형의 경우
    IKE(Internet Key Exchange) ID site1@example.com(이메일 주소와 유사하며 각 사이트에 고유한 값이어야 함)
    외부 인터페이스 외부 인터페이스 이름을 입력합니다. 외부 인터페이스는 장치를 인터넷/네트워크에 연결합니다. ge-0/0/0.0이 기본값입니다.
  6. IPsec 프로필 이름을 선택하고 사전 공유 키를 입력하여 원격 액세스 사용자를 인증합니다. 그런 다음 확인을 클릭합니다.
    표 4: 트래픽 포워딩 정책에 대한 추가 세부 정보
    필드
    IPsec 프로파일 이름 default-ipsec

    IPsec 프로필이 미리 구성되어 있지 않은 경우 새로 만들기를 클릭하여 IPsec 프로필을 만듭니다.
    사전 공유 키

    각 사이트에 대해 고유한 PSK를 정의합니다. 예: 주니퍼!1
  7. 다음을 클릭합니다.
  8. CPE 구성 페이지에서 이전 단계에서 생성한 CPE를 선택한 다음 오른쪽 상단의 연필을 클릭합니다.

    표 5: 트래픽 포워딩 정책에 대한 CPE 구성
    필드
    CPE 이름 이 기본값은 이전에 구성한 내용을 기반으로 설정됩니다.
    인터페이스 이 기본값은 이전에 구성한 내용을 기반으로 설정됩니다.
    IPsec 프로파일 이름 이 기본값은 이전에 구성한 내용을 기반으로 설정됩니다.
    사전 공유 키

    이 기본값은 이전에 구성한 내용을 기반으로 설정됩니다.
    기본 서비스 위치 사이트 CPE 디바이스에서 주니퍼 Secure Edge로 전송되는 트래픽을 주로 처리하는 서비스 위치를 목록에서 선택합니다.
    터널 시드 1-1000 사이의 터널 시드 번호를 입력합니다. 이 숫자는 Junos OS CLI 터널 인터페이스 식별자를 결정합니다. 기본값은 1입니다.
    터널 보안 영역 신뢰 또는 언트러스트의 터널 영역 유형을 입력합니다. 신뢰가 기본입니다.
    외부 인터페이스 영역 신뢰 또는 신뢰할 수 없는 외부 인터페이스의 영역 유형을 입력합니다. 신뢰하지 않는 것이 기본값입니다.
    터널 라우팅 인스턴스 터널 대상 주소가 포함된 라우팅 인스턴스를 입력합니다. 구성에 라우팅 인스턴스가 없는 경우 이 필드를 비워 둡니다.
  9. 확인 표시를 클릭한 후 다음을 클릭합니다.
  10. 요약 페이지에서 구성을 검토합니다.
  11. 뒤로를 클릭하여 필드를 편집하거나 마침을 클릭하여 새 사이트를 만듭니다.
  12. 동일한 절차를 사용하여 사이트를 두 개 더 추가합니다. 다음 단락에서는 각 사이트에 포함할 세부 정보의 예를 제공합니다.
    1. 두 번째 사이트를 만듭니다. 아래에 제공된 예제 세부 정보를 사용하여 안내할 수 있습니다.
      표 6: 두 번째 사이트에 대한 사이트 만들기
      필드
      서비스 위치 A JSEC-오레곤
      서비스 위치 B JSEC-오레곤
      사용자 수 10
      이름 스포크2-사이트
      국가 독일
      보호된 네트워크 10.88.88.0/24(LAN 네트워크)
      표 7: 두 번째 사이트에 대한 트래픽 포워딩
      필드
      터널 유형 IPsec
      IP 주소 유형 동적
      IKE(Internet Key Exchange) ID site2@example.com(이메일 주소와 유사하며 각 사이트에 고유한 값이어야 함)
    2. 세 번째 사이트를 만듭니다. 아래에 제공된 예제 세부 정보를 사용하여 안내할 수 있습니다.
      표 8: 세 번째 사이트 만들기: 사이트 세부 정보
      필드
      서비스 위치 A JSEC-오레곤
      서비스 위치 B JSEC-오하이오
      사용자 수 10
      이름 스포크3-site
      국가 독일
      보호된 네트워크 10.77.77.0/24(LAN 네트워크)
      표 9: 세 번째 사이트 만들기: 트래픽 포워딩 세부 정보
      필드
      터널 유형 IPsec
      IP 주소 유형 동적 IP 주소
      IKE(Internet Key Exchange) ID site3@example.com(이메일 주소와 유사하며 각 사이트에 고유한 값이어야 함)
  13. 사용자가 만든 사이트 목록이 표시되는 요약 페이지를 검토합니다. 잘못된 항목을 수정합니다.

Juniper Security Director Cloud에서 보안 에지 정책 구축

이제 Juniper Security Director Cloud에서 사이트를 생성했으므로 이제 하나 이상의 주니퍼® Secure Edge 정책을 배포할 차례입니다.

Secure Edge 정책은 네트워크가 트래픽을 라우팅하는 방법을 지정합니다. 기본적으로 새 테넌트를 생성할 때 Security Director Cloud는 사전 정의된 규칙을 사용하여 Secure Edge 정책 규칙 세트를 생성합니다.

참고:

기본 규칙 세트를 변경하지 않더라도 배치 옵션을 사용하여 서비스 위치의 규칙을 로드해야 합니다.

Juniper Security Director Cloud에서 Secure Edge 정책을 구축하려면:

  1. Juniper Security Director Cloud 포털에서 Secure Edge > Secure Edge 정책을 클릭합니다.

    기본 규칙이 있는 Secure Edge Policy(보안 에지 정책) 페이지가 나타납니다. 더 나은 디버깅을 위해 기본 보안 정책 세트를 수정합니다. 기본 규칙 집합은 외부(인터넷)로의 ICMP ping을 허용하지 않으므로 클라우드를 통해 아무 것도 ping할 수 없습니다.

  2. 추가(+) 아이콘을 클릭하여 규칙을 만들거나, 기존 규칙을 선택하고 연필 아이콘을 클릭하여 규칙을 편집합니다.
  3. 새 규칙에 규칙 이름=Allow-ICMP를 부여합니다.
  4. 추가(+)를 클릭하여 소스를 추가합니다.
    소스에서 다음 기본값을 사용합니다.

    • 주소=모두

    • 사용자 그룹=모두

  5. 추가(+)를 클릭하여 대상을 추가합니다.
    대상(Destinations)의 주소(Addresses)에 기본값 =Any를 사용합니다.
  6. 애플리케이션/서비스에서 다음 값을 구성합니다.

    • 응용 프로그램=모두

    • Services=특정(검색을 통해)

    • 특정 서비스=icmp-all

    오른쪽 화살표(>)를 사용하여 특정 service=icmp-all 을 오른쪽 창으로 이동하여 활성화한 후 확인을 클릭합니다.

  7. Action=Permit을 구성하고 나머지 필드에 대한 기본값을 유지합니다.
  8. 확인 표시를 클릭합니다.

    시스템은 새 규칙을 규칙 목록의 맨 아래에 배치하고 이 규칙을 규칙 세트의 마지막 규칙으로 처리합니다. 규칙이 전역 규칙(모든 트래픽을 거부함) 뒤에 배치되면, 전역 규칙이 모든 추가 트래픽을 중지하기 때문에 적용되지 않습니다.

    필요한 경우 규칙을 선택하여 규칙의 위치를 변경할 수 있습니다. 그런 다음 추가 > 이동 > 맨 위로 이동 옵션을 사용하여 선택한 규칙을 규칙 집합의 맨 위로 이동합니다. 규칙을 규칙 집합의 맨 위로 이동하면 시스템에서 이 규칙을 먼저 적용합니다.

    참고:

    규칙 세트를 수정할 때마다 배포 단추를 사용하여 작업을 완료해야 합니다. 그렇지 않으면 서비스 위치에서 오래된 규칙 세트를 계속 사용합니다.

  9. 구축을 클릭합니다.
  10. 표시되는 배포 창에서 지금 실행 옵션을 선택한 다음 확인을 클릭합니다.

    서비스 위치는 몇 분 후에 업데이트된 규칙 집합을 가져옵니다.

  11. 관리 > 작업을 선택하여 배포된 작업의 상태와 진행률을 확인합니다.

Juniper Security Director Cloud에 적용할 IPsec 터널 구성 매개 변수 가져오기

이전 작업에서는 주니퍼 Secure Edge에서 IPsec 터널을 설정하기 위한 몇 가지 작업을 완료하고 Juniper Security Director Cloud에서 Secure Edge 정책을 배포했습니다. Security Director Cloud의 마지막 단계는 각 사이트에 대한 구성 데이터를 수집하는 것입니다. IPsec 터널를 설정하기 위한 주니퍼 Mist™ 클라우드에서 Secure Edge 커넥터 구성(주니퍼 Mist 포털에서 Secure Edge 커넥터 만들기)을 완료하려면 이러한 세부 정보가 필요합니다. 이 단계에서는 생성한 사이트의 세부 정보를 기록해 둡니다.

참고:

Juniper Security Director 클라우드와 주니퍼 간의 동기화를 위한 자동화된 구성 푸시 Mist 클라우드 옵션을 사용할 수 없습니다.

Juniper Security Director Cloud에 적용할 IPsec 터널 구성 매개 변수를 가져오려면 다음을 수행합니다.

  1. 클라우드 포털Juniper Security Director Secure Edge > 서비스 사이트를 선택합니다.
    사이트 페이지가 열리고 배포된 사이트 세부 정보가 표시됩니다.
  2. 각 스포크 사이트를 확장한 다음 터널 구성 아래에서 보기를 클릭합니다. 자세한 내용은 Configuration Summary(구성 요약) 탭을 확인합니다.

    주니퍼 Mist 포털에서 Secure Edge 커넥터 만들기에 사용할 다음 세부 정보를 기록해 둡니다.

    • 사전 공유 키

    • 로컬 ID

    • 각 서비스 위치 터널의 IP 주소 및 원격 ID

    다음 샘플은 주니퍼 Secure Edge Cloud에서 사이트 생성에서 생성한 세 사이트 모두에 대해 추출된 정보를 보여줍니다.

    다음 샘플은 site2에 대해 추출된 정보입니다.

    다음 샘플은 site3에 대해 추출된 정보입니다.

    Mist 클라우드 포털에서 터널을 구성할 때 이러한 사이트 세부 정보가 필요합니다.

주니퍼 Mist 포털에서 Secure Edge 커넥터 생성

이제 주니퍼 Mist™에서 Session Smart 라우터 또는 SRX 시리즈 방화벽을 위한 Secure Edge 커넥터를 설정하려는 궁극적인 목표의 절반 정도 완료되었습니다.

Secure Edge 커넥터는 주니퍼 Mist 포털에서 생성합니다. 이 작업은 터널의 Mist 클라우드 측에서 구성을 완료하여 Mist와 Security Director Cloud에서 관리하는 WAN 에지 디바이스 간에 IPsec 터널 설정합니다. 커넥터를 만들기 전에 사이트에 배포된 WAN 에지 디바이스가 있는지 확인합니다.

주니퍼 Mist 포털에서 Secure Edge 커넥터를 생성하려면 다음을 수행합니다.

  1. 왼쪽 메뉴에서 WAN 가장자리(Edges) > WAN 가장자리(Edges)를 클릭합니다.

    WAN Edge( Edges) 페이지에 사이트 세부 정보가 표시됩니다.

  2. 디바이스를 클릭하고 Secure Edge Connectors(Secure Edge 커넥터)까지 아래로 스크롤합니다.
  3. Secure Edge 커넥터 창에서 공급자 추가를 클릭합니다.
  4. Secure Edge 커넥터 세부 정보를 입력합니다.
    참고:

    이는 Juniper Security Director 클라우드에 적용할 IPsec 터널 구성 매개 변수 가져오기에서 수집한 세부 정보와 동일합니다.

    표 10: Secure Edge 커넥터 세부 정보
    필드
    이름 site1-SDcloud에
    프로바이더 주니퍼 Secure Edge
    로컬 ID site1@example.com
    사전 공유 키 주니퍼!1 (예)
    기본
    IP 또는 호스트 이름 <IP 주소>(클라우드 터널 구성Juniper Security Director)
    프로브 IP -
    원격 ID <UUID>.jsec-gen.juniper.net(Juniper Security Director 클라우드 터널 구성에서)
    WAN 인터페이스

    • WAN0=INET

    • WAN1=MPLS
    중고등 학년
    IP 또는 호스트 이름 <IP 주소> (Juniper Security Director 클라우드 터널 구성에서)
    프로브 IP -
    원격 ID <UUID>.jsec-gen.juniper.net(Juniper Security Director 클라우드 터널 구성에서)
    WAN 인터페이스

    • WAN0=INET

    • WAN1=MPLS
    모드 액티브-스탠바이
    참고:

    프로브 IP 값을 입력할 필요가 없습니다. IPsec 터널은 GRE와 같은 추가 모니터링이 필요하지 않습니다.
    참고:

    Session Smart 라우터 기반 보안 에지 구성에 대해 ICMP 프로브 IP를 사용하도록 설정하지 않습니다. ICMP 프로브는 라우팅할 수 없는 IP 주소에서 보안 에지로 소싱되며 정책으로 인해 삭제됩니다. 또한 소스 주소가 모든 브랜치에서 겹치는 경우, 프로브 IP 주소를 사용하여 둘 이상의 브랜치로의 라우팅은 지원되지 않습니다.
    참고:

    텍스트, 애플리케이션 및 이메일 설명이 자동으로 생성됩니다.
  5. Mist 포털에 방금 구성한 Secure Edge 커넥터가 표시되는지 확인합니다.
  6. WAN 에지 템플릿 또는 WAN 에지 디바이스에 새 트래픽 스티어링 경로를 추가합니다WAN 에지 디바이스.
    표 11: 트래픽 스티어링 경로 구성
    필드
    이름 클라우드
    전략 주문됨
    경로 경로 추가
    유형 Secure Edge 커넥터
    프로바이더 주니퍼 Secure Edge(IPsec만 해당)
    이름 site1-SDcloud에
  7. 파란색 체크 표시를 클릭한 다음 추가를 클릭하여 트래픽 스티어링을 저장합니다.

애플리케이션 정책 수정

주니퍼 Mist™ 클라우드 포털에서 Secure Edge 커넥터를 생성한 후 다음 단계는 브랜치 디바이스에서 애플리케이션 정책을 수정하는 것입니다. 예를 들어, 스포크 디바이스에서 허브 디바이스로의 트래픽을 허용할 수 있습니다. 또한 스포크 디바이스에서 VPN 터널의 다른 스포크 디바이스로 트래픽을 허용할 수도 있습니다. 그런 다음 중앙 브레이크아웃을 위해 스포크에서 허브로 트래픽을 전송하는 대신 Juniper Security Director 클라우드를 통해 스포크에서 인터넷으로 트래픽을 전송할 수 있습니다.

다음 단계를 사용하여 구성이 작동하는지 확인합니다.

  1. WAN 에지 템플릿 또는 WAN 에지 디바이스 페이지에서 애플리케이션 정책을 추가하거나 편집합니다.
  2. 수정할 정책을 선택하고 변경 내용을 적용합니다.

    WAN 에지 디바이스 페이지에서 정책을 만드는 경우 요구 사항에 따라 템플릿 설정 재정의 옵션을 선택해야 할 수 있습니다.

    • 애플리케이션 정책에서 이전 단계에서 생성한 트래픽 스티어링을 포함할 수 있습니다. 이 예에서는 마지막 규칙(Internet-via-Cloud-CBO)에서 트래픽 스티어링클라우드 로 변경합니다.

  3. 변경 사항을 저장합니다.
    이 시점에서 주니퍼 Mist 클라우드는 Juniper Security Director Cloud에 대한 새 터널을 구축합니다.

구성 확인

애플리케이션 정책을 수정한 후에는 이제 구성이 예상대로 작동하는지 확인할 차례입니다. 원하는 구성을 저장하면 주니퍼 Mist 클라우드가 중앙 브레이크아웃을 위해 허브로 라우팅하는 대신 스포크에서 Juniper Security Director 클라우드로 인터넷 바운드 트래픽을 라우팅하는지 확인할 수 있습니다.

구성을 확인하려면 다음을 수행합니다.

  1. (선택 사항) 환경에 따라 CLI에서 Juniper Security Director 클라우드를 향한 IPsec 터널의 통신을 볼 수 있습니다.

    • 왼쪽 메뉴에서 WAN Edge >WAN Edges를 선택하여 설정된 터널 세부 정보를 확인한 다음 WAN Edge 디바이스를 클릭하고 마지막으로 Edge 인사이트 WAN를 클릭합니다. WAN 에지 이벤트 아래에 WAN 에지 터널 이벤트가 나타나는지 확인합니다.

    • WAN Edge> WAN Edge로 이동하여 터널 상태 및 기타 세부 정보를 확인합니다. WAN Edge 디바이스를 선택한 다음 Secure Edge Connector 세부 정보 섹션까지 아래로 스크롤합니다.

    • 또한 Juniper Security Director Cloud 대시보드와 서비스 위치에서 설정된 터널을 확인할 수 있습니다.

  2. 분기 디바이스에 연결된 VM 데스크톱을 사용하여 새 트래픽 흐름을 확인합니다. 인터넷에 대한 ping을 사용하여 트래픽 흐름을 확인할 수 있습니다.
    참고:

    WAN 에지 디바이스와 주니퍼 보안 에지 서비스 위치 사이의 물리적 거리에 따라 지연이 발생할 수 있습니다.
  3. VM 데스크톱에서 브라우저를 열고 https://whatismyipaddress.com/ 로 이동하여 주니퍼 Mist 네트워크 트래픽을 서비스 위치에서 인터넷으로 라우팅하는 데 사용되는 소스 IP 주소에 대한 세부 정보를 확인합니다.

    이 예는 기본 서비스 위치의 트래픽을 보여줍니다.

    이 예는 보조 서비스 위치의 트래픽을 보여줍니다.

    서비스 위치의 두 IP 주소 중 하나는 공용 IP 주소이며 다음 두 가지 용도로 사용됩니다.

    • IPsec 터널을 종료합니다.

    • Juniper Security Director 클라우드를 통해 브랜치 디바이스에서 인터넷으로 트래픽 라우팅

    Juniper Security Director Cloud를 사용하여 서비스 위치에 대한 설정된 터널을 보여주는 패킷 캡처에서 동일한 공용 IP 주소를 볼 수 있습니다. 구성 확인을 참조하십시오.

    Juniper Security Director Cloud의 서비스 위치는 POP라고도 하며 클라우드 위치의 주니퍼® Secure Edge 인스턴스를 나타냅니다. 서비스 위치는 온프레미스 사용자와 로밍 사용자 모두의 연결(액세스) 지점입니다.