한 울타리 안의 친구들~

가끔 여러분은 룰을 위 또는 아래로 이동할 필요가 있습니다. 예를들어 첫번째룰을 제일 마지막으로 이동하고싶다면 첫번째 룰을 선택한 후 마우스 오른쪽 버튼을 클릭하고 "Move Down"을 클릭합니다. :

그러나, 이것은 한개만 옮길 수 있습니다. 여러개를 옮기고 싶을경우 여러개의 룰을 선택합니다. 그리고 마우스 오른쪽 버튼을 클릭한 후 "Move Up"을 클릭합니다. 이 경우에는 모두 위로 올라가고 첫번째 룰은 제일 마지막으로 이동될 것 입니다. :

VPN 주소 범위 구성을 위해 ISA Server 관리자 사용하기

참고: 사용할 IP 주소 범위는 10.3.1.1–10.3.1.100입니다.

시작 메뉴에서 모든 프로그램을 클릭한 후 Microsoft ISA Server를 클릭하고, 다시 ISA Server 관리자를 클릭합니다.

ISA Server 관리자의 콘솔 트리에서 배열, 배열 이름을 차례로 확장한 후 가상 사설망(VPN)을 선택합니다.

작업 창의 작업 탭에서 주소 할당 정의를 클릭합니다.

참고: ISA Server 2006 Enterprise Edition에서, VPN 클라이언트에 IP 주소 할당을 위해 DHCP (Dynamic Host Configuration Protocol) 서버를 사용하는 것은 단일 ISA Server 컴퓨터로 구성된 배열에만 허용됩니다. 이것은 VPN 클라이언트가 연결할 때 각 배열 구성원 상에서 필요한 라우팅 테이블의 업데이트와 배열 내부의 트래픽을 피하기 위한 것입니다.

하나 이상의 ISA Server 컴퓨터를 포함하는 배열에서 VPN 액세스를 설정하기 위해서는, 우선 서버 별 정적 IP 범위를 정의해야 합니다.

가상 사설망 (VPN) 등록 정보 대화 상자의 주소 할당 탭에서 추가를 클릭합니다.

서버 IP 주소 범위 속성 대화 상자에서 다음 정보를 입력합니다:

• 서버 선택: Florence

• 시작 주소: 10.3.1.1

• 끝 주소: 10.3.1.100

이 IP 주소 범위가 허용하는 최대 구성은 다음과 같습니다:

• ISA 서버 상의 하나의 대상 VPN IP 주소 (10.3.1.1).

• 99개의 VPN 클라이언트 주소 (10.3.1.2-10.3.1.100).

가상 사설망 (VPN) 등록 정보 대화 상자의 주소 할당 탭에서 추가를 클릭합니다.

서버 IP 주소 범위 속성 대화 상자에서 다음 정보를 입력합니다:

• 서버 선택: Firenze

• 시작 주소: 10.3.1.101

• 끝 주소: 10.3.1.200

확인을 클릭하여 가상 사설망(VPN) 등록 정보 대화 상자를 닫습니다.

VPN 클라이언트 액세스 설정 및 구성

다음 절차는 PPTP를 사용해 최대 99 개 클라이언트를 지원하는 VPN을 구성합니다.

작업 탭에서 VPN 클라이언트 액세스 구성을 클릭합니다.

VPN 클라이언트 등록 정보 대화 상자의 일반 탭에서 VPN 클라이언트 액세스 사용 확인란을 선택합니다. 허용되는 최대 VPN 클라이언트 수 텍스트 상자에 99를 입력합니다. (그림K.1a참조)

프로토콜 탭에서 PPTP 사용 항목만이 선택되어 있음을 확인합니다.

확인을 클릭하여 VPN 클라이언트 등록 정보 대화 상자를 닫습니다. 참고: VPN 구성은 아직 적용되지 않았습니다.

VPN 연결 설정 검토

콘솔 트리에서 가상 사설망(VPN)을 오른쪽 클릭한 후 속성을 클릭합니다.

가상 사설망 (VPN) 동록 정보 대화 상자를 작업 창을 통해서 액세스할 수도 있습니다.

가상 사설망(VPN) 등록 정보 대화 상자에서 액세스 네트워크 탭을 선택합니다. (그림K.1b참조)

ISA Server는 현재 외부 네트워크로부터의 VPN 연결만 받아들이도록 구성되어 있습니다.

인증 탭을 선택합니다.

ISA Server는 현재 수신되는 VPN 연결에 대해 MS CHAPv2 인증만을 허용하도록 구성되어 있습니다.

확인을 클릭하여 가상 사설망(VPN) 등록 정보 대화 상자를 닫습니다.

VPN 액세스 규칙 검토

콘솔 트리에서 방화벽 정책 (서버 이름)을 선택합니다.

작업 창의 작업 탭에서 시스템 정책 규칙 표시를 클릭합니다.

세부 정보 창에서 ISA Server로의 VPN 클라이언트 트래픽 허용 시스템 정책 규칙을 선택합니다 (규칙 13)

이 시스템 정책 규칙은 외부 네트워크에서 로컬 호스트 네트워크(ISA Server)로의 PPTP 프로토콜을 허용합니다. VPN 클라이언트가 접속을 위해 L2TP over IPsec VPN 또한 사용할 수 있도록 구성되었다면, 이 규칙은 Internet Key Exchange (IKE), Internet Protocol security (IPsec), 및 Layer Two Tunneling Protocol (L2TP)와 같은 필요한 프로토콜에 대해서도 확장되어야 합니다.가상 사설망 (VPN) 등록 정보 대화 상자의 액세스 네트워크 탭 상에 있는 추가적인 네트워크가 설정 된 경우에도, 이 규칙은 그러한 네트워크로 확장되어야 합니다.

작업 창의 작업 탭에서 시스템 정책 규칙 숨기기를 클릭합니다.

ISA Server 관리자에서 적용을 클릭하여 VPN 구성을 적용한 후 확인을 클릭합니다.

이 단계는 ISA Server 상에 VPN 연결을 구성하고 설정하며, ISA Server 컴퓨터 상의 라우팅 및 원격 액세스 서비스도 구성 및 시작합니다.

참고: 다음 단계를 진행하기 전에 ISA Server가 라우팅 및 원격 액세스 서비스를 구성하고 시작할 수 있도록 30 초 정도 기다립니다.

라우팅 및 원격 액세스 서비스 검토

필요한 경우 라우팅 및 원격 액세스 관리자의 왼쪽 창에서 컴퓨터 이름 (로컬)을 오른쪽 클릭한 후 새로 고침을 클릭합니다.

화면에 라우팅 및 원격 액세스의 구성 상태 및 실행 여부가 업데이트됩니다.

컴퓨터 이름  (로컬) 을 오른쪽 클릭한 후 속성을 클릭합니다.

컴퓨터 이름  (로컬) 등록 정보 대화 상자에서 IP 탭을 선택합니다.

ISA Server가 라우팅 및 원격 액세스 서비스의 주소 할당 방식을 고정 주소 풀 방식으로 구성하였습니다.

취소를 클릭하여 컴퓨터 이름  (로컬) 등록 정보 대화 상자를 닫습니다.

컴퓨터 이름  (로컬)을 확장한 후 원격 액세스 정책을 선택합니다.

세부 정보 창에서 ISA Server 기본 정책을 오른쪽 클릭한 후 속성을 클릭합니다.

ISA Server가 새로운 원격 액세스 정채을 추가해 두었습니다:

· 이 정책은 가장 위에 있으며 수신되는 모든 원격 액세스 연결에 적용됩니다 (Day-And-Time-Restrictions 일치7x "00:00-24:00").

· 관련 프로필에는 허용된 모든 연결에 대한 인증 방법이 명시되어 있습니다.

· 사용자 프로필에 개별적인 액세스 권한이 지정되어 있지 않다면 원격 액세스는 거부됩니다. (개별 액세스 권한 지정 방식은 바로 다음 연습에 설명되어 있습니다) 취소를 클릭하여 ISA Server 기본 정책 등록 정보 대화 상자를 닫습니다.

왼쪽 창에서 IP 라우팅을 선택합니다. 세부 정보 창에서, 고정 경로를 오른쪽 클릭한 후 IP 라우팅 테이블 표시를 클릭합니다.

ISA Server가 Firenze (10.3.1.101–10.3.1.200) VPN 주소 범위에 대한 라우팅을 추가해 두었습니다.

컴퓨터 이름 - IP 라우팅 테이블 윈도우를 닫습니다.

라우팅 및 원격 액세스를 닫습니다.

Administrator 계정이 전화 접속할 수 있도록 사용자 프로필을 구성하기

시작 메뉴에서, 관리 도구를 클릭한 후 컴퓨터 관리를 클릭합니다.

컴퓨터 관리의 왼쪽 창에서 로컬 사용자 및 그룹을 확장한 후 사용자를 선택합니다.

세부 정보 창에서 Administrator를 오른쪽 클릭한 후 속성을 클릭합니다.

Administrator 등록 정보 대화 상자의 전화 접속 로그인 탭에서 액세스 허용을 선택한 후 확인을 클릭합니다. (그림K.1d참조)

컴퓨터 관리를 닫습니다

참고: 이 예에서는 로컬 관리자에 대해 VPN 연결을 설정했지만, 일반적으로는 도메인 사용자 계정에 대해 VPN 연결을 설정합니다.

참고: 이제 ISA Server가 외부 네트워크 상의 클라이언트 컴퓨터로부터 VPN 연결을 수용하도록 설정했습니다. 클라이언트는 연결 후에 VPN 클라이언트 네트워크로 할당됩니다. VPN 클라이언트에 대해 액세스를 허용할 리소스를 결정할 액세스 규칙도 생성되어야 합니다.

ISA서버의 Exchange 게시 기능을 이용하여, 외부 웹클라이언트 접근 시, OWA, Outlook Rpc over Http 연결을 제외하고 ActiveSync만 연결 가능하도록 하는 설정에 대해서 살짝 알아 보도록 하겠습니다.

외부에서 OWA나 RPC over Http 연결등을 허용해서 사용하는 경우가 많지만, 보안 상의 이유로 외부 웹클라이언트의 접속을 막고 있는 기업들도 상당 수가 있습니다. 이러한 환경에서 특정한 사용자들만 외부 웹클라이언트로 모바일 ActiveSync를 사용해야 하는 경우가 많이 있는데요. 보통 Exchange의 웹클라이언트는 80, 또는 433 포트를 통한 웹접속을 시도하고 되고, 해당 포트를 오픈하게 되면, ActiveSync뿐만 아니라 OWA나 Rpc over Http 연결도 가능하게 됩니다.

이러한 환경에서 ISA서버의 Exchange 게시 기능을 이용하면,  외부 웹클라이언트 접근 시, OWA, Outlook Rpc over Http 연결을 제외하고 ActiveSync만 연결 가능하도록 하는 설정 할 수 있습니다.
아래의 그림을 통해 살짝 알아 보도록 하겠습니다.

ISA서버는 그림과 같이 다양한 게시 규칙들이 제공이 됩니다 . 그중 Exchange 게시 규칙을 선택 합니다.
 

마법사를 통해서 작업이 가능하며, 간단한 게시 규칙 이름을 넣어 줍니다.

ISA 서버는 Exchange 전 버전을 지원하고 있습니다. 해당하는 Exchange 서버의 버전을 선택한 후
다양한 웹클라이언트 접속 중 Exchange ActiveSync만 선택하여 줍니다.
이렇게 설정하면, OWA나 Rpc over Http 접속은 차단이 되며, Exchange ActiveSync만 접속이 가능하도록 설정 할 수 있습니다.

Standard 에디션

ISA Server Standard 에디션은 공유 정책 저장소가 필요하지 않습니다. 그래서 오직 로컬 정책 저장소만 있습니다. 이 저장소는 세개의 레지스트리로 분리되어 있습니다.

HKLM\IsaStg_Eff1   트래픽 정책 저장

HKLM\IsaStg_Eff1Policy   낮은 수준의 정책(공격 감지,  서비스 장애 완화 등등) 저장

HKLM\IsaStg_Eff1Prot  프로토콜 정의 저장

시작할 때, Microsoft Firewall(fwsrv)는 현재 정책을 읽기 위해 Microsoft ISA Storage(isastg)를 호출합니다. 만약 시작하는 도중 정책을 읽는데 에러가 발생하면 fwsrv는 경고를 기록하고 잠금(lockdown) 모드로 들어갑니다.

Enterprise 에디션

Enterprise 에디션은 ISA 정책을 두 위치에 저장합니다. 하나는 CSS(Configuration Storage Server)에 있고 다른 하나는 각각 배열 구성원의 레지스트리에 있습니다. 만약 새로운 방화벽 정책 규칙을 만든다면 규칙은 첫번째로 CSS에 전달됩니다. 그것은 ADAM에 추가가 될 수 있습니다. 그리고 로컬 레지스트리에 복사가 됩니다. 만약 운영중에 로컬에서 규칙을 만들고 CSS에 액세스가 되지 않는다면 이 정책은 로컬 레지스트리로 전달되지 않는다는 것을 의미 합니다.  만약 CSS로 연결이 되지 않는다면 새로운 규칙을 만들 수 없기 때문에 현재 로컬의 저장소와 레지스트리에 적용된 규칙으로 운영됩니다.

Enterprise 에디션의 저장소 위치입니다.

HKLM\IsaStg_Cache*   정책 변경 작업 공간으로 사용됩니다.

HKLM\IsaStg_Eff[1|2]  트래픽 정책이 복사됩니다.

HKLM\IsaStg_ Eff[1|2]Policy  낮은 수준 정책(공격 감지, 서비스 장애 완화 등등) 복사되는 위치

HKLM\IsaStg_ Eff[1|2]Prot  프로토콜 정의가 복사되는 위치

활성 정책 위치는 HKLM\Software\Microsoft\Fpc\Storage\ActiveEffective에 저장됩니다. 이 값은 각각의 성공적인 정책 변경에 대해서 HKLM\IsaStg_Eff1*과 HKLM\IsaStg_Eff2*에 순차적으로 저장됩니다. 이렇게 저장을 하면 두가지 이점이 있습니다.

1. ISA는 현재 정책과 과거 정책을 비교할 수 있습니다. 그러면 ISA가 기능적으로 이상이 발생했을 때 변경된 점을 찾을 수 있습니다.

2. 만약 여러가지 이유로 새로운 정책 업데이트가 실패 할 경우 ISA를 이전 정책으로 되돌릴 수 있습니다.

Standard에서도 시작할 때 현재 정책을 읽기 위해서 Microsoft Firewall(fwsrv)는 Microsoft ISA Storage(isastg)를 호출합니다. 만약 시작 중, 정책을 읽기위해 요청하는 중 isastg가 에러를 반환한다면 fwsrv는 경고를 기록합니다. 레지스트리와 저장소 위치를 읽을 수 없는 경우에는 잠금(lockdown)모드로 들어갈 수 없습니다. Enterprise는 Standard 에디션보다 복원이 잘 됩니다.

참고. ssastg_eff에 저장된 정책은 Standard 에디션 정책과 구별되는 형식으로 저장됩니다. 그러므로 이 정책들에 대한 Enterprise 구문은 손실됩니다.

1. ISA Standard 에디션은 오직 한개의 정책 저장소를 가지고 있습니다. 따라서 정책 저장소 업데이트나 초기 로드가 실패하면 정상 동작을 할 수 없습니다.

2. ISA Enterprise 에디션은 CSS를 사용할 수 없을 때 조차도, firewall/proxy가 최근 성공한 구성 정책을 가지고  운영할 수 있습니다. 시스템 로컬 복사가 적절하게 초기화 되는데 실패한다면 방화벽 서비스는 정책을 읽어오는데 실패 한 것에 대해 잠김(Lockdown)모드로 들어갈 것 입니다.

3. 여러분은 레지스트리 기반의 Enterprise 에디션 정책을 CSS 형식의 저장소로 변경할 수 없습니다.

4. 장애 복구 상황에서, 여러분은 레지스트리 키를 내보내거나 방화벽 정책을 새로 만들기 위해서 새로운 시스템에서 가져 올 수  없습니다.

5. 여러분의 Enterprise 방화벽 솔루션에 대해 단일 CSS를 배포 할 때, 만약 CSS가 실패한다면 여러분은 모든 Enterprise를 새로 구성해야하는 위험이 있습니다.

6. 만약 재해 복구를 위해 ISA 내보내기/가져오기 방법을 사용한다면 여러분은 데이타를 잃어버릴 위험이 있습니다.